Wybrane zagadnienia komunikacji IEC 61850 w

 OPRACOWANIA – WDROŻENIA – EKSPLOATACJA
Wybrane zagadnienia komunikacji IEC 61850 w sieciach elektroenergetycznych
Roman Węgrzyn
Podstawowym celem tworzenia standardów protokołów komunikacyjnych są połączenia pomiędzy urządzeniami różnych producentów. Standard IEC 61850 [1] opisuje zasady
nawiązywania połaczeń i realizacji niezbędnych zadań w środowisku sieci Ethernet. Zespół tworzący ten dokument zadbał jednocześnie o pewne zalecenia wykraczające poza opis
formatu danych i algorytmy sesji połączeniowych. Zalecenia
dotyczą również wymagań środowiskowych, jakościowych,
reguł zarządzania projektem, struktury plików konfiguracyjnych, sposobu zmiany konfiguracji, testowania, zabezpieczenia dostępu czy też synchronizacji czasu.
Novum dla istniejących implementacji oprogramowania jest np.
struktura konfiguracji. Parametry systemu powinny być spójne dla
wszystkich części systemu automatyki. Wymagany jest również podział na narzędzia do parametryzacji ogólnej dla parametrów sy-
Rys. 1. Konfigurator zabezpieczeń MiCOM
Rys. 2. Fragment dokumentacji IEC 61850 zabezpieczeń MiCOM
Mgr inż. Roman Węgrzyn – Schneider Electric Energy Poland Sp. z o.o.,
Świebodzice
50 stemu (bazy danych konfiguracyjnych) oraz dla autonomicznych
parametrów IED, struktura bazy danych powinna być hierarchiczna
w odniesieniu do struktury stacji.
Większość producentów urzadzeń automatyki stacyjnej stworzyła
w wyniku tych wymagań oddzielne aplikacje zarządzające modelem
danych ACSI. Program IED Configurator dla zapewnienia integralności danych operuje na oddzielnych konfiguracjach – aktywna nie
może być zmieniana on-line, natomiast uaktualniona rezerwowa
staje się aktywna dopiero po restarcie modułu komunikacyjnego.
Zunifikowane zostały również zasady tworzenia dokumentacji. Pliki ADL (adress data list) wiążą zdekomponowane adresy obiektu
danych IEC 61850 z używanym tradycyjnie adresem rejestru i jego
znaczeniem. Dokument PICS and MICS jest odpowiednikiem stosowanych tradycyjnie profili urządzeń w odniesieniu do implementacji funkcji komunikacyjnych.
Redundancja
W celu zapobieżenia utraty łączności stosuje się
różne formy rezerwowania połączeń. Typ rozwiązania jest ściśle powiązany z topologią sieci. Architektura gwiaździsta ma tą zaletę, że bez stosowania
redundancji przerwanie pojedynczego połączenia,
jak i wyłączenie urządzenia będącego węzłem sieci
nie wpływa na pracę pozostałych urządzeń. Podstawowymi wadami są jednak zanik komunikacji przy
awarii centralnego przełącznika oraz konieczność łączenia wszystkich urządzeń z przełącznikiem centralnym, a więc większe nakłady pracy i długości kabli.
Przy założeniu, że np. przełącznik centralny (root
bridge) znajduje się w nastawni w odległości 10 m od
pierwszej celki sekcji 1 i 2, długość kabli w sieci pierścieniowej to łącznie kilkadziesiąt metrów a w sieci
gwiaździstej – ponad 400.
Obie wady w znacznej mierze eliminuje stosowanie sieci pierścieniowej. Z uwagi na to, że połączenia
typu simpleks pomiędzy urządzeniami to znaczne
ryzyko utraty połączenia z częścią sieci przy uszkodzeniu łącza lub węzła, zastosowanie mają tylko sieci
z połączeniami dupleksowymi. Połączenia tylko typu
simpleks umożliwiają już sprawną komunikację, więc
ten drugi typ nazywany jest niekiedy pierścieniem
podwójnym, co wywołuje nieporozumienia semantyczne, ponieważ sieć pierścieniową można jeszcze
zdublować na poziomie dystrybucyjnym.
Czas na eliminację zakłóceń przy utracie połączenia narzuca norma IEC 61850-5. Określa ona, iż
komunikaty szybkie o wydajności klasy P2 i 3*) powinny nieprzerwanie, w zależności od typu, dotrzeć od źródła do celu w zadanym
wąskim przedziale tolerancji w czasie od 1 do kilku milisekund.
Rok LXXX 2012 nr 9
OPRACOWANIA – WDROŻENIA – EKSPLOATACJA
TABELA I. Wady poszczególnych topologii
Problemy techniczne
Duża sumaryczna długość transmisyjnych kabli połączeniowych
Pierścień
simpleks
Gwiazda Pierścień dupleks
Zdublowana
gwiazda
Zdublowany
pierścień dupleks
–
tak
–
tak
–
Utrata łącza odcina segment sieci
tak
–
–
–
–
Utrata dwóch łączy odcina segment sieci
tak
–
tak
–
–
Całkowity brak komunikacji przy awarii głównego przełącznika
tak
tak
–
–
–
Brak możliwości rekonfiguracji
tak
tak
–
–
–
Problematyczne w realizacji zastosowanie protokołu bezzwłocznej
rekonfiguracji
N/D
N/D
–
–
tak
–
–
tak
tak
tak
Koszt eliminacji wad
Konieczność stosowania specjalizowanych przełączników/kart sieciowych
Spełnienie tego wymagania stało się całkowitym zaskoczeniem dla
producentów sprzętu sieciowego, ponieważ istniejące w momencie
powstania normy 61850 standardy rekonfiguracji sieci zapewniały
ustabilizowanie połączenia w czasie minimalnie kilkuset milisekund. Dodatkowo główna zasada działania najpopularniejszego protokołu rekonfiguracji STP była sprzeczna z założeniami działania
sieci pierścieniowej. Algorytm eliminacji pętli tworzył w rezultacie
wirtualne magistrale (daisy chain).
Edycja 2. normy precyzuje zasady samego odtworzenia połączenia
podstawowego. Dla komunikatów dotyczących blokad międzypolowych i zadziałań zabezpieczeń jest to 4 ms, natomiast dla danych zapewniających prawidłową pracę zabezpieczenia szyn – brak jakiejkolwiek zwłoki. Spełnienie tej zasady przy zastosowaniu cyfrowych
komponentów decyzyjnych byłoby dość trudne i dlatego też podjęto
próbę jej wykonania niejako od strony sprzętowej – zastąpiono mechanizm wyszukiwania alternatywnej ścieżki klient – serwer znanej,
np. w protokole STP przez zasadę nadawania kopii komunikatów ze
ścieżki głównej przez alternatywną (primary, secondary). Zerwanie
łącza nie oznacza więc w następstwie zastosowania złożonych algorytmów rekonfiguracji sieci, a jedynie utratę jednego z dwóch alternatywnych kanałów łączności bez utraty transmitowanych danych.
Grupa Robocza WG15 Międzynarodowej Komisji Elektrotechniki (IEC) opracowała projekt dwóch wersji mechanizmu redundancji
– PRP dla sieci gwiaździstych oraz HSR dla sieci pierścieniowych.
Projekt ten ukazał się w 2010 r. jako norma IEC 62439. Obecnie
producenci sprzętu sieciowego implementują w swoich urządzeniach uaktualnioną w 2012 r. wersję nazwaną roboczo PRP-1.
Specyfikacja obu mechanizmów została również włączona do IEC
61850 w edycji drugiej.
Dla producentów cyfrowych urządzeń automatyki elektroenergetycznej, którzy chcieli zastosować powyższy mechanizm już w czasie pojawienia się specyfikacji IEC 61850 i jednocześnie pozostać
w zgodzie z międzynarodową normą, stało się to jednak zbyt późno.
Każdy z nich opracował własne mechanizmy bezzwłocznej rekonfiguracji. Firma Schneider Electric stosuje opracowany już w 2005 r.
natywny protokół SHP (self healing protocol) w sieciach pierścieniowych i DHP (dual homing protocol) w sieciach gwiaździstych.
Na potrzeby wdrożenia tych protokołów powstały moduły komunikacyjne REB, switche wbudowane serii SWR i SWD, zewnętrzne
H35 i H36 oraz karty sieciowe PCI H16x.
Rok LXXX 2012 nr 9
Rys. 3. Płyta REB (redundancy ethernet board) zabezpieczeń MiCOM
serii Px3x
TABELA II. Rodzaje protokołów i ich funkcje
Utrata ramki
Czas
rekonfiguracji
IP (IP routing)
tak
30 s
STP (spanning tree protocol)
tak
20 s
RSTP (rapid spanning tree protocol)
tak
2s
CRP (cross-network redundancy protocol)
tak
1s
MRP (media redundancy protocol)
tak
200 ms
BRP (beacon redundancy protocol)
tak
8 ms
PRP (parallel redundancy protocol)
nie
0s
HSR (high-availability seamless ring)
nie
0s
Protokół
Trwające obecnie prace działu rozwoju zmierzają do zaimplementowania PRP i HSR. Wkrótce zalety tych protokołów będzie
można wykorzystać z przełącznikami RuggedCom, Hirshmann, Cisco i innymi. Aktualnie moduły REB (redundand ethernet board),
w które można wyposażyć zabezpieczenia MiCOM, dzięki zaimplementowanym regułom RSTP, mogą zostać włączone do nawet
bardzo rozbudowanych sieci o topologii mieszanej.
51
OPRACOWANIA – WDROŻENIA – EKSPLOATACJA
Rys. 4. Zastosowanie kart REB
TABELA III. Poziomy uprawnień do edycji nastaw zabezpieczeń MiCOM
Poziom
dostępu
Znaczenie
0
przegląd określonych danych
1
przegląd wszystkich danych
2
przegląd wszystkich danych i modyfikacja wybranych
3
przegląd i modyfikacja wszystkich danych
n/d
hasło fabryczne
Bezpieczeństwo sieciowe
Ataki sieciowe towarzyszyły rozwojowi internetu od jego początków, jeszcze w fazie lokalnych sieci korporacyjnych. Jako że technologia Ethernet w sieciach elektroenergetycznych znajdowała zastosowanie z dużą bezwładnością, a dodatkowo sieci SSiN były i pozostają
nadal odseparowane od WAN i intranetu, działania hakerów ich nie
dosięgały. Od roku 2006 [2] w Stanach Zjednoczonych notuje się coraz
liczniejsze próby włamywania do takich sieci. Nie mają one na razie na
celu zaburzenia pracy sieci elektroenergetycznej, mają raczej charakter infiltracyjny, stanowią jednak potencjalne poważne zagrożenie dla
bezpieczeństwa energetycznego kraju. Corocznie Kongres Amerykański przeznacza kilka miliardów dolarów na ochronę sieci rządowych.
Podobne wydatki podejmują również kompanie energetyczne.
W grudniu 2008 r. komitet NERC (North American Electric Reliability Corporation) zaproponował standardy ochrony dużych sieci
energetycznych (bulk electric system) opartych na zaleceniach CIA.
Dokument wydano w 9 częściach zawierających zasady ochrony
w zakresie oceny ryzyka, procedur zarządzania bezpieczeństwem,
określania zasięgu ochrony, szkolenia personelu, fizycznej ochrony
obiektów zagrożonych, definiowania poziomów dostępu oraz dokumentowania przypadków włamań.
52 Zalecenia znalazły odzwierciedlenie w normie
ISO 27002 a także PN 17799. W Ameryce Północnej
reguły mają być w pełni wprowadzone w życie do
2015 r. Europa centralna zamierza osiągnąć w tym
czasie poziom 50–70%. Firma Schneider Electric
wdraża obecnie zasady opisane w zaleceniach CIP
(critical infrastructure protection) na poziomie SSiN,
a także automatyki stacyjnej. Działania prewencyjne
obejmują w pierwszym etapie szkolenia dla użytkowników instrukcje eksploatacji, audyty techniczne oraz
uaktualnienia oprogramowania.
Wprowadzono także zmiany ograniczające swobodny dostęp do interfejsów urządzeń:
– 4 poziomy dostępu chronione odpowiednio złożonymi hasłami,
– możliwość blokowania nieużywanych portów fizycznych i poszczególnych protokołów komunikacji,
– niemożliwa do usunięcia rejestracja otwarć dostępu lub ich próby,
– automatyczne wylogowanie po zadanym czasie,
– ochrona antywirusowa i zapora ogniowa.
Wpisanie błędnego hasła określoną liczbę razy (domyślnie 2) spowoduje zablokowanie urządzenia na okres 2 min. Jeśli użytkownik
zapomni hasła, możliwe jest odzyskanie dostępu na poziomie 4. po
podaniu producentowi kodu bezpieczeństwa wyświetlonego przez
urządzenie oraz jego numeru seryjnego. Otrzymane zwrotnie hasło
odzyskiwania dostępu jest więc unikalne dla każdego urządzenia
oraz dodatkowo ważne tylko przez 72 godziny od momentu wyświetlenia kodu bezpieczeństwa przez urządzenie.
LITERATURA
[1] IEC 61850 International Standard
[2] http://online.wsj.com/article/SB123914805204099085.html#articleTabs%3Darticle
Klasa P2 i P3 odnosi się do urządzeń w polach zasilających a P1 – do wszystkich pozostałych.
*)
Schneider Electric Energy Poland Sp. z o.o.
ul.Strzegomska 23/27
58-160 Świebodzice
tel. 74 854 88 77
www.schneider-energy.pl
Rok LXXX 2012 nr 9