模型及MMS報文分析

1、61850模型及MMS報文分析基礎(chǔ)2012-02參考文檔：數(shù)字化變電站調(diào)試總結(jié)-馬玉龍IEC61850標準IEC61850實施規(guī)范1、文件類型ICD/CID文件結(jié)構(gòu)2模型驗證3、IED配置IED 和 LD(Logical Device)相關(guān)信息邏輯節(jié)點 LN (Logical Node) 數(shù)據(jù) DO(Data Object)及 數(shù)據(jù)屬性 DA(Data attribute)數(shù)據(jù)集：DOI /DAI的集合報告控制塊 ReportControl：4如何抓包抓包工具抓包方法分析舉例5、MMS報文簡析5.1初始化相關(guān)5.2報告相關(guān)5.3錄波相關(guān)5.4控制相關(guān)5.5定值相關(guān)第一部分：模型文件基礎(chǔ)1、文件

2、類型IED （智能電子設(shè)備，指保護、測控等設(shè)備）應(yīng)提供ICD文件，描述IED的能力及 通信內(nèi)容，如是否具有定值、壓板、動作信號等。系統(tǒng)集成工具把各IED的ICD文件集成并進行實例化如IED名、信息點描述等形 成站級模型文件-SCD文件，供站級（包括監(jiān)控、遠動、故障信息主子站）應(yīng)用。IED從SCD文件中導(dǎo)出本IED相關(guān)部分形成CID文件，即實例化后的IED模型文件， 供IED運行時用。1.1ICD/CID文件結(jié)構(gòu)-Header :歷史版本信息等-Communication： GOOSE 配置等-IED :定值、壓板、動作信號等-DataTypeTemplates :對象類型定義2模型驗證xmlS

3、py可做一些語法方面的驗證。四方61850客戶端工具軟件可作進一步驗證。3、IED配置注：本部分示例大部分取自培訓(xùn)資料包中的CSC326DES1.cid。3.1 IED 和 LD(LogicalDevice)相關(guān)信息1、icd文件中的IED名一般為Template2、cid文件中的IED名必須和子系統(tǒng)的csscfg.ini配置一致3、每個IED包含1-n個LDevice，每個LD包含1個LN0和幾個LN4、對于四方IED的模型文件中有兩個私有配置，當模型較大（cid超過1M）裝置可能無法正確啟動，需要把這兩個參數(shù)改大，CSC高壓保護MST 61850庫版本 v3.40以后在串口輸出中有提示信息

4、。DTValidNums 總的葉子個數(shù) 提示信息：sclMaxLeafNum IS TOO SMALDTAllNums 每個LN所包含的最大類型個數(shù)5、LD路徑名：IED名+LD名 全站唯一確定一個LD3.2邏輯節(jié)點LN3.2邏輯節(jié)點LN(LogicalNode)LN 實例：CSC326DELD0/GGIO21、LN類型lnType：描述LN包含的數(shù)據(jù)信息，根據(jù)lnType如CSC326DE/LD0/GGIO2在 DataTypeTemplate 段中查詢2、LN 實例名：prefix+lnClass+inst 如：GGIO2 （prefix 為空）3、LN實例路徑名：CSC326DELD0/

5、GGIO2 LD與LN之間以/分隔4、只在LN0實例中包含數(shù)據(jù)集DataSet、報告控制塊ReportControl、日志控制塊LogControl （模型文件中應(yīng)刪除）LN 實例：CSC326DEMEAS/MMXU1LN 實例：CSC326DEMEAS/LLN0LN 實例：CSC326DEPROT/LLN03.3 數(shù)據(jù) DO (DataObject )及 數(shù)據(jù)屬性 DA (Dataattribute)模型中LN的下級數(shù)據(jù)稱為DO，在61850標準中統(tǒng)一定義了每個DO含義，DO 乂可包含下級DO和DA，因此DO可看作一個結(jié)構(gòu)化的數(shù)據(jù)。DA是模型中的末級數(shù) 據(jù)，DA 又可包含DA,最末級DA稱為

6、葉子leaf。模型中的信息分為幾種類型，由DA的功能約束屬性fc進行標識，常用fc有 如下類別：ST:狀態(tài) MX：測量CO：控制SG:當前區(qū)定值SE:編輯區(qū)定值BR：緩沖型報告控制塊RP:非緩沖型報告控制塊下面為常用數(shù)據(jù)類型的例子。包括壓板狀態(tài)、開入狀態(tài)、告警信息、事件狀態(tài)等。類型：SPS3.3.2測量類數(shù)據(jù)包括測控測量和保護測量類型 CMVWYE MV控制類型包括復(fù)歸、壓板、開關(guān)控制類型 CMVWYE MV1、61850實施規(guī)范中要求Check數(shù)據(jù)必須有值，不能為空值。如果client下發(fā)遙 控命令Check為空，則保護測控裝置無法接受控令，控制失敗。2、SBOw和Oper數(shù)據(jù)類型一般相同

7、3、除復(fù)歸為直接控制類型外，其余大部分為預(yù)置、執(zhí)行方式的控制。34數(shù)據(jù)集：DOI/DAI的集合FCDA到DO, DO包含的fc指定的DA也屬于FCDAFCDA 到 DA1、數(shù)據(jù)集路徑名datasetReference唯一確定一個數(shù)據(jù)集：IED名+LD名+LN名+數(shù) 據(jù)集名2、根據(jù)每個數(shù)據(jù)成員實例可找到數(shù)據(jù)的描述，即可知道數(shù)據(jù)與IED內(nèi)部數(shù)據(jù)的對 應(yīng)關(guān)系3.5 報告控制塊 ReportControl：1、報告控制塊用于設(shè)定IED 上送數(shù)據(jù)的內(nèi)容及方式等，包括告警、事件、開入、 模擬量等所有IED需上送的內(nèi)容。61850中除總召由client發(fā)起外，其余全部為 IED主動上送數(shù)據(jù)。2、IED與cl

8、ient連接過程中，client 一般會根據(jù)各自需要設(shè)定每個報告實例的 屬性，此處的例子是icd中設(shè)定的默認值，如果client不重新設(shè)定，IED以此方 式上送。3、datSet屬性：本報告控制塊對應(yīng)的數(shù)據(jù)集。4、TrgOps:報告觸發(fā)選項，數(shù)據(jù)集中的數(shù)據(jù)在何種條件下通過報告上送dchg:數(shù)據(jù)變化上送qchg:品質(zhì)變化上送dupd:數(shù)據(jù)更新上送，目前一般不用period :周期上送 5、OptFeilds:報告報文中包含的數(shù)據(jù)域，除了信號狀態(tài)模擬量值以外的信息，如以下數(shù)據(jù)等seqNum :報告的序號，遞增timestamp :報告生成的時標，不是信號變化時間dataset:報告中包含數(shù)據(jù)集名6

9、、RptEnabled: max屬性是IED可以支持的報告實例個數(shù)。IED初始化時為每個 報告生成max個實例，分別以報告控制塊名+實例號（01,02）進行區(qū)分，如 brcbAlarm01、brabAlarm02o每個client在連接時，以不同的報告實例號占 用一個報告實例。每個報告實例按照client指定的屬性上送報告。7、如果數(shù)據(jù)集成員到DO級別，其包含的任意一個數(shù)據(jù)滿足報告觸發(fā)條件都應(yīng)觸 發(fā)報告8、報告分為緩存和非緩存兩種類型，由IED建模時，通過ReportControl段 的” buffered”屬性設(shè)置，buffered=true設(shè)置緩沖型報告，對應(yīng) fc=BR； buffere

10、d二false設(shè)置非緩沖型報告，對應(yīng)fc=RP。緩存型報告要求IED在內(nèi)存 中緩存報告，如通信中斷期間發(fā)生了事件，黨通信恢復(fù)后，此事件報文應(yīng)能上 送不丟失，通常告警、事件、SOE等報告建模為緩存類型。非緩存型報告不要 求IED緩存，通信中斷期間的數(shù)據(jù)可丟失，通常遙測類型的數(shù)據(jù)建模為非緩存 報告。抓包及MMS報文。第二部分：MMS報文分析基礎(chǔ)4如何抓包4.1抓包工具常用的抓包工具有 Windows 下的 mms-ethereal，WireShark 和 Solaris 下的 snoop 命令。mms-ethereal可以自動解釋mms報文，適合進行應(yīng)用層報文的分析。WireShark 是ethe

11、real的替代版本，界面更加友好，但標準版本中沒有對mms報文分析的支 持；snoop主要是用來抓包，沒有圖形化的分析界面，snoop抓取的文件可以用 WireShark打開輔助分析；4.2抓包方法對于廣播和組播報文如裝置的UDP心跳報文，可以用筆記本連接到交換機上任意 端口抓取。對于后臺與裝置之間的TCP通訊，有以下幾種方法。1）后臺機上可安裝軟件來抓包，非window系統(tǒng)的也可以在筆記本電腦上用相同配 置模擬后臺截取報文。2）利用HUB連接后臺與裝置，將筆記本接到HUB上抓包。注意一定要使用HUB，不 能使用交換機。WireShark和mms-ethereal均是圖形化的界面，使用起來比較

12、簡單，注意選擇正 確的網(wǎng)卡即可。snoop的使用方法可以用man snoop取得，最基本的命令為snoop -d bge0 -o xx.snoop3）如果是遠動、和子站裝置，可在交換機上設(shè)定鏡像端口，把要截取報文的端口 鏡像到鏡像端口，則筆記本電腦只要連接到鏡像端口即可截取其它端口的報文。 交換機一般都支持端口鏡像功能，需要參照說明書進行設(shè)定。43分析舉例均以WireShark為例，mms-ethereal與之類似。1.3.1設(shè)置抓包過濾條件在后臺上抓包時，數(shù)據(jù)量比較大，文件一大之后，解析起來速度很慢，如果單純 為了分析應(yīng)用層報文，可在抓包的時候設(shè)置過濾條件。如果為了分析網(wǎng)絡(luò)通斷問 題，一般不

13、設(shè)置過濾條件，便于全面了解網(wǎng)絡(luò)狀況。抓包過濾條件在 Capture-Options-Capture Filter 里設(shè)置，點 Capture Filter 會有很多現(xiàn)成的例子，下面列舉幾個最常用的。tcp只抓取tcp報文udp只抓取udp報文etherhost00:08:15:00:08:15只抓取指定MAC地址的報文1.3.2設(shè)置顯示過濾條件打開一個抓包文件后，可以在工具欄上的filter欄設(shè)置顯示過濾條件，這里的語法與Capture Filter有點差別，舉例如下。tcp只抓取tcp報文udp只抓取udp報文eth.addr=00:08:15:00:08:15只抓取指定MAC地址的報文還可

14、以在報文上點擊右鍵選擇apply as filter等創(chuàng)建一個過濾條件，比較方便。1.3.3判別網(wǎng)絡(luò)狀況輸入顯示過濾條件，可以顯示丟失、重發(fā)等異常情況相關(guān)的TCP報文，此類報文的出現(xiàn)頻率可以作為評估網(wǎng)絡(luò)狀況的一個標尺。常見的異常類型有以下幾個TCP Retransmission由于沒有及時收到ACK報文而產(chǎn)生的重傳報文TCP Dup ACK xxx重復(fù)的ACK報文TCPPrevioussegment lost前一幀報文丟失TCP Out-Of-OrderTCP的幀順序錯誤偶爾出現(xiàn)屬于正常現(xiàn)象，完全不出現(xiàn)說明網(wǎng)絡(luò)狀態(tài)上佳。監(jiān)視TCP連接建立與中斷輸入顯示過濾條件，SYN是TCP建立的第一步，F(xiàn)I

15、N是TCP連接正常關(guān)斷的標志，RST是TCP連接強制 關(guān)斷的標志（2）統(tǒng)計心跳報文有無丟失在statistics-conversations里選擇UDP，可以看到所有裝置的UDP報文統(tǒng)計。 一般情況下，相同型號裝置的UDP報文的數(shù)量應(yīng)該相等，最多相差1到2個，如 果個別裝置數(shù)量異常，則可能是有心跳報文丟失，可以以該裝置的地址為過濾條 件進行進一步查找。調(diào)試61850的站，最好要家里帶上一個HUB （庫房一般是8 口 10M的TP-LINK）- 不是交換機。主要用于抓數(shù)據(jù)包，便于查問題。沒有HUB根本沒有辦法查看遠動 與裝置的mms報文以及goose數(shù)據(jù)包。抓報工具是歸檔里面的61850的報文監(jiān)

16、視工具。如下: 打開抓報工具，點擊左側(cè)第二個按鈕開始設(shè)置：選擇本計算機網(wǎng)卡，地址就是本地連接里面設(shè)置的IP地址：點擊browse按鈕設(shè)置存儲文件名及路徑：設(shè)置長期抓包存儲，選中四七項日官，按抓包大小存貯（m代表MB，可以是KB或者GB） 1廠職強玨爪叮|i C | ；按時間存儲如下圖：把這個選項勾上就可以實時顯示數(shù)據(jù)，便于查找問題。點擊“start”按鈕開始抓包。5、MMS報文簡析注：報文取自培訓(xùn)資料包中的associate-setting和file報文文件，報文對 應(yīng)的模型文件為csc1710.cid，對應(yīng)子系統(tǒng)配置文件為ied1.ini。51初始化相關(guān)是client端與IED建立連接的初始

17、報文。Client初始化請求Request報文時間顯示格式可在view-Time display format中設(shè)置為絕對時間和相對 時間（從運行報文軟件開始經(jīng)過的時間）Source為源端既報文發(fā)起方的IP地址，Destination為終端既報文接收方的IP地址裝置的應(yīng)答Response子系統(tǒng)在初始化時，檢查IED是否配置有控制數(shù)據(jù)，包括復(fù)歸、壓板、開關(guān)控制 等，也就是模型中FC=CO的數(shù)據(jù)，對應(yīng)于iedxx.ini中的CTL行。如果有控制數(shù) 據(jù)，子系統(tǒng)需要讀取每路控制的控制模式，模型中為ctlModel的數(shù)據(jù)。子系統(tǒng)對 復(fù)歸控制ctlModel默認為1，既直接控制，壓板開關(guān)ctlModel默

18、認為4，既帶預(yù) 置令的控制模式。CTLCSC1034LD0SPC1（默認 ctlModel 為 1） 20 0 22302230nullCTLCSC1034LD0SPC4（默認 ctlModel 為 4）20 0 22312231nullCTLCSC1034LD0SPC 4（默認 ctlModel 為 4）2 00 2232 2232nullIED response子系統(tǒng)在初始化時，會讀取每個IED的數(shù)據(jù)集所包含的成員，此時IED返回的 成員是運行時數(shù)據(jù)集包含的成員。必須與IED提供的靜態(tài)模型文件icd完全一致， 子系統(tǒng)才能在以后收到報告數(shù)據(jù)時正確解析。但由于各種原因，有時兩者并不一 致。因此

19、子系統(tǒng)在初始化時先驗證數(shù)據(jù)集成員運行時與靜態(tài)模型是否一致，如果 不一致，則子系統(tǒng)不再繼續(xù)進行連接。子系統(tǒng)是根據(jù)iedxxx.ini中配置的Polling DataSet數(shù)據(jù)集段逐個讀取每個數(shù)據(jù)集的成員信息的。#Polling DataSet#Tag domdsNamepoll tPoll(s)DSA CSC1032LD0 LLN0.dsAlarm NO 20DSA CSC1032LD0 LLN0.dsRelayEna NO 20 主要是比對數(shù)據(jù)集包含的FCDA個數(shù)和FCDA名字是否相同。靜態(tài)數(shù)據(jù)集成員已由V2配置工具倒出到iedxxx.ini文件的DAT行，每個FCDA對應(yīng)一個DAT行。Cli

20、ent requestIED response子系統(tǒng)在驗證了數(shù)據(jù)集成員FCDA的正確性后，還需要讀取每個到DO級別的 FCDA包含的下級DA及每個DA的數(shù)據(jù)類型，用于后續(xù)報文解析。Client requestIED response5.2報告相關(guān)子系統(tǒng)會根據(jù)iedxx.ini文件中配置的報告控制塊，逐一進行初始化，包括下 列操作：#Report Control#Tag domdsNamerefRptIDOptFldsTrgOpsIntgPd(ms)RCB BSPDC2MONITOR LLN0.dsMonS MONITOR/LLN0$RP$MonS 7F804430000報文信息與iedxx.i

21、ni配置信息的對應(yīng)關(guān)系如下：報文信息iedxx.ini配置信息DomainName: domItemName:ref+報告實例號，但ref中的.分隔符變?yōu)?$，報文中用 $分隔符，報告實例號在csssys.ini中RCB行設(shè)置：#tag fstInst mdNetShare enOnlyEnable enFstDisable maxRcbInst enMustAssign enPurgeBRCBRCB 71011600有在RptEna為false的情況下，才能設(shè)置報告控制塊的屬性。裝置回寫成功子系統(tǒng)對于狀態(tài)類報告，默認觸發(fā)選項為(010001)2,即數(shù)據(jù)變化和總召，對于模擬量類的報告，默認觸發(fā)

22、選項為(010011),即數(shù)據(jù)變化、周期和總召。2默認觸發(fā)選項在csssys.ini中的RPT行TrgOps設(shè)置44。44為16進制數(shù)據(jù)，對應(yīng)2進制為(01000100)，報文中規(guī)定取高6位，即狀態(tài)類報告默認觸發(fā)選項為(010001)20#tagenRptIDTrgOpsOptFldsIntgPd enDA4QuatoAutoCtlresv3resv4resv5RPT044790030000 0500000TrgOps各位含義，bit0對應(yīng)報文中左數(shù)第一位默認觸發(fā)選項為(7900) o 01111001000每位的含義見下面的表12o要求IED 上送 16的報告中，數(shù)據(jù)分別為報告序號、報告生成

23、時間、報告上送原因(本次報告中包含數(shù)據(jù)集中的哪些數(shù)據(jù))、數(shù)據(jù)集名稱、條目號(IED端累計的報告序號)。#tag enRptID TrgOps OptFlds IntgPd enDA4Qua toAutoCtl resv3resv4 resv5RPT 0447900300000500000OptFlds各位含義。下表中第一條對應(yīng)報文中左數(shù)第一位。表12:報告上送數(shù)據(jù)屬性配置(2個字節(jié)，16位，從高到低，第0位保留)01234567012. .十六進制表示(H)說明14000序號12000報告生成的時標11000原因注意：遙測量還要設(shè)置一個周期上送的時間，如下：子系統(tǒng)與裝置連接成功后，會對所有報告

24、進行一次總召。client寫GI(General Interrogation)的值為TRUE，裝置應(yīng)上送整個報告對應(yīng)的全部數(shù)據(jù)。品質(zhì)數(shù)據(jù)q的含義：沒有detailqual這一位，Bit 12位閉鎖狀態(tài)，允許遠方操作壓板沒投！常規(guī)61850 站只有允許遠方修改定值壓板，就是這一位。時間質(zhì)量：2a表示時鐘未同步，4a表示時鐘故障，0a表示正常。2a =001010107-2 5.5.353錄波相關(guān)IED錄波完成后應(yīng)主動上送此報告通知client有新錄波文件生成，子系統(tǒng)在收到 此報告后可自動(需在V2中配置)向IED召喚錄波文件。錄波完成數(shù)據(jù)集：錄波完成報告：Client端通常需要先讀取IED文件列

25、表，既IED中錄波文件名的列表。讀取列表時需指定讀取的目錄，通信子系統(tǒng)在csscfg.ini中RUN行可對每個IED的錄波目 錄 rcdDir 進行設(shè)定，也就是 Request File Directory 報文中的“COMTRADE/”，” /” 是子系統(tǒng)增加的。#Tag iedNo iedNameP(A) P(B) rcbShare rcdDir rcbNo(A)rcbNo(B)RUN 1CSC1710 null NO COMTRADE 00四方CSC高壓保護master板61850庫V3.31以前的版本要求錄波文件目錄是 “/COMTRADE/”，V3.31以后的版本不再有此限制。/co

26、mtrade,/comtrade/,或者直接就是comtrade 都行。深南瑞IED要求的錄波目錄是“/D/COMTRADE/”，應(yīng)修改子系統(tǒng)csscfg.ini配置 文件中rcdDir。Client端讀取錄波文件內(nèi)容時需分3個步驟進行1、File Open打開文件2、File Read讀取文件內(nèi)容，如果文件較大，需多次讀取3、File Close關(guān)閉文件Flie OpenFile ReadFile Close54控制相關(guān)ctlModel為4的控點如壓板、開關(guān)為帶預(yù)置的控制，client先發(fā)預(yù)置命令再 發(fā)執(zhí)行命令。預(yù)置和執(zhí)行命令均為write命令I(lǐng)ED收到預(yù)置令后只要通過合法性 檢查(狀態(tài)是否已經(jīng)達到目標態(tài)，當前是否正在執(zhí)行控令過程中等)既認為預(yù)置 成功，返回write的response。ctlModel為1的控點如復(fù)歸LEDRs，為直接控制模式，即沒有預(yù)置的過程，直接 寫Oper進行執(zhí)行。IED收到執(zhí)行令后成功發(fā)給下級cpu既返回執(zhí)行成功。對于ctlModel為4的控制對象，每次控制操作結(jié)束后IED都應(yīng)發(fā)送一個 InformationReport報告通知client端，本次操作的最終結(jié)