李海英，沈澍东，孙伟卿

（上海理工大学电气工程系，上海 200093）

PMU不充裕条件下电力系统的风险评估

李海英，沈澍东，孙伟卿

（上海理工大学电气工程系，上海 200093）

针对广域测量系统与电力系统深度融合所引起的安全问题，提出一种同步相量测量装置不充裕条件下电力系统的风险评估方法。该方法分析了可观性和可控性对系统安全的影响，探讨了原发性故障后同步相量测量装置不同状态下故障的演变，推导了节点可观性、线路可观性、节点可控性与同步相量测量装置位置和网络拓扑的关系式，建立了可观性和可控性相依的故障后果模型以及在线运行风险算法。IEEE30节点系统测试结果表明，所提方法能够量化同步相量测量装置间接作用带来的安全风险，尤其是原发性故障诱发信息系统失效时的安全问题，可以有效评估现代电网的安全水平，同时也为冗余同步相量测量装置安装提供技术指导。

同步相量测量装置不充裕；电力系统；风险评估；可观性分析；可控性分析；故障后果模型

Abstract:Considering the security problem due to the extensive integration of wide area measurement system（WAMS）and power system，a risk assessment method considering the inadequacy of phasor measurement unit（PMU）is pro⁃posed.By using this method，the impacts of observability and controllability on the system security are analyzed，and the fault evolutions varying with PMU are discussed after the primary failure.Moreover，observable analysis and control⁃lable analysis for the grid are deduced according to the PMU placement and network topology，and the outage conse⁃quence model and online operation risk algorithm are established by incorporating the observability and controllability.A case study on an IEEE 30-node test system shows that the proposed method can quantify the risk which indirectly re⁃sults from PMU，particularly the cyber malfunctions caused by the primary failure，to further evaluate the security level of modern power grid.Simultaneously，the research in this paper can provide technical support for the installation of re⁃dundant synchronous PMUs．

Key words:phasor measurement unit（PMU）inadequacy；power system；risk assessment；observable analysis；control⁃lable analysis；outage consequence model

为感知安全状态并采取主动校正策略，智能电网积极构建信息物理融合系统CPS（cyber physical systems）[1-2]，广域测量系统WAMS（wide area mea⁃surement system）因采用同步测量技术有望成为新一代信息集成数据平台[3]。然而，WAMS终端的同步相量测量装置价格昂贵，加之主站大数据处理能力受限，通常仅优化配置最少数量的同步相量测量装置PMU（phasor measurement unit）以实现系统可观测，或略增加少量PMU以确保关键母线在N-1条件下可观测[4-5]。当PMU本体或电力系统元件故障时，优化配置的低冗余度会使系统部分区域失去可观性，即PMU不充裕。失去可观性的线路和节点会增加潜在故障发生的风险，定量评估PMU不充裕所带来的风险便于充分认识现代电网的安全水平。

信息系统对电力系统安全的影响已逐步引起关注。文献[6-8]指出信息网络的深度嵌入加剧了电力系统安全风险，几起大事故的原因调查也表明控制、通信系统的不充裕和功能失效是系统稳定性降低并导致大停电的主要因素。同时，信息网络的广泛应用使其更容易受到恶意攻击，可靠性降低，成为系统安全的脆弱环节[9]。

信息系统对电力系统安全的影响表现为直接作用和间接作用两类[2]。直接作用是指信息部件或网络故障即刻引起电力部件故障。为此，文献[2]引入概率表（P-table）和状态映射（state mapping）将信息故障映射为电力器件故障，再与不考虑信息系统作用时的故障率相加，通过传统电力系统可靠性评估方法量化系统的安全水平。文献[10]分析了自动控制系统对变电站可靠性的影响，通过建立信息系统硬件模块与开关装置控制功能模块的联系，并采用事件树（event tree）描述控制功能模块对开关装置动作的影响，从而量化开关3种动作状态的概率，然后结合条件概率，确定负荷停运概率等可靠性指标。上述信息故障主要源于部件偶发故障及系统管理者失误。文献[11-13]从人为恶意攻击角度，通过分析攻击类型、攻击路径、攻击成功概率等，评估信息系统对电力系统安全的直接影响。

除了直接作用，信息系统故障的间接影响往往会使偶然事故引发连锁故障[14]，所带来的风险亟待评估。间接作用是指原发性电力部件故障引起电网参量扰动时，信息系统失效使电力系统失去可观性和可控性，不可观测线路会在越限时跳闸，不可控制节点将无法执行可中断负荷指令，从而引发N-K多重故障。文献[15]通过信息链路器件的失效率判别节点的可控性，初探了数据采集与监视控制SCADA（supervisory control and data acquisition）系统对电力系统可靠性的间接影响。由于目前信息系统都是针对SCADA系统的拓扑结构，但WAMS与之不同，受PMU安装数量的影响，系统可观性和可控性与通信部件失效率、失效部件位置、甚至电力部件故障位置均相关，故障风险骤增。为此，本文针对WAMS的新特点，兼顾安全性和经济性，提出一种PMU不充裕间接作用下电力系统的风险评估方法。

该方法首先分析了WAMS可靠性与系统风险的关系，以量化不同PMU状态下电力系统的风险，然后推导了系统可观性和可控性与PMU安装位置、网络拓扑的表达式，同时给出了考虑PMU间接影响的电力系统风险评估流程，为全面评估现代电网的安全水平提供一种新的分析方法。

1 WAMS下电力系统在线运行风险

1.1 WAMS的可靠性

WAMS包括监测监控终端PMU、通信链路（communication links）、数据集中器（data concentra⁃tors）及超级数据集中器（super data concentrators），这些部件除了PMU，通常均可通过冗余或备用设计达到完全可靠[16]。鉴于PMU是新开发设备，缺乏丰富的历史统计数据，无法通过统计方法确定可靠性模型。为此，文献[17]根据PMU构成部件，采用7状态马尔可夫模型确定其可用概率，用于电力系统的可靠性分析。

PMU对电力系统可靠性的间接影响体现在不充裕时会使系统失去可观性和可控性，从而使系统管理者对自身运行状态感知能力不足，运行风险增加[18]。以图1为例，线路3-5故障跳闸后潮流重新分配，引起线路2-5潮流越限，在系统完全可观测情况下，可通过出力调整或负荷中断达到新的稳态，但若节点2的PMU故障，线路2-5会因失去可观性而跳闸，从而扩大停电区域。

图1 PMU对电力系统可靠性的影响Fig.1 Impact of PMU on the reliability of power system

1.2 在线运行风险算法

在线运行风险是短时间尺度内的安全问题，可以只考虑单一原发性故障及其继发性故障[14]，这里的继发性故障指PMU不充裕引起的故障。一次设备原发性故障后，由于PMU可靠状态不同而存在多种故障演变的可能性，并对应不同的演变后果。图2是单一原发性故障引起的风险示意。

图2 考虑PMU影响的系统风险Fig.2 System risk with the impact of PMU

风险是不确定故障可能性和严重性（故障后果）的综合度量[19]，在电力一次系统的运行、检修和规划等方面都已进行了深入研究[8]。本文综合考虑PMU影响，结合图2，可得出系统在线运行风险为

式中：R为运行风险；Ei为第i个一次设备故障事件；Uj为第j个PMU故障事件；p（Ei）为第i个原发性故障发生的概率；p（Uj|Ei）为第j个PMU的故障概率；NE为一次设备总数；N为PMU总数；S（Ei，Uj）为第i个原发性故障和第j个PMU故障的严重程度，本文指可中断负荷量。

图2中SIL，j为第i个原发性故障和第j个PMU故障造成的中断负荷量。

2 系统的可观性和可控性

2.1 节点的可观性

为定量评估PMU不充裕时所带来的风险，需要根据PMU安装位置和网络拓扑，确定节点的可观性、线路的可观性及节点的可控性。

文献[20]指出，若某节点电压相量可被直接或间接测量得到，则该节点是可观测的。因此，若节点i配置PMU，则该节点的电压相量可被直接测量，节点i可观测。同时，与节点i相连的所有支路的电流相量也可被直接测量，于是节点i的相邻节点也可观测。根据上述规则，节点i的可观性判断公式为

式中：fi为节点i的可观性函数，fi≥1时节点i可观测；I为所有节点集合；uj为节点j配置PMU的状态；aij为关联矩阵A中第i行第j列的元素。uj和aij可表示为

2.2 线路的可观性

若线路两端节点电压相量已知，通过计算可得到线路中的潮流，称该线路可观测。因此，线路可观性取决线路两端节点的可观性，线路两端节点均可观测，则该线路可观测，判别公式为

式中：fL，ik为线路Lik的可观性函数，fL，ik≥1时线路可观测；i和k为支路两端的节点编号。

失去可观性的线路因系统管理者无法及时做出调整，会在继电保护作用下自动跳闸，对系统运行安全更加不利。

2.3 节点的可控性

节点的可控性指电力系统发生故障时，可根据与节点相连支路的潮流，对非零注入节点进行发电量调整和切负荷操作。因此，若与节点相连的线路均可观测，该节点就可控，判断公式为

式中：fC，i为节点i可控性函数，当fC，i≥1时节点可控；K为所有与节点i相连支路另一端节点集合。

电力系统发生故障时，由于操作者只能在可观测、可控制的区域实施补救措施，限制了可调整范围，从而使安全裕度进一步减少。

3 在线运行风险评估算法

通过上述系统可观性、可控性及PMU不充裕条件下电力系统的运行风险分析，设计了如图3所示的风险评估算法流程。

图3 风险评估的流程Fig.3 Flow chart of risk assessment

风险评估算法步骤如下。

步骤1 采用最优潮流OPF（optimal power flow）模拟发电调度产生一种基本运行状态。

步骤2 枚举一次设备的单一故障，然后枚举一次设备故障下信息系统的状态，参照图2，确定故障概率。

步骤3 依据线路状态，判断是否有孤岛形成，孤岛在考虑PMU不充裕条件下更加明显，这是因为系统处于不可观测状态时，系统操作者无法感知越限线路，孤岛使系统的运行状态更加严峻。

步骤4 根据可观性和可控性定义，判别节点、线路的可观性及负荷和发电机的可控性。除了PMU故障，线路故障和线路跳闸均会引起电力系统更广泛的不可观和不可控。

步骤5 通过潮流计算，模拟故障后潮流的重新分配。若可观测线路越限，将通过可控节点的发电出力调整和负荷中断恢复正常，模型为

式中：ΔPD，i为节点i的负荷调整量；PG，i为节点i的发电量；PD，i为节点i的负荷；ΔPG，i为发电节点i的发电调整量，当节点不可控时调整量为0；Pij为支路ij的潮流；Xij为支路ij的电抗；θi为节点i的电压相位；PIL，i为节点i允许的负荷中断量，本文设其为节点需求量；PG，i_min和PG，i_max分别为节点i的发电单元最小、最大出力限制；Pij_max为支路ij最大允许通过的潮流；G为发电单元集合；CG为可控节点的发电单元集合；D为负荷集合；CD为可控节点的负荷集合；B为节点集合；Obr为可观测支路集合。

因为只有可控区域的发电和负荷参与调整，调节裕度降低，可调节发电量减少会导致中断更多负荷可调节负荷减少会导致系统最终引发连锁故障。若不可观测线路越限，系统风险更高。因为无法观测，该线路的继电保护延时跳开，导致网络拓扑改变，孤岛更容易形成，系统进一步失去可观性和可控性，需返回步骤3重新判别。

步骤6 根据步骤2的概率和步骤5的负荷中断量更新风险指标，当所有一次设备和信息系统状态历数完毕，系统的总风险也确定。

4 算例分析

4.1 PMU失效对电力系统安全的影响

采用IEEE 30节点系统来验证本文提出的风险评估方法，参照文献[5]，PMU配置见图4。风险分析时，线路故障概率设为0.05，PMU可靠性设为0.991 17[17]。本文仅考虑电力系统N-1故障在PMU不充裕条件下产生的风险，以原发性线路27-28故障为例分析PMU对安全的影响。

图4 配置PMU的30节点标准测试系统Fig.4 IEEE 30-node standard test system with PMU placement

4.1.1 不计信息系统影响，仅考虑电力系统失效

线路27-28故障导致线路22-24和24-25过载。此时，系统完全可观和可控，全网进行发电出力调整和负荷中断，最终通过中断节点26、29、30上共0.5 MW负荷使系统达到新的稳态。

4.1.2 信息系统和电力系统均存在元件失效

1）节点10的PMU和线路27-28同时故障

原发性线路故障使线路22-24和24-25分别过载1.49 MW和0.5 MW。节点10的PMU故障造成节点17、20、21、22不可观测，8条线路10-17、16-17、22-24等不可观测及节点8、10、16、17、19、20、21、24不可控。

由于过载线路24-25能够被观测到，系统管理者会通过最优潮流对可控节点进行发电出力调整和负荷中断以消除其过载，但线路24-25过载量小，调整后不足以使不可观线路22-24过载消除。因此需要保护跳闸，按照图3流程返回孤岛判别步骤。此时，节点和线路的可观性无变化，节点24因为不可观线路22-24的断开，成为可控节点。潮流计算后过载线路均可观，最后通过最优潮流确定可控节点23、24、26、30分别中断2.5 MW负荷，可控节点29中断所有的2.4 MW负荷，负荷中断总量为12.4 MW。

2）节点25的PMU和线路27-28同时故障

线路故障分析如1）中所述。节点25的PMU故障造成节点24、26不可观，过载线路24-25、22-24均不可观测，节点8、23、24、26不可控。不可观测过载线路跳闸，节点25、26、27、29、30形成了孤岛，孤岛内没有发电机，16.5 MW负荷全部切除。系统另一部分变成25节点，无线路过载，通过平衡节点出力调整后达到新的稳态。

3）其余节点的PMU和线路27-28同时故障

这些PMU故障不影响过载线路22-24和24-25的可观性，最终中断0.5 MW负荷，即PMU故障没有增加额外风险。

4）安装冗余PMU减少风险

经分析，线路27-28是影响系统安全最严重的一种故障形式，特别是信息系统故障后，引起过载线路不可观。由于节点24是过载线路22-24和24-25的联络点，为此在节点24额外配置一个PMU，这样不论节点10的PMU故障还是节点25的PMU故障，均会使过载线路22-24和24-25可观，从而减少不可观测线路跳闸带来的附加风险。

因此，需在过载线路的交汇节点和连接线路较多的联络节点配置冗余PMU，以提高电力系统的安全性。

4.2 电力元件失效引起PMU不充裕时的系统安全

在WAMS下，由于PMU安装方式的特殊性，即使所有PMU均正常运行，电力元件故障也会引起系统可观性和可控性的变化，从而增加运行风险。例如线路2-5故障时，一方面该故障使线路2-6和5-7分别过载13.03 MW和5.08 MW，另一方面，节点5和线路5-7失去可观性，节点5和7失去可控性。

对过载可观测线路2-6调整后，由于节点5不可控，发电出力和负荷不能调整，线路5-7仍然过载，会因不可观测而跳闸，使节点5成为孤点。节点5的负荷为94.2 MW，发电机最大发电量仅为50 MW，所以节点5上的94.2 MW负荷被全部切除，发电机停运。

由此可见，除了信息系统自身故障，电力系统线路故障也会造成PMU不充裕，从而失去可观性和可控性，产生运行风险。

4.3 系统运行风险

在目前基本运行状态下，若不计信息系统影响，系统风险为0.025 0 MW，考虑信息系统的间接影响后，系统风险升为4.747 3 MW。这说明PMU不充裕导致电力系统可观性和可控性变化将大大增加电网的运行风险，不考虑信息系统对电力系统安全的影响会低估所面临的风险。

系统考虑PMU不充裕影响后风险提高的主要原因是不可观测过载线路跳闸形成孤点或孤岛。

（1）线路2-5故障后，由于节点5、7负荷较大，当与之相连的任一条支路跳闸时，其他相连支路传输功率变大，容易产生越限。若系统完全可观，越限支路可通过发电出力调整和负荷中断避免孤岛形成。但当系统可观性发生变化时，不可观测越限线路会跳闸，导致其他线路过载及孤岛形成，甚至可能导致系统解列。因此，当以负荷中断量为严重度指标时，大负荷节点更应该安装冗余PMU，进一步提高电力系统的可观性和可控性。

（2）线路27-28故障后，由于节点23、24、26、27、29、30属于负荷密集但发电匮乏区域，且外连输电线路数量有限，因此潮流在剩余联络线中发生较大规模的转移，进而增加发生连锁故障的概率。当线路27-28断开后，系统只能通过线路22-24、23-24、24-25、25-27给节点24、26、29、30上的负荷供电，潮流转移方向单一，易发生过载，在PMU无法保证过载支路的可观性时，容易跳闸形成孤点。

5 结论

本文结合PMU的安装位置和系统网络拓扑，提出一种PMU不充裕条件下电力系统的风险评估方法，并在IEEE 30节点测试系统上进行了仿真，研究结论如下：

（1）线路和节点失去可观性和可控性是PMU不充裕间接引起系统风险的主要因素，孤点或孤岛形成是导致风险增加的主要表现形式；

（2）除了PMU故障会产生额外风险，电力线路故障因系统可观性及可控性与网络拓扑的相依性，也会引起额外风险，充分认识该问题便于脆弱线路的辨识；

（3）PMU配置时，若在大负荷节点、大功率发电节点以及负荷密集区域内N-1故障后易过载线路的联络点保持一定冗余度，会极大降低信息系统故障带来的风险。

[1]赵俊华，文福拴，薛禹胜，等（Zhao Junhua，Wen Fushuan，Xue Yusheng，et al）.电力信息物理融合系统的建模分析与控制研究框架（Modeling analysis and con⁃trol research framework of cyber physical power systems）[J].电力系统自动化（Automation of Electric Power Sys⁃tems），2011，35（16）：1-8．

[2]Falahati B，Fu Yong，Wu Lei.Reliability assessment of smart grid considering direct cyber-power interdependen⁃cies[J].IEEE Trans on Smart Gird，2012，3（3）：1515-1524.

[3]Terzija V，Valverde G，Cai Deyu，et al.Wide-area monitor⁃ing，protection and control of future electric power net⁃works[J].Proceedings of the IEEE，2011，99（1）：80-93．

[4]罗毅，赵冬梅（Luo Yi，Zhao Dongmei）.电力系统PMU最优配置数字规划算法（Optimal PMU placement in power system using numerical formulation）[J].电力系统自动化（Automation of Electric Power Systems），2006，30（9）：20-24．

[5]Ahmadi A，Alinejad-Beromi Y，Moradi M.Optimal PMU placement for power system observability using binary par⁃ticle swarm optimization and considering measurement re⁃dundancy[J].Expert Systems with Applications，2011，38（6）：7263-7269．

[6]Kirschen D，Bouffard F.Keep the lights on and the infor⁃mation flowing[J].IEEE Power&Energy Magazine，2009，7（1）：50-60．

[7]曹一家，张宇栋，包哲静（Cao Yijia，Zhang Yudong，Bao Zhejing）.电力系统和通信网络交互影响下的连锁故障分析（Analysis of cascading failures under interactions be⁃tween power grid and communication network）[J].电力自动化设备（Electric Power Automation Equipment），2013，33（1）：7-11．

[8]崇志强，戴志辉，焦彦军（Chong Zhiqiang，Dai Zhihui，Jiao Yanjun）.典型广域保护通信网络的信息传输可靠性评估（Information transmission reliability assessment of com⁃munication network in typical wide area protection）[J].电力系统及其自动化学报（Proceedings of the CSU-EP⁃SA），2014，26（4）：20-24．

[9]Fovinoa I N，Guidi L，Masera M，et al.Cyber security as⁃sessment of a power plant[J].Electric Power Systems Re⁃search，2011，81（2）：518-526．

[10]Hajian-Hoseinabadi H.Impacts of automated control sys⁃tems on substation reliability[J].IEEE Trans on Power De⁃livery，2011，26（3）：1681-1691．

[11]Ten Chee-Wooi，Liu Chen-Ching，Manimaran G.Vulnera⁃ bility assessment of cyber security for SCADA systems[J].IEEE Trans on Power Systems，2008，23（4）：1836-1846．

[12]Xie Jing，Liu Chen-Ching，Sforna M，et al.Threat assess⁃ment and response for physical security of power substa⁃tions[C]//IEEE PES Innovative Smart Grid Technologies Conference Europe.Istanbul，Turkey，2014：1-5．

[13]Xiang Yingmeng，Wang Lingfeng，Zhang Yichi.Power sys⁃tem adequacy assessment with probabilistic cyber attacks against breakers[C]//IEEE PES General Meeting.National Harbor，USA，2014：1-5．

[14]吴文传，宁辽逸，张伯明，等（Wu Wenchuan，Ning Li⁃aoyi，Zhang Boming，et al）.一种考虑二次设备模型的在线静态运行风险评估方法（Online operation risk assess⁃ment for power system static security considering second⁃ary devices models）[J].电力系统自动化（Automation of Electric Power Systems），2008，32（7）：1-5，14．

[15]Bruce A G.Reliability analysis of electric utility SCADA systems[J].IEEE Trans on Power Systems，1998，13（3）：844-849．

[16]Wang Yang，Li Wenyuan，Lu Jiping.Reliability analysis of phasor measurement unit using hierarchical Markov modeling[J].Electric Power Components Systems，2009，37（5）：517-532．

[17]Aminifar F，Bagheri-Shouraki S，Fotuhi-Firuzabad M，et al.Reliability modeling of PMUs using fuzzy sets[J].IEEE Trans on Power Delivery，2010，25（4）：2384-2391．

[18]Panteli M，Crossley P A，Kirschen D S，et al.Assessing the impact of insufficient situation awareness on power system operation[J].IEEE Trans on Power Systems，2013，28（3）：2967-2977．

[19]陈东，潮铸，呼士召，等（Chen Dong，Chao Zhu，Hu Shi⁃zhao，et al）.电网调度操作安全风险实时评估方法（Re⁃al-time risk assessment method for dispatching operation security）[J].电力系统及其自动化学报（Proceedings of the CSU-EPSA），2015，27（8）：31-36，65．

[20]牛胜锁，张思为，梁志瑞（Niu Shengsuo，Zhang Siwei，Liang Zhirui）.变权重蛙跳算法在PMU优化配置中的应用（Application of variable weighting frog leaping algo⁃rithm in optimal PMU placement）[J].电力系统及其自动化学报（Proceedings of the CSU-EPSA），2014，26（7）：51-56．

Risk Assessment of Power System Considering PMU Inadequacy

LI Haiying，SHEN Shudong，SUN Weiqing
（Department of Electrical Engineering，University of Shanghai for Science and Technology，Shanghai 200093，China）

TM71

A

1003-8930（2017）09-0021-06

10.3969/j.issn.1003-8930.2017.09.004

2016-01-25；

2017-06-08

国家自然科学基金资助项目（51207092，51407117）

李海英（1975—），女，博士，副教授，研究方向为电力系统安全。Email：hyli@usst.edu.cn

沈澍东（1990—），男，硕士研究生，研究方向为信息系统对电力系统安全的影响。Email：363886445@qq.com

孙伟卿（1985—），男，博士，副教授，研究方向为电力系统优化和智能电网。Email：sidswq@163.com