BR102013015753A2 - Método para monitorar operação de um sistema de energia elétrica; e sistema de monitoramento - Google Patents

Abstract

RESUMO Patente de Invenção: "MÉTODO PARA MONITORAR OPERAÇÃO DE UM SISTEMA DE ENERGIA ELÉTRICA; E SISTEMA DE MONITORAMENTO". A presente invenção refere-se, em um método, à operação de um sistema de energia elétrica que, tendo um sistema de automação de utilidade de energia elétrica (1981-1984; 1991-1994), é monitorada. O sistema de automação de utilidade de energia elétrica (1981-1984; 1991-1994) compreende uma pluralidade de dispositivos eletrônicos inteligentes (IEDs) (1981-1984; 1991-1994) que se comunicam via uma rede de comunicação. Durante operação do sistema de energia elétrica, as propriedades do sistema de energia elétrica são monitoradas, as propriedades monitoradas compreendendo mensagens de dados monitoradas, que são transmitidas pela pluralidade de IEDs (1981-1984; 1991-1994) através da rede de comunicação. As mensagens de dados monitoradas são avaliadas com base na informação de configuração para o sistema de automação de utilidade de energia elétrica (1981-1984; 1991-1994), para detectar um evento crítico. Um sinal de alerta é gerado em resposta à detecção de um evento crítico.

Description

Relatório Descritivo da Patente de Invenção para "MÉTODO PARA MONITORAR OPERAÇÃO DE UM SISTEMA DE ENERGIA ELÉTRICA; E SISTEMA DE MONITORAMENTO".

Campo da Invenção A presente invenção refere-se a um método e sistema de monitoramento para monitorar operação de um sistema de energia elétrica. A invenção relaciona-se, em particular, a tal método e sistema de monitoramento configurado para realizar um monitoramento de automação de subestação para detectar um evento crítico, tal como uma invasão de segurança, durante a operação de um sistema de energia elétrica.

Antecedente da Invenção Sistemas de energia elétrica para voltagens altas e médias são amplamente usados. A necessidade de transmitir energia elétrica por longas distâncias, realizar uma conversão de voltagem em uma subestação de transformador ou distribuir energia elétrica requer sistemas elétricos complexos. Nos anos mais recentes, os chamados sistemas de automação vêm se tornando crescentemente populares, o que aumenta o grau de automação nos sistemas de energia elétrica. Para ilustração, subestações para distribuição de energia elétrica por meio de redes de altas e médias voltagens incluem dispositivos primários ou dispositivos de campo, tal como cabos elétricos, linhas, barramentos, disjuntores, transformadores de força, e transformadores de instrumentos, arranjados em subestações ou baias. Estes dispositivos primários podem ser operados de modo automatizado, em um sistema de automação de subestação (SA de “Substation Automation”) reativo a controle, proteção, e monitoramento de subestações. O sistema SA compreende dispositivos secundários programáveis, chamados Dispositivos Eletrônicos Inteligentes (IED de “Intelligent Electronic Devices”) interconectados com uma rede de comunicação SA, e interagindo com os dispositivos primários via uma interface de processo. Similarmente, uma ampla variedade de sistemas de energia elétrica pode ter um sistema de automação de utilidade de energia elétrica associado incluindo lEDs que realizam funções de controle, proteção, e monitoramento do respectivo sistema de energia elétrica. A comunicação entre lEDs pode ser realizada de acordo com protocolos padronizados. Para ilustração, o padrão IEC 61850 “Communications Networks and Systems in Substations” desconecta a funcionalidade de aplicativo específico de subestação, e, para esta finalidade, define um modelo de objeto abstrato para subestações conformes, e um método de como acessar esses objetos através de uma rede via interface de Serviço de Comunicação Abstrata (ACSI de “Abstract Communication Service Interface”).

Com o grau crescente de automação e uso crescente de lEDs, há também uma necessidade crescente para confiavelmente detectar situações críticas no sistema de automação de energia. Exemplos de tais eventos críticos incluem invasão de segurança, erros de operador, aspectos de tem-porização, falhas de hardware, ou qualquer estado crítico ou incorreto do sistema de energia elétrica e/ou de seu sistema de automação de utilidade de energia elétrica. A U.S. 2011/ 0196627 A1 descreve métodos e dispositivos em que transmissões em tempo real são detectadas e podem ser avaliadas com respeito à informação relativa a tempo. Tal solução permite que situações críticas sejam detectadas, quando, por exemplo, são usados protocolos de comunicação que requerem mensagens transmitidas entre os lEDs para a-tender certos requisitos de temporização.

No campo de redes de computador, Sistemas de Detecção de Invasão (IDSs de “Intrusion Detecton Systems”) são usados para monitorar a rede ou atividade de sistemas para detectar invasões ou atividades deletérias de terceiros não autorizadonão autorizados. Os IDSs são projetados para identificar possíveis incidentes, informações de registro, e reportar possíveis tentativas. A função primária de IDSs é alertar ao operador um perímetro seguro, de modo que ele tome medidas para impedir a invasão e minimizar os impactos de ataques ou realizar uma análise posterior de incidente. Os IDSs baseados em assinatura usam assinaturas predefinidas de ataques conhecidos (tais como, assinaturas de escâner de vírus) para detectar invasões. Isto pode ser visto como uma solução tipo “lista negra” (blacklist), em que o IDS alerta ao operador a observação de um comportamento proi- bido, no sentido de que esse comportamento consta na “lista negra”. Tais soluções baseadas em assinatura são amplamente usadas por IDSs em sistemas de tecnologia de informação clássica (IT Information Technology). Conquanto a solução tipo “lista negra” possa ser usada para detectar eventos críticos em sistemas de automação de utilidade de energia elétrica, pode haver problemas com tal solução. A solução tipo “lista negra” requer uma assinatura para cada evento crítico, a ser identificado. Ataques novos ou desconhecidos não podem ser detectados. No contexto de sistemas de e-nergia elétrica, o número de ataques e vulnerabilidades conhecido por sistemas de controle e automação e seus protocolos especiais é muito baixo. Portanto, um IDS baseado em “lista negra” aplicado a sistemas de energia elétrica, em grande extensão, seria apenas capaz de detectar ataques conhecidos a partir do domínio IT. A utilidade de soluções tipo “lista negra”, por conseguinte, é limitada, em particular, para IDSs em sistemas de energia elétrica.

Sumário da Invenção Por conseguinte, há necessidade de um método e sistema para monitorar operação de um sistema de energia elétrica tendo um sistema de automação de utilidade de energia elétrica associado, como por exemplo, um sistema de automação de subestação. Há também a necessidade de tais métodos e sistemas que não apenas se baseiam em uma lista de assinaturas de eventos críticos, e assim como também podem detectar novos eventos críticos não incluídos em uma “lista negra”.

De acordo com modalidades, um método e um sistema de monitoramento, como definido nas reivindicações independentes, são providos. As reivindicações dependentes definem as modalidades.

Um método de monitoramento de operação de um sistema de energia elétrica é realizado por um sistema de monitoramento. O sistema de energia elétrica tem um sistema de automação de utilidade de energia elétrica. O sistema de automação de utilidade de energia elétrica compreende uma pluralidade de dispositivos eletrônicos inteligentes (lEDs) que se comunicam via uma rede de comunicação. O sistema de monitoramento usa in- formação de configuração que especifica as propriedades da pluralidade de lEDs. O método compreende, durante a operação do sistema de energia elétrica, propriedades de monitoramento do sistema de energia elétrica, as propriedades monitoradas compreendendo mensagens de dados monitoradas, que são transmitidas pela pluralidade de lEDs através da rede de comunicação. O método compreende avaliar as mensagens de dados monitoradas para detectar um evento crítico durante operação do sistema de energia elétrica, em que a avaliação compreende analisar o conteúdo de dados de pelo menos algumas das mensagens de dados monitoradas para determinar, com base na informação de configuração, se o conteúdo de dados corresponde a um comportamento válido. O método compreende gerar um sinal de alerta em resposta à detecção de dados ou a um status não conforme do sistema. O método usa vantajosamente o fato de os sistemas de energia elétrica e seus sistemas de automação serem em grande extensão determi-nísticos. O número de dispositivos, seus endereços, protocolos, e mesmo os serviços realizados pelo sistema de energia elétrica em seu todo são incluídos de antemão e não se alteram significativamente ao longo do tempo. Por conseguinte, a informação de configuração que especifica o comportamento dos lEDs é usada para determinar se as propriedades monitoradas correspondem à informação de configuração. O sistema de monitoramento pode verificar, com base nas propriedades monitoradas, se as propriedades monitoradas estão conforme a informação de configuração. O sistema de monitoramento, assim, usa uma solução que não necessariamente requer uma “lista negra” incluindo assinaturas de eventos críticos. Ao invés, o sistema de monitoramento usa informação de configuração para verificar, com base na informação de configuração, se os eventos observados correspondem a um comportamento de sistema válido. Através do que o sistema de monitoramento identifica eventos não conformes com um modelo de sistema do sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica. O sistema de monitoramento pode ser ou incluir uma subesta- ção. O sistema de automação de utilidade de energia elétrica pode ser ou incluir um sistema de automação de utilidade de energia elétrica. O sistema de monitoramento pode ser configurado para realizar o monitoramento das propriedades passivamente, sem interferir ativamente na operação de qualquer um dos lEDs ou componentes do sistema de energia elétrica. O sistema de monitoramento pode ser configurado de modo a monitorar as propriedades sem emitir mensagens a um dos lEDs durante operação do sistema de energia elétrica. O sistema de monitoramento pode gerar um modelo de sistema para o sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica com base na informação de configuração. O sistema de monitoramento, assim, pode parecer uma solução baseada em “lista branca” (white list), que usa um modelo de sistema gerado automaticamente para um sistema de energia elétrica com especificações de comportamento detalhadas para julgar se as propriedades monitoradas estão de acordo com uma operação normal, como definido pelas especificações de comportamento no modelo de sistema. O sistema de monitoramento pode gerar o modelo de sistema baseado na informação de configuração e conhecimento de aplicativo. O conhecimento de aplicativo pode incluir informação dos protocolos de comunicação usados pelos lEDs para se comunicar via rede de comunicação. O conhecimento de aplicativo pode incluir informação com respeito aos protocolos de comunicação. O conhecimento de aplicativo pode incluir informação com respeito a quando e quais dados são transmitidos, de acordo com os protocolos de comunicação. O conhecimento de aplicativo pode incluir informações com respeito aos modelos de dados de lEDs ou outros dispositivos, respectivamente para uma pluralidade de diferentes lEDs ou dispositivos. O conhecimento de aplicativo pode incluir informações com respeito a quais funções são críticas. O conhecimento de aplicativo pode ser armazenado em um banco de dados, do qual o sistema de monitoramento recupera informações para gerar o modelo de sistema. O modelo de sistema gerado deve cobrir características de comunicação. O modelo de sistema gerado pode definir quais lEDs se comunicam entre si e parâmetros da respectiva comunicação. Adicionalmente, o modelo de sistema também pode usar o conhecimento de aplicativo com respeito ao sistema de energia elétrica. Através do que, o sistema de monitoramento também é configurado para analisar o conteúdo de dados das mensagens transferidas. O sistema de monitoramento pode ser configurado para relacionar mensagens de dados de diferentes fontes. Isto também pode incluir a observação de valores de medição digitalmente transferidos (por exemplo, voltagens, forma de onda de sinal, eventos binário/ gatilho, incluindo sem limitação mensagens IEC 61850). Uma vez que os sistemas de automação frequentemente têm requisitos de tempo real, também as propriedades de tempo das mensagens podem fazer parte do modelo de sistema. O sistema pode não apenas inspecionar o tráfego de rede e valores de medição transferidos através da rede, mas, também, adicionalmente, pode ter portas de entrada elétrica (analógicas) para ser capaz de comparar sinais elétricos do sistema de energia elétrica com o modelo de sistema interno. Os conteúdos de dados das mensagens de dados monitoradas e sinais elétricos, então, podem ser em relacionados, e comparados contra o modelo do sistema. O conhecimento de aplicativo pode ser usado para gerar o modelo de sistema. O modelo de sistema adicionalmente pode incluir informações com respeito a uma interconexão lógica entre lEDs. Isto é, o modelo de sistema pode incluir informações com respeito à topologia do sistema de automação de utilidade de energia elétrica. O modelo de sistema adicionalmente pode incluir informações com respeito aos disjuntores, que são usados na rede de comunicação. Isso permite que o sistema de monitoramento determine quais mensagens de dados são esperadas em certos locais na rede de comunicação, dentro de um comportamento válido do sistema de automação de utilidade de energia elétrica. O modelo de sistema pode incluir informação com respeito às capacidades de pelo menos os lEDs no sistema de automação de utilidade de energia elétrica. O modelo de sistema pode incluir infor- mações com respeito às mensagens de dados transmitidas pelos lEDs. O modelo de sistema pode ter um formato que define um conjunto de restrições que são impostas para o comportamento válido do sistema de automação de utilidade de energia elétrica pela informação de configuração e/ou conhecimento de aplicativo. O conjunto de restrições pode incluir restrições relativas às mensagens de dados esperadas em certas localizações da rede de comunicação para uma dada topologia do sistema de automação de utilidade de energia elétrica. Para ilustração, uma mensagem de dados de um primeiro IED para um segundo IED monitorado em uma localização da rede de comunicação representa um comportamento válido somente se a topologia definir que o primeiro IED se comunica com o segundo IED, e que as mensagens de dados passem a localização na qual a mensagem de dados é monitorada. Para uma ilustração adicional, a mensagem de dados enviada a um IED pode representar um comportamento válido, somente se ela pedir que o IED realize uma ação de acordo com sua capacidade e função. Tal verificação pode ser formulada como um conjunto de restrições. Usando um conjunto de restrições para definir o modelo de sistema, o processo para verificar se as mensagens de dados monitoradas correspondem a um comportamento válido pode ser realizado de modo eficiente. O modelo de sistema, assim, pode prover uma especificação para pelo menos o sistema de automação de utilidade de energia elétrica incluindo rede de comunicação. O modelo de sistema pode prover uma especificação para ambos os sistemas - sistema de automação de utilidade de energia elétrica e sistema de energia elétrica. O modelo de sistema permite que o sistema de monitoramento monitore a conformidade com a especificação, como definido pelo modelo de sistema.

Se for detectado um desvio a partir do comportamento esperado de acordo com o modelo de sistema, um alerta será disparado. Desvios do comportamento especificado podem ser causados não apenas por invasão de segurança, mas também por falhas de hardware, erros de operador, problemas de temporização, ou erros de configuração. Assim, o sistema de monitoramento não é configurado apenas para detectar uma invasão de se- gurança, mas, também para detectar qualquer estado crítico ou incorreto do sistema de energia elétrica, que possa ser observado através da rede de comunicação. O sistema de monitoramento é capaz de monitorar a saúde do sistema de automação de utilidade de energia elétrica, e alertar ao operador uma condição crítica. O sistema de monitoramento não é usado apenas durante operação normal do sistema de energia elétrica, mas, também, durante a fase de configuração do sistema de automação. O método, portanto, pode compreender realizar testes de campo ou testes de aceitação para determinar se o sistema de automação de utilidade de energia elétrica se comporta (ou não) como especificado na informação de configuração. Alternativamente ou adicionalmente, o método pode ser usado para determinar se a informação de configuração está correta e corresponde ao estado corrente do sistema. Alternativamente ou adicionalmente, o método pode ser usado para monitorar o status corrente, e gerar a informação de configuração a partir do tráfego de rede corrente. A etapa de avaliação pode compreender prever mensagens de dados antecipadas entre a pluralidade de lEDs, com base no modelo de sistema, e comparar as mensagens de dados monitoradas com as mensagens de dados antecipadas previstas. O conhecimento do sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica, assim como o comportamento especificado desses sistemas, podem ser usados para determinar se o sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica apresentam o comportamento esperado de acordo com o modelo de sistema. A etapa de previsão pode compreender prever o conteúdo de dados das mensagens de dados transmitidas por um IED, com base na informação de configuração e com base em pelo menos uma mensagem de dados previamente transmitida por pelo menos um da pluralidade de lEDs. O conteúdo de dados da mensagem de dados transmitida por um IED pode ser previsto com base na informação de configuração e com base no conteúdo de dados de outra mensagem de dados previamente transmitida pelo mes- mo IED. O conteúdo de dados de uma mensagem de dados transmitida por urn IED pode ser previsto com base na informação de configuração e com base no conteúdo de dados de outra mensagem de dados transmitida previamente por outro IED da pluralidade de lEDs. Através do que, o conhecimento dos componentes do sistema de energia elétrica e de seu associado sistema de automação de utilidade de energia elétrica pode ser usado para discriminar eventos normais de eventos críticos. A etapa de avaliação pode compreender determinar se a pluralidade de lEDs se comporta como especificado pela informação de configuração. O evento crítico pode ser detectado, se a pluralidade de lEDs não se comportar como especificado pela informação de configuração. Essa verificação pode ser feita sem requerer uma “lista negra” de eventos críticos. A informação de configuração também pode incluir informação dos componentes dos sistemas de energia elétrica e suas interconexões. A etapa de avaliação pode compreender determinar se ambos os sistemas -sistema de energia elétrica e seu sistema de automação de utilidade de e-nergia elétrica - se comportam como especificado pela informação de configuração. O sistema de monitoramento tem uma Porta de Acesso de Teste de Ethernet (TAP de Ehernet Test Acess) para monitorar as mensagens de dados. O sistema de monitoramento pode ter uma pluralidade de TAPs para monitorar as mensagens de dados. Quando a rede de comunicação tem topologia estrela, como em muitas redes chaveadas, a pluralidade de TAPs pode ser respectivamente provida nas conexões de dados entre lEDs e disjuntores. Os TAPs podem ser situados em diferentes localizações, ao longo de toda a rede de comunicação, e formar um TAP virtualmente distribuído.

Alternativamente ou adicionalmente, o sistema de monitoramento pode usar um disjuntor da rede de comunicação para monitorar as mensagens de dados. O sistema de monitoramento pode ter uma interface que funciona como porta espelho, e o disjuntor pode ser configurado para transmitir uma cópia de mensagens de dados recebidas no disjuntor da pluralida- de de lEDs para a porta espelho no sistema de monitoramento. Alternativamente ou adicionalmente, o sistema de monitoramento pode ser integrado a um disjuntor da rede de comunicação. O método pode compreender uma etapa de receber, no sistema de monitoramento, a informação de configuração. O método pode compreender uma etapa de automaticamente processar com o sistema de monitoramento a informação de configuração recebida, para gerar o modelo de sistema. A informação de configuração recebida pode compreender pelo menos um arquivo de dados de configuração do sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica. O arquivo de dados de configuração pode ser um arquivo de Linguagem de descrição de Configuração de Subestação (SCL), como usado por sistemas IEC 61860. O arquivo SCL pode ser arquivo SCL para uma subestação, e seu sistema de automação de subestação.

As propriedades monitoradas adicionalmente podem compreender sinais analógicos do sistema de energia elétrica. A etapa de avaliação pode compreender: avaliar mensagens de dados monitoradas e sinais analógicos com base na informação de configuração para detectar o evento crítico. Os sinais analógicos podem ser comparados com a especificação do sistema de energia elétrica e sistema de automação de utilidade de energia elétrica, como definido pelo arquivo SCL. O processo para automaticamente criar um modelo de sistema do sistema de automação de utilidade de energia elétrica pode combinar informações a partir de diferentes fontes de dados. Dados de configuração do sistema de energia elétrica seus componentes de sistema de automação podem ser usados, tais como arquivos SCL, como definido em IEC 61850-6. Adicionalmente ou alternativamente, a observação passiva da comunicação de rede também pode ser usada para gerar o modelo de sistema. Tal observação passiva pode incluir observar a comunicação entre dispositivos do sistema de automação de utilidade de energia elétrica e/ou a comunicação entre equipamento de rede (por exemplo Protocolo de Árvore de Transposi- ção Rápida (Rapid Spanning Tree Protocol). Adicionalmente ou alternativamente, a comunicação ativa com dispositivos (por exemplo lEDs ou equipamento de rede) também pode ser usada para gerar o modelo de sistema. Adicionalmente ou alternativamente, os dados de configuração de disjuntores de rede podem ser usados para gerar o modelo de sistema. Tais dados de configuração podem incluir tabelas MAC de disjuntores. Adicionalmente ou alternativamente, uma entrada de usuário também pode ser usada. Para ilustração, uma entrada de usuário pode ser recebida definindo a localização de sensores que provê sinais analógicos para as portas de entrada do sistema de monitoramento.

Em uma implementação, o processo para automaticamente criar um modelo de sistema pode ser iniciado com os arquivos SCL ou outros arquivos de dados de configuração para determinar o modelo de sistema interno dos dispositivos do sistema de automação de utilidade de energia elétrica. Isso pode ser usado para deduzir o tipo de dispositivo, informação de venda, e, por conseguinte, sua capacidade. Isso também pode determinar quais dispositivos se comunicam e quais mensagens são esperadas em certas localizações nos SAs. Uma vez a função ou propósito de um dispositivo sendo conhecido, também sua criticalidade pode ser deduzida, que permite a geração de ACLs (Listas de Controle de Acesso) para o modelo de sistema do dispositivo. A informação pode ser combinada com o monitoramento passivo da rede para corresponder ao tráfego presente nos dispositivos a partir da configuração para preencher os espaços de informação (por exemplo localizações de um dispositivo na rede, informação de endereçamento). Durante a fase de configuração da rede de comunicação do sistema de automação de utilidade de energia elétrica, a informação gerada a partir do arquivo de configuração pode ser comparada com o tráfego correntemente existente para liberar a rede ou executar testes de aceitação de campo ou sitio. Adicionalmente, parceiros de comunicação, não mencionados no arquivo de dados de configuração, tais como estações de interface homem-máquina, podem ser identificados, e especificações para esses dispositivos podem ser criadas (por exemplo mostrando (prompting) pedido de inserção de usuário). O método pode compreender a etapa de gravar o tempo nas propriedades monitoradas e armazenar as propriedades monitoradas com o tempo gravado em resposta à detecção do evento crítico. Isso permite que as propriedades monitoradas sejam subsequentemente analisadas. Armazenando seletivamente as propriedades monitoradas com tempo gravado, somente se um evento crítico for detectado, que os requisitos de espaço de armazenamento poderão ser mantidos mais moderados. O método pode adicionalmente compreender uma etapa de gerar, com o sistema de monitoramento, uma “lista negra”, que define assinaturas de estados de operação anormais. As propriedades monitoradas podem ser comparadas com a “lista negra”, em adição a verificação do comportamento de sistema contra dados de configuração para detectar um evento crítico. O sistema de monitoramento pode gerar uma “lista negra” com base na informação de configuração. O método pode ser usado para detectar uma invasão não autorizada. O sistema de monitoramento, assim, pode operar como IDS. Adicionalmente ou alternativamente, o método pode ser usado para detectar falha de hardware. Adicionalmente ou alternativamente, o método pode ser usado para detectar erro de operador. Adicionalmente ou alternativamente, o método pode ser usado para detectar um erro de configuração durante uma fase de configuração da subestação ou do sistema de automação de utilidade de energia elétrica. Adicionalmente ou alternativamente, o método pode ser u-sado para detectar uma violação de política de segurança, tal como o estabelecimento de uma conexão de dados entre um dispositivo de computação não autorizado e o sistema de automação de utilidade de energia elétrica. O método pode ser usado para monitorar e analisar propriedades de sistema de energia elétrica, para detectar e alertar estados de operação críticos e/ou invasões de segurança.

As propriedades monitoradas podem incluir o tráfego de um sistema de energia elétrica ou sistema de automação. A rede analisada pode incluir uma rede de comunicação para transmitir energia elétrica ou dados relevantes do sistema de automação. O sistema de monitoramento pode monitorar o estado do sistema de energia elétrica ou sistema de automação de utilidade de energia elétrica, monitorando o tráfego de rede e/ou sinais energia elétricos analógicos disponíveis. O sistema de monitoramento pode operar como um sistema de detecção de invasão (IDS de Intrusion Detection System). O sistema de monitoramento pode usar conhecimento de aplicativo do sistema de energia. A análise do tráfego de rede pode compreender uma análise passiva do tráfego de rede para determinar se o sistema de energia elétrica ou sistema de automação de utilidade de energia elétrica se comporta conforme especificação. O sistema de monitoramento também pode relatar se o sistema de automação de utilidade de energia elétrica se comporta (ou não), como especificado pelo modelo de sistema do sistema de automação de utilidade de energia elétrica. O sistema de monitoramento também pode relatar erros na fase de configuração do sistema de energia elétrica ou sistema de automação de utilidade de energia elétrica. O sistema de monitoramento pode detectar e relatar invasões de segurança, com base no conhecimento do sistema de energia elétrica. As decisões são tomadas considerando o estado do sistema de energia, dados específicos de aplicativo, padrão de comportamento específico, e/ou similares, não se limitando a esses. O sistema de monitoramento pode detectar e relatar erros de operador e falhas de hardware do sistema de energia elétrica. As informações coletadas podem incluir o tempo gravado e podem ser usadas para análise e depuração pós-evento. O sistema de monitoramento pode combinar uma “lista negra” (isto é, com base em assinaturas) e soluções tipo “lista branca” IDS com um sistema, em que a solução tipo “lista branca” inclui verificar se as mensagens de dados monitoradas representam um comportamento válido. O sistema de monitoramento pode ser configurado para automaticamente gerar o modelo de sistema por IDS com base em “lista branca” a partir dos dados de configuração do sistema de energia elétrica. Os dados de configuração podem incluir arquivos SCL, não se limitando a isso. O sistema de monitoramento pode ser configurado para automaticamente gerar o modelo de sistema por IDS com base em assinatura a partir dos dados de configuração do sistema de energia elétrica. Os dados de configuração podem incluir arquivos SCL, não se limitando a isso.

De acordo com outra modalidade, é provido um sistema de monitoramento para um sistema de energia elétrica, o sistema de energia elétrica incluindo um sistema de automação de utilidade de energia elétrica, o sistema de automação de utilidade de energia elétrica compreendendo uma pluralidade de Dispositivos Eletrônicos Inteligentes (lEDs) que se comunicam via rede de comunicação. O sistema de monitoramento compreende uma interface para monitorar, durante operação do sistema de energia elétrica, propriedades do sistema de energia elétrica, as propriedades monitoradas compreendendo mensagens de dados monitoradas que são transmitidas pela pluralidade lEDs via rede de comunicação. O sistema de monitoramento compreende um dispositivo de processamento, configurado para avaliar as mensagens de dados monitoradas com base nas informações de configuração, para detectar um evento crítico, durante a operação do sistema de energia elétrica. O dispositivo de processamento é configurado para analisar o conteúdo de dados de pelo menos algumas das mensagens de dados monitoradas para detectar o evento crítico. O dispositivo de processamento é configurado para gerar um sinal de alerta em resposta à detecção de um evento crítico. O sistema de monitoramento pode ser configurado para realizar o método de qualquer um de aspecto ou modalidade. O sistema de monitoramento pode compreender uma pluralidade de dispositivos de monitoramento separados, instalados em diferentes localizações. Os dispositivos de monitoramento podem ser configurados de modo a se comunicarem. O sistema de monitoramento, assim, pode ser confi- gurado como um sistema distribuído. Em tal implementação distribuída do sistema de monitoramento, os dispositivos de monitoramento distribuídos do sistema de monitoramento podem ser sincronizados por um protocolo de sincronização (tal como IEEE 1588, PTP, IRI-B, etc.).

Aspectos adicionais do sistema de monitoramento e os efeitos conseguidos através dos mesmos correspondem a aspectos do método, de acordo com as modalidades. O processamento da informação de configuração e/ou propriedades monitoradas podem ser respectivamente realizadas por um dispositivo de monitoramento do sistema.

De acordo com outra modalidade é provido um sistema que compreende um sistema de energia elétrica, e o sistema de monitoramento de um aspecto ou modalidade. O sistema de energia elétrica tem um sistema de automação de utilidade de energia elétrica, o sistema de automação de utilidade de energia elétrica compreendendo uma pluralidade de dispositivos eletrônicos inteligentes (lEDs) que se comunicam via rede de comunicação. Métodos e sistemas de monitoramento das configurações, em particular, podem ser usados para monitorar sistemas de automação de subestação. Métodos e sistemas de monitoramento das modalidades, em particular, podem ser usados para detectar invasões, mas não se limitando a isso.

Breve Descrição das Figuras Modalidades da invenção serão explicadas em seguida com referência às figuras. Ao longo das figuras, os números de referência se referem a elementos similares. A figura 1 mostra, em forma diagramática, elementos de um sistema de energia elétrica, nos quais um sistema e método de monitoramento podem ser usados. A figura 2 mostra, em forma diagramática, uma subestação, na qual um sistema e um método de monitoramento podem ser usados. A figura 3 mostra, em forma diagramática, ainda uma outra subestação exemplar adicional, na qual um sistema e um método de monitora- mento das configurações podem ser usados. A figura 4 é um diagrama de blocos de um sistema de monitoramento de acordo com uma modalidade. A figura 5 é um diagrama de blocos ilustrando a geração de um modelo de sistema de acordo com modalidades. A figura 6 mostra uma técnica através da qual o sistema de monitoramento de uma modalidade pode monitorar mensagens de dados transmitidas por dispositivos de sistema de automação de utilidade de energia elétrica. A figura 7 é um fluxograma de um método de uma modalidade. A figura 8 ilustra mensagens de dados transmitidas por dispositivos de um sistema de automação de utilidade de energia elétrica, que são avaliadas por um sistema de monitoramento de uma modalidade. A figura 9 ilustra um diagrama de blocos funcional de um sistema de monitoramento de uma modalidade. A figura 10 ilustra um fluxograma de um método de uma modalidade. A figura 11 ilustra um sistema de automação de utilidade de e-nergia elétrica de acordo com uma modalidade. A figura 12 ilustra um sistema de automação de utilidade de e-nergia elétrica tendo um sistema de monitoramento de acordo com outra modalidade. A figura 13 ilustra um sistema de automação de utilidade de e-nergia elétrica tendo um sistema de monitoramento de acordo com outra modalidade.

Descrição das Modalidades Modalidades da invenção serão descritas em mais detalhes com referência às figuras. Conquanto algumas modalidades sejam descritas em contextos específicos, tais como subestações de um sistema de energia elétrica, que são transformadores ou usinas de energia, o método e sistemas de monitoramento não se limitam a esses contextos. Modalidades podem ser usadas, em particular, para operação de monitoramento e, em particular, para detectar invasões em subestações de sistemas de energia elétrica tendo um sistema de automação de utilidade de energia elétrica na forma de um sistema de automação de subestação.

As figuras 1 a 3 mostram, de forma diagramática e altamente simplificada, componentes fundamentais de um sistema de energia elétrica nos quais um sistema de monitoramento 10 de uma modalidade pode ser usado.

Geralmente, como será explicado em mais detalhes abaixo, um sistema de monitoramento 10 de uma modalidade compreende interface 11 para comunicação com uma rede de comunicação de um sistema de automação de utilidade de energia elétrica. Usando a interface, mensagens de dados transmitidas através da rede de comunicação são recebidas e monitoradas. O sistema de monitoramento 10 compreende um dispositivo de monitoramento 12 que processa as mensagens de dados monitoradas. O dispositivo de monitoramento 12 pode avaliar pelo menos o conteúdo de dados de algumas das mensagens de dados monitoradas, para determinar se o sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica apresentam um comportamento de acordo com um modelo de sistema 13 do sistema de automação de utilidade de energia elétrica. O conteúdo de dados das mensagens de dados monitoradas, que é analisado pelo dispositivo eletrônico 12 do sistema de monitoramento 10, pode incluir parâmetros de processo dos sistemas de energia elétrica. O dispositivo de processamento 12 pode compreender um processador, pode compreender uma pluralidade se processadores se comunicando, ou pode incluir circuitos especiais. Para ilustração, o dispositivo de processamento 12 pode incluir um arranjo de porta programável de campo (FGPAde Field Programmable Gate Array) ou uma pluralidade de FGPAs se comunicando entre si. O dispositivo de processamento 12 pode incluir um ou uma pluralidade de processadores de sinal digital (DSPs). O modelo de sistema 13 pode ser armazenado em um dispositivo de armazenamento do sistema de monitoramento 10. O modelo de sistema 13 pode ser um modelo de sistema que inclui informações nos dispositivos, pelo menos no sistema de automação de utilidade de energia elétrica, a comunicação entre esses dispositivos e estruturas de dados desses dispositivos. O modelo de sistema 13 pode ser um modelo de sistema que adicionalmente inclui informações nos elementos primários do sistema de energia elétrica. O sistema de monitoramento 10 pode ter aspectos adicionais, tais como portas de entrada para receber dados de sensor a partir do sistema de energia elétrica. O sistema de monitoramento 10 pode ser configurado para automaticamente gerar o modelo de sistema 13 com base em um arquivo de configuração para um sistema de automação de utilidade de energia elétrica, por exemplo com base em um arquivo de dados SCL. A figura 1 mostra, de forma diagramática e altamente simplificada, elementos de um subsistema exemplar de um sistema de energia elétrica. A energia elétrica na figura 1 flui da esquerda para a direita a partir da usina de energia 1000, chamada “estação de energia” via linhas de transmissão de alta voltagem 1501, 1502, para uma instalação de transformador 1600 - chamada “estação de transformador”. A energia elétrica é produzida em geradores 1001 e 1002 e transformada para alta voltagem nos transformadores de saída 1201 e 1202. Tais transformadores de saída associados aos geradores são também chamados transformadores de unidade ou transformadores de gerador. A energia elétrica é transmitida dos transformadores de unidade 1201, 1202 para um barramento 1401, através do qual é distribuída via linhas de transmissão de alta voltagem 1501, 1502. As linhas de transmissão de alta voltagem 1501, 1502, aqui estão na forma de linha dupla. Na prática, a linha dupla, na maior parte dos casos, é guiada unida em um sistema de mastro. Na instalação de transformador 1600, as linhas que chegam 1501, 1502 são, de novo, combinadas no barramento 1411. A energia elétrica no barramento 1411 é transformada para um diferente nível de voltagem por um transformador de saída 1211 e fornecida para barramento 1412. A partir do barramento 1412, a energia elétrica é distribuída adicionalmente através das linhas 1701, 1702. A figura 1 mostra o chamado sistema de circuito equivalente de uma linha. No entanto, o sistema de energia elétrica convencionalmente é um sistema trifásico. Portanto os elementos mostrados representam formas trifásicas, por exemplo, a linha 1501 mostrada como uma linha, na realidade consiste de três cabos. A produção, transmissão, e distribuição da energia elétrica, portanto, ocorre nos chamados elementos primários descritos acima, que, diga-se, os elementos primários guiam as correntes e voltagens primárias, que em conjunto constituem parâmetros primários. Os elementos primários em conjunto são também chamados sistema primário. Paralelo ao sistema primário tem o chamado sistema secundário, que consiste em um dispositivo de proteção e controle. Os elementos acima de uma linha divisória simbólica 2000 na figura 1 pertencem ao sistema de proteção e controle secundário. Transformadores 1903, 19011, 1952 e 1961 ocupam uma posição intermediária. Eles são conectados, de um lado, ao sistema primário, e, por outro lado, ao sistema secundário, e, portanto, não podem ser classificados equivocadamente.

Abaixo da linha divisória 2000, vários dispositivos de proteção são mostrados, por exemplo, um sistema de proteção de gerador (GS) 2001, um sistema de proteção diferencial de transformador (TS) 2002, 2012, e um sistema de proteção de linha (LS) 2003, 2011, 2013. Somente dispositivos de proteção são mostrados na figura 1, para efeito de clareza, os dispositivos de controle seriam arranjados no mesmo nível. Os dispositivos de proteção e controle não podem ser conectados diretamente aos elementos primários de alta voltagem para adquirir informação com respeito aos parâmetros no sistema primário. Os transformadores, por conseguinte, fornecem imagens padronizadas dos parâmetros primários, os chamados parâmetros secundários, para os dispositivos de proteção e controle. As relações dos transformadores de corrente por exemplo 1903, 1911, são tais, que e-les fornecem correntes secundárias de 1A ou 5A, quando a corrente nominal corre no sistema primário. Os transformadores de voltagem por exemplo 1952, 1961, fornecem uma voltagem secundária de 100V (em algumas partes do mundo 110V, 115V, 120V), e voltagem nominal no sistema primário.

Elementos adicionais do sistema primário também são operados via dispositivos de proteção e controle. Em particular, quando se identifica uma falha, os dispositivos de proteção podem ativar disjuntores de circuito, por exemplo, e interromper o fluxo de corrente. Na figura 1, isso é mostrado, por meio de exemplo, para os dois dispositivos de proteção de linha 2003, 2011 e seus associados disjuntores de circuito 1103, 1111. Pode haver disjuntores de circuito 1104 adicionais. Os disjuntores de circuito 1103, 111 podem interromper o fluxo de corrente através dos elementos primários. Isso também é verdade, em particular, para o caso de uma falha, por exemplo quando uma corrente de falha significativamente excede a corrente de operação normal. Disjuntores de isolação, similarmente presentes em instalações reais, não são mostrados.

Os dispositivos de proteção avaliam as correntes e voltagens, e, em que apropriado, informações adicionais do sistema primário e secundário, e determinam se um estado de operação normal está presente. No caso de falha, uma parte da instalação identificada em falha deve ser desconec-tada, tão rapidamente quanto possível, ativando os correspondentes disjuntores de circuito. Os dispositivos de proteção podem ser especializados para diferentes tarefas. O sistema de proteção de gerador 2001 tanto avalia as correntes e voltagens no gerador quanto também pode avaliar muitos outros parâmetros. O sistema de proteção diferencial de transformador 2002, 20021 aplica a regra nodal de Kirchhoff para as correntes no transformador de saída 1201, 1211. O sistema de proteção de linha 2003, 2011, 2013 pode examinar correntes e voltagens nas extremidades da linha e executar medições de impedância, por exemplo. Um sistema de proteção de barra-mento (não mostrado), que pode ser usado para proteção dos barramentos 1401, 1411, 1412, também pode ser provido. Dispositivos de proteção podem ser multifuncionais, diga-se, podem incorporar uma pluralidade de funções de proteção, e também executar funções de controle (dispositivos de proteção e controle combinados).

Mais recentemente, dispositivos eletrônicos lEDs vêm se tornando crescentemente popular. Como mostrado na instalação de transformador 1600, lEDs 1981, 1984, 1991, e 1994 podem ser providos. Esses I-EDs têm acesso a parâmetros primários e se comunicam com dispositivo de proteção e controle via protocolos de rede. Os lEDs 1981, 1984, 1991, e 1994 podem ser conectados tão diretamente quanto possível aos elementos primários. As chamadas unidades de fusão 1981, 1984 digitalizam os valores medidos a partir dos sensores de corrente e voltagem 1961, 1964 e os disponibilizam para os dispositivos de proteção, como valores mostrados via interface de rede. Unidades de controle inteligentes 1991, 1994 detectam o status dos elementos primários, e operam atuadores nos elementos primários. Os lEDs podem se comunicar usando rede de comunicação. A comunicação entre os lEDs pode ser feita de acordo com um protocolo de comunicação. Para ilustração, a interconexão entre as unidades de fusão 1981, 1984 e sistemas de proteção de linha (LS) 2011,2013 pode ser feita via rede de comunicação. Similarmente, a comunicação entre outros lEDs pode ser feita através de uma rede de comunicação. O modelo de sistema 13 do sistema de monitoramento pode ser gerado com base nos dados de configuração para lEDs do sistema de automação de utilidade de energia elétrica. O sistema de monitoramento 13 pode incluir modelos de dados dos lEDs, por exemplo.

Na operação do sistema de energia elétrica, o sistema de monitoramento 10 monitora as mensagens de dados transmitidas pelos lEDs. As mensagens de dados constituem dados digitais, que são gerados de a-cordo com um protocolo, tal como IEC 61850, não se limitando a isso. O sistema de monitoramento 10 verifica, com base no modelo de sistema 13, se o sistema de automação de utilidade de energia elétrica mostra uma operação como esperado de acordo com o modelo de sistema. Se for detectado um desvio do comportamento esperado definido pelo modelo de sistema 13, um sinal de alerta pode ser gerado pelo sistema de monitoramento 10. lEDs adicionais ou alternativos podem ser usados no sistema de automação de utilidade de energia elétrica, como ilustrado na figura 2. A figura 2 mostra uma subestação configurada como instalação de transformador, na qual ainda mais interfaces convencionais foram substituídas. Para esta finalidade, lEDs (1981-1984, 1991-1994) que, de um lado, têm acesso aos parâmetros primários e, de outro lado, se comunicam com dispositivos de proteção e controle via protocolos de rede são providos. A figura 2 mostra uma arquitetura do sistema de chaveamento da figura 1. As unidades de fusão 1981-1984 digitalizam os valores medidos a partir dos sensores de voltagem 1911-1961 e 1964 e os disponibilizam para os dispositivos de proteção, como valores amostrados via interface de rede. Os sensores podem se basear em qualquer princípio físico desejado. Um protocolo padronizado entre a unidade de fusão e o dispositivo de proteção estabelece interoperabilidade. Os valores amostrados, por exemplo, podem ser valores amostrados conforme padrão IEC 61850 ou conforme manual de implementação “ Implementation guideline for Digital Interface to Instrument Transformers using IEC 61850-9-2”. Unidades de controle inteligente 1991-1994 detectam o status de elementos primários e operam atuadores nos elementos primários. A figura 2 mostra, por meio de exemplo, dispositivos de controle de disjuntor de circuito, nos quais os status detectados são ajuste de disjuntor e, por exemplo, capacidade de chaveamento instantâneo, e os atuadores operados são bobinas de disparo e acionadores de disjuntor. Para transmitir os status detectados aos dispositivos de proteção e controle ou receber comandos a partir dos dispositivos de proteção e controle, as unidades de controle inteligente similarmente usam protocolos via interfaces de rede. Telegramas disparados por evento, cujo conteúdo de informação é atualizado e transmitido apenas quando os status e comandos mudam, são adequados para troca de tais informações. Tais telegramas disparados por evento podem ser, por exemplo, chamados mensagens GOOSE, de acordo com padrão IEC 61850.

Embora na figura 2, a informação seja trocada entre as unidades de fusão 1981-1984 e unidades de controle inteligente 1991-1994, de um lado, e dispositivos de proteção e controle 2011-2013, de outro lado, via conexões ponto a ponto, a figura 3 mostra uma arquitetura na qual a informação é coletada e distribuída via uma rede 2211 adicional. A rede 2211 também é chamada “barramento de processo”, enquanto a rede 2111 frequentemente é chamada “barramento de estação”. A distinção entre essas redes (barramentos) e a natureza das informações trocadas nem sempre são intei- ramente precisas e inequívocas. Assim, mensagens emitidas por evento (mensagens GOOSE) podem ser usadas similarmente expedientemente no barramento de estação, mesmo em uma arquitetura de acordo com a figura 1. É ainda possível que o barramento de processo e barramento de estação sejam combinados em uma rede física, se o tráfego de dados puder ser gerenciado. Em qualquer evento, relações de comunicação mais significativas são dadas pela rede 2211 que podem ser estabelecidas por conexões ponto a ponto da figura 2. Novas aplicações para funções de proteção e controle, portanto, se tornam possíveis. Por exemplo, o sistema de proteção de transformador 2021 podería examinar as voltagens nos barramentos 1411 e 14122 via valores amostrados a partir das unidades de fusão 1981 e 1984, e fazer a comunicação do transformador 1211 depender de seu faseamento mútuo.

Para sistemas de energia elétrica e sistemas de automação associados, ilustrados nas figuras 2 e 3, o sistema de monitoramento 10, de novo, pode monitorar as propriedades do sistema de energia elétrica. As propriedades monitoradas podem incluir mensagens de dados transmitidas por lEDs. O sistema de monitoramento pode ser aplicado à rede de comunicação de um sistema de energia, como representado no exemplo da figura 3, em que a interface 11 do sistema de monitoramento atua como sensor de comunicação. O sensor de comunicação é acoplado ao barramento de processo 2211 e barramento de estação 2111.0 sistema descrito aqui pode usar sensores de comunicação para observar comunicação no barramento de estação e barramento de processo. Sensores adicionais poderíam monitorar sinais elétricos, tais como parâmetros secundários. O modelo de sistema 13 do sistema de monitoramento pode ser gerado nos dados de configuração para os lEDs do sistema de automação de utilidade de energia elétrica. O modelo de sistema 13, de novo, pode incluir modelos de dados dos lEDs, por exemplo. Na operação da respectiva subestação, o sistema de monitoramento 10 monitora mensagens de dados transmitidas pelos lEDs. O sistema de monitoramento 10 verifica, com base no modelo de sistema 13, se o sistema de automação de utilidade de energia elétrica apresenta opera- ção esperada de acordo com o modelo de sistema. Se for detectado um desvio a partir do comportamento esperado definido pelo modelo de sistema 13, um sinal de alerta pode ser gerado pelo sistema de monitoramento 10. O sistema de monitoramento 10 pode detectar se o status corrente do sistema corresponde ao modelo de sistema. A figura 4 mostra um diagrama de blocos de um sistema de monitoramento 10 de uma modalidade. O sistema de monitoramento 10 inclui uma interface 11 para receber mensagens de dados transmitidas de um IED a outro IED. A interface 10 pode ser uma interface de rede. O sistema de monitoramento 10 compreende um dispositivo de processamento 12, que avalia as mensagens de dados monitoradas, e opcionalmente outras propriedades do sistema de energia elétrica. A avaliação das mensagens de dados inclui avaliação do conteúdo de dados de pelo menos algumas das mensagens de dados monitoradas. O conteúdo de dados inclui parâmetros de processo de componentes primários do sistema de energia elétrica. Através do que, o dispositivo de processamento 12 pode determinar se o sistema de energia elétrica e o sistema de automação de utilidade de energia elétrica se comportam de acordo com o modelo de sistema 13. Se o sistema de monitoramento 10 detectar um comportamento em desacordo com o modelo de sistema 13, um sinal de alerta pode ser gerado. O dispositivo de processamento 12 pode usar o modelo de sistema 13 para determinar se o conteúdo de dados das duas mensagens de dados transmitidas por diferentes lEDs do sistema de automação de utilidade de energia elétrica é conforme o modelo de sistema 13. O dispositivo de processamento 12 pode relacionar mensagens a partir de diferentes lEDs entre si. Para ilustração, um parâmetro de processo de um elemento primário incluído na mensagem de dados transmitida por um primeiro IED deve ser incluído em outra mensagem de dados transmitida por um segundo IED. Através do que, o comportamento determinístico do sistema de energia elétrica e do sistema de automação de utilidade de energia elétrica pode ser usado. Uma ampla variedade de outras implementações pode ser usada, na qual o sistema de monitoramento 10 usa informação de configuração de sis- tema de automação de utilidade de energia elétrica para verificar se as propriedades monitoradas correspondem a um comportamento de sistema normal ou anormal. Neste último caso, um sinal de alerta pode ser disparado. O dispositivo de processamento 12 pode avaliar informações adicionais para verificar se o sistema de energia elétrica e o sistema de automação de utilidade de energia elétrica apresentam um comportamento conforme o modelo de sistema. Para ilustração, o sistema de monitoramento 1 pode ter uma ou diversas portas de entrada 15 para receber sinais analógicos. Esses sinais analógicos do sistema de energia também podem ser verificados contra o modelo de sistema interno definido pelo modelo de sistema 13. O modelo de sistema 13 pode ser gerado automaticamente com base na informação de configuração. A informação de configuração pode ser recebida monitorando as mensagens de dados entre os lEDs ou pode ser incluída em pelo menos um arquivo de dados, que é provido para o sistema de monitoramento. Outras informações podem ser usadas para gerar o modelo de sistema 13 com base na informação de configuração. Em particular, o conhecimento de aplicativo, que define a operação de um ou mais protocolos de comunicação usados pelos lEDs e/ou nas capacidades de diferentes lEDs pode ser combinado com a informação de configuração para gerar o modelo de sistema 13. O conhecimento de aplicativo pode ser armazenado em um banco de dados para ser usado na geração do modelo de sistema 13. A figura 5 ilustra a geração do modelo de sistema. O sistema de monitoramento usa informação de configuração 16 e pode combinar a informação de configuração 16 com o conhecimento de aplicativo 17 para gerar o modelo de sistema 13. O sistema de monitoramento pode receber informação de configuração 16 em qualquer uma de uma variedade de meios. Para ilustração, o arquivo de dados de configuração do sistema de automação de utilidade de energia elétrica pode ser provido para o sistema de monitoramento como informação de configuração 16. Adicionalmente ou alternativamente, o sistema de monitoramento pode monitorar mensagens de dados transmitidas por lEDs durante a fase de configuração ou durante operação, para adquirir informação de configuração 16. O conhecimento de aplicativo 17 pode incluir informações com respeito aos protocolos de comunicação usados pelos lEDs. O conhecimento de aplicativo 17 também pode incluir informações com respeito a funcionalidades e capacidades de dispositivo para cada IED da pluralidade de lEDs. Essas informações podem ser armazenadas no conhecimento de aplicativo 17, em função de identificador de vendedor ou dispositivo, por exemplo. O modelo de sistema 13 pode ser gerado incluindo informação 131 com respeito à interconexão lógica entre os lEDs. I.e., o modelo de sistema pode incluir informação 131 com respeito à topologia do sistema de automação de utilidade de energia elétrica. O modelo de sistema pode adicionalmente incluir informações com respeito aos disjuntores usados na rede de comunicação. Isso permite que o sistema de monitoramento determine quais mensagens de dados são esperadas em certas localizações na rede de comunicação para um comportamento válido do sistema de automação de utilidade de energia elétrica. O modelo de sistema 14 pode incluir informação 132 com respeito à funcionalidade e capacidade pelo menos dos I-EDs no sistema de automação de utilidade de energia elétrica. O modelo de sistema pode incluir informação 133 com respeito às mensagens de dados transmitidas pelos lEDs. O modelo de sistema 13 pode ter um formato que define um conjunto de restrições, que é imposto sobre o comportamento válido do sistema de automação de utilidade de energia elétrica pela informação de configuração e/ou conhecimento de aplicativo. O conjunto de restrições pode incluir restrições relativas às mensagens de dados esperadas em certas localizações da rede de comunicação para uma dada topologia do sistema de automação de utilidade de energia elétrica. Para ilustração, uma mensagem de dados do primeiro IED para segundo IED, monitorada em uma certa localização da rede de comunicação, representa um comportamento válido, somente se a topologia definir que o primeiro IED se comunica com o segundo IED, e que mensagem de dados passe a localização na qual a mensagem de dados é monitorada. Para uma ilustração adicional, uma mensagem de dados enviada para um IED pode representar um comportamento válido somente se for requerido que o IED realize uma ação de acordo com suas capacidades e funções. Tais verificações podem ser formuladas como um conjunto de restrições. Usando o conjunto de restrições para definir o modelo de sistema, o processo para verificar se as mensagens de dados monitoradas correspondem a um comportamento válido pode ser realizado de modo eficiente.

Para qualquer mensagem de dados identificada representando um comportamento de sistema válido, a mensagem de dados pode ser analisada com base em uma pluralidade de restrições. Para ilustração, uma mensagem de dados pode ser analisada para determinar se atende uma restrição com respeito à topologia do sistema (por exemplo que a mensagem de dados é esperada na localização em que ela foi monitorada) se ela atende outra restrição relativa à funcionalidade IED (por exemplo que o IED recebido pode realmente realizar a função solicitada pela mensagem de dados) e se ele atende ainda outra restrição relativa à estrutura das mensagens de dados (por exemplo o conteúdo de dados conforme o protocolo de comunicação). O conteúdo de dados da mensagem de dados pode ser usado para determinar se a mensagem de dados atende a restrição relativa à funcionalidade IED e a restrição relativa à estrutura das mensagens de dados. Mais que três restrições podem ser usadas para analisar a mensagem de dados. O modelo de sistema 13 pode ser gerado, de modo a definir um conjunto de restrições, que é usado para verificar se a mensagem de dados monitorada está conforme as restrições.

Embora um sistema de monitoramento 10 implementado como um único dispositivo seja ilustrado na figura 4, a operação do sistema de monitoramento 10 também pode ser implementado em um sistema distribuído compreendendo uma pluralidade de dispositivos fisicamente separados. A pluralidade de dispositivos pode ser instalada em várias localizações no sistema de automação de utilidade de energia elétrica, ajudando a monitorar diferentes visões de tráfego da rede. Os dispositivos distribuídos do sistema de monitoramento podem ser sincronizados entre si, e, idealmente, também com o sistema de energia elétrica ou subestação. Os dispositivos distribuídos do sistema de monitoramento podem se comunicar via rede de comunicação do sistema de monitoramento. Os dispositivos distribuídos do sistema de monitoramento podem ser sincronizados entre si e com sistema de automação de utilidade de energia elétrica por qualquer protocolo adequado, tal como IEEE 1588, técnicas de pulsos per segundo ou IRIG-B. Um dispositivo relógio, para prover um sinal de relógio, pode ser substancialmente um dispositivo relógio por exemplo. A análise de falha é facilitada usando tal sincronização. Ademais, um ordenamento por tempo usado para identificar o comportamento de sistema linha é conseguido.

Redes de barramento de processo e barramento de estação não precisam ter topologias de barramento físico, mas, frequentemente têm topologias de estrela física, construída usando disjuntores de rede. Neste caso, sensores de comunicação do sistema de monitoramento podem ser aplicados usando Porta de Acesso de Teste Ethernet (TAP) ou configurando disjuntores de rede de automação para enviar uma cópia de todo o tráfego de rede para uma porta espelho. A interface 11 do sistema de monitoramento pode ser conectada à porta espelho. A figura 6 ilustra tal configuração. O TAP ou disjuntor 23 é provido nas linhas de rede 21, 22. As linhas de rede 21, 22 podem ser linhas de barramento de processo ou barramento de estação. O TAP ou disjuntor 23 envia uma cópia de todo o tráfego de rede para o sensor de comunicação 24, que é uma porta espelho do tráfego de rede. O sensor de comunicação 24 pode ser a interface 11 ou pode ser conectado à interface 11 do sistema de monitoramento 10.

Outras modalidades podem implementar diretamente uma rede ou funcionalidade TAP em um dispositivo para permitir observar o tráfego de rede sem um TAP separado. Isto é, a operação do sistema de monitoramento 11 pode ser integrado em um disjuntor da rede de barramento de processo ou barramento de estação. Diversos de tais disjuntores de rede ou dispo- sitivos TAP tendo funções integradas para monitorar operação do sistema de automação de utilidade de energia elétrica podem ser usados. Esses dispositivos podem ser sincronizados entre si.

Uma vez que nem todo tráfego de rede pode ser acessado a partir de uma localização, diferentes dispositivos físicos do sistema de monitoramento ou seus sensores também podem ser aplicados múltiplas vezes em um sistema de energia elétrica. Os dispositivos ativados, então, podem cooperar para formar um sistema de monitoramento distribuído. A figura 7 é um fluxograma de um método de uma modalidade. O método pode ser realizado automaticamente usando um sistema de monitoramento de uma modalidade. O método 30 pode ser realizado para detectar eventos críticos durante operação de um sistema de energia elétrica e seu sistema de automação de utilidade de energia elétrica.

Na etapa 31, um modelo de sistema para pelo menos o sistema de automação de utilidade de energia elétrica é gerado. O modelo de sistema pode se basear em informação de configuração para uma pluralidade de lEDs do sistema de automação de utilidade de energia elétrica. O modelo de sistema, adicionalmente, também, pode definir elementos primários do sistema de energia elétrica. O modelo de sistema pode ser um modelo de sistema que descreva o comportamento do sistema de automação de utilidade de energia elétrica. O sistema de monitoramento pode gerar o modelo de sistema automaticamente, e com base em um arquivo de configuração do sistema de automação de utilidade de energia elétrica. A etapa 31, para criar automaticamente o modelo de sistema do sistema de automação de utilidade de energia elétrica pode combinar informações de diferentes fontes de dados, tal como, mas não se limitando a: dados de configuração do sistema de energia elétrica e seus componentes de sistema de automação (tais como arquivos SCL, como definido em IEC 61850-6; observação passiva de comunicação de rede, tal como comunicação entre os dispositivos de sistema de automação e/ou comunicação en- tre equipamento de rede (por exemplo Protocolo Árvore de Transposição Rápida); comunicação ativa com dispositivos (por exemplo lEDs ou equipamento de rede); dados de configuração de disjuntores de rede (se acessível, por exemplo tabelas MAC); ou entradas de usuário.

Em algumas implementações, a etapa 31 para criar automaticamente o modelo de sistema do sistema de automação de utilidade de energia elétrica pode ser iniciada com arquivos SCL ou outros arquivos de configuração para determinar o modelo de dados interno dos lEDs. Isso pode ser usado para deduzir o tipo do dispositivo, informação de vendedor, e, por conseguinte, suas capacidades. Uma tabela de busca pode ser usada para deduzir o tipo do dispositivo ou outra informação similar, com base no arquivo de configuração. O sistema de monitoramento pode também determinar quais dispositivos se comunicam entre si e quais mensagens devem ser esperadas em certas localizações no SAS. Uma vez conhecida função e propósito de um IED, também sua criticalidade poderá ser deduzida, permitindo a geração de Listas de Controle de Acesso (ACLs de Acess Control List) para o modelo de dados do dispositivo.

As informações podem ser combinadas com monitoramento passivo de rede para corresponder ao tráfego corrente para os lEDs a partir do arquivo de configuração para preencher os espaços de informação (por exemplo localização um dispositivo na rede, informação de endereçamento). Durante a fase de configuração da rede SAS, a informação gerada a partir do arquivo de configuração pode ser comparada com o tráfego corrente, para liberar a rede ou executar testes de aceitação de campo ou sítio. Entrada de usuário pode definir configuração adicional da rede de energia elétrica ou sistema de automação de utilidade de energia elétrica (não incluído no arquivo de configuração). Para ilustração, parceiros de comunicação, não mencionados no arquivo de configuração, tais como estações de interface homem-máquina, podem ser identificados, e especificações para esses dis- positivos podem ser criadas por entrada de usuário dedicada. A geração do modelo de sistema na etapa 31 também pode ser realizada de modo diferente. Para ilustração, o monitoramento de rede passivo durante fase de configuração pode ser usado para gerar o modelo de sistema sem requerer arquivos de configuração.

Em 32, as mensagens de dados transmitidas por lEDs na rede de comunicação são recuperadas. Para uma rede de comunicação com topologia estrela, isso pode ser feito usando qualquer uma das técnicas descritas com referência à figura 6.

Em 33, o conteúdo de dados das mensagens de dados é determinado. O conteúdo de transmitindo e recebendo. O conteúdo de dados pode incluir um parâmetro de processo de um elemento primário do sistema de energia elétrica.

Em 34, é determinado se o conteúdo de dados corresponde ao modelo de sistema. Se o conteúdo de dados corresponder ao modelo de sistema, o comportamento do sistema é determinado normal. O método passa para monitoramento na etapa 32. Caso contrário, um sinal de alerta é gerado na etapa 35. O método, então, volta para a etapa 32 para prosseguir com o monitoramento.

Informações adicionais podem ser avaliadas com o método de monitoramento da figura 7. Para ilustração, valores analógicos recebidos pelo sistema de monitoramento pelas portas de entrada analógicas também podem ser avaliados para determinar se estão conforme o comportamento esperado, de acordo com a especificação do sistema.

Os sistemas de monitoramento e métodos de monitoramento de configurações podem analisar o conteúdo das mensagens transferidas e relacionar mensagens de diferentes fontes.

A figura 8 ilustra mensagens de dados 41, 44, 47 monitoradas pelo sistema de monitoramento de uma modalidade. As mensagens de dados 41,47 são transmitidas por um IED do sistema de automação. A mensagem de dados 44 é transmitida por outro IED. A mensagem de dados 41 inclui dados de cabeçalho 42, que podem incluir um identificador para IED de transmissão e recepção. A mensagem de dados 41 adicionalmente inclui conteúdo de dados 43. Similarmente, a mensagem de dados 44 inclui dados de cabeçalho 45 que podem incluir identificador para IED de transmissão e recepção. A mensagem de dados 44 adicionalmente inclui o conteúdo de dados 46. A mensagem de dados 47 inclui dados de cabeçalho 48, que podem incluir um identificador para IED transmitindo e recebendo. A mensagem de dados 47 adicionalmente inclui conteúdo de dados 49. O conteúdo de dados 43, 46, 49 das mensagens de dados se relaciona a parâmetros de processo do sistema de energia elétrica. Para ilustração, o conteúdo de dados de algumas mensagens de dados pode incluir valores de medição digitalmente transferidos, por exemplo, voltagens, formas de onda de sinal, sinais binários, ou eventos de disparo.

Sistemas e métodos de monitoramento de qualquer modalidade podem usar o conteúdo de dados 43 de uma mensagem de dados 41 transmitida por um IED para determinar se o conteúdo de dados 46 da mensagem de dados 44 transmitida por outro IED corresponde a um comportamento de sistema válido. O modelo de sistema é usado para relacionar os conteúdos de dados 43, 46 das mensagens de dados 41,44 transmitidas por diferentes lEDs entre si. Similarmente, o conteúdo de dados 46 da mensagem de dados 44 pode ser usado para determinar se o conteúdo de dados 49 da mensagem de dados 47 corresponde a um comportamento de sistema válido.

Sistemas e métodos de monitoramento das configurações podem não apenas usar o conteúdo de dados, mas adicionalmente também a temporização das transmissões de dados, para verificar se o comportamento do sistema é normal, isto é, que nenhum evento crítico ocorreu. Para ilustração, a taxa na qual um IED transmite mensagens de dados pode depender do valor de um parâmetro de processo. As taxas de transmissão para vários valores de parâmetro de processo ou faixas de valores de parâmetro de processo podem ser incluídas nos dados de configuração para o respectivo IED, que é usado para gerar o modelo de sistema. Isso permite que os sistemas e métodos de monitoramento também identifiquem eventos crí- ticos, com base na temporização das mensagens de dados transmitidas, quando a temporização é avaliada com base no modelo de sistema e conteúdo de dados de uma mensagem de dados transmitida por um IED.

Revertendo para a figura 8, um intervalo de tempo 50 ou taxa de transmissão na qual um IED transmite mensagens de dados 41, 47 pode variar, dependendo de um parâmetro de processo o sistema de energia elétrica. O sistema de monitoramento pode determinar o valor do parâmetro d e processo com base no conteúdo de dados de uma mensagem de dados transmitida por um dos lEDs. O sistema de monitoramento pode usar o modelo de sistema para determinar em quais intervalos de tempo 50 as mensagens de dados devem ser transmitidas para esse valor de parâmetro de processo. O sistema de monitoramento pode verificar se as mensagens de dados 41, 47 são transmitidas na temporização esperada. Com base nisso, pode ser determinado se o sistema se encontra em seu estado de operação normal.

Os sistemas e métodos de modalidade podem usar soluções tipo “lista negra” para detectar eventos críticos, em adição à verificação de comportamento de sistema normal com base no modelo de sistema do sistema de automação de utilidade de energia elétrica. Isso pode ser benéfico, em particular, quando o sistema de automação de subestação usa também protocolos e tecnologias IT clássicas. Esses, frequentemente apresentam um comportamento não determinístico, que não pode ser especificado em detalhes suficientes. Sistemas e métodos de monitoramento de modalidades, assim, podem adicionalmente usar métodos de detecção de invasão com base em “lista negra”, como tradicionalmente, para detectar ataques de segurança que visam tecnologias IT clássicas. A figura 9 delineia uma estrutura lógica de tal sistema de monitoramento, e a figura 10 é um fluxograma de um método realizado por tal sistema de monitoramento. A figura 9 mostra um diagrama de blocos de um sistema de monitoramento 60 de uma modalidade. O sistema de monitoramento 60 geralmente opera com base em um modelo de sistema 62 do sistema de automação de utilidade de energia elétrica e baseado em assinaturas 64 de eventos críticos. Invasões são um exemplo de eventos críticos, cujas assinaturas 64 podem ser armazenadas. As assinaturas 64 podem formar u-ma “lista negra”, de modo que um evento crítico seja detectado e um sinal de alerta emitido, quando for observada uma das assinaturas 64 no sistema de automação de utilidade de energia elétrica. O sistema de monitoramento 60 tem um componente de coleta de dados 61. O componente de coleta de dados 61 pode receber mensagens de dados transmitidas pelos lEDs. Essas mensagens de dados podem ser recuperadas usando o sensor de comunicação 67 instalado ou acoplado na rede de comunicação 69 do sistema de automação. O componente de coleta de dados 61 também pode coletar sinais analógicos recebidos nas portas de entrada analógica o sistema de monitoramento. O sistema de monitoramento 60 tem um componente de comparação de modelo de sistema 63, que compara as propriedades monitoradas do sistema de energia elétrica com o comportamento esperado de acordo com o modelo de sistema 62. Se for detectado que o sistema de energia elétrica não apresenta um comportamento esperado, de acordo com o modelo de sistema 62, um componente de geração de alerta 66 gera um alerta. A operação do componente de comparação de modelo de sistema 63 pode operar na forma descrita com referência a qualquer uma das modalidades aqui. O sistema de monitoramento 60 tem um componente de detecção de assinatura 63 que compara assinaturas, por exemplo o conteúdo em uma ou diversas mensagens de dados com as assinaturas armazenadas 64. Se for detectada uma correspondência, o componente de geração de alerta 66 emite um alerta.

As assinaturas 64 podem ser providas para o sistema de monitoramento a partir de uma rede externa. As assinaturas 64 podem incluir assinaturas de invasões para protocolos IT que são usados nos componentes IT do sistema de automação de utilidade de energia elétrica. Tais assinaturas podem ser independentes do modelo de sistema 62.

Em outra implementação, as assinaturas 64 podem incluir assinaturas de eventos críticos que são gerados com base no modelo de sistema 62. Neste caso, o sistema de monitoramento pode gerar as assinaturas 64 automaticamente, com base na informação de configuração para lEDs do sistema de automação, por exemplo. A figura 10 é um fluxograma de um método 70 de uma modalidade. O método 70 pode ser realizado por um sistema de monitoramento que também usa assinaturas de eventos críticos, tal como o sistema de monitoramento 60 da figura 9.

Na etapa 71, um pacote é capturado. O pacote pode ser uma mensagem de dados transmitida por um IED do sistema de automação. Em 72, o pacote é decodificado. A decodificação do pacote pode incluir recuperar o conteúdo de dados a partir das mensagens de dados. A decodificação pode incluir a leitura de um parâmetro de processo digitalmente transmitido a partir da mensagem de dados.

Na etapa 73, se determina se a mensagem de dados monitorada corresponde ao modelo de sistema. Isso pode ser implementado com referência a qualquer uma das configurações das figuras 1 a 8. Se a mensagem de dados monitorada corresponder ao modelo de sistema, o método pode reverter para a etapa 71. Caso contrário, um sinal de alerta é gerado na etapa 75.

Na etapa 74, se determina se a mensagem de dados monitorada corresponde a uma das assinaturas de eventos críticos. Essas assinaturas podem incluir assinaturas de invasões. Se ocorrer uma correspondência, um sinal de alerta é gerado na etapa 75. Caso contrário, o método pode reverter para a etapa 71.

Sistemas de monitoramento de modalidades podem ter qualquer uma de uma de uma variedade de configurações. Para ilustração, o sistema de monitoramento pode ser integrado a outro dispositivo, tal como um disjuntor da rede de comunicação. Adicionalmente ou alternativamente, o sistema de monitoramento pode ser um sistema de monitoramento distribuído que tem uma pluralidade de dispositivos distribuída ao longo da rede de comuni- cação. Para ilustração, ao invés de limitação, algumas configurações serão explicadas com referência às figuras 11 a 13. Em cada uma dessas configurações, o sistema de monitoramento pode operar como descrito acima, verificando se o conteúdo de dados das mensagens de dados representa um comportamento de sistema válido, como definido por um modelo de sistema.

As figuras 11 a 13 respectivamente mostram um sistema de automação de utilidade de energia elétrica com uma pluralidade de lEDs 82-85. Os lEDs 82-85 se comunicam entre si através de uma rede de comunicação. A rede de comunicação pode ser uma rede de comunicação chaveada. A rede de comunicação pode ter topologia estrela. Um disjuntor ou diversos disjuntores podem ser usados na rede de comunicação. Um gerador de temporização (clock) 86 pode ser usado para gerar sinais de sincronização para sincronizar os lEDs 82-85. Adicionalmente, o gerador de temporização 86 também pode ser usado para sincronizar o sistema de monitoramento 10 com lEDs 82-85. A figura 11 mostra um sistema de automação de utilidade de energia elétrica 80 de acordo com uma modalidade. No sistema de automação de utilidade de energia elétrica 80, o sistema de monitoramento 10 é integrado com o disjuntor 81. Se a rede de comunicação tiver diversos disjuntores, o sistema de monitoramento 10 pode ser integrado com um dos disjuntores ou ser distribuído por diversos disjuntores. A figura 12 mostra um sistema de automação de utilidade de energia elétrica 90 de acordo com outra modalidade. No sistema de automação de utilidade de energia elétrica 90, o sistema de monitoramento inclui uma pluralidade de dispositivos de monitoramento 92-95 instalada em diferentes localizações. Para ilustração, um primeiro dispositivo de monitoramento 92 pode ser um primeiro TAP instalado entre o IED 82 e o disjuntor 91. Um segundo dispositivo de monitoramento 93 pode ser um segundo TAP instalado entre outro IED 83 e o disjuntor 91. Na implementação da figura 12, cada um dos dispositivos de monitoramento 2-95 pode incluir o modelo de sistema 13 inteiro. Cada um dos dispositivos de monitoramento 92-95, então, pode ter pleno conhecimento do comportamento de sistema válido.

Cada um dos dispositivos de monitoramento 92-95 pode determinar se as mensagens de dados recebidas no respectivo TAP estão em conformidade com o modelo de sistema. Os dispositivos de monitoramento 92-95 podem se comunicar entre si através da rede de comunicação. Para ilustração, se um primeiro dos dispositivos de monitoramento 92-95 usa o conteúdo de dados de uma mensagem de dados recebida em um segundo dos dispositivos de monitoramento 92-95 para verificar se o sistema de automação de utilidade de energia elétrica 90 apresenta comportamento válido, o segundo dos dispositivos de monitoramento pode notificar ao primeiro dos dispositivos de monitoramento esse conteúdo de dados. A figura 13 mostra um sistema de automação de utilidade de energia elétrica 100 de acordo com outra modalidade. No sistema de automação de utilidade de energia elétrica 100, o sistema de monitoramento inclui uma pluralidade de TAPs 102-104 instalada em diferentes localizações, e sendo operativa para receber mensagens de dados. Para ilustração, um primeiro TAP 102 pode ser instalado entre o IED 82 e o disjuntor 101. Um segundo TAP 103 pode ser instalado entre outro IED 83 e o disjuntor 101. Os TAPs 102-104 podem respectivamente encaminhar as mensagens de dados recebidas para um dispositivo de monitoramento 105, que inclui o modelo de sistema e avaliar as mensagens de dados recebidas em pelo menos um dos TAPs 102-104. Os TAPs 102-104 servem de sensores de comunicação para o dispositivo de monitoramento 105. O dispositivo de monitoramento 105 pode ser integrado a outro TAP 05 ou, ao invés, ser um dispositivo separado. Na implementação da figura 13, nem todos os dispositivos 102-105 precisam armazenar o modelo de sistema 13 inteiro. Para ilustração, apenas o dispositivo de monitoramento 105 ou apenas alguns dos dispositivos de monitoramento podem ter pleno conhecimento do comportamento de sistema válido. Os dispositivos de monitoramento 105 armazenam o modelo de sistema para verificar se o sistema de automação de utilidade de energia elétrica 100 mostra um comportamento válido. Várias outras configurações poderíam ser usadas. Para ilustração, o sistema de monitoramento pode ter mais que um dispositivo de moni- toramento para armazenar o modelo de sistema.

Conquanto sistemas e métodos de monitoramento de acordo com as modalidades tenham sido descritos com referência aos desenhos, modificações podem ser implementadas em outras modalidades. Para ilustração, conquanto algumas modalidades tenham sido descritas no contexto de detecção de invasão, métodos e sistemas de modalidades também podem ser usados para detectar erros de componente, erros de operação, ou outros eventos críticos em sistemas de energia elétrica.

Claims (15)

1. Método para monitorar operação de um sistema de energia elétrica (1000, 1600) tendo um sistema de automação de utilidade de energia elétrica (1981-1984, 1991 -1994), o sistema de automação de utilidade de energia elétrica (1981 -1984, 1991-1994) compreendendo uma pluralidade de dispositivos eletrônicos inteligentes (lEDs) se comunicando via uma rede de comunicação, o método compreendendo as seguintes etapas realizadas por um sistema de monitoramento (10; 92-95; 102-105) que usa informação de configuração (16) que especifica propriedades da pluralidade de lEDs (1981-1984; 82-85), o método compreendendo: monitorar, durante operação do sistema de energia elétrica (1000, 1600), propriedades do sistema de energia elétrica (1000, 1600), as propriedades monitoradas compreendendo mensagens de dados monitoradas (41, 44, 47) que são transmitidas pela pluralidade de lEDs (1981-1984; 82-85) através da rede de comunicação; avaliar as mensagens de dados monitoradas (41, 44, 47) com base na informação de configuração (16) para detectar um evento crítico durante operação do sistema de energia elétrica (1000, 1600), em que a avaliação compreende analisar conteúdo de dados (43, 46, 49) de pelo menos uma parte das mensagens de dados monitoradas (41,44, 47) para determinar, com base na informação de configuração (16), se o conteúdo de dados (43, 46, 49) correspondem a um comportamento válido; e gerar um sinal de alerta em resposta à detecção do evento critico.

2. Método de acordo com a reivindicação 1, em que o sistema de monitoramento (10; 92-95; 102-105) gera um modelo de sistema (13) para o sistema de energia elétrica (1000, 1600) e seu sistema de automação de utilidade de energia elétrica (1981-1984, 1991-1994) com base na informação de configuração (16).

3. Método de acordo com a reivindicação 2, em que a etapa de avaliação compreende: prever mensagens de dados antecipadas entre a pluralidade de lEDs (1981-1984; 82-85), com base no modelo de sistema (13); e comparar as mensagens de dados monitoradas (41, 44, 47) com as mensagens de dados antecipadas previstas (41,44, 47).

4. Método de acordo com a reivindicação 3, em que a etapa de previsão compreende prever o conteúdo de dados (43, 46, 49) das mensagens de dados (41,44, 47) transmitidas por um IED (1981-1984; 82-85) com base na informação de configuração (16).

5. Método de acordo com qualquer uma das reivindicações anteriores, em que a avaliação compreende determinar se a pluralidade de lEDs (1981-1984; 82-85) se comporta como especificado pela informação de configuração (16); em que o evento crítico é detectado se a pluralidade de lEDs (1981-1984; 82-85) não se comporta como especificado pela informação de configuração (16).

6. Método de acordo com a reivindicação 5, em que a avaliação compreende determinar se ambos sistema de energia elétrica (1000, 1600) e seu sistema de automação de utilidade de energia elétrica (1981-1984; 1991-1994) se comportam como especificado pela informação de configuração (16).

7. Método de acordo com qualquer uma das reivindicações anteriores, em que o sistema de monitoramento (10; 92-95; 102-105) tem uma Porta de Acesso de Teste Ethernet (TAP) (23; 92-95; 102-105) para monitorar as mensagens de dados (41,44, 47).

8. Método de acordo com qualquer uma das reivindicações 1 a 6, em que o sistema de monitoramento (10; 92-95; 102-105) usa um disjuntor (81,91) da rede de comunicação para monitorar as mensagens de dados (41,44, 47).

9. Método de acordo com qualquer uma das reivindicações anteriores, o método adicionalmente compreendendo: receber pelo sistema de monitoramento (10; 92-95; 102-105) pelo menos um arquivo de dados de configuração, em particular um arquivo SCL do sistema de energia elétrica (1000, 1600) e seu sistema de automação de utilidade de energia elétrica (1981-1984, 1991-1994).

10. Método de acordo com qualquer uma das reivindicações anteriores, em que as propriedades monitoradas adicionalmente compreendem sinais analógicos do sistema de energia elétrica (1000, 1600); e em que a avaliação compreende avaliar ambas mensagens de dados monitoradas (41,44, 47) e sinais analógicos com base na informação de configuração (16) para detectar o evento crítico.

11. Método de acordo com qualquer uma das reivindicações anteriores, em que o sistema de monitoramento (92-95; 102-105) é um sistema de monitoramento distribuído (92-95; 102-105) compreendendo uma pluralidade de dispositivos de monitoramento (92-95; 102-105), a pluralidade de dispositivos de monitoramento (92-95; 102-105) sendo instalada de modo a ser distribuída através de uma rede de comunicação, a pluralidade de dispositivos de monitoramento (92-95; 102-105) sendo sincronizada entre si e com o sistema de automação de utilidade de energia elétrica (1981-1984, 1991-1994).

12. Método de acordo com qualquer uma das reivindicações anteriores adicionalmente compreendendo: gerar, pelo sistema de monitoramento (10; 92-95; 102-105), “lista negra” que define as assinaturas de estados de operação anormais, em que o sistema de monitoramento (10; 92-95; 102-105) gera a “lista negra” com base na informação de configuração (16); e comparar as propriedades monitoradas com a “lista negra” para detectar o evento crítico, de modo que o sistema de monitoramento (10; 92-95; 102-105) use ambos, comportamento de sistema válido determinado, com base na informação de configuração (16), e “lista negra”, para detectar o evento crítico.

13. Método de acordo com qualquer uma das reivindicações anteriores em que o método é usado para detectar um evento crítico selecionar de pelo menos um dos seguintes: invasão não autorizada; violação da política de segurança; falha de hardware; problema de temporização; erro de operador; e/ou erro de configuração durante uma fase de configuração da subestação ou sistema de automação de utilidade de energia elétrica (1981-1884, 1991-1994).

14. Sistema de monitoramento (10; 92-95; 102-105) para um sistema de energia elétrica (1000, 1600) o sistema de energia elétrica (1000, 1600) tendo um sistema de automação de utilidade de energia elétrica (1981-1984; 1991-1994), o sistema de automação de utilidade de energia elétrica (1981-1984; 1991-1994) compreendendo uma pluralidade de dispositivos eletrônicos inteligentes (lEDs) (1981-1984; 82-85) comunicando-se via rede de comunicação, o sistema de monitoramento (10, 92-94, 102-105) compreendendo: uma interface (11, 15) para monitorar, durante operação do sistema de energia elétrica (1000, 1600), as propriedades do sistema de energia elétrica (1000, 1600), as propriedades monitoradas compreendendo mensagens de dados monitoradas (41, 44, 47), que são transmitidas pela pluralidade de lEDs (1981-1984; 82-85) via rede de comunicação; um dispositivo de processamento (12) configurado para: avaliar as mensagens de dados monitoradas (41, 44, 47) com base na informação de configuração (16) para detectar um evento crítico durante operação do sistema de energia elétrica (1000, 1600) em que o dispositivo de processamento (12) é configurado para analisar o conteúdo de dados (43; 46; 49) de pelo menos algumas das mensagens de dados monitoradas (41; 44; 47) para determinar, com base na informação de configuração (16), se o conteúdo de dados (43; 46; 49) corresponde a um comportamento válido; e gerar um sinal de alerta em resposta à detecção de um evento crítico.

15. Sistema de monitoramento de acordo com a reivindicação 14, em que o sistema de monitoramento (10; 92-95; 102-105) é configurado para realizar o método, como definido em qualquer uma das reivindicações 1 a 13.