向強銘，張文韜，夏國強，張 鵬，陳超群，邢本福

（1.中國長江電力股份有限公司，湖北 宜昌 443133；2.北京中水科水電科技開發(fā)有限公司，北京 100038）

在復(fù)雜的安全形勢下，電力系統(tǒng)等關(guān)系到國家命脈的關(guān)鍵基礎(chǔ)設(shè)施已成為敵對國家和恐怖分子的重要襲擊目標(biāo)。大型水電站作為國家關(guān)鍵基礎(chǔ)設(shè)施，一旦發(fā)生網(wǎng)絡(luò)安全事故，不法分子對水電站計算機監(jiān)控系統(tǒng)進行破壞攻擊，甚至獲取水電站的控制權(quán)，將嚴重影響電力系統(tǒng)安全穩(wěn)定運行，因此提升水電站監(jiān)控系統(tǒng)安全防護能力刻不容緩[1]。按照能源行業(yè)監(jiān)控系統(tǒng)網(wǎng)絡(luò)層級職責(zé)劃分，現(xiàn)地控制層LCU 直接采集水輪發(fā)電機組主輔設(shè)備狀態(tài)，對現(xiàn)地層設(shè)備進行精確控制，同時與廠站層進行通信，將采集的機組數(shù)據(jù)上送至廠站并接收廠站層下發(fā)的控制與調(diào)節(jié)命令。LCU 作為水電站監(jiān)控系統(tǒng)的重要組成部分，其核心裝置PLC 的實時處理能力與安全防護水平將決定著水電站的安全穩(wěn)定運行。

水電站傳統(tǒng)的安全防護策略為“重邊界、輕內(nèi)部”，導(dǎo)致內(nèi)部信息系統(tǒng)和網(wǎng)絡(luò)較為脆弱，計算環(huán)境不可信，信息安全缺乏深度保障。同時，PLC 為保證其實時性要求，往往缺少安全防護措施，其自身安全防護能力低，無法抵御外部非授權(quán)方式進入，篡改控制命令，改變信號狀態(tài)等，存在較大安全隱患[2]?；诳尚庞嬎?.0 技術(shù)的可信PLC 是構(gòu)建新一代主動免疫的水電廠網(wǎng)絡(luò)安防體系的重要基礎(chǔ)設(shè)施，其對PLC 硬件結(jié)構(gòu)、嵌入式操作系統(tǒng)、應(yīng)用軟件及網(wǎng)絡(luò)連接等多方面進行安全防護，在不影響業(yè)務(wù)連續(xù)性的前提下，增強電力監(jiān)控系統(tǒng)安全免疫能力[3]。本文對基于安全可信PLC 的水電站監(jiān)控系統(tǒng)設(shè)計、實時性能和防護策略進行了研究。

1 基于安全可信PLC 的水電站監(jiān)控系統(tǒng)設(shè)計

目前，我國的大型、巨型水電站計算機監(jiān)控系統(tǒng)多采用開放分布式體系結(jié)構(gòu)設(shè)計，即整體上劃分為廠站層和現(xiàn)地控制層，功能單元分布配置、冗余配置。一般而言，廠站層系統(tǒng)由SCADA 主機、對時系統(tǒng)、歷史數(shù)據(jù)服務(wù)器、操作員站、工程師站、調(diào)度通信服務(wù)器等組成；現(xiàn)地層由多臺機組LCU 組成，LCU內(nèi)部采用環(huán)形以太網(wǎng)結(jié)構(gòu)部署CPU 與遠程子站，增強現(xiàn)地層可靠性。廠站層與現(xiàn)地層構(gòu)成星型千兆以太網(wǎng)，通過冗余配置的信息網(wǎng)、控制網(wǎng)交換機連接，當(dāng)主用網(wǎng)絡(luò)故障時，能自動切換至備用網(wǎng)絡(luò)。

基于安全可信PLC 的水電站監(jiān)控系統(tǒng)在設(shè)計上應(yīng)大體滿足上述理念，但存在兩個難點亟待解決：①如何實現(xiàn)對可信PLC 的有效統(tǒng)一管理，由于可信系統(tǒng)由可信硬件板卡、可信軟件基及可信管理端構(gòu)成，故要為PLC 安裝可信板卡，并以嵌入式編程的形式配置可信軟件基，在廠站層須增設(shè)部署可信管理軟件的可信管理服務(wù)器。在可信管理軟件的功能設(shè)計上，應(yīng)充分考慮權(quán)限最小原則，針對每一機組PLC 能獨立開啟、關(guān)閉可信功能。②如何保證可信PLC 的性能滿足生產(chǎn)需要，由于PLC 配置了可信功能，CPU 在運行過程中將耗費部分算力進行主動度量，其內(nèi)存空間、存儲空間也將受到一定程度的占用。如果無法解決算力問題，PLC 的內(nèi)部處理、通信服務(wù)、輸入處理、程序處理、輸出處理等功能無法滿足實時性要求，則電站正常生產(chǎn)運營無法獲得保障。

圖1 基于安全可信PLC 的水電站監(jiān)控系統(tǒng)結(jié)構(gòu)

目前，較為切實可行的方法是在可信板卡集成獨立芯片用于可信計算，有效減少CPU 的算力負載。由于北京可信華泰信息技術(shù)有限公司的“白細胞”系列可信產(chǎn)品具有類似設(shè)計思路，后文將結(jié)合國產(chǎn)大型PLC 對其進行實時性研究。

2 安全可信PLC 實時性能研究

安全可信PLC 控制系統(tǒng)可信體系基于PLC 嵌入式可信執(zhí)行環(huán)境，由嵌入式可信硬件、可信操作系統(tǒng)、可信應(yīng)用層構(gòu)成，在嵌入式系統(tǒng)高實時、低功耗、資源受限情況下實現(xiàn)可信計算和正常的邏輯運算。S.CTG 系列普通型PLC 已于2022 年在某電站700 MW 混流式機組LCU 進行了示范應(yīng)用，經(jīng)長期運行檢驗，設(shè)備運行可靠，本文選擇其同系列產(chǎn)品配置可信產(chǎn)品組成安全可信PLC，并對可信PLC 的實時性能進行研究。參考GB/T 36009-2018《可編程控制器性能評定方法》，本文對PLC 系統(tǒng)最快響應(yīng)時間、循環(huán)掃描周期以及上下位機通信進行測試。

2.1 系統(tǒng)最快響應(yīng)時間研究測試

系統(tǒng)最快響應(yīng)時間為輸入模塊響應(yīng)時間、循環(huán)掃描周期和輸出模塊響應(yīng)時間總和，針對S.CTG 普通型和可信型PLC 各搭建測試環(huán)境，包含CPU、DI和DO 模塊的最快配置測試系統(tǒng)，編寫測試程序，將程序的控制周期設(shè)置為可實現(xiàn)最快響應(yīng)時間的模式，從示波器輸出方波電壓信號，接入DI 模塊，在程序中將該DI 點賦值到DO 點并將DO 信號接入示波器，記錄并測試DI 高低電平轉(zhuǎn)換時刻跳變沿之間的時間長度。重復(fù)測試20 次以消除隨機情況干擾，測試的結(jié)果如表1 所示。

表1 可信PLC 與普通型PLC 系統(tǒng)響應(yīng)測試時間表

從表1 中可知，可信型PLC 系統(tǒng)最快響應(yīng)時間為79 ms，平均時間為93.65 ms，普通型PLC 系統(tǒng)最快響應(yīng)時間為70 ms，平均時間為89.25 ms，可信型PLC 平均系統(tǒng)響應(yīng)時間相比普通型PLC 系統(tǒng)響應(yīng)時間長4.9%。

2.2 循環(huán)掃描周期研究測試

搭建相同IO 配置的普通型PLC 和可信PLC 測試系統(tǒng)，兩套PLC 運行同一應(yīng)用程序，通過PLC 編程軟件連接PLC 查看狀態(tài)字%SW0032。普通型PLC掃描周期為30 ms，可信型PLC 掃描周期為32 ms，安全可信PLC循環(huán)掃描周期相比普通型PLC有所延長。

2.3 可信PLC 與上位機通信測試

為檢驗安全可信型PLC 與上位機通信速度，在現(xiàn)地層LCU 上運行機組LCU 程序進行了全面檢驗測試，包括IO 采樣周期、響應(yīng)速度測試、人機聯(lián)系、時間同步、雙CPU 切換試驗，測試結(jié)果見表2。

表2 安全可信PLC 實時性能綜合測試

從上述測試可以看出，可信型PLC 雖然因可信計算占用了部分CPU 資源，導(dǎo)致其性能相較普通型PLC 有所下降，但其總體性能仍滿足水電站計算機監(jiān)控系統(tǒng)的要求。

3 安全可信PLC 的防護策略設(shè)計

現(xiàn)大多水電站各LCU 的PLC 處于同一網(wǎng)段，RIO 子站遍布全廠關(guān)鍵位置，通過安裝有PLC 編程軟件的設(shè)備在任一LCU 的主備PLC 通信網(wǎng)口或現(xiàn)地交換機可不受限制訪問其他LCU 的PLC，或在LCU內(nèi)部任一RIO 子站的通信網(wǎng)口可不受限制訪問本套LCU 的PLC，存在一定的安全隱患，同時LCU 日常運維需要對PLC 軟件進行頻繁的優(yōu)化和升級，因此，安全可信PLC 應(yīng)用于水電站監(jiān)控系統(tǒng)在防護策略的設(shè)計上應(yīng)結(jié)合水電站實際情況進行設(shè)計，既能滿足安全防護需要，又要滿足日常運維需要。根據(jù)安全可信PLC 系統(tǒng)結(jié)構(gòu)，對其防護策略從啟動度量、動態(tài)度量、軟件升級和訪問控制進行設(shè)計和功能實現(xiàn)。

3.1 啟動度量

在可信PLC 啟動時，通過可信機制逐級校驗每個啟動階段的完整性，可信機制首先進行自身安全診斷，然后進行PLC 的計算環(huán)境檢測，并對PLC 的業(yè)務(wù)模塊進行檢測，度量失敗阻斷系統(tǒng)繼續(xù)執(zhí)行，在發(fā)現(xiàn)系統(tǒng)內(nèi)核度量失敗后，維護人員輸入口令進行認證，即可繼續(xù)執(zhí)行[4]。本部分對普通型PLC 和可信型PLC 上電直至PLC 業(yè)務(wù)正常運行所消耗的時間分別進行了100 次測試試驗，其啟動時間消耗頻數(shù)直方圖如圖2 所示。

圖2 可信型PLC 與普通型PLC 啟動時間直方圖

從圖2 可以看出，可信型PLC 啟動度量過程所消耗的時間比普通型PLC 啟動消耗的時間有所增加，但由于PLC 均有熱備冗余，且日常維護不涉及PLC 啟停操作，其不影響監(jiān)控系統(tǒng)的正常運行。

3.2 動態(tài)度量

動態(tài)度量是在系統(tǒng)運行過程中，通過條件觸發(fā)和周期觸發(fā)的方式對內(nèi)存中的關(guān)鍵信息實時主動度量，監(jiān)控系統(tǒng)運行狀態(tài)、進程狀態(tài)，通過條件觸發(fā)和周期方式對系統(tǒng)進程、模塊、執(zhí)行代碼段等關(guān)鍵信息進行監(jiān)視和度量，并支持異常報警[5]。主要度量對象包括：程序代碼段、系統(tǒng)調(diào)用的完整性、系統(tǒng)調(diào)用表等。動態(tài)度量是在系統(tǒng)運行過程中，通過條件觸發(fā)和周期觸發(fā)的方式按動態(tài)度量策略進行可信驗證，從而進一步提高了PLC 的安全性和可靠性。根據(jù)第三方的測試報告，可信計算部件在PLC 正常運行過程中，對CPU的占用率小于5%，對業(yè)務(wù)的時間影響小于6%。

3.3 軟件升級

水電站監(jiān)控系統(tǒng)時常因監(jiān)控的外部設(shè)備變化，需對PLC 程序進行升級，為滿足日常運行運維需要，在可信管理終端設(shè)置軟件升級軟開關(guān)，在設(shè)備正常運行時將軟開關(guān)關(guān)閉，避免非法外聯(lián)惡意篡改程序和下發(fā)惡意指令，維護人員在需要修改程序時將軟件升級軟開關(guān)打開，對安全可信PLC 控制程序進行升級。

3.4 訪問控制

針對現(xiàn)水電站存在任一調(diào)試筆記本可連接至現(xiàn)地LCU 主備PLC 的情況，在可信管理終端進行訪問控制設(shè)計，只有加入到白名單的調(diào)試筆記本在通過用戶身份進行可信確認后才能與PLC 進行連接，同時對PLC不同程序段自定義其訪問策略，包括：讀、讀寫等操作，只有具有讀寫操作的程序段才能進行程序修改。

4 總結(jié)

本文針對水電站計算機監(jiān)控系統(tǒng)安全防護的薄弱環(huán)節(jié)，研究并設(shè)計了基于安全可信PLC 的計算機監(jiān)控系統(tǒng)，對可信PLC 實時性能進行研究測試，同時對安全防護策略進行設(shè)計，保證了監(jiān)控系統(tǒng)的主動防御。本研究對安全可信PLC 在水電站計算機監(jiān)控系統(tǒng)中的推廣及應(yīng)用，具有一定指導(dǎo)意義。