《站内电站电力二次系统防护实施计划方案》由会员分享,可在线阅读,更多相关《站内电站电力二次系统防护实施计划方案(28页珍藏版)》请在金锄头文库上搜索。
1、 35kV聚能雪丰德令哈40MWp光伏电站电力二次系统防护实施方案调度审核: 批 准: 审 核: 编 写: 德令哈聚能电力新能源有限公司(盖章) 2016年05月20日目 录一、前言3二、系统简介3三、二次系统安全防护总体原则51.安全防护目标52.相关的安全法规53.系统安全防护策略54.本站安全区的划分65.网络安全防护76.安全区之间的隔离77.纵向传输的安全防护8四、实施方案91.站内二次系统整体的网络拓扑图92.综合自动化系统网络拓扑图103.AGC/AVC控制系统网络拓扑图114.光功率预测系统网络拓扑图125.调度数据网网络拓扑图136.D5000信息申报与发布平台网络拓扑图14
2、7.电能量采集器网络拓扑图15五、其他安全措施141.入侵检测142.防病毒143.主机加固144.日常安全管理制度145.安全防护培训工作错误!未定义书签。六、安全防护设备清单15附件:二次系统安全防护应急处置预案错误!未定义书签。一、前言为了认真贯彻落实国家能源局关于引发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知(国能安全【2015】36号)、国家发改委2014年第14号令电力监控系统安全防护规定等有关文件的精神,确保电网安全、优质、稳定运行,根据本站二次系统和网络实际情况,结合电力二次系统安全防护相关文件要求,特制定本实施方案。二、系统简介本站二次系统主要包括:综合自动化
3、系统、数据传输系统、光功率预测系统、AGC/AVC控制系统、D5000信息申报与发布平台、电能量采集装置等 1.综合自动化系统本站综合自动化系统采用南瑞科技的NP3020M3站端监控系统,对电站的并网状态、有功/无功功率、站内一次及二次配电网络状态等进行实时监控,了解电站内各电气设备的运行情况及状态,并实时与省、地调自动化主站系统进行数据传输。 2.调度数据网本站调度数据包含1台路由器、2台纵向加密认证装置、2台交换机,是电力安全生产指挥和调度自动化系统的重要组成部分,传输电力生产信息的网络,负责将站内实时业务、非实时业务通过明文或密文方式与省、地调自动化主站系统进行信息交互。3.光功率预测系
4、统本站光功率预测系统是以高精度数值气象预报为基础,搭建完备的数据库系统,利用网络通讯接口采集电站综自系统、气象站数据进行建模,对光伏电站进行功率预测,为调度端提供可靠的数据分析,其应用能有效降低光伏接入对电网的不利影响,提高电网运行的安全性和稳定性。 4.AGC/AVC控制系统AGC控制系统能有效维持系统运行频率,保证发电出力与负荷平衡。AVC系统是电网电压无功优化系统中分级控制的电压控制实现手段,通过针对负荷波动和突然的电压变化迅速动作来实现电压控制,保证向电网输送合格的电压和满足系统需求的无功。本站AGC/AVC控制系统能自动接收调度端下发的有功功率限制指令、电压(无功)目标指令,并通过自
5、动闭环调节站内逆变器、SVC、SVG等设备的有功/无功出力,实时跟踪调度端下发的指令。5.D5000信息申报与发布平台D5000信息申报与发布平台用于电力调度与新能源电站之间进行信息发布、数据申报等,基于调度数据网非实时业务通道的一个信息传送平台。6. 电能量采集装置电能量采集器是一种用于采集、存储和转送电站关口表采集和生成的计量计费信息的装置。装置通过与电度表通信,收集电度表采集和生成的计量计费信息。采集器通过调度数据网非实时业务与计量计费主系统通信,上报所采集和生成的的计量计费信息。三、二次系统安全防护总体原则1.安全防护目标二次系统安全防护的重点是确保电力监控系统及调度数据网络的安全,目
6、标是抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起恶意破坏和共计,特别是能够抵御集团式攻击,防止由此导致的一次系统事故、大面积停电事故及二次系统的崩溃或瘫痪。发电厂安全防护的重要措施是强化发电厂二次系统的边界防护。2.相关的安全法规国家能源局关于引发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知(国能安全【2015】36号)、国家发改委2014年第14号令电力监控系统安全防护规定等3.系统安全防护策略安全分区:分区防护,突出重点。根据二次系统中的业务的重要性和对一次系统的影响程度进行分区,所有系统必须置于相应的安全区内,对实时控制系统等关键业务采用认证、加密等技术实施重点
7、保护。网络专用:建立专用的电力数据网络,采用青海电力调度数据网,实现与其他数据网络的物理隔离,在技术手段上形成实时、非实时相互隔离的子网。保障上下级各安全区的纵向互联在相同安全区进行,避免安全区纵向交叉。横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,即安全I区与安全II区之间采用逻辑隔离;安全I、II与安全III区之间隔离水平必须接近物理隔离。纵向认证:采用认证、加密、访问控制等手段实现数据的安全传输以及纵向边界的安全防护。安全I、II区的纵向边界应部署IP认证加密装置;安全III区的纵向边界应该部署硬件防火墙。4.本站安全区的划分序号业务系统安全I区安全II区管理信
8、息大区(安全III和IV区)1综合自动化系统2综合自动化防误系统3AGC/AVC控制系统4光功率预测系统5电能量采集装置6D5000信息申报与发布平台7天气预报系统5.网络安全防护(1)网络路由防护:按照电力调度管理体系及数据网络技术规范,采用虚拟专网技术,将电力调度网分割为逻辑上相对独立的实时子网和非实时子网,分别对应控制业务和非控制业务,保证实时业务的封闭性和高等级的网络服务质量。(2)网络边界防护:采用严格的接入控制措施,确保业务系统接入的可信性,没有经过授权的节点不允许接入电力调度数据网。各监控系统数据网络与业务系统边界采取必要的措施对访问进行控制。生产控制区的广域网边界防护在为本系统
9、提供一个网络屏障的同时,也为上下级控制系统之间的广域网通信提供认证和加密服务,实现数据传输的机密性、完整性保护。在为本地安全区与安全区提供一个网络屏障的同时,也为上下级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。(3)网络设备的安全配置:安全配置包括关闭或限定网络服务、避免使用默认路由、关闭网络边界OSPF路由功能、采用安全增强的SNMPV2及以上版本的网管协议、设置受信任的网络地址范围、记录设备日志、设置高强度的密码、开启访问控制列表、密闭空间的网络端口等。6.安全区之间的隔离根据电力二次系统安全防护的相关规定,控制大区和管理信息大区之间的信息必须采用专用的
10、近似于物理隔离,并且经过国家相关机构的检测的专用的横向隔离装置,本站在控制大区与管理信息大区之间配置满足要求的型号为Syskeeper2000的反向隔离装置。安全I区与安全II区之间必须实现逻辑隔离,为保证隔离的有效性,本站配置了一台华为生产的型号为USG2220BSR的防火墙用于安全I区和安全II区之间的信息交互。为了有效杜绝非法人员通过Internet网经天气预报系统侵入电力控制系统,从而窃取电力系统机密数据或非法控制电力设备,故在Internet网与天气预报系统之间加装一台华为公司生产的型号为USG2220BSR的防火墙用于隔离非法的IP、ARP欺骗等网络攻击行为。7.纵向传输的安全防护
11、为做好电力信息传输的安全控制,电站电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区,配置2台SJW07-A型电力专用纵向加密认证网关,分别用于连接安全I区和安全II区。四、实施方案1.站内二次系统整体的网络拓扑图2. 综合自动化系统网络拓扑图 功能:对电站的并网状态、有功/无功功率、站内一次及二次配电网络状态等进行实时监控,了解电站内各电气设备的运行情况及状态,并实时与省、地调自动化主站系统进行数据传输3、AGC/AVCA系统网络拓扑图功能:自动接收调度端下发的有功功率限制指令、电压(无功)目标指令,并通过自动闭环调节站内逆变器、SVC、SVG等设备的有功/无功出力
12、,实时跟踪调度端下发的指令。 4.光功率预测系统网络拓扑图功能:本站光功率预测系统是以高精度数值气象预报为基础,搭建完备的数据库系统,利用各种通讯接口采集电站综自系统、气象站数据进行建模,对光伏电站进行功率预测,为调度端提供可靠的数据分析,其应用能有效降低光伏接入对电网的不利影响,提高电网运行的安全性和稳定性。5. 调度数据网拓扑图功能:负责将站内实时业务、非实时业务通过明文或密文方式与省、地调自动化主站系统进行信息交互。 6.信息申报与发布平台拓扑图功能:接收调度下发的发电计划曲线、通知及数据上报的平台。 7、电量采集器系统拓扑图 功能:用于采集、存储和转送电站关口表采集和生成的计量计费信息
13、 5、 其他安全措施1.入侵检测 站内暂未配置入侵检测设备。2.防病毒(1)后台监控、AGC/AVC控制监视主机、光功率预测计算机、信息申报与发布工作站采用LINUX操作系统,并配置相应的安全防护策略。3.主机加固(1)关闭了telnet、FTP、WEB、远程桌面等不安全的远程管理方式。(2)开启了系统审计功能,设置了符合强度要求的登陆密码。(3)对站内计算机设备的光驱、无用的USB端口、无用的交换机网口等进行了封闭,粘贴了封条。(4)对于三层交换机根据实际应用情况绑定了MAC地址。4.日常安全管理制度根据电站二次系统工作需要,现已编制并实施移动存储介质管理制度、二次安防运行管理规定、二次系统
14、厂商管理规定、二次系统厂商合规性承诺书及保密协议书等。5.安全防护培训工作根据站内运维实际,在电站调试期间,电站安排专人配合厂家技术人员开展电力二次系统安全防护设备的接线、调试等功能。电站投运后电站将结合技术培训、安全学习等机会开展二次系统安全防护理论知识的学习,每年结合设备检修、维护等机会邀请厂家技术人员开展一次电力二次系统安全防护知识培训。站内电力二次系统安全防护的维护采用专人负责制,并和全站其余人员形成互备,确保每值至少有一人能维护和处理电力二次系统安全防护设备基本故障。六、安全防护设备清单序号设备名称型号厂家数量用途1防火墙Usg2220BSR华为1天气预报系统连接Internet网2防火墙Usg2220BSR华为1光功率预测系统至安全I区综合自动化系统采集数据3反向隔离Syskeeper2000南瑞2天气预报系统至光功率预测系统数据传输4纵向加密装置SJW07-A鸿瑞1安全I区纵向边界5纵向加密装置SJW07-A鸿瑞1安全II区纵向边界6路由器MSR3640华三通信1调度数据网7交换机5120-28SC-HI
