Сигурност и надеждност на енергийната инфраструктура

Експлоатацията на електроенергийната система (ЕЕС) обхваща огледи на съоръженията и спомагателните системи към тях, профилактични изпитвания с обем, определен от ведомствените инструкции за експлоатация, и оперативно управление. Всички те са комплекс от мероприятия, които обезпечават нормалната работа на съоръженията от ЕЕС, с цел надеждно и икономично електропроизводство и снабдяване на консуматорите с електроенергия, поддържане на нормални стойности на техническите й параметри, осигуряване на безопасност за експлоатационния и ремонтния персонал, както и опазване на околната среда.

В тази статия на списание ЕНЕРГИЯ се разглежда нов метод, който изяснява взаимодействието между първичната "електрическа" и вторичната "информационна" инфраструктура по отношение на сигурността. Въз основа на този метод се очертава набор от проблеми и предизвикателства за изследване, които заслужават вниманието на общността на електроенергийната система.

Снабдяването с електрическа енергия изисква огромна електрическа инфраструктура, състояща се от електропроводи, подстанции и електроцентрали. Днес обаче, тези елементи не могат да работят без помощта на информационната инфраструктура от комуникационни връзки, контролно-измервателни уреди и контролни центрове. Голямото разрастване на тази информационна инфраструктура през последните три или четири десетилетия е дало значителни икономически ползи и съществени подобрения. Най-важна от икономическа гледна точка е възможността да се работи с по-малък запас за сигурност, тъй като операторите имат достъп до повече и по-точна информация за състоянието на електроенергийната система и средства за бързо реагиране при неизправност. Други важни икономически ползи включват автоматизация на подстанциите и способността им да оперират с много междусистемни връзки. Информационната инфраструктура също допринася за сигурността на системата, предупреждавайки операторите за нежелани събития и създавайки възможност за по-бързи и по-целенасочени коригиращи действия.

Въпреки това се повдигат въпроси за отрицателното въздействие върху устойчивостта на електроенергийната система, поради все по-голямото разчитане на информационната инфраструктура. В докладите за сериозни инциденти се споменават неизправности или недостатъци в системите за управление и комуникация като фактори, допринасящи за неприятна ситуация, която в крайна сметка довежда до прекъсване на електроснабдяването. Основания за опасения относно въздействието представляват също хакерството и кибер атаките, които могат да нарушат непрекъснатостта на снабдяването с електрическа енергия. Затова е важно и належащо да се разберат механизмите, чрез които грешките в информационната инфраструктура могат да застрашат сигурността на електроенергийната система. След като се разберат тези механизми, трябва да се оцени потенциалното им въздействие. Накрая, на базата на тази оценка трябва да се разработят техники за поддържане или подобряване на цялостната надеждност на системата. Методът, който традиционно се използва за оценяване на сигурността на енергийните системи, не е подходящ за изпълнението на тези задачи, защото той не взема ясно под внимание информационната инфраструктура.

Какво прави информационната инфраструктура?
Преди решаването на проблемите със сигурността, вероятно си заслужава да се направи преглед на различните функции на това, което досега ние описвахме като "информационна инфраструктура". Тези функции общо могат да бъдат разделени в две категории – мониторинг и управление.

Мониторингът обхваща всички функции, предназначени да информират оператора за състоянието на системата. Някои от тези функции осигуряват необработени данни като състояние на устройствата за превключване или измерване на напрежения или мощности. Други функции обработват суровите данни, за да осигурят на оператора информация с висока стойност. Например, промените в състоянието се превръщат в класифицирани и приоритизирани аларми. По същия начин функцията за оценка на състоянието трансформира суровите измервания в математически логично представяне на състоянието на системата. Още по нагоре по веригата софтуерът за анализ на сигурността използва изхода от горната функцията, за да идентифицира потенциално опасни ситуации и да предупреди оператора за необходимостта от предприемане на превантивни действия или да се подготви за коригиращи действия.

Другата група от функции се занимава с управлението на системата при нормални и необичайни условия. Някои от тези функции са проектирани да работят автоматично. Например защитните релета, които изключват елементите, когато открият появата на повреда, система за автоматично управление на генераторите, която регулира изхода на генераторите в отговор на промени в натоварването, схеми за защита на целостта на системата, които прилагат коригиращи действия, когато е открита ситуация, застрашаваща стабилността. Разработени са и други функции за управление които да подпомогнат на операторите при изпълнението на коригиращи действия или да им помогнат да решат какви действия са необходими. Дистанционно управление на устройствата за превключване е обикновен и добре утвърден метод. По-сложните функции за управление включват редуващо се разтоварване и използването на оптимална програма за енергията, за да се определи кой генератор трябва да работи, и настройване на регулаторите на напрежение на трансформаторите, за да отговарят на ограниченията в работата на преносната мрежа.

Заслужава да се отбележи, че осъществяването на всички тези функции за мониторинг и управление разчита на редица хардуерни и софтуерни компоненти и системи, както и до някаква степен на човешка намеса. Например, функцията за анализ на сигурността започва от измервателните уреди, продължава с комуникационните връзки и подсистемата за събиране на данни на контролния център, достига до софтуера за анализ на мрежата и завършва с потребителския интерфейс на оператора. С изключение на случаите, когато в проекта е включено подсигуряване, отпадането на който и да е елемент от тази редица проваля функцията или понижава неговите характеристики.

Нов метод за сигурност
Електроенергийната система се счита за сигурна, ако тя е в състояние да отговори на търсенето на електрическа енергия на всички потребители, дори когато са засегнати от непредвидени обстоятелства. На практика, операторите използват симулационни програми, за да се провери как системата би реагирала, ако повреда причини загуба на някой единичен електропровод, трансформатор или генератор. Ако системата е в състояние да се справи до безкрайност с всички тези непредвидени обстоятелства, не се изисква действие. От друга страна, ако някои непредвидени обстоятелства правят непрекъснатата работа нестабилна или неустойчива, операторите трябва да преразпределят генераторите и да настроят други променливи за управление по начин, който връща своевременно системата в сигурно състояние.

Електроенергийната система е в нормално състояние, ако всички електрически променливи са в техните приемливи обхвати и ако е налице достатъчно сигурен запас между състоянието на системата и нейните граници на стабилност. От друга страна, електроенергийната система е в електрически необичайно състояние, ако е налице някое от следните условия: запасът между експлоатационното състояние на системата и границата на нейната стабилност не отговарят на критериите за сигурност или някои товари са били изключени (било то неволно или умишлено, за да се предотврати срив в системата).

Ето защо дефиницията за електрически необичайно състояние обхваща сигнал за повреда, аварийна и извънредна ситуация и възстановяване според класификацията на Финк и Карлсен.

Този традиционен метод е служил добре на индустрията и нейните клиенти, тъй като е разработен през 1970г. Въпреки това, той има две основни ограничения. Той разглежда само дефектите или повредите в силнотоковата "електрическа" инфраструктура и предполага, че информационната инфраструктура осигурява на оператора пълна и точна картина на състоянието на системата и с адекватни средства да се изпълнят всички необходими действия за управление.

Когато електроенергийната системата е в нормално състояние според новия метод, всички компоненти в информационна инфраструктура трябва да функционират нормално. Електроенергийната система влиза в информационно необичайно състояние, ако някои от неговите електронни компоненти, включително някоя част от неговия софтуер, е спрял работа или е неизправен. Електроенергийната система е в комбинирано необичайно състояние, ако нейното състояние необичайно от електрическа и информационна гледна точка.

Преходите на системата от нормално в необичайно състояние могат да бъдат класифицирани като 4 типа:

Промени от тип А
Промените от нормално състояние в електрически необичайно състояние са доста познати на енергетиците и са били изследвани в продължение на няколко години. Те могат да бъдат предизвикани от някое от следните събития: дефект или повреда на един или повече електрически компоненти; неочаквано големи или бързи промени в товара; неуспех от страна на оператора да реагира своевременно на промяната в състоянието на системата.

Ако приемем, че информационната инфраструктура е адекватна и напълно работоспособна, промените от тип А се откриват бързо от функциите за мониторинг и оценка на сигурността на контролния център. Трябва да се вземе предвид, че по-нататъшното разграждане на експлоатационното състояние може да се осъществи в рамките на електрически необичайното състояние, поради каскадиране на повредите. От друга страна, не всички дефекти и повреди поставят системата в електрически необичайно състояние. Например, когато системата е леко натоварена и следователно не е под стрес, изключването на маловажен електропровод най-често няма да доведе до нарушение на критериите за сигурност. Връщането на системата към нормалното й състояние от електрически необичайно състояние изисква преразпределение на генераторите или някои други корекции на управлението, които са на разположение на оператора.

Промени от тип В
Състоянието на системата се променя от нормално в електрически необичайно, когато някой от неговите електронни компоненти спре да работи правилно или при наличие на неизправност. Примери за такива промени са следните: повреда на някой елемент във веригата за измерване; повреда на някой елемент във веригата за отдалечено управление; повреда в местната система за управление (като например автоматичен регулатор на напрежението или регулатор на скоростта); повреда в комуникационната връзка между станцията или подстанцията и контролния център; повреда на част от или цялата компютърна система, която операторите използват за наблюдение и управление на електроенергийната система.

Повечето от тези промени ще бъдат причинени от хардуерни повреди, софтуерни повреди поради програмни грешки или неточни данни. Въпреки това, те също могат да бъдат в резултат на кибер атаки срещу контролните центрове или на разпределени системи за управление и комуникация.

Някои промени от тип Б са лесно откриваеми, тъй като се следи постоянно състоянието на много електронни компоненти и подсистеми. Например, повредите в комуникационните връзки обикновено се докладват на оператор чрез използване на една и съща алармена система, като събитията от електрическо естество. В допълнение, подсигуряването, което е проектирано в много информационни подсистеми, е такова, че не всички повреди незабавно намаляват количеството или качеството на наличната информация на операторите или способността им за изпълнение на действията за управление. Въпреки това, не всички повреди в информационна инфраструктура са лесно откриваеми. Например, релейна защита може да не работи или да е настроена неправилно, но такава повреда ще остане скрита до следващия път, когато тя бъде обслужена или докато това реле спре да реагира правилно на електрическа неизправност.

Поради сложността и размера на информационната инфраструктура, вероятно ще е невъзможно да се докаже, че всички електронни компоненти са напълно функционални. Освен скритите повреди в системата за защита, винаги има някаква вероятност, че има софтуерни грешки в компютърния код, използван за наблюдение и управление на електроенергийните системи. Ако тези скрити проблеми се вземат под внимание, може да се твърди, че електроенергийната система винаги е в информационно необичайно състояние. Тъй като това ще обърка резултата, ние ще считаме, че системата се променя към информационно необичайно състояние, само когато повредата е очевидна.

Възстановяването на системата към нормалното й състояние от информационно анормално състояние изисква подмяна или ремонт на дефектирал хардуер, повторно стартиране на софтуера или обновяване, или ръчно превключване към резервната система.

Промени от тип С
Тези промени представляват влошаване на информационната инфраструктура, надхвърляйки проблема в електрическото състояние на системата. Такова влошаване може да се случи по различни начини: някои от компонентите на информационната инфраструктура спират да функционират правилно, защото захранването е прекъснато или е смутено от електрически проблем; неизправността разкрива скрит дефект в релейна защита, който може да предизвика ненужно изключване на един или повече други електрически компоненти; електрически смущения, които причиняват промяна от нормално в електрически анормално състояние, са толкова големи, че броят на алармите, генерирани в цялата система, затрупват функцията за обработка на аларми в контролния център; електрическа промяна поставя електрическата система в състояние, което е толкова близо до границата на стабилността, че оценителя на състоянието или друга приложна програма, която се основава на модела на електроенергийната система, се проваля, лишавайки оператора от важна информация; случва се несвързана повреда в информационната инфраструктура, след като електрическото състояние стане анормално.

Промените от тип C са опасни, защото те намаляват способността на оператора да отговори на първоначалните електрически смущения или да направи електрическата ситуация по-лоша. От друга страна, тези проблеми са били идентифицирани за известно време и са били взети някои корективни мерки. Например, подстанциите са оборудвани с източник на аварийно захранване, който се проверява редовно. Способността на системите за обработка на аларми да се справят с и да приоритизират огромния брой аларми, генерирани от голяма авария, може да бъде тествана и подобрена. По същия начин, през последните години устойчивостта на оценителя на състоянието и другите програми за анализ на електроенергийната система е значително подобрена. Скритите повреди в системата за защита остават проблем, а тяхното въздействие върху вероятността за появата на големи инциденти е било обект на значителен брой научни изследвания през последните години.

Промени от тип D
Електрическото състояние на системата може да се влоши след като системата стане информационно анормална. Отново, това може да се случи по няколко начина: електрическото състояние става анормално, тъй като влошаването на състоянието на информационната инфраструктура пречи на оператора да разбере, че се налагат коригиращи мерки; повреда в информационната инфраструктура пречи на изпълнението на подходящи коригиращи действия; въз основа на невярна информация или съвет, предоставени от информационната инфраструктура, операторът извършва едно или повече действия, които имат вреден ефект върху електрическото състояние на системата; повредата на компонент от информационната инфраструктура предизвиква промяна в електрическото състояние; имайки достъп до част от инфраструктурата за управление, хакер предприема действия, които влошават електрическото състояние на системата; би могъл да възникне несвързан електрически проблем, след като системата е била в информационно анормално състояние.

Промените от тип D са вероятно най-опасни. Те със сигурност са тези, за които знаем най-малко, и заслужават важно внимание от общността на електроенергийната система.

Предизвикателства
Очевидният начин да се намали вероятността от инциденти или да се намалят техните потенциални последици е по-нататъшното подобряване на надеждността на информационната инфраструктура. Тази цел изисква действия в няколко области: увеличаване на надеждността на електронните компоненти на системата (датчици, релета, комуникационни устройства); намиране на мрежовите сензори със стратегическа насоченост за цялостната устойчивост на измерването и възможно автоматично откриване на погрешна информация; увеличаване на надеждността на основния софтуер (операционна система, комуникация) на контролния център; подобряване на надеждността на приложния софтуер. Например, да се гарантира, че оценителят на състоянието все още работи, дори когато преносната система е под стрес; подобряване на верността на данните и точността на моделите, използвани от приложния софтуер.

Макар да е полезна за обществото, производителите и доставчиците на софтуер трябва да продължат да работят върху тези дейности за повишаване на надеждността, а също така е необходимо и да се разбере по-подробно как информационната инфраструктура може да дефектира и какво се случва, когато го прави. Тези знания ще помогнат за целеви подобрения в най-опасните видове неизправности. Например, колко бързо електрическото състояние на електроенергийната система ще се промени, ако операторите не могат да следват нейното развитие, защото оценителя на състоянието е спрял работа или те стават неспособни да прилагат коригиращи действия, понеже контролът и системата за събиране на данни (SCADA) е поддала на кибер атака.

Надеждната информационна инфраструктура предоставя данни, които отразяват истинското състояние на системата. Това, което наистина има значение, е картината на състоянието на системата в ума на операторите. Ако тази картина е неточна, операторите няма да оценят ситуацията правилно или ще предприемат неправилни действия. Следователно, тя трябва да бъде надеждна и адекватна. В този контекст, информационната адекватност има два компонента – обхват и функционалност. Обхватът трябва да бъде достатъчен за оператора, който да бъде в състояние да направи оценка на опасностите, пред които е изправена електрическата система, която той или тя управлява. Ако обмяната на енергия със съседните мрежи е малка, то достатъчно е допълването на данни само с телефонни разговори с другите оператори.

Все пак, всички тези данни трябва да бъдат представени и обработени по начин, който дава на операторите точна и лесно разбираема картина на състоянието на системата и в крайна сметка трябва да им помогне да изберат най-добрите действия за управлението. С други думи, информацията трябва да бъде обработена и представена със завършеност, за да бъде функционираща в подкрепа на процеса за вземане на решение от оператора. В тази област съвместната работа с когнитивни учени и експерти по взаимодействието човек-машина може да бъде много ефективна при по-нататъшното подобряване на функционалността на информационната инфраструктура.

Класическият метод за оценка и класификация на сигурността на електроенергийните системи предполага, че операторът има перфектна представа за състоянието на тази система. По същия начин, процесите на вземане на решения по отношение на превантивни и коригиращи действия за управление също се основават на това предположение.