(国网江苏省电力有限公司泰州供电分公司江苏省泰州市225300)
摘要:发电厂大量的关键信息都通过电力调度数据网进行传输,电能生产的安全性对调度数据网的依赖变得与对系统一次部分的依赖同等重要。对于电厂接入系统一次部分的研究已经相当成熟,高电压和继电保护技术也已相当先进、可靠。而对于电力调度数据网的接入技术和安全问题的研究相对较少。本文结合热电联产、风电场及燃汽轮机联合循环机组工程建设的实际经验,从数据网接入方式和网络安全防护体系等方面为电厂数据网接入或改造提供可行性参考。
关键词:电力数据;接入;二次安防;应用;分析
引言:电力数据网包括电力调度数据网和电力信息数据网,是电网企业用以输变电自动化控制和业务办公自动化的基础平台,是电力企业安全生产的重要技术保证。经过近些年的建设,各电网企业普遍实现了纵向互联、横向隔离的电力调度数据网和电力信息数据网,实现了生产系统和办公系统的自动化、网络化运行。但在各级网络内部,普遍存在着访问控制不严格、网络异常状态发现不及时、缺乏预警手段、对安全风险缺乏宏观检测与控制手段等现象。电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。
1.电力数据网络特点及应用
经过多年的建设与发展,我国电力系统已经基本形成了分级电力数据网络。电力数据网络从硬件组成与传输协议上看,与通常所说的因特网是一致的,其参考模型分为7层:物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。根据这一特点,凡是符合因特网技术标准的组网方式和应用业务,都可移植到电力数据网络上来,因特网出现的网络漏洞也可能会在电力数据网络中出现,因特网适用的安全策略在电力数据网络中也值得借鉴和研究。
大部分数据采集与监控/能量管理系统/调度管理系统(SCADA/EMS/DMS)和管理信息系统(MIS)都是基于局域网的,同一电力企业的实时系统与非实时系统间则通过网关相连,交换信息,各局域网经过路由器与上一级数据网形成互联。电力企业除了与电力数据网络相连外,还通过当地电信网络与公网相连,以满足信息共享的需要,部分企业还配置了电话拨号接入。网络资源的最大优点是组网方便、传输信息量大。电力数据网络应用范围相当广泛,包括发电厂与变电站自动化监控系统、电网调度自动化系统、配电网自动化管理系统、电力负荷管理系统、办公自动化系统(OA)、MIS等。承载了四遥信息、话音信息、视频信息、对外服务信息等。根据业务类型、实时等级、安全等级等因素,电力系统的网络应用可分为实时应用(电力生产类传输数据)和非实时应用(管理信息类传输数据)两大类,不同的应用系统对安全有不同的要求。实时数据通常指调度中心之间的实时数据、调度中心与厂站之间的实时数据、水情、电量计费、故障录波、微机保护检测数据等生产控制类数据。
2.二次安防的设计
2.1防护原则
二次安防总体原则是“安全分区、横向隔离、网络专用、纵向认证”:一是分区防护、突出重点:根据电力系统业务的重要性及与电力一次系统的安全性的关联程度进行划分区域,对影响电力安全生产相关的业务进行重点防护。二是横向隔离:通过隔离装置在不同的安全区之间实现逻辑和物理横向隔离。三是网络专用:通过MPLSVPN技术部署多个相互隔离的业务专用网络通道,为数据网提供多层次防护。四是纵向认证:采用IP认证加密方式在纵向边界部署加密装置,实现各区纵向安全防护。
2.2安全区划分
一是安全(实时控制)Ⅰ区:远动业务(包含火电厂厂级监控、火电机组集散控制DCS)、自动发电控制AGC(AutomaticGenerationControl)、无功电压自动控制AVC(AutomaticVoltageControl)、一次调频、同步相量测量装置PMU(PhasorMeasurementUnit)、时间同步管理、电力系统稳定器PSS(PowerSystemStabilizer)、五防系统等;二是安全(非控制)Ⅱ区:电能量采集装置、保信、故障录波、功率预测(风电、光伏)、短期电力市场报价终端、操作票等;三是安全(管理信息大区)Ⅲ区:电厂生产管理系统、脱硫脱硝、热电信息、检修管理系统及办公自动化(OA)和管理信息系统(MIS)等。由于发电厂机组的类型和大小不同,其调度关系存在差异,相关业务需根据调度关系、网络结构和链路状态等因素接入不同的骨干层或核心层节点。
2.3专用通道的部署
MPLSVPN技术将控制区业务、非控制区业务、信息管理业务分割成3个相对独自的逻辑专网,采用路由隔离、地址隔离和信息隐藏等手段提供安全保证。控制区和非控制区业务通过交换机分别接入到供应商边缘路由器PE(ProviderEdgeRouter),并在PE上划分VPN实现路由的隔离。电厂与骨干层节点通过边界网关协议BGP(BorderGatewayProtocol)实现VPN路由信息的传递,并使用MPLS转发VPN流量。为减缓电厂路由器的VPN路由处理压力,采取分层PE技术。核心层为上层PE(SPE),电厂路由为下层PE(UPE),骨干层为普通PE。UPE仅需知道直连的VPN路由并维护其直接连接的VPN节点,不需要处理其他节点VPN信息。
3.方案和技术
电力调度数据网采用的是穿越自治域+单自治域路由结构,电厂路由器分布在各级接入网自治路由域AS(AutonomousSystem),单一自治域内部路由决策采用开放式最短路径优先协议OSPF,通过计算链路的开销来确定最优链路,从而节省链路资源,提高转发效率。为进一步提高路由收敛速度和网络寻址效率将AS分为主干区(Area0)和子区(Area1~10)两层,核心层网络为Area0,骨干层路由器通过区域边界路由器ABR(AreaBorderRouter)聚合下辖电厂子路由后发布至Area0。由于接入网拓扑为3层结构,而开放式最短路径优先协议OSPF设计为2层,无法将OSPF延伸至接入层-电厂节点。为使网络结构层次清晰,减少网络路由的复杂度,避免动态路由的相互引入,接入层厂站与骨干层主站之间采用静态路由,并将Loopback地址、链路互连地址发布OSPF,传递至其他节点,实现互通。
总结:电力数据网络已经在电力系统中得到广泛应用,是一个复杂拓扑网络结构。要使电力数据网络得到安全、稳定的运行,需要依据其组网和业务特点,采取相应的安全策略,依靠技术和管理手段,来适应电力企业信息化、数字化发展的需要。
参考文献:
[1]苗新,卜广全,赵兵.提高电力数据网实时性的网络地址空间快速搜索方法研究[J].电力信息与通信技术,2017,15(10):26-30.
[2]应斐昊,邢宁哲,纪雨彤,纪晨晨,李文璟.基于KTLAD的电力数据网业务流量异常检测[J].北京邮电大学学报,2017,40(S1):108-111.
[3]汪玉成,杨阳,稂龙亚,吕玉祥.基于改进贪心算法的电力数据网探针部署优化算法[J].无线互联科技,2016(05):72-74.
[4]罗少杰,唐剑,黄武浩.基于电力数据网的电网故障录波数据综合处理系统[J].电力系统保护与控制,2008(16):83-85.
[5]郑翔,周生苗,黄云龙.基于千兆交换技术的地区级电力数据网建设[J].电力系统自动化,2006(06):104-107.
[6]林荣东,陈枫,林为民,李东辉.基于广域网连接的电力数据网设计[J].电力系统自动化,2000(17):53-56.