-
Die Erfindung betrifft ein Verfahren und ein Gateway zur Stabilisierung eines Spannungsversorgungsnetzes eines Verteilnetzbetreibers, insbesondere zum Schutz gegen Störung der Netzstabilität durch unautorisiertes (oder auch unabsichtliches) gleichzeitiges Umschalten vieler Steuergeräte.
-
In konventionellen Netzen zur Übertragung und Verteilung elektrischer Energie mittels Wechselspannung (im Folgenden kurz "Stromnetze" genannt) wird das Gleichgewicht zwischen eingespeister Leistung der Erzeuger und entnommener Leistung der Verbraucher über die Frequenz der Wechselspannung geregelt.
-
Diese beträgt – im Mittel – in Europa 50 Hz bzw. in USA 60 Hz. Wird aus dem Stromnetz mehr Leistung entnommen als die Erzeuger einspeisen, so werden die Rotoren in den elektrischen Generatoren stärker gebremst. Durch diese Verlangsamung sinkt die Frequenz der erzeugten Wechselspannung im Stromnetz. Wird dagegen weniger Leistung entnommen als generiert, so beschleunigen die Rotoren und die Netzfrequenz erhöht sich. Die Trägheit der rotierenden Massen der Rotoren wirkt dabei stabilisierend für das Stromnetz, da sie durch Änderung ihrer Rotationsfrequenz Energie abgeben und aufnehmen können (Primärregelung).
-
Durch Kontrolle der Wechselspannung im Stromnetz ist es somit einfach möglich, Erzeugung und Verbrauch zu balancieren: Sinkt die Frequenz, so werden neue Erzeuger aktiviert. Bei einem sehr starken Absinken können auch Verbraucher zwangsweise abgeschaltet werden (Lastabwurf). Steigt die Frequenz, so werden Erzeuger heruntergefahren oder eventuell weitere Verbraucher zugeschaltet (Sekundär- und Tertiärregelung). Im langfristigen Mittel kann die Netzfrequenz, die auch als Takt für Uhren (Radiowecker etc.) verwendet wird, sehr stabil zwischen 49.990 und 50.010 Hz gehalten werden.
-
In das europäische Verbundnetz wird zunehmend auch Leistung aus regenerativen Quellen eingespeist, beispielsweise aus zumeist kleinen, dezentralen Photovoltaik-Anlagen. Diese verfügen über keine rotierenden Massen. Stattdessen wird der erzeugte Gleichstrom der PV-Zellen mittels eines leistungselektronischen Wechselrichters in Wechselstrom transformiert. Dieser wird synchron in das lokale Niederspannungsnetz eingespeist. Um starke Abweichungen von der gewünschten Netzfrequenz zu vermeiden, müssen auch diese Anlagen – die in einigen bestimmten Netzsegmenten für einen erheblichen Teil der lokal erzeugten Leistung verantwortlich sind und deren Einspeisung aufgrund lokal sehr ähnlicher Sonneneinstrahlung üblicherweise stark korreliert ist – frequenzabhängig regelbar sein.
-
Gemäß [1] müssen sich Erzeugungsanlagen bei Netzfrequenzen größer als 50.2 Hz innerhalb von 200 ms vom Niederspannungsnetz trennen. Durch diese Vorgabe besteht allerdings durch den starken Ausbau der Photovoltaik in Europa mittlerweile die Gefahr, dass sich an sonnigen Tagen beim Erreichen von 50.2 Hz mehrere GW Einspeiseleistung schlagartig vom Stromnetz trennen, was die Stabilität des europäischen Verbundnetzes erheblich gefährden kann [2, 3].
-
Daher wurde bereits kurzfristig eine Übergangsregelung erlassen, welche eine stufenweise Reduktion der Einspeisung vorsieht [3, 4]:
- 1. Anstelle einer festen, für alle Anlagen gleichen Überfrequenzabschaltung bei 50.2 Hz sollen Hersteller und Errichter von PV-Anlagen verschiedene Frequenzen zwischen 50.3 und 51.5 Hz als Abschaltfrequenzen ihrer Anlagen verwenden. Diese sollen gleich verteilt sein.
- 2. Anlagen reduzieren ihre Einspeiseleistung frequenzabhängig gemäß einer definierten Kennlinie [5].
-
Treten Überfrequenzen häufiger auf, so sind Betreiber einer Anlage mit niedriger Abschaltfrequenz gemäß 1 eventuell wirtschaftlich benachteiligt, da ihre Anlagen früher und öfter abschalten und sie dadurch weniger Solarstrom verkaufen können. Sie könnten daher versucht sein, die Abschaltfrequenz durch Manipulation der Einstellung ihrer Anlage zu erhöhen. Treten solche Manipulationen gehäuft auf, so reduziert sich die Wirksamkeit der Stabilisierungsregelung.
-
Eine weitere Regelung ist über die lokal am Einspeisepunkt gemessene Netzspannung möglich: Sobald diese einen gewissen Wert übersteigt (Überspannung), muss die Einspeisung abgeschaltet oder zumindest reduziert werden.
-
Werden Erzeuger mit rotierenden Massen in zukünftigen intelligenten Stromnetzen (Smart Grids) immer mehr durch kleine, dezentrale Anlagen ohne rotierende Massen verdrängt, so wird eine Regelung über die Netzfrequenz immer schwieriger. Stattdessen könnte beispielsweise ein elektronisches Steuersignal (Preissignal, Erzeugungs-Verbrauchs-Quotient, oder ähnliches) in einem separaten Kommunikationsnetz an Geräte (personal energy agent PEA, Energie-Gateway, Steuergerät, etc.) zur Steuerung der dezentralen Erzeuger und auch Verbraucher verwendet werden. Auch hier ist darauf zu achten, dass es zu keinen abrupten Änderungen in Einspeisung und Verbrauch kommt, um die Netzstabilität nicht zu gefährden.
-
Eine Gefährdung geht beispielsweise von einem fehlerhaften oder manipulierten Preissignal aus, welches an die Gateways gesendet wird, die als Kommunikations- und Steuergeräte der verteilten Erzeuger und Verbraucher dienen. Sinkt der Strompreis plötzlich auf einen Bruchteil des vorherigen, normalen Wertes, so würden alle betriebskostenintensiven Erzeuger wie KWK-Anlagen schnellstmöglich abgeschaltet, um Brennstoff zu sparen – gleichzeitig würden die Gateways versuchen, mit ihren regelbaren Verbrauchern möglichst viel billigen Strom zu konsumieren. Der Zusammenbruch des Stromnetzes wäre die Folge. Eine authentische und integritätsgeschützte Übertragung des Steuersignals (Preissignals) im Smart Grid ist daher sehr wichtig.
-
Auch ohne Manipulation des Preissignals kann eine solche Netzstörung herbeigeführt werden: Gelegentlich ist es notwendig, die Schwellenwerte eines Gateways zu ändern. Dies kann beispielsweise die Umschaltung der Komfortstufe sein: Der Anwender reduziert die eingestellte Komfortstufe, um Strom bei niedrigeren Preisen einzukaufen und damit seine Ausgaben für elektrische Energie zu senken. Oder er erhöht die Komfortstufe, um seine elektrischen Geräte flexibler einsetzen zu können, auch wenn dadurch seine Ausgaben steigen. Bei preisgesteuerten Smart Grid Lösungen kann es zusätzlich gelegentlich notwendig sein, eingestellte Strompreise an Veränderungen am Markt anzupassen. Diese Änderungen werden entweder vom Anwender direkt oder über Fernzugriff, oder von einem beauftragten Dienstleistungsunternehmen vorgenommen. Üblicherweise werden diese Änderungen dann sofort wirksam, wenn der Ausführende sie bestätigt und sie im Gerät abgespeichert werden.
-
Wenn es nun beispielsweise einem Angreifer gelingt, in zahlreiche Gateways einzudringen und diese simultan mit neuen, manipulierten Schwellenwerten zu versehen oder die Komfortstufe zu ändern, so kann dies die Netzstabilität in ähnlicher Weise beeinträchtigen, auch wenn das Steuersignal (beispielsweise durch eine digitale Signatur) gegen unautorisierte Änderungen geschützt ist. Wird beispielsweise der Schwellenwert für Stromeinkauf bei Verbrauchern (z.B. durch Erhöhung der Komfortstufen des Gateways) auf einen hohen und der Schwellenwert für Strom-Verkauf auf einen noch deutlich höheren Preis gesetzt, so werden die Verbraucher sich einschalten und die (betriebskostenintensiven) Erzeuger sich ausschalten. Dies führt dann nicht nur zu einem starken Anstieg des Strompreises, sondern auch zu einem Missverhältnis zwischen Stromnachfrage und -produktion. Da die Manipulation im Nachhinein wahrscheinlich festgestellt werden kann, können manipulierte Preise sicherlich nachträglich zumindest teilweise korrigiert werden. Ein Netzzusammenbruch lässt sich im Nachhinein allerdings nicht mehr beheben.
-
Ein solcher Hacker-Angriff kann durch bewährte Maßnahmen zur IT-Sicherheit (wie Erstellung eines umfassenden Sicherheitskonzeptes, Sicheres Programmieren (Secure Coding), Systemhärtung, Sichere Software- bzw. Firmwareupdates, usw.) erheblich erschwert werden. Diese Maßnahmen bieten allerdings keinen vollständigen Schutz, wie die immer wieder bekannt werdenden Sicherheitsschwachstellen in Hard- und Software zeigen. Selbst bei größter Sorgfalt in Planung, Design, Implementierung, Konfiguration und Betrieb von Hard- und Software ist es mittlerweile aufgrund der oft hohen Komplexität der Systeme und ihrer zunehmenden Vernetzung praktisch nicht möglich, absolut fehler- und schwachstellenfreie Losungen zu entwickeln. Es sind mehrstufige Sicherheitsmaßnahmen notwendig ("defense in depth"), die auch dann noch Schutz gewährleisten, wenn eine oder mehrere Barrieren bereits überwunden wurden.
-
Es ist daher die Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zu schaffen, die dazu beiträgt, ein stabiles Smart Grid Spannungsversorgungsnetz zu gewährleisten.
-
Diese Aufgabe wird erfindungsgemäß durch ein Verfahren und ein Gateway mit dem in Patentanspruch 1 und 5 angegebenen Merkmalen gelöst. Vorteilhafte Weiterbildungen der Erfindung sind in den abhängigen Ansprüchen angegeben.
-
Das erfindungsgemäße Verfahren zur Stabilisierung eines Spannungsversorgungsnetzes weist folgende Schritte auf:
- – Empfangen eines Steuersignals durch ein Gateway mindestens eines Teilnehmers;
- – Ändern von konfigurierten Parametern des Gateways in Abhängigkeit vom empfangenen Steuersignal,
- – Generieren von lokalen Steuerbefehlen zum An- oder Abschalten von an dem Gateway angeschlossenen Energieverbrauchs- oder Energieerzeugungsgeräten durch das Gateway des Teilnehmers in Abhängigkeit der geänderten Parameter; und
- – Übertragen des generierten lokalen Steuerbefehls über ein lokales Netzwerk an mindestens ein an dem Gateway angeschlossenes Energieverbrauchs- oder Energieerzeugungsgerät. Die Erfindung zeichnet sich dadurch aus, dass eine Zeitkonstante durch das Gateway zufällig ermittelt wird und die Änderung der konfigurierten Parameter durch das Gateway um die ermittelte Zeitkonstante zeitlich verzögert wirksam wird.
-
Die verzögerte Wirksamkeit der Parameter-Umstellung hat den Vorteil, dass – selbst bei einem erfolgreichen Hacker-Angriff, bei dem viele Schwellenwerte gleichzeitig umgeschaltet werden – sich die Wirksamkeit dieser Umschaltung immer über einen längeren Zeitraum T "verschmiert". Dieser Zeitraum T kann je nach Sensibilität des Stromnetzes mehrere Sekunden bis eventuell hin zu mehreren Stunden betragen. Ein sinnvoller Wert wird meist im Bereich von einigen Minuten liegen, und muss durch Analyse des Stromnetzes bzw. Stromnetzsegmentes abgeschätzt werden. Dadurch ist es einem Angreifer nicht mehr möglich, durch die simultane Umschaltung zahlreicher Gateways die Netzstabilität zu beeinträchtigen. Um den oben geschilderten Angriff trotz dieser Maßnahme erfolgreich auszuführen, müsste ein Angreifer nicht nur die Geräte und/oder eine Steuerzentrale zur Änderung der konfigurierten Parameter hacken, sondern zusätzlich noch die Firmware der Geräte durch eine manipulierte Version ersetzen, was natürlich einen ganz erheblichen Mehraufwand für den Angreifer bedeutet.
-
Da die Änderungen der konfigurierten Parameter in den Gateways zudem verzögert wirksam werden und sich Fehlkonfigurationen damit erst in allmählich zunehmendem Maße auf das Stromnetz auswirken, hat der Stromnetzbetreiber die Möglichkeit, diese Änderungen festzustellen und Gegenmaßnahmen einzuleiten.
-
Gemäß einer vorteilhaften Ausgestaltung der Erfindung liegt die Zeitkonstante in einem vorgebbaren Zeitintervall.
-
Gemäß einer weiteren vorteilhaften Ausgestaltung wird eine bereits initiierte Änderung der konfigurierten Parameter durch Empfang eines weiteren Steuersignals zur erneuten Änderung dieser Parameter vor Ablauf der zeitlichen Verzögerung überschrieben. Bei Ablauf der zeitlichen Verzögerung wird die zuletzt empfangene Änderung der Parameter durch das Gateway umgesetzt.
-
Gemäß einer weiteren Ausgestaltung der Erfindung wird eine allgemeine Information über die Verzögerung dem Benutzer angezeigt. In vorteilhafter Weise wird – solange eine Umstellung noch nicht wirksam ist – dem Anwender angezeigt, dass die Umstellung in Vorbereitung ist, damit der Anwender keine Fehlfunktion vermutet. Die tatsächliche Länge der verzögerten Zeitspanne sowie der tatsächliche Umschaltzeitpunkt werden vorzugsweise bis zur erfolgten Umschaltung im Gateway geheim gehalten werden
-
Das erfindungsgemäße Gateway zur Netzstabilisierung eines Spannungsversorgungsnetzwerkes weist Mittel auf zum:
- – Empfangen eines Steuersignals;
- – Ändern von konfigurierten Parametern in Abhängigkeit vom empfangenen Steuersignal,
- – Generieren von lokalen Steuerbefehlen zum An- oder Abschalten von angeschlossenen Energieverbrauchs- oder Energieerzeugungsgeräten in Abhängigkeit der geänderten Parameter; und
- – Übertragen des generierten lokalen Steuerbefehls über ein lokales Netzwerk an mindestens ein angeschlossenes Energieverbrauchs- oder Energieerzeugungsgerät. Die Erfindung zeichnet sich dadurch aus, dass eine Zeitkonstante zufällig ermittelt wird und die Änderung der Parameter um die ermittelte Zeitkonstante zeitlich verzögert wirksam wird.
-
Im Weiteren werden Ausführungsformen des erfindungsgemäßen Gateways und des erfindungsgemäßen Verfahrens zur Netzwerkstabilisierung eines Spannungsversorgungsnetzwerkes unter Bezugnahme auf die beigefügte Figur beschrieben. Es zeigt die einzige
-
Figur ein Ablaufdiagramm einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens zur Stabilisierung eines Spannungs-Versorgungsnetzes.
-
Erfindungsgemäß werden Parameter-Eingaben, wie beispielsweise die Umschaltung von Schwellenwerteinstellungen im Gateway zeitlich verzögert umgesetzt/wirksam. Die zeitliche Länge dieser Verzögerung ist dabei gleichverteilt zufällig über einen ausreichend langen Zeitraum.
-
Erhält das Gateway zum Zeitpunkt t1 die Anweisung, seine Parameter (Schwellenwerte) zu ändern, so werden noch für eine Zeitspanne Z die alten Parameter weiterverwendet. Die Zeitspanne Z wird dabei mit konstanter Wahrscheinlichkeit zufällig aus dem Intervall [O, T] ausgewählt, wobei T die maximal mögliche Verzögerungszeit ist. Erst ab dem Zeitpunkt t2 = t1 + Z werden dann die neuen Parameter verwendet.
-
Die Zeitspanne Z wird für jeden Umschaltvorgang neu zufällig ermittelt. Die Gateways dürfen nicht immer die gleiche Zeitspanne verwenden, da ansonsten ein Angreifer diese Werte durch probeweises Umstellen in Erfahrung bringen könnte und dann beim eigentlichen Angriff diejenigen Gateways entsprechend früher umschalten könnte, die eine längere Zeitspanne Z verwenden, so dass die Umstellungen dann doch alle gleichzeitig wirksam werden.
-
Wird die Parameteränderung zurückgenommen bevor sie wirksam wurde, so wird sie gemäß einer Ausgestaltung der Erfindung einfach nicht ausgeführt.
-
Wird eine weitere Umstellung vorgenommen, bevor die erste wirksam wird, so entfällt gemäß einer Ausgestaltung der Erfindung die erste Umstellung. Z wird dann ausnahmsweise nicht neu bestimmt, sondern weiter verwendet und die zweite Umstellung zum gleichen Zeitpunkt t2 = t1 + Z wirksam, zu dem auch die erste Umstellung wirksam geworden wäre.
-
1 zeigt ein Ablaufdiagramm einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens zur Stabilisierung eines Spannungs-Versorgungsnetzwerkes eines Verteilnetzbetreibers.
-
In einem ersten Schritt 101 wird ein eingestelltes Parameterset P0 verwendet. In regelmäßigen Abständen wird überprüft 102, ob ein neues Parameterset P1 erhalten wurde. Ist dies nicht der Fall 103, wird das eingestellte Parameterset P0 weiterverwendet. Hat das Gateway jedoch ein neues Parameterset P1 erhalten 104, werden eine Zeitkonstante Z und ein Zeitpunkt t2 ermittelt 105. Zum Zeitpunkt t2 werden die Änderungen des Parametersets P1 wirksam. Der Zeitpunkt t2 ergibt sich aus dem aktuellen Zeitpunkt t1 und der Zeitkonstante Z in der Weise t2 = t1 + Z.
-
In einem weiteren Schritt 106 wird überprüft, ob die Änderung des Parametersets P0 zwischenzeitlich zurückgenommen wurde.
-
Ist dies der Fall 107, wird das für die Änderung vorgesehene Parameterset P1 durch das alte Parameterset P0 ersetzt 108. Wurde die Änderung nicht zurückgenommen 109 wird in einem weiteren Schritt überprüft 110, ob das Gateway zwischenzeitlich ein weiteres, neues Parameterset P2 erhalten hat. Ist dies der Fall 111, wird das für die Änderung vorgesehene Parameterset P1 durch das neue Parameterset P2 ersetzt 112.
-
Wurde durch das Gateway jedoch kein neues Parameterset erhalten 113, wird in einem weiteren Schritt 114 überprüft, ob der Zeitpunkt t2 bereits erreicht ist. Ist der Zeitpunkt t2 noch nicht erreicht 115, durchläuft das Verfahren eine erneute Schleife ab Verfahrensschritt 106. Ist der Zeitpunkt t2 jedoch erreicht 116, wird das aktuelle Parameterset P0 durch das für die Änderung vorgesehene Parameterset P0, P1 oder P2 ersetzt und durch das Gateway verwendet.
-
Solange eine Umstellung noch nicht wirksam ist, wird dem Anwender vorzugsweise angezeigt, dass die Umstellung in Vorbereitung ist, damit der Anwender keine Fehlfunktion vermutet. Es wird ihm beispielsweise auch angezeigt, wie lang es noch maximal dauern kann (noch verbleibende Zeit bis t1 + T). Es wird aber gemäß diesem Ausführungsbeispiel nicht angezeigt, wann genau die Umstellung wirksam werden wird (t2 = t1 + Z), weil ansonsten ein Angreifer die Umstellung für die Geräte, bei denen sie erst spät wirksam wird, eventuell zurücknehmen und neu starten könnte, um so beim nächsten Versuch ein kleines Z zu erhalten.
-
Die verzögerte Verwendung neuer Parameter wird vorteilhaft auch gerade dann eingesetzt, wenn die Änderungen automatisiert durchgeführt werden, gleich ob dies durch interne Prozesse im Gateway oder durch äußere Einflüsse (Eingabe durch Anwender, Fernzugriff) erfolgt. Wenn beispielsweise die Komfortstufe im tageszeitlichen Verlauf automatisiert umgeschaltet wird, kann dadurch verhindert werden, dass viele oder alle Gateways exakt zur gleichen Uhrzeit umschalten.
-
Die verzögerte Wirksamkeit der Umstellung hat den Vorteil, dass – selbst bei einem erfolgreichen Hacker-Angriff, bei dem viele Schwellenwerte gleichzeitig umgeschaltet werden – sich die Wirksamkeit dieser Umschaltung immer über einen längeren Zeitraum T "verschmiert". Dieser Zeitraum T kann je nach Sensibilität des Stromnetzes mehrere Sekunden bis eventuell hin zu mehreren Stunden betragen. Ein sinnvoller Wert wird meist im Bereich von einigen Minuten liegen, und muss durch Analyse des Stromnetzes bzw. Stromnetzsegmentes abgeschätzt werden. Dadurch ist es einem Angreifer nicht mehr möglich, durch die simultane Umschaltung zahlreicher Gateways die Netzstabilität zu beeinträchtigen. Um den oben geschilderten Angriff trotz dieser Maßnahme erfolgreich auszuführen, müsste ein Angreifer nicht nur die Geräte und/oder eine Steuerzentrale zur Änderung der konfigurierten Parameter hacken, sondern zusätzlich noch die Firmware der Geräte durch eine manipulierte Version ersetzen, was natürlich einen ganz erheblichen Mehraufwand für den Angreifer bedeutet.
-
Literatur
-
- [1] BDEW: Technische Richtlinie "Erzeugungsanlagen am Mittelspannungsnetz – Richtlinie für Anschluss und Parallelbetrieb von Erzeugungsanlagen am Mittelspannungsnetz, Ausgabe Juni 2008, BDEW Bundesverband der Energie- und Wasserwirtschaft e.V.
- [2] http://www.sfv.de/artikel/das_502_hertz~roblem.htm
- [3] Forum Netztechnik / Netzbetrieb im VDE: Rahmenbedingungen für eine Übergangsregelung zur frequenzabhängigen Wirkleistungssteuerung von PV-Anlagen am NS-Netz
- [4] EON: Übergangsregelung für PV-Anlagen – Wirkleistungseinspeisung bei Überfrequenz
- [5] BDEW-Richtlinie "Erzeugungseinheiten am Mittelspannungsnetz", Kap. 2.5.3 und Bild 2.5.3-1