DL∕T 1455-2015 電力系統(tǒng)控制類軟件安全性及其測評技術(shù)要求

備案號：50775-20152015-07-01發(fā)布2015-12-01實(shí)施國家能源局發(fā)布 Ⅱ 12規(guī)范性引用文件 13術(shù)語和定義 14符號、代號和縮略語 25安全性技術(shù)要求 26功能安全性測評要求 57網(wǎng)絡(luò)安全性測評要求 7附錄A(規(guī)范性附錄)主站控制類軟件功能安全性測評要求 附錄B(規(guī)范性附錄)廠站控制類軟件功能安全性測評要求 附錄C(規(guī)范性附錄)電力系統(tǒng)控制類軟件代碼質(zhì)量測評項(xiàng)目 性和可靠性，規(guī)范和指導(dǎo)電力系統(tǒng)控制類軟件的安全性測評、設(shè)計(jì)、開發(fā)、本標(biāo)準(zhǔn)按照GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標(biāo)準(zhǔn)由全國電網(wǎng)運(yùn)行與控制標(biāo)準(zhǔn)化委員會(huì)(SAC/TC446)歸口。南京南瑞集團(tuán)公司、國家電網(wǎng)公司華北分部、國網(wǎng)福建省電力有限公司、廣本標(biāo)準(zhǔn)主要起草人：陶洪鑄、李立新、嚴(yán)亞勤、花靜、孫煒、韓秀文、鄭志千、李宇佳、張東院、高昆侖、慈國興、楊清波、劉楠、狄方春、單松玲、陳鄭平、張勇、江澤鑫、陳鵬、陳寧、韓麗芳、本標(biāo)準(zhǔn)在執(zhí)行過程中的意見或建議請反饋至中國電力企業(yè)聯(lián)合會(huì)標(biāo)準(zhǔn)化管理中心(北京市白廣路二GB/T11457信息技術(shù)軟件工程術(shù)語GB/T20273信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求GB/T25058信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南DL/T634.5101遠(yuǎn)動(dòng)設(shè)備及系統(tǒng)第5-101部分：傳輸規(guī)約基本遠(yuǎn)動(dòng)任務(wù)配套標(biāo)準(zhǔn)DL/T634.5104遠(yuǎn)動(dòng)設(shè)備及系統(tǒng)第5-104部分：傳輸規(guī)約采用標(biāo)準(zhǔn)傳輸協(xié)議集的IEC60870-5-DL/T667遠(yuǎn)動(dòng)設(shè)備及系統(tǒng)第5部分：傳輸規(guī)約第103篇：繼電保護(hù)設(shè)備信息接口配套標(biāo)準(zhǔn)DL/T860(所有部分)變電站通信網(wǎng)絡(luò)和系統(tǒng)DL/T890(所有部分)能量管理系統(tǒng)應(yīng)用程序接口2AGC:自動(dòng)發(fā)電控制(automaticgenerationcontrol)CCS:協(xié)調(diào)控制系統(tǒng)(coordina3AGC乏場4電網(wǎng)通用模型描述規(guī)范5表1(續(xù))電力調(diào)度消息郵件傳輸電力調(diào)度工作流程描述電力系統(tǒng)圖形描述電力系統(tǒng)動(dòng)態(tài)消息編碼規(guī)范電力系統(tǒng)簡單服務(wù)接口電力系統(tǒng)實(shí)時(shí)數(shù)據(jù)通信協(xié)議DL/T476、DL/T634.5101、DL/T634.510繼電保護(hù)設(shè)備信息接口配套標(biāo)準(zhǔn)能量管理系統(tǒng)應(yīng)用程序接口6d)變電站及發(fā)電廠監(jiān)控軟件的AVC模塊軟件應(yīng)滿足附錄B的表B.1中AVC模塊項(xiàng)所規(guī)定的功f)主站軟件及廠站通信網(wǎng)關(guān)機(jī)應(yīng)具備廠站設(shè)備地址校驗(yàn)機(jī)制，對控制報(bào)文的廠站設(shè)備地址進(jìn)1)內(nèi)存泄露缺陷；2)數(shù)組越界缺陷；3)空指針引用缺陷；4)代碼不可達(dá)缺陷；5)內(nèi)存釋放后引用缺陷；6)并發(fā)機(jī)制缺陷；7)資源利用缺陷。b)圈復(fù)雜度過大(>10)的模塊比例數(shù)≤0.8%;7d)源代碼行數(shù)過大(>200行)的模塊比例≤0.5%;a)語句覆蓋率為100%;b)分支覆蓋率為100%;c)條件覆蓋率≥80%;d)MC/DC覆蓋率≥80%。電力系統(tǒng)控制類軟件進(jìn)行網(wǎng)絡(luò)安全性檢查和測試時(shí)應(yīng)按7.2～7.11的要求開展，并根據(jù)GB/T20272、GB/T20273、GB/T22239、GB/T22240、GB/T25058規(guī)定的安全級別確定897.11剩余信息保護(hù)軟件應(yīng)保證系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等敏感信息所在的存儲(chǔ)空a)SCADA軟件責(zé)任區(qū)設(shè)置2)限值修改等數(shù)據(jù)維護(hù)應(yīng)只對本責(zé)任區(qū)范圍內(nèi)的對象有效；4)人員可配置角色，不同的角色配置擁有不同的權(quán)限；5)機(jī)器可配置角色，不同的角色配置擁有不同的權(quán)限；6)責(zé)任區(qū)的操作權(quán)限范圍可靈活控制到全網(wǎng)、控制區(qū)、廠站、間隔、設(shè)備級別；7)不同責(zé)任區(qū)的操作和瀏覽權(quán)限可靈活設(shè)置電網(wǎng)范圍，可互斥隔離，也可有交叉的人員和機(jī)器進(jìn)行操作標(biāo)識牌操作1)禁止對具有禁止操作類標(biāo)識牌的設(shè)備進(jìn)行操作；2)禁止對具有保持分閘/保持合閘標(biāo)識牌的設(shè)備進(jìn)行合閘/分閘操作；3)對于不具備接地開關(guān)的點(diǎn)掛臨時(shí)接地線時(shí)，應(yīng)支持設(shè)置接地標(biāo)識牌并禁止操作閉鎖和解鎖操作操作等；2)閉鎖功能和解鎖功能應(yīng)成對提供；3)所有的閉鎖和解鎖操作應(yīng)進(jìn)行存檔記錄操作和控制1)控制操作應(yīng)有防誤校核機(jī)制，校核不通過不能進(jìn)行控制；2)應(yīng)支持通過雙機(jī)認(rèn)證之后的強(qiáng)制控制功能；3)變壓器擋位調(diào)節(jié)應(yīng)逐級調(diào)節(jié)，禁止跳擋操作；4)遙控進(jìn)行選擇操作后在設(shè)定時(shí)間內(nèi)沒有響應(yīng)的應(yīng)自動(dòng)撤銷遙控操作；5)遙控執(zhí)行前應(yīng)返校成功才能執(zhí)行遙控；6)應(yīng)支持置入狀態(tài)下遙控操作許可性配置；7)應(yīng)禁止兩個(gè)及以上控制臺(tái)在同一時(shí)刻對同一設(shè)備進(jìn)行遙控操作；作內(nèi)容、操作時(shí)間、操作結(jié)果等，可供調(diào)閱和打印1)應(yīng)對所有操作進(jìn)行權(quán)限控制，操作應(yīng)限定在有權(quán)限的工作站上進(jìn)行；2)操作人員應(yīng)有相應(yīng)的權(quán)限b)AGC軟件表A.1(續(xù))2)應(yīng)對控制目標(biāo)值調(diào)節(jié)步長進(jìn)行限制；3)應(yīng)對關(guān)鍵量測(頻率、聯(lián)絡(luò)線交換功率、機(jī)組出力、機(jī)組上下限)的量測狀態(tài)和實(shí)時(shí)值變化合理性進(jìn)行校核；4)應(yīng)對全廠/單機(jī)控制指令是否處于機(jī)組全廠/單機(jī)禁止運(yùn)行區(qū)進(jìn)行校驗(yàn)；閉鎖和解鎖操作1)應(yīng)能禁止AVC對所選對象進(jìn)行控制，但是不影響其他模塊的處理等；2)閉鎖功能和解鎖功能應(yīng)成對提供；3)所有的AVC閉鎖和解鎖操作應(yīng)進(jìn)行存檔記錄；4)軟件在檢測到控制設(shè)備故障信息、異常信號或其他預(yù)設(shè)條1)控制下發(fā)設(shè)備應(yīng)在許可的廠站范圍內(nèi)，防止對未許可的廠站下發(fā)控制命令；2)控制設(shè)備應(yīng)滿足一定的編碼或者命名規(guī)則，防止控制到錯(cuò)誤的設(shè)備；3)應(yīng)校驗(yàn)控制目標(biāo)電壓值上下限；4)應(yīng)限制控制目標(biāo)電壓調(diào)節(jié)步長；5)應(yīng)校驗(yàn)關(guān)鍵量測(電壓、機(jī)組無功)的量測狀態(tài)和實(shí)時(shí)值變化合理性；6)機(jī)組可調(diào)無功上下限應(yīng)根據(jù)P-Q曲線加以限制，并考7)離散設(shè)備投切應(yīng)滿足動(dòng)作次數(shù)、動(dòng)作時(shí)間間隔、動(dòng)作順序的要求數(shù)據(jù)校核2)前置通信應(yīng)對發(fā)送數(shù)據(jù)進(jìn)行嚴(yán)格校驗(yàn)，禁止將不合法的數(shù)據(jù)轉(zhuǎn)發(fā)出去1)前置通信應(yīng)判斷控制命令的正確性，禁止將非法值下發(fā)給廠站；應(yīng)用式進(jìn)行通信1)操作應(yīng)從有控制權(quán)限的工作站上進(jìn)行；2)操作人員應(yīng)有相應(yīng)的權(quán)限2)應(yīng)具備設(shè)備遙控操作許可屬性的配置功能；3)應(yīng)具備置入狀態(tài)下遙控操作許可屬性的配置功能；4)應(yīng)具備單席操作/雙席操作模式的配置功能；5)應(yīng)具備普通操作/快捷操作方式的配置功能；6)操作時(shí)每一步應(yīng)有提示，每一步的結(jié)果應(yīng)有相應(yīng)的響應(yīng)；7)雙席操作校驗(yàn)時(shí)，監(jiān)護(hù)員應(yīng)對控制操作進(jìn)行確認(rèn)；8)遙控進(jìn)行選點(diǎn)操作后在設(shè)定時(shí)間內(nèi)沒有響應(yīng)自動(dòng)撤銷遙控操作；9)遙控執(zhí)行前應(yīng)返校成功才能執(zhí)行遙控；10)同一時(shí)刻禁止兩個(gè)及以上控制臺(tái)對同一設(shè)備進(jìn)行遙控操作；11)禁止對掛接地牌的設(shè)備進(jìn)行遙控操作；作內(nèi)容、操作時(shí)間、操作結(jié)果等，可供調(diào)閱和打印序列控制2)控制過程中對每一個(gè)控制點(diǎn)都應(yīng)進(jìn)行遙信返校；3)禁止控制條件不滿足的序列被自動(dòng)執(zhí)行或手動(dòng)執(zhí)行；4)可中斷控制過程中的控制操作；5)控制過程中出現(xiàn)操作失敗的，應(yīng)自動(dòng)停止后續(xù)控制防誤閉鎖1)常規(guī)防誤閉鎖，應(yīng)按預(yù)定義的操作閉鎖條件進(jìn)行閉鎖；2)信號確認(rèn)只對本責(zé)任區(qū)內(nèi)信號有效；3)應(yīng)支持信號、間隔、全站、全系統(tǒng)四級確認(rèn)標(biāo)識牌操作1)應(yīng)驗(yàn)證人員、機(jī)器的權(quán)限，禁止無權(quán)限的人員、機(jī)器進(jìn)行掛牌操作；2)禁止對具有鎖住標(biāo)識牌的設(shè)備進(jìn)行操作；3)禁止對具有保持分閘/保持合閘標(biāo)識牌的設(shè)備進(jìn)行合閘/分閘操作；4)對具有警告標(biāo)識牌的設(shè)備執(zhí)行操作時(shí)應(yīng)進(jìn)行提示；標(biāo)識牌；象的標(biāo)識牌；7)掛檢修牌之前應(yīng)先掛接地牌；8)掛有人牌之前應(yīng)先掛檢修牌；9)設(shè)備處于運(yùn)行狀態(tài)時(shí)禁止掛除保持合閘之外的標(biāo)識牌；10)設(shè)備處于冷備狀態(tài)時(shí)禁止掛保持合閘標(biāo)識牌等設(shè)備過負(fù)荷；2)可設(shè)置故障處理閉鎖條件，避免保護(hù)調(diào)試、設(shè)備檢修等人為操作的影響；等),保證故障處理過程不受其他操作干擾；4)主站饋線自動(dòng)化功能應(yīng)支持人工預(yù)設(shè)、調(diào)整、優(yōu)化處理方案等輔助功能；5)應(yīng)保存故障處理的全部過程信息，以備故障分析時(shí)使用(規(guī)范性附錄)廠站控制類軟件功能安全性測評要求見表B.1。應(yīng)具備安全措施，禁止無控制權(quán)限的人員遠(yuǎn)程瀏分級控制2)站內(nèi)同一個(gè)時(shí)間只執(zhí)行一個(gè)控制操作命令，禁單設(shè)備控制1)控制操作前應(yīng)有校核的步驟，校核不通過禁止執(zhí)行；2)控制對象設(shè)置禁止操作標(biāo)識牌時(shí)禁止執(zhí)行；3)操作員應(yīng)有相應(yīng)的權(quán)限，雙席操作校驗(yàn)時(shí)，監(jiān)護(hù)員應(yīng)確認(rèn)；同期操作同期操作應(yīng)檢測斷路器兩側(cè)的母線、線路電壓幅值、相角及頻率，實(shí)現(xiàn)自動(dòng)同期捕捉合閘1)應(yīng)對定值修改進(jìn)行權(quán)限控制；2)應(yīng)支持定值修改校核機(jī)制；3)應(yīng)支持遠(yuǎn)方切換定值區(qū)應(yīng)支持遠(yuǎn)方投退軟壓板校核機(jī)制主變壓器分接頭調(diào)節(jié)應(yīng)逐級上調(diào)或下調(diào)，禁止跳擋調(diào)度操作與控制應(yīng)支持調(diào)度操作與控制校核機(jī)制，校核不通過防誤閉鎖1)防誤閉鎖可分為站控層閉鎖、間隔層聯(lián)閉鎖和機(jī)構(gòu)電氣閉鎖三個(gè)層次；2)站控層閉鎖宜由監(jiān)控主機(jī)實(shí)現(xiàn)，操作應(yīng)經(jīng)過防誤邏發(fā)至間隔層，如發(fā)現(xiàn)錯(cuò)誤應(yīng)閉鎖該操作；不影響間隔層聯(lián)閉鎖，站控層和間隔層聯(lián)閉鎖均DCS系統(tǒng)經(jīng)過轉(zhuǎn)換的指令值應(yīng)與遠(yuǎn)動(dòng)裝置一致，誤差應(yīng)不超過0.5%出現(xiàn)機(jī)組量測異常時(shí)，DCS應(yīng)能退出AGC遠(yuǎn)方控制，機(jī)組出力無異常變化內(nèi)部異常退出AGC遠(yuǎn)方控制電廠內(nèi)部故障信號，機(jī)組應(yīng)主動(dòng)退出AGC遠(yuǎn)方控制1)機(jī)組控制方式可支持就地命令方式、調(diào)度遠(yuǎn)方命令方式、曲線方式、手動(dòng)方統(tǒng)和機(jī)組出力應(yīng)運(yùn)行平穩(wěn)；表B.1(續(xù))網(wǎng)絡(luò)中斷后在一定時(shí)間內(nèi)恢復(fù)的，全廠AGC狀態(tài)應(yīng)保持不變；否則，全廠AGCc)AGC模塊1)各個(gè)通道均應(yīng)能正確接收調(diào)度下發(fā)的指令；2)經(jīng)過轉(zhuǎn)換的指令值應(yīng)和遠(yuǎn)動(dòng)裝置一致，遙測和遙調(diào)誤差應(yīng)不1)應(yīng)拒絕執(zhí)行調(diào)度下發(fā)的不合理控制命令，用實(shí)發(fā)出力覆蓋遙調(diào)命令值；對數(shù)據(jù)一致性和合理性進(jìn)行校核；d)AVC模塊1)各個(gè)通道均應(yīng)能接收調(diào)度下發(fā)指令；電壓遙測和遙調(diào)誤差應(yīng)不超過0.2%2)連續(xù)三次收到不合理控制命令后AVC功能應(yīng)自動(dòng)進(jìn)行監(jiān)測，對數(shù)據(jù)一致性和合理性進(jìn)行校核；2)對發(fā)生拒動(dòng)、調(diào)節(jié)超時(shí)等異常情況的機(jī)組應(yīng)及時(shí)e)配電自動(dòng)化子站及終端軟件1)操作應(yīng)從有控制權(quán)限的工作站上進(jìn)行；2)操作人員應(yīng)有相應(yīng)的權(quán)限2)應(yīng)具備設(shè)備遙控操作許可屬性的配置功能；3)應(yīng)具備置入狀態(tài)下遙控操作許可屬性的配置功能；4)操作時(shí)每一步應(yīng)有提示，每一步的結(jié)果應(yīng)有相應(yīng)的響應(yīng)；表B.1(續(xù))5)遙控進(jìn)行選點(diǎn)操作后在設(shè)定時(shí)間內(nèi)沒有響應(yīng)自動(dòng)撤銷遙控操作；6)遙控執(zhí)行前應(yīng)返校成功才能執(zhí)行遙控；7)同一時(shí)刻禁止兩個(gè)及以上控制臺(tái)對同一設(shè)備進(jìn)行遙控操作；8)禁止對掛接地牌的設(shè)備進(jìn)行遙控操作；9)應(yīng)保存所有操作記錄，提供詳細(xì)的存檔信息，包括操作人員姓名、操作對象、防誤閉鎖1)常規(guī)防誤閉鎖，應(yīng)按預(yù)定義的操作閉鎖條件進(jìn)行閉鎖；2)拓?fù)浞勒`閉鎖，不應(yīng)依賴于人工定義，通過網(wǎng)絡(luò)拓?fù)浞治鲈O(shè)備運(yùn)行狀態(tài)，約2)禁止對具有鎖住標(biāo)識牌的設(shè)備進(jìn)行操作；3)禁止對具有保持分閘/保持合閘標(biāo)識牌的設(shè)備進(jìn)行合閘/分閘操作；4)對具有警告標(biāo)識牌的設(shè)備執(zhí)行操作時(shí)應(yīng)進(jìn)行提示；5)對于不具備接地開關(guān)的點(diǎn)掛接地線時(shí)，應(yīng)設(shè)置接接地標(biāo)識牌；6)應(yīng)能通過人機(jī)界面設(shè)置標(biāo)識牌或撤銷標(biāo)識牌，在執(zhí)行查對象的標(biāo)識牌；7)掛檢修牌之前應(yīng)先掛接地牌；8)掛有人牌之前應(yīng)先掛檢修牌；9)設(shè)備處于運(yùn)行狀態(tài)時(shí)禁止掛除保持合閘之外的標(biāo)識牌；10)設(shè)備處于冷備狀態(tài)時(shí)禁止掛保持合閘標(biāo)識牌1)可自動(dòng)生成非故障區(qū)段的恢復(fù)供電方案，避免恢復(fù)過程導(dǎo)致其他線路、主變壓器等設(shè)備過負(fù)荷；2)可設(shè)置故障處理閉鎖條件，避免保護(hù)調(diào)試、設(shè)備檢修等人為操作的影響；3)故障處理過程中應(yīng)具備必要的安全閉鎖措施(如通信故障閉鎖、設(shè)備狀態(tài)異常閉鎖等),保證故障處理過程不受其他操作干擾；4)子站饋線自動(dòng)化功能應(yīng)能與主站饋線自動(dòng)化功能相配合，息上送給主站；5)應(yīng)保存故障處理的全部過程信息，以備故障分析時(shí)使用12空指針引用3456編譯器警告7迭代器使用不當(dāng)8內(nèi)存釋放后引用9資源處理問題函數(shù)返回類型不匹配并發(fā)