第1页
建设安全易管的智慧风电场
虚实结合平台降低验证成本
安全态势感知实现全天候全方位
内外网间安全交换集团文件
建设新形态 创造新价值
扫描网络漏洞 筑牢安全屏障
粉丝:{{bookData.followerCount}}
{{!bookData.isSubscribed?'关注':'取消关注'}}
《电力信息化》-第六期
编者的话回顾信息化与数字化早在 1991 年,马克∙韦泽尔(Mark Weiser)曾预言,普适计算将“无处不在”,现在早已成为现实。当年很多从 MIS 阶段到 ERP 阶段的建设者中,如今有一部分已经很少参与中台概念等等项目,也有一部分仍在领导着像资源整合、决策支持、分层架构之类的新课题,奋力奔跑在信息化、数字化、智能化的进化升阶之路上,助力东家整合优化原有信息化系统,跟上数字时代步伐,适应工业 4.0 变革,迈进智能化时代,适应数字化转型变化带来的新要求。近日听了几堂课,关于数字工匠系列培训的,比如《数字素养与技能提升》、《数字化的概念与价值》、《工业化与信息化概念解读》、《智能经济产业发展脉络梳理》、《人工智能技术前沿与产业概述》、《大数据与 AI 时代的数字化转型》、《数字化劳动力大军崛起与 AIGC 岗位胜任力、战略变革》等等,似乎对数字化、智能化更加深了理解,也修正了自己某些偏颇的认识,同时还暴露出自己在概念、理念等方面的迟滞,如 IT 到 DT 转型,IT 和 CT 融合为ICT,OT 与 IT 结合为 OIT,OT 与 AI 聚合为 AIOT,信息化≠数字化,数字化 信...
粉丝: {{bookData.followerCount}}
文本内容
第3页
编者的话
回顾信息化与数字化
早在 1991 年,马克∙韦泽尔(Mark Weiser)曾预言,
普适计算将“无处不在”,现在早已成为现实。当年很多
从 MIS 阶段到 ERP 阶段的建设者中,如今有一部分已经很
少参与中台概念等等项目,也有一部分仍在领导着像资源
整合、决策支持、分层架构之类的新课题,奋力奔跑在信
息化、数字化、智能化的进化升阶之路上,助力东家整合
优化原有信息化系统,跟上数字时代步伐,适应工业 4.0
变革,迈进智能化时代,适应数字化转型变化带来的新要求。
近日听了几堂课,关于数字工匠系列培训的,比如《数
字素养与技能提升》、《数字化的概念与价值》、《工业
化与信息化概念解读》、《智能经济产业发展脉络梳理》、《人
工智能技术前沿与产业概述》、《大数据与 AI 时代的数字
化转型》、《数字化劳动力大军崛起与 AIGC 岗位胜任力、
战略变革》等等,似乎对数字化、智能化更加深了理解,
也修正了自己某些偏颇的认识,同时还暴露出自己在概念、
理念等方面的迟滞,如 IT 到 DT 转型,IT 和 CT 融合为
ICT,OT 与 IT 结合为 OIT,OT 与 AI 聚合为 AIOT,信
息化≠数字化,数字化 信息化,数字化 智能化等等。
信息化建立了信息收集系统,使业务数据化,核心和
本质是运用计算机、数据库等信息技术,实现企业的业务
流程数据管理,以提升内部效率。数字化是基于信息化,
对数据的交互做分析和处理,使数据业务化,核心和本质
是运用大数据、云计算等数字技术,实现企业的业务创新,
提升企业新的技术能力,给数据提价,给业务赋能,并实
现对业务的指导。
信息化搭建与管理业务信息,是数字化的基础;数字
文 / 李东
1
化让业务和技术真正产生交互,是信息化的升级;智能化
是实现“人∞机”一体的数字化。对每个企业而言,曾经
做过的基础业务数据信息化、打破数据孤岛、数据基础建
设等等工作并非多余,而是非常必要的,它们是数字化转
型的基石,不能全盘否定。不管采用什么样的云大物移智,
构建一个全感知、全联接、全场景、全智能的数字世界,
都离不开企业信息化系统积累的运营数据、运作逻辑、管
理模式等等物理世界的支撑。
虽然很多新概念或新技术并不一定马上被企业引进并
应用,但时不时“盘点商场,了解行情”,走一圈总会有
所收获。比方说,企业可以利用机器反复学习特长,创新
和重塑管理模式、业务模式、商业模式,也可以开发自主
特色的工业 APP,驱动企业的经营、生产,或者建立数据
驱动的企业文化,赋能赋值每一人。工业 App,一种将工
业产品、工业技术、工业服务进行显性化、模型化、软件
化后形成的模块化软件,实现知识应用的数字化,可以赋
能业务,组合快速完成工程任务。
作为企业的一种新生产力,智能化工具,包括数字化、
网络化、智能化、民主化等“万物数化、万物互联”,不
断创造、传递、支持和获取着企业的人、财、物、事的数
字价值,以杠杆形式作用于企业核心竞争力,提升效率、
优化体验、引领行动,建立、提升、整合、重构着内外部
能力,形成新动能,不断创造新价值,实现新发展。
信息化、数字化、智能化,三方犄角,互促互助,彼
此驱动。
第4页
编者的话
1 回顾信息化与数字化
观点异见
6 建设安全易管的智慧风电场
建立智慧风电场远程集控中心,可以有效解决传统风
电场普遍问题,进一步助推新能源风电产业智慧转型
升级和高质量发展。
8 虚实结合平台降低验证成本
核电厂仪控系统作为国家关键信息基础设施的有效组
成部分,所面临的网络安全威胁日益严峻,迫切需要
部署有关的安全管控措施,如基于虚实结合技术的核
电仪控网络安全测试平台。
11 安全态势感知实现全天候全方位
真正做到“安全态势可感知、安全威胁可预警、异常
行为可监控、安全价值可呈现”,需要一系列支撑体
系或运维体系的介入和应急响应,提高事件响应的速
度和高级威胁发现能力。
13 加固信息系统数据库安全
电力信息系统若想安全、稳定运行 , 就需要高度重
视系统数据库的安全,降低信息系统数据库的风险。
16 提升数据资源价值
随着企业数据资源总量迅速增长,企业对于数据共享
与开放的需求也逐渐增加。
19 建设新形态 创造新价值
PMS3.0 以业务数据化为基础,大力推进设备管理全
过程业务协同,驱动业务模式变革,推动设备管理全
环节、全场景数字化转型,有效支撑新型电力系统建
设。
22 内外网间安全交换集团文件
结合“内网文件交换 + 外发审批 + 安全隔离 + 外网
文件交换”的安全管控模式,创建内外网文件安全交
换系统,有效保证了传输文件的安全性和完整性,为
企业保密管理工作提质增效。
现场直击
25 扫描网络漏洞 筑牢安全屏障
计算机网络本身存在的安全弱点,如操作系统漏洞、
端口漏洞、应用软件漏洞等,成为计算机病毒、黑客
攻击的主要通路。
28 中台化系统改造 数字化管理转型
电能质量(谐波)监测管理平台可实现监测数据接入
统计、超标问题分析及异常问题工单管理等功能设计
与应用,实现专业分析能力、专业管理能力的扩展与
深化,实现电能质量专业管理工作的数字化转型。
31 统筹规划建设 5G 专网
开展 5G 专网建设,应用于控制系统、设备运行、安
全应急、智慧管理等场景,有效提升电站智慧化管理
水平,进一步驱动电站由传统管理模式向数字化、网
络化、智慧化管理模式创新变革。
Contents 目录
第5页
目录
2023 年第 6 期
Contents
封面 ●
插页
封底 挖掘 IT 价值,传播 IT 财富
34 整体防护 5G 无人机巡检系统安全
5G 作为支撑经济社会数字化、网络化、智能化转型
的关键新型基础设施,加速推进着电力企业转型发展。
37 比较探讨四种接入方案
四种基于网络安全的不同接入方案,对节约投资,投
运后安全、可靠,降低运营成本,具有十分重要的意义。
39 建设 IT 资产管理全新模式
国网宝鸡供电公司采取基于物联网 RFID 的技术手
段,将新技术,新方法、新手段融合进信息资产全生
命管理流程,不断深化新一代信息技术与管理创新融
合发展。
知行视界
42 治理 9F 级燃气轮机排气扩散段超温
燃机排气扩散段排气温度高、流速快,造成保温内护
板膨胀间隙增大,内护板及内保温材料脱落,导致燃
机排气段区域外表面超温,造成烟温损失,影响机组
经济运行安全。
45 抑制海上风电机组谐波的方法
在海上风电迅猛发展,单机容量日趋增加的同时,引
发的电力系统谐波问题不容忽视。在风力发电机组中
加装滤波器后,电能质量改善明显。
49 利用三次样条插值修正电参数的多因
子系数
使用二维到多维的三次样条插值技术,校正受多种因
素呈线性或非线性影响的电网参数 , 具有广泛的适
应性。
53 新技术改造铁路信号联锁系统
计算机联锁系统是实现铁路现代化和自动化的基础设
施之一,将向低成本、高效率、高安全、高可靠及信
息化、智能化、网络化和综合自动化的方向发展。
57 创新酸洗工艺 防止四管爆泄
锅炉末级过热器氧化皮脱落问题是电力行业近几年的
新兴难题,是目前锅炉“四管”发生泄漏最主要的隐患。
IT 纵横
60 零信任的 SDP 成就安全未来
“网络隔离、专网专用”的网络架构,越来越难以满
足“网络互连、数据共享”需求,基于零信任的 SDP
网络安全架构技术和产品,必然成为下一代网络安全
架构核心关键技术。
67 设计栈帧内存防护方案
自从缓冲区溢出漏洞被发现和利用以来,内存漏洞利
用方式呈现出变化多端、层出不穷的态势。
73 构建大型 SD-WAN 广域网
SD-WAN 是将软件定义技术应用到企业广域网互联
场景中所形成的一种网络服务,常用于降低企业组网
成本,提升业务部署灵活性。
第7页
总396期 2023年第6期 2023年12月25日
建设安全易管的智慧风电场
虚实结合平台降低验证成本
安全态势感知实现全天候全方位
内外网间安全交换集团文件
建设新形态 创造新价值
扫描网络漏洞 筑牢安全屏障
第8页
观点异见
6
建立智慧风电场远程集控中心,可以有效解决传统风电场普遍问题,进一步助推新能源风电产业智慧转
型升级和高质量发展。
文 / 国投广西新能源发展有限公司 张赢丹
建设安全易管的智慧风电场
随着“30 60 碳达峰碳中和”目标提出,我国加快构建
以新能源为主的新型电力系统。到 2030 年,以风电光伏为
主的新能源装机规模预计将达到 12 亿千瓦。近年来新能源
风电行业高速发展,但传统风电场普遍建立地点在比较偏
远,风机设备及场站相对各自“独立”,容易出现运维管
理人员流动性大、场站之间信息化交流较差、人工成本费
用较高以及风机等电气设备维护较困难等问题。
建立智慧风电场远程集控中心可以实时收发所辖多个
风电场站数据,能够直观、动态、综合地掌握生产实际情
况,同时通过各类自动化监控系统产生安全生产数据,建
立线上智慧运营平台、区域共享服务中心等方式,创建“无
人值班”新型管理模式,进一步助推新能源风电产业智慧
转型升级和高质量发展。
总体设计规划
智慧风电场远程集控中心第一步要准确、快速、高质
量收发各风电场场站数据,保证实时监控各场站设备运行
状态监视、设备故障告警信息、运行指以及集中功率预测
等数据信息;其次在完成集控基础应用收发数据升级改造
的基础上,将数据信息作为数字化建设的基础核心要素,
建立汇集管理与共享、数据资源横向集成、纵向贯通智能
运营系统,对所监控的数据进行科学、精准分析,同时建
立健全远程控制平台,全面覆盖场站风机及电气设备,一
旦发现设备运行状态出现差错或故障告警信息,利用大数
据的智能联动、风险防控、决策分析等高级智慧应用系统
快速处理,减低人工成本,提高设备维护效率;再者利用“智
能两票”“生产管理平台”等管理系统,满足各场站信息
化交流,建立大而易管且安全的智慧风电场。
建设内容
建设集中监控系统。利用大数据数字化智能监控系统,
实时、准确采集风电场基本信息以及部分设备的运行情
况,包括风机运行状态、变电站(升压站)电气设备监视、
AGC/AVC 数据监控、一次调频数据监控等系统监控。
建设数据分析系统。为正确无误执行控制操作,利用
智慧运营线上平台分析风电场站运行过程中发生异常、故
障及告警,加快运维人员查找发生原因,减少设备故障时间,
为后面控制系统提供可靠有力的数据基础。
建设集中控制系统。在满足前面提到的建设数据分析
系统的前提下,利用专线网络,批量或单台控制、遥控风
机及升压站等各类电气设备,其次利用测控装置检查控制
对象和操作性质是否正确,及时接收返校正确或返校失败
的信息,从而决定是否执行。
建设各类管理平台辅助管理。通过建立智能两票系统、
生产管理平台等各类辅助管理系统,细化风机检修作业、
升压站运维、智能锁控及巡检管理、风险点分析预等基础
安全管理工作,利用数字智能化互联网等技术手段对基础
安全设施管理进行严格的过程控制,保证运维人员在作业
图 1 某风电场远程集控中心总体设计规划图
第9页
观点异见
7
管理全过程的可测、可控、在控,减少安全生产事故发生。
安全管理
智慧风电场远程集控中心建设安全管理应遵循“安全、
高效、节能”原则,优先采用技术成熟、结构简单、自动
化程度高、少维护的高可靠性产品。
1、基础设备安全管理
智慧风电场远程集控中心应保留必要的基本生活设施,
具备完善的防火、防盗、防汛等措施。
智慧风电场远程集控中心的各类保护及安全自动装置
应选用性能稳定、质量可靠的高科技、数字化产品,满足
设备标准化要求。
智慧风电场远程集控中心应能满足各调度和各场站的
通信配置应满足双通道的要求。
智慧风电场远程集控中心应配置相应的视频安防、消
防、环境监测等系统,并应能够实现远程监视和遥控功能。
2、安全运维管理
建立健全编智慧风电场远程集控中心运行管理制度及
规定,主要包括集控中心与受控风电场运行管理的规定、
交接班管理规定等,并随电网及风电场自身变化及时修编。
智慧风电场远程集控中心运维人员应掌握基本设备安
全基础知识,监视设备状态及相关信息的变化情况,定期
参加各类安全技术培训。
事故处理时,智慧风电场远程集控中心运维人员正确
执行调度或上级领导指令。
电气设备倒闸操作结束,智慧风电场远程集控中心运
维人员及时核对各场站现场的运行方式。
发现通信中断时,智慧风电场远程集控中心应立即派
人驻守相关场站,并汇报所属部门。
智慧风电场远程集控中心应配置所辖各场站相关图纸、
继电保护定值单、运行规程等技术资料。
3、安全基础管理
建立健全智慧风电场远程集控中心安全管理制度体系,
及时收集法律法规及地方标准,安排专人进行准确辨识,
以辨识结果为基础,将法规、制度要求不断融合,全面增
强制度合规性。
进一步压紧压实全员安全生产责任,建立健全安全生
产责任制管理办法,细化全员安全生产履职,并通过事故
事件、安全检查等暴露问题倒查安全履职情况,确保全员
履职尽责到位。
夯实安全教育培训基础。规范开展智慧风电场远程集
控中心员工入厂三级教育培训、日常安全培训、事故预想、
技术问答等培训工作。通过编写课件、学习课件、竞赛、
现场实操等多种手段开展安全生产教育培训,提升员工安
全技能和专业技能。
深入开展安全检查。结合实际开展风险辨识和隐患排
查工作,组织对智慧风电场远程集控中心员工进行现场风
险辨识考试和应急盲演,全面提高安全监督检查效能;其
次对发现问题统计分析,深挖背后管理原因,精准施策;
建立督办问题清单,每月更新,避免问题整改监督出现“无
人区。
完善应急管理机制。结合智慧风电场远程集控中心安
全生产实际,合理制定应急预案,主要包括网络通信中断、
互联网监控系统故障等网络安全事故的应急预案和措施;
每年年初制定年度应急演练计划并严格执行,积极开展多
层级、多场景应急演练;做好网络安全、消防安全、防汛
等应急工作,高度关注灾害预报预警,强化应急准备,提
前做好防范应对;同时加强应急值守和信息报告,严格落
实工作部署,确保节假日和重要时段智慧风电场远程集控
中心安全生产形势稳定。■
插图
第10页
观点异见
8
核电厂仪控系统作为国家关键信息基础设施的有效组成部分,所面临的网络安全威胁日益严峻,迫切需
要部署有关的安全管控措施,如基于虚实结合技术的核电仪控网络安全测试平台。
文 / 华能山东石岛湾核电有限公司 郭 云 侯曰永 翟晓飞 贺腾飞
文 / 西安热工研究院有限公司 刘超飞
虚实结合平台降低验证成本
核电厂仪控系统是指基于电气、电子、可编程电子等
技术的系统,执行仪表和控制功能以及与系统自身运行有
关的服务和监督功能。仪控系统作为控制核电厂生产运行
的神经中枢,一旦受到网络攻击有可能导致机组停运,甚
至引起核安全事件。而过去长期以来基于物理隔离所建立
的安全防护方式,在当今全球网络化、智能化、数字化的
背景下面临这越来越多的挑战。
首先,存在多种方式可以突破传统的物理隔离的防护
方式。一方面,在仪控系统建设全生命周期的不同阶段存
在着各种各样的安全风险和漏洞可能被利用,如在仪控系
统开发实施阶段预留后门、植入病毒,在运行阶段通过移
动介质传播蠕虫,在维护阶段通过便携式计算机接入窃取
信息,甚至采用社会工程学方式突破核电厂实物保护系统
的保障,从而达到入侵甚至控制仪控系统的目的。另一方面,
在实际工作中可能出现仪控系统跨区非法互联的情况,比
如某些仪控系统采用了国外较为老旧的设备,出于维护成
本以及维护人员匮乏的原因,可能会出现远程维护的情况。
其次,仪控系统漏洞修复不及时导致脆弱性被利用的
概率较高。核电厂仪控系统在转入运行阶段后,由于可用
性的极高要求以及使用环境的限制,其安全漏洞经常不能
得到及时修复。一方面,由于其无法连接互联网,漏洞修
复需要采用手动方式,另一方面,由于运行阶段对仪控系
统的可用性要求极高,而漏洞修复必然会影响系统的可用
性,因此上述两仿麦呢因素导致仪控系统的漏洞修复往往
不及时,从而导致这些漏洞被黑客利用的概率增加。
再次,早期仪控系统通常采用专有协议,而随着各种
通用协议在仪控系统中越来越多地使用,使得威胁者攻击
门槛不断降低。如基于工业以太网和 TCP/IP 协议的工控
网络通信、基于 Windows 操作系统的工作站、基于浏览器
Web 方式的人机界面等,这些通用方案一方面了提高仪控
系统的开放互联性,另一方面也导致仪控系统面临的网络
安全威胁日趋严重。
综上所述,核电厂仪控系统需要在传统物理隔离的防
护基础上,进一步部署有关的安全管控措施,包括技术类
控制、物理类控制和行政类控制。其中,技术类控制指的
是用于保护、检测、缓解和恢复入侵或其他恶意行为的硬
件和 / 或软件解决方案。行政类控制指的是通过控制人员
行为来保护计算机系统的政策、程序和实践。对于各种技
术类控制措施,由于核电厂仪控系统对可用性和可靠性的
极高要求,必须经过充分的验证和确认后方可在实际生产
环境中进行部署。因此,有必要建立核电仪控系统网络安
全测试平台,为各种技术类控制措施的有效性和可用性提
供测试验证平台,最大程度地减少直接部署对生产环境所
带来地影响,同时有效地降低测试验证成本。
虚实生产控制网络构建思路
核电厂一般分为两部分,即利用原子核裂变生产蒸
汽的核岛(包括反应堆装置和一回路系统)和利用蒸汽发
电的常规岛(包括汽轮发电机系统),涉及到多个复杂
的仪控系统,很多长周期设备的制造需要较长的时间,
同时成本也非常高,因此在测试平台的建设过程中,不可
能全部采购部署真实的仪控系统,因此本文提出采用虚实
结合方式构建核电生产控制网络的整体思路,即对于核电
厂的中枢控制系统分布式控制系统(Distributed Control
System,DCS)采用最小化实物系统的方式进行部署,而
对于构成关键控制回路的其他系统采用软件虚拟仿真的技
第11页
观点异见
9
术实现。
核电厂 DCS 系统通常包括非安全级 DCS 和安全级
DCS,安全级 DCS 系统通常用来完成事故工况下反应堆安
全停堆、专设安全设施驱动等功能,限制或减轻事故后果,
保障反应堆及人员安全,是一个相对孤立的系统,而非安
全级 DCS 通常与电厂的其他仪控系统以及部分部署在管理
信息大区的专网系统可能存在网络连接,因此本文所提出
的测试平台中的 DCS 系统为非安全级 DCS,且采用最小配
置的方式,保证在满足完整控制回路的情况下,最大程度
地降低投资成本。
传统的核电厂控制系统虚拟仿真主要用于建设核电厂
全范围模拟机,其主要用途是为了满足核电厂仪控人员对
生产操作流程培训的需要。目前,国内已有较为成熟的核
电仪控系统仿真平台,可根据仪控系统网络安全测试平台
的建设需要,对除 DCS 系统以外的其他关键控制系统实现
其仿真,从而有效减少建设周期和资金成本。
虚实网络间的通信技术
核电厂非安全级 DCS 系统从结构上可以分为 Level0、
Level1 和 Level2。Level0 设备主要包括现场传感器、被控
设备以及相关的接线;Level1 设备包括控制机柜、现场控
制器器(包含逻辑控制软件)和网关设备等;Level2 设备
是指提供给操纵员用于监视和控制的设备,包括主控室操
作员站(OWP)、后备盘(BUP)。非安全级 DCS 的数
据通讯包括:与 Level0 设备之间的通讯、与安全级控制系
统之间的通讯、与第三方仪控系统之间的通讯。通讯信号
包括两种:网络通讯信号和硬接线信号。
在本文所提出的设计思路中,核心控制系统 DCS 采用
实物形式,其他关键控制系统采用虚拟仿真形式,二者之
间的通信可以采用串口通讯方式将工艺仿真模型数据通过
Modbus 通信协议接入 DCS 控制站,实现工艺仿真数据与
控制器之间的虚实结合,还原核电 DCS 系统上的业务数据,
完成核电运行仿真系统的联合调试。
虚实可重构式网络工程组建技术
根据能源局 14 号令《电力监控系统安全防护规定》,
核电厂的网络总体架构按照“安全分区、网络专用、横向
隔离、纵向认证”的原则,核电企业内部基于计算机和网
络技术的业务系统,应当划分为生产控制大区和管理信息
大区。生产控制大区通常进一步分为控制区(安全区 I)和
非控制区(安全区Ⅱ),而管理信息大区内部在不影响生
产控制大区安全的前提下,可以根据各企业不同安全要求
划分安全区。
对于一个完整的攻击路径,攻击者通常从开放在互
联网上的应用着手,通过漏洞扫描、权限提升等手段攻击
进去企业局域网(管理信息大区),再通过横向渗透等方
式入侵局域网内其他主机,如局域网内存在集权系统,则
可能进一步获取更多服务器的控制权限。而核电厂的管理
信息大区内除了部署常用的办公系统如 OA 系统、财务系
统、ERP 系统外,还部署有生产控制相关的系统如 SIS 系
统的非实时控制部分,而这些生产管理相关的系统通常与
DCS 系统存在单向的数据传输,并且部署电力专用的安全
隔离网闸,且单向隔离网闸只进行应用数据的传输,相对
来说被攻破的难度较大,但如果单向隔离网闸存在应用数
据解析漏洞,依旧存在被利用的可能,则攻击者可能进一
步由管理信息大区渗透至生产控制大区,并开展后续的权
限提升、横向渗透、后门预置、破坏控制指令等操作。而
核电仪控网络安全测试平台的一个重要目标就是进行攻击
路径的模拟与分析,实际中这样的攻击路径可能有无数条,
因此就需要测试平台具备良好的可重构性。由于从管理信
息大区通往生产控制大区的路径相对明确,对于管理信息
大区的网络构建可以采用虚拟网络的方式。软件定义网络
(SDN,Soft-Defined-Network)技术提供了一种虚拟网
络的实现方式。采用此种方式,实物保护系统的路由器及
交换机等基础设备仅仅只是数据转发设备,而这些转发设
备的策略由 SDN 控制器下发。因此当需要变更网络配置时,
仅需要调整 SDN 控制器的设置,从而提供了一种以编程方
式管理和控制大量网络设备的方式。
采用上面的实际思路,可以基于核电厂实际控制过程,
采用虚实结合技术,将虚拟设备、安全设备等接入 DCS 系
统实物网络,完成满足网络安全验证测试的可重构式网络
工程组建,通过脚本编程实现试验网络的快速生成。
安全测试验证
基于虚实结合技术研发的核电仪控网络安全测试平台
能够对现场监控过程的还原,在保留生产数据物理特性的
同时实现了网络流量的模拟,从而为核电厂仪控系统的技
术类安全控制措施提供了验证环境,能够替代生产现场进
行安全测试,通过攻防测试和验证,将有效的防护加固方
案应用于生产现场,切实提高核电仪控系统的网络安全防
护水平,减少对网络安全建设和运维对生产现场造成的影
响和损失,在核电仪控系统网络安全建设方面发挥重要作
第12页
观点异见
10
用。
安全技能培训
核电仪控网络安全测试平台提供的仪控网络安全实操
环境可用于开展网络安全技术培训,提供实操环境,帮助
提高企业网络安全相关人员防范意识,提高网络安全专业
人员职业技能。依托平台可开发相应的网络安全培训课程
体系及对应的实操环境,从而作为核电企业开展红队、蓝
队日常技术培训工作的支撑平台,提升网络安全人员的实
战能力,培养网络安全攻防和渗透人才,同时能够提升安
全保障工作的边界防护能力、安全加固能力、安全区监测
分析能力等,帮助企业网络安全人员在实际工作中更好的
做好安全防护与应急响应。平台还可用于举办线下和线上
CTF 竞赛、攻防赛等,提供网络安全人才进行交流、比赛
的环境支持,为核电企业的网络安全人才培养计划提供强
有力的支持,将企业员工的网络安全培训从计划制变为常
态制,带来可观的人才效益。
安全技能评估
核电仪控网络安全测试平台提供的可重构式网络安全
测试环境,可为核电运营单位的网络安全人员提供与与实
际工作环境对应的演练环境及丰富的攻防场景库,核电企
业可基于平台开展攻防赛、夺旗赛、红蓝对抗等多种形式
的攻防演练,一方面可帮助核电企业开展人员的网络安全
技能评估,另一方面可帮助核电企业提高网络安全队伍的
网络攻防能力和渗透测试能力。
伴随着核电厂智能化、数字化的不断发展,特别是 IT(信
息技术)与 OT(运营技术)的不断融合,传统的内外网边
界、人机边界、网络空间和物理世界的边界都将不断模糊化,
网络攻击的危害也将逐渐由虚拟的网络空间延伸到真实的
物理世界,核电厂仪控系统面临的网络安全风险将带有更
多不确定性,网络攻击路径将更为多样化和复杂化,未来
的安全管控措施也将变得多样化,相应的仪控网络安全测
试平台也需要进行更新升级。
需要指出的是,核电仪控网络安全测试平台主要聚焦
于技术类安全控制措施的验证及确认,而操作类和行政类
控制措施对于核电厂网络安全工作同样尤为重要,特别是
如果物理类和行政类控制措施缺失或者失效的话,可能导
致技术类安全控制措施的失效。因此,在实际工作中,核
电厂需要从仪控系统的设计阶段起就充分考虑网络安全所
需的各类管控措施,并在仪控系统的建设和运维阶段进行
部署实施。■
插图
第13页
观点异见
11
真正做到“安全态势可感知、安全威胁可预警、异常行为可监控、安全价值可呈现”,需要一系列支撑
体系或运维体系的介入和应急响应,提高事件响应的速度和高级威胁发现能力。
文 / 国电电力发展股份有限公司和禹水电开发公司 王 雷
安全态势感知实现全天候全方位
态势感知,是指在大规模网络环境中,对能够引起网
络态势发生变化的安全要素进行获取、理解、显示,并预
测未来的发展趋势。随着高级威胁的不断演进,攻击事后
检测成本增高而事件影响加大,对安全威胁检测防御的思
路已经从过去单一设备、单一方法、仅关注防御转变为检测、
防御、响应为一体的自适应防护体系,围绕攻击链进行整
体安全可视。
水电站电力监控系统网络安全态势感知系统应用,及
时掌握安全风险和态势趋势,快速进行联动响应,提升水
电站网络安全防御能力,全天候全方位感知网络安全态势,
有助于网络安全管理人员作出有效决策。同时为满足主机
安全需要及等保测评需要,完善服务器主机操作系统等级
防护。
态势感知概述
安全态势感知管理平台是安全大脑,是一个检测、预
警、响应处置的大数据安全分析平台。以全流量分析为基础,
基于探针等安全组件,采集全网的关键数据,结合威胁情报、
行为分析建模、UEBA、失陷主机检测、关联分析、机器学习、
大数据关联分析、可视化等技术,实现对全网的流量的应
用可视化,业务可视化,攻击与可疑流量可视化。真正做
到“安全态势可感知、安全威胁可预警、异常行为可监控、
安全价值可呈现”,帮助信息工作人员在高级威胁入侵之后,
损失发生之前及时发现威胁。
1、身份认证
设备管理:设置硬件 USBKey 设备的用户名称,安全
事件追踪到指定责任人。
用户绑定:将硬件 USBKey 设备与操作系统内的用户
关联,一个设备仅能关联一个用户,且只有关联的用户才
允许登录。
登录增强:操作系统用户在登录系统、解锁系统、切
换用户等操作时,必须验证 USBKey 设备口令通过后,才
能进行密码验证,实现登录等功能。
2、程序安全
设置程序白名单,通过完整性检查,设置信任路径,
信任程序等。智能更新,可以对软件更新进行自动追加白
名单,无需手动追加。
3、网络安全
网络防火墙,采用网络访问例外,SYN 攻击保护:保
护操作系统不受 SYNFlood 攻击。非法外联:系统支持检
测设备的网络访问行为并生成告警。
4、主机策略
通过安全策略配置,安全远程连接管控。
5、外设管理
移动存储设备管理,可以对接入系统的移动存储设备
进行只读、读写、禁用、禁止执行等权限控制。其他外设,
支持对接入主机的网络外设,USB 外设、串口、光驱和蓝
牙等其他外设进行管控。
6、文件安全
通过强制访问控制、文件保护。
7、安全审计
方案解决问题
1、方案设计
方案设计以全流量分析为基础,基于探针等安全组件,
采集全网的关键数据,以安全感知平台为核心,结合威胁
第14页
观点异见
12
情报、行为分析建模、UEBA、失陷主机检测、关联分析、
机器学习、大数据关联分析、可视化等技术,实现对全网
的流量的应用可视化,业务可视化,攻击与可疑流量可视
化。真正做到“安全态势可感知、安全威胁可预警、异常
行为可监控、安全价值可呈现”,同时,同时提供易运营
的支撑体系,便于安服专家或运维体系的介入和应急响应,
提高事件响应的速度和高级威胁发现能力。
基于探针等安全组件采集全网的关键数据,以安全
感知管理平台为核心,结合威胁情报、行为分析建模、
UEBA、失陷主机检测、关联分析、机器学习、大数据关
联分析、可视化等技术,实现对全网的流量的应用可视化,
业务可视化,攻击与可疑流量可视化。
2、方案功能组件
整体组件包括基础组件和扩展组件,具体如下:
潜伏威胁探针 STA:用于旁路部署在外网各个关键区
域节点(交换机),对全流量进行采集和检测,提取有效
数据上报给安全感知管理平台。潜伏威胁探针具备 IDS 检
测能力。
流量威胁检测系统 NDR:全流量高级威胁检测系统定
位为客户的安全分析利器,是一款专门围绕“高级威胁检测”
为核心,主打全流量采集、快速检测、威胁定位、研判溯源、
联动闭环一体化的专业工具。
全流量威胁取证系统 NFT:《新等保 2.0》明确要求
支持网络回溯。
对水力发电厂的价值
1、全局安全可视
通过全流量分析、多维度的有效数据采集和智能分析
能力,实时监控全网的安全态势、内部横向威胁态势、业
务外连风险和服务器风险漏洞等,让管理员可以清楚的感
知全网是否安全、哪里不安全、具体薄弱点、攻击入口点等,
围绕攻击链(kill-chain)来形成一套基于“事前检查、事
中分析、事后检测”的安全能力,看清全网威胁,从而辅
助决策。
2、大数据分析、检索能力
安全感知管理平台基于 hadoop 大数据框架,结合
EleasticSearch 引擎进行设计,产品默认具备 TB 级别的海
量数据存储、关联分析能力,并可通过集群等方式进行扩充。
3、机器学习应用场景
安全感知管理平台将机器学习技术应用到整个攻击链
的每个过程中,为威胁溯源 / 追捕、攻击路径可视、安全
可视提供基础。1)精准的已知威胁检测。2)发现内鬼和
未知威胁。3)攻击事件深度挖掘。4)成功的攻击事件检
测
4、实时监测,精准预警
安全感知管理平台通过对全网流量、主机日志和第三
方日志的采集分析,实现对已知威胁(僵木蠕毒、异常流量、
业务漏洞等)和未知威胁(网络僵尸、APT、0day 漏洞等)
的全天候实时监测,同时结合智能分析和人工干预的便捷
运营支撑,对已发现的威胁进行精准化预警,简化运维,
有效通报预警。
5、高效协同响应
安全感知管理平台可联动自有安全设备体系作为基础
组件,不仅作为安全数据采集,当发生重要安全事件或风
险在内部传播时,亦可通过联动进行阻断、控制,避免影
响扩大。联动方式涉及到网络阻断、上网管理、终端安全
查杀,可有效辅助管理员进行问题闭环。
6、等保管理
专门对等级保护建设整改过程中,将系统定级、差距
评估、备案、整改、测评过程中产生的文档结论进行统计
归档,并使用可视化的统一界面进行展现与管理,最大程
度发挥安全措施的保护能力。■
图 1 安全态势感知系统架构
图 2 安全感知管理平台数据处理流程
第15页
观点异见
13
电力信息系统若想安全、稳定运行 , 就需要高度重视系统数据库的安全,降低信息系统数据库的风险。
文 / 国网吉林四平供电公司 迟克寒 马旭东 陶 亮
加固信息系统数据库安全
随着我国经济发展速度的不断加快,电力能源已成为
了关乎国计民生的基础性支柱产业,对千家万户的老百姓
来说,电力产业是日常生活不可或缺的部分,对于国家来说,
是经济发展重要前提,更是国家战略中优先和重点发展的
产业。
近几年,国家电力企业以国家信息化发展战略为契机,
依托现代化的经营与管理方法,不断加强了电力产业信息
化、自动化以及系统化的建设。但是,对于电力信息系统
而言,除了系统本身功能外,数据安全保护无疑是用户最
为关心的内容。如今电力能源的信息大部分以电子数据的
形式存储在电力信息化平台上,这些数据涉及到国家发展
战略以及社会公共利益,所涉及的信息数据都带有机密性
以及可用性,更需要进行强制性、连续性、可控性保护。
一旦电力信息系统数据发生丢失、被恶意篡改亦,则国家
的安全、社会大众的利益以及各行各业的生存均会受到严
重的威胁,给社会带来严重的负面影响和经济损失。
电力信息系统数据库安全现状
当前,比较普遍的数据库用户主要分为应用程序系统
用户(业务员),数据库管理员与应用程序开发人员。如
图 1 所示为数据库使用现状。业务人员凭借前端应用程序
以普通业务数据库用户的身份对数据库进行访问。数据库
管理员则可以以 DBA 用户身份直接从后台登录数据库以进
行相应的管理与维护,若有些管理人员在后台导出窃取事
件,则可能会导致数据被泄露或篡改;为了验证新功能是
否正确,开发人员需要从数据库中提取一些数据以进行开
发和测试,若在测试的时候看到敏感信息,也会增加数据
信息泄露的风险。由此可以看出在现有工作模式下电力信
息系统数据库存在着不同程度的数据泄漏风险。因此,需
要对电力信息系统数据库采取安全加固技术。
数据加密
一直以来,业务数据凭借关系表结构的形式在数据库
中存储,并且数据库维护人员能够利用后台导出数据将敏
感信息导出。所以,需要加密敏感数据。插入数据后,明
文数据将加密为密文并在数据库中进行存储。通过查询访
问数据,可以凭借解密将密文再次转换为明文。当前,基
于密钥加密的算法有两种:对称加密算法与公私密钥算法。
常见的对称加密算法主要涉及到 DES、3DES 以及 AES 等。
这些算法具有快速的加密和解密速度,并与数据库访问性
能的要求相符。公私密钥算法和对称加密算法不一样,它
不同于加密密钥(公钥)和解密密钥(私钥)。公私密钥
算法解密的速率较慢,对于数据库加密不适宜。
利用 AES 算法来加密敏感字段,且把密钥置于“钱包”
内,需要通过准确的口令才能够将“钱包”打开,取出密
钥之后解密数据库,进而导出数据,在别的设备上导入后
没有办法正常显示。利用此类方法可以降低数据被恶意导
图 1 数据库使用现状
第16页
观点异见
14
出的风险,强化了敏感数据的保护。
权限分离
结合工作状况的差异,用户对数据库所要求的权限也
存在不同程度的差异。一般的用户享有查看、新增、删除
和修改的权限;对于数据库管理员亦或者维护人员,应具
有数据库的启停、备份、归档和数据表结构维护的权限。
所以,权限应该按照具体的角色适当授予。
现阶段,业务系统数据库账户角色涉及到两种:其一
是普通业务账户,应用程序凭借该账户来访问数据库中的
数据;其二是 DBA 账户,运维管理人员凭借对该账户的
维护,能够随意对数据库中的数据进行访问。此类分配形
式导致运维管理人员权限太高,导致数据存在被泄露或者
恶篡改的弊端。所以,本文提出把数据库管理员的角色划
分为两类角色:管理员、安全员,将普通用户和运维用户
的权限进行分离。如图 2 所示就是权限分离示意,以往的
数据库管理角色分成安全员与管理员之后,安全员主要担
负着对普通应用账户来读写授权,管理员只保留数据库维
护管理、账号管理以及表结构管理等运维权限。普通应用
账户的创建需要管理员完成,而安全员则按照普通用户的
实际工作内容适当进行授权。此外,安全员和管理员二者
之间相互独立,且相互制约。安全员无法对管理员授权,
管理员也无法安全员角色进行创建或者销毁。简而言之,
全部的数据访问操作只有普通应用账户能够实现,安全员
的权限是数据访问操作授权,其自身不能对数据进行访问
操作;管理员只具备非数据外的运维操作权限。此外,还
引入了审计员的角色,其和管理员、安全员相同,是单独
存在的,无法被创建或销毁,其职责主要负责审计数据库
内全部用户行为。
一般来说,信息人员负责对管理员口令进行保管,业
务人员主要对安全员口令以及业务人员帐户进行保管,审
核员帐户主要由审核员保留。这种具有权限分离的授权方
法可以较好地对电力行业中敏感系统的运维管理问题进行
处理。信息部门和业务部门相互限制,任何一方未经授权
都难以违反规定进行操作。即使存在泄漏数据问题,审核
员也可以查看审核记录并跟踪违规操作的来源。
数据库审计
数据库审计主要指的是审查和记录数据库用户的操作
行为。典型的审核报告通常具备操作用户、操作行为和操
作更改数据等内容。有学者研究将审计功能嵌入到关系数
据库平台中,从而审查数据库的事务日志,可以跟踪数据
以及数据库结构的变化,且生成记录文件。这种方法有两
个缺点:(1)审核记录在本地存储,DBA 用户有可能篡
改审核数据;(2)审计功能无法审计数据访问语句,例如
选择语句,这可能会导致敏感数据被窥视。如图 3 所示为
审计服务器的部署示意。审计服务器与数据库分开进行部
署,而且加密审计服务器中的数据,以确保审计数据不会
被篡改。例如 Oracle 数据库,该数据库所落实的全部 SQL
语句会被临时在共享池缓存中进行存储。所以,有必要定
义一些关键字段的查询,以便审计服务器能够自动获取满
足条件的 SQL 语句,以达到审计数据访问的目标。
实际上,市场上有可以实现此功能的成熟软件。例如,
Oracle 的 Audit Vault 就是根据这个原理进行的。它将代
理作为审核收集器部署在数据库服务器端,并按照预设的
审核策略执行审核,且通过加密的方式对公司的经营行为
进行记录,且通过加密的方式把记录送回审核服务器以进
行存储和分析。
数据屏蔽
根据定制规则可以将生产数据库中的敏感数据不可逆
转地转换为其他内容,并将敏感数据的特征保留,这样可
以在对系统进行测试的时候,防止敏感信息的泄漏。 实际
图 2 权限分离示意
图 3 审计服务器部署示意
第17页
观点异见
15
上,可以凭借 PL/SQL 编程对屏蔽转换脚本进行编写,或
者使用其他成熟的软件(例如 Oracle 的数据屏蔽软件包)
来实现此功能。
全方位数据安全加固技术的应用
通过以上分析,可以选择数据加密、权限分离、操作
行为审计和数据屏蔽四种方法来克服以往的系统的弊端。
数据加密。 插入数据时,敏感字段凭借 AES 算法加密,
并且密钥在特定位置存储。 在对数据进行查询时,只能选
择准确的口令来获取密钥并解密数据库,以确保即使数据
被恶意导出,“偷窥者”也没有办法获取正常的明文数据。
凭借这种方法,可以减少恶意导出数据的风险,并增强对
敏感数据的保护。
权限分离。数据库管理员的角色被分解为安全员和管
理员两类角色,以达到运维用户和普通用户之间的权限分
离。以往数据库管理角色分为管理员与安全员。安全员负
责对普通应用程序帐户的正确读写授权,而管理员单单保
留数据库维护和管理,帐户管理以及表结构管理的操作和
维护权限。两者及时独立,也是相互制约的的。管理员既
不能创建或销毁安全员的角色,也不能授权安全员。它的
职责是审核数据库中的所有用户行为。这种具有权限分离
的授权模式可以使电力行业敏感系统的电源运维管理问题
得到有效解决。
操作行为审核。审计服务器与数据库分开部署,并且
审计服务器中的数据经过加密,以避免审计数据被恶意篡
改。
数据屏蔽。可以结合定制规则将生产数据库中的敏感
数据不可逆转地转换为其他内容,将敏感数据的特性保留,
从而在避免敏感信息泄漏的同时达到良好的测试效果。
如图 5 所示为数据加固模式示意图。要想实现全方位
的数据安全加固流程如下:
单独部署审核服务器,然后在原始数据库上部署代理。
凭借对审计策略的设定,获取满足审计范围的操作语句,
并将其返回到审计服务器加以存储。
加密审核服务器中的记录和数据库服务器中的敏感信
息字段。
原始超级管理员用户的权限分为安全员和管理员,分
别负责操作授权和系统运维功能。编写屏蔽脚本以转换数
据库中的敏感数据,并将其发送到测试服务器以测试。在
这种技术方法下,能够从技术层面上较好地防止数据泄漏,
即使出现泄漏也可以快速定位。对于数据信息偷窃者来说,
这样的设计在很大程度上增加了数据窃取的难度,可以较
好地保护对电力信息系统数据库。
随着信息技术的迅猛发展,电力信息系统的应用越来
越广泛。同时,对电力信息安全的业务要求不断提升。目前,
尽管可以从技术层面对数据库进行安全加固,但是并不能
完全确保数据的绝对安全性,必须使用管理方法进行控制。
本文建议将不同的权限分配给不同的管理部门。另外,有
必要对机房人员的进出进行登记,操作维护人员也必须有
相应的严格管理要求。除了数据库本身之外,还应结合一
些网络安全技术来增强电力信息数据库的安全性。■
图 4 数据屏蔽示意
图 5 数据加固模式示意
插图
第18页
观点异见
16
随着企业数据资源总量迅速增长,企业对于数据共享与开放的需求也逐渐增加。
文 / 中国长江电力股份有限公司 张 辉 曾 强 王 刚
提升数据资源价值
水电企业在长期的生产运营过程中积累了大量的电力
生产数据,这些数据具有产生速率跨度大、数据源众多、
数据种类繁多、交互方式复杂等特点。但长期以来这些数
据仅存储于分散的系统或进行了有限的集成和利用,数据
资源标准体系未能进行系统的梳理,这些数据如何应当如
何被采集、存储和应用,不同系统之间数据应当如何交互、
数据质量应如何管控、数据开放和共享应如何实现等问题
亟需解决。
为了进一步提升企业信息化水平,充分发挥大数据、
云计算等新兴信息技术对智能化电厂战略的支撑作用,需
要构建科学、系统、完善的数据资源标准体系,为生产管
理数据采集治理实施提供指导和依据。同时,通过大数据
平台建设,实现对各类数据模型与标准的落地,实现数据
的统一治理管控机制和交换同步机制,为水电站机电设备
的状态趋势预警、评估与诊断、状态检修等工业互联网高
级分析应用奠定数据基础。
水电数据资源标准体系构建
构建水电数据资源标准体系是为了支撑智能化水电厂、
智慧型企业的建设需要,该体系全面反应企业对信息资源
的管控需求,为企业数据资源的采集、传输、清洗、存储、
应用提供充分的管控手段和指导依据,为实现企业生产管
理运营的全过程、高层面的分析决策支持奠定基础。
1、数据资源梳理
采用问卷调研、内部走访、资料采集和外部调研等多
种方式,对企业现有生产及管理信息系统使用情况和内部
数据资源管理情况进行调研,包括系统的部署方式、技术
架构、功能组成、数据情况、网络安全、系统集成和相关
的通信网络等,梳理、分析并汇总现有系统数据资源类型、
数据采集频率、数据使用等情况,达到“理清家底”的目的。
在调研过程中同步了解数据资源的应用需求,为数据开放
和共享建立基础。
参考国家标准和国际标准,借鉴国内企业实践经验,
从数据资源技术标准、数据资源管理制度等方面,构建数
据资源标准体系。保障数据管理工作有法可依,实现数据
资源标准有章可循,为利用大数据技术构建企业级数据湖
奠定基础。
2、数据资源技术标准体系编制
建立数据资源技术标准体系是充分发挥数据价值的前
提条件。建立起可管可信的数据治理体系,是解决数据“有
没有用”的关键路径。数据资源标准是数据治理的核心要素,
规范数据采集、编制资源目录、确保数据质量、强化数据
安全,实现数据共享开放,探索数据综合利用,才能更好
地发挥数据的支撑和应用作用。
数据采集交换规范,规定了数据交换接口规则和数据
内容,包括数据接口概述、数据接口调用方式、数据包格
式等。针对实时数据、历史数据、文本数据、多媒体数据、
时间序列数据等各类结构化、半结构化数据以及非结构化
数据 [1] 等不同的数据类型制定采集策略,定义数据交换的
数据范围、内容、采集频率等技术性要求。
生产数据模型规范,针对水电站生产域中监控、监测、
安防、保护、计量等业务中的数据对象进行分析和定义,
对数据对象之间关系进行定义和描述,包括数据模型描述
方法、生产数据信息模型整体框架、生产数据信息模型的
具体描述等。
主数据规范,规定了主数据原则和范围,定义了财务域、
第19页
观点异见
17
人资域、营销域、生产域、计划域、采购域等的主数据模型。
数据计算存储平台规范,规定数据存储的软硬件技术
要求和数据存储策略,如存储内容、周期等。
数据服务平台规范,规定对外提供数据服务的技术标
准,指导、规范大数据平台的建设,定义了对外提供数据
服务的类型、调用方式、数据接口要求等。
数据资源管理平台规范,规定数据资源管理平台的基
本要求,包括平台的功能要求、性能和安全要求等。
数据采集交换平台规范,规定数据采集交换平台的基
本要求,包括平台的功能要求、性能和安全要求等。
3、数据资源管理制度
通过对数据治理各个核心要素和关键环节制定相应的
管理办法,明确组织架构、岗位职责,保障数据治理的实
施和持续改进,加强数据治理的统筹规划,使制度起到对
数据治理工作的支撑作用。数据资源管理制度包括数据基
础标准管理、主数据管理、元数据管理、数据质量管理、
数据共享管理等。
大数据平台建设
大数据平台建设目标是提供统一的大数据共享和分析
能力,对各类业务进行前瞻性预测及分析,挖掘企业生产、
经营管理数据的潜在价值,为企业战略决策、业务协同、
风险管控等提供有力支撑。大数据平台作为企业信息资源
的集中管理平台,承担着为精细化管理和业务创新提供数
据资源的职责,支持实现数据和业务逻辑的有效交换共享、
联通整合,促进数据共享。
1、平台架构
基于 Hadoop 构建高可靠、高安全、高性能、高扩展、
技术先进的一站式数据管控平台,能够支撑各类数据采集、
数据存储、数据交换、数据计算、数据建模、数据服务等
应用需求,为灵活多变的业务应用提供可靠、安全、高效
的大数据处理能力,以及强大的开发支持。
2、平台功能
大数据平台功能应能够满足水电企业多源海量异构数
据的采集、存储、处理、挖掘、展现、共享及安全保障等需求。
全面的数据采集整合,实现企业生产、管理数据的统
一归集管理,数据采集整合采用多种技术手段,对各类数
据按照统一数据规范进行标准化及关联处理后,存储在分
布式文件系统或分布式数据库中。支持多种数据库数据集
成,支持实时增量式数据集成,支持海量结构化或非结构
化数据集成。
海量的数据存储 , 主要面向全类型数据 ( 实时、结构化、
半结构化、非结构化 ) 的存储、查询,以海量规模存储、快
速查询读取为特征,采用包括分布式文件系统、分布式关
系型数据库、NoSQL 数据库、实时数据库、时序数据库、
内存数据库等典型功能系统,支撑数据处理高级应用。
全面的数据计算 , 通过多维分析、分布式计算、数据
挖掘、流计算等多种技术满足不同时效性的计算和分析需
求,支持多种主流深度学习框架。
统一的数据资产管理 , 包括元数据管理、测点管理、
主数据管理、数据模型管理、数据质量管理、数据脱敏管
理等核心功能模块,同时也可根据数据管理的需要增加数
据编码管理、数据标签管理、数据血缘管理、数据价值管
理和数据目录管理等功能。
高效的数据服务管理,以分布式计算框架为支撑,向
上层应用提供数据访问和处理服务,提供必要的二次开发
工具,包括平台服务接口 ( 文件服务、数据服务、分析服务 )
和大数据可视化组件库,可快速构建面向大数据的数据分
析功能。
丰富的数据可视化展现,面向各级数据分析与成果应
用人员,提供多种在线和离线数据分析功能。
数据采集治理实践
基于大数据平台进行生产数据采集治理实施,实现各
类数据模型与标准的落地。根据数据来源、数据类型的差
异性,采用不同的数据接入方式,在数据归集时严格按照
约定的数据格式接入,保证采集数据的质量。完成数据的
接入、抽取、清洗、装载以及形成基础的数据服务,实现
对数据的统一治理管控机制与数据交换同步机制。
1、数据采集与交换
数据采集与交换需要解决数据交互过程中交互机制多
样化与规范化的矛盾。根据不同数据的特点在转发给大数
据平台时使用不同的数据交换方案 [2],其功能实现主要是
依托大数据平台的数据采集组件。例如,通过 Sqoop 脚本
实现关系型数据的全量导入或者增量导入;通过分布式消
息组件 Kafka 实现并发吞吐量大的实时数据并发传输;通
过 ftp 方式将非结构化或半结构化文件数据传输至大数据平
台。
2、数据存储
在大数据平台体系中,根据数据类型制定存储策略。
使用实时数据库、HBase 存储数据吞吐性能要求较高、访
问方式较为单一的生产实时数据,支持数据的快速查阅展
第20页
观点异见
18
示;使用分布式存储 HDFS存储事件日志数据、音视频数据、
文档图纸数据和其他半结构化 / 非结构化数据;使用关系
数据库、Hive 存储非实时类结构化数据和支撑大数据计算
平台运行的数据;使用 MPP 并行计算平台建立数据库集群,
存储关系型数据,建立数据仓库和数据集市,进行关系型
数据的并行计算分析处理。
数据开发利用成效
在生产域方面,实现水电站生产系统(监控、监测、
保护、计量、安防等)产生的测点和信号数据抽象和建模,
规定了生产数据采集、存储和数据服务要求。采集测点和
信号数据 81 万余条,抽象和归集形成约 20700 余项数据对
象;通过平台还实现了设备 KKS 统一编码,打通管理系统
与生产系统的数据边界,为水电站设备运行监视、智能预
警、故障诊断、状态评估、智能决策等高级应用提供了全面、
完整的数据基础。
在管理域方面,实现了发电生产、文档管理、市场营销、
人力资源、财务管理、物资库存、计划合同、信息化、党建、
科技创新等 2300 项指标数据的实时展示及关联分析;无缝
对接全国能源市场运行监测数据,实时展现全国各省市能
源(电力、煤炭、石油、天然气、新能源等)530 余基础数
据指标。对内可满足企业综合信息展示、生产经营活动分
析需求,对外可满足电力行业经济指标数据自动化采集、
行业一流企业及国际一流企业对标需求,形成了数据资源
双循环相互促进的新发展格局。■
插图
第21页
观点异见
19
PMS3.0 以业务数据化为基础,大力推进设备管理全过程业务协同,驱动业务模式变革,推动设备管理
全环节、全场景数字化转型,有效支撑新型电力系统建设。
文 / 国网浙江省电力有限公司 史剑锋
文 / 国网杭州供电公司 许懿洋
文 / 国网嘉兴供电公司 王 强
建设新形态 创造新价值
国网浙江省电力有限公司发扬勇立潮头、敢为人先的
浙江精神,贯彻国网公司建设“具有中国特色国际领先的
能源互联网企业”战略目标,聚焦能源设备智能化与数字
化发展新趋势,以数字化牵引为总抓手,认真落实“数字
浙电”整体布局,加快推进设备管理数字化转型和新型电
力系统建设,全面打造以电网资源业务中台为核心、以互
联网应用为拓展、以统一工作台为门户的新一代设备资产
精益管理数字化平台(PMS3.0),开展数字化融合业务能
力建设,推进设备智能化升级及管理数字化转型。
“十四五”前,由于特高压电网输送容量大、输电距
离远、密集通道多、环境条件复杂,部分特高压主设备关
键组部件技术特性、监测手段等与电网创新发展不适应,
且缺陷、隐患识别仍需借助人工,效率较低,运维人员无
法实时了解设备运行状态,设备安全保障能力仍需提升。
此外,多年高强度、大规模电网建设形成的资产墙风险日
益凸显,设备更新改造压力加大、故障风险累积、维护成
本上升等问题需要科学研判、超前应对;设备管理涉及环
节多、链条长,设备量级大、分布广,在信息数字技术迅
猛发展的前提下,设备智能化程度有待提升;设备健康管
理细度不够,生产责任制泛化,运行人员对设备状态管控
能力下降,设备差异化运维和差异化检修模式有待深化。
随着我国经济社会进入高质量发展阶段,电力企业全
面深化改革持续推进,公司经营发展面临新的形势与挑战,
以 PMS2.0、电网智能运检管控平台、供电服务指挥系统等
为主体的生产业务系统,均采用传统单体应用架构,存在
系统架构不一致、数据模型不统一等不足,难以支撑现代
设备管理体系下的数字化转型。
2021 年 2 月,浙江公司启动 PMS3.0 试点建设,以基
层班组数字化需求为出发点,推动数字化技术和互联网理
念深度融合嵌入到设备管理的各业务环节,不断推动“设备、
作业、管理、协同”四个数字化建设,支撑现代设备管理
体系战略落地。
PMS3.0 不再是一套传统意义上的信息化系统,而是公
司设备资产管理数字化的技术平台、作业平台和业务平台;
不仅是技术创新应用,还包括思维理念、管理模式、业务
模式的深刻变革。
设备数字化,助推设备智能化升级
依托电网设备与先进传感、信息通信、自动控制等技
术深度融合,通过物联管理平台实现底层数据实时传送到
设备主站监控系统接入终端设备,有效提升设备状态感知
能力和互联互动能力。
浙江公司全面推进主辅设备监控、操作一键顺控、远
程智能巡视等关键技术应用,汇集成设备物理模型、设备
技术参数、检修运维记录等数据,推进变电站全息数字画
像构建,支撑现场作业开展。截至目前,已完成 9 套集控
系统主站建设、867 座市本级变电站站端信息接入,集控系
统已监控设备信息量达 198 万;已完成 432 座变电站一键
顺控功能部署,累计开展一键顺控代替人工操作 37234 次,
节省现场操作约 75% 人工时。
全面推进省侧电网一张图建设工作,积极开展图模拼
接、数据穿透、服务协同等关键技术验证,通过分层叠加
沿布图、电缆隧道、电网专题图全景展示,实现静态电网
一张图的跨省线路拼接和电网全电压等级展示。基于实时
量测中心的标准量测域模型,进一步接入电网实时事件、
开关状态、遥测数据等感知信息,实时汇聚电网各环节电、
第22页
观点异见
20
非电量测数据,构建全透明动态电网一张图,提升电网可
观测、可描述、可控制能力。
研究数字孪生关键技术和原型论证,搭建设备实景精
细化物理模型,结合智能传感器实时数据,融合集成多物
理场仿真,为数字孪生电网的运行管理打造数字底座。目
前已完成隧道输电线路、架空线路等模型建设及统一可视
化、模型管理,推动电网设备数字孪生建设。
作业数字化,加快生产业务模式变革
紧扣现场作业数字化转型的关键要素,强化跨区业务
支撑能力和现场作业能力。依托“两库一平台”支撑能力,
开展“天、地、人”一体化联合巡检,实现巡视业务的人
工替代,促进精准化巡视策略落地。
浙江公司建成国内首个输变配全专业无人机管控应用,
全省已经实现无人机巡检的规模化应用。机巡作业实现全
流程线上流转,缺陷图像智能识别准确率达 85%,精细化
巡检效率提升 4 倍,通道巡检效率提升 6 倍,500kV 线路
点云信息采集与自主航线规划实现 100% 覆盖,平均巡检时
长降低 85%,有效促进巡检作业模式实现从“人工”向“智
能”,从“单一”向“立体”的转变。
整合各类站端资源,利用变电站机器人、高清摄像头
等装置开展联合巡检,做到站端感知装置的数据融合应用,
逐步实现”机器替代为主 , 人工补充为辅”的巡视新模式。
变电人机协同巡视应用,实现室外非开箱巡视点位覆盖
100%,主设备表计抄录工作“机器替人”100%,变电巡视
工作机器覆盖点位 93%。
例行巡视室外部分已由机器全部替代,全面巡视时间
由 30 小时缩短为 5 个小时,有效减少基层班组负担,提高
巡视质效。
加强移动通讯、智能移动终端等技术应用,大力拓展
互联网大区应用和移动 APP 应用,以配网抢修数字化智慧
管控为例,已实现抢修任务智能分配,推进工单派发最优
化;实现抢修人员轨迹呈现,推进抢修进度可视化;实现
故障智能研判和抢修预案自动推送,推进抢修过程智能化,
逐步建成“抢修业务标准化,抢修指挥透明化”的配电智
慧抢修新模式。
通过数字化手段全面支撑以“业务在线化、作业移动
化、信息透明化、支撑智能化”为特征的作业数字化班组
建设,地市单位数字化班组建设已 100% 覆盖,全省各单位
已 100% 实现一、二种工作票、计划任务工单、修试记录、
带电检测等项目的无纸化应用。
管理数字化,提升设备全过程管控能力
汇聚设备、作业、成本等全息信息,通过数字化提升
有效释放生产力,逐步提高专业辅助决策能力,推动管理
模式由人工经验模式向数据驱动模式转变。
基于 PMS3.0 系统,浙江公司推进生产管控中心平台
创新融合数字技术与电网设备管控,构建在线协同、迅速
响应、高效指挥的公司生产管控体系新形态,强化生产信
息汇集、现场作业风险管控、业务过程管控、指挥协调等
业务开展,提升设备状态管控力与运检管理穿透力。目前,
浙江生产管控平台已实现两级生产管控体系五大核心业务
基础功能线上流转,接入故障、缺陷、隐患等 61类关键数据,
有效支撑省、市两级生产管控体系协同运行,经各专业分析,
生产管控平台上线后整体工作效率提升约 22%。
基于大数据分析、人工智能等新技术,浙江公司开展
“全业务流程知识共享共智”的浙电设备知识大脑建设,
推动知识存储数字化、资料信息知识化和应用智能化转变,
实现技术标准便捷应用、设备故障智能会诊以及工作经验
共享传承,支撑基层现场作业应用,赋能数字化班组建设,
夯实设备管理数字化转型基础。电网设备知识库应用全省
数字图书馆日均查询次数 623 次以上,平均每次故障处理
时间减少 120 分钟,在保障电网安全生产、服务设备管理
精益化上发挥重要作用。
浙江公司在设备全寿命周期全过程关键环节发力,充
分运用新技术、新方法推动各业务环节优化,以实物“ID”
深化应用为纽带,推动生产设备技改大修管理、生产成本
管理、资产盘点管理等业务流程可监控、数据可追溯、责
任可追查,支撑实物运动和价值运动有效衔接,推动降本
增效,形成业财协同和多维精益管理格局,赋能公司设备
管理投资决策。
协同数字化,促进高效协同价值跃升
充分发挥电网资源业务中台的企业级资源汇聚和共享
服务支撑能力,推进主配网同源维护套件全省推广应用,
完成与营销、调度等部门的数据汇集,全国范围内首次实
现调控云与电网资源业务中台数模贯通,确保多维设备信
息准确一致,为设备的实时监控和智能预测研判奠定基础,
也为企业级业务协同共享提供统一支撑,实现“源端采集、
一次录入、全局共享”。打通业务数据壁垒,协同数据、项目、
财务等中台构建设备资产管理数据“底座”,实现从规划
至报废的设备全寿命数据管控链路,提升设备全过程管理
穿透力和执行力,共对接各部门网上电网、财务多维精益、
第23页
观点异见
21
智慧供应链等 31 套企业级应用,有效支撑营配调本质贯通、
新一代应急指挥系统等应用协同创新能力。
不断推进设备管理全过程协同,与建设部完成移交成
果校核、移交归档、三维模型和数字化成果等模块的建设,
实现基建过程数据资料“一键式”移交;与营销部整合业
扩工程 15 套系统数据,打破办电专业壁垒,有效压缩业扩
报装平均时长;与调度基于实物“ID”完成一二次设备关
联的应用实践,支撑二次设备转资投运应用;与财务一体
化平台数据贯通,实现自动转资、退役报废等业务融合,
促进资源有效协同、产业链价值跃升。
浙江公司将继续发挥设备管理数字化转型试点引领作
用,持续推进 PMS3.0 的深化应用,以电网一张图、现代
智慧配电网等数字化重点工程示范建设为抓手,以业务数
据化为基础,探索设备管理数据业务化路径,提升数字技
术融合深度,大力推进设备管理全过程业务协同,驱动业
务模式变革,推动设备管理全环节、全场景数字化转型,
有效支撑新型电力系统建设,助力设备管理数字化转型取
得突破性进展,为建设具有中国特色国际领先的能源互联
网企业的示范窗口贡献力量。■
插图
第24页
观点异见
22
结合“内网文件交换 + 外发审批 + 安全隔离 + 外网文件交换”的安全管控模式,创建内外网文件安全
交换系统,有效保证了传输文件的安全性和完整性,为企业保密管理工作提质增效。
文 / 阳江核电有限公司 程 朗
文 / 中广核智能科技(深圳)有限责任公司 落志远
内外网间安全交换集团文件
随着信息技术的不断发展,网络安全问题变得日益严
峻,尤其是企业在文件内外网安全交换方面面临着越来越
大的挑战。尽管已有一些研究关注了这个领域,但在解决
大型企业文件内外网安全交换问题上,仍存在着重要的待
解决问题。
中企业业存在大量的商业秘密、核心敏感信息,在与
外部人员跨网交换共享信息时,极易出现核心商密、工作
秘密泄漏的风险。设计与建设一种大型企业内外网文件交
换系统,包含文件交换、外发审批、日志审计、容量配置
几大功能模块。在满足日常文件外发内传的同时,实现外
发文件的流转审批、敏感字检测和内传文件的病毒查杀,
从而降低失泄密和感染病毒的风险。
内外网文件交换系统建设思路
系统采取内外网分别部署一套服务器的方式,通过双
向网闸进行内外网安全隔离,保证了网络隔离的合规性。
内外网文件交互通过网闸进行数据交换,禁止内外网终端
之间进行通信和数据交换从而有效地保障了网络架构的安
全性和可靠性;系统使用 VLAN 技术隔离内外网网络通道,
并采用加密文件包的方式进行文件传输有效防止文件信息
被篡改;系统内置防病毒引擎,互联网端上传文件时可自
动进行病毒查杀工作,如查出含有病毒的文件则将病毒文
件转入隔离区。
内外网文件交换系统架构
为了确保内外网文件交换系统的稳定性和可靠性,我
们采用了分布式系统架构。该架构将系统划分为多个独立
的子系统,每个子系统负责不同的功能模块,通过合理的
模块划分和任务分配,实现了系统的高效运行和资源利用。
基础设施层:应用服务器、杀毒服务器主要采用虚拟机、
DOCKER 等方式进行部署。采用集中共享库的方式部署数
据库,充分利用了硬件资源。
数据存储层:使用 MySQL 数据库存储业务流程数据,
主要包括用户提交的流程数据、文件信息数据、用户操作
的日志数据。使用文件存储桶存储内外网交换的原始文件。
基础组件层:系统内置了审批流程引擎,病毒查杀引擎,
文件扫描引擎,在文件内传外发时按需调用相应的功能模
图 1 系统结构图
图 2 系统架构图
第25页
观点异见
23
块。
系统应用与展示层:系统包含文件交换、文件审批、
日志审计、文件查询等功能,用户可通过浏览器访问系统,
本系统也支持移动端进行审批操作。
内外网文件交换系统由网闸代理服务器、前后端应用
部署服务器、MySQL 数据库、对象存储桶、网闸、防火墙
构成,系统采用 B/S 架构。互联网与办公内网之间部署了
双向网闸系统,互联网终端只能访问部署在 DMZ区业务(设
立 DMZ 区域是为了解决由于防火墙的原因外部网络无法访
问内部网络服务器的问题),无法直接访问办公内网,从
而实现内外网的安全隔离,增加办公内网访问的安全性。
为了实现内外网文件交换系统的各项功能,我们设计
并实现了以下几个模块:文件外发内传、审批机制、日志
审计、容量配置。
文件外发内传
使用本系统进行文件外发时,首先需在系统内网平台
上传外发文件并选择文件密级,可选密级仅限“普通商密”、
“非密文件”两种外传文件密级类型。当外传文件为普通
商密文件时,需要选择对应的密项清单号(密项清单号为
当前用户所在公司进行编制的密级事项专属编号),以及
填写与本次外发审批文件所关联的保密审查流程的相关信
息,提交审批流程后形成跨网闸摆渡的文件批次。针对外
发文件本系统可支持文件批量上传和大文件传输,文件上
传后系统会自动进行文件保密监管扫描,对于包含敏感字
的文件系统会做出特殊提醒,警告用户当前外发文件可能
存在泄密风险,须谨慎上传。当外传文件为非密文件时,
只需填写文件的有效期限和外发原因即可提交审批。
外发审批通过后,文件自动摆渡至互联网平台(系统
实时触发内外网文件交互的摆渡任务),并通过发送邮件
的方式提示用户文件外发流程已经通过审批,可在内外网
文件交换系统互联网端进行下载。用户只能下载有效期内
的外发内传文件,在发起内外网文件交换流程时可以对文
件有效期进行设置,文件过期后用户无法进行下载,已失
效的文件所占用的存储空间也会进行释放。外部文件内传
需先进行身份检查,然后针对所上传的文件进行病毒查杀
操作,若病毒查杀不通过则直接将危险文件传输至隔离区
并进行销毁,查杀通过后再摆渡传输至内网系统,用户可
通过内网系统的文件接收模块下载有效期内的内传文件。
审批机制
用户发起文件外发审批时,需要设置上级审核人(发
起节点 - 审核节点),内外网文件交换系统可以通过读取
人员组织关系卫星库自动获取到当前用户的上级领导,如
果自动获取上级领导信息有误,也可以通过手动新增的方
式,添加备选审批人。用户选择一名审批人并点击提交后,
系统会自动给审批人发送催办审批的邮件,当审批通过后
流程的发起人也会收到邮件通知,并可前往内外网文件交
换系统的互联网端进行查看和下载外发文件等操作。针对
普通商密文件外发时,需要先完成保密审查流程才允许将
普通商密文件提交外发审批,审核人可以在审批信息中查
看到本流程所关联的保密审查流程的任务名称,流程审核
的全过程均有完整的日志记录,并且支持审批人通过手机
移动端进行审批操作。
日志审计
全过程日志审计不仅包含内外网文件交换和审批流程
记录,还会将用户的多种操作进行记录并保存至系统日志
中,记录的操作包括:下载文件、删除文件、预览文件、
用户。文件本身保存时间将满足整体安全管理对文件保存、
清理机制的要求。并且可以通过文件查询功能追溯到历史
传输文件的相关记录以及原文件,文件的查询方式包含文
件名查询和传输类型查询(内网 / 外网),查出的信息包
含文件的传输时间、文件数量、文件大小、文件交换流程。
系统可记录用户的预览、下载、删除行为。针对每一
次操作都可查看预览文件、下载文件、删除文件的详情信息,
可查看被操作文件的文件名称、文件密级、文件密项清单号、
传输时间、到期时间、文件大小、下载次数等信息,也支
持对此文件进行预览和下载操作。
内到外的文件传输,对于普通用户可在每次发起文件
交换流程时设置文件保存的天数(保存的天数不允许超过
系统设定的最大阈值);保密业务审计人员可通过文件查
询功能查看所有流程所包含的文件信息,并且支持搜索用
图 3 文件外发内传流程
第26页
观点异见
24
户名或者文件名快速找到某次传输中的文件。外到内的文
件传输,同此规则。
容量配置
系统默认给每名用户内网端、互联网端各分配固定大
小的文件存储空间。文件由内网端传输至互联网端时,当
互联网端已接收的文件容量(未过期)与内传外待审批通
过的文件容量之和大于存储的最大空间时,则不允许用户
外传文件。文件由互联网端传输至内网端时,当互联网端
已接收的文件容量(未过期文件)与内网草稿箱中文件容
量之和大于存储的最大空间时,则不允许用户内传文件。
管理员可以通过容量配置功能为相应人员修改文件存储的
最大容量限制,若未对该员工进行特殊设置,则此员工的内、
外网文件存储容量为系统设定的默认值。
容量配置功能支持新增用户、批量修改、批量删除功能。
新增用户是指将未列入需要特殊分配文件存储容量的用户
加入分配列表中,并可以对此用户的文件最大存储容量进
行修改。批量修改是指可以选中多个已加入需要特殊分配
容量的用户,并进行批量的容量修改操作。
系统中所有文件会存储在文件存储桶中,当文件存储
桶的容量不足时,系统会自动发送告警邮件通知系统的运
维人员进行扩容操作。文件存储桶已通过多站点部署的方
式实现了灾备功能,有效地防止了文件的丢失和损坏。
未来,系统可以从以下几个方向展开研究。首先,不
断完善文件外发审批流程,针对不同的业务需求制定符合
业务背景的审批机制,实现定制化文件外发审批流程。并
持续优化文件敏感字扫描功能,增强对图片、视频等特殊
文件的扫描,提高文件扫描的准确性和实时性。其次,推
进内外网文件交换系统与其他保密监管系统的数据共享。
针对数据同步方式进行优化,从数据定时同步优化为实时
同步,并且与行政保密监管系统进行自动对接,实现用户
在外发普通商密文件时可以自动关联到相应的保密审查流
程,无需用户跳转至其他系统进行多次信息的查阅与筛选,
进而大幅度提高员工的工作效率。最后,在文件交换的过
程中,须加强系统对外发内传文件的病毒查杀和木马检测
能力,提前识别和防控可能导致系统风险发生的恶意文件,
从而建设一套更为便利、安全的信息化系统。■
图 4 日志审计
插图
第27页
现场直击
25
计算机网络本身存在的安全弱点,如操作系统漏洞、端口漏洞、应用软件漏洞等,成为计算机病毒、黑
客攻击的主要通路。
文 / 华能澜沧江水电股份有限公司乌弄龙·里底水电厂 杨 杰
扫描网络漏洞 筑牢安全屏障
计算机网络需采用妥善、严密的网络安全设计,提升
计算机网络的安全性,以保护计算机使用的安全。但由于
计算机系统存在的一些漏洞问题,使攻击者通过扫描排查
获取计算机系统的漏洞,以漏洞为突破口开展网络入侵或
攻击行为,导致计算机数据信息遭受损失,进而使漏洞成
为计算机网络安全工作中的痛点与难点。所以针对于计算
机网络安全的需要,深入分析计算机网络安全与漏洞扫描
技术应用的方式方法,及时的修补系统漏洞,优化计算机
网络安全配置,筑牢计算机内部的网络安全屏障。
问题成因
计算机处于网络环境中,随时面临着网络中潜在风险
隐患的威胁,如果计算机内部网络安全机制存在不足,则
增加计算机网络的安全风险,导致计算机用户数据信息的
损失,甚至是计算机整体系统遭到破坏。在计算机网络安
全管理中比较常用的是防火墙技术,建立计算机内网与外
网之间相对隔离的安全防护屏障,及时发现计算机使用中
存在的安全风险,且全程记录所有的访问行为及进出网络
的数据信息,实时生成日志,并以防火墙为中心进行安全
软件,如口令、加密、身份认证及监控审计等安全方案的
配置。
虽然防火墙强化了计算机网络的安全策略,但在计算
机内网、计算机系统后门等方面保护较为薄弱,形成一定
的内网破坏、后门入侵风险。再者,计算机网络安全不仅
仅受到网络安全技术水平与网络安全工具功能发挥的影响,
还受到人为因素的干扰,如安全管理不够严格、计算机操
作出现不安全行为,以及安全工具使用不当或维护不到位
等,均是引发计算机网络安全风险的原因之一。计算机网
络安全管理人员、应用系统管理人员、计算机操作人员等,
在实际的操作过程中,网络安全意识不够,网络安全技术
水平不足等,为黑客攻击、计算机病毒入侵、非法访问等
创造了条件。
应用漏洞扫描技术的必要性
计算机系统只要与网络连接就面临着网络安全风险,
信息技术与网络安全技术水平不断提升,不断增强了计算
机网络安全机制,并持续修补系统漏洞。然而计算机病毒
及黑客攻击技术也在不断地发展,攻击者利用一切可以使
用的技术手段去查找攻击对象安全配置上的缺陷,找到系
统中的漏洞,且由于已知系统漏洞发现的难度小,使计算
机发生网络安全问题主要集中在已知的漏洞上,未知漏洞
被攻击的概率相对较小。
目前计算机漏洞主要有两种,一种是应用软件漏洞,
比较常见的是 WWW、FTP、SMTP、Telnet 等网络服务
软件的漏洞;另一种是操作系统漏洞,也就是计算机上安
装的 Windows、Linux、MacOS 等系统,系统本身就存在
系统漏洞,这也是操作系统软件公司长期发布各种补丁及
定期进行系统升级的主要原因。攻击者通过已知或是常见
的漏洞,选择使用恰当的攻击工具或是编写一个攻击程序,
对计算机系统进行漏洞扫描,就可通过获取的漏洞入侵或
攻击计算机内部。因此,在计算机网络安全中,采用漏洞
扫描技术,检测计算机系统的应用软件或操作系统漏洞,
发现计算机存在的安全漏洞与安全性弱点,评估网络安全
风险程度,网络安全管理人员根据扫描结果修补系统漏洞,
正确的调整计算机网络安全配置,超前主动防范外网攻击,
牢固计算机网络安全防线。
第28页
现场直击
26
计算机网络安全与漏洞扫描分类
针对于计算机网络安全问题的类型,选择使用不同类
型的漏洞扫描措施,一是信息安全漏洞扫描,计算机存储
了用户重要信息,计算机需要保证存储信息的安全,而计
算机系统漏洞的存在,危及到计算机存储信息的安全,为
了保护信息安全使用漏洞扫描技术扫描信息安全漏洞,以
避免用户信息泄露、篡改、丢失等网络安全问题的发生;
二是扫描识别计算机病毒,计算机的应用系统、操作系统
在开发阶段,部分程序员为了方便后期的维护管理会设置
一些 BUG,如果这些 BUG 被攻击者发现,则可通过 BUG
实施计算机病毒入侵行为。计算机病毒具有传播速度快、
隐藏性、繁殖性等特点,入侵计算机系统后,迅速繁殖传
播扩散,对计算机中的数据信息、应用程序、系统等破坏
力极大;三是垃圾信息攻击,互联网中存在着大量的垃圾
信息,这些信息本身破坏性、攻击性较小,主要是为了传
播扩散垃圾信息,是通过计算机端口进入,使用漏洞扫描
技术可以及时发现垃圾信息攻击,及时的屏蔽掉;四是黑
客攻击扫描,黑客精通计算机技术,利用互联网查找目标
计算机的系统漏洞,非法入侵他人计算机系统,获取、破
坏计算机系统中的数据信息,对于计算机系统安全、信息
安全造成较大的破坏。
漏洞扫描技术类型
一是端口扫描技术,端口为数据进出的网络设备,端
口扫描技术针对端口进行扫描,用于探测服务器或主机开
放端口情况,确定计算机网络端口是否安全,及时发现端
口异常,防范数据进出安全风险;二是弱口令漏洞扫描技
术,口令是用户登录计算机的密码,弱口令则是指容易被
猜到或是破解的密码,而弱口令漏洞扫描技术为保护机制,
主要用于判断用户口令的强弱,判断为弱口令提醒用户更
改口令。攻击者为了获取登陆计算机的用户名与密码,在
登陆界面输入用户名与密码超过三次,弱口令漏洞扫描技
术启动保护,禁止输入密码行为,形成对端口的保护与监
测作用,如果登陆密码被破解,计算机系统会发出警告信
息;三是公共网关接口漏洞扫描技术,该接口支持多种编
程语言,如果其语言标准设置存在问题,会导致输入、输出、
执行命令等出现误操作,使用漏洞扫描技术可确定其有无
漏洞。比如,Campas 漏洞扫描,扫描时建立 Wiock 工具
与代服务器 HHP 端口之间的连接,Wiock 工具发送 Get 请
求,即 Campas 漏洞特征代码,服务器通过代码判断端口
是否存在漏洞,存在漏洞传递回 HTTP404 信息。
网络漏洞扫描的应用原理
基于网络的漏洞扫描工具的工作原理如下,一是漏洞
数据库,存储了计算机应用系统与操作系统已知的漏洞信
息与扫描漏洞的指令信息;二是用户配置控制功能,为面
向用户模块,用户使用该功能设置扫描目标及扫描的漏洞;
三是扫描引擎,为漏洞扫描技术的核心模块,根据用户设
置的信息,封装数据包,扫描引擎将数据包发送至检测部位,
检测部位反馈应答数据包,将该数据包与漏洞数据库中存
储的漏洞信息进行比对,判断检测部位是否存在漏洞;三
是扫描知识库,监测收集扫描活动信息,将信息传输给扫
描引擎,并接受引擎传递的信息;四是生成扫描结果报告,
扫描知识库记录了漏洞扫描过程产生的数据信息,自动生
成扫描报告,根据用户在配置控制功能设置的扫描事项,
给出相应的扫描结果,反映出被扫描部位存在哪些漏洞。
扫描结构及应用原理
基于主机的漏洞扫描技术针对计算机主机漏洞进行扫
描,以 Root 身份登录,扫描系统的关键配置参数,获取大
量的主机配置信息,然后与安全配置标准库进行比对,比
对结果只要存在差异,就可判定计算机内部存在漏洞。运
用扫描技术需在计算机上安装代理服务器,以保证漏洞扫
描的全面到位,准确的找到计算机中存在的漏洞。计算机
主机漏洞扫描主体结构如下,一是漏洞扫描控制台,用户
进行目标扫描对象、扫描范围的设置,确保扫描的针对性;
二是漏洞扫描管理服务器,为主机扫描的核心层,主要实
现的功能是对比、分析扫描获取的数据信息,确定有无漏洞,
并根据主机运行的状态,进行主机各个部位的筛查,同时
进行控制台下发主机的分类;三是漏洞扫描代理服务器,
在需要进行漏洞扫描的主机部位,专门安装代理服务器,
其与管理服务器建立连接,在其接收到扫描管理服务器的
指令后,按照指令完成主机部位的扫描,然后将扫描结果
反馈给管理服务器。三个部分共同组成基于主机的漏洞扫
描工具,实现对主机漏洞的全面扫描。
技术应用要点
基于主机的漏洞扫描技术面对的是整体计算机系统,
相应的增加了扫描获取漏洞的数量。使用集中服务器集中
统一管理扫描服务器所有的指令,扫描服务器从集中服务
器获取扫描代理程序,然后分发给代理服务器,代理服务
器负责具体的执行,形成三级漏洞扫描体系,加快漏洞扫
描的反应速度。管理服务器与代理服务器之间来回通讯,
第29页
现场直击
27
采用的是数据包形式,且代理服务器独立执行指令,降低
了服务器之间的通讯压力,避免计算机网络流量负载过大,
降低漏洞扫描的速度。基于主机的漏洞扫描技术打造的计
算机漏洞扫描工具,是在主机所在地完成漏洞扫描,数据
包经过加密后再进行传输,所以管理器与代理器之间通信
链路,应在扫描前与扫描后建立,那么针对采用防火墙的
计算机网络使用基于主机的漏洞扫描技术,可在防火墙上
开放 5600 与 5601 端口,为管理服务器与代理服务器数据
通讯提供支持,以确保漏洞扫描的顺利开展。
主动与被动扫描技术
主动扫描与被动扫描是计算机漏洞监管体系中的重要
组成部分,主动扫描位于计算机内部,扫描的范围较小,
扫描的是目标系统发送的目标主机是否在线、端口是否开
放、运行的服务等特制的数据包,可以获取目标主机所在
网络的结构信息、开放的哪些端口、使用的操作系统、运
行服务基本信息,以及目标主机存在的漏洞等。现阶段计
算机主动扫描技术功能强大,扫描的范围涵盖了主机发现、
端口扫描、操作系统检测与一些审计技术等,重点强调的
是“搜”。被动扫描技术是相对主动扫描技术而言,被动
扫描可发现同一网络中活动的主机,通过长期监听广播包,
在目标没有察觉的情况下,完成对目标主机漏洞的扫描,
采用的是 beacon 信标,着重突显的是“听”。
针对口令暴力破解攻击的漏洞扫描技术
在计算机网络安全中弱口令使用较多,用户在登陆使
用计算机之前,需要输入用户名与密码,通过计算机验证
后用户就可使用计算机,在一定程度上保护了计算机网络
的安全性。但计算机的弱口令容易被破解,一旦被攻击者
所掌握,将危及到计算机的网络安全,比较常见的是针对
口令的暴力破解攻击,攻击者持续采用不同的口令登陆计
算机系统,不断重试来猜测口令,实现对弱口令的暴力破解。
因此针对于口令的暴力破解攻击采用弱口令漏洞扫描技术,
以确保计算机的网络安全。目前主要应用以下两种技术,
一种是 FTP 弱口令漏洞扫描技术,基于 FTP 文件传输协
议建立用户和 FTP 服务器之间的通讯,实现两者之间数据
信息的交互,以 Socket 连接通讯,向用户发送用户指令及
匿名指令,计算机系统允许匿名登陆的情况下,用户使用
用户指令直接登录,反之采用 POP3 进行漏洞的扫描。另
一种是 POP3 弱口令漏洞扫描技术,弱口令利用邮件收发
协议进行信息的接收与发送,提前制定了密码文档与用户
标识,保存至 POP3 服务器中并进行动态更新。建立目标
主机与 POP3 服务器之间的连接后,客户机发出 quit 命令,
进入更新状态,等待连接服务器进行身份确认 quit 命令,
确定协议的认证状态,完成对目标主机的漏洞扫描。具体
应用流程如下,POP3 向目标主机发送用户标识,对目标主
机传递回的信息进行分析,如果存在失败信息判定标识无
效,如果是成功信息,通过身份验证,POP3 服务器将弱口
令传输给目标主机。
计算机处于网络环境中,随时面临着计算机病毒入侵、
黑客攻击、非法访问等安全风险,需要建立完善的计算机
网络安全机制,主动防范网络安全风险,以保护计算机中
存储的数据信息,确保计算机使用的安全可靠。计算机网
络安全与漏洞扫描技术的应用,建立计算机主动防御机制,
实时自动化扫描计算机系统、操作系统、应用软件等存在
的漏洞,及时发现计算机系统漏洞,提醒用户及时修补漏洞,
以将计算机安全风险降至最低水平。■
插图
第30页
现场直击
28
电能质量(谐波)监测管理平台可实现监测数据接入统计、超标问题分析及异常问题工单管理等功能设
计与应用,实现专业分析能力、专业管理能力的扩展与深化,实现电能质量专业管理工作的数字化转型。
文 / 国网嘉兴供电公司 毛琳明 王 强
中台化系统改造 数字化管理转型
基于 PMS3.0 的深化电网资源业务中台建设应用,全
面推进同源维护,迭代提升服务能力,构建电网一张图,
部署统一工作台;同时按照分布式光伏电能质量监测技术
要求,开展监测现状统计和监测计划制定,部署 PMS3.0
分布式光伏电能质量应用,集成至 PMS3.0 电能质量管理
应用,实现监测数据接入统计、超标问题分析及异常问题
工单管理。基于电能质量监测系统的中台化改造,主要完
成电能质量基础台账管理、指标分析管理、系统运行管理、
专项分析管理、过程监督管电能质量案例库等功能工作,
从而实现专业分析能力、专业管理能力的扩展与深化,进
一步提升系统的专业支撑作用,实现电能质量专业管理工
作的数字化转型。
依托电网资源业务中台电网图形中心、电网拓扑中心、
测点管理中心、电网资源中心提供的共享服务能力,接入
配网监测、雷电、电网设备拓扑、地图等电网业务资源中
台数据实现电能质量专业管理能力扩展与深化,为电能质
量专业管理提供有效支撑。
技术方案
电能质量管理的业务架构分为基础台账管理、指标分
析管理、系统运行管理、专项分析管理、过程监督管理、
电能质量管理案例库等 6 大一级功能应用以及向下延伸的
31 个二级功能应用、102 个三级功能应用。
电能质量(谐波)监测系统为满足 PMS3.0 服务化组
件化的要求,需要进行应用功能服务化优化,将共性业务
沉淀至电网资源业务中台,复用电网资源业务中台共性服
务,分阶段完成应用的重构。PMS3.0 电能质量管理应用
基于电网资源业务中台服务及数据中台服务。
数据采集管理优化为接入物联管理平台,采集数据接
入数据中台。从基础管理层部署监测点台账、监测终端台
账等应用,技术管理层部署电能质量计划管理、数据统计、
问题整改、任务管理和异常分析等应用,从分析决策层部
署指标分析、专项分析、过程监督管理、评估超标分析等
应用。
电能质量(谐波)监测系统利用一体化云平台 IaaS、
PaaS 能力组件构建业务应用,采用容器化及虚拟机模式进
行云部署。基于大数据平台、国网云平台、数据库、中间
件构建系统运行服务。使用统一权限组件完成系统用户管
理、权限管理、审计管理功能,基于 GIS 平台实现系统监
测点定位、热力图展示等功能。
电能质量(谐波)监测系统基于一体化云平台的通用
计算、存储、网络服务进行构建,采用微服务架构设计,
数据存储、容器服务、消息队列等依托云平台提供组件,
PC 端展示采用 HTML、JS、VUE 等技术。需要的组件清
单有数据库(RDS for MysQL)、中间件 Docker, 数据中
台组件 (Maxcomputer)、开发工具(SG-UAP3.1.8 )、
云平台(ECS、OSS)、编程工具 JDK1.8。
主网侧电能质量监测终端采集数据通过中台数据接入
服务将电能质量量测数据采集并沉淀至中台,配电台区和
光伏用户满足指标监测要求的监测终端通过配电自动化系
统等将电能质量量测数据沉淀至中台。将台账及指标等信
息沉淀到电网资源业务中台的测点管理中心及资源中心。
电能质量管理微应用群通过调用中台服务,分别从电网资
源业务中台的电网资源中心、电网图形中心、电网测点管
理中心等获取相关资源信息,从数据中台获取电能质量量
测数据,进而支撑电能质量分析、应用,同时也将分析和
第31页
现场直击
29
业务数据再次沉淀至中台实现数据管控。
基础台账管理
基础台账管理功能包含基础台账维护、监测点修改审
核流程、装置运维管理及应设点统计管理 4 个二级功能。
基础台帐功能模块提供了对台帐总览、监测点台帐、
干扰源及敏感用户台帐、监测终端台帐、测试设备台帐、
检测设备台帐、治理设备台帐等 14 项三级功能的信息维护、
查询和导出功能。
监测点修改审核流程功能包含了编辑监测点信息、地
市公司审核变更结果信息和省公司审核变更结果信息等 3
项三级功能。
装置运维管理功能包含了装置信息维护和装置消缺维
护 2 个三级功能。
装置运维信息维护功能,支持按是否超期、时间段查
询展示该时间内运维的装置信息以及上次/下次运维日期,
并上传运维相关材料等信息,将装置运维形成自动化填报,
自动统计装置运维时间,系统对装置负责人做到到期提醒
与超期告警。
装置消缺维护功能,支持按消缺类型、时间段查询展
示该时间内消缺的装置信息。缺陷信息维护包括对缺陷发
现时间、缺陷发现人、缺陷类型、缺陷对象、计划消缺时间、
实际消缺时间、消缺人、是否更换元件、记录人、关联工
作票等信息的维护。
应设点统计管理功能包含了应设点信息维护、应设点
上报和应设点统计 4 个三级功能。
指标分析管理
该应用基于电能质量自有数据以及 PMS3.0 用采系统
数据和 GIS 电网拓扑数据进行开发。包含了电能质量测点
分布展示、指标总览、稳态数据综合展示管理等 8 个二级
功能。
电能质量测点分布展示包含了在运监测点分布展示、
超标 / 告警监测点分布、监测变电站 / 换流站分布等 7 个
三级功能。
电能质量测点分布展示结合 GIS 图形展示,将全网现
有的监测点与变电站以及站内出线进行关联,综合展示全
网的监测点分布、监测点超标分布、变电站及换流站分布、
超标变电站及超标换流站分布、全网电能质量污区图。
指标总览包含了全网变电站监测总览、全网换流站监
测总览、地区合格率概况等 4 个三级功能。
稳态数据综合展示管理包含了稳态数据综合展示管理
和用户侧数据展示 2 个三级功能,稳态数据综合展示管理
为沿用功能,用户侧数据展示为优化功能。
稳态指标超标管理具备监测点稳态指标超标的明细查
询功能,可根据单位、变电站、监测点进行模糊查询,包
括 2-50 谐波电压、2-50 谐波电流、谐波电压总畸变率、
电压偏差、闪变、频率偏差、负序电流、三相不平衡等指
标的超标明细。
暂态数据综合展示管理包含 5 个三级功能,同步用
采中用户用电曲线、暂降事件查询、暂降影响分析、暂降
SARFI 分析、暂降 ITIC 分析等功能。
分布式光伏指标分析管理包含了电能质量水平评价、
电能质量符合性评价、电压越限分析和分布式光伏配变重
过载分析等 6 个三级功能。
该功能具备统计和展示不同节点范围的电能质量水平
情况,统计和展示不同节点范围的电能质量符合性情况,
具备对分布式光伏电压越限统计和分析的功能和具备对配
变重过载数据进行统计分析的功能。
数据告警管理包含了变电站数据告警管理和监测点数
据告警管理 2 个三级功能。该功能对根据各变电站、监测
点进行超标统计,按照标准对监测点超标情况进行告警展
示。
报表报告管理包含了测试报告管理和系统月报管理 2
个三级功能。
系统运行管理
该应用基于电能质量自有数据进行开发,无数据协同
需求。运行指标统计管理、台账数据质量核查、运行指标
数据质量核查功能模块从原系统沿用,其中数据质量核查
规则与国网总部保持一致。监测点通信管理则结合终端台
账通过通信测试服务调用进行开发。终端自检配置管理则
考虑到监测终端多样性,以多个厂家主流终端的 WEB 调试
窗口开展调用弹窗开发。包含了运行指标统计管理、数据
质量核查管理、监测点通信管理等 6 个二级功能。
专项分析管理
该应用基于电能质量自有数据以及 PMS3.0 营销系统
数据、用采系统数据、SCADA 系统用户用电信息、雷电系
统雷击事件数据、调度系统故障信息数据和 GIS 电网拓扑
数据进行开发。
该应用模块涉及多复杂专业算法设计,其中海上风电
第32页
现场直击
30
专项分析、特高压直流专项分析作为此次中台化优化浙江
特色应用,应结合专业领域遇到或存在的难点、通点开展
功能设计,并逐步实现指导专业工作的能力。该功能包含
了电能质量事件分析研判、敏感重要用户专项分析、干扰
源专项分析等功能。
过程监督管理
该应用基于电能质量自有数据以及 PMS3.0 营销系统
干扰源台账和新能源用户数据,直至实现与营销系统工作
联系单对接实现进行开发。涉及多复杂专业算法,包含了
变电站背景管理、超标变电站管理、新增未建档非线性用
户管理等功能。
电能质量监测系统中台化改造可大大降低系统的功能
迭代成本和系统信息化运维需求,避免了系统的重复建设
的资金浪费,通过统一建模和共享服务的方式,降低了业
务数据之间的技术壁垒,减少系统集成的人力物力和资金
损耗;同时基于中台演进,提升了电能质量技术监督管理
及数据分析研究的效率,减少了现场测试所要提供的人力
物力的损耗。
电能质量(谐波)监测系统基于中台改造后可形成统
一的数据建模和标准化服务体系,通过微应用和微服务的
方式对外进行应用发布和数据共享,大大提高了数据的利
用率及数据挖掘的多元融合分析,减少了信息孤岛现象,
提升管理效率。分布式光伏的集中在线监测可实现分布式
光伏电能质量影响的实施监控,为负荷调控、数据治理提
供辅助决策支持。提高电网数字化安全运行,提升电能质
量引发的安全隐患发现能力,减少电能质量异常排查成本,
发现隐患、异常排查由 5 天以上降为 1 天,效率提升显著。
电能质量(谐波)监测系统的中台化改造为新能源并
网及高铁、电动汽车等扰动负荷的电能质量分析、投诉、
责任裁定等提供了数据支撑,为电力用户的高质量用电提
供供电质量保证,可改善配电网电能质量水平,减少电能
质量问题引起的用户经济损失,提升用户满意度,树立良
好的企业形象。■
插图
第33页
现场直击
31
开展 5G 专网建设,应用于控制系统、设备运行、安全应急、智慧管理等场景,有效提升电站智慧化管
理水平,进一步驱动电站由传统管理模式向数字化、网络化、智慧化管理模式创新变革。
文 / 国能浙江北仑第一发电有限公司 俞越林 罗立权 包海斌
文 / 国家能源集团浙江电力有限公司 郑文军
文 / 国家能源投资集团有限责任公司 赵俊杰
统筹规划建设 5G 专网
2020 年 3 月,国家工信部发布《关于推动 5G 加快发
展的通知》,明确提出加快 5G 网络部署、丰富 5G 技术应
用场景、持续加大 5G 技术研发力度、着力构建 5G 安全保
障体系和加强组织实施五方面 18 项措施。
2021 年 6 月,国家发改委、国家能源局、中央网信办、
工信部联合印发《能源领域 5G 应用实施方案》,指出要研
究面向智能电厂的 5G 组网和接入方案,开展电厂 5G 无线
覆盖建设,综合利用物联网、大数据、人工智能、云计算、
边缘计算等技术,在确保电厂安全的前提下,以需求为牵
引,搭建适应电厂的全域工业物联网和数据传输网络。开
展基于 5G 通信的工业控制与检测网络升级改造,实现生
产控制、智能巡检、运行维护、安全应急等典型业务场景
技术验证及深度应用,在火电、核电、水电和新能源等领
域形成一批 5G 典型应用场景。因此有必要研究 5G 专网及
5G 切片等技术在发电厂的技术路线、应用场景等,为电厂
开展 5G+ 工业互联网建设提供方案设计、项目实施与运营
维护等方面的指导与帮助,有效推动智能电站建设步伐。
开展 5G+ 智能电站建设
为贯彻落实党中央、国务院关于加快推动 5G 应用的相
关部署要求,国家能源集团积极响应,大力推进 5G+ 工业
互联网建设。自 2020 年起,集团电力板块中火电、水电、
新能源领域均有单位开展 5G+ 工业互联网创新应用。
2021 年底,国家能源集团率先发布国内首部大型能源
集团级的系列《智能电站建设规范》,创新性提出 5G+ 智
能电站相关建设内容,为国内大型能源集团级规范中首次
提出 5G+ 智能电站。
2022 年 7 月,国家能源集团印发《国家能源集团电站
智能化建设验收评级办法》,在基础设施及智能装备部分
的评分表中,提出无线网络采用 LTE、5G 等多种技术相结
合,覆盖范围、可靠性与带宽等应满足现场多路视频图像
回传、集群调度、移动办公、多点多方式语音交互、一键
求助远程会诊等业务需求。
2023 年 7 月,国家能源集团印发《新建煤电机组智能
化建设项目及功能应用规范》,提出了“一型两档”(引
领型、先进档、基础档)的建设标准。在新建煤电机组智
能化建设项目及功能表(先进档)中,提出要基于 5G 无线
网络,提供一张覆盖全厂的生产办公承载网络。工业无线
网能解决生产安全监控和调度、车辆物流管理、环境和能
源介质检测、厂区监控、人员定位、设备点检的功能要求,
并承载厂区移动化办公需求。5G 无线专网采用核心网用户
面(UPF)下沉技术,满足从基建期到生产期的数据传输
要求。
2023 年 3 月 9 日,集团科技与信息化部组织召开了 5G
创新专项工作讨论会,提出应由集团统筹组织规范 5G 相关
业务场景和应用方式,开展项目总结、需求确认及组织推广,
并要求收集各产业板块 5G+ 创新应用情况。
截至 2023 年 9 月底,火电厂有东胜、泰州、北仑等 12
家,水电厂有大岗山、瀑布沟 2 家,新能源有龙源江苏海
上风电、国能宁东新能源等 4 家,共 18 家发电厂站分批次
开展了 5G+ 电力工业融合应用。5G+ 智能电站建设规模与
成效经验在五大发电集团中,相对领先,处于第一梯队。
2023 年 2 月,国家工信部公示了 2022 年工业互联网示
范名单,国家能源集团“泰州发电有限公司 5G 智慧电厂”
和“东胜热电基于 5G 技术的工业无线网在智能化火电应用”
两个项目成功入选“工业互联网平台 +5G 全连接工厂试点”
第34页
现场直击
32
名单,标志着国家能源集团在 5G+ 智能电站示范建设取得
阶段性成果。
5G 建设的风险和问题
5G 建设过程中也存在较多风险因素,包括:因目前
5G 组网方式众多,建设单位类型较多,造成频谱使用存在
合法性风险;目前 5G 建设组网技术路线较多,各家实施
单位技术路线不统一,存在技术路线风险;5G 网络安全是
个全新领域,目前没有电力 5G 网络安全的相关国家标准,
也没有行业协会等认可的电力 5G 网络安全建设原则,所以
5G 接入电力系统的网络安全存在风险。
5G+ 电力工业的应用创新力度不足,缺少完整成型的
应用生态。生产控制、设备运行、安全应急、智慧管理等
发电厂业务的 5G 应用场景不够丰富,缺少深度。
按照集团统筹、示范先行、分步推广的原则,在确保
电厂安全前提下,以需求为牵引,搭建适应电厂复杂环境
的全域工业物联网和数据传输网络。开展基于 5G 通信的工
业控制与监测网络升级改造,实现生产控制、设备运行、
安全应急、智慧管理等典型业务场景技术验证及深度应用,
在火电、水电和新能源等领域形成具有集团特色的 5G 典型
应用场景。
建设模式
智能电站 5G 专网建设模式主要包括自建、租赁、自建
+ 租赁三种模式。自建模式即所有设备(5G 基站、传输、
核心网设备)由电厂自行投资建设,资产归电厂所有,电
厂自行维护。租赁模式由运营商按照电厂要求建设 5G 网络,
电厂按照商定年限租赁,运营商负责维护运行。自建 + 租
赁方式由电厂和运营商共同出资建设,具体建设范围由双
方协商确定。
各电厂可根据实际情况,自行选择适合自身的建设模
式。选择建设模式时,应充分考虑投资回报率、系统运维
能力等因素,做好统筹管理。国家能源集团 18 家 5G 应用
电厂中,采用自建模式、自建 + 租赁模式、租赁模式的单
位数量分别为 4 个、4 个、10 个。租赁模式占比 55.6%,
比例最高;自建模式、自建 + 租赁模式分别占比 22.2%。
频谱选择
截至 2023 年 9 月底,国内共有中国移动、中国电信、
中国联通、中国广电四家运营商正式获得 5G 商用牌照。每
家运营商分配了不同的频段,除中国移动分配了 260MHz
频段以外,其他三家运营商均分配了 100MHz 独立频段。
因电信和联通的 5G 频段是连续的,两家运营商已宣布
基于 3400-3600MHz 连续的 200MHz 带宽共建共享 5G 无
线接入网,即接入网侧共享、核心网各自建设、5G 频率资
源共享。另外,电信、联通和广电共享 3300-3400MHz 频
段,三家运营商联合声明对以上频段 5G 网络共建共享,确
保网络规划、建设、维护及服务标准统一。移动和广电也
已宣布共享 2.6GHz 频段 5G 网络,并按 1:1 比例共同投
资建设 700MHz 5G 网络,共同所有,并有权使用 700MHz
5G 无线网络资产。各发电企业可根据运营商频谱分配方案,
选择适合各自现状的 5G 频段。对于风电、光伏等有远距离
通信需求的建设项目,宜选择 700MHz 频段,以满足信号
广覆盖需求。
网络架构
5G 网络宜采用独立组网方式(SA)进行组网,由无线
接入网、承载网和核心网组成,并通过在电站内新建边缘
计算节点(MEC),以实现用户数据的安全性、稳定性和
可靠性。各个网络间相互协助配合,并通过超级上行、载
波聚合等上行增强技术,提供高速率、低时延、高可靠、
广连接的可靠网络。
5G 网络部署的要求包括:
无线接入设备包括室外宏站和室内室分基站,实现厂
区室内外 5G 信号全覆盖,满足 5G 应用业务全覆盖、区域
全覆盖和速率等要求。
传输承载设备宜部署两套,实现双路由上联,与园区
外运营商大网控制面设备、园区内 5G 基站、5G 核心网用
户面 UPF 链路等实现冗余备份,保证业务传输可靠性。传
输网边缘部署安全设备,实现 5G 业务数据和电厂内网数据
的隔离。
核心网用户面 UPF 应下沉到园区部署,保证 5G 网络
传输的电厂业务数据不出园区。在核心网 UPF 后部署多接
入边缘计算服务器(MEC),满足 5G+ 智能电站各业务应
用的边缘算力要求。核心网控制面设备可根据业务实际需
求,使用运营商大网 5G 控制面,或者要求 5GC 下沉到园
区部署,数据架构宜参考图 3。
在 UPF 下沉的基础上,可参考华为公司的“风筝方案”
或中兴公司的“i5GC 方案”,将核心网控制面部分功能和
用户签约管理功能下移至电厂 MEC 的网络边缘。在电厂和
大网失联或主动切断的场景下,提供电厂业务容灾能力,
第35页
现场直击
33
确保业务不受影响。
若在生产控制大区与管理信息大区同步建设 5G 网络,
须采用硬切片或独立组网方式进行物理隔离。
切片方案
为了保障智能电站不同类型业务数据的网络资源,解
决网络信息安全以及多场景业务应用的问题,可按照各业
务的优先级来划分电站的 5G 网络资源,规划设计对应的
5G 网络切片方案。5G 网络切片技术是指在一个独立的 5G
网络基础物理设施上,根据不同类型的业务数据对时延、
带宽、可靠性、安全性等不同的服务需求,切分出多个端
到端的虚拟逻辑网络,以灵活地应对不同的网络应用场景。
5G 网络切片功能将物理网络切分为多个逻辑网络,实
现一网多用。网络切片在一个物理网络上构建多个端到端
的、虚拟的、隔离的、按需定制的专用逻辑网络,以满足
不同类型业务对网络性能的不同要求。网络切片功能端到
端包括:终端、无线接入网、传输网络和核心网。
基站部署
智能电站 5G 虚拟专网通过基站专建、RB 资源预留、
网络切片和 UPF 专用等技术手段,实现电力业务、公网业
务及其他 toB 业务的隔离和网络资源的专享专用。无线组网
基于公用基站与专建基站相互补充的方式,通过公用基站实
现泛在覆盖,满足机器人巡检、执法仪智能穿戴等典型业务
场景需求。在公用基站建设规划之外,根据特定电力业务对
网络覆盖、容量、上行带宽的需求,补充建设专用基站,满
足输煤皮带监测、输煤廊道区域网络覆盖、风机塔筒内部网
络覆盖、水电厂远程泵房网络覆盖等业务需要。
网络安全
根据 5G 专网安全挑战和威胁,依托运营商内生安全能
力 + 电厂自建安全能力,以支撑电厂差异化 5G 网络安全
要求,5G+ 智能电站网络安全的解决方案主要包括终端接
入安全、传输安全、核心网安全、企业边界安全、安全管
理五大部分。
5G 终端接入电厂 5G 专网的安全配置包括终端接入主
认证和电厂资源访问控制两部分。传输安全保障技术包括:
1)将通信网络进行管理 / 控制 / 用户三面隔离,避免各模
块相互访问、相互影响,以提升通信网络的安全性;2)采
用切片对业务数据进行隔离;3)在终端不具备加密条件的
情况下,通过 5G 网元内置加密功能实现端到端通道加密。
在电厂 5G 专网的安全管理中,可采用企业安全监测与
态势感知系统监测客户专网的安全事件,统一分析,可视
化呈现。
5G 应用场景
根据电厂业务情况,5G+ 智能电站应用场景可分为
5G+ 控制系统、5G+ 设备运行、5G+ 安全应急、5G+ 智
慧管理四大类。截至 2023 年 9 月底,国家能源集团内已建
5G 项目的电厂共实现了 20 余种典型业务应用场景。
5G+ 视频监控、5G+ 智能巡点检、5G+ 机器人、5G+
人员定位、5G+智能安全帽、5G+智能检修、5G+智能两票、
5G+ 光伏组件清扫、5G+AR/VR、5G+ 融合通信等技术较
成熟,应用场景得到广泛应用。但 5G+DCS 控制仍处于初
步探索阶段,电厂可根据自身情况及业务需要开展 5G+ 智
能电站应用场景的方案设计。■
插图
第36页
现场直击
34
5G 作为支撑经济社会数字化、网络化、智能化转型的关键新型基础设施,加速推进着电力企业转型发展。
文 / 国网舟山供电公司 吴 昊 甘 纯 李 剑 王豪磊 俞 欣
整体防护 5G 无人机巡检系统安全
近年来,国网浙江省电力有限公司(以下简称:国网
浙江电力)坚持以“示范窗口”的担当,推动国家电网公
司战略高质量落地。国网浙江电力以舟山为试点,基于舟
山群岛独特的地理环境,运用 5G 无人机巡检系统对所辖金
塘、册子岛两座 380 米世界最高输电高塔的 500 千伏跨海
联网输电线路进行无人机巡检。
为防止 5G 无人机巡检系统及运检平台被恶意渗透攻
击、数据被篡改,国网浙江电力遵循“安全分区、网络专用、
横向隔离、纵向认证”原则,落实《中华人民共和国网络
安全法》《电力监控系统安全防护规定》(国家发展与改
革委员会令 2014 年第 14 号)及国家电网公司全场景网络
安全防护要求,结合 5G 网络特点,探索践行 5G 无人机巡
检系统安全防护方案,打造“可信互联、精准防护、安全
互动、智能防御”的核心防护能力,做好 5G 无人机巡检业
务各环节的安全保障。
问题描述
“十三五”期间,国网浙江电力在信息通信系统整体
架构各层面已落实较为全面的安全防护措施,但随着电力
物联网的深入建设,特别是 5G 无人机巡检系统及智能运检
平台的建设,5G 网络的引入、平台层不同数据的融合交互、
感知层终端大幅扩展都将带来新的安全风险,具体表现在
四方面:
设备安全风险。无人机巢和 5G 无人机均部署在外部,
攻击者可对设备实施物理破坏,且设备普遍采用 Android
或 Linux 操作系统,系统本身可能存在各种漏洞,易被攻
击者利用;机载计算机、机巢工控机预留的软硬件调试端
口可能会留下可攻击的后门。
网络安全风险。无人机通过 5G 网络接入公司网络,网
络传输过程中存在数据篡改、丢失的风险;由于运检平台
需对外开放 API 接口,可能遭遇拒绝服务攻击、窃取隐私
数据、未授权访问等类型的攻击威胁。
应 用 安 全 风 险。 业 务 系 统 使 用 Windows 系 统 及
SQLServer 数据库,系统本身可能存在各种漏洞;人巡
APP、无人机智能操作系统部署在手机和平板中,存在手
机恶意病毒感染的风险;运营平台可能遭遇 DDoS 攻击、
后门植入、数据窃取、勒索病毒等攻击,直接影响系统的
运行。
数据安全风险。无人机巡检系统涉及公司商密、重要
数据,需按公司规定进行数据合规性处理;由于系统数据
使用过程中经过外网、互联网大区、管理信息大区,期间
可能出现数据泄露和数据窃取风险。
典型做法
为全面提升 5G 无人机巡检系统综合安全防护能力,国
网浙江电力基于现有网络安全防护基础,围绕感知层、网
络层、平台层、应用层等多个层面,从终端安全、网络安全、
应用安全和数据安全等多个方面提出相应的安全防护措施,
强化 5G 网络传输安全,重点优化数据生命周期管控合规性
以及前后端业务系统安全,打造“可信互联、精准防护、
安全互动、智能防御”的核心防护能力,从而构建 5G 无人
机巡检系统安全防护纵深防御体系,实现 5G 无人机巡检系
统整体安全防护。
感知层主要包括 5G 无人机、智能机巢、人巡终端、无
人机智能操作系统的终端安全。网络层主要包含 5G 传输网
络以及平台开放接口的网络安全。
第37页
现场直击
35
平台层主要包括输电线路运检管控平台以及机群作业
中央控制系统的系统安全、应用安全及数据安全。
应用层主要包含缺陷隐患分析软件、树障缺陷分析软
件的应用安全及数据安全。
终端安全防护
终端安全主要包括人巡终端 APP、无人机智能操作系
统、5G 无人机、智能机巢的安全。
5G 无人机及智能机巢的安全防护。国网浙江电力通过
在机巢内外部署视频监控,实时监控机巢和无人机的情况,
防范近源物理攻击,做好物理环境防护;5G 无人机及智能
机巢上线前,通过对机载计算机和机巢内 5G 路由器、工控
机进行漏洞渗透测试,避免带病上线;关闭无人机和机巢
内的设备调试接口,防范软硬件逆向工程。
人巡终端 APP 及无人机智能操作系统的安全防护。国
网浙江电力对系统进行升级,保障系统自身安全性。对巡
终端 APP 进行代码审计、漏洞扫描及加固,避免系统带病
上线,防止 APP 被篡改、被反编译及代码外泄,并对 APP
登录对用户身份进行验证和授权;APP 本身数据库不保留
敏感数据,对传输到 APP 的数据进行脱敏处理,与平台传
输数据进行加密保护;强化对安装人巡终端 APP 及无人机
智能操作系统的手机、平板的规范管理及使用,禁止无关
APP 安装及工作环境以外使用。
网络安全防护措施
网络安全主要包括 5G 网络传输和开放 API 接口安全。
1、5G 网络传输
网络切片技术是 5G 网络为不同应用场景提供差异化服
务的关键。5G 网络端到端网络切片将网络资源灵活分配,
网络能力按需组合,基于一个 5G 网络虚拟出多个具备不同
特性的逻辑子网 , 每个端到端切片均由核心网、无线网、
传输网子切片组合而成,并通过端到端切片管理系统进行
统一管理。
通过不同的 5G 业务类型对各种应用进行网络切片,实
现对数据时延、流量的不同等级要求以及安全防护(见图
2)。例如,无人机控制流量对时延和移动性要求较高,可
使用 uRLLC 模式;无人机回传视频流、巡检 APP 流量则
使用 eMBB 模式。
2、API 接口安全
运检平台的 API 接口通过公司统一互联网出口开放,
仅对无人机和固定的 APP 终端访问。国网浙江电力加强
对开放接口的安全防护,在互联网出口部署防火墙、抗
DDoS、IPS、WAF 等设备防御各种攻击,同步对 5G 流量
进行全流量审计,并将流量传送到态势感知平台进行深度
威胁分析以防范 APT 攻击;建设 API 接口防护平台,实现
对 API 生命周期实时监控,建立身份验证机制、账号风险
监测机制、敏感信息展示监测预警机制,对数据行为威胁
实时监控,实现自动化数据泄露溯源追责。
应用安全防护措施
应用安全主要包括输电线路运检管控平台、机群作业
中央控制系统、缺陷隐患分析软件、树障缺陷分析软件的
安全。
国网浙江电力对各应用系统安装桌面终端管理、保密
检测、防病毒等客户端软件,确保满足公司终端安全基线
与计算机保密管理要求;通过安全域、微隔离等访问控制
图 1 5G 无人机巡检系统安全防护纵深防御体系
图 2 5G 网络传输安全防护
图 3 API 接口安全防护
第38页
现场直击
36
手段对运检平台业务进行安全隔离,禁止平台和其他二级
域业务之间的无关互联;对登录系统的用户进行授权认证,
设置每个用户对应的资源访问权限并通过不同的方案配置
进行授权,采用分级管理机制对管理员进行授权,不同级
别的管理员只能管理相应级别的数据。此外,平台和数据
库通过网络安全隔离装置进行跨区隔离,需要隔离装置厂
家对应用进行测评,测评通过后再进行上线运行。
数据安全防护措施
1、数据分级分类合规
国网浙江电力按照国网公司数据分类分级合规要求,
落地实践 5G 无人机巡检系统敏感数据分级合规,将数据资
产分类存储在互联网大区和管理控制大区(见表 1),落实
平台间对接数据统一规范管理,严格管控跨区数据交互,
保障数据安全。
无人机巡检作业主要包括巡检业务流程数据、无人机
现场作业采集数据、电网资源数据,其中电网资源数据包
含属性台账(架空和电缆)和空间数据。
现场作业采集数据属于一般数据。考虑现场作业采集
数据涉及大量非结构化数据(图片、视频等),采集频率
高、数据体量大,可存储至互联网大区,经处理成图片后,
将结果数据定期导入管理信息大区的数据库内 , 供分析软
件使用。
巡检业务流程数据等为高频访问数据,存储在互联网
大区业务系统数据库内,并实时同步数据到管理信息大区。
设备名称等属性台账数据属于企业重要数据,经过数
据脱敏处理后,在互联网大区业务系统数据库临时存储;
空间数据属于商密数据,仅存储于信息管理大区,经加密
技术处理并进行数据脱敏后,互联网大区业务系统通过隔
离装置进行跨区访问。
2、数据全生命周期管控
数据采集方面。通过平台下发巡检任务之后,无人机
通过摄像头采集视频数据直接回传到互联网大区的运检平
台。
数据传输方面。平台数据库部署在管理信息大区,重
要数据和商密数据均存储在管理信息大区,巡检业务流程
信息临时存储在互联网大区,属性台账脱敏后通过网络隔
离装置传输到互联网大区供使用。
数据访问方式方面。5G 无人机通过接口 API 回传视频
信息数据,分析软件通过接口访问运检平台的巡检图片。
数据存储方面。数据均存储于管理信息大区,互联网
大区只临时存储 5G 无人机回传数据,数据库通过备份机制
对数据进行备份。
数据使用方面。人巡终端通过账号管理,只允许访问
对应权限的巡检任务及相关数据。
国网浙江电力通过对 5G 网络传输安全、敏感数据分级
合规、移动 APP 安全加固、API 接口安全防护多个先进方
向的落地探索实践,提升巡检系统的安全防护能力,为其
他单位无人机巡检系统的安全建设提供了示范样本。■
图 4 运检管控平台安全防护
表 1 数据级别划分及存储方式
序号 数据级别 数据级别 存储位置 说明
1 商密数据 空间数据 管理信息
大区
经保密技术处理后,通过隔离装置进
行跨区访问。
2
企业重要
数据
属性台账 管理信息
大区
设备名称等属性台账数据特定情况
下,经数据脱敏处理后,在互联网大
区临时存储。
3 业务流程
数据
管理信息
大区
互联网大区对此数据调用较频繁,临
时存储在互联网大区。
4 一般数据 现场作业
采集数据
互联网大
区
主要为图片、视频等非机构化数据,
采集频率高,数据体量大,存储至互
联网大区,将结果数据定期导入管理
信息大区。
图 5 数据级别划分及存储方式
第39页
现场直击
37
四种基于网络安全的不同接入方案,对节约投资,投运后安全、可靠,降低运营成本,具有十分重要的意义。
文 / 华能(浙江)能源开发有限公司长兴分公司 王时峰
比较探讨四种接入方案
近年来,在“双碳”目标的驱动下,我国能源结构持
续优化,以“风光储”为主体的新能源产业得到了迅猛发
展,利用光伏发电已成为当今世界可再生能源主要来源之
一。分布式光伏发电兼备“自发自用,余量上网”和“全
量上网”两种方式并存的优势,遵循就近发电、并网、转
换、使用的原则,缓解了当地用电压力,分布式光伏系统
所发的电量一般都可以在本地并网点的区域消纳,不会因
远距离输电而产生线路损耗,克服了集中式光伏发电存在
电网不易消纳、输送困难等现象。分布式光伏通常分两类:
第一类是 10kV 以下电压等级接入,且单个并网点总装机容
量不超过 6 兆瓦的分布式电源,即低压分布式光伏;第二
类是 35kV 电压等级接入,年自发自用大于 50% 的分布式
电源,或 10kV 电压等级接入且单个并网点总装机容量超过
6 兆瓦,年自发自用电量大于 50% 的分布式电源,即中高
压分布式光伏。光伏产业经过十几年的发展,分布式光伏
建设和运营成本逐年降低,电价补贴标准也随之同步减少,
当前国家对新建的分布式光伏已不再补贴,按当地燃煤发
电基准价接轨执行。分布式光伏补贴的取消,迫使分布式
光伏投资主体压控建设成本以提高竞争力,采用远程监管、
无人值守的分布式光伏发电是降低运营成本的主要手段,
通过优化接入方案,降低分布式光伏监控系统接入电网和
发电集团监管中心的建设成本,也是分布式光伏投资主体
需要考虑的主要因素之一。分布式光伏因其发电规模、电
压等级等现场条件不同,网络安全措施也不一样,可采用
不同的数据采集和接入方式以降低建设成本。
中高压分布式光伏
电网调度和发电集团利用分布式光伏电站监控系统,
通过通讯和信息技术连接光伏发电控制单元,对光伏电站
内发电设备和过程进行实时监视和控制,其监控范围包括
综合自动化系统、光伏逆变器数据监控系统和光伏气象站、
视频监控、消防报警、安全防护等辅助系统。
中高压分布式光伏根据电网调度要求 , 一般站内设有
独立的开关站,并有 1-2 个总的并网点,光伏站内各发电
单元数据通过有线方式组成通讯网,各类数据汇聚连接至
数据采集系统,汇聚完的数据在满足电力监控系统安全防
护要求的条件下,选择适合的传输方式至电网调度和集团
公司,如图 1 所示。其接入特点是:站内可采用 RS485 串
口、PLC 电力载波、以太网、光纤等相结合的通讯方式,
将所有的逆变器、并网柜、开关站、电度表等数据汇聚到
站内的一个位置;汇聚点设立大容量数据采集装置,数据
规模可达几万点,一般采用常规远动装置,可实现遥控、
遥调功能;涉网数据传输采用电力专线方式,经纵向加密
论证装置,通过调度数据网接入到当地电网公司;站内监
控系统和信息管理大区之间部署单向网络安全隔离装置,
实现站内安全 I/II 区到安全 III 区数据交互的安全隔离,安
全 III 区镜像监控系统的数据经过协议转换,通过专线经防
火墙将数据远传到集团和区域监控中心;区域公司一般有
特定管控要求的,站内设有人值守;接入网建设成本高。
环境监测仪A
电度表A
并网柜A 逆变器A
电度表B
本地监控台
运动装置
广域网防火墙
正向安全隔离装置
I区纵向加密装置 II区纵向加密装置
调度集中监控中心 集团&区域运维中心
电力专用通道
电信租用专线
电能量采集装置
安全I区交换机
安全II区交换机
安全III区交换机
I/II区防火墙
本地监控系统服务器
本地监控系统镜像服务器
环境监测仪B 并网柜B 逆变器B
图 1 分布式光伏电站监控系统
第40页
现场直击
38
低压分布式光伏
为完成对非统调的低压分布式光伏电站遥测遥信和全
域电量数据采集,国网省电力公司采用了全省范围内的安
全接入区建设。按照“统一规划,统一建设,分批接入”
的原则,结合二次安全防护要求,非统调低压分布式光伏
电站通过运营商 APN 接入至各个地调;集团新能源运营中
心也按照相同接入方式采集低压分布式光伏电站数据,如
图 2 所示。
由于低压分布式光伏场站一般不需要接收电网调度的
遥控、遥调指令,其接入网方式与中高压分布式光伏接入
网相比,共同点是都采用了单点汇聚的方式,即把整站光
伏数据汇聚于一个汇聚点,统一远程传输;不同点是汇聚
点一般采用数据通信网关机进行数据采集,数据通信网关
机支持多个以太网、标准 RS485 和 RS232 等多种通讯接口,
将采集到的遥信、遥测、遥脉等数据,经正向安全隔离装置,
利用电信运营商 4G/5G 无线信号的 APN 专网,经过端到
端的加密,分别上传给电网调度和集团公司的业务监管平
台。
户用分布式光伏
自国家能源局综合司 2021 年 6 月 20 日下发《关于报
送整县(市、区)屋顶分布式光伏开发试点方案的通知》后,
户用分布式呈现快速有序增长,其商业模式日趋成熟。“千
家万户沐光”行动推动了乡村大批量自建房屋顶分布式光
伏建设,户用屋顶分布式光伏一般采用 380V/220v 电压等
级接入电网,装机容量 400 千瓦及以下,也属于低压分布
式光伏,但一般不纳入调度范围,由其发电集团负责户用
分布式光伏数据采集,电力调度机构若需要,可通过与发
电集团相应平台对接,达到监管要求,如图 3 所示。
图 3 适用于不涉及调度数据采集要求的多点汇聚适方
式:站内户用光伏点较集中,每个集中点数在 3000 以下;
布线方便,可采用 RS485 串口的通讯方式,将所有的逆变
器、电度表等数据汇聚到站内的远动通信安全一体化网关
机;远动通信安全一体化网关机是一种基于工业计算机硬
件、Linux 操作系统软件实现的安全网关,其工作模式为
隧道模式,其密码功能由密码卡完成,其它功能由软件完成。
在进行数据包的 VPN 封装操作前,网关双方先要通过身份
认证,并进行密钥交换过程,其主要功能是转发网络数据包,
对明文数据包进行 VPN 封装加密后转发,对密文数据包进
行解密解封装后转发。网络数据包利用 4G 或 5G 无线专用
通道,传输到集团或区域公司运维中心进行统一监管。
图 4 也适用于不涉及调度数据采集要求的多点汇聚适
方式,其特点是:站内户用光伏点较分散,且点数达到万级;
布线施工难,可采用 4G 或 5G 物联网 APN 通讯方式,将
各点的逆变器、电度表等数据经安全加密汇聚到区域公司
的 APP 云服务器;汇总的数据经双重加密认证后,转发到
集团或区域公司运维中心进行统一监管。随着分布式光伏
的爆发式增长,电网消纳已成为当前户用光伏发展的瓶颈,
为解决户用光伏的用户用电安全,“分布式光伏 + 储能”
的新型分布式能源应用场景是今后持续可靠供电、电网安
全稳定运行的发展方向,采用先进的智能控制、计量、通
信和软件系统,对分布不均的容量小、数量多的分布式能
源进行聚合,实现多个分布式能源协调优化运行的虚拟电
厂逐渐成为主流,为分布式能源、虚拟电厂保驾护航的网
络安全跟随新一代信息技术探索前行。■
环境监测仪A
电度表A
并网柜A 逆变器A
环境监测仪B
电度表B
并网柜B 逆变器B
采集网关机1
正向安全隔离装置1
正向安全隔离装置2
无线纵向加密装置1 无线纵向加密装置2
调度集中监控中心 集团&区域运维中心
安全I区交换机1
环境监测仪C电度表C 并网柜C 逆变器C
采集网关机2
安全I区交换机2
2M/SDH专线
远动通信安全一体
化网关 4G/5G
集团&区域运维中心
户用分布式光伏数据N 户用分布式光伏数据2 户用分布式光伏数据1
RS485
云平台&区域运维中心)
集团运维中心
户用分布式光伏数据1
4G/5G APN专网1
户用分布式光伏数据2
4G/5G APN专网2
户用分布式光伏数据N
4G/5G APN专网N
图 2 低压分布式光伏电站
图 2 低压分布式光伏电站
图 4 多点汇聚适方式
插图
第41页
现场直击
39
国网宝鸡供电公司采取基于物联网 RFID 的技术手段,将新技术,新方法、新手段融合进信息资产全生
命管理流程,不断深化新一代信息技术与管理创新融合发展。
文 / 国网陕西省电力公司宝鸡供电公司 肖康泞 杨小宁 蔡忠林
建设 IT 资产管理全新模式
供电企业信息网络设备资产数量较多、使用周期较长、
使用地点分散,管理难度大。目前,对于信息网络设备从
采购管理、配置管理、领用管理、回收管理、报废管理、
安全管理等全过程管控仍然依靠的是人工的方式,部分地
区的信息网络设备长时间不能得到更新,响应速度慢,影
响生产、营销等业务的正常开展。
因此在数字化转型的关键时刻,宝鸡供电公司引入
EAM 科学的资产管理思想,规范信息网络设备全生命周期
管理流程,在满足安全生产需要的同时尽可能减少浪费,
降低成本,以便更好地支撑国家电网泛在电力物联网建设,
服务“三型两网、世界一流”战略目标实现。
宝鸡供电公司担负着全公司 230 多台交换网络设备、
2300 余台计算机和打印机等网络终端设备的全生命周期管
理工作,但是并不是所有的信息网络设备都完成全生命周
期,因为无法管控而导致信息网络设备故障率增加和信息
网络设备出现安全风险点不能及时发现等问题。主要有以
下原因:
信息网络设备更新、人员调动变更、资产报废变更等
流程中不能及时反馈信息台账导致信息网络设备台账不完
整,不能按时完成全生命周期管理工作。
“一人多机”问题层出不穷,一线班组和基层生产部
门终端利用率低下,导致资源分布不均匀,资产价值得不
到充分发挥。
管理部门对计算机、打印机、笔记本等信息网络设备
从采购入库、配发领用、入网认证、设备运维、设备退役
等全过程管控仍然依靠的是人工的方式,无法实现对内网
移动终端全生命周期的实时、高效的信息化管理。
电子标签辅助工具闭合管理,引领信息系统化
体系新格局
一是依托微端技术架构和物联网 RFID 电子标签技术,
以部分部门本部为试点,针对公司范围内所有信息网络设
备资产实物设备进行辅助管理,围绕信息网络设备资产的
计划、购置、验收、入库、领用申请、发放审批、调换、
报废环节进行科学管理,完成对信息网络设备全生命周期
管理工作,并提供针对计算机及外设资产的全生命周期跟
踪管理。确保资产管理实效性和准确性,为信息数据数字
化治理夯实基础。
二是设置专职信息员管理,各部门上下级联动机制,
做到信息网络设备在全生命周期过程中发现问题、整改问
题、反馈汇报闭合管理;加强“云沟通”,通过微信群、邮件、
云会议等反馈方式进行沟通交流反馈;
三是加强制度管理,建全资产台账管理制度,深入落
实《国家电网有限公司基层班组电子计算机配置标准规范》、
《国网陕西省电力公司关于进一步规范固定资产报废管理
工作的通知》、《宝鸡供电公司计算机设备资产管理办法》
等相关制度,如图 1 所示。
按照“统一采购,统一管理”的基本原则,借助物联
网 RFID 电子标签辅助工具严格执行资产出入库、更新、
报废台账签报规范流程;
四是专职信息人员培训,将资产安全责任细化,分级
划分职责,完善考核机制,确保“边界清晰,责任明确”,
开展日常更新、月度反馈、季度培训,成立信息资产数字
化转型专项管理小组,针对特殊问题进行精准分类处理,
定制对应方案,实现信息网络化闭合管理。
第42页
现场直击
40
精准治理台账数据,夯实资产信息化基础
一是开展资源台账数据治理,将基础数据库更新导入
台账管理系统,通过梳理、录入、核对、更新等环节进行
大数据异常对比,对所收集汇总的资产数据形成模块化的
条形图或者饼状图,将整体资产信息可视化,从而筛选出
各类资产的风险预估数据特征,再结合线下的实际情况进
行监测比对。同时,将现有资产划分归类收纳,进一步精
细化台账字段;
二是分级管理资产台账,按照树形结构排列管控,按
照部门进行安全等级划分进行管理,按照资产在运年限,
硬件信息等有针对性的定期进行台站核查。借助物联网
RFID 电子标签辅助工具进行实时更新,确保信息台账数据
的准确性和实效性;
三是采取访问控制技术,将资产台账全生命周期管理
系统划分为不通层级用户分配不同的权限,授予不同帐户
为完成各自承担任务所需的最小权限,并在它们之间形成
相互制约的关系。通信完整性与保密性,系统采用密码技
术保证通信过程中数据的完整性,对关键数据进行加密传
输。从领用、发放、安装、投运、保修、退役、回收、报
废等各个流程都要进行严格把控管理,每个流程有专人专
责管理直至下一个阶段,确保设备在全生命周期全面发挥
其最大价值,为资产信息化建设打下坚实的基础。
建全线上管理机制,优化全生命周期管控
一是打破传统的线下流转模式,对于设备数量多、设
备分布地区广、设备状态变化快的问题进行瓦解,健全资
产全生命管理机制,从设备入库出库、业务申请、资源分配、
台账更新、回收报废等方面进行线上管控,分级分层管理,
做到设备实名制,科学配置精细化;
二是建立设备异动监测机制,加强 IP 与设备 MAC 绑
定管控分配联动,对出现信息网络设备进行调配、更换的
不可控设备进行检测反馈;坚持入网前“一人一 IP”的原则,
每一台资产设备都要信息明确;
三是完善线上报废流程,从电子台账到线下库存,每
月进行报废统计、库存盘点核对,经过物资部门、财务部
门严格审核方可进行报废。
优化资源整合模式,大数据分析保障优质服务
一是结合数据定期筛查检查和不定期突击检查模式,
对资产台账进行实效性整理,对现场设备进行安全检查,
确保资产安全合理利用;
二是健全大数据估算预警建模,优化分配策略,闲置
资产重新分配,大数据估算已经超出不符合工作条件、或
者有安全隐患的资产进行预警,现场采集硬件信息,确保
后续精准反应计算机的使用周期和年限,对老旧系统和内
主管领导 主管部室 使用部门/单位
/班组
安装、调试、
运维单位 备注
1使用部门、单位、班组申请
3检查是否符合
新配、更换条
件
4按需、按技术选型
审核配置申请
7按照申请审批签报单领用
8通知库管人员出库领用
9通知持证运维人
员安装调试、实名
注册、安全接入
N
Y
6主管公司
(局)领导批准
运维班组
2使用部门、单位
负责人批准
5申请单部门领导
批准
10记录接入情况、
标识,登记设备资
产
12登记设备资产、检测接
入情况、变更实物台账
11使用部门、单位、班组使
用人签字认可(标识:责任
人签名)
信息设备计划购置按照采
购管理相关流程采购,收
货后指定仓库收货入库,
运维部门、单位填写《设
备入库单》,经手人、库
管、抽检人员签字。
节点
1.国网陕西省电力公司计
算机外设更新、报废签报
单;
节点2.使用部门批准;
节点3.运维部门、单位人
员检查是否符合更换条
件;
节点4.主管部室专责审
核;
节点5.主管部室领导批
准;
节点6.主管公司(局)领
导批准;
节点7.按照审批单领用;
节点8.通知或联系库管人
员出库领用,填《出库领
用单》;
节点9.持证运维人员安
装、调试、实名注册、安
全接入;
节点10.记录接入情况、标
识、登记设备资产信息,
填写《陕西省电力公司固
定资产登记卡》;
节点11.使用部门、单位、
班组使用人签字,在标识
【责任人】签名;
节点12.登记设备资产、检
测接入情况、变更实物台
账,检查《陕西省电力公
司固定资产登记卡》信息
正确性,必要时补充。
#对在运和回收的计算机设备资产
进行技术鉴定、确定是否报废
图 1 信息网络设备资产管理平台新增、调配、报废申请审批流程图
图 2 资产台账系统平台信息完善
图 3 工作人员现场硬件信息采集
第43页
现场直击
41
存进行预判,资产利用率最大化,深化数据挖掘价值。如
图 2、图 3 三是将资产服务上门常态化,主动自查,将运行
年限久、卡顿的设备进行排查,主动上门进行更换,做好
差缺补漏工作。同时,每年分发印有设备安全相关制度的
鼠标垫、责任人标签、网络安全警示标签等,加强资产安全,
春检春查期间,三上门服务加强和各个部门的沟通,积极
主动为大家提供“优质服务”,营造更舒适的信息化办公
环境和氛围。为打造世界一流能源互联网企业做好服务保
障,引领电网企业数字化转型走向新征程。
实践效果
宝鸡公司通过信息网络设备全生命周期管理体系的建
设,有效地解决了固定资产的管理难题,同时在充分挖掘
资产资源价值上产生最大的效益,基于信息资产数字化的
全生命周期管理不仅通过信息数字化的管控,加强了资产
安全管理,提高信息网络安全的全面防御,同时还响应了
智能电网、电网数字化转型的号召,确保电网安全,是未
来能源互联网企业智能资产管理的发展趋势。
一是高效系统安全性。有效地提高资产管理系统的安
全性、可用性和可靠性,以及企业资产价值保护和寿命延长;
二是业务便捷性。集成的工作流与业务流程配置功能,
方便地进行系统的授权管理和应用的客户化改造工作;
三是资产价值最优化。是以资产基础资料、日常业务
办理、使用现场、安全技术等方面的企业管理规章制度为
基础,实现资产最优利用的同时,达到最佳的成本和效益
目标。
国网宝鸡供电公司通过开展信息网络设备生命周期管
理,不断优化升级信息网络资产全生命周期管理体系。有
效适应数字化转型的必然趋势,不仅是健全信息网络安全
体系的关键措施,以新一代数字技术为代表的第四次工业
革命向经济社会各个领域渗透,同时,建立健全信息数字
化管理体系,是身处能源行业核心枢纽地位的电网企业实
施数字化转型强化资产管理的大趋势。■
插图
第44页
知行视界
42
燃机排气扩散段排气温度高、流速快,造成保温内护板膨胀间隙增大,内护板及内保温材料脱落,导致
燃机排气段区域外表面超温,造成烟温损失,影响机组经济运行安全。
文 / 京能集团北京京西燃气热电有限公司 马德海
治理 9F 级燃气轮机排气扩散段超温
SGT5-4000F(4+) 燃气—蒸汽联合循环热电联产机组
9F 燃机出口排气扩散段为喇叭筒形式,排气筒采用内保
温结构,即扩散段内部敷设保温棉并安装不锈钢内衬板。
燃机排气温度 576.3℃,气流速度 45m/s。燃气机组投运
几年以来,燃机出口排气筒的外表面多处超温,最高处达
275℃。
在燃气机组运行过程中,燃机排气扩散段内保温长期
被高温、高速烟气冲刷,引起保温内护板膨胀间隙增大,
内护板及内保温材料脱落。在炉膛内形成两个较严重的故
障点;第一,燃机排气段区域外表面超温,造成烟温损失,
影响机组经济运行安全;第二,吹出的保温材料堵塞了脱
硝系统催化剂,使催化剂有效接触面积减少,严重降低了
催化剂的活性,造成锅炉烟气排放指标不达标。因此我们
对燃机扩散段要实施改造,有效解决超温情况,保证机组
安全可靠运行。
燃机排气扩散段超温情况
1、三台燃机扩散段外表面实测超温点布置情况
#1、#2 和 #3 燃机扩散段表面超温均比较严重,部
分表面油漆被烤焦脱落。经实测,每台机组超温均有十几处,
每处超温点面积不等,超温区域实测温度大部分在 80-
200℃之间,超温最高处温度达 275℃。具体超温情况如图 1、
图 2 所示。
图 1 #1、#2 和 #3 燃机扩散段表面超温情况
第45页
知行视界
43
2、燃机排气扩散段超温原因分析
燃机排气扩散段内护板膨胀量较大,部分固定压板与
螺栓点焊被拉裂,高温高速烟气冲刷压板高速旋转将螺栓
切割后导致脱落,烟气会直接侵入保温层,造成保温层结
构松散,导致外护板超温。如图 3 所示。
扩散段内衬板压板与护板之间的缝隙无任何防护,由
于机组反复启停,扩散段不断膨胀收缩,压板与护板之间
相对移动,时间长了后,部分缝隙越来越大,现场实测最
宽达到 10mm。燃机排气速度高达 45m/s,高速烟气从缝
隙侵入,将保温棉吹空,造成外护板超温。如图 4 所示。
燃机排气扩散段超温治理原则
尊重厂家设计结构,充分信任厂家设计思路;在原设
计基础上局部工艺加以改善,达到治理效果。如内保温材
料采用包裹式保温层,使保温在满足膨胀的基础上成整体
性等措施。
完善现场施工工艺,确保接缝严实、膨胀自由,减少
由于膨胀导致间隙过大而超温的情况发生。内保温护板安
装合理,使膨胀均匀,不再拉裂压板螺栓,对压板进行防
冲刷保护。
确保施工材料规格及内在质量合格,保温材料容重满
足设计要求。执行《燃气轮机排气扩系统安装调试说明书》
(上海电气电站设备有限公司 上海汽轮机厂)中相关要求。
燃机排气扩散段超温治理方案
1、拆除固定螺栓、压板、导流槽钢、内护板保护性拆除。
螺栓不考虑重复利用,装袋清理干净;统计损坏压板
数量,进行补充;导流槽钢、内护板、可用压板统一码放
在入口烟道底板上。
2、保温层材料清理
保温材料装袋运输至指定存放位置;检查外护板内侧
接口焊缝,漏焊处补焊,确定密封完好;保温清理 6m3(压
实容积),需要组织人员短时间清理完成。
3、自马鞍支座上切除内护板固定螺栓(注意保护马鞍
支座完好)。
4、重新焊接内护板固定螺栓 (64×4=256 条流出余
量准备 300 条螺栓)
按照原始位置焊接螺栓,焊缝长度不小于 40mm;保证
螺栓与马鞍支架的垂直性;螺栓超出马鞍支架高度应不小
于 30mm;焊接中不得损伤螺纹;螺栓材质为 1Cr18Ni9Ti
不锈钢。
5、保温材料制作及敷设(陶瓷布包裹陶瓷纤维毯接口
用不锈钢丝缝制)
保温材料四层,由外向内总厚度为:200mm;(由于
保温厚度采购为 50mm 及 20mm 所以分为 4×50mm+20mm
压缩至 200mm)。
图 2 燃机扩散段超温点实物图片
图 3 固定压板与螺栓点焊被拉裂
图 4 内衬板压板与护板之间的缝隙
图 5 重新焊接内护板固定螺栓
第46页
知行视界
44
保温材料与马鞍支架、测点支架间接触密实;安装中
需要将保温块在马鞍支座间挤紧以防止上部保温在施工中
脱落;燃机侧金属补偿器位置保温结构满足设计要求,填
塞严实;在保温层表面敷设一层陶瓷纤维布和一层不锈钢
网,并加以固定;单台机组燃机排气扩散段保温总面积容
积 60m3
,面积 280m2
,而金属膨胀节位置占 6m3 敷设工作
量相应较少。
保温材料要填充到不同层中。因此,必须注意各层充
分重叠互相搭接来避免保温材料内部出现对流传热。特别
注意角部连接处、测点连接处和外壁上各元件间的连接处。
支撑板所在区域必须通过切断陶瓷纤维板的方法进行保温。
要避免在支撑板侧面出现多层接缝的情况。在这些关键区
域要绝对避免热烟气向外壳对流传热。
将内护板固定于支撑螺栓上。支座与垫片的规定数量
与布置要按照图纸施工。为了防止磨损螺丝上的不锈钢螺
母,在拧紧前要在螺丝上涂抹合适的润滑油,在拧紧后,
确保螺母必须是可拆卸的。
螺母必须用扳手手动拧牢,因此,M12 螺栓需要按
54Nm 的力矩。采用此方法将所有内护板连接起来并保证下
面的内护板连接到支座上。塞入的陶瓷纤维将压缩至支撑
板的高度。螺母拧紧后要手动回转一圈,由此使螺母下面
的护板有 1mm 的间隙从而使护板热膨胀顺畅。螺母要点焊
到螺栓上,不能出现垫片卡住垫片下的护板的情况,以防
止阻碍护板的自由移动。
6、铺装内护板内保温压板、内护板、导流槽钢、压板,
安装螺栓
按照拆除顺序回装内护板;回装内护板前,在螺杆上
套装 150×150×1mm 内保温压板。
在需要加宽护板的方向做好标记,在护板装上前焊接
好,加宽后的护板不应顶到其它部件;压板必须能够完全
覆盖内护板预留孔;内护板焊接位置不得出现影响护板自
由膨胀的焊接点;垫片应基本平整,能有效覆盖板孔。
7、焊接挡流板
在每处固定压板前焊接挡流板,防止烟气冲刷压板及
螺杆,并防止烟气钻入压板下冲刷保温层。
燃机排气扩散段改造后效果
机组启动后,对扩散段外表面温度进行了多次测量,
显示原超温点温度均已降至 60℃以下,改造效果良好。扩
散段外表面油漆不再被烘烤爆裂,运行几个月后依然光亮
如新,设备外观得到大幅提升。通过此次治理,大幅降低
了燃机扩散段外表面的温度,彻底解决了生产现场设备长
期存在的问题,并取得了安全、经济等多方面的效益。
扩散段离地面仅 0.5~1.2m 高度,人员穿越频繁,外表
面超温易造成人员烫伤,如果接触到易燃物质还容易引发
火灾。保温改造后,外表面温度下降到规定值以内,保证
了人员安全,消除了一个巨大的安全隐患。
根据改造前后保温表面温度差值计算,#1 燃机扩散段
改造后减少热量损失 31.8kW,机组每年运行 6500h,可节
约 20.7 万 kW·h,以 0.65 元 /kW·h 电价计,每年减少
热量损失可获得收益 13.5 万元。
改造前,扩散段每次补刷油漆花费,油漆(冰色
GY09)1000 元,工日 3000 元,搭设脚手架等措施费 6000
元。按每年 2 次补刷计算,每年节约补刷油漆成本 2 万元。
每年节约总经济效益 15.5 万元。■
图 6 固定压板前焊接挡流板
插图
第47页
知行视界
45
在海上风电迅猛发展,单机容量日趋增加的同时,引发的电力系统谐波问题不容忽视。在风力发电机组
中加装滤波器后,电能质量改善明显。
文 / 三峡新能源海上风电运维江苏有限公司 周于雷 李俊贤 吴敏辉 曾学平 洪秉鸿
抑制海上风电机组谐波的方法
海上风力发电作为可再生能源的重要发电方式,具有
环保、风速高、不占土地资源等优势。“十四五”期间,
中国海上风电将延续快速发展态势。在“碳达峰·碳中和”
国家发展战略背景下,海上风电的大规模开发利用,在新
型电力系统中建设中具有广阔的应用前景。
然而,随着海上风电单机容量不断增大,也带来了不
容忽视的谐波问题。机组谐波产生的主要原因一方面是非
线性的负载与电力电子设备,工作时产生非正弦电流,引
起海上风电机组与电网之间的电磁干扰。另一方面,由于
风力发电自身不稳定性、波动性较大、受自然条件影响等
特性,导致风力发电机的输出功率不平稳,增加了谐波产
生的可能性。
高渗透率的并网风力发电系统产生的谐波问题,其不
仅会影响海上风电机组供配电系统的稳定运行,还会降低
电网电能质量,增加输电线路损耗,对电力系统安全、稳定、
经济运行造成冲击。
谐波的产生
在电力系统中,谐波产生的根本原因是由于非线性负
载所致,当电流流经负载时,与所加的电压不呈线性关系,
就形成非正弦电流,即电路中有谐波产生。随着风力发电
技术的快速发展,大量非线性负载接入电网,其在系统电
压作用下产生的谐波电流将在系统阻抗上产生谐波电压,
引起电网电压畸变,最终造成电力系统谐波污染,并使电
网及用电负载的安全性、可靠性及稳定性受到影响。值得
注意的是,在电力系统发电、变电、输配电和用电这四个
环节中均有可能产生谐波。风力发电系统中最大的谐波源
是变流器。
谐波的危害
谐波的危害在风力发电中是多方面的,主要有:
增加输电线路损耗,缩短输电线寿命。谐波电流一方
面在输电线路上产生谐波压降,另一方面增加了输电线路
上的电流有效值,从而引起附加输电损耗。大量的 3 次谐
波流过中性线时会使线路过热甚至发生火灾。
影响各种电气设备的正常工作。谐波对电机的影响除
引起附加损耗外,还会产生机械振动、噪声和过电压,使
变压器局部严重过热。谐波使电容器、电缆等设备过热、
绝缘老化、寿命缩短,以至损坏。
危害供配电线路。谐波将会自动装置和继电保护的误
动作,电流波形的畸变会明显影响断路器的断路容量,导
致故障电流切除时间延长,重合闸失败,不能全面有效的
发挥电路保护作用。
降低电网质量,引发电路事故。谐波会引起串联谐振
及并联谐振,引发风力发电机、变流器、电缆和配电设备
等电力设备的共振,使电能质量降低,危害电网正常运行。
因此,风力发电系统中谐波具有很大的危害性。为解
决电力电子装置和其他谐波源的谐波污染问题,抑制谐波
至关重要。
谐波抑制方式
现有的谐波抑制方法包括变流器、电抗器、谐波滤波
器以及各种混合型解决方案。基于变流器的方法是利用半
导体器件来对电流进行调制,从而达到控制谐波的目的,
变流器采用 PWM 技术实现的谐波抑制方法具有出色的性
能和有效的控制策略。这种方法虽然响应速度快、调节能
力强,但输出电流带有谐波。电抗器虽然简单易行,但是
第48页
知行视界
46
对电网无功功率需求大,且只有较低的谐波阻抗特性。
滤波器是使用广泛、成本较低的一种方式,可以实现
各项谐波阻抗,但是需要计算和复杂设计。同时,在非线
性负载不断增加的情况下,滤波器需要不断地调整参数才
能保持有效。
有源滤波器 ( active power filter,APF) 和无源滤波器 (
passive power filter,PPF) 是减少谐波扰动对系统影响,
提升系统电能质量较为普遍的方法。
有源滤波器
有源滤波器由电力电子元件和 DSP 等构成,通过采样
负载电流并进行各次谐波和无功的分离,控制并主动输出
电流的大小、频率和相位,并且快速响应,主动产生一个
与系统谐波大小相等相位相反的谐波,以“抵消”系统产
生的谐波,实现了动态跟踪补偿,且可以不改变原有电网
的拓扑结构。虽然有源滤波器理论上对于谐波的治理更有
效,但是有源滤波器不适用于高电压大电流的场合,单套
容量不超过 100kVA,所以多用于信号处理。且由于其造价
造价成本高昂,控制系统结构与逻辑复杂,可靠性与稳定
性较低,所以在实际电力生产中并没有得到广泛应用。
无源滤波器
无源滤波器是一种通过使用电容器和电感器的方式来
去除电路中谐波的方法。可以通过 RC 或 LC 谐振电路的方
式来实现,影响其效果的主要因素包括滤波器的阻抗和频
率特性,这些因素可以通过调节电容和电感的参数来进行
优化。此外,如果要进一步改善功率因数,我们可以向电
路中引入谐振电容器,通过均衡容抗值的方式来达到功率
因数改善的目的。
而无源滤波器结构简单,功能可靠,成本较低,为目
前应用最广泛的一种谐波治理方式。因此,在海上风电机
组中谐波抑制的应用中,无源滤波器是一个可行性较高的
选项。
谐波产生的背景
选用某厂家大容量 10MW 机组,采用 220kV 海上升
压变电站加陆上集控中心方案。在机组实际运行的过程中,
发现风机辅助供电系统谐波较大,因谐波问题导致变桨系
统继电器故障以及空开跳闸等故障频发,谐波电流使变压
器铜损增加,引起绕组内部温度过高,造成局部过热,振
动,躁声增大等现象。谐波电压引起的附加损耗会使变压
器的磁滞及涡流损耗增加,影响绝缘局部放电的介质过大,
使绝缘承受的电应力增大,在绕组内部形成环流,使绕组
温度升高。且电能质量中电压畸变率 THDU 值整体偏大,
高于国家标准的 5%。
THD(Total Harmonic Distortion, 总谐波失真)是
指信号总谐波的能量占基波能量的百分比。其中电压谐波
畸变率 THDU 以各次谐波电压的均方根值与基波电压有效
值之比的百分数来表示,公式如下:
100%
1
2
n
2
3
2
2 × + + ⋅⋅⋅+ = U
U U U THUD (1)
选用 Fluke 435 电能质量分析仪作为测试设备,对现
场谐波进行次测试。风机并网后,未投入滤波器的谐波测
试情况如表 1;风机发电并网后,投入一组滤波器的谐波测
试情况如表 2;风机并网后,投入两组滤波器的谐波测试情
况如表 3。
可见投入与未投入滤波器,电压谐波畸变率 THDU 的
值基本在 7% 以上,高于国家标准《电能质量公用电网谐波》
(GB/T 14549-93)要求的 5%。
调整有源滤波装置的 APF 参数
某 10MW 机组采用的具体拓扑结构见图 1,辅助变压
器 400V 侧配置有源滤波装置见标红位置。
机组配置的滤波装置为有源滤波装置 APF,容量
100A。有源电力滤波器通过电流互感器采集系统谐波电流,
经控制器快速计算并提取各次谐波电流的含量,产生谐波
表 1 并网未投入滤波器谐波情况
表 2 并网投入一组滤波器谐波情况
表 3 并网投入两组滤波器谐波情况
图 1 400V 辅助供电系统拓扑
相序 A B C
电压谐波 THD(%) 9.0 8.6 7.8
电流谐波 THD(%) 23.5 19.7 21.3
相序 A B C
电压谐波 THD(%) 7.8 7.3 7.2
电流谐波 THD(%) 21.0 17.8 19.4
相序 A B C
电压谐波 THD(%) 7.0 6.7 6.9
电流谐波 THD(%) 19.4 16.2 18.5
第49页
知行视界
47
电流指令,通过功率执行器件产生与谐波电流幅值相等方
向相反的补偿电流,并注入电力系统中,从而抵消非线性
负载所产生的谐波电流。
测试发现,如果运行过程中不投该滤波装置,THDU
值在 8.3% 附近,投入了则在 7.4% 附近,有一定的效果。
经过测试,谐波分布偏大的有 33 次、35 次谐波,因此优化
方向主要针对这两次谐波处理,来进行参数的优化和验证。
以其中一台机组为例,机组更改参数后谐波情况如图 2、3、
4 所示。
以一台数据为例,多台机组的参数基本一致。APF 参
数更改后THDI 有下降,但是 THDU 略有上升。分析认为,
APF 治理负载侧的电流谐波效果较好,但是有些电压谐波
是背景谐波,APF 无法根治,修改 APF 参数对谐波治理的
效果不明显。且由于机组单机容量较大,仅靠自带有源滤
波装置无法有效抑制谐波,需增加无源滤波装置。
基于 LC 滤波器的抑制方案
400V 辅助供电的系统拓扑如图 5 所示,400V 负载连
接三绕组的辅助变压器,辅变前级连接两个 PCS6000 变流
器以及一个主变压器。现场实测发现变流器启动网侧后存
在高次谐波,从图 6 可以看出,高次谐波在 11 次以上,主
要集中在 12n±1 次。结合现场实际可选择在辅助变压器和
400V 负载之间加装 LC 无源滤波器滤除高次谐波。
由于变压器的等效阻抗是初步估算,现场后级负载
也不确定,为了更好地达到滤波效果,初步确定将电感
L 的值确定为 0.121mH,此时 LC 滤波回路谐振频率为
417Hz,考虑变压器阻抗的谐振频率为 334Hz,理论上满足
设计要求。
理论探究谐振频率对 12n±1 次谐波的影响
LC 滤波回路等效电路如图 7 所示,该电路传递函数为 :
(2)
通 过 Matlab 可 以 得 到 L=0.121mH,400uF 以 及
L=0.189mH,400uF 在不同负载下的幅频和相频特性,如
图 8 和 9 所示。如果不考虑辅助变压器电抗,11 次谐波的
滤除效果较差,考虑前级辅助变压器电抗的话在不同的电
阻负载下都可以将 12n±1 次谐波降低到理想值,对基波的
幅值影响很小。
图 2 机组更改参数后各相电压情况
图 3 机组更改参数后各相电压畸变率 THDU 情况
图 4 机组更改参数后各相电流畸变率 THDI 情况
图 5 400V 辅助供电系统拓扑
图 6 网侧谐波图
图 7 LC 滤波回路的等效电路
图 8 L=0.189mH,C=400uF 不同电阻负载情况下的 bode 图
图 9 L=0.121mH,C=400uF 不同电阻负载情况下的 bode 图
第50页
知行视界
48
LC 滤波器变流器系统仿真
将 LC 参数 L=0.121mH,C=400uF 三角形接法进行
变流器系统离线仿真,如图 10 所示。133kW 负载情况下滤
波前后的 400V 电压谐波如图 11 所示,可见加入 LC 滤波
器效果比较明显,THD-100 下降了 6.5% 左右,电压畸变
率下降到 3.9%,符合国家标准。
谐波抑制效果验证
正弦波滤波器实物原理图如图 12 所示,L=121mH,
C=400μF。
在完成某台机组变流器滤波柜机械以及电气部分安装
工作后,对现场谐波情况进行实测,使用工具为电能分析
仪 435、示波器 DPO2024B、万用表。手动启动空空冷电
机负载,对风机进行辅助变压器 400V 出口两种工况下的电
压谐波总畸变率 THDU 进行测试,测试数据结果如下表:
综合以上测试情况,可以看出,辅助变压器 400V 侧
接入滤波柜,开启 APF 后,可以有效降低机组谐波电压,
THDU 基本控制在 5% 以下,均值在 3.34% 左右,消谐效
果良好,本无源滤波器研究具有可行性。
基于变流器的谐波抑制方法和基于滤波器的谐波抑制
方法及功率因数改善,具有一定的实际应用价值和理论意
义。在实际工程中,不同的谐波抑制方法应根据实际情况
进行选择,并进行合理设计和优化,以达到最佳效果。■
图 10 LC 滤波器变流器系统仿真
图 11 LC 滤波前后 400V 谐波对比
图 12 滤波器原理图
表 4 电压谐波测试表
滤波柜接入前 THDU 滤波柜接入后 THDU
空空冷档位 风机并网,APF 开启 风机并网,APF 开启
0 档空空冷 7.3% 2.6%
1 档空空冷 6.4% 2.9%
2 档空空冷 6.9% 2.8%
3 档空空冷 6.7% 3.9%
4 档空空冷 6.2% 4.5%
均值 6.7% 3.34%
插图
百万用户使用云展网进行可视化电子书制作,只要您有文档,即可一键上传,自动生成链接和二维码(独立电子书),支持分享到微信和网站!
其他案例
百万用户使用云展网进行可视化电子书制作,只要您有文档,即可一键上传,自动生成链接和二维码(独立电子书),支持分享到微信和网站!
免费制作
{{modalTitle}}
{{item.title}}
x
{{item.desc}}
{{item.title}}
{{toast}}
