某火電廠機組AGC負荷指令異常歸零異常分析及網(wǎng)絡(luò)安全風險防范

佛山恒益熱電有限公司 王 超

1 引言

自動發(fā)電控制（Automatic Generation Control）系統(tǒng)是并網(wǎng)發(fā)電廠提供重要的有償輔助服務(wù)之一，發(fā)電機組在規(guī)定的出力調(diào)整范圍內(nèi)，跟蹤電力調(diào)度交機構(gòu)下發(fā)的負荷指令，按照一定調(diào)節(jié)速率實時調(diào)整發(fā)電出力，以滿足電力系統(tǒng)頻率和聯(lián)絡(luò)線功率控制要求的服務(wù)。保證發(fā)電出力與負荷平衡，維穩(wěn)系統(tǒng)頻率，在滿足系統(tǒng)安全性約束條件下，對發(fā)電量實行經(jīng)濟調(diào)度控制，進而確保電網(wǎng)及發(fā)電機組的經(jīng)濟、可靠運行。

2 概述

某總裝機容量為2＊600MW火力發(fā)電廠（以下簡稱“某電廠”），通過220kV電壓等級接入電網(wǎng)。目前，兩臺機組均采用單機AGC直調(diào)方式，即調(diào)度端直接下發(fā)單機AGC指令調(diào)控每臺機組及儲能系統(tǒng)負荷。在兩臺機組正常運行期間，多次出現(xiàn)#1機組AGC負荷指令值歸零的異常現(xiàn)象，經(jīng)現(xiàn)場檢查發(fā)現(xiàn)#1發(fā)電機測控裝置報警指示紅燈亮，測控裝置遙信狀態(tài)界面顯示“GPS失步”信號由0→1，“裝置閉鎖”信號由0→1，同時NCS系統(tǒng)監(jiān)控后臺發(fā)“#1發(fā)電機測控裝置GPS失步”“NCS系統(tǒng)#1發(fā)電機測控裝置閉鎖”告警報文。造成#1機組AGC功能自動退出并閉鎖AGC自動調(diào)節(jié)，同時給電廠的穩(wěn)定運行造成了較大威脅。

3 運行情況檢查及分析

3.1 NCS系統(tǒng)結(jié)構(gòu)簡介

某電廠NCS系統(tǒng)使用南京南瑞繼保電氣有限公司RCS-9700系列變電站綜合自動化系統(tǒng)，發(fā)電機測控裝置型號為RCS-9708C，此系列變電站綜合自動化系統(tǒng)采用開放性分層分布式網(wǎng)絡(luò)結(jié)構(gòu)，雙網(wǎng)雙主機冗余配置，系統(tǒng)從整體上分為站控層、網(wǎng)絡(luò)層和間隔層。實現(xiàn)了對整個系統(tǒng)的監(jiān)控功能。

站控層設(shè)備包括遠動RTU主機、操作員工作站、遠程通信設(shè)備、工程師工作站、值長工作站、遠動運維后臺以及公用接口設(shè)備等。

網(wǎng)絡(luò)層采用雙網(wǎng)配置，支持100M高速工業(yè)級以太網(wǎng)。雙網(wǎng)采用雙發(fā)單收，有效保證了網(wǎng)絡(luò)傳輸?shù)膶崟r性和可靠性。

間隔層由計算機網(wǎng)絡(luò)連接若干個測控裝置，完成數(shù)據(jù)采集、就地監(jiān)控、同期及電氣防誤操作閉鎖（五防系統(tǒng)）等功能，即使在站控層及網(wǎng)絡(luò)失效的情況下，仍能完成間隔設(shè)備的就地監(jiān)控功能。

3.2 五防系統(tǒng)簡介

微機五防是一種采用計算機技術(shù)，用于高壓開關(guān)設(shè)備防止電氣誤操作的裝置，其通過網(wǎng)線接入NCS監(jiān)控系統(tǒng)網(wǎng)絡(luò)層交換機實時與NCS系統(tǒng)通信，實現(xiàn)與監(jiān)控系統(tǒng)的遙信互傳及對遙控操作進行閉鎖。

3.3 AGC調(diào)控流程簡述及異常情況的分析

AGC機組負荷目標值由中調(diào)EMS主站下發(fā)至電廠RTU遠動主機（碼值下發(fā)），再經(jīng)發(fā)電機測控裝置完成碼值/模擬量的轉(zhuǎn)化后，通過硬接線方式送至機組DCS系統(tǒng)，實現(xiàn)對機組有功的實時調(diào)節(jié)。五防系統(tǒng)通過網(wǎng)線接入NCS監(jiān)控系統(tǒng)網(wǎng)絡(luò)層交換機與NCS系統(tǒng)進行實時數(shù)據(jù)通信。

針對#1機組AGC負荷目標歸零的異常情況，首先結(jié)合測控裝置的特點及調(diào)度側(cè)下發(fā)的AGC定值單（詳見表1）綜合分析，因有“遠方有功設(shè)值下限”“AGC投入時給定值與實發(fā)值允許偏差”兩項定值的約束，在機組正常運行且AGC功能投入時，調(diào)度側(cè)不可能直接下發(fā)0MW的無效負荷指令值。隨后在NCS系統(tǒng)#1機組測控柜內(nèi)拆除#1機組AGC負荷指令信號接線（送至#1機組DCS系統(tǒng)#1機組有功負荷指令），并使用模擬量信號發(fā)生器對AGC負荷指令（模擬輸出4-20MA遙調(diào)信號）進行收發(fā)測試。

表1 某2＊600MW火電廠AGC定值單

測試結(jié)果：#1機組DCS系統(tǒng)能夠正確接收所施加的有功負荷指令值，NCS系統(tǒng)也可接收到AGC目標返回值，由此判斷測控裝置對DCS系統(tǒng)信道正常。故有極大可能性為測控裝置本身原因造成負荷指令值異常歸零。再進一步分析，只有在裝置電源異?；蚓W(wǎng)絡(luò)流量突發(fā)增大兩種情況才會致使機組測控裝置重啟，測控裝置重啟的瞬間AGC負荷指令值歸零，根據(jù)現(xiàn)場設(shè)備的運行情況，現(xiàn)場無開關(guān)跳閘，直流系統(tǒng)也無相關(guān)失電的故障及報警記錄，再對測控裝置電源的供電電壓及裝置電源板工作狀況進行進一步檢查未見異常，由此綜合判斷因電源部異常導(dǎo)致負荷指令值歸零的可能性極小，故需重點對網(wǎng)絡(luò)流量及通信鏈路進行排查。

3.4 數(shù)據(jù)流量檢查

3.4.1 scada服務(wù)器工作站ARP綁定情況檢查

某電廠NCS系統(tǒng)現(xiàn)共配置三臺scada服務(wù)器工作站及一臺運維后臺，sacada服務(wù)器使用Solaris系統(tǒng)，現(xiàn)場檢查scada1服務(wù)器ARP數(shù)據(jù)定時綁定情況良好，所有198.120/121.XX網(wǎng)段業(yè)務(wù)IP未出現(xiàn)松綁情況，而scada2、scada3服務(wù)器均未開啟數(shù)據(jù)定時綁定功能，隨即現(xiàn)場對兩臺服務(wù)器進行數(shù)據(jù)綁定設(shè)置操作（將數(shù)據(jù)綁定指令執(zhí)行文件“arp_mac.sh”，放置在/deployment/bin文件夾下，再將此sh文件賦予可執(zhí)行權(quán)限），重啟服務(wù)器后，通過手動解綁單一業(yè)務(wù)IP的方式來驗證scada1、scada2、scada3三臺服務(wù)器每5min執(zhí)行一次arp自動定時綁定任務(wù)功能執(zhí)行正確，最后輸入“arp-a”指令查詢系統(tǒng)中緩存的“arp表”指令，再次確認所有業(yè)務(wù)IP地址數(shù)據(jù)綁定成功，首先保證各測控裝置與scada服務(wù)器之間數(shù)據(jù)傳輸流量的穩(wěn)定正常，不會造成因服務(wù)器承載的數(shù)據(jù)流量大導(dǎo)致系統(tǒng)異常運行的情況。

3.4.2 數(shù)據(jù)網(wǎng)絡(luò)流量情況檢查

在確定scada服務(wù)器ARP綁定功能正常后，使用遠動運維后臺電腦內(nèi)抓包軟件對NCS監(jiān)控系統(tǒng)進行數(shù)據(jù)報文抓包，經(jīng)過一段時間的數(shù)據(jù)流量及報文監(jiān)測發(fā)現(xiàn)五防主機存在對NCS系統(tǒng)內(nèi)所有業(yè)務(wù)IP進行廣播的非法行為，且五防后臺主機也在不間斷地對NCS通信，所以導(dǎo)致了NCS系統(tǒng)網(wǎng)絡(luò)中產(chǎn)生大量arp異常報文，覆蓋范圍大且流量占比較高。（五防系統(tǒng)通過NCS監(jiān)控系統(tǒng)A/B網(wǎng)交換機接入NCS系統(tǒng)并與NCS系統(tǒng)存在網(wǎng)絡(luò)連接及數(shù)據(jù)通信）。隨后利用抓包軟件抓取NCS B網(wǎng)段報文，同樣發(fā)現(xiàn)五防系統(tǒng)電腦主機198.121.255.251地址也發(fā)出大量的ARP報文。嘗試將五防系統(tǒng)后臺軟件及五防后臺主機安裝的360等相關(guān)軟件退出運行，異常報文沒有消失，問題未能解決。同時，通過對抓取的報文進行分析發(fā)現(xiàn)五防主機和遠動運維后臺產(chǎn)生了大量NBNS協(xié)議報文，如圖1所示。

圖1 遠動運維后臺主機198.120.0.244發(fā)出NBNS報文截圖

隨即對遠動運維后臺數(shù)據(jù)流量情況進行監(jiān)測，根據(jù)圖2中訪問域名情況，可以判斷發(fā)送以上大量的NBNS報文與遠動運維后臺主機中運行的360相關(guān)軟件有關(guān)，手動將NCS運維后臺上的360相關(guān)軟件退出后，運維后臺主機運行情況雖有所改善，但五防系統(tǒng)后臺主機（IP地址：198.120.0.250）仍在發(fā)送NBNS報文。

3.5 通信鏈路檢查

現(xiàn)場對五防系統(tǒng)主機通信鏈路檢查發(fā)現(xiàn)，五防主機不僅會與不相關(guān)測控裝置產(chǎn)生TCP連接，而且還會與遠動運維后臺主機產(chǎn)生TCP連接，其兩者之間無任何業(yè)務(wù)聯(lián)系，不應(yīng)建立TCP連接，經(jīng)進一步檢查，發(fā)現(xiàn)五防系統(tǒng)后臺主機以廣播報文詢問方式，主動問詢NCS系統(tǒng)網(wǎng)絡(luò)內(nèi)所有裝置并建立了非法通信，數(shù)據(jù)傳輸流量大且持續(xù)時間長。

4 原因分析

4.1 客觀原因

五防系統(tǒng)后臺主機行為異常，非法與NCS監(jiān)控系統(tǒng)測控裝置及遠動運維后臺等設(shè)備建立TCP連接，且產(chǎn)生了大量的異常報文（包括ARP報文、NBNS協(xié)議報文，異常的TCP連接報文、360軟件運行異常報文），造成NCS監(jiān)控系統(tǒng)突增了大量不必要的網(wǎng)絡(luò)開銷，測控裝置傳輸數(shù)據(jù)流量異常變化，直接導(dǎo)致測控裝置重啟且AGC負荷目標指令歸零，機組AGC功能自動退出并閉鎖AGC自動調(diào)節(jié)。

4.2 根本原因

五防系統(tǒng)后臺主機確定為中毒，因五防后臺主機禁止連接互聯(lián)網(wǎng)，導(dǎo)致所安裝360殺毒軟件的病毒庫也無法及時更新，病毒庫版本過于老舊，早已失去了殺毒及防范攻擊的功能。

5 處理方法及防范措施

一是重裝五防系統(tǒng)后臺主機的操作系統(tǒng)后再進行數(shù)據(jù)流量監(jiān)測，發(fā)現(xiàn)異常的網(wǎng)絡(luò)報文及非法連接情況基本消失，大大減輕了機組測控裝置的負擔。后續(xù)觀察測控裝置及NCS系統(tǒng)的運行情況，已將五防系統(tǒng)后臺主機現(xiàn)使用的Windows XP系統(tǒng)升級為銀河麒麟kylin4.0.2國產(chǎn)操作系統(tǒng)以提高系統(tǒng)運行的安全性能。

二是啟用NCS監(jiān)控系統(tǒng)scada服務(wù)器arp定期數(shù)據(jù)綁定功能，縮減不必要的網(wǎng)絡(luò)開銷，測控裝置重啟現(xiàn)象明顯減少，并已編制相應(yīng)的定期NCS系統(tǒng)作業(yè)表單定期對scada服務(wù)器的arp數(shù)據(jù)綁定功能進行檢查。

三是落實五防后臺主機防病毒措施的后續(xù)完成情況，安裝殺毒軟件，及時更新病毒庫（手動更新）、打補丁并定期開展查殺，確保病毒查殺徹底。按網(wǎng)絡(luò)安全要求在日常的維護工作中配備殺毒U盤、專用殺毒電腦、專用調(diào)試電腦等專用維護設(shè)備。

四是對五防系統(tǒng)后臺主機及NCS系統(tǒng)scada服務(wù)器主機均進行了主機安全加固。已集中排查各類系統(tǒng)是否存在缺省用戶、多余賬戶、弱口令、權(quán)限設(shè)置不合理等情況，并已關(guān)閉生產(chǎn)控制大區(qū)禁用的通用網(wǎng)絡(luò)服務(wù)和主機不必要的服務(wù)、關(guān)閉已通報的高危端口、安裝高中危漏洞安全補丁、封閉各類電力監(jiān)控系統(tǒng)USB等接口以及多余網(wǎng)口和調(diào)試口。按規(guī)定嚴格實施移動介質(zhì)、終端接入作業(yè)管控。

五是現(xiàn)場NCS系統(tǒng)測控裝置運行年限久，一般來說測控裝置運行超過10年（規(guī)程規(guī)定運行不宜超過12年），硬件趨于老化，數(shù)據(jù)處理及抵抗大量網(wǎng)絡(luò)報文沖擊的能力均有所降低，后續(xù)可結(jié)合實際情況對測控裝置進行升級改造。

六是將NCS服務(wù)器、五防系統(tǒng)后臺等電力監(jiān)控系統(tǒng)設(shè)備接入態(tài)勢感知裝置進行統(tǒng)一的數(shù)據(jù)流量監(jiān)測，確保在第一時間發(fā)現(xiàn)各設(shè)備及系統(tǒng)內(nèi)數(shù)據(jù)流量異常并及時進行處理，最終達到網(wǎng)絡(luò)安全風險可發(fā)現(xiàn)、可控制、可溯源的目標。

隨著電網(wǎng)規(guī)模的日益擴大，電力系統(tǒng)的經(jīng)濟運行顯得尤為突出和重要，合理安排火電機組出力，能夠在一定程度上提高火電機組的經(jīng)濟運行指標。AGC功能作為目前調(diào)度機構(gòu)對電廠機組有功負荷的最主要調(diào)節(jié)手段，其重要性不言而喻。且NCS系統(tǒng)作為AGC調(diào)節(jié)功能中最主要調(diào)節(jié)環(huán)節(jié)，其正常運行與否對直接影響了機組有功負荷的調(diào)節(jié)質(zhì)量。此異常事件中，NCS監(jiān)控系統(tǒng)內(nèi)產(chǎn)生的大量異常報文，增加了大量不必要的網(wǎng)絡(luò)開銷，導(dǎo)致測控裝置數(shù)據(jù)異常，進而造成測控裝置重啟AGC負荷目標指令歸零。故需利用合理的技術(shù)手段抑制數(shù)據(jù)流量突增，同時做好各系統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)控，加強各系統(tǒng)主機、服務(wù)器病毒防護工作，堅決杜絕非法互聯(lián)、社工等違規(guī)現(xiàn)象，皆為現(xiàn)階段發(fā)電廠各自動控制系統(tǒng)正常運行的先決條件，逐步加強涉網(wǎng)自動化設(shè)備管控，進而保障發(fā)電廠的安全、可靠、經(jīng)濟運行。