彭鳳偉，李靜，強(qiáng)冬萍

(湖南省電力公司鳳灘水電廠，湖南沅陵419621)

按照國家電力監(jiān)管委員會關(guān)于《電力二次系統(tǒng)安全防護(hù)規(guī)定》的文件精神，為了防范對電廠調(diào)度自動化系統(tǒng)、監(jiān)控系統(tǒng)、水庫調(diào)度系統(tǒng)等二次系統(tǒng)的攻擊侵害及由此引起的電力系統(tǒng)事故，鳳灘電廠決定按照文件精神要求，建立二次防護(hù)網(wǎng)絡(luò)。以保障鳳灘電廠的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，達(dá)到保護(hù)國家重要基礎(chǔ)設(shè)施的安全目標(biāo)。

1 總述

1.1 現(xiàn)狀

鳳灘水電廠計算機(jī)監(jiān)控系統(tǒng)概況:

鳳灘水電廠計算機(jī)監(jiān)控系統(tǒng)，是采用北京中水科水電科技開發(fā)公司全分布開放式網(wǎng)絡(luò)控制系統(tǒng)—H9000計算機(jī)監(jiān)控系統(tǒng)。

系統(tǒng)分兩層:廠站級控制層以及現(xiàn)地控制單元層。兩層之間采用100MB快速以太網(wǎng)總線，構(gòu)成高可靠的雙網(wǎng)冗余結(jié)構(gòu)。廠站層計算機(jī)設(shè)備布置在中控室和計算機(jī)房，距離較近，條件較好，采用高品質(zhì)屏蔽雙絞線介質(zhì)連接；各現(xiàn)地控制單元(LCU)至網(wǎng)絡(luò)交換機(jī)則通過光纜相連。系統(tǒng)具有較高的傳輸速率和良好的抗電磁干擾能力。

鳳灘水電廠水情調(diào)度系統(tǒng)概況:

水調(diào)自動化系統(tǒng)通過GSM、海事衛(wèi)星、VHF三種通信方式采集各遙測站的雨水情信息，通過省公司廣域網(wǎng)與省調(diào)中心站相連，實(shí)時向省調(diào)中心傳輸中心站數(shù)據(jù)，且備有MODEM撥號與省調(diào)中心站通信。系統(tǒng)對外通過局域網(wǎng)絡(luò)連接EMS系統(tǒng)、MIS系統(tǒng)，接收EMS系統(tǒng)數(shù)據(jù)，向MIS系統(tǒng)發(fā)布信息。并配備了水情Web服務(wù)器及氣象云圖Web服務(wù)器，對外提供Web瀏覽服務(wù)，向擁有不同操作權(quán)限的本地和遠(yuǎn)程用戶提供相應(yīng)水情信息。

監(jiān)控系統(tǒng)與水庫調(diào)度系統(tǒng)通訊采用串口通訊傳輸數(shù)據(jù)方式，將數(shù)據(jù)寫入MIS服務(wù)器，水庫調(diào)度系統(tǒng)再從MIS服務(wù)器讀取需要的數(shù)據(jù)，這種方式不滿足新的二次防護(hù)要求，需要進(jìn)行軟件改造；WEB系統(tǒng)在I區(qū)，根據(jù)二次防護(hù)要求，需移至安全Ⅲ區(qū)，相應(yīng)的數(shù)據(jù)傳輸軟件及維護(hù)軟件需進(jìn)行改造。

1.2 目標(biāo)

根據(jù)國家經(jīng)貿(mào)委、電監(jiān)會、國家電力調(diào)度通信中心、湖南省電力公司等相關(guān)文件要求，結(jié)合鳳灘電廠具體情況建設(shè)二次防護(hù)網(wǎng)絡(luò)，目的是防范對電廠調(diào)度自動化系統(tǒng)、監(jiān)控系統(tǒng)等二次系統(tǒng)的攻擊侵害及由此引起的電力系統(tǒng)事故，以保障鳳灘電廠的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行，保護(hù)國家重要基礎(chǔ)設(shè)施的安全。

(1)光纖網(wǎng)絡(luò)建設(shè)目標(biāo)

圖1為鳳灘電廠二次防護(hù)網(wǎng)絡(luò)光纖網(wǎng)絡(luò)結(jié)構(gòu)圖:

圖1 二次防護(hù)網(wǎng)絡(luò)光纖網(wǎng)絡(luò)結(jié)構(gòu)圖

(2)二次防護(hù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)目標(biāo)見圖2

圖2 二次防護(hù)網(wǎng)構(gòu)改造目標(biāo)拓?fù)鋱D

(3)軟件應(yīng)用目標(biāo)

通過內(nèi)外公用數(shù)據(jù)庫平臺，能夠使水庫調(diào)度系統(tǒng)與監(jiān)控系統(tǒng)實(shí)現(xiàn)相互所需的數(shù)據(jù)傳輸，比如水庫調(diào)度系統(tǒng)能夠讀取監(jiān)控系統(tǒng)的機(jī)組負(fù)荷數(shù)據(jù)等，監(jiān)控系統(tǒng)能夠讀取水庫調(diào)度系統(tǒng)的水位、流量等數(shù)據(jù)。在三區(qū)外公用平臺的數(shù)據(jù)發(fā)布要采用多種途徑發(fā)布數(shù)據(jù)，如WEB發(fā)布、手機(jī)短信發(fā)布、電子顯示屏發(fā)布。

2 系統(tǒng)集成

根據(jù)鳳灘電廠沅陵基地現(xiàn)有的網(wǎng)絡(luò)狀況及具體需求，對其進(jìn)行設(shè)計，所需設(shè)備清單見表1。

光纖線路:啟用原有光纜備用的其他纖芯，同時配置相應(yīng)的光纖跳線，用于與新配光纜連接。從鳳灘機(jī)房到沅陵基地之間由于沒有直接的光纜連接，故采用鳳灘機(jī)房到載波室的光纜和載波室到沅陵基地的光纜在載波室跳接方式連接。

鳳灘電廠機(jī)房:配置一臺CiscoWS-3550-24-SMI交換機(jī)，用于與下屬的開關(guān)站、生技科、沅陵基地的連接；

開關(guān)站:配置一臺CiscoWS-C29500-24交換機(jī)，通過光纖收發(fā)器利用原有光纜與風(fēng)灘電廠機(jī)房的Cisco WS-3550-24-SMI連接為本區(qū)域提供數(shù)據(jù)連接；

生技科:配置一臺CiscoWS-C3550-24交換機(jī)，通過光纖收發(fā)器利用原有光纜與風(fēng)灘電廠機(jī)房的Cisco WS-3550-24-SMI連接為本區(qū)域提供數(shù)據(jù)連接；同時通過光纜與水工和載波室連接；

沅陵基地:配置一臺CiscoWS-3550-24-SMI交換機(jī)，通過交換機(jī)的長距離光纖模塊利用原有光纜在載波室處跳接與風(fēng)灘電廠機(jī)房的CiscoWS-3550-24-SMI連接為本區(qū)域提供數(shù)據(jù)連接；安裝省公司統(tǒng)一配備的隔離裝置，內(nèi)外公用服務(wù)器，防火墻等。

載波室:配置一臺CiscoWS-C3550交換機(jī)，通過光纖收發(fā)器利用原有光纜與生技科的CiscoWS-C3550-24連接為本區(qū)域提供數(shù)據(jù)連接；

水工:配置一臺CiscoWS-C2950交換機(jī)，通過光纖收發(fā)器利用原有光纜與生技科的CiscoWS-C29500-24連接為本區(qū)域提供數(shù)據(jù)連接；

表1 所需的安全防護(hù)產(chǎn)品列表

3 監(jiān)控系統(tǒng)改造

軟件的開發(fā)和改造遵循相關(guān)國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，提供必要的運(yùn)行維護(hù)工具，方便運(yùn)行管理工作，軟件設(shè)計應(yīng)盡量做得擴(kuò)充、擴(kuò)展、簡便。改造和開發(fā)的軟件功能，應(yīng)能獨(dú)立于網(wǎng)絡(luò)安全設(shè)備運(yùn)行(包括正、反向物理隔離裝置)，支持介入所有通過國調(diào)認(rèn)證的第三方隔離裝置。

按照全國電網(wǎng)二次系統(tǒng)安全防護(hù)總體框架的規(guī)定，系統(tǒng)安全防護(hù)體系將網(wǎng)絡(luò)劃分為3個區(qū):安全區(qū)Ⅰ為實(shí)時生產(chǎn)控制區(qū)，安全區(qū)Ⅱ?yàn)闇?zhǔn)實(shí)時生產(chǎn)控制區(qū)，安全區(qū)Ⅲ為管理信息系統(tǒng)區(qū)。監(jiān)控系統(tǒng)相關(guān)的系統(tǒng)分別屬于不同的安全區(qū)。

改造后的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖3。

圖3 二次防護(hù)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D

(1)在安全區(qū)I、II建立內(nèi)網(wǎng)公用數(shù)據(jù)平臺，布署除WEB以外的應(yīng)用服務(wù)。

(2)在安全區(qū)III建立一個外網(wǎng)數(shù)據(jù)庫服務(wù)器(即圖2中的外網(wǎng)公用數(shù)據(jù)平臺，它用于存儲多個應(yīng)用系統(tǒng)的數(shù)據(jù)庫)，建立內(nèi)外網(wǎng)數(shù)據(jù)傳輸功能，將監(jiān)控系統(tǒng)內(nèi)網(wǎng)數(shù)據(jù)庫服務(wù)器上的監(jiān)控數(shù)據(jù)庫實(shí)時地、完整地復(fù)制到外網(wǎng)數(shù)據(jù)庫服務(wù)器的監(jiān)控數(shù)據(jù)庫，外網(wǎng)數(shù)據(jù)庫服務(wù)器上的數(shù)據(jù)庫管理系統(tǒng)采用ORACLE軟件。

(3)將WEB服務(wù)器遷移到安全區(qū)III，修改WEB服務(wù)器的數(shù)據(jù)源為外網(wǎng)數(shù)據(jù)庫服務(wù)器；

(4)建立對應(yīng)系統(tǒng)功能調(diào)整后的運(yùn)行管理的技術(shù)手段；

(5)在內(nèi)網(wǎng)公用數(shù)據(jù)平臺上為水情調(diào)度系統(tǒng)提供數(shù)據(jù)訪問接口；

(6)監(jiān)控系統(tǒng)的水位數(shù)據(jù)改從水情調(diào)度數(shù)據(jù)系統(tǒng)讀??；

(7)提供完成軟件改造和系統(tǒng)集成所需的全部軟件。

4 水庫調(diào)度系統(tǒng)改造

鳳灘水調(diào)自動化系統(tǒng)的設(shè)備將按照《全國電力二次系統(tǒng)安全防護(hù)方案》的要求調(diào)整到兩個不同的網(wǎng)絡(luò)安全分區(qū):安全Ⅱ區(qū)和安全Ⅲ區(qū)，與水調(diào)自動化系統(tǒng)相關(guān)的多個系統(tǒng)分別屬于不同的安全區(qū)，具體劃分參見表2。水調(diào)系統(tǒng)內(nèi)部以及與其它系統(tǒng)數(shù)據(jù)和信息交換需要進(jìn)行必要的改造，以適應(yīng)安全防護(hù)的要求。系統(tǒng)安全改造的網(wǎng)絡(luò)目標(biāo)結(jié)構(gòu)如圖3所示。

湖南省電網(wǎng)水調(diào)自動化系統(tǒng)網(wǎng)絡(luò)布置如下:安全Ⅱ區(qū)將包括數(shù)據(jù)庫服務(wù)器、通信服務(wù)器、監(jiān)視工作站等，安全Ⅲ區(qū)將包括WEB服務(wù)器、鏡像數(shù)據(jù)庫服務(wù)器、衛(wèi)星云圖服務(wù)器等。安全Ⅱ區(qū)和安全Ⅲ區(qū)之間配置通過兩臺安全隔離設(shè)備(正向與反向各一臺)進(jìn)行數(shù)據(jù)通信。反向隔離設(shè)備為將來系統(tǒng)功能擴(kuò)展提供手段。安全Ⅱ區(qū)的數(shù)據(jù)庫信息、設(shè)備運(yùn)行狀況信息通過正向安全隔離裝置發(fā)送到安全Ⅲ區(qū)的WEB服務(wù)器和其他MIS網(wǎng)上的設(shè)備上。

軟件改造應(yīng)采用先進(jìn)的技術(shù)且功能完整、操作方便、運(yùn)行穩(wěn)定可靠，并滿足如下要求:

(1)內(nèi)外網(wǎng)的數(shù)據(jù)傳輸不影響現(xiàn)有應(yīng)用系統(tǒng)各項(xiàng)功能的正常工作。

(2)安全防護(hù)設(shè)備均能達(dá)到各自的技術(shù)指標(biāo)要求，相互之間無不良影響。

(3)對網(wǎng)絡(luò)的正常運(yùn)行及網(wǎng)絡(luò)系統(tǒng)的負(fù)載無不良影響；

(4)內(nèi)外網(wǎng)的設(shè)備運(yùn)行性能、響應(yīng)速度，與改造前的系統(tǒng)相比，降低幅度小于5%，數(shù)據(jù)傳輸和數(shù)據(jù)庫同步處理軟件工作時所占用的系統(tǒng)資源小于5%。

(5)對于正向數(shù)據(jù)傳輸，正向數(shù)據(jù)傳輸每次應(yīng)答數(shù)據(jù)包采用單個字節(jié)，以保證高安全性。

(6)因反向通信要進(jìn)行簽名驗(yàn)證、內(nèi)容過濾、有效性檢查等處理，反向數(shù)據(jù)傳輸應(yīng)給以適當(dāng)處理，以兼顧高安全性和較好的性能。

5 其它應(yīng)用研究

(1)監(jiān)控系統(tǒng)與水庫調(diào)度系統(tǒng)相互通訊

系統(tǒng)相互通訊主要是在安全I(xiàn)區(qū)、安全I(xiàn)I區(qū)完成。水調(diào)數(shù)據(jù)分別按照遙測和遙信量直接寫入H9000歷史數(shù)據(jù)庫中，監(jiān)控系統(tǒng)從歷史數(shù)據(jù)庫取數(shù)寫入監(jiān)控系統(tǒng)。

(2)WEB平臺發(fā)布數(shù)據(jù)

監(jiān)控系統(tǒng)數(shù)據(jù)的WEB發(fā)布是利用ASP編程技術(shù)，開發(fā)B/S模式的查詢系統(tǒng)。能夠通過鳳電信息港查詢到監(jiān)控系統(tǒng)主設(shè)備運(yùn)行的全部參數(shù)。參數(shù)主要包括:實(shí)時數(shù)據(jù)、1min統(tǒng)計、5min統(tǒng)計、15min統(tǒng)計、整點(diǎn)統(tǒng)計、日統(tǒng)計、月統(tǒng)計等參數(shù)。

(3)電子顯示屏發(fā)布數(shù)據(jù)

在電子顯示屏服務(wù)器端設(shè)立ODBC數(shù)據(jù)源，利用SQL編程技術(shù)將外網(wǎng)公用數(shù)據(jù)平臺上的主設(shè)備實(shí)時參數(shù)顯示在電子顯示屏上。主要選擇的參數(shù)有數(shù)據(jù)采樣時間、機(jī)組的有功功率、上下游水位等。

(4)手機(jī)短信發(fā)布數(shù)據(jù)

將外網(wǎng)公用數(shù)據(jù)平臺的監(jiān)控系統(tǒng)實(shí)時數(shù)據(jù)通過鳳灘電廠短信平臺發(fā)布到指定的人員手機(jī)上。

6 結(jié)束語

通過建立二次系統(tǒng)安全防護(hù)網(wǎng)絡(luò)，不但實(shí)現(xiàn)了對二次網(wǎng)絡(luò)設(shè)備的安全保護(hù)，而且使得監(jiān)控系統(tǒng)與水情調(diào)度系統(tǒng)之間的數(shù)據(jù)傳輸變動更加穩(wěn)定可靠了。為鳳灘電廠科學(xué)調(diào)度提供了可靠的技術(shù)保證。建立在安全三區(qū)的WEB服務(wù)器平臺能實(shí)時的通過多種途徑發(fā)布監(jiān)控系統(tǒng)數(shù)據(jù)、水庫調(diào)度數(shù)據(jù)，為管理者實(shí)時作出科學(xué)決策提供了可靠的一手資料。

[1]2002年中華人民共和國國家經(jīng)濟(jì)貿(mào)易委員會第30號令《電網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)定》[Z].

[2]2004年國家電力監(jiān)管委員會令(第5號)《電力二次系統(tǒng)安全防護(hù)規(guī)定》[Z].

[3]國家電力調(diào)度通信中心《全國電力二次系統(tǒng)安全防護(hù)總體方案》(國調(diào)第8稿)[Z].

[4]華中網(wǎng)調(diào)《華中電網(wǎng)二次系統(tǒng)安全防護(hù)暨電力調(diào)度數(shù)據(jù)專網(wǎng)專題工作會議紀(jì)要》[Z].

[5]《關(guān)于加強(qiáng)湖南地區(qū)電網(wǎng)二次系統(tǒng)安全防護(hù)工作的通知》(湘電公司調(diào)[2003]842號)[Z].

[6]《關(guān)于開展電力二次系統(tǒng)安全防護(hù)工作的通知》(湘電調(diào)生[2005]62號)(向各統(tǒng)調(diào)電廠發(fā)文)[Z].