Prevención de reconexión desincronizada entre sistemas de energía.

Prevención de reconexión desincronizada entre sistemas de energía.

La presente divulgación proporciona aparatos, sistemas y procedimientos para prevenir el cierre desincronizado entre sistemas de energía. Un aparato de dispositivo electrónico inteligente

(IED) puede incluir un componente de control y un componente de retardo. El componente de control está configurado para controlar selectivamente la apertura y el cierre de un interruptor. El componente de control emite selectivamente una señal de cierre para hacer que el interruptor conecte una primera porción de un sistema de distribución de energía a otra porción del sistema de distribución de energía. El componente de retardo está configurado para retardar la emisión de la señal de cierre al interruptor. El componente de retardo incluye circuitos independientes del control por el componente de control y el componente de retardo es inconfigurable desde un lugar remoto.

Tipo: Patente Internacional (Tratado de Cooperación de Patentes). Resumen de patente/invención. Número de Solicitud: PCT/US2013/078093.

Solicitante: SCHWEITZER ENGINEERING LABORATORIES, INC..

Nacionalidad solicitante: Estados Unidos de América.

Dirección: 2350 NE Hopkins Court 99163 Pullmann WA Washington ESTADOS UNIDOS DE AMERICA.

Inventor/es: KASZTENNY,Bogdan Z, FINNEY,Dale S.

Fecha de Publicación: .

Clasificación Internacional de Patentes:

  • SECCION H — ELECTRICIDAD > PRODUCCION, CONVERSION O DISTRIBUCION DE LA ENERGIA... > CIRCUITOS DE PROTECCION DE SEGURIDAD (indicación... > Circuitos de protección de seguridad para desconexión... > H02H3/02 (Detalles)
google+ twitter facebookPin it
Prevención de reconexión desincronizada entre sistemas de energía.

Fragmento de la descripción:

P201590048

Prevención de reconexión desincronizada entre sistemas de energía

Campo técnico

La presente divulgación se refiere a la conexión de sistemas de distribución de energía y más particularmente se refiere a la prevención de cierre desincronizado de un interruptor que conecta un generador y un sistema de distribución de energía eléctrica.

Breve descripción de los dibujos

En el presente documento se describen realizaciones no limitativas y no exhaustivas de la divulgación, que incluyen varias realizaciones de la divulgación ilustrada en las figuras listadas a continuación.

La figura 1 es un diagrama esquemático que ilustra una realización de un sistema para prevenir el cierre desincronizado entre un generador y un sistema de distribución de energía.

La figura 2 es un diagrama de bloques esquemático que ilustra una realización de un generador IED para prevenir el cierre desincronizado.

La figura 3 es un diagrama de conexiones esquemático que ilustra una realización de interconexión lógica externa e interna de un generador IED.

La figura 4 es un diagrama de flujo esquemático que ilustra una realización de un procedimiento para prevenir el cierre desincronizado.

En la siguiente descripción, se proporcionan numerosos detalles para una comprensión exhaustiva de las diversas realizaciones divulgadas en el presente documento. Los sistemas y procedimientos divulgados en el presente documento se pueden llevar a la práctica sin uno o más de los detalles específicos, o con otros procedimientos, componentes, materiales, etc. Además, en algunos casos, no se pueden mostrar o describir en detalle estructuras, materiales u operaciones bien conocidos con el fin de evitar la ocultación de aspectos de la divulgación. Además, las características, estructuras o características descritas se pueden P201590048

combinar de cualquier manera apropiada en una o más realizaciones alternativas.

Descripción detallada

La conexión de un generador síncrono a un sistema de energía tal como otro generador o una red de distribución de energía requiere una correspondencia cuidadosa de la frecuencia del generador y la tensión del generador con las del sistema de energía. Dicho de otro modo, el ángulo y diferencia de fase en tensión entre el generador y el sistema de energía debería estar próximo a cero (idealmente exactamente cero) en el momento de cerrar un interruptor para conectar el generador al sistema de energía. De no hacerlo se imponen tensiones de torsión sobre el generador y su principal impulsor. Este fallo en la sincronización apropiada antes del cierre es conocido como cierre desincronizado. La tensión de torsión que resulta del cierre desincronizado puede ser varias veces la clasificación de diseño de la máquina, dependiendo de la diferencia de tensión, frecuencia, y fase de ángulo en el momento del cierre desincronizado. El daño resultante en la máquina también es generalmente acumulativo. Por ejemplo, una máquina puede permanecer en funcionamiento después de un evento de cierre desincronizado inicial pero puede fallar después de varios eventos posteriores de cierre desincronizado. Cabe indicar que, tal como se usa en el presente documento "cerrar" y "cierre" puede incluir "reconectar" y "reconexión"

a menos que se indique otra cosa.

Generalmente hay dos procedimientos para sincronizar apropiadamente un generador al sistema de energía; la sincronización manual y la autosincronización. En la sincronización manual, un operador de planta envía comandos al regulador y controlador automático de 25 tensión del generador para mantener las diferencias de tensión y frecuencia dentro de límites aceptables. El operador de planta controla entonces el ángulo de fase entre el generador y el sistema de energía usando un sincroscopio (medidor de indicación de diferencia de fase) . Cuando el ángulo alcanza el cero el operador de planta inicia manualmente un comando de cierre de interruptor usando un pulsador, interruptor de panel o mediante una interfaz de hombre-máquina tal como un teclado, un ratón o una pantalla táctil. En la autosincronización, un dispositivo de autosincronización controla la tensión y la frecuencia e inicia sustancialmente las mismas acciones de control que un operador de planta.

Aunque la implementación apropiada de los procedimientos anteriores normalmente da P201590048

como resultado la sincronización entre el generador y el sistema en el momento del cierre, se incluyen generalmente verificaciones y protecciones adicionales en caso de error operador o intentos de cierre malintencionados. Por ejemplo, se pueden usar equipos o comprobaciones de sincronización externas, relés circuitos antibombeo de interruptor, lógica de isla u otros dispositivos o procedimientos para prevenir el cierre desincronizado. Estos mecanismos de protección adicionales ayudan a reducir la posibilidad de cierre desincronizado incluso si se lleva a cabo un error o un intento intencionado de cierre desincronizado.

Sin embargo estudios recientes han identificado vulnerabilidades que pueden permitir a un individuo no autorizado el disparo intencionado de un cierre desincronizado desde un lugar remoto a pesar de las protecciones anteriores. Específicamente, una apertura temporizada con precisión y un cierre rápido de un interruptor de circuito no se puede prevenir mediante protecciones de hardware incluidas tales como autozincronizadores, verificadores de sincronización, circuitos de autobombeo de interruptor, y/o lógica en isla. Aunque este cierre rápido se puede prevenir mediante un IED, un individuo no autorizado que ha penetrado en el sistema de protección y control puede reprogramar el IED y de este modo explotar la vulnerabilidad anterior. Por ejemplo, el autosincronizador y/o el relé de verificador de sincronización son típicamente dispositivos controlados de microprocesador. Puesto que son programables, existe la posibilidad de que un individuo no autorizado reconfigure o reprograme estos dispositivos para permitir que se produzca una operación de cierre desincronizado. Después de la reprogramación, se puede llevar a cabo una o más operaciones de apertura y recierre para conseguir un cierre desincronizado.

Este tipo de cierre desincronizado intencional a menudo recibe el nombre de "ataque Aurora" o "vulnerabilidad Aurora". Se podría usar un ataque Aurora para dañar intencionadamente un generador, árbol de turbina, u otra máquina rotativa a través del cierre múltiple de un interruptor que conecta la máquina (o una pequeña isla de máquinas) al sistema de energía. Generalmente, se considera es un ataque Aurora como un ciberataque

en el que es posible la penetración en los mecanismos de protección de red de comunicación y la toma de control a distancia sobre un relé que acciona el interruptor. Por ejemplo, no es necesario el acceso físico para ataques sofisticados, coordinados y potencialmente grandes. Los ataques Aurora podrían dejar grandes regiones sin energía durante periodos de tiempo considerables y de este modo pueden presentar un riesgo de seguridad doméstico o nacional. Aunque los ataques Aurora generalmente se pueden P201590048

prevenir garantizando la seguridad de red y basándose en los verificadores anteriores, puede ser difícil o imposible garantizar la total seguridad de red en términos absolutos.

La presente solicitud divulga un aparato, sistema y procedimientos para prevenir intentos de reconexión desincronizada. En una realización, un dispositivo electrónico inteligente (IED) tal como un relé basado en microprocesador incluye un componente de control y un componente de retardo. El componente de control se puede configurar para controlar...

 


Reivindicaciones:

1. Un dispositivo electrónico inteligente (IED) que comprende:

un componente de control configurado para controlar selectivamente la apertura y el cierre de un interruptor, en el que el componente de control emite selectivamente una señal de cierre para hacer que el interruptor conecte una primera porción de un sistema de distribución de energía a otra porción del sistema de distribución de energía, y un componente de retardo configurado para retardar la emisión de la señal de cierre al interruptor, en el que el componente de retardo comprende circuitos independientes del control por el componente de control, y en el que el componente de retardo es inconfigurable desde un lugar remoto.

2. El IED de la reivindicación 1, en el que el componente de retardo comprende un componente de configuración de hardware y en el que el componente de retardo es configurable in situ usando el componente de configuración de hardware.

2.

3. El IED de la reivindicación 2, en el que el componente de hardware comprende un conmutador.

4. El IED de la reivindicación 2, en el que el componente de hardware comprende un 25 terminal puente.

5. El IED de la reivindicación 2, en el que el componente de retardo es configurable a un estado de no retardo en el que la emisión de la señal de cierre no es retardada.

6. El IED de la reivindicación 2, en el que la emisión de la señal de cierre es retardada por un tiempo de retardo, en el que el tiempo de retardo es configurable por el componente de hardware.

7. El IED de la reivindicación 2, en el que el componente de control emite una alarma al 35 detectar un cambio en la configuración del componente de configuración de hardware.

8. El IED de la reivindicación 1, en el que el componente de retardo comprende un circuito temporizador analógico.

9. El IED de la reivindicación 1, en el que el componente de retardo comprende un retardo de tiempo sobre el retardo de recogida (TDPU) .

10. El IED de la reivindicación 1, en el que el componente de retardo comprende un componente contador que permite un número fijo de intentos de reconexión antes de 10 retardar la emisión de la señal de cierre.

11. El IED de la reivindicación 1, que comprende, además, un componente de aislamiento para detectar el aislamiento de la primera porción del sistema de distribución de energía de la segunda porción del sistema de distribución de energía.

1.

12. El IED de la reivindicación 11, en el que el componente de aislamiento detecta la apertura del interruptor.

13. El IED de la reivindicación 11, en el que la primera porción del sistema de distribución de energía comprende una porción de una red de distribución de energía aislable abriendo el interruptor y uno o más interruptores adicionales y en el que el componente de aislamiento detecta la apertura del interruptor y el uno o más interruptores adicionales.

14. El IED de la reivindicación 1, en el que el componente de retardo está configurado para 25 retardar la emisión de la señal de cierre por un tiempo de retardo.

15. El IED de la reivindicación 14, en el que el tiempo de retardo se mide a partir de un tiempo de aislamiento de la primera porción del sistema de distribución de energía de la segunda porción del sistema de distribución de energía.

3.

16. el IED de la reivindicación 1, en el que el componente de control está configurado para comunicar sobre un enlace de comunicación con un dispositivo remoto.

17. Un sistema de control para controlar la conexión de una primera porción de un sistema 35 de distribución de energía a una segunda porción del sistema de distribución de energía,

comprendiendo el sistema de control:

un interruptor; y un relé basado en microprocesador que comprende:

un componente de control configurado para controlar selectivamente la apertura y el cierre de un interruptor, en el que el componente de control emite selectivamente una señal de cierre al interruptor para conectar la primera porción del sistema de distribución de energía a la segunda porción del sistema de distribución de energía; y un componente de retardo configurado para retardar la emisión de la señal de cierre al interruptor, en el que el componente de retardo comprende circuitos 15 independientes del control por el componente de control y en el que el componente de retardo es inconfigurable desde un lugar remoto.

18. El sistema de control de la reivindicación 17, que comprende, además, un componente de sincronización.

2.

19. El sistema de control de la reivindicación 17, en el que el componente de sincronización es interno al IED.

20. El sistema de control de la reivindicación 17, en el que el componente de sincronización 25 es externo al IED.

21. El sistema de control de la reivindicación 17, en el que la primera y segunda porciones del sistema de distribución de energía son aislables por el interruptor y uno o más interruptores adicionales.

3.

22. El sistema de control de la reivindicación 17, en el que la primera porción del sistema de distribución de energía comprende una máquina rotativa.

23. El sistema de control de la reivindicación 17, en el que la máquina rotativa comprende 35 un generador.

24. El sistema de control de la reivindicación 17, en el que el componente de retardo comprende un componente de configuración de hardware y en el que el componente de retardo es configurable in situ usando el componente de configuración de hardware.

.

25. El sistema de control de la reivindicación 24, en el que el componente de control emite una alarma al detectar un cambio en la configuración del componente de configuración de hardware.

26. Un procedimiento para prevenir el cierre desincronizado, comprendiendo el procedimiento:

controlar selectivamente la apertura y el cierre de un interruptor usando un componente de control de un IED, en el que el componente de control emite selectivamente una señal de cierre para hacer que el interruptor conecte una primera porción de un sistema de distribución de energía a otra porción del sistema de distribución de energía; y retardar la emisión de la señal de cierre al interruptor usando un componente de retardo del IED, en el que el componente de retardo comprende circuitos independientes del control por el componente de control y en el que el componente de retardo es inconfigurable desde un lugar remoto.