变电站保护设备远方操作风险分析与防控

向博，王利平，崔幸军，刘宏君，朱小红

（1.国网四川省电力公司，成都610041；2.长园深瑞继保自动化有限公司，广东深圳518057）

0 引 言

随着“大运行”体系建设的推进，无人值守变电站逐步推广，通过多级调度协同的大电网实时监控和安全控制技术，完成多级调度协调控制和故障联合处置，已经完成了对电网的有效控制［1］。目前断路器远方操作逐渐常态化，迫切需要进一步扩大远方操作范围［2］，以便减轻无人值守变电站运维过程中运维人员花费大量时间往返现场的现象。

继电保护远方操作已研讨多年，从 IEC-101/103/104规约应用以来就一直在研究。远方操作通信规约的技术性问题已进行过多次解决尝试，影响推广应用的是操作的可靠性问题。随着国家电网公司智能电网战略的推进，“调控一体化”技术优势已突显。为进一步发挥“调控一体化”技术优势，推广继电保护装置远方操作已成为当前工作重点。为确保继保装置远方操作的可靠性，国调中心最先于2014年颁布了《调继（2014）143号.国调中心关于印发继电保护和安全自动装置远方操作技术规范的通知》，明确了在进行远方操作时，如信号复归、重合闸、备自投、定值区切换、投退软压板等，在满足“双确认”要求情况下，即继电保护和安全自动装置远方操作时，至少应有两个指标发生对应变化，且所有这些确定的指示均已同时发生对应变化，即可确认该设备已操作到位。

在国调中心明确继电保护远方操作可靠性“双确认”保证的基础上，有多个工程进行了继电保护远方操作试点，并且都取得了成功应用［3-5］。试点工程应用进行总结时，多数是着眼于继电保护远方操作的可实施性和带来的效率提升，少有对整个继电保护远方操作过程进行相对完整的风险分析和研究。

文中通过对继电保护远方操作完整过程进行分析，以当前最主流的站控层与间隔层通信采用国标IEC 61850通信规约的工程应用情况作为分析对象［6-11］，论述了当前继电保护远方操作主要面临的风险及应对措施，重点阐述了操作流程风险，主要包括：

（1）网关机与调控中心进行继电保护远方操作交互控制中的配合失调可能会造成功能失效甚至功能错误；

（2）网关机遇到多个调控中心并发继电保护远方操作时处理不善可能会造成功能紊乱甚至误操作。对于这些可能的风险，明确提出对应的防控处理措施，包括调控主站操作控制配合设置方法和多调控主站并发情况下的网关机闭锁处理机制。

1 继电保护远方操作系统架构及流程分析

继电保护远方操作是在调控中心利用通信通道对变电站的继电保护装置进行切换定值区、投退软压板以及远方复归等操作，其系统架构如图1所示。

图1 继电保护和安全自动装置远方操作系统架构图Fig.1 System architecture diagram of relay protection and security automation remote operating

远方操作系统架构主要涵盖调控主站、数据网关机、站内工作站、站内继电保护装置等电力二次系统。继电保护远方操作时，由调控主站发起，站内通信子站接收到操作命令之后，将操作命令转发给对应的继电保护装置，待接收到继电保护装置回送的命令返校或者操作响应之后，向调控主站上送对应的返校或者操作响应。

（1）远方投退软压板

远方投退软压板操作时需要先进行选择再进行执行，只有正常完成选择和执行两个命令过程才能完成对应的功能操作；只选择不执行、无选择的执行、与选择不对应的执行都是错误的命令，不应执行并应该被否定，因此在操作中需要进行操作序列记录与控制。

（2）远方定值操作

远方操作的定值操作与投退软压板不同，由于定值操作的调控通信过程与站内61850通信过程不一致，通信子站需要将调控主站的对应命令过程转换为站内61850命令过程。对于定值功能，网关机支持读当前区定值、切换定值区、读非当前区定值、和修改定值功能，定值服务对应的61850服务如表1所示。表中所示的61850通信服务各自独立，相互间不做依赖，如读非当前定值区对应的SelectEditSG和GetSGValues，未先做SelectEditSG操作的情况下进行GetSGValues操作也是可以的，并且会得到装置正确的操作响应。

表1 定值服务Tab.1 Setting services

在操作之后，如果继电保护装置对应的状态或者位置发生变化，则继电保护装置主动发起上送，站内通信子站接收到继电保护装置上送的状态位置变化信息之后，立即触发对调控主站的主动上送；如此完成整个继电保护远方操作过程。

操作过程中序列如果发生错误序列，通信子站能够通过对应的过程控制进行辨识并进行否定返校，但是如果在信息传输过程中出现没有回应的情况，则可能会影响到操作序列控制，有效的措施是在序列控制中增加超时控制机制，如果命令下发一段时间之后没有与之对应的返校则作为超时结束当前的操作控制序列。操作序列控制中的超时处理在调控主站、站内通信子站、继电保护装置上都设置了超时控制机制，以保证在各自的操作序列控制中出现无响应的情况下能够自动返回到正确的状态以便能够正常进行下次操作。

2 继电保护远方操作风险及安防分析

根据国际ISO风险评估体系以及国家电网相关实施细则，结合远方操作系统架构和操作流程来进行风险识别和风险评估，继电保护远方操作风险可以分为三类，分别是网络信息安全风险、管理风险及操作流程风险，如表2所示。

表2 继电保护远方操作风险分析Tab.2 Risk analysis of remote operating in relay protection

2.1 网络信息安全风险

从通信安全理论分析［12］可知，网络环境下系统可能会遭遇到的安全威胁主要分为被动攻击和主动攻击。被动攻击主要是信息窃听以及在窃听基础上分析处理等；主动攻击主要是以访问、冒充、篡改为主要手段，威胁系统信息完整性、可用性和真实性，或利用操作系统的缺陷攻击，甚至远程控制和操作设备以制造重大事故。被动攻击与主动攻击在很多情况下都是一同发起的。

网络环境下主要通过网络隔离、信息加密、消息签名认证及访问控制等抵御网络攻击。因此电力生产部门控制区可以采取“安全分区、网络专用、横向隔离、纵向认证［13］”等措施来增强网络信息安全。针对网络信息安全，远方操作宜采取纵向加密、横向隔离、访问控制等措施。其中：

（1）纵向加密是在纵向信息传输通道的两端分别完成加密和解密，以避免在通信通道上进行明码传输，保证传输在通道传输上的安全性，即便被窃听获取也因无法解密而不能解析利用；

（2）横向隔离是在整个系统不同区域间通过设置隔离装置，保证跨区域的通信和访问都是预知的和已授权的，不会出现非法的连接和访问；

（3）访问控制在通信子站和智能装置上进行功能部署，只允许对应白名单上的主机来访问，白名单之外的主机不允许进行连接和访问。访问控制从访问来源上避免了无权限的客户端的非法访问和操作。

2.2 管理风险

针对管理风险，通过对管理风险进行风险识别，确定操作人员专业技能不足或操作过程不规范等风险。风险处理可以采取人员认证、规范操作流程、操作人监护人相互核实制度等措施。其中：

（1）人员认证。通过对操作人进行认证，保证实际进行操作的操作人员是系统认可的具有操作权限的操作人员。具体的人员认证方式包括：用户名密码认证方式、移动证书认证方式、指纹认证方式、瞳孔认证方式以及多种综合认证方式；

（2）操作人监护人相互核实制度，是为了避免单独操作人情况下故意或者疏忽造成误操作而设立的操作制度。对于在系统中进行的每个操作，都需要有操作人和监护人共同进行操作；操作人和监护人各自完成操作项目核实确认并完成系统人员认证授权，之后系统核准之后才会进行实际操作；系统每一项操作工作都会记录对应的操作人和监护人。

2.3 操作流程风险

继电保护远方操作包括了切换定值区、投退软压板以及远方复归等操作。远方复归功能一般是对保护状态进行远方复归，对保护功能和保护逻辑不会产生重大影响；而切换定值区和投退软压板直接改变了保护装置的保护动作逻辑，已经深入影响到保护装置内部。如果由于不恰当的操作流程，导致数据网关机对继电保护装置进行了错误的远方操作，可能会对整个电力系统造成非常严重的影响，威胁电网的安全稳定运行。

3 操作流程风险分析及应对措施

操作流程风险是指由于主子站配合失调、多主站操作等导致的风险。

（1）主子站配合失调风险

从上述的流程分析中，可以看出，对于错误的操作序列，可以通过逻辑分析控制进行识别和处理；在操作无响应的情况下通过超时控制恢复正常状态以便能够进行下一次操作。在这样的控制处理体系下，调控主站、通信子站、继电保护装置三者所设置的超时时间不同可能会发生不同的情况。

当主站设置的超时时间比子站或装置短时，即主站、子站、装置设置的时间不匹配时，远方操作就有可能发生误操作，如图2所示。

第一步：主站根据运行情况需要对站内保护装置的某软压板进行退出操作，并在t1时刻下发了正常流程的选择命令，子站和保护装置也在t2和t3时刻正确执行了选择命令进入了执行状态；

第二步：由于某些情况，主站没有接着下发执行命令或者是网络原因命令未到达等。当主站的远方操作在t4时刻超时退出，由于子站和保护装置的超时时间比主站的长，此时子站和保护装置都处理正常的执行状态；

第三步：在t5时刻，主站由于受到攻击或误操作等原因下发了非法的执行命令，子站和装置收到执行命令后在t6和t7时刻执行了某软压板退出命令，此时就产生了误操作。

图2 主子站超时时间失调导致误操作风险分析Fig.2 Risk analysis of timeout between substation and master station in remote operating

同理，如果子站的超时时间设置比保护装置短时，也有可能产生类似的误操作问题。因此针对主子站配合失调风险，调控主站、通信子站、继电保护装置三者设置的超时时间应该是调控主站不小于通信子站不小于继电保护装置。

（2）多主站操作风险

由于软压板操作过程采用“选择-执行”模式，当同时有多个主站进行遥控选择时，不允许多个主站同时进行遥控操作过程；只允许其中一个调控主站进行远方操作过程，而其他调控主站的操作指令则被否定终止。

定值操作在通信子站上要进行通信过程转换拆分转换，读取非当前区定值和修改定值都涉及到编辑定值区的操作，多主站情况下某个主站的编辑定值区命令可能会被其他主站的编辑定值区命令覆盖；如果选择的编辑定值区不是预期的定值区，读定值时则会读到非对应区的定值，会造成调控主站定值基准入库时错误或者召唤的定值与基准定值不匹配；修改定值时则会修改成非对应区的定值，可能导致实际运行定值错误。

针对多主站操作风险，子站在接收到调控主站的远方操作命令时，需要检查是否有其他调控主站正在进行操作，如果已有调控主站正在进行操作，则闭锁最新收取到的操作指令。

4 工程实践

针对上述分析，为了验证相关措施的有效，开发了相关产品和制定操作规范并在四川多个工程投入工程实践。

（1）网络信息安全风险

以纵向加密为例，报文在主子站以密文的方式传输。IEC 104报文规约的激活传输报文经过DES加密算法后得到是无规则数据，结果如下：

加密前：680407000000

加密后：WoExxDKC7ywqBUHmnDXXrgEgvKH0vUSH

数据经过加密后，即使攻击者截获了相关数据，但是没有相关密钥的话仍然无法获取对应的数据。

（2）管理风险

根据继电保护远方操作流程，结合现场实际情况，制定了《继电保护远方操作业务指导书》、《继电保护远方操作流程规范》、《继电保护远方操作考核方案》、《继电保护远方操作业表单》、《继电保护远方操监护规则》等规范文档用于培训操作人员和规范化远方操作流程。

（3）操作流程风险

利用操作序列、PV互斥等计算机技术实现了远方操作序列化和多主站的互斥性，网关机读写定值的流程如图3所示。

图3 网关机读写定值流程图Fig.3 Flow chart of setting operator in data gateway

网关机遥控的执行流程如图4所示。工程实践期间，现场程序运行稳定，定值、软压板等远方操作功能正常，相关风险措施测试验证有效。证明了所分析的正确性和风险措施的有效性，同时也为远方操作进一步风险防护研究奠定了理论和实践基础。

图4 网关机执行遥控流程图Fig.4 Flow chart of remote control in data gateway

5 结束语

目前远方操作已经具备技术实施的条件，但是远方操作的分险防控还有待进一步研究。通过对继电保护远方操作完整过程进行研究，分析其面临的风险并提出对应的防控措施，保证远方操作能够安全稳定进行，对保障变电站安全稳定运行，推进调控一体化的建设有着非常重要的意义。本研究成果通信稳定，得到用户的认可。