具有改进的功能安全性的电力系统的制作方法

具有改进的功能安全性的电力系统
1.本发明涉及一种电力系统，该电力系统具有：至少一个开关元件，其布置在电力系统的引导初级电流和初级电压的初级元件上；自动化系统，其操作开关元件，而自动化系统向开关元件发送开关命令以触发开关元件的跳闸操作；以及测量单元，其用于检测电力系统的至少一个过程参数的值，而至少一个过程参数是给定频率和标称值的周期性电信号，并且测量单元连接到数据通信总线，至少一个过程参数的采样值通过数据通信总线在数据通信总线上实现的数据通信协议的数据消息中流传输。本发明还涉及一种用于操作这种电力系统的方法。
2.用于例如高压和中压的电力系统(如电网)被广泛使用，并且基本上包括发电站、电力传输线和电力变电站。在较长距离内传输电力以在变压器变电站中执行电压转换或分配电力这一需求要求复杂的电力系统。为了例证，用于高压和中压电力网络中的电力分配的电力变电站包括初级设备(有时也称为现场设备)，诸如电缆、线路、汇流条、开关、断路器、电力变压器和仪表变压器。这些初级设备可以经由负责控制、保护和监视变电站或其一部分的变电站自动化(sa)系统以自动化方式进行操作。sa系统包括在sa数据通信网络中互连并且经由过程接口与初级设备交互的可编程次级设备，即所谓的智能电子设备(ied)。初级设备与次级设备之间的交互可以通过所谓的过程接口单元(piu)进行。类似地，各种各样的电力系统可以具有相关联的电力设施自动化系统，其包括执行控制、保护和监视相应电力系统的操作的功能的ied。sa系统和电力设施自动化系统有时通常也被命名为保护、自动化和控制(pac)系统。多个ied或多个piu之间以及一个ied或一个piu与电力系统的其他部件之间的通信可以根据标准化的数据通信协议来执行。为了例证，iec标准61850“用于电力设施自动化的通信网络和系统”将变电站特定的应用功能与变电站通信的特定问题分离，并且为此目的，限定了兼容变电站的抽象对象模型以及如何经由抽象通信服务接口(acsi)通过通信网络访问这些对象的方法。
3.电力行业的不断增长的数字化和自动化有助于显著提高数字保护、自动化和控制系统的效率。同时，它为世界任何地方的人恶意入侵电力系统、变电站或发电厂提供了可能性。因此，这种系统的网络安全正成为主要问题。
4.随着自动化程度的增加并且电力系统中互连ied的使用增加，在保护、自动化和控制(pac)系统中可靠地检测关键情形的需要也日益增加。这种关键事件的示例包括安全入侵、操作员错误、定时问题、硬件故障或电力系统和/或其电力设施自动化系统的任何关键状态或不正确状态。
5.在经典信息技术(it)的计算机网络领域中，入侵检测系统(ids)用于监视网络或系统的活动，以便检测网络中或网络设备中的入侵或未经授权的第三方的恶意活动。ids监视和分析计算机网络中的数据通信。ids被设计用于辨识可能的事件、记录信息并且报告可能的尝试。ids的主要功能是向操作员发出安全边界警报，使得他可以采取措施来防止入侵，以使攻击的影响最小化或者进行事件后分析。例如，基于签名的网络设备使用预限定的已知攻击的签名(如病毒扫描器签名)来检测入侵。这可以被视为以下的黑名单方法：如果观察到被明确禁止的行为(就其被包括在黑名单中而言)，则网络设备向操作员发出警报。
这种基于签名的方法被广泛用于it系统中的网络设备中。
6.虽然黑名单方法也可以用于检测电力设施自动化系统中的关键事件，但可能存在与这种方法相关联的问题。黑名单方法需要待识别的每个关键事件的签名。不能检测到新的或未知的攻击。在电力系统的背景下，电力系统及其特殊协议中的控制和自动化系统已知的攻击和漏洞的数量非常少。因此，应用到电力系统的基于黑名单的ids在大的程度上只能检测到在it领域中已知的攻击。因此，黑名单方法的有用性对于电力系统中的ids尤其有限。
7.因此，在具有电力设施自动化系统的电力系统中，需要另一安全层。这种安全系统是基于对电力系统的功能及其操作原理的良好理解。这种改进的安全系统的示例可以见于ep 2 701 340 a1。其中，电力系统的配置的系统模型用于监视和评估在iep之间发送的数据消息，以检测电力系统操作期间的关键事件。数据消息的数据内容包括初级设备的过程参数，以确定数据内容是否对应于电力系统和电力设施自动化系统的有效行为。为此目的，基于系统模型预测预期的数据消息，并且将预测的数据消息与监视的数据消息进行比较。利用这种消息分析，可以检测到例如注入的恶意数据消息的形式的入侵。尽管可以检测到入侵，但对恶意数据消息的可能反应可能太晚，以致于不能防止其对电力系统的影响。如果注入的数据消息携带引起电力系统或变电站的断路器跳闸的信息，则恶意数据消息可能引起严重的断电。换句话说，检测到入侵时已经太晚。
8.作为对策，可以使用用于加密数据消息或添加到每个数据消息的所谓消息认证码的技术，例如，如在iec 62351中限定的。数据消息中的这种加密签名使得数据消息的接收方能够验证其真实性和数据消息的完整性。然而，该方法需要将密码密钥或证书分配系统引入电力系统或电力变电站基础设施中，这增加了系统的复杂性。除此之外，只有在没有牺牲基础的密钥或证书基础结构的情况下，该措施才有效。密钥或证书分发系统(例如，服务器)是该方法中的单点故障，并且可能被对手攻击以拦截或影响分发给所有消息发布方的认证密钥或证书。因此，尽管该方法增加了恶意入侵者的障碍，但它容易受到恶意攻击。
9.在us 10,079,486b2中给出在具有电力设施自动化的电力系统中增加功能安全性的另一种方法。利用该方法，使用变电站和邻近变电站的电力流模型来分析包括断开或闭合电力变电站中的断路器的命令的数据消息。电力流模型用于在执行数据消息中的开关命令时确定变电站中和邻近变电站中多个节点的预测电压。将预测电压与配置的可允许电压范围进行比较，并且如果预测电压在其对应的可允许电压范围之外，则阻断开关命令的执行。这意味着开关命令的执行被延迟，直到数据消息的分析已完成为止。然而，在许多情况下，这种时间延迟将是不可接受的。另一方面，分析依赖于稳态物理系统模型。因为变电站处的电力流和电压值取决于许多因素(可能超出所考虑的邻近变电站)，所以这是极其过分简单化的方法。这意味着，入侵检测系统可能做出错误的决定，并且可能阻断来自系统操作员或来自电力设施自动化系统的合法命令。这可能造成重大的安全隐患，并且可能导致电力系统或变电站部件的损坏甚至破坏，或者导致在电力系统或变电站中工作的人员发生严重的甚至致命的事故。
10.因此，需要提高电力系统中的功能安全性。
11.该目的是通过在电力系统中设置故障检测器来实现的，该故障检测器连接到数据通信总线并且评估至少一个过程参数的流传输值，从而检测电力系统中的电气故障。故障
检测器被布置为当检测到电气故障时向开关元件发送故障存在指示，所述故障存在指示被发送并被开关元件接收，之后在接收到开关命令时触发开关元件的跳闸操作。只有当已接收到故障存在指示时，开关元件才触发开关元件的跳闸操作。
12.通过将用于使电力系统中的开关元件跳闸的开关命令与电力系统的实际电气状态相关联，可以防止可能由注入的包含错误开关命令或错误过程参数值的恶意数据消息引起的开关元件的错误跳闸。由故障检测器基于过程参数的流传输样本来评估实际电气状态。只有当过程参数的这些采样值指示电气故障(短路故障)时，才将故障存在指示发送到启用开关操作的开关元件。由于在过程参数的每个周期中对过程参数的值进行数次采样和流传输，因此可以比执行开关操作更快地检测到电气故障。这使得故障检测器能够在比实际开关操作远远提前的时间利用故障存在指示来启用开关操作。因此，原本会引起开关元件的跳闸操作的注入的恶意数据消息不会引起任何伤害。这提高了电力系统中的功能安全性。
13.本发明的其他有利实施例及其效果遵循本发明的以下描述。
14.下面参考图1至图5更详细地描述本发明，其示出了本发明的示例性、示意性和非限制性的有利实施例。在附图中：
15.图1示出了电力系统的示例，
16.图2和图3是电力系统中的典型电气故障，
17.图4是故障检测器的实现方式；以及
18.图5是电力系统中的开关元件的创造性操作的示例。
19.为了更好地理解本发明的背景，参考图1以举例的方式说明电力系统1的典型配置。所示出的实施例中的电力系统1是电网并且包括经由传输线2、3连接的两个电气变电站100、200，在这一情形下是发电厂(变电站100)和变压器厂(变电站200)。电力系统1以熟知的所谓单线等效电路图的形式描绘，其中，连接被示出为单线。然而，要理解，图中的线可以表示多相电连接，例如三相电缆形式，并且所示出的设备也可以是多相设备，例如三相电力变压器或三相断路器。
20.在变电站100中，利用(升压)变压器103、104将由两个发电机101、102产生的电力变换为高压(hv)(例如，110kv或220kv)，并且将其供应到汇流条105。电力从汇流条105经由传输线2、3传输到变电站200。在变电站200中，入线组合在汇流条201处。利用(降压)变压器202，在汇流条201处提供的电能被变换为不同的电压电平，例如，较低的hv电压或中压(mv)，例如，10kv或20kv。变换后的电力被供应到汇流条203，例如，可以利用通向未进一步示出的变电站或消费者的传输线4、5从汇流条203进一步分配电力。
21.当然，电力系统1可以包括不止两个变电站，但也可以仅包括一个变电站。它还可以包括如图1中示出的部件的其他或不同的部件。
22.电力的产生、传输和分配发生在引导初级电流和初级电压的所谓初级元件中，初级电流和初级电压一起被称为初级参数。初级元件一起也称为初级系统。初级元件例如是发电机101、102，变压器103、104、202，汇流条105、201、203，传输线2、3，电线108、208，还有下面描述的开关柜以及其他可能的初级元件。除初级系统之外，还有所谓的次级系统，其由作为次级元件的保护和控制设备(以下描述)组成。次级元件通常不直接连接到通常承载处于高电压电平的电力的初级元件。因此，仪表变压器(如电流变压器或电势变压器)或其他
类型的传感器经常被用作测量单元106、206。仪表变压器将高的初级电压或高的初级电流变换为较低的次级电压或较低的次级电流(一起被称为次级参数)。初级参数与次级参数之间的变换比率可以变化，但是是已知的。因此，次级参数是初级参数的表示。通常，次级电流将处于1a至5a之间的范围内(在额定初级电流下)，并且次级电压将处于100v至150v的范围内(在额定初级电压下)。然而，初级参数也可由测量单元106、206直接测量。由于初级参数和次级参数是等同的，因此以下将这样的参数称为过程参数。
23.一般而言，过程参数表示在变电站100、200的某一点处的具有给定的标称频率和标称值(标称电压或标称电流)的周期性电信号，例如，电压或电流。
24.变电站100、200还包括布置在电力系统1的初级元件上的多个开关元件110、210。开关元件110、210可以布置在变电站100、200的电线108、208中，或者布置在电力系统1的另一电力系统设备上，如变压器103、104、202，发电机101、102，汇流条105、201、203等。一般而言，开关元件110、210能够在处于断开状态时阻断例如通过电线108、208的电力流动，而在处于闭合状态时引导通过电线108、208的电力。可以存在安装在变电站100、200中的不同类型的开关元件110、210，如断路器、断续器、重合器、隔离开关等，但为了简单起见，以下将这些都称为开关元件110、210。开关元件110、210可以布置在变电站100、200中的不同位置处，因此能够在这些不同位置处阻断(跳闸操作)或建立(闭合操作)电力流。为了清楚的原因，图1中示出的开关元件110、210中只有一些被赋予其参考标号。
25.在自动化电力系统1中，开关元件110、210中的至少一个由自动化系统的保护和控制设备120、220(ied)来控制和操作。已知有各种类型的保护和控制设备，例如，发电机保护系统(gps)、变压器保护系统(tps)、线路保护系统(lps)、汇流条保护系统、断路器控制系统(cs)、用于变电站100、200的其他部分的保护系统(slt)等。不同变电站100、200的保护和控制设备120、220也可以如图1中用虚线指示地连接，例如，以共享关于某些过程参数的信息。通过将多种保护和/或控制功能合并在一个设备中，保护和控制设备120、220可以是多功能的。保护和控制功能可以被集成到一个设备中，但也可以分离到多个设备中，一个设备执行保护功能而另一个设备执行控制功能。保护功能监视变电站100、200或其一部分以检测故障、错误操作或不正确状态。如果检测到这种状况，则通过触发某个开关元件110、210来启动相关联的控制功能以实施开关操作。由于保护和控制设备120、220及其功能在本领域中是熟知的并且与本发明无关，因此没有更详细地说明这些设备和功能。
26.保护和控制设备120、220可以被设计为基于微处理器的硬件，其运行安装在该硬件上的某个软件(其实现保护和/或控制功能)。然而，保护和控制设备120、220也可以实现为可编程逻辑控制器(plc)或集成电路(ic)，如专用集成电路(asic)或现场可编程门阵列(fpga)。此外，实现为模拟电路或机电设备是可预料的。这种硬件设备和电路的组合也是可能的。
27.保护和控制设备120、220中的至少一个接收来自安装在对应变电站100、200中的至少一个测量单元106、206(但也有可能来自其他变电站)的过程参数pp。测量单元106、206可以直接连接到相关联的保护和控制设备120、220，或者可以经由数据通信总线131、231(作为所谓的过程总线)连接到保护和控制设备120、220中的至少一个。
28.变电站100、200中的保护和控制设备120、220中的至少一些可以通过数据通信总线130、230(作为所谓的变电站总线)连接。
29.通信总线130、131、230、231可以是单独的数据总线，但也可以被实现为单条数据通信总线。在单独的数据总线的情况下，还可以例如使用网络交换机、路由器或类似的网络设备208(如图1中)连接总线。不同变电站100、200的通信总线130、131、230、231也可以例如经由lan、wan、wifi或其他网络或数据连接如图1中指示的那样连接。
30.合适的数据通信协议可以用于通过数据通信总线130、131、230、231的数据通信。按照标准iec 61850实现可能的数据通信总线和数据通信协议，尽管也可以使用任何其他通信总线和通信协议。还可以在变电站总线和过程总线中或者在不同变电站100、200的总线中使用不同的数据通信协议。
31.当测量单元106、206设置有对应的通信接口时，测量单元106、206可以直接连接到通信总线130、131、230、231。在这种情况下，模拟过程参数pp将首先被数字化，以作为数据在数据通信协议的数据消息中被发送。
32.还可以提供可以用于将测量单元106、206或开关元件110、210连接到通信总线130、131、230、231的过程接口单元107、207(piu)。将测量单元106、206连接到通信总线130、131、230、231的过程接口单元107、207也被称为合并单元。合并单元也可以连接到多个测量单元106、206。将开关元件110、210连接到通信总线130、131、230、231的过程接口单元107、207也被称为开关柜接口单元。过程接口单元107、207也可以用作合并单元和开关柜接口单元。过程接口单元107、207也可以被集成到开关元件110、210中或测量单元106、206中。
33.过程接口单元107、207(例如，合并单元)将以给定的采样率收集连接的测量单元106、206的过程参数pp，并且将过程参数pp作为数据通过对应的通信总线130、131、230、231在数据消息中发送。例如，过程接口单元107、207从测量单元106、206接收过程参数pp，并且将接收到的过程参数pp以数字化形式在实现的数据通信协议的数据消息中发送。利用iec 61850，使用所谓的goose数据消息，该数据消息是事件驱动的数据消息，其只有在要发送的数据的内容变化时(即，当过程参数pp变化时)才被发送。过程接口单元107、207(例如，开关柜接口单元)可以接收带有针对连接到过程接口单元107、207的开关元件110、210的开关命令的数据消息。如果接收到对应的数据消息，则过程接口单元107、207将生成针对对应开关元件110、210的开关命令。
34.在操作中，过程接口单元107、207例如接收连接的测量单元106、206的过程参数pp，并且通过通信总线130、131、230、231将过程参数pp发送到电力系统1的自动化系统的相关联的保护和控制设备120、220。保护和控制设备120、220使用接收到的过程参数pp，并且有可能还使用电力系统1的其他的或另外的数据(例如，其他过程参数)来评估电力系统1或变电站100、200或其一部分的状态。如果检测到错误状态或任何其他故障，则保护和控制设备120、220将通过通信总线130、131、230、231在数据消息中发送针对某个开关元件110、210的开关命令。数据消息由开关元件110、210所连接到的过程接口单元107、207接收。然后，过程接口单元107、207在开关元件110、210处触发请求的开关动作。
35.在另一种可能的操作情况下，操作员经由控制站的用户接口(ui)121输入针对某个开关元件110的开关命令。作为用户接口121的替代或补充，外部控制设备122(例如，控制中心或scada(监督控制和数据采集)系统)也可以通过通信总线130、131、230、231发送带有开关命令的数据消息，如图1中用虚线指示的。用户接口121或外部控制设备122经由数据通信接口连接到通信总线130、131、230、231，并且将带有开关命令的数据消息发送到相应的
开关元件110、210所连接到的过程接口单元107、207。过程接口单元107、207在接收到数据消息时触发开关元件110、210的请求的开关操作。
36.要注意的是，数据消息的发送设备的配置的地址和/或接收设备的地址通常被包含在数据消息的相应数据字段中。也可以实现发布方/订阅方机制，如在基于iec 61850的数据通信中。在这种情况下，网络设备将被某些发布网络设备订阅。发布网络设备将通过通信总线130、131、230、231多播数据消息，并且将仅由发布网络设备的订阅方读取。地址或发布方/订阅方关系可以在操作开始之前配置，或者也可以在操作期间改变。另外，还可以实现其他数据通信机制。为了理解本发明，假定连接到通信总线130、131、230、231的网络设备(如过程接口单元107、207或保护和控制设备120、220)识别到通过通信总线130、131、230、231发送的数据消息是以其自身为目的地就足够了。网络设备丢弃不以其自身为目的地的数据消息。
37.在对电力系统1的恶意攻击中，有人可能将带有恶意内容的数据消息注入电力系统1或其变电站100、200的通信网络中。恶意内容可能包括非法开关命令或触发开关命令的错误的过程参数。本发明应当检测入侵者对恶意数据消息的这种入侵或注入，以防止有害和错误的开关操作。
38.本发明利用以下事实：经由数据通信总线130、131、230、231与保护和控制设备120、220通信的测量单元106、206通过数据通信总线130、131、230、231在数据消息中发送其过程参数pp。通过通信总线130、131、230、231发送的数据消息由连接到通过其发送数据消息的通信总线130、131、230、231的入侵检测系统150、250监视。当然，可以在多个或所有变电站100、200中设置入侵检测系统150、250。入侵检测系统150、250可以订阅变电站100、200的所有公布过程接口单元107、207，可以读取某个发送地址空间内的数据消息或者可以读取在通信总线130、131、230、231上发送的所有数据消息。入侵检测系统150、250还可以仅监视某些(至少一个)发布过程接口单元107、207的数据消息。为了能够读取通过通信总线130、131、230、231发送的数据消息，入侵检测系统150、250可以连接到与通信总线130、131、230、231连接并读取通过通信总线130、131、230、231发送的数据消息的测试接入点(tap)设备，或者可以连接到例如与通信总线130、131、230、231连接的网络交换机上的镜像端口。入侵检测系统150、250还可以接收关于其他变电站100、200的过程参数的信息。然而，入侵检测系统150、250也可以与某些测量单元106、206硬连线，以直接接收过程参数。
39.入侵检测系统150、250接收变电站100、200的至少一个测量单元106、206的过程参数，通常地但不是必要地，该变电站是布置有入侵检测系统150、250的变电站。然后，入侵检测系统150、250的故障检测器300能够将接收到的过程参数与电力系统1的已知行为相匹配，尤其是当短路故障发生时，例如，单相对地故障或相间故障。
40.入侵检测系统150、250或故障检测器300可以被实现为基于微处理器的硬件，其运行安装在该硬件上的某些软件或过程。故障检测器可以被实现为在入侵检测系统150、250的计算机硬件上运行的软件，但也可以被实现为单独的设备。然而，入侵检测系统150、250或故障检测器300也可以被实现为可编程逻辑控制器(plc)或集成电路(ic)，如专用集成电路(asic)或现场可编程门阵列(fpga)。另外，实现为模拟电路是可构思的。这种硬件设备和电路的组合也是可行的。
41.电力系统中的任何电气故障将影响变电站100、200的过程参数pp，如电压或电流。
这使入侵检测系统150、250能够评估针对开关元件110、210的跳闸命令是由于电气故障而正当的，还是由攻击引起的误操作。这使得入侵检测系统150、250还能够评估数据消息是否携带正确的过程参数数据。下面，通过参考图2和图3的示例来说明这一点。
42.图2示出了三相电压v和电流i的时间曲线，例如，具有电力系统1的标称频率，例如50hz、60hz或16.67hz。在时间tf，三相中的两相之间发生相间短路故障，即，两相被短路。这迫使两个故障相的电压相同并且降至其标称值以下。在该示例中，第三个电压将保持不受影响。同时，故障相中的电流取决于电力系统等效源及其特性而增加。在该示例中，第三个电流将保持不受影响。
43.在图3中，示出了一相对地短路故障。在时间tf，发生三相电压中的一相的接地故障，从而迫使故障相的相电压降至几乎为零。如在该示例中，其他两个相电压将保持不变或者经历相电压的增加。
44.当至少一个测量单元106、206获取与故障相对应的过程参数pp(例如，相电压和相电流)时，可以通过评估随时间推移的过程参数pp来检测电气故障。因此，可以通过评估至少一个测量单元106、206的过程参数pp来检测电气故障。
45.在电力系统1中，测量单元106、206与保护和控制设备120、220相关联，保护和控制设备120、220从相关联的测量单元106、206接收过程参数pp，执行保护和控制功能并且如有需要则触发相关联的开关元件110、210的开关操作。通常配置并给出测量单元106、206、保护和控制设备120、220和开关元件110、210的关联。
46.过程参数pp通过通信总线130、131、230、231在连续的数据消息中作为采样值的流(即，数字化)(利用给定的或预设的而通常是固定的且已知的采样率)发送。由此，可以实现与通信总线130、131、230、231连接的故障检测器300，其评估变电站100、200中的电线的电气相的过程参数pp。从过程参数(相电压或相电流，例如，具有给定标称值的50hz电压)的已知预期时间曲线，可以检测到自身表现为与预期时间曲线的偏差的任何电气故障。例如，相电压或电流的突然变化暗示了电气故障。
47.用与至少一个过程接口单元107、207连接的至少一个测量单元106、206检测的过程参数pp在电信号的每个周期内以给定的采样率ts(例如每个周期80个样本，对于50hz电信号，该采样率导致250μs的采样时间)被采样并发送数次。这意味着，可以比保护和控制设备120、220中的保护或控制功能的操作更快地检测到电气故障。保护或控制功能通常在约一个周期到半个周期内(即，在50hz系统中在20ms至10ms内)操作。也就是说，与测量单元106、206相关联的保护和控制设备120、220需要一个周期到半个周期的操作时间来检测故障状态并且触发对应开关元件110、210的开关动作。
48.根据本发明，故障检测器300在比保护和控制设备120、220的操作时间短的时间段内检测电气故障，并且比保护和控制设备120、220的操作时间快地向相关联的开关元件110、210指示电气故障。开关元件110、210只有在它已经从故障检测器300接收到对应电气故障的指示时才在从对应的保护和控制设备120、220接收到开关命令时执行开关动作。如果它尚未从故障检测器300接收到对应电气故障的指示，则可以阻止开关命令。开关元件110、210也可以经由开关元件110、210所连接到的相关联的过程接口单元107、207接收电气故障指示和/或开关命令。
49.要理解的是，在变电站100、200中，通常安装多个测量单元106、206，并且检测多个
过程参数pp并通过通信总线130、131、230、231在数据消息中发送它们。因此，可以例如在监视电力系统1中的不同测量点的过程参数pp的一个或多个入侵检测系统150、250中实现多个故障检测器300。将在所有电连接的测量点处检测到电气故障。
50.例如，在图1中，发电机101电连接到变压器103和汇流条105以及传输线2、汇流条201、变压器202和汇流条203。沿着该连接，可以布置用于检测过程参数的多个测量单元106、206。沿着该电连接在某处发生的电气故障(例如，相间或相对地)将反映在布置的测量单元106、206的所有过程参数中。
51.可以通过分析随时间推移的过程参数pp来以不同的方式确定电力系统1中的电气故障。电力系统1的过程参数pp的预期时间曲线(优选地，在某个公差带内)可以被假定是已知的，例如，具有某个频率、相位(相对于基准)和幅值的电压或电流。如果检测到的过程参数pp偏离预期的时间曲线，则可以假定存在电气故障。还可以假定过程参数pp的周期(由过程参数pp的频率限定)通常在连续的周期中没有显著变化。因此，可以将过程参数pp的实际值与过去的值进行比较，以便检测电气故障。
52.参考图4说明故障检测器300的可能的实现方式。接收过程参数pp(例如，电压或电流或二者)并且将其作为过程参数pp的连续采样值的时间序列存储在数据存储器302中。在故障检测器300被实现为软件时，数据存储器302也可以布置在入侵检测系统150、250中，或者可以是外部数据存储器。数据存储器302以给定的采样频率ts存储过程参数的采样值，该采样频率ts导致每个周期的采样值的数量为ns，例如，每个周期80个采样。数据存储器302存储过程参数的实际采样值ppi(用索引i指示)和过程参数的至少一个过去周期(i-j
·
ns)的采样值pp
(i-j
·
ns)
。将过程参数的实际值ppi与过程参数的过去周期的过程参数的对应过去值pp
(i-j
·
ns)
进行比较。过程参数的实际值ppi的对应过去值pp
(i-j
·
ns)
是处于过去的周期性电信号的周期(1/标称频率)的整数倍(由整数j给出)的过程参数的值。如果比较值之间的偏差超过某个给定极限pp
set
，则假定有电气故障。那么，当以下条件|pp
i-pp
(i-j
·
ns)
|》pp
set
成立时，可检测到电气故障，而j是预设整数。
53.可以在故障评估单元301(例如，基于微处理器的硬件或集成电路或软件)中进行比较，例如，对以上状况进行评估。替代于使用过程参数的实际值ppi与过程参数的过去值pp
(i-jns)
之间的差值的绝对值，也可以使用该差值的平方(或任何其他幂)。
54.可以将过程参数的实际值ppi与nc个对应过去周期的过程参数的平均值pp
mean
进行比较。例如，nc个过去周期的过程参数的平均值pp
mean
可以被计算为算术平均值作为算术平均值的替代，还可以使用其他平均值，例如二次平均值、几何平均值、幂平均值。那么，可以将用于检查故障的条件写为|pp
i-pp
mean
|》pp
set
。替代于使用过程参数的实际值ppi与过程参数的平均值pp
mean
之间的差值的绝对值，也可以使用该差值的平方(或任何其他幂)。
55.以上提到的比较以及平均值的计算可以被容易地实现并且可以在非常短的时间内实施，即使是在计算能力有限的计算机平台上。
56.为了使故障评估单元301中的故障检测更稳定并且不受过程参数的值pp的常见波动的影响，还可以评估对于多个连续的过程参数的实际值ppi(例如，五个连续的实际值)而言是否满足了以上条件中的一个。只有当对于该多个连续的实际值而言满足该条件时，才
指示电气故障。
57.该故障检测适用于单相或多相电气系统。在多相系统中，可以针对一个或多个相检查以上条件之一。
58.如果故障检测器300或故障检测器300的故障评估单元301检测到电气故障，则可以通过通信总线131发送故障数据消息dmf，如图4中所示。故障数据消息dmf的目的地是与过程参数pp源自其的测量单元106、206相关联的开关元件110、210。也可以通过通信总线131将故障数据消息dmf发送数次。还可以将相关联的开关元件110、210或开关元件110、210所连接到的过程接口单元107、207与故障检测器300或故障评估单元301硬连线，以例如通过电信号发送故障存在指示。
59.在图5中，描绘了本发明的有利实施例。在该实施例中，开关元件110布置在电力系统1的变电站100中的电线108(或任何其他初级元件)中。开关元件110建立或阻断电力通过电线108的流动。开关元件110连接到过程接口单元107，该过程接口单元进而连接到通信总线131。至少一个测量单元106(例如，通过配置)与开关元件110相关联，即，测量单元106检测布置有开关元件110的电线108处的过程参数pp。过程参数pp例如是在开关元件110处于闭合状态时流过它的电流或开关元件110的端子处或端子之间的电压。在图5的实施例中，设置了用于检测电流和电压(作为过程参数pp)的两个测量单元106。通过过程接口单元107(可以与开关元件110所连接到的过程接口单元相同，如在图4中指示的)对至少一个测量单元106的过程参数pp进行采样，以便获得数字化的过程参数pp，并且采样值通过通信总线131作为各自包括过程参数pp的采样值的数据消息的流而被发送。然而，测量单元106也可以直接发送过程参数pp的采样值。自动化系统400(例如，pac系统或变电站自动化系统)读取包含过程参数pp的数据消息的流，并且如果接收到的过程参数pp指示电力系统1的任何故障或错误状态，则将触发相关联的开关元件110的开关操作。在故障情况下的开关操作通常引起开关元件110跳闸。自动化系统400可以包括任何保护和控制设备120(如在图5中)或外部控制设备122。可以通过将带有切换命令的数据消息通过通信总线131发送到开关元件110所连接到的相关联的过程接口单元107或者直接发送到开关元件110来触发开关操作。
60.故障检测器300连接到通信总线131，并且读取例如由至少一个测量单元107所连接到的过程接口单元107发送的至少一个测量单元106的带有过程参数pp的数据消息。故障检测器评估至少一个测量单元107的过程参数并且检测例如如上所述的可能的电气故障。如果故障检测器300检测到电气故障，则它将包括故障存在指示(可以是在数据消息中发送的数据中的某个位或编码字)的故障数据消息dmf发送到开关元件110(也经由开关元件110所连接到的过程接口单元107，如在图5中)。开关元件110只有在它之前已经接收到故障存在指示的情况下才执行接收到的自动化系统400的开关命令。如果它在尚未接收到故障存在指示的情况下接收到开关命令，则开关命令将不被执行。在这种情况下，开关元件110所连接到的过程接口单元107可向自动化系统400发送指示可能的入侵或恶意攻击的数据消息。
61.至少一个测量单元106还可以与自动化系统400硬连线，以将所获取的过程参数pp直接传输到自动化系统400。在这种情况下，可以在自动化系统400中采样过程参数pp。
62.故障检测器300被集成到图4中的入侵检测系统150中。然而，故障检测器300也可以是单独的设备，或者也可以被集成到与开关元件110连接或者与至少一个测量单元106连
接的过程接口单元107中。
63.故障存在指示也可以以不同的方式发送到开关元件110。故障检测器300可以与开关元件110所连接到的过程接口单元107硬连线，以例如通过电信号的方式直接发送故障指示。还可以实现用于将故障存在指示在故障数据消息dmf中发送到开关元件110的不同的数据通信总线。还可以使用不同的数据通信协议用于发送带有过程参数pp和带有故障存在指示的数据消息。
64.在已通过使相关联的开关元件110跳闸清除了发生的电气故障之后，将故障检测器300复位。在跳闸之后，取决于故障检测器300可以检测的馈给变电站100、200的源，作为检测到的过程参数pp(在数据消息中流传输的)的电压和/或电流降至零或返回至标称值。因此，故障检测器300能够识别开关元件110的跳闸动作。当已识别到跳闸动作时，故障检测器300可以复位。然而，开关元件110(或其所连接到的过程接口单元107)也可以在使开关元件110跳闸之后发送跳闸指示数据消息。也可以由故障检测器300接收相关联的开关元件110的这种跳闸指示数据消息，以进行复位。
65.当例如操作员再次闭合开关元件110时，故障检测器300能够在接收到的过程参数pp中认识到这一点，并且可以再次开始操作。