隨著現代工業的快速發展，全球能源危機和環境污染問題日趨嚴峻。近幾年光伏及風能等清潔能源發電廠憑借其污染少、技術成熟、建設快、占地面積小、能源可再生等特點在國內得到快速發展。但由于新能源具有間歇性的特點，例如光伏電廠的輸出功率隨光照強度變化而波動，如不掌握它的實時發電信息，其并網后功率波動帶來的電網頻率偏移及頻率穩定問題必將對電網調度運行、負荷預測、發用電平衡產生重大影響，因此實現對并網新能源電廠的運行數據監測迫在眉睫。

本文設計并實施一種基于運營商無線網絡的新能源電廠安全接入平臺建設方案，為電力監控系統中新能源電廠的信息接入提供一種行之有效的安全接入新模式。

1 新能源電廠信息接入現狀

當前，電力監控系統中新能源電廠的信息采集工作仍然存在許多問題，制約著新能源電廠的安全并網：

1）光伏及風能等新能源發電廠存在投資規模小、上網電量低、數量多、分布范圍廣、通信基礎薄弱、鋪設電力通信光纜成本高等問題，需要大量的人力與物力來實現對電廠運行數據的遠程監測和運行維護。

2）隨著信息網絡技術與電力系統不斷融合，網絡安全已成為能源電力安全的重要組成部分。然而多數新能源電廠存在安全防護體系不健全，電廠與電力監控系統的信息安防策略有差異等情況，直接采集電廠信息會破壞電力監控系統安全防護體系，嚴重威脅電網的安全運行。

2 安全接入平臺設計與實現

2.1 設計目標及原則

本文嚴格遵照《電力監控系統安全防護總體規定》及系列配套方案的要求，綜合考慮技術、經濟、安全、可行性，提出一種基于運營商無線網絡的電力監控系統安全接入平臺建設方案，主要目標是解決基于運營商無線網絡的新能源電廠信息接入安全問題，全面提高電力監控系統安全防護體系接入能力和訪問控制能力，實踐適用新能源電廠信息接入的電力監控系統安全防護新模式。

平臺采用獨立建設的原則，以“安全分區、網絡專用、橫向隔離、縱向認證”為指導方針，結合國家信息安全等級保護的基本規定，最小限度的對電力調度現有業務系統進行改造。不與電力監控系統共用現有軟硬件設備，以網關的形式實現透明的數據擺渡，將新能源電廠并網對電力監控系統影響降到最低，保障電網安全穩定運行。

2.2 平臺架構

安全接入平臺整體架構可分為調度主站端安全接入區、運營商無線網絡傳輸通道及電廠端安全接入區三部分。調度主站端安全接入區負責數據加密認證、采集傳輸、安全接入區各邊界防護及平臺內部的安全監視功能；運營商無線網絡作為通信載體負責數據的遠程傳輸；電廠端安全接入區實現電廠數據采集傳輸和加密。具體架構如圖1所示。

2.3 工作原理

1）調度主站端安全接入區

調度主站端安全接入區為電力監控系統生產控制大區和管理信息大區配置獨立的兩路通道。生產控制區通道主要負責新能源電廠實時業務信息采集；管理信息大區通道負責氣象、環保及電廠非實時業務等信息采集。

調度主站端安全接入區部署數據采集服務器、邊界網關機、電力專用橫向單向隔離裝置，縱向加密認證裝置，日志審計系統及入侵監測系統等設備。功能如下：

（1）數據采集服務器作為前置機，對安全接入區內部網絡執行統一的與電力專用橫向單向隔離裝置適配的通信規約機制，對外部執行不同業務的采集規約機制。

圖1 安全接入平臺整體架構圖

（2）電力專用橫向單向隔離裝置提供安全接入區和電力監控系統生產控制大區、管理信息大區的數據交互防護功能。

（3）數據傳輸邊界網關機部署在電力專用橫向單向隔離裝置兩側，對數據進行文本格式和網絡數據流格式之間的轉換。

（4）縱向加密認證裝置部署于安全接入區縱向外聯通道的邊界，實現通道業務的加密與認證，其外部接入網的縱向加密認證裝置統一使用調度數字證書。

（5）入侵防御系統對無線公網接入數據進行方向性檢測及數據行為分析，及時阻斷來自外網的惡意攻擊行為。

（6）日志審計系統實現對安全接入區內所有服務器、交換機、網絡安全設備的日志，進行分類、保存、查詢、分析并告警。

2）通信載體

電廠至電力監控系統的傳輸通道選擇運營商無線APN專網通道（3G/4G），無線網絡鏈路和終端接入通道均由運營商提供并負責運維，電力信息通信公司負責租用。新能源電廠大多位置偏僻，采用運營商無線網絡作為數據傳輸載體，具有通道建設成本低、安裝靈活、運行維護簡單、數據傳輸可靠等優點，可大幅降低新能源電廠信息接入成本，提高信息傳輸通道靈活性和穩定性。

3）電廠端安全接入區

依據《電力監控系統安全防護規定》及系列配套安全防護方案的規定，為簡化電廠安全接入區網絡架構，降低電廠安全接入平臺建設及維護成本，電廠側的安全接入區不再進行安全分區部署。

廠站側依次部署無線加密終端、前置網關機、正向隔離裝置和電廠監控系統邊界網關機。具體架構如圖2所示。

圖2 電廠端安全接入區架構

電廠監控系統邊界網關機負責匯總需要采集的數據信息，采用E語言文件形式，包含遙信、遙測數據和電量信息，遙控等控制類數據不通過此通道傳輸。電廠監控系統邊界網關機上部署安全傳輸軟件（客戶端），安全傳輸軟件（客戶端）負責將文件傳輸到電廠安全接入區的前置網關機。

正向隔離裝置采用電力專用網絡安全隔離裝置，負責將電廠監控系統和安全接入區隔離開，并提供文件安全傳輸的通道，即電廠單向上點傳遞點表信息給電力監控系統。前置網關機采用安全傳輸軟件（服務端）接收邊界網關機發送的點表信息，并將這些信息以E語言文件形式上傳至調度主站端安全接入區。

無線加密終端是一款集成了無線模塊的縱向加密認證裝置，其具備數據安全加密認證、路由轉發等功能。終端內置一張運營商電力專用VPN的SIM卡，裝置WLAN口綁定固定IP地址，自動撥號接入運營商的電力無線VPN。加密終端采用電力專用密碼芯片，支持SM2算法。

4）網絡技術體制

安全接入平臺網絡采用MPLS L3VPN網絡技術體制，采用ISIS協議作為Global IGP協議。采用BGP協議通告各VPN間的路由保證VPN間互通、隔離。采用MPLS轉發機制進行業務流量轉發[10]。

3 應用

安全接入平臺已在溫州電力調控中心得到實際應用，溫州華潤光伏電廠已成功通過安全接入平臺接入電力監控系統，實現遙信、遙測信息的采集。根據電力監控系統主站端接收文件測試結果得知，電廠使用的無線加密終端密文吞吐量與網絡延時依賴于運營商網絡情況，吞吐量約為150～200kB/s左右，網絡延時小于800ms，均達到數據傳輸要求。

3.1 業務及終端接入流程

為確保業務及終端接入的可信性，保障安全接入平臺安全穩定運行，對調度主站系統業務及電廠側無線終端接入采取嚴格的審核管理措施，制定了業務接入申請流程和終端接入申請流程。

1）業務接入申請流程

調度某業務系統需要通過安全接入區采集電廠數據，由業務系統負責人發起新業務系統注冊申請，分別經市公司信息部門、省公司業務部門及省公司信息部門審批通過，然后在調度各專業進行注冊并做好安全策略配置后可取得業務名稱與業務ID。流程如圖3所示。

圖3 業務接入申請流程

2）終端接入申請流程

當某電廠申請接入安全接入平臺，由電廠無線終端使用責任人發起安全接入申請，分別經市公司業務部門、信息部門及省公司信息部門進行審批通過后，進行SIM/UIM卡及安全產品采購，終端軟件需要交付國家權威安全部門經安全監測通過，并做好相關安全策略配置。且無線終端只能申請訪問已經在安全接入平臺上注冊過的業務系統。流程如圖4所示。

圖4 終端接入申請流程

3.2 經濟效益

以華潤光伏電廠為例，從通道建設、運維兩方面進行統計。

1）通道建設

采用基于運營商APN網絡的安全接入平臺建設方案，主站端和廠站端硬件采集成本僅為52萬元，見表1。考慮廠站側的無線加密終端GPRS的流量開銷約為150M/月，依據當前三大運營商的平均專網資費40元/G/月計算，主站與廠站之間的通信信道租金僅為480元/年。

然而傳統的模擬專線采集方案，通道建設涉及調制解調器、音頻配線架（VDF）、主站側光電一體化設備、廠站端光電一體化設備、電力通信光纜建設等成本，總價高達270余萬元。

表1 安全接入平臺建設成本統計

2）運維成本

傳統的模擬專線采集方式，每年電力光纜的維護費用花銷不菲。但是基于運營商APN網絡的安全接入平臺建設方案，在租用運營商通道網絡節省了大筆通道維護費的同時，廠站端網絡、安防設備的配置及維護可通過調度主站端縱向加密裝置管理中心統一運維，明顯降低電廠建設成本及技術人員配置要求。

結論

電力監控系統安全防護保障工作是極其復雜的系統工程，電網及發電企業的電力監控系統通過網絡組成一個龐大而復雜的整體，安全接入平臺的成功應用有效解決了基于無線網絡的電廠信息接入安全問題，顯著提升電力監控系統網絡安全事件處置能力。同時也為調度部門科學安排電廠運行方式提供有力數據支撐，有效控制電網生產運營風險。

該平臺若能在新能源等非統調并網電廠全面推廣應用，則將極速推進新能源并網消納，從建設、運維成本等方面為發電企業與電網公司創造巨大的經濟效益。