Alternativer Ansatz

Bei IEC-61850-Anlagen liegt das gesamte Automatisierungssystem mit allen Geräten, den Datenmodellen und den Kommunikationsmustern in einem standardisierten Format vor, der SCL (Substation Configuration Language). Daraus erstellt Station-Guard ein Systemmodell der Anlage und ­vergleicht anschließend jedes Netzwerkpaket mit dem Live-Systemmodell. Dieser Prozess ist ohne Lernphase möglich, allein durch die praktisch automatische Konfiguration über SCL und mit wenigen manuellen Ergänzungen. Aufgrund der kontinuierlichen inhaltlichen Überprüfung des Datenverkehrs werden nicht nur Bedrohungen für die IT-Sicherheit erkannt, wie unzulässige Pakete und Steuervorgänge, sondern auch Kommunikationsfehler und andere Fehlfunktionen in der Anlage. Ein Beispiel: Allein für Goose kennt Station-Guard aktuell 35 verschiedene Alarmcodes, die auftreten können. Sie reichen von einfachen Sequenznummer-Störungen bis hin zu komplexeren Problemen, wie zu langen Übertragungszeiten.

Neben der Vermeidung von Fehlalarmen ist es entscheidend, dass die angezeigten Alarmmeldungen für die verantwortlichen Leittechniker klar verständlich sind, damit die Anlagenverantwortlichen besser, einfacher und vor allem schneller beurteilen können, welche Vorgänge einen Alarm ausgelöst haben. Damit sich die Alarme auch besser den auslösenden Feldern und Geräten zuordnen lassen, werden sie in Station-Guard nicht nur als Alarmliste geführt, wie man das von Firewalls kennt, sondern auch grafisch dargestellt (Bild 2).

Wartungsmodus

Um Fehlalarme weiter zu reduzieren, berücksichtigt Station-Guard auch Prüf- und Wartungsvorgänge im Systemmodell der Anlage. Die Prüfausrüstung, einschließlich der Schutzprüfgeräte, kann der Techniker an Station-Guard vorab ­bekannt geben und anschließend das IDS in einen Wartungsmodus schalten, in dem die Prüftechnik verwendet werden darf, ohne einen Alarm auszulösen. Wird der Engineering-PC oder Prüflaptop zu einem anderen Zeitpunkt als der Wartung verwendet, sendet das IDS sofort einen Alarm. Dabei ist zu beachten, dass Station-Guard rein passiv agiert: Ist eine Aktion nicht erlaubt, wird ein Alarm ausgelöst, ­jedoch nicht aktiv in die Anlage eingegriffen. Mit den Binärausgängen von Station-Guard können die Alarme auch über das Gateway an die Leitstelle übermittelt werden. In diesem Fall erfolgt die Meldung ohne Netzwerkkommunikation und die Alarme lassen sich wie jedes andere fest verdrahtete Signal der Anlage in die Leittechnik-Signalliste integrieren. Alternativ ist es auch möglich, Alarme über entsprechende Protokolle an ein Security Incident Event Management ­System (SIEM) weiterzuleiten.

Fazit

Die beschriebenen Maßnahmen erfordern ein Umdenken bei allen Beteiligten im Zuge der Realisierung von Projekten. Hierzu gehört der Umgang mit neuen Schnittstellen sowie der steigenden Komplexität im System, was neue Kompetenzen erfordert. Eine gute Zusammenarbeit der unterschiedlichen Disziplinen wird dadurch immer wichtiger. Während des FAT (Factory Acceptance Test) bei Siemens hat das System seine Feuertaufe bereits bestanden. Ende des Jahres wird es den Betrieb in der US Rothenburg aufnehmen. (ih)

Literatur

[1]    Centralschweizerische Kraftwerke AG, Luzern/Schweiz: www.ckw.ch
[2]    Siemens AG, Nürnberg: www.siemens.de
[3]    Verband Schweizerischer Elektrizitätsunternehmen (VSE), Aarau/Schweiz: www.strom.ch/de
[4]    Omicron Electronics GmbH, Klaus/Österreich: www.omicronenergy.com/de
[5]    IEC 60870-5-101:2003-02 Telecontrol equipment and systems – Part 5-101: Transmission protocols – Companion standard for basic telecontrol tasks. Genf/Schweiz: Bureau Central de la Comission Electrotechnique Internationale
[6]    IEC 61850:2019-04 SER Communication networks and systems for power utility automation – alle Teile. Genf/Schweiz: ­Bureau Central de la Comission Electrotechnique Internationale