基于無線雙網關的移動應急電力遠動系統設計

袁永軍

（杭州市電力局，杭州 310009）

基于無線雙網關的移動應急電力遠動系統設計

袁永軍

（杭州市電力局，杭州 310009）

隨著智能電網概念的提出，如何采用多種通信介質建設快速、經濟的遠動通信平臺成為研究熱點。GPRS無線通信模式相比傳統的有線通信具有顯著的成本效益和靈活的組網能力，因此提出基于無線雙網關的移動應急電力遠動系統方案。該系統通過自適應通信網關實現通信規約的自適應轉換，采用遠動安全網關確保無線通信信息傳送的安全性。

GPRS；通訊；網關；遠動；虛擬專用網

電力遠動系統的組網方式大量使用了載波、微波、光纖等固定通信通道的形式。隨著建設智能電網[1]（Smart Grid）的步伐不斷加快，遠動系統中固定通信通道暴露出明顯的不足，如部分電網基建工程在有線通道未建立時，已經有數據傳輸的需求；而地震、暴雪等自然災害，很可能對固定通信通道的正常運行產生嚴重影響。

相比有線通信模式，無線通信模式具備更高的成本效益，更靈活快捷的組網能力，在電力系統中的應用研究引起了廣泛關注[2-5]。同時，為滿足建設智能變電站的要求，遠動通信將逐步采用國際標準的IEC 61850通信規約，而現有變電站通信規約種類繁多，需要規約轉換工具實現規約的標準統一。因此，為了保證在全天候、多種條件下電力數據的安全有效以及無縫化傳輸，提出基于無線雙網關的移動應急電力遠動系統方案。

1 遠動系統通信模式探討

目前遠動系統大多采用RS-422和RS-485串口傳輸或現場總線網，無論采樣串口傳輸還是現場總線網絡傳輸，其介質都是有線的，都要受布線的限制，特別是要把相距較遠的節點連接起來時，敷設專用通信線路的布線施工量大、費用高、耗時長，不利于網絡的升級、擴展。無線通信模式（如GPRS）以公共電磁波為通信信道，因其施工維護簡單、安裝費用低、建設周期短、組網靈活等優點，可彌補遠動系統中有線通信模式的不足。

但是，無線通信模式也存在安全系數低、易受干擾、通信延時長等缺點。要在遠動系統中采用無線通信模式，必須保證信息傳送的安全性，即數據傳輸滿足二次系統安全防護的要求，實現信息的認證和加密。同時，為解決無線數據傳輸的抗干擾和時延問題，利用冗余通信技術和規約校驗與重傳技術，優化數據傳輸機制，保證數據傳輸的可靠性和實時性。

基于無線網絡的移動應急遠動系統需要突破原有的體系結構和傳輸模式，在充分利用無線網絡的基礎上結合最新的網絡化規約、數據安全加密技術，才能實現無線網絡環境下調度中心與變電站之間快速、靈活、準確、安全的信息交互。IEC 61850是國際最新的變電站自動化通信協議，加快其在變電站自動化產品中的實施與推廣已經成為廣泛共識。然而，當前變電站有大量遺留設備并不支持IEC 61850規約，因此，開發針對遺留產品的規約轉換通信網關是實現電力數據無線全景通信的前提。同時，為保證電力調度數據通過無線網絡傳輸時的安全性，可借助基于IPSec協議[6]的虛擬專用網VPN[7]（Virtual Private Network）安全網關技術對數據的傳輸進行安全防護。

2 應急遠動系統結構設計

2.1 信號傳輸

在遠動通信各個系統之間轉發數據時，經常遇到雙方規約不一致的問題，而系統自適應通信網關支持大多數遠動規約（如DNP3.0、IEC 101、IEC 104、TASE.2、IEC 61850等），可以方便實現規約轉換，將通過某種規約接收到的數據，通過IEC 61850規約直接轉發出去，不影響傳輸的速度和效率，既可以全部轉發也可以選取部分轉發，配置方便。

規約統一后的報文數據通過串口和遠動安全網關相連，避免公網的非法信息侵害變電站和調度中心自動化運行設備。變電站側遠動安全網關將報文數據打成IP包，并經過IPSec協議二次加密，再通過無線發射終端傳到GPRS網，最后通過調度中心側遠動安全網關解密并使用串口通信到達前置通訊機。

2.2 無線通信組網方式

GPRS（General Packet Radio Service）技術是在原有GSM網絡結構中增添3種新的網絡節點，即分組控制單元（PCU）、GPRS業務支持節點（SGSN）和GPRS網關支持節點（GGSN）以及對GSM的相關部件進行軟件升級來實現。GPRS采用時分多址（TDMA）方式傳輸話音，用分組方式傳輸數據。GPRS支持TCP/IP協議和X2.5協議，在GPRS上可以開發基于IPSec協議的虛擬專用網VPN和訪問點域名APN（Access PointName）業務。

采用GPRS組網的詳細網絡結構如圖1所示，在控制中心側用內網APN專線方式連接，即從電信公司后臺服務器引出2M的DDN專線與調度中心遠動安全網關連接，由電信公司提供固定IP地址；在變電站側采用固定IP地址的SIM卡通過遠動安全網關的無線發射終端接入GPRS。該APN為電力公司專用APN，對訪問接入范圍進行了嚴格的限制。將APN與終端靜態IP地址綁定后，只有特定終端IP地址才可訪問APN。如果需要增加該APN的設備，必須由電力公司出具授權書，委派移動公司另行開卡接入，確保該APN的安全性。采用該組網方式的數據安全性好，穩定可靠，傳輸延遲小，能滿足大部分報文傳輸的實時性要求。

圖1 無線通信詳細組網方式

2.3 遠動安全網關設計

無線遠動通信系統的變電站側和控制中心側分別處于兩個獨立的子網，其內部網絡的主機不負責加密工作，系統采用基于IPSec協議的VPN隧道模式在安全網關之間建立安全通道（如圖2）。兩個安全網關分別保護位于后面的子網，通過HTTPS加密通訊數據協議訪問安全網關服務器，經過身份認證后，設置網關的安全策略，安全網關控制中心側為主設備，其遠程設備后方子網設置為變電站側的IP段，安全網關變電站側從設備的遠程設備后方子網設置為控制中心側的IP段。安全網關的出口IP地址設置為無線GPRS網絡專網靜態地址。通過這樣的安全配置對接入訪問的范圍和資源進行限制，兩個子網之間傳輸的數據都是經過兩個安全網關協商處理過的加密和認證的數據。信息在網關之間的專有隧道上傳輸，保證了數據在公共網絡上的傳輸安全，從而構成有安全保證的VPN。即使外部用戶非法獲取這些數據，也不會對源主機或網絡形成威脅。

圖2 VPN隧道通信

IPSec安全認證技術是在網絡層上對數據包進行安全處理，從而提供數據源驗證、無連接的數據完整性、數據機密性、抗重播和有限的業務流機密性等安全服務。IPSec體系是一個開放的標準框架（如圖3），包括3個主要的安全協議，即認證頭協議AH（Authentication Header）、封裝安全有效載荷協議ESP（Encapsulating Securit Payload）和密鑰交換協議 IKE （Interne Key Exchange）。IPSec的安全服務由通訊雙方建立的安全關聯（SA）提供，由其選擇由ESP還是AH來保證IP上的傳輸，IKE負責SA的協商及密鑰交換。

圖3 IPsec體系結構

在這個VPN中，每一個具有IPSec的安全網關都是一個網絡聚合點，試圖對VPN進行信息內容分析將會失敗。目的地是VPN的所有通信，都經過安全網關上的SA來定義加密或認證的算法和密鑰等參數，即從VPN的安全網關出來的數據包只要符合安全策略，就會用相應的SA來加密或認證（加上AH或ESP包頭）。所有的加密和解密由兩端的安全網關全權代理。

（1）發送方IP分組的處理過程：源主機發送一個IP分組給安全網關，安全網關針對IP分組目的地址查詢策略引擎，根據安全策略強制加上AH或ESP頭，對沒有SA的安全策略利用IKE建立新的SA，安全網關發送這個經過IPSec處理過的分組。

（2）接收方的處理過程：另一端的安全網關收到這個分組，利用分組的AH或ESP頭調用IPSec處理，進而決定IPSec處理的應用是否正確，如果驗證正確，那么解密恢復到原始數據分組并轉發到真正的目的主機。

3 自適應通訊網關設計

自適應通訊網關主要包括以下4個功能模塊：數據模型映射模塊、動態規約轉換模塊、實時庫模塊、ACSI/MMS服務模塊。通信網關軟件結構如圖4所示。

圖4 通信網關軟件結構

3.1 數據模型映射模塊

為了使通訊網關能夠成為不同遺留產品的通用封裝器，必須對電力對象提供統一的數據模型。本系統采用IEC 61850的建模方法，并在此基礎上擴展，完成了變電站系統的數據模型擴建，并對其進行元數據和元數據映射服務。通過元數據所描述的信息，網關中協議轉換器的結構在運行期得到配置，虛擬實時庫建立遺留產品的通用數據模型。通過模型映射，協議轉換器能完成不同協議間的自動適配。

3.2 動態規約轉換模塊

非IEC 61850協議的數據模型都面向信號，對RTU的信息描述都是以點表的形式，從邏輯上看是線性和平面的，而IEC 61850的數據模型是面向對象的、分層和立體的。因此將傳統遠動協議轉化為IEC 61850協議，首先是線性信息如類型標識符、可變結構限定詞、傳送原因、應用服務數據單元公共地址和功能類型等，從101/104所定義的應用服務數據單元（ASDU）到IEC 61850中面向對象信息（服務器、邏輯設備、邏輯節點、數據對象和數據屬性等）的轉化過程。其次，是將IEC 60870-5-101/104等規約的服務映射到ACSI服務。

為了實現靈活快速的規約轉換，為現存的大多數遠動規約 （CDT、DNP3.0、IEC101、IEC104、DL476、TASE.2、IEC61850）提供標準接口，每個規約為一個動態庫，能夠按需添加新規約而不影響系統的運行。通過一種規約接收數據，識別提取數據包中的有效信息，經過元數據管理將其映射到虛擬實時庫中，再通過規約轉換模塊生成需要的規約轉發出去。

3.3 實時庫模塊

實時數據庫是內存數據庫，選擇文件映射方式實現高效可靠的內存管理。由于變電站設備模型的總體結構是按邏輯設備、LN、數據對象劃分的層次結構，因此選擇基于層次模型的實時庫產品。同時，對子站監控系統的實時庫進行映射，并統一進行管理。通訊網關實時庫可以將多個廠站的數據歸一，以統一的鏈路發送給調度；同時調度的數據可以復制到多個鏈路發送給多個廠站。當發生雷暴等惡劣氣象條件造成GPRS通信中斷時，一方面歸一化數據將在實時庫的預留存儲空間保留，并及時給出報警，以防止長期故障而引起預留空間存儲數據的溢出；另一方面通過自動重連功能嘗試撥號接入網絡，利用斷點續傳功能將保留數據發送出去，保持數據傳輸的連續性。

3.4 ACSI/MMS模塊

IEC 61850總結了電力生產過程特點和要求，歸納出電力系統所必需的信息傳輸的網絡服務，采用抽象建模方法設計出ACSI，它獨立于具體的網絡應用層協議，與采用的網絡無關。ACSI服務是一種抽象通信服務，必須將其映射到具體的通信服務，對攜帶服務參數的報文格式和編碼規則以及網絡傳輸方式加以定義，才可以用于實際的信息交換過程。MMS定義了一套標準的服務，MMS用戶使用相同的服務進行交互，從而實現互操作性。

4 結語

本文提出的基于無線雙網關的移動應急遠動通信系統方案，解決了基建工程通信、電網故障通信等短期應急通信問題。為保證無線通信符合二次安防要求，在變電站及調度中心入口皆采用串口通信，通過基于IPSec安全協議的VPN隧道模式建立虛擬專用網實現外網隔離，采用接入點域名服務APN提供GPRS專有信道。同時運用最新的IEC 61850通信規約，滿足未來智能變電站的通信需求。限于無線通信技術在通信帶寬、通信速率、系統穩定性和安全性等方面固有缺陷的影響，無線通信模式還不足以取代有線通信在電力系統遠動通信中的地位，但隨著無線通信技術的不斷發展，其在電力系統遠動通信中的應用范圍將更為廣闊。

[1]肖世杰.構建中國智能電網技術思考[J].電力系統自動化.2009，33（9）:1-4.

[2]唐海軍.基于GPRS的配電網饋線自動化模式探討[J].電力系統自動化，2006，30（7）:104-107.

[3]李惠宇，羅小莉，于盛林.一種基于GPRS的配電自動化系統方案[J].電力系統自動化，2003，27（24）:63-65.

[4]所旭，張萍.無線通信技術應用于變電站自動化的探討[J].電力系統自動化，2004，28（17）:88-91.

[5]黃新波，劉家兵，王向利，等.基于GPRS網絡的輸電線路絕緣子污穢在線遙測系統[J].電力系統自動化，2004，28（21）:92-96.

[6]唐佳佳，周曉東，陸建德.IPsec VPN安全網關的認證優化設計與實現[J].計算機應用與軟件，2008，25（5）: 59-61.

[7]BROWN S.構建虛擬專用網[M].董曉宇，魏鴻，馬潔，等譯.北京:人民郵電出版社，2000.

（本文編輯：楊 勇）

Design of Mobile Emergency Telecontrol System Based on Wireless Dual-gateway

YUAN Yong-jun

（Hangzhou Municipal Power Supply Bureau，Hangzhou 310009，Zhejiang）

Along with the proposed concept of intelligent power grid,how to adopt multiple communication media to build a rapid and economical telecontrol communication platform system becomes a hot topic.GPRS wireless communication mode has apparent cost benefits and agile networking capability by comparison with traditional wired communication.Therefore,this paper proposes the plan of mobile emergency telecontrol system based on wireless dual-gateway which uses self-adaptation communication gateway to realizes self-adaptation conversion of communication protocol and ensures the safety of wireless communication information transmission by telecontrolsecurity gateway.

GPRS;communication；gateway；telecontrol；VPN

TM762

B

1007-1881（2010）08-0045-04

2010-03-09

袁永軍 （1974-），男，浙江紹興人，工程師，從事電網建設管理工作。