Intrusive Manipulation von Smart Metern erkennen und abwehren

Autor / Redakteur: Mekre Mesganaw * / Richard Oed

Jahr für Jahr erleiden Energieversorgungsunternehmen (EVUs) auf der ganzen Welt Verluste, die nicht durch technische Faktoren des Stromnetzes verursacht werden, sondern beispielsweise durch Energiediebstahl. Mit einfachen Mitteln kann dieser aber reduziert werden.

Firmen zum Thema

Bild 2: Schematischer Anschluss eines dreiphasigen Stromzählers an das Netz.
Bild 2: Schematischer Anschluss eines dreiphasigen Stromzählers an das Netz.
(Bild: Texas Instruments)

Gemäß dem Report „Electricity Theft and Non-Technical Losses: Global Markets, Solutions and Vendors” belaufen sich die nicht-technischen Verluste weltweit alljährlich auf geschätzte 96 Milliarden US-Dollar, wovon ein erheblicher Teil in Schwellenländern entsteht. Die Mindereinnahmen treffen nicht nur die EVUs, sondern letztendlich auch deren Kunden, da die Energieversorger möglicherweise versuchen, die Einnahmeeinbußen durch höhere Tarife zu kompensieren.

Eine Art nicht-technischer Verluste sind Manipulationen an den Stromzählern. Dabei werden verschiedenste Eingriffe an den Zähler vorgenommen, um die Messung des Energieverbrauchs zu verlangsamen oder ganz zu unterbinden. Neben den intrusiven Methoden, bei denen Modifikationen im Innern des Zählergehäuses vorgenommen werden, sind die nicht-intrusiven Methoden zu erwähnen, bei denen die Manipulation außerhalb des Zählers erfolgt.

Bildergalerie

Zähler-Manipulationen haben zu zusätzlichen Anforderungen an intelligente Stromzähler (Smart Meter) geführt, um die Geräte besser zu schützen. Dieser Artikel geht auf die intrusiven Methoden ein und zeigt, wie diese erkannt und verhindert werden können. Die nicht-intrusiven Methoden werden in einem separaten zweiten Teil behandelt.

Die grundsätzliche Funktion eines Smart Meters ist die Messung des Wirkenergieverbrauchs, damit dieser dem Kunden in Rechnung gestellt werden kann. Die Berechnung des Wirkenergieverbrauchs im Zähler erfolgt, indem die Netzspannung mit dem von den Verbrauchern des Kunden gezogenen Strom multipliziert und das Produkt über die Zeit aufsummiert wird.

Zur Messung der Netzspannung reduzieren in der Regel Widerstandsteiler diese soweit, dass sie von einem A/D-Wandler (ADC) verarbeitet werden kann. Gleichzeitig erfasst ein Stromsensor, beispielsweise ein Shunt-Widerstand, ein Stromwandler oder eine Rogowskispule, den vom Verbraucher aufgenommenen Strom und wandelt diesen Laststrom in eine für einen ADC geeignete Spannung.

Bild 1 zeigt exemplarisch einen Einphasen-Stromzähler mit seinen Anschlüssen. In der Abbildung kennzeichnet der rote Pfeil ganz links den Phaseneingang (Line_In) und der zweite rote Pfeil am nächsten Anschluss den Phasenausgang (Line_Out). Der schwarze Pfeil am dritten Anschluss bezeichnet den Nullleiter-Eingang (Neutral_In) und der schwarze Pfeil am vierten Anschluss schließlich den Nullleiter-Ausgang (Neutral_Out).

Gemäß der Konfiguration in Bild 1 erhält man durch gleichzeitiges Messen der Spannung zwischen Phaseneingang und Nulleitereingang sowie des Stroms zwischen Phaseneingang und -ausgang mit Hilfe eines Shunt-Widerstands die zur Berechnung des Energieverbrauchs nötigen Informationen.

Bild 2 zeigt beispielhaft den Anschluss eines Dreiphasenzählers. Diese Konfiguration entspricht dem Anschluss dreier Einphasenzähler: die Spannung wird zwischen dem jeweiligen Außenleiter und dem Nullleiter gemessen, der Strom dagegen zwischen dem Line_In- und Line_Out-Anschluss der betreffenden Phase, wobei in diesem Beispiel Stromwandler zur Messung verwendet werden. Den gesamten Wirkenergieverbrauch erhält man bei einem Dreiphasenzähler durch Addition der Wirkenergieverbräuche der einzelnen Phasen.

Tampering: Intrusive Manipulation beginnt an der Klemmenleiste

Die häufigste intrusive Manipulationsmethode besteht in dem Versuch, einen Metallgegenstand gegen die Klemmenleiste des Zählers zu schieben, um damit den Ein- und Ausgang der Phase zu überbrücken (Bild 3). Dieser Gegenstand leitet den größten Teil des Stroms an der Messschaltung vorbei, womit diese weniger misst als tatsächlich verbraucht wird, was zu einer Verringerung der abgerechneten Energiemenge führt.

Um ein Manipulieren durch Umleiten des Stroms zu verhindern, kann man das Design des Zählers so abändern, dass der Strom sowohl in der Phase als auch im Nullleiter gemessen wird. Bei einem einphasigen System sollten beide Ströme im Idealfall gleich dem vom Verbraucher gezogenen Strom sein.

Bildergalerie

Die Messung des Stroms im Nullleiter und in der Phase ermöglicht eine präzise Berechnung der Wirkenergie auch dann, wenn einer der Ströme umgeleitet wird. Wenn also ein Unbefugter versuchen würde, den Phasenstrom wie in Bild 3 gezeigt umzuleiten, könnte der Wirkenergieverbrauch dennoch berechnet werden, indem ein Stromwandler zwischen den Nullleiter-Anschlüssen angeordnet würde und anstelle des Phasenstroms der Strom im Nullleiter zur Energieberechnung herangezogen würde.

Werden Ströme sowohl in der Phase als auch im Nullleiter umgeleitet, würde dies die Genauigkeit der Energieberechnung beeinflussen. Das Umleiten beider Ströme lässt sich feststellen, indem man ermittelt, ob die Wirkenergieverbräuche von Phase und Nullleiter signifikante Unterschiede aufweisen.

Eine weitere intrusive Manipulationsmethode ist das Abklemmen eines Phasen- oder Nullleiter-Anschlusses. Hierdurch wird die Stromversorgung des Stromzählers ebenso unterbrochen, wie die zur präzisen Verbrauchsberechnung erforderliche Verbindung zur Netzspannung. Um die Funktionalität des Zählers bei solchen Ausfällen der primären Stromversorgung sicherzustellen, kann eine Hilfsstromversorgung, wie etwa ein zusätzliches, auf einem Transformator basierendes Netzteil, ein Superkondensator oder eine Batterie den Zähler speisen.

Als dritte intrusive Manipulationsmethode ist das Vertauschen der Phasen- oder Nullleiter-Anschlüsse zu nennen. Bei einem einphasigen Stromzähler bewirkt dies, dass negative Stromverbräuche gemessen werden, wodurch die insgesamt erfasste Energiemenge immer kleiner wird. Die vertauschten Anschlüsse dürfen allerdings nicht dauerhaft belassen werden, da sie die Manipulation offenkundig machen würden, wenn der gemessene Wirkenergieverbrauch zu niedrig wäre.

In einem dreiphasigen System ließe sich der Stromzähler manipulieren, indem die Anschlüsse einer Phase vertauscht würden. Anders als bei einem einphasigen Zähler würde das Vertauschen der Anschlüsse einer Phase nicht zur Anzeige eines immer niedrigeren Energieverbrauchs führen, sondern der aufgezeichnete Verbrauch an Wirkenergie würde nur mit einem Drittel der Rate zunehmen, die bei ausgeglichenen Lasten entstünde.

Zur Aufdeckung vertauschter Anschlüsse lässt sich das Vorzeichen der durchschnittlichen Wirkleistung jeder Phase überwachen. Ein negatives Vorzeichen könnte dann auf vertauschte Anschlüsse hindeuten.

Manipulationen am Smart-Meter-Gehäuse erkennen

Die vorderste Verteidigungslinie gegen alle drei intrusiven Manipulationsmethoden bildet das Gehäuse des Zählers. Zählergehäuse sollten stets so versiegelt sein, dass der Zugriff auf die internen Bauteile verhindert wird. Hinzugefügt werden sollte außerdem ein System, mit dem sich ein unbefugtes Öffnen des Gehäuses, beziehungsweise ein entsprechender Versuch, feststellen lässt.

Solche für Stromzähler verwendeten Eindringungserkennungen können auch für Gas- und Wasserzähler eingesetzt werden. Bei diesen kommt es allerdings darauf an, dass diese Systeme möglichst wenig Strom verbrauchen, da die Versorgung des Gesamtsystems hier per Batterie erfolgen muss. Dies ist auch bei Stromzählern nicht ganz unwichtig, damit das Erkennungssystem auch dann noch funktionsfähig ist, wenn es aus der Hilfsstromversorgung gespeist wird, und ohne dass die Lebensdauer der Stützbatterie verkürzt wird.

Bildergalerie

Traditionell werden Systeme zur Erkennung von Manipulationsversuchen mechanisch mit einem am Gehäuse angebrachten, nach unten herausragenden Stift realisiert, der ständig auf eine Taste auf der Leiterplatte drückt. Diese Taste ist an einen GPIO-Pin (General-Purpose Input/Output) eines Mikrocontrollers angeschlossen, womit dieser den Betätigungszustand der Taste (gedrückt/nicht gedrückt) überwachen kann. Wird das Gehäuse geöffnet, wird die Taste nicht mehr gedrückt, sodass der betreffende GPIO-Pin die Zustandsänderung registriert und der Mikrocontroller das Öffnen des Gehäuses erkennt.

Induktive Schalter erleichtern das Design

Diese Methode mag die Manipulationserkennung kostengünstig und mit wenig Stromverbrauch implementieren, sie ist jedoch mit einer ganzen Reihe erheblicher Einschränkungen behaftet. Zunächst gibt es Probleme mit der Zuverlässigkeit und der Kalibrierung beim Zusammenbau und dem Transport des Zählers. Da der Drucktaster auf der Leiterplatte bei einem bestimmten Betätigungsweg aktiviert wird, kann er während des Transports unter Umständen ausgelöst werden.

Umgekehrt ist nicht auszuschließen, dass aufgrund der Aktivierungs-Toleranzen des Tasters überhaupt keine Betätigung erfolgt. Als weiteres Problem kommt hinzu, dass der Taster verklemmen oder festfrieren kann, wodurch eine Manipulationserkennung verhindert wird. Beseitigen lassen sich diese Schwierigkeiten – wenn auch mit zusätzlichen Systemkosten – mithilfe hochzuverlässiger Schalter und der Implementierung eines Vor-Ort-Resets für den Zähler.

Um die Mängel der mechanischen Lösung zu vermeiden und das Design zu verbessern, gibt es als Alternative die Möglichkeit, kontaktlose induktive Schalter, wie beispielsweise den LDC0851 von Texas Instruments (TI), einzusetzen. Solche Schalter können die Bewegung eines leitenden Objekts präzise detektieren und liefern ein einfaches High/Low-Signal, wenn das Metallobjekt eine bestimmte vorgegebene Schwelle überschreitet.

In der vorliegenden Anwendung registriert der induktive Schalter das Abnehmen der Gehäuseabdeckung, indem er die Distanz zu einer metallenen Oberfläche im Innern des Zählers überwacht. Somit ändert sich beim Öffnen des Gehäuses der Ausgangszustand des Schalters, wodurch eine Manipulation erkannt wird. Der LDC0851 bietet überdies die Möglichkeit zum Ändern der Ansprechschwelle mithilfe eines Einstell-Pins. Hiermit lassen sich Fertigungstoleranzen kompensieren und weitere Kalibrieroptionen realisieren.

Die induktive Erfassung stellt eine überaus betriebssichere Lösung dar, die beständig gegen Störeinwirkungen durch Magnete, Feuchtigkeit, Staub und andere Verunreinigungen ist.

Das von TI verfügbare Referenzdesign „Case Tamper Detection Reference Design Using Inductive Sensing“ zeigt den Einsatz des LDC0851 zusammen mit einem Metrologie-Mikrocontroller vom Typ MSP430F67791A, um auf stromsparende Weise das Öffnen des Hauptgehäuses und der Klemmenleisten-Abdeckung eines Stromzählers zu erkennen. Das Referenzdesign registriert bereits ein Öffnen um nur 4 mm. Dabei nimmt der LDC0851 bei einer Abtastrate von 1 Hz nur rund 2 µA auf.

Angriffe können abgewehrt werden

Ein Mechanismus zum Detektieren von Manipulationsversuchen kann intrusive Manipulations-Attacken abwehren und den EVUs damit die Möglichkeit geben, Gegenmaßnahmen einzuleiten und Einnahmeverluste aufgrund solcher Eingriffe zu reduzieren.

Da die hier beschriebene Detektion von Gehäusemanipulationen nur intrusive Angriffe feststellen kann, wird im zweiten Teil dieses Artikels darauf eingegangen, wie sich nicht-intrusive Manipulationen, beispielsweise mit elektrostatischen und magnetischen Methoden, erkennen und verhindern lassen.

* Mekre Mesganaw arbeitet als Systems Engineer im Grid Infrastructure Team bei Texas Instruments in Dallas.

(ID:45094911)