三峡左岸计算机监控系统改造关键技术

张卫君，谢秋华，孙监湖，何 婷，郭 睿

（1.北京中水科水电科技开发有限公司，北京 100038；2.三峡水力发电厂，湖北 宜昌 443000）

三峡水力发电厂由左岸电站、右岸电站、右岸地下电站和电源电站组成，共装有32台70万kW水轮发电机组和2台5万kW水轮发电机组，总装机容量达2 250万kW，是世界上最大的水电站。三峡左岸电站有14台700 MW的水轮发电机组，于2003年投入运行，经过十多年的运行，设备进入老化期，功能也不满足应用发展的需求。三峡左岸电站计算机监控系统改造，以***总书记“大国重器一定要掌握在自己手里”的重要指示精神为指导，充分响应网络安全法和发改委14号令配套文件要求“生产控制大区具备控制功能的系统应逐步推广应用以密码硬件为核心的可信计算技术，用于实现计算环境和网络环境安全可信，免疫未知恶意代码破坏，应对高级别的恶意攻击。”[1]，在具有完全自主知识产权的iP9000智能一体化平台监控系统基础上部署可信密码模块和可信软件基，实现了首创基于主动免疫的水电站计算机监控系统在三峡左岸电站的投运。

在自动控制及信息化领域，国内企业起步较晚，缺少基础IT领域的领军巨头， 硬件芯片、操作系统、平台软件等方面依然在很大程度上依赖进口，核心技术受制于人的局面并未根本改变。

随着中美战略安全博弈的加剧以及网络安全形势的日趋严峻，我国在关键技术上受制于人这一薄弱环节存在的风险日益凸显，依靠进口的技术和产品随时有被钳制的风险；核心器件采用进口产品无法保证网络安全。在2018年全国网络安全和信息化工作会议，***总书记明确提出“没有网络安全就没有国家安全”。实现关键产品自主可控是保障网络安全和实体产业不再受制于人的根基。

与此同时， 针对“智能化”、“智慧化”的发展方向，水利水电行业作为实体经济的重要领域和重要支撑，其核心控制系统实现一体化、智能化是必由之路。

北京中水科水电科技开发有限公司iP9000智能一体化平台结合三峡左岸计算机监控系统改造项目,基于安全自主、智能化背景研制。平台主要将原来分散的业务系统进行统一平台的整合，采用面向服务的软件架构(SOA)，利用先进的面向对象的方法对数据库组态，对监视、报警和预警进行智能的优化，提供强大的高级应用功能，通过适配各种国产服务器、操作系统、数据库等，实现完全自主可控[2]。

1 改造过渡期方案设计

按照“改造过渡方案安全可靠、简单、宜实施”的基本设计原则，在三峡左岸电站计算机监控系统改造过程中，新的计算机监控系统(以下简称“新系统”)与原有的计算机监控系统（以下简称“老系统”）共存，过渡期将老系统数据接入新系统，新系统负责对外（梯调、网调、国调）通信、全厂AGC功能及已改造LCU的全监视和全控制，老系统对未改造LCU实行全监视和全控制。

左岸电站计算机监控系统的改造过渡期长达三年，在过渡期新老系统并列运行，但调度通信的改造工作主要在监控系统改造的前期完成。在新系统安装调试完成后，采用老系统的VIP协议和IEC101协议通过备用通道TN2、APPC2、RCI接收老系统全部数据，将新系统接入新建设的双平面调度数据网进行上送数据的调试（包括国调、网调）。在上送数据调试完成后，逐一断开备用通道与老系统连接，改接到新系统，进行新系统与调度（包括国调、网调和梯调）下行数据的调试。改造过渡期系统网络结构示意图如图1。

图1 改造过渡期系统网络结构示意图

2 系统改造过程关键技术

2.1 国产密码的可信计算、自主可控软硬件的应用

该体系设计以“主动免疫，综合防御，风险防范，灾难恢复”十六字方针为核心思想，以国密算法为基础，可信计算技术为核心，安全可控为目标，安全免疫为特征，充分利用可信计算环境，保障水电站计算机监控系统完全免疫已知或未知的网络安全威胁，保障水电站业务系统正常稳定运行。

可信计算环境包括可信密码模块和可信软件基，以嵌入计算机硬件系统主板的电力可信计算密码模块为信任根，建立信任链机制，从信任根开始，一级验证一级，一级信任一级，使源头信任传递到应用系统和整个网络，保证系统全程可信可控，构建信息系统的安全计算环境，从源头上确保整个计算机系统可信。

2018年左岸电站监控系统启动改造，按照同步规划、同步建设、同步运行的“三同步”原则，根据前期试验平台测试结论，左岸计算机监控系统厂站层选用国产服务器、交换机、网络安全产品，部署国产安全操作系统、国产数据库、以及中水科技自主开发的iP9000智能一体化平台软件，实现了厂站层设备的全面国产化。

同时左岸计算机监控系统生产控制大区服务器上部署基于国产密码的可信软、硬件模块，构建可信计算环境，具备防御未知恶意代码攻击的能力，简化了以“隔离查杀”为主的传统信息安全防护体系，改善了实时控制业务的效率，同时强化了业务程序版本一致性管控。达到了“攻击者进不去”、“非授权者重要信息拿不到”、“窃取保密信息看不懂”、“系统和信息改不了”、“系统工作瘫不成”、“攻击行为赖不掉”的防护效果[3，4]。

2.2 智能化一体化平台研发及应用

通过本项目建设，研究开发iP9000智能一体化平台。iP9000智能一体化平台采用基于SOA 架构设计和面向对象编程技术，按照全冗余全分布系统结构开发，解决了安全I、II、III/IV区内统一的系统管理、数据的互联互通及对外接口问题，同时可对各类智慧应用提供服务支撑，为当前水电厂智慧化建设提供成套解决方案。iP9000智能一体化平台同时具备计算机监控系统平台、应用软件平台和大数据平台的功能，可为智慧水电厂应用提供运行环境、集成环境、维护环境和开发环境。其主要技术和特点有：①面向对象的设计；②支持非结构化数据、可在线维护的数据库；③标准化的公共服务；④高度一体化的业务集成；⑤基于面向对象技术的人机联系和可视化；⑥图模一体化；⑦开放的第三方应用接入；⑧高可靠性的基于服务调度的多重热备冗余的通信；⑨针对海量数据报警处理的实时智能报警技术[5，6]。

2.3 基于专家经验的集群水电发电机组最优化控制

三峡电厂位于全国互联电网的中心，在电网调峰中承担着重要的作用，改造前的AGC程序只能对处于稳定区运行的机组进行平稳调节，遇开/停机时，需要人工调节振动区机组出力[7]。机组开、停机时需兼顾机组快速穿越振动区和电网对电站总出力平稳调节的需要，对操作人员要求较高，且存在耗费大量人力、增大失误可能性的问题，不利于电站稳定运行与考核。

通过对三峡电站AGC运行经验进行总结，对开停机前后穿越振动区的人工调节过程进行抽象分析，绘制流程图，逐个分析约束条件，并以程序方式实现，最终实现了开停机前后机组穿越振动区过程的程序化调节，完全模拟了最优人工调节，兼顾了电站和电网的需求。

2.4 非开放环境下监控系统改造研究及实施

在对水电站进口监控系统改造过程中，由于现地控制器所使用的网络通信规约与接口的专用性和封闭性，使得新系统上位机投运后不能实现与现地控制器的直接通信，也就无法实现对未改造机组的监控，因而在新系统的网络和上位机投入运行后，将形成新、老系统共同运行的过渡期。考虑到监控系统的改造不可能在短期内完成，老系统在过渡期内必须保留，以实现对未改造LCU的监视与控制，同时老系统中与厂站层实现通信接口的各控制器也必须在整个改造期间予以保留，以实现将未改造LCU的数据接入新系统中，即将老系统中的厂站层功能迁移至新系统。这样当新系统投运时，在新老系统过渡期内，AGC/AVC、调度通信、历史数据存储等厂站层功能都可以顺利运行。由此可见，对水电站进口监控系统上位机通信接口的研究与开发是新老系统数据融合、平稳过渡的关键。

本项目采用“厂站层一次全接管，现地改造分步实施”的安全平稳过渡方式，通过解析非开放环境的老监控系统特有数据通信协议——VIP数据通信协议数据，及IEC101通信数据，解决改造前所使用的国外监控系统网络通信规约与接口专用性和封闭性的问题，实现改造过程中新老系统的数据传输。新系统上线前，将老监控系统数据全部数据传送至新监控系统，由新监控系统一次性全部接管全厂设备监控功能，在新监控系统实现AGC/AVC、调度通信及厂内通信功能，实现新老监控系统并行，改造过程分步实施，不影响调度方式及值班运行方式。

3 结束语

2019年9月三峡左岸监控系统改造第一批设备通过出厂验收并开始现场安装调试，2020年1月厂站层功能全部投运及首台机组LCU改造完成并成功并网，实现了厂站层设备改造对老系统一次接管、现地层设备分步实施的设计方案。截至2021年6月，三峡左岸监控系统改造项目已完成10台机组LCU、1套公用LCU改造工作，iP9000系统自投入运行后，运行稳定可靠。运行人员凭借系统新进的智能报警、AGC优化控制等功能，减轻了监盘工作强度，提高了监盘值班的效率。本项目中的关键技术的研究与实现，对其他计算机监控系统国产化应用、监控系统改造等工程项目有重要的指导作用。