国网喀什供电公司 新疆 喀什 844000
摘要:随着电网的不断发展,对变电站监控数据的精度也越来越高,本文从监控调试工作入手,争取在调试过程中能及时发现问题所在,便于故障的及时处理。以此来为我们的调度监控工作打下坚实的基础,保障了电网的安全稳定运行。
关键词:电网调度;监控数据;调试指南
智能电网,所包涵内容较多,配电、发电、用电、变电、输电和调度等一系列环节,是实施新的能源战略和优化能源资源配置的重要平台。本文以南瑞OPEN3000系统为平台来进行操作方法的讲解,由于220kV和110kV站点的通道数量及调试方式不一致,我们将遥测、遥信和遥控分别进行了对比,来讲解220kV、110kV站点调试过程中的相同及相异情况。
1 220kV和110kV变电站遥测、遥信调试指南
220kV和110kV变电站遥测、遥信调试步骤一致,主要是核对多个通道的数据是否一致,操作步骤如下:a)在前置通道工况图上,右键点击调试厂站的第一个通道标志,选择实时数据显示。b)在弹出的实时数据显示界面上,双击调试厂站名称。c)点击遥测按钮后,再在差异栏内填5%,最后再点击望远镜图标。d)调试遥信信号,与遥测信号调试过程一致。查看几个通道的遥信位置是否一致即可。
2 220kV变电站遥控调试指南
220kV变电站共有地调接入网104通道、省调接入网104通道、101通道共三个远动通道。在做遥控调试的过程中,需要对这三个通道分别进行遥控调试,特别要注意地调接入网104通道、省调接入网104通道需做两遍遥控调试,方可确保遥控调试完成。调试步骤如下:a)通知厂站端人员,将#2远动机的网线拔掉。这时候可以将鼠标放置在前置通道工况图上对应的通道按钮上,查看相应厂站的地调接入网104通道、省调接入网104通道是否均运行在#1远动机上。注意看到红色框提示。显示当前使用网络一,表示厂站通道运行在#1远动机上。b)在前置通道工况图上,右键点击调试厂站的第一个通道标志,选择通道人工控制c)点击封锁值班按钮,再点击确认,将周家岭地调接入网104通道封锁值班。d)做完地调接入网104通道遥控调试后,再在通道人工控制界面上,点击解除封锁值班备用按钮,解除周家岭地调接入网104通道封锁值班。e)将省调接入网104通道封锁值班,再次做全站的遥控调试。f)通知厂站端人员,将#1远动机的网线拔掉,#2远动机的网线恢复。这时候可以将鼠标放置在前置通道工况图上对应的通道按钮上,查看地调接入网104通道、省调接入网104通道是否均运行在#2远动机上。注意看到红色框提示。显示当前使用网络二,表示厂站通道运行在#2远动机上。g)然后依次做地调接入网104通道、省调接入网104通道的遥控调试。调试完成后,提示厂站端人员将#1、#2远动机的网线恢复。h)将地调接入网104通道、省调接入网104通道解除封锁值班,101通道封锁值班,再次做全站的遥控调试。i)101通道遥控调试完成后,将101通道解除封锁值班。220kV变电站的遥控调试完成。记得再次检查地调接入网104通道、省调接入网104通道、101通道是否均已解除封锁值班。
3 110kV变电站遥控调试指南
110kV变电站有104通道和101通道共两个远动通道,遥控的操作步骤如下:a)通知厂站端人员,将#2远动机的网线拔掉。查看厂站通道是否运行#1远动机上。b)将104通道封锁值班,做全站的遥控调试。c)遥控调试做完后,通知厂站端人员,将#1远动机的网线拔掉、#2远动机的网线恢复。查看厂站通道是否运行在#2远动机上。d)再次做全站的遥控调试。e)遥控调试完成后,通知厂站端人员将#1、#2远动机的网线恢复。f)将104通道解除封锁值班,101通道封锁值班,做101通道的遥控调试。g)101通道遥控调试完成后,将101通道解除封锁值班。110kV变电站的遥控调试完成。记得104通道、101通道是否均已解除封锁值班。特别强调:在所有通道的遥控调试完成后,记住检查所有通道是否解除了封锁值班!!!
4 变电站监控系统接入调度数据网的调试异常处理
4.1原因分析
该变电站监控系统经二次安防设备接入调度数据网时,通道数据经常运行一会儿就出现中断,无法与主站进行通讯。经核查,该通道正常,但报文数据(使用IEC-104规约)异常,在没接防火墙时一切正常,接入防火墙后导致访问不正常。针对此现象只有从报文结构和该加密机和防火墙进行原因分析。
IP报头校验和只跟IP报头有关,跟IP封装的数据无关,因此,如果原文中的描述的“收到报文是否进行校验和检查”是指IP报头检验和的话,那么应该不会存在校验和错误而被防火墙丢弃的问题,如果是指TCP校验和或UDP检验和的话,那么,每个来自于加密机的报文其TCP或UDP校验和都是错误的(因为多了33字节),因此防火墙肯定会直接丢弃这个报文,根本不存在文档中描述的在防火墙转发接口抓到1460字节数据包的情况;防火墙不对收到的报文进行校验和计算,那么这个报文才会进入防火墙的内核处理流程,因为来自于加密机的报文是IP分片报文,因此防火墙会对此分片报文进行处理(选择直接转发分片报文还是重组后匹配策略再转发),如果防火墙直接转发,则没什么问题,如果是重组转发,这里就存在一个问题:防火墙能否完成这个报文的重组?因为IP分片的重组是根据IP报头中的相关信息来完成的,其中非常重要的一个参数就是分片偏离量,这个值决定了分片报文在原始报文中的位置,而在这个故障环境下,每个报文都被加密机在尾部添加了只有加密机能够识别的特征码,防火墙并不能识别,那么防火墙在重组这些报文的时候,如何处理正常分片报文跟前一分片报文尾部添加的33字节部分的重叠呢?这是值得思考的。如是覆盖33字节的尾部识别码,则到达对端加密机后,加密机会丢弃这个报文。
在做加密处理时,TCP头和IP头都不做加密,只对数据区做加密,通过在加密机的抓包,发现加密机把所有MTU大于1300的数据包做了分片处理,并且在所有包的末尾加入自己的N字节加密识别码,这样从加密机发出的数据包MTU值最大1333,对于大于1333的报文(如1460)的数据包加密机都是分2个包进行传送,在没接防火墙时一切正常,接入防火墙后导致访问不正常;变电站在访问主站服务器时,服务器回应的MTU值1460数据包被服务器端加密机拆成2个包(第一个包1300),并在每个包的末尾加入33位,而防火墙在接收时将两个包合并转发,具体表现为防火墙接收口(接服务器端加密机)收到的报文数据长度是1333,而转发口(接客户端加密机)转发的报文数据长度是1460,这样客户端加密机就认为加密数据被篡改,导致VPN加密通讯错误。
4.2解决办法
(1)由于加密机的特殊性,所以加密封包后的数据在通过防火墙时,会被认为是错误报文,解决方法:将防火墙“选项设置”---“安全设备系统参数”---“系统参数开关”下的“收到报文进行是否效验和检查”选项取消,如图1所示。
(2)加密机对大于1300的数据包做分片处理,到防火墙时,发现数据是分片包,防火墙又给重组后转发,导致对端加密机认为数据被篡改,不再对该数据包做解密处理。解决方法:启用防火墙中的分片处理,将经过防火墙的数据都不做分片重组处理。经过以上处理,该现象彻底消失,变电站监控系统接入调度数据网通道数据正常。
5结语
综上所述,智能电网调度技术支持系统已成为保证电网安全运行的基础和重要工具。随着该系统逐渐发展并趋于成熟,必将更好的保障电网的安全稳定运行,减少运行风险,更好的为人类的生产和生活提供服务。
参考文献:
[1]李碧君.基于智能电网调度技术支持系统的电网运行安全风险在线防控[J].华东电力,2018,42(6):1057—1063.
[2]叶飞.智能电网调度技术支持系统值班告警的研发与应用[J].电网技术,2018,08:2286—2290.