PRP e HSR nelle reti IEC 61850: quando usarli e come progettare la ridondanza

PRP e HSR nelle reti IEC 61850: quando usarli e come progettare la ridondanza

PRP e HSR in IEC 61850: guida pratica alla ridondanza

Ambiente e perimetro: dove PRP/HSR ha senso

Nelle reti IEC 61850 la ridondanza è spesso un requisito progettuale: l’obiettivo è mantenere disponibili i flussi critici (protezione e automazione, oltre a supervisione e diagnostica) durante guasti e manutenzioni, senza affidarsi a riconvergenze “a tempo” tipiche di soluzioni non seamless.

PRP (Parallel Redundancy Protocol) e HSR (High-availability Seamless Redundancy) sono definiti in IEC 62439-3 come protocolli di ridondanza per reti Ethernet ad alta disponibilità. La loro efficacia dipende da come imposti il dominio di ridondanza: topologia, separazione fisica, alimentazioni e punti di interfaccia. In altre parole: si progetta e si verifica “sul ferro”, non solo sullo schema.

Contesto fisico: in sottostazione l’hardware di rete è spesso richiesto “substation-grade” (ambiente/EMC), con riferimenti a IEC 61850-3 e/o IEEE 1613. Qui non ripetiamo definizioni normative.
Per l’approfondimento vedi: IEC 61850-3 e IEEE 1613: cosa sono e come garantiscono affidabilità in sottostazione

In questo articolo trovi:

  • quando scegliere PRP vs HSR (bay level / station level)
  • impatto su topologia, switch e cablaggio in ottica PRP/HSR
  • schemi tipici e varianti ibride
  • errori ricorrenti che creano single point of failure (SPOF)
  • requisiti minimi da richiedere (capitolato/offerta) per una rete PRP/HSR

Prerequisiti: i dati minimi per decidere e dimensionare

Prima di disegnare PRP/HSR “in CAD”, chiarisci poche cose. Sono quelle che fanno saltare le architetture quando vengono date per scontate:

  1. Quali servizi IEC 61850 transitano sulla rete e con quale criticità (protezione/interlocking vs supervisione/SCADA).
  2. Dove serve continuità seamless: solo nei bay, anche nel backbone/station level, anche tra edifici/quadri.
  3. Capacità dei nodi: IED con doppia interfaccia PRP, nodi HSR, oppure dispositivi “single-homed” che richiedono un interfacciamento dedicato (verificare ruolo e limiti nel manuale/datasheet del vendor).
  4. Vincoli impiantistici: percorsi cavi, quadri, alimentazioni, messa a terra, criteri di segregazione fisica.
  5. Gestione operativa: manutenzione a caldo, sostituzione apparati, port mirroring (SPAN) o cattura traffico per diagnosi.

Check in offerta (senza trasformarla in interrogatorio)

  • conformità a IEC 62439-3 per PRP/HSR (edizione/anno, se indicabile)
  • ruoli supportati (PRP/HSR e vincoli topologici) e perimetro del dominio
  • documentazione tecnica vendor coerente con la configurazione proposta (topologia e funzioni usate)

Procedura: progettare PRP/HSR senza introdurre SPOF

Qui sotto trovi una sequenza “architettura-first”: evita la classica rete ridondata sul disegno ma fragile in campo.

1) Scegli PRP o HSR in base a dove vuoi la ridondanza

  • PRP: due reti Ethernet separate (LAN A e LAN B). I nodi PRP inviano trame duplicate su entrambe. È spesso naturale per station level/backbone quando vuoi ridondare l’infrastruttura a switch mantenendo separazione fisica.
  • HSR: rete tipicamente ad anello con nodi che inoltrano trame in entrambe le direzioni. È spesso usata in bay level quando gli IED supportano HSR e si vuole continuità seamless nell’anello locale.

Nota: la scelta non è solo “tecnologica”. Conta soprattutto l’impianto: cablaggi, spazi, alimentazioni, manutenzione, accessibilità ai punti di diagnosi.

2) Disegna la topologia fisica, poi quella logica

Molti problemi nascono da SPOF fisici mascherati da una logica apparentemente ridondata.

Esempio PRP (concettuale):

IED PRP  -- LAN A -- [Switch A] -- Backbone A -- [Switch A]
   |
   +---- LAN B -- [Switch B] -- Backbone B -- [Switch B]

Regola pratica: LAN A e LAN B devono essere davvero indipendenti: apparati distinti, alimentazioni distinte (dove applicabile), percorsi cavo distinti quando possibile, pannellistica separata o chiaramente segregata.

Esempio HSR (concettuale):

[IED HSR]--[IED HSR]--[IED HSR]
   |                     |
   +-------- Ring -------+

Rischio tipico: l'anello è ridondato "sulla carta", ma converge in un unico punto fisico (un solo quadro, una sola dorsale, una sola alimentazione). In quel caso la ridondanza perde valore proprio dove serve.

3) Gestisci esplicitamente i nodi non PRP/HSR

Nei progetti reali non tutto è PRP/HSR-ready. Per evitare compromessi pericolosi:

  • evita soluzioni “quasi PRP” con una sola rete fisica e separazioni solo logiche
  • definisci come connettere i nodi single-homed senza degradare la disponibilità del dominio PRP/HSR, seguendo modalità e limiti documentati dal vendor

4) Cerca gli SPOF “silenziosi” fuori dalla rete

Anche con PRP/HSR corretti, restano SPOF tipici:

  • alimentazione: due ingressi sullo switch non bastano se arrivano dallo stesso circuito/UPS
  • percorso fibra: due tratte “diverse” che passano nello stesso canale/pozzetto
  • pannellistica: un unico ODF/patch-panel che, se guasto o lavorato, impatta entrambe le tratte

Parametri: cosa fissare in capitolato e in ingegneria

Non serve micro-configurare un vendor in capitolato. Serve fissare ciò che deve essere univoco e soprattutto verificabile.

Decisioni che vanno rese esplicite

  • Ambito del dominio PRP/HSR: cosa è dentro e cosa resta su rete non seamless (e perché)
  • Ruolo dei nodi: quali apparati sono PRP, quali HSR, quali richiedono interfacciamento dedicato
  • Separazione fisica (PRP): criteri minimi su cabinet, percorsi cavo, alimentazioni e pannellistica
  • Osservabilità: dove prevedi port mirroring/cattura per troubleshooting (anche temporaneo per FAT/SAT)
  • Allarmi e diagnostica: quali eventi devono essere loggati e dove (switch, supervisione, syslog/SCADA, ecc.)

Esempio di testo “da capitolato” (adattabile)

La rete di comunicazione per i servizi IEC 61850 identificati come critici deve supportare ridondanza L2 secondo IEC 62439-3 (PRP e/o HSR) nell’ambito indicato negli schemi.
Le due infrastrutture PRP (LAN A e LAN B), se adottate, devono essere implementate con separazione fisica coerente con i vincoli impiantistici e senza single point of failure noti (alimentazioni, apparati, percorsi cavo, pannellistica).
L’offerta deve includere schema di rete, matrice porte/collegamenti e indicazione delle funzioni effettivamente impiegate per ridondanza e diagnostica.

Verifica: FAT/SAT e criteri di accettazione semplici

Una verifica utile deve dimostrare due cose: continuità del servizio e assenza di SPOF nella configurazione reale (non solo nel disegno).

FAT: prove consigliate (ripetibili e documentabili)

  • Guasto singolo controllato: scollegamento link, spegnimento di un apparato di rete, perdita di una sola alimentazione
  • Controllo flussi critici: continuità dei messaggi IEC 61850 rilevanti per il progetto, con cattura traffico prima/durante/dopo
  • Verifica diagnostica: log/allarmi coerenti e tracciabili
  • Ripristino: ritorno alla condizione nominale senza instabilità (loop, flooding, traffico anomalo)

SAT: prove in campo (dove emergono gli SPOF veri)

  • ripeti almeno un test di guasto su percorso fisico (tratta fibra, patch-panel, morsettiera alimentazione)
  • valida che la segregazione PRP (se presente) non venga riunita in un unico punto impiantistico
  • documenta as-built con labeling: è spesso la differenza tra rete mantenibile e rete fragile

Evidenze che “valgono” in accettazione

  • report FAT/SAT con topologia e configurazione effettive (non generiche)
  • eventi/log prodotti durante i guasti e correlazione temporale
  • as-built (schemi + labeling) che dimostri l’assenza degli SPOF dichiarati

Nota time sync: molte architetture IEC 61850 includono sincronizzazione tempo (es. PTP/IEEE 1588). La ridondanza di rete non elimina i rischi legati alla distribuzione del tempo (clock, grandmaster, rete PTP). Per l’approfondimento vedi: PTP (IEEE 1588) per IEC 61850: sincronizzazione tempo in sottostazione

Varianti: PRP, HSR e architetture ibride

Quando PRP tende a essere più adatto

  • backbone/station level con infrastruttura a switch
  • preferenza per due domini fisici separati (più semplice ragionare sugli SPOF)
  • manutenzione con impatto minimo, se la segregazione è progettata bene

Quando HSR tende a essere più adatto

  • bay level con anelli compatti e nodi HSR-ready
  • ridondanza seamless nell’anello locale, con cablaggio coerente con i vincoli impiantistici

Ibrido (molto comune): PRP nel backbone + HSR nei bay

Approccio tipico quando:

  • vuoi ridondanza seamless nel backbone (PRP)
  • vuoi anelli locali per i bay (HSR)
  • devi integrare nodi non HSR/PRP senza rinunciare alla disponibilità dove serve

L’ibrido funziona bene se i confini tra domini sono chiari e se i punti di interfaccia non diventano SPOF (alimentazione, cabinet, dorsali, pannellistica).

Errori comuni e segnali d’allarme

  1. “Due reti” che condividono lo stesso punto critico: stesso UPS, stesso quadro, stesso percorso cavi, stessa morsettiera.
  2. Separazione solo logica (VLAN) scambiata per ridondanza fisica quando serve continuità seamless.
  3. Interfacciamenti improvvisati per nodi single-homed che creano colli di bottiglia o punti unici di guasto.
  4. Poca osservabilità: senza log/port-mirroring, in SAT è difficile dimostrare cosa accade durante un guasto.
  5. Manutenzione non prevista: patching/sostituzioni che impattano entrambe le reti perché non è stata progettata la segregazione operativa.

Segnali d’allarme in capitolato/offerta

  • topologia PRP senza evidenza di indipendenza fisica tra LAN A e LAN B
  • “ridondanza” ottenuta con un solo apparato e separazioni solo logiche
  • assenza di piano FAT/SAT con prove di guasto ripetibili e tracciabili

Fallback: cosa fare se PRP/HSR non è applicabile

Se PRP/HSR non è adottabile (costi, spazio, compatibilità nodi, vincoli impiantistici), dichiaralo come compromesso, non come equivalente.

Opzioni tipiche (da valutare rispetto ai requisiti del progetto):

  • ridondanza L2 non seamless (tempi di riconvergenza dipendenti dalla tecnologia/configurazione)
  • ridondanza L3 (routing) per segmenti non critici
  • isolamento dei servizi critici su rete dedicata e ridondanza parziale dove serve davvero

In tutti i casi: formalizza cosa succede durante un guasto e rendilo verificabile in FAT/SAT.

Principi: cosa rende PRP/HSR “seamless”

PRP e HSR, secondo IEC 62439-3, mirano a mantenere disponibili i flussi in presenza di singoli guasti nel dominio, tramite duplicazione/inoltro controllato a livello 2. In capitolato è buona pratica indicare l’edizione della norma (o riferimenti di progetto) e richiedere evidenze vendor coerenti con la configurazione proposta.

Pattern: schemi ricorrenti in bay e station level

  • Station PRP, Bay non seamless: quando la criticità è soprattutto sul backbone e i bay hanno vincoli.
  • Station PRP, Bay HSR: quando i bay richiedono continuità e supportano HSR.
  • HSR ring per bay + uplink ridondati: utile per confinare l’anello e mantenere un backbone più tradizionale.
  • PRP end-to-end: più infrastruttura, ma dominio uniforme (a patto di segregazione fisica reale).

Checklist: requisiti minimi e deliverable per PRP/HSR

PRP: requisiti minimi “da non negoziare”

  • due infrastrutture (LAN A/LAN B) realmente indipendenti
  • segregazione coerente di apparati/pannellistica/percorso cavi, per quanto consentito dall’impianto
  • punti di osservabilità (mirroring/log) previsti per diagnosi e collaudi

HSR: requisiti minimi “da non negoziare”

  • perimetro dell’anello e punti di connessione al resto della rete definiti e verificabili
  • gestione esplicita dei nodi non HSR (interfacciamento documentato dal vendor)
  • modalità pratiche di diagnosi durante SAT (cattura traffico/log eventi)

Deliverable consigliati (per evitare ambiguità)

  • schema logico + fisico, matrice porte/collegamenti, as-built con labeling
  • piano FAT/SAT con prove di guasto riproducibili e criteri di accettazione

Prodotti MOXA (acquistabili tramite DigitX)

  • PT-G510-8GTX-PHR-HV Switch Ethernet gestito full Gigabit con IEC 61850-3 e IEC 62439-3, dotato di 8 porte 100/1000BaseT(X), 2 porte SFP 100/1000Base, alimentazione doppia isolata (88 a 300 VDC o 85 a 264 VAC), temperatura operativa da -40 a 75°C.
  • PT-G503-PHR-PTP-WV IEC 61850-3 and IEC 62439-3 full Gigabit managed redundancy box, with 3 10/100/1000BaseT(X) ports or 100/1000Base SFP ports, 1 10/100/1000BaseT(X) Ethernet console port, 1 isolated dual power supply (24/48 VDC), -40 to 85°C operating temperature.

Disponibile su DigitX (cerca il codice modello). Cerca su DigitX

FAQ

PRP e HSR sono alternativi o possono coesistere?
Possono coesistere in architetture ibride (es. PRP nel backbone e HSR nei bay), purché il confine tra domini sia progettato e non introduca punti unici di guasto.

PRP richiede sempre il doppio dei cablaggi?

In genere richiede due infrastrutture fisiche separate per ottenere il beneficio pieno. L’impatto dipende da quanto puoi mantenere separati percorsi e alimentazioni nell’impianto.

HSR è sempre “più semplice” perché è un anello?

Non necessariamente: l’anello è semplice da disegnare, ma può diventare fragile se l’impiantistica concentra tutto in un solo punto o se non sono previsti strumenti di diagnosi.

Come evito che la ridondanza diventi ingestibile in esercizio?

Standardizza as-built e labeling e rendi ripetibili i test di guasto in FAT/SAT. È quello che rende la diagnostica praticabile anche dopo anni.

Cosa devo pretendere come evidenza tecnica, senza “paperwork infinito”?

Topologia e configurazione effettive, evidenze vendor coerenti con le funzioni usate e un report FAT/SAT con test di guasto tracciabili.

Fonti / riferimenti