BEZPEČNOSTNÍ ASPEKTY TESTOVÁNÍ HORI- ZONTÁLNÍ KOMUNIKACE DLE IEC 61850 Václav Straka, Antnín Krňul, TMV SS spl. s r.. Hrizntální kmunikace dle IEC 61850 je již běžnu sučástí kmunikačních řešení v distribučních rzvdnách. Příspěvek je zaměřen na bezpečnstní aspekty testvání tét kmunikace za prvzu včetně vazeb na diagnstiku "klasickými prstředky. 1. ÚVOD Standard IEC 61850 byl vytvřen na základě dhdy mezi klíčvými výrbci IED (Inteligent electrnic device) v blasti energetiky. Práce na tmt prtklu zapčaly cca klem rku 1995 a zúčastnil se jí aktivně více než 60 subjektů s celsvětvým půsbením. Cílem byl vytvření univerzálníh prtklu umžňujícíh interperabilitu mezi IED různých výrbců, cž by měl zaručit jednduchst kmunikace bez nutnsti pužití překladačů prtklů, ať již hardwarvých, tak sftwarvých. První standardizvané kapitly se týkají blasti chran a řídících systémů, ale tent prtkl by se měl pstupně zavést d celé blasti výrby, rzvdu, přensu i distribuce elektrické energie. V rámci standardu je nutn rzlišvat jedntlivé kapitly, nebť jsu určeny pr různu úrveň kmunikace, viz brázek 1: Obrázek 1 náhled architektury 1.1. PŘEHLED KAPITOL IEC 61850 IEC 61850 se sestává z následujících částí, které jsu detailně rzepsány v následujících dkumentech a jejich kapitlách: IEC 61850-1: Intrductin and verview IEC 61850-2: Glssary IEC 61850-3: General requirements IEC 61850-4: System and prject management IEC 61850-5: Cmmunicatin requirements fr functins and device mdels IEC 61850-6: Cnfiguratin language fr cmmunicatin in electrical substatins related t IEDs IEC 61850-7: Basic cmmunicatin structure fr substatin and feeder equipment Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 1
IEC 61850-7-1: Principles and mdels IEC 61850-7-2: Abstract cmmunicatin service interface (ACSI) IEC 61850-7-3: Cmmn Data Classes IEC 61850-7-4: Cmpatible lgical nde classes and data classes IEC 61850-8: Specific cmmunicatin service mapping (SCSM) IEC 61850-8-1: Mappings t MMS (ISO/IEC9506-1 and ISO/IEC 9506-2) IEC 61850-9: Specific cmmunicatin service mapping (SCSM) IEC 61850-9-1: Sampled values ver serial unidirectinal multidrp pint t pint link IEC 61850-9-2: Sampled values ver ISO/IEC 8802-3 IEC 61850-10: Cnfrmance testing Tent prtkl je určen k běhu ve standardních TCP/IP sítích, avšak za pužití vyskrychlstních prvků sítí, které bzvláště pr blast elektrických chran zaručí dbavení signálu GOOSE (Generic Object Oriented Substatin Events) v čase kratším než 4ms. Jak je z výše uvedenéh přehledu vyplývá, jedná se pměrně rzsáhlý standard, přičemž tent materiál se bude věnvat puze hrizntální kmunikaci v rámci tht prtklu ppsanéh v kapitle IEC 61850-8-1. 1.2. OBSAH KAPITOLY IEC 61850-8-1 Tat kapitla bsahuje ppis hrizntální kmunikace. Čast bývá zjedndušvána na binární signalizaci ve frmátu prtklu, ale není t zcela kmpletní infrmace. GOOSE je mžn definvat jak standardizvaný digitální rámec bsahující infrmace bjektu včetně datvé sady. Datvá sada může bsahvat následující: Reálný hdnty (např. analgvý GOOSE jak RMS hdnty) Hdnty typu integer (např. pzici přepínače dbček). Hdnty typu blean (např. tripvý signál /jednhdntvý GOOSE) 2-bit řetězec / duble indicatin (např. pzice výknvéh vypínače) V tét suvislsti je ptřeba uvést, že vertikální kmunikace mezi IED a SCADA není GOOSE, i když je ppsána v IEC 61850. V tmt případě se jedná kmunikaci typu klient server, jak na brázcích 2 a 3 Obrázek 2 a 3 příklady vertikální kmunikace Předmětem tht materiálu budete tedy puze kmunikace hrizntální s ppisem jedntlivých aplikací. Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 2
2. TESTOVÁNÍ HORIZONTÁLNÍ KOMUNIKACE, APLIKACE ASPEKTY Vzhledem k tmu, že i když se hrizntální kmunikací zabývá především kapitla IEC 61850-8-1, bude tat aplikace rzdělena dle typických aplikací v blasti chran při sučasném zhlednění specifika testvání 2.1. IEC 61850-8-1 V OBLASTI CHRÁNĚNÍ V celsvětvém průměru je více než 40% nvě stavěných rzvden pužívá GOOSE jak signalizace blkvání (případně jak akcelerační či řídící signály) pr kmunikaci mezi chranami. Tripvací signály vyvedené pmcí GOOSE přím na vypínače jsu stále vysce nebvyklé a jejich výraznější rzšíření lze čekávat až v buducnu splečně s příchdem nvé generace výknvých vypínačů připravených nejen na GOOSE, ale v suvislsti s prpjením (a hrmadným nasazením) s neknvenčními měřícími přístrjvými transfrmátry. Předpklady hvří řádu něklika až desítek let. Na straně jedné t přináší výrazně zjedndušenu hardwarvu lgiku prpjení, které byl dříve řešen metalicku binární signalizací. Oprti tmu pužití GOOSE výrazně zjedndušuje lgiku kabeláže a eventuelní náhradu jedntlivých prvků schématu. Následující brázek ukazuje příklad v případě selhání vypínače Selhání vypínače Vzdálený trip 2- Obrázek 4 kmunikace GOOSE v případě selhání vypínače Je však nutn si uvědmit, že tent přístup z praktickéh hlediska vyžaduje nejen naprst nvu úrveň znalstí diagnstických skupin, ale i jejich hardwarvéh vybavení. Naprstá většina skupin je v sučasnsti vybavena bvyklými testvacími přístrji, t.j. s analgvými generátry napětí a prudu a bvyklými kntaktními či napěťvými binárními vstupy a výstupy. V suladu s faktem, že naprstá většina chran není připravena na připjení měřících vstupů pmcí sampled values dle IEC 61850, zůstávají stále nutnstí klasické testvací supravy, velmi čast s nutnstí kmunikvat v blasti blkvání pmcí GOOSE. Hrmadné nahrazení těcht suprav by zřejmě přinesl neúměrné eknmické nárky a sučasně i značnu duplicitu v přístrjvém vybavení. Z tht hlediska je prefervaným pstupem dplnění stávajícíh vybavení externími hardwarvými knvertry GOOSE d pdby klasických binárních signálů a napak binární signalizace, genervané testvacími supravami, d pdby GOOSE pr chrany. T umžní nejenm výrazné zvýšení efektivnsti investic, ale sučasně zachvání znalsti persnálu v dané blasti. 2.2. IEC 61850-8-1 V OBLASTI ŘÍDÍCÍCH SYSTÉMŮ Je třeba vzít v ptaz, že GOOSE signály nejsu ve značném mnžství případů vztaženy k vlastnímu chránění. Naprstá většina z nich jsu řídící neb blkvací signály (například pzice prvků v rzvdně). Paradxem je, že by měly být testvány skupinu pracvníků, kteří bvykle nemají žádné znalsti testvacích prstředků pr čistě chranářské aplikace. Paradxem je, že naprstá většina GOOSE je vztažena právě blasti řídících systémů či blkád. Typická ukázka je na brázku 5 Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 3
Obrázek 5 ukázka aplikace v blasti řízení 2.3. IEC 61850-8-1 V OBLASTI IT BEZPEČNOSTI Pr vysvětlení tht bdu je nutn uvědmit si jeden fakt. Jedntlivé IED jsu vzájemně prpjeny pticku sítí ve frmě jednduchéh, ale velmi čast dvjitéh pruhu. Pkud je zaptřebí dpsluchávat prbíhající kmunikaci, připjení externíh datvéh prstředku (PC) se prvádí přes switch v rzvdně. Umžňuje t samzřejmě vizualizvat kmunikaci v celé síti, ale sučasně je zaptřebí uvědmit si pměrně vyské rizik v busměrné prpustnsti LAN prtu PC. Zatímc v případě uvádění d prvzu (cmmissining) není předpklad vzniku eventuelních škd, avšak v případě peridickéh testvání (maintenance) tent přístup přináší značné mnžství rizik. (V případě začleňvání nvéh prvku d existující struktury je třeba mít na vědmí, že se nejedná klasické uvádění d prvzu, ale testvání již v rámci existující a prvzvané sítě). Mezi jedn z hlavních rizik je nutn zapčítat mžnst infikvání připjenéh PC malware sftwarem, který by za určitých klnstí náhdné GOOSE d hrizntální sběrnice. Vzhledem k rychlsti genervání je pravděpdbnst interakce se stávajícími GOOSE pměrně vyská. Za další rizikvý faktr je mžn pvažvat genervání náhdných ethernetvých řetězců. U nich není rizik interakce se stávajícími GOOSE, ale vyvstává rizik přetížení kmunikační sběrnice a tím i nesprávné funkce rychlsti dezev jedntlivých IED. Obecně lze tent fakt ppsat jak rizik neznáméh PC. I když bychm si byli pměrně jisti hledně vlastních PC, ale jsme tt schpni prhlásit i PC externích subjektů pracujících v sítích? Jedná se zcela nvý aspekt, s nímž bude nutn se vyrvnat a nalézt mžná řešení. Mžné způsby budu ppsány v kapitle 3. Za další rizik je mžn pvažvat vlastní kmunikační strukturu GOOSE. Jedná se pměrně kmplikvanu datvu strukturu, přičemž základním pžadavkem je shda reálnéh subru pužitéh v síti s teretickým definičním subrem struktury. Zkušensti čast hvří faktu, že se teretický a aktuálně pužívaný subr neshdují. Tím vzniká těžk definvatelný vztah, kdy je třeba nejen nalézt aktuálně přiřazené GOO- SE, ale i definvat veškeré rzdíly. Už v případě malé rzvdny sazená něklika terminály vývdu se jedná velmi kmplexní subry, jejichž manuální prvnání není téměř mžné. Tent případ může nastat nejen při uvádění d prvzu, ale i v rámci peridickéh testvání či FAT testech u výrbce.. Celkvě lze prblematiku spjenu s IT strukturu značit za zřejmě nejzávažnější, vyžadující dplnění kvalifikace stávajícíh persnálu a dstatečné zvážení ptencinálních rizik. Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 4
3. MOŽNÁ ŘEŠENÍ JEDNOTLIVÝCH PROBLEMATIK Celkvě lze rzdělit řešení d dvu nezávislých částí, a t hardwarvé (vztažené k celému bdu 2) a sftwarvé (vztažené zejména k bdu 2.3). Obě dvě řešení by měla splehlivě splupracvat, a dplňvat, pkud mžn by se měl jednat řešení kmplexní, splňující nejen funkční, ale i bezpečnstní kritéria. Cílem řešení je nejen splehlivé testvání funkčnsti hrizntální kmunikace, ale i řešení bezpečnstních aspektů. 3.1. HARDWAROVÉ PROSTŘEDKY TESTOVÁNÍ GOOSE Jak výchzí stav je mžn pvažvat situaci před nástupem prtklu IEC 61850, t.j. situaci kdy chrany byly na vstupech vybaveny A/D převdníky a kdy binární signalizace (tripy, pzice, blkvání, strhávání atd...) byly řešeny výhradně pmcí metalických vedení a kntaktních či napěťvých binárních signalizací. Klasický testvací prstředek byl napěťvý a prudvý generátr, vybavený určitým pčtem binárních vstupů a výstupů. Zatímc A/D převdníky v naprsté většině případů zůstaly zachvány i v nvých chranách (chrany zpracvávající jak infrmaci napěťvých a prudvých průbězích takzvané sampled values, jsu v našich blastech stále výjimku), bývalá binární kmunikace se přesuvá právě d pdby prtklů a jedntlivých zpráv typu GOOSE. Pracvníci prvádějící uvádění d prvzu či peridické testvání nyní stjí před rzhdnutím, zda-li upgradvat či vyměnit kmpletně své testvací vybavení, které jinak krm zpracvání GOOSE, zcela dpvídá pžadavkům a funkčnstí jedntlivých chran. Dalším aspektem je, že kmunikací GOOSE není vybavena většina chran, takže zcela nvá funkčnst není plně využitelná. Jak pměrně vhdným řešení se jeví hardwarvé knvertry mezi binární prvky a prstředí prtklu, které zjedndušeně řečen převádějí GOOSE (např. infrmaci blkvání) d pdby binárníh kntaktu a binární kntakt z testeru (např. simulaci pzice vypínače) d GOOSE. V případě, že takvýt knvertr splňuje pžadavky na rychlst knverze (bvykle cca 0,5 ms), klasický tester nemá prakticky šanci rzpznat, zdali signalizace pchází z běžnéh binárníh kntaktu chrany, či IED na prtklu IEC 61850. Výhdu je, že persnál může pužívat stávající vybavení a v případě ptřeby hardwarvý knvertr sdílet s statními skupinami puze v případech, kdy jej skutečně ptřebuje. Další výraznu přednstí hardwarvých knvertrů je jejich využití pracvníky zaměřenými na řídící systémy. Velmi čast se jedná persnál, který má minimální zkušenst s bvyklými testery chran, nebť jejich funkčnst neptřebuje. Jediné, c využívá, je binární signalizace (pzice, blkvání, strhávání atd...). V případě, že knvertr je vybaven světelnu signalizací, je vhdné například přiřadit knkrétní GOOSE na binární výstup knvertru (i když fyzicky není využit) a sledvat nejen událst prstřednictvím SW prstředků, ale i fyzicky pticku hardwarvu signalizací či indikátrem sepnutí kntaktu. Tím se výrazně zjednduší nejen práce těcht pracvníků, ale například i indikace krátkdbých událstí, třeba meziplhvých signálních kntaktů u vypínačů vvn. Obrázek 6 a 7 příklady jednsměrné datvé prpustnsti hardwarvéh knvertru Psledním zásadním aspektem zmíněným v bdě 2 je IT bezpečnst. Obecně lze pvažvat za nevhdné, pkud je standardní ethernetvý prt připjen přím k průmyslvé síti / sběrnici rzvdny. Tím je tevřena Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 5
brána d celé sítě (a z hlediska tplgie kmunikace i k statní IED a prvkům), která může být vlivněna nežáducími způsby (malware, zahlcení sítě atd.). Tt rizik výrazně stupá s pracemi externích subjektů, nebť nad jejich výpčetními prstředky není mžn mít dstatečnu kntrlu zvenčí. Jak jediným prstředkem pr eliminaci tht rizika se jeví fyzická separace uživatelskéh PC d datvé sítě rzvdny. Tent úkl je řešitelný pmcí hardwarvých knvertrů (bsahující 2 prty, jeden pr PC LAN a druhý pr IEC 61850), všem puze za splnění pdmínky, že prty jsu d sebe fyzicky zcela dděleny a jsu puze jednsměrně prpustné, tzn. Směrem d sítě 61850 d PC, avšak zcela neprstupné ve směru z PC d sítě 61850. Prt určeny pr PC musí být pužitelný puze pr vyčítání a dpslech dat ve směru jednm, avšak ve směru druhém puze pr parametrizaci hardwarvéh knvertru. Tt je klíčvá vlastnst pr udržení IT bezpečnsti struktury. Samtná existence dvu LAN vstupů na přístrji či knvertru nám tut bezpečnst nezaručí! Příklady jednsměrné prpustnsti na brázcích 6 a 7. 3.2. SOFTWAROVÉ POŽADAVKY NA TESTOVÁNÍ GOOSE Bez sftwarvých aplikací není testvání GOOSE představitelné. Je zaptřebí definvat, jaku funkčnst d sftware vlastně čekáváme a jaku využíváme: Odpslech kmunikace IEC 61850 Načtení teretickéh subru rzvdny (např. ve frmátu SCL) Autmatické prvnání bu zdrjů s autmaticku alkací dchylek Přiřazení jedntlivých GOOSE binárním vstupům a výstupům Práce s hdntami typu reálných hdnt (analg GOOSE), integer (např.pzice přepínače dbček), blean (např.trip), a neb 2-bit string/duble indicatin (např.pzice vypínače). Filtrace hdnt Sledvání změn s autmatickým vyznačením v reálném čase V každém případě při pužívání sftwarvých nástrjů bychm měli vzít v ptaz i bdy zmíněné v předchzích dstavcích, nebť i prfesinální SW nástrje se mhu chvat za určitých klnstí nebezpečně. Pužití hardwarvéh firewall je dle názru autrů více než vhdné. 4. ZÁVĚR Prstředí prtklu IEC 61850 přináší pměrně značné mnžství výhd, ale sučasně pměrně vyské mnžství aspektů, které dříve neměly takvý význam. Pčínajíc hardwarem testvacích skupin, vzdělávání persnálu, ale především bezpečnéh prvzu kmunikace IEC61850. Sam pužívání byť i prfesinálníh sftware sam sbě není záruku IT bezpečnsti těcht sítí. Hardwarvé knvertry s funkčnstí hardwarvéh firewall mhu bezpečnstní rizika výrazně snížit sučasně s vyšší kmfrtem práce persnálu. 5. LITERATURA [1] Standard IEC 61850-8-1 skupina autrů [2] General purpse IEC 61850-8-1 testing tls..., Andrea Bnetti, 2009. Ing.Václav STRAKA Absvlvent ČVUT FEL (1994). Od abslvvání pracuje ve firmě TMV SS s.r.. (měřící a diagnstické přístrje pr blast energetiky a průmyslu) jak technický specialista a manažer aplikací, nyní ve funkci jednatele. Specializuje se na n-line mnitring výknvých transfrmátrů, diagnstické a testvací vybavení pr blast vn kabelů, transfrmátrů, vypínačů vn, vvn, baterivých systémů a UPS, chran, zbrazení krny a měření elektrických a magnetických plí. TMV SS s.r.., Studánkvá 395, 149 00 Praha 4 Tel.: +420 272 942 720, Fax.: +420 272 942 722 E-mail: vaclav.straka@tmvss.cz URL: www.tmvss.cz Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 6
Antnín Krňul Abslvent ČVUT FEL. Od rku 2005 pracuje ve firmě TMV SS s.r.. (měřící a diagnstické přístrje pr blast energetiky a průmyslu) jak technický specialista. Specializuje se na přístrje a metdy pr blast diagnstiky vypínačů vn a vvn, vizualizaci ve viditelném a IR spektru a metdy frekvenčních diagnstik. TMV SS s.r.., Studánkvá 395, 149 00 Praha 4 Tel.: +420 272 942 720, Fax.: +420 272 942 722 E-mail: antnin.krnul@tmvss.cz URL: www.tmvss.cz Václav Straka - Sekce č.3 / č.referátu 12 ČK CIRED 2010 7