隨著現(xiàn)代工業(yè)的快速發(fā)展，全球能源危機和環(huán)境污染問題日趨嚴峻。近幾年光伏及風能等清潔能源發(fā)電廠憑借其污染少、技術(shù)成熟、建設快、占地面積小、能源可再生等特點在國內(nèi)得到快速發(fā)展。但由于新能源具有間歇性的特點，例如光伏電廠的輸出功率隨光照強度變化而波動，如不掌握它的實時發(fā)電信息，其并網(wǎng)后功率波動帶來的電網(wǎng)頻率偏移及頻率穩(wěn)定問題必將對電網(wǎng)調(diào)度運行、負荷預測、發(fā)用電平衡產(chǎn)生重大影響，因此實現(xiàn)對并網(wǎng)新能源電廠的運行數(shù)據(jù)監(jiān)測迫在眉睫。

本文設計并實施一種基于運營商無線網(wǎng)絡的新能源電廠安全接入平臺建設方案，為電力監(jiān)控系統(tǒng)中新能源電廠的信息接入提供一種行之有效的安全接入新模式。

1 新能源電廠信息接入現(xiàn)狀

當前，電力監(jiān)控系統(tǒng)中新能源電廠的信息采集工作仍然存在許多問題，制約著新能源電廠的安全并網(wǎng)：

1）光伏及風能等新能源發(fā)電廠存在投資規(guī)模小、上網(wǎng)電量低、數(shù)量多、分布范圍廣、通信基礎薄弱、鋪設電力通信光纜成本高等問題，需要大量的人力與物力來實現(xiàn)對電廠運行數(shù)據(jù)的遠程監(jiān)測和運行維護。

2）隨著信息網(wǎng)絡技術(shù)與電力系統(tǒng)不斷融合，網(wǎng)絡安全已成為能源電力安全的重要組成部分。然而多數(shù)新能源電廠存在安全防護體系不健全，電廠與電力監(jiān)控系統(tǒng)的信息安防策略有差異等情況，直接采集電廠信息會破壞電力監(jiān)控系統(tǒng)安全防護體系，嚴重威脅電網(wǎng)的安全運行。

2 安全接入平臺設計與實現(xiàn)

2.1 設計目標及原則

本文嚴格遵照《電力監(jiān)控系統(tǒng)安全防護總體規(guī)定》及系列配套方案的要求，綜合考慮技術(shù)、經(jīng)濟、安全、可行性，提出一種基于運營商無線網(wǎng)絡的電力監(jiān)控系統(tǒng)安全接入平臺建設方案，主要目標是解決基于運營商無線網(wǎng)絡的新能源電廠信息接入安全問題，全面提高電力監(jiān)控系統(tǒng)安全防護體系接入能力和訪問控制能力，實踐適用新能源電廠信息接入的電力監(jiān)控系統(tǒng)安全防護新模式。

平臺采用獨立建設的原則，以“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”為指導方針，結(jié)合國家信息安全等級保護的基本規(guī)定，最小限度的對電力調(diào)度現(xiàn)有業(yè)務系統(tǒng)進行改造。不與電力監(jiān)控系統(tǒng)共用現(xiàn)有軟硬件設備，以網(wǎng)關(guān)的形式實現(xiàn)透明的數(shù)據(jù)擺渡，將新能源電廠并網(wǎng)對電力監(jiān)控系統(tǒng)影響降到最低，保障電網(wǎng)安全穩(wěn)定運行。

2.2 平臺架構(gòu)

安全接入平臺整體架構(gòu)可分為調(diào)度主站端安全接入?yún)^(qū)、運營商無線網(wǎng)絡傳輸通道及電廠端安全接入?yún)^(qū)三部分。調(diào)度主站端安全接入?yún)^(qū)負責數(shù)據(jù)加密認證、采集傳輸、安全接入?yún)^(qū)各邊界防護及平臺內(nèi)部的安全監(jiān)視功能；運營商無線網(wǎng)絡作為通信載體負責數(shù)據(jù)的遠程傳輸；電廠端安全接入?yún)^(qū)實現(xiàn)電廠數(shù)據(jù)采集傳輸和加密。具體架構(gòu)如圖1所示。

2.3 工作原理

1）調(diào)度主站端安全接入?yún)^(qū)

調(diào)度主站端安全接入?yún)^(qū)為電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)和管理信息大區(qū)配置獨立的兩路通道。生產(chǎn)控制區(qū)通道主要負責新能源電廠實時業(yè)務信息采集；管理信息大區(qū)通道負責氣象、環(huán)保及電廠非實時業(yè)務等信息采集。

調(diào)度主站端安全接入?yún)^(qū)部署數(shù)據(jù)采集服務器、邊界網(wǎng)關(guān)機、電力專用橫向單向隔離裝置，縱向加密認證裝置，日志審計系統(tǒng)及入侵監(jiān)測系統(tǒng)等設備。功能如下：

（1）數(shù)據(jù)采集服務器作為前置機，對安全接入?yún)^(qū)內(nèi)部網(wǎng)絡執(zhí)行統(tǒng)一的與電力專用橫向單向隔離裝置適配的通信規(guī)約機制，對外部執(zhí)行不同業(yè)務的采集規(guī)約機制。

圖1 安全接入平臺整體架構(gòu)圖

（2）電力專用橫向單向隔離裝置提供安全接入?yún)^(qū)和電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)、管理信息大區(qū)的數(shù)據(jù)交互防護功能。

（3）數(shù)據(jù)傳輸邊界網(wǎng)關(guān)機部署在電力專用橫向單向隔離裝置兩側(cè)，對數(shù)據(jù)進行文本格式和網(wǎng)絡數(shù)據(jù)流格式之間的轉(zhuǎn)換。

（4）縱向加密認證裝置部署于安全接入?yún)^(qū)縱向外聯(lián)通道的邊界，實現(xiàn)通道業(yè)務的加密與認證，其外部接入網(wǎng)的縱向加密認證裝置統(tǒng)一使用調(diào)度數(shù)字證書。

（5）入侵防御系統(tǒng)對無線公網(wǎng)接入數(shù)據(jù)進行方向性檢測及數(shù)據(jù)行為分析，及時阻斷來自外網(wǎng)的惡意攻擊行為。

（6）日志審計系統(tǒng)實現(xiàn)對安全接入?yún)^(qū)內(nèi)所有服務器、交換機、網(wǎng)絡安全設備的日志，進行分類、保存、查詢、分析并告警。

2）通信載體

電廠至電力監(jiān)控系統(tǒng)的傳輸通道選擇運營商無線APN專網(wǎng)通道（3G/4G），無線網(wǎng)絡鏈路和終端接入通道均由運營商提供并負責運維，電力信息通信公司負責租用。新能源電廠大多位置偏僻，采用運營商無線網(wǎng)絡作為數(shù)據(jù)傳輸載體，具有通道建設成本低、安裝靈活、運行維護簡單、數(shù)據(jù)傳輸可靠等優(yōu)點，可大幅降低新能源電廠信息接入成本，提高信息傳輸通道靈活性和穩(wěn)定性。

3）電廠端安全接入?yún)^(qū)

依據(jù)《電力監(jiān)控系統(tǒng)安全防護規(guī)定》及系列配套安全防護方案的規(guī)定，為簡化電廠安全接入?yún)^(qū)網(wǎng)絡架構(gòu)，降低電廠安全接入平臺建設及維護成本，電廠側(cè)的安全接入?yún)^(qū)不再進行安全分區(qū)部署。

廠站側(cè)依次部署無線加密終端、前置網(wǎng)關(guān)機、正向隔離裝置和電廠監(jiān)控系統(tǒng)邊界網(wǎng)關(guān)機。具體架構(gòu)如圖2所示。

圖2 電廠端安全接入?yún)^(qū)架構(gòu)

電廠監(jiān)控系統(tǒng)邊界網(wǎng)關(guān)機負責匯總需要采集的數(shù)據(jù)信息，采用E語言文件形式，包含遙信、遙測數(shù)據(jù)和電量信息，遙控等控制類數(shù)據(jù)不通過此通道傳輸。電廠監(jiān)控系統(tǒng)邊界網(wǎng)關(guān)機上部署安全傳輸軟件（客戶端），安全傳輸軟件（客戶端）負責將文件傳輸?shù)诫姀S安全接入?yún)^(qū)的前置網(wǎng)關(guān)機。

正向隔離裝置采用電力專用網(wǎng)絡安全隔離裝置，負責將電廠監(jiān)控系統(tǒng)和安全接入?yún)^(qū)隔離開，并提供文件安全傳輸?shù)耐ǖ?，即電廠單向上點傳遞點表信息給電力監(jiān)控系統(tǒng)。前置網(wǎng)關(guān)機采用安全傳輸軟件（服務端）接收邊界網(wǎng)關(guān)機發(fā)送的點表信息，并將這些信息以E語言文件形式上傳至調(diào)度主站端安全接入?yún)^(qū)。

無線加密終端是一款集成了無線模塊的縱向加密認證裝置，其具備數(shù)據(jù)安全加密認證、路由轉(zhuǎn)發(fā)等功能。終端內(nèi)置一張運營商電力專用VPN的SIM卡，裝置WLAN口綁定固定IP地址，自動撥號接入運營商的電力無線VPN。加密終端采用電力專用密碼芯片，支持SM2算法。

4）網(wǎng)絡技術(shù)體制

安全接入平臺網(wǎng)絡采用MPLS L3VPN網(wǎng)絡技術(shù)體制，采用ISIS協(xié)議作為Global IGP協(xié)議。采用BGP協(xié)議通告各VPN間的路由保證VPN間互通、隔離。采用MPLS轉(zhuǎn)發(fā)機制進行業(yè)務流量轉(zhuǎn)發(fā)[10]。

3 應用

安全接入平臺已在溫州電力調(diào)控中心得到實際應用，溫州華潤光伏電廠已成功通過安全接入平臺接入電力監(jiān)控系統(tǒng)，實現(xiàn)遙信、遙測信息的采集。根據(jù)電力監(jiān)控系統(tǒng)主站端接收文件測試結(jié)果得知，電廠使用的無線加密終端密文吞吐量與網(wǎng)絡延時依賴于運營商網(wǎng)絡情況，吞吐量約為150～200kB/s左右，網(wǎng)絡延時小于800ms，均達到數(shù)據(jù)傳輸要求。

3.1 業(yè)務及終端接入流程

為確保業(yè)務及終端接入的可信性，保障安全接入平臺安全穩(wěn)定運行，對調(diào)度主站系統(tǒng)業(yè)務及電廠側(cè)無線終端接入采取嚴格的審核管理措施，制定了業(yè)務接入申請流程和終端接入申請流程。

1）業(yè)務接入申請流程

調(diào)度某業(yè)務系統(tǒng)需要通過安全接入?yún)^(qū)采集電廠數(shù)據(jù)，由業(yè)務系統(tǒng)負責人發(fā)起新業(yè)務系統(tǒng)注冊申請，分別經(jīng)市公司信息部門、省公司業(yè)務部門及省公司信息部門審批通過，然后在調(diào)度各專業(yè)進行注冊并做好安全策略配置后可取得業(yè)務名稱與業(yè)務ID。流程如圖3所示。

圖3 業(yè)務接入申請流程

2）終端接入申請流程

當某電廠申請接入安全接入平臺，由電廠無線終端使用責任人發(fā)起安全接入申請，分別經(jīng)市公司業(yè)務部門、信息部門及省公司信息部門進行審批通過后，進行SIM/UIM卡及安全產(chǎn)品采購，終端軟件需要交付國家權(quán)威安全部門經(jīng)安全監(jiān)測通過，并做好相關(guān)安全策略配置。且無線終端只能申請訪問已經(jīng)在安全接入平臺上注冊過的業(yè)務系統(tǒng)。流程如圖4所示。

圖4 終端接入申請流程

3.2 經(jīng)濟效益

以華潤光伏電廠為例，從通道建設、運維兩方面進行統(tǒng)計。

1）通道建設

采用基于運營商APN網(wǎng)絡的安全接入平臺建設方案，主站端和廠站端硬件采集成本僅為52萬元，見表1?？紤]廠站側(cè)的無線加密終端GPRS的流量開銷約為150M/月，依據(jù)當前三大運營商的平均專網(wǎng)資費40元/G/月計算，主站與廠站之間的通信信道租金僅為480元/年。

然而傳統(tǒng)的模擬專線采集方案，通道建設涉及調(diào)制解調(diào)器、音頻配線架（VDF）、主站側(cè)光電一體化設備、廠站端光電一體化設備、電力通信光纜建設等成本，總價高達270余萬元。

表1 安全接入平臺建設成本統(tǒng)計

2）運維成本

傳統(tǒng)的模擬專線采集方式，每年電力光纜的維護費用花銷不菲。但是基于運營商APN網(wǎng)絡的安全接入平臺建設方案，在租用運營商通道網(wǎng)絡節(jié)省了大筆通道維護費的同時，廠站端網(wǎng)絡、安防設備的配置及維護可通過調(diào)度主站端縱向加密裝置管理中心統(tǒng)一運維，明顯降低電廠建設成本及技術(shù)人員配置要求。

結(jié)論

電力監(jiān)控系統(tǒng)安全防護保障工作是極其復雜的系統(tǒng)工程，電網(wǎng)及發(fā)電企業(yè)的電力監(jiān)控系統(tǒng)通過網(wǎng)絡組成一個龐大而復雜的整體，安全接入平臺的成功應用有效解決了基于無線網(wǎng)絡的電廠信息接入安全問題，顯著提升電力監(jiān)控系統(tǒng)網(wǎng)絡安全事件處置能力。同時也為調(diào)度部門科學安排電廠運行方式提供有力數(shù)據(jù)支撐，有效控制電網(wǎng)生產(chǎn)運營風險。

該平臺若能在新能源等非統(tǒng)調(diào)并網(wǎng)電廠全面推廣應用，則將極速推進新能源并網(wǎng)消納，從建設、運維成本等方面為發(fā)電企業(yè)與電網(wǎng)公司創(chuàng)造巨大的經(jīng)濟效益。