[发明专利]一种风电机组控制软件异常行为检测与导向安全方法

说明书

技术领域

本发明涉及风力发电机组安全与保护技术领域，尤其涉及风电机组控制软件运行时安全性检测与处理。 

背景技术

随着风能开发利用的不断深入，我国风电场建设朝高海拔、海上等风速变化剧烈、强雷电地区拓展。剧烈变化的风速使风电机组发电系统辐射强度更大的电磁波；强雷电直接形成强大的电磁干扰。尽管风电机组控制计算机系统进行了抗电磁干扰方面的处理，但是由于电场耦合、磁场耦合、公共阻抗耦合难于消除，强电磁干扰将使控制计算机程序跑飞的概率增加，控制程序跑飞后，将引起控制行为的混乱。同时，由于监控、调度的需要，风电机组控制计算机系统普遍接入网络，出于竞争、利益、好事、情绪发泄等原因，风电机组控制器面临各种在线攻击。尽管可以通过通信与数据安全手段进行一定强度的防御，但由于系统安全缺陷与软件漏洞总会存在，在计算机领域，目前尚不能有效防范攻击者利用这类安全脆弱点取得系统控制权。一旦攻击者成功入侵机组控制系统，将可能运行恶意代码，干扰机组的控制，使机组的控制陷入紊乱。无论是机组控制计算机程序跑飞，还是运行恶意指令，均是偏离控制源程序意图，是异常行为。现有风电机组应对软件异常行为主要依赖看门狗技术，程序如果不能在规定的时间内输出信号使看门狗复位，看门狗输出信号触发机组安全链，通过紧急停机对机组进行保护。但大型机组紧急停机，将会对机组的制动系统、齿轮箱、主轴和叶片以及塔架产生强烈的冲击，增加部件的载荷和疲劳，影响 部件寿命，需要尽量避免。更为严峻的是，看门狗只能检测出控制软件执行周期异常，粒度过粗，检出蓄意破坏的能力薄弱。因而需要考虑引入新的机制检测并应对软件异常行为，为机组安全提供保障。 

从理论上说，可以在风电机组控制计算机中部署检测软件进行异常行为检测与处理。但实际上，一方面，出于可靠性考虑，机组控制普遍采用PLC控制系统，其计算资源有限，难于实现自身安全的检测软件平台，当控制程序被破坏时，检测程序本身有可能已被破坏，失去功能；另一方面，需要控制软件配合(如函数签名，插装)才能实现检测功能，须要对已有的机组控制软件进行改写，而风电机组对安全的苛求，控制软件更改后需要经过严格的测试与验证才能应用，代价十分高昂，需要尽量避免。 

随着技术的发展与进步，目前越来越多的PLC主控制器都能输出本身所执行的指令流，这为本发明提供了契机。 

发明内容

本发明的目的在于提出一种风电机组控制软件异常行为检测与导向安全方法，该方法可以检测风电机组主控制器软件跑飞或执行计划外代码的异常行为，并在这类异常发生时将机组导向安全。 

为达此目的，本发明采用以下技术方案：构建独立于机组控制器的软件异常行为检测与应对系统，与机组控制器并行运行。首先由异常检测模块检出控制软件运行期的异常行为，其检测方法是，将主控制器交付运行的指令逐条与机组控制软件二进制源代码进行比对，如果主控制器输出的指令违背控制流图或者不符合基本块内部指令顺序关系，则是发生异常行为。然后导向安全模块收到异常检出信号，由通信通路管理模块切断主控制器与通信模块的通信，建 立导向安全模块与通信模块的通信，采用导向安全方法将风电机组按正常停机模式停机。整个过程和各个模块独立于机组主控制器自治运行，控制软件正常运行时装置对主控系统无干扰。 

本发明的有益效果是，首先软件异常行为检测的各个模块独立于机组控制软件，这样不需要对机组控制软件做任何改动。然后软件异常行为检测方法能有效地检测出软件的异常行为。最后导向安全方法能够在检测出机组控制软件行为异常时，实时地将机组导向安全。 

附图说明

图1是本发明具体实施方式中软件异常行为检测与应对系统的体系结构。图1中，①表示指令流；②表示异常检出信号；③表示主机关机信号；④表示传感器信号；⑤表示通路切换信号；⑥表示机组控制信号。 

图2是本发明具体实施方式中软件异常行为检测原理。 

图3是本发明具体实施方式中通信通路切换原理图。 

具体实施方式

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。 

图1是本发明具体实施方式中软件异常行为检测与应对系统的体系结构。如图1所示，该结构包括机组主控制器101，异常行为检测与应对系统102，通信模块103，其中异常行为检测与应对系统进一步包括异常检测模块121，通信通路管理模块122，导向安全模块123。