调度自动化无线信关平台
建设方案
一、项目背景
随着电力系统对城网、农网改造的逐步完善,一些重要电力用户及边远变电站的各种自动化信息(远动、电量等) 也同时需要实时监测,但由于这类变电站所处地理位置偏远分散,光纤通讯、有线电缆、电力载波等通讯组网方式无论在技术上,还是资金投入产出比上都不太可行,因此利用GPRS/CDMA网络进行无线数据传输成为电力系统选择的重要通信手段之一。
目前各通讯运营商均提供成熟稳定的GPRS/CDMA无线数据通信业务,通信网络覆盖范围大,区域广。并且无线通讯的稳定性、安全性、实时性、开放性都成熟稳定,其扩展能力和经济性比传统通讯方式更具优势。通过GPRS/CDMA无线数据通信业务可方便的实现远程终端与电力调度中心无线通讯。将重要电力用户及边远变电站的各种自动化信息(远动、电量等) 数据传输到调度中心。
利用无线网络建设变电站自动化数据、电量数据接收平台。可以保证自动化信息的接入,减少建设的投资费用,实现规范化管理;可以解决原有地方电厂自动化数据无传输通道的问题;可以解决公司所属原农网变电站自动化信息传输问题,加快无人值守建设步伐;可以将调度管理程序在用户侧应用,规范用户管理。
根据《全国电网二次系统安全防护总体方案》的要求,EMS 系统属于安全区Ⅰ,电量采集系统属于安全区Ⅱ,调度自动化无线信关平台属于安全区Ⅲ,安全区Ⅲ必须通过安全隔离网闸(反向)向安全区Ⅰ/Ⅱ单向数据传递。结合电力调度自动化系统的具体情况,调度中心的原有系统已稳定运行,软件不宜重新改写。因此通过无线方式接入至调度中心建议采用增加中间件的方案实现,即增加中间件(信关系统),将无线网络接收到的数据通过安全隔离网闸(反向)接入Ⅰ区EMS 系统和Ⅱ区电量系统。 调度自动化无线信关平台应该在符合《全国电网二次系统安全防护总体方案》的要求下,数据接口清晰,安全分区明确,网络专用、横向隔离、结构合理,保障电网的安全、稳定、经济运行,保护国家重要基础设施的安全。
二、方案介绍
调度自动化无线信关平台由调度中心主站信关系统和厂站数据通信装置(通信管理机)两部分组成。调度中心主站信关系统主要由无线信关子系统、数据转发子系统、反向隔离网闸组成。调度中心主站信关系统和厂站数据通信装置通过运营商提供的无线(GPRS/CDMA)网络进行数据交互。
系统结构图:
GPRS/CDMA
基站 基站
……
通信管理机采集电厂、变电站自动化信息和电量信息,并对采集数据进行安全加密,通过装置内的无线通信模块接入无线(GPRS/CDMA)网络。主站无线信关子系统通过运营商接入路由器接收厂站数据,并将实时数据信息转换为符合电力规范的E 文件,通过反向物理隔离装置传送给数据转发子系统,数据转发子系统分为远动转发子系统和电量转发子系统,将E 文件转换为电力标准协议(IEC104、IEC102、部颁CDT 等),分别同EMS 系统前置机和电量服务器进行通
讯。
本调度自动化无线信关平台方案完全符合《全国电网二次系统安全防护总体方案》的要求。硬件平台基于国产服务器,软件平台基于Linux 开源操作系统,数据从安全区Ⅲ通过安全隔离网闸(反向)向安全区Ⅰ/Ⅱ单向数据传递。上层应用软件系统不用任何修改,同时对现在电力行业大量存在的各种监测设备也不需要更换和进行硬件电路更改,数据接口清晰,安全分区明确,结构合理,保障电网的安全、稳定、经济运行。
转发服务器可以使上层应用软件系统不用任何修改,如果用户具备对EMS 前置机和电量主站接收程序进行修改的能力,则可以省略转发服务器的部署。
三、系统功能与特点
1) 调度中心主站信关系统
调度中心主站信关系统主要由无线信关子系统、数据转发子系统、反向隔离、防火墙、运营商接入路由器组成。其中无线信关子系统、数据转发子系统是核心部分,根据《全国电网二次系统安全防护总体方案》的要求,结合电力调度自动化系统的具体情况,本系统硬件平台采用国产服务器设备,操作系统平台采用
Linux 系统,开发语言采用系统级的C 语言。在通讯安全方便,系统采用TCP/IP网络通讯技术与IPSEC 安全隧道技术相结合的方法,将网络隔离、身份认证、传输加密及权限控制等先进的技术有机结合,既满足使用公网通信加密的要求,又可实现系统主站在安全区Ⅰ的网络隔离要求,提高远动系统的安全防护强度,满足电网安全运行的要求。
无线信关子系统位于安全区Ⅲ,实现了对变电站数据采集、转换、转发、监视等功能,通过安全隔离网闸(反向)向安全区Ⅰ/Ⅱ单向数据传递,数据转发子系统位于安全区Ⅰ,接收经安全隔离网闸处理后的数据,实现了数据转换、转发、监视等功能。系统性能要求如下:
系统支持最大512个厂站接入,规约库完整,支持CDT 、IEC101、IEC102、
IEC103、IEC104等标准电力规约,并具有规约解析功能。
数据传输符合电力系统专用的E 文件格式要求,与标准电力规约相互转换。 实时显示厂站投退状态及查询历史记录。
系统参数配置简单,界面友好。
可通过串口或网络与EMS 前置机或电量服务器进行通讯。
采用短周期扫描方式,确保数据的实时性和完整性。
系统具有远程维护功能。
安全隔离网闸:网络安全隔离设备应采用反向隔离设备,简称反向隔离,满足《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和《全国电力二次系统安全防护总体方案》的要求,其性能要求如下:
采取单向链接、单向数据传输、数据分阶段非网络递交等措施有效的实现网
络的物理隔离。
具备高强度的防御功能,支持包括无IP 地址监听、网络地址转换等多种工
作模式。
通过数字签名/验证确保每一个发送到内网的报文都是由可信的发送端发送
的,以保证内网的安全。
对文本文件形式的数据,通过文本转换及全角检查确保进入内网的数据即使
存在脚本病毒,也不能发作。
对传输到内网的E 文本进行校验。
防火墙:防火墙具有多种攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全。
采用ASPF (Application Specific Packet Filter)状态检测技术,可对
连接过程和有害命令进行监测,并协同ACL 完成动态包过滤。
提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管
理监控,协助网络管理员完成网络的安全管理。
支持AAA 、NAT 等技术,确保在开放的Internet 上实现安全的、满足可靠质
量要求的网络。
支持多种VPN 业务,如L2TP VPN 、GRE VPN 、IPSec VPN 、动态VPN 等,可以
构建多种形式的VPN 。
2) 厂站数据通信装置(通信管理机)
厂站侧通信管理机通过RS232/485/四线等通信接口与厂站原有自动化设备进行数据交互,并对采集数据进行安全加密,通过装置内的无线通信模块接入无线(GPRS/CDMA)网络,实现与中心无线信关系统的数据传输。该装置主要性能如下:
采用标准工业机箱、模块化设计、插入式结构,模块间采用总线连接方式,
互换能力强,安装方便。
密闭抗干扰式单元机箱及双层屏蔽,在强、弱电回路在物理空间上严格分开,
抗干扰能力强。
交直流两用电源,支持AC220V 和DC220V 。
装置采用“一点接地”,设备通讯口采用光电隔离措施。
高速处理CPU :采用高速工业级CPU ,可以更加高速地处理各种协议数据转
换。
无线模块通过CGD 认证或者FCC 认证或者CE 认证。
超大内存:有超大的内存来缓存客户发送数据,同时接收超大数据包,数据
不丢失。
支持DNS 自动获取。
装置具有液晶显示窗口,可实时查看上行或下行通信报文,显示各信息点的
采样值。
配有多种通讯接口,RS232/485/四线,GPRS/CDMA无线数据通信,LAN 网络
接口。
支持部颁CDT 规约、N4F 规约、IEC60870-5-101规约、IEC60870-5-102规约、
IEC60870-5-103规约、IEC60870-5-104规约等。
3) 通信网络
应用GPRS/CDMA无线网络为电力调度数据网传送电网自动化信息通常采用下列组网方案。
方案一:中心采用ADSL 等INTELNET 公网连接,采用公网固定IP 。
此种方案先向INTERNET 运营商申请ADSL 等宽带业务,该方案适和小规模、监测点较少(不大于128个监测点) 的场合中应用,该方案运行成本低,GPRS 及CDMA 终端均可接入。
方案二:中心采用APN 专线,所有点都采用内网固定IP 。
此种方案客户中心通过一条2M APN专线接入移动公司GPRS 网络,双方互联路由器之间采用私有固定IP 地址进行广域连接,为客户分配专用的APN ,普通用户不得申请该APN 。用于GPRS/CDMA专网的SIM 卡仅开通该专用APN ,限制使用其他APN 。得到APN 后,给所有监控点及中心分配移动内部固定IP 。移动终端和服务器平台之间采用端到端加密,避免信息在整个传输过程中可能的泄漏,该方案安全性高,但运行成本较高,GPRS 与CDMA 终端不能同时接入。
用户可根据实际情况选择上述组网方案。
四、设备技术参数
1) 通信管理机技术参数
通讯接口:RS232/485/四线,GPRS/CDMA无线数据通信,LAN 网络接口。 隔离电压:±15KV (ESD )。
工作电源电压:AC220V(50Hz)和DC220V 。
接入规约:IEC60870-5-101规约、IEC60870-5-102规约、IEC60870-5-103
规约、IEC60870-5-104规约、部颁CDT 规约、N4F 规约等。
液晶显示:通信报文显示,采样值显示。
2) 服务器技术参数
服务器:国产服务器。
操作系统:国产开源Linux 系统。
CPU : Inter(R )Xeon 系列,主频≥2.00GHZ 。
内存:≥16GB 。
硬盘:≥500GB 。
接口:USB ×4、网络接口×2。
3) 反向隔离技术参数
接口规范:两个CONSOLE 口 (管理设备用) ,两个COM 口 (输出告警信息) ,
四个10/100Base-TX,两个220V/50HZ电源插座。
抗干扰性:IEC-1000-4-2(ESD ),IEC-1000-4-3(辐射敏感性),IEC-1000-4-4
(电快速瞬变),IEC-1000-4-5(电涌),IEC-1000-4-6(谐波)。
尺寸:标准1U 机箱。
电源:交流电源220V ,允许偏差-15% -- +15%。
工作湿度: 40℃时10%-90%。
工作温度:0℃-40℃。
4) 交换机技术参数
固定端口:24个10/100Mbps自适应以太网端口。
包转发率:3.57Mpps 。
输入电压:100V-240V AC。
防雷:共模防护7KV ,防雷等级4级。
5) 防火墙技术参数
并发连接数:250000。
网络吞吐量:80Mbps 。
网络端口:4个10/100Mbps以太网口,1个AUX 口(备份口) ,1个CONSOLE
口(配置口) 。
VPN 支持:支持。
入侵检测:Dos 、DdoS 。
电源输入:100-240V ,50/60Hz。
适用环境:工作温度:0℃-45℃、湿度:10%-95%(不结露) 。
其他性能:支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤,
应用层过滤等验证。
技术建议书
五、系统配置表
其它费用:调度中心必须申请一个固定的IP 外网地址(ADSL 网络)费用根据当地的情况确定。(公网大概费用每年1500——2000元左右)
调度自动化无线信关平台
建设方案
一、项目背景
随着电力系统对城网、农网改造的逐步完善,一些重要电力用户及边远变电站的各种自动化信息(远动、电量等) 也同时需要实时监测,但由于这类变电站所处地理位置偏远分散,光纤通讯、有线电缆、电力载波等通讯组网方式无论在技术上,还是资金投入产出比上都不太可行,因此利用GPRS/CDMA网络进行无线数据传输成为电力系统选择的重要通信手段之一。
目前各通讯运营商均提供成熟稳定的GPRS/CDMA无线数据通信业务,通信网络覆盖范围大,区域广。并且无线通讯的稳定性、安全性、实时性、开放性都成熟稳定,其扩展能力和经济性比传统通讯方式更具优势。通过GPRS/CDMA无线数据通信业务可方便的实现远程终端与电力调度中心无线通讯。将重要电力用户及边远变电站的各种自动化信息(远动、电量等) 数据传输到调度中心。
利用无线网络建设变电站自动化数据、电量数据接收平台。可以保证自动化信息的接入,减少建设的投资费用,实现规范化管理;可以解决原有地方电厂自动化数据无传输通道的问题;可以解决公司所属原农网变电站自动化信息传输问题,加快无人值守建设步伐;可以将调度管理程序在用户侧应用,规范用户管理。
根据《全国电网二次系统安全防护总体方案》的要求,EMS 系统属于安全区Ⅰ,电量采集系统属于安全区Ⅱ,调度自动化无线信关平台属于安全区Ⅲ,安全区Ⅲ必须通过安全隔离网闸(反向)向安全区Ⅰ/Ⅱ单向数据传递。结合电力调度自动化系统的具体情况,调度中心的原有系统已稳定运行,软件不宜重新改写。因此通过无线方式接入至调度中心建议采用增加中间件的方案实现,即增加中间件(信关系统),将无线网络接收到的数据通过安全隔离网闸(反向)接入Ⅰ区EMS 系统和Ⅱ区电量系统。 调度自动化无线信关平台应该在符合《全国电网二次系统安全防护总体方案》的要求下,数据接口清晰,安全分区明确,网络专用、横向隔离、结构合理,保障电网的安全、稳定、经济运行,保护国家重要基础设施的安全。
二、方案介绍
调度自动化无线信关平台由调度中心主站信关系统和厂站数据通信装置(通信管理机)两部分组成。调度中心主站信关系统主要由无线信关子系统、数据转发子系统、反向隔离网闸组成。调度中心主站信关系统和厂站数据通信装置通过运营商提供的无线(GPRS/CDMA)网络进行数据交互。
系统结构图:
GPRS/CDMA
基站 基站
……
通信管理机采集电厂、变电站自动化信息和电量信息,并对采集数据进行安全加密,通过装置内的无线通信模块接入无线(GPRS/CDMA)网络。主站无线信关子系统通过运营商接入路由器接收厂站数据,并将实时数据信息转换为符合电力规范的E 文件,通过反向物理隔离装置传送给数据转发子系统,数据转发子系统分为远动转发子系统和电量转发子系统,将E 文件转换为电力标准协议(IEC104、IEC102、部颁CDT 等),分别同EMS 系统前置机和电量服务器进行通
讯。
本调度自动化无线信关平台方案完全符合《全国电网二次系统安全防护总体方案》的要求。硬件平台基于国产服务器,软件平台基于Linux 开源操作系统,数据从安全区Ⅲ通过安全隔离网闸(反向)向安全区Ⅰ/Ⅱ单向数据传递。上层应用软件系统不用任何修改,同时对现在电力行业大量存在的各种监测设备也不需要更换和进行硬件电路更改,数据接口清晰,安全分区明确,结构合理,保障电网的安全、稳定、经济运行。
转发服务器可以使上层应用软件系统不用任何修改,如果用户具备对EMS 前置机和电量主站接收程序进行修改的能力,则可以省略转发服务器的部署。
三、系统功能与特点
1) 调度中心主站信关系统
调度中心主站信关系统主要由无线信关子系统、数据转发子系统、反向隔离、防火墙、运营商接入路由器组成。其中无线信关子系统、数据转发子系统是核心部分,根据《全国电网二次系统安全防护总体方案》的要求,结合电力调度自动化系统的具体情况,本系统硬件平台采用国产服务器设备,操作系统平台采用
Linux 系统,开发语言采用系统级的C 语言。在通讯安全方便,系统采用TCP/IP网络通讯技术与IPSEC 安全隧道技术相结合的方法,将网络隔离、身份认证、传输加密及权限控制等先进的技术有机结合,既满足使用公网通信加密的要求,又可实现系统主站在安全区Ⅰ的网络隔离要求,提高远动系统的安全防护强度,满足电网安全运行的要求。
无线信关子系统位于安全区Ⅲ,实现了对变电站数据采集、转换、转发、监视等功能,通过安全隔离网闸(反向)向安全区Ⅰ/Ⅱ单向数据传递,数据转发子系统位于安全区Ⅰ,接收经安全隔离网闸处理后的数据,实现了数据转换、转发、监视等功能。系统性能要求如下:
系统支持最大512个厂站接入,规约库完整,支持CDT 、IEC101、IEC102、
IEC103、IEC104等标准电力规约,并具有规约解析功能。
数据传输符合电力系统专用的E 文件格式要求,与标准电力规约相互转换。 实时显示厂站投退状态及查询历史记录。
系统参数配置简单,界面友好。
可通过串口或网络与EMS 前置机或电量服务器进行通讯。
采用短周期扫描方式,确保数据的实时性和完整性。
系统具有远程维护功能。
安全隔离网闸:网络安全隔离设备应采用反向隔离设备,简称反向隔离,满足《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和《全国电力二次系统安全防护总体方案》的要求,其性能要求如下:
采取单向链接、单向数据传输、数据分阶段非网络递交等措施有效的实现网
络的物理隔离。
具备高强度的防御功能,支持包括无IP 地址监听、网络地址转换等多种工
作模式。
通过数字签名/验证确保每一个发送到内网的报文都是由可信的发送端发送
的,以保证内网的安全。
对文本文件形式的数据,通过文本转换及全角检查确保进入内网的数据即使
存在脚本病毒,也不能发作。
对传输到内网的E 文本进行校验。
防火墙:防火墙具有多种攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全。
采用ASPF (Application Specific Packet Filter)状态检测技术,可对
连接过程和有害命令进行监测,并协同ACL 完成动态包过滤。
提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管
理监控,协助网络管理员完成网络的安全管理。
支持AAA 、NAT 等技术,确保在开放的Internet 上实现安全的、满足可靠质
量要求的网络。
支持多种VPN 业务,如L2TP VPN 、GRE VPN 、IPSec VPN 、动态VPN 等,可以
构建多种形式的VPN 。
2) 厂站数据通信装置(通信管理机)
厂站侧通信管理机通过RS232/485/四线等通信接口与厂站原有自动化设备进行数据交互,并对采集数据进行安全加密,通过装置内的无线通信模块接入无线(GPRS/CDMA)网络,实现与中心无线信关系统的数据传输。该装置主要性能如下:
采用标准工业机箱、模块化设计、插入式结构,模块间采用总线连接方式,
互换能力强,安装方便。
密闭抗干扰式单元机箱及双层屏蔽,在强、弱电回路在物理空间上严格分开,
抗干扰能力强。
交直流两用电源,支持AC220V 和DC220V 。
装置采用“一点接地”,设备通讯口采用光电隔离措施。
高速处理CPU :采用高速工业级CPU ,可以更加高速地处理各种协议数据转
换。
无线模块通过CGD 认证或者FCC 认证或者CE 认证。
超大内存:有超大的内存来缓存客户发送数据,同时接收超大数据包,数据
不丢失。
支持DNS 自动获取。
装置具有液晶显示窗口,可实时查看上行或下行通信报文,显示各信息点的
采样值。
配有多种通讯接口,RS232/485/四线,GPRS/CDMA无线数据通信,LAN 网络
接口。
支持部颁CDT 规约、N4F 规约、IEC60870-5-101规约、IEC60870-5-102规约、
IEC60870-5-103规约、IEC60870-5-104规约等。
3) 通信网络
应用GPRS/CDMA无线网络为电力调度数据网传送电网自动化信息通常采用下列组网方案。
方案一:中心采用ADSL 等INTELNET 公网连接,采用公网固定IP 。
此种方案先向INTERNET 运营商申请ADSL 等宽带业务,该方案适和小规模、监测点较少(不大于128个监测点) 的场合中应用,该方案运行成本低,GPRS 及CDMA 终端均可接入。
方案二:中心采用APN 专线,所有点都采用内网固定IP 。
此种方案客户中心通过一条2M APN专线接入移动公司GPRS 网络,双方互联路由器之间采用私有固定IP 地址进行广域连接,为客户分配专用的APN ,普通用户不得申请该APN 。用于GPRS/CDMA专网的SIM 卡仅开通该专用APN ,限制使用其他APN 。得到APN 后,给所有监控点及中心分配移动内部固定IP 。移动终端和服务器平台之间采用端到端加密,避免信息在整个传输过程中可能的泄漏,该方案安全性高,但运行成本较高,GPRS 与CDMA 终端不能同时接入。
用户可根据实际情况选择上述组网方案。
四、设备技术参数
1) 通信管理机技术参数
通讯接口:RS232/485/四线,GPRS/CDMA无线数据通信,LAN 网络接口。 隔离电压:±15KV (ESD )。
工作电源电压:AC220V(50Hz)和DC220V 。
接入规约:IEC60870-5-101规约、IEC60870-5-102规约、IEC60870-5-103
规约、IEC60870-5-104规约、部颁CDT 规约、N4F 规约等。
液晶显示:通信报文显示,采样值显示。
2) 服务器技术参数
服务器:国产服务器。
操作系统:国产开源Linux 系统。
CPU : Inter(R )Xeon 系列,主频≥2.00GHZ 。
内存:≥16GB 。
硬盘:≥500GB 。
接口:USB ×4、网络接口×2。
3) 反向隔离技术参数
接口规范:两个CONSOLE 口 (管理设备用) ,两个COM 口 (输出告警信息) ,
四个10/100Base-TX,两个220V/50HZ电源插座。
抗干扰性:IEC-1000-4-2(ESD ),IEC-1000-4-3(辐射敏感性),IEC-1000-4-4
(电快速瞬变),IEC-1000-4-5(电涌),IEC-1000-4-6(谐波)。
尺寸:标准1U 机箱。
电源:交流电源220V ,允许偏差-15% -- +15%。
工作湿度: 40℃时10%-90%。
工作温度:0℃-40℃。
4) 交换机技术参数
固定端口:24个10/100Mbps自适应以太网端口。
包转发率:3.57Mpps 。
输入电压:100V-240V AC。
防雷:共模防护7KV ,防雷等级4级。
5) 防火墙技术参数
并发连接数:250000。
网络吞吐量:80Mbps 。
网络端口:4个10/100Mbps以太网口,1个AUX 口(备份口) ,1个CONSOLE
口(配置口) 。
VPN 支持:支持。
入侵检测:Dos 、DdoS 。
电源输入:100-240V ,50/60Hz。
适用环境:工作温度:0℃-45℃、湿度:10%-95%(不结露) 。
其他性能:支持外部攻击防范, 内网安全, 流量监控, 邮件过滤, 网页过滤,
应用层过滤等验证。
技术建议书
五、系统配置表
其它费用:调度中心必须申请一个固定的IP 外网地址(ADSL 网络)费用根据当地的情况确定。(公网大概费用每年1500——2000元左右)