智能抽水蓄能電站網絡結構與安全防護研究

獨健鴻，郝 峰，葛軍強，閆譯文

（1.國網新源控股有限公司，北京市 100761；2.中國電建集團華東勘測設計研究院有限公司，浙江省杭州市 311122）

0 引言

國家電網有限公司提出全力打造“三型兩網、世界一流”企業，“三型”是指打造樞紐型、平臺型、共享型企業，“兩網”是指建設運營好堅強智能電網、泛在電力物聯網?！叭蛢删W”中的堅強智能電網，經過近十年的建設，已卓有成效。應用“大、云、物、移、智”先進技術的泛在電力物聯網將成為未來電力系統新的增長點。抽水蓄能電站承擔調峰、填谷、調頻、調相、事故備用、黑啟動及消納新能源等任務，是電力系統重要組成部分[1,2]。建設面向泛在電力物聯網的智能抽水蓄能電站是未來的發展方向。新源公司制定了智能抽水蓄能電站建設規劃，開始編制相關標準規范，對電站的網絡結構和安全防護進行了深入地探討和研究。

1 概述

智能抽水蓄能電站是指采用先進、可靠、集成和開放的智能設備，輔以智能系統和智能網絡的建設，以電站數字化為基本要求，以可觀測、可視性、自診斷、自適應、自學習、自趨優、互動性等為特征，滿足全壽命周期管理要求，具備三維可視化、智能調節、智能控制、智能分析、智能決策等功能的抽水蓄能電站。系統總體結構是以一體化平臺為核心，以可靠的高速光纖傳輸網絡為物理主干，以水電標準通信總線為基礎，以水電公共信息模型為支撐的面向服務的分布式結構[3]。

2 網絡結構

2.1 系統結構

智能抽水蓄能電站通信網絡采用分層分布開放式網絡結構。按照水電站安全防護要求，橫向劃分為生產控制大區（包括安全Ⅰ區、安全Ⅱ區）和管理信息大區。根據縱向劃分為“三層兩網”，“三層”即過程層、單元層和電站層，“兩網”即過程層網絡和電站層網絡[4]。

2.1.1 電站層

在控制區（安全Ⅰ區）電站層部署電站實時監控中心，實現自動發電控制、自動電壓控制、抽水工況控制、發電工況控制、經濟運行等功能。在非控制區（安全Ⅱ區）電站層部署電站數據前置區，設置的系統包括發電計劃申報系統、電能計量系統、故障錄波信息子站系統及水情測報系統。管理信息大區主要包括電站數據中心、電廠生產管理系統、綜合安全管控系統、健康評價系統以及設備全生命周期系統、大壩自動監測系統、防汛信息系統、報價輔助決策系統等。電站層完成電站級運行監視、自動發電控制、智能作業、系統聯動、智能控制、綜合安全管控、設備設施健康評價、虛擬仿真運行等功能。

2.1.2 單元層

本層控制區（安全Ⅰ區）按照機組單元、開關站和公用系統分別部署智能電子設備（IED）。機組單元包括機組控制單元IED、水泵水輪機IED、發電電動機IED、調速系統IED、勵磁系統IED、發電機電壓設備IED、主進水閥IED、靜止變頻裝置（SFC）IED、主變壓器IED、發變組繼電保護IED、發變組相量測量（PMU）IED。開關站單元層包括GIS設備IED、GIS繼電保護IED、開關站相量測量（PMU）IED。公用系統單元層包括氣系統IED、水系統IED、金屬結構設備IED、火災報警及消防控制系統IED、直流電源系統IED、照明系統IED。非控制區（安全Ⅱ區）單元層包括故障錄波系統IED、電能量采集系統IED、狀態監測IED、水情測報系統IED、通風空調系統IED。管理信息大區單元層包括水工安全監測自動化系統IED、工業電視及安防系統IED。

各IED就地安置在宿主設備旁，完成宿主設備的運行數據采集、狀態信息監測評估、智能控制等就地綜合評估、實時狀態預報的功能，滿足設備狀態可視化要求。

2.1.3 過程層

合并單元、智能終端、智能傳感器等IED部署在過程層，完成與一次設備相關的數據采集及控制功能，包括實時運行數據的采集，設備運行狀態的監測、控制命令的執行等。

2.2 通信網絡

基于全廠數據信息化、網絡化、標準化的要求，構建一個高速、標準、統一的網絡（基于IEC 61850標準）是建設智能抽水蓄能電站的必然要求。基于IEC 61850標準和系統結構，通信網絡由電站層網和過程層網組成。

2.2.1 電站層網

電站層設備通過電站層網與電站層其他設備以及單元層網通信。邏輯功能上，電站層網覆蓋電站層的數據交換接口、電站層與單元層之間數據交換接口，可傳輸MMS 報文和GOOSE 報文。生產控制大區采用DL/T 860標準MMS協議實現電站級數據中心與單元層設備通信，管理信息大區采用DL/T 890標準Web Service規范實現電站級數據中心與外部系統通信。

2.2.2 過程層網

過程層網絡完成單元層與過程層設備、單元層設備之間的數據通信，可傳輸 GOOSE 報文和 SV 報文。網絡可以采用星形、環形或總線結構。

由于智能設備的開發制造還在起步階段，在實際工程使用中部分性能不穩定，因此現階段信號采集可以采取多種方式。電量的采集根據不同的互感器型式及電壓等級選擇以下3種方案：采用電子式互感器方式，直接接入SV網；采用電磁式互感器+合并單元方式，接入SV網；采用常規傳感器直采方式。非電量采集根據傳感器的不同型式選擇以下2種方案：采用常規傳感器直采方式；采用智能傳感器接入SV網。

3 安全防護

3.1 基本原則

智能抽水蓄能電站二次系統按照“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”的原則，分別接入控制區、非控制區和管理信息大區。各應用系統終端按照其所屬安全區專機專用、專網專用。安全防護設備需要獲得國家指定機構安全檢測證明，并通過電力系統電磁兼容檢測。電站的生產控制大區與管理信息大區間相連采取物理隔離措施，如以網絡方式相連，部署電力專用橫向單向安全隔離裝置。參與系統 AGC、AVC調節的抽水蓄能電站，在電力調度數據網邊界配置縱向加密認證裝置或縱向加密認證網關進行安全防護[5]。

3.2 生產控制大區

生產控制大區的監控系統應當部署安全審計功能，能夠對操作系統、數據庫、業務應用的重要操作進行記錄、分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。對于遠程用戶登錄到本地系統中的操作行為，需要進行嚴格地安全審計?？梢圆捎冒踩珜徲嫻δ?，對網絡運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全設施運行日志等進行集中收集、自動分析[6]。

抽水蓄能電站的電站級實時監控中心的主服務器、網絡邊界處的通信網關機和Web服務器等，需要使用安全加固的操作系統。加固方式包括安全配置、安全補丁、采用專用軟件強化操作系統訪問控制能力以及配置安全應用程序等，其中更改配置和安裝補丁應當經過測試。

非控制區的網絡設備與安全設備要采取身份鑒別、訪問權限控制、會話控制等安全加固措施。能夠應用電力調度數字證書，在網絡設備和安全設備實現支持HTTPS 的縱向安全Web服務，能夠對瀏覽器客戶端訪問進行身份認證及加密傳輸。同時需要對存儲器、打印機等外部設備進行嚴格管理。生產控制大區中除安全接入區外，禁止選用具有無線通信功能的設備；管理信息大區業務系統使用無線網絡傳輸業務信息時須具備接入認證、加密等安全機制。

3.3 管理信息大區

針對管理信息大區內、外網移動應用接入，在縱向邊界實現網絡層或應用層加密認證，面向不同的業務特點將接入網關劃分為I型（專用型）、Ⅱ型（標準型）和Ⅲ型（一體化微型）3種型號。在橫向邊界，設置基于網閘構架的信息網絡安全隔離裝置。安全隔離裝置部署如圖1所示。

對于電力無線專網建設要滿足電力監控系統安全防護要求，強化無線空口安全防護能力。電力無線專網設備及網管系統按照等級配置三級防護，保證無線系統數據傳輸的安全。

圖1 新一代信息網絡安全接入網關與信息網絡安全隔離裝置總體部署架構Figure 1 The overall deployment framework of the new generation of information network security access gateway and information network security isolation device

4 典型應用組件

4.1 智能安全管控系統

智能抽水蓄能電站朝著“無人值守”和“少人值守”方向發展，需要構建數字化、網絡化和智能化的綜合安全管控系統以提升整個電站的安全管控水平。在基建期，利用地質安全監測數據實現抽水蓄能電站建設期地下洞室群開挖過程中地質預測，掌握地下洞室開挖斷面前方斷層、破碎帶、溶洞、暗河及其他地質帶的位置和形態。利用環境監測數據實現抽水蓄能電站建設期地下洞室群、消防、通風、重要設備運行場區氣體含量、粉塵含量、通風情況的報警和預警。在運行期，建設運維期的綜合安全監控平臺，集成人員作業安全管理、安全環境監控、消防、反恐等系統，實現集中監測、應急指揮、人員定位等功能[7]。

智能安全管控系統的技術關鍵是基于數據共享的多系統聯動控制。例如，當發生火災報警等異常狀況時，工業電視系統中的高清攝像頭應即刻轉向報警點進行抓拍和錄像；同時門禁系統應打開相關的門禁；綜合安全監控平臺在接收到報警信號后，應發出聲光提示、語音報警、自動彈出視頻畫圖，方便值班人員進行事故分析和現場應急處理。

4.2 基于移動終端的智能巡檢

傳統巡檢一般采用手工記錄的方式進行巡檢信息記錄，現場遇到故障問題需要電話聯系巡檢指揮中心詳細描述，故障點記錄還需要攜帶相機進行拍照，歸檔時需要二次錄入將巡檢結果錄入電腦存檔。作業人員工作量大且效率低，紙質記錄不易保存差錯率高?；谝苿咏K端的智能巡檢系統是借助支持近場通信技術的移動終端，結合現場敷設定位芯片實現到位管理；利用智能終端的錄音、拍照、攝像功能全面反映設備狀態，提高巡檢員的工作效率和工作體驗，降低巡檢的運營與維護成本，為發電廠巡檢管理提供低成本、高效率的巡檢解決方案[8]。

移動終端采用消費級智能手機，安裝巡檢APP，就可以成為電站巡檢儀。移動終端和巡檢服務器共同組成巡檢系統，該系統能夠實現巡檢路線規劃、巡檢計劃管理、漏檢統計、工時統計、報警管理和巡檢數據分析。同時需要注意的是，該系統接入管理信息大區時，要配置信息安全網絡隔離裝置、安全接入網關和防火墻。對移動終端系統同步手機時間、手機巡檢程序由服務器推送升級，限制與安裝工作無關的應用，限制與3G、4G互聯網連接，綁定終端登錄用戶等。

4.3 無線應急指揮系統

電站作為大型公共設施場所，會涉及恐怖襲擊、自然災害等帶來的突發事件。面對各種突發情況，現場指揮人員可以利用無線通信裝備將前方人員的音視頻信號實時傳遞回來，并快速做出響應。

無線應急指揮系統利用單兵設備、對講機、手機等無線通信設備，通過電力無線專網、5G等無線移動技術與電站層管理信息大區中應急指揮平臺和服務器通信，實現電站前方人員和指揮中心之間通過視頻、圖片、文字和語音進行實時信息交互。電力無線專網需要經過防火墻和信息網絡安全接入網關接入到管理信息大區。

5 結論

面向泛在電力物聯網的智能抽水蓄能電站是未來的發展方向，網絡結構搭建是電站智能化的基礎工作，網絡的可靠性、傳輸數據的及時性和信息的安全性是關鍵技術問題。智能抽水蓄能電站的建設還需是在實踐中不斷摸索、改進和完善，還有很長的路需要走，需要建設方、設計方和設備制造方等共同努力來推進抽水蓄能電站智能化發展。