ARTIGO DE BOLSO

ENTENDENDO E VALIDANDO REDES

ETHERNET PARA APLICAÇÕES DE
PROTEÇÃO, AUTOMAÇÃO E CONTROLE DE
MISSÕES CRÍTICAS
 Sumário - pág. 1
1. Introdução - pág. 3
2. Redes Ethernet para IEDs PCM - pág. 11
3. Tempo de Transmissão, Transferência e Trânsito do Sinal -
pág. 14
4. IEC 61850 GOOSE para Troca de Sinais de Automação e
Controle - pág. 18
5. Critérios de Teste da Rede Ethernet e IEC 61850 GOOSE -
pág. 21
6. Atrasos e Latência da Rede - pág. 24
7. Reconfiguração da Rede Ethernet - pág. 31
8. Testes do Tempo da Aplicação de Troca de Sinais Ethernet -
pág. 33
9. Testes do Tempo de Reconfiguração da Rede Ethernet -
pág. 40
10. Testes Contínuos em Serviço - pág. 42
11. Considerações da Rede para Adição de Aplicações Futuras
- pág. 44
12. Arquiteturas de Redes Ethernet - pág. 45
13. Conclusão - pág. 54
 ENTENDENDO E VALIDANDO REDES
ETHERNET PARA APLICAÇÕES DE
PROTEÇÃO, AUTOMAÇÃO E CONTROLE
DE MISSÕES CRÍTICAS

Saroj Chelluri, NTPC Limited

David Dolezilek, Jason Dearien e Amandeep
Kalra, Schweitzer Engineering Laboratories, Inc.

SUMÁRIO
A norma de comunicação IEC 61850-5 define mensagens
rápidas que executam proteção, automação e intertravamentos
de alta velocidade para atender ou superar um tempo de
transmissão de 3 milissegundos conforme Classe de
Desempenho P2/P3, Tipo A. Os modernos dispositivos
baseados em microprocessador e as redes Ethernet atendem
rotineiramente a este requisito se tudo estiver funcionando
como esperado. Um dos mais importantes critérios de aceitação
(e talvez o menos compreendido) consiste no tempo máximo de
transmissão quando ocorrem eventos inesperados e mensagens
são atrasadas. Como nem todos os caminhos de uma rede
Ethernet têm o mesmo desempenho, este artigo introduz as
classificações de desempenho do caminho, ilustrando os
tempos mínimos e máximos de transferência entre dois
dispositivos.
A norma sobre desempenho da telecomunicação IEC 60834-1 é
normalmente utilizada para avaliar a automação e

1
intertravamentos de alta velocidade ponto-a-ponto. Ela
descreve o tempo de operação total entre o instante da mudança
de estado na entrada de comando do dispositivo de origem e o
instante da mudança de estado na saída de comando do
dispositivo de destino. Isto inclui o tempo de propagação e
quaisquer atrasos adicionais. A IEC 60834-1 define também a
confiabilidade da transmissão como a capacidade de receber
cada mensagem de comando dentro do tempo de transmissão
real fixo definido pelo aplicativo, neste caso igual a 3
milissegundos.
A IEC 61850-5 estabelece especificamente que testes e
verificações do tempo da transmissão completa têm que ser
efetuados durante testes de aceitação local usando dispositivos
físicos e equipamentos de rede. Métodos de teste e validação da
transmissão de mensagens durante a entrega normal de pacotes
Ethernet, bem como durante falha no caminho, são
introduzidos neste artigo com base no protocolo RSTP (“Rapid
Spanning Tree Protocol”) e PRP (“Parallel Redundancy
Protocol”).

2
1. INTRODUÇÃO
Os modernos dispositivos eletrônicos inteligentes (“intelligent
electronic devices” – IEDs) de proteção, controle e
monitoramento (“protection, control, and monitoring” – PCM)
baseados em microprocessador executam várias funções e
efetuam a transmissão dos dados relacionados a essas funções.
Os esquemas de automação e controle de PCMs
supervisionados pelas comunicações (teleproteção) que
exigem alta velocidade e alta disponibilidade dependem de
redes de comunicação para missões críticas. As redes de
comunicação robustas usadas para missões críticas em tempo
real e a troca de mensagens digitais, por sua vez, exigem
validação e projeto de engenharia adequados. Este artigo
contém ilustrações dos métodos de teste de IEDs e dispositivos
de teste para verificação do desempenho de redes Ethernet,
conforme previamente descrito no artigo “Design and
Validation Practices for Ethernet Networks to Support
Automation and Control Applications” (“Práticas de Projeto e
Validação de Redes Ethernet para Suporte de Aplicações de
Automação e Controle”) [1].
Um canal de dados consiste na combinação de um método de
transporte e um meio de comunicação com o propósito de
movimentação de dados a partir de sua origem até o seu destino.
A evolução dos IEDs permite a utilização de diversos tipos de
canais de dados para transmissão de informações de proteção,
controle, medição, monitoramento, automação, registrador
digital de faltas (“digital fault recorder” – DFR), relatório de
eventos e ajustes. Este artigo foca na troca de sinais de dados
(“signaling”) para missões críticas, a qual é usada para
remotamente supervisionar ou acelerar funções de controle
automáticas. A velocidade e a precisão da resposta de um

3
sistema de proteção, automação ou controle são proporcionais à
velocidade do canal usado para troca de sinais de dados entre
IEDs.
Métodos anteriores usados para troca de sinais (“signaling”)
incluíam contatos hardwired (“conectados através de fios”),
fios piloto dedicados, e linhas de telefone contratadas (“leased
telephone lines”) para transmissão de sinais on e off. As
informações dos sinais eram também sobrepostas nas
frequências da portadora através do sistema carrier na linha de
transmissão (“power line carrier” – PLC). A troca de sinais
moderna é efetuada através de um canal de comunicação
composto por troca de mensagens digitais e um meio de
comunicação. A disponibilidade do meio de comunicação e o
desempenho da mensagem digital definem, em conjunto, a
velocidade e a confiabilidade exigidas do canal de signaling.
Diferentes tipos de mensagens são publicadas, uma por vez, em
uma rede através de ambas as interfaces serial e Ethernet,
fornecendo um ou mais tipos de informação.
Os canais de comunicação serial são normalmente instalados
como conexões diretas para um único propósito, seguindo um
caminho único entre o IED e o receptor de dados, tal como outro
IED ou computador. A Ethernet, por sua vez, é implementada
como uma interface com meio compartilhado dentro do IED,
onde os canais de signaling, controle e ajustes compartilham
simultaneamente a mesma interface. Os IEDs dividem cada
stream de mensagens digitais em pacotes Ethernet, cada pacote
contendo informações de destino e payload. A rede Ethernet
inclui portas dos switches Ethernet de perímetro conectadas aos
IEDs e portas backbone usadas para conexão dos switches
Ethernet, alternadamente referidos como “switch bridge”
Ethernet. O canal usado para troca de sinais Ethernet entre dois

4
IEDs inclui a interface Ethernet do IED conectada diretamente
às portas de perímetro nos switches Ethernet, bem como aos
cabos e switches intermediários. O desafio do projeto e
validação apresentado pela Ethernet consiste no fato de que
cada par de portas de perímetro pode e vai ter múltiplas
combinações de switches e cabos backbone entre os mesmos, e
que cada combinação tem que ser compreendida e verificada.
Os caminhos de dados através dos múltiplos cabos e switches
entre portas de perímetro mudam à medida que ocorrem falhas e
novos caminhos lógicos são criados para entregar os dados
através de diferentes combinações de cabos e switches.

5
 TABELA I
RECOMENDAÇÕES DO TRÁFEGO IEC 61850 ETHERNET [2]

Tipo da Mensagem Protocolo Atraso Largura de Banda Prioridade Aplicação

Função máximo (ms)

1A- trip Generic Object-Oriented Camada 2 (L2) 3 Baixa Alta Proteção

Substation Event multicast
(GOOSE)

1B- outra GOOSE L2 multicast 10 a 100 Baixa Média Alta Proteção

2- média Manufacturing Message Camada 3 (L3) <100 Baixa Média Baixa Controle
velocidade Specification (MMS) Protocolo TCP/IP
(“Transmission Control
Protocol with Internet
Protocol”)

3- baixa MMS L3 TCP/IP <500 Baixa Média Baixa Controle

velocidade

4 - dados Sampled Value (SV) L2 multicast 4 Alta Alta Barra de

brutos Processos

5- MMS L3 Protocolo FTP >1000 Média Baixa Gestão

transferência (“Transfer Protocol”)
de arquivos via TCP/IP

6- Sincronização de tempo L3 IP (Simple Network Baixa Média Alta Fasores Gerais,

sincronização Time Protocol) SVs
de tempo L2 (Precision Time
Protocol)

7 - comando MMS L3 IP via TCP Baixa Média Baixa Controle

6
A aplicação da troca de sinais é usada para executar funções
supervisionadas pela comunicação (teleproteção), e o método
dos sinais Ethernet distribui os dados como pacotes entre
dispositivos. A latência dos dados de sinais é definida como a
duração do tempo de tráfego dos dados desde o IED fonte até o
IED de destino. O relatório técnico “Sistemas e Redes de
Comunicação IEC 61850 para Automação de Concessionárias
de Energia – Parte 90-4: Diretrizes para Engenharia da Rede”
(“IEC 61850 Communication Networks and Systems for Power
Utility Automation – Part 90-4: Network Engineering
Guidelines”) define a latência da comunicação como o atraso
entre o instante em que os dados estão prontos para transmissão
e o instante em que eles tenham sido recebidos completamente
no(s) respectivo(s) destino(s) [2]. A IEC 61850-5 descreve as
recomendações de tráfego da IEC 61850 [3]. Ela não identifica
o outro tráfego necessário na rede IEC 61850 Ethernet para
manutenção, telefonia, vigilância por vídeo, e assim por diante.
Nas recomendações do tráfego Ethernet da IEC 61850
apresentadas na Tabela I, pode-se observar que as mensagens
GOOSE usadas para proteção tem a prioridade mais alta e o
menor atraso máximo. Esquemas de controle do tipo
“blocking” (bloqueio), via GOOSE ou qualquer outro método,
exigem uma taxa de sucesso de 99,99%, e esquemas de controle
de trip direto exigem uma taxa de sucesso de 99,999999% de
recebimento de mensagens digitais. O esquema de trip direto,
via entrega e processamento de uma mensagem GOOSE ou
outra mensagem, deve ocorrer tipicamente dentro do tempo de
20 milissegundos [4]. Uma falha é definida pela ausência da
mensagem na extremidade receptora ou, para o controle direto,
um atraso na entrega maior do que 18 milissegundos. Portanto,
a Classe de Desempenho P2/P3, Tipo 1A, da IEC 61850, exige

7
que o sistema cumpra o tempo de transmissão de 3
milissegundos em 99,9999% das vezes e que tenha um atraso
não superior a 18 milissegundos para o restante. Isso significa
que o desafio do novo projeto consiste em criar um sistema
Ethernet que entregue pacotes de forma rápida e confiável com
o mínimo de atraso adicional devido à falha de uma interface,
cabo ou switch Ethernet. Isto requer alta confiabilidade do
dispositivo para manter as falhas nos caminhos em um nível
mínimo. A análise da disponibilidade do sistema baseada nas
medidas de confiabilidade da IEC 61850-5 prevê a capacidade
de cada sistema em atender aos requisitos de segurança e
confiabilidade da IEC 60834-1. A reconfiguração da rede ao
redor de uma falha no caminho precisa ser rápida o suficiente
para atender à latência máxima do pacote durante a falha.
Quando isto não puder ser atendido através da rede de switches
escolhida, podem ser necessárias redes redundantes e
protocolos de redundância.
As mensagens podem incluir uma grande quantidade de
informações distribuídas entre múltiplos pacotes, sendo que a
duração é considerada desde o primeiro até o último pacote. Os
sinais podem também ser publicados em um pacote único que é
repetido. Se os vários pacotes iniciais não forem entregues, a
duração da latência dos dados de sinais inclui o tempo entre a
publicação do primeiro pacote e a primeira entrega com sucesso
de um pacote de mensagens. A validação da latência requer a
identificação de quais cabos e switches afetam um canal
específico para que seu desempenho possa ser medido,
verificado e melhorado, quando necessário. Uma vez que o
canal inicial tenha sido testado, os caminhos de canais
adicionais resultantes do re-roteamento da entrega de pacotes
ao redor de uma falha têm que ser testados. Mesmo em uma rede

8
pequena com um IED fonte em um switch e um IED de destino
em outro switch, haverá um número bem grande de falhas em
cabos e switches para serem simuladas e testadas. Como
exemplo da dimensão desta tarefa, considere uma rede Ethernet
simples formada por um anel de dez switches, como mostrado
na Fig. 1.

Fig. 1 - Combinações de Falhas na Rede em Anel com 10 switches

Para cada caminho possível entre os dez switches, existem dois

switches diretamente conectados aos IEDs e oito que não estão
diretamente conectados aos IEDs. Há 45 possíveis pares de
switch fonte/switch de destino das portas de perímetro,
conforme mostrado em (1). Existem 20 pontos de falhas
possíveis (dez switches mais dez links), resultando em 900
combinações de falhas nos switches e links, como mostrado em
(2), usando a fórmula de combinação C(n,r).

9
onde:
n é o número de links possíveis entre o par de switches que está
sendo testado.
r é o número de switches possíveis entre o par de switches
que está sendo testado.
Uma análise detalhada de quais falhas realmente afetam o fluxo
de dados entre os IEDs de cada caminho determinou que 285
cenários de falhas interrompem realmente o caminho entre os
dois IEDs. Testes são necessários para entender a latência
introduzida devido à reconfiguração desses modos de falha.
Para saber quais caminhos devem ser testados, é necessário ter
um conhecimento específico de como switches individuais
operam durante os modos de falha. Se não for conhecido ou não
estiver claro quais cabos e switches vão afetar o canal, todos os
900 cenários têm que ser testados. Os resultados dos testes
comprovaram que todas as portas de perímetro dos switches
apresentam o mesmo desempenho, logo não importa qual porta
é usada para conectar aos IEDs.

10
2. REDES ETHERNET PARA IEDS PCM

O sistema de comunicação Ethernet consiste numa rede

comutada com vários loops ou caminhos de cabos físicos, de
forma similar aos cabos de um sistema de distribuição de
energia elétrica, onde um é ativo e os outros podem atuar como
“hot-standby”. Os pacotes Ethernet são impedidos de trafegar
em um loop de volta para o respectivo IED de origem através de
um mecanismo do switch Ethernet que virtualmente abre e
interrompe o fluxo de pacotes. Isso funciona quase da mesma
forma que a energia elétrica que é impedida de voltar em
direção à sua fonte através de uma chave do sistema de potência
que abre o circuito fisicamente e interrompe o fluxo de energia.
Adicionalmente, de forma similar a uma rede de distribuição de
energia automatizada, quando há uma falha na rede, o sistema
detecta e isola a mesma; em seguida, o sistema efetua uma
reconfiguração entre os caminhos hot-standby para
rapidamente começar a entregar os pacotes novamente. Quando
uma parte da rede Ethernet está indisponível para a entrega de
pacotes, ela é referida como estando dark (“no escuro”).
Portanto, o período de tempo no qual um canal da rede é
interrompido e não pode entregar pacotes entre as portas de
perímetro é referido como período darkness (“escuridão”) da
rede. De forma similar aos sistemas de distribuição de energia, é
extremamente importante para a troca de sinais que os períodos
de indisponibilidade da rede sejam mantidos curtos e pouco
frequentes nas redes de distribuição de pacotes Ethernet.
Para distribuição de energia, a duração da interrupção do
sistema inclui tanto a reconfiguração da rede quanto o
restabelecimento do fornecimento de energia para o
consumidor. Para os sistemas de entrega de pacotes Ethernet, a

11
duração da interrupção inclui, de forma similar, a
reconfiguração da rede mais o subsequente restabelecimento do
canal e entrega de pacotes para o cliente. O relatório técnico
“Sistemas e Redes de Comunicação IEC 61850 para
Automação de Concessionárias de Energia – Parte 90-4:
Diretrizes para Engenharia da Rede” reflete as melhores
práticas comuns de engenharia, exigindo que a duração média
da interrupção do sistema, ou período de escuridão
(“darkness”), seja testada e medida para cada possível modo de
falha do canal de entrega de pacotes Ethernet [2] . As melhores
práticas de engenharia consistem em projetar sistemas onde o
tempo médio de “escuridão” seja breve o suficiente para estar
dentro do máximo tempo de atraso dos sinais. A distribuição
estatística indica o pior caso de atraso no canal de troca de sinais
causado pela falha de um switch Ethernet. A duração e a
probabilidade do atraso do pior caso têm que ser compreendidas
e mitigadas através da seleção de dispositivos de rede com
disponibilidade suficiente, medida como o tempo médio entre
falhas (“mean time between failures” – MTBF”) em anos.
A duração do tempo de execução da troca de sinais de PCM
inclui o processamento dentro de ambos os IEDs de origem e
destino, bem como a propagação da mensagem digital através
da rede. A confiabilidade do aplicativo global é maximizada
através de aplicações de PCM primárias duais, cada uma com
sua própria rede de mensagens digitais. Os métodos de teste
apresentados neste artigo são igualmente aplicáveis nos testes
de redes primárias individuais ou duais. Mesmo que ambas as
redes serial e Ethernet possam ser implementadas de forma
individual ou redundante, não é possível responder a perguntas
sobre o desempenho da rede Ethernet da mesma forma que tem
sido possível em relação às redes seriais. Por exemplo, a

12
Ethernet multisserviços compartilha a largura de banda
disponível com o signaling e outros protocolos, o que pode
afetar o desempenho da entrega de mensagens. Além disso, os
parâmetros das mensagens dos pacotes Ethernet trabalham em
conjunto com os ajustes dos switches para controle dos
caminhos dos canais de signaling e, portanto, do desempenho
da entrega através da rede. Talvez a diferença mais útil
fornecida pela Ethernet seja a capacidade de reconfiguração
após uma falha no cabo ou switch, visando usar o caminho hot-
standby. Uma vez que a reconfiguração tenha sido concluída, a
troca de sinais procede normalmente; no entanto, períodos de
escuridão durante a reconfiguração podem impactar a troca de
sinais durante um evento no sistema de potência. Essas
diferenças, que tornam as redes Ethernet flexíveis para
reconfiguração após falhas, geram um desafio para
compreensão do desempenho do canal de troca de sinais
Ethernet.

13
3. TEMPO DE TRANSMISSÃO, TRANSFERÊNCIA E
TRÂNSITO DO SINAL

O tempo de transferência especificado para um aplicativo é o

tempo permitido para uma troca de sinais ou dados através de
um sistema de comunicação. O tempo de transferência é
mostrado na Fig. 2 (que é da IEC 61850-5) como a duração do
tempo entre a ação de transmissão de um valor a partir do
processamento da lógica de um dispositivo até o processamento
da lógica dentro de um segundo dispositivo como parte de um
aplicativo. A duração do tempo para publicar a informação do
sinal do Dispositivo Físico 1 (PD1: “Physical Device 1”),
entregá-lo através de uma mensagem de protocolo, e atuar
sobre o mesmo no Dispositivo Físico 2 (PD2: “Physical Device
2”), é o tempo de transmissão do sinal ou informação. Esta
duração do tempo de transmissão representa realmente a
execução de uma ação como parte de um esquema de proteção
ou automação supervisionado pelas comunicações. O tempo de
trânsito, tb, é a duração do tempo que leva para a mensagem
trafegar através da rede de comunicação.

Fig. 2 - Tempo de Transmissão e Tempo

de Transferência Baseados na IEC 61850-5
14
As melhorias efetuadas na IEC 61850, documentadas na Edição
2, enumeram diferentes tipos de mensagens e respectivos
tempos de transferência associados, como mostrado na Tabela
II.
TABELA II
REQUISITOS DOS TEMPOS DE
TRANSFERÊNCIA DA IEC 61850 [2]
Classe do Tempo de Tempo de
Exemplo de Aplicação
Transferência Transferência (ms)

Conteúdos de registros,
TT0 >1000
eventos, arquivos

TT1 1000 Eventos, alarmes

TT2 500 Comandos do operador

TT3 100 Interações automáticas lentas

Interações automáticas
TT4 20
rápidas

Publicações, mudanças de
TT5 10
estado

TT6 3 Trips, bloqueios

Algumas perguntas que são respondidas através de

procedimentos de testes diretos e óbvios para redes seriais já
não são tão fáceis de serem respondidas usando Ethernet.
Algumas destas questões incluem o seguinte:
Ÿ Questão 1: Como validar a duração do tempo entre um
evento do sistema de potência e uma reação de mitigação
subsequente em um IED remoto (o tempo total do
aplicativo da troca de sinais) através de um aplicativo

15
 baseado na troca de sinais Ethernet?
Ÿ Questão 2: Como validar a duração do tempo de
transmissão entre a detecção de um evento em um IED e
uma reação de mitigação subsequente em um segundo
IED?
Ÿ Questão 3: Como validar a duração do tempo de
transferência entre a publicação de uma mensagem em um
IED e o processamento da mensagem subsequente em um
segundo IED?
Ÿ Questão 4: Como validar a duração do tempo de trânsito da
entrega de mensagens entre IEDs?
Ÿ Questão 5: Como verificar o impacto de uma falha e
reconfiguração para um caminho de rede Ethernet hot-
standby para cada uma das questões anteriores?
Ÿ Questão 6: Como verificar se os switches Ethernet estão
configurados corretamente para os parâmetros da
mensagem de troca de sinais?
Ÿ Questão 7: O canal de troca de sinais será afetado se a rede
for expandida?
Ÿ Questão 8: A confiabilidade do canal aumentará com o uso
do Protocolo de Redundância Paralela (“Parallel
Redundancy Protocol” – PRP)?
Para cada uma destas questões, os engenheiros de redes,
proteção e automação frequentemente perguntam: Como vou
saber durante a fase de desenvolvimento? Como vou saber
durante um teste de aceitação de fábrica? Como vou saber
durante um teste de aceitação no local? Como vou saber durante
o monitoramento contínuo? Muitas outras questões sobre os
IEDs, protocolos e configurações de mensagens Ethernet são
igualmente importantes para o signaling (embora estejam fora

16
do escopo deste artigo). A troca de sinais via mensagens digitais
exige uma abordagem específica das melhores práticas de
engenharia durante a especificação e projeto [2] [4] [5] [6]. As
melhores práticas de engenharia para teste e validação estão
dentro do escopo deste artigo.

17
4. IEC 61850 GOOSE PARA TROCA DE SINAIS DE
AUTOMAÇÃO E CONTROLE

Existem muitas mensagens Ethernet usadas com o propósito de

efetuar a troca de sinais (“signaling”), tais como comunicações
MIRRORED BITS® transportadas sobre Ethernet, EtherCAT,
IEC 61850 GOOSE e protocolos para variáveis globais de rede.
Nossos testes focaram na mensagem IEC 61850 GOOSE
internacionalmente padronizada. As mensagens IEC GOOSE
usadas para signaling são mais frequentemente implementadas
entre outros protocolos Ethernet para IEDs sobre uma rede
Ethernet comutada e são multicast para vários subscribers.
Portanto, as mensagens GOOSE não são tipicamente
publicadas a uma taxa de frequência fixa rápida porque isto cria
muito tráfego na rede Ethernet com largura de banda
compartilhada. As interfaces Ethernet suportam múltiplos
protocolos padrão simultaneamente, incluindo Telnet, FTP,
HTTP (“Hypertext Transfer Protocol”), e os protocolos de troca
de sinais mencionados anteriormente. A IEC 61850 também
combina vários protocolos sobre a rede de uso compartilhado, e
GOOSE pode ser usada para numerosas aplicações com
diferentes desempenhos. Portanto, todas as mensagens,
incluindo GOOSE, têm que ser cuidadosamente projetadas para
compartilhar os recursos dos IEDs disponíveis e navegar
corretamente na rede Ethernet. Embora esteja fora do escopo
deste artigo, o projeto de aplicações GOOSE também tem
impacto no tempo de transferência [2] [4] [5] [6].
O canal de troca de sinais é definido como uma mensagem
GOOSE via Ethernet publicada com frequência variável sobre
uma rede de comunicação Ethernet compartilhada com
múltiplos caminhos entre duas portas Ethernet de perímetro

18
conectadas aos IEDs. De acordo com a norma IEC 61850, uma
mensagem de sinais GOOSE é publicada imediatamente após
uma mudança de estado e, em seguida, diversas mensagens
GOOSE adicionais são publicadas em forma de rajadas
(“burst”) rápidas após a mudança de estado. Essas mensagens
GOOSE adicionais são referidas como retransmissões porque
elas retransmitem os dados de sinais no caso de alguns dos
sinais GOOSE iniciais serem perdidos ou atrasados. Pelo
menos uma retransmissão GOOSE tem que ser projetada para
ocorrer ligeiramente depois do evento, baseando-se na duração
do pior caso de indisponibilidade (“escuridão”) da rede. Após
as retransmissões GOOSE, mensagens GOOSE repetitivas
(referidas como “batida do coração”) são publicadas menos
frequentemente e são usadas pelos subscribers para
supervisionar a saúde do canal.
A norma IEC 61850 Parte 8-1 descreve o uso do identificador da
rede de área local virtual (“virtual local-area network identifier”
– VID) da IEEE 802.1Q, a prioridade de mensagem da IEEE
802.1p, e o código de acesso à mídia (“media access control” –
MAC) da IEEE 802.3, que é usado como um código de acesso
multicast, como parâmetros da mensagem GOOSE. Estes
atributos precisam ser projetados com cuidado e precisão pelos
projetistas das redes de comunicação e troca de mensagens dos
IEDs [4] . Tais atributos funcionam de forma coordenada com
as tecnologias dos switches Ethernet descritas neste artigo,
visando fornecer desempenho de missões críticas. As melhores
práticas de engenharia exigem que a mensagem do IED, switch
Ethernet e a configuração da rede sejam executadas com
precisão para segregar corretamente os pacotes dos sinais
Ethernet [7] . A segregação da rede reduz a probabilidade de
que a entrega de mensagens GOOSE seja afetada por outro

19
tráfego ou que interfira em IEDs não subscritos. As melhores
recomendações práticas da engenharia para troca de mensagens
multicast incluem o seguinte: atribuir a cada mensagem
GOOSE uma rede de área local virtual (“virtual local-area
network” – VLAN) compatível e um endereço MAC exclusivo
a partir de qualquer outra mensagem GOOSE; não permitir
nenhuma mensagem multicast na rede sem VLAN; desabilitar
todas as portas de switches não utilizados; configurar cada porta
de switch para bloquear a entrega de mensagens não desejadas;
e atribuir alta prioridade às mensagens GOOSE. Essas
recomendações foram seguidas durante a execução dos testes
da rede para este artigo.

20
5. CRITÉRIOS DE TESTE DA REDE ETHERNET E IEC
61850 GOOSE

O relatório técnico “Sistemas e Redes de Comunicação IEC

61850 para Automação de Concessionárias de Energia – Parte
90-4: Diretrizes para Engenharia da Rede” fornece
recomendações sobre a engenharia e o comissionamento da
rede [2] . A Seção 5.3.17 descreve os testes e recomenda o
seguinte: “Uma vez que a rede tenha sido projetada, sua
conformidade com os requisitos precisa ser testada, primeiro
através de uma verificação do projeto, em seguida durante os
testes de aceitação de fábrica e, finalmente, durante a aceitação
no local”. Este relatório técnico também exige que, durante a
operação, um subconjunto de testes apropriados continue a
monitorar a rede de forma a detectar e atenuar falhas.
Contudo, é muito difícil provocar o evento do pior caso para os
tempos ta, tb, e tc da Fig. 2. simultaneamente. Portanto, as
melhores práticas de engenharia requerem que sejam efetuados
os testes e as medições do pior caso para cada tempo,
individualmente, e os cálculos do total do pior caso como sendo
o valor agregado (ta + tb + tc). Experiências mostram que os
switches Ethernet projetados para troca de sinais GOOSE via
Ethernet tipicamente entregam pacotes em uma rede operando
normalmente num tempo bem abaixo de 1 milissegundo. Neste
artigo, usamos switches de rede Ethernet e IEDs que juntos
atendem ao tempo de transferência da troca de sinais definido
na Classe de Desempenho P2/P3, Tipo 1A, ou seja, menor do
que 3 milissegundos para uma rede Ethernet usando o caminho
do canal primário [4]. Além disso, esses IEDs são sincronizados
através de uma fonte IRIG-B com precisão de microssegundos;
logo, um erro de sincronização do relógio do IED é desprezível

21
.e ignorado. Os múltiplos dispositivos são sincronizados com a
mesma fonte de tempo e, portanto, compartilham o mesmo
tempo absoluto. A precisão e a sincronização de tempo são
importantes porque as estampas de tempo dos IEDs são usadas
para calcular as durações de tempo para os resultados do teste.
Os IEDs vão executar cada tarefa, tal como detectar uma
mudança no sistema de potência e, subsequentemente, executar
a lógica e registrar um relatório no Registrador Sequencial de
Eventos (“Sequential Events Recorder” – SER) em algum
momento durante cada ciclo de operação. Os IEDs não
monitoram entradas ou lógicas de processamento
continuamente; eles são projetados com intervalos específicos
de processamento que determinam com que frequência eles
fazem uma varredura das respectivas entradas e processam as
respectivas lógicas. Para os IEDs usados em testes com um
ciclo de operação de 2 milissegundos, uma mudança de estado
de uma variável da lógica Booleana e de uma entrada binária
são reconhecidas somente uma vez a cada 2 milissegundos.
Eventos com disparo de sinais, tais como mudanças de bits de
sinais GOOSE de entrada ou saída e fechamento dos contatos
das entradas digitais, e respectivos SERs subsequentes,
ocorrerão em pontos assíncronos durante o ciclo de operação f1
de PD1 mostrado na Fig. 2. Eventos com resposta aos sinais,
tais como equações lógicas, mudanças nos bits de sinais
GOOSE de entrada ou saída e fechamento dos contatos das
saídas digitais, e respectivos SERs subsequentes, ocorrerão em
pontos assíncronos uniformemente distribuídos através do
ciclo de operação f2 de PD2 mostrado na Fig. 2. Usando a regra
prática (“range rule”) para o desvio padrão, aproximamos o
desvio padrão para que o erro das estampas de tempo seja um
quarto do tempo do ciclo de operação e a média como a metade.

22
Portanto, aproximamos o tempo típico do processamento da
resposta de f1 ou f2 para ser metade da duração do ciclo de
operação. Além disso, os valores das estampas de tempo do
SER têm uma precisão de 0 + 0,5 da duração do ciclo de
operação. As falhas na rede Ethernet são testadas para validar de
que forma elas impactam o tempo tb mostrado na Fig. 2.

23
6. ATRASOS E LATÊNCIA DA REDE

A latência da rede é a quantidade de tempo que leva para

entregar um pacote (mensagem) a partir da porta do dispositivo
fonte até a porta do dispositivo de destino através da rede
Ethernet. Cada dispositivo do canal ativo entre a fonte e o
destino adiciona alguma latência, e cada latência individual tem
que ser considerada. No caso em que o canal inteiro consiste de
switches Ethernet gerenciados, uma matemática simples pode
ser usada para calcular a latência mínima que será observada
quando não houver falhas e nenhum frame for atrasado pelas
transmissões de mensagens ativas. Um link de 100 Mbps move
1 byte aproximadamente a cada 80 nanossegundos, e um link de
1 Gbps move 1 byte aproximadamente a cada 8 nanossegundos.
Portanto, a latência através de qualquer switch individual está
diretamente relacionada ao tamanho do pacote, conforme
exibido na Fig. 3 .

Fig. 3 - Desempenho na Entrega de Pacotes de Switches

Ethernet Mostrando a Latência Versus Tamanho do Pacote
24
Cada switch adiciona tipicamente um atraso de 4
microssegundos durante o processamento de pacotes internos.
Cada pacote também tem um gap entre frames de 8 bytes e uma
sequência de verificação de frames de 4 bytes, que efetivamente
adicionam 12 bytes no tamanho de cada frame. Usando esses
números, pode-se calcular a latência do melhor caso para um
pacote através de uma rede sobre um caminho conhecido. O
cálculo do tempo desde que o primeiro byte sai do IED
transmissor até que o último byte esteja no IED receptor, mais
os 12 bytes adicionais, para um pacote de 100 bytes que precisa
passar através de um máximo possível de 20 switches é o
seguinte:

onde:
Dos 2 links em 100 Mbps, um é a saída do IED transmissor e
outro é a entrada do IED receptor.
Todos os links switch-para-switch (backbone) devem sempre
usar a largura de banda mais alta disponível.
O tempo mínimo desde o instante em que o IED transmissor
começa a introduzir a mensagem na rede até o instante no qual o
IED receptor recebe o byte final, e está apto a iniciar o
processamento, é de 0,11 milissegundo. Este tempo é muito
pequeno em relação ao tempo total designado à entrega da
mensagem no aplicativo de troca de sinais (“signaling”);

25
contudo, isto não precisa ser compreendido.
Esses cálculos não incluem quaisquer atrasos que ocorrem
enquanto o pacote trafega através da rede, os quais podem ser
introduzidos quando múltiplos pacotes estão prontos para sair
da mesma porta do switch ao mesmo tempo. O pacote será
atrasado pelo tempo que leva para enviar o número restante de
bytes do pacote precedente através do link. Se o pacote
estivesse atrasado em relação a um pacote único com
dimensionamento máximo (1500 bytes) em cada link gigabit do
exemplo de 20 nós previamente descrito, então a latência de
transmissão total aumentaria em 230 microssegundos (8 1.512
19).
Quando dois ou mais pacotes precisam ser enviados da mesma
porta, ao mesmo tempo, o link da rede é considerado
“oversubscribed” (“excesso de subscrições”).
Oversubscription é um fenômeno comum e esperado nas redes
baseadas em pacotes e é gerenciado através do armazenamento
temporário (“buffering”) de pacotes que estão esperando para
serem enviados enquanto os pacotes prioritários estão sendo
enviados. O buffering introduz um de tempo de latência
adicional na entrega de pacotes em relação ao número e
tamanho dos pacotes prioritários que precisam ser enviados
para a porta desejada naquele determinado instante. A Fig. 4
exibe um gráfico com exemplo da latência cumulativa total em
cada salto (“hop”) de um pacote à medida que ele trafega sobre
uma rede, onde alguns saltos estão oversubscribed e causam
atrasos extras e outros não.

26
 Fig. 4 - Desempenho na Entrega de Pacotes de Switches
Ethernet Mostrando um Exemplo de Atraso Cumulativo

O buffer de memória do switch é limitado, ou seja, há limites

para o número de pacotes que podem ser armazenados em
buffer. Se este limite do buffer interno for alcançado, então os
pacotes que precisam ser enviados a partir de uma porta serão
descartados. O descarte de pacotes devido à ocorrência de
oversubscription de longo prazo é chamado de saturação. O
ponto no qual o fenômeno de oversubscription contínuo se
torna uma condição de saturação é dependente do hardware;
logo, diferentes dispositivos de diferentes fabricantes vão
provavelmente se comportar de forma diferente. A Fig. 5 mostra
um exemplo da latência do pacote em uma porta. Uma porta que
não está constantemente oversubscribed terá, às vezes, maior
latência; contudo, quando pacotes oversubscribed forem
enviados mais rápido do que novos pacotes são armazenados
em buffer, a latência na porta retorna ao normal. No caso de
oversubscription constante, a latência continuará a aumentar à
medida que os pacotes que estão sendo recebidos são

27
armazenados em buffer mais rapidamente do que os pacotes são
enviados. Quando os buffers internos são esgotados, a latência
de pacotes bem sucedidos se torna constante, mas os pacotes
que não podem mais ser armazenados em buffer serão
descartados.

Fig. 5 - Desempenho na Entrega de Pacotes de Switches

Ethernet Mostrando Oversubscription e Saturação

Ao projetar uma rede de entrega de mensagens de sinais para

missão crítica, é importante entender completamente o fluxo de
tráfego na rede. Isto significa compreender o tipo de tráfego que
está sendo introduzido na rede, a largura de banda total do
tráfego e a frequência com que o tráfego será introduzido na
rede. A compreensão dessas características do tráfego na rede
permite efetuar uma análise da possibilidade de saturação
(descartando pacotes) ou de possíveis preocupações de latência
devido às amplas rajadas de pacotes que não vão resultar em

28
saturação mas que ainda causam atrasos no armazenamento em
buffer. Conforme mostrado nos cálculos anteriores, os links
gigabit (ou largura de banda mais alta) são capazes de
transportar uma grande quantidade de tráfego da rede de forma
bem rápida. Como exemplo, a Fig. 6 mostra o uso da largura de
banda de mensagens que estão sendo publicadas por três IEDs
executando tarefas bem simples baseadas em MMS e GOOSE,
e outras tarefas mínimas baseadas em Ethernet. As publicações
destes três IEDs, embora normalmente com largura de banda
muito baixa, crescem em tamanho e frequência, consumindo
mais largura de banda. Isto satura rapidamente uma porta do
switch Ethernet de 10 Mbps quando os IEDs experimentam
uma mudança de estado, tal como uma operação do disjuntor.
Como resultado, a maioria dos switches atuais suporta portas de
perímetro de 100 Mbps, e os projetistas de rede precisam
considerar cuidadosamente o fluxo de dados através das portas
backbone.

Fig. 6 - Uso de Largura de Banda Resultante da Mudança de Estado

29
É também recomendado que mensagens críticas utilizem a
priorização de pacotes [4] [5]. As normas IEEE 802.1Q e IEEE
802.1p possibilitam aplicar uma marca de prioridade em um
pacote, habilitando um tratamento especial das mensagens de
alta prioridade pelos switches. Dependendo da configuração
dos switches, é possível priorizar as mensagens mais críticas
para que elas sejam o próximo pacote a ser enviado da porta,
passando na frente de todos os outros pacotes. O único atraso
para esses pacotes de alta prioridade seria causado por outros
pacotes com prioridade igual ou superior.
É necessário efetuar cuidadosamente algumas considerações
especiais quando a capacidade da largura de banda mudar de um
segmento de rede para outro. Por exemplo, uma rede com um
backbone gigabit suportará um grande número de dispositivos
transmitindo uma grande quantidade de dados. Se um outro
segmento da rede for conectado sobre um link muito mais lento
(T1, por exemplo), então serão necessários cuidados especiais
para garantir que o tráfego desnecessário não entre neste link
mais lento pois o link vai rapidamente se tornar saturado. O uso
do identificador VID da norma IEEE 802.1Q permite que os
switches efetuem a segregação do tráfego a partir desses
segmentos de largura de banda mais baixa visando evitar a
saturação.

30
7. RECONFIGURAÇÃO DA REDE ETHERNET

Existem vários protocolos e algoritmos proprietários e

padronizados usados para determinar caminhos primários e
caminhos operando no modo failover, bem como regras sobre
como alternar entre os mesmos. Há dois tipos de falhas na rede:
falhas do switch (“bridge death”: “morte do switch bridge”) e
falhas do link (“link loss”: “perda do link”). Compreender o
comportamento do algoritmo de reconfiguração da rede é
fundamental para efetuar um projeto apropriado de uma rede
para troca de mensagens críticas.
O algoritmo RSTA (“Rapid Spanning Tree Algorithm”) é um
método padrão amplamente utilizado que usa o protocolo RSTP
(“Rapid Spanning Tree Protocol”) para efetuar a comunicação
entre switches. Quando ocorre uma falha, o RSTA é resolvido
para determinar como a rede deve ser reconfigurada e o RSTP é
então usado para acionar a reconfiguração. Partes da rede que
são afetadas por esta reconfiguração podem estar indisponíveis
para entregar pacotes durante a transição ou período de
escuridão da rede.
O RSTA escolhe sempre manter a rede na configuração ideal
para entrega de mensagens; quando ocorre uma falha, uma nova
configuração ideal é então determinada, e a rede faz a transição
para esta nova configuração. O RSTP, por default, escolhe
caminhos ativos (e, por sua vez, caminhos inativos) de forma
que o comprimento de todos os caminhos entre switches entre
dispositivos finais seja minimizado, utilizando links com as
maiores larguras de banda possíveis. É possível controlar essas
decisões e forçar caminhos específicos para serem ativos (e
outros inativos) se isso for necessário para satisfazer as
necessidades de engenharia. Se a condição de falha for

31
resolvida, seja através do restabelecimento do link que estava
perdido (restauração do link), ou substituindo ou consertando o
switch que falhou (“bridge life”: “reestabelecimento do switch
bridge”), a rede vai reverter para a configuração anterior que era
ideal de acordo com o RSTA. Este evento restaurativo também
vai causar uma breve indisponibilidade (escuridão) da rede nas
mesmas seções da rede que foram submetidas à esta escuridão
durante a falha original. É importante efetuar a conexão física
dos fios e configurar corretamente os switches da rede para
fornecer o desempenho requerido pelo aplicativo que vai usar a
rede. O RSTP permite controlar qual switch comanda o RSTA
de uma rede, escolhendo o switch bridge raiz baseado no ajuste
de prioridade de switch bridge. O switch bridge raiz de uma
rede controlada por RSTP, frequentemente considerada o
centro lógico da rede, é muito importante porque todas as outras
decisões sobre caminhos ativos e inativos são baseadas na sua
localização. Recomenda-se que um dispositivo com MTBF
muito elevado seja escolhido para este dispositivo e para seu
backup. A raiz de backup é o dispositivo que se tornará o centro
lógico da rede responsável pelas decisões do RSTA no caso de
falha do dispositivo raiz. Uma falha do switch bridge raiz é
muito traumática para uma rede RSTP porque todas as decisões
sobre caminhos precisam ser recalculadas para usar o
dispositivo raiz de backup.

32
8. TESTES DO TEMPO DA APLICAÇÃO DE TROCA DE
SINAIS ETHERNET

Antes de testar o desempenho da rede, é necessário verificar se

as portas de perímetro e backbone estão configuradas
corretamente. Para operação normal e para cada modo de falha,
cada porta de perímetro tem que demonstrar o egresso correto
da mensagem. Este teste é realizado através de um dispositivo
de teste de configuração da rede. Cada combinação do endereço
MAC e VLAN da configuração da mensagem é injetada na
rede, e o display exibe quais mensagens foram transmitidas
com êxito a partir de cada porta de perímetro. Isto responde a
Questão 6 da Seção III.
Numa escala reduzida, dispositivos substitutos genéricos e
ferramentas de simulação foram usadas para simular e testar as
comunicações Ethernet durante falhas dos switches e perdas de
links forçadas manualmente. No entanto, estes resultados
obtidos no ambiente de laboratório exigem muito esforço
manual e muitas vezes variam significativamente das
aplicações do mundo real. Além disso, essas ferramentas
exigem maior nível de expertise e compreensão das
comunicações baseadas em Ethernet do que para os IEDs e
switches. Mais importante ainda, elas não são projetadas para
executar testes repetitivos e nem são capazes de provocar
automaticamente falhas de switches e perda de links. Contudo,
muitos IEDs modernos possuem recursos incorporados com
lógicas e estatísticas de comunicação, os quais são usados para
monitorar o desempenho da rede em tempo real. O uso dos IEDs
instalados para calcular os parâmetros de desempenho e
latências da rede propicia um monitoramento eficiente e
constante do desempenho da rede. Adicionalmente,

33
dispositivos substitutos especializados e IEDs extras instalados
para as medições de teste fornecem medições fáceis e precisas.
A duração do tempo total da aplicação de troca de sinais entre
um evento no sistema de potência e uma reação de mitigação
subsequente executada por um IED remoto (ver Questão 1) é
medida usando os IEDs substitutos com lógicas sincronizadas
(“surrogate synchronized logic IEDs” – SLIs). Os dispositivos
substitutos são conectados aos sistemas em serviço e no
laboratório para simular ações do sistema de potência e
monitorar as reações dos IEDs para o propósito de teste. Esses
SLIs possuem sincronização de alta precisão com uma fonte de
tempo IRIG-B, incluem lógicas sincronizadas no tempo e
geram relatórios do SER digitais de alta precisão. Os SLIs
disparam a lógica precisamente no topo do segundo com
precisão de microssegundos e, quando sincronizados com a
mesma fonte de tempo, vão iniciar as atividades de teste
precisamente no mesmo ponto específico no tempo.
Usando a lógica sincronizada, o SLI1 da Fig. 7 provoca uma
mudança de estado nas contingências do sistema de potência
simulado através de um contato de saída conectado (“wired”) a
um contato de entrada no PD1 precisamente no topo do
segundo. O SLI2 parte um temporizador no topo do segundo.
Após a detecção de um contato de entrada, PD1 publica
mensagens GOOSE com dados da mudança de estado para
PD2, que em seguida fecha um contato de saída como uma
reação de mitigação. SLI2 detecta a saída de PD2 como um
contato de entrada e interrompe o temporizador como a duração
do tempo da aplicação total da troca de sinais. Os
temporizadores de SLI têm precisão de 0 + 1 milissegundo em
função das partidas com precisão e duração do ciclo de
operação de 2 milissegundos. Para verificação, o contato de

34
saída de SLI1 foi também temporariamente conectado
(“hardwired”) ao SLI2, e a duração de tempo entre os dois
contatos de entrada no SLI2 foi medida separadamente, sendo
confirmada a exatidão do temporizador no topo do segundo no
SLI2. Isso significa que múltiplos SLIs podem ser distribuídos
ao longo de qualquer distância e criar medições precisas no
tempo através apenas da troca de mensagens digitais quando
sincronizados com a mesma fonte de tempo. O tempo da
aplicação da troca de sinais total típico foi medido como sendo
inferior a 14 milissegundos.

Fig. 7 - Rede Usada no Teste

Durante estes testes, a duração do tempo de transmissão

mostrada na Fig. 2 (que se relaciona à Questão 2) é
simultaneamente medida em ambos o SLI substituto e outros
IEDs. O SLI1 registra um SER da mudança de estado como se
fosse publicado em uma mensagem GOOSE de saída; o SLI2
registra a recepção do bit desta mudança de estado em uma
mensagem GOOSE. Esta medição da duração do tempo de
transmissão é a diferença entre as estampas de tempo do SER e
tem precisão de 0 + 1 milissegundo em função da duração do

35
ciclo de operação de 2 milissegundos e da lógica de precisão
baseada no topo do segundo. O segundo cálculo do tempo de
transmissão do SER é a diferença entre o SER da mudança de
estado do contato de entrada em PD1 e a mudança de estado do
bit do payload de GOOSE em PD2. Estes IEDs também têm
uma duração do ciclo de operação de 2 milissegundos. No
entanto, esses IEDs são relés de proteção projetados para
observar ciclos do sistema de potência e não são otimizados
para iniciar processos de lógicas de teste em uma hora precisa
do dia. Portanto, tanto a partida do temporizador quanto a
parada do temporizador no PD1 terão um erro típico de 0 + 1
milissegundo, para um erro típico de cálculo da duração total de
0 + 2 milissegundos. Para cada um desses testes, a mudança de
estado é controlada automaticamente para testes repetitivos de
um grande número de amostras ou por um pushbutton (botão de
pressão) do painel frontal de um IED para amostras em serviço.
O tempo de transmissão típico foi medido como sendo ≤ 4
milissegundos para SLIs e ≤ 5 milissegundos dentro dos relés
de proteção.
Os testes dos tempos de transmissão e transferência foram
realizados através da coordenação da mudança de estado com a
falha na rede para confirmar os tempos típicos. Em seguida, as
falhas foram testadas separadamente de forma automática
visando obter um número de amostras estatisticamente
significativo para compreender a distribuição estatística,
média, mediana e desvio padrão.
O teste de trânsito requer a injeção de pacotes de testes
específicos e não deve ser executado continuamente em
sistemas em serviço. No entanto, os testes dos tempos de
transmissão e transferência podem ser realizados em um
laboratório, durante um teste do sistema na fábrica, durante um

36
teste de aceitação no local, e continuamente como uma função
da autodiagnose do sistema. Eles são efetuados em dispositivos
executando os aplicativos de controle e automação e em
dispositivos substitutos adicionados ao sistema
especificamente para teste e validação. Uma vez que tenham
sido testados para uma aplicação específica, os IEDs vão ter
desempenhos similares no laboratório e em serviço. Contudo,
os tempos vão variar com as mudanças no tráfego da rede e
falhas nos caminhos. Durante estes testes, a duração do tempo
de transferência entre os SLIs e PDs da Fig. 7 (que está
relacionado à Questão 3) é simultaneamente calculada. O
tempo de transferência típico é calculado para ter (tempo de
transmissão – (tf2)/2) uma precisão de 0 + 0,5 da duração do
ciclo de operação. Adicionalmente, um teste ping-pong pode
ser executado, no qual o segundo IED reage retornando uma
mudança de estado em outra mensagem GOOSE e o primeiro
IED mede o tempo de ida e volta (“roundtrip”). O tempo de
transmissão típico foi calculado como sendo ≤ 2 milissegundos
para os SLIs e ≤ 3 milissegundos para os relés de proteção. Em
cada teste, a rede se comporta da mesma forma e a diferença na
duração é um resultado das diferenças na precisão das
medições.
Para os critérios de teste, escolhemos satisfazer a aplicação da
troca de sinais de missão crítica para controle ou trip direto com
um tempo típico de transferência dos sinais inferior a 3
milissegundos, conforme Classe de Desempenho P2/P3, Tipo
1A, da IEC 61850. Baseando-se no uso de IEDs com tempo de
operação de 2 milissegundos, o tempo típico de transmissão de
sinais é inferior a 5 milissegundos. O tempo máximo de
transmissão de sinais de 20 milissegundos foi selecionado para
atender aos esquemas específicos de proteção e automação [4].

37
O delta de tempo entre os tempos de transmissão típico e
máximo (neste caso, 15 milissegundos) se torna a duração da
indisponibilidade (escuridão) da rede máxima absoluta. A
duração da escuridão da rede máxima verdadeira tem que ser
curta o suficiente para permitir que a transmissão de uma
mensagem GOOSE satisfaça a duração máxima do sinal.
Configuramos os IEDs para retransmitir em 4, 8 e 16
milissegundos após a mensagem GOOSE da mudança de
estado inicial. Portanto, os valores máximos da
indisponibilidade da rede absoluta e verdadeira são ambos 15
milissegundos.
Se os IEDs não forem capazes deste padrão de retransmissão, o
teste pode falhar. Por exemplo, se o padrão de retransmissão for
para transmitir em 1, 3, 7 e 14 milissegundos após uma
mudança de estado, a duração absoluta da escuridão vai se
sobrepor a todas as mensagens; logo, o máximo real seria de 13
milissegundos. Alternadamente, a retransmissão em 94, 500 e
1000 milissegundos após uma mudança de estado nunca vai
atender ao tempo máximo de transmissão de sinal se a
mensagem inicial for perdida. Neste caso, se houver uma falha e
interromper a entrega da primeira mensagem e, nesta condição,
a indisponibilidade da rede terminar dentro de 15
milissegundos, a mudança de estado não será publicada para os
subscribers até 94 milissegundos depois.
Testamos também uma categoria diferente de PDs que têm um
ciclo de operação mais lento e não possuem temporizadores de
contagem normal. Portanto, usamos um temporizador de
contagem regressiva para verificar se o teste ping-pong da
mensagem GOOSE é concluído dentro de duas vezes o tempo
de transferência aceitável. Estes IEDs também têm uma
duração do ciclo operacional de 4,17 milissegundos em

38
sistemas de 60 Hz. Logo, ambos o temporizador de partida e
temporizador de parada de PD1 vão ter, cada um, um erro típico
de 0 + 2,08 milissegundos, para um erro típico de cálculo da
duração total de 0 + 4,17 milissegundos. Para cada um desses
testes, a mudança de estado é controlada automaticamente para
testes repetitivos de um grande número de amostras ou por um
pushbutton no painel frontal de um IED para amostras em
serviço. O tempo de transmissão de ida e volta típico foi medido
como sendo ≤ 16 milissegundos, resultando numa média de um
tempo de transmissão só de ida ou volta ≤ 8 milissegundos
dentro destes IEDs.
Esses mesmos testes de duração dos tempos de transmissão,
transferência e trânsito são realizados durante a injeção de
tráfego adicional na rede Ethernet. Se o tráfego não passar
através das portas de perímetro específicas, quaisquer
diferenças na temporização são resultado do desempenho do
canal. Quando o tráfego adicional é permitido nas portas de
perímetro, isto também afeta o processamento nos IEDs.

39
9. TESTES DO TEMPO DE RECONFIGURAÇÃO DA
REDE ETHERNET

Testes precisos da indisponibilidade (escuridão) da rede

durante uma falha ou evento restaurativo exigem o uso de
técnicas de medição que sejam análogas à aplicação de
interesse. No caso de um aplicativo com mensagens multicast
GOOSE críticas, é necessário efetuar um teste da mensagem
multicast. O uso de uma mensagem unicast padrão ou uma
mensagem especializada, tal como um ping (que é usado para
testar a conectividade do endereço da rede IP), não é
apropriado. Os testes da rede de signaling têm que ser
executados usando uma mensagem multicast sem endereço IP,
que é o formato da mensagem GOOSE. O uso de um testador
baseado no ping não fornecerá resultados precisos para os
tempos de reconfiguração da rede de troca de sinais via
mensagens GOOSE.
A duração do tempo de trânsito de dados que requer várias
mensagens (ver Questão 4 na Seção III) é validada com um
dispositivo substituto independente para teste da escuridão da
rede (“network darkness test” – NDT), que publica mensagens
que imitam as mensagens de aplicações críticas em uma
frequência fixa e monitora sua recepção. A escuridão da rede
que causa a perda de pacotes é observada pela contagem do
número de pacotes não entregues consecutivos. O período de
escuridão é calculado como o número de pacotes não entregues
devido à perda ou atraso multiplicado pelo tempo entre
publicações. Para este teste, o dispositivo NDT foi configurado
para publicar uma mensagem a cada 0,25 milissegundo.
As medições da escuridão indicam o impacto de cada falha e
subsequente reconfiguração para um caminho da rede Ethernet

40
hot-standby (ver Questão 5). Esses tempos são então usados
para calcular o impacto na aplicação total.
O dispositivo NDT automaticamente controla e mede o evento
de falha na rede e restauração (falhas e restaurações tanto de
link quanto de switch bridge) de forma que um número
estatisticamente significativo de amostras necessárias para
entender a distribuição estatística de cada rede seja medido.
Essas grandes quantidades de dados precisos sobre muitas
topologias de rede diferentes, os locais de medição nessas
topologias, e os diferentes modos de falha fornecem as
informações necessárias do projeto da rede. Esses dados sobre
as durações dos períodos de escuridão da rede habilitam a
análise de todos os cenários possíveis de falhas de cada par de
portas da rede. Com essas informações, é possível encontrar
locais em certas topologias que sempre vão satisfazer as
necessidades do aplicativo com durações suficientemente
curtas dos períodos de escuridão da rede durante os eventos de
reconfiguração. É importante observar que algumas aplicações
consistem de inúmeros sinais. Cada par de portas de origem e
destino tem que ser considerado.

41
10. TESTES CONTÍNUOS EM SERVIÇO

Testes contínuos de IEDs em serviço são realizados tanto de

forma oportuna quando durante a ocorrência de eventos no
sistema de potência e, mais frequentemente, adicionando um bit
de teste ao payload do sinal. Este único bit não afetará o
desempenho do sinal ou a lógica de proteção, mas suportará as
medições de tempo da rede e da aplicação descritas
anteriormente. Comparando o número e a identidade das
mensagens esperadas e mensagens recebidas, os IEDs também
calculam a frequência e a duração dos períodos de escuridão da
rede. Quando a autodiagnose contínua da aplicação é preferida,
os relés subscritos são programados para fornecer diferentes
indicações sobre a saúde da rede com base nos valores de tempo
calculados. Por exemplo, se for estabelecido que um IED
subscrito calcula tempos de transmissão típicos de 4
milissegundos, um valor limite de alarme de 6 milissegundos
evitará alarmes indesejados com base nas excursões de tempo
devido às imprecisões associadas ao ciclo de operação de 2
milissegundos. Os IEDs são programados para atribuir uma
marcação se os tempos de transmissão excederem 6
milissegundos, e uma segunda marcação é efetuada se os
tempos excederem 20 milissegundos. Esses sinalizadores são
anunciados na forma de diodos emissores de luz (“light-
emitting diodes” – LEDs) no painel frontal ou uma mensagem
no display do painel frontal, bem como são reportados para o
sistema de supervisão e aquisição de dados (“Supervisory
Control And Data Acquisition” – SCADA) e interfaces do
operador.
Diferentes padrões de publicação de testes são facilmente
disparados pelos pushbuttons do painel frontal. Por exemplo,

42
um pushbutton vai disparar uma stream de 100 mensagens
GOOSE consecutivamente, enquanto outro vai disparar uma
mensagem GOOSE toda vez que um pushbutton for
pressionado. Esses testes são muito úteis na detecção de
problemas de rede intermitentes para IEDs em serviço e quando
a rede está se aproximando de seu limite de saturação. Quando
implementados no campo, esses testes fornecem validação se
autodiagnoses contínuas forem preferidas ou exigidas.

43
11. CONSIDERAÇÕES DA REDE PARA ADIÇÃO DE
APLICAÇÕES FUTURAS

Os protocolos IEEE C37.238 e IEC 61850-9-2 Lite Edition que

suportam a troca de mensagens baseada na barra de processos
(“Sampled Value”) representam uma ampla utilização
adicional de largura de banda. As publicações de mensagens
“Sampled Value” para proteção e medição representam 5% e
12,3% de um link Ethernet de 100 Mbps, respectivamente [8] .
A não ser que as redes sejam corretamente projetadas levando
em conta a adição futura do tráfego da barra de processos, isso
vai facilmente saturar a rede. O Protocolo “Precision Time
Protocol” / IEEE C37.238 inclui requisitos de latência
rigorosos para obter uma precisão < 1 microssegundo. Como
este sinal de sincronização de tempo está na mesma interface do
IED que é utilizada para troca de mensagens, a disponibilidade
do sinal de sincronização de tempo é dependente da
disponibilidade da rede.

44
12. ARQUITETURAS DE REDES ETHERNET

Mesmo que o RSTA e RSTP algoritmicamente habilitem e

desabilitem os links de uma topologia para remover loops
físicos da rede e minimizar a distância entre quaisquer dois
pontos (balanceamento da rede), eles têm que operar dentro da
fiação física da rede. A fiação física da rede tem um grande
impacto sobre as características de desempenho em termos de
reconfiguração e congestionamento da rede. O PRP é um
protocolo de rede de comunicação de dados padronizado pela
IEC (“International Electrotechnical Commission”) como IEC
62439-3 Cláusula 4. Ele suporta a conexão de cada IED a duas
redes Ethernet independentes, que também podem suportar
RSTA e RSTP. Dessa forma, enquanto uma rede está
indisponível (“dark”), a outra provavelmente não estará e a
transmissão do sinal será mais confiável. Sem um método de
reconfiguração como RSTA e RSTP, uma rede PRP funcionará
para apenas uma falha e então se tornará permanentemente
defeituosa. Os testes dos tempos de transmissão, transferência e
trânsito podem ser aplicados a redes Ethernet individuais e a
cada rede PRP independente.
Executamos testes e comparações das topologias em anel
(“ring”), estrela dupla (“dual star”) e em camadas (“ladder”)
usando RSTP para reconfiguração. Estas topologias são
mostradas nas Fig. 8, Fig. 9 e Fig. 10. Estes projetos usam links
backbone gigabit de fibra óptica ao invés de portas gigabit de
cobre (as portas gigabit de cobre operam mais lentamente
durante a reconfiguração). Durante os testes, verificou-se que o
desempenho real da topologia em estrela dupla não era
apropriado para a troca de sinais (“signaling”). Este
desempenho era desconhecido previamente e só passou a ser

45
conhecido como resultado direto destes testes. As duas
topologias restantes incluem a topologia em anel e em camadas.
A topologia em camadas apresenta o melhor desempenho, e os
IEDs são facilmente conectados em duplas no modo failover
entre os dois switches de cada camada (degrau).
Conforme mencionado anteriormente, selecionamos a duração
máxima da escuridão da rede durante a reconfiguração para ser
de 15 milissegundos. Outras aplicações específicas precisam
ser testadas de acordo com os respectivos critérios individuais
dos tempos de transmissão. A morte do switch bridge raiz (“root
bridge death”) representa uma falha muito problemática porque
interrompe o switch de comando do RSTA e provoca uma
indisponibilidade prolongada. A morte do switch bridge raiz foi
medida separadamente e, conforme mencionado
anteriormente, deve ser gerenciada escolhendo um switch
bastante confiável para reduzir ao mínimo a probabilidade de
falha. As Questões 5 e 7 da Seção III foram respondidas para
cada topologia e cada cenário de falha, e os resultados estão
resumidos na Tabela III.
Conforme mencionado, os resultados verificaram excursões
inesperadas em relação aos critérios de aceitação da topologia
de estrela dupla; portanto, ela não é recomendada para a troca de
sinais. Este artigo apresenta a análise dos switches Ethernet
projetados e construídos especificamente para a troca de sinais
via GOOSE, sendo que estes resultados não se aplicam a outros
switches. Cada aplicativo tem seus próprios requisitos das
condições de falha. Milhares de amostras de dados coletados
durante testes automáticos revelaram que a topologia em
camadas satisfaz nossos critérios de duração máxima da
escuridão de 15 milissegundos e que a topologia em anel não
atende ao esperado. Se a exigência da escuridão da rede não

46
fosse tão restritiva, a topologia em anel poderia então ser uma
solução viável, bem como outros switches menos otimizados
para troca de sinais via GOOSE.

Fig. 8 - Topologia dos Switches Ethernet em Anel

Fig. 9 - Topologia em Estrela Dupla

47
Fig. 10 -Topologia Ethernet em Camadas

48
49
TABELA III
RESULTADOS DOS TESTES DE RECONFIGURAÇÃO DA REDE ETHERNET

Topologia Cada Canal Tempo Típico de Tempo Típico de O Desempenho Complexidade na Escolha
Atende ao Tempo Reconfiguração Reconfiguração da Rede Não É do Par de Portas de
Máximo de p/ Morte do p/ Morte do Afetado por Perímetro que Fornecerá
Recuperação da Switch Bridge Switch Bridge Switches Signaling Aceitável entre
Perda do Link Raiz Não-Raiz Adicionais IEDs
<15 ms <15 ms <15 ms

Camadas Sim Não Sim Sim A seleção de porta não

interessa;
todos os pares são
aceitáveis

Estrela Não Não Não Sim Não podemos conhecer o

dupla desempenho com
antecedência; é preciso
testar cada escolha

Anel Não Não Não Não Não podemos conhecer o

desempenho com
antecedência; é preciso
testar cada escolha
Os testes confirmaram que a topologia em camadas pode
garantir um desempenho aceitável (uma reconfiguração em
menos de 15 milissegundos), independentemente de qual par de
switches não-raiz for selecionado. Este desempenho garantido
simplifica enormemente a tarefa de cabeamento entre IEDs e
switches. Os valores para falha de links variaram entre 12,8 e
13,8 milissegundos, e para perda do switch bridge não-raiz foi
sempre inferior a 10 milissegundos. A morte do switch bridge
raiz foi ocasionalmente medida até 18 milissegundos. Isso
responde à Questão 8, mostrando que quando se usa esses
switches numa configuração em camadas, failover é rápido o
suficiente para sempre atender aos mais rigorosos requisitos de
signaling. Métodos de redundância como PRP não aumentam a
confiabilidade desses switches numa topologia de camadas,
mas podem aumentar a confiabilidade em outros projetos.
Existem muitos outros benefícios na utilização da topologia de
camadas, incluindo a segregação do tráfego da rede, o que reduz
as preocupações de latência e saturação. A topologia em
camadas pode ser expandida de forma simples, adicionando-se
degraus que nunca vão se tornar parte dos caminhos originais e
hot-standby dos canais estabelecidos e, portanto, não afetarão o
desempenho do canal se forem submetidos a uma falha. Isto não
pode ser dito para outras topologias, tais como anel e estrela
dupla. A luz trafega através da fibra óptica em cerca de
186282/1467 = 124188 milhas por segundo. Portanto, a
latência devida ao trânsito da mensagem através da fibra óptica
é insignificante para os comprimentos de cabos dentro de uma
subestação. Isso significa que os switches no campo podem ser
configurados na topologia de camadas, independentemente de
sua proximidade. Como cada par de switches não-raiz é
satisfatório, os IEDs podem ser conectados a qualquer porta de

50
perímetro. Esta característica de robustez e outras das
topologias em anel e camadas estão listadas na Tabela IV. Os
resultados da topologia em estrela dupla foram tão medíocres, e
as características tão indesejáveis, que escolhemos não
continuar a considerá-la para efetuar a troca de sinais
(“signaling”) do desempenho de redes.
Quando se utiliza uma topologia em anel com dez nós, existem
algumas combinações dos pares de switches que têm um
desempenho adequado (uma reconfiguração em menos de 15
milissegundos). Poucos pares resultam numa média bem
abaixo de 15 milissegundos, enquanto outros pares
experimentam regularmente a escuridão da rede por mais de 19
milissegundos. No entanto, é difícil saber qual par de switches
sempre experimentará uma duração da escuridão menor do que
15 milissegundos; logo, o teste é necessário para confirmar o
desempenho do canal. Uma vez conhecido, canais apropriados
são designados a determinadas combinações de switches em
relação ao switch bridge raiz. Portanto, isso exige que os IEDs
sejam conectados a switches específicos, independentemente
de sua real proximidade física no campo. Além disso, à medida
que o tamanho do anel aumenta, os tempos de reconfiguração da
rede continuam a aumentar. Isso significa que mesmo que o
sistema possa atualmente atender às necessidades da troca de
mensagens de aplicações críticas, os requisitos dos tempos da
aplicação podem ser violados se houver uma expansão. É
impossível saber antecipadamente quando algumas mudanças
no anel afetarão o desempenho, e os resultados só poderão ser
verificados refazendo o teste. Esta característica de fragilidade
e outras das topologias em anel e camadas estão listadas na
Tabela V.

51
 TABELA IV
COMPARAÇÕES DAS CARACTERÍSTICAS DE
ROBUSTEZ DAS DIFERENTES TOPOLOGIAS
DA REDE ETHERNET

Topologia em Anel Topologia em Camadas

É simples de construir. É muito robusta e pode lidar com

Requer caminhos de cabos mais várias falhas.
curtos, tornando-a mais barata. Possui latência consistente nas
Tem relação condições de falha.
IED-para-switch máxima. Possui latência consistentemente
Requer apenas dois links pequena.
backbone por switch. Tem escuridão da rede muito
localizada durante falhas.
Característica de escalabilidade
sem afetar o desempenho.
Possui tráfego localizado nos
segmentos de rede.
Requer mínimas mudanças de
ajuste mesmo para uma rede
ampla.
Possui tempos de reconfiguração
muito consistentes.
Fornece locais garantidos na rede
com tempos de reconfiguração
adequados.

52
 TABELA V
COMPARAÇÕES DAS CARACTERÍSTICAS DE
FRAGILIDADE DAS DIFERENTES
TOPOLOGIAS DA REDE ETHERNET

Topologia em Anel Topologia em Camadas

Preocupações de saturação e Pode não ser tão fácil de

latência causadas pelo tráfego construir quanto em anel.
fluindo ao longo do anel Requer um pouco mais de
Pode exigir mudanças de ajuste cabeamento do que em anel (três
para cada switch em redes cabos a mais na topologia com
amplas. dez switches).
Pode ter tamanho máximo do anel Possui uma relação IED-para-
limitado. switch ligeiramente menor.
Possui tempos de reconfiguração Requer muitos links de
variáveis dependendo do local da velocidade backbone no switch
falha, fonte e destino. raiz e switch raiz de backup.
Protege apenas contra uma única
falha.
Provoca falhas para impor
escuridão na rede sobre um
segmento maior da rede.

53
13. CONCLUSÃO

Ferramentas simples, IEDs para teste e aplicação, e dispositivos

para testes de rede bastante específicos são extremamente
importantes nos testes de desempenho de redes Ethernet. Os
recursos dos IEDs devem ser implementados para os testes de
aceitação e monitoramento contínuo do desempenho do
aplicativo, conforme mencionado em [2]. No entanto, os testes
de reconfiguração da rede Ethernet requerem novos
dispositivos de teste com propósitos especiais para verificação
da configuração e desempenho. Esses dispositivos precisam ser
configuráveis para que possam usar resolução e precisão
suficientes para medir o real desempenho e automaticamente
provocar uma perda de link e falha de switch bridge visando
coletar resultados estatisticamente significativos. Além disso,
eles têm que usar uma tecnologia apropriada para verificação do
comportamento da rede para tipos de mensagens de troca de
sinais específicas, tais como mensagens GOOSE multicast.
Os testes do aplicativo confirmaram os tempos típicos para uma
rede livre de erros como sendo: tempo da aplicação de 14
milissegundos, tempo de transmissão de 4 milissegundos e
tempo de transferência de 2 milissegundos. Os SLIs atribuem
estampas de tempo das mudanças de estado e medem estes
tempos com uma precisão de 0 + 0,5 do tempo de duração do
ciclo de operação. Os relés de proteção atribuem estampas de
tempo das mudanças de estado com uma precisão de 0 + 0,5 da
duração do ciclo de operação e medem a duração da
transmissão com uma precisão de 0 + 1 do tempo de duração do
ciclo de operação. Estes tempos atendem à Classe de
Desempenho P2/P3, Tipo 1A, da IEC 61850.
Os testes de reconfiguração confirmaram que os switches

54
Ethernet escolhidos, projetados especificamente para
aplicações de PCM, entregam rotineiramente os pacotes com
um tempo de trânsito tipicamente bem abaixo de 1
milissegundo. O desempenho da reconfiguração da rede e o
tempo de trânsito do pior caso dependem enormemente da
topologia da rede, ajustes dos switches e do projeto dos
switches. Qualquer uma destas características pode facilmente
significar a diferença entre o atendimento aos requisitos do
aplicativo para troca de mensagens críticas e a falha no
cumprimento desses requisitos.

55
14. REFERÊNCIAS

[1] S. Chelluri, D. Dolezilek, J. Dearien, and A. Kalra, “Design

and Validation Practices for Ethernet Networks to Support
Automation and Control Applications,” proceedings of the
Power and Energy Automation Conference, Spokane, WA,
March 2014.
[2] IEC/TR 61850-90-4, Communication Networks and
S y s t e m s f o r
Power Utility Automation – Part 90-4: Network Engineering
Guidelines, Technical Report, August 2013. Available:
http://webstore.iec.ch/.
[3] IEC 61850-5, Communication Networks and Systems for
Power Utility Automation – Part 5: Communication
Requirements for Functions and Device Models, January 2013.
Available: http://webstore.iec.ch/.
[4] D. Bekker, T. Tibbals, and D. Dolezilek, “Defining and
Designing Communications Determinism for Substation
Applications,” proceedings of the 40th Annual Western
Protective Relay Conference, Spokane, WA, October 2013.
[5] D. Dolezilek, N. Fischer, and R. Schloss, “Improvements in
Synchronous Wide-Area Data Acquisition Design and
Deployment for Telecontrol and Teleprotection,” proceedings
of the 14th Annual Western Power Delivery Automation
Conference, Spokane, WA, March 2012.
[6] IEC 61850-8-1, Communication Networks and Systems for
Power Utility Automation – Part 8-1: Specific Communication
Service Mapping (SCSM) – Mappings to MMS (ISO 9506-1
and ISO 9506-2) and to ISO/IEC 8802-3, June 2011. Available:
http://webstore.iec.ch/.

56
[7] D. Dolezilek, “Using Information From Relays to Improve
the Power System – Revisited,” proceedings of the 1st Annual
Protection, Automation and Control World Conference,
Dublin, Ireland, June 2010.
[8] V. Skendzic, I. Ender, and G. Zweigle, “IEC 61850-9-2
Process Bus and Its Impact on Power System Protection and
Control Reliability,” proceedings of the 9th Annual Western
Power Delivery Automation Conference, Spokane, WA, April
2007.

57
15. BIOGRAFIAS

Saroj Chelluri recebeu seu BS em engenharia elétrica e um

MBA. Ela está atualmente trabalhando como gerente geral na
divisão de engenharia de projetos da NTPC Limited. Seu
trabalho envolve o projeto de sistemas auxiliares de
alimentação de energia de usinas, incluindo projetos
conceituais, preparação de especificações técnicas, propostas
técnicas, detalhamento, testes e execução de projetos. Ela tem
cerca de 25 anos de experiência no projeto e execução de
sistemas auxiliares de alimentação de energia. Nos últimos
cinco anos, esteve profundamente envolvida em projetos de
automação de sistemas de baixa e média tensão.
David Dolezilek recebeu seu BSEE da Montana State
University é o diretor de tecnologia de pesquisa e
desenvolvimento na Schweitzer Engineering Laboratories, Inc.
Ele tem experiência em proteção, automação e integração de
sistemas de potência, bem como em sistemas de comunicação,
controle, SCADA e EMS. É autor de diversos artigos técnicos e
continua a efetuar pesquisas em tecnologias inovadoras de
interesse para nossa indústria. David é um inventor patenteado
e participa de diversos grupos de trabalho e comitês técnicos.
Ele é membro do IEEE, da IEEE Reliability Society, grupos de
trabalho do CIGRE, e dois Comitês Técnicos da International
Electrotechnical Commission (IEC) criados para abordar a
segurança e padronização global de sistemas e redes de
comunicação de subestações
Jason Dearien recebeu seu BS da University of Idaho em 1993.
Após a gradução, foi membro fundador de uma pequena
empresa startup de consultoria de softwares. Posteriormente,
esteve envolvido em um desenvolvimento de ASIC numa

58
empresa de semicondutores fabless, trabalhando em
tecnologias de correção de erros e compressão. Em seus 12 anos
de Schweitzer Engineering Laboratories, Inc., trabalhou em
vários grupos de desenvolvimento de produtos, sendo
atualmente um engenheiro de software sênior no departamento
de comunicações com foco em produtos de segurança e redes de
área local.
Amandeep Kalra é um engenheiro de automação da
Schweitzer Engineering Laboratories, Inc. (SEL) em Pullman,
Washington. Ele tem mais de três anos de experiência no
desenvolvimento e marketing de soluções no nível do sistema
para a indústria de água e águas residuais (“wastewater”),
incluindo a automação da estação de bombas, esquemas de
automação do canal e sistemas de comunicação. Amandeep
trabalhou como consultor em diversas áreas técnicas dos
distritos de irrigação ao longo da Califórnia e obteve sua
certificação EIT antes de ingressar na SEL. Ele tem um diploma
de tecnólogo em instrumentação e controle de engenharia do
National Institute of Technology, Índia, e um grau máster em
engenharia elétrica da California State University, Northridge.

59
Tornando a energia elétrica mais segura,
mais confiável e mais econômica
SCHWEITZER ENGINEERING LABORATORIES

[email protected]
www.selinc.com.br

©2015 by Schweitzer Engineering Laboratories