La presentazione di Fabrizio Pilo dal titolo "Problematiche nel controllore centrale d'impianto CEI 0-16", realizzato durante l’evento “La Cybersecurity nelle Smart Grid”. L’evento è stato organizzato dalla Piattaforma Energie rinnovabili per parlare di sicurezza informatica nelle reti energetiche.
L’evento si inserisce nelle attività di divulgazione del Progetto Complesso "Reti Intelligenti per la gestione efficiente dell'energia", sviluppato nell'attuale programmazione comunitaria POR FESR Sardegna 2014-2020.
Problematiche nel controllore centrale d'impianto CEI 0-16 (Fabrizio Pilo)
1. La Cybersecurity nelle Smart Grid
Problema)che nel Controllore Centrale d’Impianto CEI 0-16
Fabrizio Pilo, Università di Cagliari
2 o$obre 2020
2. • La delibera ARERA 36/2020 dà mandato al CEI di sviluppare il “Monitoratore” (per noi CCI) in grado di
acquisire dall’impianto di produzione e convogliare verso TSO, per il tramite del DSO cui l’impianto è
connesso, i daN richiesN dall’Allegato A.6 (edizione febbraio 2020) al codice di rete di Terna;
• La classificazione delle prestazioni funzionali per il CCI che vengono disNnte in:
A. prestazioni funzionali obbligatorie, ineren2 lo scambio da2 fra produ7ori e DSO (OSSERVABILITA’)
B. prestazioni funzionali opzionali, ineren2 la regolazione e il controllo dell’impianto;
C. Prestazioni funzionali facolta<ve, ineren2 la partecipazione dell’impianto al Mercato del Dispacciamento,
alla ges2one oDmale dell’impianto, ecc.
Ogge$o e scopo del lavoro
3. • come disposi)vo integrato in cui le funzioni di controllo si integrano con quelle di
monitoraggio o in forma modulare con la funzione monitoraggio realizzata come
soAo-componente del CCI.
• L'impaAo economico dell'hardware del CCI invariante rispeAo alla modalità
realizza)va
• Allegato O specifica per comodità il CCI in forma integrata, tenendo presente però
che le funzioni legate alla osservabilità̀ della rete (il soNware) devono essere
implementate obbligatoriamente e con priorità rispeAo alle altre funzioni.
• La specifica lascia però libero il costruAore di realizzare il CCI dal punto di vista
hardware come insieme di pù̀ componen) separa) oppure prevedere da subito
un unico “frame” predisposto per tuAe le funzionalità̀ che però saranno poi
sviluppate in tempi differen).
Come realizzare il CCI?
4. • Nuove connessioni di impian( di produzione connessi alle re( MT rientran( fra i SGU (Significant Grid
User) di potenza nominale complessiva pari o superiore a 1000 kW come da delibera ARERA 36/2020
(che li definisce come “perimetro standard”);
• Nuove connessioni di impian( connessi alla rete MT partecipan( ai servizi di dispacciamento,
qualunque sia la loro potenza complessiva.
• Per potenza complessiva >= 1000 kW si intende la sommatoria delle unità di produzione e di
accumulo
• Condizioni e modalità per una applicazione a connessioni di impian( di potenza inferiore a 1 MW
(appartenen( “a un so'oinsieme che sarà scelto in base a criteri geografico dimensionali definito
“perimetro esteso”) nonché a connessioni di impian: esisten: (“retrofit”) saranno stabilite da ARERA.
• Sono considera( impian( di produzione gli impian: dota: di unità di generazione, qualsiasi sia la
sorgente primaria, ed i sistemi di accumulo.
• Nel caso di impian( dota( sia di unità di generazione/accumulo che di carico, l’allegato O è prescri[vo
esclusivamente per il controllo delle unità di generazione e di accumulo.
Campo di Applicazione
5. • I carichi modulabili ed i disposiNvi di rifasamento, se presenN nell'impianto, possono essere gesNN
anch'essi dal CCI nei casi in cui l’Utente lo ritenga uNle ai fini di una gesNone oWmale
dell’impianto o nel caso in cui anche quesN elemenN potessero in futuro essere chiamaN a
partecipare a servizi di regolazione.
• Il CCI non deve svolgere nessuna funzione di protezione; tu$e queste funzioni devono essere
svolte da disposiNvi autonomi come specificato nella presente norma (punN 7.5.12, 7.7.2.2,
8.5.12, 8.8.1, 8.8.5, Allegato D, Allegato E, Allegato Z).
• Così pure in presenza di transitori di sovra o so2ofrequenza origina4si sulla rete il CCI NON deve
a$uare alcuna azione di regolazione. L’azione di regolazione resta obbligatoria infaW a livello di
singola macchina (unità di generazione e/o accumulo) come ai punN 8.8.6.3.2 e 8.8.6.3.3 della
Norma CEI 0-16 in vigore.
Campo di applicazione
6. • Svolgere la funzione di monitoraggio dell'impianto con lo scopo di acquisire informazioni dall’impianto e
dalle unità di generazione/accumulo u2li ai fini della “osservabilità” della rete (funzionalità per il
monitoraggio).
• Coordinare il funzionamento dei diversi elemen2 cos2tuen2 l'impianto, affinché l’impianto stesso operiin
maniera da soddisfare le prescrizioni della Norma CEI 016 al punto di connessione con la rete (PdC), nel
rispe7o delle capability prescri7e dalla stessa Norma per le singole unità di generazione e di accumulo
(funzionalità di regolazione e comando);
• Consen2re lo scambio di informazioni fra l’impianto ed il DSO (e tra l’impianto ed il TSO per il tramite del
DSO cui l’impianto è so7eso) u2lizzando lo standard di comunicazione IEC 61850 e re2 di trasmissione da2
(nonché fra l’impianto ed eventuali ulteriori a7ori abilita2), secondo le modalità disciplinate nell’Allegato O e
nell’Allegato T (funzionalità di scambio da<).
• In presenza di un canale di comunicazione fra DSO ed Utente, il CCI rende disponibili verso il DSO
cara7eris2che, segnali e misure rela2ve all’impianto so7eso e, nel contempo, può ricevere comandi e
parametri invia2 dal DSO all’impianto, u2lizzando per la comunicazione lo standard IEC 61850
Definizioni
7. • Unità funzionali:
• unità di interscambio di informazioni con il DSO e con eventuali ulteriori A8ori abilita9 (Utente e Aggregatore) unità
di acquisizione grandezze (misure e segnali)
• unità di elaborazione
• unità di regolazione degli elemen9 di impianto
• unità di interscambio di informazioni con gli elemen9 di impianto unità di memorizzazione (data logger).
• La separazione in unità funzionali è puramente indica4va: esse possono essere tu$e o in parte
integrate fra loro, come possono non essere tu$e sviluppate contemporaneamente, in relazione
alle priorità delle funzioni che il CCI deve rendere aWve secondo quanto previsto dalle delibere
ARERA.
• Il CCI stesso può anche essere totalmente integrato come funzionalità aggiunNva in uno degli altri
apparaN cosNtuenN l’impianto.
Cara$eris9che principali del CCI
8. Schema delle interfacce
ELEMENTI D’IMPIANTO
CCI DI
MODEM
(ALL. M)
V PdC
I PdC
Segnali
Comandi
IMPIANTORETE
GPS
orario
info sgancio
info stato
sgancio
stato
Configurazionee
Manutenzione
CONSOLLE
DG
info stato
DSO
Misure
Attori remoti abilitati
9. Tre %pologie di prestazioni funzionali:
• PF1 obbligatorie, ossia funzionalità sempre presen2 in ogni 2pologia di CCI
• PF2 opzionali, ossia funzionalità aggiun%ve che il CCI deve svolgere a supporto del
sistema ele=rico
• PF3 facolta2ve, ossia funzionalità la cui implementazione dipende dall’inizia%va del
produ=ore.
• Le %pologie di impian% e le condizioni a cui debbano applicarsi le prestazioni funzionali
PF1, PF2 e PF3 sono stabilite da ARERA.
• Per le PF1 il riferimento è la delibera 36/2020
Prestazioni funzionali del CCI
10. • Al fine di assicurare il funzionamento in sicurezza della rete il produ$ore deve rendere disponibili
una serie di informazioni relaNve all'impianto, in accordo a quanto prescri$o dalla norma CEI 0-16
(2019-04) al punto 8.10 ed a quanto previsto dalla delibera ARERA 36/2020/R/EEL con
riferimento all'Allegato A.6 del Codice di Rete di Terna.
• Il CCI deve, nella sua archite$ura, acquisire queste informazioni e renderle disponibili, corredate
di elemen4 anagrafici iden4fica4vi (quali POD, versione HW e FW del CCI, ecc.) per il
trasferimento verso il DSO tramite appropriato canale di comunicazione con protocollo EN 61850,
in accordo alle modalità previste nell'allegato T della Norma CEI 016
• Le cara$erisNche del CCI, degli elemenN cosNtuenN l’impianto, nonché della rete interna di
impianto devono essere adeguate ad assicurare il de$aglio, la precisione, la frequenza di
aggiornamento e la vetustà prescri$e nei citaN documenN.
Monitoraggio e scambio da0
11. In coerenza con l’Allegato A.6 al Codice di Rete, il CCI deve acquisire dall’impianto e trasme6ere verso il TSO per il tramite del DSO cui l’impianto è
so6eso le seguen= informazioni:
• misure della potenza a@va (P) e della potenza rea@va (Q) rela=ve al PdC
• misure delle potenze P e Q prodo6e dall’impianto, aggregate per fonte di generazione (eolico di qualunque =po, fotovoltaico, termoele6rico di
qualunque =po, idroele6rico di qualunque =po, accumulo)
• misure della potenza P prodo6a da ciascuna unità di generazione di taglia e tecnologia definita, prelevata ai morse@ della stessa unità. Devono
essere prese in considerazione le seguen= tre =pologie di unità di generazione:
A. inverter di generazione di potenza P nominale >= 170 kW (incluso anche l'eolico che si conne/e alla rete tramite inverter)
B. inverter di sistemi di accumulo di potenza P nominale >= 50 kW
C. generatori rotan= di potenza P nominale >= 250 kW
Le misure di cui ai pun= possono essere o6enute:
• tramite acquisizione dire6a delle grandezze ele6riche da parte del CCI;
• tramite elaborazione numerica a par=re dalle misure rese disponibili dai singole unità di generazione come combinazione delle due tecniche
preceden=.
Misure di interesse del TSO (PF1- obbligatorie)
12. Il CCI nell'eseguire queste funzioni deve agire come “concentratore” che :
• acquisisce dire;amente le misure di P e Q prodo)e già aggregate o sub-aggregate per fonte (se l'impianto nella sua realizzazione
lo consente) o in alterna>va acquisisce dire;amente tu;e le misure P e Q prodo)e dalle singole unità generatrici per aggregarle
per fonte in più acquisisce le misure puntuali di P delle unità generatrici di taglia definita per convogliarle verso il DSO rendendole
così disponibili per l'invio secondo lo standard IEC 61850, come disciplinato in Allegato T.
Frequenza di campionamento
• La modalità di trasmissione di tu;e queste misure deve rendere fruibile il dato di misura all’interfaccia del CCI verso il DSO con
periodicità di 04 secondi.
• La scadenza di ogni periodo deve essere sincrona con gli istan> a 00, 04, 08, ... secondi di ogni minuto primo.
• Le misure devono essere quindi aggiornate ogni 4s; ogni nuova misura andrà a sovrascriversi sulla precedente: non è prevista
alcuna memorizzazione. L’istante zero è il momento nel quale il CCI rende disponibile il dato all’interfaccia verso il DSO.
• Le misure così rilevate devono essere anche in questo caso complete di marca temporale ed indicazione di qualità.
Misure di interesse del TSO
13. Accuratezza della misura
• La accuratezza delle misure, sia quelle prelevate ai terminali delle unità generatrici che quelle totali di impianto aggregate
per fonte, deve essere in accordo a quanto prescri8o nell'Allegato A.6 al Codice di rete (tabella 5 e tabella 6 - 2.2%
riferito al fondo scala)
• Le misure rela9ve alle singole unità di generazione devono essere acquisite in modo tale da poterle poi trasme?ere
correlate all’anagrafica della macchina generatrice da cui provengono, secondo quanto specificato nell’Allegato T.
• È ammesso aggregare misure acquisite dagli elemen9 d’impianto in momenC non sincroni tra loro, purché ogni misura
componente l’aggregato sia acquisita ed aggregata all’interno della finestra temporale di 4 secondi immediatamente
precedente la messa a disposizione della misura all’interfaccia di comunicazione del CCI.
La rete di comunicazione interna
• Per soddisfare a tuI i requisi9 sopra indica9 sia in termini di accuratezza della misura sia in termini di frequenza di
campionamento anche l'archite?ura della rete di comunicazione interna all'impianto deve presentare cara?erisCche
prestazionali adeguate.
Misure di interesse del TSO
14. • In accordo a quanto prescriAo dalla norma CEI 0-16 al punto 8.10, il CCI deve
essere predisposto per acquisire e trasmeAere verso il DSO le principali grandezze
eleAriche dell’impianto (P, Q, V) al punto di connessione (PdC)
• La modalità di trasmissione di queste misure deve rendere fruibile il dato di
misura all’interfaccia del CCI verso il DSO con periodicità di 04 secondi. La
scadenza di ogni periodo deve essere sincrona con gli istan) a 00, 04, 08, …
secondi di ogni minuto primo.
• Esse dovranno essere rese disponibili immediatamente a valle del periodo di
aggregazione, complete di marca temporale ed indicazione di qualità.
Misure di interesse del DSO
15. • Ai fini dell’osservabilità della rete, il CCI, nella sua funzione di monitoraggio e scambio daN, deve
acquisire e trasme$ere verso il DSO i seguenN segnali:
• stato del disposi2vo generale (DG)
• stato dei disposi2vi di unità (DDG) o segnale equivalente a7o a conoscere lo stato di funzionamento
della singola unità di taglia e tecnologia definita , secondo quanto richiesto dall’Allegato A.6 al Codice di
Rete
• Ogni variazione dello stato di quesN elemenN deve essere acquisito dal CCI e reso disponibile
all’interfaccia verso il DSO per la noNfica in un tempo massimo di 4 s dal verificarsi dell’evento.
• Quando il CCI opera nella sua funzionalità di regolazione e controllo, ulteriori informazioni sono
poi richieste a$e a conoscere la potenzialità opera4va del CCI sopra$u$o riguardo la possibilità
di controllare gli elemenN di impianto ad esso so$esi.
Stato dell'impianto
16. Il CCI nelle sue funzionalità di controllo e regolazione degli elemen5 di
impianto deve presentare le seguen5 prestazioni funzionali:
• partecipazione dell'impianto alla regolazione della tensione nel PdC, in
accordo al punto 8.8.6.2 (“Partecipazione al controllo della tensione”) della
Norma CEI 0-16;
• partecipazione dell'impianto alla limitazione della potenza aEva, in accordo
ai pun) 8.8.6.3.1 (“Limitazione della potenza a]va per valori di tensione
prossimi al 110% di Un”) e 8.8.6.3.4 (“Limitazione della potenza a]va su
comando esterno proveniente dal DSO”) della Norma CEI 0-16.
PF2 per il controllo e la regolazione
17. • Per la regolazione di tensione al PdC, il CCI deve prevedere le seguen5
qua7ro modalità mutuamente esclusive di funzionamento:
• erogazione di potenza reaEva a fa=ore di potenza (cosfi) fisso e impostabile
• erogazione di potenza reaEva a fa=ore di potenza in funzione della potenza aEva:
cosfi = f(P) (come da fig.9 – allegato I.2);
• erogazione automa%ca di potenza reaEva secondo una curva cara=eris%ca Q=f(V)
(come da fig. 10 – allegato I.3);
• erogazione di potenza reaEva su comando esterno da DSO (come da allegato I.4). Le
qua=ro modalità di funzionamento sono mutuamente esclusive.
Regolazione di Tensione
18. Regolazione di tensione al PdC
Norma CEI 0-16; V1: Progetto C. 1260 - ALLEGATO O
Webinario: Trento, 19 Giugno 2020 Pag. 22
Fig. 10 - All. I.3 norma CEI 016
funzionamento in erogazione automatica di
potenza reattiva secondo la curva Q=f(V)
Fig. 9 All. I.2 norma CEI 016 :
funzionamento.con regolazione del
cosfi in funzione della potenza
attiva [cosfi =f(P)]
continua
O.︎9 Descrizione e caratteristiche delle Prestazioni Funzionali PF2 - Opzionali (continua)
19. • O.9 Descrizione e cara?erisCche delle fine) O.9.2. Limitazione della Potenza aOva
• limitazione per valori di tensione prossimi al 110% di Un (8.8.6.3.1 - Norma CEI 016);
• limitazione su comando esterno proveniente dal DSO (8.8.6.3.4 - norma CEI 016)
• O.9.3. Partecipazione ai piani di difesa
Il punto 8.8.6.5 della Norma CEI 0-16 in vigore prescrive che tuI gli impian9 di generazione debbano partecipare ai piani di
difesa del Sistema Ele8rico Nazionale a8raverso la riduzione parziale o totale della produzione o8enuta per mezzo di
telesegnali invia9 da un centro remoto di controllo. Il CCI è in grado di operare la riduzione parziale o totale della produzione
tramite il comando di limitazione della potenza aIva tu8avia, il CCI non può assolvere alle funzioni di distacco delle unità di
generazione/ accumulo come richiesto dalla norma nell’allegato M, in quanto non deve interfacciarsi con la protezione di
interfaccia per funzioni di protezione. Pertanto, per governare la funzione “partecipazione ai piani di difesa”, è comunque
necessario installare il disposi9vo prescri8o nell’Allegato M opportunamente interfacciato con il CCI affinché questo ne rilevi
l’azione di distacco e non a8ui alcuna altra azione in contrasto.
Prestazioni Funzionali PF2
21. Anello di regolazione rapida
Anello di “regolazione rapida” definisce lo specifico punto di lavoro di ogni singolo elemento di
impianto coordinato dal CCI (da cui il sinonimo di “anello di regolazione impianto”), al fine di
raggiungere al PdC il punto di lavoro richiesto all'impianto (punto di “lavoro a$eso” individuato dal
“set-point interno”).
Confrontare il punto di lavoro al PdC rispe$o al “punto di lavoro a$eso” e corregge gli scostamenN
derivanN dalla dinamica dell’impianto o dalla variazione delle condizioni di rete, mediante modifica
coordinata del punto di lavoro dei singoli elemenN d’impianto
Il punto di “lavoro a$eso”, ossia il set-point interno viene veicolato all'ingresso dell'anello di
“regolazione rapida” o dire$amente a$raverso un comando esterno oppure indire$amente come
comando in uscita risultante dal calcolo dell'anello di “regolazione lenta”.
Schema funzione di Regolazione
22. • L'anello di “regolazione lenta” calcola il punto di lavoro a$eso al PdC quando l'impianto è
chiamato a partecipare al controllo della tensione della rete MT, secondo quanto prescri$o dalla
norma al punto 8.8.6.2 a$raverso le curve di regolazione specificate nell'Allegato I (da qui il
sinonimo di “anello di analisi delle curve di regolazione”).
• L’anello di “regolazione lenta” determina una modifica del punto di lavoro a$eso dell’impianto
solo quando lo scostamento fra il nuovo punto di lavoro calcolato e quello precedente è maggiore
di un valore predefinito (“banda morta”).
• Il punto di lavoro a$eso ingresso all'anello di “regolazione rapida” è:
A. stabilito dall’Utente responsabile dell’impianto con uno specifico set-point di potenza aDva (P) o di
potenza reaDva (Q);
B. imposto da un set-point esterno, ancora o di potenza aDva (P) o di potenza reaDva (Q);
C. calcolato dall'anello di “regolazione lenta”, come set-point di Q=Q(V) o cosfi=cosfi(P).
Anello di regolazione lenta
23. Dinamica dell'anello di “regolazione rapida”
• L'anello di “regolazione rapida” deve coordinare i singoli elemen2 d’impianto so7esi assicurando all'intero
impianto i tempi di assestamento massimi (Ts) non superiori a:
• TsP= 60 s, per le variazioni del set point interno di potenza aUva di qualsiasi en>tà,
• TsQ = 10 s, per le variazioni del set point interno di potenza reaUva di qualsiasi en>tà.
Dinamica dell'anello di “regolazione lenta”
L'anello di “regolazione lenta”, che lavora a7raverso le curve di regolazione, deve operare con una dinamica
cara7erizzata da un Tempo di ciclo ΔT che deve essere impostabile fra 10 s e 600 s, tramite impostazione dei
parametri di funzionamento del CCI.
Il valore di default è di 60 secondi, salvo diversa prescrizione del DSO riportata nel regolamento di esercizio.
Tempi cara$eris9ci
24. Dinamica dei Set Point esterni
• Il CCI deve essere in grado di processare i comandi di set point esterni in modo da potere recepire ed elaborare aggiornamen> del
set-point che pervengano con intervalli di tempo non inferiori a 3 s rispe;o all’ul>mo set-point processato.
• Comandi di aggiornamento che pervengano con intervalli di tempo inferiori ai 3 secondi vengono rifiutaM.
Riferimento di misura per gli anelli di regolazione
• Gli anelli di regolazione, per il loro funzionamento, devono operare a par>re da misure (dire)e o calcolate) rilevate al PdC
a;raverso campioni di tensione e corrente misura> alla frequenza fondamentale ed aggrega> su un intervallo di 200ms (di seguito
indica> come MC200) secondo quanto previsto dalla norma EN 61000-4-30 paragrafo 4.5.3 classe S.
• I campioni riferi> alle tensioni ed alle corren> devono essere campiona> in modo sincrono. L'anello di “regolazione rapida” deve
operare u>lizzando dire;amente i suddeU valori MC200.
• L’anello di “regolazione lenta” deve u>lizzare le misure MC200 ulteriormente aggregate sull’intervallo ΔT con le stesse modalità
previste dalla norma EN 61000-4-30 paragrafo 4.5.3 classe S, o;enendo così nuovi valori defini> nel seguito come MCΔT.
Tempi cara$eris9ci
25. Questa curva ha interesse solo per le funzioni di regolazione e controllo che non sono prioritarie. A
parNre da: Potenza aWva massima in assorbimento (Pass); Potenza aWva massima in immissione
(Pimm); Potenza reaWva capaciNva massima (Qcap); Potenza reaWva induWva massima (Qind) è
possibile disegnare una curva convenzionale propria dell'impianto riferita al PdC (“cara2eris4ca
poligonale di impianto”) che definisce un’area in cui l'impianto, qualunque sia la sua condizione di
regolazione, si troverà sempre ad operare.
Definita la Potenza Apparente Massima
Il CCI la usa come cui rapportare le grandezze ele$riche espresse in p.u. per lo scambio biunivoco di
informazioni (ad esempio i set point) senza possibilità di errore.
CaraEerisFca poligonale d’impianto (PF2, PF3)
26. Curva poligonale
di impianto
Norma CEI 0-16; V1: Progetto C. 1260 - ALLEGATO O
Webinario: Trento, 19 Giugno 2020
O.8.2 Caratteristica poligonale d’impianto (PF2, PF3) (fine)
27. Il CCI può implementare anche le seguen5 prestazioni:
• prestazioni per la gesFone dell’impianto (es. avviamento e ri-avviamento
dell’impianto, riconnessione dell'impianto dopo distacco dalla rete, ges)one
o]mizzata dell'impianto dal punto di vista energe)co, ecc)
• prestazioni per la partecipazione al mercato dei servizi di dispacciamento.
• Per il mercato dei servizi di dispacciamento deve essere
implementata una funzione specifica in grado di ricevere ed elaborare
un comando di “Set-Point di Potenza a6va”, veicolato tramite un
canale logico di comunicazione fra eventuale Aggregatore e CCI.
Prestazioni Funzionali PF3 (facoltaFve)
28. Presa di carico in avviamento (CEI 016 8.8.4)
• Questa funzionalità può essere realizzata o sulle singole unità o all'interno del CCI.
• L'operazione di presa di carico centralizzata nel CCI deve avvenire con un gradiente posi2vo della potenza
non superiore al 20%Pn/min..
• Le azioni di distacco dell’impianto devono essere monitorate dal CCI per agire rispe7o alle condizioni
dell’impianto
Presa di carico in caso di ri-connessione (CEI 016 8.8.7.2)
• In caso di rientro dell'impianto a seguito di uno sca7o della protezione di interfaccia, la presa di carico deve
avvenire secondo quanto già previsto nel caso di avviamento dell'impianto.
• Il CCI, abiliterà il rientro dell'impianto solo quando le condizioni della rete in termini di tensione e frequenza
soddisfino alle condizioni di cui al punto 8.8.7.2 della Norma CEI 016
GesFone dell’impianto e
partecipazione ai servizi di dispacciamento (PF3)
29. O.10.4. Ges4one oYmizzata dell'impianto
Il CCI può prevedere anche la gesNone di tuW gli elemenN di impianto, nell'oWca di una gesNone
oWmale delle risorse energeNche per esigenze del produ$ore o in accordo ad altri criteri selezionaN
dall'Utente e/o progeWsta dell'impianto.
La gesNone oWmizzata dell'impianto potrebbe coinvolgere anche quella eventuale del carico
interno.
Lo sviluppo di questa funzione è lasciata alla decisione dell’Utente e/o progeWsta dell’impianto
GesFone dell’impianto e
partecipazione ai servizi di dispacciamento (PF3)
30. • Implementate nel CCI:
• una funzione in grado di ricevere ed elaborare un comando esterno di “Set-Point della Potenza ADva”
• una misura “istantanea” di P al PdC per il monitoraggio dell’impianto
• un appropriato canale logico di comunicazione per veicolare dei comandi e misure sopra defini2.
• La misura “istantanea” di P, o$enuta a parNre dai campioni di misura MC200 aggregaN secondo
quanto previsto dalla norma EN 61000-4-30 paragrafo 4.5.2 classe S con tempo di aggregazione
pari a 3 s deve essere completa di marca temporale ed indicazione di qualità.
• La modalità di trasmissione prevede che questa misura sia poi resa disponibile ogni 4 s. La
scadenza di ogni periodo deve essere sincrona con gli istanN a 00, 04, 08, ecc. secondi di ogni
minuto primo.
• La funzione “Set-Point della Potenza AWva”, una volta aWvata a seguito di comando esterno,
obbliga l’impianto ad imme$ere al PdC il valore di Potenza P richiesta
• Per la partecipazione al MSD sono necessarie le funzionalità di regolazione e controllo (PF2).
Partecipazione al mercato
dei servizi di dispacciamento
31. • Alcune delle funzioni di regolazione possono essere
potenzialmente aWvabili in contemporanea, purché
siano fra di loro funzionalmente compaNbili.
• Le funzioni che agiscono sulla potenza reaYva sono
reciprocamente incompa4bili e possono essere
aYvate solo in modo mutuamente esclusivo.
• Le funzioni che agiscono sulla potenza aYva possono
essere aYve contemporaneamente: deve essere
però verificata la compaNbilità dell’una con l’altra e
deve essere definita una priorità di esecuzione.
Compa0bilità e priorità fra
le funzioni di regolazione del CCI
Norma CEI 0-16; V1: Progetto C. 1260 - ALLEGATO O
Webinario: Trento, 19 Giugno 2020
O.11. Compatibilità e priorità fra le funzioni di regolazione del CCSi richiama l a en ione l fa o che il pre en e e o non defini i o poich a almen e
ad inchie a p bblica e come ale p bire modifiche, anche o an iali
IN E NAL
P P C D O )880
. I881
882
(37).883
L O.1.884
Tabella O.1: Priori fra le f n ioni di regola ione885
F n ioni di regola ione Indice di
Priori
I 110% N 1
L 2
-P 3
E ( - ) 4
F ( - C ) 5
= ( ) 5
C = (P) 5
886
G887
' .888
non , CCI889
:890
(891
)892
;893
( )894
895
Alcune delle funzioni di regolazione possono essere potenzialmente attivabili in contempor
fra di loro funzionalmente compatibili.
Le funzioni che agiscono sulla potenza reattiva sono reciprocamente incompatibili e pos
attivate solo in modo mutuamente esclusivo.
Le funzioni che agiscono sulla potenza attiva possono essere attive contemporaneame
però verificata la compatibilità dell’una con l’altra e deve essere definita una priorità di ese
32. Connessione CCI
Norma CEI 0-16; V1: Progetto C. 1260 - ALLEGATO O
Webinario: Trento, 19 Giugno 2020 Pag. 36
installazione del CCI
Schema semplificato della soluzione impiantistica nel caso: DG=DI
Norma CEI 0-16; V1: Progetto C. 1260 - ALLEGATO O
Webinario: Trento, 19 Giugno 2020
Schema semplificato della soluzione impiantistica nel caso: DG≠DI
O.12. Schemi di installazione del CCI
33. • ll CCI deve disporre di dis4nte porte fisiche desNnate ai servizi di comunicazione fra il CCI, il DSO
ed eventuali ulteriori operatori esterni abilitaN al controllo da remoto.
• due porte fisiche per la comunicazione verso l’Esterno
• una porta fisica per i servizi di configurazione e manutenzione
• una o più porte fisiche (secondo le esigenze dell’impianto) per la connessione verso gli elemenC di impianto
• Il CCI non deve a$uare funzioni di switch o di bridge rispe$o al traffico daN transitante sulle
proprie porte fisiche e deve essere proge$ato in modo da assicurare il rispe$o di questa
condizione.
• Devono essere assicuraN tuW gli aspeW di sicurezza (cybersecurity) secondo le indicazioni fornite
nell’Allegato T della Norma 0-16.
• La comunicazione verso gli elemenN interni d’impianto su porte fisiche separate.
• Il traffico daN fra le varie porte di accesso deve essere escluso, ovvero nessun servizio interno al
CCI deve consenNre traffico daN passante fra le porte fisiche di comunicazione.
Comunicazione
34. Interfacce
• Eth_A) Comunicazione verso il DSO
• Eth_B) Comunicazione verso ulteriori a/ori abilita< alla connessione remota ()
• La sudde/a interfaccia di rete EthB deve essere di base del <po 10BaseT / 100BaseTX auto nego<a<on, auto MDI/MDIX ()
• L’interfaccia di rete Eth_A deve essere del <po 100BaseFX, realizzata con tecnologia di <po oNco con conne/ore doppio LC per fibra mul<modale 1310 nm.
• Le interfacce di rete devono inoltre supportare servizi di comunicazione basa< su:
• protocolli TCP/IP V4 e V6
• protocolli della famiglia IEC 61850 (MMS, GOOSE)
• SSL client e server (con supporto TLS 1.2 e superiori in accordo con gli standard IEC 62351-4, -8 e -9)
• funzionalità DHCP e DNS Forwarding
• Lo stato di queste due interfacce di rete (stato del link fisico e del link da<) deve essere reso disponibile nei log di apparato. La verifica del link da< deve consen<re di rilevare la
presenza o l’assenza del servizio logico di comunicazione
• La porta può essere predisposta come modulo transceiver innestabile di <po small form-factor pluggable (SFP).
Servizi locali di Configurazione e Manutenzione del CCI
• Deve essere prevista una porta fisica per i servizi di prima configurazione e manutenzione di apparato
• Questa interfaccia può essere realizzata con solo tecnologia seriale o porta USB.
Comunicazione
35. Interfaccia del CCI con gli elemen: di impianto e degli elemen: di impianto verso il CCI
• L'interfaccia verso gli elemen( dell'impianto coordina( dal CCI deve perme_ere l'interscambio di
informazioni con gli stessi a_raverso una o più re( di comunicazione interne, che trasportano
informazioni tramite protocolli industriali (modbus RTU, modbus TCP, 61850, ecc.) idonei per
cara_eris(che ad assicurare le prestazioni richieste.
• La scelta della (pologia e l'archite_ura delle re( di comunicazione interne all'impianto è lasciata
all’Utente, in funzione delle prestazioni funzionali a cui il CCI dovrà rispondere
• In nessun caso potranno essere u(lizzate le porte riservate Eth_A ed Eth_B.
• La presenza di comunicazione fra il CCI e gli elemen( di impianto deve essere costantemente
monitorata dal CCI.
• La presenza di comunicazione fra gli elemen( di impianto ed il CCI deve essere costantemente
monitorata dagli stessi elemen(.
Comunicazione
36. • Aggiornamento firmware
• Deve essere consen5to l’aggiornamento del firmware al fine di correggere
errori del soAware e mi5gare vulnerabilità conosciute.
• L’aggiornamento del firmware deve avvenire solo a valle di una specifica
procedura per evitare che tale operazione possa causare disservizi nelle
funzionalità del CCI o malfunzionamen5 dello stesso.
• L’aFvità di aggiornamento firmware deve essere registrata nel Data logger
di sistema. Nessuna fase della procedura deve cancellare i da5 presen5 nel
sudde7o Data logger.
Comunicazione
37. Principali cara*eris-che tecniche del CCI (con-nua) Cybersecurity
• Prescrizioni presenG sia nell’Allegato O che nell’Allegato T allo scopo di assicurare un elevato livello di sicurezza contro possibili aNacchi
informaGci sia soNo l’aspeNo Hardware (Allegato O) sia soNo l’aspeNo soRware (Allegato T).
Sicurezza Hardware
• CCI non deve esporre porte fisiche di test aTve.
• Il CCI deve essere dotato di soluzioni di protezione resistenG alla manomissione, da realizzarsi con soluzioni appropriate
Bootloader
• Devono essere disabilitate le funzionalità interaTve di avvio offerte dal bootloader e deve essere preclusa la possibilità di modificare le
configurazioni del bootloader.
• Se è uGlizzata una password di blocco del bootloader, questa protezione non deve essere aggirata facilmente.
• Il Bootloader deve essere archiviato in una parGzione sicura che non può essere sovrascriNa in fase di aggiornamento del firmware o
accessibile / modificata dalla parGzione del firmware.
Asset Inventory
• ll CCI deve essere interfacciabile ad un’infrastruNura di Asset Inventory.
• Il disposiGvo deve poter essere configurato, al fine di rendere disponibile un elenco aggiornato dei campi uGli alla sua idenGficazione
univoca, aNraverso il supporto di ApplicaGon Programming Interfaces (API) dedicate.
Comunicazione
38. Affidabilità
• Per quanto riguarda la funzione monitoraggio e scambio da) (PF1 - Obbligatoria)
l’Allegato O prescrive che debbano essere rispeAa) i requisi) di affidabilità (intesi
come disponibilità -“Availability) espressi dall’Allegato A.13 par. 6.2del Codice di
Rete di Terna:
• Affidabilità apparato: non inferiore al 99%;
• Affidabilità comunicazione verso il distributore: non inferiore al 99,3%
Data logger
• Il CCI deve prevedere una funzione di memorizzazione degli even) (data logger),
con lo scopo di permeAere la verifica della correAa disponibilità del CCI e del suo
stato di funzionamento.
• La memorizzazione degli even) comple) di data e ora (yyyy/mm/gg hh:mm:ss,d)
deve estendersi per almeno 800 evenF
Cara$eris9che tecniche
39. Le prove da eseguire sul CCI al fine di verificarne la conformità sono:
• prove funzionali (O.15.1)
• prove di isolamento (O.15.2)
• prove ambientali e di compa=bilità ele6romagne=ca (O.15.3)
• prove rela=ve alla cybersecurity (O.15.4)
O.15.1. Prove funzionali
• Scopo delle prove funzionali è verificare la capacità del solo CCI di operare in accordo alle prescrizioni prescri;e :
• la corre6a comunicazione del CCI secondo standard IEC 61850 sia per la trasmissione dei segnali e delle misure sia per la ricezione ed
a6uazione dei comandi.
• la funzionalità di autodiagnos=ca
• le funzionalità del data logging
• le funzionalità di regolazione e controllo, sia in modalità autonoma che asservita, in maniera tale che modificando i parametri di opportuni
segnali in ingresso al CCI si presen=no alle uscite comandi di controllo coeren= con la funzione richiesta.
Prove
40. Prove di isolamento
Da eseguirsi secondo le nome CEI EN 60255-5
Prove di compa9bilità ambientali ed EMC
• Il CCI non deve:
• essere sogge8o a degradazioni;
• subire perdita delle funzioni di monitoraggio e di controllo; a8uare interven9 spuri.
• la memorizzazione dei parametri di regolazione non deve essere influenzata né dai fenomeni ele8romagne9ci né
dalle condizioni ambientali.
I criteri di valutazione del “CCI soIoposto a queste prove:
• Criterio di prestazione A: “II CCI deve con9nuare a funzionare come previsto durante e dopo la prova”;
• Criterio di prestazione B: “Il CCI deve con9nuare a funzionare come previsto dopo la prova.
Prove
41. Prove relaMve alla Cybersecurity Hardware
• Per quanto concerne gli aspeU rela>vi alla cybersecurity hardware del CCI, deve essere cer>ficato il grado di resistenza alla
manomissione a;raverso cer>ficazioni standard del se;ore (Federal Informa>on Processing Standards - FIPS 140-2 “Security
Requirements for Cryptographic Modules”) o;enute da en>tà indipenden>.
Conformità dell'apparecchiatura
• Il CCI deve essere dotato di marcatura CE;
• ̀La rispondenza ai requisi> prescriU deve essere a;estata da “Dichiarazione di conformità” dell’apparecchiatura essere emessa a
cura e responsabilità̀ del Costru;ore nella forma di autocer>ficazione e deve essere resa disponibile al Distributore all’a;o della
connessione;
• I rappor> di prova devono essere conserva> dal costru;ore per almeno 20 anni dall’ul>ma produzione.
• La “Dichiarazione di conformità” dell’apparecchiatura deve contenere tu;e le informazioni necessarie all’iden>ficazione del
all’iden>ficazione del disposi>vo;
• L’esecuzione delle prove di compa>bilità̀ ambientale deve avvenire presso un laboratorio accreditato secondo CEI UNI EN ISO/IEC
17025 da Ente facente capo all’European coopera>on for Accredita>on (in Italia ACCREDIA).
Prove
42. Le cer2ficazioni di conformità agli standard della serie IEC 61850 devono essere rilasciate da un laboratorio
accreditato dallo UCA User Group.
I test di conformità del profilo di trasporto sicuro definito dallo standard IEC 62351-3, descriD nella specifica
tecnica IEC 62351-100-3 “Conformance test cases for IEC 62351-3, the secure communica2on extension for
profiles including TCP/IP” devono essere correda2 di cer2fica2 rilascia2 da un ente di cer2ficazione accreditato.
Per la sicurezza del prodo7o CCI deve essere fornita la cer2ficazione ISA Secure Embedded Device Security
Assurance (EDSA) v3.0.0 di conformità alle norme IEC 62443-4-1 “Security for industrial automa2on and
control systems - Part 4-1: Secure product development lifecycle requirements” e IEC 62443-4-2 “Security for
industrial automa2on and control systems - Part 4-2: Technical security requirements for IACS components”.
Gli aesta< di prova, le cer<ficazioni e le dichiarazioni di conformità devono essere specifiche per le diverse
funzionalità del CCI e devono essere disponibili in accordo alla priorità determinata dalla delibera ARERA:
36/2020 (funzioni obbligatorie)
Cybersecurity
43. Prove di commissioning
Tali prove hanno lo scopo di verificare:
• che l'insieme CCI, rete di comunicazione interna di impianto, controllori e disposi2vi di misura delle singole
unità di generazione, sia configurato corre7amente;
• che l'interfaccia fra CCI e DSO sia configurata in maniera da assicurare sia il trasferimento delle informazioni
verso DSO sia il recepimento dei comandi da DSO (interoperabilità).
Il piano delle prove di commissioning rela2ve all'interoperabilità deve essere definito e concordato con il DSO
di per2nenza.
Nel caso in cui la procedura del processo di aggiornamento del firmware non sia stata in grado di proteggere
le en<tà basate su cer<fica<, devono essere rieseguite dee prove e/o altre prove funzionali che si
rendessero necessarie ae a verificare la correa operabilità del CCI.
Prove