摘 要:基于电力调度数据网架构,从设备配置、网络拓扑、传输网络传送技术、数据网关键技术及安全策略等方面对电力调度数据网进行了阐述。
电力调度数据网(以下简称“调度网”)是建设在电力SDH通信传输网络平台上的调度生产专用数据网,是实现调度实时和非实时业务数据传输的基础平台,也是实现电力生产、电力调度、实时监控、数据管理智能化及电网调度自动化的有效途径,为发电、送电、变电、配电联合运转提供安全、经济、稳定、可靠的网络通道,满足承载业务安全性、实时性和可靠性的要求。承载的电力业务包括SCADA/EMS调度自动化系统、远动、电量采集、继电保护、故障录波、动态预警监测、安全自动装置等信息。调度数据网的可靠性总体需满足网络拓扑的可靠性、设备本身的可靠性、低网络延迟、低全网路由收敛时间、网管稳定性和可靠性等要求;调度数据网的安全性总体需满足安全隔离、设备安全、安全控制和安全监测、安全管理等要求。
一 .调度数据网网络结构
1. 电力调度数据网功能上可分两类,一部分是骨干网络,另一部分是各级接入网络。电力调度网骨干网络由第一平面和第二平面组成,又称为骨干网 A 平面和骨干网 B 平面,两个平面的拓扑和节点设置一致,互为主备。电力调度网络骨干网分为四级,第一级为国调、第二级为区调度、第三级省调,第四级地调。骨干网的主要功能是将各级电网调度中心与各级电力调度接入网进行互联。接入网又分为四区(一区,为实时区,是控制生产区;二区,为非实时区,是非控制生产区;三区、四区,为管理信息大区)各级接入网的主要功能是接入和汇聚各级变电站和直调电厂,归属不同调度中心的变电站和直调电厂由不同的电力调度接入网进行接入。一个变电站一般接入到两张接入网中,实现上行链路的冗余备份。
2. 中调和地调均配置了主、备路由器,设备均采用双备份、双电源机制,在路由器和交换机之间增加了纵向加密装置,在变电站和用户变测配置了一个路由器,经传输通道使主、备路由传输接入到汇聚层的地调路由器中。在路由器后接入不同业务区的交换机,以接入不同的业务主站或子站信息。
3 .数据网的传输主要是通过电力传输通信网实现的,目前主要是通过MSTP传输,采用成熟的SDH通信保护机制。SNCP保护、MSP保护有效地保证了网络中线路或者设备故障后业务迂回传送。目前,使用的为2 M通道或以太网Over SDH通道方式传输。在现网中,基于网络现状,很多地方将这2种方式作为数据网的传输方式。
二. 2 M通道
1. 通常,接入层(变电站、用户变电站)和汇聚层(地调)之间的通道采用2 M通道或2个2 M捆绑通道,变电站的路由器通过2 M口接入SDH传输网中,通过SDH网络传输汇聚到地调SDH设备的STM-1光口。通过此光口与地调路由器的STM-1 CPOS口相连,实现网络传输。而汇聚层与核心层的通道通过STM-4的CPOS口与SDH接口相连,将地调数据网数据传
2. 输到中调。此种方式在SDH传输网中采用传统的SDH业务,采用2 M VC12 VC3颗粒STM-1、STM-4接口传输,实时性和可靠性得到了保障。此种方式的优点是在汇聚节点SDH中无需大量的SDH板卡,只需一些多速率的STM-1/4板卡。在SDH中,一块多速率板卡可以支持多个STM-1/4光口,节省设备。
3. IP-Over SDH技术
接入层(变电站、用户变电站)和汇聚层(地调)之间的通道采用以太网传输,变电站的路由器通过10 M/100 M以太口接入SDH传输网中。按照需求定义,通道速率一般为2 M或10 M,通过SDH网络传输汇聚到地调SDH设备的以太网卡。通过此网卡的100 M/1 000 M网口与地调路由器的网口相连,实现网络传输。运用EVPLAN方式和QinQ技术,只需在每个子站通道汇聚层的SDH的IP板卡中将一类VPN的通道定义一个VLAN,通过运用QinQ技术将信号还原到汇聚路由器中,保证从传输网传送来的VLAN不发生变化,从而简化路由器配置。此种方式的优点是能实现较大颗粒数据的传输;其缺点是在SDH设备中,由于以太网板的汇聚比有限,而电网的网络规模较大,一般地调四级网中有主网和配网,再加上用户站站点,因此数量很多。通常,板卡汇聚比为30~60,需要配置较多以太网板卡,经常会出现节点中板卡资源不足,中心站点存在扩容压力的情况。
三. 调度数据网关键网络技术
在调度数据网中,趋于成熟的IP技术主要使用OSPF、BGP、MPLS VPN等。
1. OSPF
OSPF(Open Shortest Path First,开放最短路径优先协议),是一种链路状态路由协议,由网络状态改变触发更新,快速收敛用SPF算法计算到目标的最短路径。基于链路状态的内部网关协议算出到达每一网络的最短路径,并在检测链路变化时(比如链路失效)执行该算法,快速收敛到新的无环路拓扑。在每个区域,路由变化只在本区域内完成,简化了路由计算,并且路由器只在边界向域外发送路由改变信息,不影响其他分区。
本案例将网络分为3个OSPF域,具体划分如下:
1)Area 0:中调、A地调路由器的上联接口及互连接口,B地调路由器的上联接口及互连接口;
2)Area 1:A地调与接入变电站路由器、用户变电站的互连接口和变电站Loopback接口;
3)Area 2:B地调与接入变电站路由器、用户变电站的互连接口和变电站Loopback接口。
2. BGP
1)BGP是一种外部网关协议,控制路由的传播和选择最佳路由。路由更新时,BGP只发送更新的路由信息,大大减少了传播路由所占用的带宽,适用于在Internet上传播大量的路由信息。BGP通过携带AS路径信息,彻底解决路由环路问题。
2)本系统采用两级路由反射器设置,核心层路由器(中调主、备路由器)与汇聚层(地调A,B主、备的4台路由器)构成一个Cluster。其中,中调和银川路由反射器(RR)、反射客户机为其余所有与核心路由器直接相连的汇聚层和接入层路由器,作为第一级路由反射器。一方面,这些汇聚层节点路由器作为一级RR的Client;另一方面,又作为接入层设备的RR。每一个地调的汇聚层路由器作为二级RR与变电站及用户变电站接入层路由器(作为Client)构成一个Cluster各地调骨干路由器,作为二级路由器的路由反射器。
3. MPLS VPN(MPLS 虚拟网)
对于传输层面的隔离,为保证不同业务之间的有效隔离和不同业务的服务质量,在调度骨干网中采用MPLS VPN技术,使不同业务系统运行于不同的虚拟专用网中,有效隔离不同的业务,保证业务的安全、可靠运行。不同的QOS可保证传输的质量。MPLS VPN依靠转发包和数据包的标记来创建一个安全的VPN;从设备、线路到路由,提供全程冗余保护,网络可靠性高;通过VPN对安全等级不同的业务进行有效隔离,不同的VPN用户之间无法获知对方的路由信息。一般情况下,调度数据网中的VRF,即VPN实例定义为实时VPN和非实时VPN。根据电力系统的管理规则,VPN的访问规则有以下几点:①在同一VPN内,中调节点可访地调节点、变电站和用户站节点;②在同一VPN内,地调节点与下联的接入层变电站及用户站节点可以相互访问;③在同一VPN内,原则上地调与地调之间不可以相互访问,厂站与厂站之间不可以相互访问;④在同一个VPN中,相同汇聚层下的接入层变电站和用户变电站之间不能相互访问;⑤在不同的VPN中,所有的节点之间均不可以互相访问。
四. 网络安全性
电力系统安全防护重点在于控制系统,安全防护的目的是抵御病毒、黑客,以及通过各种形式发起的恶意破坏和攻击,尤其是集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引发电力系统事故。对于系统安全防护而言,不同业务系统之间必须实现有效的隔离,生产实时控制业务与非生产控制业务隔离,重要业务系统之间按照需要隔离。电力调度数据网设备必须实行有效的安全分区,进行有效的安全防护和治理。网络遵循“横向隔离、纵向认证”原则。
1. 横向隔离
采用不同强度的安全隔离设备,使各安全区中的业务系统得到有效的保护,并将实时监控系统与办公自动化系统等进行有效的安全隔离,隔离强度应接近或达到物理隔离。
2. 纵向认证
纵向加密设备在网络中的汇聚层、接入层中处于路由器和交换机之间,实现业务的认证、加密、解密及控制功能,实现数据的远方安全传输和纵向边界的安全防护。电力专用纵向加密认证装置是电力二次安全防护体系中的关键设备之一,一般配置路由器,与交换机之间通过相应的技术实现。该装置为电力通信提供安全、可靠的服务,采用电力调度数字证书的身份认证机制,利用安全加密的技术手段在网络上建立虚拟专用通道,保证实时数据在安全区域内的纵向可靠传输。
参考文献
[1]谭贤柱,张众发.电力调度数据网建设研究[J].电力系统通信,2012,33(11).
[2]曾瑛,刘强,李彬,等.复杂大电网下电力调度数据网组网模式研究[J].电力系统通信,2013,34(2).
[3]叶飞,金鑫,朴林,等.基于电力调度数据网双平面的主站控制多机多链路采集方案[J].电力系统自动化, 2015(8).
〔编辑:刘晓芳 ,陈浩晖〕如有侵权请联系删除。
留言列表