专利名称:能源分配保护和控制装置的协同防御的制作方法
技术领域:
本申请涉及能源分配保护和控制装置的协同防御.
背景技术:
电力传输和分配系统日益暴露于网络攻击之下. 一些暴露可追溯到电
力工业向用于在整个网络上交换数据的开放性协议和标准(例如以太网 LAN/WAN上的TCP/IP (传输控制协议/互联网协议))的转移。随着功用逐 渐转移到下一代IP可寻址智能电子i更备(IED),这些开放性标准正在快 速地获得^S认。对于大多数这些IED而言,远程存取正日益成为标准的功 能设置。这些设备遭受网络攻击的风险由于继电保护部门针对^Mt权而访 问IED的程序上的弱点而加剧。联邦能源监管委员会(以下简称FERC) 的关键性M设施保护标准就是旨在通过加强在基于IT安全的程序方面 的要求来解决这一安全风险。例如,FERC在2008年1月17日发布的新 闻发布会上声明"强制性的可靠性标准要求大容量电力系统的特定用户、 所有者及运营者制定政策、计划和程序,以防护对控制系统的物理及电子 访问、训练安全事务方面的人员、才艮告安全事故以及准备好恢复网络事 故。"
还有更复杂的安全问题,新的电力系统市场目前要求对网^lt据的日 益增强的开放性。例如,FERC笫888和889号法令允许公共访问特定类 型的传输数据。这样的网络信息使攻击者能够窺视到电力系统中易受攻击 的部分.类似地,之前相互隔离的控制系统的增加的网络互联也增加了与 数据通信相关的安全风险,同样地,无人变电所也变得越来越容易受到未 授权物理ii^的攻击.
在IT前沿,有越来越多的电子盗窃和所谓的"黑^ft动主义"的例 子。网络攻击具有使大容量电力系统瘫痪的潜在危险。在一种攻击场景下, 网络攻击者可以远程地改变本地IED的继电器特性从而橫應扣装置误配 合(mis-coordination)。在更大的M^上,攻击者可以改变网络中的多个 IP可寻址IED的继电器特性,造成脱扣装置的误配合.在另一种攻击场 景下,黑客通过恶意改变继电器特性使本地IED发出脱扣信号,从而能够间接地控制断开装置。这些攻击会产生即刻的和破坏性的影响,且会引起 导致电力系统崩溃的级联事件。例如,黑客能够设置继电器特性以使得在
当前负荷M下脱扣。以这种方式,网络攻击者能够通过控制暴露的IED 而使变电所或者子系统的任何部分停止运转。
或者,攻击者能够使恶意后果延迟,直到系统中产生正常干扰。这种 类型的网络攻击可以通过有目的地使线路保护继电器错误配合,造成多于 必要的线路的脱扣而得以实现.在此类情况下,拔暴露的继电器将在最初 攻击后的 一段时间显露入侵。
因此,现有技术中需要改进的安全措施,以便能源保护和控制装置将 与恶意攻击相关的危险降至最^f氐。
发明内容
4^据本发明的一个方面,提供了一种用于防止对电力网中的多个IED 中之一的恶意设置更改的方法。检测对电力网中的第一 IED的保护设置的 试图的更改。将对笫一 IED的保护i殳置的试图的更改发送至该电力网中的 第二 IED。检查对第一 IED的保护设置的试图的更改与笫二 IED的保护设 置的一致性.如果对笫一 IED的保护设置的试图的更改与第二 IED的保护 设置不一致,则从第二IED向第一IED发送不一致性信号。收到不一致性 信号后拒绝对第一 IED的保护i更置的试图的更改。
根据本发明的另一方面,在电力网中的一个或多个IED中栽有计算机 可读介质。所述计算机可读^h质包^^有计算机可执行指令,所述指令在由 计算机执行时,会执行阻止对电力网中多个IED中之一的恶意设置更改的 方法。检测对电力网中的第一 IED的保护"S:置的试图的更改。将对第一 IED的保护设置试图的更^Ut送至该电力网中的笫二 IED。检查对笫一 IED 的保护设置的试图的更改与第二 IED的保护设置的一致性。如果对第一 IED的保护设置的试图的更改与第二 IED的保护设置不一致,则从第二 IED 向第一 IED发送不一致性信号.收到不一致性信号后拒绝对第一 IED的保 护设置的试图的更改.
本发明的特点、方面及优势将通过以下说明、所附权利要求和附图将 会得到更好的理解,在所述附图中图1示出了具有多个IED的电力网的示意图2示出了根据本发明一个实施例的过程;
图3示出了引起恶意改变IED设置更改请求的多种方法;
图4为显示延时馈路过电流方案的适当配合的图;及
图5为显示由恶意更改请求引起的延时馈路过电流方案的不适当配 合的图。
具体实施例方式
现在参考附图,电力传榆及/或分配网络由数字IO概括M示,并如 困l示意性地示出,如图所示,所述电力传输及/或分配网络10包括多个 IED。 IED通常是向开关设备发送控制信号的基于微处理器的电子设备, 所述开关设备例如电力系统中的断路器、自动重合开关和开关。当前可用 的IED结合了诸如监测、保护、控制、重合元件、电力质量监测和通讯等 的多种功能。IED提供的保护功能可包括用于相位和接地元件的延时和瞬 时过电流功能、序列方向过电流功能、重合功能、过频率和欠频率保护功 能以及过电压和欠电压保护功能.使用IED的前面板或者远程地使用软件 工具和通iflM^可对IED进行本地配置,
在当前所公开的实施例中,IED是继电器R1至R4的形式,当然也可 以使用其它类型的IED. Rl至R4继电器之间波此进行通信且在分配网中 以不同的空间间隔进行定位,IED从传感器和电力设^^收数据。如果检 测出电压或电流不规则,则IED可向相关的保护设4^发出控制命令,所述 相关的保护设备如脱扣电路断路器或自动重合开关.IED彼此ii行实时通 信并交换诸如继电器特性、保护设置更改以及受控设备的状态之类的信 息。在其它实施例中,IED可被编程为以规则的时间间隔轮询邻近的设备。 在又一实施例中,IED可被编程为针对特定的事件进行通信,所述特定的 事件如对IED的特性的试图的更改。在一个实施例中,IEC61850濕_在设 备网络上进行数据交换的通信协议。应当理解,还可以采用其它协议,如 分布式网络协议(DNP) V3. 00. IED可通过^通信^i5Jfe进行通信, 所述通信J^设施例如包括WiFi无线通信、光纤网络和电力线宽带。
以下将更详细地进行描述,每当试图对IED的工作特性进行改变时, 受影响的IED会将所述试图的更^JL送到分配网络中的其它IED。在一个 或多个实施例中,所述受影响的IED与紧邻的上游IBD和下游IED进行通信.相邻的IED根据存储的保护规则确认或者拒绝所述试图的更改。这种 对等的协同防御系统加强了基于域的安全层,其利用基于对电力系统进行 控制的物理定律的继电保护原理,以检测对电力^ftfe设施的攻击。因此, 当前公开的系统强化和补充了基于现有IT的安全层如加密的通信协议, 以及物理安全和实用过程如防止社会工程攻击,其中攻击者是通itA的交 互获#^感信息.
本发明的系统中采用的IBD间的协同J3Hi被提供用以避开试图改变 设备床护设置的恶意攻击。如图2所示,其更为详细地描述了所述保护方 法,在50处,攻击者进入IED R并iL^t设置的更改。在52处,该暴露 的IED R与其相邻的IED N通信。在一个实施例中,相邻的IEDN可包括 紧邻的上游和下游的IED。例如,当IED为具有配合床护方案的限流继电 器时,该配置可能;l有利的。在其它的实施例当中,相邻的IED可包括在 特定的分配或传输网中的所有IED的预定子集。在另外一些施例当中,所 述暴露的IED与特定的分配或传输网中的所有的IED进行通信。
所述暴露的IED发送的消息可包括所提议的设置更改、该IED的标识 及/或位置、请求的时间、请求的来源(即本地或远程)、J^更改的客户 机的IP地址和域,等等。在步骤54,相邻的IED根据预定的保护规则确 定试图的更改与其自身i殳置的一致性。因此,例如在这些IED为限流继电 器的实施例中,相邻的IED可检查新的设置是否与其自身的设置相配合。 然后,在56处,相邻的IED向新设置发出一致或者不一致性的消息。根 据一个实施例,如果一个IED发出了否决或者不相符设置消息,则在58 处,暴露的IED会拒绝所述试图的更改。同时,暴露的IED与发出否决消 息的IED两者或两者中的任一个发出对试图更改的警报。该警报可通过任 何通信^设施发送,所述通信^设施如IED的专用网络、变电所自动 化系统或者数据采集与监视控制(SCADA)系统。
根据另一个实施例,不是在从相邻的IED接收到不一致性消息时拒绝 所请求的更改,而是如果在预定的一段时间后,没有收到从相邻的IED 发来的一致性消息,则暴露的IED会拒绝更改设置请求.这种设计通过禁 用IED的通信系统防止了绕过保护系统的潜在可能性,根据另一个实施 例,如果在预定的时段内收到不一致性消息或者没有收到一致性消息,则 IED会拒绝该更改设置请求.
电力分配网中的每个IED都可被嵌入一致性算法,用于基于给定的保 护标准判断所接收到的设置的一致性。所述保护标准可以是,例如,该IED相对于上游和下游相邻设备的正确一致性。针对基于各种继电保护原 理的各种类型的IED,所述一致性算法可不同,所述继电保护原理例如线 路距离保护、线路纵联保护、线路过电流保护等。
当IED间的一致性运算法可运行时,未授^3US7或恶意的更改设置的 成功的可能性被大大降^氐。如图3所示,賴^据;^发明的系统可防止授权用 户如不满的员工的攻击。本发明还可防止使用盗取密码/ID或者黑客入侵 网络的未授权用户。另外,该系统可防止出现意外的人为误差,如维护人 员输入可能会破坏配合的不正确的设置更改。
如上所讨论的,一个示例性的保护设置可以是IED间的配合。典型地, 由继电工程师通过使用设立的配合设置程序来设置配合。理论上,IED继 电器设置S的映射可以是电力系统图G、网络序列阻抗X。12、负栽集L和 发电机Ie的函数
S — /^G, Xoi2, Il, Ig)
一般来说,除非由传输或分配系统所有者JL^更改,否则设置s随时 间保持静止。在此情况下,所i^C起的更改可表示为
S + AS
本发明中所提到的一致性算法包括基于域的继电保护运算法,其用于 检测被请求的IED设置和工作标准例如继电器配合的一致性。因此,该算 法利用电和电网的物理定律,例如,欧姆定律、基尔霍夫电流电压定律, 简言之,该算法是测试的实现,使得关系S —f(G, X。12, IL, U对新的设 置S+AS保持有效,
储存在IED上的一致性算法可以以特定的^4ft来表示,所述^lt依赖 于IED/继电器的类型.例如,过电流继电器的^可包括时间刻;SJt设 置(time dial setting)和电流拾取值(current pick - up )。对于i^JE巨 继电器,所述^ft可包括R/X区工作特性和区工作时间,试图的设置改变 被"在每个相邻IED中执行的规则引擎,所iiJi则引#设计来用于检 测与该特定IED的不一致性.可采用任何方法将所述规则编码到IED中,
参考图4,本发明的一个实施例对馈路过电流继电器的配合进行测 试。在该/>开的示例中,应用以下设置规则
(l)每个继电器拾取值设置/,被设置为使得该继电器在识别其自身保 护区域及下一个下,路部分的故障电流时即断开。所述继电器拾^^值i殳置是继电器工作的最小电流量,在其它实施例中,可使用欠电压继电器, 其中,继电器以小于抬^^值的值工作,并且对高于所述拾取值的值不采取 任何动作.给定继电器的保护区延伸到该继电器下游的下一个继电器。继 电器的拾取值设置ip应被设为低于其上游的继电器,使得最近的继电器 清除该故障。
(2)每个继电器时间刻度盘设置7}被设置为使得其对于在其自身保护 区中的故障而言以最小的时间延i5J逸行,但是慢得足以允许下游继电器清 除下一个下^路部分4冲的故障。对于过电流继电器,时间刻M设 置对应于特定的工作特性,所述工作特性与作为故陣电流大小的函数的继 电器的工作时间有关。时间刻^设置被i更置为使得其还包括配合时间, 如断路器工作时间所述配合时间是被增加封1T邻的上游继电器以在 可能的情况下使本地断路器脱扣的时间延迟.断路器工作时间是从该断路 器接收到来自继电器的脱扣信号开始,该断路器断开所用的时间。
根据一个实施例,本发明的一致性算法可由规则表达式表示.例如, 对上述提到的拾取电流和时间刻度盘设置的有效的设置变更应满足以下
用于一致性的规则r和户,其中,"《)和C+》表明在分别假设所指示的
时间刻JLiti更置为5和"+M以及继电器A"的配合时间为。+,的情况下,
游继电器A"的^^电流设置,其中f为继电器的抬、取电流i殳置中的最小 差异。在一个实施例中,针对在A"继电器的保护区中的所有可信的故障 情形^对所述规则进行测试。
如果每个规则T和P都得到真^^题,则所述设置一致。
根据另一个实施例, 一致*)±^算实施规则可以用不等式约束^示. 例如,具有N个如上所述的过电流继电器的馈路延时过电流保护中的时间 配合可以表示为与任何两个继电器的时间延时设置相关的一组约束。
A"的工作时间。、和^为上游继电器A和下
r://"(")>d)+c.其中。、表示相邻继电器之间的最小配合时间。此外,如上所示,对 于每对继电器,如果该命题为真,则所述设置彼此一致.
另外,可对最小和最大阈值进行监测。通常,Sf"A皿是指继电器j 的设置M&的阈值。 一个例子是用于拾取电流的最小阈值S"以确保继 电器不会拾^Jt常的负栽电流。
& > S广
类似地,继电器&,&—1,../ >,...及2,及1的拾取电流设置",;1"^.72,/1之间的
关系可以用不等式来表示,其中被定义为继电器^+1,及,的拾取电流中 的最小容许差值。
1 - > sw,jv-i
因为可实现任意数量的规则配置,因此以上所讨论的规则实施例仅是 示例性的。例如,在具有^J统源的配置或者具有沿馈路的有源电注入的配 置中可能需要变量。在任何一种配置中,不管试图更改的设置是否满足与
该特定IED相关的设置规则,预定数目的IED都会发出决定。
应当理解,在其他的继电保护方案中,可应用不同的设置规则。这样 的方案包括,例如,^m保护和差动保护。给定IED的一致性算法可以体 现这些保护性继电器方案的每一个的规则。可以用适当的语言对这样的规 则进行编码并将这些规则应用于IED中。例如,所i^Jl则可以被编写为C 编程语言、被编辑并被应用于数字继电器的实时IMt系统UT0S)中。
可具有用于发送试图的设置更改的多种发送方案。根据一个实施例, 所述试图的i更置更改仅波t送至检查配合所需的IED的最小集合.因此, 对于过电流继电器,这可以仅包括其紧邻的上游及/或下游继电器。对于 以非空间性关系工作的其它类型的继电器,如低频率继电器,所述IED 的最小集合可以是分配或输送网中的所有IED,或者一些预定的子集。
现在参考图5,提供了对延时馈路过电流方案的图示说明。如图所示, 显示了对过电流继电器R3的攻击,其中,攻击者试图改变时间刻^J^殳 置。在接收到改变设置请求后,R3将试图的时间刻度盘设置改变请求(T3 =1/2)发送给其相邻的继电器R2和R4。所述相邻的继电器通过l吏用一致性 算法针对时间配合及拾取值配合来分析设置要求。如图5所示,继电器 R2可接受该新的设置,即对于继电器R3的保护区内的所有故障,规则配 合继电器R2和R3工作时间r^(r2)^(7;4 7;。) + c3为真.然后,R2向R3发 送一致性声明,表明所提议的更改是可接受的。然而,R4检测到与其自 身设置的不配合,即对继电器R4的保护区内的至少一些故障而言, 7^(r3 4 2^X(7;)+c4为假。然后,R4向R3发送不一致性声明。之后,R3 拒绝该请求的设置更改。同时,R4向分配系统操作员发送警报。
根据另一个实施例,IED间的相互检验可以在更大的范围内进行,使 得例如,在馈电路线中的一些子集,或者甚至所有的IED对任何试图的设 置更改进行一致性检查。任何的i殳置更改请求消息都^Jl送给该预定组的 所有成员。在该实施例中,每个IED都可存储在该組中当前所有的IED 设置以及一致性算法。因此,在如图5所示的实施例中,更改请求也将由 继电器R1确认。
尽管以上所讨论的实施例涉及继电器,应当理解,此处所提到的IED 间的相互检验方案可适用于其它类型的IED,例如,可编程序逻辑控制器、 数字故障记录器、相位复数矢量测量单元及电能质量监测仪。
如本领域普通技术人员所理解的,本发明可以体现为或者采取之前所 述的方法和系统,以及具有存储在其上的计算机可读指令的计算机可读介 质的形式,其中,当处理器执行所述指令时,所述指令执行如上所述的本 发明的操作,所述计算机可读介质可以是可包含、存储、通信、传播或传 送用户接口程序指令的任何介质,所述用户接口程序指令由指令执行系 统、设备或装置使用或与其有关;并且可以例如是但不限于是电子的、磁 性的、光学的、电磁的、红外的或半导体系统、设备、装置或传播介质或 者其它可在其上打印程序的适合的^hf。计算机可读介质更具体的示例 (非穷举)可包括便携式计算;Mat盘、硬盘、随^取存储器(RAM )、 只读存储器(R0M)、可擦可编程只读存储器(EPR0M或者闪速存储器)、 光导纤维、便携式光盘只读存储器、光学储存设备、传输介质,如支持因 特网或者内部网络的介质,或者磁t存^i殳备。用于执行本发明的操作的计 算*序代码或指令可采用任何适合的编程语言来编写,只要能够达到如 上所述的技术结果。
应当理解,对于上述示范性实施例的描述的预期目的仅为本发明的示 例性说明而非穷举性的说明。在不脱离如所附加的权利要求限定的本发明的精神或其范围的情况下,M域普通技术人员能够对所公开的主题的实
施例ii行某些增加、删减及/或修改.
权利要求
1.一种防止对电力网中的多个智能电子设备中之一的恶意设置更改的方法,所述方法包括检测对电力网中的第一智能电子设备的保护设置的试图的更改;将对第一智能电子设备的保护设置的试图的更改发送至在所述电力网中的第二智能电子设备;检查对第一智能电子设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致;如果对第一智能电子设备的保护设置的试图的更改与第二智能电子设备的保护设置不一致,则从第二智能电子设备向第一智能电子设备发送不一致性信号;及收到不一致性信号后拒绝对第一智能电子设备的保护设置的试图的更改。
2. 根据权利要求1的方法,其中所述对保护设置的试图的更改包括对时 间刻度盘设置或电流拾取值设置的更改。
3. 根据权利要求1的方法,其还包括将对笫一智能电子设备的保护设置 的所述试图的更改发送至所述电力网中的第三智能电子i更备。
4. 根据权利要求3的方法,其中所述第二智能电子设备是紧邻所述第一 智能电子设备的下游智能电子设备,所述第三智能电子i殳4^是紧邻所迷第 一智能电子i殳备的上游智能电子i殳备。
5. 根据权利要求1的方法,其中所述检查对笫一智能电子设备的保护设 置的试图的更改是否与第二智能电子设备的保护设置一致的步骤还包括 检查第 一智能电子设备的保护设置是否与第二智能电子设备的保护设置 相配合。
6. 根据权利要求1的方法,还包括如果第一智能电子设备的所述保护设 置与第二智能电子设备的保护设置不一致,则从所述第一智能电子设备或者所迷笫二智能电子设备向所述电力网的操作员发送警报。
7. —种在电力网中的一个或多个智能电子设备中携载的计算机可读介 质,所述计算机可读介质包括计算机可执行指令,所述计算机可执行指令 在由计算机执行时,执行防止对电力网中的多个智能电子设备中之一的恶 意设置更改的方法,所述方法包括检测对电力网中的第 一智能电子设备的保护设置的试图的更改; 将对第 一智能电子设备的保护设置的试图的更^Ut送至所述电力网 中的笫二智能电子i殳备;检查对第 一智能电子设备的保护设置的试图的更改是否与第二智能 电子设备的保护设置一致;如果对笫 一智能电子设备的保护设置的试图的更改与第二智能电子 设备的保护设置不一致,则从第二智能电子设备向第 一智能电子设备发送 不一致信号;及收到不一致信号后拒绝对第 一智能电子设备的保护设置的试图的更改。
8. 根据权利要求7的计算机可读介质,其中所述对保护设置的试图的更 改包括对时间刻^EJti殳置或电流拾取值设置的更改。
9. 根据权利要求7的计算机可读介质,还包括将对第一智能电子设备的 保护设置的所述试图的更^USL送至所述电力网中的笫三智能电子设备。
10. 根据权利要求9的计算机可读介质,其中所述第二智能电子设备是 紧邻所述第一智能电子设备的下游智能电子设备,所述第三智能电子设备 是紧邻所述第一智能电子i殳备的上游智能电子i史备.
11. 根据权利要求7的计算机可读介质,其中所述检查对第一智能电子 设备的保护设置的试图的更改是否与第二智能电子设备的保护设置一致 的步骤还包括检查第 一智能电子设备的保护设置是否与第二智能电子设 备的保护设置相配合。
12. 根据权利要求7的计算机可读介质,还包括如果第一智能电子设备 的所述保护设置与第二智能电子设备的保护设置不一致,则从所述第 一智 能电子i殳备或者所述第二智能电子设备向所述电力网的^Mt员发送警报。
13. —种防止对电力网中的多个智能电子设备中之一 的恶意设置更改的 方法,所述方法包括检测对电力网中的第一智能电子设备的保护设置的试图的更改; 将对第 一智能电子设备的保护设置的试图的更改发送至所述电力网 中的笫二智能电子设备;检查对第 一智能电子设备的保护设置的试图的更改是否与第二智能 电子设备的保护设置一致;如果对第一智能电子设备的保护设置的试图的更改与第二智能电子 设备的保护设置一致,则从第二智能电子设备向第 一台智能电子设备发送 一致性信号;及如果"所述第二智能电子设备接收到一致性信号,则拒绝对第一智 能电子该:备的保护i殳置的试图的更改。
14. 根据权利要求13的方法,其中所述对保护设置的试图的更改包括对 时间刻M设置或电流拾取值设置的更改。
15. 根据权利要求13的方法,还包括将对第一智能电子设备的保护设置 的所述试图的更改发送至所述电力网中的第三智能电子设备,且如果^ 所述笫三智能电子i殳备收到一致性信号,则拒绝对第一智能电子设备的保 护设置的试图的更改。
16. 根据权利要求15的方法,其中所述第二智能电子设备是紧邻所述第 一智能电子设备的下游智能电子设备,所述第三智能电子设备是紧邻所述 第一智能电子设备的上游智能电子设备。
17. 根据权利要求13的方法,其中所述检查对第一智能电子设备的保护 设置的试图的更改是否与第二智能电子设备的保护设置一致的步骤还包 括检查第 一智能电子设备的保护设置是否与第二智能电子设备的保护设 置相配合。
18. 根据权利要求13的方法,还包括如果第一智能电子设备的所述保护 设置与第二智能电子设备的保护设置不一致,则从所述第 一智能电子设备 或者所述第二智能电子设备向所述电力网的操作员发送警报。\
全文摘要
本申请涉及能源分配保护和控制装置的协同防御。公开了防止对电力传输和分配网中的IED的设置进行恶意更改的方法。检测对IED的保护设置的试图的更改并将该试图的更改发送至一个或多个相邻的IED。相邻的IED检查新的设置的一致性并返回一致性或者不一致性信号。如果收到不一致性信号,则不允许该试图的设置更改。
文档编号H02J13/00GK101594006SQ20091014521
公开日2009年12月2日 申请日期2009年5月27日 优先权日2008年5月28日
发明者乐 唐, 雷纳尔多·努奎 申请人:Abb研究有限公司