配电站房数字化运维网关设计与实现

张斯淇，郑翔天，王小玄，袁一飞，袁文杰

（1.国网南京供电公司，南京 210017；2.南京工程学院，南京 211167；3.中国石油华北油田勘探开发研究院，河北 任丘 062550）

1 引言

随着城市化的快速发展和电网规模不断扩大， 传统的预防电气火灾等严重电气事故的方案的运维成本也随之增加。数字化运维配电站房成为一种有效的解决方案[1]，可以为设施的智能监控、 状态评估以及全寿命周期管理等多种功能提供技术支持。 电网公司配电站房正在普及数字化改造，实现站房设备状态评估与综合研判的数字化[2]。数字化配电站房的运维网关[3]可以实现访问控制和多协议接入主云与边缘计算协同运维。 物联网技术和云服务的发展有助于解决人力资源匮乏、配电网可靠性、能源互联网等难题[4]。最后，本文以南京市区数字化配电站房运维的实际需要为例， 设计了城区分级建设情境适用的运维网关， 实现了访问控制和多协议接入主云与边缘计算协同运维两个核心功能。

2 网关总体设计

2.1 核心功能

传统网关框架在分级建设站房中还存在着很多问题。 为了解决数据协议单一的问题， 需要设计创建多种接入协议网关功能以支撑站房传感网分级化建设， 并引入边缘计算特性网关来提高数字化配电站房通用性[5]。 此外，改进的网关还需要设计传感网数据采集可配置功能， 避免进行重复多次开发并减少传统网关数据冗余浪费传输带宽现象。

2.2 网关架构设计

网关设计需要考虑不同配电站房的分级建设需求， 配备数字化监测传感器。 普通站房需要新增传感器，而存有智能监测装置的站房需要适配标准型物联代理装置[6]。重点站房需要连接物联代理装置实现站内环境信息上送， 并增加适配智能型物联代理装置功能，以支持高效管理、辅助决策、智能运维。软件基础架构分为3 层，感知层、数据处理与边缘计算层、应用层。 运维网关架构设计如图1 所示，可以监测所有物联代理装置、采集不同设备数据和监控信息，提供数字化站房运维支持。 边缘计算层进行逻辑判断、数据运算、信号联动和故障研判，将标准格式数据进行边缘计算。 应用层将采集设备上传的数据进行本地动态曲线显示， 网关可以在地市远程桌面软件和班组移动终端App 内实现本地显示。 网关硬件架构主要包括感知层监测设备主机、通信单元、预处理单元、软件服务板卡和微服务器等组成部分。 它可以接入现有的电力物联方案，实现数据收集、终端设备与云平台之间的连接以及数据交互。同时，网关还可实现物联网节点协议及ModBus 协议，并能远端传输及解析放电幅值、脉冲次数、放电类型及相位分布图谱等信息[7]。网关硬件平台的微服务器中的重要组成部分有网关底板、边缘计算核心板和扩展单片机。

图1 运维网关总体构成

使用的iCORE-220E 板卡构架了双嵌入式操作系统：网络OS 系统和可U-Boot 引导的Linux 内核系统， 内核更新采用重编译Patch 实现。 该板卡包括WiFi 模块、 内存、DDR3、NANDFLASH、电源管理模块、LTE 4G 模块和RTC 实时时钟等。单片机可以扩展各种模块，如USB 接口模块、ADC、DAC、以太网接口模块、LTE 模块等， 通过USB 和GPIO 接口连接。核心板由USB Host 控制器构成， 扩展单片机由USB Device设备构成。 这些设计有利于实现板卡的功能扩展和应用拓展。

3 核心功能实现

网关实现了访问控制、 设备接入和配电房运维边缘计算等核心功能。其中，访问控制的设计采用Token 算法安全认证技术， 通过创建设备的协议类型选择相应的设备接入开发以及应用开发， 并使用不可逆算法生成签名Token 执行身份验证， 确保只有授权的开发人员才能访问网关重要权限码。 同时，设计的认证参数针对不同使用者预设了有效时限，降低网关被未授权访问和恶意操作的风险。

网关Token 身份认证参考了JSON Web Token（JWT）微服务架构标准设计，并针对配电站房场景进行了优化。 具体设计见表1，Token 认证由Header、Payload、timestamp 和signature四个参数组成，其中，Header 包括Token 类型和平台ID 属性，Payload 用于存放站房接入设备厂商传递信息，timestamp 表示访问过期时间戳，signature 由两部分加密构成， 用于保护Token 但保留读权限。 Signature 的生成使用设定的次序排列header、Payload、timestamp 参数内容， 再使用算法支持签名方法创建签名。 最终创建的Token 包含devices、平台ID、Token类型、timestamp 和signature 五个部分，以“_”相接。

表1 Token 安全认证核心参数

配网系统运维管理中的安全措施。 设备访问控制通过审批流程控制设备上线， 双因子认证登陆提高了登陆安全性。USBKey 可用于验证人员身份和权限认证，数字调度证书用于数字签名以确保通信过程中不会被篡改。 运维网关会对传递的综合USBKey 和身份信息的安全认证参数进行安全校验，确保其安全性。

访问控制核心功能实现后， 配电站房数字化运维网关还需要处理多协议设备接入功能。 通过TCP 协议接入网关，并通过SSL/TLS 协议进行加密保护物联网设备与云平台之间的通信安全。 设备客户端执行单向验证， 使用端口号8601 与NLEcloud 建立TLS 连接。 在TCP 协议接入时，设备客户端记录传输密钥和设备标识，如果握手连接成功，云平台将发送响应消息，并在设备管理中显示在线标记。 如果使用Modbus 协议来接入网关， 需要填写设备寄存器的对应地址及其含义和计算系数，并保存这些信息。 网关内提供了两种Modbus 输入模式Modbus_RTU 和Modbus_TCP。填写完成后，网关就可以自动识别Modbus_TCP 协议下的各个接口， 并显示连接的设备数量。

网关除设备接入外，还包括接入、退出和更新管理等，并且可以根据不同类型、不同厂家定制化软件应用[8]。 这些功能的实现利用了容器化运行的隔离特性。 供应商提供了各种运维应用，可以远程部署下发、安装升级、启动停止、状态查询、定值下发、日志召唤等操作功能，并且可以按需部署与扩展网关数字化运维功能。MQTT 协议被用来实现软件应用上线，并且需要通过配电运维专职许可、审批并分配应用ID。审核通过后，审核人员会为其打赏版本标签，并将其归档。 当网关收到主站下发的可以接入确认信息后， 主站会根据网关回传的自描述信息进行数据交互。 不同应用所涉及的数据通过网关提供的GSP 和DL/T634.5.104 协议进行传输处理。 为了保障数据传输的正确性和安全性，MQTT 协议在传输层和应用层上增加了控制报文和内嵌应用数据的完整性校验。 运维人员可以根据现场情况升级云上应用和智能网关侧应用， 并且升级后运行状态信息会被自动发送给云端监控， 实现了统一管理和灵活扩展业务功能。 此外，网关的边缘计算扩展节点可以实现云端应用与边缘计算节点协同运维。 智能网关是一款集成控制、管理、计算和通信等多种功能的设备，采用边缘计算服务端App 化的设计理念。当采集到数据后，网关会根据预先配置好的配置文件对数据包进行解析处理和判断， 并根据当前链表节点信息进行其他处理。

边缘计算节点可以实现相关的数据处理和计算功能，运维人员会提前对计算公式、 逻辑或应用拆分成的计算节点进行完整的信息配置。 边缘计算公式被分解成两个一组的计算节点， 数据处理层把经过解析处理的数据按照寄存器地址的顺序存储到每个设备的链表节点缓存中。 设备寄存器地址和寄存器标识符之间的映射关系表也包括在链表节点中。 使用这些数据进行计算或者进行其他操作时， 可以直接用寄存器标识符来调用数据。

图2 展示了基于QT5 实现的上位机软件，利用数字化站房应用边缘计算技术在边缘侧网关扩展板卡上对巡视机器人的视觉采集信息进行分析。 实现了两个分析实例：

图2 配电运维巡视机器人边缘计算端图像分析示例

1）综合分析低压柜的内置传感器数据与巡视机器人的视频数据，实现配电站房内开关柜设备的状态评价；

2）实现了对站房内运维作业人数、安全帽佩戴、摘帽行为的识别， 底层实现利用扩展板的E-linux 子系统上已训练的YOLOV5 模型，该模型还适用于站房始端箱、智能配变终端及消防设施的检测工作。

4 结语

本文介绍了数字化运维网关解决配电站房运维问题的方案，包括云边一体化平台、云端App 商店和自动化运维技术。该系统已在城区配电站房应用，提高了网络利用率和灵活度，具有高工程应用价值。