冯程程， 李琰， 徐天奇

(云南民族大学云南省高校CPS融合系统重点实验室， 昆明 650504)

现代电网借助大量传感设备与复杂通信网络使电力系统形成为一个多维异构的信息物理融合系统(cyber-physical system，CPS)，信息系统的加入改善了配电网CPS的运行，但也给配电网CPS运行的安全性带来了一定的风险和影响[1-2]。目前由于电力基础设施网络系统中普遍采用安全稳定3道防线，以保障系统受扰后的稳定运行，物理域元素自身缺陷、运行管理等问题带来的安全风险越来越低，而信息网与物理网的高度耦合导致信息网的潜在风险不断提高[3]，并且信息网局部失效后会大大影响对电网故障处理和恢复，如2003年美加大停电[4]、意大利大停电[5]以及2015年乌克兰大停电[6]，这些事故证明了在信息网局部失效后，电网故障无法被及时处理，从而造成配电网的大量损失。因此开展信息网风险传播研究对配电网安全性是十分必要的。

目前预期故障分析方法大量应用于航天[7-8]、机械[9-11]等领域，在电力领域也只是少量应用于大规模电网[11-13]，并且只考虑物理侧影响。文献[14]验证了预期故障分析方法可快速分析和评估系统的状态。文献[15]的预期故障分析方法评估方式较为单一，其物理故障都较为靠近主电源，与其组合的失效信息节点都为控制备用电源接入的二次设备，这种评估结果是显而易见的，对真实的配电网CPS参考价值较低。

综上所述，对于信息网风险传播的研究已初具规模，但预期故障分析方法应用于配电网CPS风险传播的研究较少，并且现有的对信息-物理组合故障的研究仍有缺陷。现将信息网风险传播应用于到预期故障分析中，弥补其故障类型较为单一的缺点，将单个信息节点失效考虑为信息网局部失效，与传统风险传播不同的是，将信息节点进行分类与加权，提出信息节点受损概率的算法，体现其节点差异性。与现有研究相比，文中所提评估模型考虑因素更多，故障类型更为丰富，与真实配电网CPS更为相近。最后，通过算例分析，与传统风险传播评估模型及文献[15]评估模型进行对比验证。

1 配电网CPS结构模型

随着特高压输电电网的不断扩张和分布式电源的不断接入，电网的结构愈发复杂，同时信息网的规模持续扩大，承载的电力业务也不断增多，使得物理网与信息网的耦合变得错综复杂。配电网CPS的耦合主要体现在信息域节点和物理域节点的信息交互，信息流和能量流协同[16]。针对这样一个复杂且庞大的耦合系统，必须充分了解其各部分的关联关系，才能简化系统进行建模。基于统计物理学中的平均场思想，将物理网和信息网的各个组成部分抽象为节点形式，例如，物理网中的发电、配电、用电装置以及信息网中的监控、传输、决策等组成部分，其中虚线表示为信息流的传输，实线表示为能量流的传输，如图1所示，信息网通过信息收集设备对电力系统运行状态进行分析，并对电力系统的运行方式做出适当调整，这就是状态感知与指令下发，即“上传下发”过程。

2 配电网CPS安全风险传播模型

物理网为信息网提供电力供应，信息网对物理网进行实时监测与控制，但目前绝大多数通信站点已安设可靠电源，因此可不考虑物理网故障对信息网的影响[17]。但当信息环节出现故障时，可能无法实现状态感知与指令下发，从而对物理网产生一定

图1 电网双域耦合模型Fig.1 Double domain coupling model of power grid

影响，如出现故障范围扩大、保护装置误动拒动、故障恢复时间延长等问题。现立足于信息网局部失效，研究对物理网预期故障恢复过程的影响。

2.1 信息-物理耦合系统建模

根据双网内节点连接关系对信息-物理耦合系统采用关联矩阵方法进行建模，物理网络可用P=(GP,VP)表示，其中主电源、负荷、后备电源等物理节点表示为GP，节点间连接关系用VP表示，为单向关联矩阵。信息网则为C=(GC,VC)，根据其节点类型(控制中心节点、传输节点、监测节点)建立信息节点集合GC,节点间连接关系用VC表示，为双向关联矩阵。信息网通过二次设备与物理网中节点连接，传递信息流，以获取电网实时动态，并下达指令，则根据信息-物理耦合系统的拓扑关系可建立跨域关联矩阵SP-C，由此，完整耦合系统可由集合(P,C,SP-C)表示。

2.2 信息网风险传播机制

将信息域节点分为3类，为监测节点、传输节点、控制中心节点。物理节点直接与二次设备相连，即信息网中的监测节点，并通过传输节点上传运行数据到控制中心节点，对其决策的产生提供数据支持，信息网中单个监测节点的失效不会对电网运行产生直接影响，但由于信息节点间的关联性，可能使风险扩散给其他信息节点，一般监测节点的度数较低，风险传播的范围较小，不会对电力网造成直接的影响，而传输节点连接紧密且数量众多，风险传播的概率和范围较大，大量传输节点故障会造成信息网局部失效，导致“上传下发”过程受到阻碍。一般控制中心节点的重要程度在信息网中较高，属于信息网的骨干层，负责将监测节点上传的信息流作为输入，并输出相关指令，其失效可能性较低，但并不能排除其失效的可能性，当控制中心节点失效时，双网耦合模式崩溃，信息网处于瘫痪状态，无法对物理网状态进行感知与调整。

基于信息域节点间的风险传播理论，当某节点失效时，一定概率会将故障传播给相邻节点，如图2所示，节点i失效会以不同概率w传播给节点k、节点j和节点m，这3个节点其中若有失效的，则继续向后扩散，直至停止。为了考虑对配电网CPS安全性的最终影响，故障传播过程中，不考虑失效信息节点恢复的可能。

本文所提的受损概率算法将节点分类进行求解，体现节点差异性和概率合理性，信息节点间的故障传播概率取决于节点的安全防御措施、安全漏洞自身特性等因素。节点i向节点j的传播成功概率取决于节点j自身特性，则节点j受损概率计算公式为

(1)

式(1)中：m∈[1,n]为信息域节点编号；kj为节点j的度；Nj为节点j的邻接节点集合；Uj为节点j的权重系数。

建立节点存活矩阵Gt，即t时刻信息域所有节点的存活状态，记为

(2)

式(2)中：gpi表示节点i在t时刻的状态，其中，正常运行时为1，故障时为0。

节点i在t时刻失效时，gpi=0，风险从节点i试图向邻域的节点扩散，t+1时刻，完成首次扩散，得到新增失效节点集合Ft+1，并更新节点状态矩阵，风险经过n次扩散后停止，得到最终节点状态矩阵Gt+n。扩散停止的限制条件为

图2 信息节点故障扩散Fig.2 Information node fault diffusion

(3)

2.3 物理网故障范围扩大机制

物理网直接受信息网控制，当信息网局部失效时，运行数据可能丢失、控制指令无法下发到二次设备等情况，进而造成调度人员判断失误或开关拒动，引起电力网非故障区域扩大，而在考虑信息网风险传播后，信息网失效节点较多，电力网非故障区域进一步扩大，如图3所示，节点d与e之间故障，若d处监测失败，则故障范围扩大至c至e段，而在c处也监测失败时，故障范围进一步扩大为b至e段，将本不是故障区域的b至d段切除，扩大停电范围。

图3 物理网故障范围扩大分析Fig.3 Analysis on fault range expansion of physics network

3 评估模型的建立

本文所建立的评估模型考虑了信息网的风险传播特性和物理网的拓扑结构，从预期故障集的建立到组合故障评估进行说明，首先给出评估模型的流程示意图，如图4所示。

图4 评估模型仿真流程图Fig.4 Evaluation model simulation flow chart

3.1 信息故障集的建立

信息故障集是基于物理故障的恢复策略所生成的，其中包括监测信息的上传与控制中心产生指令后的下发，如图5所示，为一个简单的故障恢复过

图5 信息故障集生成Fig.5 Information fault set generation

程，物理故障Q的信息由监测节点与传输节点上转至控制中心后，后将指令W下发给物理网，从图5中可以看出信息上传下发过程不止一条，当信息网网络结构复杂时，可考虑使用递归遍历算法[19]求解所有可行通信路径。由此可得到与物理故障相关联的所有信息节点集合，用ω(Hi)表示为

ω(Hi)=c(L1)∪c(L2)∪c(Lj)∪…∪c(Ln)

(4)

式(4)中：Hi为物理故障集的第i个故障；Lj表示为第j条通信路径；c、ω为集合；n为可行通信路径数目。

3.2 物理故障集的建立

本文方法建立物理故障集的方法是改变物理网的拓扑结构，假设相邻节点之间故障，导致线路断开，如图6所示，物理故障集由4个元素组成，分别为1-2、2-3、3-4、4-5。

图6 物理故障集生成Fig.6 Physical fault set generation

3.3 评估指标的建立

本文所建立的评估指标首先给出在信息-物理预期故障集建立完成后，需要对其中的组合故障进行一一验证，并分析其对配电网CPS的影响，并筛选出影响较大的组合故障。在文献[15]的基础上考虑了信息网的风险传播，下面从评估指标进行分析。

为了减少用户损失及停电时间，需要及时重新定位故障区域，并对故障停电区域进行修复，对非故障停电区域恢复其正常用电，提出故障恢复时间Trec。

Trec=TFl+TFr+TNr

(5)

式(5)中：TFl为故障重新定位时间；TFr为故障停电区域修复时间；TNr为非故障停电区域恢复时间。

从物理网拓扑结构出发，因信息故障造成停电范围扩大，而将停电区域分为故障停电区域与非故障停电区域，提出非故障停电区域损失程度βlost，体现其故障波及的影响。其计算公式为

(6)

式(6)中：η表示非故障停电区域内负荷节点的集合；Pi表示为节点i处的原始功率；Ui表示为节点i处的原始电压。

物理网中用户的分布并不均匀，应充分考虑组合故障对用户的影响，提出用户损失程度ρuser[15]，表达式为

(7)

式(7)中：ω1、ω2表示停电用户比例和用户损失比例的权重；X、Y为停电用户数和总用户数；δi表示用户i的权重系数。

基于故障恢复过程，停电区域内用电设备并不是都能恢复，将物理网停电区域内节点分为可恢复供电节点与不可恢复供电节点，提出故障恢复率ξrec[15]，计算公式为

(8)

式(8)中：PTi为节点i处的可恢复功率；λ为可恢复供电节点集合；T(a,b)为信息故障恢复时间；a为信息节点编号；b为信息故障类型，包括监测节点故障、传输节点故障和控制中心节点故障。

4 应用案例分析

4.1 场景构建与仿真设计

为与文献[15]仿真结果进行对照，选取案例与其相同，物理网选取IEEE-33节点系统，含有3个备用电源。信息网选取一个50节点网络，信息-物理双网耦合拓扑结构如图7所示[14]。

在IEEE-33总线系统中共有32个预想物理故障，并通过式(4)建立每种物理故障的信息故障集，并将其进行组合，生成组合故障集。传统风险传播模型的所有节点的受损概率α相同，不能体现信息节点间的差异性，也没有考虑失效信息节点类型，而文献[15]只是提出单个物理故障与单个信息节点同时故障的情况，并未考虑信息节点间的关联性。为比较不同评估模型之间的差异性，仿真引入传统风险传播模型与文献[15]评估模型与本文评估模型作比较。

图7 信息-物理双网耦合拓扑结构Fig.7 Information physical dual network coupling topology

根据式(1)计算出各个信息节点的受损概率Yj，由于信息网风险传播的区域具有偶然性，因此为降低仿真中随机性造成的影响，对整个评估过程仿真1 000次后，对每个评估结果取均值。

4.2 仿真结果与分析

以文献[15]筛选出的6个组合故障进行分析，设置传统风险传播模型的节点受损概率分别为α=0.2和α=0.3，如图8所示，为3种评估模型对故障恢复率ξrec、用户损失程度ρuser、非故障区域损失程度βlost和故障恢复时间Trec的影响。可见，当考虑信息网风险传播后，物理网各种损失程度均会不同程度增加。单一组合故障的ρrec最大，随着节点受损概率α的增加，信息网失效区域增大，故障恢复率ρrec持续降低。用户损失程度ρuser的曲线图与其他图相比有较大起伏，这是由于物理网中的用户分散不均匀，而组合故障3和4对应的停电区域中居民用户数量较少，工业用户较多，因此用户损失程度较小。而从Trec的图像可明显看出，α的增加导致了Trec的增长，并且曲线增长的幅度不断增加，这是由于考虑风险传播后，信息失效节点成倍增加，故障重新定位十分困难，并且故障停电区域修复时间和非故障停电区域恢复时间都会成倍增加。非故障区域受损程度βlost曲线图与Trec曲线相似，都受信息网失效区域成倍增加所导致的物理网负荷大量丢失。

图8 不同算法对比Fig.8 Comparison of different algorithms

考虑了信息网传播风险后，增加了信息故障的多样性，从单个信息节点失效转变为信息网的区域失效，与真实配电网CPS更加贴合。为与文献[15]作比较，本文也基于故障恢复率筛选出6个组合故障，与其提出的单一组合故障方法与本文提出的风险传播组合故障方法对6个组合故障计算其故障恢复率。如表1所示，ξ1rec≫ξ2rec，T1rec≪T2rec，这是由于信息网局部失效后，上传下发过程受巨大影响，后备电源无法及时接入，导致故障恢复率与故障恢复时间受到影响。文献[15]算法中认为单一的信息传输节点失效不会影响电力系统的业务传输，只有在于二次设备相连的信息节点失效才会对电力系统造成影响，而往往传输节点连接紧密，失效时引发风险传播范围和概率大大增加，而单一组合故障方法太过理想化和单一化，忽略了信息网络的复杂性与节点间的关联性，很难得到真正造成系统损严重的组合故障。本文所得到的组合故障计及了信息网的风险传播，通过受损概率计算公式将节点进行分类与加权处理来体现节点差异性，并通过多次仿真降低风险传播的偶然性，因而较前人方法而言，仿真结果更具有可靠性与真实性。

表1 两种方法评估结果Table 1 Two methods to evaluate the results

信息网与物理网的耦合，给电力系统的运行更加便利，但也面临着信息网带来的风险，仿真结果证明，当考虑信息网风险传播后，电力系统所受影响大大增加，并根据本文方法可筛选出易被忽视的组合故障，有利于对配电网CPS中的节点进行针对性保护，对提升系统抗风险能力提供支持。

5 结论

在信息系统与物理系统的融合不断加深的背景下，来自信息系统的风险不得不着重考虑，并且信息网拓扑结构复杂，节点间相互关联，本文建立考虑信息网风险传播的信息-物理预想组合故障对配电网CPS的安全性影响进行了分析，仿真结果表明，在考虑了信息网风险传播后，对配电网CPS的安全影响更大，而前人评估的结果都为靠近原始电源的物理故障与控制联络开关闭合的信息节点故障的组合，没有考虑到信息网的拓扑结构与节点间关联性。通过改变信息节点受损概率，考虑对配电网CPS系统故障恢复率、非故障区域损失程度、用户损失程度、故障恢复时间的影响，发现度较大的信息节点失效时，其对系统的影响较大，并且当节点受损概率增加时，系统的故障恢复时间与非故障区域损失程度大幅度增加，可以分析得到，对信息网进行安全防护时，不仅要着重保护控制开关闭合的二次设备，更需要保护度数较大的传输节点，这能够有效提升信息-物理系统的安全水平。