基于無線雙網關的移動應急電力遠動系統(tǒng)設計

袁永軍

（杭州市電力局，杭州 310009）

基于無線雙網關的移動應急電力遠動系統(tǒng)設計

袁永軍

（杭州市電力局，杭州 310009）

隨著智能電網概念的提出，如何采用多種通信介質建設快速、經濟的遠動通信平臺成為研究熱點。GPRS無線通信模式相比傳統(tǒng)的有線通信具有顯著的成本效益和靈活的組網能力，因此提出基于無線雙網關的移動應急電力遠動系統(tǒng)方案。該系統(tǒng)通過自適應通信網關實現(xiàn)通信規(guī)約的自適應轉換，采用遠動安全網關確保無線通信信息傳送的安全性。

GPRS；通訊；網關；遠動；虛擬專用網

電力遠動系統(tǒng)的組網方式大量使用了載波、微波、光纖等固定通信通道的形式。隨著建設智能電網[1]（Smart Grid）的步伐不斷加快，遠動系統(tǒng)中固定通信通道暴露出明顯的不足，如部分電網基建工程在有線通道未建立時，已經有數(shù)據(jù)傳輸?shù)男枨?；而地震、暴雪等自然災害，很可能對固定通信通道的正常運行產生嚴重影響。

相比有線通信模式，無線通信模式具備更高的成本效益，更靈活快捷的組網能力，在電力系統(tǒng)中的應用研究引起了廣泛關注[2-5]。同時，為滿足建設智能變電站的要求，遠動通信將逐步采用國際標準的IEC 61850通信規(guī)約，而現(xiàn)有變電站通信規(guī)約種類繁多，需要規(guī)約轉換工具實現(xiàn)規(guī)約的標準統(tǒng)一。因此，為了保證在全天候、多種條件下電力數(shù)據(jù)的安全有效以及無縫化傳輸，提出基于無線雙網關的移動應急電力遠動系統(tǒng)方案。

1 遠動系統(tǒng)通信模式探討

目前遠動系統(tǒng)大多采用RS-422和RS-485串口傳輸或現(xiàn)場總線網，無論采樣串口傳輸還是現(xiàn)場總線網絡傳輸，其介質都是有線的，都要受布線的限制，特別是要把相距較遠的節(jié)點連接起來時，敷設專用通信線路的布線施工量大、費用高、耗時長，不利于網絡的升級、擴展。無線通信模式（如GPRS）以公共電磁波為通信信道，因其施工維護簡單、安裝費用低、建設周期短、組網靈活等優(yōu)點，可彌補遠動系統(tǒng)中有線通信模式的不足。

但是，無線通信模式也存在安全系數(shù)低、易受干擾、通信延時長等缺點。要在遠動系統(tǒng)中采用無線通信模式，必須保證信息傳送的安全性，即數(shù)據(jù)傳輸滿足二次系統(tǒng)安全防護的要求，實現(xiàn)信息的認證和加密。同時，為解決無線數(shù)據(jù)傳輸?shù)目垢蓴_和時延問題，利用冗余通信技術和規(guī)約校驗與重傳技術，優(yōu)化數(shù)據(jù)傳輸機制，保證數(shù)據(jù)傳輸?shù)目煽啃院蛯崟r性。

基于無線網絡的移動應急遠動系統(tǒng)需要突破原有的體系結構和傳輸模式，在充分利用無線網絡的基礎上結合最新的網絡化規(guī)約、數(shù)據(jù)安全加密技術，才能實現(xiàn)無線網絡環(huán)境下調度中心與變電站之間快速、靈活、準確、安全的信息交互。IEC 61850是國際最新的變電站自動化通信協(xié)議，加快其在變電站自動化產品中的實施與推廣已經成為廣泛共識。然而，當前變電站有大量遺留設備并不支持IEC 61850規(guī)約，因此，開發(fā)針對遺留產品的規(guī)約轉換通信網關是實現(xiàn)電力數(shù)據(jù)無線全景通信的前提。同時，為保證電力調度數(shù)據(jù)通過無線網絡傳輸時的安全性，可借助基于IPSec協(xié)議[6]的虛擬專用網VPN[7]（Virtual Private Network）安全網關技術對數(shù)據(jù)的傳輸進行安全防護。

2 應急遠動系統(tǒng)結構設計

2.1 信號傳輸

在遠動通信各個系統(tǒng)之間轉發(fā)數(shù)據(jù)時，經常遇到雙方規(guī)約不一致的問題，而系統(tǒng)自適應通信網關支持大多數(shù)遠動規(guī)約（如DNP3.0、IEC 101、IEC 104、TASE.2、IEC 61850等），可以方便實現(xiàn)規(guī)約轉換，將通過某種規(guī)約接收到的數(shù)據(jù)，通過IEC 61850規(guī)約直接轉發(fā)出去，不影響傳輸?shù)乃俣群托剩瓤梢匀哭D發(fā)也可以選取部分轉發(fā)，配置方便。

規(guī)約統(tǒng)一后的報文數(shù)據(jù)通過串口和遠動安全網關相連，避免公網的非法信息侵害變電站和調度中心自動化運行設備。變電站側遠動安全網關將報文數(shù)據(jù)打成IP包，并經過IPSec協(xié)議二次加密，再通過無線發(fā)射終端傳到GPRS網，最后通過調度中心側遠動安全網關解密并使用串口通信到達前置通訊機。

2.2 無線通信組網方式

GPRS（General Packet Radio Service）技術是在原有GSM網絡結構中增添3種新的網絡節(jié)點，即分組控制單元（PCU）、GPRS業(yè)務支持節(jié)點（SGSN）和GPRS網關支持節(jié)點（GGSN）以及對GSM的相關部件進行軟件升級來實現(xiàn)。GPRS采用時分多址（TDMA）方式傳輸話音，用分組方式傳輸數(shù)據(jù)。GPRS支持TCP/IP協(xié)議和X2.5協(xié)議，在GPRS上可以開發(fā)基于IPSec協(xié)議的虛擬專用網VPN和訪問點域名APN（Access PointName）業(yè)務。

采用GPRS組網的詳細網絡結構如圖1所示，在控制中心側用內網APN專線方式連接，即從電信公司后臺服務器引出2M的DDN專線與調度中心遠動安全網關連接，由電信公司提供固定IP地址；在變電站側采用固定IP地址的SIM卡通過遠動安全網關的無線發(fā)射終端接入GPRS。該APN為電力公司專用APN，對訪問接入范圍進行了嚴格的限制。將APN與終端靜態(tài)IP地址綁定后，只有特定終端IP地址才可訪問APN。如果需要增加該APN的設備，必須由電力公司出具授權書，委派移動公司另行開卡接入，確保該APN的安全性。采用該組網方式的數(shù)據(jù)安全性好，穩(wěn)定可靠，傳輸延遲小，能滿足大部分報文傳輸?shù)膶崟r性要求。

圖1 無線通信詳細組網方式

2.3 遠動安全網關設計

無線遠動通信系統(tǒng)的變電站側和控制中心側分別處于兩個獨立的子網，其內部網絡的主機不負責加密工作，系統(tǒng)采用基于IPSec協(xié)議的VPN隧道模式在安全網關之間建立安全通道（如圖2）。兩個安全網關分別保護位于后面的子網，通過HTTPS加密通訊數(shù)據(jù)協(xié)議訪問安全網關服務器，經過身份認證后，設置網關的安全策略，安全網關控制中心側為主設備，其遠程設備后方子網設置為變電站側的IP段，安全網關變電站側從設備的遠程設備后方子網設置為控制中心側的IP段。安全網關的出口IP地址設置為無線GPRS網絡專網靜態(tài)地址。通過這樣的安全配置對接入訪問的范圍和資源進行限制，兩個子網之間傳輸?shù)臄?shù)據(jù)都是經過兩個安全網關協(xié)商處理過的加密和認證的數(shù)據(jù)。信息在網關之間的專有隧道上傳輸，保證了數(shù)據(jù)在公共網絡上的傳輸安全，從而構成有安全保證的VPN。即使外部用戶非法獲取這些數(shù)據(jù)，也不會對源主機或網絡形成威脅。

圖2 VPN隧道通信

IPSec安全認證技術是在網絡層上對數(shù)據(jù)包進行安全處理，從而提供數(shù)據(jù)源驗證、無連接的數(shù)據(jù)完整性、數(shù)據(jù)機密性、抗重播和有限的業(yè)務流機密性等安全服務。IPSec體系是一個開放的標準框架（如圖3），包括3個主要的安全協(xié)議，即認證頭協(xié)議AH（Authentication Header）、封裝安全有效載荷協(xié)議ESP（Encapsulating Securit Payload）和密鑰交換協(xié)議 IKE （Interne Key Exchange）。IPSec的安全服務由通訊雙方建立的安全關聯(lián)（SA）提供，由其選擇由ESP還是AH來保證IP上的傳輸，IKE負責SA的協(xié)商及密鑰交換。

圖3 IPsec體系結構

在這個VPN中，每一個具有IPSec的安全網關都是一個網絡聚合點，試圖對VPN進行信息內容分析將會失敗。目的地是VPN的所有通信，都經過安全網關上的SA來定義加密或認證的算法和密鑰等參數(shù)，即從VPN的安全網關出來的數(shù)據(jù)包只要符合安全策略，就會用相應的SA來加密或認證（加上AH或ESP包頭）。所有的加密和解密由兩端的安全網關全權代理。

（1）發(fā)送方IP分組的處理過程：源主機發(fā)送一個IP分組給安全網關，安全網關針對IP分組目的地址查詢策略引擎，根據(jù)安全策略強制加上AH或ESP頭，對沒有SA的安全策略利用IKE建立新的SA，安全網關發(fā)送這個經過IPSec處理過的分組。

（2）接收方的處理過程：另一端的安全網關收到這個分組，利用分組的AH或ESP頭調用IPSec處理，進而決定IPSec處理的應用是否正確，如果驗證正確，那么解密恢復到原始數(shù)據(jù)分組并轉發(fā)到真正的目的主機。

3 自適應通訊網關設計

自適應通訊網關主要包括以下4個功能模塊：數(shù)據(jù)模型映射模塊、動態(tài)規(guī)約轉換模塊、實時庫模塊、ACSI/MMS服務模塊。通信網關軟件結構如圖4所示。

圖4 通信網關軟件結構

3.1 數(shù)據(jù)模型映射模塊

為了使通訊網關能夠成為不同遺留產品的通用封裝器，必須對電力對象提供統(tǒng)一的數(shù)據(jù)模型。本系統(tǒng)采用IEC 61850的建模方法，并在此基礎上擴展，完成了變電站系統(tǒng)的數(shù)據(jù)模型擴建，并對其進行元數(shù)據(jù)和元數(shù)據(jù)映射服務。通過元數(shù)據(jù)所描述的信息，網關中協(xié)議轉換器的結構在運行期得到配置，虛擬實時庫建立遺留產品的通用數(shù)據(jù)模型。通過模型映射，協(xié)議轉換器能完成不同協(xié)議間的自動適配。

3.2 動態(tài)規(guī)約轉換模塊

非IEC 61850協(xié)議的數(shù)據(jù)模型都面向信號，對RTU的信息描述都是以點表的形式，從邏輯上看是線性和平面的，而IEC 61850的數(shù)據(jù)模型是面向對象的、分層和立體的。因此將傳統(tǒng)遠動協(xié)議轉化為IEC 61850協(xié)議，首先是線性信息如類型標識符、可變結構限定詞、傳送原因、應用服務數(shù)據(jù)單元公共地址和功能類型等，從101/104所定義的應用服務數(shù)據(jù)單元（ASDU）到IEC 61850中面向對象信息（服務器、邏輯設備、邏輯節(jié)點、數(shù)據(jù)對象和數(shù)據(jù)屬性等）的轉化過程。其次，是將IEC 60870-5-101/104等規(guī)約的服務映射到ACSI服務。

為了實現(xiàn)靈活快速的規(guī)約轉換，為現(xiàn)存的大多數(shù)遠動規(guī)約 （CDT、DNP3.0、IEC101、IEC104、DL476、TASE.2、IEC61850）提供標準接口，每個規(guī)約為一個動態(tài)庫，能夠按需添加新規(guī)約而不影響系統(tǒng)的運行。通過一種規(guī)約接收數(shù)據(jù)，識別提取數(shù)據(jù)包中的有效信息，經過元數(shù)據(jù)管理將其映射到虛擬實時庫中，再通過規(guī)約轉換模塊生成需要的規(guī)約轉發(fā)出去。

3.3 實時庫模塊

實時數(shù)據(jù)庫是內存數(shù)據(jù)庫，選擇文件映射方式實現(xiàn)高效可靠的內存管理。由于變電站設備模型的總體結構是按邏輯設備、LN、數(shù)據(jù)對象劃分的層次結構，因此選擇基于層次模型的實時庫產品。同時，對子站監(jiān)控系統(tǒng)的實時庫進行映射，并統(tǒng)一進行管理。通訊網關實時庫可以將多個廠站的數(shù)據(jù)歸一，以統(tǒng)一的鏈路發(fā)送給調度；同時調度的數(shù)據(jù)可以復制到多個鏈路發(fā)送給多個廠站。當發(fā)生雷暴等惡劣氣象條件造成GPRS通信中斷時，一方面歸一化數(shù)據(jù)將在實時庫的預留存儲空間保留，并及時給出報警，以防止長期故障而引起預留空間存儲數(shù)據(jù)的溢出；另一方面通過自動重連功能嘗試撥號接入網絡，利用斷點續(xù)傳功能將保留數(shù)據(jù)發(fā)送出去，保持數(shù)據(jù)傳輸?shù)倪B續(xù)性。

3.4 ACSI/MMS模塊

IEC 61850總結了電力生產過程特點和要求，歸納出電力系統(tǒng)所必需的信息傳輸?shù)木W絡服務，采用抽象建模方法設計出ACSI，它獨立于具體的網絡應用層協(xié)議，與采用的網絡無關。ACSI服務是一種抽象通信服務，必須將其映射到具體的通信服務，對攜帶服務參數(shù)的報文格式和編碼規(guī)則以及網絡傳輸方式加以定義，才可以用于實際的信息交換過程。MMS定義了一套標準的服務，MMS用戶使用相同的服務進行交互，從而實現(xiàn)互操作性。

4 結語

本文提出的基于無線雙網關的移動應急遠動通信系統(tǒng)方案，解決了基建工程通信、電網故障通信等短期應急通信問題。為保證無線通信符合二次安防要求，在變電站及調度中心入口皆采用串口通信，通過基于IPSec安全協(xié)議的VPN隧道模式建立虛擬專用網實現(xiàn)外網隔離，采用接入點域名服務APN提供GPRS專有信道。同時運用最新的IEC 61850通信規(guī)約，滿足未來智能變電站的通信需求。限于無線通信技術在通信帶寬、通信速率、系統(tǒng)穩(wěn)定性和安全性等方面固有缺陷的影響，無線通信模式還不足以取代有線通信在電力系統(tǒng)遠動通信中的地位，但隨著無線通信技術的不斷發(fā)展，其在電力系統(tǒng)遠動通信中的應用范圍將更為廣闊。

[1]肖世杰.構建中國智能電網技術思考[J].電力系統(tǒng)自動化.2009，33（9）:1-4.

[2]唐海軍.基于GPRS的配電網饋線自動化模式探討[J].電力系統(tǒng)自動化，2006，30（7）:104-107.

[3]李惠宇，羅小莉，于盛林.一種基于GPRS的配電自動化系統(tǒng)方案[J].電力系統(tǒng)自動化，2003，27（24）:63-65.

[4]所旭，張萍.無線通信技術應用于變電站自動化的探討[J].電力系統(tǒng)自動化，2004，28（17）:88-91.

[5]黃新波，劉家兵，王向利，等.基于GPRS網絡的輸電線路絕緣子污穢在線遙測系統(tǒng)[J].電力系統(tǒng)自動化，2004，28（21）:92-96.

[6]唐佳佳，周曉東，陸建德.IPsec VPN安全網關的認證優(yōu)化設計與實現(xiàn)[J].計算機應用與軟件，2008，25（5）: 59-61.

[7]BROWN S.構建虛擬專用網[M].董曉宇，魏鴻，馬潔，等譯.北京:人民郵電出版社，2000.

（本文編輯：楊 勇）

Design of Mobile Emergency Telecontrol System Based on Wireless Dual-gateway

YUAN Yong-jun

（Hangzhou Municipal Power Supply Bureau，Hangzhou 310009，Zhejiang）

Along with the proposed concept of intelligent power grid,how to adopt multiple communication media to build a rapid and economical telecontrol communication platform system becomes a hot topic.GPRS wireless communication mode has apparent cost benefits and agile networking capability by comparison with traditional wired communication.Therefore,this paper proposes the plan of mobile emergency telecontrol system based on wireless dual-gateway which uses self-adaptation communication gateway to realizes self-adaptation conversion of communication protocol and ensures the safety of wireless communication information transmission by telecontrolsecurity gateway.

GPRS;communication；gateway；telecontrol；VPN

TM762

B

1007-1881（2010）08-0045-04

2010-03-09

袁永軍 （1974-），男，浙江紹興人，工程師，從事電網建設管理工作。