Autorzy: mgr inż. Przemysław Liman mgr inż. Krzysztof Burek Schneider Electric Energy Sp. z o.o. Świebodzice Rozwiązania SE w zakresie Automatyki Zabezpieczeniowej i Systemów w oparciu o protokół IEC 61 850 Streszczenie: IEC61850 jest coraz częściej wybieranym rozwiązaniem komunikacji w systemach DCS oraz urządzeniach automatyki stosowanych w stacjach elektroenergetycznych, także w Polsce. W niniejszym tekście przedstawiono najistotniejsze cechy tego standardu w kontekście przykładowych aplikacji IEC61850 w obiektach uruchamianych przez firmę Schneider Electric Energy w obszarze generacji. 1. Wstęp Użycie jednego protokołu komunikacyjnego (Ethernet) dla całej stacji pozwala na uproszczenie architektury systemu, a tym samym zmniejszenie jego kosztu, poprzez redukcję liczby fizycznych połączeń oraz wyeliminowanie konwerterów. Dodatkowym efektem jest wyeliminowanie opóźnień wynikających z konwersji. Ujednolicenie metody opisu usług udostępnianych przez urządzenie - w postaci hierarchicznej (drzewiastej) struktury (rys.1), gdzie dane pogrupowane są w bloki odpowiadające np. fizycznym urządzeniom lub funkcjom automatyki a także uwspólnienie języka używanego do opisu konfiguracji wszystkich urządzeń należących do systemu (SCL, Substation Configuration Language) pozwalają na dużo prostsze komunikowanie ze sobą systemów lub urządzeń różnych producentów. Rys. 1. Hierarchiczna struktura w IEC1850
Zastąpienie komunikacji typu master/slave zastosowaniem dwóch typów wymiany informacji: klient/serwer (przesyłanie raportów, sterowań) oraz wydawca/subskrybent (krótkie, szybkie do 4 ms komunikaty GOOSE do celów automatyk, w tym zabezpieczeniowych) skutkowało zmniejszeniem opóźnień oraz lepszym wykorzystaniem przepustowości kanału komunikacyjnego. 2. PACiS oparty o IEC6150 W systemie PACiS, spośród jego 3 podstawowych komponentów (Koncentrator danych/sterownik stacyjny/rtu - C264, bramka dostępowa - Gateway, stanowisko operatorskie HMI SUI System User Interface) wszystkie bazują na komunikacji IEC61850 (rys. 2). Uściślając każdy z nich może być zarówno Klientem, jak i Serwerem IEC61850. Może ponadto tworzyć autonomiczny system. SUI (System User Interface) (Lokalne Stanowisko Operatorskie) Koncentrator C264 Dyspozytornia Gateway (Bramka dostępowa) Zabezpieczenia IED (Intelligent Electronic Device) Koncentrator C264 Zabezpieczenia IED Protokół IEC61850 Rys. 2. PACiS w oparciu o IEC61850 Dyspozytornia lub system technologiczny Natywnym rozwiązaniem w systemie PACiS jest redundantny pierścień światłowodowy typu Self-Healing. Rysunek 3 przedstawia zasadę działania mechanizmu self-healing. W przypadku awarii przełączniki z każdej strony uszkodzenia uaktywniają mechanizm loopback (zapętlenie) - zawracają przychodzące informacje tak, by nie przerwać procesu komunikacji. Każde z urządzeń pierścienia posiada po dwa styki wyjściowe służące do wskazania kierunku uszkodzenia (z jednej bądź z drugiej strony przełącznika). Obydwa zaciski muszą być podłączone do odpowiedniego BCU, dzięki temu możliwe jest raportowanie uszkodzenia sieci Ethernet.
Switch MiCOM Hx5x (lub pochodny SWR w koncentratorze C264 i H15x w komputerze PC) jest standardowym switchem IEEE802.3 wzbogaconym o SHM (Self Healing Manager). Funkcja ta w pełni zarządza pierścieniem. Standardowo pakiety Ethernetowe przesyłane są światłowodem głównym w jednym kierunku, a jedynie ramka kontrolna wysyłana jest co 5 mikrosekund światłowodem drugim, w przeciwnym kierunku. Jeśli połączenie zostanie przerwane oba kontrolery SHM rozpoczynają naprawę pierścieni. Po stronie przerwania, informacje odebrane nie są przesyłane do pierścienia głównego, lecz drugiego. Z drugiej strony przerwania informacja wysyłana jest natomiast do pierścienia głównego i nowa pętla topologii zostaje zrekonstruowana (zamknięta) w mniej niż 1 ms. Rys. 3 Mechanizm Self-Healing System PACiS wspiera oczywiście również inne ustandaryzowane rozwiązania sieciowe (gwiazda, RSTP, PRP). Schneider Electric opracował zatem własne mechanizmy bezzwłocznej rekonfiguracji. Natywny protokół SHP (Self Healing Protocol) w sieciach pierścieniowych i DHP (Dual Homing Protocol) w sieciach gwiaździstych został opracowany już w 2005 roku. Tylko na potrzeby wdrożenia tych protokołów opracowano moduły komunikacyjne REB (w zabezpieczeniach), switche wbudowane serii SWR i SWD, zewnętrzne H35 i H36 oraz karty sieciowe PCI H16x. 3. Bezpieczeństwo sieciowe W grudniu 2008 komitet NERC (North American Electric Reliability Corporation) zaproponował standardy ochrony dużych sieci energetycznych (Bulk Electric System) opartych na zaleceniach CIA. Dokument wydano w 9 częściach zawierających zasady ochrony w zakresie oceny ryzyka, procedur zarządzania bezpieczeństwem, określania zasięgu ochrony, szkolenia personelu, fizycznej ochrony obiektów zagrożonych, definiowania poziomów dostępu oraz dokumentowania przypadków włamań.
Zalecenia znalazły odzwierciedlenie w normie ISO 27002 a także PN 17799. W Ameryce Północnej reguły mają być w pełni zastosowane do 2015 r. Europa Centralna zamierza osiągnąć w tym czasie poziom 50 70%. Firma Schneider Electric wdraża obecnie zasady opisane w zaleceniach CIP (Critical Infrastructure Protection) na poziomie SSiN, a także automatyki stacyjnej. Działania prewencyjne obejmują w pierwszym etapie szkolenia dla użytkowników, instrukcje eksploatacji, audyty techniczne oraz uaktualnienia oprogramowania. Wprowadzono także zmiany ograniczające swobodny dostęp do interfejsów urządzeń: 4 poziomy dostępu chronione odpowiednio złożonymi hasłami, możliwość blokowania nieużywanych portów fizycznych i poszczególnych protokołów komunikacji, niemożliwa do usunięcia rejestracja otwarć dostępu lub ich próby, automatyczne wylogowanie po zadanym czasie, ochrona antywirusowa i zapora ogniowa. 4. Automatyka zabezpieczeniowa generatorów Oferta zabezpieczeń firmy Schneider Electric obejmuje zabezpieczenia serii MiCOM34x, które dedykowane są dla generatorów malej mocy włączane bezpośrednio do sieci dystrybucyjnej aż po duże układy blokowe, które są kluczowe dla krajowych systemów zasilania. Na każdym z tych poziomów wymagane są odrębne charakterystyczne funkcje zabezpieczeniowe, które spełniają te zabezpieczenia. W przypadku małych jednostek kluczowe stają się ostatnio funkcje od zerwania połączenia z główną siecią zasilania. Przekaźnik MiCOM P341 posiada wymagane dodatkowe funkcje takie, jak df/dt (ang. ROCOF) oraz reagująca na zmianę wektora napięcia na zaciskach generatora (ang. Vector Shift), które umożliwiają detekcję pracy wyspowej. Jednostki kogeneracji rozproszonej na bazie generatorów niskiego napięcia włączane są do sieci poprzez transformator podwyższający, mogą być chronione przez jeden przekaźnik typu MiCOM P343 lub P344 chroniąc cały blok Duże układy blokowe wymagają rezerwowania wszystkich zabezpieczeń, gdzie tworzy się dwa systemy z niezależnym zasilaniem. Rozwiązanie firmy Schneider Electric opiera się na układzie rozproszonym zabezpieczeń odpowiedzialnych za poszczególne elementy bloku takie jak: generator i układ, transformator blokowy, transformator serwisowy/rezerwowy, linia i most szynowy wyprowadzenia mocy. Wyprowadzenie mocy z tak dużych jednostek realizowane jest często przez zabezpieczenie odcinkowe linii typu MiCOM P543 lub P545, gdzie jedna jednostka lokowana jest po stronie elektrowni natomiast druga w polu WN stacji. Połączenie jest dublowane dwoma kanałami: bezpośrednio jednodomowym łączem światłowodowym oraz poprzez multipleksery w standardzie G.703.E0 lub E1 za pomocą urządzeń dopasowujących sygnały typu MiCOM P591 (E0) lub P-2M-L (E1). Wszystkie moduły zabezpieczeń montowane są typowo w szafach oraz łączone są w sieci komunikacyjne do współpracy z lokalnymi systemami sterowania i monitoringu po standardowych protokołach szeregowych jak: IEC-103, DNP3.0, czy też Modbus. Coraz częściej wymagana jest integracja protokołu IEC61850-8.1, który umożliwia dodatkowo przesył sygnałów binarnych za pomocą sygnałów GOOSE zarówno pomiędzy jednostkami zabezpieczeń ale i zewnętrznymi systemami technologicznymi. Dla łącz ethernetowych zabez-
pieczenia można wyposażyć w karty jedno (SEB) lub dwukanałowe typu REB pod standardy: RSTP, SHP, DHP realizując redundancję sygnałów z poziomu przekaźników. Poniższy schemat pokazuje zastosowanie zabezpieczeń serii MiCOM w układzie dużego bloku, które mają możliwość podłączenia do szyny stacyjnej w standardzie IEC61850. Rys. 5. Zespół EAZ dla układu wyprowadzenia mocy 5. Przykłady rozwiązań dla obiektów generacyjnych Aplikacja systemu PACiS w Indiach, obejmującego Elektrociepłownię TALWANDI 4*660MW i stację 400kV, to pierwsze takie rozwiązanie oparte o redundancję światłowodową w obszarze zabezpieczeń. Dane z tych zabezpieczeń są wysyłane z pominięciem koncentratorów bezpośrednio do bramki dostępowej, która przekazuje je do stanowiska lokalnego oraz systemów: nadrzędnego i technologicznego. Istotny jest tutaj fakt zastosowania redundancji sprzętowej w obrębie stanowisk operatorskich, bram dostępowych oraz switchów światłowodowych. W projekcie tym zintegrowano w systemie analizatory parametrów sieci ION7650 firmy Schneider Electric celem rejestracji i wizualizacji podstawowych danych. W zakresie projektu było również dostarczenie szaf zabezpieczeniowych i systemowych.
Rys. 6. System i AEE dla Elektrociepłowni TALWANDI 4*660MW, Indie W Elektrowni FORTUM w Finlandii zastosowano sieciową technologię VLAN w celu pełnego odseparowania części systemowej (koncentratory, stanowiska operatorskie) od części zabezpieczeniowej. Dodatkowo separacja ta, została zrealizowana poprzez zastosowanie bramki IEC/IEC, która jest zarówno Klientem (dla tzw. dolnego pierścienia, tu: zabezpieczenia) jak i Serwerem danych (dla tzw. górnego pierścienia, tu: stanowiska operatorskie i bramki dostępowe). Nowa generacja bramek dostępowych (G950) umożliwia pełną redundancję połączeń z systemami nadrzędnymi.
Rys. 7. System i AEE dla Elektrowni FORTUM, Finlandia Elektrociepłownia Białystok W tym stosunkowo nieskomplikowanym projekcie w Elektrociepłowni Białystok skomunikowano zabezpieczenia generatora P343 oraz zabezpieczenia transformatora P633 w protokole IEC61850 z koncentratorami danych. Sygnały zostają wysyłane bezpośrednio do lokalnego systemu technologicznego. Rys. 8. Powiązanie systemu sterowania z EAZ bloku
Bramka dostępowa nowej generacji pozwala na ulokowanie jej w centrum systemu nadzoru i sprzęgnięcie w jednym punkcie wielu podsystemów: a) systemy oparte o IEC61850 (zarówno część zabezpieczeniowa, jak i inne bramki dostępowe), b) urządzenia obce komunikujące się w protokołach szeregowych, c) blokady międzypolowe oparte o automatykę IEC61131-3, d) automatyka Isagraf Górny pierścień systemu PACiS (część systemowa) IEC61850 GOOSE GOOSE Centrum dyspozytorskie lub system technologiczny IEC-60870-101, -104, DNP3 (Serial/IP) OPC, Modbus TCP, Automatyka zgodna z IEC61131-3 Real Time OS (RTX) PACiS Gateway Dolny pierścień systemu PACiS (część zabezpieczniowa) IEC61850 Zabezpieczenia legacy Zabezpieczenia na niskim napięciu 16 portów, do 200 podłączonych urządzeń Modbus TCP, Modbus Serial, Profibus DP IEC-60870-101 DNP3 (Serial/IP) Rys. 9. Przykład wykorzystania bramki dostępowej Gateway 5.0 Podsumowanie: Implementacja w systemie PACiS dodatkowych urządzeń automatyki stacyjnej, działających w standardzie IEC61850, jest rozwiązaniem jak najbardziej naturalnym. Stanie się to jasne, gdy zauważymy, że wszystkie podstawowe elementy systemu PACiS, czyli koncentratory Micom C264, bramki dostępowe Pacis Gateway oraz stanowiska operatorskie Pacis SUI, zawsze komunikują się ze sobą w standardzie IEC61850. Pod względem sprzętowym do rozbudowy systemu o urządzenia IEC61850 wystarczy w zasadzie zastosowanie przełączników sieciowych o większej ilości portów Ethernet. Umieszczenie w tej samej sieci Ethernet kolejnych urządzeń daje możliwość przesyłania z nich danych bezpośrednio do lub z urządzenia docelowego bramki dostępowej dla informacji wysyłanych do systemu nadrzędnego, stanowiska wizualizacji dla informacji interesujących operatora, innych urządzeń dla realizacji blokad międzypolowych i automatyk. Pominięcie w tej komunikacji koncentratorów, a tym samym usunięcie wąskiego gardła znacząco zmniejsza opóźnienia w systemie, a także podwyższa ogólną odporność systemu na awarie. Ważną funkcjonalnością IEC61850, stosowaną już w aktualnych implementacjach systemu PACiS w Polsce, jest wymiana komunikatów GOOSE pomiędzy zabezpieczeniami. Dzięki swojej szybkości mogą być one stosowane wszędzie tam, gdzie wymagana jest natychmiastowa reakcja, np. w automatykach zabezpieczeniowych. Układy zabezpieczeń generatorów oferowanych przez Schneider Electric spełniają wymagania większości aplikacji od prostych układów kogeneracji, aż po duże układy blokowe.