新一代FES培训
- 1. 新一代配电主站系统 前置功能介绍 国电南瑞科技股份有限公司 1
- 2. 提纲341故障录波数据前置系统架构安全防护22数据采集3
- 3. 系统数据流
- 4. 前置软件架构FES 应用只处理变电站的数据。 DFES应用只处理配电终端的数据。
- 5. 前置建模前置配置表、通道表、规约表等都是FES专用。 配网前置配置表、配网通道表、配网规约表等为DFES应用专用。
- 6. 调试子系统对比
- 7. 红图应用下终端调试
- 8. 提纲341故障录波数据前置系统架构安全防护82数据采集3
- 9. 边界安全防护边界类型边界描述B1:生产控制大区横向域边界配电自动化主站生产控制大区应用与本级调度自动化系统之间边界B2:大区边界配电自动化主站生产控制大区应用与主站管理信息大区应用之间边界B3:配电自动化主站生产控制大区应用与安全接入区边界配电终端采用任一通信方式接入配电自动化生产控制大区应用时,应设立安全接入区,生产控制大区应用与安全接入区边界B4:安全接入区与通信网络边界安全接入区与通信网络边界B5:信息内网与通信网络边界“二遥”配电终端接入配电自动化主站管理信息大区应用时,主站管理信息大区应用与通信网络的边界B6:配电终端 B7:信息内网横向域边界配电自动化主站管理信息大区应用与其他相关系统边界配电自动化系统边界划分示意图
- 10. 边界安全防护【边界安全防护】 配电自动化主站生产控制大区系统与调度自动化系统(EMS)之间部署正、反向隔离装置; 配电主站通过E文件的方式获取主网模型及数据。B1: I区主站与EMS之间的防护 配电自动化生产控制大区主站系统(I区)与管理信息大区主站系统(III区)之间应当部署部署正、反向隔离装置。 配电主站通过平台的跨区数据传输服务,实现系统内部I区和III区之间的数据及图模交互。 B2: I区与III区主站之间的防护
- 11. 边界安全防护 配电自动化生产控制大区主站系统(I区)与安全接入区之间部署正、反向隔离装置。 安全接入区通信采集服务器将终端上送报文转换成文件,通过反向隔离装置实时发送给I区的前置服务器。 B3: I区主站与安全接入区之间的防护 安全接入区与通信网络之间的边界,部署安全接入网关。 安全接入网关与配电终端之间通过密钥协商机制实现双向身份认证,保证通信链路的安全性。B4:安全接入区与通信网络之间的防护
- 12. 在管理信息大区,配电主站与不同等级安全域之间的边界,采用硬件防火墙等设备实现横向域间安全防护。 硬件防火墙实现配电主站III区与其他系统之间的通信安全,对上层应用完全透明B7: III区与其他系统之间的防护 在管理信息大区,配电自动化主站与配电终端通信应采用硬件防火墙、数据隔离组件和配电加密认证装置进行防护。 硬件防火墙、数据隔离组件保证信息内网的安全,对上层应用完全透明。B5:信息内网与通信网络之间的防护边界安全防护
- 13. 内部安全防护—生产控制大区利用安全芯片实现终端与主站系统之间的双向身份鉴别,对来自主站的控制命令、参数设置和远程升级采取安全鉴别和数据完整性验证措施。对存量配电终端进行升级改造,可通过在终端外串接内嵌安全芯片的配电加密盒。内嵌安全芯片,采用国产商用密码算法在配电终端和配电安全接入网关之间建立VPN通道,实现通信链路的双向身份认证和数据加密。配电终端和主站之间交互报文的业务数据采用基于国产对称密码算法的加密措施,确保数据的保密性和完整性。终端内嵌安全芯片,实现通信链路保护、身份认证、业务数据加密。4231接入生产控制大区的配电终端
- 14. 主站终端双向身份认证 在终端和主站之间建立链路后,应用数据传输之前,需要进行双向身份认证。身份认证由主站发起,终端被动响应。1)主站从配电加密认证装置(密码机)取主站随机数R1,发送给终端;2)终端从安全芯片取终端随机数R2,将R1+R2签名后发送给主站;3)主站用终端证书验证签名,验证通过完成主站对终端的身份;之后主站对终端随机数R2签名,将结果发送终端;4)终端验证主站签名的正确性,验证通过完成终端对主站的身份认证
- 15. 采用国密标准要求的SM2密钥协商机制实现配电安全接入网关和终端之间的密钥协商,同时实现双向身份认证。对上层应用完全透明。 配电主站同步终端数字证书到安全接入网关。内部安全防护—安全接入区
- 16. 数字证书同步
- 17. 内部安全防护—管理信息大区方案一:采用“硬件防火墙+数据隔离组件+配电加密认证装置”硬件防火墙。采取访问控制措施,对应用层数据流进行监视和控制。 数据隔离组件。提供双向访问控制、网络安全隔离、内网资源保护、数据交换管理、数据过滤等功能,实现边界安全隔离,防止非法链接穿透内网。 配电加密认证装置。对远程参数设置、版本升级进行签名,与终端业务数据采用对称加密操作。
- 18. 内部安全防护—管理信息大区方案二:采用“硬件防火墙+安全接入平台+配电加密认证装置”硬件防火墙。采取访问控制措施,对应用层数据流进行监视和控制。 安全接入平台。主要包括安全接入网关和数据隔离组件,对外统一提供“安全通道、身份认证、安全接入、访问控制、数据交换”等核心功能。 配电加密认证装置。对远程参数设置、版本升级进行签名,与终端业务数据采用对称加密操作。
- 19. 安全接入网关
- 20. 提纲341故障录波数据前置系统架构安全防护202数据采集3
- 21. 配电主站与EMS信息交换—业务需求图模信息交互:高压配电网图模信息,包括模型、图形及一次设备参数; 实时数据:出线开关的量测数据、状态信息及保护信号。 遥控:通过EMS系统,对变电站10kV出线开关进行控分/控合操作 操作数:主要包括调度挂牌、置位、置数、封锁等,以保证两个系统操作数据的同步,支持配调/主调日常业务。
- 22. 配电主站与EMS信息交换—硬件框架在EMS侧和DAS侧各增加接口服务器,分别接入两侧的主干网交换机与其他服务器共用。 电网调度控制系统接口服务器正向隔离反向隔离接口服务器DAS侧EMS侧配电自动化主站系统系统主干网交换机主干网交换机
- 23. 配电主站与EMS信息交换—软件框架与其他服务器共用。
- 24. 配电数据采集架构—数据流
- 25. 数据采集架构—多种类型数据采集前置应用可以处理“三遥”实时数据、环境/视频信息、故障录波数据等,不同类型的数据独立处理,互不影响。【多种类型数据采集】
- 26. 数据采集架构—分布式数据采集将整个一体化系统的前置部分划分成若干个前置子系统,每个前置子系统都有自己独立运行的前置服务器和采集设备,只处理自己管辖的配电终端,在前置子系统内数据采集仍然采用负载均衡的技术,保证数据处理的可靠和高效。【分布式数据采集】
- 27. 公网前置—硬件架构SCADA 服务器PAS 服务器公网前置子系统工作站商用数据库服务器应用服务器WEB 子系统数据采集与 通讯子系统安全接入区安全区Ⅲ安全区Ⅰ移动网络ABCD配电 终端配电 终端….
- 28. 公网前置—数据流
- 29. 新一代公网前置—实现方式通信采集服务器上无需安装商用库、实时库,不依赖平台,只运行通信相关的几个进程。通信采集服务器直接接收配电终端的实时报文,并以文本文件的格式通过反向物理隔离装置传入安全一区;安全一区解析文件还原成终端报文进行处理。
- 30. 提纲341故障录波数据前置系统架构安全防护302数据采集3
- 31. 故障录波—概述
- 32. 配电线路故障采集装置采集单元 —采集线路三相负荷、电流相电场强度、故障电流等。 采集主供电源、后备电源等状态信息。 故障电流报警 采集单元具备故障录波功能
- 33. 配电线路故障采集装置汇集单元 支持数据定时上送、负荷越限上送、重载上送和主动召测。 能将3只采集单元上送的故障信息或波形(并标注时间参数合成为一个波形文件)上送给主站。
- 34. 故障录波文件传输 录波启动条件有:过流故障、单相接地故障、过电压等,当上述启动条件中任何一个条件发生时,启动录波。 录波采用文件传输方式,录波文件格式遵循Comtrade 1999标准中定义的格式,采用CFG(配置文件)和DAT(数据文件)两个文件,并且采用二进制格式。
- 35. 故障录波文件召唤
- 36. 波形展示点击录波图标展示监测点的历史录
- 37. 衷心感谢各位领导 敬请批评指正!37
该用户的其他文档