電力信息-物理系統的建模與脆弱性分析

陳世明 馬 斐 高彥麗

(華東交通大學電氣與自動化工程學院 江西 南昌 330013)

0 引 言

傳統的電力系統已發展成為與信息網緊密融合的電力信息-物理系統(ElectricalCyber-physicalSystem,ECPS)。而電力網或信息網的故障可能波及對方網絡，產生相互之間的連鎖故障傳播，從而嚴重影響系統的安全運行[1-7]。因此研究電力信息-物理系統的脆弱性具有非常重要的理論價值和現實意義。

構建合理的系統模型是進行脆弱性分析的前提。電力網可采用IEEE節點系統進行建模或通過實際電力網的地理接線圖獲取；而信息網結構復雜且拓撲數據難以獲取。目前針對信息網構建規則的研究多數直接采用某些網絡模型或其他易獲取的網絡，或直接在已有電力網基礎上做簡單修改。文獻[8]提出信息網可能存在雙星型與網型結構。文獻[9]抽取因特網的部分結構作為信息網的拓撲結構。文獻[10]基于BA構建比已有電力網多一個節點的信息網。顯然以上構建方式較為簡單，與實際信息網切合度不高。

以復雜網絡理論為基礎的電力系統脆弱性研究在近十年層出不窮[11-16]，且相依網絡模型[17]的出現為分析系統中子網絡間的交互影響提供了新的思路。文獻[18]采用基于最大連通片的故障模型以分析電力信息-物理系統脆弱性。文獻[19]從連通性角度分析電力信息-物理系統的脆弱性，提出加邊策略以提升系統的魯棒性。文獻[20]提出一種優先連接策略以優化已有加邊策略。這些研究的故障模型大多基于最大連通子集概念，即系統故障后未處于最大連通子集內的節點視為失效。而實際電力系統只要保證連通子集的有功平衡即可維持該部分站點的正常工作。因此最大連通子集的故障模型與實際電力系統的運行規律不符。

本文根據實際電力信息-物理系統中各元件的部署規律及元件間的相互作用，構建了系統模型及級聯故障模型。然后通過分析實際電力信息-物理系統中關鍵元件的特性，提出一種基于節點度、介數及鄰居信息的DB攻擊策略。最后通過MATLAB仿真平臺針對已構建的電力信息-物理系統在不同故障模型、不同攻擊策略以及不同攻擊對象下分別進行系統的脆弱性分析。

1 電力信息-物理系統建模

電力信息-物理系統是一個由電力網與信息網深度耦合的二元復合網絡，分別構成物理層(P)和信息層(C)。基于復雜網絡理論，電力信息-物理系統可抽象成一個無向網絡，其拓撲關系可用鄰接矩陣A表示：

(1)

式中：M、N分別表示物理層、信息層的節點總數；AP、AC分別表示物理層、信息層內部的連接關系；AP-C表示物理層與信息層的相依關系；(AP-C)T為AP-C的轉置。

1.1 電力網建模

物理層為電力信息-物理系統中的載流電力網。為簡化分析，作如下假設：

(1) 將電力網中的發電廠、變電站抽象為物理層中的物理節點VP；

(2) 忽略各廠站內部的連線，合并兩個廠站間的多條輸電線路以得電力網中的物理連邊EP；

(3) 忽略廠站間輸電線路的差異，且認為所有邊為無向邊；

(4) 假設發電節點的發電量任何時候都可以滿足所需，因此不考慮失效過程中由于負荷過大而導致的節點失效。

基于以上假設，電力網可表示為一個無權無向圖GP=(VP,EP),其中VP={1,2,…,M}表示電力網的節點集合，EP={ei,j}表示電力網的邊集合。

本文采用IEEE118節點系統的拓撲結構作為電力網的研究模型，將節點分為發電機節點VPG、傳輸節點VPT、負荷節點VPL三類。其中發電機有功不為零的節點視為發電機節點；負載有功不為零的節點為負荷節點；負載有功與發電機有功均為零的節點視為傳輸節點。對于發電機有功與負載有功均不為零的節點，表明該節點既接入負荷也接入發電機，因此將此節點視為自治節點。

1.2 信息網建模

信息網是電力系統的通信專網，每個物理設備均配有相應的通信設備以實現信息采集、監督和控制等作用，因此信息網主要依據電網的結構進行部署，且具有高度相似性。信息網結構通常分以下三層進行建設：

(1) 核心層：由主調度中心與備用調度中心構成，負責整個電力網的經濟調度與安全運行。

(2) 匯聚層：主要由通信傳輸骨干網的樞紐變電站節點構成，主要工作是將接入層信息進行匯聚并轉發，同時進行區域調度。核心層與匯聚層在實際中均配有備用發電機組，在主供電廠失效下仍可保持正常工作，即為自治節點。

(3) 接入層：主要由電力網中每個物理場站直屬的通信設備構成，主要負責對應物理設備的信息采集及調度命令的下達，因此其拓撲結構與電力網結構相同。

本文在IEEE118節點系統基礎上構建相應的信息網，建模過程如下：

(1) 電力網分區。實際電力網中均采用分區運行方式，參照《電力系統安全穩定導則》相關規定，按以下技術原則對電力網進行分區：

① 本分區電壓變化對相鄰分區的電壓變化影響較小，且分區間通過聯絡線連接；

② 根據高壓輸電線路的電氣特性參數計算電氣距離，并對加權網絡的線路權值賦值；

③ 不考慮電網潮流的有向性。

將電氣距離參數[21]作為線路權重，并與社團劃分方法結合以對電力網進行分區[22]。綜上可將IEEE118節點系統分為9個區域，如表1所示。

表1 IEEE118節點系統分區結果表

(2) 信息網結構。① 核心層：主調度中心與備用調度中心共2個節點；② 匯聚層：每個分區內部署一個匯聚節點，因此匯聚層共有9個節點；③ 接入層：接入層與電力網拓撲結構相同，即接入層共有118個節點。

(3) 各層級內部的連接方式。① 核心層：兩個調度節點直接相連；② 匯聚層：匯聚層內部依據電力網各分區間的聯絡線進行連接；③ 接入層：接入層為電力網中每個物理場站直屬的通信設備，因此接入層內部連接關系與電力網一致。

(4) 層級間的連接方式。① 核心層與匯聚層：采用全耦合方式進行連接；② 核心層與接入層：核心層直接對大容量發電站進行監控，按概率Pi,j抽樣連接接入層的發電機節點：

(2)

式中：Gi max為發電站節點i的最大發電容量。

本文將Gi max取值為節點的發電機有功；S為電力網的發電站總數。③ 匯聚層與接入層：匯聚層連接分區內的所有發電機節點與最高度數節點。

綜上所述，信息網可表示為一個無權無向異質圖GC=(VC,EC),其中VC={1,2,…,N}表示信息網的節點集合，其中包括通信節點VCCM、匯聚節點VCCV、調度中心節點VCCT三類。EC={ei,j}表示電力網的邊集合。本文為簡化分析，不考慮信息節點或支路的負荷上限。

1.3 電力網與信息網相依關系建模

電力信息-物理系統為典型的相依網絡：物理設備為信息設備供電，信息設備采集物理設備的狀態信息并控制著物理層的安全運行。我國的各個電力站點均部署有數據采集與監視控制系統以實現對電力站點的監測與控制[11]，而信息網不僅包含各電力場站的信息系統(即接入層)，還包括核心層與匯聚層，兩者均為信息網中的控制節點。顯然電力信息-物理系統中的電力網與信息網為部分一對一相依的關系：電力網與信息網中接入層的拓撲結構相同，且對應節點互為一對一相依的關系，信息網中其他控制節點為與電力網“解耦”的自治節點，由此得物理層與信息層的相依關系矩陣AP-C。電力信息-物理系統的相依網絡模型如圖1所示。

圖1 電力信息-物理系統的相依網絡模型示意圖

2 電力信息-物理系統的脆弱性分析

2.1 電力信息-物理系統的級聯故障模型

2.1.1 電力網的節點故障

當物理節點故障時，可能導致與其相依的通信節點或其他物理節點發生失效。而由于通信節點具有雙重配置而不一定直接失效，本文只考慮由備用裝置啟動失效或其他因素而導致相依的通信節點以一定的概率β1失效。下面按電力網節點類型進行故障說明。

(1) 發電機節點。發電機節點需要連通至少一個負荷節點才能發揮其作用，否則被視為失效且與其相依的通信節點以概率β1失效。

(2) 傳輸節點。傳輸節點必須同時連接至少一個發電機節點與一個負荷節點，否則視為失效且與其相依的通信節點以概率β1失效。

(3) 負荷節點。負荷節點必須連通至少一個發電機節點才能保證其所需的能量來源，否則視為失效且與其相依的通信節點以概率β1失效。特別地，當一個負荷節點同時承擔發電工作時，該節點為自治節點，只要不遭受外界的攻擊即視為有效。

2.1.2 信息網的節點故障

匯聚節點與調度中心節點均實現信息網的控制工作，通信節點必須受到控制節點的控制才能保證通信節點正常功能的運作。下面按信息網節點類型進行故障說明。

(1) 調度中心節點故障。由于調度中心節點為自治節點，只要不遭受外界攻擊即視為有效。核心層只要有至少一個調度中心正常工作即可保證正常運作。而兩個調度中心均失效時：

① 若區域內的匯聚節點保持正常工作，則該區域內的電力設備仍可受匯聚節點的區域調度，區域內的通信節點能保持正常工作；

② 若核心層與區域內的匯聚節點同時失效，即區域內的控制節點全部失效，此時該區域內無法完成對本地電力設備的控制工作，因此區域內的通信節點均視為失效，且所有物理層節點分別按概率β2失效。

(2) 匯聚節點故障。匯聚節點亦為自治節點，只要不遭受外界攻擊即視為有效。當匯聚節點失效時：

① 若此時區域內有發電機節點連通至核心層，且核心層保持正常工作，則該區域內與核心層連通的通信節點可保持正常工作；

② 若此時區域內沒有發電機節點連通至核心層，或者核心層不能保持正常的工作狀態，則該區域內的通信節點全部失效，且所有物理層節點分別按概率β2失效。

(3) 通信節點故障。當通信節點發生故障時，可能導致相依的物理節點在不正常狀態下無法獲取來自控制層的調整命令，使物理節點以一定的概率β2失效。如果區域內的部分通信節點失效，可能影響其他通過該節點連通至控制節點的通信節點失效，從而使相應的物理節點以一定的概率β2失效；而當某區域內的通信節點全部失效時，所有物理節點分別以概率β2失效。

2.2 DB攻擊函數

采取攻擊的目的是旨在通過攻擊較少的節點造成系統較大的損毀效果，而攻擊不同節點帶來的破壞性具有較大差異。因此攻擊方式的選取與節點重要性的評估方式密不可分。目前電力信息-物理系統中常用攻擊方式主要為度、介數兩種，而兩種指標考慮的因素過于單一，因此本文通過分析實際電力信息-物理系統中具有重要作用的元件特性，提出一種DB攻擊策略。

電力網中站點的度值越大，說明該站點對該地區電網的支撐作用越強，對有功功率的平衡有著決定性作用，同時對電壓與頻率的穩定性有重要的作用；其次，電力網中站點的介數值越大，表明該電力站點為樞紐站，為電力網中的重要站點。信息節點的度值越大，說明該節點能夠與越多的節點直接進行信息傳輸，從而提升信息的傳輸效率；而信息節點的介數值越大，說明該節點為信息網中傳輸信息所起的作用越大。因此高度和介數節點均為系統中的重要節點。又考慮到節點的鄰居節點對該節點的重要性亦有著一定的影響程度：某些節點雖然具有較高的度值，但其鄰居節點大多為不重要的節點；某些節點雖然只具有很低的度數，但與其相鄰的節點均為系統中的重要節點。由此，將節點的度、介數與鄰居節點的度值共同作為評判節點重要程度的因素，可得電力信息-物理系統節點重要性的DB函數如下：

(3)

式中：D(V)為節點V的度及其鄰居節點度之和。

(4)

2.3 脆弱性測度

系統的脆弱性為當系統遭受攻擊時，系統性能的下降程度。電力信息-物理系統在級聯失效后拓撲結構的剩余量對系統的魯棒性分析尤為重要，剩余的拓撲結構越完整，網絡從失效狀態中恢復的速度越快。反之，如果系統在遭受攻擊后節點損失越嚴重，說明此時系統的脆弱性越高。本文結合級聯故障模型機理，定義節點的存活率作為系統的脆弱性評估測度，表示為：

(5)

式中：M′、N′分別表示在本文的級聯故障模型下，系統受到攻擊后物理層、信息層中剩余的有效節點的數量。Rn值越大說明網絡的損壞程度越小，即網絡的魯棒性越高。

2.4 脆弱性分析流程

(1) 分析系統在初始狀態下的性能。

(2) 選擇攻擊對象(子網絡)及相應的攻擊方式，并對相應的節點進行攻擊。

(3) 根據故障模型，對當前子網絡中所有的失效節點的狀態進行分析，更新子網絡中各個節點類型的集合，并修正鄰接矩陣A。

(4) 對于失效的節點，以一定概率修改與其相依的節點狀態。若該相依節點失效，則返回至步驟(3)；若該節點保持正常功能，則進入下一步。

(5) 進一步判斷是否有子網絡存在新的失效節點。若存在新的失效節點，則返回至步驟(3)；若無新的失效節點，則說明系統達到平衡狀態，進入下一步。

(6) 計算系統此時的脆弱性測度Rn，脆弱性分析結束。

3 仿真實驗與分析

通過MATLAB仿真平臺，對已構建的電力信息-物理系統的脆弱性研究與分析。為簡化分析，將β1、β2均取值為0.5。為避免隨機性，每個仿真實驗進行3 000次。本文設定以下四種攻擊策略：

(1) 隨機攻擊：在系統中隨機選擇一定數量的節點進行攻擊。

(2) 度攻擊：計算待攻擊的子網絡中各節點的度數，并進行降序排列，按序列順序選擇并移除相應數量的節點。

(3) 介數攻擊：計算待攻擊的子網絡中各節點的介數，并進行降序排列，按序列順序選擇并移除相應數量的節點。

(4) DB攻擊：計算待攻擊的子網絡中各個節點的DB值，并進行降序排列，按序列順序選擇并移除相應數量的節點。

3.1 不同故障模型的對比

通過節點存活率與連續攻擊次數的關系圖對本文的故障模型(NR)與基于最大連通片的故障模型(GR)進行比較，結果如圖2所示。

圖2 不同故障模型下系統節點存活率的變化情況

(1) 整個過程中，在GR下系統的脆弱性遠高于NR，且當攻擊次數達到12次以上后，節點存活率的衰減速度差異較大。

(2) 當攻擊次數達到53次時，在NR下系統仍剩余60%以上的節點，而在GR的故障模型下系統的有效節點比例僅剩不到30%。

(3) 顯然GR忽略了電網的“孤島運行”現象，得出的系統脆弱性結果存在較大的偏差。而NR與實際電力系統的運行方式更為切合，即使系統拓撲不完整，只要保證連通子集的有功平衡即可維持該段連通子集的正常工作，面對攻擊具有一定程度的魯棒性。

3.2 不同攻擊策略的效果對比

將信息網作為攻擊對象，比較不同攻擊策略對系統性能的影響，結果如圖3所示。

圖3 不同攻擊策略下電力信息-物理系統節點存活率的變化情況

(1) 相比于隨機攻擊策略，整個攻擊過程中在其他三種攻擊策略下系統的節點存活率降低幅度較大，說明三種攻擊策略在不同程度上辨識出了系統中的重要節點。

(2) 度攻擊策略與介數攻擊策略效果基本一致，說明兩種策略下辨識出的重要節點對系統的重要程度很相似。

(3) 在攻擊的初始階段，DB策略相比其他三種攻擊策略的節點存活率衰減幅度更大。特別地，當連續攻擊次數為18次時，度策略與介數策略下節點的存活率達到80%，而DB策略下系統節點的存活率僅為46%。

(4) 顯然DB策略比其他策略更能有效地識別出系統中的重要節點。實際中若重視與加強對高DB值節點的保護措施，將有助于避免系統的大規模失效。

3.3 攻擊不同子網絡的效果對比

利用DB攻擊策略分別對電力網與信息網進行節點攻擊，結果如圖4所示。

(1) 相比于隨機攻擊策略，有針對性地攻擊相應的子網絡均對系統造成更大的損害，說明子網絡中的重要節點均需要受到相應的重視。

(2) 對信息網進行攻擊時系統的節點存活率最低，且在攻擊剛開始時損失的節點激增，尤其在攻擊次數為18次時，在攻擊的對象為電力網時系統存活的節點達到81%以上，而在攻擊對象為信息網時整個系統的節點存活率僅剩46%，顯然基于信息網的重要節點攻擊對系統的破壞性最高。

(3) 綜合可知，信息網的失效比電力網失效對系統造成的破壞性更為嚴重。該結論具有一定的現實依據：電網的安全穩定運行需要信息網實時監測其狀態。實際中應加強對重要信息節點的保護，避免大規模級聯故障，進而提升系統整體的魯棒性。

圖4 攻擊不同子網絡下系統節點存活率的變化情況

4 結 語

本文根據實際電力信息-物理系統中各元件的部署規律及元件間的相互作用，構建了系統模型以及級聯故障模型。然后通過分析實際系統中關鍵元件的特性，提出一種基于節點度、介數及鄰居信息的DB攻擊策略。最后通過MATLAB仿真平臺針對已構建的電力信息-物理系統在不同故障模型、不同攻擊策略以及不同攻擊對象下分別進行系統的脆弱性分析。仿真結果表明，DB攻擊策略比其他攻擊策略對系統造成的破壞度更高，且信息網的失效對系統造成的損壞程度比電力網更高，實際中應加強對信息網關鍵節點的保護以使電力系統的運行更安全穩定。