智能变电站IEC61588时间同步系统与安全评估

3.1管理制度安全分析

国内绝大多数电力生产运行人员和设计人员没有接触过IEC61588技术，行业内缺少相应的技术标准和设计规范加以指导，已投运系统仍有不同程度的缺陷，尚未形成典型设计方案，加之IEC61588技术可选参数非常多，不同厂家可能采用不同参数配置，为系统联调带来很多困难。在IEC61850标准中，未定义时间同步模型，所以目前时间同步系统还不能在监控后台上进行管理和监控。这些都为基于IEC61588 技术的时间同步系统管理带来了困难。

目前正在起草的电力行业标准《电力系统网络精确时间同步技术规范》，将在很大程度上对智能变电站PTP时间同步系统参数选择、网络配置、系统建模进行了约束，明确系统应用，解决系统联调带来的问题。

3.2设备安全分析

IEC61588技术对设备硬件处理能力有较高的要求，它不仅需要设备识别PTP报文，并且将识别的PTP报文打上时间戳，之后CPU 还要对报文进行处理，以获得准确的时间准确度。下面以boardcom交换芯片为例，介绍PTP 报文的处理过程。

图2是交换机发送时间戳报文的处理流程。首先交换机CPU生成Sync报文，并将它发送给交换芯片，交换芯片识别到Sync报文并优先发送给介质访问控制层(MAC)，在MAC出口打上报文发送时间戳，并将发送时刻信息返回给CPU，CPU 中断，读取时间戳信息并插入到Follow_Up报文中再发送出去。

图2发送时间戳报文的处理流程

图3是交换机接收时间戳报文的处理流程。MAC接收到事件报文并打上时间戳，分析器从大量报文中解析PTP同步报文，并将同步报文优先发送给CPU，CPU根据接收到的Sync报文和Follow_Up报文，计算本地时钟。

图3接收时间戳报文的处理流程

可以看出，在IEC61588技术中，CPU 和MAC起到了非常关键的作用，它们承担了PTP协议报文生成、时间戳记录、时间计算的作用，而在整个处理过程中，其恰恰又是硬件处理的瓶颈，也是系统脆弱性所在。如果系统考虑不完善，会同时发生异常现象，频率过快、sequenceId的不连续、恶意的协议攻击或者网络风暴等现象都将导致设备失效，甚至系统瘫痪。PTP系统在网络负载为30Mbit/s情况下的对时精度测试结果见附录A图A2。

3.3网络安全分析

智能变电站网络结构模型如图4所示。

PTP技术可以应用于过程层采样值(SV)网络和面向通用对象的变电站事件(GOOSE)网络，而目前智能变电站应用IEC61588技术存在的安全隐患主要有以下几种。

1)网络隔离不充分

目前，变电站内部的网络安全通常采用虚拟局域网(VLAN)技术进行安全隔离，这种方法能够在很大程度上对网络中的安全隐患进行防护。然而，由于IEC61588报文是一种可以跨越VLAN 的报文，所以VLAN对于IEC61588协议的攻击起不到防护作用。网络中的任何装置，只要不进行物理隔离，均能够对网络中的其他装置进行攻击，以占用被攻击目标的CPU资源，导致装置瘫痪、时钟紊乱或者死机。

2)伪造身份

由于共用网络，而VLAN对于IEC61588协议起不到隔离作用，变电站中任何一个设备只要具备主时钟功能，均可以伪造身份，以更高的优先级角色扮演主时钟，使真正的主时钟处于静默状态，代替主时钟工作，以达到破坏系统稳定的目的。

3)网络结构设计不合理

图5是目前大多数智能变电站PTP系统采用的组网方式，该方式所有交换机工作于TC模式，保护装置、合并单元、主时钟等二次设备工作于OC模式下。该组网方式的弱点在于对主时钟依赖程度过高，各间隔无单独扩展时钟源，无法达到守时能力。

图6、图7是本文提出的2种PTP系统组网方案。图6采用传统对时方案，在总控室至间隔层采用B码时钟方式，间隔内部采用PTP对时协议。图7采用全网PTP对时方案，与主时钟连接的交换机采用BC模式，同时要求交换机具有守时功能。2种方案均可以达到简化网络设计的目的，同时实现主控室和间隔层时间同步系统守时功能。

4一种基于网络仿真技术的测评方法

4.1测评指标体系建立

评价智能变电站PTP时钟系统有效性，建立测评指标非常重要，指标体系的建立主要从以下几个方面加以考虑。

1)PTP工作原理：协议一致性、BMC算法正确性、错误报文挑战和报文回放处理正确性。

2)智能变电站应用需求：对时精度小于1μs、守时精度小于1μs/h、时间抖动小于200ns。

3)网络对PTP影响：帧丢失、帧乱序、帧复制、网络风暴等均不应对时间精度产生影响。

4.2测评模型

为解决目前智能变电站PTP时钟系统应用稳定性问题，国网电力科学研究院实验验证中心研究了一种采用分层控制技术进行模块化结构设计的仿真系统，用于对智能变电站PTP时钟系统进行评估。图8为基于网络仿真技术的测试评估模型。

图8测试评估模型