一種10 kV并網電廠數據直采并安全接入調度系統方案

周文精，毛芳娟，徐 冰

（國網浙江江山市供電公司，浙江 江山 324100）

根據國家發展和改革委員會令2014年第14號電力監控系統安全防護規定》的相關要求，須解決小水電廠站等非統調電源運行數據缺失的問題，加強全口徑發電數據采集與統計工作，要求10 kV及以上并網電廠必須實現電力電量全采集全覆蓋，全面提高數據的完整性和準確性。

而現階段大多數10 kV并網電廠只從營銷系統的上網表計采集每15 min一個點（全天96個點）的電力電量數據，并非10 kV并網電廠機端、上網的實時電力電量數據（包括電壓、電流、功率、頻率、電量及開關狀態量等），且電廠的電力數據無法有效、穩定地接入調度監控SCADA系統，無法滿足調度端對10 kV并網電廠實時電力電量數據進行監測、統計、分析等的要求。同時大部分10 kV并網電廠由于地形復雜、通信基礎薄弱等原因，如果按現有調度數據網的方式實現數據采集，相對電廠規模來說，投資費用和后續維護成本都偏高，現介紹10 kV并網電廠數據直采并安全接入調度的一種經濟實用方案。

1 系統主要設備

本方案系統架構如圖1所示，包括廠站端數據采集霧節點主機、廠站端十兆型縱向加密裝置、調度主站數據采集/網關服務器、主站端千兆型縱向加密裝置、主站端反向橫向隔離裝置等設備。

圖1 方案架構

廠站端數據采集霧節點主機：借助紅外采集終端，實現對關口表的正反向有功無功電量數據的實時采集；借助供電單元、計量單元和電流互感器等設備，實現對發電機組的電壓、電流、功率、頻率、開關狀態量等數據的實時采集。

廠站端十兆型縱向加密裝置：采用電力專用加密芯片，與主站建立加密隧道進行數據傳輸，實現雙向身份認證和數據加密，此過程和調度數據網技術規范協議一致，采用RSA/SM2非對稱算法，電力專用分組對稱算法，終端提供基于IP、端口、協議的訪問控制功能，保障數據源頭安全接入主站。

最終霧節點主機采集的電廠數據通過電信運營商的VPN專網經縱向加密裝置，上送至調度數據采集服務器。

調度主站數據采集/網關服務器：數據采集服務器采用IEC104規約與各電廠霧節點主機通信，獲取各電廠的遙信、遙測和電量數據，再將這些信息轉化為E文件由反向隔離裝置傳輸至網關服務器。

主站端千兆型縱向加密裝置：與各并網電廠建立加密隧道進行數據傳輸，實現雙向身份認證和數據加密，保證各電廠數據上送的機密性和完整性。

主站端反向橫向隔離裝置：采用電力專用網絡安全隔離裝置，負責將主站監控系統和安全接入區隔離開，并提供E文件安全傳輸的通道，即數據采集服務器單向上傳點表信息給網關服務器。

主站端防火墻：根據電力監控安全分區原則，生產控制大區控制區（安全I區)和非控制區（安全II區）之間數據傳輸要加裝防火墻。防火墻通過過濾不安全的服務而降低網絡風險，只有經過授權允許的應用協議才能通過防火墻，極大地提高了內部網絡的安全性。主要設備配置如表1～2所示。

表1 主站采集通信設備配置

單個廠站端設備費用在23000元左右，加上施工調試成本，單個廠站整體費用可控制在3萬元以內，投入成本較低。如果采用調度數據網方式接入，單個廠站端的費用（含光纖、傳輸設備、網絡設備及安防設備等）至少要在10萬元以上，對于規模較小的電廠來說，是一筆不小的費用。

表2 單個廠站端設備

2 整體系統構架

本方案整體系統構架如圖2所示，分別在調度主站安全接入區設數據采集服務器1臺，網關服務器1臺，反向隔離裝置1臺，防火墻1臺和縱向加密裝置1臺，根據數據吞吐量測算，整體主站規模大致可以接入廠站300個以上。單個廠站設縱向加密裝置1臺、霧節點主機1臺，供電單元、計量單元、電流互感器及電源模塊若干，通過租用電信運營商VPN專網實現主站和廠站之間的通信。廠站霧節點采集廠站遙測、遙信和電量數據，通過主站加密裝置和廠站加密裝置建立的加密隧道進行傳輸，主站數據采集服務器獲取電廠數據后，將這些數據轉化為E文件，經由隔離傳輸軟件翻越反向隔離裝置，傳輸至網關服務器，網關服務器負責接收和解析電廠的文件數據，一邊實現電力數據接口，將數據以E文件/IEC104協議方式上送至調度安全I區自動化SCADA系統；一邊實現電量數據接口，將電量數據以E文件SFTP方式經過防火墻傳送至調度安全Ⅱ區電能量管理系統，至此完成電廠電力電量數據的采集、傳輸、存儲及應用等整個流程。

圖2 電力電量數據安全接入系統結構圖

在非統調電廠數據采集系統由相應的供應商提供設備的安裝調試后，本系統已經投入穩定運行近1年，極大地提高了10 kV并網電廠自動化系統運行水平，滿足了調度端對電廠實時電力電量數據進行監視、統計、分析等的要求。具體電廠數據采集情況具體如圖3所示，數據質量、設備運行可靠性及系統的經濟性方面都取得了較好效果。

圖3 電廠數據采集情況圖