基于5G 通信技术的配电网精准控制端到端承载方案研究

张 辰，林晓亮，段凌霄，卢 杉，吴 昊

（1.国网浙江省电力有限公司信息通信分公司，杭州 310007；2.国网浙江省电力有限公司衢州供电公司，浙江 衢州 324002；3.国网信息通信产业集团安徽继远软件有限公司，合肥 230088）

0 引言

配电网作为电力能源输送的最后分配环节，其安全性和可靠性对人民生活与工业生产质量影响巨大。继电保护技术可通过传递两端采集电气量判断是否存在电气故障，并在故障条件下迅速切除故障线路，能够在电网发生故障时第一时间感知并快速隔离，从而确保了电网的安全稳定运行[1]。随着分布式新能源应用的不断渗透[2]，电网从传统的单向能源流动向双向流动转变，配电网电气拓扑复杂度不断增加，并且交直流混联带来的电网电力电子化特征更加显著[3]，导致现有的配电网保护配置方案以及整定原则受到严峻挑战，主要体现在三个方面：分布式新能源接入、交直流混联导致配电网故障特征难以定量分析，传统配电网整定方法适用性受到限制[4]；配电网电气拓扑结构的复杂化导致现有保护配置方案的适用性变差；配电网末端点多面广，传统光纤通信信道建设成本高、协调难度大，严重制约了继电保护在配电网的应用。

近年来，随着第五代移动通信（简称“5G”）网络的快速部署和商用，5G 技术与垂直行业应用的融合日益紧密，电网行业也在探索应用5G 通信技术为配电网二次设备实时感知采集的庞大数据量提供高速传输通道，从而实现海量能源设施超低时延快速接入。国际标准化组织定义的5G通信系统性能指标包括提供100 Mbps 的用户体验速率、每平方公里百万级连接规模、空口单向时延最低1 ms。运用5G 大带宽、低时延传输等特性，可以有效降低保护装置通信时延，提升配电网保护精准控制的速动性、灵敏性与可靠性。文献[5]提出了一种基于5G 配电网拓扑自适应差动保护方案，以采样点插值实现时间同步，通过试点应用验证了方案的通信性能。文献[6]提出了一种基于5G 技术的配电网电流差动保护业务应用方案，并采用北斗卫星授时技术为线路两端采样时钟提供严格时钟同步，实现保护采样脉冲时间相对误差不超过2 μs。

为持续深化配电网差动保护5G 试点应用，促进5G 技术与电网业务需求融合，本文从基本原理出发，详细阐述了保护动作机理对通信通道的多样化需求，并基于现有5G 技术标准及发展趋势，设计面向配电网差动保护业务5G 通信端到端承载方案，涵盖保护业务组网与安全防护两个方面。最后，就5G 技术针对电力行业应用特色需持续研究的热点方向进行展望。

1 配电网电流差动保护原理及通信需求分析

为实现配电网电流差动纵联保护，电流差动保护装置在线路两端采集同时刻电流电气量的测量值（包含电流幅值、相位波形等），并通过通信通道传输到对端，各端保护装置通过比较两端当前电流电气量来决定是否应动作跳闸。具体而言，就是当电流差值超过整定值时判定为内部故障，生成继电器跳闸信号控制断路器跳开，从而实现故障的精确定位和快速隔离。

图1 所示为典型配电网两端电源供电模型：将流过线路两侧参考节点M，N的电流相量分别记作，；两侧电流差记作Id，该电流也被称作动作电流；两侧电流和记作Ir，该电流被称为制动电流。

图1 配电网纵联差动保护拓扑图

规定电流由M 侧流向N 侧为参考正方向，根据上述定义有：

差动继电器的动作特性如图2 所示。斜线以下区域为非动作区，斜线以上区域为动作区。这种动作特性称作比率制动特性，动作逻辑的数学表达式也在图2 中给出，其中Iqd为起动电流，Kr为制动系数。

图2 电流差动保护动作特性

图3 线路内部出现短路故障

图4 线路外部出现短路故障

当保护线路正常运行或出现外部故障时，上文假设动作电流为零。实际在外部故障或正常运行时，动作电流往往不等于零，该种差流被称为不平衡电流。产生不平衡电流的原因有：

（1）线路对地电容存在泄漏电流，在线路空载或者轻载时，穿越性制动电流很小，该电容电流可以构成导致保护跳闸的动作电流，因此需要在图2 保护动作特性中增加起动电流，降低弱穿越电流条件下电容电流的影响。

（2）两端电流测量的互感器器件由于不同厂家产品的制造工艺差别，导致变比、工作特性不一致，因此需要考虑制动系数因素。

（3）两端差动保护装置分别独立完成电流电气量的测量与采样，需要保证两端保护装置时间同步，从而确保在相同时刻获得采样值。同步误差导致的电流采样值不相等也会产生不平衡电流，严重时会引起保护误动作。

如无特别说明，本文忽略电容电流以及互感器制造工艺导致的不平衡电流的影响。下面结合电流差动保护原理深入分析其对通信网络性能的具体需求。

在通信带宽需求方面，根据IEC 61850-9-2 SV（采样值）通信规约，SV 报文传输电流、电压瞬时值。保护装置将电流互感器测量的每回路单相电流模拟值以4 kHz 频率采样获得离散值，采样时间间隔为250 μs，每个电流周期波（工频50 Hz，周期波占用时长20 ms）内包含80 个采样点；保护装置将一次采样获得的80 个采样点通过重采样、插值获得用于传输的24 个电气采样点，重采样点时间间隔为833 μs，每个重采样点量化编码为8 字节数字值[7-8]。

通常GOOSE（面向通用对象的变电站事件）、SV 报文包含源MAC（介质访问控制）地址、目的MAC 地址、报文类型、AppID、报文长度以及APDU（应用协议数据单元），整体包长最大可达到1 521 字节，一般200 字节左右。按照SV 报文传输间隔250 μs、833 μs 以及故障发生时刻GOOSE 报文发送时间间隔为2 ms，分别计算出SV 报文瞬时最大带宽需求为6.4 Mbps，平均带宽需求为1.92 Mbps。故障时GOOSE 报文平均带宽需求为800 kbps；非故障时GOOSE 报文平均带宽需求为320 bps，可以忽略。因此，考虑发生线路故障时单台保护装置发送带宽需求可达7.2 Mbps 或2.72 Mbps。

在报文传输时延方面，受电力设备的热稳定性影响，保护装置应在5 个周期波（100 ms）内完成报文发送与接收、计算处理、跳闸信号发出、断路器跳闸等动作[9]。通常，保护装置处理时延约为10 ms，跳闸信号触发时间约为10 ms，断路器跳闸时间约为40～60 ms。因此，报文传输时延应小于20 ms。在可靠性需求方面，报文传输过程中若发生误码或丢失会导致保护装置拒动或误动，因此传输可靠性要求十分严格，一般高于99.99%。在网络安全防护方面，差动保护业务属于实时控制类业务，应符合电力监控系统安全防护规定的要求，确保保护通信网络专用，且与公共网络、管理信息大区网络边界实施横向隔离策略，纵向需具备身份认证功能。

在时延抖动需求方面，导致时延抖动的原因包括双端保护装置内部器件性能不一致、通信路由不一致或转发节点处理时延存在差异。两端保护装置时延不对称导致不平衡电流，如图5 所示。令Δt 为正向时延抖动或时延差，代入式（1）有：

式中：ω 为工频角速度，当Δt 逐渐变大时，由于同步误差导致的动作电流增加，使保护装置误动可能性增强，假设以IM的5%误差作为防止误动作阈值[10]，可计算得到Δt 应小于160 μs。因此，差动保护时延抖动或双向传输时延差应满足在±160 μs 范围之内。

图5 两端保护装置时延不对称导致不平衡电流

时间同步需求包括两个方面：一方面是保护装置内部时钟精度，该精度直接影响采样点位置的电流相量值，按照4 kHz 采样时间间隔5%偏差计算得到同步精度满足±12.5 μs[11-12]；另一方面是两端保护装置之间的双向通信时延差引起的同步偏差，该通信需求已在前文说明，不再赘述。

综上所述，配电网差动保护通信需求如下：传输速率应不低于7.2 Mbps，传输时延小于20 ms，双向传输时延差在±160 μs 以内，内部时钟同步精度应维持在±12.5 μs 以内，通道支持以太网帧直接传输且具备纵向认证与网络隔离能力。

2 端到端承载方案设计

5G 技术的服务化网络架构、高带宽、低时延以及超高可靠性（99.999%）传输能力，可实现网络边缘计算、切片化网络资源分配与高带宽低时延传输，同时提供多级安全隔离、双重安全认证等安全防护能力。因此，利用5G 技术能够较好地适应配电网差动保护的本地分散控制场景与通信需求。

2.1 5G LAN 技术概述

5G Rel16 标准正式引入垂直行业局域网（5G LAN）特性，支持具有特定本地业务转发需求的终端直接通信，5G LAN 特性打破了移动通信系统终端业务数据须通过N6 或4G 核心网SGi 接口连接IP 骨干网，转发至企业内网服务器端的主从通信模式限制，允许在UPF（用户端口功能）之间为群组内终端建立UPF 互联隧道Nx（核心网接口），实现了群组内终端业务数据相互本地转发。5G LAN 通过Group ID（群组标识符）确定终端属于哪个群组，核心网通过签约数据确定终端的Group ID，在5G 网络中引入组管理（添加、更改或删除群组终端）、本地转发和业务隧道的能力，满足垂直行业在一个或多个UPF 下的本群组UE（用户设备）直接通信需求，且因转发路径、路由跳数的减少降低了传输时延，适用于配电网差动保护、工业互联网智能制造等本地分散控制类业务场景。

为支持5G LAN 特性，核心网新增了控制面功能，如GMF（群组管理功能）、PMF（路径管理功能）。GMF 负责群组的管理，如通过AF（应用功能）授权请求创建、修改或删除一个5G LAN 群组。同时，GMF 还负责针对尝试接入5G LAN 终端的身份认证。PMF 负责利用终端位置信息、DNAI（数据网络接入标识）等信息管理5G LAN群组用户面转发路径，并从SMF 获取终端PDU（协议数据单元）会话信息。此外，需增强5G 核心网的SMF（会话管理功能），包括在PDU 会话建立及修改阶段，联合GMF 对5G LAN 群组执行身份认证与授权，配置UPF 分组路由转发策略、分组标签策略等。同时，与PMF 协同交互为5G LAN业务规划用户面路径。3GPP 标准规定的5G LAN用户面组网架构如图6 所示。

图6 3GPP 标准规定的5G LAN 用户面组网架构

2.2 VXLAN 技术概述

VXLAN（虚拟扩展局域网）[13]是由IETF（国际互联网工程任务组）定义的一种三层网络实现二层报文转发技术，VXLAN 将原始报文封装入一个新UDP（用户数据报协议）报文中，并增加VXLAN报文头，即“MAC-in-UDP”。

VXLAN 典型网络模型如图7 所示，VTEP（VXLAN 隧道端点）代表网络边缘的用户接入设备，负责处理VXLAN 报文，是VXLAN 隧道的起始点与终结点。VTEP 会配置一个为VXLAN 报文提供二层交换转发服务的虚拟交换实例，称作VSI（虚拟交换实例），可以被看作是VTEP 上的一台虚拟交换机。

图7 VXLAN 典型网络模型

VXLAN 报文结构如图8 所示，外层链路层报文头中的源MAC 地址和目的MAC 地址分别是VTEP 的MAC 地址以及向网络转发的下一跳路由设备的MAC 地址；外层IP 报文头的源IP地址与目的IP 地址分别是发送VTEP 和接收VTEP 的IP 地址；外层UDP 报文头中的目的端口号为4789，专门用于标识VXLAN；VXLAN 报文头与传统VLAN 类似，不同的是用于标识一个VXLAN 网段的VNI（VXLAN 网络标识符）。一个VNI 代表了一个租户，归属不同VNI 的用户之间无法直接进行二层通信。VNI 包含24 个比特，可以标识最大16 777 216 个虚拟局域网，相较传统VALN 12 个比特标识4 096 个虚拟局域网有了很大提升，可以承载更多租户私网的隔离任务。

2.3 5G 承载配电网差动保护端到端组网方案设计

目前，5G 标准规范针对UPF 具体应包含哪些功能实体来支持5G LAN 转发以太网或IP 业务尚在研究之中，如组内QoS（服务质量）配置、组内广播机制、隧道管理控制协议标准化等。因此，本节基于配电网差动保护低时延、低抖动、以太网报文直传等通信需求，利用5G LAN 及VXLAN开展配电网差动保护组网架构设计。

图8 VXLAN 报文结构

配电网差动保护装置以太网帧直传组网架构如图9 所示，保护装置将以太网帧直接发送至VXLAN 交换机，由VXLAN 交换机按照图8 所示的帧结构进行封装，这里所说的保护以太网帧不包含IP 报文头；反之，VXLAN 交换机将接收到的VXLAN 报文解封装并转发给保护装置。

图9 配电网差动保护装置以太网帧直传组网架构

将5G NR（新空口）、承载网切片以及UPF 看作是一个二层网络，VTEP 的下一跳一定就是与UPF 相连的PE（终端设备）路由器，PE 路由器构成的环网将多个UPF 互联起来，构成了5G LAN的IP 骨干网络。PE 路由器之间利用EVPN MPBGP 协议构成控制面，为VXLAN 报文转发建立转发信息表；转发面可采用MPLS/IP 实现VXLAN报文的标签快速转发。PE 路由器与VTEP 之间采用iBGP 协议，VTEP 通过传统的Flood&Learn 方法学习获得与端口互联的保护装置MAC 地址，并为保护装置建立MAC，VNI，VTEP IP 和下一跳PE IP 转发表。综上，通过VXLAN 实现保护MAC 帧的封装与解封装，最终实现多个保护装置间的MAC 直传。VTEP 的IP 地址是通过CPE（客户终端设备）的DHCP（动态主机设置协议）动态配置获取，该IP 地址就是SMF 为5G LAN 群组内SIM 卡分配的，可通过NEF（网络开放功能）由第三方配置，实现用户的自定义。

2.4 保护装置二次身份认证方案设计

本节设计一种基于可扩展的身份认证协议架构，实现网络安全能力对外开放。该协议提供标准的客户端-第三方认证实体-服务器端架构，可以便捷地为行业用户提供应用程序接口，实现用户安全防护需求的灵活适配以及自定义。如图10所示，5G 系统中UE 为客户端，SEAF（安全锚点功能）为认证方，作为身份验证服务端部署于用户侧的DN-AAA 服务器。SEAF 在透传客户端及服务端之间认证协议数据的同时，根据认证结果确定是否向客户端开放5G 网络服务，从而实现通信网络安全与应用层安全的一致性。

图10 基于EAP 框架的电力5G 应用二次认证流程

具体认证流程如下：

步骤一：终端向二次认证服务器发起身份认证请求；

步骤二：二次认证服务器生成网络鉴权向量（挑战码）并发送给终端，鉴权向量生成函数的参数除了随机数以外，还可以包含SN（序号）、TS（时间戳）等，可以抵御中间人攻击；

步骤三：终端解密挑战码完成对网络合法身份的认证，采集人脸信息或设备制造序列号作为身份识别码；

步骤四：终端将挑战码和识别码作为输入参数，生成身份向量并加密后发送给服务器；

步骤五：服务器在接收到身份向量后，解密出挑战码和识别码，完成对终端的身份认证；

步骤六：利用终端、服务器共享对称密钥，安全地将身份认证成功声明发送至终端；

步骤七：5G 二次身份认证流程结束，终端获得访问5G LAN 权限。

基于5G 二次身份认证，可以有效避免因网络入侵者非法获得SIM 卡带来的网络安全风险，因无法通过认证服务器的二次认证，SMF 将不会为高风险SIM 卡终端建立PDU 会话，有效阻隔了针对电力专用网络的非法入侵。

3 实验室测试结果分析

5G 承载差动保护测试拓扑如图11 所示。实际测试环境依托实验室5G 室内分布式RRU（射频拉远单元）构建企业园区无线网，同时采用了专用的DNN（数据网络名称）以及保护业务专用切片，包含硬隔离的城域传输网FlexE 切片、逻辑隔离的专用UPF、核心网VM（虚拟机）、AAA 服务器以及防火墙。保护专网能够通过MEC（多接入边缘计算）的切片、DDN ID 数据区分以及物理数据专网链路等实现与公用网络的物理隔离。

图11 5G 承载差动保护测试拓扑

测试工作主要分为两个步骤，首先利用测试仪测试从运营商机房UPF 装置到VXLAN 交换机的传输时延，然后测试两侧VXLAN 交换机端到端数据传输时延。测试过程中，针对保护业务规约报文特点，分别采用1 400 字节、128 字节发包，发包间隔833 μs。经测试，当以1 400 字节数据包发送时，UPF 至保护装置WAN 口（VXLAN LAN 口）平均时延为8.13 ms，两侧保护装置WAN口端到端平均时延16.88 ms；当以128 字节数据包发送时，UPF 至保护装置WAN 口平均时延为7.89 ms，两侧保护装置WAN 口端到端平均时延15.32 ms。通过对比差动保护业务通信需求可以看出，采用5G LAN UPF 下沉方式可满足保护业务的传输时延要求。

4 结语

在下一代技术规范R17 版本中，5G 将逐步引入TSN（时延敏感型网络）技术，从而确保端到端确定性传输时延性能。未来可考虑将TSN 技术与5G LAN 结合，设计一种两端差动保护装置传输时延误差补偿机制，动态保持双向通信时延的对称性，从而将不对称时延引入的保护SV 误差降低至可接受程度。此外在网络安全防护方面，为工业控制、智能交通等关键行业控制类业务提供与公共服务网络端到端物理隔离的网络基础资源，也是未来5G 通信网络的重要研究方向之一。