摘要:生产控制系统直接面向用电用户,其安全、稳定、可靠的运行事关工业生产运行、国家经济安全和人民生命财产安全。网络安全攻击正向工业控制系统渗透。电能量采集关系到各方的经济利益,及时获取精准的电量数据尤为重要。基于此,本文主要对电能计量用通信规约安全改造技术作具体论述,希望通过本文的分析研究,给行业内人士以借鉴和启发。
关键词:电能计量;通信规约;安全改造技术
引言
目前生产系统由控制系统主站监控系统和远程终端控制器组成,而通信方式,由于远程终端数量庞大且分散在不同的环境区域,因此采用光纤加无线网络的通信方式实现数据的采集和监控。控制系统主站监控系统需要实现对远程终端所有数据的监测和控制功能,对于部分通信条件受限制的远程终端,也要求通过部署安全防护措施后,实现二遥或者三遥的功能。
1IEC62351简介
IEC62351是IEC第57技术委员会WG15工作组为电力系统安全运行面向有关通信协议(IEC60870-5、IEC60870-6、IEC62351、IEC61970、IEC61968系列和DNP3.0)而制定的数据和通信安全标准,已在IEC62351GOOSE/SV和MMS改造中得到应用,能够有效地防止窃听、中间人攻击、重放等信息安全威胁。目前IEC62351标准已推出第2版,且标准委员会仍在不断完善。IEC62351使用TLS及互联网安全协议(internetprotocolsecurity,IPSec)技术来保障TCP/IP传输层的通信安全,其中对于MMS和TASE.2利用TLS来配置和使用包括认证在内的安全措施来保障传输层和应用层的安全,同时为串口通信规约和网络规约提供了解决方法。TLS是一种应用于2个应用程序之间的安全传输协议,协议基于TCP/IP,位于应用层和传输层之间。协议为信息传输提供加密、身份验证和数据完整性3方面的基本保证,3种服务可根据具体的应用场景进行选择。TLS由TLS记录协议和TLS握手协议2层组成。TLS记录协议位于较低层,即TCP协议上层,提供安全性连接,基本特点是私有和可靠。私有是指对称加密的密钥是基于TLS握手协议协商生成的,可靠是指信息传输使用密钥的握手消息认证码(messageauthenticationcode,MAC)进行信息完整性检查。
2通信传输网络
首先是通信传输网络。通信传输网络由光纤通信和载波通信2种网络组成,以光纤通信网络为主,载波通信网络为辅。光缆架设的技术特点:沿输电线路架设1根24芯OPGW光缆。光纤通信电路的技术特点:利用架设的OPGW光缆中的2根纤芯建设622Mbit/s通信电路,新建设的光纤通信电路需要接入现有的光纤通信网络。载波通信技术特点:采用相相耦合方式,每个出线间隔需配置两相阻波器、两相结合滤波器和1台载波机。耦合电容利用出线间隔的电容式电压互感器,不再单独配置耦合电容器,阻波器座式安装在电容式电压互感器上。相邻段新建的载波通信电路需要通过RS232接口互连,并在光纤通信环形网络的骨干节点将载波通信电路接入光纤通信网络,从而形成完善的载波通信网络和光纤通信网络互为备用的通信传输通道。其次是调度自动化系统。新建变电站配置全站完整的计算机监控系统,由计算机监控系统采集并向调度中心上传全站的调度自动化信息。对于扩建变电站的情况,如果现有变电站自动化系统为RTU,无计算机监控系统,则需新配1台计算机监控系统,通过计算机监控系统采集扩建部分的调度自动化信息,并与RTU相连,将RTU已采集的变电站现有调度自动化信息传送至计算机监控系统,再通过计算机监控系统上传整个变电站的调度自动化信息至调度中心;如果现有变电站自动化系统为计算机监控系统,则扩建计算机监控系统,现有计算机监控系统增加扩建部分的调度自动化信息并上传至调度中心。计算机监控系统上传信息至调度中心的通信规约采用IEC60870-5-101。
3配电网WAMS通信接入网选择整体要求
(1)全面性。配电网WAMS接入网方式的选择应兼顾用电信息采集、负荷管理终端、SCADA系统的电能量和“三遥”数据信息以及WAMS业务,并充分考虑配电通信网未来的演进方向,满足通信网的可扩展性要求。(2)先进性。积极采用先进、适用、成熟的通信技术对配电网WAMS通信网设计进行量体裁衣,充分考虑通信技术与配电业务的适应性,注重通信技术与标准的成熟、以保证通信网络的可扩展性。(3)安全性。配电网WAMS的安全操作与整个配电网的安全运行直接相关,因为控制电网的许多参数是直接从WAMS的测量数据中获得。如果通信不具备较高的安全性,就会削弱整个配电系统的能力。应充分保障配电网WAMS业务信息“端到端”传输过程的安全可靠。
4主站系统建设
站端转换网关设备采集各变电站通信电源、蓄电池及其他设备数据转换为符合IEC62351标准的数据输出,通过调度数据网将数据传送至省级电源监控平台数据采集服务器。省平台数据采集服务器、负载均衡/WEB访问服务器均接入至省技术储备中心二次安防侧非实时接入交换机,通过VLAN划分进行业务隔离。本平台采用分布式服务器架构,具备高性能、安全可控等特性,支持横向扩展。另在各个局端需增加一套监控工作站,通过连接局端的二次安防交换机,经由省级调度数据网访问监控平台的主站系统,各地区的操作权限仅限各局管辖范围内,工作站连接至二次安防交换机时需进行IP绑定。省级电源监控平台支持WebService、SSH、IEC62351等多种接口,通过数据存储层对内存库、主数据库、大数据库进行数据存储,通过数据访问层,对北向管控平台提供数据接口,整个流程采用MD5、DES等加密手段,保证数据安全传输。通过开发及部署基于IEC62351协议的统一通信电源监控平台,即可实现对全省电源所有局站端的集中监控。(1)对全省各种品牌电源设备性能数据、关键信号进行处理分析,提供系统的早期预警。(2)统计、记录各厂商设备的告警信息与维护信息,对设备故障进行智能分析和诊断,及时提示维护人员。(3)将各市级平台采集器以上的IP和IT设备全部实施云化,虚拟化技术可根据系统负载进行动态扩容,支持横向扩展,纵向互联,彻底解决原平台系统隐患多、安全防护弱和稳定性差等问题。(4)可实现全省动力机房名称与数据、传输、交换对应机房名称的统一。省级通信电源监控平台建成后通过D接口向全省综合告警网管传送告警数据,以实现全省告警跨专业关联。
5各自独立的传统协议解析服务
为提高通用性,在微服务架构下的多协议转换平台中,各传统协议解析功能均独立出来,作为边界清晰的微服务单元存在。各传统协议解析服务之间无任何功能耦合,仅仅通过轻量级消息通信与通用转储数据服务、IEC62351服务发生数据交互,完成传统协议数据解析处理工作,这种模式为平台接入各种不同类型传统协议解析服务打下良好的基础。
结语
综上,电力监控系统安全防护相关要求是明确的和具体的,它提出整个系统的建设框架,对整个项目的建设进行指导,对于电力监控系统安全防护相关内容的遵循使整个系统的建设过程更加合理和规范,从而提高系统的安全性和可靠性。
参考文献
[1]周卫,张尧,夏成军,等.分布式发电对配电网继电保护的影响[J].电力系统保护与控制,2010,38(3):1-5.
[2]刘杨华,吴政球,涂有庆,等.分布式发电及其并网技术综述[J].电网技术,2008(15):71-76.