介紹了連云港地區(qū)電力二次系統(tǒng)跨安全區(qū)數(shù)據(jù)傳輸存 在的問題,提出通過建立跨區(qū)數(shù)據(jù)傳輸與共享系統(tǒng)解決該類 問題����。分析了當(dāng)前電力二次安全防護(hù)系統(tǒng)的結(jié)構(gòu)和物理隔離 裝置數(shù)據(jù)傳輸?shù)奶攸c(diǎn),以及如何設(shè)計(jì)封裝各類通信協(xié)議進(jìn)行 數(shù)據(jù)交換和傳輸���,并給出了在連云港地區(qū)負(fù)荷預(yù)測(cè)系統(tǒng)構(gòu)建 過程中應(yīng)用跨區(qū)數(shù)據(jù)傳輸與共享的實(shí)例�。
引言 根據(jù)全國(guó)電力二次系統(tǒng)安全防護(hù)[1]總體框架及 其核心思想(安全分區(qū)�、網(wǎng)絡(luò)專用、橫向隔離����、縱向 認(rèn)證),可將整個(gè)電力二次系統(tǒng)分為 2 個(gè)大區(qū)和 4 個(gè) 安全工作區(qū)。生產(chǎn)控制大區(qū)包括安全 I 區(qū)(實(shí)時(shí)控制 區(qū))和安全 II 區(qū)(非控制生產(chǎn)區(qū))�;管理信息大區(qū)包括 安全 III 區(qū)( 生產(chǎn)管理區(qū))和安全 IV 區(qū)(管理信息區(qū))。
從橫向角度來說�����,為了強(qiáng)化安全區(qū)之間的隔 離���,應(yīng)采用不同強(qiáng)度的網(wǎng)絡(luò)安全設(shè)備(如硬件防火墻及正向、反向電力專用安全隔離裝置等)��,使各安全 區(qū)中的業(yè)務(wù)系統(tǒng)得到有效的保護(hù)��。安全 I 區(qū)與安全 II 區(qū)之間采用硬件防火墻進(jìn)行隔離����;生產(chǎn)控制大區(qū) (安全 I、II 區(qū))與管理信息大區(qū)(安全 III��、IV 區(qū))之間 采用電力專用隔離裝置進(jìn)行隔離�����,并嚴(yán)格限制數(shù)據(jù) 的流向��;從安全 I、II 區(qū)往安全 III 區(qū)單向傳輸信息 須采用正向隔離裝置�����,由安全 III 區(qū)往安全 I���、II 區(qū) 的單向數(shù)據(jù)傳輸必須采用反向隔離裝置�。安全 III 區(qū)與安全 IV 區(qū)之間采用硬件防火墻進(jìn)行隔離[2]����。
從通信和數(shù)據(jù)傳輸角度看,物理隔離裝置單向 傳輸?shù)奶攸c(diǎn)�,使跨區(qū)數(shù)據(jù)交換必須遵循物理隔離裝 置數(shù)據(jù)傳輸方式,這迫使原有或新增的業(yè)務(wù)系統(tǒng)需 要進(jìn)行相應(yīng)的改造以適應(yīng)安全防護(hù)的要求�����。而在管 理信息大區(qū)的各種管理應(yīng)用系統(tǒng)����,往往又需要從生 產(chǎn)控制大區(qū)獲得大量數(shù)據(jù)作為支持。
為方便用戶在既有二次安防系統(tǒng)環(huán)境下����,在管 理信息大區(qū)部署新的業(yè)務(wù)系統(tǒng),本文設(shè)計(jì)了開放 的、平臺(tái)化的數(shù)據(jù)交換系統(tǒng)�����,實(shí)現(xiàn)了來自不同廠家 的��、異構(gòu)����、分散數(shù)據(jù)(如大量的文件數(shù)據(jù)和數(shù)據(jù)庫數(shù) 據(jù))的交換和整合�����,并對(duì)跨區(qū)交互數(shù)據(jù)進(jìn)行統(tǒng)一集中 管理��,在保障系統(tǒng)間跨區(qū)數(shù)據(jù)交換安全性的前提 下�,可應(yīng)用于電力二次系統(tǒng)安全防護(hù)改造中生產(chǎn)控 制區(qū)與管理信息區(qū)之間的安全數(shù)據(jù)交換
1 跨安全區(qū)數(shù)據(jù)傳輸系統(tǒng)
1.1 安全防護(hù)橫向體系結(jié)構(gòu)
電力二次系統(tǒng)主要包括能量管理系統(tǒng)(energy management system,EMS)��、電能量采集管理系統(tǒng)(power management system��,PMS)�、調(diào)度員培訓(xùn)仿 真(dispatcher training simulator,DTS)�����、各類量測(cè)系 統(tǒng)主站、通信監(jiān)控管理系統(tǒng)���、繼電保護(hù)信息管理系 統(tǒng)以及調(diào)度管理信息系統(tǒng)(dispatching management information system�,DMIS)���。按照安全分區(qū)原則�����,上 述系統(tǒng)除 DMIS 外均按功能分別位于生產(chǎn)控制大區(qū) 的實(shí)時(shí)控制區(qū)(安全I(xiàn)區(qū))和非實(shí)時(shí)生產(chǎn)區(qū)(安全I(xiàn)I區(qū))����, DMIS 則位于管理信息大區(qū)中的生產(chǎn)管理區(qū)(安全 III 區(qū))���,以此形成安全防護(hù)系統(tǒng)的總體框架(見圖 1)���。
1.2 跨區(qū)數(shù)據(jù)傳輸系統(tǒng)設(shè)計(jì)
在實(shí)施安全分區(qū)和物理隔離后,整個(gè)數(shù)據(jù)傳輸 的流程分為 2 部分:1)從內(nèi)網(wǎng)(安全 I�、II 區(qū))至物 理隔離裝置(正向)至外網(wǎng)(安全 III 區(qū)),稱為正向傳 輸過程����;2)外網(wǎng)(安全 III 區(qū))至物理隔離裝置(反向) 至內(nèi)網(wǎng)(安全 I���、II 區(qū)),稱為反向傳輸過程���。由于物 理隔離裝置的單向傳輸特點(diǎn)��,正反向隔離裝置相當(dāng) 于通信阻塞點(diǎn)[3]��,使絕大多數(shù)以 TCP/IP 傳統(tǒng)通信協(xié) 議為基礎(chǔ)的網(wǎng)絡(luò)應(yīng)用軟件不能直接進(jìn)行跨區(qū)部署����。 為此在安全 II 區(qū)和安全 III 區(qū)各設(shè)置一個(gè)數(shù)據(jù)代理 平臺(tái)�,封裝與正反向隔離裝置的通信過程��,通過內(nèi) 外網(wǎng)數(shù)據(jù)代理平臺(tái)交換數(shù)據(jù)�,對(duì)于業(yè)務(wù)系統(tǒng)使用者 和部署者來說,在通信上無須考慮正反向隔離裝置 的通信協(xié)議和工作機(jī)制�,仍可使用以前通信的方 式,以透明方式進(jìn)行內(nèi)外網(wǎng)數(shù)據(jù)交換[4]�����。見圖 2。
內(nèi)網(wǎng)到外網(wǎng)(正向)的數(shù)據(jù)交換可以分為 2 大 類:文件傳輸和數(shù)據(jù)庫傳輸�。從外網(wǎng)到內(nèi)網(wǎng)(反向) 的數(shù)據(jù)交換只能以純文本文件的格式經(jīng)過加密和 認(rèn)證之后傳輸。從數(shù)據(jù)類型的角度看��,內(nèi)外網(wǎng)交互 的數(shù)據(jù)分為實(shí)時(shí)數(shù)據(jù)和非實(shí)時(shí)數(shù)據(jù) 2 部分�。實(shí)時(shí)數(shù) 據(jù)主要是由 SCADA 系統(tǒng)產(chǎn)生,非實(shí)時(shí)數(shù)據(jù)從內(nèi)網(wǎng)
其他業(yè)務(wù)系統(tǒng)產(chǎn)生����。同時(shí),考慮到數(shù)據(jù)庫數(shù)據(jù)與文 件數(shù)據(jù)間互轉(zhuǎn)���、異地文件的存取和數(shù)據(jù)靈活存儲(chǔ)等 應(yīng)用要求�,內(nèi)外網(wǎng)數(shù)據(jù)代理平臺(tái)須滿足以下要求: 1)統(tǒng)一數(shù)據(jù)交換標(biāo)準(zhǔn)與格式�����;2)內(nèi)外網(wǎng)數(shù)據(jù)代理 平臺(tái)數(shù)據(jù)同步����;3)同一安全區(qū)的業(yè)務(wù)數(shù)據(jù)庫到本 地后臺(tái)庫同步;4)實(shí)時(shí)數(shù)據(jù)同步�����;5)內(nèi)外網(wǎng)之間 的文件傳輸[5];6)支持多種數(shù)據(jù)傳輸協(xié)議����。據(jù)此設(shè) 計(jì)系統(tǒng)軟件的結(jié)構(gòu)見圖 3
1.3 基于 JAVA 的跨區(qū)數(shù)據(jù)傳輸系統(tǒng)
跨安全區(qū)數(shù)據(jù)傳輸系統(tǒng)由內(nèi)平臺(tái)和外平臺(tái) 2 部 分構(gòu)成,全部采用 JAVA 語言開發(fā)����,由于 JAVA 語 言的跨平臺(tái)性,系統(tǒng)支持多類操作系統(tǒng)��,便于部署���。 系統(tǒng)主要由數(shù)據(jù)訪問控制���、通信協(xié)議代理、數(shù)據(jù)統(tǒng) 一平臺(tái)���、數(shù)據(jù)管理及隔離裝置穿越 5 部分構(gòu)成。數(shù) 據(jù)訪問控制提供與內(nèi)網(wǎng)各業(yè)務(wù)系統(tǒng)訪問機(jī)制�����,并提 供統(tǒng)一的數(shù)據(jù)接口��;通信協(xié)議代理提供了透明方式 的各種通信協(xié)議的實(shí)現(xiàn),負(fù)責(zé)實(shí)時(shí)數(shù)據(jù)����、非實(shí)時(shí)數(shù) 據(jù)的接收和轉(zhuǎn)發(fā);數(shù)據(jù)統(tǒng)一平臺(tái)為數(shù)據(jù)傳輸系統(tǒng)的 統(tǒng)一數(shù)據(jù)存儲(chǔ)平臺(tái)�,提供了基于標(biāo)準(zhǔn)的可擴(kuò)展標(biāo)記 語言(extensible markup language,XML)格式的數(shù) 據(jù)����,以供跨區(qū)數(shù)據(jù)交換;隔離裝置穿越提供了與正 反向隔離裝置的實(shí)際通信過程���,負(fù)責(zé)將內(nèi)外網(wǎng)基于 數(shù)據(jù)統(tǒng)一平臺(tái)的數(shù)據(jù)進(jìn)行交換��;數(shù)據(jù)管理提供了對(duì) 數(shù)據(jù)訪問控制��、數(shù)據(jù)通信代理�、數(shù)據(jù)統(tǒng)一平臺(tái)的數(shù) 據(jù)管理和任務(wù)調(diào)度�����。以上 5 部分模塊��,構(gòu)成了整個(gè) 跨安全區(qū)數(shù)據(jù)傳輸系統(tǒng)的軟件架構(gòu)
打造開箱即用的物聯(lián)網(wǎng)平臺(tái)
