《渑池电厂电力二次系统安全防护方案》由会员分享,可在线阅读,更多相关《渑池电厂电力二次系统安全防护方案(21页珍藏版)》请在金锄头文库上搜索。
1、-华能渑池热电*公司电力二次系统平安防护方案报告人:杨新旭*雷企业简介:华能渑池电厂装机容量700MW,装机容量为2350MW超临界机组,1号机于2016年12月02日投产发电,2号机于2016年12月25日投产发电;渑池电厂以2回220kv线路砥柱变I线和砥柱变II线接入电网。二次系统平安分区及防护目标1.1 二次系统平安分区华能渑池热电*公司平安二次系统分为两个大区:生产控制大区和管理信息大区。生产控制大区1平安区I:实时控制区平安区I的典型系统包括机组DCS、烟气脱硫DCS、电气网络控制系统ECMS、PMU、NCS、实时平衡调度系统。控制区内的1、2机组控制系统DCS、辅网DCS、网络监
2、控系统NCS以及非控制区电能量采集装置通过防火墙和接口机与厂级监控信息系统SIS相连,以向SIS中传送数据。相量测量装置PMU、远动装置RTU,无功调压装置AVC通过五类双绞线与调度数据网相连,接入实时子网VPN1;继电保护及故障信息管理子站、电能量采集装置、实时调度系统通过五类双绞线与调度数据网相连,接入非实时子网VPN2。渑池电厂1、2机励磁系统、继电保护装置是不存在外部网络联系的孤立的业务系统,不存在平安防护的问题。平安区I是电力二次系统中最重要的系统,平安等级最高,是平安防护的重点与核心。2平安区II:非实时控制生产区平安区II的系统包括厂级监控系统SIS含核心交换机以及各应用效劳器、
3、保护及故障录波信息子站系统、电能量计量系统、烟气脱硫系统等。平安区II的SIS系统需采集平安区I的DCS、TDM、ECMS等系统的信息。管理信息大区平安区III业务系统或功能模式的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,该区包括管理信息系统MIS、办公自动化系统OA客户效劳、辅助报价决策系统等。该区的外部通信边界为发电企业的广域网络及因特网。1.2 二次系统平安防护部署方案遵照国家经贸委第30号令电网和电厂计算机监控系统及调度数据网络平安防护的规定以及国家电力监管委员会200634号文件印发的电力二次系统平安防护总体方案等平安防护方案及招标文件的要求。二次系统平安防护
4、可分为电厂内平安区域间的横向防护以及广域网边界纵向防护两局部。1.3 .横向平安防护二次系统平安防护工程横向平安防护整体部署拓扑图如图1-1所示。. z.-图1-1 渑池电厂二次系统横向平安防护部署拓扑图. z.-1.4 硬件设备部署:1) 平安I区与平安II区在厂站端、区之间部署1台防火墙用于平安区和平安区之间的逻辑隔离如图1-2所示。图1-2 渑池电厂平安区I和II之间的平安防护部署图通过以下方式保护网络:1) 为防火墙配置适当的网络访问规则,可以防止不同平安区之间的未经授权访问;2) 通过对网络流量的流量模式进展整型和效劳质量保证措施,保证网络应用的可用性和可靠性;3) 可以根据时间定义
5、防火墙的平安规则,满足网络在不同时间有不同平安需求的现实需要;4) 可以提供用户认证机制,使网络访问规则和用户直接联系起来,平安更为有效和针对性;5) 对网络攻击进展检测,可与专业IDS系统共同组建一个多级网络检测体系。目前新型状态检测的防火墙有效的解决并改善了传统防火墙产品在性能及功能上存在的缺陷,状态检测防火墙具有更高的平安性、系统稳定性、更加显著的功能特性和优异的网络性能,同时具有广泛的适应能力。在不损失网络性能的同时,能够实现网络平安策略的准确制定与执行,同时有效地抵御来自非可信任网络的攻击,并具有对防火墙系统平安性能的诊断功能。其内置的入侵检测系统,可以自动识别黑客的入侵,并对其采取
6、确切的响应措施,有效保护网络的平安,同时使防火墙系统具备无可匹敌的平安稳定性。2) 平安I区/II区与平安III区控制区、非控制区和管理信息大区之间采用电力系统专用平安隔离装置隔离,每个区内使用各自区内的横向互联交换机连接各应用系统网段,同一区内不同业务用不同的虚拟局域网分割,如图3-3所示。图3-3 平安区I/II与III区之间的平安防护部署图正向隔离装置应用专用平安隔离装置正向单bit用于从平安区I/II到平安区III传递数据,是平安区I/II到平安区III的唯一一个数据传递途径。3网络三层交换机的部署在平安I、II、区需布署一台交换机用于各区内设备的组网,统一I、II、III区业务的对外
7、联系和接口。4纵向认证加密装置的部署纵向认证加密装置用于实时控制区的广域网边界防护,实现本地包过滤功能以及广域网通信提供认证与加密功能,保证数据传输的*性、完整性。工控机的部署在平安区内布署一台工控机,并将其通过区的非实时网段交换机接入到电力专用横向正向隔离装置的内网口,用于读取和上传电力专用横向正向隔离装置的日志信息。6通信网关机的部署在平安I区、平安II区、平安III区内各部署一台通信网关机,做为实现平安I区、平安II区与平安III区之间通过物理隔离装置的文件传输的平台7入侵防御装置的部署在平安I区部署一套IPS入侵防御系统。IPS探头主要部署在平安I区的边界点。1.5 软件部署:1、跨正
8、向物理隔离装置平安传输软件的部署原站长管理工作站由于经过防火墙、电力专用横向正向隔离装置后,无法接收来自平安I区的监控系统数据,因此要在工控机上安装跨物理隔离装置平安文件传输软件IT-SFTP的发送端和接收端,用于现有系统数据交换的应用改造,以适应加装电力专用横向正向隔离装置后的文件传输。2)电力专用横向正向隔离装置日志收集及上传软件为了解设备本身运行工作状态是否正常等信息,一旦发现问题,应该对问题的内容及处理结果有所记录,因此需在工控机上配置电力专用横向正向隔离装置日志收集及上传软件,以便于实施监控正向隔离设备的运行情况。3电力专用横向正向隔离装置日志信息接入主站监视系统目前调度主站端已经建
9、立了一套网络平安产品集中监视管理系统,用于集中展现电力专用横向正向隔离装置的运行工况、配置信息、日志信息、报警信息等并加以综合利用,以便于系统维护,保证系统平安稳定运行。 4杀毒软件部署在平安III区的工作站上平安瑞星杀毒软件,针对网络中所有可能的病毒攻击点设置全方位、多层次的防毒系统配置,使企业网络免受病毒的入侵和危害。设备屏柜的部署:本期电厂配备1面二次系统平安防护屏,保护故障信息子站屏内安装1台防火墙,调度数据专网的2面屏内安装4台电力专用纵向加密认证装置等其他。1.6 纵向平安防护1调度数据网平安防护的部署如图3-4 所示:图3-1 电厂二次系统纵向平安防护部署拓扑图在厂站端平安I区、
10、II区调度数据网交换机和路由器之间分别部署2台纵向加密装置用于平安I区、II区与上级调度系统纵向边界上平安防护。采用东方京海公司的DF-FW 100系列防火墙。将防火墙放置在非实时区纵向边界处,这样可以通过以下方式保护网络:1.为防火墙配置适当的网络访问规则,可以防止不同平安区之间的未经授权访问;2.通过对网络流量的流量模式进展整型和效劳质量保证措施,保证网络应用的可用性和可靠性;3.可以根据时间定义防火墙的平安规则,满足网络在不同时间有不同平安需求的现实需要;4.可以提供用户认证机制,使网络访问规则和用户直接联系起来,平安更为有效和针对性;1.7主要电力监控设备及平安分析1.机组控制系统DC
11、S渑池电厂分散控制系统采用ABB公司基于现场总线技术的Symphony Plus系统,单元机组及辅网各配置一套DCS系统,每套DCS系统控制网络均为平行网络构造。两台机组公用系统设置DCS公用控制网络,通过通讯接口与每台单元机组的通讯总线相连。DCS功能包括数据采集系统(DAS)、模拟量控制系统(MCS)、顺序控制系统(SCS)、锅炉炉膛平安监控系统(FSSS)、电气发变组厂用电控制系统(ECS)。Symphony Plus系统通信网络最上层的通信构造为总线网络。它是符合以太网标准,主要用来构成管理层数据交换的构造,通过通信介质与计算机连接。另一网络层是继续保持INFI-net相关技术的组合平
12、行网络构造。它主要用来进展现场I/O状态采集、过程控制操作、过程及系统报警等管理数据交换的工作。DCS所提供的数据通讯总线是冗余的(包括冗余的总线接口模件)。冗余的数据通讯总线在任何时候都同时工作,通讯总线采用光缆及双绞线。主厂房与远程I/O之间、不同地点交换机间的连接采用冗余铠装光纤。DCS系统与其它控制系统的通讯接口支持RS232C,RS485/422和以太网方式连接,支持TCP/IP、MODBUS、MODBUSPLUS通讯协议。DCS系统所有USB接口实现禁用管理。每套DCS向SIS系统传输实时数据。2.励磁系统渑池电厂励磁系统包含电力系统稳定器PSS、自动电压调节器AVR功能。励磁装置
13、通过屏蔽硬接线与其它设备相连接。励磁系统是不存在外部网络联系的孤立的业务系统。参与无功调节局部与AVC相连,连接方式为硬接线,无网络通信局部。3.远动装置RTU包含AGC、AVC功能渑池电厂远动装置采用*惠安GR90 RTU。远动装置除通过屏蔽硬接线与其它设备相连接外,当地功能设备以太网接口与GR90相连,RTU满足与省调和*地调自动化主站系统进展通信的要求。RTU双主机配置,具有交流采集功能,能采集、转换和处理模拟量、脉冲量、数字量、状态量等信息并向主站传送的功能,还有接收、处理和执行遥控、遥调命令的能力。数据采集、处理及远传功能,满足省调调度自动化总体功能的要求,数据包括开关量、模拟量,对
14、厂内220kV线路、主变高压侧、起备变的断路器、反映系统运行状态的隔离开关和接地刀闸等主要设备的运行状况和参数进展远方监视;远动系统通过DCS系统下发省调有关发电机功率的命令,其与单元控制DCS系统采用信息交换硬接线方式。该装置与调度中心通信,除采用传统的基于专用通道的数据通信外,GR90主模块还接入同属于控制区的调度数据网的实时子网VPN1,进展信息的传送和承受。远动装置*惠安GR90 RTU装置上进展扩展AVC及AGC功能。4.相量测量装置PMU渑池电厂相量测量装置PMU按照电网的统一设计、实施,采用的是*铱控公司VP-EC203同步相量测量装置。其中两个独立的网络接口分别接至两台调度数据
15、网接入设备。本厂功角测量装置接入到省调主站系统,按主站的功能要求提供相关的实时数据、录波数据等。5.继电保护系统220kV线路保护装置分别采用南瑞、四方等公司的保护产品。线路保护装置与保护对象的对端进展保护信息传输采用的通信方式是传统的基于专用通道的数据通信,线路保护装置通过屏蔽硬接线与机组控制系统DCS、远动设备RTU及相应的CT和PT、相关断路器操作回路相连,通过网口与继电保护及故障信息管理子站相连。发变组保护及高备变装置采用的是南瑞继保电气*保护设备,通过屏蔽硬接线与机组控制系统DCS、励磁调节系统AVR、远动设备RTU及相应的CT和PT、相关断路器操作回路相连,通过网口与继电保护及故障信息管理子站相连。厂用电保护装置通过硬接线和屏蔽双绞线串口两种方式与DCS连接,其中硬接线完成遥合遥跳功能,重要保护信号以及电流信号也采用硬接线方式完成,通信串口完成所有信号的上传工作,但通信上传信号不参与各种逻辑判断,仅做为显示使用。保护装置是不存在外部网络联系的孤立的业务系统。6.故障录波装置我厂发变组、高备变故障录波均采用的是浪拜迪故障录波装置。线路故障录波采用*银山的故障录波装置。故障录波装置的管理终
