Tábor 9. a 10.11.2010
Konference ČK CIRED 2010
BEZPEČNOSTNÍ ASPEKTY TESTOVÁNÍ HORIZONTÁLNÍ KOMUNIKACE DLE IEC 61850 Václav Straka, Antonín Krňoul, “TMV SS“ spol. s r.o. Horizontální komunikace dle IEC 61850 je již běžnou součástí komunikačních řešení v distribučních rozvodnách. Příspěvek je zaměřen na bezpečnostní aspekty testování této komunikace za provozu včetně vazeb na diagnostiku "klasickými“ prostředky.
1. ÚVOD Standard IEC 61850 byl vytvořen na základě dohody mezi klíčovými výrobci IED (Inteligent electronic device) v oblasti energetiky. Práce na tomto protokolu započaly cca kolem roku 1995 a zúčastnilo se jí aktivně více než 60 subjektů s celosvětovým působením. Cílem bylo vytvoření univerzálního protokolu umožňujícího interoperabilitu mezi IED různých výrobců, což by mělo zaručit jednoduchost komunikace bez nutnosti použití překladačů protokolů, ať již hardwarových, tak softwarových. První standardizované kapitoly se týkají oblasti ochran a řídících systémů, ale tento protokol by se měl postupně zavést do celé oblasti výroby, rozvodu, přenosu i distribuce elektrické energie. V rámci standardu je nutno rozlišovat jednotlivé kapitoly, neboť jsou určeny pro různou úroveň komunikace, viz obrázek 1:
Obrázek 1 – náhled architektury 1.1. PŘEHLED KAPITOL IEC 61850 IEC 61850 se sestává z následujících částí, které jsou detailně rozepsány v následujících dokumentech a jejich kapitolách: •
IEC 61850-1: Introduction and overview
•
IEC 61850-2: Glossary
•
IEC 61850-3: General requirements
•
IEC 61850-4: System and project management
•
IEC 61850-5: Communication requirements for functions and device models
•
IEC 61850-6: Configuration language for communication in electrical substations related to IEDs
•
IEC 61850-7: Basic communication structure for substation and feeder equipment
Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
1
Tábor 9. a 10.11.2010
•
o
IEC 61850-7-1: Principles and models
o
IEC 61850-7-2: Abstract communication service interface (ACSI)
o
IEC 61850-7-3: Common Data Classes
o
IEC 61850-7-4: Compatible logical node classes and data classes
IEC 61850-8: Specific communication service mapping (SCSM) o
•
•
Konference ČK CIRED 2010
IEC 61850-8-1: Mappings to MMS (ISO/IEC9506-1 and ISO/IEC 9506-2)
IEC 61850-9: Specific communication service mapping (SCSM) o
IEC 61850-9-1: Sampled values over serial unidirectional multidrop point to point link
o
IEC 61850-9-2: Sampled values over ISO/IEC 8802-3
IEC 61850-10: Conformance testing
Tento protokol je určen k běhu ve standardních TCP/IP sítích, avšak za použití vysokorychlostních prvků sítí, které obzvláště pro oblast elektrických ochran zaručí odbavení signálu GOOSE (Generic Object Oriented Substation Events) v čase kratším než 4ms. Jak je z výše uvedeného přehledu vyplývá, jedná se o poměrně rozsáhlý standard, přičemž tento materiál se bude věnovat pouze horizontální komunikaci v rámci tohoto protokolu popsaného v kapitole IEC 61850-8-1. 1.2. OBSAH KAPITOLY IEC 61850-8-1 Tato kapitola obsahuje popis horizontální komunikace. Často bývá zjednodušována na „binární signalizaci ve formátu protokolu“, ale není to zcela kompletní informace. GOOSE je možno definovat jako standardizovaný digitální rámec obsahující informace o objektu včetně datové sady. Datová sada může obsahovat následující: •
Reálný hodnoty (např. analogový GOOSE jako RMS hodnoty)
•
Hodnoty typu integer (např. pozici přepínače odboček).
•
Hodnoty typu boolean (např. tripový signál /jednohodnotový GOOSE)
•
2-bit řetězec / “double indication“ (např. pozice výkonového vypínače)
V této souvislosti je potřeba uvést, že vertikální komunikace mezi IED a SCADA není GOOSE, i když je popsána v IEC 61850. V tomto případě se jedná o komunikaci typu klient – server, jako na obrázcích 2 a 3
Obrázek 2 a 3 – příklady vertikální komunikace Předmětem tohoto materiálu budete tedy pouze komunikace horizontální s popisem jednotlivých aplikací. Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
2
Tábor 9. a 10.11.2010
Konference ČK CIRED 2010
2. TESTOVÁNÍ HORIZONTÁLNÍ KOMUNIKACE, APLIKACE ASPEKTY Vzhledem k tomu, že i když se horizontální komunikací zabývá především kapitola IEC 61850-8-1, bude tato aplikace rozdělena dle typických aplikací v oblasti ochran při současném zohlednění specifika testování 2.1. IEC 61850-8-1 V OBLASTI CHRÁNĚNÍ V celosvětovém průměru je více než 40% nově stavěných rozvoden používá GOOSE jako signalizace blokování (případně jako akcelerační či řídící signály) pro komunikaci mezi ochranami. Tripovací signály vyvedené pomocí GOOSE přímo na vypínače jsou stále vysoce neobvyklé a jejich výraznější rozšíření lze očekávat až v budoucnu společně s příchodem nové generace výkonových vypínačů připravených nejen na GOOSE, ale v souvislosti s propojením (a hromadným nasazením) s nekonvenčními měřícími přístrojovými transformátory. Předpoklady hovoří o řádu několika až desítek let. Na straně jedné to přináší výrazně zjednodušenou hardwarovou logiku propojení, které bylo dříve řešeno metalickou binární signalizací. Oproti tomu použití GOOSE výrazně zjednodušuje logiku kabeláže a eventuelní náhradu jednotlivých prvků schématu. Následující obrázek ukazuje příklad v případě selhání vypínače
Selhání vypínače
Vzdálený trip
2-
Obrázek 4 – komunikace GOOSE v případě selhání vypínače
Je však nutno si uvědomit, že tento přístup z praktického hlediska vyžaduje nejen naprosto novou úroveň znalostí diagnostických skupin, ale i jejich hardwarového vybavení. Naprostá většina skupin je v současnosti vybavena obvyklými testovacími přístroji, t.j. s analogovými generátory napětí a proudu a obvyklými kontaktními či napěťovými binárními vstupy a výstupy. V souladu s faktem, že naprostá většina ochran není připravena na připojení měřících vstupů pomocí „sampled values“ dle IEC 61850, zůstávají stále nutností „klasické“ testovací soupravy, velmi často s nutností komunikovat v oblasti blokování pomocí GOOSE. Hromadné nahrazení těchto souprav by zřejmě přineslo neúměrné ekonomické nároky a současně i značnou duplicitu v přístrojovém vybavení. Z tohoto hlediska je preferovaným postupem doplnění stávajícího vybavení externími hardwarovými konvertory GOOSE do podoby „klasických“ binárních signálů a naopak binární signalizace, generované testovacími soupravami, do podoby GOOSE pro ochrany. To umožní nejenom výrazné zvýšení efektivnosti investic, ale současně zachování znalosti personálu v dané oblasti. 2.2. IEC 61850-8-1 V OBLASTI ŘÍDÍCÍCH SYSTÉMŮ Je třeba vzít v potaz, že GOOSE signály nejsou ve značném množství případů vztaženy k vlastnímu chránění. Naprostá většina z nich jsou řídící nebo blokovací signály (například pozice prvků v rozvodně). Paradoxem je, že by měly být testovány skupinou pracovníků, kteří obvykle nemají žádné znalosti testovacích prostředků pro čistě ochranářské aplikace. Paradoxem je, že naprostá většina GOOSE je vztažena právě oblasti řídících systémů či blokád. Typická ukázka je na obrázku 5
Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
3
Tábor 9. a 10.11.2010
Konference ČK CIRED 2010
Obrázek 5 – ukázka aplikace v oblasti řízení 2.3. IEC 61850-8-1 V OBLASTI IT BEZPEČNOSTI Pro vysvětlení tohoto bodu je nutno uvědomit si jeden fakt. Jednotlivé IED jsou vzájemně propojeny optickou sítí ve formě jednoduchého, ale velmi často dvojitého pruhu. Pokud je zapotřebí odposlouchávat probíhající komunikaci, připojení externího datového prostředku (PC) se provádí přes switch v rozvodně. Umožňuje to samozřejmě vizualizovat komunikaci v celé síti, ale současně je zapotřebí uvědomit si poměrně vysoké riziko v obousměrné propustnosti LAN portu PC. Zatímco v případě uvádění do provozu (commissioning) není předpoklad vzniku eventuelních škod, avšak v případě periodického testování (maintenance) tento přístup přináší značné množství rizik. (V případě začleňování nového prvku do existující struktury je třeba mít na vědomí, že se nejedná o klasické uvádění do provozu, ale o testování již v rámci existující a provozované sítě). Mezi jedno z hlavních rizik je nutno započítat možnost infikování připojeného PC malware softwarem, který by za určitých okolností náhodné GOOSE do horizontální sběrnice. Vzhledem k rychlosti generování je pravděpodobnost interakce se stávajícími GOOSE poměrně vysoká. Za další rizikový faktor je možno považovat generování náhodných ethernetových řetězců. U nich není riziko interakce se stávajícími GOOSE, ale vyvstává riziko přetížení komunikační sběrnice a tím i nesprávné funkce rychlosti odezev jednotlivých IED. Obecně lze tento fakt popsat jako riziko neznámého PC. I když bychom si byli poměrně jisti ohledně vlastních PC, ale jsme toto schopni prohlásit i o PC externích subjektů pracujících v sítích? Jedná se o zcela nový aspekt, s nímž bude nutno se vyrovnat a nalézt možná řešení. Možné způsoby budou popsány v kapitole 3. Za další riziko je možno považovat vlastní komunikační strukturu GOOSE. Jedná se o poměrně komplikovanou datovou strukturu, přičemž základním požadavkem je shoda reálného souboru použitého v síti s teoretickým definičním souborem struktury. Zkušenosti často hovoří o faktu, že se teoretický a aktuálně používaný soubor neshodují. Tím vzniká těžko definovatelný vztah, kdy je třeba nejen nalézt aktuálně přiřazené GOOSE, ale i definovat veškeré rozdíly. Už v případě malé rozvodny osazená několika terminály vývodu se jedná o velmi komplexní soubory, jejichž manuální porovnání není téměř možné. Tento případ může nastat nejen při uvádění do provozu, ale i v rámci periodického testování či FAT testech u výrobce.. Celkově lze problematiku spojenou s IT strukturou označit za zřejmě nejzávažnější, vyžadující doplnění kvalifikace stávajícího personálu a dostatečné zvážení potencionálních rizik.
Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
4
Tábor 9. a 10.11.2010
Konference ČK CIRED 2010
3. MOŽNÁ ŘEŠENÍ JEDNOTLIVÝCH PROBLEMATIK Celkově lze rozdělit řešení do dvou nezávislých částí, a to hardwarové (vztažené k celému bodu 2) a softwarové (vztažené zejména k bodu 2.3). Obě dvě řešení by měla spolehlivě spolupracovat, a doplňovat, pokud možno by se mělo jednat o řešení komplexní, splňující nejen funkční, ale i bezpečnostní kritéria. Cílem řešení je nejen spolehlivé otestování funkčnosti horizontální komunikace, ale i řešení bezpečnostních aspektů. 3.1. HARDWAROVÉ PROSTŘEDKY TESTOVÁNÍ GOOSE Jako výchozí stav je možno považovat situaci před nástupem protokolu IEC 61850, t.j. situaci kdy ochrany byly na vstupech vybaveny A/D převodníky a kdy binární signalizace (tripy, pozice, blokování, strhávání atd...) byly řešeny výhradně pomocí metalických vedení a kontaktních či napěťových binárních signalizací. Klasický testovací prostředek byl napěťový a proudový generátor, vybavený určitým počtem binárních vstupů a výstupů. Zatímco A/D převodníky v naprosté většině případů zůstaly zachovány i v „nových“ ochranách (ochrany zpracovávající jako informaci o napěťových a proudových průbězích takzvané „sampled values“, jsou v našich oblastech stále výjimkou), bývalá binární komunikace se přesouvá právě do podoby protokolů a jednotlivých zpráv typu GOOSE. Pracovníci provádějící uvádění do provozu či periodické testování nyní stojí před rozhodnutím, zda-li upgradovat či vyměnit kompletně své testovací vybavení, které jinak krom zpracování GOOSE, zcela odpovídá požadavkům a funkčností jednotlivých ochran. Dalším aspektem je, že komunikací GOOSE není vybavena většina ochran, takže zcela nová funkčnost není plně využitelná. Jako poměrně vhodným řešení se jeví hardwarové konvertory mezi binární prvky a prostředí protokolu, které zjednodušeně řečeno převádějí GOOSE (např. informaci o blokování) do podoby binárního kontaktu a binární kontakt z testeru (např. simulaci pozice vypínače) do GOOSE. V případě, že takovýto konvertor splňuje požadavky na rychlost konverze (obvykle cca 0,5 ms), „klasický“ tester nemá prakticky šanci rozpoznat, zdali signalizace pochází z běžného binárního kontaktu ochrany, či IED na protokolu IEC 61850. Výhodou je, že personál může používat stávající vybavení a v případě potřeby hardwarový konvertor sdílet s ostatními skupinami pouze v případech, kdy jej skutečně potřebuje. Další výraznou předností hardwarových konvertorů je jejich využití pracovníky zaměřenými na řídící systémy. Velmi často se jedná o personál, který má minimální zkušenost s obvyklými testery ochran, neboť jejich funkčnost nepotřebuje. Jediné, co využívá, je binární signalizace (pozice, blokování, strhávání atd...). V případě, že konvertor je vybaven světelnou signalizací, je vhodné například přiřadit konkrétní GOOSE na binární výstup konvertoru (i když fyzicky není využit) a sledovat nejen událost prostřednictvím SW prostředků, ale i fyzicky optickou hardwarovou signalizací či indikátorem sepnutí kontaktu. Tím se výrazně zjednoduší nejen práce těchto pracovníků, ale například i indikace krátkodobých událostí, třeba mezipolohových signálních kontaktů u vypínačů vvn.
Obrázek 6 a 7 – příklady jednosměrné datové propustnosti hardwarového konvertoru Posledním zásadním aspektem zmíněným v bodě 2 je IT bezpečnost. Obecně lze považovat za nevhodné, pokud je standardní ethernetový port připojen přímo k průmyslové síti / sběrnici rozvodny. Tím je otevřena Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
5
Tábor 9. a 10.11.2010
Konference ČK CIRED 2010
brána do celé sítě (a z hlediska topologie komunikace i k ostatní IED a prvkům), která může být ovlivněna nežádoucími způsoby (malware, zahlcení sítě atd.). Toto riziko výrazně stoupá s pracemi externích subjektů, neboť nad jejich výpočetními prostředky není možno mít dostatečnou kontrolu zvenčí. Jako jediným prostředkem pro eliminaci tohoto rizika se jeví fyzická separace uživatelského PC od datové sítě rozvodny. Tento úkol je řešitelný pomocí hardwarových konvertorů (obsahující 2 porty, jeden pro PC LAN a druhý pro IEC 61850), ovšem pouze za splnění podmínky, že porty jsou od sebe fyzicky zcela odděleny a jsou pouze jednosměrně propustné, tzn. Směrem od sítě 61850 do PC, avšak zcela neprostupné ve směru z PC do sítě 61850. Port určeny pro PC musí být použitelný pouze pro vyčítání a odposlech dat ve směru jednom, avšak ve směru druhém pouze pro parametrizaci hardwarového konvertoru. Toto je klíčová vlastnost pro udržení IT bezpečnosti struktury. Samotná existence dvou LAN vstupů na přístroji či konvertoru nám tuto bezpečnost nezaručí! Příklady jednosměrné propustnosti na obrázcích 6 a 7. 3.2. SOFTWAROVÉ POŽADAVKY NA TESTOVÁNÍ GOOSE Bez softwarových aplikací není testování GOOSE představitelné. Je zapotřebí definovat, jakou funkčnost od software vlastně očekáváme a jakou využíváme: •
Odposlech komunikace IEC 61850
•
Načtení teoretického souboru rozvodny (např. ve formátu SCL)
•
Automatické porovnání obou zdrojů s automatickou alokací odchylek
•
Přiřazení jednotlivých GOOSE binárním vstupům a výstupům
•
Práce s hodnotami typu reálných hodnot (analog GOOSE), integer (např.pozice přepínače odboček), boolean (např.trip), a nebo „2-bit string/double indication“ (např.pozice vypínače).
•
Filtrace hodnot
•
Sledování změn s automatickým vyznačením v reálném čase
V každém případě při používání softwarových nástrojů bychom měli vzít v potaz i body zmíněné v předchozích odstavcích, neboť i profesionální SW nástroje se mohou chovat za určitých okolností nebezpečně. Použití hardwarového firewall je dle názoru autorů více než vhodné.
4. ZÁVĚR Prostředí protokolu IEC 61850 přináší poměrně značné množství výhod, ale současně poměrně vysoké množství aspektů, které dříve neměly takový význam. Počínajíc hardwarem testovacích skupin, vzdělávání personálu, ale především bezpečného provozu komunikace IEC61850. Samo používání byť i profesionálního software samo o sobě není zárukou IT bezpečnosti těchto sítí. Hardwarové konvertory s funkčností hardwarového firewall mohou bezpečnostní rizika výrazně snížit současně s vyšší komfortem práce personálu.
5. LITERATURA [1]
Standard IEC 61850-8-1 – skupina autorů
[2]
General purpose IEC 61850-8-1 testing tools ..., Andrea Bonetti, 2009. Ing.Václav STRAKA Absvolvent ČVUT FEL (1994). Od absolvování pracuje ve firmě TMV SS s.r.o. (měřící a diagnostické přístroje pro oblast energetiky a průmyslu) jako technický specialista a manažer aplikací, nyní ve funkci jednatele. Specializuje se na on-line monitoring výkonových transformátorů, diagnostické a testovací vybavení pro oblast vn kabelů, transformátorů, vypínačů vn, vvn, bateriových systémů a UPS, ochran, zobrazení korony a měření elektrických a magnetických polí. TMV SS s.r.o., Studánková 395, 149 00 Praha 4 Tel.: +420 272 942 720,
Fax.: +420 272 942 722
E-mail:
[email protected] URL: www.tmvss.cz
Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
6
Tábor 9. a 10.11.2010
Konference ČK CIRED 2010
Antonín Krňoul Absolvent ČVUT FEL. Od roku 2005 pracuje ve firmě TMV SS s.r.o. (měřící a diagnostické přístroje pro oblast energetiky a průmyslu) jako technický specialista. Specializuje se na přístroje a metody pro oblast diagnostiky vypínačů vn a vvn, vizualizaci ve viditelném a IR spektru a metody frekvenčních diagnostik. TMV SS s.r.o., Studánková 395, 149 00 Praha 4 Tel.: +420 272 942 720,
Fax.: +420 272 942 722
E-mail:
[email protected] URL: www.tmvss.cz
Václav Straka - Sekce č.3 / č.referátu 12
© ČK CIRED 2010
7