电力安全生产及防护篇1
【关键词】:电网调度二次安全防护策略研究
互联网已经成为我国人们生活、工作的一部分,同时也是企业乃至国家的重要组成部分。然而,互联网在飞速发展的同时,给人们不禁带来方便也带来了问题。尤其是近年来网络犯罪现象越来越普遍,已经严重影响到国家、企业以及个人的安全。电力企业作为我国国民经济的组成部分,电力系统的业务也在不断增加,如aVG系统、paS系统、电力调度数据网等对电力调度系统的安全提出更高的要求。为此,必须加强电网调度系统的二次安全防护。
一、关于电网调度中心二次系统的安全区分及其影响因素
1、二次系统的安全区分
一般情况下,将电网调度中心二次系统的安全区分为四个部分:分别为实时控制区(Ⅰ区)、非控制生产区(Ⅱ区)、生产管理区(Ⅲ区)以及管理信息区(Ⅳ区)。1)其中实时控制区是电力生产最为重要的环节系统实时在线运行,则使用调度数据网络一级专用通道。对于实时要求的性能较高。2)非控制区实现的功能是电力生产的必要环节,不具备控制功能,仅仅使用调度数据网络,实现再线运行,与实时控制区中的功能模块有着紧密联系。该区域包括自动化系统、电力交易系统以及DtS系统等。3)生产管理区实现电力生产的管理功能,也不具备控制功能,不存在在线运行,与管理信息区自动化系统有着较为密切的关系。当前,主要包括气象信息、DmiS系统以及雷电监测系统等。4)管理信息区的业务系统实现电力信息管理以及办公自动化功能,业务系统的访问界面主要为桌面终端,该区域则主要包括oa系统、客户服务以及管理信息系统等,同时该区域的外部通信边界则为因特网。各个区域之间是横向联系的,可实现信息共享。
2、影响因素分析
对于各个区域设备管理的因素可以分为两大方面。一方面,设备因素,主要表现在原有的二次安全防护设备相对较为落后,缺乏先进的硬件设备;加上在安全防护策略的制定上也比较宽松,没有严格的要求,使得每一个区域之间的联系较少。另一方面,人为因素。电网调度系统工作人员态度较为松散,没缺乏科学合理的管理理念,加上业务素质不高,影响了二次安全防护。
二、电网调度系统二次安全防护策略
电网调度系统二次安全则确立“安全分区、网络专用以及横向隔离”的策略,全面落实以及实现生产控制区域与管理信息区域的有效隔离。安全防护设备的安装及其防护策略,需要确保电网调度系统的可靠运行以及网络数据的安全性。
1、制定完整的安全管理规定
对于电力调度系统的最大的安全隐患并不是系统自身,而是来自于相连的其他网络,必须建立一个科学、合理的管理模式,进而有效抵御黑客以及病毒的破坏,最终保护电力实时闭环监控系统,阻止有网络病毒攻击所带来的系统崩溃现象,保证电力系统的稳定运行。一方面,需要建立完善的安全分级负责制,坚持“谁主管,谁负责”的原则,建立完善的二次系统安全防护制度,根据要求设置电力监控系统,同时明确各个相关人员的职责。另一方面,日常应加强维护以及管理,定期对安全防护系统进行巡查,一旦发现有问题,立即采取相关解决措施。若不在自己管辖范围之内,应将安全隐患向上一级相关部门反映,同时做好详细的记录。
2、进行逻辑横向隔离
实时控制区是电力生产的重要环节、安全防护的重点以及核心,可直接实现对一次系统运行的监控,非控制生产区有调度员模拟以及仿真DtS系统。为此,实时控制区域非控制生产区系统之间则采用防火墙,具有较好的防护功能。若入侵者想进入到目标计算机,则必须穿越防火墙。该防火墙性能符合实时控制区、非控制生产区之间的性能。实时控制区、非控制生产区与管理信息区不得直接联系,同时实时控制区、非控制生产区域生产管理区应采用经过有关部门认定以及审核的专用安全隔离装置,分为正向型以及反向型。另外从实时控制区、非控制生产区向安全隔离装置单向传输信息。对于非控制生产区的电量采集计量系统以及生产管理区采用实时隔离网关,同时隔离网管必须符合相关规定要求。
3、进行安全纵向认证
在电力二次安全防护体系中电力调度数据网是基础,承载着电力实时控制已经在线生产交易的重要任务。调度数据网的主要目的是实现调度中心之间以及调度中心与厂站之间的调度。采用SDH/pDH的相关技术,在物理层面上实现与电力企业其他数据网与公共信息网络之间的隔离。例如:采用两台设备,一端与实时控制区的SCaDa系统相联,另一端则与该区的交换机相联。
4、确保检测系统安全性
为了能够确保计算机系统的安全性,选择先进的入侵检测系统,该系统的设计以及配置应及时发现并报告系统中异常现象,同时也能够检测计算机网络中违反安全策略的行为,一旦发现用户的违规行为或者非法用户的违规行为,则立即进行拦截。另外,该设备系统应用iDS系统,与非控制生产区相连接。实现的功能有提供记录流的信息源,分析引擎的检测结果等,进而采取有效防治措施,确保系统的安全性。
5、其他措施
电网调度系统的二次安全防护工作完成之后,调度自动化系统的安全防护水平得到提高,能够有效的防治病毒或者黑客的侵入,同时还应做好其他控制。首先,对于生产控制区的pC机应实施严格的网络安全管理,在接入之前应做好防病毒的相关措施,将其列入到日常运行管理中,并做好详细记录。其次,在电力二次系统安全防护系统中,生产控制区应禁止以各种方式与对外互联网相联,严格限制拨号,后期维护工作中需要开通的拨号功能应进行严格管理,做到随时随开。
三、结束语
综上所述,电网调度系统的安全性直接关系到电力企业的供电的安全性以及可靠性,为了确保企业、个人的正常用电需求,应加强电网调度系统的二次安全防护。本文分析了二次安全防护策略,能够有效的保护电网安全。当然,在后期工作中,应进一步对安全防护策略进行研究,以望研究出更科学、更合理的防护,促进电力企业的可持续发展。
参考文献:
[1]赵孔燕.调度自动化系统及调度数据网络的安全防护研究[J].中国电力教育,2010,(z2):128-129.
[2]李延瑾,杨淑英,任有刚等.电网调度系统二次安全防护的策略分析[J].现代企业教育,2012,(11):246.
[3]周瑾.论电网调度自动化二次系统的安全防护[J].北京电力高等专科学校学报:自然科学版,2011,28(11):186-186.
电力安全生产及防护篇2
[关键词]电力二次系统;安全防护;探析
中图分类号:F407.61文献标识码:a文章编号:1009-914X(2015)21-0326-01
本文将从电力调度自动化二次系统的分区,其安全防护的目的,以及加强电力二次自动化系统的一系列安全预防措施等方面,对电力调度自动化二次系统安全防护中所遇到的问题进行探究分析,保证其网络安全。
1电力二次系统安全防护体系
1.1安全防护体系中各安全分区之间横向隔离
整个电力二次系统分为生产控制大区和管理信息大区。而在生产控制大区中又有两个安全区,Ι区和Ⅱ区,安全区Ι也是控制区,安全区Ⅱ是非控制区。管理区和管理信息区组成了信息管理大区,管理区又可以叫做安全区Ⅲ,管理信息区也叫安全区Ⅳ。对于不同安全区来说安全等级也不同,安全防护要求也不一样。安全区Ι等级最高,其次是安全区Ⅱ,以此类推。在电力系统中,安全等级低的系统不影响安全等级高的系统。从横向角度看,为使各安全区中的业务系统得到切实有效的保护,则需要使用不同强度的网络安全设备加强安全区间的隔离。用硬件防火墙隔离安全区Ι和安全区Ⅱ;在安全控制大区与管理信息大区之间需要限制数据的流向,因此它们之间需要采用电力专门隔离装置来进行隔离;为了确保安全Ι、Ⅱ区到Ⅲ区只进行单向的数据传输,从前两个区到Ⅲ区用正向隔离装置,从Ⅲ区到前两区用反向隔离装置;另外,生产管理区和管理信息区之间也要采用硬件防火墙进行隔离。
1.2系统中各安全区划分
安全区Ι是实时控制区,其实时性要求很高,它能直接实现实时监控功能,这是电力生产中必不可少的环节。目前它包含了四个部分。分别是安全自动控制系统、wamS、实时闭环控制的SCaDa/emS系统以及保护设置工作站,其中保护设置工作站可以实现改定值和远方投退功能。
安全区Ⅱ是非控制生产区,它没有控制功能,但它是电力生产的必要环节,与安全区一中的系统或功能模块都有紧密的联系。它需要通过SpDnet进行远方通信的准实时业务。目前由以下几个系统组成:水调自动化系统、DtS、电力交易系统、考核系统、电能量计量系统、继保及故录管理系统等。其中继保及故录管理系统不能实现改定值、远方投退功能。
安全区Ⅲ是生产管理区,可以实现电力生产的管理功能,不在线运行,不能实现控制功能,但它直接关联于控制中心工作人员的桌面终端或调度中心,同时它与管理信息区的办公自动化系统关系密切。
安全区Ⅳ是管理信息区,其以桌面终端为主要的业务系统访问界面,它能实现办公自动化和电力信息管理功能。这个区主要包含以下几个系统:管理信息系统、oa以及客户服务。
2二次系统安全防护的主要目标
就目前来说,黑客攻击和计算机蠕虫病毒是电力二次系统安全的主要威胁。黑客、病毒可以通过各种形式对系统发起集团式攻击,破坏电力实时闭环监控系统和调度数据网络,导致电力系统出现故障。因此,二次系统的安全防护目标有以下几点:其一,避免一次系统遭受攻击产生故障而导致二次系统崩溃;另外,管理好访问系统的用户的授权工作;还有需要在各分区边界增加横向安全物理隔离设备,做好数据加密工作;最后需要注意公司调度中心的整体安全管理水平,包括人员的职责和工作行为等。
3二次系统安全防护的策略
3.1加强纵向防护
边界的安全防护及保证数据的远方安全传送十分重要。通过加密、认证或者访问控制等方法都可以达到该目的。在具备两个系统间认证的情况下,可以考虑采取ip认证加密装备之间完成认证。第一,对需要传输的数据加密和签名,维护数据的机密性和整体性。第二,采用定向认证加密,尝试数字证书方式来验证ip认证加密;第三,具备nat功能;第四,对工作方法和网关工作方法实现透明化;第五,使装备间能实现智能调节和动态调节;第六,具备传输协议、ip、应用端口号的访问控制和整合报文过滤作用。
3.2加强网络操作系统的安全度
对于电力二次自动化操作系统选择的系统来说,这些系统需要具备健全的系统设计和访问控制机制,要求它们运行性能相对稳定。就整个系统运行的过程来考虑,为了减少过程中的障碍,应该选择应用量相对较少的系统版本。同时,为了增强整个网络操作系统的安全度和稳定度,还需要及时的对不同版本的操作系统设定和安装安全有效的修补补丁。
3.3预防病毒
互联网对网络系统的侵犯会导致系统出现各种故障,严重时直接使系统崩溃。并且互联网病毒的入侵十分迅速。专业维护人员按时将下载好的病毒代码更新至防病毒中心,这是常规的杀毒方法。虽然互联网上的病毒库可以由杀毒软件进一步升级,但实时控制区的自动化系统不能立即升级特征库代码。经过网络连接或者使用移动设备革新病毒库,都会短暂的将系统内部的资料置于安全防护系统之外。这时只需要在生产管理区设定一立的病毒升级服务器就可以巧妙的解决这个难题。操作平台选择Linux系统,增加预防病毒软件系统。在收取病毒特征库文件管理问题上,可以选择KDe系统。通过该平台进行杀毒后,采用emS网络装置完成系统设备病毒库的安全防毒升级。另外,为了避免系统崩溃,需要把服务器和emS供给的i/o设置隔开。
3.4网络隔离
为了使各安全区的纵向连接仅仅实施于共同安全区,避免安全区纵向交叉链接,在专用渠道上创建调度专用数据网络,与其他数据网络进行物理分离,可以使用ipsec-Vpn或者mpLS-Vpn于专网上构成互相逻辑分离的多个Vpn。另外,在internet的访问过程中,系统内容将全部暴露,网络病毒在此时很有可能攻击系统,造成系统崩溃瘫痪。因此,对于DHCp、Snmp和web等网络服务应慎重使用。
3.5选择智能化产品
在电力调度二次自动化系统安全网络系统的建立过程中,选择防御产品或者入侵检验产品时,要选用能够及时准确报警,并且主动产生防护功能的产品。即智能化产品。这些智能化产品可以在网络的关键路径上串联,有效的保护系统的安全。在病毒入侵时就主动识别入侵行为,过滤攻击流量,灵活性非常高。
4小结
本文就电力调度自动化二次系统的安全防护进行深刻分析研究,提出了多种能有效保障系统安全的措施。其中有纵向防护、预防病毒、网络隔离、选用智能化产品等具体措施。希望能给业内人士一些启发和思考。切实保证电力调度自动化二次系统的安全防护。
参考文献
[1]张红丹.电力调度自动化安全防护问题探析[J].中国电力教育,2013,(33):211-212.
电力安全生产及防护篇3
【关键词】火电厂;劳动保护设施;使用
经济的发展促进了火电厂的高速发展,而随着经济的发展,人们更加重视生产的安全性。在生产中要工作人员配备劳动保护设施,积极开展安全生产。在火电厂的管理中要做好劳动保护设施的管理工作,要加强火电厂项目施工的和生产中劳动保护设施的采购、保管、发放、以及检查和维修。
1、火电厂劳动保护设施的使用
1.1安全帽的使用
安全帽在使用前要对其进行全面的检查,确保使用的安全。一般检查的部分有:检查部件是否有损坏;装配的安全性和牢固性;检查安全帽的帽衬调节部位是否卡紧以及帽衬和帽壳插脚是否插牢固;确保缓冲带要结紧;帽衬顶端和帽壳内部留有适当的水平缓冲距离和垂直缓冲距离。安全帽对于火电厂的工作人员具有至关重要的作用,它可以减轻施工人员的头部在受到外力时的伤害,因此必须依照规定佩戴安全帽,要系紧拴带,以免在在工作中造成安全帽脱落。安全帽的使用年限是三年,对于超过使用年限的安全帽要及时更换。另外对于受到过大冲击的安全帽要立即停止使用。对于安全帽要爱护使用,不得当坐凳使用,以免减少使用寿命。安全帽脏污后要用肥皂水进行清理,并且要在阴凉处晾干。
1.2防护眼镜和面罩的使用
在火电厂的生产中,工作人员使用防护眼镜和面罩,目的是防止异物进入眼睛,防止化学性物品伤害到眼睛,以及防止强光、紫外线、微波和电离辐射的伤害。选择的护目镜必须是权威检验机构检验合格的产品,护目镜的尺寸要适合使用者的脸型,对于镜片损坏或者磨损的护目镜要及时进行更换,护目镜要使用专人专用,避免染上眼病。要保护眼镜,避免重压或者重摔以及坚硬的物体磨擦镜片和面罩。
1.3防尘防毒用品的使用
在火电厂的生产中,会遇到出现许多生产性的粉尘,这些粉尘一旦被吸取肺组织就会引起肺组织的纤维病变,引起尘肺病。使用防尘防毒用品会大大减少尘肺病的发生率。在生产中会产生一氧化碳、苯等有害气体,工作人员一旦吸入就会引起职业病。一般采用过滤式的防尘口罩来防尘防毒,对于口罩材料要选择不会对刺激皮肤的材料。
1.4防坠用品的使用
常见的防坠用品有安全绳、安全网、防坠器等。在火电厂的运行中,安全带和安全绳在使用时要注意钩环挂牢固,卡子要扣紧,如果发现绳子有磨损、断股、变质等现象,要立即停止使用,及时更换新的绳子。注意安全带要高挂低用,另外受到冲击的绳子以及绳套破损的绳子要更新后再使用。安全网使用时要把四周的绳子系牢固,做到松紧一致。防坠用品应该保持清洁,要及时用肥皂清理污垢,并且要在阴凉处晾干,禁止热水长时间的浸泡。对于使用后的安全网和安全绳要进行整理,禁止放在潮湿的地方以及在太阳下暴晒,在金属配件上要涂抹机油,防止配件生锈,确保劳动防护用品的使用寿命。
1.5防触电用品的使用
防触电用品一般包括绝缘手套、绝缘靴、绝缘鞋、绝缘垫等。在火电厂的运作中,选择绝缘防护用品要依据电压的等级高低来确定,禁止越级使用,避免击穿造成事故,引起人员伤亡。在绝缘防护用品的使用中要严格依照说明书的规定进行正确的使用,禁止随意乱用。在绝缘手套、绝缘鞋以及绝缘靴的使用时要仔细检查外观,如果发现有超过规定的缺陷,应该立即更换新的防护用品。如果发现有尘埃或者油渍等污物,要清洗干净,并且等到绝缘用品彻底干燥后才可以使用。在绝缘手套的使用中必须把上衣的袖口套入手套筒中,还要在绝缘手套外面罩上纱布或者皮革手套,以防止胶面受到破坏,值得注意的是外面罩的手套的长度不能够超过绝缘手套的腕部。绝缘靴的使用中,必须把裤管套入到绝缘靴内,而穿绝缘鞋时裤管也应该保持适宜,不能拖到地面上,还要保持鞋帮的干燥。橡胶制品的防护用品禁止和酸碱油类物质接触,在佩戴绝缘防护用品时还要做到尽量防止尖锐物体刺伤。对于使用过的防护用品要进行妥善保管。绝缘手套可以撒上滑石粉,防止受压,为了绝缘防护用品的使用安全,必须定时对绝缘防护用品进行耐电压的检验,检验不合格的禁止使用。
2、火电厂劳动保护设施的管理
2.1火电厂劳动保护设施的采购
火电厂在采购劳动保护用品时,要严格检验劳动保护用品生产厂商以及供货商的生产和经营的资格,还要检查保护用品的合格证明、商品标识,使用说明等,以达到确保采购的劳动保护用品的质量符合安全生产的要求。在采购中,要向劳动保护用品生产厂商或者是供货商索要法定检验机构出具的检验报告,如果一些供货商没有检验报告原件,也可以接受有供货商盖章并签字的检验报告复印件,不符合上述要求的劳动保护设施,禁止采购。采购的劳动保护设施还必须符合国家劳动保护用品的相关法律和法规。
2.2火电厂劳动保护设施的保管
对于采购的劳动保护设施要实施统一保管的制度,应该统一安放在工具房中,而工具房必须具备干燥、可通风、防寒、防潮、防虫蛀、防腐烂变质等条件。劳动防护设施不得与其他材料和工具同放。另外还要派专人负责管理,在管理中建立劳动保护设施的台账制度,管理人员要确保账、卡、物相符合以及进货台账和发放账目保存完整。
2.3火电厂劳动保护设施的检查
为了确保火电厂正常的运作,要加强对安全防护设施的监督和管理。项目管理人员在电厂的运作中要进行巡视,查看安全防护用品的使用状况,对安全防护用品进行定期的检查和维修,并且还要详细记录,发现问题及时采取措施进行解决。要对一些报废的安全防护用品进行上报,并且及时更换新的劳动防护设施。
3、结语
经济的发展和科技的进步为劳动保护提供了良好的环境和条件。在火电厂生产运作中配备劳动安全保护设施,对于火电厂的发展具有至关重要的作用。企业的劳动保护具有特殊性,因此,电力企业也要具有自身特点,配备劳动保护设施,推动劳动保护工作,从而促进火电厂的发展。
参考文献
电力安全生产及防护篇4
【关键词】高层建筑防雷保护防雷措施
引言:雷电灾害属于自然界中的一种放电现象,放电过程中产生的过电压电流会对建筑物和人体安全造成严重威胁。随着现代化进程的加快,电子电器化产品得到广泛应用,高层智能建筑物的不断涌起,大大增加了雷击发生的几率,我国每年因雷击破坏建筑物及室内设备的事故造成重大经济损失。因此,为了确保高层建筑物的安全,避免室内各种弱电子产品遭受雷击,保护人类生命财产的安全,必须做好高层建筑物的雷电防护工作。
1.雷电的成因及高层建筑物防雷特点
1.1雷电的种类形成原因
一般情况下,雷电的破坏形式有直击雷、雷电波和感应雷三种,其中直击雷是雷电直接作用在建筑物及接触设备面发生的机械和热效应,容易在建筑物的屋角、屋脊、女儿墙等部位发生雷击事故,并根据室内设备位置和数量等情况也可能发生侧击和绕击的雷电灾害;感应雷分为静电感应和电磁感应雷两种,在发生雷云时地面上的物体由于静电感应产生雷电极性相反的束缚电荷,雷云对地产生放电后,云中电荷形成自由电荷,产生感应高压电。过高电压与建筑物内部导线或不良的接地体装置之间发生火花,容易引起火灾和爆炸。另外,雷电闪击时,雷电流的变化率较大,在雷电流通道附近形成较强的感应电磁场,对室内电子设备造成干扰,且对周围金属物件产生感应电流,从而产生高热引发火灾。据统计雷电事故中80%的雷击由感应雷击引起,对建筑物造成较为严重的威胁;雷电波入侵是通过与建筑物内部连接的管道和线路进入室内,对室内计算机等其他设备及人身安全造成严重威胁。
1.2高层建筑物的防雷特点
高层建筑一般是指10层及10层以上的住宅建筑或其高度超过24m的公共建筑。这些高层建筑物结构由混凝土、砖石和筒体结构等组成,室内设施包括排水系统、电力系统和电梯等基础公共设施,具有高度高,易遭雷击等特点。特别是高度超过100m的建筑群体,遭受雷击的可能性与自身高度成正比。同时高层建筑也是人员住房密集的场所,各室内配置的设备多且复杂,尤其是现代化广泛应用的集成电路较高的元电子设备器件,这些设备遭受雷击的抗电磁干扰能力和耐冲击电压能力较差,一旦遭受雷击,不仅会造成住户的经济损失或人员伤亡,还会产生不良的社会影响。因此,要加强对高层建筑防雷的意识,综合建筑物多方面考虑防雷设计,做好直击雷、雷电波的侵入及雷电感应、地电位反击等方面雷电防护措施。随着城市建筑的不断增高,采取多层面防护措施相结合,最大限度减少雷电造成的人员财产损失,保护建筑物的安全性,达到高层建筑物综合防雷的目的。
2.雷电防护系统
雷电防护系统主要包括内部防雷、外部防雷及过滤防雷三种,用于减少雷电作用于建筑物及人体造成的危害,达到防雷保护建筑物整体安全的效果。其中外部防护由接地装置、接闪器和引下线组成,将雷电产生的过电压电流直接泄入地下,达到均压、引流和防护的目的。内部防护是由均压等电位连接及过电压保护系统组成,均衡建筑物内部系统电压,限制过电压增幅。过滤防雷是根据建筑物结构和室内设备安置情况进行合理布线、做接地及屏蔽的防雷设计方式,起到减少或阻止感应雷通过各通道入侵到室内造成灾害的可能,保护人身财产不受雷电的袭击。
3.高层建筑物防雷措施
3.1高层建筑物直击雷防护措施
高层建筑物直击雷防护包括侧击雷和直击雷两种防护形式。根据不同等级的防雷标准,对第一类建筑物的防直击雷采取独立避雷针或架空避雷线的方式,对二三类建筑物直击雷防护是在屋面采用避雷网做接闪器,局部加装避雷针,利用建筑物主筋做引下线,室内各30米以上部位的结构及其他金属门窗等设备之间做等电位连接,对超出滚球半径的保护高度采取均压环设计。接地系统较为常见的有防雷接地、交流工作接地、屏蔽接地、防静电接地、设备保护接地等多种。不同接地方式所要求的接地电阻不同,为防止地电位反击,每个接地网必须留有足够的安全距离。高层建筑,都很难满足安全距离多个地网的场地要求,因此,通常采用联合接地方式,公用地网。将高层建筑内地钢筋混凝土作为防雷装置中的接地体,与建筑物内的保护接地、工作接地极防雷接地连接起来形成共用接地网。一般高层建筑物都有做防水处理,会导致接地电阻的增大,需要对建筑物采取周边圈式接地法,达到均压,提高安全性的目的。如果建筑物体所处位置的土壤电阻率较高,共用接地电阻值达不到标准要求,可对区域内土壤采取降阻剂、深埋电极、延伸接地体等方式进行降阻。接地线与电器设备间的距离应尽量缩短,已达到较好的防护效果。
3.2高层建筑物雷电波防护措施
雷电波入侵灾害是雷电灾害中频率较高的一种,为了防御雷击时产生的电磁波沿室内进出的金属管道和线路侵入到室内造成设备受损等,要求对进出高层建筑室内的金属管道与防雷接地装置进行连接,进入室内的通信线路及建筑物室内外的广告牌等设施的电源线路尽量利用屏蔽电缆或穿金属管道埋地后再入室,同时对其做接地处理。比如电梯等大型装置需要与接地装置做等电位连接,并在线路端口安装浪涌保护器。
信号线路电浪涌保护器:信号线路分为通信和信号网络线路,要求具有电涌保护性能的一般参数和插入损耗ae、数据传输速率Vs等特定参数,并根据不同的传送信号,分为双绞线SpD、电话线SpD等多种信号传输介质及接口。根据系统过电压、过电流可能产生的危险系数及SpD特性的分析,信号网络系统最多可安装两级防雷保护。电源系统电涌保护器:根据防雷器参数和安装规范要求,按照不同分级防护原则,高层建筑物电源系统总配电处应安装通流量较大的电源电涌保护器,楼层分电源处安装用户分电源电涌保护器,终端设备电源处安装串联式的电源电涌保护器,多层防护配合避免出现雷击盲点,切实保护建筑物内设备的安全可靠性能。
3.3其他防雷措施
目前我国高层建筑物的配电系统大多采用高压线路直接引入配电室,在室内进行变电供电。楼内有计算机网络系统、消防系统、广播系统及电梯系统和监控系统等,对这些设备前
的过电压防护采取在变压器的高低压侧分别安装电源防雷器,保护楼内各线路的安全性,防护雷入侵。
参考文献
[1]浅谈城市高层建筑雷电的防护措施2013-12
[2]高层建筑物防雷措施探讨安全管理网2013-03
[3]陈卓礼对高层建筑物的防雷保护措施分析防雷通信与电子
电力安全生产及防护篇5
关键词:10kV配电线路;运行;保障措施
前言
电力是现代社会发展与居民生产生活的重要的基础性的能源,随着经济的快速发展居民的用电量日益增多。10kV配电线路是电网供应居民生产生活用电中的重要一环,其能否正常安全的供电对于确保居民的正常用电有着十分重要的意义。做好对于10kV配电线路的安全保障就是保障人们的人身与财产安全。
110kV配电线路运行中常见故障及影响因素分析
1.1外力破坏
在10kV配电线路的运行过程中,外力破坏是影响10kV配电线路正常运行的主要原因之一,这是由于10kV配电线路多处在户外运行,且其覆盖面积较大,因此其容易受到外力的破坏而影响10kV配电线路的正常供电。10kV配电线路外力破坏主要集中在:线路的偷窃、电线杆遭到碰撞等造成10kV配电线路中断从而影响10kV配电线路的正常供电。
1.2设备故障而引起的供电中断
在10kV配电线路的供电过程中,速断跳闸是对于10kV配电线路重要的短路保护措施,具有动作可靠、接线简单以及能够对10kV配电线路进行及时的保护等的优点。但是在速断保护器的应用过程中其也面临着保护范围有限无法覆盖整个10kV配电线路的不足,且10kV配电线路的配电运行方式对于短路保护范围也有着极为重要的影响。在对10kV配电线路常见故障的统计分析中,过流保护是其中较为常见的故障,其多发生于相间短路,会对设备的正常运行及人身安全造成严重的威胁,因此在10kV配电线路中应当加强对于线路的过流保护。在10kV配电线路造成过流故障的原因主要有以下几点:(1)10kV配电线路中的过流保护值设定偏小,当10kV配电线路在运行过程中符合突然增大将容易引起10kV配电线路过流保护跳闸。(2)10kV配电线路中的负荷电流过大对10kV配电线路的过流保护造成了较为严重的冲击从而导致10kV配电线路保护的跳闸。(3)10kV配电线路的老化,在线路的长期使用过程中,由于线路的老化将会导致线路的负载能力下降或是线路的破损从而造成10kV配电线路的线路过流保护。
1.3周边环境对10kV配电线路安全运行的影响
在10kV配电线路的运行过程中,在以下周边环境较为复杂的区域尤其是周边林木密集的区域是鸟类聚集较大的地方。在10kV配电线路的运行过程中,鸟类碰撞或是站立在10kV配电线路上将极易造成10kV配电线路的短路并造成线路跳闸。同时,10kV配电线路在与运行时会受到暴雨、覆冰等恶劣的自然环境的影响从而影响到10kV配电线路的安全运行。
1.410kV配电线路运行中的线路接地故障
在10kV配电线路的运行过程中造成10kV配电线路接地故障的原因主要有以下几点:(1)10kV配电线路在长时间的使用过程中由于线路老化造成线路的绝缘性下降从而导致接地事故的发生。(2)火灾等导致线路损坏造成线路接地。(3)在10kV配电线路使用过程中由于大风等导致的线路晃动使得杆塔产生放电现象从而导致10kV配电线路产生接地故障。
1.510kV配电线路在使用中遭受雷击所产生的故障
在一些雷电多发区域10kV配电线路在使用的过程中容易遭受雷击而造成线路故障。当10kV配电线路在遭受到雷击时,10kV配电线路内部会产生雷击过电压并在线路内部形成强烈的电磁感应从而导致10kV配电线路产生严重的损坏。因此在10kV配电线路的使用过程中要注意做好10kV配电线路对于雷电的防护,保障10kV配电线路的正常运行。
2保障10kV配电线路安全运行的应对措施
2.1做好10kV配电线路对于环境的防护
环境是影响10kV配电线路安全运行的重要因素之一,做好对于周边恶劣自然环境对10kV配电线路的防护是保障10kV配电线路正常运行的重要举措。防治外界环境破坏10kV配电线路可以采用宣传、警示等的方式来提高人们对于10kV配电线路的保护意识,同时加强对于10kV配电线路的防偷盗的巡逻与宣传工作。在10kV配电线路的防护过程中还需要注意做好对于配电线路周边的环境清理与树木的清理。避免树木等对10kV配电线路的安全运行造成影响。
2.2做好10kV配电线路的防雷防护
做好对于10kV配电线路防雷防护,并注意定期对防雷线路进行检查,更换老化的避雷线路以提高10kV配电线路的防雷效果。同时对于雷击较为频繁的路段需要注意增加避雷装置的数量并注意采用新型的避雷装置以提高10kV配电线路的防雷效果,在防雷装置的选择上可以使用免维护氧化锌避雷装置。
2.3注意做好10kV配电线路的防护等级与防护水平
为确保10kV配电线路的安全运行还需要注意提高新建变电所的设备水平,在变电所中配置全面的安全防护装置以提高10kV配电线路的安全防护等级,提高10kV配电线路的安全运行的水平。比如说:在10kV配电线路中所采用的电流速断、过流跳闸的基础上还需要注意配备低压闭锁和时限速断等的保护措施以使得10kV配电线路能够更好的适应10kV配电线路中的电流负荷的变化。同时在线路的运行中积极引入现今的技术以提高对配电设备状态的分析与评估效率,以提高对于10kV配电线路的安全检修效率。
2.4做好对于10kV配电线路的管理与维修
良好的10kV配电线路的监管对于10kV配电线路的安全使用有着极为重要的意义。在10kV配电线路的线路监管过程中相关部门需要根据制度对线路进行严格的监管。安排好人员对于10kV配电线路进行定期的巡查,对于发现存在问题或是发现对10kV配电线路的安全运行存在安全隐患的需要及时记录上报,以便对线路进行合理的管理维护。同时对于雷电多发区域或是当雷雨季节来临前要对10kV配电线路沿线的各防雷装置进行检查并在平时做好对于绝缘电阻、工频放电等的定期检测,以提高10kV配电线路的防雷能力,对于发现存在问题的避雷装置要及时予以更换。
3结束语
10kV配电线路是供电网络中的重要一环,其安全运行的能力对于用户的正常用电有着极为重要的影响.文章在分析影响10kV配电线路安全运行因素的基础上对相应的防护措施进行了分析阐述.在做好对于10kV配电线路的防护措施中首先需要阻止外界对于10kV配电线路的侵蚀,在此基础上要注意做好10kV配电线路的防雷装置的安装并注意加强设备的技术水平,以提高对于10kV配电线路的管理及维修的能力.确保10kV配电线路的安全运行。
参考文献
[1]陈洁,姜建勋.10kV配电线路雷害事故分析及防雷措施仿真研究[J].电瓷避雷器,2011(4):73-77.
电力安全生产及防护篇6
关键词:火电厂;锅炉运行控制;故障预防
现代电力能源需求的不断提高对电厂供电能力提出了新的要求、对电厂设备运行控制及维修工作提出了新的要求。根据现代电力能源的需求,现代电厂的运营管理中必须强化锅炉运行控制及故障预防,通过锅炉运行控制工作的开展,保障锅炉运行效率及运行安全性。同时通过锅炉一线操作监控人员综合技能的培养,及时发现锅炉运行过程中的异常情况,为及时发现锅炉故障、快速排除锅炉故障奠定基础。运用现代设备故障预防理论指导火电厂锅炉故障预防工作,促进电厂锅炉运行管理及故障预防工作的开展。
1火电厂锅炉运行控制及故障预防的需求
我国电力市场改革加剧了电力企业间的竞争,同时也提高了对电力企业技术能力的要求。针对电力企业生产需求,现代电厂应加快设备运行控制及故障预防工作的开展。通过对锅炉设备重要性的认识、通过对锅炉实际运行工况的掌握,提高设备管理水平及技术水平,促进电厂锅炉安全稳定的运行。在现代电力能源需求基础上,电厂安全稳定生产是生产管理的首要目标,作为电厂发电机组的重要组成,火电厂锅炉系统的运行是管理工作的重中之重。在锅炉系统运行中,煤炭质量、设备技术、设备操作参数设定等因素都会影响锅炉系统的运行效率,并且,操作环节更是关系到锅炉系统运行的安全性。针对现代火电厂锅炉运行控制及故障预防的需求,电厂设备管养部门应从人员队伍的培养入手,通过健全的管理体系以及预防性养护理论的应用,提高锅炉运行效率、预防锅炉故障的发生。
2火电厂锅炉运行控制与故障预防
2.1树立锅炉运行控制及故障预防管理意识
我国火电厂以往的管理工作中存在“重建轻管”、“重修轻养”等问题,造成了锅炉等设备故障的频发。为了满足现代电厂锅炉系统运行稳定性及安全性需求,现代电厂设备运行管理部门及设备维修部门应树立管养意识。通过锅炉运行控制管理意识的树立、预防性养护维修理念引入,促进电厂锅炉运行管理能力及管理水平的提高,保障电厂锅炉的安全稳定运行。
2.2以火电厂锅炉实际情况为基础,建立健全运行控制管理体系
根据火电厂锅炉安全稳定运行的需求,根据电厂锅炉运行维护工作需求,现代火电厂的运行管理中应建立健全的锅炉运行控制管理体系。根据火电厂所采用锅炉型号、技改后的技术要求,确定运行控制管理体系的内容及要点。以满足电厂锅炉运行控制需求为中心、结合电厂锅炉运行控制管理架构,确定各部门人员及操作人员的职责。以岗位职责的明确规范锅炉运行控制岗位人员的具体工作,避免误操作等情况影响锅炉的安全运行。在建立锅炉运行控制管理的体系的基础上,电厂运管部门还应建立绩效考核机制及奖惩制度。通过绩效考核机制对锅炉运行控制岗位人员的工作进行评测,根据评测结论确定人员的奖惩。以奖惩制度及岗位绩效评测机制,调动员工工作积极性及主动性,促进锅炉运行控制管理能力的提升。
2.3加强锅炉运行控制岗位队伍培养,提高锅炉故障预防能力
在现代电厂锅炉运行控制及故障预防理论研究中,强化锅炉运行控制岗位人员综合技能培养能够提高锅炉故障预防能力。通过对锅炉运行控制岗位人员的培训,提高岗位工作人员的专业技能及安全意识。以锅炉运行控制岗位人员对锅炉运行参数的掌握,及时发现锅炉运行过程中参数的异常。以此,避免锅炉系统故障进一步扩大造成安全事故。而且,锅炉运行控制岗位工作人员综合技能的提高还有助于企业锅炉系统技改工作时一线经验的总结,提高技改工作科学性及适用性。
2.4建立预防性养护管理体系,实现故障预防目标
在我国电厂设备养护管理中预防性养护管理理论的应用能够极大的降低电厂设备故障发生率。根据多年的设备养护管理经验及预防性养护管理理论应用效果,现代电厂锅炉故障预防工作中应强化预防性养护管理理论的应用。掌握锅炉系统易损零部件的实际情况、掌握锅炉易发故障的实际情况,以此为基础确定预防性养护管理工作的内容及要点。并通过管理体系的建立、制度的完善,规范设备维修养护部门的具体工作。通过预防性养护管理体系的建立,提高火电厂锅炉故障预防能力、实现锅炉安全稳定运行目标。
2.5针对常见故障进行日常监控
预防性养护维修管理体系能够对火电厂锅炉故障进行预防性管养,但是,在锅炉实际运行过程中故障的发生仍不可避免。为了减少火电厂锅炉运行故障对电力生产的影响,火电厂锅炉故障预防工作中还应加强常见故障的日常监控。根据以往锅炉故障维修养护记录及经验分析,明确火电厂锅炉运行中的常见故障,通过建立常见故障数据库的方式,指导设备检修人员的日常巡检工作。以常见故障的日常监控,了解常见故障的特征表现、分析常见故障发生后锅炉运行参数的变化。通过运行控制人员对参数的掌握、通过锅炉故障日常监控,预防和避免故障的故障的发生、减少故障发生后处理不及时造成的故障扩大。以满足火电厂锅炉故障预防为中心,强化常见故障的日常监控工作,保障电厂锅炉的稳定运行。
3完善电厂锅炉故障诊断系统,提高锅炉故障预防能力
现代电厂故障诊断技术的快速发展,为电厂锅炉故障预防工作提供了坚实的技术基础。利用故障诊断系统,能够及时发现锅炉系统故障,避免故障进一步扩大造成的安全隐患。而且,电厂锅炉故障诊断系统的应用,还能够根据锅炉运行的实际情况做出故障预警,提高了锅炉运行的安全性。因此,现代电厂锅炉运行控制及维修养护工作中,应注重锅炉在线故障诊断系统的完善。通过与系统供应商的沟通掌握新技术及新方法,以科学的系统更新、系统维护等保障系统的稳定运行,实现电厂锅炉运行故障预防目的。
4结语
现代电力能源需求的不断提高,要求电厂设备管理部门必须强化故障的预防。通过故障预防提高设备运行效率、减少设备维修工作对电力生产的影响。作为火电厂的重要设备,锅炉系统的运行控制及故障预防对电力生产能力有着重要的影响,为了满足现代电厂锅炉运行需求,电厂设备运管部门应通过管理体系的完善、制度的健全,规范运行控制人员的工作。同时利用现代预防性养护理论及故障诊断系统,提高锅炉故障预防能力,保障电厂锅炉安全稳定运行、保障电厂的生产能力。
参考文献
[1]陈京睿.火电厂锅炉运行控制管理工作方式及重点[J].电力设备与管理,2012(01):98.
[2]马金龙.预防性养护管理理论在电厂锅炉维修养护中的应用[J].电力能源科技,2012(07):13.
电力安全生产及防护篇7
撰写人:___________
日
期:___________
2021年安全性评价安全管理自查总结
一、查评概况:为进一步巩固__年安全生产的形势,加强安全生产管理,持续改善设备健康状况,不断稳固安全生产基础,根据《中国华电集团公司火力发电企业安全性评价工作管理规定》要求,__年深入开展了新一轮安全性评价工作,制定了详细的工作计划。
按照工作计划我部门严格依据《发电企业安全性综合评价标准》对安全管理及劳动安全和作业环境部分、专项管理依据查评标准进行了逐条检查。查阅了安全生产管理文件,各级安全生产责任制,安全生产四级控制目标及实现目标的措施,“两措”计划,安全大检查文件、计划、整改措施计划,“两票”及危险点分析,值长工作日志、值际安全活动记录、培训记录、实习工以及离岗三个月员工的三级安全教育,事故调查分析等项目安全管理部分查评项目___个大项,___个小项项,其中安全管理部分应得分___分,实得分___分,得分率___%,劳动安全和作业环境应得分___分,实得分___分,得分率___%,专项管理应得分___分,实得分___分,得分率___%。
二、安全性评价安全管理自查明细表
序号评价项目应得分(分)实得分(分)得分率(%)严重问题数(个) 安全管理1060104998.9631安全目标4040100 2安全生产责任制80769512.1安全生产责任制的制定4040100 2.2安全生产责任制的落实4032100 ___部门安全生产第一责任者__0 ___班组长__8013安全生产管理体系8080100 3.1安全生产保证体系3030100 3.2安全生产监督体系5030100 3.2.1安全监督机构__0 3.2.2安全监督工作3030100 4规程制度5050100 5两票三制8080100 6应急管理302583.3317反违章管理5050100 9安全例行工作___00 9.1安全检查___0 9.2安全例会5050100 9.3安全监督网例会3030100 ___班组安全活动7070100 ___月报简报4040100 10重大危险源管理3030100 11反事故措施和安全技术劳动保护措施计划404040 12安全教育培训1009898112.1培训计划和实施302893.33112.2新工入厂教育__0 12.3员工上岗培训__0 12.4在岗生产人员培训3030100 13安全生产考核与奖励3030100 14不安全事件调查处理3030100 15安全性评价8080100 16企业安全文化建设3030100 三、安全管理存在的主要问题及整改措施___项目序号:
12.1存在问题:安全教育形式单一,对员工安全知识的培训不够全面;整改措施:利用多种形式和媒体,以及在现场考问、技术问答培训中,将安全方面知识加入,丰富培训渠道和内容。___项目序号:
2.2.3存在问题:车间班组班前会、班后会记录,“两个交底”及安全措施内容过于简单,不具体。整改措施:应结合实际,根据工作性质做好“两个交底”及安全措施,班前、班后会内容要具体、详细。___项目序号:6存在问题:制定的应急预案未定期培训学习和演练;整改建议:严格按照应急培训计划,定期___各级人员进行应急预案的培训和演习。
四、安全性评价劳动安全和作业环境自查明细表序号评价项目应得分(分)实得分(分)得分率(%)严重问题数(个) 劳动安全和作业环境79077197.5961劳动安全57056098.2441.1电气安全___095.4531.1.1电气安全用具605693.3321.1.1.1电气安全用具购置___0100 1.1.1.2绝缘操作杆、绝缘手套、绝缘靴、验电器___73.3321.1.1.3携带型短路接地线___100 1.1.1.4电气安全用具使用___0100 1.1.1.5电气安全用具定期检查和试验___0100 1.1.2手持电动工具4040100 1.1.2.1手持电动工具(手电钻、手砂轮等)__0 1.1.2.2手持电动工具安全操作规程___0100 1.1.2.3手持电动工具正确使用___0100 1.1.3移动式电动工具3030100 1.1.3.1抽水泵、砂轮锯、空气压缩机、切割机等___0100 1.1.3.2移动式电动工具安全操作规程___0100 1.1.3.3移动式电动工具正确使用方法的掌握___0100 1.1.4漏电保护器3030100 1.1.4.1漏电保护器的制度___0100 1.1.4.2漏电保护器___0100 1.1.4.3漏电保护器运行和管理___0100 1.1.5检修电源箱、照明配电箱___0100 1.1.6保护接地及接零__100 1.1.6.1生产及非生产用电动机、电气设备等应接零或接地的部分应有可靠的保护接零或接地___0100 1.1.6.2现场电气设备接地、接零保护规定___0100 1.1.7施工现场临时电源___人员掌握触电急救及心肺复苏法情况___100 1.7安全防护454293.3311.7.1劳动保护及个体防护用品发放和使用___100 1.7.2安全帽__0 1.7.3正压式空气呼吸器及防毒面具1077011.8特殊危险作业___100 1.8.1特殊危险作业___100 2作业环境___195.9022.1生产区域照明6060100 2.2生产区域梯台4545100 2.2.1钢斜梯___100 2.2.2钢直梯___100 2.2.3钢平台___100 2.3生产区域楼板、地面454088.8912.3.1楼板、地面302583.3312.3.2厂内车道、消防通道、人行道___100 2.4构筑物管理4040100 2.5安全标志、安全遮拦及警示线302686.6712.5.1生产区域安全标志和遮拦___73.3312.5.3安全警示线___100 五、劳动安全和作业环境存在的主要问题及整改措施1、项目序号:
1.1.1.2存在问题:生产现场的电气安全用具使用不符合规范,有戴绝缘手套检查接地线的情况。整改措施:加强培训,严格管理,提高人员对安全工器具的认识,规范使用。
2、项目序号:
1.1.1.2存在问题:生产现场的绝缘手套使用完后未按定置编号进行摆放的现象。整改措施:加强现场监督检查和交接班检查,对使用完的绝缘手套按照定置要求放入安全工具柜内。
3、项目序号:
1.1.7存在问题:现场架设的临时电源不符合要求,没有按要求架空或采取防碾压措施。整改措施:加强临时电源的管理,严格按照规范要求架设临时电源。
4、项目序号:
2.5.1存在问题:生产现场有部分安全标志缺损。整改措施:定期进行现场检查,发现问题及时统计、购置、更换。
5、项目序号:
1.7.3存在问题:现场值班员对消防正压式呼吸器使用方法掌握不够全面。整改措施:加强消防正压式呼吸器使用方法培训,使每一位员工都能掌握使用方法。
6、项目序号:
2.3.1存在问题:现场有部分沟道盖板损坏,塌陷。整改措施:加强检查,对损坏和塌陷的沟道及时进行修复,防止压坏电缆和造成人员伤害,引起事故。
六、专项管理自查明细表序号评价项目应得分(分)实得分(分)得分率(%)问题数(个) 专项管理23522394.8932职业健康管理__7512.2设备管理__7514消防管理18017396.1124.1消防规章制度落实5050100 4.1.1消防___0100 4.1.2防火责任制___0100 4.1.3群众性消防___0100 4.1.4禁火区管理制度___0100 4.1.5防火档案和灭火预案___0100 4.2消防器材管理80769514.2.1消防器材配备1066014.2.2消防泵__0 4.2.3消防水系统、设施(含高位水箱)___0100 4.2.4火灾报警及自动灭火、隔离系统__0 4.2.5重点防火部位(主控室、制氢站、燃油泵房及油罐区、电缆间及隧道、机炉房油系统、通信机房、计算机房)等消防器材配置__0 4.3防火、防爆50479414.3.1易燃、___物品的管理___0100 4.3.2易燃、___物品区,建筑设施防雷、防静电系统__0 4.3.4有关气体的物理、化学特性1077014.3.5蓄电池室、油罐室、油处理室、氢油站等重点防火部位___0100 5防灾减灾3535100 5.1防汛、防台风、防泥石流等自然灾害3535100 5.1.1准备工作___100 5.1.2防灾器材管理、维护责任制___0100 5.1.3供水泵房、厂房、零米以下部位等永久性防汛设施___0100 七、专项管理存在的主要问题及整改建议1、项目序号:
2.2存在问题:110kV变电站___有六氟化硫开关,未___漏气检测装置。整改措施:购置六氟化硫气体泄漏检测装置进行___。
2、项目序号:
4.2.1存在问题:现场灭火器存在未道检验期压力下降的现象。整改措施:各岗位定期对灭火器进行检查,发现压力低、外观损坏等不合格的灭火器,及时联系消防保卫部进行更换。
3、项目序号:
4.3.4存在问题:个别电气值班员对六氟化硫气体的特性不熟悉。整改措施:加强技术培训,使电气值班员都能掌握六氟化硫气体特性。 运行部__年___月九日
电力安全生产及防护篇8
关键词:电力系统;智能终端;安全挑战与风险;安全防护
0引言
为应对全球节能减排、能源综合利用效率提升的挑战,发展能源互联网成为推动后危机时代经济转型、发展低碳经济的重要手段[1]。能源互联网的建设使得现代电网向开放、互联、以用户为中心的方向发展,实现多类型能源开放互联、各种设备与系统开放对等接入。2019年,国家电网有限公司提出了“三型两网”的战略发展目标,在建设坚强智能电网的基础上,重点建设泛在电力物联网,以构建世界一流能源互联网。泛在电力物联网将充分应用移动互联、人工智能等现代信息技术和先进通信技术,实现电力系统各个环节万物互联、人机交互,打造电网状态全面感知、信息高效处理、应用便捷灵活的能力。泛在电力物联网的建设主要包括感知层、网络层、平台层、应用层4个部分,其中感知层重点实现终端标准化统一接入,以及通信、计算等资源共享,在源端实现数据融通和边缘智能。在此背景下,智能表计、新一代配电终端、源网荷友好互动终端、电动汽车充电桩等多类型电力系统智能终端在电网中得以广泛应用[2],成为连接电力骨干网络与电力一次系统、用户的第一道门户。电力系统智能终端作为能源互联中多网“融合控制”的纽带节点,实现了电网监测数据的“本地疏导”以及电网对外控制的“功能聚合”[3],其安全性直接关系到电网的安全稳定运行,研究电力系统智能终端的信息安全防护技术意义重大。
针对电力系统信息安全防护问题,自2002年起中国提出了以网络边界隔离保护为主的电力二次安全防护体系[4],有效保障了电力监控系统和电力调度数据网的安全稳定运行。电力二次安全防护体系制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略,重点强调了通过内网隔离保护的方式确保电力二次系统的安全防护[5],然而对新形势下电力系统智能终端的安全防护并未考虑。一方面,与传统信息安全相比,泛在电力物联网中各环节数亿规模终端具有异构与分散特性,后天标准化的终端自身安全防护理论与技术难以获得,如何兼顾实时性和安全性双重约束进行电力系统终端自身安全防护成为需要考虑的问题,电力系统智能终端自身安全性保证需求迫切。另一方面,随着泛在电力物联网建设推进,电力系统智能终端广泛采用无线传感网络等公共网络与电网主站系统进行通信[6],在电力二次安全防护体系隔离保护边界外形成具有泛在互联、开放共享特性的边缘计算网络。这必然会将网络攻击威胁传导至电力系统本体,使得因网络攻击造成的大停电风险陡增。
为应对以上安全威胁,2014年国家发改委和能源局了《电力监控系统安全防护规定》[7],要求电力生产控制大区设立安全接入区,对使用无线通信网等方式纵向接入生产控制大区的电力系统智能终端进行网络隔离。因此,在当前网络攻击手段呈现高级定制化、特征不确定化的严峻形势下,如何解决异构多样、数量庞大的电力系统智能终端边缘接入过程中的网络攻击实时监控发现和防渗透成为需要考虑的另外一项重要问题。
为此,本文围绕电力系统智能设备安全互联需求,首先分析电力系统智能终端业务特征和信息安全风险,明确电力系统智能终端信息安全防护特性;在此基础上,本文总结提出了电力系统智能终端信息安全防护面临的关键技术问题;然后,设计构建了覆盖芯片层、终端层、交互层的电力系统智能终端信息安全防护研究框架;最后,对电力系统智能终端信息安全防护关键技术进行了展望。
1电力系统智能终端信息安全风险
近年来网络空间安全事件频发,部级、集团式网络安全威胁层出不穷[8-10]。电力等重要基础设施领域成为“网络战”的重点攻击目标之一,信息安全形势异常严峻[11]。2010年“震网”病毒事件中,西门子可编程逻辑控制器(pLC)终端受病毒攻击导致1000多台离心机损毁,使得核电站瘫痪。2015年乌克兰停电事件,以终端为攻击跳板瘫痪电力控制系统导致,成为全球首例公开报道的因黑客攻击导致大范围停电事件[12]。以上事件均表明,电力系统智能终端已成为攻击电网的重要目标和主要跳板[13],面临着严峻的信息安全风险。本文从信息安全防护的保密性、完整性、可用性3项重要目标角度出发[14-15],结合电力系统智能终端的组成结构和业务特征对信息安全风险进行分析,具体涉及芯片层、终端层、交互层3个方面,如图1所示。
1)芯片层:电力系统智能终端芯片自主可控性和安全性不足,在非受控环境下面临后门漏洞被利用风险。
2018年intel芯片漏洞事件,爆出intel芯片存在融毁漏洞以及幽灵漏洞,利用该漏洞进行攻击,可获取用户的账号密码、通信信息等隐私,智能终端均受波及,电力系统智能终端芯片同样面临漏洞、后门隐患的巨大问题。随着电力系统智能终端的开放性逐渐增强,与外界交互范围逐渐扩大,电力系统智能终端芯片安全性的不足逐渐凸显,主要表现在电力系统智能终端芯片自主可控程度低、芯片安全设计不足,导致当前电力系统智能终端存在“带病”运行,漏洞隐患易被攻击利用造成安全事件。为此,需要在芯片层面提高电力系统智能终端芯片的安全性,从芯片层面提高电网的安全防护能力。
2)终端层:异构电力系统智能终端计算环境安全保证不足,存在终端被恶意控制破坏的风险。
据数据统计表明,目前中国电网已部署各类型电力系统智能终端总数超4亿,规划至2030年接入各类保护、采集、控制终端设备数量将达到20亿。各类电力系统智能终端覆盖了电力“发电、输电、变电、配电、用电、调度”等各个环节,终端形态各异且业务逻辑差异巨大。终端复杂多样的嵌入式硬件计算环境、异构的软件应用环境和多类型私有通信协议等特性,使得其安全防护尚未形成统一标准。各类终端安全防护措施和水平亦参差不齐,在面对病毒、木马等网络攻击时整体安全防护能力薄弱。同时,电力系统智能终端在研发、生产、制造等环节无法避免的漏洞后门隐患也存在被攻击者利用的巨大安全风险。随着电力系统智能化水平的不断升级,各类型电力系统智能终端越来越多地承载了大量异构封闭、连续作业的电力生产运营应用,运行可靠性、实时性要求较高。电力系统智能终端一旦遭受恶意网络攻击,将可能导致终端生产监测信息采集失真,甚至造成终端误动作引发停电风险,传统事后响应型的终端被动防护技术无法满足电力安全防护的需要。因此,确保电力系统智能终端软硬件计算环境安全的标准化防护技术,以及事前防御型的主动防御技术研究需求迫切。
3)交互层:电力系统智能终端广泛互联互通导致网络开放性扩大,引入网络攻击渗透破坏风险。
泛在电力物联网的建设,其核心目标是将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务。以电网为枢纽,发挥平台和共享作用,为全行业和更多市场主体发展创造更大机遇,提供价值服务。因此,泛在电力物联网环境下的电力系统智能终端将广泛采用电力无线专网、nB-iot、北斗定位、ipv6和5G等无线、公共网络与电网主站系统进行通信,使得电力系统智能终端的通信交互形式将呈现数量大、层级多、分布广、种类杂等特点,极大地增加了遭受网络攻击的暴露面。无论是电力系统智能终端,还是主站电力系统,被网络攻击渗透破坏的风险均进一步增大。在当前网络空间安全异常严峻的形势下,新型网络攻击手段不断衍变衍生,呈高级、定制化、持续性发展,尤其是面向工控环境的攻击更具有高度定制化、危害大的特点,使得电力系统智能终端通信交互过程中面临着新型网络攻击被动处置的局面。例如在乌克兰停电事件中,黑客通过欺骗电力公司员工信任、植入木马、后门连接等方式,绕过认证机制,对乌克兰境内3处变电站的数据采集与监控(SCaDa)系统发起攻击,删除磁盘所有文件,造成7个110kV和23个35kV变电站发生故障,从而导致该地区发生大面积停电事件。
综上可知,电力系统智能终端面临的芯片层、终端层信息安全风险主要由终端芯片、计算环境安全性不可控和漏洞被利用等原因造成,可归纳为终端“自身安全”问题。交互层信息安全风险产生的原因主要为电力系统智能终端在互联接入过程中存在被渗透攻击可能性造成的,可归纳为“攻击防御”问题。
2电力系统智能终端信息安全防护技术问题剖析
为了解决电力系统智能终端“自身安全”和“攻击防御”问题,国内外学者开展了诸多信息安全防护技术研究,主要从传统信息安全的角度探索密码技术在终端自身数据保护、通信协议安全、安全接入传输方面的应用[16]。然而,受制于当前中国的芯片自主可控水平限制,以及电力系统智能终端异构多样的复杂计算环境和高安全、高实时运行特性限制,加之网络攻击特征不确定的混合约束,电力系统智能终端的整体安全防护尚存在待突破的技术问题,具体如下。
1)技术问题1:覆盖电路级、CpU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题。
根据安全风险分析可知,解决电力系统智能终端“自身安全”问题,必须实现芯片安全和终端计算环境安全。
在电力系统智能终端芯片层,面临的安全隐患表现为芯片各层次防护理论和技术无法满足安全需求。然而,当前电力系统智能终端采用了大量先进工艺条件制造的芯片,此类芯片主要由国外掌控,自主可控程度很低,其安全性保障技术更是存在空白。随着中国自主先进芯片技术发展,电力系统智能终端芯片在实现自主可控的同时应充分考虑芯片的安全防护,同步设计、同步发展。首先需从芯片设计理论的安全建模方面进行技术突破,确保理论层面的可证明安全。其次,应突破电路级、CpU内核以及片上内嵌入式操作系统等芯片核心组件的安全防护技术,从而构建芯片全通路安全防护技术体系。在电力系统智能终端计算环境安全方面,由于电力系统智能终端异构多样、资源受限、长期运行,传统终端被动式、个性化安全技术无法适用。因此需开展结合芯片层面的终端安全技术研究,构建适用于电力系统智能终端不同硬件架构、不同系统环境、不同应用环境的标准化安全防护框架,且能够在网络安全事件发生前、发生时确保终端计算环境的安全性和完整性,最终形成电力系统智能终端的普适性主动免疫技术体系。
2)技术问题2:攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断问题。
解决电力系统智能终端“攻击防御”问题,重点需突破电力系统终端远程接入交互过程中的攻击监测和防渗透技术。然而,电力系统智能终端点多面广、业务系统专业性强、互联网络组成复杂度高,且三者间相互耦合,而针对电力系统的网络攻击呈现定制化、隐蔽化和高级化等特点,难以清晰描述基于零日漏洞的高级持续性网络攻击的机理和特征,不同电力系统智能终端、系统、网络在攻击下的表现不一,因此无法单一根据攻击特征进行识别和阻断。传统监测手段缺少对电力业务场景的安全建模,监测数据源仅涉及CpU内存等基础资源状态和基础网络流量,未面向电网业务流、专用协议和应用特征进行深度监控与分析,难以精确、深入地感知电力系统智能终端系统安全状态,需要探索终端安全精确感知与攻击阻断技术。同时,在电力设备广泛互联后,边缘侧安全防护能力不足,需突破混合电力业务可信边缘接入与多级安全隔离技术。
3电力系统智能终端信息安全防护技术研究思路
针对电力系统智能设备安全互联的需求,以解决电力系统智能终端“自身安全”和“攻击防御”问题为核心,本文提出了覆盖“芯片层、终端层、交互层”的3层安全防护研究脉络,构建电力系统智能终端安全防护技术研究模型,如图2所示。
具体来说,首先需解决“覆盖电路级、CpU内核及片上内嵌入式操作系统的芯片全通路安全防护机制及适应各类异构终端的普适性主动免疫问题”,从芯片层安全和终端层安全开展关键技术研究,以确保电力系统智能终端自身安全。在芯片层,需开展芯片电路级安全、专用CpU内核、片上内嵌入式操作系统安全等3方面技术研究,为电力系统智能终端计算环境安全提供满足安全性、实时性要求的电力专用芯片,为终端主动免疫能力构建提供基础。在终端层,需从终端计算环境安全、应用安全、通信安全角度,重点研究具有主动免疫能力的电力系统智能终端内嵌入式组件和控制单元技术,并研制具备主动免疫能力的电力嵌入式组件、控制单元和终端。芯片层研究和终端层研究的成果共同解决终端主动免疫问题;同时,终端层将为交互层提供终端安全监测数据,并向交互层终端边缘接入防护提供业务场景和接入需求。
在此基础上,为解决“攻击特征不确定、终端/业务/网络强耦合条件下,终端安全状态建模、精确感知及威胁阻断”的问题,需从交互层安全开展关键技术研究以确保外部攻击防御。具体来说,面向主动免疫终端的互联应用场景,研究提供网络监控防御和安全交互保障技术;从终端状态感知、攻击识别、威胁阻断等3个监控与防渗透必要环节,研究终端、业务、网络多维融合状态感知、关联电力业务逻辑的深度攻击识别、终端网络联动的威胁阻断技术,实现终端安全威胁精确感知与阻断,为电力系统智能终端提供网络攻击防渗透决策控制服务。同时,研究电力系统智能终端的统一边缘接入场景安全防护,为终端的边缘接入安全、数据安全和隔离保护提供技术支撑,为具有自免疫能力的电力系统智能终端的边缘接入提供安全传输通道。
4电力系统智能终端信息安全防护关键技术
下文将从芯片层、终端层、交互层等3个方面对电力系统智能终端安全防护需突破的关键技术展开阐述。
1)芯片层安全防护关键技术:芯片电路级可证明安全防护技术和内核故障自修复技术。
针对复杂环境、先进工艺条件以及新型攻击模型带来的一系列芯片安全问题,研究覆盖电路级、CpU内核以及嵌入式操作系统的具有完全自主知识产权的电力芯片安全技术[17]。满足电力系统终端对电力专用芯片的高安全、高可靠、高实时性要求。
首先需要进行芯片级安全防护理论研究,针对集成电路器件的信息泄露产生源问题[18],具体理论研究方法为:研究先进工艺下电流、光、热等物理信息的产生机理[19],掌握其内在物理特性和工艺间的关系;分析芯片电路元件的组合物理特性,以及多元并行数据在信息泄露上的相互影响;在芯片内部特征差异和外部噪声环境下,研究先进工艺下电力专用芯片物理信息泄露的精准建模方法,构建普适性物理信息泄露模型;研究可证明安全的泄露信息掩码、隐藏技术以及抵御高阶分析和模式类分析的防护技术,提升芯片安全设计理论与方法;研究层次化芯片安全防御体系架构。通过研究芯片运行电磁环境监测、运行状态监测、多源故障检测技术,实现芯片的环境监测和内部监测。研究CpU指令流加密和签名、平衡电路构建、数字真随机数电路等技术,实现芯片内部数据的存储加密、总线扰动、电路掩码。提出可证明安全的自主知识产权芯片电路级防护方法,满足电力专用芯片的高安全要求。
在理论研究基础上,需基于可证明安全的芯片电路级防护方法进行芯片电路级防护实现技术研究。首先,基于自主知识产权的CpU架构,研发带有高安全、高可靠特性的CpU内核,并对以上技术进行仿真验证,研究形成CpU内核故障自修复技术,满足电力专用芯片的高可靠性要求;然后,确定仿真验证可行性,并采用以上关键技术研制低功耗、高速特性的电力专用芯片,开发适用于电力应用的片上内嵌入式操作系统,满足电力专用芯片的高实时性要求。
最后,对研制的电力专用芯片和内嵌入式操作系统进行全套模拟测试,以确定满足后续电力智能终端的开发应用。通过芯片层安全研究方法确保电力专用芯片满足安全防护要求,实现功耗电磁隐藏、数据命令掩码、电路屏蔽,以抵御模板攻击、电磁注入攻击等新型信道攻击、故障攻击、侵入式攻击。具体研究框架如图3所示。
2)终端层安全防护关键技术:融合可信计算和业务安全的异构智能终端主动免疫技术。
针对电力智能终端异构、资源受限条件带来的终端易被恶意控制和破坏的风险,提出研究融合可信计算和业务安全的异构智能终端主动免疫技术。首先,根据电力多场景业务应用情况,分析各类电力系统智能终端的安全防护需求,提取异构智能终端的主动免疫需求特征;然后,根据异构终端的主动免疫需求特征,研究建立适应电力系统智能终端的普适性主动免疫安全架构。①在硬件安全架构技术研究方面,针对电力终端特性研究基于电力专用芯片的电力终端可信根[20],实现对电力终端操作系统、业务应用程序的可信量度,保证终端状态的可信[21-22];设计以可信根为基础、以嵌入式微控制单元(mCU)为应用的终端可信逻辑硬件架构,研究端口安全访问机制和接口驱动安全机制,实现终端的主动免疫能力。②在软件架构技术研究方面,针对电力终端在数据交互、访问机制、检查机制、审计机制方面存在的漏洞,研究数据安全保护机制[23],保证各个应用和各部分数据的独立安全;研究满足电力系统需求的安全访问控制机制,外层访问和软件平台之间的安全检查机制;研究适应外层、软件平台访问的安全访问审计机制。
在电力系统智能终端普适性主动免疫安全架构基础上,为实现终端计算环境安全、业务应用安全和对外通信安全,提升多种场景下异构电力系统智能终端的安全防护能力。需开展系统安全访问、数据安全保护、信任链构建、可信量度与可信管理、可信证明与可信证据收集、数据安全交互、核心功能保护、快速恢复及通信完整性保护等方面的关键技术研究,建立适应电力系统异构终端的普适性主动免疫体系。具体研究框架如图4所示。
3)交互层安全防护关键技术一:面向不确定攻击特征的终端威胁精确感知与阻断技术。
针对电力终端接入和互联过程中的攻击监测、异常处理与安全防护需求存在的问题,研究基于“异常监测—阻断响应—安全防护”的交互层安全技术。
首先,研究多级分布式监测与防渗透架构,构建监测布点机制和终端防渗透模型:①针对典型电力终端业务场景,分析不同场景的脆弱性和安全威胁,研究基于业务场景的终端网络渗透路径;②对终端系统中已有的安全防御措施进行建模;③综合防御模型与终端网络渗透路径,形成不同业务场景的监控与防渗透模型。
其次,针对网络渗透攻击特征的不确定性,需研究终端、业务、网络多维融合安全状态建模与感知方法,建立各维度安全状态基准,采用异常特征抽取技术获取各类攻击和异常特征的映射关系,反向推导可能发生的渗透攻击,实现异常识别。在终端安全状态感知方面,需分析多源异构嵌入式电力智能终端硬件资源、可信模块、配置文件、关键进程等运行状态特征,构建面向终端状态异常行为的分类和诊断模型,实现对多源异构终端的有效异常感知。在业务安全状态感知方面,开展基于协议深度分析的业务异常感知的研究。分析电力协议的格式规范、业务指令特征和操作逻辑,对协议进行深度解析并提取指令级特征[24];分析单一数据报文的合规性,识别畸形报文;分析组合数据报文,还原业务操作行为,实现对违规行为的异常感知。在网络安全状态感知方面,从通信路径、通信频率、流量大小、流量类型等多维角度分析电力终端流量特征[25],并融合归一化处理,以自学习的方式确定行为基线,实现流量异常识别。
在此基础上,针对电力系统遭受渗透攻击后的准确有效响应需求,结合各类电力系统业务场景,研究基于特征提取和模式识别的攻击关联分析方法,构建概率关联模型和因果关联模型,对攻击特征进行关联分析[26],作为攻击识别技术的支撑基础。对具有较显著特征的攻击行为,构建多模式快速匹配模型,实现攻击的快速匹配识别,对特征相对不很显著的复杂攻击行为,利用机器学习,实现攻击的有效检测。
最后需研究防渗透策略管理和隔离阻断技术,形成网络和终端设备的策略下发、执行和优化等综合管理方法;对于被入侵的高风险终端,产生终端隔离策略或网络阻断策略,对于受影响终端,生成风险规避策略。并需要研究策略优化、冲突检测、冲突消除算法,实现融合“终端隔离”与“网络阻断”的多层协同防御策略,最终基于攻击危害评估的隔离阻断技术实现攻击的抵御和消解。具体研究框架如图5所示。
4)交互层安全防护关键技术二:电力系统智能终端互联场景下终端边缘安全接入和混合业务隔离保护技术。
首先研究电力系统智能终端边缘接入体系架构和安全防护体系,为电力监控系统、智慧能源系统、能源计量系统的终端互联安全提供基础支撑。
在此基础上,针对电力系统智能终端互联、混合业务统一接入场景下,海量多样化终端的合法快速接入认证问题,需采用分布式授权接入控制、轻量级验签等方法,研究快速接入认证技术;在轻量级公钥、私钥研究的基础上,提出轻量级签名算法以及公钥对生成算法[27],通过软硬件结合方式构建轻量级的验签体系,支撑系统的实时验签处理。实现终端分布式授权和高速安全接入认证。同时,需针对不同边缘侧业务、环境、时间、跨度,实现不同安全需求的边缘侧认证授权技术,即在知识库、规则库构建的基础上,基于自学习方法构建完整的电力系统边缘计算认证因子体系[28],实现多种认证因子共存的“白名单”最小化授权认证。
针对边缘接入过程中的数据安全防护问题,需研究轻量级密钥更新和数据安全处理与质量保障技术,实现全实时数据安全防护。首先设计密钥管理、协商、更新机制,重点研究混合业务分级分类安全存储、高速接入场景动态协调存储方法,满足数据高速增量存储。在此基础上,研究高性能的安全多方计算方法,实现实时数据流的安全、高速处理和隐私保护,在计算能力和带宽约束条件下解决数据篡改、数据失真等安全问题,并在边缘计算能力和带宽约束条件下实现数据清洗、融合、治理,定量化提升数据质量。
最后针对多业务互联过程中的业务隔离困难的问题[29],需结合资源虚拟化调度和切片技术,研究多业务安全隔离技术,选择合适的切片粒度和生命周期,平衡切片的灵活性和复杂性,实现多业务共享资源的切片式安全隔离,支持混合业务可信敏捷接入与多级安全隔离。同时为了确保业务连续性不受影响,充分利用不同通道的优势,需采用通道切换的方法进行多模通道自动倒换,实现通道使用优化,提高业务接入和备份能力,确保业务状态不中断。具体研究框架如图6所示。
5电力系统智能终端信息安全防护能力测试验证技术
电力系统智能终端信息安全防护需要多方面的关键技术,目前国内外尚无适用于电力系统智能终端业务环境的安全性测评验证技术。本文尝试从安全防护技术集成优化、实验室测试验证、多业务综合试验验证等3个方面,对电力系统智能终端信息安全防护技术有效性进行分析和展望。
1)安全防护关键技术集成优化。电力系统智能终端安全防护涉及了芯片层、终端层、交互层3个方面,相关技术在应用过程中需兼容电力不同业务系统应用场景、防护要求及措施的差异。同时,需要兼顾与各业务系统在功能模型、性能指标、安全策略等方面的匹配性,考虑与已有防护策略的优化集成应用需求,以支撑芯片层—终端层—交互层安全防护技术的整体研发与应用。
2)安全性实验室测试验证。为满足电力系统智能终端信息安全防护技术有效性验证需求,需基于电力业务系统运行场景模拟,研究安全防护能力的实验室测试技术,构建终端安全性检验测试平台,实现安全功能符合性、穿透性测试。此外,需研究考虑不同攻击密度、攻击特征及目标定位的攻击用例,构建安全攻防验证平台,实现主动免疫电力系统智能终端及安全监测与防渗透系统安全功能的有效性测试。
3)安全性综合验证评估。综合考虑实际业务环境中的负荷特点、供电可靠性要求等因素,在安全防护技术应用到生产环境后,为对相关安全技术有效性以及业务影响性进行测评验证。需考虑通过红队攻击和专家组验证等方式,采用终端自身攻击、纵向通信攻击、主站下行攻击等方式,验证主动免疫电力终端、终端安全监测与防渗透系统、边缘计算安全接入设备的安全功能有效性,并评估对业务系统实时性、正确性、可靠性等方面的影响及对现有防护体系的提升能力。
电力安全生产及防护篇9
摘要本文介绍了福清核电生产准备阶段辐射防护领域开展的相关工作,其目的是建立比较完善的核电厂辐射防护管理体系,为机组装料后的稳定运行奠定辐射安全保障。同时总结了过程中容易忽视需加以关注的问题,为后续新建机组辐射防护生产准备工作提供借鉴。
关键词福清核电辐射防护生产准备
对于核电厂来说,一台机组从FCD(浇灌核岛第一罐混凝土)至装料、并网运行,通常需要60个月左右周期,在此期间,主要工作重心在工程建设相关的设计、进度计划、工程管理、质量控制方面;与此同时,运行、维修、辐射防护等各专业均需同步开展生产准备工作,生产准备是否充分和完备,直接影响机组是否能够顺利装料,对后续机组的安全稳定运行更是影深远。核电厂的安全目标是建立对放射性的有效屏障,保证对公众、工作人员、环境的辐射照射合理可行尽量低,其核心是辐射安全,有效和完备的辐射防护管理和保障体系的建立是实现这一目标的重要保障之一。
一、福清核电辐射防护生产准备工作
福清核电1号机组于2008年FCD,为保证辐射防护领域生产准备工作有序进行,编制了《保健物理领域生产准备管理》程序,其中包含辐射防护生产准备的内容,对辐射防护领域的生产准备工作进行了规划。根据此程序规划,又编制了辐射防护生产准备的二级和三级进度计划,对辐射防护需开展的每一项工作内容、目标、责任人、完成时间进行了细化并实行动态的跟踪管理。具体开展工作主要包括以下几个方面:
(一)文件准备
辐射防护管理的基础和依据就是辐射防护的管理文件和技术规程。管理文件按福清核电文件体系规划,主要分为三个层次,大纲级程序、公司级程序、部门程序,福清核电综合本电厂的实际情况,参考了同行电厂辐射防护管理程序的情况,制订了福清核电辐射防护管理文件体系框架(简略见下图,包括23份管理程序)并依照计划开展了文件的编制工作。
除了管理文件外的技术规程也是辐射防护监督和执行的重要依据,福清核电辐射防护技术文件主要分为技术导则、操作规程、操作指令三类(共25份),内容主要涉及辐射防护所执行的技术标准、大修期间的执行控制、日常所管辖辐射相关系统/仪表的操作、异常处理响应等具体事务,在此就不一一列举。
(二)组织机构及人员准备
福清核电工程为6台百万核电机组连续建设,为满足6台机组运行后辐射安全管理需要,电厂逐步建立和完善了电厂辐射安全管理机构,具体如下图。电厂总经理是辐射安全第一责任人,下设核与辐与辐射安全委员会(包括电厂辐射防护、核安全、运行、化学、维修等领域专家)对电厂重大辐射风险工作进行审议,保健物理处是电厂具体负责辐射防护监督管理的部门,按机组单元分科室、班组对应管理相应的辐射防护领域各项工作。
根据组织机构框架,福清核电从2008年开始,通过逐步引进、招聘和培养了相应的辐射防护专业管理和技术人才。其中大部分为应届大学毕业生,如何将这些刚毕业的人培养成合格的辐射防护管理和技术人员是生产准备期间的一项重要任务。
对于最初的员工,新建核电厂可提供的培训资源较少,主要培养方式为送运行核电厂进行一段时间的学习。同时根据运行后辐射防护组织机构所承担的职责,在任务分析的基础上,逐步编制和完善辐射防护岗位培训大纲,建立岗位培训、授权制度。随着有经验人员的累积,后续的新人不再安排送同行电厂长时间学习,主要则以师带徒(建立职业导师制度)加岗位培训、岗位实践的形式进行。
(三)物资器材准备
核电厂辐射防护物资器材是现场放射性检修活动现场必不可少的物资,给现场工作人员予安全防护、警示和提示,主要包括:控制区内的个人防护用品、辐射安全标识、便携式仪表三大类。
以上物资,除了便携式辐射仪表在福清核电工程总承包合同范围内由总承包商采购外,其他的防护用品、辐射安全标识等物资均需由业主采购。而这两类物资也是种类较多,在生产准备阶段,首先要梳理其清单、型号,确保种类齐全,其次制订《辐射防护用品技术规范》及《辐射安全标识规范》等文件来确保物品标准。在机组首次装料前,应按照首次大修的需求量来考虑准备足够数量的辐射防护物资。
总的来说,必须建立辐射防护器材的采购、储存、领用、维修维护、报废方面的管理制度,确保有数量足够的标准有效的防护物资满足现场的实际使用需求。
(四)设计审查和评审参与
在生产准备阶段,辐射防护两个重要的任务就是对辐射防护相关的设计文件进行审查,同时协助执照申请部门对国家核安全局的有关评审问题回答。电厂辐射防护设计文件包括电厂辐射监测系统(KRt)、控制区出入监测系统(KZC)、三废系统、放射源库、三废厂房、放射性检修厂房、放射性洗衣房及相关系统、核电厂辐射分区、屏蔽设计等方面。
参与评审方面,主要在pSaR、FSaR、职业卫生专篇、环境影响评价等阶段或专项工作时涉及,福清1、2号机组在与核安全当局的对话中,重点在辐射防护最优化、集体剂量目标管理、放射性固废最小化、流出物排放管理等问题进行了进一步的沟通,促进了核电厂装料及运行后辐射防护管理完善,也为更好地落实核安全当局辐射安全管理的要求打下了良好的基础。
(五)接产准备
生产准备期间,辐射防护人员参与工程现场的工作主要是相关设备现场安装、调试过程的监督和参与。比如辐射防护人员参与电厂辐射监测系统(KRt)的安装调试,重点需关注设备的安装位置(可能对监测效果的影响、后续检修便利性的影响)、设备自带自检源安装后的安全检查、设备系统的调试出现的问题,通过这些工作的参与,一方面为接产后系统设备的良好运行创造条件,另一方面,辐射防护人员也通过这些工作实践熟悉系统、设备的性能,为后续系统的运行管理积累经验。
接产除对设备的接收还包括放射性相关厂房设施的接收,并在这些区域建立辐射控制区。各厂房(核岛、三废厂房、放射性检修厂房)辐射控制区的建立,是机组装料的必要条件。在接产验收时,必须检查厂房的边界门密封、通风负压、辐射安全标识安装、高辐射区域的屏蔽封堵情况、核清洁状况等满足辐射防护的要求。
二、需关注的问题和对策
以上是福清核电厂在生产准备阶段辐射防护重点开展的工作,但同时,还有其他一些工作对运行后的辐射防护管理存在较大影响。在福清1号机组生产准备过程中,由于人员欠缺、经验不足、计划不周等因素,这些工作的准备并是是太充分,后续开展类似工作应加以关注。
(一)承包商人员准备和管理
对于核电厂辐射防护人员配置来说,通常电厂除了自身的辐射防护工程师之外,还需要一定技能知识满足的辐射防护技术工人,通常电厂采用对外项目承包的方式,引进合格的承包商。这些人员主要辐射电厂日常辐射控制区出入口的人员出入控制,辐射控制区日常巡检(场所状态、辐射监测和控制相关系统的巡检、操作)。
从目前国内具备资格的辐射防护承包商来说,也面临合格人员稀缺的问题,因此,电厂在生产准备阶段,必须提前一定的时间确定运行后的辐射防护支持承包商,并要求在生产准备末期提前入v现场,与辐射防护管理人员一同熟悉现场、熟悉管理要求、熟悉系统设备。对于辐射防护承包商,从合同、日常管理制度,必须考虑和制订相应的培训、考核、激励、后勤等措施,确保承包商人员素质的提高和队伍的稳定。
(二)全厂辐射防护培训及宣传
全员包括承包商辐射安全意识和技能的提高,是辐射安全管理的根本。对于新建核电厂来说,总是遇到一个从无辐射风险工作的环境进入到有辐射风险工作环境的转变。作为工作的主体,工作人员的辐射安全意识的提高或者说辐射安全文化意识的提高是尤为重要的。
核电厂必须在装料前开始对全员进行普及性的辐射防护知识培训。在培训方式上,除课堂理论知识外,可设置技能培训室应针对不同的专业设置相应的辐射防护技能性培训
除培训外,电厂应可能早的在各方面进行一些辐射防护知识的宣传,包括现场的宣传提示、员工中宣传资料的制作分发、开发宣传类的动画、视频,辐射防护知识答题小游戏等等,让辐射安全的文化在工作人员心中扎根。
(三)辐射防护监督能力、方式的提高和改进
核电厂的辐射安全监督要求辐射防护监督人员必须严格的辐射防护管理标准,能够发现问题,并在发现问题后有足够有效的措施去确保存在问题的部门、单位和个人及时去整改和纠正偏差。新建核电厂辐射防护人员往往存在实践经验缺乏、监督能力不够,纠偏措施偏弱的情况,电厂必须尽量从扩展技能培训、增加同行交流、提供外电厂实践机会等去提高辐射防护人员的监督能力,同时在制度和措施上不断完善,以严格的方式督促整改,以确保辐射防护管理存在的偏差和薄弱环节不断得到纠正和改进。
(四)辐射防护管理信息化
电子信息化是管理效率提高的重要工具。核电厂辐射防护的信息控制和管理系统中,其中最重要的两个是辐射工作许可证管理及个人剂量监测管理,其功能分别是对现场辐射风险的控制以及场工作人员的受照水平的监测控制。为了更好地对单项辐射工作的个人剂量和集体剂量进行统计和分析、控制,两者之间有必要实现相关数据库的交流,之间的接口和再开发工作在生产准备期间必须考虑好,或者从设计、采购源头即开始考虑。
此外,辐射防护管理还涉及现场防护物资的管理,放射源管理,Rp(辐射控制区进出许可证)管理等,开发相应的管理软件,实现业务流程的信息化,有利于对后续管理工作的效率提高。
电力安全生产及防护篇10
关键词:智能电网;自愈控制;电力免疫系统
中图分类号:U665.12文献标识码:a
0引言
计算机及互联网技术在日常生活和工作中得到了广泛的应用和发展,在关系到社稷民生的电力系统中,更是不可或缺的一部分。随着科技的日益进步,黑客及恶意代码对互联网和个人电脑的危害愈来愈深,同时也威胁着电力系统。因此,《全国电力二次系统安全防护总体方案》的出台无疑为有效地保障电力二次系统的安全提供了可靠的指导思想。
要保证现代电力系统能够安全稳定、高效可靠的运行,一个高效、可靠、复杂的计算机基础网络是不可或缺的,那么在面对黑客或恶意代码的攻击时,其安全问题就相应地被摆到了重要位置。根据“总体方案”的要求,无论是实时性要求高的调度自动化、配网自动化等二次自动化系统,还是实时性要求低的电能量计量、故障信息等系统,都要配置满足相应要求的设备,并制定详细的管理细则,用以保障系统安全地运行。
1电力二次自动化系统安全隐患分析
1.1电力二次系统
全国电力二次系统是指由各级电力监控和调度数据网络(SpDnet)以及各级电网管理系统(miS)、电厂管理信息系统、电力通信系统及电力数据通信网络(Sptnet)等构成的极其复杂的巨大系统。二次系统划分为生产控制大区和管理信息大区。生产控制大区划分为安全区Ⅰ(控制区)和安全区Ⅱ(非控制区)。把监控与数据采集系统(SCaDa)和应用软件系统(paS)等可以控制电网并且对数据传输实时性要求较高的系统划分到安全区Ⅰ,把不直接控制电网或实时性要求不高的电能量计量系统(tmR)和调度员培训系统(DtS)等划分到安全区Ⅱ。管理信息大区又分为安全区Ⅲ(生产管理区)和安全区Ⅳ(办公管理区)。安全区Ⅲ主要是电力调度管理系统(omS),安全区Ⅳ主要是电网生产管理系统(GpmS)和企业资源计划系统(eRp)等。
1.2相关硬件设备的安全威胁
电脑机房、网络设备、通信线路、安全设备等相关设备和线路的安全管理是保证二次自动化系统能够安全稳定运行的前提。但这些设备都面临着自然灾害、人为灾害(操作失误、被盗、断电、恶意破坏等)或辐射导致的威胁,如若出现这种情况,会给用户造成极大损失。
1.3相关网络防护和操作系统的安全威胁
通常在安全区Ⅰ和安全区Ⅱ之间加装防火墙,对其预先设定的策略进行匹配,可以控制进出网络的信息流向和信息包,这是网络的第一道防线。但由于防火墙自身的局限性,无法对数据包及上层的内容进行核查,并且对待内部主动发起的攻击一般无法阻止。防火墙本身就是一个oS,也有其硬件系统和软件,因此依然有着不足,所以其本身也可能受到攻击并出现软、硬件方面的故障。计算机的操作系统(windows系统、Unix系统、Linux系统等)日趋稳定和高效,但是缺省安装的操作系统会产生很多漏洞,对二次系统的安全运行产生极大威胁。
1.4应用层的安全威胁
应用层的安全通常依赖于网络平台、操作系统、数据库的安全,但是应用系统相当复杂,如没有妥善解决其安全问题,这些安全漏洞或是不合理的配置都可能导致整个网络系统的安全性下降。
1.5内外部网络的安全威胁
系统管理员如安全配置不当造成安全漏洞,内部人员若违规操作,将自己的账号随意借与他人或与别人共享都会为网络安全带来威胁。内部人员自身的恶意攻击是整个网络面临的最大威胁。一种是主动攻击,选择性地破坏信息;一种是被动攻击,在不影响整个网络正常工作的前提下,截获、盗取或是破译信息。不管是主动攻击还是被动攻击,都会对整个计算机网络造成极大危害。
由于生产和工作的需要,若内部网络与外部网络进行连接,如果缺少隔离措施,内部网络的安全漏洞很容易受到外部入侵者的利用,造成系统拒绝服务,或者信息被窃取或篡改的风险。
电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。在电力二次自动化系统的运行过程中,可能会出现很多导致其无法正常运行的威胁,因此,在二次系统的安全防护设计过程中,必须坚持以下原则,即:安全分区、网络专用、横向隔离、纵向认证,保障电力监控系统和电力调度数据网络的安全。
2电力二次自动化系统的安全防护策略
2.1分区防护及安全区的隔离
根据系统中业务的重要性和对一次系统的影响程度进行分区,重点保护电力实时控制以及重要生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案,不符合安全防护总体方案要求的系统必须整改。安全区Ⅰ与安全区Ⅱ之间采用逻辑隔离,通过双链路连接互为备份,每条链路上都需要部署一台防火墙,并要求两台防火墙之间能够同步流量和会话信息,互相作为备份。禁止跨越安全区Ⅰ与安全区Ⅱ的e-mail、web、telnet、rlogin。安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间隔离水平必须接近物理隔离,禁止跨越安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ的非数据应用穿透。隔离设备采用专用网络安全隔离设备,且必须满足以下条件:具有物理隔离能力的硬件结构,保证了内部网络和外部网络的物理隔离。软、硬件结合的数据流向控制,通过安全策略实现软控制,通过物理开关实现硬控制,Socket连接方向的控制,ip与maC地址绑定。同一安全区内纵向联络使用Vpn网络进行连接。
2.2纵向防护
采用认证、加密、访问控制等手段实现数据的远方安全传输以及向边界的安全防护。安全区Ⅰ、Ⅱ内部的纵向通信过程,主要考虑是两个系统之间的认证,建议采用ip认证加密装置之间的认证来实现,集中在以下方式:ip认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网关工作方式;具有基于ip、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有nat功能。
2.3网络隔离
通过采用mpLS—Vpn或ipsec—Vpn在专网上形成相互逻辑隔离的多个Vpn,达到在专用通道上建立调度专用数据网络实现与其他数据网络物理隔离的目的。用以保障各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。另外,若非绝对必要不可使用Snmp、DHCp以及web管理等服务。如果使用远程访问,虽然可以方便系统的远程维护,实现厂家在线技术支持,但是通过inteRnet的访问,系统必将暴露无疑,这为攻击提供了访问端口,部分病毒很可能趁机入侵系统,导致严重后果。
2.4提高网络操作系统的可靠性
操作系统应选用运行稳定,且具有完善的访问控制和系统设计的操作系统。最好选用应用量少的版本。不论选用何种操作系统,均应及时安装最新的补丁程序,提高操作系统的安全性和稳定性。
2.5严格的防病毒措施
电脑病毒的演变速度超乎想象,虽然杀毒软件会定期升级病毒库,但是基于安全区Ⅰ的自动化系统,不可能直接远程升级特征库代码。传统的方法是由维护人员定期使用移动介质把下载好的病毒代码手动更新到防病毒中心。但无论是采取移动设备还是通过网络连接的方式更新病毒库,都会将系统暂时暴露在安全防护体系之外。因此,设置一立的病毒升级服务器可以解决此问题。病毒服务器可以设置于安全区Ⅲ,该服务器可以采用Linux系统为操作平台(KDe平台),并加装防病毒软件,利用KDe系统的文件管理功能处理获取的病毒特征库文件,经过本机杀毒后,再经过物理隔离设备提供给总线结构连接的emS网络各设备,从而实现系统设备病毒库的安全升级。另外,必须将emS提供的i/o设备与服务器断开,杜绝出现系统崩溃等故障。
2.6其他安全防护策略
在二次系统的建设和维护过程中,应严格按照相关规定执行。从多方面加强管理,规范流程。在系统建成竣工后,应修改密码,改变防火墙策略,关闭为厂家提供的通道。在后期维护中,尽量在厂家的指导下进行维护工作,对于确实解决不了的问题,可建立远程维护通道,操作完成后应及时关闭远程维护通道。
电力企业成立专门的二次系统安全防护领导小组,负责组织管理和具体工作。制定完善的二次系统安全防护制度,加强制度的宣传,提高员工的安全防护意识,并定期举行员工培训,使二次系统安全防护的重要性深入人心。做好重要系统软件、数据的备份,确保在数据缺失、系统崩溃等恶劣情况下能够快速回复数据和系统。
管理部门应定期对二次系统安全体系进行安全性风险评估,或在发生重大变动后重新进行评价。评价工作包括检查相应的安全措施、管理制度是否建立健全;防火墙、入侵保护装置、物理隔离装置、防病毒系统的安全策略是否合理;数据备份是否完整、可靠。根据评估检查中找出的安全隐患,及时制定出有效的整改措施。
3结论
电力二次自动化系统的安全防护与计算机网络安全密不可分,完成这样的一个系统工程,不仅要防止黑客的非法入侵,以保障系统的安全性,更要保证系统之间能够畅通地进行共享与交互。二次系统的安全防护是一个长期的、动态的过程,为确保二次系统的安全,需要多种防护技术结合,形成完整有效的二次系统安全防护体系。同时,还要建立健全并完善安全管理制度,加强员工的安全意识,将安全工作纳入到日常管理工作中,使技术和管理相辅相成,保证二次系统的安全稳定运行。
参考文献: