3.1管理制度安全分析

國內絕大多數電力生產運行人員和設計人員沒有接觸過IEC61588技術，行業內缺少相應的技術標準和設計規范加以指導，已投運系統仍有不同程度的缺陷，尚未形成典型設計方案，加之IEC61588技術可選參數非常多，不同廠家可能采用不同參數配置，為系統聯調帶來很多困難。在IEC61850標準中，未定義時間同步模型，所以目前時間同步系統還不能在監控后臺上進行管理和監控。這些都為基于IEC61588 技術的時間同步系統管理帶來了困難。

目前正在起草的電力行業標準《電力系統網絡精確時間同步技術規范》，將在很大程度上對智能變電站PTP時間同步系統參數選擇、網絡配置、系統建模進行了約束，明確系統應用，解決系統聯調帶來的問題。

3.2設備安全分析

IEC61588技術對設備硬件處理能力有較高的要求，它不僅需要設備識別PTP報文，并且將識別的PTP報文打上時間戳，之后CPU 還要對報文進行處理，以獲得準確的時間準確度。下面以boardcom交換芯片為例，介紹PTP 報文的處理過程。

圖2是交換機發送時間戳報文的處理流程。首先交換機CPU生成Sync報文，并將它發送給交換芯片，交換芯片識別到Sync報文并優先發送給介質訪問控制層(MAC)，在MAC出口打上報文發送時間戳，并將發送時刻信息返回給CPU，CPU 中斷，讀取時間戳信息并插入到Follow_Up報文中再發送出去。

圖2發送時間戳報文的處理流程

圖3是交換機接收時間戳報文的處理流程。MAC接收到事件報文并打上時間戳，分析器從大量報文中解析PTP同步報文，并將同步報文優先發送給CPU，CPU根據接收到的Sync報文和Follow_Up報文，計算本地時鐘。

圖3接收時間戳報文的處理流程

可以看出，在IEC61588技術中，CPU 和MAC起到了非常關鍵的作用，它們承擔了PTP協議報文生成、時間戳記錄、時間計算的作用，而在整個處理過程中，其恰恰又是硬件處理的瓶頸，也是系統脆弱性所在。如果系統考慮不完善，會同時發生異常現象，頻率過快、sequenceId的不連續、惡意的協議攻擊或者網絡風暴等現象都將導致設備失效，甚至系統癱瘓。PTP系統在網絡負載為30Mbit/s情況下的對時精度測試結果見附錄A圖A2。

3.3網絡安全分析

智能變電站網絡結構模型如圖4所示。

PTP技術可以應用于過程層采樣值(SV)網絡和面向通用對象的變電站事件(GOOSE)網絡，而目前智能變電站應用IEC61588技術存在的安全隱患主要有以下幾種。

1)網絡隔離不充分

目前，變電站內部的網絡安全通常采用虛擬局域網(VLAN)技術進行安全隔離，這種方法能夠在很大程度上對網絡中的安全隱患進行防護。然而，由于IEC61588報文是一種可以跨越VLAN 的報文，所以VLAN對于IEC61588協議的攻擊起不到防護作用。網絡中的任何裝置，只要不進行物理隔離，均能夠對網絡中的其他裝置進行攻擊，以占用被攻擊目標的CPU資源，導致裝置癱瘓、時鐘紊亂或者死機。

2)偽造身份

由于共用網絡，而VLAN對于IEC61588協議起不到隔離作用，變電站中任何一個設備只要具備主時鐘功能，均可以偽造身份，以更高的優先級角色扮演主時鐘，使真正的主時鐘處于靜默狀態，代替主時鐘工作，以達到破壞系統穩定的目的。

3)網絡結構設計不合理

圖5是目前大多數智能變電站PTP系統采用的組網方式，該方式所有交換機工作于TC模式，保護裝置、合并單元、主時鐘等二次設備工作于OC模式下。該組網方式的弱點在于對主時鐘依賴程度過高，各間隔無單獨擴展時鐘源，無法達到守時能力。

圖6、圖7是本文提出的2種PTP系統組網方案。圖6采用傳統對時方案，在總控室至間隔層采用B碼時鐘方式，間隔內部采用PTP對時協議。圖7采用全網PTP對時方案，與主時鐘連接的交換機采用BC模式，同時要求交換機具有守時功能。2種方案均可以達到簡化網絡設計的目的，同時實現主控室和間隔層時間同步系統守時功能。

4一種基于網絡仿真技術的測評方法

4.1測評指標體系建立

評價智能變電站PTP時鐘系統有效性，建立測評指標非常重要，指標體系的建立主要從以下幾個方面加以考慮。

1)PTP工作原理：協議一致性、BMC算法正確性、錯誤報文挑戰和報文回放處理正確性。

2)智能變電站應用需求：對時精度小于1μs、守時精度小于1μs/h、時間抖動小于200ns。

3)網絡對PTP影響：幀丟失、幀亂序、幀復制、網絡風暴等均不應對時間精度產生影響。

4.2測評模型

為解決目前智能變電站PTP時鐘系統應用穩定性問題，國網電力科學研究院實驗驗證中心研究了一種采用分層控制技術進行模塊化結構設計的仿真系統，用于對智能變電站PTP時鐘系統進行評估。圖8為基于網絡仿真技術的測試評估模型。

圖8測試評估模型