Beruflich Dokumente
Kultur Dokumente
Bachelorarbeit
von
Herrn Mohamed Youssef Allouche
Ich versichere hiermit an Eides Statt, dass ich die vorliegende Masterarbeit mit dem
Titel
Deutscher Titel
selbständig und ohne unzulässige fremde Hilfe erbracht habe. Ich habe keine anderen
als die angegebenen Quellen und Hilfsmittel benutzt. Für den Fall, dass die Arbeit zu-
sätzlich auf einem Datenträger eingereicht wird, erkläre ich, dass die schriftliche und
die elektronische Form vollständig übereinstimmen. Die Arbeit hat in gleicher oder ähn-
licher Form noch keiner Prüfungsbehörde vorgelegen.
Belehrung:
§ 156 StGB: Falsche Versicherung an Eides Statt
Wer vor einer zur Abnahme einer Versicherung an Eides Statt zuständigen Behörde eine solche Versiche-
rung falsch abgibt oder unter Berufung auf eine solche Versicherung falsch aussagt, wird mit Freiheitsstrafe
bis zu drei Jahren oder mit Geldstrafe bestraft.
§ 161 StGB: Fahrlässiger Falscheid; fahrlässige falsche Versicherung an Eides Statt
(1) Wenn eine der in den §§ 154 bis 156 bezeichneten Handlungen aus Fahrlässigkeit begangen worden
ist, so tritt Freiheitsstrafe bis zu einem Jahr oder Geldstrafe ein.
(2) Straflosigkeit tritt ein, wenn der Täter die falsche Angabe rechtzeitig berichtigt. Die Vorschriften des §
158 Abs. 2 und 3 gelten entsprechend.
Kurzfassung
Tatsächlich wird bei einem Cyberangriff auf die Windenergieanlagen eines Verteilnet-
zes die Frequenz stabil bleiben, während die Spannung stark belastet wird. Sowohl
Über- als auch Unterspannung werden durch die Manipulation der Wirk- und Blindleis-
tung sowie die Schutzfunktionen verursacht, indem hohe und unzulässige Spannungs-
abweichungen auftreten. Außerdem werden durch das Ausschalten der Schutzfunktio-
nen der Windenergieanlagen Kaskadenfehler provoziert, indem alle anderen Anlagen
in einem Verteilnetzgebiet durch das Auslösen ihrer Schutzfunktionen getrennt werden,
und dadurch das Netz geschwächt.
Abstract vii
Abstract
The energy transition results in a growing use of information and communication sys-
tems in the distribution grids. The control and protection parameters of wind turbines as
an example could be managed through the remote maintenance connections. Because
of the existing risks of Cyberattacks on these systems, this paper proposes scenarios
in which the local plant control systems of wind turbines will be manipulated with the
aim of causing voltage and frequency instability in a middle voltage distribution grid.
The scenarios will be simulated in a time domain simulation with MATLAB. Moreover,
the consequences of these attacks on the grid will be evaluated using criteria like the
activation of the protection functions or the exceeding of permissible voltage and fre-
quency ranges.
In fact, cyberattacks on a group of wind turbines in a middle voltage distribution grid are
not likely to cause frequency instability, however the voltage could be heavily impacted.
The voltage can easily exceed the permissible ranges and over- and undervoltage can
occur. Moreover, shutting off the protection function of wind turbines and manipulating
its power can results in a cascading failure of all other generators in an area of the
power grid induced with the activation of their protection functions.
Inhaltsverzeichnis ix
Inhaltsverzeichnis
Seite
Kurzfassung v
Abstract vii
Inhaltsverzeichnis ix
Abbildungsverzeichnis xi
1 Einleitung 1
1.1 Motivation .............................................................................................1
1.2 Zielsetzung ...........................................................................................1
2 Grundlagen 3
2.1 Stabilität ................................................................................................3
2.2 Einfluss der Leistung auf die Spannung................................................4
2.3 Technische Richtlinie für Erzeugungsanlagen am Mittelspannungsnetz
5
2.3.1 Anforderungen an die Abgabe und Aufnahme der Blindleistung 6
2.3.2 Anforderungen an die Leistungsgradienten................................7
2.4 Windenergieanlagen .............................................................................8
2.4.1 Grundlagen der Windenergieanlage...........................................8
2.4.2 Art der Netzanbindung von Windenergieanlagen .....................10
2.4.3 Vollumrichter der Windenergieanlagen ....................................11
2.5 Cyberangriffe auf Windenergieanlagen...............................................11
2.5.1 Informations- und Kommunikationsmodell ...............................12
2.5.2 Cyberangriffe ............................................................................13
3 Methodisches Vorgehen 15
3.1 Simulationsumgebung ........................................................................15
x
Literaturverzeichnis 29
Abbildungsverzeichnis xi
Abbildungsverzeichnis
Seite
Abbildung 2.3 Beispiel des Regelverhaltens bei einem normierten Sollwertsprung und eine
Zeitvorgabe 3 von 10s [VDE18] ..................................................................... 8
Abbildung 2 5 Windkraftanlage mit variabler Drehzahl und mit einem Teilumrichter [Bla12] 10
Abbildung 2.6 Windkraftanlage mit variabler Drehzahl und mit einem Vollumrichter [Bla12] . 11
1 Einleitung
1.1 Motivation
Im Rahmen der Energiewende wird immer mehr „grüne“ Energie dezentral bei den Ver-
teilnetzen erzeugt. Die Windenergie gehört in Deutschland zu den wichtigsten regene-
rativen Energiequellen und betrug im Jahr 2018 16,3 % der gesamten erzeugten Ener-
gie, davon ungefähr 88 % an der Verteilnetzebene angeschlossen [Bun18].
Jedoch dienen diese Informations- und Kommunikationssysteme (IKS) nicht nur der
Netzführung, sondern auch als Ziel für eventuelle Cyberangreifer. Tatsächlich können
Angreifer durch das Nutzen und Entdecken von Sicherheitsschwachstellen bei den IKS
[Joh10] beispielsweise die Regel- und Schutzparameter der Erzeugungsanlagen mani-
pulieren, um das Netz zu destabilisieren. Solche Angriffe fanden in der Vergangenheit
schon statt, wie z. B. in der Ukraine im Jahr 2015 [Rob16]
Diese Cyberangriffe auf elektrische Netze stellen nicht nur die IT-Sicherheit vor neuen
Herausforderungen, sondern auch den Netzbetreiber aufgrund ihrer Auswirkungen auf
einen sicheren und stabilen Netzbetrieb.
1.2 Zielsetzung
Die zentrale Aufgabe dieser Arbeit ist, die Untersuchung der Auswirkungen von den
Manipulationen der lokalen Anlagenregelung von Windenergieanlagen auf die kurzfris-
tige Stabilität eines Verteilnetzgebietes. Dafür werden die Normen der Kommunikation
für die Überwachung und Steuerung der Windenergieanlagen (DIN 61400-25-1 bis 3)
betrachtet. Dazu werden eventuelle Manipulationsszenarien von Cyberangriffen identi-
2
2 Grundlagen
2.1 Stabilität
Hier ist eine wörtliche übersetzte Definition der Stabilität eines elektrischen Energiesystem:
„Unter der Stabilität eines elektrischen Energiesystems versteht man dessen Fähigkeit (bei
gegebenem Anfangs-Betriebszustand), nach einer physikalischen Störung ein Gleichgewicht
im Betriebszustand wiederzuerlangen, wobei die meisten Variablen beschränkt sind und prak-
tisch das gesamte System intakt bleibt.“ [Hat20]
Ein Ausfall bei einer Komponente im Netz, beispielsweise beim Transformator oder Genera-
tor, führt nicht unbedingt zur Instabilität des elektrischen Energiesystems.
So können, bei einem Ausfall eines Generators, die benachbarten Generatoren im Netz mehr
elektrische Energie produzieren, um die verlorene Erzeugungskapazität des ausgefallenen
Generators zu kompensieren [P. 04]. Das könnte aber zu Überlastungen bei diesen Genera-
toren führen, insbesondere wenn die Generatoren schon mit Volllast betrieben waren. Diese
Überlastungen können wiederum zu anderen Ausfällen von anderen überlasteten Erzeu-
gungskapazitäten führen, und daher verbreitet sich der Fehler auf die benachbarten Knoten
oder auf andere Teilnetzgebiete, indem eine Serie von überlasteten Generatoren an verschie-
denen Knoten nacheinander vom Netz getrennt werden. Das Phänomen wird Kaskadeneffekt
genannt und hat in der Geschichte schon mehrere Blackouts verursacht [Hin09], indem das
Trennen von überlasteten Generatoren zusätzliche akute Variationen bei den Systemgrößen
verursacht, die ihrerseits die Instabilität verlängern und vergrößern.
Das einphasige Ersatzschaltbild (ESB) und Zeigerdiagram in der Abbildung 2 1 werden näher
betrachtet, um den Einfluss der Wirk- und Blindleistung auf die Spannung herzuleiten.
v1 undv2 seien die Phasenspannungen und es gilt 𝐼1 = 𝐼2 = 𝐼 , wegen der Abwesenheit
von Shunt Admittanz im Zweig. ist der Winkel zwischen dem StromI und der Spannung
v2, dann könnteI in einem Wirkstrom 𝐼𝑤 = I cos(φ) auf der reellen (oder horizontalen)
Achse und einen Blindstrom I𝑏 = I sin(φ) auf der imaginären Achse (oder Vertikalen) geteilt
werden. [Cor15]
Angenommen, dassv1 konstant ist undv2 die Spannung mit der Phase gleich null ist, hat die kom-
plexe Spannungsvariation eine Querkomponente u und eine Längskomponente u wobei:
Die Längs- und Querkomponente der Spannung hängen dann von der Wirk- und Blindleis-
tung, und der Zusammenhang zwischen die Spannung und die Leistung ist in Gleichung 1.2
deutlich. [Cor15]
Grundlagen 5
Das betrachtete Netz in dieser Arbeit ist ein Mittelspannungsnetz und sollte nach den
Vorgaben der VDE 4110 betrieben werden. Die Norm ist gültig für Netzspannungen
zwischen 1 kV und 60 kV und für Erzeugungsanlagen, die im Mittelspannungsnetz an-
geschlossen werden und eine installierte Leistung zwischen 135 kW und 36 MW auf-
weisen (z.B. Onshore-Windenergieanlagen) [VDE18].
Die Norm legt unter anderem Vorgaben fest, um einen stabilen Betrieb und die Zuver-
lässigkeit des Netzes zu sichern. Dazu wird in der Norm zwischen zwei Typen von Er-
zeugungsanlagen unterschieden. Typ 1 Anlagen beinhaltet Erzeugungseinheiten, die
einen Synchrongenerator besitzen, der direkt oder über einen Maschinentransformator,
mit dem Netz gekoppelt ist. Erzeugungsanlagen vom Typ-2 sind alle andere Anlagen,
die nicht die Definition der Typ-1 Anlagen erfüllen [VDE18]. Beispielsweise sind Wind-
kraftanlagen, deren Synchrongeneratoren mit einem Umrichter gekoppelt ist, Typ-2 An-
lagen. Daher wird im folgenden Absatz auf die Typ-2 Anlagen fokussiert.
6
speisten Wirkleistung).
𝑃𝑚𝑜𝑚 |𝑄|
Ab < 0,2 sinkt der zugelassene schrittweise und erreicht 0,05 im unterer-
𝑃𝑏 𝑖𝑛𝑠𝑡 𝑃𝑏 𝑖𝑛𝑠𝑡
regten Betrieb und 0,02 im übererregten Betrieb für Pmom nah zu null. Mit unter- und
übererregtem Betrieb wird Blindleistungsbezug bzw. Blindleistungsabgabe gemeint.
[VDE18]
Schnelle Variationen bei der Wirk- und Blindleistung führen zu großer Schwankung und
Volatilität unter anderem bei der Spannung. Deswegen gibt die Norm auch Anforderun-
gen für den Wirk- und Blindleistungsgradient bei einer Sollwertvorgabe, d. h. ihre Än-
derungsgeschwindigkeit.
𝑃𝑏 𝑖𝑛𝑠𝑡
Der Wirkleistungsgradient (P’t) sollte im Bereich zwischen 0,33% 𝑠
=< 𝑃𝑡′ =<
𝑃𝑏 𝑖𝑛𝑠𝑡
0,66% 𝑠
liegen, mit Pb inst die in Betrieb befindliche installierte Leistung.
Das Regelverhalten der Blindleistung sollte nach dem PT1-Verhalten erfolgen, wie ge-
zeigt in der . Das Netzbetreiber gibt eine Zeitvorgabe vor, die 3 mit 2𝑠 < 𝜏 < 20𝑠 ent-
pricht, während derer 95% des Sollwertes erreicht werden soll [VDE18].
Das Regelverhalten der Blindleistung sollte nach dem PT1-Verhalten erfolgen mit einer
3-Zeitkonstante zwischen 6 s und 60 s, wie in Abbildung 2.3 gezeigt. Die Zeitkonstante
beschreibt die benötigte Zeit um 95 % des Sollwertes zu erreichen. [VDE18]
8
Abbildung 2.3 Beispiel des Regelverhaltens bei einem normierten Sollwertsprung und eine
Zeitvorgabe 3 von 10s [VDE18]
2.4 Windenergieanlagen
Windkraftanlagen (WEA) wandeln einen Teil von der im Wind enthaltenden kinetischen
Energie in elektrische Energie um. Der Wind führt zur Bewegung der Rotorblätter und
mechanische Energie wird produziert. Mit einem Generator wird diese Energie danach
in elektrische Energie umgewandelt, die in das elektrische Netz eingespeist wird.
Damit eine WEA elektrische Energie produzieren kann, muss sie in der Lage sein, die
Windenergie zu wandeln. Dafür muss die Gondel der WEA, je nach dem Typ der WEA,
in einer bestimmten Ausrichtung sein, d.h. einen bestimmten Gier-Winkel haben, und
die Rotorblätter einen bestimmten Neigungswinkel haben. Das Befinden der Gondel
einer Anlage in einer anderen Ausrichtung vermindert die Stromerzeugung und könnte
ihr sogar verhindern [Dar17], [Hei18a].
Der Pitch-Regelung dient normalerweise dazu, die Leistungserzeugung und den Wir-
kungsgrad zu optimieren, Reserveleistung zu schaffen und die Anlage bei starkem
Grundlagen 9
Wind zu schützen. Diese Funktionen werden durch die Änderung des Pitch-Winkels
erfüllt, dessen engen Zusammenhang mit der Leistung deutlich ist. So führt die Steige-
rung der Pitch-Winkel zu einer Senkung der Leistungsbeiwert und daher der erzeugten
Leistung, dazu WEA können ausgeschaltet werden, indem der Pitch-Winkel auf 90°
gesetzt wird. [Rol02], [Cho12], [Hei18a].
Physikalische Grundlagen
Das aerodynamische Modell einer Pitch-geregelte WEA wird gekennzeichnet mit den
bekannten Kurven für den Leistungsbeiwert Cp(,), gezeigt in Abbildung 2.4. ist der
Pitch-Winkel und ist der Schnelllaufzahl gegeben mit der Gleichung
R𝑡 1.3
=
𝑣𝑤
Cp(,) Kurven unterscheiden sich bei den WEA je nach der Bauform der Rotorblätter.
Für einen gegeben Leistungsbeiwert berechnet sich die mechanische Leistung P m wie
folgend
1 1.4
𝑃𝑚 = 𝐴𝑟 𝑣𝑤3 𝐶𝑝 (, )
2
10
wobei die Luftdichte in kg / m³, Ar die Querschnittsfläche des Rotors in m². [Sch15]
Windenergieanlagen können entweder indirekt durch einen Umrichter oder direkt mit
dem Netz verbunden werden.
Die WEA mit Umrichter sind aktueller, am meisten vorhanden und werden immer mehr
verwendet [Bla12]. Dazu werden sie noch in zwei Typen unterteilt, und zwar die mit
einem Teilumrichter gezeigt in Abbildung 2 5 und die mit einem Vollumrichter wie in
Abbildung 2.6.
Von den Anlagen mit einem Teilumrichter ist die doppelt gespeiste Asynchrongenera-
tor, gezeigt in am bedeutendsten. Bei denen wird nur ungefähr das Drittel der erzeug-
ten Leistung durch den Umrichter gespeist, während 2/3 der Leistung direkt ins Netz
eingespeist wird. [Hei18a]
Bei den Anlagen, die mit einem Vollumrichter verbunden werden, wird 100 % der Leis-
tung durch den Umrichter ins Netz eingespeist (siehe Abbildung 2.6) Als Generator wird
z.B. in diesem Fall ein permanentmagnet-erregter Synchrongenerator genutzt. [Sch15]
Grundlagen 11
Abbildung 2.6 Windkraftanlage mit variabler Drehzahl und mit einem Vollumrichter [Bla12]
Umrichter müssen sowohl die Anforderungen des Netzes als auch die des Generators
erfüllen und bestehen aus zwei Teilen, und zwar einen netz- und einen generatorseiti-
gen Teil.
Das Hauptziel des generatorseitigen Teils ist das Produzieren der maximal möglichen
Leistung und die Leistung stabil zu halten. Dafür werden die Ströme, die in den Gene-
rator fließen, gesteuert. Der netzseitige Teil muss die Netzanschlussrichtlinien unab-
hängig von der Windgeschwindigkeit erfüllen. Hierfür müssen Wirk- und Blindleistung
durch Sollwerte gesteuert werden. Die Vorgabe der Sollwerte geschieht über Leitsys-
teme des Netzbetreibers oder virtuellen Kraftwerksbetreibers oder automatisch
[VDE18]. Außerdem besitzen die Umrichter Schutzfunktionen und beteiligen sich an
der dynamischen Netzstützung im Netzfehler, wie z.B. den Low-Voltage Ride Through.
[Bla12], [Teo11], [VDE18]
Eine WEA erfasst verschiedene Informationsarten, die auf zwei Typen unterteilt werden
können.
Der erste Typ umfasst Informationen wie die historischen, statistischen und Prozessin-
formationen, die nur gelesen werden dürfen. Die stellen nur Informationen der WEA,
beispielsweise die Ausrichtung der Gondel oder den Status des Rotors, zur Verfügung.
Der zweite Typ umfasst Steuerungsinformationen, wie die Sollwerte für Schein- und
Regelleistung oder auch die Prioritätssetzung für die Wirk- und Blindleistungsabgabe
[DIN16]. Steuerungsinformationen werden geschrieben und dienen normalerweise die
Wartung, Steuerung oder die Optimierung der WEA. [DIN18]
2.5.2 Cyberangriffe
Zusammengefasst ist das Hacken einer WEA nicht unmöglich. Bekannte Sicherheits-
schwachstellen werden durch Ingenieure zwar behoben, aber neue Schwachstellen
werden immer herausgefunden und neue Methoden zum Hacken werden immer entwi-
ckelt. Kritische Parameter wie die Leistung können bei Cyberangriffen manipuliert wer-
den und deren Manipulation verursacht sowohl wirtschaftliche als auch netzbezogene
Schaden.
Methodisches Vorgehen 15
3 Methodisches Vorgehen
In diesem Kapitel wird die Vorgehensweise für die Erstellung der Manipulationsszena-
rien vorgestellt. Dazu werden auch die Kriterien, die zur Bewertung der Auswirkungen
der Szenarien dienen, untersucht.
3.1 Simulationsumgebung
MatPAT und das Add-on für Cyberangriffe ermöglichen die Erstellung von Manipulati-
onsszenarien, indem stabilitätsbeeinflussende Schutz- und Regelparameter manipu-
liert werden. So können neue Sollwerte für die Wirk- und Blindleistung der WEA einge-
geben werden oder auch Schutzfunktion der WEA ein- und ausgeschaltet werden.
3.2.1 Netzmodell
Das betrachtete Netz ist eine modifizierte Version des europäischen CIGRE-
Benchmark-Mittelspannungsnetz mit einer Spannungsebene von 20 kV. Das Netz und
seine Topologie werden in Abbildung 3. 1 gezeigt [Kai14]. Elektrische Energie wird vom
Übertragungsnetz mit Spannungsebene 220 kV über ein Leistungstransformator ins
Mittelspannungsnetz gespeist.
Dazu sind mehrere dezentrale Erzeugungsanlage von verschieden Typen mit einer ge-
samten Leistung von 18,7 MW im Netz installiert, und zwar Windenergieanlagen, PV-
Anlagen, Block-heizkraftwerken, Brennstoffzellen und Batteriespeicher. In blau darge-
stellt sind die im Rahmen dieser Arbeit hinzugefügten Windenergieanlagen.
CC2020
16
TS
5 9 15
310 kW WEP
10 kW 1x1,414 MW
CHP
PV Legende:
212 kW
12 Lasten
FC
PV PV Anlagen
30 kW
40 kW PV
30 kW 600 kW
WEP
Windenrgiean-
PV 8 lage
PV BSS
11 Brennstoffzellen
FC
WEP
6 10
BSS FC 6x1,5 MW BSS Batteriespeicher
WEP FC 30 kW
200 kW 14 kW 7
1x1,414 MW 33 kW PV Blockheizkraft-
CHP
WEP
werken
1x1,414 MW
3.2.2 Annahmen
In dieser Arbeit wird außerdem angenommen, dass sowohl die installierten WEA als auch die
noch zu installierenden WEA durch einen Vollumrichter mit dem Netz verbunden sind.
Außerdem ändert sich der Lastenverbrauch bei den realen Netzen ständig, indem bei-
spielsweise Lasten ein- und ausgeschaltet werden. Jedoch wird in dieser Arbeit ange-
nommen, dass Lastenverbrauch fest während der Simulationszeitdauer konstant ist.
Wegen des ausschließlichen Betrachtens der kurzfristigen Stabilität, ist diese Annahme
auch akzeptabel.
Schließend wird auch angenommen, dass die WEA am Anfang des Angriffs reine
Wirkleistung abgeben, d. h. ohne Blindleistungsabgabe oder Aufnahme.
Ziel dieser Arbeit ist die Auswirkungen von Cyberangriffen auf die Netzstabilität anhand
von Kriterien zu bewerten. Deswegen werden die simulierten Szenarien so erstellt, um
das maximal mögliche Verletzen der Kriterien für die Netzstabilität zu erzielen.
Spannung und Frequenz sind die zu betrachtenden Systemgrößen. Das erste Kriterium
ist die Bewertung der Abweichungen der betrachteten Netzkenngrößen anhand ihren
zulässigen Bereichen, die für Erzeugungsanlagen im Mittelspannungsnetz in der Norm
VDE 4110 angegeben werden (siehe Abbildung 3. 3 und Abbildung 3. 4). Das zweite
Kriterium ist das Auslösen von Schutzfunktionen des Anlagenschutzes. Tatsächlich ist
18
das Auslösen von Schutzfunktionen kritischer als Kriterium. Das heißt, dass die Verlet-
zung des zweiten Kriteriums setzt die Verletzung des Ersten voraus, während die Ver-
letzung des ersten Kriteriums die Verletzung des Zweiten nicht voraussetzt.
Im Allgemeinen werden die zulässigen und unzulässigen Bereiche für diese System-
größen durch Ober- und Untergrenzen beschränkt, wie in Abbildung 3. 3 für die Span-
nung am Anschlussknoten der Erzeugungsanlage gezeigt.
Bei der Spannung werden zulässige Bereiche auch Spannungsband genannt [BDE08],
und Abweichungen, nach unten und nach oben, bis zu 10 % vom Sollwert sind zulässig.
Hingegen sind Spannungsabweichung von über 10 % vom Sollwert kritisch. So dürfen
Abweichungen zwischen 10 % und 15 % nicht länger als 60 s andauern. Tatsächlich
werden nach 60 s alle Erzeugungsanlagen im Netz, wo das Spannungsband verletzt
ist, wegen Unter- oder Oberspannungsschutz getrennt.
Die Frequenz ist bei Abweichungen in den beiden Richtungen bis maximal 2 % vom
Sollwert (50 Hz) immer noch im zulässigen Bereich. Größere Sollwertabweichung bi zu
3 % nach oben und bis 5 % nach unten dürfen nicht länger als 30 min andauern. Wie
bei der Spannung führt die Überschreitung dieser Grenzen zur Trennung der Anlagen.
Methodisches Vorgehen 19
Bei der Überschreitung der zulässigen Ober- und Unterspannungsgrenzen werden Un-
ter- und Überspannungsschutz ausgelöst. Analog werden bei der Überschreitung der
zulässigen Ober- und Unterfrequenzgrenzen, Über- und Unterfrequenzschutz ausge-
löst. Zusätzlich werden Blindleistungsaufnehmende WEA beim Unterschreiten des
Spannungswertes von 0.85 pu nach 0.5 s durch QU-Schutz vom Netz getrennt.
Die „Low Voltage Ride-Through“ (LVRT) (siehe Abbildung 3. 4) definiert den Bereich,
wo sich die Anlagen nicht vom Netz trennen sollen, um dynamische Netzstützung zu
leisten [VDE18]. Dieser Bereich liegt zwischen der oberen und unteren FRT-grenzkurve
für 3-polige Fehler. Bei der Überschreitung dieses Bereiches werden Schutzfunktionen
ausgelöst. So sollen die in den Grundlagen definierten Typ-2 Anlagen bei einem Span-
nungseinbruch auf 0,5 pu mindestens ~1,6 Sekunden am Netz bleiben.
Das ist dann merkbar, dass eine blindleistungsaufnehmende WEA bei einer Spannung
unter 0,85 pu mit dem Q-U Schutz nach 0,5 s getrennt wird, bevor der Unterspannungs-
schutz nach 3 s ausgelöst wird.
20
Sowohl die Wirk- und Blindleistung als auch die Schutzfunktionen der Spannung und
Frequenz werden in diesen Szenarien manipuliert.
Die eingespeiste Wirk- und Blindleistung wird über die Vorgabe neuer Sollwerte mani-
puliert. Dabei werden verschiedene Leistungsgradienten und Blind- und Wirkleistungs-
faktoren, die nicht konform mit der VDE4110-Anwendungsrichtlinien sind, vorgegeben.
𝑘𝑊
Jedoch werden Leistungsgradienten von weniger als 100 𝑠
pro Anlage manipuliert,
Schließlich werden die kritischen Szenarien gewählt, d. h. die Szenarien wo die Krite-
rien für die Bewertung der Stabilität der Systemgrößen verletzt sind. Dafür werden so-
wohl die Verletzung der zulässigen Bereiche für Spannung und Frequenz als auch die
Anzahl der getrennten Anlagen (und ihre zugehörige installierte Leistung) quantitativ
betrachtet.
22
In diesem Kapitel werden ausgewählte Ergebnisse vorgestellt und diskutiert. Für jedes
Szenario werden die Wechselspannung an den Knoten im Netz, der Wirkstrom und die
Wirk- und Blindleistung von den Erzeugungsanlagen gezeigt und analysiert.
4.1 Szenario 1
die von den WEA aufgenommene Blindleistung gesteigert bis zum Erreichen von 1 𝑝𝑢
in 𝑡2 = 21 𝑠.
Das führt dazu, dass die Spannung in einem Teilnetzgebiet vom Verteilnetz gestiegen
ist und das Spannungsband ab 𝑡3 = 20𝑠 verletzt wird, und bleibt bis zum Ende des
Szenarios an allen Anschlussknoten der Erzeugungsanlagen im unzulässigen Span-
Ergebnisse und Diskussion 23
nungsbereich. Die Spannung im Knoten 15, wo sich auch eine manipulierte WEA be-
findet, wird wegen der Nähe des Knotens 15 zum Übertragungsnetz und wegen des
geöffneten Schalters zwischen den Knoten 9 und 15 stabil bleiben.
Während des Spannungsanstiegs haben die PV, Brennstoffzellen, Batterien aber auch
WEA den abgebeben Wirkstrom reduziert, um trotz der Spannungssteigerung kon-
stante Wirkleistung abzugeben. Dazu wird von den Energiespeichersystemen, und
zwar von den Batterien und Brennstoffzellen, zunehmend Blindleistung aufgenommen,
was die Netzstabilität unterstützt, indem ein Teil der von den WEA abgegebenen Blind-
leistung kompensiert wird.
Im Zeitintervall von 𝑡4 = 31,21 𝑠 bis 𝑡5 = 32,52 𝑠 findet eine Kaskade statt, indem alle
Erzeugungsanlagen außer der WEA in einem Teilnetzgebiet wegen Überspannungs-
schutz vom Netz getrennt werden. Insgesamt werden 15 Anlagen mit einer gesamten
Leistung von 2,6 MW vom Netz getrennt. Die WEA mit ausgeschalteten Schutzfunktio-
nen (außer die WEA im Knoten 15) werden auch eventuell wegen technischen Gründen
oder Schaden bei den Erzeugungsanlagen nach einer Zeit 𝑡𝑥 ausgeschaltet bzw. vom
Netz getrennt.
4.2 Szenario 2
Im Szenario 2 (Siehe Abbildung 4. 2) werden auch sowohl die Wirk- und Blindleistung
als auch die Schutzfunktionen manipuliert. Die von den WEA abgegebene Wirkleistung
wird ab
𝑃𝑖𝑛𝑠𝑡
𝑡0 = 1 𝑠 bis 𝑡1 = 19 𝑠 mit einem Leistungsgradient von 5 % 𝑠
um 90 % reduziert und
die von den WEA aufgenommene Blindleistung wird mit demselben Leistungsgradient
ab 𝑡1 = 19 𝑠 bis zum Erreichen von 0,9 𝑝𝑢 in 𝑡2 = 35 𝑠 gesteigert. Dazu werden auch
Schutzfunktionen der WEA ausgeschaltet.
Das sukzessive Reduzieren der abgegebenen Wirkleistung und die Steigerung der
Blindleistungsaufnahme führen dazu, dass die Spannung in einem Teilnetzgebiet vom
betrachteten Netz gesunken ist. Die Variationen bei der Spannung im Knoten 15 (Siehe
Abbildung 4. 2), wo sich auch eine manipulierte WEA befindet, wird wie beim ersten
Szenario wegen der Nähe des Knotens 15 zum Übertragungsnetz und wegen des ge-
öffneten Schalters zwischen den Knoten 9 und 15 nur um 2 % gesunken und bleibt im
zulässigen Spannungsbereich.
24
bzw. 6,6-mal schneller als im Unterbereich 1 bzw. 2. Die Kaskade in sich hat einen
Spannungssprung von ungefähr 0,05 pu verursacht.
Schließlich werden auch die WEA mit ausgeschalteten Schutzfunktionen (außer die
WEA im Knoten 15) eventuell wegen technischen Gründen oder Schaden bei den Er-
zeugungsanlagen nach einer Zeit 𝑡𝑥 ausgeschaltet bzw. vom Netz getrennt
4.3 Szenario 3
Im Szenario 3 werden die Auswirkungen des Ausschaltens der WEA durch die Mani-
pulation von spezifischen Anlagenregelung wie den Gier- und Pitch-Winkel auf die
Netzstabilität approximiert und betrachtet. Da die WEA vor dem Angriff reine Wirkleis-
tung abgeben, werden diese Manipulation zu einer Senkung der Wirkleistung führen,
ohne Beeinflussung der Blindleistung oder Ausschalten von Schutzfunktionen. Aus die-
sem Grund werden die Auswirkungen dieser Manipulationen approximiert, in dem die
𝑃𝑖𝑛𝑠𝑡
Wirkleistung mit einem Leistungsgradient von 2,5 % 𝑠
in diesem Szenario gesunken
wird.
Das Ausschalten der WEA führt zwar zu einer Senkung der Spannung im Netz mit
Spannungsvariationen in der Höhe von 9 % bis 12 %, aber das Spannungsband wurde
nicht verletzt.
26
Obwohl die Spannung und Frequenz im zulässigen Bereich bleiben, können diese Ma-
nipulationen je nach ihren Häufigkeiten das Netz negativ beeinflussen, indem beispiels-
weise gleichzeitig große Verbraucher angeschaltet werden.
Die Variationen bei der Frequenz bei allen Szenarien waren in der Größenordnung von
10−3 bis 10−5 . Die Manipulationsszenarien haben dann die Frequenzstabilität nicht o-
der nur wenig belastet, weil die vom Übertagungsnetz abgegebene Leistung viel größer
(mehr als 103 ) als die am Mittelspannungsnetz manipulierte Leistung ist.
Zusammenfassung und Ausblick 27
Die Manipulation der lokalen Regelung von Windenergieanlagen führt zu relativ kleinen
(Größenordnung von 10−3 bis 10−5 ) und zulässigen Variationen bei der Frequenz, aber
zu großer Abweichungen bei der Spannung (bis zu 45 %) in einem Gebiet des Verteil-
netzes. Bei der Manipulation der Wirk- und Blindleistung sowie das Ausschalten der
Schutzfunktionen wird das Spannungsband verletzt und Auslöse von Schutzfunktionen
werden verursacht. Außerdem können sowohl Über- als auch Unterspannungen im be-
lasteten Gebiet des Netzes auftreten. Insbesondere beim Ausschalten der Schutzpara-
meter von blindleistungsaufnehmenden Windenergieanlagen, werden durch Auslöse
des Unterspannungsschutzes der anderen Erzeugungsanlagen Kaskaden auftreten.
Das Auslösen der Schutzfunktionen der anderen Erzeugungsanlagen verursachen
Spannungseinbrüche und schwächen das Verteilnetzgebiet weiter, indem die Span-
nung, wegen fehlender Netzstützung von anderen Erzeugungsanlagen im Verteilnetz-
gebiet, nach der Kaskade schneller als vorher fällt.
Schließlich können andere Simulationen auf verschiedene Netze mit verschieden Wer-
ten für die Reaktanz X und den Widerstand R, da diese beide Größe Einflüsse auf die
Auswirkungen von der Wirk- und Blindleistung auf die Spannung haben. Außerdem
28
könnte auch über die Einflüsse von mehreren parallelen Cyberangriffen auf Windener-
gieanlagen in verschiedenen Verteilnetzen auf deren Übertragungsnetz geforscht wer-
den. Dann können die Trennung von mehreren Erzeugungsanlagen in mehreren Ver-
teilnetzen die Energieversorgung gefährden, oder als Vorbereitung für einen größeren
Angriff auf das Übertragungsnetz dienen.
Literaturverzeichnis 29
Literaturverzeichnis
[Bla12] Blaabjerg, F.; Liserre, M.; Ma, K.: Power Electronics Converters for Wind
Turbine Systems. In IEEE Transactions on Industry Applications, 2012,
48; S. 708–719.
[Cao15] Cao, G.; Grigoriadis, K. M.; Nyanteh, Y. D.: LPV control for the full region
operation of a wind turbine integrated with synchronous generator. In
TheScientificWorldJournal, 2015, 2015.
[Cho12] Chowdhury, M. A.; Hosseinzadeh, N.; Shen, W. X.: Smoothing wind power
fluctuations by fuzzy logic pitch angle controller. In Renewable Energy,
2012, 38; S. 224–233.
[Cor15] Corsi, S.: Relationship Between Voltage and Active and Reactive Powers.
In (Corsi, S. Hrsg.): Voltage Control and Protection in Electrical Power
Systems. Springer London, London, 2015; S. 3–11.
[Dar17] Dar, Z.; Kar, K.; Sahni, O.; Chow, J. H.: Windfarm Power Optimization U-
sing Yaw Angle Control. In IEEE Transactions on Sustainable Energy,
2017, 8; S. 104–116.
[Dav06] Davis, C. M.; Tate, J. E.; Okhravi, H. et al.: SCADA Cyber Security Test-
bed Development: 2006 38th North American Power Symposium. IEEE,
2006 - 2006; S. 483–488.
[Hin09] Hines, P.; Apt, J.; Talukdar, S.: Large blackouts in North America: Histori-
cal trends and policy implications. In Energy Policy, 2009, 37; S. 5249–
5259.
[Rob16] Robert M. Lee, S.; Michael J. Assante, S.: Analysis of the Cyber Attack on
the Ukrainian Power Grid. E-ISAC_SANS_Ukraine_DUC_5, 2016.
[Rol02] Rolf Hoffman: A comparison of control concepts for wind turbines in terms
of energy capture, 2002.
[Teo11] Teodorescu, R.; Liserre, M.; Rodríguez, P.: Grid converters for photovol-
taic and wind power systems. IEEE; Wiley, Piscataway N.J., Chichester
West Sussex, Hoboken N.J., 2011.
[Zha15] Zhang, Y.; Wang, L.; Xiang, Y.; Ten, C.-W.: Power System Reliability
Evaluation With SCADA Cybersecurity Considerations. In IEEE Transac-
tions on Smart Grid, 2015, 6; S. 1707–1721.