安全可信PLC 在水电站监控系统中的应用

向强铭，张文韬，夏国强，张 鹏，陈超群，邢本福

（1.中国长江电力股份有限公司，湖北 宜昌 443133；2.北京中水科水电科技开发有限公司，北京 100038）

在复杂的安全形势下，电力系统等关系到国家命脉的关键基础设施已成为敌对国家和恐怖分子的重要袭击目标。大型水电站作为国家关键基础设施，一旦发生网络安全事故，不法分子对水电站计算机监控系统进行破坏攻击，甚至获取水电站的控制权，将严重影响电力系统安全稳定运行，因此提升水电站监控系统安全防护能力刻不容缓[1]。按照能源行业监控系统网络层级职责划分，现地控制层LCU 直接采集水轮发电机组主辅设备状态，对现地层设备进行精确控制，同时与厂站层进行通信，将采集的机组数据上送至厂站并接收厂站层下发的控制与调节命令。LCU 作为水电站监控系统的重要组成部分，其核心装置PLC 的实时处理能力与安全防护水平将决定着水电站的安全稳定运行。

水电站传统的安全防护策略为“重边界、轻内部”，导致内部信息系统和网络较为脆弱，计算环境不可信，信息安全缺乏深度保障。同时，PLC 为保证其实时性要求，往往缺少安全防护措施，其自身安全防护能力低，无法抵御外部非授权方式进入，篡改控制命令，改变信号状态等，存在较大安全隐患[2]。基于可信计算3.0 技术的可信PLC 是构建新一代主动免疫的水电厂网络安防体系的重要基础设施，其对PLC 硬件结构、嵌入式操作系统、应用软件及网络连接等多方面进行安全防护，在不影响业务连续性的前提下，增强电力监控系统安全免疫能力[3]。本文对基于安全可信PLC 的水电站监控系统设计、实时性能和防护策略进行了研究。

1 基于安全可信PLC 的水电站监控系统设计

目前，我国的大型、巨型水电站计算机监控系统多采用开放分布式体系结构设计，即整体上划分为厂站层和现地控制层，功能单元分布配置、冗余配置。一般而言，厂站层系统由SCADA 主机、对时系统、历史数据服务器、操作员站、工程师站、调度通信服务器等组成；现地层由多台机组LCU 组成，LCU内部采用环形以太网结构部署CPU 与远程子站，增强现地层可靠性。厂站层与现地层构成星型千兆以太网，通过冗余配置的信息网、控制网交换机连接，当主用网络故障时，能自动切换至备用网络。

基于安全可信PLC 的水电站监控系统在设计上应大体满足上述理念，但存在两个难点亟待解决：①如何实现对可信PLC 的有效统一管理，由于可信系统由可信硬件板卡、可信软件基及可信管理端构成，故要为PLC 安装可信板卡，并以嵌入式编程的形式配置可信软件基，在厂站层须增设部署可信管理软件的可信管理服务器。在可信管理软件的功能设计上，应充分考虑权限最小原则，针对每一机组PLC 能独立开启、关闭可信功能。②如何保证可信PLC 的性能满足生产需要，由于PLC 配置了可信功能，CPU 在运行过程中将耗费部分算力进行主动度量，其内存空间、存储空间也将受到一定程度的占用。如果无法解决算力问题，PLC 的内部处理、通信服务、输入处理、程序处理、输出处理等功能无法满足实时性要求，则电站正常生产运营无法获得保障。

图1 基于安全可信PLC 的水电站监控系统结构

目前，较为切实可行的方法是在可信板卡集成独立芯片用于可信计算，有效减少CPU 的算力负载。由于北京可信华泰信息技术有限公司的“白细胞”系列可信产品具有类似设计思路，后文将结合国产大型PLC 对其进行实时性研究。

2 安全可信PLC 实时性能研究

安全可信PLC 控制系统可信体系基于PLC 嵌入式可信执行环境，由嵌入式可信硬件、可信操作系统、可信应用层构成，在嵌入式系统高实时、低功耗、资源受限情况下实现可信计算和正常的逻辑运算。S.CTG 系列普通型PLC 已于2022 年在某电站700 MW 混流式机组LCU 进行了示范应用，经长期运行检验，设备运行可靠，本文选择其同系列产品配置可信产品组成安全可信PLC，并对可信PLC 的实时性能进行研究。参考GB/T 36009-2018《可编程控制器性能评定方法》，本文对PLC 系统最快响应时间、循环扫描周期以及上下位机通信进行测试。

2.1 系统最快响应时间研究测试

系统最快响应时间为输入模块响应时间、循环扫描周期和输出模块响应时间总和，针对S.CTG 普通型和可信型PLC 各搭建测试环境，包含CPU、DI和DO 模块的最快配置测试系统，编写测试程序，将程序的控制周期设置为可实现最快响应时间的模式，从示波器输出方波电压信号，接入DI 模块，在程序中将该DI 点赋值到DO 点并将DO 信号接入示波器，记录并测试DI 高低电平转换时刻跳变沿之间的时间长度。重复测试20 次以消除随机情况干扰，测试的结果如表1 所示。

表1 可信PLC 与普通型PLC 系统响应测试时间表

从表1 中可知，可信型PLC 系统最快响应时间为79 ms，平均时间为93.65 ms，普通型PLC 系统最快响应时间为70 ms，平均时间为89.25 ms，可信型PLC 平均系统响应时间相比普通型PLC 系统响应时间长4.9%。

2.2 循环扫描周期研究测试

搭建相同IO 配置的普通型PLC 和可信PLC 测试系统，两套PLC 运行同一应用程序，通过PLC 编程软件连接PLC 查看状态字%SW0032。普通型PLC扫描周期为30 ms，可信型PLC 扫描周期为32 ms，安全可信PLC循环扫描周期相比普通型PLC有所延长。

2.3 可信PLC 与上位机通信测试

为检验安全可信型PLC 与上位机通信速度，在现地层LCU 上运行机组LCU 程序进行了全面检验测试，包括IO 采样周期、响应速度测试、人机联系、时间同步、双CPU 切换试验，测试结果见表2。

表2 安全可信PLC 实时性能综合测试

从上述测试可以看出，可信型PLC 虽然因可信计算占用了部分CPU 资源，导致其性能相较普通型PLC 有所下降，但其总体性能仍满足水电站计算机监控系统的要求。

3 安全可信PLC 的防护策略设计

现大多水电站各LCU 的PLC 处于同一网段，RIO 子站遍布全厂关键位置，通过安装有PLC 编程软件的设备在任一LCU 的主备PLC 通信网口或现地交换机可不受限制访问其他LCU 的PLC，或在LCU内部任一RIO 子站的通信网口可不受限制访问本套LCU 的PLC，存在一定的安全隐患，同时LCU 日常运维需要对PLC 软件进行频繁的优化和升级，因此，安全可信PLC 应用于水电站监控系统在防护策略的设计上应结合水电站实际情况进行设计，既能满足安全防护需要，又要满足日常运维需要。根据安全可信PLC 系统结构，对其防护策略从启动度量、动态度量、软件升级和访问控制进行设计和功能实现。

3.1 启动度量

在可信PLC 启动时，通过可信机制逐级校验每个启动阶段的完整性，可信机制首先进行自身安全诊断，然后进行PLC 的计算环境检测，并对PLC 的业务模块进行检测，度量失败阻断系统继续执行，在发现系统内核度量失败后，维护人员输入口令进行认证，即可继续执行[4]。本部分对普通型PLC 和可信型PLC 上电直至PLC 业务正常运行所消耗的时间分别进行了100 次测试试验，其启动时间消耗频数直方图如图2 所示。

图2 可信型PLC 与普通型PLC 启动时间直方图

从图2 可以看出，可信型PLC 启动度量过程所消耗的时间比普通型PLC 启动消耗的时间有所增加，但由于PLC 均有热备冗余，且日常维护不涉及PLC 启停操作，其不影响监控系统的正常运行。

3.2 动态度量

动态度量是在系统运行过程中，通过条件触发和周期触发的方式对内存中的关键信息实时主动度量，监控系统运行状态、进程状态，通过条件触发和周期方式对系统进程、模块、执行代码段等关键信息进行监视和度量，并支持异常报警[5]。主要度量对象包括：程序代码段、系统调用的完整性、系统调用表等。动态度量是在系统运行过程中，通过条件触发和周期触发的方式按动态度量策略进行可信验证，从而进一步提高了PLC 的安全性和可靠性。根据第三方的测试报告，可信计算部件在PLC 正常运行过程中，对CPU的占用率小于5%，对业务的时间影响小于6%。

3.3 软件升级

水电站监控系统时常因监控的外部设备变化，需对PLC 程序进行升级，为满足日常运行运维需要，在可信管理终端设置软件升级软开关，在设备正常运行时将软开关关闭，避免非法外联恶意篡改程序和下发恶意指令，维护人员在需要修改程序时将软件升级软开关打开，对安全可信PLC 控制程序进行升级。

3.4 访问控制

针对现水电站存在任一调试笔记本可连接至现地LCU 主备PLC 的情况，在可信管理终端进行访问控制设计，只有加入到白名单的调试笔记本在通过用户身份进行可信确认后才能与PLC 进行连接，同时对PLC不同程序段自定义其访问策略，包括：读、读写等操作，只有具有读写操作的程序段才能进行程序修改。

4 总结

本文针对水电站计算机监控系统安全防护的薄弱环节，研究并设计了基于安全可信PLC 的计算机监控系统，对可信PLC 实时性能进行研究测试，同时对安全防护策略进行设计，保证了监控系统的主动防御。本研究对安全可信PLC 在水电站计算机监控系统中的推广及应用，具有一定指导意义。