So much time, so little to do.

Blackout - Realistische Gefahr oder Panikmache?


Nachtrag 5.1.2016: In diesem Artikel komme ich zu dem Schluß, dass ein "Hackerangriff" auf ein Großkraftwerk keine Gefahr für unser Stromnetz bedeutet. Es gibt allerdings — und das ist in diesem Artikel nur am Rande beschrieben — systemische Schwachpunkte im Stromnetz, die sich ein Hacker zunutze machen könnte. Wer mehr darüber erfahren möchte dem sei mein Vortrag auf dem 32C3 empfohlen.

NYC Blackout during hurricane Sandy, CC-BY Dan Nguyen
Foto: CC-BY Dan Nguyen

Seit dem Erscheinen von Marc Elsbergs "Blackout" taucht immer mal wieder die Frage auf, ob das dort beschriebene Szenario eine reale Gefahr darstellt. Das Buch basiert auf einer Studie des Büros für Technikfolgenabschätzung des deutschen Bundestages und beschreibt ein Horrorszenario: Die Folgen eines mehrtägigen, flächendeckenden Stromausfalls wären verheerend. Nach ein paar Tagen ohne Strom wären bürgerkriegsähnliche Zustände zu erwarten. Aber: Ist dieses Szenario wahrscheinlich? Was würde passieren, wenn wer-auch-immer ein Kernkraftwerk übernehmen würde? Im Folgenden versuche ich, anhand von Netzfrequenzmessungen und einem einfachen Modell abzuschätzen, ob dieses Szenario realistisch wäre. Meine Ausführungen lassen sich auch auf andere Szenarien übertragen: Wenn es gelänge, viele Stromverbraucher in einer Region vom Stromnetz zu trennen, wären die Ergebnisse mit dem unten betrachteten Szenario vergleichbar.

Ursachen von Stromausfällen

Es gibt viele Ursachen für Stromausfälle. Ohne genaue Zahlen zu kennen hat das europäische Stromnetz zumindest den Ruf, sehr zuverlässig zu sein. Die meisten Ausfälle sind regional sehr begrenzt und werden schnell behoben. Als Beispiel hierfür kann der Stromausfall am 31.05.2015 in Kaiserslautern gelten: An diesem Tag zog das Orkantief Niklas über Deutschland hinweg. Einzelne Windböen waren so stark, dass zwei Freileitungen sich berührten und durch einen Kurzschluss ausfielen. Die Versorger waren in der Lage den Strom umzuleiten und über andere Leitungen zu transportieren. In kurzer Zeit war die Versorgung wieder hergestellt.

Stromleitungen werden bei Überlast meistens über Leitungsschutzschalter automatisch vom Stromnetz abgetrennt. Da Leitungen auch für Wartungsarbeiten vom Netz genommen werden müssen stehen immer genügend Ersatzleitungen bereit, die im Notfall den Strom transportieren können. Durch (n-1)-Regel wird sichergestellt, dass beim Ausfall einer Komponente die Stromversorgung durch die restlichen (n-1) Komponenten übernommen werden kann. Die (n-1)-Regel wird sowohl für Stromleitungen als auch für Umspannwerke und Kraftwerke angewendet. Um also einen Blackout herbeizuführen müsste man nicht nur ein Betriebsmittel, sondern viele gleichzeitig außer Funktion setzen. Nehmen wir an, das würde passieren. Wieviel Leistung müsste denn abgeschaltet werden?

Abschätzung des notwendigen Leistungsdefizits

Es ist recht schwierig, diese Leistung genau zu bestimmen. Einerseits hängt das noch tolerierbare Leistungsdefizit von der Netztopologie ab. In einem eng vermaschten Netz wie z.B. in Deutschland gibt es mehr Möglichkeiten, Strom umzuleiten, als bei einem Strangnetz wie in den USA. Andererseits ist es recht schwierig, die Leistung abzuschätzen, da es kein mir bekanntes, frei verfügbares Modell dafür gibt.

Es kommt permanent zu Ausfällen von Kraftwerken. Was passiert zum Beispiel, wenn ein Kernkraftwerk eine Schnellabschaltung durchführt? Das ist am 25.03.2015 im Kernkraftwerk Gundremmingen passiert. Dabei wurde eine Leistung von 1290 MW innerhalb von 19 Sekunden vom Netz genommen.

Die Netzfrequenz ist ein Maß für das Gleichgewicht von Erzeugung und Verbrauch im Stromnetz. Weicht die Frequenz vom Sollwert (meist 50Hz) ab, so ist das Gleichgewicht zwischen Erzeugung und Verbrauch gestört. Die Hintergründe habe ich schon einmal dargestellt.

Der Frequenzverlauf der Schnellabschaltung in Gundremmingen sieht so aus:

Die blaue Linie zeigt den via netzsin.us gemessenen Frequenzverlauf. Die Frequenz des europäischen Verbundnetzes bricht um etwa 52mHz ein - das ist ein sehr niedriger Wert. Die Leistungssprünge, die regelmässig durch den Stromhandel entstehen, sind wesentlich größer. Insofern wäre also das plötzliche Abschalten eines Großkraftwerkes nicht wirklich ein großes Problem für unser Stromnetz.

Die Schnellabschaltung fand morgens innerhalb der Starklastphase des Verbundnetzes statt — die Netzlast betrug zu diesem Zeitpunkt wohl etwa 410 GW. Wenn man also unterstellt, dass die ENTSO-E die zugesagte Regelleistung von 19500 MW pro Hertz Abweichung bereitstellt, dann sehen die Leistungsgradienten so aus:

Das obere Bild zeigt wieder den Frequenzverlauf. Mittels eines Savitzki-Golay-Filters glätte ich zunächst den Frequenzverlauf, jedoch ohne die Extremwerte der Kurve zu verändern. Zusammen mit der zugesagten Regelleistung kann ich dann die Leistungsgradienten, also die Änderung der Kraftwerksleistung, ermitteln. Die untere Hälfte des Bildes zeigt, dass kurzzeitig etwa 5 GW/min. verloren gingen.

Insgesamt ist dieser Leistungsverlust jedoch nur eine kleine Delle im Frequenzverlauf. Wieviele Kraftwerke müsste man abschalten, um das Netz nachhaltig zu stören? Um dieses Leistungsdefizit abzuschätzen benutze ich im Folgenden ein sehr einfaches Modell.

Ein einfaches Netzmodell

Als Informationsquelle über den Zustand des europäischen Netzes habe ich — neben ein paar öffentlichen Datenquellen — lediglich Frequenzmessdaten zur Verfügung. Es geht also zunächst darum, einen Zusammenhang zwischen der Netzfrequenz und einer ausgefallenen Erzeugungsleistung (oder umgekehrt auch eines ausgefallenen Großverbrauchers) herzustellen. Als Beispiel soll zunächst der Auslegungsfall der ENTSO-E dienen: Das Stromnetz muss in der Lage sein, die Frequenzabweichung bei dem Ausfall eines Doppelblocks (3GW Erzeugungsleistung) im Schwachlastfall (Netzlast bei 150GW) auf unter 200mHz zu begrenzen. Die folgende Grafik zeigt den entsprechenden Frequenzverlauf:

Zur Stabilität der Netzfrequenz tragen kurzfristig drei Maßnahmen bei, die zusammen für eine Stabilisierung der Netzfrequenz sorgen. Die Stabilisierungsmaßnahmen sind kummulativ, d.h. die Linien obigem Diagramm bauen aufeinander auf:

  1. Zunächst wird die in den rotierenden Generatorwellen gespeicherte Rotationsenergie ausgespeichert. Alleine eine Turbine des KKW Phillipsburg wiegt 190t und rotiert 25 mal pro Sekunde. In den rotierenden Massen der konventionellen Kraftwerke ist soviel Energie gespeichert, dass die Netzfrequenz unmittelbar nach dem Erzeugerausfall relativ stabil gehalten werden kann. In obiger Grafik zeigt dies die blaue Linie.
  2. Weiterhin stabilisiert sich das Netz über den sog. Netzselbstregeleffekt. Viele elektrische Verbraucher ändern ihre Leistungsaufnahme in Abhängigkeit von der Netzfrequenz: Ein Wasserkocher verbraucht bei niedriger Netzfrequenz etwas weniger, dafür bei höherer Netzfrequenz etwas mehr. Für das einzelne Gerät sind diese Leistungsschwankungen unerheblich. Auf das europäische Verbundnetz bezogen macht das allerdings einiges aus. Man geht davon aus, dass sich der Verbrauch um rund 1,5% pro 1% der Netzlast verändert. Mit dem Netzselbstregeleffekt wird die Frequenzabweichung nach unten hin begrenzt. Zusammen mit dem Ausspeichern der Rotationsenergie verzögert der Netzselbstregeleffekt den Frequenzabfall soweit, dass die dritte Stabilisierungsmaßnahme überhaupt anfahren kann.
  3. Jeder Übertragungsnetzbetreiber muss in der Lage sein, innerhalb von 30 Sekunden zwei Prozent seiner momentanen Erzeugung zusätzlich zur Verfügung zu stellen. Diese sogenannte primäre Regelenergie wird überwiegend in Großkraftwerken erzeugt und dazu verwendet, den durch die ersten beiden Effekte eingebremsten Frequenzabfall weiter zu begrenzen. In obigem Beispiel erkennt man gut, dass die Primärregelung rund 12 Sekunden braucht, um den Frequenzabfall zu stoppen. Auf der anderen Seite bedeutet dass aber auch, dass ohne die Rotationsenergie und dem Netzselbstregeleffekt das Netz bis zum Anlaufen der Primärregelung schon zerfallen wäre.

Kann man mit diesem Modell den Frequenzverlauf der Schnellabschaltung des KKW Gundremmingen nachbilden? Parameterisiert man dieses einfache Modell mit dem Netzzustand zur Ausfallzeit (Netzlast 405GW, ausgefallene Kraftwerksleistung 1.3GW, sowie ein paar andere Parameter), so erhält man folgende Grafik:

Die grüne Linie gibt den gemessenen Frequenzverlauf wieder, während die schwarze Linie den theoretischen Verlauf der Frequenz bei perfekt ausgeregeltem Netz wiedergibt. Da natürlich auch andere Ereignisse den realen Frequenzverlauf beeinflussen werden die beiden Kurven fast nie direkt aufeinander liegen. Das Modell sagt aber die Höhe des Frequenzeinbruches korrekt voraus, d.h. mit den gewählten Parametern funktioniert das Modell. Verallgemeinern lässt sich das Modell derzeit noch nicht — dafür fehlen mir schlichtweg noch mehr aufgezeichnete Ereignisse wie die Schnellabschaltung in Gundremmingen. Für grundlegende Überlegungen erscheint das Modell jedoch geeignet.

Führen Kraftwerksausfälle zu Blackouts?

Wieviel Kraftwerksleistung müsste man vom Netz nehmen, damit dieses zusammenbricht? In einem früheren Artikel hatte ich schon einmal dargestellt, ab welcher Frequenz es zu ernsthaften Störungen des Stromnetzes kommt: Unter 49 Hz kommt es zu Blackouts. Wie würde sich die Frequenz entwickeln, wenn zum ungünstigsten Zeitpunkt (Schwachlastfall: 250GW Netzlast) 10% der Kraftwerksleistung ausfallen würde? Die folgende Grafik stellt diesen Fall dar:

Kommt es zu keinen anderen Ausfällen so würde die Frequenz zwar recht stark sinken, aber das Netz würde weiterhin funktionieren. Es ist also recht unwahrscheinlich, dass Kraftwerke direkt sabotiert werden würden — diese Argumentation ist eher Panikmache. Durch den alleinigen Ausfall von 8 Doppelblöcken von Großerzeugern kann man das Netz nicht wirklich aus dem Tritt bringen. Allerdings stellt mein Modell nicht alle Effekte plausibel dar, so sind z.B. Frequenzpendelungen aufgrund von Leistungsverlagerungen nicht enthalten. Diese Frequenzpendelungen entstehen aufgrund der Größe des Netzes: Fallen in Deutschland signifikante Erzeuger aus, so wird der Strom aus dem europäischen Ausland bezogen. Diese Lastverschiebungen bergen zwei Gefahren:

  1. Die europäischen Kraftwerke müssten plötzlich mehr Leistung produzieren. Da die Primärregelung ein träger Prozess ist kann es zu Frequenzpendelungen kommen, d.h. die Frequenz zerfällt aufgrund des unterschiedlich verzögerten Ansprechverhaltens unterschiedlicher Kraftwerke. Um dazu Aussagen machen zu können bräuchte ich Messstationen in den entfernten Ecken des europäischen Verbundnetzes, z.B. in der Türkei und in Portugal. Dort sind die Frequenzpendelungen am besten sichtbar. Ein entsprechendes Wide Area Monitoring System wird z.B. von der Swissgrid betrieben, jedoch sind die Daten nicht frei zugänglich.
  2. Die weggefallene Leistung müsste auch nach Deutschland importiert werden. Bei derart großen Leistungsübertragungen kann es vorkommen, dass einzelne Leitungen überlastet werden und es zu einem kaskadierenden Abschalten von Höchstspannungsleitungen kommt. Als Beispiel hierfür kann der Stromausfall im November 2006 dienen: Nach der geplanten Abschaltung einer Höchstspannungsleitung war die (n-1)-Sicherheit nicht mehr gegeben. Durch einen Planungsfehler wurden im Anschluss weitere Leitungen abgeschaltet. Ähnliches könnte auch passieren, wenn Leitungen überlastet werden und es zu einer Kettenreaktion kommt.

Fazit

Das Modell deckt nicht alle relevanten Effekte ab, insofern sind die Resultate nicht ohne weiteres zu verallgemeinern. Dennoch muss ich schlußfolgern: Der Ausfall eines einzelnen Großkraftwerks ist keine besorgniserregende Gefahr — selbst wenn mehrere Kraftwerke gleichzeitig ausfallen würden wäre das zumindest aus der Sicht der Netzfrequenz nicht weiter dramatisch. Allerdings wirken hier noch andere Effekte. Eine abschließende Beurteilung alleine aufgrund meiner bisher vorliegenden Messdaten würde der Realität nicht gerecht werden.

Ein Sabotageakt in einem oder mehreren Großkraftwerken hätte keinen großen Einfluß. Um einen Blackout zu provozieren wäre es sicherlich am einfachsten, mehrere Übertragungsleitungen innerhalb eines Netzgebietes zu sabotieren. Beim Münsterländer Schneechaos ist genau das passiert: Durch sehr starken Schneefall knickten 2005 im Münsterland viele Strommasten zusammen. In 25 Gemeinden kam es zu einem Stromausfall, der teilweise erst nach vier Tagen behoben werden konnte.

Ich würde mir wünschen, das Szenario eines "Hackerangriffs" auf ein Kernkraftwerk oder auf Smart Meter endlich als Medienspektakel abzutun. Reale Gefahr droht eher durch eine gezielte, gleichzeitige Sabotage von Übertragungsleitungen. Diese Infrastruktur ist natürlich nur schwer zu schützen, denn die ca. 35000km Höchstspannungsleitung alleine in Deutschland können nicht permanent bewacht werden. Wir sollten die Energiewende als Chance betrachten, das Stromnetz wieder zu dezentralisieren. Wenn die Stromerzeugung nahe am Verbrauch passiert sind Ausfälle besser lokal zu halten, sprich: Es kommt zu keinem großflächigen Blackout.


Mathias Dalheimer

Yours truly.

likes distributed & embedded systems

GPG key: B6501625
fingerprint: E7BA B68E A2D3 9B6A ECEF 4DE4 823E 0DBE B650 1625
github | twitter

Tags

Proudly made using vim, jekyll, bootstrap (cosmo theme) & coffee. Last update: 20 Apr 2019