隨著現(xiàn)代工業(yè)的快速發(fā)展，全球能源危機(jī)和環(huán)境污染問(wèn)題日趨嚴(yán)峻。近幾年光伏及風(fēng)能等清潔能源發(fā)電廠憑借其污染少、技術(shù)成熟、建設(shè)快、占地面積小、能源可再生等特點(diǎn)在國(guó)內(nèi)得到快速發(fā)展。但由于新能源具有間歇性的特點(diǎn)，例如光伏電廠的輸出功率隨光照強(qiáng)度變化而波動(dòng)，如不掌握它的實(shí)時(shí)發(fā)電信息，其并網(wǎng)后功率波動(dòng)帶來(lái)的電網(wǎng)頻率偏移及頻率穩(wěn)定問(wèn)題必將對(duì)電網(wǎng)調(diào)度運(yùn)行、負(fù)荷預(yù)測(cè)、發(fā)用電平衡產(chǎn)生重大影響，因此實(shí)現(xiàn)對(duì)并網(wǎng)新能源電廠的運(yùn)行數(shù)據(jù)監(jiān)測(cè)迫在眉睫。

本文設(shè)計(jì)并實(shí)施一種基于運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)的新能源電廠安全接入平臺(tái)建設(shè)方案，為電力監(jiān)控系統(tǒng)中新能源電廠的信息接入提供一種行之有效的安全接入新模式。

1 新能源電廠信息接入現(xiàn)狀

當(dāng)前，電力監(jiān)控系統(tǒng)中新能源電廠的信息采集工作仍然存在許多問(wèn)題，制約著新能源電廠的安全并網(wǎng)：

1）光伏及風(fēng)能等新能源發(fā)電廠存在投資規(guī)模小、上網(wǎng)電量低、數(shù)量多、分布范圍廣、通信基礎(chǔ)薄弱、鋪設(shè)電力通信光纜成本高等問(wèn)題，需要大量的人力與物力來(lái)實(shí)現(xiàn)對(duì)電廠運(yùn)行數(shù)據(jù)的遠(yuǎn)程監(jiān)測(cè)和運(yùn)行維護(hù)。

2）隨著信息網(wǎng)絡(luò)技術(shù)與電力系統(tǒng)不斷融合，網(wǎng)絡(luò)安全已成為能源電力安全的重要組成部分。然而多數(shù)新能源電廠存在安全防護(hù)體系不健全，電廠與電力監(jiān)控系統(tǒng)的信息安防策略有差異等情況，直接采集電廠信息會(huì)破壞電力監(jiān)控系統(tǒng)安全防護(hù)體系，嚴(yán)重威脅電網(wǎng)的安全運(yùn)行。

2 安全接入平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

2.1 設(shè)計(jì)目標(biāo)及原則

本文嚴(yán)格遵照《電力監(jiān)控系統(tǒng)安全防護(hù)總體規(guī)定》及系列配套方案的要求，綜合考慮技術(shù)、經(jīng)濟(jì)、安全、可行性，提出一種基于運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)的電力監(jiān)控系統(tǒng)安全接入平臺(tái)建設(shè)方案，主要目標(biāo)是解決基于運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)的新能源電廠信息接入安全問(wèn)題，全面提高電力監(jiān)控系統(tǒng)安全防護(hù)體系接入能力和訪問(wèn)控制能力，實(shí)踐適用新能源電廠信息接入的電力監(jiān)控系統(tǒng)安全防護(hù)新模式。

平臺(tái)采用獨(dú)立建設(shè)的原則，以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”為指導(dǎo)方針，結(jié)合國(guó)家信息安全等級(jí)保護(hù)的基本規(guī)定，最小限度的對(duì)電力調(diào)度現(xiàn)有業(yè)務(wù)系統(tǒng)進(jìn)行改造。不與電力監(jiān)控系統(tǒng)共用現(xiàn)有軟硬件設(shè)備，以網(wǎng)關(guān)的形式實(shí)現(xiàn)透明的數(shù)據(jù)擺渡，將新能源電廠并網(wǎng)對(duì)電力監(jiān)控系統(tǒng)影響降到最低，保障電網(wǎng)安全穩(wěn)定運(yùn)行。

2.2 平臺(tái)架構(gòu)

安全接入平臺(tái)整體架構(gòu)可分為調(diào)度主站端安全接入?yún)^(qū)、運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)傳輸通道及電廠端安全接入?yún)^(qū)三部分。調(diào)度主站端安全接入?yún)^(qū)負(fù)責(zé)數(shù)據(jù)加密認(rèn)證、采集傳輸、安全接入?yún)^(qū)各邊界防護(hù)及平臺(tái)內(nèi)部的安全監(jiān)視功能；運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)作為通信載體負(fù)責(zé)數(shù)據(jù)的遠(yuǎn)程傳輸；電廠端安全接入?yún)^(qū)實(shí)現(xiàn)電廠數(shù)據(jù)采集傳輸和加密。具體架構(gòu)如圖1所示。

2.3 工作原理

1）調(diào)度主站端安全接入?yún)^(qū)

調(diào)度主站端安全接入?yún)^(qū)為電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)和管理信息大區(qū)配置獨(dú)立的兩路通道。生產(chǎn)控制區(qū)通道主要負(fù)責(zé)新能源電廠實(shí)時(shí)業(yè)務(wù)信息采集；管理信息大區(qū)通道負(fù)責(zé)氣象、環(huán)保及電廠非實(shí)時(shí)業(yè)務(wù)等信息采集。

調(diào)度主站端安全接入?yún)^(qū)部署數(shù)據(jù)采集服務(wù)器、邊界網(wǎng)關(guān)機(jī)、電力專用橫向單向隔離裝置，縱向加密認(rèn)證裝置，日志審計(jì)系統(tǒng)及入侵監(jiān)測(cè)系統(tǒng)等設(shè)備。功能如下：

（1）數(shù)據(jù)采集服務(wù)器作為前置機(jī)，對(duì)安全接入?yún)^(qū)內(nèi)部網(wǎng)絡(luò)執(zhí)行統(tǒng)一的與電力專用橫向單向隔離裝置適配的通信規(guī)約機(jī)制，對(duì)外部執(zhí)行不同業(yè)務(wù)的采集規(guī)約機(jī)制。

圖1 安全接入平臺(tái)整體架構(gòu)圖

（2）電力專用橫向單向隔離裝置提供安全接入?yún)^(qū)和電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)、管理信息大區(qū)的數(shù)據(jù)交互防護(hù)功能。

（3）數(shù)據(jù)傳輸邊界網(wǎng)關(guān)機(jī)部署在電力專用橫向單向隔離裝置兩側(cè)，對(duì)數(shù)據(jù)進(jìn)行文本格式和網(wǎng)絡(luò)數(shù)據(jù)流格式之間的轉(zhuǎn)換。

（4）縱向加密認(rèn)證裝置部署于安全接入?yún)^(qū)縱向外聯(lián)通道的邊界，實(shí)現(xiàn)通道業(yè)務(wù)的加密與認(rèn)證，其外部接入網(wǎng)的縱向加密認(rèn)證裝置統(tǒng)一使用調(diào)度數(shù)字證書。

（5）入侵防御系統(tǒng)對(duì)無(wú)線公網(wǎng)接入數(shù)據(jù)進(jìn)行方向性檢測(cè)及數(shù)據(jù)行為分析，及時(shí)阻斷來(lái)自外網(wǎng)的惡意攻擊行為。

（6）日志審計(jì)系統(tǒng)實(shí)現(xiàn)對(duì)安全接入?yún)^(qū)內(nèi)所有服務(wù)器、交換機(jī)、網(wǎng)絡(luò)安全設(shè)備的日志，進(jìn)行分類、保存、查詢、分析并告警。

2）通信載體

電廠至電力監(jiān)控系統(tǒng)的傳輸通道選擇運(yùn)營(yíng)商無(wú)線APN專網(wǎng)通道（3G/4G），無(wú)線網(wǎng)絡(luò)鏈路和終端接入通道均由運(yùn)營(yíng)商提供并負(fù)責(zé)運(yùn)維，電力信息通信公司負(fù)責(zé)租用。新能源電廠大多位置偏僻，采用運(yùn)營(yíng)商無(wú)線網(wǎng)絡(luò)作為數(shù)據(jù)傳輸載體，具有通道建設(shè)成本低、安裝靈活、運(yùn)行維護(hù)簡(jiǎn)單、數(shù)據(jù)傳輸可靠等優(yōu)點(diǎn)，可大幅降低新能源電廠信息接入成本，提高信息傳輸通道靈活性和穩(wěn)定性。

3）電廠端安全接入?yún)^(qū)

依據(jù)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》及系列配套安全防護(hù)方案的規(guī)定，為簡(jiǎn)化電廠安全接入?yún)^(qū)網(wǎng)絡(luò)架構(gòu)，降低電廠安全接入平臺(tái)建設(shè)及維護(hù)成本，電廠側(cè)的安全接入?yún)^(qū)不再進(jìn)行安全分區(qū)部署。

廠站側(cè)依次部署無(wú)線加密終端、前置網(wǎng)關(guān)機(jī)、正向隔離裝置和電廠監(jiān)控系統(tǒng)邊界網(wǎng)關(guān)機(jī)。具體架構(gòu)如圖2所示。

圖2 電廠端安全接入?yún)^(qū)架構(gòu)

電廠監(jiān)控系統(tǒng)邊界網(wǎng)關(guān)機(jī)負(fù)責(zé)匯總需要采集的數(shù)據(jù)信息，采用E語(yǔ)言文件形式，包含遙信、遙測(cè)數(shù)據(jù)和電量信息，遙控等控制類數(shù)據(jù)不通過(guò)此通道傳輸。電廠監(jiān)控系統(tǒng)邊界網(wǎng)關(guān)機(jī)上部署安全傳輸軟件（客戶端），安全傳輸軟件（客戶端）負(fù)責(zé)將文件傳輸?shù)诫姀S安全接入?yún)^(qū)的前置網(wǎng)關(guān)機(jī)。

正向隔離裝置采用電力專用網(wǎng)絡(luò)安全隔離裝置，負(fù)責(zé)將電廠監(jiān)控系統(tǒng)和安全接入?yún)^(qū)隔離開，并提供文件安全傳輸?shù)耐ǖ?，即電廠單向上點(diǎn)傳遞點(diǎn)表信息給電力監(jiān)控系統(tǒng)。前置網(wǎng)關(guān)機(jī)采用安全傳輸軟件（服務(wù)端）接收邊界網(wǎng)關(guān)機(jī)發(fā)送的點(diǎn)表信息，并將這些信息以E語(yǔ)言文件形式上傳至調(diào)度主站端安全接入?yún)^(qū)。

無(wú)線加密終端是一款集成了無(wú)線模塊的縱向加密認(rèn)證裝置，其具備數(shù)據(jù)安全加密認(rèn)證、路由轉(zhuǎn)發(fā)等功能。終端內(nèi)置一張運(yùn)營(yíng)商電力專用VPN的SIM卡，裝置WLAN口綁定固定IP地址，自動(dòng)撥號(hào)接入運(yùn)營(yíng)商的電力無(wú)線VPN。加密終端采用電力專用密碼芯片，支持SM2算法。

4）網(wǎng)絡(luò)技術(shù)體制

安全接入平臺(tái)網(wǎng)絡(luò)采用MPLS L3VPN網(wǎng)絡(luò)技術(shù)體制，采用ISIS協(xié)議作為Global IGP協(xié)議。采用BGP協(xié)議通告各VPN間的路由保證VPN間互通、隔離。采用MPLS轉(zhuǎn)發(fā)機(jī)制進(jìn)行業(yè)務(wù)流量轉(zhuǎn)發(fā)[10]。

3 應(yīng)用

安全接入平臺(tái)已在溫州電力調(diào)控中心得到實(shí)際應(yīng)用，溫州華潤(rùn)光伏電廠已成功通過(guò)安全接入平臺(tái)接入電力監(jiān)控系統(tǒng)，實(shí)現(xiàn)遙信、遙測(cè)信息的采集。根據(jù)電力監(jiān)控系統(tǒng)主站端接收文件測(cè)試結(jié)果得知，電廠使用的無(wú)線加密終端密文吞吐量與網(wǎng)絡(luò)延時(shí)依賴于運(yùn)營(yíng)商網(wǎng)絡(luò)情況，吞吐量約為150～200kB/s左右，網(wǎng)絡(luò)延時(shí)小于800ms，均達(dá)到數(shù)據(jù)傳輸要求。

3.1 業(yè)務(wù)及終端接入流程

為確保業(yè)務(wù)及終端接入的可信性，保障安全接入平臺(tái)安全穩(wěn)定運(yùn)行，對(duì)調(diào)度主站系統(tǒng)業(yè)務(wù)及電廠側(cè)無(wú)線終端接入采取嚴(yán)格的審核管理措施，制定了業(yè)務(wù)接入申請(qǐng)流程和終端接入申請(qǐng)流程。

1）業(yè)務(wù)接入申請(qǐng)流程

調(diào)度某業(yè)務(wù)系統(tǒng)需要通過(guò)安全接入?yún)^(qū)采集電廠數(shù)據(jù)，由業(yè)務(wù)系統(tǒng)負(fù)責(zé)人發(fā)起新業(yè)務(wù)系統(tǒng)注冊(cè)申請(qǐng)，分別經(jīng)市公司信息部門、省公司業(yè)務(wù)部門及省公司信息部門審批通過(guò)，然后在調(diào)度各專業(yè)進(jìn)行注冊(cè)并做好安全策略配置后可取得業(yè)務(wù)名稱與業(yè)務(wù)ID。流程如圖3所示。

圖3 業(yè)務(wù)接入申請(qǐng)流程

2）終端接入申請(qǐng)流程

當(dāng)某電廠申請(qǐng)接入安全接入平臺(tái)，由電廠無(wú)線終端使用責(zé)任人發(fā)起安全接入申請(qǐng)，分別經(jīng)市公司業(yè)務(wù)部門、信息部門及省公司信息部門進(jìn)行審批通過(guò)后，進(jìn)行SIM/UIM卡及安全產(chǎn)品采購(gòu)，終端軟件需要交付國(guó)家權(quán)威安全部門經(jīng)安全監(jiān)測(cè)通過(guò)，并做好相關(guān)安全策略配置。且無(wú)線終端只能申請(qǐng)?jiān)L問(wèn)已經(jīng)在安全接入平臺(tái)上注冊(cè)過(guò)的業(yè)務(wù)系統(tǒng)。流程如圖4所示。

圖4 終端接入申請(qǐng)流程

3.2 經(jīng)濟(jì)效益

以華潤(rùn)光伏電廠為例，從通道建設(shè)、運(yùn)維兩方面進(jìn)行統(tǒng)計(jì)。

1）通道建設(shè)

采用基于運(yùn)營(yíng)商APN網(wǎng)絡(luò)的安全接入平臺(tái)建設(shè)方案，主站端和廠站端硬件采集成本僅為52萬(wàn)元，見(jiàn)表1。考慮廠站側(cè)的無(wú)線加密終端GPRS的流量開銷約為150M/月，依據(jù)當(dāng)前三大運(yùn)營(yíng)商的平均專網(wǎng)資費(fèi)40元/G/月計(jì)算，主站與廠站之間的通信信道租金僅為480元/年。

然而傳統(tǒng)的模擬專線采集方案，通道建設(shè)涉及調(diào)制解調(diào)器、音頻配線架（VDF）、主站側(cè)光電一體化設(shè)備、廠站端光電一體化設(shè)備、電力通信光纜建設(shè)等成本，總價(jià)高達(dá)270余萬(wàn)元。

表1 安全接入平臺(tái)建設(shè)成本統(tǒng)計(jì)

2）運(yùn)維成本

傳統(tǒng)的模擬專線采集方式，每年電力光纜的維護(hù)費(fèi)用花銷不菲。但是基于運(yùn)營(yíng)商APN網(wǎng)絡(luò)的安全接入平臺(tái)建設(shè)方案，在租用運(yùn)營(yíng)商通道網(wǎng)絡(luò)節(jié)省了大筆通道維護(hù)費(fèi)的同時(shí)，廠站端網(wǎng)絡(luò)、安防設(shè)備的配置及維護(hù)可通過(guò)調(diào)度主站端縱向加密裝置管理中心統(tǒng)一運(yùn)維，明顯降低電廠建設(shè)成本及技術(shù)人員配置要求。

結(jié)論

電力監(jiān)控系統(tǒng)安全防護(hù)保障工作是極其復(fù)雜的系統(tǒng)工程，電網(wǎng)及發(fā)電企業(yè)的電力監(jiān)控系統(tǒng)通過(guò)網(wǎng)絡(luò)組成一個(gè)龐大而復(fù)雜的整體，安全接入平臺(tái)的成功應(yīng)用有效解決了基于無(wú)線網(wǎng)絡(luò)的電廠信息接入安全問(wèn)題，顯著提升電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件處置能力。同時(shí)也為調(diào)度部門科學(xué)安排電廠運(yùn)行方式提供有力數(shù)據(jù)支撐，有效控制電網(wǎng)生產(chǎn)運(yùn)營(yíng)風(fēng)險(xiǎn)。

該平臺(tái)若能在新能源等非統(tǒng)調(diào)并網(wǎng)電廠全面推廣應(yīng)用，則將極速推進(jìn)新能源并網(wǎng)消納，從建設(shè)、運(yùn)維成本等方面為發(fā)電企業(yè)與電網(wǎng)公司創(chuàng)造巨大的經(jīng)濟(jì)效益。