袁永軍

（杭州市電力局，杭州 310009）

基于無線雙網(wǎng)關(guān)的移動應(yīng)急電力遠動系統(tǒng)設(shè)計

袁永軍

（杭州市電力局，杭州 310009）

隨著智能電網(wǎng)概念的提出，如何采用多種通信介質(zhì)建設(shè)快速、經(jīng)濟的遠動通信平臺成為研究熱點。GPRS無線通信模式相比傳統(tǒng)的有線通信具有顯著的成本效益和靈活的組網(wǎng)能力，因此提出基于無線雙網(wǎng)關(guān)的移動應(yīng)急電力遠動系統(tǒng)方案。該系統(tǒng)通過自適應(yīng)通信網(wǎng)關(guān)實現(xiàn)通信規(guī)約的自適應(yīng)轉(zhuǎn)換，采用遠動安全網(wǎng)關(guān)確保無線通信信息傳送的安全性。

GPRS；通訊；網(wǎng)關(guān)；遠動；虛擬專用網(wǎng)

電力遠動系統(tǒng)的組網(wǎng)方式大量使用了載波、微波、光纖等固定通信通道的形式。隨著建設(shè)智能電網(wǎng)[1]（Smart Grid）的步伐不斷加快，遠動系統(tǒng)中固定通信通道暴露出明顯的不足，如部分電網(wǎng)基建工程在有線通道未建立時，已經(jīng)有數(shù)據(jù)傳輸?shù)男枨?；而地震、暴雪等自然?zāi)害，很可能對固定通信通道的正常運行產(chǎn)生嚴(yán)重影響。

相比有線通信模式，無線通信模式具備更高的成本效益，更靈活快捷的組網(wǎng)能力，在電力系統(tǒng)中的應(yīng)用研究引起了廣泛關(guān)注[2-5]。同時，為滿足建設(shè)智能變電站的要求，遠動通信將逐步采用國際標(biāo)準(zhǔn)的IEC 61850通信規(guī)約，而現(xiàn)有變電站通信規(guī)約種類繁多，需要規(guī)約轉(zhuǎn)換工具實現(xiàn)規(guī)約的標(biāo)準(zhǔn)統(tǒng)一。因此，為了保證在全天候、多種條件下電力數(shù)據(jù)的安全有效以及無縫化傳輸，提出基于無線雙網(wǎng)關(guān)的移動應(yīng)急電力遠動系統(tǒng)方案。

1 遠動系統(tǒng)通信模式探討

目前遠動系統(tǒng)大多采用RS-422和RS-485串口傳輸或現(xiàn)場總線網(wǎng)，無論采樣串口傳輸還是現(xiàn)場總線網(wǎng)絡(luò)傳輸，其介質(zhì)都是有線的，都要受布線的限制，特別是要把相距較遠的節(jié)點連接起來時，敷設(shè)專用通信線路的布線施工量大、費用高、耗時長，不利于網(wǎng)絡(luò)的升級、擴展。無線通信模式（如GPRS）以公共電磁波為通信信道，因其施工維護簡單、安裝費用低、建設(shè)周期短、組網(wǎng)靈活等優(yōu)點，可彌補遠動系統(tǒng)中有線通信模式的不足。

但是，無線通信模式也存在安全系數(shù)低、易受干擾、通信延時長等缺點。要在遠動系統(tǒng)中采用無線通信模式，必須保證信息傳送的安全性，即數(shù)據(jù)傳輸滿足二次系統(tǒng)安全防護的要求，實現(xiàn)信息的認(rèn)證和加密。同時，為解決無線數(shù)據(jù)傳輸?shù)目垢蓴_和時延問題，利用冗余通信技術(shù)和規(guī)約校驗與重傳技術(shù)，優(yōu)化數(shù)據(jù)傳輸機制，保證數(shù)據(jù)傳輸?shù)目煽啃院蛯崟r性。

基于無線網(wǎng)絡(luò)的移動應(yīng)急遠動系統(tǒng)需要突破原有的體系結(jié)構(gòu)和傳輸模式，在充分利用無線網(wǎng)絡(luò)的基礎(chǔ)上結(jié)合最新的網(wǎng)絡(luò)化規(guī)約、數(shù)據(jù)安全加密技術(shù)，才能實現(xiàn)無線網(wǎng)絡(luò)環(huán)境下調(diào)度中心與變電站之間快速、靈活、準(zhǔn)確、安全的信息交互。IEC 61850是國際最新的變電站自動化通信協(xié)議，加快其在變電站自動化產(chǎn)品中的實施與推廣已經(jīng)成為廣泛共識。然而，當(dāng)前變電站有大量遺留設(shè)備并不支持IEC 61850規(guī)約，因此，開發(fā)針對遺留產(chǎn)品的規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)是實現(xiàn)電力數(shù)據(jù)無線全景通信的前提。同時，為保證電力調(diào)度數(shù)據(jù)通過無線網(wǎng)絡(luò)傳輸時的安全性，可借助基于IPSec協(xié)議[6]的虛擬專用網(wǎng)VPN[7]（Virtual Private Network）安全網(wǎng)關(guān)技術(shù)對數(shù)據(jù)的傳輸進行安全防護。

2 應(yīng)急遠動系統(tǒng)結(jié)構(gòu)設(shè)計

2.1 信號傳輸

在遠動通信各個系統(tǒng)之間轉(zhuǎn)發(fā)數(shù)據(jù)時，經(jīng)常遇到雙方規(guī)約不一致的問題，而系統(tǒng)自適應(yīng)通信網(wǎng)關(guān)支持大多數(shù)遠動規(guī)約（如DNP3.0、IEC 101、IEC 104、TASE.2、IEC 61850等），可以方便實現(xiàn)規(guī)約轉(zhuǎn)換，將通過某種規(guī)約接收到的數(shù)據(jù)，通過IEC 61850規(guī)約直接轉(zhuǎn)發(fā)出去，不影響傳輸?shù)乃俣群托?，既可以全部轉(zhuǎn)發(fā)也可以選取部分轉(zhuǎn)發(fā)，配置方便。

規(guī)約統(tǒng)一后的報文數(shù)據(jù)通過串口和遠動安全網(wǎng)關(guān)相連，避免公網(wǎng)的非法信息侵害變電站和調(diào)度中心自動化運行設(shè)備。變電站側(cè)遠動安全網(wǎng)關(guān)將報文數(shù)據(jù)打成IP包，并經(jīng)過IPSec協(xié)議二次加密，再通過無線發(fā)射終端傳到GPRS網(wǎng)，最后通過調(diào)度中心側(cè)遠動安全網(wǎng)關(guān)解密并使用串口通信到達前置通訊機。

2.2 無線通信組網(wǎng)方式

GPRS（General Packet Radio Service）技術(shù)是在原有GSM網(wǎng)絡(luò)結(jié)構(gòu)中增添3種新的網(wǎng)絡(luò)節(jié)點，即分組控制單元（PCU）、GPRS業(yè)務(wù)支持節(jié)點（SGSN）和GPRS網(wǎng)關(guān)支持節(jié)點（GGSN）以及對GSM的相關(guān)部件進行軟件升級來實現(xiàn)。GPRS采用時分多址（TDMA）方式傳輸話音，用分組方式傳輸數(shù)據(jù)。GPRS支持TCP/IP協(xié)議和X2.5協(xié)議，在GPRS上可以開發(fā)基于IPSec協(xié)議的虛擬專用網(wǎng)VPN和訪問點域名APN（Access PointName）業(yè)務(wù)。

采用GPRS組網(wǎng)的詳細網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，在控制中心側(cè)用內(nèi)網(wǎng)APN專線方式連接，即從電信公司后臺服務(wù)器引出2M的DDN專線與調(diào)度中心遠動安全網(wǎng)關(guān)連接，由電信公司提供固定IP地址；在變電站側(cè)采用固定IP地址的SIM卡通過遠動安全網(wǎng)關(guān)的無線發(fā)射終端接入GPRS。該APN為電力公司專用APN，對訪問接入范圍進行了嚴(yán)格的限制。將APN與終端靜態(tài)IP地址綁定后，只有特定終端IP地址才可訪問APN。如果需要增加該APN的設(shè)備，必須由電力公司出具授權(quán)書，委派移動公司另行開卡接入，確保該APN的安全性。采用該組網(wǎng)方式的數(shù)據(jù)安全性好，穩(wěn)定可靠，傳輸延遲小，能滿足大部分報文傳輸?shù)膶崟r性要求。

圖1 無線通信詳細組網(wǎng)方式

2.3 遠動安全網(wǎng)關(guān)設(shè)計

無線遠動通信系統(tǒng)的變電站側(cè)和控制中心側(cè)分別處于兩個獨立的子網(wǎng)，其內(nèi)部網(wǎng)絡(luò)的主機不負(fù)責(zé)加密工作，系統(tǒng)采用基于IPSec協(xié)議的VPN隧道模式在安全網(wǎng)關(guān)之間建立安全通道（如圖2）。兩個安全網(wǎng)關(guān)分別保護位于后面的子網(wǎng)，通過HTTPS加密通訊數(shù)據(jù)協(xié)議訪問安全網(wǎng)關(guān)服務(wù)器，經(jīng)過身份認(rèn)證后，設(shè)置網(wǎng)關(guān)的安全策略，安全網(wǎng)關(guān)控制中心側(cè)為主設(shè)備，其遠程設(shè)備后方子網(wǎng)設(shè)置為變電站側(cè)的IP段，安全網(wǎng)關(guān)變電站側(cè)從設(shè)備的遠程設(shè)備后方子網(wǎng)設(shè)置為控制中心側(cè)的IP段。安全網(wǎng)關(guān)的出口IP地址設(shè)置為無線GPRS網(wǎng)絡(luò)專網(wǎng)靜態(tài)地址。通過這樣的安全配置對接入訪問的范圍和資源進行限制，兩個子網(wǎng)之間傳輸?shù)臄?shù)據(jù)都是經(jīng)過兩個安全網(wǎng)關(guān)協(xié)商處理過的加密和認(rèn)證的數(shù)據(jù)。信息在網(wǎng)關(guān)之間的專有隧道上傳輸，保證了數(shù)據(jù)在公共網(wǎng)絡(luò)上的傳輸安全，從而構(gòu)成有安全保證的VPN。即使外部用戶非法獲取這些數(shù)據(jù)，也不會對源主機或網(wǎng)絡(luò)形成威脅。

圖2 VPN隧道通信

IPSec安全認(rèn)證技術(shù)是在網(wǎng)絡(luò)層上對數(shù)據(jù)包進行安全處理，從而提供數(shù)據(jù)源驗證、無連接的數(shù)據(jù)完整性、數(shù)據(jù)機密性、抗重播和有限的業(yè)務(wù)流機密性等安全服務(wù)。IPSec體系是一個開放的標(biāo)準(zhǔn)框架（如圖3），包括3個主要的安全協(xié)議，即認(rèn)證頭協(xié)議AH（Authentication Header）、封裝安全有效載荷協(xié)議ESP（Encapsulating Securit Payload）和密鑰交換協(xié)議 IKE （Interne Key Exchange）。IPSec的安全服務(wù)由通訊雙方建立的安全關(guān)聯(lián)（SA）提供，由其選擇由ESP還是AH來保證IP上的傳輸，IKE負(fù)責(zé)SA的協(xié)商及密鑰交換。

圖3 IPsec體系結(jié)構(gòu)

在這個VPN中，每一個具有IPSec的安全網(wǎng)關(guān)都是一個網(wǎng)絡(luò)聚合點，試圖對VPN進行信息內(nèi)容分析將會失敗。目的地是VPN的所有通信，都經(jīng)過安全網(wǎng)關(guān)上的SA來定義加密或認(rèn)證的算法和密鑰等參數(shù)，即從VPN的安全網(wǎng)關(guān)出來的數(shù)據(jù)包只要符合安全策略，就會用相應(yīng)的SA來加密或認(rèn)證（加上AH或ESP包頭）。所有的加密和解密由兩端的安全網(wǎng)關(guān)全權(quán)代理。

（1）發(fā)送方IP分組的處理過程：源主機發(fā)送一個IP分組給安全網(wǎng)關(guān)，安全網(wǎng)關(guān)針對IP分組目的地址查詢策略引擎，根據(jù)安全策略強制加上AH或ESP頭，對沒有SA的安全策略利用IKE建立新的SA，安全網(wǎng)關(guān)發(fā)送這個經(jīng)過IPSec處理過的分組。

（2）接收方的處理過程：另一端的安全網(wǎng)關(guān)收到這個分組，利用分組的AH或ESP頭調(diào)用IPSec處理，進而決定IPSec處理的應(yīng)用是否正確，如果驗證正確，那么解密恢復(fù)到原始數(shù)據(jù)分組并轉(zhuǎn)發(fā)到真正的目的主機。

3 自適應(yīng)通訊網(wǎng)關(guān)設(shè)計

自適應(yīng)通訊網(wǎng)關(guān)主要包括以下4個功能模塊：數(shù)據(jù)模型映射模塊、動態(tài)規(guī)約轉(zhuǎn)換模塊、實時庫模塊、ACSI/MMS服務(wù)模塊。通信網(wǎng)關(guān)軟件結(jié)構(gòu)如圖4所示。

圖4 通信網(wǎng)關(guān)軟件結(jié)構(gòu)

3.1 數(shù)據(jù)模型映射模塊

為了使通訊網(wǎng)關(guān)能夠成為不同遺留產(chǎn)品的通用封裝器，必須對電力對象提供統(tǒng)一的數(shù)據(jù)模型。本系統(tǒng)采用IEC 61850的建模方法，并在此基礎(chǔ)上擴展，完成了變電站系統(tǒng)的數(shù)據(jù)模型擴建，并對其進行元數(shù)據(jù)和元數(shù)據(jù)映射服務(wù)。通過元數(shù)據(jù)所描述的信息，網(wǎng)關(guān)中協(xié)議轉(zhuǎn)換器的結(jié)構(gòu)在運行期得到配置，虛擬實時庫建立遺留產(chǎn)品的通用數(shù)據(jù)模型。通過模型映射，協(xié)議轉(zhuǎn)換器能完成不同協(xié)議間的自動適配。

3.2 動態(tài)規(guī)約轉(zhuǎn)換模塊

非IEC 61850協(xié)議的數(shù)據(jù)模型都面向信號，對RTU的信息描述都是以點表的形式，從邏輯上看是線性和平面的，而IEC 61850的數(shù)據(jù)模型是面向?qū)ο蟮?、分層和立體的。因此將傳統(tǒng)遠動協(xié)議轉(zhuǎn)化為IEC 61850協(xié)議，首先是線性信息如類型標(biāo)識符、可變結(jié)構(gòu)限定詞、傳送原因、應(yīng)用服務(wù)數(shù)據(jù)單元公共地址和功能類型等，從101/104所定義的應(yīng)用服務(wù)數(shù)據(jù)單元（ASDU）到IEC 61850中面向?qū)ο笮畔ⅲǚ?wù)器、邏輯設(shè)備、邏輯節(jié)點、數(shù)據(jù)對象和數(shù)據(jù)屬性等）的轉(zhuǎn)化過程。其次，是將IEC 60870-5-101/104等規(guī)約的服務(wù)映射到ACSI服務(wù)。

為了實現(xiàn)靈活快速的規(guī)約轉(zhuǎn)換，為現(xiàn)存的大多數(shù)遠動規(guī)約 （CDT、DNP3.0、IEC101、IEC104、DL476、TASE.2、IEC61850）提供標(biāo)準(zhǔn)接口，每個規(guī)約為一個動態(tài)庫，能夠按需添加新規(guī)約而不影響系統(tǒng)的運行。通過一種規(guī)約接收數(shù)據(jù)，識別提取數(shù)據(jù)包中的有效信息，經(jīng)過元數(shù)據(jù)管理將其映射到虛擬實時庫中，再通過規(guī)約轉(zhuǎn)換模塊生成需要的規(guī)約轉(zhuǎn)發(fā)出去。

3.3 實時庫模塊

實時數(shù)據(jù)庫是內(nèi)存數(shù)據(jù)庫，選擇文件映射方式實現(xiàn)高效可靠的內(nèi)存管理。由于變電站設(shè)備模型的總體結(jié)構(gòu)是按邏輯設(shè)備、LN、數(shù)據(jù)對象劃分的層次結(jié)構(gòu)，因此選擇基于層次模型的實時庫產(chǎn)品。同時，對子站監(jiān)控系統(tǒng)的實時庫進行映射，并統(tǒng)一進行管理。通訊網(wǎng)關(guān)實時庫可以將多個廠站的數(shù)據(jù)歸一，以統(tǒng)一的鏈路發(fā)送給調(diào)度；同時調(diào)度的數(shù)據(jù)可以復(fù)制到多個鏈路發(fā)送給多個廠站。當(dāng)發(fā)生雷暴等惡劣氣象條件造成GPRS通信中斷時，一方面歸一化數(shù)據(jù)將在實時庫的預(yù)留存儲空間保留，并及時給出報警，以防止長期故障而引起預(yù)留空間存儲數(shù)據(jù)的溢出；另一方面通過自動重連功能嘗試撥號接入網(wǎng)絡(luò)，利用斷點續(xù)傳功能將保留數(shù)據(jù)發(fā)送出去，保持?jǐn)?shù)據(jù)傳輸?shù)倪B續(xù)性。

3.4 ACSI/MMS模塊

IEC 61850總結(jié)了電力生產(chǎn)過程特點和要求，歸納出電力系統(tǒng)所必需的信息傳輸?shù)木W(wǎng)絡(luò)服務(wù)，采用抽象建模方法設(shè)計出ACSI，它獨立于具體的網(wǎng)絡(luò)應(yīng)用層協(xié)議，與采用的網(wǎng)絡(luò)無關(guān)。ACSI服務(wù)是一種抽象通信服務(wù)，必須將其映射到具體的通信服務(wù)，對攜帶服務(wù)參數(shù)的報文格式和編碼規(guī)則以及網(wǎng)絡(luò)傳輸方式加以定義，才可以用于實際的信息交換過程。MMS定義了一套標(biāo)準(zhǔn)的服務(wù)，MMS用戶使用相同的服務(wù)進行交互，從而實現(xiàn)互操作性。

4 結(jié)語

本文提出的基于無線雙網(wǎng)關(guān)的移動應(yīng)急遠動通信系統(tǒng)方案，解決了基建工程通信、電網(wǎng)故障通信等短期應(yīng)急通信問題。為保證無線通信符合二次安防要求，在變電站及調(diào)度中心入口皆采用串口通信，通過基于IPSec安全協(xié)議的VPN隧道模式建立虛擬專用網(wǎng)實現(xiàn)外網(wǎng)隔離，采用接入點域名服務(wù)APN提供GPRS專有信道。同時運用最新的IEC 61850通信規(guī)約，滿足未來智能變電站的通信需求。限于無線通信技術(shù)在通信帶寬、通信速率、系統(tǒng)穩(wěn)定性和安全性等方面固有缺陷的影響，無線通信模式還不足以取代有線通信在電力系統(tǒng)遠動通信中的地位，但隨著無線通信技術(shù)的不斷發(fā)展，其在電力系統(tǒng)遠動通信中的應(yīng)用范圍將更為廣闊。

[1]肖世杰.構(gòu)建中國智能電網(wǎng)技術(shù)思考[J].電力系統(tǒng)自動化.2009，33（9）:1-4.

[2]唐海軍.基于GPRS的配電網(wǎng)饋線自動化模式探討[J].電力系統(tǒng)自動化，2006，30（7）:104-107.

[3]李惠宇，羅小莉，于盛林.一種基于GPRS的配電自動化系統(tǒng)方案[J].電力系統(tǒng)自動化，2003，27（24）:63-65.

[4]所旭，張萍.無線通信技術(shù)應(yīng)用于變電站自動化的探討[J].電力系統(tǒng)自動化，2004，28（17）:88-91.

[5]黃新波，劉家兵，王向利，等.基于GPRS網(wǎng)絡(luò)的輸電線路絕緣子污穢在線遙測系統(tǒng)[J].電力系統(tǒng)自動化，2004，28（21）:92-96.

[6]唐佳佳，周曉東，陸建德.IPsec VPN安全網(wǎng)關(guān)的認(rèn)證優(yōu)化設(shè)計與實現(xiàn)[J].計算機應(yīng)用與軟件，2008，25（5）: 59-61.

[7]BROWN S.構(gòu)建虛擬專用網(wǎng)[M].董曉宇，魏鴻，馬潔，等譯.北京:人民郵電出版社，2000.

（本文編輯：楊 勇）

Design of Mobile Emergency Telecontrol System Based on Wireless Dual-gateway

YUAN Yong-jun

（Hangzhou Municipal Power Supply Bureau，Hangzhou 310009，Zhejiang）

Along with the proposed concept of intelligent power grid,how to adopt multiple communication media to build a rapid and economical telecontrol communication platform system becomes a hot topic.GPRS wireless communication mode has apparent cost benefits and agile networking capability by comparison with traditional wired communication.Therefore,this paper proposes the plan of mobile emergency telecontrol system based on wireless dual-gateway which uses self-adaptation communication gateway to realizes self-adaptation conversion of communication protocol and ensures the safety of wireless communication information transmission by telecontrolsecurity gateway.

GPRS;communication；gateway；telecontrol；VPN

TM762

B

1007-1881（2010）08-0045-04

2010-03-09

袁永軍 （1974-），男，浙江紹興人，工程師，從事電網(wǎng)建設(shè)管理工作。