|
ЦИФРОВЫЕ УСТРОЙСТВА РЗА
Ограничение доступа к логике
Обеспечение надежной работы энергосистем, бесперебойное электроснабжение промышленных и коммунальных объектов во многом зависят от правильных действий
устройств релейной защиты и противоаварийной автоматики (РЗА). При этом всё более
широко применяемые в России цифровые терминалы РЗА, разработанные в зарубежных
странах, требуют адаптации к российским условиям эксплуатации.
Сегодня наши авторы рассматривают вопросы предотвращения несанкционированного вмешательства в работу устройств РЗА электрических сетей и систем, которое может вызвать крупные
аварии с большим ущербом.
Игорь Белоусенко, д.т.н., зам. начальника Управления Энергетики ОАО «Газпром», г. Москва
Анатолий Беляев, к.т.н., начальник отдела РЗА и АСУ-Э
Алексей Емельянцев, Валерий Широков, главные специалисты отдела РЗА и АСУ-Э
Специализированное управление «Леноргэнергогаз» ДОАО «Оргэнергогаз», г. Санкт-Петербург
Деятельность ОАО «Газпром» неразрывно связана с Крайним
Севером. В этих условиях потеря электроснабжения приводит не
только к большому экономическому и моральному ущербу, но и
напрямую связана с угрозой для жизни обслуживающего технологические установки персонала, а также населения городов и поселков.
Поэтому предотвращение неквалифицированного доступа в работу
устройств РЗА имеет первостепенное значение.
В России накоплен уникальный опыт в области РЗА. Именно в
нашей стране впервые были разработаны многие выдающиеся
технические решения по противоаварийной автоматике и защите,
которые уже сто лет обеспечивают надежное функционирование
электрических станций, сетей и систем. Поэтому в СССР и в России
до недавнего времени не было таких катастрофических аварий, как в
энергосистемах США (1965, 1977, 2003 г.), Франции (1978 г.), Канады
(1982, 2003 г.), Италии (2003 г.) и Швеции (1983, 2003 г.). Эти решения
до сего времени остаются образцом для подражания, и, естественно, должны учитываться при переходе к цифровым РЗА.
В России всегда большое внимание уделялось типизации технических решений по РЗА и управлению электроустановками. Типовые
решения были разработаны ведущими российскими специалистами
для массового применения. Ими пользовались все проектные институты и заводы-изготовители электротехнического оборудования,
что обеспечило не только быстрое развитие электростанций и электрических сетей, но и высокую надежность их работы.
Все изменения в этих решениях допускались только после тщательной их отработки специалистами-релейщиками и оформлялись
в виде противоаварийных или эксплуатационных циркуляров, издаваемых Главным техническим управлением по эксплуатации
энергосистем.
Ввод в работу устройств РЗА выполняли не фирмы-изготовители,
а многочисленные наладочные организации, текущее обслуживание – местные релейные службы, имевшие специальный допуск к
этим работам. На громадной территории России другой вариант
практически невозможен, при этом количество таких служб достигает
нескольких тысяч. После ввода в работу устройства РЗА пломбировались для предотвращения несанкционированного доступа. Жесткий
монтаж вторичной коммутации (проводами), опломбирование и высокая квалификация персонала гарантировали защиту от несанкционированного вмешательства в схемные решения и уставки РЗА.
В настоящее время в электроэнергетике нашей страны идет
процесс замены электромеханических устройств РЗА на цифровые.
Основная часть вторичной коммутации теперь выполняется в цифровом терминале РЗА в виде электронной логики терминала, которую
легко поменять, имея компьютер и соответствующее программное
обеспечение. Снижение квалификации персонала в последнее время,
всеобщая компьютеризация, сети АСУ, интернет создают условия для
несанкционированного вмешательства в работу РЗА. Последствия
такого вмешательства непредсказуемы и опасны.
Практика показывает, что во многих случаях при переходе на
цифровые РЗА классический российский опыт не учитывается [1, 2].
Зачастую применяются неадаптированные к российским условиям
цифровые терминалы зарубежных фирм. За разработку логики
терминалов иногда берутся фирмы, не имеющие никакого практического опыта и нужной квалификации. В работе [3] показано, что этими вопросами должны заниматься специализированные центры
и всякое изменение логики и проектных решений должно проходить
под их руководством. С этой точки зрения особое значение имеет
система доступа к логике терминала.
По принципу доступа к изменению логики терминалы РЗА делятся
на два класса: с жесткой логикой и свободно программируемые.
ТЕРМИНАЛЫ С ЖЕСТКОЙ ЛОГИКОЙ
К терминалам с жесткой логикой можно отнести устройства ЦРЗА
русифицированной серии SPAC-800, SPAC-810 производства фирмы
«АББ-Автоматизация», ТОР производства компании ИЦ «Бреслер» и
других российских производителей. Логика этих терминалов заранее разработана производителем и согласована со всеми ведущими
проектными институтами России, поэтому терминалы полностью
адаптированы к российским условиям применения (подробнее см.
в [4]). Заказав терминал, потребитель получает изделие с заранее
заданной логикой, которая не подлежит никаким изменениям. Возможен лишь ввод-вывод отдельных функций и уставок защит.
К этому же классу относятся SEPAM 2000, БМРЗ, «Сириус» и некоторые другие. Программирование логики этих терминалов ведется
на заводе-изготовителе или в специализированном центре. Заданием на программирование терминалов на заводе-изготовителе ЦРЗА
являются логические схемы терминалов, которые разрабатывает
потребитель (или по его заданию специализированная организация), или применяет типовые, если они уже кем-то разработаны.
Для настройки терминала на месте эксплуатации предусмотрена
возможность ввода уставок защит, таймеров логики, ввода-вывода
отдельных функций и др., но доступа к изменению логики нет. Это
полностью оправдало себя, поскольку позволило предотвратить
возможность неквалифицированных изменений базовой логической
схемы, которые могут привести к отказам или неправильной работе
защиты и автоматики.
Таким образом, в терминалах перечисленных серий проблема
ограничения допуска к логике решена в соответствии с российской
практикой.
СВОБОДНО ПРОГРАММИРУЕМЫЕ ТЕРМИНАЛЫ
Однако особую тревогу вызывает применение свободно программируемых терминалов новейших серий (SEPAM 80 производства
Schneider Electric, SIPROTEC компании Siemens и др.), в которых
предусмотрена возможность программирования логики терминала
самим потребителем с помощью компьютера и специального программного обеспечения.
Программирование этих терминалов формализовано и заключается в работе с таблицами, матрицами, обычными логическими
элементами, логическими уравнениями и укрупненными блоками
логики. Отметим, что эти укрупненные блоки логики часто весьма
несовершенны и требуют анализа перед их применением.
Например, в укрупненном блоке устройства резервирования отказов выключателя (УРОВ) терминалов SEPAM 80 и SIPROTEC предусмотрен пуск УРОВ (отключение ввода) от всех введенных на отключение
защит отходящих линий. Такое решение неприемлемо, поскольку
будет запускать УРОВ в случаях, когда оно не должно работать (например, от защиты от замыканий на землю, от перегрузки и др.).
Правильнее было бы предусмотреть возможность выборочного
пуска УРОВ от разных функций и выборочной работы каждой защиты
на отключение или на сигнал.
В частности, если на подстанции 10 кВ с небольшим током замыкания на землю предусмотрено резистивное заземление нейтрали
сети, то при однофазных замыканиях на землю (ОЗЗ) на отходящей
линии и отказе ее выключателя обычно отключают трансформатор
заземления нейтрали (переводя сеть в режим изолированной нейтрали), а не всю подстанцию. Поэтому приходится вводить специальные блокировочные цепи для предотвращения отключения ввода
от УРОВ. В укрупненном блоке логики автоматического повторного
включения (АПВ) терминала SIPROTEC выполнено ускорение защит
до АПВ, что практически в России не применяется, для выполнения
ускорения защит после АПВ приходится программировать специальные цепи.
После набора нужной логики компьютер соединяется с терминалом и эта логика закачивается в терминал. После такого
программирования обязательно нужно нарисовать итоговую
логическую схему на бумаге, чтобы иметь полную картину работы
терминала.
Программа ввода логики этих терминалов совмещена с программой ввода параметров настройки (ввода-вывода отдельных
функций, уставок защит и таймеров логики). Поэтому ограничить
доступ к логике терминала даже с помощью «фирменной» системы паролей зачастую не удается. Такое совмещение совершенно
недопустимо, поскольку может привести к снижению надежности
электроснабжения.
В терминалах SEPAM 80 ввод логики управления, автоматики,
параметров таймеров логики, программных ключей ввода-вывода
автоматики и основных характеристик присоединения защищены
паролем «Параметрирование». Ввод функций и уставок защищен
паролем «Настройка».
При наладке терминала на месте эксплуатации оказывается, что
для ввода основных характеристик защищаемого присоединения,
данных по трансформаторам тока и напряжения, уставок таймеров логики, ввода-вывода логической защиты и др. наладочному персоналу
нужно иметь допуск не только к вводу функций и уставок защит, но и
к разделу программы, защищенному паролем «Параметрирование».
При этом открывается доступ и к изменению логики. Поэтому для наладки SEPAM 80 на месте эксплуатации приходится открывать полный
доступ к программированию терминала, что недопустимо. При этом
вообще теряет всякий смысл деление допуска с паролями.
В терминалах SIPROTEC предусмотрено более десятка уровней
доступа (слишком много), но ни одним из них не удается полностью
отделить доступ к логике от доступа к вводу параметров настройки.
Имеют место практически те же проблемы, которые отмечены для
терминала SEPAM 80. Нелишне заметить, что укрупненные блоки
логики, разработанные фирмой SIEMENS, даже в непринципиальных
частях не поддаются изменению.
В этом терминале пароли доступа привязаны к файлу параметрирования, при этом также теряет всякий смысл деление допуска
с паролями. «Стирание» паролей происходит при перепрошивке
терминала (посредством программы «Firmware-Update») и при закачке другого файла параметрирования посредством программы
DIGSI. При перепрошивке терминала (версии прошивки с сайта
http://siemens.siprotec.de) стирается вся информация внутри терминала, затем можно заново устанавливать файл параметрирования
посредством DIGSI. Новые версии прошивок и соответствующие
им драйверы устройств для DIGSI могут иметь отличные от старых
функциональные возможности. То есть под новое поколение прошивки необходимо создавать файл параметрирования на основе
нового драйвера устройств для DIGSI.
Таким образом, в эксплуатации можно без затруднений уничтожить
всю заложенную проектировщиками логику РЗА вместе с уставками
и закачать любую другую, что совершенно недопустимо.
Право доступа к вводу в терминал базовой логической схемы
или к ее изменению должно быть только у разработчика логической
схемы (специализированного технического центра). Ответственность за правильную работу должен нести разработчик логических
схем и, следовательно, он должен иметь эксклюзивные права на их
изменения. Это позволит предотвратить возможность внесения наладочным и эксплуатационным персоналом неквалифицированных
или случайных изменений в базовую логическую схему, которые могут
привести к отказам или неправильной работе защит и автоматики.
Персонал местных релейных служб, как правило, не должен иметь
доступ к ее изменению. На месте эксплуатации должна быть обеспечена лишь возможность ввода уставок защит, таймеров логики,
основных характеристик защищаемого присоединения и вводавывода отдельных функций. Этого принципа организации допуска
придерживаются российские производители терминалов с жесткой
логикой (SPAC-800, SPAC-810, БМРЗ, ТОР, «Сириус» и др.). Именно
таким образом был организован допуск к программированию в
терминалах SEPAM 2000. Указанные терминалы с этой точки зрения
являются образцовыми.
ПАРОЛИ ДОПУСКА
Очевидно, что допуск к вводу логики и допуск к вводу параметров
настройки терминала должны иметь разные пароли.
После обмена мнениями в процессе адаптации терминала
компания Schneider Electric предложила новую систему паролей
для терминала SEPAM 80, о которой мы уже упоминали в [4], но
считаем необходимым повторить. Она содержит три уровня до-
пуска, позволяющие полностью отделить допуск к вводу логики от
допуска к вводу параметров настройки терминала:
- уровень X – открыт допуск только к просмотру текущих параметров присоединения, событий, осциллограмм, параметров срабатывания защит и автоматики. Пароль на этом уровне не устанавливается;
- уровень Y – открыт допуск к вводу-выводу параметров присоединения, трансформаторов тока и напряжения, защит и автоматики, вводу их параметров срабатывания, таймерам логики и другим параметрам настройки терминала. Доступ к вводу или изменению логики и параметров матрицы закрыт. Пароль устанавливается на заводе-изготовителе или в центре программирования и поставки терминалов, он сообщается инженеру местной релейной службы и может им меняться. Доступ к этому уровню закрывается на месте эксплуатации после наладки терминала;
- уровень Z – открыт полный допуск, в том числе к изменению логики. Пароль устанавливается при закачке логики в терминал (на заводе-изготовителе или в центре программирования и поставки терминалов). Пароль не сообщается инженеру местной релейной службы (наладочной организации), но может быть сообщен, например, центральной службе релейной защиты энергообъединения, крупного предприятия, располагающей подготовленными специалистами.
Очевидно, что для обеспечения безопасности электроэнергетики такая система доступа является образцом для подражания
для других фирм-изготовителей свободно программируемых
терминалов [3, 4].
В идеале целесообразно предоставить возможность подводить
под пароли разного уровня параметры настройки терминала на
заводе-изготовителе или в центре программирования и поставки
терминалов по заданию разработчиков логики.
ВЫВОДЫ
- При адаптации терминалов особое внимание необходимо уделять системе допуска к внутренней логике свободно программируемых терминалов. Доступ к вводу базовой логики терминала должен быть отделен от доступа к вводу параметров настройки терминала, т.е. изменение уставок запрограммированных элементов логики должно выполняться без доступа к изменению логики.
- Рекомендовать фирмам-поставщикам свободно программируемых цифровых терминалов РЗА придерживаться предложенных фирмой Schneider Electric уровней допуска X, Y и Z.
ЛИТЕРАТУРА
1. Рожкова А.В., Петров С.Я., Рудман А.А., Новикова О.Н., Юркова О.П.
Опыт проектирования и перспективы использования микропроцессорных защит // Энергетик. – 2003. - № 4.
2. Беляев А.В. Вторичная коммутация в распределительных устройствах, оснащенных цифровыми РЗА // «Библиотечка электроэнергетика»: Приложение к журналу «Энергетик». – Части 1 и 2. –
Вы пуск 2 (86) и 3 (87). – М.: НТФ «Энергопрогресс», «Энергетик», 2006.
3. Антоненко А.А., Богданов Е.Г., Беляев А.В. и др. Цифровые терминалы РЗА: вопросы переходного периода. Рекомендации по итогам
семинара «Актуальные проблемы РЗА и АСУ Э» // Новости ЭлектроТехники. – 2007. – № 3(45).
4. Беляев А.В., Широков В.В., Емельянцев А.Ю. Цифровые терминалы
РЗА. Опыт адаптации к российским условиям // Новости ЭлектроТехники. – 2007. – № 1(43), № 2(44).
|
|