王凯饶,徐艳伟,陈 龙,王一琳,姜洪华,方雅民
(国网白山供电公司,吉林 白山 134300)
吉林省东南部的白山地区是矿泉水富集地,境内有鸭绿江、松花江和浑江三大水系,水资源总量达79.1×108m3,人均水资源是全国平均水平的2.7倍。因此,该地区的水资源及其丰富,从而衍生许多小水电资源,这些小水电站支撑起周边县区居民与部分企业用电,是县级电网的重要组成部分。随着近年来“碳达峰、碳中和”目标的提出,水力发电对降低碳排放量有着极大促进作用。而偏远山区的特殊性致使小水电站的通信条件有很大的局限性,所以只能根据来水情况由水电站自行考虑是否发电[1],这就意味着调度无法精准把控小水电站的发电信息[2],因此,如何将小水电站的运行信息上传至主站自动化系统是一个亟待解决的难题。
本文提出利用智能融合终端系统将小水电站运行数据接入调度自动化主站系统,该方案的实施有以下优势:保障了小水电站的安全性,小水电站设备、技术相对落后,设备故障时工作人员不能及时处理将会导致更大的事故发生,而将小水电信息接入调度自动化主站系统后,主站工作人员能够第一时间了解现场状况,给出科学有效的解决策略,并且及时调整其他电站代替故障小水电站出力,避免大面积停电事故的发生,提高运行的安全性和可靠性;释放劳动力并减少劳动开支,小水电站信息接入以后,可以减少工作人员数量并降低工作强度,甚至实现无人值守,从而降低电站的非生产性开支;对基本信息及时维护,做好“数据保鲜”,并且为水、电、生态环境的多目标治理提供重要理论依据。
我国现有的小水电站已经基本能满足不同特点、层面、地域的用电需求。但是目前小水电行业也存在许多问题,总结起来有以下几点:第一,调节能力差,丰、枯季节发、供矛盾突出,大多数水电站属于径流式水电站,无调节能力,枯水期少发停发、丰水期多发抢发,甚至为了平衡指标违规调节参数,严重影响电网安全稳定运行[3];第二,地理位置的特殊性使通信局限性增大,调度指令无法及时准确下达。小水电资源大多分布偏远山区地带,通信光缆及设备的建设成本太高[4],如白山地区共有小水电站103座,总装机约245 MW,而信息接入调度系统的只有5座,其余小水电站均处于“盲调状态”。 其余水电站没有远动装置,因此不具备调度自动化接入条件;第三,许多小水电站规模小、效益低,且运行人员业务能力不足,缺乏线路及运行维护技能,出现问题时不与调度沟通,以致调度不能及时调整运行方式,影响经济调度[5];第四,设备配置不完善,故障概率大增。大多数水电站投运时间较早,设备非常老旧,发电机组多、分布广,信息数据采集极其不便。
传统的发、变电站调度自动化主站接入方式主要有2种[6]:第一,架设电力通信专网,通过光缆接入主站系统,但在实际建设中,不仅需要大量的光缆资源,而且需要配置同步数字体系(synchronous digital hierarchy,SDH)光传输设备、调度数据网设备等,对于偏远的小水电站来说,在光缆敷设的难度和成本、光缆敷设后的巡线、维护、故障处理等方面都提出了很大挑战;第二,租用运营商网络,这种方式初期投资较少且接入方便,但这种传输方式传输速率较低,稳定性不足,同时信息安全方面也得不到保障,长期大规模使用也会产生高额的租赁费用。此外,电力线载波通信也是一种信息接入方式,但影响载波通信传输质量的因素有很多,可靠性偏低。
本文采用公用通信网安全接入方案,利用运营商公共网络,支持有线/无线通信方式,部署灵活,不需要通信设备及光缆建设,项目建设周期短,节约投资成本。在主站和水电站接入公网时设立安全接入区,并建立3层安全防护体系。相比传统的接入方式,既降低了接入成本,又保证了数据传输的安全性、准确性和稳定性。
本文所介绍小水电站信息具体接入方案步骤如下。
1) 在水电站水坝侧安装水位监测仪和雨量监测仪,雨量监测仪核心部件采用三维流线型设计,使翻斗翻水更流畅,且具有自清洁、易清洗的特点。可根据485信号输出直接读取降雨量,无须二次计算。仪器采集、上传水位及雨量信息至远程终端单元(remote terminal unit,RTU)装置进行规约转换并转发,再通过光电转换装置把信号转换为光信号经光缆上传到水电站侧。
2) 水电站侧安装1台智能通信控制单元,该装置安装了基于LINUX内核裁剪定制的嵌入式操作系统,运行专用的通信软件。针对装置业务特点裁剪掉不需要的服务和组件,关闭不需要的网络端口,具备高度的安全性。同时装置的功率消耗极低,基本配置不大于11 W,上传数据反映时间迅速,遥信反应时间不大于1 s;遥测反应时间不大于2 s;遥控反应时间不大于1 s。该装置的电磁兼容性能极佳,能够有效避免山区磁场对信号传输的影响。该装置接收由监控系统后台转发的包括电压、电流、有功功率、无功功率以及发电机并网开关状态等发电机组运行信息。
3) 水电站侧安装1台纵向加密认证装置,实现二次安全防护功能,装置采用透明网桥模式,不影响原有网络和终端设备的配置,系统扩展性好;支持一对多加密模式,适应所有广域网络,灵活性高;具有完善的自检、告警、自愈、审计功能。
4) 安装网络通信设备和虚拟专用网络(virtual private network,VPN)网关,通过运营商网络与白山地调安全区建立VPN通道实现水电站接入调度自动化主站系统。VPN可以建立可信的安全链接或局域网连接,确保数据加密安全传输和业务访问,同时VPN和其他接入方式相比,有安全性高、费用低廉、接入方便等优点。
方案网络总拓扑结构见图1,水电站侧安全接入拓扑结构见图2。
本文提出的C型纵向加密通过微型纵向IP加密认证装置实现,电力系统专用纵向加密认证装置是电力系统专用的网络密码机,是电力二次系统安全防护的核心关键设备,相当于在本地安全区设立一个屏障,对广域网的边界增加了防护功能,同时在广域网的通信过程中提供认证与加密服务功能,保证了数据传输过程的隐秘性和完整性。电力专用纵向加密认证装置采用“统一协调、分级管理”的方式进行密钥密码管理,各级管理系统对本调度中心的设备直接管理,对下属的调度中心或厂站的设备统一远程管理。因为调度中心要和多个小水电站通信,不仅通信业务量大,且对安全性提出更高要求,因此,本文在调度自动化系统主站端部署2台千兆型设备实现双机热备用,兼顾性能和可用性。对于下一级小水电站端,根据业务流量选配2台百兆型或微型十兆设备。C型纵向加密结构见图3。
图3 C型纵向加密结构
2.3.1 SM2加密算法
SM2加密算法是由国家密码局推出的算法,是基于椭圆曲线的非对称算法[7],相对于RSA算法,SM2加密算法密钥更小,运算速度更快,相同密码长度下具有更高的安全性。SM2算法定义了两条椭圆曲线,一条基于F上的素域曲线,一条基于F(2m)上的拓域曲线,本文使用的SM2加密算法采用素域曲线,素域曲线方程为:
F(x,y)=y2-x3+ax+b
(1)
式中:a、b为椭圆曲线参数;F(x,y)为椭圆曲线的基点。
SM2加密数据使用公钥(x,y)进行加密,加密结果为c1c2c3。
c1的运算逻辑为:
c1=kF(x,y)
(2)
式中:k为随机数。
c2是真正的数据密文,运算逻辑为密钥流异或所要加密的数据,整体密钥流计算采用密钥导出函数(key derivation function,KDF)方法计算。
c3的作用是用于解密时校验解密出的原文数据的正确性,c3的运算逻辑为:
c3=HASH(kpx,data,kpy)
(3)
在解密时需要在解密出原文后计算HASH值做最后确认,确认一致认定解密成功,不一致则解密失败。
2.3.2 SM3加密算法
SM3加密算法是我国自主设计的密码杂凑算法,用于商用秘密中的数字签名和消息认证码的生成与验证以及随机数的生成[8]。为了保证杂凑算法的安全性,SM3算法采用输出长度为256 bit的杂凑值。本文将采用SM3加密算法实现调度信息传送过程的数字签名与验证。
该算法主要分为消息填充、消息扩展、迭代压缩和输出结果,步骤如下。
1) 消息填充:先增1和若干个0补成对512求模得448的长度,然后再添加原文长度的64位二进制。
2) 消息扩展:SM3加密算法没有直接使用数据分组进行计算,而是先对每个512 bit数据分组进行划分,每个分组划分成16个消息字,再以这16个消息通过函数递推出后面的116个消息字,即每个512 bit原文可以产生132个消息字,每个消息字的长度为32 bit。
3) 迭代压缩:先声明初始值为7380166f 4914b2b9 172442d7 da8a0600 a96f30bc 163138aa e38dee4d b0fb0e4e,分别存在A、B、C、D、E、F、G、H这8个32位变量中,接着利用压缩函数将这8个变量进行64轮计算。
4) 输出结果:经压缩最后得到由ABCDEFGH组成的二进制即为密文。
本文所介绍的接入系统包含3个版块:主站系统、运营商网络和子站系统。为了保护并防止外部从子站系统入侵,将在运营商公网与自动化主站系统建立安全隔离区,小水电站运行数据调度自动化主站接入系统结构见图4。
图4 小水电运行数据调度自动化主站接入系统结构
主站安全隔离区采用3层防护体系,分别为隧道层、业务接入层和隔离层。安全隔离区的访问控制由隧道层和隔离层控制。隧道层由IP安全(IP security,IPSec)体系结构隧道和加密隧道构成。隔离层由正向、反向隔离装置构成。其主站安全隔离3层防护体系结构见图5。
图5 主站安全隔离3层防护体系结构
IPSec是一组基于网络层的、应用密码学的开放性安全通信协议簇,是点对点之间通信的保护[9],通过IPSec VPN在主机与主机之间、主机与网络之间和网络安全网关之间建立隧道连接,其协议主要工作在IP层,在该层对数据包进行加密和验证,相较于其他VPN技术,数据在IPSec VPN隧道中都是加密传输的,有更高的安全性。
IPSec传输大致分为以下4个阶段。
1) 识别“感兴趣流”。网络设备接收到报文后,将报文的五元组等信息与IPSec策略进行匹配来判断报文是否要通过IPSec隧道传输,需要通过IPSec隧道传输的流量被称为“感兴趣流”。
2) 协商安全联盟(security association,SA)。SA是通信双方对某些协商要素的约定,如双方使用的安全协议、加密算法等,识别出“感兴趣流”后,本端网络设备会向对端网络设备发起SA协商,在这一阶段,通信双方通过因特网秘钥交换(internet key exchange,IKE)协议先协商建立IKE SA用于身份验证和密钥信息交换,然后再协商建立IPSec SA用于数据安全传输。
3) 数据传输。IPSec SA建立成功后,双方就可以通过IPSec隧道进行数据传输,在这一阶段通过认证头(authentication header,AH)对数据进行加密认证,而对原始数据报文采用SM2或者SM3进行报文加密,从而保证数据在传输过程中的真实可靠性。
4) 隧道拆除。在通信双方会话连接断开后即代表通信双方数据交换已完成,空闲时间达到一定值后就会自动删除该隧道,如通信双方想要再次通信,就要再重新建立IPSec隧道连接,从而更能保证数据的安全性。
隔离层采用纵向加密隧道访问控制,利用正、反向隔离策略。正向安全隔离装置是以一种非网络的方式在2个不同处理系统间实现数据的安全交换,即表示层与应用层数据完全单向传输。反向安全隔离装置是从下一级安全区到上一级安全区数据传输的唯一途径。反向安全隔离装置对下一级数据集中转发,转发前需要对数据签名验证、内容过滤、有效性检查等处理,再转发给上一级安全区。正、反向隔离策略的实施对网络设备、计算机硬件及通信链路等起到免受外界侵害和攻击的作用。
1) 社会效益:水电站属于用户侧,强制要求用户实现信息接入,将会给小水电企业带来负担,与公司优质服务理念相悖。该方案的实施充分发挥自动化、通信等各专业技术优势,创新采用智能融合终端和智能电表等方式帮助用户节省投资成本约5×106元,减少用户负担,提升国家电网品牌影响力。
2) 经济效益:地区调度掌握网内水电站信息后,可以根据水电站上、下游特点,科学调整发电出力,精准发挥梯级水电站群调、群控作用,以上游电站带动下游电站,实现“调洪增发、精准腾库”。同时根据光伏电站天气等波动性,及时调节出力方式,实现水、光发电互补,减少电能远距离输送增加的电网损耗。该接入方案实施后,白山地区2022年电网线路累计降损61.2×104kWh,同比提升3.12%。
3) 生态效益:水电站经过优化调度后,有效降低了碳、硫等排放量,提升清洁能源总体发电效率,自该接入方案实施后,白山地区2022年清洁能源发电量同比提升23.77%,节能减排效益显著,为实现我国“双碳”目标贡献企业力量。
本文提出一种小水电站运行信息接入调度自动化主站系统的方法,将所提方法应用到白山地区小水电运行信息接入中,经分析和应用验证,得到如下结论。
1) 促进电网提质增效。信息接入后,调度员可以根据天气情况,利用水电快速调节能力,平抑光伏夜间和阴天的随机波动性,实现电网不同时段、不同天气的电源互补能力,减少电源远距离输送带来的损耗,提升就地消纳能力。
2) 提升清洁能源发电比例。2022年,白山公司在小水电信息接入以后,实现水电全年增发电量1 785.3×104kWh,减排二氧化碳17 799.3 t、节约标准煤7 141.6 t、减排二氧化硫535.6 t。
3) 减少发电企业负担。该方案打破传统安全接入信息接入架构,每站节省信息接入费用5×104~8×104元,极大降低企业负担,节省成本开支。