新型储能丨电网侧大中型电化学储能电站二次安全防护系统设计方案-浙江万里扬能源科技有限公司

研究背景

电化学储能电站电力二次安全防护系统是保证储能电站网络安全的主要方式。依据GB 51048《电化学储能电站设计标准》电力二次安全防护系统设计要求:“接入公共电网的电化学储能电站应进行二次安全防护设计，应满足二次系统安全防护的有关规定”。本文参考南方电网企业标准Q/CSG1204009《中国南方电网电力监控系统安全防护技术规范》进行二次安全防护设计，描述了电网侧大中型电化学储能电站的电力二次安全防护系统的系统总体逻辑结构、设备配置方式及设备主要功能等内容。

安全防护目标

电力二次安全防护主要针对网络系统和基于网络的生产控制系统。安全防护的总体目标是保护电力监控系统及调度数据网络的安全，抵御黑客、病毒、恶意代码等的破坏和攻击，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，防止电力监控系统的崩溃或瘫痪，以及由此造成的电力系统事故或大面积停电事故。建立电力二次系统网络安全防护体系，能在二次系统遭到损害后，迅速恢复主要功能，防止电力二次系统的安全事件引发或导致电力一次系统事故以及大面积停电事故，保障储能电站安全稳定运行。

安全防护原则

二次安全防护设计应当坚持“安全分区、网络专用、横向隔离、纵向认证”的原则，保障电力监控系统和电力调度网络的安全。安全防护原则的实施方式如下。

3.1

安全分区

储能电站二次安全防护系统分为生产控制大区和管理信息大区。

3.1.1生产大区控制

生产控制大区分为控制区（又称安全区I）和非控制区（又称安全区II），生产控制大区是电力监控系统重点防护对象。

控制区是电力监控系统各安全区中安全等级最高的分区，该区中的业务系统与电力调度生产直接相关，有对一次系统的在线监视和闭环控制功能，且具有连续性、实时性的特点以及高安全性、高可靠性和高可用性的要求。该区使用调度数据网络的实时VPN子网或专用通道与异地有关的控制区互联。控制区范围内系统包括调度自动化系统（EMS）、自动发电控制系统（AGC）、自动电压控制系统（AVC）、安稳控制系统、保护信息子站系统、安全自动控制系统、低频低周减载系统等。

非控制区是电力监控系统各安全区中安全等级仅次于控制区的分区。该区的业务系统功能与电力生产直接相关，但不直接参与控制。该区使用调度数据网络的非实时VPN子网或专用通道与异地有关的非控制区互联。非控制区的典型系统包括故障录波系统、在线监测系统、电能量计量系统、电能量采集装置等。

3.1.2管理信息大区

管理信息大区原则上划分为生产管理区（安全区Ⅲ）和管理信息区（安全区Ⅳ）。

生产管理区是电力监控系统各安全区中安全等级次于非控制区的分区。该区中的业务系统与电力调度生产管理工作直接相关。该安全区使用综合数据网与异地有关的生产管理区互联。生产管理区的典型系统包括生产管理系统、视频监控系统等。

管理信息区的业务系统主要用于生产管理和办公自动化。储能电站暂不考虑设置管理信息区。

3.2

网络专用

电化学储能电站采用独立的网络设备组网，在物理层面上实现电力调度数据网与综合业务数据网及外部公共信息网的安全隔离。调度数据网采用MPLS-VPN（多协议标签交换—虚拟专用网）技术划分两个相互逻辑隔离的业务子网，即实时VPN和非实时VPN。实时VPN用于控制区业务系统的远程数据通信，非实时VPN用于非控制区业务系统的远程数据通信。

3.3

横向隔离

电化学储能电站的生产控制大区与管理信息大区之间设置电力专用横向安全隔离装置实现物理隔离。生产控制大区的控制区与非控制区之间采用防火墙实现逻辑隔离。

3.4

纵向认证

电化学储能电站的在生产控制大区与调度数据网的纵向连接处部署电力专用纵向加密认证网关或加密认证装置，为上下级调度机构或主站与子站端的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。

大型储能电站

二次安全防护系统设计

4.1

配置方案

依据GB 51048《电化学储能电站设计标准》规定，储能电站功率大于100MW时，属于大型储能电站，大型储能电站高压侧母线宜采用220kV及以上电压等级接入电网，因此大型储能电站二次安全防护按照接入220kV电压等级设计。

电化学储能电站可进行充电和放电操作，在充电过程中，储能电站可视为负荷，在放电过程中，可视为电源。故二次安全防护设计参考220kV变电站以及火电厂的设计方案，二次安全防护总体逻辑结构示意图如图4.1，该图示意了二次安全防护系统安全区域的划分、安全区域之间横向互联逻辑结构、安全区纵向互联逻辑结构以及网络安全防护设备的总体部署。

二次安全防护网站配图1.png

图4.1 大型储能电站二次安全防护总体逻辑结构示意图

电化学储能电站二次安全防护系统分为两个安全大区，即生产控制大区和管理信息大区，其生产控制大区分为控制区和非控制区。生产控制大区内具有纵向、横向数据通信业务的业务系统汇集接入控制区和非控制区的互联交换机；互联交换机通过相应安全强度的安全防护设备横向连接不同的安全区域，纵向连接调度数据网的不同子网。

横向和纵向互联的主要设备包括数据通信机、横向互联交换机、横向互联硬件防火墙、纵向加密认证网关、调度数据网交换机、调度数据网路由器、正向隔离装置、反向隔离装置、纵向防火墙、综合数据网交换机及路由器。二次安全防护按双平面配置，即二次安全防护设备双套配置。配置数量如下表所示。

表4.1 大型储能电站二次安全防护系统配置方案

二次安全防护1.jpg

4.2

装置功能

数据通信机用于业务系统之间的横向及纵向数据通信。

控制区和非控制区的横向互联交换机用于各自区内有纵、横向数据通信的业务系统的汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联。

横向互联硬件防火墙部署在控制区和非控制区之间，在硬件防火墙上配置访问控制规则，对控制区与非控制区相关业务系统实施访问限制。

生产控制大区纵向加密认证网关部署在生产控制大区与调度数据网之间，用于本地生产控制大区与远端生产控制大区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密，保障系统连接的合法性和数据传输的机密性及完整性。

调度数据网交换机和调度数据网路由器用于与调度数据网进行信息交互。

综合数据网路由器用于与综合数据网进行信息交互。综合数据网纵向硬件防火墙部署在综合数据网路由器和管理信息大区局域网交换机之间，在硬件防火墙上配置访问控制规则，对管理信息大区相关业务系统实施访问限制。

正向隔离装置部署在非控制区与管理信息大区的网络边界，用于生产控制大区网络与管理信息大区网络的物理隔离，实现生产控制大区有关业务系统以正向单向方式向管理信息大区相关业务系统发送数据。

反向隔离装置部署在非控制区与管理信息大区的网络边界，用于生产控制大区网络与管理信息大区网络的物理隔离，实现管理信息大区有关业务系统以反向单向方式向生产控制大区相关业务系统导入数据。

4.3

装置配置要点

电化学储能电站二次系统安全区横向及纵向互联的配置要点如下：

（1）在控制区互联交换机上划分两个实时业务VLAN（虚拟局域网），其VLAN地址为调度数据网实时VPN的业务段地址，两个VLAN分别用于控制区不同类别业务系统的接入以及网络的横向互联和纵向互联。

（2）在非控制区互联交换机上划分两个非实时业务VLAN，其VLAN地址为调度数据网非实时VPN的业务段地址，两个VLAN分别用于非控制区内不同类别业务系统的接入以及网络的横向互联和纵向互联。

（3）在控制区互联交换机和非控制区互联交换机上使用ACL（访问控制技术）功能对各VLAN实施访问控制，避免安全区域内各VLAN间业务系统直接互通。

（4）对于控制区具有横向数据通信的系统，可将其数据通信机上实时VPN业务段IP地址通过横向互联的防火墙转换为非实时VPN业务段的地址，并且使用防火墙访问控制功能对转换后的地址实施访问限制。

（5）在正、反向隔离装置上配置内外网的业务系统虚拟访问地址及相应安全控制规则。

（6）控制区和非控制区各业务系统通信机的网关地址为该机所接入 VLAN 的网关地址；控制区互联交换机上路由到非控制区业务网段的网关地址为横向互联防火墙的内部网口地址，路由到调度数据网实时 VPN 的下一跳地址为调度数据网网络设备上的实时 VPN 业务段连接地址；非控制区互联交换机上路由到调度数据网非实时 VPN 的下一跳地址为调度数据网网络设备上的非实时 VPN 业务段连接地址。

（7）在控制区，若存在某些业务系统同时具有实时类数据（或控制类数据）和非实时类数据的纵向传输（如：保信子站，其接收主站下发的设置指令为控制类数据，而上传主站召唤的录波数据为非实时类。），为了使控制区的这些业务系统既可使用实时VPN传输实时类数据（或控制类数据）又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接，可采取如下方法：

1）将控制区具有非实时数据传输的业务系统通信机外网口IP地址通过横向互联防火墙由实时VPN业务段地址转换为非实时段的地址；

2）通过防火墙对转换后的地址实施严格的访问控制，其访问控制策略为，只允许主站有通信需求的非实时VPN业务段地址（主机地址）及业务TCP端口访问转换后的地址。

（8）对于使用专线通道的业务系统，应逐步在专线通道上部署加密认证措施。

中型储能电站

二次安全防护系统设计

5.1

配置方案

依据GB 51048《电化学储能电站设计标准》规定，储能电站功率在5MW至100MW之间时，属于中型储能电站，中型储能电站高压侧母线宜采用10kV~110kV电压等级接入电网。二次安全防护设计参考110kV变电站以及火电厂的设计方案，二次安全防护总体逻辑结构示意图如图5.1，该图示意了二次安全防护系统安全区域的划分、安全区域之间横向互联逻辑结构、安全区纵向互联逻辑结构以及网络安全防护设备的总体部署。

二次安全防护网站配图2.png

图5.1 中型储能电站二次安全防护总体逻辑结构示意图

储能电站二次安全防护系统分为两个安全大区，即生产控制大区和管理信息大区，其生产控制大区不细分为控制区和非控制区，逻辑上相当于只有控制区，属于生产控制区的业务系统均置于控制区。在生产控制大区只有控制区的情况下，若控制区存在非实时类数据通信业务，则可通过控制区横向边界防火墙连接非实时VPN业务网段，实现控制区的非实时类数据通信可通过非实时VPN进行。

表5.1 中型储能电站二次安全防护系统配置方案

二次安全防护3.jpg

二次安防系统装置功能及系统配置要点可参考大型储能电站方案，仅需删除非控制区部分内容。

总结

大型储能电站及中型储能电站二次安防系统均配置生产控制大区与管理信息大区，且安全区内及各安全区之间互联设备功能相同，区别在于大型储能电站的生产控制大区设置控制区和非控制区，而中型储能电站的生产控制大区仅设置控制区，不另设置非控制区。

综上所述，为保障储能电站电力监控系统及调度数据网的网络安全，防止电力监控系统的崩溃或瘫痪，保障储能电站乃至电力电网安全稳定运行，二次安防系统的配置至关重要。

作者：万里扬能源科技研究院

转载声明

1. 如需转载文章请在公众号后台留言；

2. 转载或者引用本文内容请注明来源及原作者

作者：万里扬能源科技研究院

来源公众号：万里扬能源

3. 文章版权归上述作者所有，

如不遵守此声明，我们将依法追责。