配電站房數字化運維網關設計與實現

張斯淇，鄭翔天，王小玄，袁一飛，袁文杰

（1.國網南京供電公司，南京 210017；2.南京工程學院，南京 211167；3.中國石油華北油田勘探開發研究院，河北 任丘 062550）

1 引言

隨著城市化的快速發展和電網規模不斷擴大， 傳統的預防電氣火災等嚴重電氣事故的方案的運維成本也隨之增加。數字化運維配電站房成為一種有效的解決方案[1]，可以為設施的智能監控、 狀態評估以及全壽命周期管理等多種功能提供技術支持。 電網公司配電站房正在普及數字化改造，實現站房設備狀態評估與綜合研判的數字化[2]。數字化配電站房的運維網關[3]可以實現訪問控制和多協議接入主云與邊緣計算協同運維。 物聯網技術和云服務的發展有助于解決人力資源匱乏、配電網可靠性、能源互聯網等難題[4]。最后，本文以南京市區數字化配電站房運維的實際需要為例， 設計了城區分級建設情境適用的運維網關， 實現了訪問控制和多協議接入主云與邊緣計算協同運維兩個核心功能。

2 網關總體設計

2.1 核心功能

傳統網關框架在分級建設站房中還存在著很多問題。 為了解決數據協議單一的問題， 需要設計創建多種接入協議網關功能以支撐站房傳感網分級化建設， 并引入邊緣計算特性網關來提高數字化配電站房通用性[5]。 此外，改進的網關還需要設計傳感網數據采集可配置功能， 避免進行重復多次開發并減少傳統網關數據冗余浪費傳輸帶寬現象。

2.2 網關架構設計

網關設計需要考慮不同配電站房的分級建設需求， 配備數字化監測傳感器。 普通站房需要新增傳感器，而存有智能監測裝置的站房需要適配標準型物聯代理裝置[6]。重點站房需要連接物聯代理裝置實現站內環境信息上送， 并增加適配智能型物聯代理裝置功能，以支持高效管理、輔助決策、智能運維。軟件基礎架構分為3 層，感知層、數據處理與邊緣計算層、應用層。 運維網關架構設計如圖1 所示，可以監測所有物聯代理裝置、采集不同設備數據和監控信息，提供數字化站房運維支持。 邊緣計算層進行邏輯判斷、數據運算、信號聯動和故障研判，將標準格式數據進行邊緣計算。 應用層將采集設備上傳的數據進行本地動態曲線顯示， 網關可以在地市遠程桌面軟件和班組移動終端App 內實現本地顯示。 網關硬件架構主要包括感知層監測設備主機、通信單元、預處理單元、軟件服務板卡和微服務器等組成部分。 它可以接入現有的電力物聯方案，實現數據收集、終端設備與云平臺之間的連接以及數據交互。同時，網關還可實現物聯網節點協議及ModBus 協議，并能遠端傳輸及解析放電幅值、脈沖次數、放電類型及相位分布圖譜等信息[7]。網關硬件平臺的微服務器中的重要組成部分有網關底板、邊緣計算核心板和擴展單片機。

圖1 運維網關總體構成

使用的iCORE-220E 板卡構架了雙嵌入式操作系統：網絡OS 系統和可U-Boot 引導的Linux 內核系統， 內核更新采用重編譯Patch 實現。 該板卡包括WiFi 模塊、 內存、DDR3、NANDFLASH、電源管理模塊、LTE 4G 模塊和RTC 實時時鐘等。單片機可以擴展各種模塊，如USB 接口模塊、ADC、DAC、以太網接口模塊、LTE 模塊等， 通過USB 和GPIO 接口連接。核心板由USB Host 控制器構成， 擴展單片機由USB Device設備構成。 這些設計有利于實現板卡的功能擴展和應用拓展。

3 核心功能實現

網關實現了訪問控制、 設備接入和配電房運維邊緣計算等核心功能。其中，訪問控制的設計采用Token 算法安全認證技術， 通過創建設備的協議類型選擇相應的設備接入開發以及應用開發， 并使用不可逆算法生成簽名Token 執行身份驗證， 確保只有授權的開發人員才能訪問網關重要權限碼。 同時，設計的認證參數針對不同使用者預設了有效時限，降低網關被未授權訪問和惡意操作的風險。

網關Token 身份認證參考了JSON Web Token（JWT）微服務架構標準設計，并針對配電站房場景進行了優化。 具體設計見表1，Token 認證由Header、Payload、timestamp 和signature四個參數組成，其中，Header 包括Token 類型和平臺ID 屬性，Payload 用于存放站房接入設備廠商傳遞信息，timestamp 表示訪問過期時間戳，signature 由兩部分加密構成， 用于保護Token 但保留讀權限。 Signature 的生成使用設定的次序排列header、Payload、timestamp 參數內容， 再使用算法支持簽名方法創建簽名。 最終創建的Token 包含devices、平臺ID、Token類型、timestamp 和signature 五個部分，以“_”相接。

表1 Token 安全認證核心參數

配網系統運維管理中的安全措施。 設備訪問控制通過審批流程控制設備上線， 雙因子認證登陸提高了登陸安全性。USBKey 可用于驗證人員身份和權限認證，數字調度證書用于數字簽名以確保通信過程中不會被篡改。 運維網關會對傳遞的綜合USBKey 和身份信息的安全認證參數進行安全校驗，確保其安全性。

訪問控制核心功能實現后， 配電站房數字化運維網關還需要處理多協議設備接入功能。 通過TCP 協議接入網關，并通過SSL/TLS 協議進行加密保護物聯網設備與云平臺之間的通信安全。 設備客戶端執行單向驗證， 使用端口號8601 與NLEcloud 建立TLS 連接。 在TCP 協議接入時，設備客戶端記錄傳輸密鑰和設備標識，如果握手連接成功，云平臺將發送響應消息，并在設備管理中顯示在線標記。 如果使用Modbus 協議來接入網關， 需要填寫設備寄存器的對應地址及其含義和計算系數，并保存這些信息。 網關內提供了兩種Modbus 輸入模式Modbus_RTU 和Modbus_TCP。填寫完成后，網關就可以自動識別Modbus_TCP 協議下的各個接口， 并顯示連接的設備數量。

網關除設備接入外，還包括接入、退出和更新管理等，并且可以根據不同類型、不同廠家定制化軟件應用[8]。 這些功能的實現利用了容器化運行的隔離特性。 供應商提供了各種運維應用，可以遠程部署下發、安裝升級、啟動停止、狀態查詢、定值下發、日志召喚等操作功能，并且可以按需部署與擴展網關數字化運維功能。MQTT 協議被用來實現軟件應用上線，并且需要通過配電運維專職許可、審批并分配應用ID。審核通過后，審核人員會為其打賞版本標簽，并將其歸檔。 當網關收到主站下發的可以接入確認信息后， 主站會根據網關回傳的自描述信息進行數據交互。 不同應用所涉及的數據通過網關提供的GSP 和DL/T634.5.104 協議進行傳輸處理。 為了保障數據傳輸的正確性和安全性，MQTT 協議在傳輸層和應用層上增加了控制報文和內嵌應用數據的完整性校驗。 運維人員可以根據現場情況升級云上應用和智能網關側應用， 并且升級后運行狀態信息會被自動發送給云端監控， 實現了統一管理和靈活擴展業務功能。 此外，網關的邊緣計算擴展節點可以實現云端應用與邊緣計算節點協同運維。 智能網關是一款集成控制、管理、計算和通信等多種功能的設備，采用邊緣計算服務端App 化的設計理念。當采集到數據后，網關會根據預先配置好的配置文件對數據包進行解析處理和判斷， 并根據當前鏈表節點信息進行其他處理。

邊緣計算節點可以實現相關的數據處理和計算功能，運維人員會提前對計算公式、 邏輯或應用拆分成的計算節點進行完整的信息配置。 邊緣計算公式被分解成兩個一組的計算節點， 數據處理層把經過解析處理的數據按照寄存器地址的順序存儲到每個設備的鏈表節點緩存中。 設備寄存器地址和寄存器標識符之間的映射關系表也包括在鏈表節點中。 使用這些數據進行計算或者進行其他操作時， 可以直接用寄存器標識符來調用數據。

圖2 展示了基于QT5 實現的上位機軟件，利用數字化站房應用邊緣計算技術在邊緣側網關擴展板卡上對巡視機器人的視覺采集信息進行分析。 實現了兩個分析實例：

圖2 配電運維巡視機器人邊緣計算端圖像分析示例

1）綜合分析低壓柜的內置傳感器數據與巡視機器人的視頻數據，實現配電站房內開關柜設備的狀態評價；

2）實現了對站房內運維作業人數、安全帽佩戴、摘帽行為的識別， 底層實現利用擴展板的E-linux 子系統上已訓練的YOLOV5 模型，該模型還適用于站房始端箱、智能配變終端及消防設施的檢測工作。

4 結語

本文介紹了數字化運維網關解決配電站房運維問題的方案，包括云邊一體化平臺、云端App 商店和自動化運維技術。該系統已在城區配電站房應用，提高了網絡利用率和靈活度，具有高工程應用價值。