東莞電網繼電保護信息系統(tǒng)路由規(guī)劃研究

陳鳳超

（廣東電網公司東莞供電局，廣東 東莞523008）

0 引言

隨著微電機、計算機和網絡通信技術的不斷進步，繼電保護信息系統(tǒng)正朝著電力系統(tǒng)二次一體化的方向發(fā)展。保護信息業(yè)務接入調度數據網是其中一個重要的建設內容，目前在接入方式上不同的地區(qū)有不同的規(guī)劃。本文主要結合東莞電網二次系統(tǒng)安全防護的實際建設情況，對繼電保護信息系統(tǒng)的調度數據網接入方案作詳細的介紹。

1 調度數據網二次系統(tǒng)安全防護

繼電保護通信數據的安全性是網絡規(guī)劃首要考慮的問題。事實上，東莞供電局調度系統(tǒng)網絡包括了EMS／SCADA業(yè)務、集控業(yè)務、繼電保護信息業(yè)務和配網業(yè)務等。這些業(yè)務接入調度數據網時必須遵循東莞電力二次系統(tǒng)安全防護規(guī)劃。

目前東莞電力調度系統(tǒng)網絡根據業(yè)務特性的不同分為控制區(qū)與非控制區(qū)，兩區(qū)合并起來稱為生產控制大區(qū)，與東莞供電局日常辦公業(yè)務運行的管理信息大區(qū)從物理層上嚴格隔離，嚴格遵守國家電力監(jiān)管委員會第5號令和國家電監(jiān)會《電力二次系統(tǒng)安全防護總體方案》所要求的“安全分區(qū)、網絡專用、橫向隔離、縱向認證”基本原則和電力二次系統(tǒng)安全防護要求。

東莞供電局二次系統(tǒng)安全防護的具體設計要求如下：

（1）建立電力二次系統(tǒng)安全防護基本結構，實現業(yè)務系統(tǒng)的安全分區(qū)；

（2）在控制區(qū)與調度數據網的實時VPN網絡邊界部署縱向加密認證裝置，實現對重要信息傳輸機密性、完整性的保護；

（3）在非控制區(qū)與調度數據網的非實時VPN網絡邊界設置防護墻，實現對非控制區(qū)業(yè)務系統(tǒng)的訪問進行控制；

圖1 東莞地調二次系統(tǒng)安全防護拓撲圖

（4）在控制區(qū)與非控制區(qū)之間設置防火墻，實現生產控制大區(qū)內部區(qū)間的邏輯隔離；

（5）通過安全策略配置，控制接入系統(tǒng)之間的互聯(lián)互訪，實現業(yè)務系統(tǒng)到調度數據網的安全接入；

（6）通過高可靠性配置，保障業(yè)務系統(tǒng)網絡通信的高可用性和業(yè)務連續(xù)性。

東莞供電局電力二次系統(tǒng)具體網絡拓撲如圖1所示，各安全區(qū)內具有縱向及橫向數據通信業(yè)務的系統(tǒng)分別匯聚接入各自安全區(qū)的互聯(lián)交換機。考慮到控制區(qū)中業(yè)務的重要性，該區(qū)業(yè)務系統(tǒng)（如EMS／SCADA系統(tǒng)）通過互聯(lián)控制區(qū)交換機和加密認證裝置縱向連接到調度數據網的實時VPN；而非控制區(qū)業(yè)務系統(tǒng)（如電量采集系統(tǒng)）則通過非控制區(qū)互聯(lián)交換機和防護墻縱向連接到調度數據網的非實時VPN；控制區(qū)通過橫向防火墻連接到非控制區(qū)。

2 繼電保護信息業(yè)務路由規(guī)劃

2.1 存在的問題

因為繼電保護信息業(yè)務涉及定值修改、保護壓板投退和定值區(qū)切換等控制功能，所以從最理想的情況來考慮繼電保護信息業(yè)務需放在控制區(qū)內，數據的實時性也可得到保障。目前比較流行的接入方案主要有2種：一種是通過遠動路由與EMS業(yè)務數據一起傳輸；另一種是直接開通獨立的保信實時路由［1］。但是，東莞電網每個廠站到調度數據網的接入帶寬是1個E1，即2.048 Mb／s，繼電保護信息業(yè)務接入調度數據網必然會受到通信資源的限制。

一方面假如繼電保護信息業(yè)務與其他實時業(yè)務都走實時路由，由于這類業(yè)務的數據量較大，就有可能導致大量的繼保數據堵塞在實時網絡而影響其他實時業(yè)務特別是EMS／SCADA業(yè)務的服務質量，堵塞嚴重時將影響對電網的實時監(jiān)控。另一方面，受到通信網絡帶寬有限的影響，為繼電保護信息業(yè)務分配專用的實時通信帶寬或者擴展廠站接入調度數據網的帶寬都不現實。

部分系統(tǒng)也曾通過拆分錄波數據來縮小錄波文件，或者避開通道負荷較大的時間段進行召喚，但會導致使用上的不便［2］。

2.2 細分業(yè)務數據，使用混合路由

考慮到以上原因，我們根據業(yè)務的特點，將繼電保護信息業(yè)務進一步細分成2類。一類是安全性和重要性較高的業(yè)務，包括定值、開關量、錄波簡報和模擬量等，這類業(yè)務包含但并不限于所有控制業(yè)務；另一類是安全要求相對不高、重要性也較低的業(yè)務，如故障錄波。其中，第二類業(yè)務只在主站召喚或子站數據采集完畢后才進行數據傳輸，對實時性要求不高［3］。

相應在調度數據網中繼電保護信息系統(tǒng)采用一種混合路由方案，具體來說就是為保信同時配置實時和非實時路由，第一類繼電保護信息從控制區(qū)走實時路由通信，第二類繼電保護信息在非控制區(qū)走非實時路由通信。

具體路由規(guī)劃如圖2所示，220 k V及以上廠站的主站和子站的配置都是鏡像的，而在110 k V廠站中，橫向防火墻、非實時交換機和縱向防火墻合并為一個硬件防火墻，實現相同的功能。下面以220 k V廠站系統(tǒng)為例進行說明，110 k V廠站情況大致相同。

繼電保護信息終端通信機部署在控制區(qū)內，第一類信息業(yè)務的傳輸路徑是：保護信息通信服務器→實時交換機→縱向加密裝置→調度數據網PE路由器→調度數據網→對端調度數據網PE路由器→對端縱向加密裝置→對端實時交換機→對端保護信息通信服務器；第二類信息業(yè)務的傳輸路徑是：保護信息通信服務器→實時交換機→橫向防火墻→非實時交換機→縱向防火墻→調度數據網PE路由器→調度數據網→對端調度數據網PE路由器→對端縱向防火墻→對端非實時交換機→對端橫向防火墻→對端實時交換機→對端保護信息通信服務器。其中，在橫向防火墻做實時IP與非實時IP的映射。

在調度數據網中需要承載多種實時和非實時業(yè)務，網絡中針對不同的業(yè)務，采用不同的QoS策略。我們首先通過對不同的業(yè)務數據設置不同的優(yōu)先等級來優(yōu)先保證實時業(yè)務的時延和帶寬。

圖2 東莞地調220 k V及以上廠站保護信息業(yè)務路由規(guī)劃

采用實時和非實時相結合的路由規(guī)劃，一方面定值、開關量、錄波簡報和模擬量等重要性較高且數據量較小的信息在控制區(qū)內傳輸，信息的安全性和實時性得到保障；另一方面，重要性較低且數據量較大的故障錄波信息可放在非控制區(qū)，這樣就消除了對其他實時業(yè)務的影響，最大限度地保證了本系統(tǒng)其他實時業(yè)務的實時性，較好地解決了東莞電網繼電保護信息安全實時性與網絡帶寬資源有限的矛盾。

3 結語

本文闡述了東莞電網繼電保護信息系統(tǒng)接入調度數據網時受通信網絡資源所限的問題，通過細分繼電保護信息業(yè)務數據，采用實時和非實時路由相結合的方法很好地滿足了業(yè)務對安全性和實時性的要求。

［1］李文朝，葉睆，胡鐵斌.繼電保護遠方控制實施方案［J］.廣西電力，2013（2）

［2］劉敏，蘇忠陽，熊文.廣州電網EMS／繼電保護管理信息一體化系統(tǒng)應用分析［J］.電力系統(tǒng)保護與控制，2010（2）

［3］汪鵬，周虎兵.湖北電網繼電保護信息系統(tǒng)建設探討［J］.湖北電力，2011（4）