水力發(fā)電廠二次系統(tǒng)安全防護專項應急預案

1、二次系統(tǒng)安全防護專項應急預案總則電力系統(tǒng)的二次系統(tǒng)是保障電力系統(tǒng)安全穩(wěn)定運行的重要組成部分，它的安全穩(wěn)定直接關系到小浪底電廠與河南省電網的安全穩(wěn)定。依據電力二次系統(tǒng)安全防護總體方案和發(fā)電廠二次系統(tǒng)安全防護方案，結合我廠實際情況，編寫本預案。本預案按照“安全第一、預防為主”的指導方針，堅持預防與救援相結合的原則，以緊急事件的預測、預防為基礎，以對緊急事件處理的迅捷、準確為核心，以全力保人身、保樞紐、保設備、保電網為目標，以建立緊急事件的長效管理和應急處理機制為根本，提高快速反應和應急處理能力，將緊急突發(fā)事件造成的損失和影響降低到最低程度。概述電力系統(tǒng)的二次系統(tǒng)，在這里系指發(fā)變電系統(tǒng)的測量、傳輸、

2、調度、管理系統(tǒng)。小浪底電廠電力二次系統(tǒng)需防護的范圍包括小浪底電廠與調度部門的縱向聯(lián)系通道，小浪底電廠電力二次系統(tǒng)各控制分區(qū)之間的橫向聯(lián)系通道，以及二次系統(tǒng)終端計算機?？v向通道包括小浪底電廠電力調度專網與省調接入網和地調接入網（省備調）兩個平面的縱向通道，橫向通道包括生產控制大區(qū)與管理信息大區(qū)之間的聯(lián)系通道。電力二次系統(tǒng)安全防護體系的故障，主要系指小浪底電廠與省調接入網和地調接入網縱向雙平面路由通道故障及信息防護安全事故、生產控制大區(qū)中控制區(qū)與非控制區(qū)設備故障、生產控制大區(qū)與管理信息大區(qū)間橫向路由通道故障及信息防護安全事故，以及各區(qū)所屬終端端計算機的故障和信息防護安全事故等。應急預案3.1 二次

3、系統(tǒng)安全防護專責人員應急職責3.1.1 在電力二次系統(tǒng)發(fā)生設備故障或安全防護事故后，二次系統(tǒng)安全防護專責人員根據故障報告，應立即按照本預案規(guī)定的程序，到現場進行搶修，把損失降到最低程度。3.1.2 向上級報告故障修復的進展程度。3.1.3 按照“保人身，保設備，保電網”的原則，分工明確，迅速處理。3.1.4故障處理期間，要求專責人員盡職盡責，聯(lián)絡渠道要明確暢通，聯(lián)絡用語規(guī)范，認真做好事故情況的記錄工作。3.1.5電力二次系統(tǒng)安全防護體系應急處置的終止：需防護的二次系統(tǒng)設備恢復正常運行，縱向及橫向數據傳輸均恢復正常，系統(tǒng)所屬計算機及路由節(jié)點確實查明已無安全防護漏洞，故障及安全隱患分析結論準確、報

4、告翔實，為二次系統(tǒng)安全防護應急處理的終止點。3.1.6 清理備品備件，對已消耗的重要設備及時補充，事后編寫處理報告。3.1.7 對本預案進行定期演練。3.2 事故預防3.2.1 可能導致出現電力二次系統(tǒng)安全防護體系故障的情況有：二次系統(tǒng)電源中斷，或二次系統(tǒng)體系中某一部分電源中斷。省調或地調接入網數據通道出現故障。二次系統(tǒng)體系中部分設備出現故障。由于縱向加密裝置或防火墻失效而導致生產控制區(qū)域安全防護事故。由于橫向隔離裝置故障而導致的生產控制大區(qū)遭受管理信息大區(qū)非法入侵。在終端計算機上使用移動媒介（如U盤）感染病毒而導致的二次系統(tǒng)安全防護事故。由于電力二次系統(tǒng)服務器或者終端計算機賬戶和密碼遭受惡意

5、篡改而導致的非法入侵。3.2.2 針對以上情況，需要在平時注意的有：加強對二次系統(tǒng)設備、通道及其電源的日常巡檢工作，定期對二次系統(tǒng)設備、通道及其電源進行測試檢查，及時消缺。定期對二次安全防護設備及其終端計算機進行檢查，發(fā)現隱患和漏洞及時修補，定期升級所屬網關殺毒軟件和防火墻。3.3 設備故障分類和應急處理程序3.3.1 縱向通道故障小浪底電廠電力二次系統(tǒng)與省調接入網、地調接入網縱向雙平面通道故障主要表現為與此相關的光端機、實時和非實時交換機以及終端設備燈光報警、通信接口指示燈閃爍異常、生產管理系統(tǒng)（OMS系統(tǒng)、即時信息系統(tǒng)、并網調度管理系統(tǒng)等）無法登陸等現象。此時應首先查明小浪底電廠機組AGC

6、、AVC功能運行情況，分析和指出遙調、遙控、遙信、遙測信息故障現象。如遙調遙控信息出現異常，應立即告知當班值長申請調度退出機組AGC、AVC運行，然后進行下一步故障處理3.3.2二次系統(tǒng)設備電源故障首先檢查廠用電是否正常，同時查看小浪底地面副廠房一樓UPS室通信UPS盤柜，查外部電源電壓是否正常、蓄電池組電壓是否正常、48V電源浮充裝置輸出是否正常、直流總開關分合閘狀態(tài)等。當外部電源均已失去，且蓄電池組已放電完畢，則等待外部電源恢復后，查看浮充裝置是否已切至充電狀態(tài)，若沒有則手動切換并查明原因。3.3.3 二次系統(tǒng)某一部分設備電源故障首先檢查設備盤柜內部電源開關和UPS室直流負荷屏上的電源開關

7、分合狀態(tài)，如在分位置，檢查盤柜內部和電源線路短路點。在短路點排除后或者發(fā)現無短路點時重合電源開關，并檢查設備上電情況，倘若以上檢查都沒有任何問題而設備依然斷電，則判斷為設備本身故障，應更換故障備件。3.3.4 省調接入網（第一平面）通道出現故障出現這種情況，應立即聯(lián)系值長，檢查AGC、AVC運行情況，必要時退出AGC、AVC運行。檢查地調接入網（第二平面）通道數據傳輸情況，確定調度信息數據已自動切換至地調接入網通道進行傳輸，并在排除省調接入網通道故障期間確保地調接入網通道數據暢通。首先檢查小浪底地面副廠房二樓光端機房的ECI、馬可尼光端機報警信號和PCM等其他設備的報警信號，同時聯(lián)系省調，確定

8、故障時間和現象，采用分段排查法，逐級排查故障位置，必要時聯(lián)系廠家指導，使用計算機連接光端機、交換機、路由器等設備，查看報警信息和機內配置，或使用維護終端連接PCM查看報警信息以幫助排查。在分段排查法排查自身確無問題，或排查完畢仍不確定故障位置時，不排除因省調接入網主站端進行維修工作而導致通道暫時中斷的情況。出現此懷疑時，應及時聯(lián)系省調，確認對方的工作情況，并密切監(jiān)視通道是否自行恢復正常。3.3.5 地調接入網（第二平面）通道出現故障地調接入網也稱省備調接入網，出現該通道故障情況，應首先檢查省調接入網（第一平面）通道數據傳輸是否正常，并在排除地調接入網（第二平面）通道故障期間確保省調接入網主通道

9、數據暢通。因雙平面數據傳輸設備基本一致，故此故障排查法與3.3.4省調接入網通道故障排查法一致。3.3.6 雙平面通道同時出現故障出現此故障，應立即聯(lián)系值長，退出AGC、AVC運行，同時聯(lián)系省調，確認故障發(fā)生時間和現象，確定是否因主站端工作、臨時調整或事故而導致通道中斷。檢查小浪底電廠電力調度專網盤柜內交換機、路由器等設備運行情況，并檢查盤柜電源設備是否正常。首先按3.3.2和3.3.3進行檢查，無問題后根據與省調、省備調聯(lián)系的結果按3.3.4和3.3.5條方法分段檢查通信通道各組成部分。電力調度專網雙平面設備（如兩臺路由器）同時故障的概率較小，如果出現該現象，可聯(lián)系廠家指導，用計算機終端連接

10、設備查看設備故障信息，或請省調遠程故障診斷，以確定故障點。3.3.7部分設備出現故障發(fā)現此故障后，應首先檢查是否只有此單一業(yè)務故障，若確定是單一業(yè)務故障，則按照相應應急預案處理。倘若發(fā)現不止此一項業(yè)務故障，則按實時業(yè)務與非實時業(yè)務兩大類，分別排查相對應的通道傳輸及節(jié)點設備，如實時與非實時交換機、路由器、光端機和2M通道等，并按3.3.4和3.3.5條對雙平面?zhèn)鬏斖ǖ肋M行檢查。3.3.8 縱向加密認證裝置出現故障時的專項應對措施縱向加密認證裝置采用IC芯片卡存儲數字密鑰，工作于雙平面的實時業(yè)務通道。它提供了對本廠實時業(yè)務數據與省調接入網和地調接入網對端收發(fā)時的實時加解密，保護了數據在外部調度網絡

11、傳輸時可能遭到的截獲、解密，進而可能的偽造、入侵與攻擊，也就保護了本廠設備的生產安全。它可能的故障大致分為損壞與失效兩大類。當雙平面通道實時業(yè)務出現故障后，按分段查找法，確定是縱向加密認證裝置故障時，可首先對縱向加密認證裝置進行斷電復位，然后聯(lián)系省調（省備調），查詢是否正常；如故障仍未恢復，可能是IC芯片卡有誤，可重新插拔后再次聯(lián)系省調（省備調），如仍未恢復，可判斷為縱向加密認證裝置或IC芯片卡本身損壞，聯(lián)系廠家處理。在某一平面縱向加密認證裝置損壞后，需及時與省調（省備調）溝通，切換該臺縱向加密裝置后面的旁路按鈕至旁通位置，并采取措施確保另一平面通道數據傳輸正常。縱向加密認證裝置失效，一般是由

12、于IC芯片卡數字密鑰失效導致，一般由省調（省備調）通知后再進行故障排除。為不影響正常業(yè)務傳輸，在此情況下也可切換該臺裝置至旁通狀態(tài)。3.3.9 防火墻出現故障時的專項應對措施硬件防火墻相當于一臺添加了許多過濾與防護規(guī)則的高級路由器，工作于電力調度專網雙平面的非實時業(yè)務通道。它阻止了從本廠調度數據網絡以外可能的入侵與攻擊，保護本廠非實時業(yè)務的數據安全。它可能出現的故障大致分為內部邏輯錯誤和損壞兩大類。當雙平面通道非實時業(yè)務出現故障后，按分段查找法，確定是防火墻故障時，首先查看防火墻的“心跳”指示，如果此燈無響應，可對防火墻進行斷電復位，然后聯(lián)系省調（省備調），查詢是否正常，如沒有恢復正常，可使用

13、計算機連接防火墻，使用遠程終端登錄查看防火墻的報警信息、安全日志和路由規(guī)則，同時聯(lián)系省調（省備調），以確定省調（省備調）沒有因改變業(yè)務IP、服務器IP等信息而未通知所導致的路由轉發(fā)規(guī)則錯誤。如果查看防火墻出現安全警報（刺探、入侵與攻擊記錄），及時聯(lián)系廠家與省調，請求協(xié)助調查與指導。如果以上措施均無效，防火墻重啟不恢復，也無法登陸查看，可判斷防火墻損壞。應聯(lián)系廠家，更換備件。3.3.10 橫向隔離裝置出現故障時的專項應對措施電力系統(tǒng)專用正向物理隔離裝置，相當于一臺工作在OSI應用層的1bit單向傳輸數據隔離計算機，裝設于生產控制大區(qū)非控制區(qū)（II區(qū)）與管理信息大區(qū)（III區(qū)）之間，目的是只允許從

14、管理信息大區(qū)（III區(qū)）單向讀取生產控制大區(qū)（II區(qū)）的數據，但不允許從生產控制大區(qū)直接訪問管理信息大區(qū)的業(yè)務。如果出現二區(qū)與三區(qū)通信中斷，在排查并網調度系統(tǒng)與三區(qū)終端計算機無問題后，可判斷是橫向隔離裝置故障，需檢查橫向隔離裝置配置及電源情況并進行復位重啟，必要時聯(lián)系廠家指導處理。如三區(qū)某時間訪問二區(qū)業(yè)務時發(fā)現能寫入、保存數據文件，則可判斷是橫向隔離裝置失效，此時應立即切斷三區(qū)與二區(qū)的物理連接，即拔掉鏈路上任意一處網線插頭，同時聯(lián)系廠家指導處理。3.3.11 非控制區(qū)下屬終端計算機染毒生產控制大區(qū)中的非控制區(qū)（II區(qū)）承擔非實時業(yè)務，它下屬的終端計算機主要有OMS系統(tǒng)的終端計算機、并網調度系統(tǒng)

15、的終端計算機等。對終端計算機病毒及其他安全漏洞的處理，主要有防范和補救兩大類。防范分兩類，一是指在終端計算機上安裝軟件防火墻、查殺病毒軟件，定期更新計算機操作系統(tǒng)補丁、定期對計算機進行查殺病毒操作、定期更新殺毒軟件病毒特征庫、定期查看與處理防火墻安全報警日志等；二是在計算機操作系統(tǒng)上通過修改組策略與BIOS等，禁用USB存儲盤功能，同時禁用光盤自動播放功能，以徹底杜絕可能的外來移動介質毒源。補救是指在發(fā)現某臺計算機終端已經染毒后，應立即切斷該計算機與上級業(yè)務通道的網絡連接，同時由專責人員對該計算機進行徹底查殺和修補漏洞，直到確認已無任何安全隱患，方可重新接入。在某臺計算機斷開網絡維護期間，需提

16、前準備一臺系統(tǒng)干凈并安裝、更新好殺毒軟件、防火墻的臺式計算機或筆記本計算機，代替染毒計算機的位置，不影響運行人員正常應用二區(qū)的原有業(yè)務。3.3.12 控制區(qū)下屬終端計算機染毒生產控制大區(qū)中的控制區(qū)（I區(qū)）承擔實時業(yè)務，一般不允許有中斷數據等情況發(fā)生，故對病毒的安全防范比二區(qū)更嚴?？刂埔粎^(qū)的計算機終端主要有遠動RTU系統(tǒng)的維護計算機、電力調度專網縱向加密認證裝置、路由器等維護用移動終端，平時不與設備相連，在故障處理、設備操作或例行巡檢時才連接查看。該類移動終端、便攜式筆記本應做到專機專用，平時存放于固定地點，不做日常使用用途，并應參照3.3.11條第三項，定期升級機上各類安全軟件，定期查殺該計算

17、機病毒。一旦發(fā)現該計算機染毒，絕不允許再接入控制區(qū)設備，平時應準備一臺系統(tǒng)干凈、裝好安全軟件的計算機，并安裝相應維護軟件，需要時可以立即替換。3.3.13 管理信息大區(qū)下屬終端計算機染毒管理信息大區(qū)（III區(qū)）下屬的計算機終端數量眾多，主要由廠級和局級部門負責維護管理。在正向隔離裝置工作正常時，三區(qū)計算機并不會對生產控制大區(qū)網絡及其下屬業(yè)務設備產生安全隱患；如正向隔離裝置失效，則可能造成安全威脅，故障處理方法同3.3.10條第五項。3.3.14生產控制大區(qū)或管理信息大區(qū)服務器、終端計算機受到非法入侵此類情況首先以預防為主。在平時即需加強對各服務器、計算機終端系統(tǒng)的維護，及時升級補丁，查找漏洞和

18、安全隱患，定時查看系統(tǒng)安全日志、用安全類軟件掃描系統(tǒng)，查找有無被入侵的痕跡。如在發(fā)現某臺終端或服務器異常后，應迅速判明是否為入侵事件，如確定，應立即切斷該臺終端或服務器與我廠電力二次系統(tǒng)網絡的連接，然后由專人負責對其進行反入侵修復。在此期間，需盡快準備并投入使用備用終端和備用服務器，以使操作人員能正常使用該終端或服務器原有的業(yè)務。3.4 緊急情況3.4.1 小浪底水電廠二次系統(tǒng)安全防護體系緊急情況有三類：在機組投運AGC、AVC時，二次系統(tǒng)雙平面通道突然發(fā)生故障，導致小浪底電廠與河南省調（省備調）遠動信息無法相互交換，“四遙”數據丟失，從而導致機組失去省網控制，以及由此導致的更嚴重問題。在小浪底電廠與省調（省備調）進行重要的調度會議、演習、電網搶險或執(zhí)行重要調度決定，需要不間斷聯(lián)絡時，二次系統(tǒng)雙平面通道突然發(fā)生故障，導致我廠與省調（省備調）失去調度聯(lián)絡，省調（省備調）無法及時掌握我廠機組狀況，由此而產生的更嚴重問題。由于二次系統(tǒng)安全防護節(jié)點設備（如縱向加密裝置、防火墻、橫向隔離裝置、殺毒軟件等）失效而導致的安全危機，如生產控制大區(qū)