光伏電站二次安全防護的應用探究

于 波，彭偉義，王 超，師敏杰

（1.國家能源集團德令哈光伏發電有限公司，青海海西 817000；2.國家能源集團海西光伏發電有限公司，青海海西 817000）

0 引言

過去發電行業的主力是火電，但是面對傳統能源短缺和用電需求增加的趨勢，以及生態文明建設的要求，傳統的火電發電模式正在實現轉型升級，而新型發電模式如光伏發電也在逐漸普及。相對而言，光伏發電過程產生的污染較小、生態效益較高，可以緩解社會上面對的能源壓力，所以相關產業項目出現快速發展。同時，隨著信息時代的深入發展，信息技術在電網中的應用更加廣泛，對于電網系統的完善也起到很大作用。其中，監控系統是對電站進行防護的系統，是保障光伏電站運維安全的關鍵系統，很容易被攻擊破壞而帶來嚴重影響。

1 光伏電站監控系統的結構

針對光伏電站進行的監控，是利用數據線將光伏電站內部的逆變器、匯流箱、輻照儀、氣象儀、電表等設備連接起來，然后利用數據采集器針對上述設備進行數據采集，并借助GPRS、Wi-Fi 等方式上傳到網絡服務器或本地計算機，這樣電站運維人員就可以借助監控系統對電站的運行情況進行監控，同時也方便管理人員和用戶查看和管理運行數據。通常情況下光伏電站的監控系統主要由安全審計、防護體系、安全監測等分系統組成，也包括逆變器運行監控系統、電量采集通信系統、天氣預報系統等多個分系統。

2 電網計算機監控系統二次安全防護要點

2.1 安全分區

為發揮安全防護作用，光伏電站建立的監控系統首先要進行安全分區，實際上就是按照系統制定的安全防護策略來進行具體劃分。整體上系統分為I、II、III 和IV 四個安全分區：前兩個分區屬于生產控制大區，后兩個分區屬于信息管理大區。其中，逆變器監控主機屬于安全I 區，功率預測主機屬于安全II 區，AGC/AVC 屬于安全I 區，五防系統屬于安全I 區，電能量采集裝置屬于安全II 區，天氣預報系統屬于信息管理大區（III 區和IV 區）。根據上述的安全分區情況，可以有效避免病毒、木馬、惡意代碼等通過分系統侵入監控系統，進而影響光伏電站的正常運行。

2.2 網絡安全防護措施

做好安全分區工作之后，就要采取相應的防護措施，以保障系統核電站運行的安全性。本文中的防護措施是按照不同的系統構造來區別的。

（1）網絡路由防護。網絡路由防護是為了保證路由器上網的穩定性，進而保證數據傳輸的可靠性。本文中是利用特殊的技術分割調度數據網絡，將之分成實時/非實時數據網絡，前者涉及到逆變器運行控制相關數據，后者涉及到電量采集等數據，在邏輯上兩者是相互獨立的。

（2）網絡邊界防護。網絡邊界防護主要是為了避免惡意代碼、病毒等入侵系統，保證只有經過授權的節點才能進入系統。本文利用的是接入控制方法，針對調度數據網進行防護。同時，子系統網絡和業務系統邊界都可以提供網絡屏障，通行方式則是選擇認證和加密方式來保證運行的隱私性和安全性。

（3）安全區間距劃分。因為系統中設定了四大安全區，對分區之間的防護也需要關注。I+II 以及III+IV 之間借助網絡實現連接，安裝有專門的單向安全隔離裝置。例如，光功率預測系統在II區，與天氣預報系統進行信息交換采用之間設置了反向安全隔離裝置，而后者與公共數據網之間使用防火墻進行連接。運行監控系統在I 區、II 區之間的數據交換借助防火墻實施防護，這樣I 區的數據可以發送到II 區，但II 區的數據不可以發送到I 區。

（4）傳輸安全防護。各個分系統之間進行遠程通信，使用的是認證、加密、訪問限制等技術，控制訪問權限來保證安全性。光伏電站內有安裝的加密裝置，在調度端有配合的解密裝置，這樣在信息傳輸時可以進行雙向的認證、加密和訪問限制，進一步提升系統運行的安全性。

（5）安防設備的監控。在變電站和涉網區域設置網絡安全檢測裝置，監測所有的主機設備、安全設備、網絡設備，保證設備的安全操作，同時將監測出的預警事件上傳到調控機構的網絡安全監管平臺，作為警示。

3 光伏電站二次安全防護的內容

3.1 防病毒及惡意代碼系統部署

網絡系統經常會受到的破壞就是病毒和惡意代碼的入侵，因此需要采取一定的防護措施。按照上述列舉的光伏電站監控系統的配置情況，在I+II 區內的非實時數據中，以旁路方式配備防惡意代碼系統，既不用改變網絡結構也不會影響數據傳輸。在電站分中心的接入交換機可支持的所有服務器及工作站中，統一安裝防病毒系統，對于其中比較特殊而無法安裝的系統如工控系統、某些服務器系統等，則通過“旁路數據監測”模式進行惡意代碼和病毒的監測和處理。

該系統支持以下功能：①支持對當前已知病毒的識別檢測，對于未知病毒進行隔離，提出預警；②進行病毒、惡意代碼的實時監測，監測范圍包括整個監控系統覆蓋的范圍，可以在第一時間發現惡意代碼的侵入，并進行查殺和報警；③在系統運轉的同時，隨時自動掃描，查看是否出現漏洞，有漏洞的則可以自動下載補丁更新或提醒操作人員手動更新；④支持網絡自動升級，并且各個子站與主站之間支持實時通信，實時更新病毒庫，保證所有站點具備一致的病毒防御功能。

3.2 安全審計系統部署

按照法律規定要求，監控系統要有安全審計功能，支持對運行人員的所有操作的記錄、分析和標準對比，發現存在的違規行為，并進行報警，提醒管理人員修正。這個系統的安裝采取的接入方式是旁路單臂部署，這樣不會改變網絡結構和運維人員的操作習慣。另外，如果將該系統安裝在I+II 區內，則可以通過總的接入交換機，實時獲取區內所有設備的日志信息。

3.3 入侵檢測系統部署

因為光伏電站的業務范圍比較廣闊，需要的電力較多，對傳輸保持穩定的要求更高，以供應群眾的需要。基于此，在II 區安裝入侵檢測裝置，將之與各區的接入層交換機直接連線，這樣所有通過該設備的數據就會被這個子系統進行流量數據分析，支持檢測可疑的入侵行為。該系統的使用需要實時更新擁有的病毒庫，一般是定期登陸網站進行下載，然后自動安裝更新，實現病毒庫的升級。

3.4 網絡安全監測裝置部署

由于互聯網本身存在較大的網絡信息安全風險，為了避免這個問題的出現，需要在系統運行中安裝網絡安全監測裝置，用來監控網絡的安全接入，在本文中指的是涉網區域的服務器、工作站、各種網絡設備等。在I、II 區內各自安裝網絡安全監測裝置，任何進入設備和系統的安全數據及網絡安全事件信息都會直接轉發到調控機構進行處理。

4 光伏電站二次安全防護的效果分析

通過部署上述講述的四大系統，大大增加了光伏電站抵御外部網絡攻擊的能力。

（1）防惡意代碼系統的設置，可以在上述所說的系統內部制定統一的防護策略，實現對所有病毒、惡意代碼攻擊行為的監測、識別和處理，然后將結果發送到主站。這樣就支持調度主站對各個子系統的安全實時監控，并能第一時間反應過來，采取有效措施，避免出現更多的惡意攻擊，這樣就能實現對電站網絡安全情況的知曉、控制和管理。

（2）在生產控制大區部署的網絡安全審計系統和入侵檢測系統：①可以支持對該大區的所有數據的監測和識別，同時支持對日志信息的實時收集和分析，以便于及時發現系統中的漏洞；②借助網絡安全審計平臺，可以自動、實時的對系統進行安全等級評估，形成對應的評估報告。

（3）除了利用計算機監控系統支撐光伏電站的二次安全防護，光伏電站還需要配合制度建設和執行來強化安全防護工作：①密切關注政府和國家出臺的光伏項目建設規章制度，以此為依據規范安全防護行為，避免出現不合規行為；②針對相關光伏發電技術的規定進行細化和明確，統一技術要求與標準，要求相關用戶嚴格按照標準要求進行實施、實行統一的標準，避免出現同一地區發電并網標準不一致的問題；③科學應對配電網運維管理工作，制定科學的工作制度，建立長效機制，借助云計算、人工智能等技術加快推進智能電網建設，以大電網為依托，支撐光伏發電二次安全防護工作；④合理配置光伏發電服務涉及部門與人員，加強對于光伏發電的了解，提升業務能力水平，積極應對光伏發電業務增長帶來的人才和工作需求；⑤關注對從業人員崗位能力的提升與培養，尤其是對于在當地的宣傳推廣方面，為有意向的用戶提供技術支持，使用戶理解這個項目的現實意義、認可項目開展，并指導用戶科學使用和建設該項目。

5 結束語

面對傳統能源緊缺以及生態文明建設的形勢，發展光伏發電具有良好的前景，并具備豐富的光能資源優勢。但對于光伏電站的運維管理，還需要做好安全防護工作。本文介紹了二次安全防護系統在光伏電站中應用時的安全防護策略及安全防護內容，然后按照設計方案對某個光伏電站二次安全防護系統進行了改造，匯總和分析實際使用結果，結果表明二次安全防護系統的性能達到了設計要求。