摘要:概括介绍了地调四级网以及诸暨局电力调度数据网的建成和应用情况。从诸暨局自动化系统与绍兴局系统之间业务应用交互的角度出发,概括介绍诸暨县调电力调度数据网系统,地县电能量计量系统,二次安防防病毒服务器系统与绍兴地调相应系统之间的业务交互应用情况。
关键词:交互;电力调度数据网;电能量计量;二次安全防护;四级网;建设和应用
电力调度数据网是为电力调度和生产服务的专用数据网络,其安全、稳定、可靠的运行是整个电网安全生产的基础保障。随着诸暨电网建设的速度加快和规模的扩大,各类调度自动化系统相继建成,且地调以及县调各系统之间的业务交互应用也变得比较频繁。据原国家经贸委颁发的关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》的第30号令“电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。
”以及“电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。[1]
本文将从诸暨局自动化系统与绍兴局系统之间业务应用交互的角度出发,概括介绍诸暨局电力调度数据网的建设和应用情况。
一、地区调度数据网(四级网)建设
目前绍兴地区电力调度数据网包括三级网和四级网两部分。三级网作为一个子站节点,其主要功能是接收省公司的电网数据,同时向省公司转发500kV、220kV变电所数据和地区总加数据。各县局监控系统与绍兴地区实时监控以及绍兴地调的集控站系统的连接是通过四级网完成的,目前的四级网是采用数据网关的接入方式。常用的调度数据网构成有4种典型模式:IP+SDH+ATM+FIBRE,IP+ATM+FIBRE,IP+SDH+FIBRE和IP+FIBRE。从发展趋势来看,IP+ATM+SDH+FIBRE和IP+SDH+FIBRE并存的时代已经成为过去,现已逐步发展为以IP+SDH+FIBRE为主的局面。地区电力局调度中心配置2台路由器,作为地调调度数据网的中心节点,负责与各子站及县局通信,同时完成与省公司的数据网通信;各县局采用路由器,实现各个应用设备的信息接入路由器之间采用E1接口通过SDH光纤环网相互通信,路由能够自动迂回,可实现长距离通信,且抗干扰性好。[3]
二、诸暨局自动化系统接入地区调度数据网的业务分类
根据电力二次系统的性质,如功能、实时性、传输方式、对电力生产和管理业务的重要性等,诸暨供电局自动化业务大概可以划分为以下三个区,其网络连接图如图1所示:
1.安全I区
数据采集和监控系统(SCADA):以诸暨局大楼为接入中心,以光纤SDH的n*2Mbit/s链路为承载,通过2路模拟专用通道连接各电压等级的变电所。主要完成诸暨境内5座220kV,21座110kV,13座35kV变电所的数据采集、监视和控制功能,同时通过地调转发通道向地调转发部分重要线路的遥测数据。
地区电力调度数据网系统(四级网):在地区局以1台路由器作为中心路由设备,以100M双链路接入省电力公司三级网的地调骨干路由器实现了三四级网的互联,各县局作为地区电力调度数据网的接入节点。[2]主要完成绍兴局境内所有县局与县局,县局与地区局之间安全I、II区之间数据的共享,是地县数据交互的骨干网络路径。
电力系统远程维护拨号认证系统:装置采用工业级服务器、安全操作系统、硬件USBKey双因数强认证、防火墙、VPN等安全技术,对拨号接入用户进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入的用户访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以电力二次系统安全防护的强度,保证拨号用户操作的责任性和可追查性。
2.安全II区
电能量计量系统:通过专线MODEM采集诸暨境内13座35kV变电所电量数据,通过与绍兴局电能量系统在II区的接口程序,获得诸暨境内其他110kV及以上变电所的关口表以及线路的电能量数据,从而系统生成各类报表供相关部门进行电网电量预测,变电所平衡数据分析等应用。
二次安防防病毒服务器系统:以地区四级网系统为业务承载,通过在地区局防病毒服务器下载防病毒软件和补丁以及升级包,县局安全I、II区的Windows工作站和服务器在线升级防病毒软件的病毒库。
3.安全III区
PI实时数据库县局延伸:在绍兴地区局建立PI数据库,县局通过安装在安全III区的数据库镜像服务器,实现与安全I区的SCADA参数库、实时运行信息和图形的同步。通过应用软件导出CIMXML模型,SVG图形,E文件并以FTP的方式定时发送至地区局的PI接口服务器,入库到PI数据库。同时通过应用软件自带转发功能,县局镜像服务器实时向地区接口服务器发送遥测数据和事项。
三、地县主要自动化系统之间的业务交互
随着地调数据网络(四级网)的建成,县局自动化系统与地区局自动化系统之间的网络连接变得比较频繁,业务交互涉及到了各个系统。接下来主要介绍最近几年来陆续建成的几个地县接口应用系统:地区电力调度数据网系统,地县电能量计量系统接口,二次安防防病毒服务器系统。
1.地区电力调度数据网系统(四级网)的应用
四级网系统县局的应用部分网络结构如图2所示:
四级网接入的业务是关系到调度生产运行的重要业务,网络安全是必须考虑的一个重要因素,承载调度业务的调度数据网应通过SDH/PDH的N*2Mbit/s专线组建,实现与其他网络无理隔离,成为调度业务可信赖网络。
各单位路由之间采用E1接口通过SDH光纤环网相互通信,路由器配置多个信息接入端口,可接入安全I、II区业务设备,I、II区业务在接入时实现逻辑隔离,接入调度网的设备应先接到交换机端口,再由交换机接入相应的端口,禁止应用设备直接接入路由器端口。[4]各县调四级网服务器利用3700路由器实现与地调绍兴局四级网数据库服务器的连接,从而实现网络的物理隔离,地调将网络划分在10.33.128.*网段,诸暨局四级网服务器地址为10.33.128.50,地调数据服务器地址为10.33.128.8。同时诸暨局四级网服务配置一个SCADA前置网网络地址192.168.1.36,在服务器上安装相应的应用软件,进行必要的遥新、遥测、厂站库以及通信规约的维护。
当网络连通后,各县局以及地调四级网服务器将实时数据存入绍兴局四级网服务器数据库,由此实现各个单位之间实时数据的相互调用和查看,在必要的业务上进行调度员人机界面应用,从而使得调度员能够实时掌握地调以及其他县调的网供、电厂及限电计划等实时数据。随着各种应用的加深,地县主站AVC系统的无功、电压及功率因数限值的定值传送也可由四级网来实现。
2.地县电能量计量系统接口
电能量计量系统在电力系统二次安防区域划为安全II区,主要负责采集诸暨境内所有220kV,110kV,35kV电压等级变电所的进线、主变以及出线表计的电量数据。在接口程序开发之前,我局点能量采集的方式为:35kV变电所采用专线MODEM,通过光纤SDH环网提供的调度数据网专用通道与主站MODEM池通信,每天定时采集电量数据;而220kV、以及110kV变电所电量数据的采集,主站是通过公用电话网(PSTN),用拨号MODEM的方式与厂站端的ERTU通信,由于110kV及以上变电所还有地调以及省调电量主站通过拨号方式采集,所以往往出现采集时电话占线的问题,导致电量数据不能及时送到主站数据库服务器。
为了解决这个矛盾,我们提出通过地区调度数据网(四级网),诸暨局电量系统与绍兴电量系统在安全II区做一个接口程序,地区局电量系统每天定时向诸暨局发送110kV及以上变电所的电量数据,同时诸暨局系统每天也定时向绍兴电量系统发送35kV变电所的电量数据,由此实现了地线电量系统的数据交互。其网络连接如图3所示:
(1)通信格式和协议:采用XML数据格式进行数据交换,版本1.0,编码格式:utf-8。由数据的发送方保证XML数据的格式良好性。协议采用TCP可靠连接,有数据发送方发起TCP连接,方式为一个完整的数据包连接一次;没有发送成功的数据有发送方负责重发,成功后由数据接收方负责数据的缓存以及入库。
数据传输方式:源端自动定时发送、源端人工随机发送、目的端人工召唤等三种方式,以满足不同情况下数据同步的可靠和完整性。
(2)数据类型。静态电网模型:接口双方通过IEC61970和IEC61968定义的CIM规范交换电网模型,按照《浙江省调度中心设备命名规范》,通过实际电网对象的统一命名进行识别,实现电网模型的相互关联;电量数据:基于量测、量测数据类型、量测值等标准模式实现电量数据的交换,包括总、峰、平、谷、尖等表码数据,采用简化的数据定义格式,使用于大数据量的数据交互;召唤数据:支持目的端通过数据召唤方式对源端数据进行采集获取。
3.二次安防防病毒服务器系统
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪事故。
省调防病毒服务器系统包括省调中心服务器,各地区局分中心服务器,县调服务器端和客户端,邮件服务器及网关服务器。各层服务器主要提供病毒代码的升级和分发,同时也作为防病毒中心的数据库服务器,接受各种病毒报告以及向上以及防病毒中心提出告警。而客户端不管使用何种操作系统,都必须有相应的防病毒软件进行安装防范。其网络连接如图4所示:
(1)省局防病毒服务器系统的定位。目前自动化系统安全隔离区内的网络业务及业务系统服务器很多,设备类型,操作系统种类众多。隔离区内主要是业务系统的各类服务器以及邮件服务器,根据二次防护总体框架,隔离内不允许使用邮件服务、WEB等服务,特别是在安全区I内严禁使用,隔离区内外中间使用专用网络隔离设备,所以不需要选用邮件服务器组件和网关选件。因此,自动化系统隔离区内防病毒中心的定位就是中心服务器,分服务器及服务器端和客户端选件。
(2)具体实施。在整个调度自动化内联网系统中,制定并采用统一的防病毒服务策略,同时省调度中心和绍兴等各地调中心分别部署一台中心服务器,各自管理自己的网络。各地调中心服务器与省调中心服务器相联,病毒代码由省调中心分发更新,总中心的病毒代码更新采取离线方式;由省调专职人员定期到隔离区外去拷贝经过病毒查杀的防病毒更新码,各地调中心所辖的客户端则由地调中心分发防病毒更新代码。
根据二次防护总体框架,安全I区和II区内主站的每个业务系统都分配在不同的VPN内,安全I区和II区之间通过防火墙隔离,相同安全区内的各业务系统之间也要通过防火墙隔离;同时安全I区和II区,在纵向上分别形成2个不同的VPN通道,原则上互不通信。在安全隔离区内部署防病毒中心,由于各业务系统均十分重要,存在许多网段,且防病毒中心必须覆盖调度自动化系统内的所有业务主机,因此应将防病毒中心也看作是一个业务系统,安排独立的网段,并在纵向形成单独的VPN通道,通过路由重分布,将需要访问该VPN的网段路由发布进该VPN,实现网络互通。通过各防病毒中心服务器,对安全隔离区内各业务系统网段上的主机进行客户端防病毒软件的安装、升级、配置以及病毒代码的更新。[5]
四、结束语
本文从业务应用方面介绍了地区电力调度数据网(四级网)在县局自动化工作中的应用,同时可以作为其他县局在今后与地调通过数据网做业务交互的一个重要参考。
地区电力调度数据网(四级网)的成功建设和应用,使得调度部门掌握了更加详细的电力数据,提高了工作质量和工作效率,同时也加强了省调、地调和县调的沟通和联系,为电网运行管理水平的提高又迈进了一步。
参考文献
[1]国家经贸委.电网和电厂计算机监控系统及调度数据网络安全防护规定.2002-02-22.
[2]张利军,高亚栋,陈利跃,等.浙江电力调度数据网建设方案的探讨[J].电力系统通信,2009,(5).
[3]张亚峰,陈良帅.地区调度数据网的建设及应用[J].电力系统通信,2008,(S1).
[4]沈晓东,黄申,许琰.湖州地区电网调度数据网建设的探索[J].湖州师范学院学报,2008,(S1).
[5]郑翔,周生苗,崔良勇.建立电力二次系统防病毒中心[J].电力信息化,2005,(10).