城市能源互联网中的无线技术应用研究

0 引言

以电力为中心的城市能源互联网的发展为供电企业带来了前所未有的机遇。在互联网+和能源互联网不断推进建设的大背景下,基于以往电网运营强调的用户供电可靠性保障和供电质量保障,已无法及时了解客户的内部用电信息及需求,不能满足互联网时代客户的个性化需求。应用互联网技术,通过建设用户站集中监控系统,进而升级至能源管理互联网平台,可增加与用户的多样化交互,并根据电力用户的差异化需求,通过引导地区新能源发展,指导客户建立微电网,实现系统化、流程化的能源管理,通过多途径为用户提供个性化的整体能源解决方案^[1-3]。

鉴于能源互联网发展的迫切需求,需要建立一张与其发展相匹配的通信网络。无线专网的应用是占据城市能源互联网入口、取得竞争优势的必要举措,也将进一步提升城市能源互联网中通信网络整体的信息采集和传输能力,优化资源配置,提升网络运行效率。同时,在信息网络安全越来越重要的大背景下,如何建设好既高效又安全的无线网络,成为城市能源互联网研究中的一项重要课题^[4]。

 1 业务需求

1.1 业务内容需求

能源互联网业务是基于多专业的综合性信息开展大数据分析,以实现精准定位用户的差异化需求。能源互联网业务数据需求面极为广泛,涉及客户（尤其是大客户）信息的方方面面,如设备、线路、用能、生产情况等信息,具体为：在生产管理方面,需收集客户方生产制造相关的产能信息;在综合用能信息采集方面,需实时掌握客户煤、水、电、热等综合用能信息;在设备在线监测方面,需对大用户的线路、设备的运行状态数据进行实时监测;在用户移动服务方面,需能够支撑用户对于用能信息、节能方案的交互。

为保障能源互联网为用户提供专业化的服务,实现高效优质的电力能源服务,还需要对与能源互联网业务紧密相关的供电公司现有业务进行信息采集工作：

1）配电自动化：采集配电自动化的“二遥”、“三遥”业务数据;

2）移动作业：采集配电工区的移动巡视、移动检修、配网抢修作业过程中的信息;

3）配电设施、营业厅及充电站/桩视频监测：包括配电设施、营业厅、电动汽车充电站、分散式充电桩群的视频信息等。

1.2 无线专网业务带宽需求

以35 kV、110 kV公用变电站模拟站点预估无线终端数量,计算无线专网基站的无线业务通信带宽,确保基站可同时满足覆盖和带宽的双重需求。在站点带宽需求分析中,能源互联网按照
128 kbit/s计算,配电自动化按照3 kbit/s计算,移动作业按照语音90 kbit/s、数据512 kbit/s、视频1 024 kbit/s计算,配电设施、营业厅及充电站/桩视频监测按照2 048 kbit/s计算。业务带宽需求见表1所列。

表1 业务带宽需求Tab.1 Business bandwidth requirements

在单变电站需求带宽计算中,能源互联网按照每个站点接入10个移动作业终端,并发比按照100%计算;配电自动化按照站点平均分配到每个基站,并发比按照100%计算;移动作业按照每站下面5个站点,并发比按照语音30%、数据10%、视频20%计算;配电设施、营业厅及充电站/桩视频监测按照每站2个站点,并发比按照100%计算。变电站带宽需求见表2所列。

表2 变电站带宽需求Tab.2 Bandwidth requirements for substations

由表2可知,单基站汇总带宽为6.65 Mbit/s,结合业务实时性、可靠性要求,同时考虑到后续业务类型和容量的扩充,计算过程中还需要考虑50%的冗余量,因此基站带宽设计时考虑为每个变电站统一申请20 Mbit/s带宽以满足信息回传需求。

 2 无线通信系统的选择

2.1 无线技术的发展

随着移动通信飞速发展,当前已进入4G网络时代。TD-LTE是一个由中国主导且具有“国际化”特征的标准,TD-LTE的技术优势体现在速率、时延和频谱利用率等多个方面,使得运营商能够在有限的频谱带宽资源上具备更强大的业务提供能力。TD-LTE理论峰值速率在上、下行分别达到了50 Mbit/s和100 Mbit/s。

基于国家能源基础设施安全方面的考虑,电力行业在城市能源互联网建设中应以TD-LTE作为首要选择对象^[5]。TD-LTE技术是对TD-SCDMA的网络架构优化,采用扁平化结构,取消了RNC节点,同时接入网侧仅包含NodeB一种实体,对网络设计进行了简化处理,降低了后期维护难度,实现了全IP路由。

2.2 TD-LTE无线通信系统介绍

2.2.1 TD-LTE系统架构

TD-LTE系统^[6-7]由3个部分组成,TD-LTE系统架构如图1所示。

图1 TD-LTE系统架构Fig.1 TD-LTE system architecture

TD-LTE系统包括演进型分组核心网（Evolved Packet Core,EPC）、演进型基站（eNodeB）和用户设备（UE）3个部分,其中EPC负责核心网部分;eNodeB负责接入网部分,也称E-UTRAN;UE负责用户终端设备。eNodeB与EPC通过S1接口连接;eNodeB之间通过X2接口连接;eNodeB与UE之间通过Uu接口连接。与通用移动通信系统（Universal Mobile Telecommunications System,UMTS）相比,由于NodeB和RNC融合为网元eNodeB,因此TD-LTE没有Iub接口。X2接口类似于Iur接口,S1接口类似于Iu接口,但都有较大简化。

2.2.2 TD-LTE链路关键技术

由于电力系统的接入业务主要为上行业务,因此与LTE上行相关的主要物理层技术包括单载波频分多址（Single-Carrier Frequency-Division Multiple Access,SC-FDMA）技术、虚拟多入多出技术以及链路自适应技术。

1）SC-FDMA技术。在每个传输时间间隔内,基站给每个用户设备（User Equipment,UE）分配一个独立的频段,以便发送数据,使得不同用户的数据在时间和频率上分开,保证了小区内同一时刻不同用户所使用上行载波的正交性,避免了小区内同频干扰^[8]。上行SC-FDMA信号可以用“频域”和“时域”两种方法生成,频域生成方法又可称为DFT扩展OFDM（Discrete Fourier Transform-Spread OFDM,DFT-S-OFDMA）,时域生成方法又可称为交织FDMA（Interleaved FDMA,IFDMA）。目前,DFT-S-OFDMA技术已成为LTE技术的主流方案,该技术方案是在OFDM的IFFT调制之前,对信号进行DFT拓展,系统发射时域信号避免了发送频域信号带来的PAPR问题,从而降低PDA的功放成本,有效延长了电池寿命。

2）虚拟多入多出技术。虚拟多入多出（Virtual MIMO）技术在LTE上行时是一种特殊的多用户MIMO技术,可以看作是一种空分复用技术,可将两个单天线UE进行配对,实现虚拟MIMO发送。基于此,两个具有较好正交性的UE可以共享相同的时/频资源,有效提高了上行系统容量。此外,LTE下行方向也可以采用虚拟MIMO,当用户终端拥有多个接收天线时,相邻小区基站可以向用户终端同时发送数据,组成虚拟MIMO。

3）链路自适应技术。链路自适应技术的核心是自适应调制和编码（Adaptive Modulation and Coding,AMC）,LTE对AMC技术的争论主要集中在是否对一个用户的不同频率资源采用不同的AMC（RB-specific AMC）。虽然理论上由于频率选择性衰落的影响,这样做可以比在所有频率资源上采用相同的AMC配置（RB-common AMC）取得更佳的性能,但仿真中发现这种方法带来的增益并不明显,且会带来额外的信令开销,因此确定采用RB-common AMC。也就是说,对于一个用户的一个数据流,在一个传输时间间隔（Transmission Time Interval,TTI）内,一个第二层的协议数据单元（Protocol Data Unit,PDU）只采用一种调制编码组合（但在MIMO的不同流之间可以采用不同的AMC组合）。对于上行链路,自适应技术除AMC外,还包括传输带宽的自适应调整和发射功率的自适应调整（Adaptive Power Control,APC）。

2.2.3 TD-LTE射频拉远技术

LTE基站eNodeB包括基带处理单元（Building Base band Unite,BBU）和射频拉远单元（Radio Remote Unit,RRU）。BBU部署在110 kV/35 kV变电站内,每个RRU通过收发2根光纤连接BBU。在非级联模式下,1个BBU的单个业务板最多可支持6个RRU,实现对多个微小区的覆盖;在级联模式下,RRU还具有光纤直放站的功能,可以实现进一步的级联延伸,扩大覆盖范围。级联模式适用于链型网络架构,如较长的10 kV线路覆盖情况。

RRU及天线通常部署在柱上开关、台变或环网柜旁,核心网设备部署在县局或市局控制中心。无线终端CPE通过有线方式（串口或以太网口）连接集中器、配电自动化终端等。射频拉远技术原理及应用示意如图2所示。

图2 射频拉远技术原理及应用示意Fig.2 Principle and application of radio spreading technology

RRU支持最长40 km级联,级联需要收发两根光纤,光纤从一个RRU连接至下一个RRU。在级联过程中,下一级的RRU收到的数据要经过上一级RRU的汇聚处理,级联后的传输容量取决于光纤容量。

在级联模式下理论上可接入36个RRU,在不超过40 km情况下,时延影响不大,可正常工作。BBU与RRU之间接口为3GPP定义的CPRI接口,对时间同步要求非常高,必须要用裸光纤进行传递。

2.2.4 TD-LTE无线多业务承载技术

无线专网基于无线接入网共享（Radio Access Network Sharing,RAN-Sharing）隔离的虚拟网解决方案,主要包括以下两种典型方式。

1）基于无线二层VPN技术的虚拟网实现方案。基于无线二层VPN技术的虚拟网业务隔离原理如图3所示,根据终端种类,将某一无线基站覆盖区域内同类型的接入终端划分到一个VLAN内,不同VLAN的终端在无线接入时共享信道资源,不为各种业务分配单独的专享信道。但是,根据业务实时性和传输带宽的要求,必须在VLAN之间设置接入优先级,同一个VLAN中的所有终端享有相同的接入优先级。基站接收到数据包后,解析终端的IP地址和所属的VLAN即可确定数据业务的类型。该方案在系统扩容增加新的接入终端时不仅需要将新终端的地址重新添加至原有VLAN中,而且还需要考虑是否接近系统容量上限。

图3 基于无线二层VPN技术的虚拟网业务隔离原理Fig.3 Virtual network service isolation principle based on wireless two layer VPN technology

2）基于频段或子载波划分的虚拟网实现方案。在有限的频段内,将可以利用的子载波按照接入终端的种类、数量、数据传输的带宽要求等进行统计分析,基于频段或子载波划分的虚拟网业务隔离原理如图4所示。在一个基站的覆盖范围内,固定分配若干个子载波给不同业务终端使用,各终端可以采用时分多址接入,也可以采用频分多址接入。由于子载波之间的正交性,频谱叠加的子载波传输信号不会产生干扰,因而能够保证所有传输不同业务子载波的逻辑隔离。基站对收到的基带信号进行处理时,根据不同频率即可区分承载的业务数据类型,进而通过不同的物理端口将各类业务上传到相应大区的主站系统中。

图4 基于频段或子载波划分的虚拟网业务隔离原理Fig.4 Virtual network service isolation principle based on band or subcarrier division

2.2.5 TD-LTE无线安全应用技术

根据相关规定,配电数据属于“生产控制大区”（即安全Ⅰ、Ⅱ区）,用电数据属于“管理信息大区”（即安全Ⅲ、Ⅳ区）。因此,配电数据应尽量采用专网传输,公网只能采集、不能控制,且两个大区的数据需要进行物理隔离。

当采用专用无线网络时,应分别针对无线接入层和管理接入层采用相应的信息安全措施。无线接入层是指从终端到基站之间的空口传输过程,管理接入层是指从终端到配电自动化系统之间的总体传输过程,无线接入层和管理接入层的安全措施应分别独立运作（见图5）。这种双层安全措施提供了终端与基站、终端与配电自动化系统的双向鉴权认证,提升了针对仿冒基站的防御能力。

图5 无线专网安全防护原理Fig.5 Principle of security protection for wireless private network

无线接入层和管理接入层所采用的具体安全措施均包含双向鉴权认证、安全性激活、信令和数据的机密性及完整性保护。这两层的安全措施类似,但应采用不同的密钥以保证各自独立运作。TD-LTE系统整体安全逻辑模型如图6所示。

图6 TD-LTE系统整体安全逻辑模型Fig.6 TD-LTE system overall security logic model

在LTE系统中,每个无线终端设备都与归属网络有签约关系,归属网络为客户终端分配一个唯一的标识符和根密钥,根密钥由鉴权中心和客户共享,标识符和根密钥保存在客户终端存储器和鉴权中心。

1）安全分层。TD-LTE的安全逻辑安全分为3个层面：第一层为演进的UTRAN（E-UTRAN）网络（RRC安全）,即空口安全;第二层为演进的核心网（EPC）NAS信令安全和客户层保护;第三层为核心网各个实体之间的认证和加解密通信,由于核心网为全IP设计,因此采用目前比较成熟的IPSec等技术。

2）安全功能。TD-LTE系统应用公开、成熟的密码技术,拥有目前移动通信网络中最丰富的安全功能结构。TD-LTE安全功能框架如图7所示。

图7 TD-LTE安全功能框架Fig.7 TD-LTE security function framework

 3 无线专网的应用

3.1 城市能源互联网中的无线专网总体安全架构

首先,要建立城市能源互联网中的无线专网。城市能源互联网中无线专网系统总体安全架构如图8所示,根据ITU-T X.805（中文版为YD/T 2386—2011）通信系统通用安全模型,无线专网系统总体分为用户、控制和管理3个平面,用户平面包括应用层、网络层和设备层,控制平面包括传输层和设备层,管理平面包括应用层、传输层和设备层。LTE系统本身对3个平面以及每个平面的传输层和设备层都有安全防护要求或者具体措施,应用平面安全措施由用户具体实施,包括业务网络安全措施和业务网络延伸安全。因此,本文对用户应用安全进行了专门加强,并与LTE自身安全措施相互融合,构成无线专网的安全防护整体。

图8 城市能源互联网中无线专网系统总体安全架构Fig.8 The overall security architecture of the wireless private network system in the urban energy Internet

LTE无线专网安全防护应符合发改委[2014]14号令《电力监控系统安全防护规定》和国能安全[2015]36号文的要求。城市能源互联网无线专网安全防护总体方案如图9所示。

图9 城市能源互联网无线专网安全防护总体方案Fig.9 The overall security protection scheme for urban energy internet wireless private network

生产控制大区和管理信息大区的业务系统在与其终端的连接中使用电力LTE无线网络或公用网络等进行通信的,应设立安全接入区,接入生产控制大区的安全接入区应包含物理隔离部件、前置机和加密认证设备等,接入管理信息大区的安全接入区应包含安全接入平台和加密认证设备等。

终端设备采用认证加密机制和访问控制措施建立加密传输通道进行信息采集,以保证业务数据的保密性和完整性。

3.2 城市能源互联网中的无线专网安全增强方案

3.2.1 生产大区业务增强安全防护物理架构

在LTE标准安全防护体系之外,还需额外附加电力终端安全防护措施,在I/II区的业务边界侧部署安全接入网关、业务前置机以及正反向隔离装置。附加的终端安全防护措施可使所接入的电力业务安全性得到加强^[9-12]。终端配置安全接入模块与安全接入网关配合,可以实现端到端的安全认证和加密传输,进一步增强无线通信的安全性和可靠性。

3.2.2 管理大区业务增强安全防护物理架构

LTE接入层的终端采用专用安全接入模块与业务边界侧部署的安全接入平台协同配合,实现终端到业务层边界的加密传输、数据隔离交换以及终端业务层的合法性认证。这种安全防护架构对于进入信息内网的数据提供了较全面的安全防护措施,实现了访问控制、攻击检测、终端认证、传输加密等功能。在多业务承载场景中,每种业务都需要相应的安全接入区。

3.2.3 城市能源互联网无线专网安全措施增强

城市能源互联网无线专网安全措施增强如图10所示。

图10 城市能源互联网无线专网安全措施增强Fig.10 The enhanced security protection scheme of measures

安全接入平台的主要功能有3个部分,包括认证、加密、集中监管,安全接入平台与现场终端的交互过程主要包括认证和加密,每个周期内（一般为24 h或10 000个数据包）只认证一次,对系统的效率和带宽影响不大。

 4 结语

城市能源互联网是全球能源互联网的重要组成部分,城市能源互联网建设需要坚强有力的无线通信网络作为支撑。本文对TD-LTE的技术特点进行了分析,结合电力行业针对性地提出了基于TD-LTE的城市能源互联网无线专网建设方案,整体方案充分考虑电力系统生产大区与信息大区安全措施的特点,在安全措施方面进行了重点加强,具有一定的借鉴意义。