智能变电站IEC61588时间同步系统与安全评估

摘要：通过介绍智能变电站对时间同步需求和网络时间协议的技术特点、工作原理和组网方式，分析了目前网络时间同步系统在智能变电站应用中的优势与不足。对于IEC61588网络时间同步系统在系统管理、产品设计和网络结构上存在的安全隐患，提出了一种基于智能变电站网络流量仿真技术的安全测评方法，并利用该方法进行了测评实例分析，保证了IEC61588时间同步系统智能变电站的安全可靠运行。

0引言

目前，随着中国智能电网的快速推进，传统变电站正逐步向基于IEC61850标准的智能变电站方向发展，基于网络的时间同步系统在智能变电站有了广阔的应用空间。简单网络时间协议(SNTP)在变电站站控层得到广泛应用，基于IEC61588的精确时间协议(PTP)也在智能变电站过程层得到应用。目前，已投运的应用IEC61588技术的智能变电站主要有苏州500kV玉山智能变电站、延安330kV智能化改造变电站、河南淇县220kV智能变电站、无锡220kV西径智能变电站和天津110kV 和畅路变电站。

智能变电站应用IEC61588技术的优点主要有：①能够提供高精度的对时性能，对时精度小于1μs且能够满足合并单元、保护装置、智能终端设备、同步相量测量装置(PMU)及行波测距装置、雷电波定位装置等对时间精度的需求;②IEC61588技术是基于以太网技术发展而来的，与智能变电站网络结构完全吻合，利用现有网络就可以实现时间同步对时功能，不需要单独布线，从而优化了变电站网络结构;③智能变电站采用IEC61588技术，在系统中只需要保留2台主时钟，减少了扩展装置的投入，从而减少了系统中运行设备的数量，降低了设备成本;④全站采用网络时间同步技术，使时间同步系统建模更加方便，有利于变电站二次系统的集中监控和管理。

虽然IEC61588技术在智能变电站应用方面有很多优点，但现阶段仍然存在很多需要解决的问题：①IEC61588技术在智能变电站应用的案例不多，经验少、产品不成熟、系统运行稳定性差，存在时间抖动大、抗网络风暴能力差及长时间对时失效的现象;②由于IEC61588特殊的工作原理，需要在系统研制过程中采取足够的安全防护措施，降低设备被恶意攻击的可能性，而这种安全防护在现有系统设计中均没有得到足够重视，使得产品设计存在严重缺陷，系统运行存在安全隐患;③应用经验较少，系统设计不合理，虽然已有一些试点智能变电站，但系统内深入了解该技术的人员非常少，存在系统设计缺陷(如缺少备用主时钟、间隔层缺少守时系统等);④支持IEC61588技术的成熟产品不多，造成变电站二次系统总体造价过高，阻碍了该技术在智能变电站中的应用，但随着技术的成熟和市场的有序竞争，该问题将逐步得到解决。

本文结合工程经验和实验室测试数据，对IEC61588PTP[1]在智能变电站应用中存在的安全问题和安全防护措施进行了探讨，并提出了一种基于变电站网络流量仿真的测试方法，用以评估系统安全性。

1IEC61588PTP

IEC61588标准主要为满足测量仪器和工业控制所需要的测量准确度而产生，在2008年形成了IEEE1588V2，并很快被国际电工委员会(IEC)和国家标准采用，形成IEC61588—2009 和GB/T25931—2010标准。

IEC61588标准中定义了10种类型报文，其中4种为事件报文，用于产生和通信中同步普通时钟(OC)和边界时钟(BC)的时间信息，其在发送和接收时产生精确时间戳;6种为普通报文，用于测量2个时钟之间的链路延时和信息管理。10种报文均需要由CPU 进行处理，并占用CPU 资源，安全防护考虑不全面，将为系统运行带来隐患。

IEC61588协议本身支持源地址可信性认证、信息完整性识别和回放攻击保护机制，已对安全防护进行了充分考虑。IEC61588协议的安全性通过以下2种安全机制加以实现。

1)回放保护机制：该机制通过使用信息认证码来确认接收到的信息是由验证源发出，在传输途中未经修改，并且是即时的(即不是某个信息的回放)。回放保护通过使用计数器来实施。

2)挑战—响应机制：该机制用来确认新信息源的可靠性和真实性，并对经验证的数据关联性进行实时更新。

2智能变电站PTP系统

2.1PTP时间同步原理

PTP技术主要应用于智能变电站过程层，同步模式目前选用二步法、IEEE802.3/Ethernet模式、点到点(P2P)模式。图1为简化智能变电站PTP时间同步模型。该模型主要由Sync，Follow_Up，Announce，Pdelay_Req，Pdelay_Resp 和Pdelay_Resp_Follow_Up共6种报文组成，这也是目前已经投运智能变电站采用最多的同步模型。

式中：t1为发送时间;t4为接收时间;tD为路径延迟时间;tC为驻留时间。

2.2故障现象

虽然IEC61588在智能变电站中已有一些应用，但系统运行状况并不乐观，目前已投运设备的故障现象主要集中在以下几点。

1)协议理解不统一

系统调试过程中，经常会发现厂家设备不支持IEEE802.3/Ethernet模式、P2P模式或透明时钟(TC)模式，而此系统设计并没有提出明确要求;在最佳主时钟(BMC)算法中，对Announce报文的处理理解不统一，静默主时钟是否需要发送Announce报文没有规定;交换机是否需要发送链路延时请求报文，从时钟是否需要响应交换机发送的链路延时请求等均没有明确规定。

2)设计不合理

由于对IEC61588理解不足，系统设计时在每个独立的物理网络只设计了一个主时钟，不能实现主备互用，降低了系统的可靠性。

3)系统稳定性差

抗网络流量影响能力差，每隔一段时间系统就会发现对时异常信息，甚至发现长时间对时失效。

附录A 图A1 是某智能变电站投运后，IEC61588时钟在过程层正常运行与故障运行的信息状况。可以看出，交换机驻留时间计算出现严重错误，修正域值达到了亿秒并溢出为负值，该现象的长时间出现将导致保护装置闭锁。

3智能变电站IEC61588系统风险分析

3.1管理制度安全分析

国内绝大多数电力生产运行人员和设计人员没有接触过IEC61588技术，行业内缺少相应的技术标准和设计规范加以指导，已投运系统仍有不同程度的缺陷，尚未形成典型设计方案，加之IEC61588技术可选参数非常多，不同厂家可能采用不同参数配置，为系统联调带来很多困难。在IEC61850标准中，未定义时间同步模型，所以目前时间同步系统还不能在监控后台上进行管理和监控。这些都为基于IEC61588 技术的时间同步系统管理带来了困难。

目前正在起草的电力行业标准《电力系统网络精确时间同步技术规范》，将在很大程度上对智能变电站PTP时间同步系统参数选择、网络配置、系统建模进行了约束，明确系统应用，解决系统联调带来的问题。

3.2设备安全分析

IEC61588技术对设备硬件处理能力有较高的要求，它不仅需要设备识别PTP报文，并且将识别的PTP报文打上时间戳，之后CPU 还要对报文进行处理，以获得准确的时间准确度。下面以boardcom交换芯片为例，介绍PTP 报文的处理过程。

图2是交换机发送时间戳报文的处理流程。首先交换机CPU生成Sync报文，并将它发送给交换芯片，交换芯片识别到Sync报文并优先发送给介质访问控制层(MAC)，在MAC出口打上报文发送时间戳，并将发送时刻信息返回给CPU，CPU 中断，读取时间戳信息并插入到Follow_Up报文中再发送出去。

图2发送时间戳报文的处理流程

图3是交换机接收时间戳报文的处理流程。MAC接收到事件报文并打上时间戳，分析器从大量报文中解析PTP同步报文，并将同步报文优先发送给CPU，CPU根据接收到的Sync报文和Follow_Up报文，计算本地时钟。

图3接收时间戳报文的处理流程

可以看出，在IEC61588技术中，CPU 和MAC起到了非常关键的作用，它们承担了PTP协议报文生成、时间戳记录、时间计算的作用，而在整个处理过程中，其恰恰又是硬件处理的瓶颈，也是系统脆弱性所在。如果系统考虑不完善，会同时发生异常现象，频率过快、sequenceId的不连续、恶意的协议攻击或者网络风暴等现象都将导致设备失效，甚至系统瘫痪。PTP系统在网络负载为30Mbit/s情况下的对时精度测试结果见附录A图A2。

3.3网络安全分析

智能变电站网络结构模型如图4所示。

PTP技术可以应用于过程层采样值(SV)网络和面向通用对象的变电站事件(GOOSE)网络，而目前智能变电站应用IEC61588技术存在的安全隐患主要有以下几种。

1)网络隔离不充分

目前，变电站内部的网络安全通常采用虚拟局域网(VLAN)技术进行安全隔离，这种方法能够在很大程度上对网络中的安全隐患进行防护。然而，由于IEC61588报文是一种可以跨越VLAN 的报文，所以VLAN对于IEC61588协议的攻击起不到防护作用。网络中的任何装置，只要不进行物理隔离，均能够对网络中的其他装置进行攻击，以占用被攻击目标的CPU资源，导致装置瘫痪、时钟紊乱或者死机。

2)伪造身份

由于共用网络，而VLAN对于IEC61588协议起不到隔离作用，变电站中任何一个设备只要具备主时钟功能，均可以伪造身份，以更高的优先级角色扮演主时钟，使真正的主时钟处于静默状态，代替主时钟工作，以达到破坏系统稳定的目的。

3)网络结构设计不合理

图5是目前大多数智能变电站PTP系统采用的组网方式，该方式所有交换机工作于TC模式，保护装置、合并单元、主时钟等二次设备工作于OC模式下。该组网方式的弱点在于对主时钟依赖程度过高，各间隔无单独扩展时钟源，无法达到守时能力。

图6、图7是本文提出的2种PTP系统组网方案。图6采用传统对时方案，在总控室至间隔层采用B码时钟方式，间隔内部采用PTP对时协议。图7采用全网PTP对时方案，与主时钟连接的交换机采用BC模式，同时要求交换机具有守时功能。2种方案均可以达到简化网络设计的目的，同时实现主控室和间隔层时间同步系统守时功能。

4一种基于网络仿真技术的测评方法

4.1测评指标体系建立

评价智能变电站PTP时钟系统有效性，建立测评指标非常重要，指标体系的建立主要从以下几个方面加以考虑。

1)PTP工作原理：协议一致性、BMC算法正确性、错误报文挑战和报文回放处理正确性。

2)智能变电站应用需求：对时精度小于1μs、守时精度小于1μs/h、时间抖动小于200ns。

3)网络对PTP影响：帧丢失、帧乱序、帧复制、网络风暴等均不应对时间精度产生影响。

4.2测评模型

为解决目前智能变电站PTP时钟系统应用稳定性问题，国网电力科学研究院实验验证中心研究了一种采用分层控制技术进行模块化结构设计的仿真系统，用于对智能变电站PTP时钟系统进行评估。图8为基于网络仿真技术的测试评估模型。

图8测试评估模型

该测试评估模型根据PTP时间同步原理制定了基本测试项，主要分为正向(肯定)测试与反向(否定)测试：正向测试重点对时间准确度、协议符合性、BMC算法、链路延时的计算能力以及网络风暴影响进行测评;反向测试重点对帧乱序、帧复制、错误报文挑战以及网络数据回放等网络异常和恶意攻击事件进行测评。

4.3合格判定

合格的判断依据是满足IEC61588标准要求和智能变电站应用需求，具体体现在以下几个方面。

1)协议和BMC算法正确，能够正常对时并进行报文交互，在网络正常情况下，不产生失效等报警信息。

2)时间精度小于1μs，并在各种网络影响条件下不产生较大抖动，具有很好的稳定性。

3)随着时间精度的劣化，能够正确输出时间质量标识信息。

4)在遭遇到恶意攻击的情况下，能够正确输出时间信息。

4.4测评实例

表1和表2是某智能变电站投运前利用上述测评模型进行整改前后的评估数据，该智能变电站目前运行正常。

该测试评估模型可以真实地模拟智能变电站的实际网络环境，能够满足智能变电站时间敏感性和信息安全测试需求，大大提高了智能变电站PTP时间同步系统查找分析问题的能力，更有利于智能变电站网络优化设计实施和PTP时间同步系统在电力系统中的应用。

表1整改前测评数据

5结语

IEC61588技术在电力系统中的应用才刚刚起步，虽然已经在少数变电站试点应用，但系统运行还不稳定，相关产品还存在缺陷，其安全问题也没有得到足够认识。

IEC61588要在智能变电站得到应用，必须解决安全问题和产品质量缺陷，并经过严格测试，否则安全隐患难以消除。本文提出基于网路仿真系统的试验方法，能够有效解决IEC61588产品测试的需求，能够对IEC61588产品性能、功能和安全性进行全面考核。随着技术的进步和产品质量的完善，IEC61588技术能够在电力行业得到广泛应用。

参考文献

[1]IEC61588—2009Precisionclocksynchronizationprotocolfornetworkedmeasurementandcontrolsystems[S].2009.

[2]胡永春，张雪松，许伟国，等.IEEE1588时钟同步系统误差分析及其检测方法[J].电力系统自动化，2010，34(21)：107-111.HUYongchun，ZHANGXuesong，XUWeiguo，etal.ErroranalysisanddetectionmethodforIEEE1588 clocksynchronizationsystem [J].AutomationofElectricPowerSystems，2010，34(21)：107-111.

[3]于鹏飞，喻强，邓辉，等.IEEE1588精确时间同步协议的应用方案[J].电力系统自动化，2009，33(13)：99-103.YUPengfei，YUQiang，DENGHui，etal.TheresearchofprecisiontimeprotocolIEEE1588[J].AutomationofElectricPowerSystems，2009，33(13)：99-103.

更多好文：21ic智能电网