智能变电站作业现场安全风险管控技术

冯俊杰，周 鑫，李沛奇

（国网山西省电力公司检修分公司，山西太原 030026）

0 引言

随着供电规模的不断增长，对电力的安全也提出了更高的要求。智能变电站作为一种新型的变电设备，目前还存在着较多的问题，影响着人们的使用需要。因此，需要对于其问题进行研究。智能变电站是智能电网不可缺少的组成部分，其主要任务是负责电网在运行过程中数据的采集和相关指令的执行。智能变电站的核心问题是系统的安全问题，只有保证智能变电站通信系统及数据传输的安全，才能保证智能变电站以及整个电网的均衡安全运行。因此，针对目前智能变电站的特点以及存在的安全风险问题，对智能变电站系统进行相关研究，以期能够提高智能变电站的安全技术性能[1]。

1 智能变电站研究现状

1.1 智能变电站国内外研究现状

目前，国内外的智能变电站系统大多采用了IEC61850规模统一进行相应的建设，采用这种方法进行建设的过程中，能够将智能变电站的系统从工作站到变电站依次分为控制层、间隔层以及过程层3个层面。控制层主要采用MS协议对间隔层实现相应数据的统一管理与控制；间隔层和过程层在以太网上进行直接交流，而过程层也普遍采用以太网的交换技术进行相应的合并，来进行设备的智能化处理，自动完成信息的采集测量控制[2]。

1.2 智能变电站的问题分析

由于IEC61850本身存在着诸多不足，目前对智能变电站安全防护的研究重点主要集中在其管理层面上，没有对其技术方面的安全防护进行深入的研究。目前，国内还没有对智能变电站安全防护的手段和工具进行相应的研究，对于安全经济的防护仅仅体现在其管理制度上。

对于智能变电站进行分析，不难发现以下问题。一是变电站的主机和交换机容易缺乏相应的技术手段与管理措施，外来入侵设备在进入站内时没有进行相应的安全检查，因此容易将病毒木马等不良代码带入变电站内。二是变电站的维护目前属于没有秩序的状态，缺乏一定的操作维护，对于设备的管理控制手段也不够完善。三是智能变电站监督控制的后台以及信息一体化平台的实时监测体系等缺乏有效的安全措施。四是智能变电站内部的工作人员缺乏一定的专业能力，对于站内出现的一些计算机网络故障无法进行及时处理，需要系统人员进行调试，这会增加其管理控制的难度。

1.3 智能变电站安全运行的总体要求

针对目前智能变电站在运行过程中面临的诸多问题，以及国家电力行业对于智能变电站安全防护方面的要求，应构建统一的防护体系，包括安全管理平台、维护操作平台以及数据准入平台等，通过采取相应的措施，减少违规误操作，提高其安全防护的质量。

2 智能变电站系统架构及安全风险分析

2.1 智能变电站系统架构

智能变电站系统从整体上可以分为站控层、间隔层和过程层3部分，如图1所示。其中，站控层主要包括站内的监控系统、防御系统、运动系统以及检测系统，主要功能是通过间隔层来对变电站的整体运行情况进行全方位的控制，以此来进行相应的信息收集、处理计算与分析，从而与其他调度中心进行相应的联系。间隔层一般是指继电保护装置，其设备主要包括测控装置、录播装置、备用电源等。间隔层作为智能变电站的重要组成部分，其主要功能是对系统实行一定的保护，及时进行信息的汇总以及对其各种不良操作进行一定的把控。过程层主要完成对变电站电气实时数量进行一定的播报，以及对于运行设备变化中的各种参数进行记录等[3]。

图1 智能变电站系统架构图

2.2 智能变电站安全风险分析

智能变电站通信系统及其传输的安全防护，是保证智能变电站系统安全可靠运行的关键。目前，智能变电站所采用的IP协议存在很大的漏洞。一是其传输业务在表面进行，因此一些远控监测信息很容易被截获或者篡改。二是由于缺乏一定的认证机制，使得一些对变电站系统的非法访问可能会发出虚假指定造成一定的损失。

目前，智能变电站的不足主要包括以下几方面。一是截获，一些非法人员通过采用非法的技术手段对变电站系统内部下发的通知进行一定的截获。二是中断，切断智能变电站与其他电力系统之间的联系，干扰变电站的实际指令运行，导致主站无法了解变电站工作的实际情况，指令也无法得到正确的执行。三是篡改，对于智能变电站的保护装置，以及控制装置和其他自动装置的相关信息进行一定的篡改影响其运行。四是权限提升的威胁，一些非法用户利用智能变电站缺乏身份认证的漏洞，在变电站上非法进行相关指令的发布，导致智能变电站内部系统发生瘫痪，进而引起连锁反应，造成巨大的损失[4]。

3 智能变电站系统安全防护方案的设计

智能变电站对于安全性有非常高的要求，尤其是在数据采集处理、传输、分析、管理过程中涉及整个智能变电站系统乃至整个电网系统的安全。从传统的安全防护方案上分析，主要包括安全分析、部署防火墙以及入侵过程中的检测等措施。但随着智能变电站建设的不断推进，内部结构的不断复杂，仅仅依靠这些基本的防护措施已不能满足目前智能变电站系统安全防护的实际运行要求。在这种情况下，为了防止非法人员侵入变电站内部，影响变电站整体系统的安全或者网络的安全，需要在传统安全防护的基础上，加强对逾期系统的访问控制、通信数据的加密以及平台管理3个方面来进行相应的维护[5]。

3.1 访问控制

访问控制指的是避免变电站内部的各种资源被一些外来的具有一定风险性的系统或者是没有经过授权的用户使用。随着科技的不断发展，人们对安全重视程度的不断提高，所有的变电站运行几乎都在采用各种策略来实现其节点的安全交互，保证变电站系统安全、有效、平稳地运行。在此基础上，本文主要分析一种信任管理的访问控制模型，其将变电站的安全考虑在内，同时结合相应的管理技术，对访问控制的方案进行随时动态调整，以此防止非法人员威胁变电站内部的平稳运行以及防止一些网络欺诈的行为。具体步骤如下[6]。

第一步，在用户登录页面设置要求用户提交的用户名、密码等基本信息。

第二步，智能变电站的通信层面将相关信息审核后，发给相关审核部门，审核部门通过数据库中相应的用户资料进行一定的审核，如果信息资料符合相应的要求，那么就返回相应的列表，否则返回错误信息。以此来进行基本的审核判断。

第三步，假设其审核通过，智能变电站内部系统的访问控制模型采用一些验证码，如加法减法等各种方式来对用户的系统密码进行相应的身份合法性检测。

第四步，在身份核验通过后，向用户信息存储模块提交相应的请求，进行相应的用户信息返回。

第五步，通过访问控制模块，将用户的信息以及用户提交的相应的安全情况转发给存储模块，由相应的信息模块来对用户的信任度进行一定的评估，判断用户登录系统的信任度是否满足变电站内部规定的要求。如果满足，返回相应的访问控制模块，否则无法返回。

第六步，在进入访问控制模块之后，根据用户的信息来进行响应，并根据用户的需求返回相应的资源，据此用户对智能变电站系统进行相应的操作[7]。

3.2 数据加密

在智能变电站系统中，很多通信数据的敏感程度较高，大部分智能变电站采用明文的形式进行一定的阐述，但采用这种形式会给变电站的安全带来很大的风险。因此，我们采用加密传输机制，以此保留原始数据的完整性、准确性和机密性。本文所说的加密传输机制，是所有的电脑终端和主站不保留密钥，也没有固定的密钥。为了便于整个系统的管理，我们采用集中式的密钥管理方法，将密钥分配到各个密钥中心，由密钥中心进行相应密钥的分配和最后数据的销毁。而主站根据智能变电站的实际运行以及安全情况，每隔一段时间向密钥中心请求分发密钥。由密钥生成器生成完全不同的随机密钥，通过相应的安全通道送达终端，以此来进行相应的加密通信设置。

在智能变电站系统中，采用用户数据报协议UDP（user datagram protocol）进行通信，只需在其主站端和终端加入加密模块和解密模块，就能实现加密传输机制的设定。这里所说的数据加密指的是在主站端和终端已经相互连接成功的基础上，进行相应数据的设置。加密传输过程如下[8]。

一是随机密钥的生成。指的是已通过由主站发生的请求之外，还要将密钥进行随机排列，以此选出一个随机密钥，发送到主站，主站根据其随机定时的参数，再生成一个随机密钥，加到终端，以此降低密钥分发时间的延长。

二是随机用钥的方法。指的是随机密钥采用密钥进行相应的加密，加密的同时加上相应的提示，以此降低密钥在被截获以及中途被篡改的风险，使密钥保持一定的安全性和系统的完整性。

三是密钥的检查。在其尾端收到主站发送来的请求和相应的提示语之后，将前密钥的完整性进行一定的检查，如果检查出现差错，就要马上对密钥进行丢弃，防止侵入数据内部系统进而威胁系统安全性，假设数据完整无误，就说明密钥非常有效，那么就开始使用密钥。

四是加密传输。在通信双方确认使用哪个密钥后，使用密钥来进行上述数据的加密传输。在进行数据加密传输的过程中，采用大量的算法对于各种用户的数据进行加密，避免产生相应的风险。除此之外，还要将一些不对称的加密算法用于通信双方的认证和传输，对密钥和数据量比较小，并且安全性比较高的数据进行一定的加密，以此避免传输过程中出现各种问题，提高其安全性[9-10]。

3.3 管理平台措施

3.3.1 管理目标

为了实现智能变电站安全防护的目标，企业管理方面的措施也必可少。管理措施的目标是要保证信息系统能够被正常使用，在新系统出现异常情况和缺陷时，能够及时发现，并对出现的问题进行及时处理，以减少不良后果的发生。

3.3.2 管理措施落实

第一，根据智能变电站相关流程，编制管理系统的运行维护制度和管理措施，使这些措施变得更为规范化、制度化、具体化，以此实现对智能电网信息安全防护的精细化管理和全面防护的目标。

第二，在系统的操作界面以及维护界面，设置相应的密码以及管理权限，选派专业、可靠的人员进行相应的管理，严禁出现擅自改动系统设置的错误行为。

第三，对于平台的软件数据库，要定期进行相应的检查以及数据的备份和软件的修改。除此之外，在进行软件升级安装过程中，要及时进行相应的备份，做好相应的记录。

第四，编写不同系统的操作步骤，在出现异常时及时进行处理。具体步骤包括对平台的检查试验、定期巡视以及系统出现问题时采取何种方法进行处理等。

第五，制定管理措施，如专业培训技术资料的管理以及平台的运行等[11]。

3.4 考核评价措施

3.4.1 检查考核

管理系统是保障智能变电站平台安全的非常重要的措施，通过相应的检查以及定期考核，能够保证管理措施科学有效地执行。智能变电站的安全检查不仅要纳入公司的安全检查和技术监督范围，还要纳入自我评价体系。智能变电站的安全检查要作为春季秋季安全检查的重点，要检查管理制度的落实情况，要设置一定的绩效考核目标，以此保证规章制度的落实到位。

3.4.2 分析评估

对于智能变电站安全防护系统存在的不足，在制度方面一定要进行完善，从不同角度对其系统进行评估与分析，发现系统运行过程中出现的缺陷和安全风险问题，并提出需要整改的内容，及时完善信息系统及其变电站平台的建设。

4 智能变电站安全防护的实际应用

我们对智能变电站继电保护在线防误技术进行深入的分析，分析其允许式防误、主动式防误保护系统，并将其应用于某220 kV变电站中。

在线防误工作流程如下：第一，规则库由后台监控系统构建。监控系统首先设计不同状态的规则程序，然后导入相应的模板模型，通过运行状态的不同将模板运用到实际例子过程中。第二，根据大数据进行不同模板的状态运算，判断其系统运行是否完好。第三，允许式防误模块收到装置状态变化后，开始根据状态规则进行计算。在装置模型中，增加了压板（主要指GOOSE发送/接收压板、功能压板、SV接收压板）闭锁状态标志。在进行压板有相关操作时，根据系统的状态来判断其运行的位置与顺序。如装置和一次设备处于运行态，此时在装置上执行退出保护功能压板，装置返回操作闭锁，原因是当前处于运行态，退出该压板后，装置变为未知态，操作被闭锁。如果执行退出GOOSE压板，则操作成功，装置切换为信号态。第四，主动式防误模块在收到运行状态不稳定的信号后，对于运行的情况进行分析，如果满足逻辑条件，则投退固定的软压板。

目前此方案已经在河南省某220 kV变电站实际应用。此方案有防误判断功能，可以根据系统的实际情况来判断，并且在线路检查维修期间，如果误投或者漏投SV接收软压板，可以触动其防误机制，弹出防误报告，由维修人员检查出现问题的原因。找出出错原因后，在第二次实践时，按照相应的状态来执行。如果没有按照预先的安排进行，及时弹出警示标志，有利于变电站在各种运转过程中保持一定的安全性，具有一定的可推广性[12-13]。

5 结束语

智能变电站的安全防护是电力系统工作中的重点，为解决变电站蕴含的安全隐患问题，相关部门及工作人员要不断加强研究，探索保障智能变电站的安全运行体系，促进我国电力系统的长远稳定发展[14]。