DL∕T 1455-2015 電力系統(tǒng)控制類軟件安全性及其測評技術(shù)要求

備案號：50775-20152015-07-01發(fā)布2015-12-01實施國家能源局發(fā)布 Ⅱ 12規(guī)范性引用文件 13術(shù)語和定義 14符號、代號和縮略語 25安全性技術(shù)要求 26功能安全性測評要求 57網(wǎng)絡(luò)安全性測評要求 7附錄A(規(guī)范性附錄)主站控制類軟件功能安全性測評要求 附錄B(規(guī)范性附錄)廠站控制類軟件功能安全性測評要求 附錄C(規(guī)范性附錄)電力系統(tǒng)控制類軟件代碼質(zhì)量測評項目 性和可靠性，規(guī)范和指導(dǎo)電力系統(tǒng)控制類軟件的安全性測評、設(shè)計、開發(fā)、本標準按照GB/T1.1—2009《標準化工作導(dǎo)則第1部分：標準的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標準由全國電網(wǎng)運行與控制標準化委員會(SAC/TC446)歸口。南京南瑞集團公司、國家電網(wǎng)公司華北分部、國網(wǎng)福建省電力有限公司、廣本標準主要起草人：陶洪鑄、李立新、嚴亞勤、花靜、孫煒、韓秀文、鄭志千、李宇佳、張東院、高昆侖、慈國興、楊清波、劉楠、狄方春、單松玲、陳鄭平、張勇、江澤鑫、陳鵬、陳寧、韓麗芳、本標準在執(zhí)行過程中的意見或建議請反饋至中國電力企業(yè)聯(lián)合會標準化管理中心(北京市白廣路二GB/T11457信息技術(shù)軟件工程術(shù)語GB/T20273信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南DL/T634.5101遠動設(shè)備及系統(tǒng)第5-101部分：傳輸規(guī)約基本遠動任務(wù)配套標準DL/T634.5104遠動設(shè)備及系統(tǒng)第5-104部分：傳輸規(guī)約采用標準傳輸協(xié)議集的IEC60870-5-DL/T667遠動設(shè)備及系統(tǒng)第5部分：傳輸規(guī)約第103篇：繼電保護設(shè)備信息接口配套標準DL/T860(所有部分)變電站通信網(wǎng)絡(luò)和系統(tǒng)DL/T890(所有部分)能量管理系統(tǒng)應(yīng)用程序接口2AGC:自動發(fā)電控制(automaticgenerationcontrol)CCS:協(xié)調(diào)控制系統(tǒng)(coordina3AGC乏場4電網(wǎng)通用模型描述規(guī)范5表1(續(xù))電力調(diào)度消息郵件傳輸電力調(diào)度工作流程描述電力系統(tǒng)圖形描述電力系統(tǒng)動態(tài)消息編碼規(guī)范電力系統(tǒng)簡單服務(wù)接口電力系統(tǒng)實時數(shù)據(jù)通信協(xié)議DL/T476、DL/T634.5101、DL/T634.510繼電保護設(shè)備信息接口配套標準能量管理系統(tǒng)應(yīng)用程序接口6d)變電站及發(fā)電廠監(jiān)控軟件的AVC模塊軟件應(yīng)滿足附錄B的表B.1中AVC模塊項所規(guī)定的功f)主站軟件及廠站通信網(wǎng)關(guān)機應(yīng)具備廠站設(shè)備地址校驗機制，對控制報文的廠站設(shè)備地址進1)內(nèi)存泄露缺陷；2)數(shù)組越界缺陷；3)空指針引用缺陷；4)代碼不可達缺陷；5)內(nèi)存釋放后引用缺陷；6)并發(fā)機制缺陷；7)資源利用缺陷。b)圈復(fù)雜度過大(>10)的模塊比例數(shù)≤0.8%;7d)源代碼行數(shù)過大(>200行)的模塊比例≤0.5%;a)語句覆蓋率為100%;b)分支覆蓋率為100%;c)條件覆蓋率≥80%;d)MC/DC覆蓋率≥80%。電力系統(tǒng)控制類軟件進行網(wǎng)絡(luò)安全性檢查和測試時應(yīng)按7.2～7.11的要求開展，并根據(jù)GB/T20272、GB/T20273、GB/T22239、GB/T22240、GB/T25058規(guī)定的安全級別確定897.11剩余信息保護軟件應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等敏感信息所在的存儲空a)SCADA軟件責(zé)任區(qū)設(shè)置2)限值修改等數(shù)據(jù)維護應(yīng)只對本責(zé)任區(qū)范圍內(nèi)的對象有效；4)人員可配置角色，不同的角色配置擁有不同的權(quán)限；5)機器可配置角色，不同的角色配置擁有不同的權(quán)限；6)責(zé)任區(qū)的操作權(quán)限范圍可靈活控制到全網(wǎng)、控制區(qū)、廠站、間隔、設(shè)備級別；7)不同責(zé)任區(qū)的操作和瀏覽權(quán)限可靈活設(shè)置電網(wǎng)范圍，可互斥隔離，也可有交叉的人員和機器進行操作標識牌操作1)禁止對具有禁止操作類標識牌的設(shè)備進行操作；2)禁止對具有保持分閘/保持合閘標識牌的設(shè)備進行合閘/分閘操作；3)對于不具備接地開關(guān)的點掛臨時接地線時，應(yīng)支持設(shè)置接地標識牌并禁止操作閉鎖和解鎖操作操作等；2)閉鎖功能和解鎖功能應(yīng)成對提供；3)所有的閉鎖和解鎖操作應(yīng)進行存檔記錄操作和控制1)控制操作應(yīng)有防誤校核機制，校核不通過不能進行控制；2)應(yīng)支持通過雙機認證之后的強制控制功能；3)變壓器擋位調(diào)節(jié)應(yīng)逐級調(diào)節(jié)，禁止跳擋操作；4)遙控進行選擇操作后在設(shè)定時間內(nèi)沒有響應(yīng)的應(yīng)自動撤銷遙控操作；5)遙控執(zhí)行前應(yīng)返校成功才能執(zhí)行遙控；6)應(yīng)支持置入狀態(tài)下遙控操作許可性配置；7)應(yīng)禁止兩個及以上控制臺在同一時刻對同一設(shè)備進行遙控操作；作內(nèi)容、操作時間、操作結(jié)果等，可供調(diào)閱和打印1)應(yīng)對所有操作進行權(quán)限控制，操作應(yīng)限定在有權(quán)限的工作站上進行；2)操作人員應(yīng)有相應(yīng)的權(quán)限b)AGC軟件表A.1(續(xù))2)應(yīng)對控制目標值調(diào)節(jié)步長進行限制；3)應(yīng)對關(guān)鍵量測(頻率、聯(lián)絡(luò)線交換功率、機組出力、機組上下限)的量測狀態(tài)和實時值變化合理性進行校核；4)應(yīng)對全廠/單機控制指令是否處于機組全廠/單機禁止運行區(qū)進行校驗；閉鎖和解鎖操作1)應(yīng)能禁止AVC對所選對象進行控制，但是不影響其他模塊的處理等；2)閉鎖功能和解鎖功能應(yīng)成對提供；3)所有的AVC閉鎖和解鎖操作應(yīng)進行存檔記錄；4)軟件在檢測到控制設(shè)備故障信息、異常信號或其他預(yù)設(shè)條1)控制下發(fā)設(shè)備應(yīng)在許可的廠站范圍內(nèi)，防止對未許可的廠站下發(fā)控制命令；2)控制設(shè)備應(yīng)滿足一定的編碼或者命名規(guī)則，防止控制到錯誤的設(shè)備；3)應(yīng)校驗控制目標電壓值上下限；4)應(yīng)限制控制目標電壓調(diào)節(jié)步長；5)應(yīng)校驗關(guān)鍵量測(電壓、機組無功)的量測狀態(tài)和實時值變化合理性；6)機組可調(diào)無功上下限應(yīng)根據(jù)P-Q曲線加以限制，并考7)離散設(shè)備投切應(yīng)滿足動作次數(shù)、動作時間間隔、動作順序的要求數(shù)據(jù)校核2)前置通信應(yīng)對發(fā)送數(shù)據(jù)進行嚴格校驗，禁止將不合法的數(shù)據(jù)轉(zhuǎn)發(fā)出去1)前置通信應(yīng)判斷控制命令的正確性，禁止將非法值下發(fā)給廠站；應(yīng)用式進行通信1)操作應(yīng)從有控制權(quán)限的工作站上進行；2)操作人員應(yīng)有相應(yīng)的權(quán)限2)應(yīng)具備設(shè)備遙控操作許可屬性的配置功能；3)應(yīng)具備置入狀態(tài)下遙控操作許可屬性的配置功能；4)應(yīng)具備單席操作/雙席操作模式的配置功能；5)應(yīng)具備普通操作/快捷操作方式的配置功能；6)操作時每一步應(yīng)有提示，每一步的結(jié)果應(yīng)有相應(yīng)的響應(yīng)；7)雙席操作校驗時，監(jiān)護員應(yīng)對控制操作進行確認；8)遙控進行選點操作后在設(shè)定時間內(nèi)沒有響應(yīng)自動撤銷遙控操作；9)遙控執(zhí)行前應(yīng)返校成功才能執(zhí)行遙控；10)同一時刻禁止兩個及以上控制臺對同一設(shè)備進行遙控操作；11)禁止對掛接地牌的設(shè)備進行遙控操作；作內(nèi)容、操作時間、操作結(jié)果等，可供調(diào)閱和打印序列控制2)控制過程中對每一個控制點都應(yīng)進行遙信返校；3)禁止控制條件不滿足的序列被自動執(zhí)行或手動執(zhí)行；4)可中斷控制過程中的控制操作；5)控制過程中出現(xiàn)操作失敗的，應(yīng)自動停止后續(xù)控制防誤閉鎖1)常規(guī)防誤閉鎖，應(yīng)按預(yù)定義的操作閉鎖條件進行閉鎖；2)信號確認只對本責(zé)任區(qū)內(nèi)信號有效；3)應(yīng)支持信號、間隔、全站、全系統(tǒng)四級確認標識牌操作1)應(yīng)驗證人員、機器的權(quán)限，禁止無權(quán)限的人員、機器進行掛牌操作；2)禁止對具有鎖住標識牌的設(shè)備進行操作；3)禁止對具有保持分閘/保持合閘標識牌的設(shè)備進行合閘/分閘操作；4)對具有警告標識牌的設(shè)備執(zhí)行操作時應(yīng)進行提示；標識牌；象的標識牌；7)掛檢修牌之前應(yīng)先掛接地牌；8)掛有人牌之前應(yīng)先掛檢修牌；9)設(shè)備處于運行狀態(tài)時禁止掛除保持合閘之外的標識牌；10)設(shè)備處于冷備狀態(tài)時禁止掛保持合閘標識牌等設(shè)備過負荷；2)可設(shè)置故障處理閉鎖條件，避免保護調(diào)試、設(shè)備檢修等人為操作的影響；等),保證故障處理過程不受其他操作干擾；4)主站饋線自動化功能應(yīng)支持人工預(yù)設(shè)、調(diào)整、優(yōu)化處理方案等輔助功能；5)應(yīng)保存故障處理的全部過程信息，以備故障分析時使用(規(guī)范性附錄)廠站控制類軟件功能安全性測評要求見表B.1。應(yīng)具備安全措施，禁止無控制權(quán)限的人員遠程瀏分級控制2)站內(nèi)同一個時間只執(zhí)行一個控制操作命令，禁單設(shè)備控制1)控制操作前應(yīng)有校核的步驟，校核不通過禁止執(zhí)行；2)控制對象設(shè)置禁止操作標識牌時禁止執(zhí)行；3)操作員應(yīng)有相應(yīng)的權(quán)限，雙席操作校驗時，監(jiān)護員應(yīng)確認；同期操作同期操作應(yīng)檢測斷路器兩側(cè)的母線、線路電壓幅值、相角及頻率，實現(xiàn)自動同期捕捉合閘1)應(yīng)對定值修改進行權(quán)限控制；2)應(yīng)支持定值修改校核機制；3)應(yīng)支持遠方切換定值區(qū)應(yīng)支持遠方投退軟壓板校核機制主變壓器分接頭調(diào)節(jié)應(yīng)逐級上調(diào)或下調(diào)，禁止跳擋調(diào)度操作與控制應(yīng)支持調(diào)度操作與控制校核機制，校核不通過防誤閉鎖1)防誤閉鎖可分為站控層閉鎖、間隔層聯(lián)閉鎖和機構(gòu)電氣閉鎖三個層次；2)站控層閉鎖宜由監(jiān)控主機實現(xiàn)，操作應(yīng)經(jīng)過防誤邏發(fā)至間隔層，如發(fā)現(xiàn)錯誤應(yīng)閉鎖該操作；不影響間隔層聯(lián)閉鎖，站控層和間隔層聯(lián)閉鎖均DCS系統(tǒng)經(jīng)過轉(zhuǎn)換的指令值應(yīng)與遠動裝置一致，誤差應(yīng)不超過0.5%出現(xiàn)機組量測異常時，DCS應(yīng)能退出AGC遠方控制，機組出力無異常變化內(nèi)部異常退出AGC遠方控制電廠內(nèi)部故障信號，機組應(yīng)主動退出AGC遠方控制1)機組控制方式可支持就地命令方式、調(diào)度遠方命令方式、曲線方式、手動方統(tǒng)和機組出力應(yīng)運行平穩(wěn)；表B.1(續(xù))網(wǎng)絡(luò)中斷后在一定時間內(nèi)恢復(fù)的，全廠AGC狀態(tài)應(yīng)保持不變；否則，全廠AGCc)AGC模塊1)各個通道均應(yīng)能正確接收調(diào)度下發(fā)的指令；2)經(jīng)過轉(zhuǎn)換的指令值應(yīng)和遠動裝置一致，遙測和遙調(diào)誤差應(yīng)不1)應(yīng)拒絕執(zhí)行調(diào)度下發(fā)的不合理控制命令，用實發(fā)出力覆蓋遙調(diào)命令值；對數(shù)據(jù)一致性和合理性進行校核；d)AVC模塊1)各個通道均應(yīng)能接收調(diào)度下發(fā)指令；電壓遙測和遙調(diào)誤差應(yīng)不超過0.2%2)連續(xù)三次收到不合理控制命令后AVC功能應(yīng)自動進行監(jiān)測，對數(shù)據(jù)一致性和合理性進行校核；2)對發(fā)生拒動、調(diào)節(jié)超時等異常情況的機組應(yīng)及時e)配電自動化子站及終端軟件1)操作應(yīng)從有控制權(quán)限的工作站上進行；2)操作人員應(yīng)有相應(yīng)的權(quán)限2)應(yīng)具備設(shè)備遙控操作許可屬性的配置功能；3)應(yīng)具備置入狀態(tài)下遙控操作許可屬性的配置功能；4)操作時每一步應(yīng)有提示，每一步的結(jié)果應(yīng)有相應(yīng)的響應(yīng)；表B.1(續(xù))5)遙控進行選點操作后在設(shè)定時間內(nèi)沒有響應(yīng)自動撤銷遙控操作；6)遙控執(zhí)行前應(yīng)返校成功才能執(zhí)行遙控；7)同一時刻禁止兩個及以上控制臺對同一設(shè)備進行遙控操作；8)禁止對掛接地牌的設(shè)備進行遙控操作；9)應(yīng)保存所有操作記錄，提供詳細的存檔信息，包括操作人員姓名、操作對象、防誤閉鎖1)常規(guī)防誤閉鎖，應(yīng)按預(yù)定義的操作閉鎖條件進行閉鎖；2)拓撲防誤閉鎖，不應(yīng)依賴于人工定義，通過網(wǎng)絡(luò)拓撲分析設(shè)備運行狀態(tài)，約2)禁止對具有鎖住標識牌的設(shè)備進行操作；3)禁止對具有保持分閘/保持合閘標識牌的設(shè)備進行合閘/分閘操作；4)對具有警告標識牌的設(shè)備執(zhí)行操作時應(yīng)進行提示；5)對于不具備接地開關(guān)的點掛接地線時，應(yīng)設(shè)置接接地標識牌；6)應(yīng)能通過人機界面設(shè)置標識牌或撤銷標識牌，在執(zhí)行查對象的標識牌；7)掛檢修牌之前應(yīng)先掛接地牌；8)掛有人牌之前應(yīng)先掛檢修牌；9)設(shè)備處于運行狀態(tài)時禁止掛除保持合閘之外的標識牌；10)設(shè)備處于冷備狀態(tài)時禁止掛保持合閘標識牌1)可自動生成非故障區(qū)段的恢復(fù)供電方案，避免恢復(fù)過程導(dǎo)致其他線路、主變壓器等設(shè)備過負荷；2)可設(shè)置故障處理閉鎖條件，避免保護調(diào)試、設(shè)備檢修等人為操作的影響；3)故障處理過程中應(yīng)具備必要的安全閉鎖措施(如通信故障閉鎖、設(shè)備狀態(tài)異常閉鎖等),保證故障處理過程不受其他操作干擾；4)子站饋線自動化功能應(yīng)能與主站饋線自動化功能相配合，息上送給主站；5)應(yīng)保存故障處理的全部過程信息，以備故障分析時使用12空指針引用3456編譯器警告7迭代器使用不當8內(nèi)存釋放后引用9資源處理問題函數(shù)返回類型不匹配并發(fā)