CN101594006B - 能源分配保护和控制装置的协同防御 - Google Patents

Abstract

本申请涉及能源分配保护和控制装置的协同防御。公开了防止对电力传输和分配网中的IED的设置进行恶意更改的方法。检测对IED的保护设置的试图的更改并将该试图的更改发送至一个或多个相邻的IED。相邻的IED检查新的设置的一致性并返回一致性或者不一致性信号。如果收到不一致性信号，则不允许该试图的设置更改。

Description

能源分配保护和控制装置的协同防御

技术领域

本申请涉及能源分配保护和控制装置的协同防御。

背景技术

电力传输和分配系统日益暴露于网络攻击之下。一些暴露可追溯到电力工业向用于在整个网络上交换数据的开放性协议和标准(例如：以太网LAN/WAN上的TCP/IP(传输控制协议/互联网协议))的转移。随着功用逐渐转移到下一代IP可寻址智能电子设备(IED)，这些开放性标准正在快速地获得公认。对于大多数这些IED而言，远程存取正日益成为标准的功能设置。这些设备遭受网络攻击的风险由于继电保护部门针对未授权而访问IED的程序上的弱点而加剧。联邦能源监管委员会(以下简称FERC)的关键性基础设施保护标准就是旨在通过加强在基于IT安全的程序方面的要求来解决这一安全风险。例如，FERC在2008年1月17日发布的新闻发布会上声明“强制性的可靠性标准要求大容量电力系统的特定用户、所有者及运营者制定政策、计划和程序，以防护对控制系统的物理及电子访问、训练安全事务方面的人员、报告安全事故以及准备好恢复网络事故。”

还有更复杂的安全问题，新的电力系统市场目前要求对网络数据的日益增强的开放性。例如，FERC第888和889号法令允许公共访问特定类型的传输数据。这样的网络信息使攻击者能够窥视到电力系统中易受攻击的部分。类似地，之前相互隔离的控制系统的增加的网络互联也增加了与数据通信相关的安全风险。同样地，无人变电所也变得越来越容易受到未授权物理进入的攻击。

在IT前沿，有越来越多的电子盗窃和所谓的“黑客行动主义”的例子。网络攻击具有使大容量电力系统瘫痪的潜在危险。在一种攻击场景下，网络攻击者可以远程地改变本地I ED的继电器特性从而使脱扣装置误配合(mis-coordination)。在更大的规模上，攻击者可以改变网络中的多个IP可寻址IED的继电器特性，造成脱扣装置的误配合。在另一种攻击场景下，黑客通过恶意改变继电器特性使本地IED发出脱扣信号，从而能够间接地控制断开装置。这些攻击会产生即刻的和破坏性的影响，且会引起导致电力系统崩溃的级联事件。例如，黑客能够设置继电器特性以使得在当前负荷条件下脱扣。以这种方式，网络攻击者能够通过控制暴露的IED而使变电所或者子系统的任何部分停止运转。

或者，攻击者能够使恶意后果延迟，直到系统中产生正常干扰。这种类型的网络攻击可以通过有目的地使线路保护继电器错误配合，造成多于必要的线路的脱扣而得以实现。在此类情况下，被暴露的继电器将在最初攻击后的一段时间显露入侵。

因此，现有技术中需要改进的安全措施，以便能源保护和控制装置将与恶意攻击相关的危险降至最低。

发明内容

根据本发明的一个方面，提供了一种用于防止对电力网中的多个IED中之一的恶意设置更改的方法。检测对电力网中的第一IED的保护设置的试图的更改。将对第一IED的保护设置的试图的更改发送至该电力网中的第二IED。检查对第一IED的保护设置的试图的更改与第二IED的保护设置的一致性。如果对第一IED的保护设置的试图的更改与第二IED的保护设置不一致，则从第二IED向第一IED发送不一致性信号。收到不一致性信号后拒绝对第一IED的保护设置的试图的更改。

根据本发明的另一方面，在电力网中的一个或多个IED中载有计算机可读介质。所述计算机可读介质包含有计算机可执行指令，所述指令在由计算机执行时，会执行阻止对电力网中多个IED中之一的恶意设置更改的方法。检测对电力网中的第一IED的保护设置的试图的更改。将对第一IED的保护设置试图的更改发送至该电力网中的第二IED。检查对第一IED的保护设置的试图的更改与第二IED的保护设置的一致性。如果对第一IED的保护设置的试图的更改与第二IED的保护设置不一致，则从第二IED向第一IED发送不一致性信号。收到不一致性信号后拒绝对第一IED的保护设置的试图的更改。

附图说明

本发明的特点、方面及优势将通过以下说明、所附权利要求和附图将会得到更好的理解，在所述附图中：

图1示出了具有多个IED的电力网的示意图；

图2示出了根据本发明一个实施例的过程；

图3示出了引起恶意改变IED设置更改请求的多种方法；

图4为显示延时馈路过电流方案的适当配合的图；及

图5为显示由恶意更改请求引起的延时馈路过电流方案的不适当配合的图。

具体实施方式

现在参考附图，电力传输及/或分配网络由数字10概括地表示，并如图1示意性地示出。如图所示，所述电力传输及/或分配网络10包括多个IED。IED通常是向开关设备发送控制信号的基于微处理器的电子设备，所述开关设备例如电力系统中的断路器、自动重合开关和开关。当前可用的IED结合了诸如监测、保护、控制、重合元件、电力质量监测和通讯等的多种功能。IED提供的保护功能可包括用于相位和接地元件的延时和瞬时过电流功能、序列方向过电流功能、重合功能、过频率和欠频率保护功能以及过电压和欠电压保护功能。使用IED的前面板或者远程地使用软件工具和通讯链路可对IED进行本地配置。

在当前所公开的实施例中，IED是继电器R1至R4的形式，当然也可以使用其它类型的IED。R1至R4继电器之间波此进行通信且在分配网中以不同的空间间隔进行定位。IED从传感器和电力设备接收数据。如果检测出电压或电流不规则，则IED可向相关的保护设备发出控制命令，所述相关的保护设备如脱扣电路断路器或自动重合开关。IED彼此进行实时通信并交换诸如继电器特性、保护设置更改以及受控设备的状态之类的信息。在其它实施例中，IED可被编程为以规则的时间间隔轮询邻近的设备。在又一实施例中，IED可被编程为针对特定的事件进行通信，所述特定的事件如对IED的特性的试图的更改。在一个实施例中，IEC61850是在设备网络上进行数据交换的通信协议。应当理解，还可以采用其它协议，如分布式网络协议(DNP)V3.00。IED可通过任何通信基础设施进行通信，所述通信基础设施例如包括WiFi无线通信、光纤网络和电力线宽带。

以下将更详细地进行描述，每当试图对IED的工作特性进行改变时，受影响的IED会将所述试图的更改发送到分配网络中的其它IED。在一个或多个实施例中，所述受影响的IED与紧邻的上游IED和下游IED进行通信。相邻的IED根据存储的保护规则确认或者拒绝所述试图的更改。这种对等的协同防御系统加强了基于域的安全层，其利用基于对电力系统进行控制的物理定律的继电保护原理，以检测对电力基础设施的攻击。因此，当前公开的系统强化和补充了基于现有IT的安全层如加密的通信协议，以及物理安全和实用过程如防止社会工程攻击，其中攻击者是通过人的交互获得敏感信息。

本发明的系统中采用的IED间的协同验证被提供用以避开试图改变设备保护设置的恶意攻击。如图2所示，其更为详细地描述了所述保护方法。在50处，攻击者进入IED R并发起对设置的更改。在52处，该暴露的IED R与其相邻的IED N通信。在一个实施例中，相邻的IED N可包括紧邻的上游和下游的IED。例如，当IED为具有配合保护方案的限流继电器时，该配置可能是有利的。在其它的实施例当中，相邻的IED可包括在特定的分配或传输网中的所有IED的预定子集。在另外一些施例当中，所述暴露的IED与特定的分配或传输网中的所有的IED进行通信。

所述暴露的IED发送的消息可包括所提议的设置更改、该IED的标识及/或位置、请求的时间、请求的来源(即本地或远程)、发起更改的客户机的IP地址和域，等等。在步骤54，相邻的IED根据预定的保护规则确定试图的更改与其自身设置的一致性。因此，例如在这些IED为限流继电器的实施例中，相邻的IED可检查新的设置是否与其自身的设置相配合。然后，在56处，相邻的IED向新设置发出一致或者不一致性的消息。根据一个实施例，如果一个IED发出了否决或者不相符设置消息，则在58处，暴露的IED会拒绝所述试图的更改。同时，暴露的IED与发出否决消息的IED两者或两者中的任一个发出对试图更改的警报。该警报可通过任何通信基础设施发送，所述通信基础设施如IED的专用网络、变电所自动化系统或者数据采集与监视控制(SCADA)系统。

根据另一个实施例，不是在从相邻的IED接收到不一致性消息时拒绝所请求的更改，而是如果在预定的一段时间后，没有收到从相邻的IED发来的一致性消息，则暴露的IED会拒绝更改设置请求。这种设计通过禁用IED的通信系统防止了绕过保护系统的潜在可能性。根据另一个实施例，如果在预定的时段内收到不一致性消息或者没有收到一致性消息，则IED会拒绝该更改设置请求。

电力分配网中的每个IED都可被嵌入一致性算法，用于基于给定的保护标准判断所接收到的设置的一致性。所述保护标准可以是，例如，该IED相对于上游和下游相邻设备的正确一致性。针对基于各种继电保护原理的各种类型的IED，所述一致性算法可不同，所述继电保护原理例如线路距离保护、线路纵联保护、线路过电流保护等。

当IED间的一致性运算法可运行时，未授权及/或恶意的更改设置的成功的可能性被大大降低。如图3所示，根据本发明的系统可防止授权用户如不满的员工的攻击。本发明还可防止使用盗取密码/ID或者黑客入侵网络的未授权用户。另外，该系统可防止出现意外的人为误差，如维护人员输入可能会破坏配合的不正确的设置更改。

如上所讨论的，一个示例性的保护设置可以是IED间的配合。典型地，由继电工程师通过使用设立的配合设置程序来设置配合。理论上，IED继电器设置S的映射可以是电力系统图G、网络序列阻抗X₀₁₂、负载集I_L和发电机I_G的函数：

S→f(G，X₀₁₂，I_L，I_G)

一般来说，除非由传输或分配系统所有者发起更改，否则设置S随时间保持静止。在此情况下，所述发起的更改可表示为：

S+ΔS

本发明中所提到的一致性算法包括基于域的继电保护运算法，其用于检测被请求的IED设置和工作标准例如继电器配合的一致性。因此，该算法利用电和电网的物理定律，例如，欧姆定律、基尔霍夫电流电压定律。简言之，该算法是测试的实现，使得关系S→f(G，X₀₁₂，I_L，I_G)对新的设置S+ΔS保持有效。

储存在IED上的一致性算法可以以特定的参数来表示。所述参数依赖于IED/继电器的类型。例如，过电流继电器的参数可包括时间刻度盘设置(time dial setting)和电流拾取值(current pick-up)。对于远距继电器，所述参数可包括R/X区工作特性和区工作时间。试图的设置改变被送入在每个相邻IED中执行的规则引擎，所述规则引擎被设计来用于检测与该特定IED的不一致性。可采用任何方法将所述规则编码到IED中。

参考图4，本发明的一个实施例对馈路过电流继电器的配合进行测试。在该公开的示例中，应用以下设置规则：

(1)每个继电器拾取值设置I_p被设置为使得该继电器在识别其自身保护区域及下一个下游馈路部分的故障电流时即断开。所述继电器拾取值设置是继电器工作的最小电流量。在其它实施例中，可使用欠电压继电器，其中，继电器以小于拾取值的值工作，并且对高于所述拾取值的值不采取任何动作。给定继电器的保护区延伸到该继电器下游的下一个继电器。继电器的拾取值设置I_p应被设为低于其上游的继电器，使得最近的继电器清除该故障。

(2)每个继电器时间刻度盘设置T_j被设置为使得其对于在其自身保护区中的故障而言以最小的时间延迟运行，但是慢得足以允许下游继电器清除下一个下游馈路部分T_j+1中的故障。对于过电流继电器，时间刻度盘设置对应于特定的工作特性，所述工作特性与作为故障电流大小的函数的继电器的工作时间有关。时间刻度盘设置被设置为使得其还包括配合时间，如断路器工作时间c_j+1。所述配合时间是被增加到紧邻的上游继电器以在可能的情况下使本地断路器脱扣的时间延迟。断路器工作时间是从该断路器接收到来自继电器的脱扣信号开始，该断路器断开所用的时间。

根据一个实施例，本发明的一致性算法可由规则表达式表示。例如，对上述提到的拾取电流和时间刻度盘设置的有效的设置变更应满足以下用于一致性的规则T和P，其中，t_k ^j(T_j)和t_k ^j+1(T_j+1)表明在分别假设所指示的时间刻度盘设置为T_j和T_j+1，以及继电器R_j+1的配合时间为c_j+1的情况下，上游继电器R_j和下游继电器R_j+1的工作时间。I_p和I_d为上游继电器R_j和下游继电器R_j+1的拾取电流设置，其中ε为继电器的拾取电流设置中的最小差异。在一个实施例中，针对在R_j+1继电器的保护区中的所有可信的故障情形

对所述规则进行测试。

$T:\mathrm{If}{t}_k^j\left(T_j\right)>t_k^{j+1}\left(T_{j+1}\right)+c_{j+1}$

P：If I_p＞I_d+ε

如果每个规则T和P都得到真命题，则所述设置一致。

根据另一个实施例，一致性运算实施规则可以用不等式约束来表示。例如，具有N个如上所述的过电流继电器的馈路延时过电流保护中的时间配合可以表示为与任何两个继电器的时间延时设置相关的一组约束。

$t_k^1\left(T_1\right)-t_k^2\left(T_2\right)>c_{\mathrm{2,1}}$

$t_k^j\left(T_j\right)-t_k^{j+1}\left(T_{j+1}\right)>c_{j+1,j}$

$t_k^{N-1}\left(T_{N-1}\right)-t_k^N\left(T_N\right)>c_{N,N-1}$

其中c_j′s表示相邻继电器之间的最小配合时间。此外，如上所示，对于每对继电器，如果该命题为真，则所述设置彼此一致。

另外，可对最小和最大阈值进行监测。通常，S_j ^min，S_j ^max是指继电器j的设置参数S_j的阈值。一个例子是用于拾取电流的最小阈值S_j ^min以确保继电器不会拾取正常的负载电流。

$S_j<S_j^{\max }$

$S_j>S_j^{\min }$

类似地，继电器R_N，R_N-1，..R_j，...R₂，R₁的拾取电流设置I_N，I_N-1，..I_j，...I₂，I₁之间的关系可以用不等式来表示，其中ε_j+1，j被定义为继电器R_j+1，R_j的拾取电流中的最小容许差值。

I₁-I₂＞ε_2，1

I_j-I_j+1＞ε_j+1，j

I_N-1-I_N＞ε_N，N-1

因为可实现任意数量的规则配置，因此以上所讨论的规则实施例仅是示例性的。例如，在具有反馈源的配置或者具有沿馈路的有源电注入的配置中可能需要变量。在任何一种配置中，不管试图更改的设置是否满足与该特定IED相关的设置规则，预定数目的IED都会发出决定。

应当理解，在其他的继电保护方案中，可应用不同的设置规则。这样的方案包括，例如，远距保护和差动保护。给定IED的一致性算法可以体现这些保护性继电器方案的每一个的规则。可以用适当的语言对这样的规则进行编码并将这些规则应用于IED中。例如，所述规则可以被编写为C编程语言、被编辑并被应用于数字继电器的实时操作系统(RTOS)中。

可具有用于发送试图的设置更改的多种发送方案。根据一个实施例，所述试图的设置更改仅被发送至检查配合所需的IED的最小集合。因此，对于过电流继电器，这可以仅包括其紧邻的上游及/或下游继电器。对于以非空间性关系工作的其它类型的继电器，如低频率继电器，所述IED的最小集合可以是分配或输送网中的所有IED，或者一些预定的子集。

现在参考图5，提供了对延时馈路过电流方案的图示说明。如图所示，显示了对过电流继电器R3的攻击，其中，攻击者试图改变时间刻度盘设置。在接收到改变设置请求后，R3将试图的时间刻度盘设置改变请求(T₃＝1/2)发送给其相邻的继电器R2和R4。所述相邻的继电器通过使用一致性算法针对时间配合及拾取值配合来分析设置要求。如图5所示，继电器R2可接受该新的设置，即对于继电器R3的保护区内的所有故障，规则配合继电器R2和R3工作时间 $T:t_k^2\left(T_2\right)>t_k^3(T_3\&RightArrow;T_{1/2})+c_3$ 为真。然后，R2向R3发送一致性声明，表明所提议的更改是可接受的。然而，R4检测到与其自身设置的不配合，即对继电器R4的保护区内的至少一些故障而言， $T:t_k^3(T_3\&RightArrow;T_{1/2})>t_k^4\left(T_4\right)+c_4$ 为假。然后，R4向R3发送不一致性声明。之后，R3拒绝该请求的设置更改。同时，R4向分配系统操作员发送警报。

根据另一个实施例，IED间的相互检验可以在更大的范围内进行，使得例如，在馈电路线中的一些子集，或者甚至所有的IED对任何试图的设置更改进行一致性检查。任何的设置更改请求消息都被发送给该预定组的所有成员。在该实施例中，每个IED都可存储在该组中当前所有的IED设置以及一致性算法。因此，在如图5所示的实施例中，更改请求也将由继电器R1确认。

尽管以上所讨论的实施例涉及继电器，应当理解，此处所提到的IED间的相互检验方案可适用于其它类型的IED，例如，可编程序逻辑控制器、数字故障记录器、相位复数矢量测量单元及电能质量监测仪。

如本领域普通技术人员所理解的，本发明可以体现为或者采取之前所述的方法和系统，以及具有存储在其上的计算机可读指令的计算机可读介质的形式，其中，当处理器执行所述指令时，所述指令执行如上所述的本发明的操作。所述计算机可读介质可以是可包含、存储、通信、传播或传送用户接口程序指令的任何介质，所述用户接口程序指令由指令执行系统、设备或装置使用或与其有关；并且可以例如是但不限于是电子的、磁性的、光学的、电磁的、红外的或半导体系统、设备、装置或传播介质或者其它可在其上打印程序的适合的介质。计算机可读介质更具体的示例(非穷举)可包括：便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM或者闪速存储器)、光导纤维、便携式光盘只读存储器、光学储存设备、传输介质，如支持因特网或者内部网络的介质，或者磁存储设备。用于执行本发明的操作的计算机程序代码或指令可采用任何适合的编程语言来编写，只要能够达到如上所述的技术结果。

应当理解，对于上述示范性实施例的描述的预期目的仅为本发明的示例性说明而非穷举性的说明。在不脱离如所附加的权利要求限定的本发明的精神或其范围的情况下，本领域普通技术人员能够对所公开的主题的实施例进行某些增加、删减及/或修改。

Claims (18)

1.一种防止对电力网中的多个智能电子设备中之一的保护设置恶意更改的方法，所述方法包括：

检测对电力网中的第一智能电子设备的保护设置的试图的更改；

将对第一智能电子设备的保护设置的试图的更改发送至在所述电力网中的第二智能电子设备；

检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致；

如果对第一智能电子设备的保护设置的试图的更改与第二智能电子设备的保护设置不一致，则从第二智能电子设备向第一智能电子设备发送不一致性信号；及

收到不一致性信号后拒绝对第一智能电子设备的保护设置的试图的更改。

2.根据权利要求1的方法，其中所述对保护设置的试图的更改包括对时间刻度盘设置或电流拾取值设置的更改。

3.根据权利要求1的方法，其还包括将对第一智能电子设备的保护设置的所述试图的更改发送至所述电力网中的第三智能电子设备。

4.根据权利要求3的方法，其中所述第二智能电子设备是紧邻所述第一智能电子设备的下游智能电子设备，所述第三智能电子设备是紧邻所述第一智能电子设备的上游智能电子设备。

5.根据权利要求1的方法，其中所述检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致的步骤还包括检查第一智能电子设备的保护设置是否与第二智能电子设备的保护设置相配合。

6.根据权利要求1的方法，还包括如果第一智能电子设备的所述保护设置与第二智能电子设备的保护设置不一致，则从所述第一智能电子设备或者所述第二智能电子设备向所述电力网的操作员发送警报。

7.一种防止对电力网中的多个智能电子设备中之一的保护设置恶意更改的系统，所述系统包括：

用于检测对电力网中的第一智能电子设备的保护设置的试图的更改的装置；

用于将所述试图的更改发送至所述电力网中的第二智能电子设备的装置；

用于检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致的装置；

用于如果对第一智能电子设备的保护设置的试图的更改与第二智能电子设备的保护设置不一致，则从第二智能电子设备向第一智能电子设备发送不一致信号的装置；及

用于在收到不一致信号后拒绝对第一智能电子设备的保护设置的试图的更改的装置。

8.根据权利要求7的系统，其中所述对保护设置的试图的更改包括对时间刻度盘设置或电流拾取值设置的更改。

9.根据权利要求7的系统，还包括用于将所述试图的更改发送至所述电力网中的第三智能电子设备的装置。

10.根据权利要求9的系统，其中所述第二智能电子设备是紧邻所述第一智能电子设备的下游智能电子设备，所述第三智能电子设备是紧邻所述第一智能电子设备的上游智能电子设备。

11.根据权利要求7的系统，其中用于检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致的装置还包括用于检查第一智能电子设备的保护设置是否与第二智能电子设备的保护设置相配合的装置。

12.根据权利要求7的系统，还包括用于如果第一智能电子设备的所述保护设置与第二智能电子设备的保护设置不一致，则从所述第一和第二智能电子设备中的至少一个向所述电力网的操作员发送警报的装置。

13.一种防止对电力网中的多个智能电子设备中之一的保护设置恶意更改的方法，所述方法包括：

检测对电力网中的第一智能电子设备的保护设置的试图的更改；

将对第一智能电子设备的保护设置的试图的更改发送至所述电力网中的第二智能电子设备；

检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致；

如果对第一智能电子设备的保护设置的试图的更改与第二智能电子设备的保护设置一致，则从第二智能电子设备向第一台智能电子设备发送一致性信号；及

如果未从所述第二智能电子设备接收到一致性信号，则拒绝对第一智能电子设备的保护设置的试图的更改。

14.根据权利要求13的方法，其中所述对保护设置的试图的更改包括对时间刻度盘设置或电流拾取值设置的更改。

15.根据权利要求13的方法，还包括将对第一智能电子设备的保护设置的所述试图的更改发送至所述电力网中的第三智能电子设备，且如果未从所述第三智能电子设备收到一致性信号，则拒绝对第一智能电子设备的保护设置的试图的更改。

16.根据权利要求15的方法，其中所述第二智能电子设备是紧邻所述第一智能电子设备的下游智能电子设备，所述第三智能电子设备是紧邻所述第一智能电子设备的上游智能电子设备。

17.根据权利要求13的方法，其中所述检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致的步骤还包括检查第一智能电子设备的保护设置是否与第二智能电子设备的保护设置相配合。

18.根据权利要求13的方法，还包括如果第一智能电子设备的所述保护设置与第二智能电子设备的保护设置不一致，则从所述第一智能电子设备或者所述第二智能电子设备向所述电力网的操作员发送警报。

Images