Wybrane zagadnienia komunikacji IEC 61850 w
Transkrypt
Wybrane zagadnienia komunikacji IEC 61850 w
OPRACOWANIA – WDROŻENIA – EKSPLOATACJA Wybrane zagadnienia komunikacji IEC 61850 w sieciach elektroenergetycznych Roman Węgrzyn Podstawowym celem tworzenia standardów protokołów komunikacyjnych są połączenia pomiędzy urządzeniami różnych producentów. Standard IEC 61850 [1] opisuje zasady nawiązywania połaczeń i realizacji niezbędnych zadań w środowisku sieci Ethernet. Zespół tworzący ten dokument zadbał jednocześnie o pewne zalecenia wykraczające poza opis formatu danych i algorytmy sesji połączeniowych. Zalecenia dotyczą również wymagań środowiskowych, jakościowych, reguł zarządzania projektem, struktury plików konfiguracyjnych, sposobu zmiany konfiguracji, testowania, zabezpieczenia dostępu czy też synchronizacji czasu. Novum dla istniejących implementacji oprogramowania jest np. struktura konfiguracji. Parametry systemu powinny być spójne dla wszystkich części systemu automatyki. Wymagany jest również podział na narzędzia do parametryzacji ogólnej dla parametrów sy- Rys. 1. Konfigurator zabezpieczeń MiCOM Rys. 2. Fragment dokumentacji IEC 61850 zabezpieczeń MiCOM Mgr inż. Roman Węgrzyn – Schneider Electric Energy Poland Sp. z o.o., Świebodzice 50 stemu (bazy danych konfiguracyjnych) oraz dla autonomicznych parametrów IED, struktura bazy danych powinna być hierarchiczna w odniesieniu do struktury stacji. Większość producentów urzadzeń automatyki stacyjnej stworzyła w wyniku tych wymagań oddzielne aplikacje zarządzające modelem danych ACSI. Program IED Configurator dla zapewnienia integralności danych operuje na oddzielnych konfiguracjach – aktywna nie może być zmieniana on-line, natomiast uaktualniona rezerwowa staje się aktywna dopiero po restarcie modułu komunikacyjnego. Zunifikowane zostały również zasady tworzenia dokumentacji. Pliki ADL (adress data list) wiążą zdekomponowane adresy obiektu danych IEC 61850 z używanym tradycyjnie adresem rejestru i jego znaczeniem. Dokument PICS and MICS jest odpowiednikiem stosowanych tradycyjnie profili urządzeń w odniesieniu do implementacji funkcji komunikacyjnych. Redundancja W celu zapobieżenia utraty łączności stosuje się różne formy rezerwowania połączeń. Typ rozwiązania jest ściśle powiązany z topologią sieci. Architektura gwiaździsta ma tą zaletę, że bez stosowania redundancji przerwanie pojedynczego połączenia, jak i wyłączenie urządzenia będącego węzłem sieci nie wpływa na pracę pozostałych urządzeń. Podstawowymi wadami są jednak zanik komunikacji przy awarii centralnego przełącznika oraz konieczność łączenia wszystkich urządzeń z przełącznikiem centralnym, a więc większe nakłady pracy i długości kabli. Przy założeniu, że np. przełącznik centralny (root bridge) znajduje się w nastawni w odległości 10 m od pierwszej celki sekcji 1 i 2, długość kabli w sieci pierścieniowej to łącznie kilkadziesiąt metrów a w sieci gwiaździstej – ponad 400. Obie wady w znacznej mierze eliminuje stosowanie sieci pierścieniowej. Z uwagi na to, że połączenia typu simpleks pomiędzy urządzeniami to znaczne ryzyko utraty połączenia z częścią sieci przy uszkodzeniu łącza lub węzła, zastosowanie mają tylko sieci z połączeniami dupleksowymi. Połączenia tylko typu simpleks umożliwiają już sprawną komunikację, więc ten drugi typ nazywany jest niekiedy pierścieniem podwójnym, co wywołuje nieporozumienia semantyczne, ponieważ sieć pierścieniową można jeszcze zdublować na poziomie dystrybucyjnym. Czas na eliminację zakłóceń przy utracie połączenia narzuca norma IEC 61850-5. Określa ona, iż komunikaty szybkie o wydajności klasy P2 i 3*) powinny nieprzerwanie, w zależności od typu, dotrzeć od źródła do celu w zadanym wąskim przedziale tolerancji w czasie od 1 do kilku milisekund. Rok LXXX 2012 nr 9 OPRACOWANIA – WDROŻENIA – EKSPLOATACJA TABELA I. Wady poszczególnych topologii Problemy techniczne Duża sumaryczna długość transmisyjnych kabli połączeniowych Pierścień simpleks Gwiazda Pierścień dupleks Zdublowana gwiazda Zdublowany pierścień dupleks – tak – tak – Utrata łącza odcina segment sieci tak – – – – Utrata dwóch łączy odcina segment sieci tak – tak – – Całkowity brak komunikacji przy awarii głównego przełącznika tak tak – – – Brak możliwości rekonfiguracji tak tak – – – Problematyczne w realizacji zastosowanie protokołu bezzwłocznej rekonfiguracji N/D N/D – – tak – – tak tak tak Koszt eliminacji wad Konieczność stosowania specjalizowanych przełączników/kart sieciowych Spełnienie tego wymagania stało się całkowitym zaskoczeniem dla producentów sprzętu sieciowego, ponieważ istniejące w momencie powstania normy 61850 standardy rekonfiguracji sieci zapewniały ustabilizowanie połączenia w czasie minimalnie kilkuset milisekund. Dodatkowo główna zasada działania najpopularniejszego protokołu rekonfiguracji STP była sprzeczna z założeniami działania sieci pierścieniowej. Algorytm eliminacji pętli tworzył w rezultacie wirtualne magistrale (daisy chain). Edycja 2. normy precyzuje zasady samego odtworzenia połączenia podstawowego. Dla komunikatów dotyczących blokad międzypolowych i zadziałań zabezpieczeń jest to 4 ms, natomiast dla danych zapewniających prawidłową pracę zabezpieczenia szyn – brak jakiejkolwiek zwłoki. Spełnienie tej zasady przy zastosowaniu cyfrowych komponentów decyzyjnych byłoby dość trudne i dlatego też podjęto próbę jej wykonania niejako od strony sprzętowej – zastąpiono mechanizm wyszukiwania alternatywnej ścieżki klient – serwer znanej, np. w protokole STP przez zasadę nadawania kopii komunikatów ze ścieżki głównej przez alternatywną (primary, secondary). Zerwanie łącza nie oznacza więc w następstwie zastosowania złożonych algorytmów rekonfiguracji sieci, a jedynie utratę jednego z dwóch alternatywnych kanałów łączności bez utraty transmitowanych danych. Grupa Robocza WG15 Międzynarodowej Komisji Elektrotechniki (IEC) opracowała projekt dwóch wersji mechanizmu redundancji – PRP dla sieci gwiaździstych oraz HSR dla sieci pierścieniowych. Projekt ten ukazał się w 2010 r. jako norma IEC 62439. Obecnie producenci sprzętu sieciowego implementują w swoich urządzeniach uaktualnioną w 2012 r. wersję nazwaną roboczo PRP-1. Specyfikacja obu mechanizmów została również włączona do IEC 61850 w edycji drugiej. Dla producentów cyfrowych urządzeń automatyki elektroenergetycznej, którzy chcieli zastosować powyższy mechanizm już w czasie pojawienia się specyfikacji IEC 61850 i jednocześnie pozostać w zgodzie z międzynarodową normą, stało się to jednak zbyt późno. Każdy z nich opracował własne mechanizmy bezzwłocznej rekonfiguracji. Firma Schneider Electric stosuje opracowany już w 2005 r. natywny protokół SHP (self healing protocol) w sieciach pierścieniowych i DHP (dual homing protocol) w sieciach gwiaździstych. Na potrzeby wdrożenia tych protokołów powstały moduły komunikacyjne REB, switche wbudowane serii SWR i SWD, zewnętrzne H35 i H36 oraz karty sieciowe PCI H16x. Rok LXXX 2012 nr 9 Rys. 3. Płyta REB (redundancy ethernet board) zabezpieczeń MiCOM serii Px3x TABELA II. Rodzaje protokołów i ich funkcje Utrata ramki Czas rekonfiguracji IP (IP routing) tak 30 s STP (spanning tree protocol) tak 20 s RSTP (rapid spanning tree protocol) tak 2s CRP (cross-network redundancy protocol) tak 1s MRP (media redundancy protocol) tak 200 ms BRP (beacon redundancy protocol) tak 8 ms PRP (parallel redundancy protocol) nie 0s HSR (high-availability seamless ring) nie 0s Protokół Trwające obecnie prace działu rozwoju zmierzają do zaimplementowania PRP i HSR. Wkrótce zalety tych protokołów będzie można wykorzystać z przełącznikami RuggedCom, Hirshmann, Cisco i innymi. Aktualnie moduły REB (redundand ethernet board), w które można wyposażyć zabezpieczenia MiCOM, dzięki zaimplementowanym regułom RSTP, mogą zostać włączone do nawet bardzo rozbudowanych sieci o topologii mieszanej. 51 OPRACOWANIA – WDROŻENIA – EKSPLOATACJA Rys. 4. Zastosowanie kart REB TABELA III. Poziomy uprawnień do edycji nastaw zabezpieczeń MiCOM Poziom dostępu Znaczenie 0 przegląd określonych danych 1 przegląd wszystkich danych 2 przegląd wszystkich danych i modyfikacja wybranych 3 przegląd i modyfikacja wszystkich danych n/d hasło fabryczne Bezpieczeństwo sieciowe Ataki sieciowe towarzyszyły rozwojowi internetu od jego początków, jeszcze w fazie lokalnych sieci korporacyjnych. Jako że technologia Ethernet w sieciach elektroenergetycznych znajdowała zastosowanie z dużą bezwładnością, a dodatkowo sieci SSiN były i pozostają nadal odseparowane od WAN i intranetu, działania hakerów ich nie dosięgały. Od roku 2006 [2] w Stanach Zjednoczonych notuje się coraz liczniejsze próby włamywania do takich sieci. Nie mają one na razie na celu zaburzenia pracy sieci elektroenergetycznej, mają raczej charakter infiltracyjny, stanowią jednak potencjalne poważne zagrożenie dla bezpieczeństwa energetycznego kraju. Corocznie Kongres Amerykański przeznacza kilka miliardów dolarów na ochronę sieci rządowych. Podobne wydatki podejmują również kompanie energetyczne. W grudniu 2008 r. komitet NERC (North American Electric Reliability Corporation) zaproponował standardy ochrony dużych sieci energetycznych (bulk electric system) opartych na zaleceniach CIA. Dokument wydano w 9 częściach zawierających zasady ochrony w zakresie oceny ryzyka, procedur zarządzania bezpieczeństwem, określania zasięgu ochrony, szkolenia personelu, fizycznej ochrony obiektów zagrożonych, definiowania poziomów dostępu oraz dokumentowania przypadków włamań. 52 Zalecenia znalazły odzwierciedlenie w normie ISO 27002 a także PN 17799. W Ameryce Północnej reguły mają być w pełni wprowadzone w życie do 2015 r. Europa centralna zamierza osiągnąć w tym czasie poziom 50–70%. Firma Schneider Electric wdraża obecnie zasady opisane w zaleceniach CIP (critical infrastructure protection) na poziomie SSiN, a także automatyki stacyjnej. Działania prewencyjne obejmują w pierwszym etapie szkolenia dla użytkowników instrukcje eksploatacji, audyty techniczne oraz uaktualnienia oprogramowania. Wprowadzono także zmiany ograniczające swobodny dostęp do interfejsów urządzeń: – 4 poziomy dostępu chronione odpowiednio złożonymi hasłami, – możliwość blokowania nieużywanych portów fizycznych i poszczególnych protokołów komunikacji, – niemożliwa do usunięcia rejestracja otwarć dostępu lub ich próby, – automatyczne wylogowanie po zadanym czasie, – ochrona antywirusowa i zapora ogniowa. Wpisanie błędnego hasła określoną liczbę razy (domyślnie 2) spowoduje zablokowanie urządzenia na okres 2 min. Jeśli użytkownik zapomni hasła, możliwe jest odzyskanie dostępu na poziomie 4. po podaniu producentowi kodu bezpieczeństwa wyświetlonego przez urządzenie oraz jego numeru seryjnego. Otrzymane zwrotnie hasło odzyskiwania dostępu jest więc unikalne dla każdego urządzenia oraz dodatkowo ważne tylko przez 72 godziny od momentu wyświetlenia kodu bezpieczeństwa przez urządzenie. LITERATURA [1] IEC 61850 International Standard [2] http://online.wsj.com/article/SB123914805204099085.html#articleTabs%3Darticle Klasa P2 i P3 odnosi się do urządzeń w polach zasilających a P1 – do wszystkich pozostałych. *) Schneider Electric Energy Poland Sp. z o.o. ul.Strzegomska 23/27 58-160 Świebodzice tel. 74 854 88 77 www.schneider-energy.pl Rok LXXX 2012 nr 9