На данный момент накоплен практический опыт работы в области наладки АСУТП, который позволяет говорить о ряде типовых проблем и ошибок, на разных этапах осложняющих функционирование объектов критической инфраструктуры в электроэнергетике.
При проектировании сложных многокомпонентных систем управления, к сожалению, не всегда учитывается опыт совместной эксплуатации систем различных вендоров, а в ряде случаев подобный опыт может отсутствовать. Ситуация осложняется тем, что стандартизация протоколов связи зачастую не успевает за темпами развития технологий передачи данных, принятые стандарты на промышленные протоколы допускают неоднозначные трактовки и содержат ряд функций, допускающих различную реализацию в рамках программного и аппаратного обеспечения разных производителей.
Чтобы продемонстрировать ситуации возникновения ошибок и способы их возможного решения в рамках данной статьи будут рассмотрены несколько примеров из практики наладки АСУТП станций и подстанций высокого напряжения.
На подобных критических объектах электроэнергетики наложенные средства информационной безопасности могут существенно сократить риски и уменьшить поверхность возможной атаки.
Наладка системы диспетчерского управления на высоковольтных подстанциях
Проблема
Одновременно на нескольких высоковольтных подстанциях крупного мегаполиса, реализованных по сходным проектам, было зафиксировано однотипное некорректное поведение. Оно заключалось в том, что при разборе команд управления высоковольтными коммутационными аппаратами в логике терминалов РЗА из-за ошибки наладчиков или неточности технического задания терялись не только признаки качества команд, но и признаки того, являются ли команды командами выбора или исполнения. Данная ошибка была выявлена только при проверках системы диспетчерского управления, вводимой в работу через несколько лет после переоборудования подстанций.
Ситуация практически не влияла на систему локального управления, поскольку программные средства локальных автоматизированных рабочих мест (АРМ) операторов на своей стороне реализовывали все необходимые механизмы выдачи команд в систему с предварительным подтверждением. Однако при подключении подстанций к диспетчерскому управлению региональных центров, реализованному на иных программных средствах, было выявлено, что при выборе диспетчером любого из коммутационных аппаратов для последующего управления, в систему согласно стандарту IEC 60870-5-104 отправлялась предварительная команда выбора. При получении команды на уровне терминала защиты и управления не анализировался тип команды, значение команды сразу отправлялось на проверку в логику оперативной блокировки и в случае положительного вердикта от логики, команда отправлялась сразу на исполнение, вместо ответа диспетчерскому пункту о возможности продолжать процедуру управления. Фактически оператору системы диспетчерского управления в отличие от диспетчера локального управления системой не предоставлялась возможность отменить выбранную команду или перед окончательным решением об исполнении команды провести проверки на своем уровне. Более того, изменение положения коммутационного аппарата под воздействием подобной команды трактовалось локальной системой управления как спонтанное, и сигнал о новом положении аппарата уходил в систему диспетчерского управления вышестоящего центра управления с указанием на спонтанность данного события вместо указания, что переключение было выполнено под воздействием команды.