王玉童
锡林郭勒盟电力勘察设计院有限公司内蒙古自治区锡林郭勒盟锡林浩特市026000
摘要:本文对发电业务的分区进行了详细说明。业务的接入采用IP+SDH+光纤技术体制,并运用开放式最短路径优先协议OSPF(OpenShortestPathFirst)和静态路由相结合的方案提高转发效率。出于安全性考虑,根据发电业务的特性部署专用通道,实现业务的隔离,同时采用网络安全技术加强网络安全访问控制,利用专用安全设备防止病毒入侵和恶意攻击,保证数据网在物理层、网络层、系统层及应用层的安全,最后在常规二次安防的部署方案基础上给出几点建议。
关键词:调度数据网,发电业务,专用通道,网络安全
发电厂大量的关键信息都通过电力调度数据网进行传输,电能生产的安全性对调度数据网的依赖变得与对系统一次部分的依赖同等重要。对于电厂接入系统一次部分的研究已经相当成熟,高电压和继电保护技术也已相当先进、可靠。而对于电力调度数据网的接入技术和安全问题的研究相对较少。本文结合热电联产、风电场及燃汽轮机联合循环机组工程建设的实际经验,从数据网接入方式和网络安全防护体系等方面为电厂数据网接入或改造提供可行性参考。
1电力调度数据网简述
调度数据网规模庞大节点众多,其总体结构采取分级、分层、多自治域设计。具有分布采集、分层传输、集中汇聚的特点,信息流向多为汇聚模式,业务分布主要为集中型。具体可分为骨干网和接入网两级网络,骨干网由国调、网调、省调、地调节点组成,接入网为相应调度直调厂站组成。各级网络均可按标准IP网络划分为核心层、汇聚层和接入层,并构成独立自治域,各自治域之间采用边界网关协议版本MP-BGP实现各级网络的跨域互联。
2接入方案
根据调度数据网结构可知发电厂节点位于调度数据网的接入层,属于网络的“叶子”节点,主要承担业务的接入作用,实现质量保证和访问控制,其生产调度数据呈现出多层次和多方位特点。根据《电网和电厂计算机监控系统及调度数据网络安全防护规定》承载发电业务的调度数据网应通过SDH(SynchronousDigitalHierarchy,同步数字体系)的n×2Mbit/s专线组成,并可根据网络流量的增加适时扩容链路,同时利用光纤技术直接在光纤上开通IP提高数据传输效率。电厂数据网接入方案的设计遵循“N-1”的电路可靠性原则,避免单点通信故障导致链路中断和迂回链路过载使网络瘫痪。目前主要采用IP+SDH+光纤技术体制。具体形式为电厂接入节点通过路由器E1口与SDH电路E1口相连,采用2ME1链路双归接入骨干层或核心层节点。当网络流量较大时,也可以通过多链路点对点技术和IP-Trunk技术实现链路的聚合,扩充网络负载能力。
在路由链路成功建立的基础上,出于安全性考虑采用多协议标签交换虚拟专用网络MPLSVPN(Multi-ProtocolLabelSwitchingVirtualPrivateNetwork)技术,构建实时VPN-RT和非实时VPN-NRT,分别承载I区、II区业务,典型的配置为双平面双路由器和四交换机,Ⅲ区业务的接入则配置MIS网交换机。各区远程终端装置(RTU)利用以太网技术采用全连接或单连接方式直接接入数据网交换机,禁止采用二层交换设备转接至数据网。
3二次安防的设计
3.1安全区划分
数据采集与监控系统SCADA(SuprvisoryControlAndDataAcquisition)、能量管理系统EMS(energymanagementsystem和广域向量测量系统等监控业务具有很高的实时性要求,按照设计规定实时数据的传输周期应为秒级。例如,遥测数据传送时间不大于3s,遥信数据传送时间不大于2s,遥控、遥调命令小于4s。而生产管理类业务信息数据交换量大呈现出较强的随机性,优先级程度并不高。为使安全等级不同的业务相互隔离,保证网络信息的安全性、可靠性,发电厂业务根据安全级别分区,与各骨干层或核心层节点的数据交互分为:
1)安全(实时控制)I区:远动业务(包含火电厂厂级监控、火电机组集散控制DCS)、自动发电控制AGC(AutomaticGenerationControl)、无功电压自动控制AVC(AutomaticVoltageControl)、一次调频、同步相量测量装置PMUPMU(PhasorMeasurementUnit)、时间同步管理、电力系统稳定器PSS(PowerSystemStabilizer)、五防系统等;
2)安全(非控制)Ⅱ区:电能量采集装置、保信、故障录波、功率预测(风电、光伏)、短期电力市场报价终端、操作票等;
3)安全(管理信息大区)Ⅲ区:电厂生产管理系统、脱硫脱硝、热电信息、检修管理系统及办公自动化(OA)和管理信息系统(MIS)等。由于发电厂机组的类型和大小不同,其调度关系存在差异,相关业务需根据调度关系、网络结构和链路状态等因素接入不同的骨干层或核心层节点。
3.2专用通道的部署
MPLSVPN技术将控制区业务、非控制区业务、信息管理业务分割成3个相对独自的逻辑专网,采用路由隔离、地址隔离和信息隐藏等手段提供安全保证。控制区和非控制区业务通过交换机分别接入到供应商边缘路由器PE(ProviderEdgeRouter),并在PE上划分VPN实现路由的隔离。电厂与骨干层节点通过边界网关协议BGP(BorderGatewa/Protocol)实现VPN路由信息的传递,并使用MPLS转发VPN流量。为减缓电厂路由器的VPN路由处理压力,采取分层PE技术。核心层为上层PE(SPE),电厂路由为下层PE(UPE),骨干层为普通PE。UPE仅需知道直连的VPN路由并维护其直接连接的VPN节点,不需要处理其他节点VPN信息。
4方案和技术
电力调度数据网采用的是穿越自治域+单自治域路由结构,电厂路由器分布在各级接入网自治路由域AS(AutonomousSystem),单一自治域内部路由决策采用开放式最短路径优先协议OSPF,通过计算链路的开销来确定最优链路,从而节省链路资源,提高转发效率。为进一步提高路由收敛速度和网络寻址效率将AS分为主干区(Area0)和子区(Areal~10)两层,核心层网络为Area0,骨干层路由器通过区域边界路由器ABR(AreaBorderRouter)聚合下辖电厂子路由后发布至Area0。由于接入网拓扑为3层结构,而开放式最短路径优先协议OSPF设计为2层,无法将OSPF延伸至接入层-电厂节点。为使网络结构层次清晰,减少网络路由的复杂度,避免动态路由的相互引入,接入层厂站与骨干层主站之间采用静态路由,并将Loopback地址、链路互连地址发布OSPF,传递至其他节点,实现互通。
结束语:
考虑到未来IPv6IPv6技术的普及,各级调度对数据网的性能、功能、实时性、可靠性和安全性的要求将会愈来愈高,同时业务的暴涨也给电力调度数据网带来巨大挑战,新一代通信、网络以及接口技术在电力调度数据网的应用需要得到同步更新。在先进技术运用的同时,人员的规范化管理也需要得到同样的重视。
参考文献:
[1]陈小平.电力调度数据网的建设[J].电力系统通信,2004(10):1-14
[2]彭清卿.国家电力调度数据网组网研究[J].电力系统自动化术,2004(8):10-14
[3]李高望.电力调度数据网传输特性分析[J].中国电机工程学报,2012(22):141-148