220kV变电站二次安防改造的难点与解决方案

220kV变电站二次安防改造的难点与解决方案

张宇

广东电网公司东莞供电局，广东东莞　523000

摘要：通过220kV综合自动化技术改造实例，介绍了在220kV变电站二次安防业务迁改过程中需要重点关注的内容；简述了二次安防迁改时涉及到的配置内容和安全要求。梳理了迁改过程涉及的业务、遇到的难点并提出了现场解决方案，指出在技术改造过程中应关注的相关业务及准备内容，对施工中的难点，提前分析、细致联调，用合理的方案完成新旧安防设备的迁改。

关键词：技术改造　二次安防　配置要求　业务迁改

　引言

220kV变电站设备在使用多年后，装置元器件老化需要更换、原有的站内自动化功能落后需要升级，因此需要更换新的保护、测控及自动化相关设备。自动化专业和继保专业相关业务合并以后，变电站第一批网络安全运维设备已开始陆续运行到需要技术改造的时间节点。二次安防设备使用属于近年来采用的新技术新设备，其技术改造相关业务流程繁琐复杂，大多数供电局兄弟单位对此相对陌生。利用景湖站技术改造的机会，对照新的技术规范及最新网安要求，规范二次安防相关业务接入要求，对需要注意的相关业务、配置、硬件要求作出了详细的说明。为后续220kV变电站技改所涉及的二次安防业务迁改提供有价值的参考。

2022年8月，广东东莞市220kV景湖站综合自动化技术改造，工程技改进入继保自动化业务迁改阶段，需要对二次安防设备进行业务迁改，将旧二次安防相关业务迁移至新二次安防设备中。其中涉及到业务梳理、新旧网络回路构建、安防策略方案编制、业务部门沟通联系、业务确认；现将改造过程、难点及解决方案进行总结。

根据我们实际业务情况，系统的业务分区主要划分为生产控制大区和息管理信大区。生产控制大区又划分为生产控制一区和生产控制二区。综自改造前220kV景湖站站内网络拓扑结构如下：

此次改造需将网络设备全部进行更换，因此需要对以下内容进行相关工作梳理；

1. 旧安防业务梳理

1.1  实时业务

调查梳理现场二次安防设备内接入的相关业务内容。主要通过现有的二次安防实施方案对其进行校验核对；同时对现场安防所运行的交换机网线电缆牌进行现场查验核对并做好相关记录；通过现场查验确认220kV景湖变电站现场实时业务包含远动终端、保信系统、PMU（ 同步相量测量）、稳控。

1.2  非实时业务

通过查找方案和现场电缆牌核对，确认220kV景湖站非实时业务包含以下内容：电量采集系统、调度发令、保信系统、调度运行管理系统、调度生产管理用户终端；

2. 新旧网络物理连接构建

在清楚梳理相关安防的业务连接后；第一时间完成新二次安防设备立屏安装通电。其次需统计关联业务屏柜与新二次安防屏内的距离情况，统计所需网线长短及网络水晶头数量。联络相关施工单位对相关屏位进行线缆（电缆、网线）埋管敷设。线缆敷设必须与机房目前综合布线的标准和要求一致，线缆要求沿机房现有强弱电线槽进行敷设；防火墙和纵向加密认证网关与调度数据网路由器及纵向互联交换机之间均采用六类非屏蔽双绞线互联。在此过程中需要注意相关在运行设备防误动工作的准备以及站内光纤光缆保护，敷设完毕后要严格完成防小动物封堵工作。

网络双回配置，对于220kV变电站新要求规定应配备A、B两套安防设备。因此对于所有接入安防的设备都应该敷设两组网线；景湖站的业务有8个，分别接入保信系统、PUM、计量、备自投（10lV、110kV、220kV）、220kV稳控装置、调度发令系统、远动终端、最后还需敷设一组到通信接口屏。在此基础上还应在每个相应的屏位内敷设多一组备用线缆。敷设通讯电缆需要经通讯专业，外单位办票施工应提前准备施工方案，由通信专业会签后方可在通信接口屏内开展工作。敷设完网线完成水晶头制作后需要用网线测试仪进行测试，该动作为后续通道联调打下基础，有助于排除因网线或水晶头问题导致通道调试故障。

3. 安防策略方案编制

二次安防实施方案属于整个工作的核心，其存在的意义是建立电力二次系统安全防护基本结构，实现业务系统的安全分区；在控制区与调度数据网的实时VPN网络边界部署纵向加密认证装置，实现对重要信息传输的机密性、完整性保护；在非控制区与调度数据网的非实时VPN网络边界设置防护墙，实现对非控制区业务系统的访问控制；在控制区与非控制区之间设置防火墙实现生产控制大区内部区间的逻辑隔离；通过安全策略配置，控制接入系统之间的互联互访，实现业务系统的到调度数据网的安全接入；通过高可靠性配置，保障业务系统网络通信的高可用性和业务连续性。

3.1方案设计的依据

发改委14号令《电力监控系统安全防护规定》、国能安全【2015】36号“关于印发《电力监控系统安全防护总体方案》等安全防护方案和评估规范的通知”、《南方电网电力二次系统安全防护技术实施规范》、《广东电网电力二次系统安全防护实施规范》、《广东电力调度数据网及调度生产业务系统IP地址规划（东莞供电局分册）》、《广东电力调度数据网业务段IP地址使用说明-地区供电局部分》、《广东电力调度数据网业务段IP地址使用说明-220kV变电站部分》、《广东电网电力二次系统安全防护项目之设备命名指导意见》、《地区供电局电力二次系统安全防护项目之安全策略配置指南》。

3.2实时/非实时业务段地址分配要求

220kV变电站实时/非实时业务IP地址空间为1/X个C；

在控制区或非控制区互联交换机上，将实时/非实时业务IP地址分别平均划分给2个VLAN，地址按从小到大，每X个地址为一个段，第1段分给VLANXXX，第2段分给VLAN YYY；

VLANXXX和VLANYYY分别用于控制区内不同类别业务系统接入调度数据网的实时VPN，VLAN X’X’X’和VLAN Y’Y’Y’分别用非于控制区内不同类别业务系统接入调度数据网的实时VPN，控制区与非控制区分别固定四个VLAN地址作为的横向互联、纵向互联（指与调度数据网实时VPN互联）；各VLAN 第1个可用地址用作网关地址。VLANYYY最后1个可用地址用作 PE 路由器的互联地址，倒数第2个用作纵向加密认证装置管理地址。VLANXXX的最后1个可用地址用于Ⅰ，Ⅱ区的横向互联防火墙的内网口地址。

3.3设备互联端口规划

（说明：基于网络安全考虑关键端口信息用FAX、ETHX替代，各地根据安防要求进行划分）

3.4控区与非控区的配置要求

交换机上采用静态路由配置；交换机上不允许配置默认路由；交换机指向地调、中调主调、中调备调与站内业务相关的实时业务段地址的路由配置应以业务所在VLAN的地址段为单位；交换机上各VLAN的访问控制策略（ACL）主要用于交换机上各接入业务系统间的访问控制。VLAN上的访问控制策略配置可使用黑名单方式，即禁止交换机上与本VLAN无通信关系的其它VLAN地址段对本VLAN业务系统的访问，策略最后允许交换机上设置的其它路由可达地址访问本VLAN；同一VLAN上的不同业务系统可采用PVLAN进行隔离。

二次安防策略方案属于保密信息，在此不作详细论述，仅做基本要求阐述。综自改造工程，安防策略方案的编制可以沿用原来旧的二次安防实施方案，只需要在改基础上修改相关业务的IP地址及现场新增或变化部分，二次安防技改工作的实施必须依照安防方案进行落实。

4. 业务部门沟通联系

开展二次安防业务迁改时需在系统上填报两张oms联络单；由部门专责发送，一张发送至地调由地调转发至中调自动化部门；一张发送至中调网安部门；联络单上包含计划工作时间段、涉及的相关设备及业务、工作负责人联系方式等。在确定迁改时间后需联系通信专业，开通新的通信业务端口（部分地市局会要求沿用原来的端口）。在实际对业务进行硬件转接前，应通过电话或其它方式申请开工，并联络地调自动化班调试人员、中调自动化班调试人员，网安值班室、调试开始与结束申请全站停电检修牌挂拆与数据准确性核对；计量中心调试人员核实计量业务数据链路完整性。安稳子站工作人员在站内调试完成后对该站安稳装置进行数据召唤，检查相关数据质量可靠性。值班人员对调度发令系统、OA、内网办公电脑进行网络连接检查。

完成所有业务迁移后应对站内相关业务数据进全面召唤与核对，确认无误后拆除全站停电检修牌和电话通知调度与网安工作结束。

本文通过对220kV景湖站二次安防系统技术改造过程及关注要点进行阐述说明，从改造实例中得到一些启示：改造准备工作需准备充分，相关业务受影响单位需提前联系沟通。二次安防新旧迁改，在技术层面上来说并不难，主要关卡点实施人员对相关要求不熟悉、业务涉及不同专业不同地域不同管理层级，需要逐个提前联系沟通协调。实际业务迁改过程时间是相对紧张，很多工作如立屏、设备通电、线缆敷设等都需提前完成。希望本文简述能够给同业在安防业务迁改过程中提供有力的参考。

徐文辉、卢迪勇对本文的修改提供了宝贵意见，谨此致谢。

参考资料：

《电力监控系统安全防护规定》

《南方电网电力二次系统安全防护技术实施规范》

《广东电力调度数据网业务段IP地址使用说明-220kV变电站部分》

《地区供电局电力二次系统安全防护项目之安全策略配置指南》