水电计算机监控系统控制安全策略的研究与应用
2022-04-07卓四明
王 鑫,韩 兵,卓四明
(国电南京自动化股份有限公司,江苏 南京 210003)
0 前 言
随着计算机、网络、通信技术的发展,以及水电站自动化水平和监控水平的不断提高,发电厂形成了结构分层、功能分散、信息共享的计算机监控系统[1]。计算机监控系统的发展实现了发电厂发电生产流程的监视,极大地提高了控制效率,但伴随着无人值班、少人值守、集中控制要求的不断提高,遥控遥调操作任务不断增加,水电站自动化设备的控制操作复杂度也在日益攀升,这对水电站计算机监控系统的稳定可靠安全运行提出了越来越高的要求[2]。
水电站计算机监控系统中的常用功能之一就是控制调节操作,但是由于一些误操作的存在,缺乏有效的安全机制,给电网的运行带来很大的危害,甚至直接威胁人身安全、设备安全,严重影响电力系统的可靠运行[3]。通过技术上的安全控制策略设置能够在很大程度上提高控制调节操作的可靠性,防范电网运行中的一些风险,保障工作人员的安全以及用户用电环境的安全[4]。
1 监控系统控制安全现状分析
现有国内外水电计算机监控系统,在远程控制操作指令交互方面,操作人员在监控系统发送指令控制调节后,通过消息总线、数据总线、计算引擎、驱动程序将控制调节指令直接下发至终端执行单元(如图1所示),该指令未经过安全校核机制校验,这种控制方式存在一定的不安全性,在控制设备较多的厂站或集控中心尤为突出。
常见的误操作类型主要包含:非专业人员误操作、误入操作画面[5]、选错机组、选错设备、误调负荷等,严重影响电网安全稳定运行,此外,在计算机监控系统进行维护或数据库升级过程中,难免需要连接外部设备,当前未经授权、校验的控制方式,无法防止网络黑客的攻击,对电厂的运营生产存在一定的安全隐患。
图1 传统远控操作交互流程
因此,如何在监控系统控制调节操作中防止误控、误调和减少网络攻击事件的发生成为亟待解决的问题。目前,行业内解决方法标准不一,主要的解决方法为加强员工培训工作,提高员工素质,禁止使用未经杀毒的非专业U盘插入计算机监控系统。提高运行、检修人员对防误闭锁装置的“四懂三会”(即懂装置的原理、性能、结构和操作程序;会操作、安装、维护),培养事故处理的应变能力,避免事故范围扩大。加强安全思想教育,提高员工安全责任心。狠抓安全生产管理工作,落实电气防误操作安全措施,严格按“两票三制”要求执行,监控系统操作至少保证1人发令、1人监护。加强违规考核力度,大量的误操作事故证实,发生误操作事故的根本原因是员工违规操作。这些方法大部分从管理和人员素质角度出发,防误措施具有一定的效果,但不能系统地从技术措施上解决因远控误操作而带来的水电机组安全运行风险。
2 监控系统控制安全策略
为适应水电站“无人值班、少人值守”管理模式,确保远程控制及网络信息安全,杜绝误调、误控事件的发生,本文提出误控防范、数据安全、控制审计等安全策略,有效解决了水电计算机监控系统不安全控制问题,策略总览如图2所示。
图2 控制安全策略总览
误控防范基于人机界面的控制闭锁,在传统的使用人员身份进行鉴别、禁止非授权帐户进行控制操作基础上,增加控制条件及控制校验码等安全措施,当控制条件不满足或控制校验码不匹配时,操作界面提示禁止操作,闭锁控制指令下发。
数据安全基于运算安全、传输安全和服务安全3方面考虑,有效防止数据在采集、运算、传输中由于硬件故障、断电、死机、程序缺陷、病毒或黑客等造成的数据损坏、数据失真或数据丢失现象,而造成发送控制令前无法准确判断设备运行工况,引起误控、误调等后果。
控制审计基于控制授权和控制校验两种认证方式,对操作人员发送的控制指令进行授权、校验多级认证,若认证失败,禁止控制指令下发并销毁控制指令。支持对操作进行审计记录,包括操作日志以及操作过程记录,确保事后能够进行全过程的追溯。
2.1 误控防范
误控防范通过用户角色、控制画面、控制条件、控制分组、控制校验、调节限值多种措施实现。
用户角色管理。通过控制权限、画面访问权限、节点登录权限等配置,限定操作权限,具备操作权限的人员和设备可进行操作,否则禁止操作;
控制画面。操作人员进入控制画面提供弹窗提示,提示运行人员该画面存在设备控制点;
控制条件。被控设备设置条件闭锁,当条件满足时,可对该设备操作,否则禁止操作;
控制分组。被控设备分组隔离,如机组操作分为正常操作(含空转、空载、发电、停机等)及紧急操作(机械事故停机、电气事故停机、紧急事故停机等),避免误操作;
控制校验。被控设备操作“确认”前,提供操作校验,校验成功后指令方可下发,否则禁止控制操作;
调节限值。增加调节设置限值,当新调节设值与实发值或上次设值超过限值时,弹出禁止设值窗口,提醒运行人员重新设值。
2.2 数据安全
操作控制指令下发过程中,对控制令相关数据源追踪,检测数据源相应服务运行状态,保证数据的运算安全、传输安全和服务安全,确保数据的完整性、正确性和有效性,防止数据损坏、数据失真或数据丢失造成的误控、误调操作。
操作控制指令下发过程中的数据安全由数据源服务、控制操作接口、计算引擎和消息总线共同完成,数据安全逻辑示意见图3。
数据源服务。实时检测数据库中数据源测点,设置数据源状态标志,数据源状态标志分为正常、异常,正常时数据源有效,否则数据源无效。
控制操作接口数据安全。操作人员下发指令时,控制操作接口程序,自动定位相关数据源,读取并检测数据源测点状态标志,当数据源状态标志异常时,直接关闭控制指令,退出控制操作;当数据源标志正常时,为确保数据源有效性,进行数据源服务状态校验,若数据源服务正常,则表明数据源有效,可继续向下一级目标程序发送控制指令,否则表明数据源标志并非实时状态,数据源无效,关闭控制指令,退出控制操作。
计算引擎数据安全。计算引擎对接收的控制指令进行加工运算,接收控制指令后,定位控制指令相关数据源,读取并检测数据源测点状态标志,当数据源状态标志异常时,直接关闭控制指令,退出控制操作;当数据源标志正常时,为确保数据源有效性,进行数据源服务状态校验,若数据源服务正常,则表明数据源有效,可继续向下一级目标程序发送控制指令,否则表明数据源标志并非实时状态,数据源无效,关闭控制指令,退出控制操作。
消息总线数据安全。消息总线传输控制指令,接收控制指令后,定位控制指令相关数据源,读取并检测数据源测点状态标志,当数据源状态标志异常时,直接关闭控制指令,退出控制操作;当数据源标志正常时,为确保数据源有效性,进行数据源服务状态校验,若数据源服务正常,则表明数据源有效,可继续向下一级目标程序发送控制指令,否则表明数据源标志并非实时状态,数据源无效,关闭控制指令,退出控制操作。
图3 数据安全逻辑示意
2.3 控制审计
通过误控防范下达的操作控制指令,需进行授权、校验多级认证,为保证网络信息安全,防止授权码泄露,每进行控制审计,均需进行控制授权码校验,校验成功后,申请新的控制授权码,供下一步控制审计,逐级认证成功后,方可将指令下发至目标控制对象;若认证失败,禁止控制指令下发,并将控制指令销毁,具体控制审计时序示意如图4所示。
(1)控制操作接口控制审计。通过误控防范下发的操作控制指令发送至控制操作接口程序,控制操作接口程序接收到该指令后,向控制审计模块申请控制授权码,进行授权码注册,控制审计返回授权码,控制操作接口程序将控制指令及授权码发送至消息总线。
(2)消息总线控制审计。对于功率调节等无需经过计算引擎的控制指令,消息总线将接收到的控制指令及授权码,向控制审计模块提交校验申请,校验通过后,重新向控制审计模块申请新的授权码,并将授权码及控制指令发送至驱动程序。
(3)计算引擎控制审计。对于功率调节等经过计算引擎的控制调节指令,消息总线将收到的控制指令及校验码发送至数据总线,由计算引擎对控制调节指令进行计算,向控制审计模块提交校验申请,校验通过后,重新向控制审计模块申请新的授权码,并将授权码及控制指令发送至消息总线,由消息总线发送至驱动程序。
图4 控制审计时序
(4)驱动程序控制审计。驱动程序在接收消息总线发来控制指令及授权码后,向控制审计模块申请授权码校验,校验成功后,将控制令下发至控制设备。
3 监控系统控制安全策略应用
通过上述控制安全策略分析与研究,将其应用于水电计算机监控系统中,有效避免非专业人员误操作、误入操作画面、误控运行设备、选错机组、选错设备、误调负荷等误操作范围,大大提高电厂运行的安全性可靠性。
通过设置用户角色,禁止非专业人员操作。非专业人士操作时,提示操作权限不够(见图5),此外用户管理可设置用户监控的设备或厂站,达到优化资源分配,提高工作效率,节约生产成本。
图5 控制权限闭锁
对于具备控制操作点的画面,设置打开前确认,提示工作人员是否打开该画面,选择确认可进入该控制操作画面,否则保持在当前画面,防止误入操作画面(见图6)。
图6 控制画面提示框
设置控制条件和控制分组,控制条件满足时允许下发控制令,否则禁止下发,对机组等控制对象进行正常和紧急分组操作,避免误控运行设备(见图7)。
图7 控制条件与控制分组
对于操作、控制、调节等设备,对每个控制点设置操作校验码,校验码设置格式一般采用厂站名和机组号(如1号机组,设定校验码为lcu1f),当校验码正确无误时允许操作,否则禁止操作,避免选错厂站、选错机组、选错设备(见图8)。
图8 控制校验
对于机组有功、无功等遥调操作,每个遥调点设置调节限值,超过调节限值时,弹出2次确认窗口,若新调节设值与实发值或上次设值超过限值时,提示设置非法,避免误调负荷(见图9)。
图9 遥调限值
4 结 论
对水电站计算机监控系统误控防范、数据安全、控制审计等控制安全策略的研究与应用,从根本解决了由非专业人员误操作、误入操作画面、误控运行设备、选错机组、选错设备、误调负荷等误操作及网络安全方面引起的不安全控制问题,提高电厂运行的安全生产水平,减少事故发生,保障人身和设备安全,为电力系统安全生产工作作出了有力的保障。
