基于虚终端技术的智能变电站二次设备远程管理

王 宁，李 澄，陆玉军，宁 艳，陈 颢，葛永高

（江苏方天电力技术有限公司，南京 211102）

0 引言

随着电网技术和信息技术的发展，基于IEC 61850标准的智能变电站内二次设备应用向着小型化、功能集成化方向发展，并按照一次设备间隔实现了面向对象的分层分布式配置，设备间通过站控层和过程层网络实现了实时数据信息的传递。变电站内二次设备、网络设备的稳定可靠运行，有利于保障变电站和电网的运行稳定，这也对智能变电站的检修运维水平提出了更高的要求。

目前，智能变电站的运行维护仍沿用传统的就地检修方式，主站端不能随时远程查看站内设备的详细运行情况。当变电站设备或系统异常时，需要派人员到变电站现场查看，然后根据情况与制造厂商联系，描述故障情况，准备备件，停电处理等，遇到异常情况特征不明显时还需要多次往返，费时费力。

本文针对现阶段智能变电站的运维情况，提出了基于虚拟终端技术的变电站二次设备远程管理方案，并根据此方案开发了智能变电站二次设备远程管理系统，通过该系统主站端可随时远程查看智能变电站内二次设备实际运行情况，大大缩短故障处理响应时间，减少了各方沟通时间及维护人员的工作量，当具备通信条件时，设备厂商可通过安全网络调阅设备人机界面以便及时分析和处理问题，从而减少了检修人员现场往返时间与费用，提高了运维效率。

1 国内外研究现状

虚拟终端是在PC（个人计算机）上虚拟的一个终端，远程用户可以在计算机上运行虚拟终端应用程序，程序界面就像实际终端运行界面一样，用户可远程直观查阅该终端界面的所有信息[1]。

虚拟终端技术在国内外早已得到广泛应用。在国外电力系统范围内，如西门子二次设备具有虚拟界面功能，调试人员PC只需接入站控层网络即可通过软件界面虚拟操作设备人机界面以读取和修改设备数据；ABB公司推出了REF615智能馈线保护设备，与该保护装置配套有WEB人机界面和PCM600软件工具连接包，前者实现了数据的只读浏览，后者实现了数据的配置和逻辑更改等（如图1所示）。虚拟人机界面功能有助于减少调试时工程人员在设备与后台间的往返，缩短了设备调试周期，提高了工作效率。

图1 ABB REF615保护设备人机界面调用

国内电力系统范围内，目前也有虚拟终端技术的类似运用。如江苏江阴供电公司采用KVM（基于内核的虚拟机）技术使主站端PC可直接访问变电站后台桌面（如图2所示），主站通过KVM网络服务器与变电站后台连接[2-3]，继而达到远程实际控制现场后台的效果，使检修人员在主站即可了解变电站整体运行状况，但其还具有一定的局限性，不能监测站内二次设备和网络设备的运行情况。

图2 变电站KVM网络示意

类似运用还有设备远程配置工具的使用，如在配电变压器（以下简称“配变”）领域，新联电子XL系列负荷管理终端、河南科创FKGA42型电力负荷管理终端、厦门瑞深RS2000配变综合管理终端都具有远程参数读取和设置功能，该类终端主要采用无线通信网络实现与主站的通信（如图 3 所示）[4]。

图3 配变负控终端网络示意

随着智能变电站的发展，站内二次设备实现了数据模型的标准化[5]，设备间通信也具备了数字化互通互联，这些为智能变电站远程虚拟终端的研制提供了很好的技术基础，主要体现在以下几方面：

（1）智能变电站站控层通信采用MMS（制造报文规范）协议，可利用MMS协议代理方式完成主站软件对二次设备数据模型及配置的远程查阅[6-7]。

（2）交换机普遍支持SNMP（简单网络管理协议）。通过SNMP可以查阅交换机接口配置信息和运行信息[8]，因此可利用SNMP来实现主站对交换机配置及运行信息的采集。

（3）大多数厂家的二次设备实现了对虚拟界面的支持，可将虚拟界面以插件方式集成于主站虚拟终端软件中，利用现有网络实现主站针对二次设备虚拟界面的远程浏览。

（4）利用网络设备 IP（网际协议）和 MAC（媒体访问控制）过滤技术确保网络接入安全。

（5）数据传输加密机制，避免了第三方设备或软件接入，确保系统数据传输安全。

综上所述，利用现有技术实现变电站二次设备远程虚拟终端是可行的，实现方案见下文。

2 智能变电站二次设备远程管理方案

针对现阶段智能变电站的运维情况，以及智能变电站现有的技术基础，本文提出了基于虚拟终端技术的智能变电站二次设备远程管理方案，方案架构如图4所示。

图4 方案架构

方案说明如下：

（1）虚拟终端系统由主站端远程浏览服务器、主站端浏览软件、子站端代理服务器3部分组成。

（2）主站端浏览服务器通过电力系统SDH（同步数字体系）网络与子站端代理服务器相连，通过数据加密的协议进行通信。

（3）虚拟终端浏览软件安装于主站操作工作站，通过浏览服务器远程浏览和管理智能变电站端的设备信息和运行状况。

（4）子站代理服务器具备多物理通信接口，并与变电站内设备相连接，实现了变电站内设备的数据解析，并通过统一的协议接口将数据发送给主站浏览服务器，同时实现主站浏览服务器命令的解析，转发给相应的变电站设备。

（5）子站代理服务器接入站控层网络，通过MMS协议获取二次设备模型数据及配置；通过SNMP查阅站控层交换机配置信息；其他二次设备根据其协议类型可直接接入或通过网络接入代理服务器。

（6）过程层交换机通过SNMP直接接入代理服务器，过程层设备（智能单元、合并单元等）在本方案中未接入代理服务器。

3 关键技术及其实现

3.1 虚拟终端系统的实现

虚拟终端系统实现了远程调阅二次设备IEC 61850数据模型及其他配置信息，远程调阅交换机的配置及运行信息，针对支持虚拟人机界面的二次设备的远程可读性操作，其工作流程如图5所示。

图5 虚拟终端数据采集示意

图5为虚拟终端数据采集示意，代理服务器通过MMS协议采集二次设备模型数据及配置，通过自定义协议将配置发送给调阅界面；代理服务器通过SNMP查阅交换机配置，浏览软件具有统一的交换机界面，通过自定义协议采集现场交换机接口配置以及运行信息；二次设备虚拟界面插件采用虚拟键值的方法通过代理服务器虚拟操作二次设备界面。

其中，代理服务器为虚拟终端系统的核心，承担着变电站内设备数据的采集和与主站端通信的重任，其主要功能如下：

（1）协议代理功能：代理服务器实现对变电站内设备的数据解析，通过统一的协议接口将数据转发给主站浏览服务器，并实现浏览服务器的命令解析，转发给相应设备。代理服务器内实现了MMS协议客户端，用于调阅二次设备模型配置；实现了SNMP客户端，用于查阅交换机配置及运行信息；虚拟人机界面操作需代理服务器进行虚拟键值和界面内容的转发。

（2）多物理通信接口：支持以太网、RS323和RS485通信接口。

（3）数据加密功能：为保证数据访问的安全性，远程浏览服务器与虚拟终端代理服务之间的协议传输采用了数据加密，通过先进的报文加密手段可排除外部非安全命令的请求。

（4）网络隔离功能：只有指定IP和MAC地址的远程浏览服务器才能接入代理服务器，从物理上隔离其他非安全性物理设备的访问。

（5）数据透传功能：对于站内非标准协议的二次设备，在协议转换上可能存在困难，可以通过对协议报文加密后进行透明传输处理，以实现远程浏览服务器对其设备的访问。

（6）远程升级：代理服务器开辟了独立的升级维护网络端口，当需要修改程序或配置时，直接通过电力系统专有网络即可完成远程升级。

3.2 通信链路构建

系统采用控制链路和数据链路的双链路通信方式，贯穿于浏览软件、浏览服务器、代理服务器之间，可有效防止第三方设备或软件的网络侵入，保证系统通信的独立性、封闭性、安全性。通信链路原理如图6所示。

图6 通信链路原理

（1）控制链路建立：浏览软件远程访问变电站二次设备时，需要先构建与浏览服务器间的控制链路；控制浏览服务器与目标设备所属代理服务器建立控制链路；浏览服务器通过代理服务器连接目标设备。

（2）数据链路建立：代理服务器与目标设备连接成功后，通过控制链路模块将设备的IP地址和端口号上送浏览服务器；浏览服务器通过控制链路模块来控制数据链路模块，构建与代理服务器之间的数据链路；数据链路构建成功后，浏览服务器通过控制链路模块通知浏览软件对其进行数据链路连接。

3.3 虚拟界面的实现

二次设备运行可靠性至关重要，如何安全远程共享设备信息是本文研究的重点之一。由于二次设备的类型存在差异，界面也不尽相同，鉴于不同厂家设备代码的保密性，通过程序插件的方式共享设备信息是各厂家乐于接受的，因此各厂家可按照自身设备生成一致的PC端浏览界面插件，通过虚拟界面，远程浏览服务器通过代理服务器向变电站设备发送模拟键值数据，从而实现设备远程界面浏览。插件处理方式使得各厂家无需公开代码，又可免去系统开发人员花费精力了解各厂家设备的操作界面。

虚拟界面插件中进行只读性操作限制，以保证远程操作不能修改设备配置，从而实现安全远程共享设备信息。

3.4 数据安全访问机制

图7为虚拟终端系统中数据安全访问机制示意，具体内容包括：

图7 安全访问机制示意

（1）数据只读性限制

主站端虚拟界面二次设备浏览插件控制只读性输入，避免从虚拟界面修改设备数据。

二次设备与代理服务器通信接口进行只读性限制，限制代理服务器仅有只读性功能，而不能修改数据。

（2）网络隔离

浏览服务器接入的网络隔离：浏览服务器具有IP过滤机制，只有符合设置的操作工作站才能接入浏览服务器。

代理服务器接入的网络隔离：代理服务器具有IP和MAC过滤机制，只有符合设置的物理设备才可接入代理服务器。

二次设备接入的网络隔离：二次设备具有IP和MAC过滤机制，只有符合设置的代理服务器才可访问二次设备。

（3）数据加密

在网络架构上，远程浏览服务器与虚拟终端代理服务器之间的链路或路由较长，因此在二者之间的数据传输中引入加密机制，采用RSA（非对称加密）技术[9]，可有效避免系统遭受第三方软件数据入侵，确保系统运行安全。

4 系统应用

系统在国网宿迁供电公司110 kV庙头变电站进行了部署试用，该站现有2台110 kV/35 kV/10 kV主变压器，含间隔层设备27个，站控层交换机3台，过程层交换机2台。在变电站侧安装代理服务器1台，在主站端安装浏览服务器和浏览软件，其中浏览服务器安装于调度机房，主站端浏览软件安装于监控中心。现场应用表明，系统能够远程调阅智能变电站二次设备、交换机的配置及运行信息，有效提高了运维效率。

5 结语

本文提出了基于虚拟终端技术的智能变电站二次设备远程管理方案，并自主研发了虚拟终端系统，实现了：

（1）远程只读性调阅智能变电站二次设备数据模型及配置，便于检修人员进行设备配置的统一管理与核查。

（2）集中管理整个区域变电站交换机，及时掌握各个变电站交换机管理接口配置和运行信息，使检修人员能快速了解变电站当前网络状态，以保证智能变电站网络安全运行。

（3）从主站调阅站内二次设备界面，使检修人员无需往返于现场就能快速检查设备当前运行情况。故障时能迅速获得第一手故障数据，从时效性上为故障点查找提供了有力支持。

综上所述，该方案能有效提高运维检修效率，降低运维成本，为变电站的稳定运行提供可靠保障。