數(shù)字化變電站關(guān)鍵技術(shù)及信息安全分析

數(shù)字化變電站關(guān)鍵技術(shù)及信息安全分析
[摘 要] 本文首先介紹了變電站自動(dòng)化的發(fā)展歷程，分析了變電站自動(dòng)化系統(tǒng)現(xiàn)狀及其局限性，
敘述了數(shù)字化變電站的關(guān)鍵技術(shù)：光電互感器、智能斷路器、IEC 61850標(biāo)準(zhǔn)。指出信息安全的
缺陷及其解決方法。
[關(guān)鍵詞]數(shù)字化；資源共享；信息安全；加密技術(shù)
1 引言
從20世紀(jì)80年代末開(kāi)始在變電站領(lǐng)域應(yīng)用綜合自動(dòng)化技術(shù)以來(lái)，已有近20年的歷史，對(duì)
我國(guó)電網(wǎng)改造和建設(shè)產(chǎn)生了深遠(yuǎn)的影響，廣東電網(wǎng)公司在最近的幾年中，新建的 220kV 及以下
變電站均采用綜合自動(dòng)化新技術(shù)，提高了電網(wǎng)建設(shè)的現(xiàn)代化水平，且?guī)缀鯙闊o(wú)人值守站，減少
了變電站建設(shè)的總造價(jià)；另一方面，廣東電網(wǎng)公司完成了大量非綜合自動(dòng)化變電站改造為綜合
自動(dòng)化變電站。不僅大大提高了電網(wǎng)穩(wěn)定性和可靠性，而且降低了運(yùn)行成本。目前，陽(yáng)江供電
局 110kV 變電站全部為新建或改造的綜合自動(dòng)化變電站，且采用無(wú)人值守的管理模式。然而，
目前的綜合自動(dòng)化變電站均存在著以下兩點(diǎn)通?。阂皇枪δ苤貜?fù)以至設(shè)備投資重復(fù)。比如數(shù)據(jù)
測(cè)量、計(jì)量、監(jiān)控、遠(yuǎn)動(dòng)分別使用各自的變送器，容易造成數(shù)據(jù)不一致，且增加運(yùn)行、維護(hù)的
難度；二是系統(tǒng)內(nèi)使用的通訊規(guī)約不統(tǒng)一，不同的廠家使用不同的通訊規(guī)約，在系統(tǒng)聯(lián)調(diào)的時(shí)
候需要進(jìn)行不同程度的規(guī)約轉(zhuǎn)換，加大了調(diào)試的復(fù)雜性，同樣也增加運(yùn)行、維護(hù)的難度。因此，
目前的變電站迫切需要一個(gè)簡(jiǎn)約的、智能的系統(tǒng)，實(shí)現(xiàn)信息共享，以減少投資，提高運(yùn)行、維
護(hù)效率。隨著計(jì)算機(jī)應(yīng)用技術(shù)和現(xiàn)代電子技術(shù)的飛速發(fā)展，數(shù)字化變電站離我們?cè)絹?lái)越近。
2 數(shù)字化變電站關(guān)鍵技術(shù)
數(shù)字化變電站主要由光電式互感器、智能化一次設(shè)備、網(wǎng)絡(luò)化二次設(shè)備在 IEC61850 通訊規(guī)
約基礎(chǔ)上分層構(gòu)建，能夠?qū)崿F(xiàn)智能設(shè)備間信息共享和互操作的現(xiàn)代化變電站。其有四個(gè)主要特
點(diǎn)。
2.1 一次設(shè)備智能化
智能化電氣設(shè)備快速發(fā)展，出現(xiàn)光電式互感器、智能化開(kāi)關(guān)等機(jī)電一體化設(shè)備。光電式互
感器具有精度高、線(xiàn)性度好、無(wú)鐵磁諧振和鐵磁飽和、抗干擾能力強(qiáng)，安全性好、傳輸距離遠(yuǎn)、
體積小、重量輕等特點(diǎn)，并且具備自檢功能和在線(xiàn)校準(zhǔn)功能。克服了傳統(tǒng)互感器絕緣復(fù)雜、重
量重、體積大，CT動(dòng)態(tài)范圍小、易飽和，電磁式PT易產(chǎn)生鐵磁諧振，CT二次輸出不允許開(kāi)路
等諸多缺點(diǎn)。光電式互感器的應(yīng)用一方面簡(jiǎn)化繼保設(shè)備，提高了微機(jī)保護(hù)的精度和可靠性，滿(mǎn)
足電力系統(tǒng)精確計(jì)量的要求；另一方面，對(duì)電力系統(tǒng)故障反應(yīng)速度快、靈敏度高、測(cè)量范圍廣，滿(mǎn)足暫態(tài)保護(hù)要求，適應(yīng)了電力系統(tǒng)數(shù)字化、智能化、網(wǎng)絡(luò)化的要求。為一次設(shè)備智能化改革
提供了基礎(chǔ)。
按照 IEC62063:1999 對(duì)智能斷路器設(shè)備的定義，它不但具有斷路器設(shè)備的基本功能，還具
有在線(xiàn)監(jiān)視、智能控制、數(shù)字化接口和斷路器的電子操作等一系列的高智能化功能。主要體現(xiàn)
為：對(duì)于一次設(shè)備被檢測(cè)的信號(hào)回路和被控制的操作驅(qū)動(dòng)回路，將采用微處理器和光電技術(shù)設(shè)
計(jì)，使傳統(tǒng)機(jī)電式繼電器及控制回路的結(jié)構(gòu)大大簡(jiǎn)化；數(shù)字程控器及數(shù)字公共信號(hào)網(wǎng)絡(luò)要取代
傳統(tǒng)的導(dǎo)線(xiàn)連接；可編程序取代二次回路中傳統(tǒng)的繼電器及其邏輯回路；光電數(shù)字和光纖取代
常規(guī)的強(qiáng)電模擬信號(hào)和控制電纜。
2.2 二次設(shè)備網(wǎng)絡(luò)化
二次設(shè)備的網(wǎng)絡(luò)化，是適應(yīng)光電式互感器的應(yīng)用、智能化一次設(shè)備和IEC61850通訊規(guī)約的
需要。我們所熟知傳統(tǒng)二次設(shè)備，如繼電保護(hù)裝置、防誤閉鎖裝置、測(cè)量控制裝置、故障錄波
裝置、穩(wěn)控裝置、VQC 將等全部基于標(biāo)準(zhǔn)化、模塊化的微處理機(jī)設(shè)計(jì)制造，各設(shè)備之間的連接
均采用高速的網(wǎng)絡(luò)通訊，二次設(shè)備沒(méi)有重復(fù)的 I/O 現(xiàn)場(chǎng)接口，主要靠網(wǎng)絡(luò)真正實(shí)現(xiàn)數(shù)據(jù)共享、
資源共享。
2.3 運(yùn)行管理系統(tǒng)自動(dòng)化
變電站的運(yùn)行管理系統(tǒng)一般包括運(yùn)行數(shù)據(jù)和狀態(tài)記錄無(wú)紙化、自動(dòng)化。運(yùn)行設(shè)備發(fā)生故障
時(shí)，及時(shí)提供故障分析報(bào)告，給出故障原因及處理意見(jiàn)。此外，系統(tǒng)應(yīng)能自動(dòng)發(fā)送設(shè)備檢修報(bào)
告，不再進(jìn)行傳統(tǒng)的定期檢修，而是實(shí)現(xiàn)狀態(tài)檢修，大大減少勞動(dòng)力。
2.4 IEC61850標(biāo)準(zhǔn)規(guī)約的應(yīng)用
IEC61850是以變電站一、二次設(shè)備信息為數(shù)字化對(duì)象，以高速以太網(wǎng)絡(luò)通訊平臺(tái)為基礎(chǔ)，
通過(guò)對(duì)數(shù)字化信息進(jìn)行標(biāo)準(zhǔn)化建模，把電力系統(tǒng)的調(diào)度中心、變電站及變電站內(nèi)部進(jìn)行無(wú)縫連
接的唯一的自動(dòng)化國(guó)際通訊標(biāo)準(zhǔn)，不僅規(guī)范了繼電保護(hù)裝置、防誤閉鎖裝置、測(cè)量控制裝置、
故障錄波裝置、穩(wěn)控裝置、VQC 等的模型和通訊接口，還規(guī)范了數(shù)字式 CT、PT、智能化開(kāi)關(guān)
等一次設(shè)備的模型和通信接口，很好地解決不同的廠家使用不同的通訊規(guī)約的矛盾。大大簡(jiǎn)化
了變電站二次系統(tǒng)，強(qiáng)化了各類(lèi)應(yīng)用功能。
3 數(shù)字化變電站信息安全對(duì)策
雖然基于 IEC 61850 標(biāo)準(zhǔn)協(xié)議建立起來(lái)的通信網(wǎng)絡(luò)體系結(jié)構(gòu)在上層協(xié)議上是一致的，而且
也大大提高變電站內(nèi)設(shè)備的互操作性和互換性，但是協(xié)議的開(kāi)放性和標(biāo)準(zhǔn)性同樣帶來(lái)一個(gè)重要
的問(wèn)題：二次系統(tǒng)的安全性問(wèn)題。數(shù)字化變電站內(nèi)由于各種智能電子設(shè)備的大量應(yīng)用，變電站內(nèi)運(yùn)行、狀態(tài)和控制等數(shù)字化信息需要傳送，負(fù)責(zé)傳送這些信息的網(wǎng)絡(luò)通訊系統(tǒng)成為數(shù)字化變
電站的重要平臺(tái)，因而，網(wǎng)絡(luò)可靠性直接關(guān)系著數(shù)字化變電站的良好運(yùn)行。所以信息安全和網(wǎng)
絡(luò)可靠性自然成為人們較為關(guān)注的兩個(gè)焦點(diǎn)。目前解決這兩個(gè)問(wèn)題主要采用的技術(shù)措施分為兩
類(lèi)，即加密技術(shù)和防火墻技術(shù)。
3.1 加密技術(shù)
加密技術(shù)的基本原理是對(duì)網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理，到達(dá)目的地址后再解密還原為
原始數(shù)據(jù)，從而防止非法用戶(hù)對(duì)信息的截取和盜用。
加密技術(shù)主要分為數(shù)據(jù)傳輸加密和數(shù)據(jù)存儲(chǔ)加密。數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)傳輸中的數(shù)
據(jù)流進(jìn)行加密，常用的有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種方式。
傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進(jìn)行加密，不考慮信源和信宿的方式屬于鏈路加密，
它用于保護(hù)通訊節(jié)點(diǎn)間的數(shù)據(jù)，接收方是傳送路徑上的各臺(tái)節(jié)點(diǎn)機(jī)，信息在每臺(tái)節(jié)點(diǎn)機(jī)內(nèi)都要
被解密和再加密，依次進(jìn)行，直至到達(dá)目的地。
節(jié)點(diǎn)加密方法與鏈路加密類(lèi)似，不同的是在節(jié)點(diǎn)處采用一個(gè)與節(jié)點(diǎn)機(jī)相連的密碼裝置，密
文在該裝置中被解密并被重新加密，明文不通過(guò)節(jié)點(diǎn)機(jī)，避免了鏈路加密節(jié)點(diǎn)處易受攻擊的缺
陷。
端到端加密是在應(yīng)用層完成的，是為數(shù)據(jù)從一端到另一端提供的加密方式。數(shù)據(jù)在發(fā)送端
被加密，在接收端解密，中間節(jié)點(diǎn)處不以明文的形式出現(xiàn)。在端到端加密中，除報(bào)頭外的的報(bào)
文均以密文的形式貫穿于整個(gè)傳輸過(guò)程，只是在發(fā)送端和接收端才有加密、解密設(shè)備，報(bào)文在
中間任何節(jié)點(diǎn)均不解密，因此，不需要有密碼設(shè)備，同鏈路加密相比，可減少密碼設(shè)備的數(shù)量。
另一方面，信息是由報(bào)頭和報(bào)文組成的，報(bào)文為要傳送的信息，報(bào)頭為路由選擇信息，由于網(wǎng)
絡(luò)傳輸中要涉及到路由選擇，若使用鏈路加密，則報(bào)文和報(bào)頭兩者均須加密。而使用端到端加
密時(shí)，由于通道上的每一個(gè)中間節(jié)點(diǎn)雖不對(duì)報(bào)文解密，但為將報(bào)文傳送到目的地，必須檢查路
由選擇信息，因此，只能加密報(bào)文，而不能對(duì)報(bào)頭加密。這樣就容易被某些通訊分析察覺(jué)，而
從中獲取某些敏感信息。
鏈路加密對(duì)用戶(hù)來(lái)說(shuō)比較容易，使用的密鑰較少，而端到端加密比較靈活，對(duì)用戶(hù)可見(jiàn)。
在對(duì)鏈路加密中各節(jié)點(diǎn)安全狀況不放心的情況下也可使用端到端加密方式。
3.2 防火墻技術(shù)
防火墻技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)的隔離和限制訪問(wèn)等方法，來(lái)控制網(wǎng)絡(luò)的訪問(wèn)權(quán)限，從而保證變電
站綜合自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)安全。但是由于防火墻只能夠?qū)缭骄W(wǎng)絡(luò)邊界的信息進(jìn)行監(jiān)測(cè)、控制，而對(duì)網(wǎng)絡(luò)內(nèi)部人員的攻擊不具備防范能力。因此單純依靠防火墻來(lái)保護(hù)網(wǎng)絡(luò)的安全性是不夠的，
還必須與其它安全措施（如加密技術(shù)等）綜合使用，才能達(dá)到目的。
4 結(jié)束語(yǔ)
本文論述了數(shù)字化變電站的關(guān)鍵技術(shù)，凸出信息安全問(wèn)題及其對(duì)策。當(dāng)然，數(shù)字化變電站
是一個(gè)長(zhǎng)期的復(fù)雜的系統(tǒng)工程，目前仍有許多技術(shù)難題需要解決，如有關(guān)保護(hù)定值條目在
IEC61850中沒(méi)有約定、數(shù)據(jù)采集共享問(wèn)題等。雖然全部實(shí)現(xiàn)數(shù)字化變電站自動(dòng)化功能還有很長(zhǎng)
的路要走，但是數(shù)字化變電站無(wú)疑是變電站自動(dòng)化系統(tǒng)發(fā)展的重要方向。