关键能源应用中的云和网络安全——在发电厂和变电站中,数字化和物联网(IoT)是一个明显的趋势,就像在工业自动化中一样。智能电网当然是一个驱动因素,但这一变化还有其他原因。操作人员经常发现,只有控制室可用的数据是不够的。相反,他们希望远程监控变压器,在任何地方实施新的维护概念,优化利用和调试,或在线检索环境数据。这就需要一个高网络安全水平的解决方案,保证关键控制数据与监控数据严格分离。该解决方案还应易于使用,具有紧凑的形状因素,以确保它适合改装,并适合于现有的机柜。
网络安全至关重要
变电站是电网的一个重要组成部分,它将高压输电电压转换为用户电压,不仅对市政当局,而且对铁路和工业企业都是如此。它们通常由电力变压器、开关设备和许多测量和控制设备组成。变电站通常在控制室或远程控制中心进行管理。这条控制路径受到严格的安全规则的约束,因为成功的黑客攻击可能会带来灾难性的后果。此外,还需要基于云的监控。但如何在不忽视必要的网络安全的前提下实现这一点呢?
作者:Freddy Dahlberg, HMS Networks公司业务发展经理两个独立的数据流
原则上,变电站中有两种不同的数据流:第一种是控制室与变电站或单个设备通信的控制数据。控制数据指发送命令,如“打开开关”、“立即测量”或“发送测量值”。该关键通信根据能源部门使用的协议(如IEC61850或IEC60870-5-104)实时运行。安全要求很高,必须排除未经授权的数据。
第二个数据流将传感器和设备的监控数据发送到控制室。这里不需要实时通信,但对于这种物联网数据,数据包通常更广泛。当然,这里的数据也不能被破坏,这就是为什么通信通常是通过TLS或VPN进行的。
还有一些基于事件的告警通知,可以通过独立的数据通道(如MQTT或SMS)传输。由于数据只能单向流向控制室或云,因此数据流和传输设备都得到了很好的保护,不会受到攻击。
监视的典型数据
通常沿监测路径传输的数据包括,例如,变压器的温度、高压线路和电机,或变压器中的油压。以sf6绝缘的断路器为例,可以监测气体压力、温度和气体湿度,变压器、电缆或电池后备系统可以提供电压数据。建筑物管理的数据也可以通过监控路径提供。例如,门禁系统的门传感器、空调值甚至是机器人割草机都可以被监控。
所涉及的数据可以来自各种来源。一些数据直接来自变电站的“心脏”——IED(智能电子设备)的值,即变电站开关设备或测量设备的控制计算机。其他数据由工业环境或建筑管理中常见的附加传感器提供。
如何收集和转发数据?
那么,如何才能收集各种数据?如何传输这些数据,以确保达到所需的网络安全水平?
此任务有现成可用的网关(图1),例如IxxatSG网关来自HMS网络.这些网关结合了RTUs(远程终端单元)、控制器和网关的功能;开辟了变电站和配电网络数字化的可能性。现有系统、新设备和控制系统可以快速连接起来——不管通讯技术或制造商是什么。
以下是一个例子,以说明监察工作是如何进行的:
网关通过相关端口从各种来源收集数据。
网关通过相关端口从各种来源收集数据(图2)。它支持能源部门使用的通信协议,包括IEC61850和IEC60870-5-104,并可同时从通过Modbus和模拟接口(例如)连接的物联网传感器输入数据。
监控和附加值
协议转换和(如果适用的话)媒体中断意味着这样的云连接是非常安全的。此外,数据只在一个方向上传输;最初没有提供访问选项,但如果有必要,可以将其定义为异常。这些类型的网关的配置通常是图形化的,不需要任何编程知识或额外的软件。
有许多用例场景。例如,传感器制造商可以使用智能电网网关作为与其私有云通信的平台,进行远程监控、监视和维护规划。变电站可以以一种简单的方式将能源供应数字化:网关将来自ied或传感器的测量数据输入控制系统,并通过集成的LTE调制解调器直接转发到云(MQTT),在那里可以继续进行状态监控。
UPS的控制单元通过Modbus与网关通信,并通过基于IEC61850的网关连接到控制室。单个电池单元的状态数据通过MQTT并行发送到制造商的私有云。应用程序的另一个例子中可以找到电池备份系统局部控制网络,例如在转换器站在铁路供电系统(图3),不间断电源(UPS)的控制单元与网关通信通过Modbus和通过IEC61850连接到控制室。单个电池的状态数据通过MQTT并行发送到制造商的私有云。通过持续监控和及时、有计划的维护,保证了功能的可靠性。它甚至可以带来新的商业模式,例如根据使用情况租用UPS系统。最好的部分是:由于有能力进行改造,旧的现有设施也可以从数字化的新可能性中获益。
有关此主题的更多信息,请访问:www.ixxat.com/en/energy.
