智能变电站IEC61588时间同步系统与安全评估

作者：时间：2012-08-30来源：网络收藏

摘要：通过介绍智能变电站对时间同步需求和网络时间协议的技术特点、工作原理和组网方式，分析了目前网络时间同步系统在智能变电站应用中的优势与不足。对于IEC61588网络时间同步系统在系统管理、产品设计和网络结构上存在的安全隐患，提出了一种基于智能变电站网络流量仿真技术的安全测评方法，并利用该方法进行了测评实例分析，保证了IEC61588时间同步系统智能变电站的安全可靠运行。

本文引用地址：http://www.eepw.com.cn/article/201088.htm

0引言

目前，随着中国智能电网的快速推进，传统变电站正逐步向基于IEC61850标准的智能变电站方向发展，基于网络的时间同步系统在智能变电站有了广阔的应用空间。简单网络时间协议(SNTP)在变电站站控层得到广泛应用，基于IEC61588的精确时间协议(PTP)也在智能变电站过程层得到应用。目前，已投运的应用IEC61588技术的智能变电站主要有苏州500kV玉山智能变电站、延安330kV智能化改造变电站、河南淇县220kV智能变电站、无锡220kV西径智能变电站和天津110kV 和畅路变电站。

智能变电站应用IEC61588技术的优点主要有：①能够提供高精度的对时性能，对时精度小于1μs且能够满足合并单元、保护装置、智能终端设备、同步相量测量装置(PMU)及行波测距装置、雷电波定位装置等对时间精度的需求;②IEC61588技术是基于以太网技术发展而来的，与智能变电站网络结构完全吻合，利用现有网络就可以实现时间同步对时功能，不需要单独布线，从而优化了变电站网络结构;③智能变电站采用IEC61588技术，在系统中只需要保留2台主时钟，减少了扩展装置的投入，从而减少了系统中运行设备的数量，降低了设备成本;④全站采用网络时间同步技术，使时间同步系统建模更加方便，有利于变电站二次系统的集中监控和管理。

虽然IEC61588技术在智能变电站应用方面有很多优点，但现阶段仍然存在很多需要解决的问题：①IEC61588技术在智能变电站应用的案例不多，经验少、产品不成熟、系统运行稳定性差，存在时间抖动大、抗网络风暴能力差及长时间对时失效的现象;②由于IEC61588特殊的工作原理，需要在系统研制过程中采取足够的安全防护措施，降低设备被恶意攻击的可能性，而这种安全防护在现有系统设计中均没有得到足够重视，使得产品设计存在严重缺陷，系统运行存在安全隐患;③应用经验较少，系统设计不合理，虽然已有一些试点智能变电站，但系统内深入了解该技术的人员非常少，存在系统设计缺陷(如缺少备用主时钟、间隔层缺少守时系统等);④支持IEC61588技术的成熟产品不多，造成变电站二次系统总体造价过高，阻碍了该技术在智能变电站中的应用，但随着技术的成熟和市场的有序竞争，该问题将逐步得到解决。

本文结合工程经验和实验室测试数据，对IEC61588PTP[1]在智能变电站应用中存在的安全问题和安全防护措施进行了探讨，并提出了一种基于变电站网络流量仿真的测试方法，用以评估系统安全性。

1IEC61588PTP

IEC61588标准主要为满足测量仪器和工业控制所需要的测量准确度而产生，在2008年形成了IEEE1588V2，并很快被国际电工委员会(IEC)和国家标准采用，形成IEC61588—2009 和GB/T25931—2010标准。

IEC61588标准中定义了10种类型报文，其中4种为事件报文，用于产生和通信中同步普通时钟(OC)和边界时钟(BC)的时间信息，其在发送和接收时产生精确时间戳;6种为普通报文，用于测量2个时钟之间的链路延时和信息管理。10种报文均需要由CPU 进行处理，并占用CPU 资源，安全防护考虑不全面，将为系统运行带来隐患。

IEC61588协议本身支持源地址可信性认证、信息完整性识别和回放攻击保护机制，已对安全防护进行了充分考虑。IEC61588协议的安全性通过以下2种安全机制加以实现。

1)回放保护机制：该机制通过使用信息认证码来确认接收到的信息是由验证源发出，在传输途中未经修改，并且是即时的(即不是某个信息的回放)。回放保护通过使用计数器来实施。

2)挑战—响应机制：该机制用来确认新信息源的可靠性和真实性，并对经验证的数据关联性进行实时更新。

2智能变电站PTP系统

2.1PTP时间同步原理

PTP技术主要应用于智能变电站过程层，同步模式目前选用二步法、IEEE802.3/Ethernet模式、点到点(P2P)模式。图1为简化智能变电站PTP时间同步模型。该模型主要由Sync，Follow_Up，Announce，Pdelay_Req，Pdelay_Resp 和Pdelay_Resp_Follow_Up共6种报文组成，这也是目前已经投运智能变电站采用最多的同步模型。

式中：t1为发送时间;t4为接收时间;tD为路径延迟时间;tC为驻留时间。

2.2故障现象

虽然IEC61588在智能变电站中已有一些应用，但系统运行状况并不乐观，目前已投运设备的故障现象主要集中在以下几点。

1)协议理解不统一

系统调试过程中，经常会发现厂家设备不支持IEEE802.3/Ethernet模式、P2P模式或透明时钟(TC)模式，而此系统设计并没有提出明确要求;在最佳主时钟(BMC)算法中，对Announce报文的处理理解不统一，静默主时钟是否需要发送Announce报文没有规定;交换机是否需要发送链路延时请求报文，从时钟是否需要响应交换机发送的链路延时请求等均没有明确规定。

2)设计不合理

由于对IEC61588理解不足，系统设计时在每个独立的物理网络只设计了一个主时钟，不能实现主备互用，降低了系统的可靠性。

3)系统稳定性差

抗网络流量影响能力差，每隔一段时间系统就会发现对时异常信息，甚至发现长时间对时失效。

附录A 图A1 是某智能变电站投运后，IEC61588时钟在过程层正常运行与故障运行的信息状况。可以看出，交换机驻留时间计算出现严重错误，修正域值达到了亿秒并溢出为负值，该现象的长时间出现将导致保护装置闭锁。

3智能变电站IEC61588系统风险分析