小水電運行數據調度自動化主站接入系統研究

王凱饒,徐艷偉,陳 龍,王一琳,姜洪華,方雅民

(國網白山供電公司,吉林 白山 134300)

0 引言

吉林省東南部的白山地區是礦泉水富集地,境內有鴨綠江、松花江和渾江三大水系,水資源總量達79.1×108m3,人均水資源是全國平均水平的2.7倍。因此,該地區的水資源及其豐富,從而衍生許多小水電資源,這些小水電站支撐起周邊縣區居民與部分企業用電,是縣級電網的重要組成部分。隨著近年來“碳達峰、碳中和”目標的提出,水力發電對降低碳排放量有著極大促進作用。而偏遠山區的特殊性致使小水電站的通信條件有很大的局限性,所以只能根據來水情況由水電站自行考慮是否發電[1],這就意味著調度無法精準把控小水電站的發電信息[2],因此,如何將小水電站的運行信息上傳至主站自動化系統是一個亟待解決的難題。

本文提出利用智能融合終端系統將小水電站運行數據接入調度自動化主站系統,該方案的實施有以下優勢:保障了小水電站的安全性,小水電站設備、技術相對落后,設備故障時工作人員不能及時處理將會導致更大的事故發生,而將小水電信息接入調度自動化主站系統后,主站工作人員能夠第一時間了解現場狀況,給出科學有效的解決策略,并且及時調整其他電站代替故障小水電站出力,避免大面積停電事故的發生,提高運行的安全性和可靠性;釋放勞動力并減少勞動開支,小水電站信息接入以后,可以減少工作人員數量并降低工作強度,甚至實現無人值守,從而降低電站的非生產性開支;對基本信息及時維護,做好“數據保鮮”,并且為水、電、生態環境的多目標治理提供重要理論依據。

1 小水電站以及傳統接入方式現狀

1.1 小水電站現狀

我國現有的小水電站已經基本能滿足不同特點、層面、地域的用電需求。但是目前小水電行業也存在許多問題,總結起來有以下幾點:第一,調節能力差,豐、枯季節發、供矛盾突出,大多數水電站屬于徑流式水電站,無調節能力,枯水期少發停發、豐水期多發搶發,甚至為了平衡指標違規調節參數,嚴重影響電網安全穩定運行[3];第二,地理位置的特殊性使通信局限性增大,調度指令無法及時準確下達。小水電資源大多分布偏遠山區地帶,通信光纜及設備的建設成本太高[4],如白山地區共有小水電站103座,總裝機約245 MW,而信息接入調度系統的只有5座,其余小水電站均處于“盲調狀態”。 其余水電站沒有遠動裝置,因此不具備調度自動化接入條件;第三,許多小水電站規模小、效益低,且運行人員業務能力不足,缺乏線路及運行維護技能,出現問題時不與調度溝通,以致調度不能及時調整運行方式,影響經濟調度[5];第四,設備配置不完善,故障概率大增。大多數水電站投運時間較早,設備非常老舊,發電機組多、分布廣,信息數據采集極其不便。

1.2 傳統接入方式現狀

傳統的發、變電站調度自動化主站接入方式主要有2種[6]:第一,架設電力通信專網,通過光纜接入主站系統,但在實際建設中,不僅需要大量的光纜資源,而且需要配置同步數字體系(synchronous digital hierarchy,SDH)光傳輸設備、調度數據網設備等,對于偏遠的小水電站來說,在光纜敷設的難度和成本、光纜敷設后的巡線、維護、故障處理等方面都提出了很大挑戰;第二,租用運營商網絡,這種方式初期投資較少且接入方便,但這種傳輸方式傳輸速率較低,穩定性不足,同時信息安全方面也得不到保障,長期大規模使用也會產生高額的租賃費用。此外,電力線載波通信也是一種信息接入方式,但影響載波通信傳輸質量的因素有很多,可靠性偏低。

2 小水電運行數據接入方案

本文采用公用通信網安全接入方案,利用運營商公共網絡,支持有線/無線通信方式,部署靈活,不需要通信設備及光纜建設,項目建設周期短,節約投資成本。在主站和水電站接入公網時設立安全接入區,并建立3層安全防護體系。相比傳統的接入方式,既降低了接入成本,又保證了數據傳輸的安全性、準確性和穩定性。

2.1 小水電站接入總體實施方案

本文所介紹小水電站信息具體接入方案步驟如下。

1) 在水電站水壩側安裝水位監測儀和雨量監測儀,雨量監測儀核心部件采用三維流線型設計,使翻斗翻水更流暢,且具有自清潔、易清洗的特點?？筛鶕?85信號輸出直接讀取降雨量,無須二次計算。儀器采集、上傳水位及雨量信息至遠程終端單元(remote terminal unit,RTU)裝置進行規約轉換并轉發,再通過光電轉換裝置把信號轉換為光信號經光纜上傳到水電站側。

2) 水電站側安裝1臺智能通信控制單元,該裝置安裝了基于LINUX內核裁剪定制的嵌入式操作系統,運行專用的通信軟件。針對裝置業務特點裁剪掉不需要的服務和組件,關閉不需要的網絡端口,具備高度的安全性。同時裝置的功率消耗極低,基本配置不大于11 W,上傳數據反映時間迅速,遙信反應時間不大于1 s;遙測反應時間不大于2 s;遙控反應時間不大于1 s。該裝置的電磁兼容性能極佳,能夠有效避免山區磁場對信號傳輸的影響。該裝置接收由監控系統后臺轉發的包括電壓、電流、有功功率、無功功率以及發電機并網開關狀態等發電機組運行信息。

3) 水電站側安裝1臺縱向加密認證裝置,實現二次安全防護功能,裝置采用透明網橋模式,不影響原有網絡和終端設備的配置,系統擴展性好;支持一對多加密模式,適應所有廣域網絡,靈活性高;具有完善的自檢、告警、自愈、審計功能。

4) 安裝網絡通信設備和虛擬專用網絡(virtual private network,VPN)網關,通過運營商網絡與白山地調安全區建立VPN通道實現水電站接入調度自動化主站系統。VPN可以建立可信的安全鏈接或局域網連接,確保數據加密安全傳輸和業務訪問,同時VPN和其他接入方式相比,有安全性高、費用低廉、接入方便等優點。

方案網絡總拓撲結構見圖1,水電站側安全接入拓撲結構見圖2。

2.2 C型縱向加密

本文提出的C型縱向加密通過微型縱向IP加密認證裝置實現,電力系統專用縱向加密認證裝置是電力系統專用的網絡密碼機,是電力二次系統安全防護的核心關鍵設備,相當于在本地安全區設立一個屏障,對廣域網的邊界增加了防護功能,同時在廣域網的通信過程中提供認證與加密服務功能,保證了數據傳輸過程的隱秘性和完整性。電力專用縱向加密認證裝置采用“統一協調、分級管理”的方式進行密鑰密碼管理,各級管理系統對本調度中心的設備直接管理,對下屬的調度中心或廠站的設備統一遠程管理。因為調度中心要和多個小水電站通信,不僅通信業務量大,且對安全性提出更高要求,因此,本文在調度自動化系統主站端部署2臺千兆型設備實現雙機熱備用,兼顧性能和可用性。對于下一級小水電站端,根據業務流量選配2臺百兆型或微型十兆設備。C型縱向加密結構見圖3。

圖3 C型縱向加密結構

2.3 SM2、SM3專用加密算法

2.3.1 SM2加密算法

SM2加密算法是由國家密碼局推出的算法,是基于橢圓曲線的非對稱算法[7],相對于RSA算法,SM2加密算法密鑰更小,運算速度更快,相同密碼長度下具有更高的安全性。SM2算法定義了兩條橢圓曲線,一條基于F上的素域曲線,一條基于F(2m)上的拓域曲線,本文使用的SM2加密算法采用素域曲線,素域曲線方程為:

F(x,y)=y2-x3+ax+b

(1)

式中:a、b為橢圓曲線參數;F(x,y)為橢圓曲線的基點。

SM2加密數據使用公鑰(x,y)進行加密,加密結果為c1c2c3。

c1的運算邏輯為:

c1=kF(x,y)

(2)

式中:k為隨機數。

c2是真正的數據密文,運算邏輯為密鑰流異或所要加密的數據,整體密鑰流計算采用密鑰導出函數(key derivation function,KDF)方法計算。

c3的作用是用于解密時校驗解密出的原文數據的正確性,c3的運算邏輯為:

c3=HASH(kpx,data,kpy)

(3)

在解密時需要在解密出原文后計算HASH值做最后確認,確認一致認定解密成功,不一致則解密失敗。

2.3.2 SM3加密算法

SM3加密算法是我國自主設計的密碼雜湊算法,用于商用秘密中的數字簽名和消息認證碼的生成與驗證以及隨機數的生成[8]。為了保證雜湊算法的安全性,SM3算法采用輸出長度為256 bit的雜湊值。本文將采用SM3加密算法實現調度信息傳送過程的數字簽名與驗證。

該算法主要分為消息填充、消息擴展、迭代壓縮和輸出結果,步驟如下。

1) 消息填充:先增1和若干個0補成對512求模得448的長度,然后再添加原文長度的64位二進制。

2) 消息擴展:SM3加密算法沒有直接使用數據分組進行計算,而是先對每個512 bit數據分組進行劃分,每個分組劃分成16個消息字,再以這16個消息通過函數遞推出后面的116個消息字,即每個512 bit原文可以產生132個消息字,每個消息字的長度為32 bit。

3) 迭代壓縮:先聲明初始值為7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e,分別存在A、B、C、D、E、F、G、H這8個32位變量中,接著利用壓縮函數將這8個變量進行64輪計算。

4) 輸出結果:經壓縮最后得到由ABCDEFGH組成的二進制即為密文。

2.4 三層防護體系

本文所介紹的接入系統包含3個版塊:主站系統、運營商網絡和子站系統。為了保護并防止外部從子站系統入侵,將在運營商公網與自動化主站系統建立安全隔離區,小水電站運行數據調度自動化主站接入系統結構見圖4。

圖4 小水電運行數據調度自動化主站接入系統結構

主站安全隔離區采用3層防護體系,分別為隧道層、業務接入層和隔離層。安全隔離區的訪問控制由隧道層和隔離層控制。隧道層由IP安全(IP security,IPSec)體系結構隧道和加密隧道構成。隔離層由正向、反向隔離裝置構成。其主站安全隔離3層防護體系結構見圖5。

圖5 主站安全隔離3層防護體系結構

IPSec是一組基于網絡層的、應用密碼學的開放性安全通信協議簇,是點對點之間通信的保護[9],通過IPSec VPN在主機與主機之間、主機與網絡之間和網絡安全網關之間建立隧道連接,其協議主要工作在IP層,在該層對數據包進行加密和驗證,相較于其他VPN技術,數據在IPSec VPN隧道中都是加密傳輸的,有更高的安全性。

IPSec傳輸大致分為以下4個階段。

1) 識別“感興趣流”。網絡設備接收到報文后,將報文的五元組等信息與IPSec策略進行匹配來判斷報文是否要通過IPSec隧道傳輸,需要通過IPSec隧道傳輸的流量被稱為“感興趣流”。

2) 協商安全聯盟(security association,SA)。SA是通信雙方對某些協商要素的約定,如雙方使用的安全協議、加密算法等,識別出“感興趣流”后,本端網絡設備會向對端網絡設備發起SA協商,在這一階段,通信雙方通過因特網秘鑰交換(internet key exchange,IKE)協議先協商建立IKE SA用于身份驗證和密鑰信息交換,然后再協商建立IPSec SA用于數據安全傳輸。

3) 數據傳輸。IPSec SA建立成功后,雙方就可以通過IPSec隧道進行數據傳輸,在這一階段通過認證頭(authentication header,AH)對數據進行加密認證,而對原始數據報文采用SM2或者SM3進行報文加密,從而保證數據在傳輸過程中的真實可靠性。

4) 隧道拆除。在通信雙方會話連接斷開后即代表通信雙方數據交換已完成,空閑時間達到一定值后就會自動刪除該隧道,如通信雙方想要再次通信,就要再重新建立IPSec隧道連接,從而更能保證數據的安全性。

隔離層采用縱向加密隧道訪問控制,利用正、反向隔離策略。正向安全隔離裝置是以一種非網絡的方式在2個不同處理系統間實現數據的安全交換,即表示層與應用層數據完全單向傳輸。反向安全隔離裝置是從下一級安全區到上一級安全區數據傳輸的唯一途徑。反向安全隔離裝置對下一級數據集中轉發,轉發前需要對數據簽名驗證、內容過濾、有效性檢查等處理,再轉發給上一級安全區。正、反向隔離策略的實施對網絡設備、計算機硬件及通信鏈路等起到免受外界侵害和攻擊的作用。

2.5 應用成果效益分析

1) 社會效益:水電站屬于用戶側,強制要求用戶實現信息接入,將會給小水電企業帶來負擔,與公司優質服務理念相悖。該方案的實施充分發揮自動化、通信等各專業技術優勢,創新采用智能融合終端和智能電表等方式幫助用戶節省投資成本約5×106元,減少用戶負擔,提升國家電網品牌影響力。

2) 經濟效益:地區調度掌握網內水電站信息后,可以根據水電站上、下游特點,科學調整發電出力,精準發揮梯級水電站群調、群控作用,以上游電站帶動下游電站,實現“調洪增發、精準騰庫”。同時根據光伏電站天氣等波動性,及時調節出力方式,實現水、光發電互補,減少電能遠距離輸送增加的電網損耗。該接入方案實施后,白山地區2022年電網線路累計降損61.2×104kWh,同比提升3.12%。

3) 生態效益:水電站經過優化調度后,有效降低了碳、硫等排放量,提升清潔能源總體發電效率,自該接入方案實施后,白山地區2022年清潔能源發電量同比提升23.77%,節能減排效益顯著,為實現我國“雙碳”目標貢獻企業力量。

3 結論

本文提出一種小水電站運行信息接入調度自動化主站系統的方法,將所提方法應用到白山地區小水電運行信息接入中,經分析和應用驗證,得到如下結論。

1) 促進電網提質增效。信息接入后,調度員可以根據天氣情況,利用水電快速調節能力,平抑光伏夜間和陰天的隨機波動性,實現電網不同時段、不同天氣的電源互補能力,減少電源遠距離輸送帶來的損耗,提升就地消納能力。

2) 提升清潔能源發電比例。2022年,白山公司在小水電信息接入以后,實現水電全年增發電量1 785.3×104kWh,減排二氧化碳17 799.3 t、節約標準煤7 141.6 t、減排二氧化硫535.6 t。

3) 減少發電企業負擔。該方案打破傳統安全接入信息接入架構,每站節省信息接入費用5×104～8×104元,極大降低企業負擔,節省成本開支。