东莞电网继电保护信息系统路由规划研究
2014-10-10陈凤超
陈凤超
(广东电网公司东莞供电局,广东 东莞523008)
0 引言
随着微电机、计算机和网络通信技术的不断进步,继电保护信息系统正朝着电力系统二次一体化的方向发展。保护信息业务接入调度数据网是其中一个重要的建设内容,目前在接入方式上不同的地区有不同的规划。本文主要结合东莞电网二次系统安全防护的实际建设情况,对继电保护信息系统的调度数据网接入方案作详细的介绍。
1 调度数据网二次系统安全防护
继电保护通信数据的安全性是网络规划首要考虑的问题。事实上,东莞供电局调度系统网络包括了EMS/SCADA业务、集控业务、继电保护信息业务和配网业务等。这些业务接入调度数据网时必须遵循东莞电力二次系统安全防护规划。
目前东莞电力调度系统网络根据业务特性的不同分为控制区与非控制区,两区合并起来称为生产控制大区,与东莞供电局日常办公业务运行的管理信息大区从物理层上严格隔离,严格遵守国家电力监管委员会第5号令和国家电监会《电力二次系统安全防护总体方案》所要求的“安全分区、网络专用、横向隔离、纵向认证”基本原则和电力二次系统安全防护要求。
东莞供电局二次系统安全防护的具体设计要求如下:
(1)建立电力二次系统安全防护基本结构,实现业务系统的安全分区;
(2)在控制区与调度数据网的实时VPN网络边界部署纵向加密认证装置,实现对重要信息传输机密性、完整性的保护;
(3)在非控制区与调度数据网的非实时VPN网络边界设置防护墙,实现对非控制区业务系统的访问进行控制;
图1 东莞地调二次系统安全防护拓扑图
(4)在控制区与非控制区之间设置防火墙,实现生产控制大区内部区间的逻辑隔离;
(5)通过安全策略配置,控制接入系统之间的互联互访,实现业务系统到调度数据网的安全接入;
(6)通过高可靠性配置,保障业务系统网络通信的高可用性和业务连续性。
东莞供电局电力二次系统具体网络拓扑如图1所示,各安全区内具有纵向及横向数据通信业务的系统分别汇聚接入各自安全区的互联交换机。考虑到控制区中业务的重要性,该区业务系统(如EMS/SCADA系统)通过互联控制区交换机和加密认证装置纵向连接到调度数据网的实时VPN;而非控制区业务系统(如电量采集系统)则通过非控制区互联交换机和防护墙纵向连接到调度数据网的非实时VPN;控制区通过横向防火墙连接到非控制区。
2 继电保护信息业务路由规划
2.1 存在的问题
因为继电保护信息业务涉及定值修改、保护压板投退和定值区切换等控制功能,所以从最理想的情况来考虑继电保护信息业务需放在控制区内,数据的实时性也可得到保障。目前比较流行的接入方案主要有2种:一种是通过远动路由与EMS业务数据一起传输;另一种是直接开通独立的保信实时路由[1]。但是,东莞电网每个厂站到调度数据网的接入带宽是1个E1,即2.048 Mb/s,继电保护信息业务接入调度数据网必然会受到通信资源的限制。
一方面假如继电保护信息业务与其他实时业务都走实时路由,由于这类业务的数据量较大,就有可能导致大量的继保数据堵塞在实时网络而影响其他实时业务特别是EMS/SCADA业务的服务质量,堵塞严重时将影响对电网的实时监控。另一方面,受到通信网络带宽有限的影响,为继电保护信息业务分配专用的实时通信带宽或者扩展厂站接入调度数据网的带宽都不现实。
部分系统也曾通过拆分录波数据来缩小录波文件,或者避开通道负荷较大的时间段进行召唤,但会导致使用上的不便[2]。
2.2 细分业务数据,使用混合路由
考虑到以上原因,我们根据业务的特点,将继电保护信息业务进一步细分成2类。一类是安全性和重要性较高的业务,包括定值、开关量、录波简报和模拟量等,这类业务包含但并不限于所有控制业务;另一类是安全要求相对不高、重要性也较低的业务,如故障录波。其中,第二类业务只在主站召唤或子站数据采集完毕后才进行数据传输,对实时性要求不高[3]。
相应在调度数据网中继电保护信息系统采用一种混合路由方案,具体来说就是为保信同时配置实时和非实时路由,第一类继电保护信息从控制区走实时路由通信,第二类继电保护信息在非控制区走非实时路由通信。
具体路由规划如图2所示,220 k V及以上厂站的主站和子站的配置都是镜像的,而在110 k V厂站中,横向防火墙、非实时交换机和纵向防火墙合并为一个硬件防火墙,实现相同的功能。下面以220 k V厂站系统为例进行说明,110 k V厂站情况大致相同。
继电保护信息终端通信机部署在控制区内,第一类信息业务的传输路径是:保护信息通信服务器→实时交换机→纵向加密装置→调度数据网PE路由器→调度数据网→对端调度数据网PE路由器→对端纵向加密装置→对端实时交换机→对端保护信息通信服务器;第二类信息业务的传输路径是:保护信息通信服务器→实时交换机→横向防火墙→非实时交换机→纵向防火墙→调度数据网PE路由器→调度数据网→对端调度数据网PE路由器→对端纵向防火墙→对端非实时交换机→对端横向防火墙→对端实时交换机→对端保护信息通信服务器。其中,在横向防火墙做实时IP与非实时IP的映射。
在调度数据网中需要承载多种实时和非实时业务,网络中针对不同的业务,采用不同的QoS策略。我们首先通过对不同的业务数据设置不同的优先等级来优先保证实时业务的时延和带宽。
图2 东莞地调220 k V及以上厂站保护信息业务路由规划
采用实时和非实时相结合的路由规划,一方面定值、开关量、录波简报和模拟量等重要性较高且数据量较小的信息在控制区内传输,信息的安全性和实时性得到保障;另一方面,重要性较低且数据量较大的故障录波信息可放在非控制区,这样就消除了对其他实时业务的影响,最大限度地保证了本系统其他实时业务的实时性,较好地解决了东莞电网继电保护信息安全实时性与网络带宽资源有限的矛盾。
3 结语
本文阐述了东莞电网继电保护信息系统接入调度数据网时受通信网络资源所限的问题,通过细分继电保护信息业务数据,采用实时和非实时路由相结合的方法很好地满足了业务对安全性和实时性的要求。
[1]李文朝,叶睆,胡铁斌.继电保护远方控制实施方案[J].广西电力,2013(2)
[2]刘敏,苏忠阳,熊文.广州电网EMS/继电保护管理信息一体化系统应用分析[J].电力系统保护与控制,2010(2)
[3]汪鹏,周虎兵.湖北电网继电保护信息系统建设探讨[J].湖北电力,2011(4)
