陈郁林，齐冬莲，李真鸣，王震宇，张建良，于 淼

（浙江大学电气工程学院,浙江省杭州市132012）

0 引言

随着分布式电源（distributed generator,DG）的广泛接入和智能化电网建设的持续发展,配电网已逐渐变成一种有源、可控、灵活的有源配电网信息物理系统（cyber-physical system,CPS）［1-2］。有源配电网CPS的发展不但提高了对配电网的控制能力,也为电力CPS的建设提供了条件。然而,以智能设备构筑的感知层和控制层因涉及面广、安装量大的特点,受到网络攻击的风险较高［3-4］。具体表现为全球电力二次系统网络安全事件频发［5-6］。因此,有源配电网CPS的网络安全对于其进一步发展至关重要。微电网作为有源配电网CPS的重要组成部分,也继承了相关特性。微电网不但可以连接主网运行,而且能够脱离主网独立管理系统内部的能量流。这种即插即用的特点使得微电网CPS在保持电网的持续可靠供电和提高DG的渗透率方面发挥了重要作用。为了提高微电网的运行水平,常采用分层控制结构［7-8］对微电网进行控制。分层控制结构通常包含一次控制层、二次控制层和三次控制层。控制层之间相互配合,能够有效确保微电网CPS的稳定运行。

二次控制在保证孤岛运行微电网稳定性方面的作用十分关键［9-10］。分布式控制模式以其灵活性、高可靠性和可扩展性的优点逐渐取代了集中式控制模式［11-15］。但由于涉及较多控制决策和信息通信过程,分布式控制非常容易受到网络攻击。网络攻击轻则会使控制算法无法达到控制目标,导致微电网频率和电压发生偏差；重则会导致微电网崩溃,带来严重的经济损失。因此,为消除攻击对系统的破坏,研究能够抵御攻击的分布式控制算法具有重要的现实意义。

在众多的攻击类型中,虚假数据注入（false data injection,FDI）攻击可以在不引起控制器跟踪误差的前提下施加攻击,很难被分布式控制器直接检测并消除。以注入量为常值的FDI攻击为研究对象,文献［16-18］提出了基于状态观测器和信任因子的攻击抑制算法,力图减轻或消除攻击对系统的影响。但这些算法主要采用建立评估信息可靠性的机制或建立状态观测器的方法,仅能减轻攻击造成的影响,且计算复杂度高,不利于算法在控制器中的集成。基于此,针对注入量为常值的FDI攻击,本文首先分析了FDI攻击对微电网分布式协同控制的影响,然后基于常值微分为0的性质,设计了一种抵御FDI攻击的分布式协同控制方法,该方法不需要建立复杂的评估机制,不依赖状态观测器,能够完全消除注入量为常值的FDI攻击对系统的影响,且能够应对所有DG受到攻击的情况。

1 基于分布式协同控制的微电网频率二次控制

在微电网分层控制结构中,传统的分布式协同控制在没有攻击的理想情况下能够保证系统在孤岛运行时的频率运行在额定频率［19-25］。

1.1 网络图论基本知识

一个由n个节点构成的网络拓扑G可以由节点集V={v1,v2,…,vn}和边集E⊆V×V表示,即为G≜(V,E),其中vi为第i个节点。若节点vi能够收到节点vj的信息,则节点vj称为vi的邻居节点。节点vi的邻居节点的集合定义为Ni={j|(vj,vi)∈E}。

网络拓扑G的拉普拉斯矩阵L定义为:

式中:A为拓扑的邻接矩阵,如果(vj,vi)∈E,即节点vi收到节点vj的信息,则矩阵A的元素aij=1,否则aij=0。

通过定义可知L e=0,其中e为元素为1的n维列向量。从节点vi到节点vj的路径可表示为一组边的序列,即(vi,vk),(vk,vl),…,(vm,vj)。若拓扑图中从根节点到任意节点都存在至少1条路径,则称拓扑图中包含1个生成树。

领导节点v0通过边与至少1个节点vi相连,记连接权值为bi,称为连接增益。若bi=1,则表明vi与领导节点相连,否则bi=0。连接增益矩阵B的表达式为B=diag{b1,b2,…,bn}。本文假设通信拓扑图是连通的,且包含1个以领导节点v0为根节点的生成树。

1.2 微电网分布式协同控制

在微电网中,DG通过逆变器向微电网供电。根据控制目标的不同,DG逆变器可分为流控电压源型逆变器（current controlled voltage source inverter,CCVSI）和压控电压源型逆变器（voltage controlled voltage source inverter,VCVSI）这2种。其中CCVSI只能跟踪微电网的频率和电压提供相应的有功功率和无功功率,而VCVSI可调整DG的频率和电压,可控性更好。因此,在孤岛运行的微电网中,DG的端口逆变器往往采用VCVSI,其主要由直流电源、桥式逆变电路、功率控制器、电压控制器、电流控制器和滤波器等组成。

在功率控制器中,下垂控制技术用于控制逆变器输出的有功功率和无功功率。其模拟了同步发电机有功功率-角频率和无功功率-电压的关系,具体表达式为:

式中:ωi和Umag,i分别为逆变器i的输出角频率和电压；Pi和Qi分别为逆变器i的输出有功功率和无功功率；mp,i和nq,i分别为逆变器i的有功和无功下垂系数,可通过逆变器的额定值获得；ωn,i和Un,i分别为逆变器i的角频率和电压设定点。

下垂控制会导致频率和电压的偏差,因此,需要二次控制来进行补偿。二次控制的目标是通过调节角频率和电压设定点将频率和电压恢复到正常工作范围内。本文只对攻击下的分布式协同控制进行分析,因此控制目标为:在存在攻击的情况下,设计二次控制算法,使式（3）成立。

式中:i=1,2,…,n,其中n为DG的个数；ωref为参考角频率。

为了利用分布式协同控制实现上述控制目标,需要设计辅助控制器来获取式（2）中的控制输入ωn,i。将式（2）进行微分为:

根据式（4）,可将包含n个DG的微电网频率恢复问题转化为一阶线性多智能体系统的跟踪同步问题,即

为实现各个DG角频率与参考角频率一致,采用Leader-follower一致性控制算法设计控制率［12-14］。由于只依赖本地和通信拓扑图中的邻居节点信息,则传统的分布式协同控制算法的控制输入可设计为:

由式（4）可导出二次控制的设定点为:

根据式（6）及系统动态特性,结合下垂控制,可分布式地实现DG频率的恢复［11］。

2 FDI攻击下的微电网分布式协同控制算法

由引言可知,当微电网控制系统受到恶意网络攻击时,会导致控制目标无法实现,甚至会产生远超物理设备故障导致的后果。攻击者可以从微电网的建设和生产环节中寻找漏洞实施攻击。例如,攻击者可以预先在设备采购供应链环节植入恶意代码,并适时诱导恶意代码发作实施预设的攻击行为。这也是FDI攻击实施攻击的常用手段。对分布式控制系统而言,注入量为常值的FDI攻击可以在不引起系统跟踪误差的前提下破坏系统的性能［17］。由于缺乏全局信息,传统分布式协同控制在实施过程中很难检测并消除FDI攻击。因此,本文针对注入量为常值的FDI攻击,研究其对传统分布式协同控制的影响,并提出抗攻击分布式协同控制算法。

2.1 FDI攻击对传统分布式协同控制系统的影响

当微电网中分布式协同控制系统的控制器受到注入量为常值的FDI攻击时,其数学模型为:

式中:ci为施加在第i个DG控制器上的FDI攻击参数。

由于幅值较大的攻击会带来明显的系统状态异常,利用简单的判断机制即可捕捉到系统的这种异常变化。FDI攻击为了避免引起注意,往往不会设定较大的攻击幅值。

2.2 2组治疗前后RDQ量表评分比较 2组治疗后反酸、反流、烧心及胸痛等RDQ量表评分比较。中年治疗组与对照组比较，χ2=4.24，P=0.039(P＜0.05)，差异具有统计学意义；老年治疗组与对照组比较，χ2=10.881，P=0.001(P＜0.05)，差异具有统计学意义；中老年治疗组比较，χ2=4.9，P=0.028(P＜0.05)，差异具有统计学意义；中老年对照组比较，χ2=0.60，P=0.438(P＞0.05)，差异无统计学意义。详见表2。

由定理1证明在分布式协同控制器受到攻击的情况下,无法实现控制目标。为证明定理1,引入以下引理。

引理:矩阵L+B为可逆矩阵。

定理1:式（6）在攻击存在时,不能保证每个DG的角频率恢复到参考角频率,会产生与攻击量有关的偏差。具体为:

式 中:ω=[ω1,ω2,…,ωn]T为 角 频 率 向 量；C=[c1,c2,…,cn]T为攻击向量。证明过程如附录A所示。

由定理1可知,传统分布式协同控制算法在注入量为常值的FDI攻击下无法实现式（3）,会产生一个与攻击向量有关的偏差,造成DG输出频率不同步,进而会破坏有功功率的平衡,发生频率波动,从而影响整个系统的稳定性。因此,设计能够抵御攻击的分布式协同控制算法十分重要。

2.2 FDI攻击下的分布式协同控制算法设计与稳定性分析

为消除注入量为常值的FDI攻击对二次控制的影响,根据常值微分为0的特性和定理1的分析过程,设计新型抗攻击分布式协同控制算法为:

定理2:式（10）能够消除注入量为常值的FDI攻击的影响,保证式（3）成立,且攻击可以发生在任意DG上,攻击的幅值可以任意大,即

证明过程如附录A所示。证明过程表明,理论上,该算法能够消除在任意DG上,任意大幅值的注入量为常值的FDI攻击。

2.3 与现有抵御攻击算法对比分析

文献［17］利用容错机制在一定程度上解决了注入量为常值的FDI攻击下的微电网二次控制问题。其具体做法如下。

首先,为每个DG引入1个状态观测器为:

然后,定义本地邻居跟踪绝对误差εi为:

该误差的特点为:无论存在攻击与否,εi→0,且t→∞。

定义偏差σi为:

该偏差的特点为:当不存在攻击时,σi→0,且t→∞；当存在攻击时,σi＞0,且t→∞。

利用二者在攻击存在时的差异,设计评价第i个DG本地信息可靠性的自信因子Ci,其计算方法为:

式中:Δi为阈值。

根据定义可知,当不存在攻击时,|σi−εi|=0,使得Ci=1,且t→∞。当第i个DG被攻击时,|σi−εi|≫Δi,使得Ci＜1,且t→∞。因此,自信因子能够评价自身受到攻击的严重程度,且攻击造成的偏差差异越大,Ci越小。

除判断自身是否受到攻击以外,还可以利用邻居的观测值设计信任因子rij来判断邻居节点的信息的可靠性。其计算方法为:

式中:Θi为设计的阈值。

结合式（15）—式（18）得到用于判断第i个DG传递给第j个DG信息的可信程度因子Tij为:

由设计规则可知,0≤Tij≤1。

共同考虑本地与邻居节点信息的可靠性,最终设计得到抵御攻击的控制为:

将评价本地与邻居节点信息可靠性的因子嵌入到控制器中,利用攻击造成的差异越大,因子值越小的特性,在控制器执行过程中逐渐减小攻击的扩散传播,从而达到减小攻击破坏程度的效果。从分析中可知,该算法只能减小攻击的破坏程度,不能完全消除攻击造成的影响。

结合上述分析,本文方法与该方法相比的优势如下。

1）不需要额外设计状态观测器对本地和邻居节点的角频率状态进行观测。

2）不需要计算本地和邻居节点信息的可靠性,降低了决策单元的计算负担。

3）能够完全消除攻击造成的不利影响,使得DG的频率最终能够严格跟踪到参考频率。

3 算例分析

为验证算法的有效性,采用如图1所示的微电网系统作为研究对象。该微电网中包含4个DG和3个集成负荷（连接在同一条母线上的负荷需求总和）L1至L3。其中DG的容量、下垂控制系数和负荷需求分别如附录A表A1和表A2所示。在MATLAB的Simulink中搭建相应的网络拓扑及DG模型进行仿真。

图1 微电网系统拓扑结构图Fig.1 Topology of microgrid system

采用文献［17］中的算法进行对比实验,进一步突出本文抗攻击分布式协同控制算法的性能。

整个仿真过程中事件包括:t=0 s时,微电网脱离主网运行；t=1.5 s时,执行二次控制；在t=3 s时,注入攻击。实验验证的2种攻击情况分别为DG3控制器单独受到攻击（如图2（a）所示）和所有DG控制器受到攻击（如图2（b）所示）,攻击向量分别为[0,0,0.3,0]T和[0.3,0.2,−0.3,0.4]T。

图2 注入量为常值的FDI攻击示意图Fig.2 Schematic diagram of FDI attacks with constant injection

微电网系统环境无攻击时,在传统二次控制算法下,DG的频率如图3所示。可见,传统次级控制在没有攻击的情况下,能够将微电网孤岛运行时的频率同步在50 Hz的额定值。

图4给出了运用图2（a）攻击场景下传统次级控制算法、文献［17］的频率二次控制算法和本文方法得到的4个DG的输出频率。从图4（a）中可以看出,DG3仅受到幅值较小的常值注入,所有DG的输出频率超出频率允许范围,且不能保持同步,极有可能引发更严重的系统稳定问题。因此,重视配电网网络安全,研究抵御攻击的控制方法对于系统的稳定运行具有重要意义。

图3 无攻击时传统分布式协同控制效果曲线Fig.3 Effect curves of traditional distributed cooperative control without any attack

图4 DG3受到攻击时二次控制效果曲线Fig.4 Effect curves of secondary control when DG3 is attacked

由图4（b）和图4（c）可知,与传统频率二次控制方法相比,文献［17］的控制算法抑制了攻击在控制系统中的传播,使得DG1、DG2和DG4的频率同步在额定值,但未能消除DG3因攻击产生的频率偏差,长时间运行也可能引发系统稳定问题。而本文方法则实现了攻击的完全消除,保证了所有DG的频率同步在额定频率。验证了本文方法的有效性和优越性。

为进一步验证本文方法能够应对较多DG受到攻击的情况,选用图2（b）所示的场景。图5给出了传统次级控制算法、文献［17］频率二次控制算法和本文方法在受到攻击后,4个DG的输出频率。由图5（a）可知,与DG3受到攻击的情况类似,所有DG的输出频率均超过允许范围,且不能保持同步。但由于DG都受到攻击,此场景下频率偏差更加严重。

由图5（b）和图5（c）可知,文献［17］的控制算法与传统方法相比,虽然减轻了攻击的不利影响,但每个DG的输出频率仍然超过了允许范围,且不能同步,可见,文献［17］方法无法应对所有DG受到攻击的情况,算法具有较大的局限性。而本文方法则仍然能够保证所有DG输出频率同步在额定值,完全消除了攻击的影响,进一步验证了所提抗攻击分布式协同控制算法在应对注入量为常值的FDI攻击时的有效性。

图5 所有DG受到攻击时二次控制效果曲线Fig.5 Effect curves of secondary control when all DGs are attacked

4 结语

微电网CPS容易受到网络攻击,针对注入量为常值的FDI攻击,本文分析了攻击对传统分布协同控制的影响,利用常值微分为0的性质,设计了能够完全消除注入量为常值的FDI攻击的分布式控制器。经仿真验证,与现有抵御攻击的分布式协同控制方法相比,所提方法不需要设计复杂的参数评估邻居信息的可信性,不依赖额外的估计器和通信网络,能够完全消除攻击的影响,且能够应对所有DG受到攻击的情况,具有较高的实用性。

虽然所提抗攻击分布式协同控制算法能够有效抵御注入常值对执行器的攻击,但对感知器和通信链路遭受攻击的情况仍需要进一步深入研究。未来还可将研究重点聚焦于研究能够应对更多类型注入式攻击的分布式协同控制算法上。