Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS

Transkript

1 Av Hanne Vefsnmo og Gerd Kjølle, SINTEF Energi AS Sammendrag I EU-prosjektet "A Framework for electrical power systems vulnerability identification, defence and Restoration" (AFTER) skal ny metodikk og nye verktøy utvikles for å vurdere driftssikkerheten til kraftsystemet hensyntatt de viktigste IKT-systemene. Kraftsystemet er sårbart for ulike typer trusler, som f.eks. naturfenomener og dataangrep, som kan føre til alt fra fysisk ødeleggelse til dataspionasje og tap av kontroll over viktige funksjoner. I dette prosjektet fokuseres det på de truslene som kan ha store konsekvenser, f.eks. mørklegging av store områder, og på de komponentene som er avhengige av IKT; fjernstyring, overvåkning, vern- og kontrollutstyr. Det er viktig for systemansvarlig å ha metoder for å kunne evaluere driftssikkerheten, slik at riktige tiltak for å øke sikkerheten og opprettholde kraftforsyning kan iverksettes. Samfunnet blir stadig mer avhengig av elektrisitet da den er nødvendig for en rekke kritiske funksjoner. Elektrisitet trengs til boligoppvarming, elektrisk apparatur, drift av industri og livsviktig medisinsk utstyr på sykehusene. Det er derfor viktig med et pålitelig kraftsystem slik at strømmen kommer frem. Kraftsystemet blir stadig mer komplekst blant annet på grunn av økende effektflyt over landegrenser og økende fornybar produksjon. For å overvåke kraftsystemet øker derfor behovet for avanserte målere og kontrollsystemer. Eksempler på dette er WAMS 1 og systemvern. Dette forventes å øke i fremtiden med implementeringen av Smart- Grid [1]. Kraftsystemet er sårbart for en rekke trusler og blir mer og mer avhengig av IKT-systemer. Operatørene på driftssentralen er avhengige av systemer som SCADA 2 for å kontrollere og drifte kraftsystemet. 1 Wide Area Monitoring Systems 2 Supervisory Control and Data Acquisition 361

2 En operatør på driftssentralen er interessert i å vite hvilke kritiske scenarioer (utfall) som kan føre til at nettet ikke får levert den energien det skal. Risikoen for utfall beregnes gjennom å se på sannsynligheten for ulike trusler, hvordan truslene påvirker sårbare komponenter samt konsekvensen av en feil i nettet. I EU-prosjektet AFTER utvikles det ny metodikk for å beregne driftssikkerheten til det integrerte IKT- og kraftsystemet slik at riktige tiltak kan settes inn for å opprettholde kraftforsyningen. Metodikken er illustrert i bow-tie-diagrammet vist i Figur 1-1. Først identifiseres og klassifiseres trusselbildet, gjennom naturlige og menneskerelaterte trusler. Deretter modelleres det hvordan sårbare komponenter og trusler kombineres for å finne sannsynligheten for feil. Det sees på ulike utfallskombinasjoner bestående av én eller flere feil. Etter et utfall eksisterer det barrierer for å redusere konsekvensen av utfallet. Dette er for eksempel vern og kontrollutstyr som hører til under IKT-systemer. Manuelle handlinger utført av operatøren på driftssentralen er også modellert. Til slutt beregnes den totale konsekvensen av utfallet. Oppbyggingen av denne artikkelen følger bow-tie-diagrammet i Figur 1-1 fra venstre mot høyre. I kapittel 2 beskrives det hvordan trusler og sårbarheter er modellert, samt hvordan dette fører til feil på en komponent. Kapittel 3 tar for seg konsekvensene av hendelsen og barrierene for å redusere konsekvensen av utfallet som vern, kontrollutstyr og handlinger utført av operatøren på driftssentralen. Konsekvensindikatorer og risikoindikatorer beskrives også i dette kapittelet. Kapittel 4 beskriver videre arbeider og hvilken nytte metodikken har for systemoperatøreransvarlige. Til slutt oppsummeres hovedpunktene i konklusjonen i kapittel

3 Kraftsystemet er utsatt for en rekke trusler, som vist til venstre i bowtie diagrammet i Figur 1-1. Typiske fysiske trusler kan være lynnedslag i kraftledninger, vind som blåser vegetasjonen over kraftledningene og en gravemaskinsjåfør som utilsiktet kutter en kabel. Truslene kan også være tilsiktete handlinger som sabotasje og terrorisme. For å få oversikt over trusselbildet er truslene kategorisert. Truslene kan kategoriseres etter årsak, om de skyldes naturhendelser eller er forårsaket av mennesker. Menneskers handlinger kan være tilsiktet eller utilsiktet. En utilsiktet handling gjøres på grunn av manglende kunnskap eller ved et uhell. En tilsiktet handling gjøres med ønske om å ødelegge. I tillegg kan truslene kategoriseres etter om de er interne eller eksterne til kraftsystemet. Fysiske trusler kan kategoriseres som vist i Tabell 2-1. Eksterne Interne Naturlige f.eks. lyn, brann, is, snø, f.eks. feil på komponent, stormer, solstormer. anstrengt driftssituasjon Menneskelige Utilsiktet: Gravemaskin kutter en kabel under graving Tilsiktet: Sabotasje, terroraksjoner Utilsiktet: Feil av arbeidstaker Tilsiktet: Ondsinnet handling av utro medarbeider IKT-systemer blir i økende grad brukt i kraftsystemet og medfører en rekke fordeler, men det introduserer også nye typer sårbarheter og trusler [3]. Det å forstå hvordan trusler mot IKT-systemet virker inn på driftssikkerheten er viktig for å få overblikk over det totale trusselbildet. Både elektriske komponenter og IKT-komponenter kan utsettes for fysiske trusler. For IKT-systemer er det i prosjektet også tatt hensyn til trusler som dataangrep, hacking, skadelig programvare og tap av kontroll over viktige datasystemer. Kraftsystemet består av en rekke komponenter, ulike komponenter er sårbare for ulike trusler. De sårbare kraftkomponentene det er fokusert på i dette prosjektet er linjer, transformatorer, generatorer, nettstasjoner og underliggende nett. For hver komponent er det sett på sannsynligheten for at ulike trusler skal forekomme. Når trusler angriper sårbare komponenter vil det kunne føre til feil på komponenten. Sannsynligheten for feil på en komponent bestemmes ved å kombinere sannsynligheten for trusler og sårbarheter. Det genereres ulike utfallskombinasjoner bestående av enkeltfeil, flere avhengige eller uavhengige feil på en eller flere komponenter, samt sammensatte feil. 363

4 Modellering av trusler, sårbare komponenter, feil på komponenter og utfall utgjør tilsammen en scenariogenerator, som vist i Figur 3-1. Denne brukes for å generere de kritiske scenarioene som antas å utgjøre størst risiko. Input til scenariogeneratoren er grunnlagsdata om trusler og sårbarheter. Dette kan f.eks. være data som frekvens for lynnedslag i et bestemt område. Parametere for å bestemme hvilke scenarioer som skal analyseres er også input data til modellen. Figur 3-1 viser hele AFTER-metodikken fra scenariogeneratoren via feilrespons til beregning av konsekvens- og risikoindikatorer. Ut fra scenariogeneratoren kommer en utfallskombinasjon med en sannsynlighet for dette utfallet. For å bestemme konsekvensen må feilresponsen og sannsynligheten for denne beregnes. IKT-systemer som vern og kontrollutstyr er viktig for å begrense konsekvensen av en feil. Ulike feiltyper for vern er modellert: Vernet løser ut som ønsket, og isolerer feilstedet. Vernet løser ut uønsket, uten at det har vært en feil. 364

5 Vernet løser ikke ut som tiltenkt. Når vernet nærmest feilstedet ikke løser ut, må et back-up vern løse ut. Dette fører til at området berørt av feilen blir større og dermed øker konsekvensen av den opprinnelige feilen. Modellering av usikkerheten knyttet til vern er derfor viktig å ta med. Operatørens optimale handlinger på driftssentralen er også modellert, fordi det vil ha innvirkning på den totale konsekvensen av utfallet. Ved å utføre de riktige koblingene kan feilstedet isoleres og forsyningen opprettholdes fra omkringliggende nett. En ønsker å minimere konsekvensen ved å unngå kaskaderende hendelser som fører til mørkleggelse av store områder. En kaskaderende hendelse kjennetegnes ved at primærfeilen utløser en serie av utfall i kraftnettet, og fører ofte til mørklegging av områder. For å bestemme konsekvensen av en feil, beregnes flere indikatorer som f.eks. mengden utkoplet last. Metodikken tar for seg en spesifikk driftssituasjon og ser på robustheten til denne over en gitt tidsperiode, ved å se på risikoen for ulike utfallskombinasjoner. Det beregnes risikoindikatorer basert på sannsynligheten for feil og konsekvensen av feil, altså forventningsverdien av en utfallskombinasjon. I dette prosjektet sees det på risikoindikatorer for høy strøm, lav/høy spenning [4] og utkoblet last [5]. Disse fire indikatorene beregnes for hvert utfall for den gitte driftssituasjonen. For å beregne risikoen for et sett av utfall, summeres risikoen for hvert av utfallene. Den samlede risikoen kan f.eks. brukes til å si noe om risikoen for en begrenset del av nettet, f.eks. en kritisk korridor. Metodikken er laget for å brukes av systemoperatører i Europa for å evaluere driftssikkerheten. Metodikken er beskrevet og vil bli implementert i et verktøy som vil bli testet av flere systemoperatører i Europa. ENTSO-E 3 har definert fire driftstilstander [6]; "normal", "alarm", "krise" og "blackout". I følge håndboka for driftssikkerhet [7] skal systemoperatører ha en liste over utfall som kan føre til hver av disse tilstandene. Denne metodikken kan brukes som et verktøy for beregning av risiko ved oppsett av denne listen. 3 European Network of Transmission System Operators for Electricity 365

6 En av de store bekymringene for systemoperatører er å få utfall som mørklegger store områder. AFTER-metodikken er laget for å gi beslutningsstøtte til å kunne svare på spørsmål som: Hva er risikoen for et bestemt utfall? Hvilke scenarioer vil gi en blackout tilstand? Hva er marginen mellom nåværende driftstilstand og en mulig blackout tilstand? Hvordan reduseres driftssikkerheten av ulike utfall? Hva er de mest kritiske komponentene? For enkelte systemoperatører er kommunikasjonen med nabolandene avgjørende for driftssikkerheten i deres eget nett. For at en feil i nettet ikke skal spre seg over landegrensene er det viktig at vern- og kontrollsystemer fungerer som planlagt. Det er derfor viktig å vite hva sannsynligheten er for at vernet fungerer. Kraftsystemet er sårbart for en rekke trusler, og er avhengig av sikkerheten til IKT-systemer for å kunne driftes på en god måte. Driftsoperatøren er avhengig av systemer som SCADA for å overvåke og kontrollere kraftsystemet. Det å forstå hvordan trusler mot IKT-systemet virker inn på driftssikkerheten er viktig for å få overblikk over det totale trusselbildet. I AFTER utvikles det ny metodikk og verktøy for beregning av driftssikkerheten til kraftsystemet hensyntatt de viktigste IKT-systemene. Målet er å beregne risikoen til det integrerte systemet slik at riktige tiltak kan settes inn for å redusere risikoen og opprettholde kraftforsyningen. Først modelleres trusler og sårbarheten til komponenter, og ut fra det bestemmes sannsynligheten for at en feil kan oppstå. En utfallskombinasjon består av en eller flere feil. Konsekvensen av et utfall kan begrenses av at vern og kontrollutstyr fungerer som tiltenkt samt at operatøren på driftssentralen utfører de riktige koblingene. Beregningen av konsekvensen tar hensyn til sannsynligheten for at vernet fungerer som tiltenkt. Ved å kombinere sannsynligheten for utfallet og konsekvensen, beregnes risikoen for utfallet. 366

7 [1] ENTSO-E, EDSO, (2010). The European Electricity Grid Initiative (EEGI) Roadmap and detailed implementation plan [2] Brasca, C., Ciapessoni, E., Cirio, D., Pitto, A., Sforna, M., Morini, A. (2013). Extended risk analysis of power and ICT systems, ISGT Europe, Lyngby, 6.-9.oktober [3] Tøndel, I.A., Mostue, B.A., Jaatun, M.G., Kjølle, G. (2013). Towards improved understanding and holistic management of the cyber security challenges in power transmission systems, Availability, Reliability and Security in information systems and HCI Lecture Notes in Computer Science Volume 8127, 2013, s [4] Ciapessoni, E., Cirio, D., Massucco, S., Pitto, A. (2011). A Riskbased methodology for operational risk assessment and control of power systems, PSCC, Stockholm, august [5] Ciapessoni, E., Cirio, D., Gaglioti, E., Massucco, S., Pitto, A., Silvestro, F. (2010). Risk evaluation in power system contingency analyses, CIGRE Session 2010, Paris, august [6] ENTSO-E (2012) Incidents classification scale methodology, ments/ ics_methodology_final.pdf (sitert ) [7] ENTSO-E, P3 Policy 3: Operational Security s/entsoe/operation_handbook/policy_3_final.pdf (sitert ). 367