为了提高电力系统中的功能安全性,在电力系统中设置故障检测器,故障检测器连接到数据通信总线并且评估流传输的至少一个过程参数的值,以便检测电力系统中的电气故障,故障检测器被布置为当检测到电气故障时向开关元件发送故障存在指示,所述故障存在指示被发送到开关元件并且由开关元件接收,之后在接收到来自自动化系统的开关命令时触发开关元件的跳闸操作,并且开关元件只有在已接收到故障存在指示时才触发开关元件的跳闸操作。指示时才触发开关元件的跳闸操作。指示时才触发开关元件的跳闸操作。
【技术实现步骤摘要】
【国外来华专利技术】具有改进的功能安全性的电力系统
[0001]本专利技术涉及一种电力系统,该电力系统具有:至少一个开关元件,其布置在电力系统的引导初级电流和初级电压的初级元件上;自动化系统,其操作开关元件,而自动化系统向开关元件发送开关命令以触发开关元件的跳闸操作;以及测量单元,其用于检测电力系统的至少一个过程参数的值,而至少一个过程参数是给定频率和标称值的周期性电信号,并且测量单元连接到数据通信总线,至少一个过程参数的采样值通过数据通信总线在数据通信总线上实现的数据通信协议的数据消息中流传输。本专利技术还涉及一种用于操作这种电力系统的方法。
[0002]用于例如高压和中压的电力系统(如电网)被广泛使用,并且基本上包括发电站、电力传输线和电力变电站。在较长距离内传输电力以在变压器变电站中执行电压转换或分配电力这一需求要求复杂的电力系统。为了例证,用于高压和中压电力网络中的电力分配的电力变电站包括初级设备(有时也称为现场设备),诸如电缆、线路、汇流条、开关、断路器、电力变压器和仪表变压器。这些初级设备可以经由负责控制、保护和监视变电站或其一部分的变电站自动化(SA)系统以自动化方式进行操作。SA系统包括在SA数据通信网络中互连并且经由过程接口与初级设备交互的可编程次级设备,即所谓的智能电子设备(IED)。初级设备与次级设备之间的交互可以通过所谓的过程接口单元(PIU)进行。类似地,各种各样的电力系统可以具有相关联的电力设施自动化系统,其包括执行控制、保护和监视相应电力系统的操作的功能的IED。SA系统和电力设施自动化系统有时通常也被命名为保护、自动化和控制(PAC)系统。多个IED或多个PIU之间以及一个IED或一个PIU与电力系统的其他部件之间的通信可以根据标准化的数据通信协议来执行。为了例证,IEC标准61850“用于电力设施自动化的通信网络和系统”将变电站特定的应用功能与变电站通信的特定问题分离,并且为此目的,限定了兼容变电站的抽象对象模型以及如何经由抽象通信服务接口(ACSI)通过通信网络访问这些对象的方法。
[0003]电力行业的不断增长的数字化和自动化有助于显著提高数字保护、自动化和控制系统的效率。同时,它为世界任何地方的人恶意入侵电力系统、变电站或发电厂提供了可能性。因此,这种系统的网络安全正成为主要问题。
[0004]随着自动化程度的增加并且电力系统中互连IED的使用增加,在保护、自动化和控制(PAC)系统中可靠地检测关键情形的需要也日益增加。这种关键事件的示例包括安全入侵、操作员错误、定时问题、硬件故障或电力系统和/或其电力设施自动化系统的任何关键状态或不正确状态。
[0005]在经典信息技术(IT)的计算机网络领域中,入侵检测系统(IDS)用于监视网络或系统的活动,以便检测网络中或网络设备中的入侵或未经授权的第三方的恶意活动。IDS监视和分析计算机网络中的数据通信。IDS被设计用于辨识可能的事件、记录信息并且报告可能的尝试。IDS的主要功能是向操作员发出安全边界警报,使得他可以采取措施来防止入侵,以使攻击的影响最小化或者进行事件后分析。例如,基于签名的网络设备使用预限定的已知攻击的签名(如病毒扫描器签名)来检测入侵。这可以被视为以下的黑名单方法:如果观察到被明确禁止的行为(就其被包括在黑名单中而言),则网络设备向操作员发出警报。
这种基于签名的方法被广泛用于IT系统中的网络设备中。
[0006]虽然黑名单方法也可以用于检测电力设施自动化系统中的关键事件,但可能存在与这种方法相关联的问题。黑名单方法需要待识别的每个关键事件的签名。不能检测到新的或未知的攻击。在电力系统的背景下,电力系统及其特殊协议中的控制和自动化系统已知的攻击和漏洞的数量非常少。因此,应用到电力系统的基于黑名单的IDS在大的程度上只能检测到在IT领域中已知的攻击。因此,黑名单方法的有用性对于电力系统中的IDS尤其有限。
[0007]因此,在具有电力设施自动化系统的电力系统中,需要另一安全层。这种安全系统是基于对电力系统的功能及其操作原理的良好理解。这种改进的安全系统的示例可以见于EP 2 701 340 A1。其中,电力系统的配置的系统模型用于监视和评估在IEP之间发送的数据消息,以检测电力系统操作期间的关键事件。数据消息的数据内容包括初级设备的过程参数,以确定数据内容是否对应于电力系统和电力设施自动化系统的有效行为。为此目的,基于系统模型预测预期的数据消息,并且将预测的数据消息与监视的数据消息进行比较。利用这种消息分析,可以检测到例如注入的恶意数据消息的形式的入侵。尽管可以检测到入侵,但对恶意数据消息的可能反应可能太晚,以致于不能防止其对电力系统的影响。如果注入的数据消息携带引起电力系统或变电站的断路器跳闸的信息,则恶意数据消息可能引起严重的断电。换句话说,检测到入侵时已经太晚。
[0008]作为对策,可以使用用于加密数据消息或添加到每个数据消息的所谓消息认证码的技术,例如,如在IEC 62351中限定的。数据消息中的这种加密签名使得数据消息的接收方能够验证其真实性和数据消息的完整性。然而,该方法需要将密码密钥或证书分配系统引入电力系统或电力变电站基础设施中,这增加了系统的复杂性。除此之外,只有在没有牺牲基础的密钥或证书基础结构的情况下,该措施才有效。密钥或证书分发系统(例如,服务器)是该方法中的单点故障,并且可能被对手攻击以拦截或影响分发给所有消息发布方的认证密钥或证书。因此,尽管该方法增加了恶意入侵者的障碍,但它容易受到恶意攻击。
[0009]在US 10,079,486B2中给出在具有电力设施自动化的电力系统中增加功能安全性的另一种方法。利用该方法,使用变电站和邻近变电站的电力流模型来分析包括断开或闭合电力变电站中的断路器的命令的数据消息。电力流模型用于在执行数据消息中的开关命令时确定变电站中和邻近变电站中多个节点的预测电压。将预测电压与配置的可允许电压范围进行比较,并且如果预测电压在其对应的可允许电压范围之外,则阻断开关命令的执行。这意味着开关命令的执行被延迟,直到数据消息的分析已完成为止。然而,在许多情况下,这种时间延迟将是不可接受的。另一方面,分析依赖于稳态物理系统模型。因为变电站处的电力流和电压值取决于许多因素(可能超出所考虑的邻近变电站),所以这是极其过分简单化的方法。这意味着,入侵检测系统可能做出错误的决定,并且可能阻断来自系统操作员或来自电力设施自动化系统的合法命令。这可能造成重大的安全隐患,并且可能导致电力系统或变电站部件的损坏甚至破坏,或者导致在电力系统或变电站中工作的人员发生严重的甚至致命的事故。
[0010]因此,需要提高电力系统中的功能安全性。
[0011]该目的是通过在电力系统中设置故障检测器来实现的,该故障检测器连接到数据通信总线并且评估至少一个过程参数的流传输值,从而检测电力系统中的电气故障。故障
检测器被布置为当检测到电气故障时向开关元件发送故障存在指示,所述故障存在指示被发送并被开关元件接收,之后在接收到开关命令时触发开关元件的跳闸操作。只有当已接收到故障存在指示时,开关元件才触发开关本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于操作电力系统(1)的至少一个开关元件(110、210)的方法,所述开关元件(110、210)布置在所述电力系统(1)的引导初级电流和初级电压的初级元件上,而所述开关元件(110、210)由所述电力系统(1)的自动化系统(400)操作,其中,所述方法包括以下步骤:
‑
将开关命令从所述自动化系统(400)发送到所述开关元件(110、210),以触发所述开关元件(110、210)的跳闸操作,
‑
由测量单元(106、206)检测所述电力系统(1)的至少一个电气过程参数(PP)的值,而所述至少一个过程参数(PP)是给定频率和标称值的周期性电信号,
‑
将检测到的所述至少一个过程参数(PP)的值的采样值通过数据通信总线(130、131、230、231)在所述数据通信总线上实现的数据通信协议的数据消息中流传输,
‑
由连接到所述数据通信总线(130、131、230、231)的故障检测器(300)评估流传输的所述至少一个过程参数(PP)的值,以便检测所述电力系统(1)中的电气故障,
‑
当检测到电气故障时由所述故障检测器(300)向所述开关元件(110、210)发送故障存在指示,所述故障存在指示被发送,并且被所述开关元件(110、210)接收,之后在接收到所述开关命令时触发所述开关元件(110、210)的跳闸操作,
‑
只有当已接收到所述故障存在指示时,才触发所述开关元件(110、210)的跳闸操作。2.根据权利要求1所述的方法,还包括以下步骤:
‑
将所述自动化系统(400)连接到所述数据通信总线(130、131、230、231),
‑
将所述开关元件(110、210)连接到所述数据通信总线(130、131、230、231),
‑
将用于触发跳闸操作的所述开关命令通过所述数据通信总线(130、131、230、231)在数据消息中发送到所述开关元件(110、210)。3.根据权利要求1或2所述的方法,还包括以下步骤:将所述测量单元(106、206)和/或所述开关元件(110、210)经由过程接口单元(107、207)连接到所述通信总线(130、131、230、231)。4.根据权利要求1至3中的一项所述的方法,还包括以下步骤:通过所述数据通信总线(130、131、230、231)在故障数据消息(DMF)中发送所述故障存在指示。5.根据权利要求3所述的方法,其特征在于,所述过程接口单元(107、207)从所述测量单元(106、206)接收所述至少一个过程参数(PP)的测量值,以给定的采样率采样所述至少一个过程参数(PP)并且通过所述数据通信总线(130、131、230、231)在数据消息中发送采样值。6.根据权利要求1至5中的一项所述的方法,其特征在于,由所述自动化系统(400)接收并评估带有所述至少一个过程参数(PP)的采样值的所述数据消息以...
【专利技术属性】
技术研发人员:A,
申请(专利权)人:奥幂电子有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。