Kỳ 1: Trạm biến áp kỹ thuật số – thế hệ trạm biến áp thông minh tiếp theo cho lưới điện

23/04/2021
Digital substation

Tác giả: S. Richards, GE Grid Solutions, Vương quốc Anh

 và J. Arnaud, GE Grid Solutions, Cộng hòa Pháp

Đăng trên tạp chí PAC World, số tháng 6 năm 2016

Các mục tiêu của trạm biến áp (TBA) kỹ thuật số (Digital Substations)

Tăng độ tin cậy và sẵn sàng cung cấp điện, giảm chi phí bảo dưỡng: Khả năng tự chẩn đoán chuyên sâu của các thiết bị số đảm bảo thời gian vận hành tối đa của TBA. Bất kỳ sự suy giảm nào về hiệu năng của thiết bị sẽ được xác định chính xác theo thời gian thực. Tính năng dự phòng vốn có trong hệ thống có thể tự khôi vận hành khi có 1 số sự cố đơn lẻ, cho phép xử lý sự cố mà không cần cắt điện.

Tối ưu vận hành thiết bị – nhận biết tình trạng: TBA kỹ thuật số giám sát chặt chẽ tất cả các thiết bị trong trạm. Các hệ thống thông minh phân tích dữ liệu và đưa ra các khuyến cáo sửa chữa và bảo dưỡng.

An toàn TBA kỹ thuật số loại bỏ nguy hiểm do hở mạch nhị thứ CT và nguy cơ cháy nổ do sử dụng các CT quang (không dùng dầu cách điện).

Giảm diện tích TBA: Các IED bỏ các bo mạch I/O nên sẽ nhỏ gọn hơn (đến một nửa) và lắp trên số tủ bảng ít hơn. Các máy biến áp đo lường kỹ thuật số nhỏ và nhẹ hơn, giảm diện tích đất cần thiết trong TBA.

Cấu trúc chung của TBA kỹ thuật số

Mức process trong sân trạm

Các ứng dụng số trong TBA dựa trên cấu trúc truyền thông, trong đó việc đo các thông số vận hành theo thời gian thực liên tục lấy từ các thiết bị nhất thứ. Việc truyền tin tới các thiết bị sử dụng các tín hiệu đo lường này thực hiện qua “process bus”. (Hình 1)

Các lệnh điều khiển (đóng/ cắt thiết bị, trip) cũng được gửi đến thiết bị nhất thứ qua process bus, ở hướng ngược lại.

Cấp điều khiển và bảo vệ (“smart substation area”)

Giữa process bus và station bus trước đây được gọi là “thiết bị nhị thứ”. Các thiết bị này là các IED, giao tiếp với thiết bị nhất thứ qua process bus, và với các thiết bị khác trong ngăn lộ hoặc tới các ngăn lộ khác, và hệ thống điều khiển số qua station bus.

Cấp điều khiển trạm

Hệ thống điều khiển số thông minh được tích hợp trong TBA kỹ thuật số. Đây là trung tâm quản lý, điều hành, và hiển thị tất cả các phần tử trong TBA kỹ thuật số. Các khối điều khiển diện rộng (WACU) có thể trao đổi dữ liệu IEC 61850 GOOSE giữa các cấp điện áp trong phạm vi trạm cũng như với các TBA lân cận.

Các máy biến áp đo lường số và thiết bị process bus.

Nguồn gốc các hạn chế của máy biến áp đo lường truyền thống là sự phụ thuộc vào lõi thép. Thay vì sử dụng lõi thép, việc biến đổi đo lường từ sơ cấp sang thứ cấp có thể sử dụng công nghệ quang học, Rogowski hoặc cảm ứng điện dung.

Nguyên lý chính như sau:

– Các cảm biến quang nhỏ gọn dựa trên hiệu ứng Faraday, với cảm biến quang vòng nhận tia sáng phân cực bao quanh thanh dẫn điện. Ánh sáng cảm nhận được một góc lệch gây ra bởi từ trường, sinh ra bởi dòng điện sơ cấp.

– Máy biến điện áp (VT) công suất thấp tích hợp một ngăn tụ phân áp để tạo điện áp thấp trước khi số hóa trong merging unit (MU). VT kiểu mới không bao gồm phần dây cuốn của VT cảm ứng trung gian như trong các CVT (CCVT) truyền thống.

MU thực hiện toàn bộ phần xử lý dữ liệu cần thiết để tạo ra luồng dữ liệu đầu ra chính xác dưới dạng Sampled Values (SV) theo tiêu chuẩn IEC 61850-9-2LE. Trong TBA cấu trúc số hoàn toàn, các IED bảo vệ nhận tín hiệu dòng áp dưới dạng IEC 61850-9-2LE SV, và gửi tín hiệu đi cắt hoặc cảnh báo dưới dạng IEC 61850-8-1 GOOSE. Giải pháp kết hợp khi các chủ đầu tư muốn giữ lại các máy biến áp đo lường truyền thống là các MU tương tự, biến đổi tín hiệu tương tự từ thứ cấp của CT/ VT sang số tại bất kỳ kiosk ngoài trời nào trong sân trạm. Các kiosk này cũng có thể tích hợp các bộ điều khiển thiết bị đóng cắt (Switchgear Control Unit – SCU), không chỉ dùng để thực thi đóng cắt trong sân trạm hay truyền thông tin vị trí và trạng thái, mà còn giám sát tình trạng dầu và khí SF6.

Cau truc TBA Ky thuat so
Hình 1: Cấu trúc của TBA kỹ thuật số

Cấu trúc hệ thống

Một hệ thống bảo vệ rơle tin cậy nên được dự phòng hoàn toàn, ví dụ như hệ thống A trong nhà điều khiển và hệ thống B trong container tại sân trạm. Mỗi hệ thống có các tủ điều khiển/ bảo vệ giảm kích thước và số lượng, do giảm kích thước các IED (rơle, BCU) ở cấp process bus xuống còn một nửa so với các thiết bị tương đương truyền thống.

TBA có thể kết hợp các công nghệ, giữa các máy biến áp đo lường kiểu quang công suất thấp và kiểu truyền thống cùng triển khai trong một hệ thống. Về tương tác, đầu ra tương tự của CT/ VT truyền thống được số hóa bởi một MU tương tự, tối ưu thời gian theo yêu cầu phân loại truyền tin bảo vệ (MU tương tự có khả năng gửi IEC 61850-9-2LE SV trễ dưới 0.25ms, SCU có thể xử lý một bản tin IEC 61850-8-1 GOOSE đến để cắt máy cắt và cấp điện cho cuộn cắt máy cắt dưới 1ms).

Để đảm bảo mức độ tin cậy (khả năng vận hành khi được yêu cầu), và tốc độ tương đương hoặc tốt hơn các hệ thống trong TBA truyền thống, thiết kế cấu trúc Ethernet giữ vai trò quan trọng bậc nhất. Toàn bộ cấu trúc TBA có thể được thiết kế theo chuẩn IEC 62439: mạch vòng tự phục hồi (giao thức HSR) hoặc theo kiểu sao kép (giao thức PRP); thông tin được trao đổi giữa các thiết bị qua hai đường khác nhau, ngay khi một đường bị lỗi, dữ liệu ngay lập tức chuyển sang hướng còn lại, với độ trễ bằng không. Việc sử dụng HSR và PRP như Hình 2 và Hình 3.

 

Giao thuc du phong song song PRP
Hình 2: Giao thức dự phòng song song PRP

Với PRP, mỗi thiết bị được nối với 2 mạng (doubly-attached node – DAN), mạng LAN A và LAN B, đảm bảo dự phòng mạng nhằm loại bỏ các lỗi thông thường. Với giao thức HSR, cấu trúc mạch vòng cho phép bản tin số chạy theo cả 2 hướng cùng và ngược chiều kim đồng hồ, đảm bảo truyền thông liên tục trong trường hợp bị đứt vòng tại điểm nào đó.

Giao thuc mach vong HSR
Hình 3: Giao thức mạch vòng HSR

 Bảo mật hệ thống

Khi TBA chuyển sang kỹ thuật số cùng với hạ tầng mạng điện lực đã có nhiều cải tiến, có thêm nhiều kiểu truyền thông mới trong mạng LAN của TBA (ví dụ truy cập từ xa để bảo dưỡng), giúp tiết kiệm chi phí nhưng cũng tăng nguy cơ về an ninh. Mối đe dọa với hệ thống điều khiển có thể đến từ nhiều nguồn, nhiều hướng khác nhau. Trong quá khứ, mục tiêu của virus hay sâu (worm) từ đơn giản là phá hủy máy chủ, đến chuyển đổi máy chủ sang spam hoặc tấn công DoS. Trong vài năm gần đây, xuất hiện các phần mềm độc hại lén lút tấn công với mục tiêu có chủ ý là các hệ thống điều khiển công nghiệp, như Stuxnet, Flame và Havex là các mối đe dọa thực tế hơn. Gần đây, tháng 12-2015, các tin tặc xâm nhập 3 công ty điện lực ở Ukraine và thao tác máy cắt từ xa, làm mất điện 225,000 hộ tiêu thụ.

Vì vậy, các công ty điện lực và hãng sản xuất hiện tại chịu sức ép bảo mật trong TBA, từ khía cạnh an ninh mạng. Qua nhiều năm, các quy định quốc gia như NERC CIP, tiêu chuẩn quốc tế như IEC, IEEE và các nhóm làm việc CIGRE đã xuất bản các yêu cầu, tiêu chuẩn và khuyến cáo để nâng cao an ninh, Một số quy định đã được áp dụng trong cấu trúc truyền thông.

Bảo vệ toàn diện (Defense-in-depth)

Chọn các giải pháp giới hạn truy cập vào TBA chỉ cho những người được phép và ngăn chặn phần mềm độc hại mà không thay đổi các phần mềm tự động hóa trạm, tối thiểu chi phí quản lý. Thực hiện bằng chuỗi các lớp bảo vệ kết hợp trong chiến lược bảo vệ toàn diện. Các lớp vũ khí này có khả năng chống chịu hoặc giảm thiểu tác động của lỗi trong bất kỳ lớp nào.

Các biện pháp an ninh tại lớp bên ngoài (business process), lớp mạng, máy chủ và dịch vụ mang lại nhiều lớp bảo vệ, giống như hào sâu, tường cao, lớp công sự thứ 2, tháp canh bảo vệ lâu đài (Hình 4).

 

Bao ve toan dien
Hình 4: Bảo vệ toàn diện

Các hệ thống thông tin cần trao đổi với đối tượng khác: TBA, trung tâm SCADA, trung tâm vận hành mạng và văn phòng được kết nối thường sử dụng chung cơ sở hạ tầng, để vận hành hiệu quả. Các hệ thống tương tác với nhau nhưng đồng thời phải chống được xâm nhập giữa các hệ thống.

Chia tách mạng, giữ cho các hệ thống như các mạng LAN riêng biệt để các mạng này không thể truyền thông với nhau. Việc chia tách mạng bổ sung các quy tắc để điều khiển và giám sát trao đổi thông tin giữa các LAN. Chia tách mạng sẽ giới hạn việc lan truyền sự cố trên mạng hoặc cô lập mạng khi phần tử đầu tiên bị tấn công.

Khi một phần mềm độc hại xâm nhập vào hệ thống, nó sẽ quét mạng để tìm kiếm các mục tiêu tấn công khác, nhảy từ máy chủ này sang máy chủ khác theo mục tiêu cuối cùng của nó, hay đơn giản là tìm cách nhân bản càng nhiều càng tốt. Việc chia tách mạng trên diện rộng giảm số lượng thiết bị bị tiếp cận và các giao thức bị sử dụng để truyền thông với chúng. Nhiều công nghệ khác nhau được sử dụng để chia tách:

– Chia tách vật lý về phần cứng và cáp

– Chia tách về phần cứng và dữ liệu

– Mạng LAN ảo (VLAN) và mạng VLAN riêng

– Kiểm soát truy cập mạng (Network Access Control)

– Các kênh bảo mật (GRE, VPN, IPSec)

– Tưởng lửa cho mạng

– Tường lửa cho máy chủ

– Các ứng dụng tường lửa, và các hệ thống ngăn ngừa/ phát hiện xâm nhập (IPS/ IDS).

Phân tách mạng tại biên giới TBA

Quy định NERC CIP005-5 yêu cầu mạng LAN trong TBA nằm trong vành đai an ninh điện tử (electronic security perimeter – ESP) chỉ cho phép một điểm truy cập, tách mạng LAN trong TBA với phần còn lại của mạng truyền thông, như là các TBA khác hoặc trung tâm điều khiển.

Tách mạng giữa các luồng thông tin khác nhau (bảo dưỡng từ xa, SCADA, video giám sát…) bằng các mạng riêng ảo (VPN) sử dụng các công nghệ khác nhau (BGP/MPLS, IPsec, GRE,…) yêu cầu các phần cứng đặc biệt và các chuyên gia mạng. Kiểu phân tách này thường mở rộng ra vành đai của trạm.

VPN den TBA
Hình 5: VPN đến TBA

Kiểu tách mạng khác là sử dụng Remote Desktop Protocol – RDP để truy cập từ xa một PC trong trạm. Phương pháp này sẽ tách biệt phần cứng và dữ liệu: PC từ xa chỉ như một bàn phím/ màn hình từ xa mà không can thiệp vào máy chủ hoặc chia sẻ dữ liệu trong TBA (Hình 5).

Tách mạng bên trong TBA

Trong TBA, mạng LAN chia thành các vùng (zone) khác nhau. Truyền thông giữa các mạng được điều khiển tại các cấp khác nhau:

– Điều khiển truy cập mạng: một danh sách điều khiển truy cập (ACL) được gán cho các users hoặc thiết bị theo quyền điều khiển.

– Bộ định tuyến (router) cho phép truyền thông dựa trên ACL: có thể tiếp cận địa chỉ IP (lớp thứ 3 của OSI) hay VLAN (lớp thứ 2 của OSI) nào?

– Tường lửa của mạng cho phép truyền thông dựa trên giao thức và các cổng (lớp thứ 4 của OSI).

– Tường lửa của ứng dụng cho phép truyền thông dựa trên nội dung thông tin (lớp thứ 7 của OSI). Tường lửa của ứng dụng nhận biết được giao thức ứng dụng.

Ở đây sử dụng thuật ngữ “cho phép” (authorize) thay vì là “giới hạn” (restrict). Một phương pháp hữu hiệu là tích hợp quy tắc mặc định “từ chối tất cả” (deny all) và chỉ danh sách cho phép (whitelist) được truyền thông tin trên mạng. Chia tách mạng xảy ra ở các cấp độ khác nhau trong mô hình OSI để gia tăng khả năng phục hồi.

Các vùng điển hình trong mạng LAN của TBA thường là:

– vùng đệm (DMZ) với truy cập từ xa

– Mạng LAN cho phần điều khiển và bảo vệ

– An ninh vật lý, giám sát bằng video

Mọi tín hiệu truyền thông xuất phát từ bên ngoài TBA chỉ được đưa đến DMZ. Truyền thông tới LAN cho điều khiển và bảo vệ chỉ được cấp phép từ DMZ.

Chia tách mạng bên trong LAN cho phần điều khiển và bảo vệ (PAC LAN)

Chia tách mạng thực hiện nhỏ hơn bên trong PAC LAN: một PC giao diện điều khiển SCADA và IED chỉ được truyền tin sử dụng giao thức IEC 61850 và không liên quan đến việc bảo dưỡng hay các cổng đồng bộ thời gian của nhau. Bằng cách đặt các PC và các IED vào các vùng riêng biệt (VLAN) để được bảo vệ tốt hơn.

IEC 61850, HSR, PRP và IEEE1588

Các bản tin IEC 61850-8-1 GOOSE and IEC 61850-9-2LE SV không được định tuyến nên bị giới hạn trong mạng LAN đơn (hoặc VLAN), các thiết bị truyền các tin này phải ở trong cùng một phân đoạn mạng. IEC 61850-90-5 (Ed.1.0 năm 2012) đem lại khả năng định tuyến cho các bản tin GOOSE định tuyến làm giảm giới hạn đó và đảm bảo an toàn cho các ứng dụng PMU và teleprotection. Vào thời điểm tiêu chuẩn này ban hành (2012), chưa xuất hiện các bộ định tuyến/ tường lửa tương thích với giao thức PRP/ HSR, nên cần sử dụng đến các redbox, khiến cho cấu trúc mạng trở lên phức tạp hơn (Hình 6).

 

Cau truc du phong duoc don gian hoa
Hình 6: Cấu trúc dự phòng được đơn giản hóa

Ngoài ra, quản trị VLAN trong một vòng mạng HSR rất phức tạp vì phải thực hiện cấu hình các cổng của chuyển mạch mạng (switch) cho mỗi thiết bị HSR. Tiêu chuẩn IEEE 1588 (và các chuẩn đồng bộ thời gian nói chung) là dịch vụ cần truy cập tất cả các phân đoạn mạng vì tất cả các thiết bị trên mạng cần được đồng bộ thời gian từ một nguồn duy nhất. Chính vì vậy time server chính là mục tiêu tấn công ưu tiên của tin tặc, nhằm mở rộng ra tất cả các vùng trong mạng LAN.

Trung tâm giám sát mạng

Các thiết bị đảm bảo về an ninh mạng sẽ tạo ra các bản ghi (log), thường là các cảnh báo khi xuất hiện lưu lượng thông tin trái với quy định. Trung tâm giám sát mạng cần nhận được các cảnh báo này, để nhóm kỹ sư an ninh mạng xử lý. Thông thường các công ty điện lực không có kỹ sư chuyên môn như vậy, và công ty điện lực chuyển tiếp thông tin tới hệ thống SCADA, thường qua bộ biển đổi SNMP/ IEC 61850. Điều này sẽ phá vỡ sự phân tách giữa an ninh mạng & vận hành. Ngoài ra, ngay cả các trung tâm điều độ cũng không có các chuyên gia an ninh mạng dẫn đến nguy cơ xử lý không phù hợp với các cảnh báo này.

Khả năng mở rộng và chi phí

Các minh họa trên đây thể hiện một cấu trúc mạng trong TBA trang bị các bộ định tuyến, tường lửa và redbox, đều được dự phòng kép. Các hệ thống truyền tải điện lớn với 1000 TBA cần phải lắp đặt và bảo dưỡng đến 8000 thiết bị. Với hàng chục giao thức và các cổng và các địa điểm khác nhau (SCADA, trung tâm bảo dưỡng, trung tâm vận hành mạng,…) số lượng các quy tắc có thể lên đến hàng nghìn (bảng 1).

Table 1

Một số chiến lược có thể sử dụng để đơn giản hóa việc quản trị hệ thống:

Các TBA cần được thiết kế với cùng số vùng (zone), cùng giải địa chỉ IP, do đó chỉ cần một tập các quy tắc đặt trên mọi tường lửa. Các tường lửa được tập trung theo cấu trúc hub-and-spoke. Các zone cần được thiết kế sao cho việc mất truyền thông với tường lửa không dẫn đến mất vận hành hệ thống điều khiển và bảo vệ, thường là yêu cầu một bộ định tuyến với ACL đơn giản được lắp trong trạm.

Cau truc Hub and spoke
Hình 7: Cấu trúc Hub and spoke

Dù với cấu trúc nào thì những thử thách là không nhỏ. Các giải pháp tổng thể phải được áp dụng, nhằm mục đích mở rộng trong tương lai, hơn là các giải pháp đơn lẻ cho từng TBA (Hình 7).

Biên dịch

Trần Quang Minh

ENTEC A&T

This entry was posted in . Bookmark the permalink.
024 6683 0230

Send us
an Email

Contact