栗会峰,李铁成,李均强,孔祥兴,卢志刚

(1.国网河北能源技术服务有限公司,河北 石家庄 050021;2.国网河北省电力有限公司电力科学研究院,河北 石家庄 050021;3.河北省电力电子节能与传动控制重点实验室(燕山大学电气工程学院),河北 秦皇岛 066004)

0 引言

随着现代信息通信技术的深度发展与应用,在传统的电力系统理论基础上形成了电力信息物理系统(cyber-physical system,CPS)[1]。电力CPS实现了对电力系统各个环节的实时感知、动态控制和信息服务,提高电力系统可观可控性的同时,也带来了网络安全问题[2],电力CPS一旦遭受网络攻击,将会对电力系统可靠稳定运行造成极大影响[3-4]。

电力CPS脆弱性是指当电力CPS受到攻击或者突发故障时,电力CPS不能正常工作后对负荷造成的影响。文献[5]基于博弈论建立了电力CPS三层动态攻防博弈模型,以电力系统层负荷损失为指标评估了电力CPS的脆弱性,同时提出了一些在系统受到攻击时的最佳防御方法。文献[6]针对配电网CPS的脆弱性评估方法,结合攻防博弈和控制模型进行综合分析,采用调度功率缺额指标衡量了网络攻击下的配电网CPS 负荷损失。文献[7]基于相依网络理论建立了电力CPS脆弱性评估模型,以节点的存活率作为系统的脆弱性评估指标,评估了不同攻击策略下的电力CPS脆弱性。文献[8]基于复杂系统理论,并考虑电力物理网和通信网耦合关系,建立了以通信网为主体的耦合模型,结合基于正态云组合权重法与变权重系数的节点重要度评估机制,建立通信网节点重要度评估指标集,获得通信网重要度评估结果。文献[9]建立了电力CPS 评估模型,在分析中发现信息节点的有效性与耦合系统的正常工作息息相关,从攻击者的角度分析了信息网络的脆弱性,并提出了相应的保护策略。以上研究均存在以下问题,导致与实际情况不一致,评估结果不准确:一是只考虑信息节点存在正常、失效2种状态,未考虑过载状态,即信息节点过载情况下并未失效,只是处理能力下降;二是未考虑信息节点修复过程,即信息节点失效时,通过应急措施,一定概率情况下会恢复正常。

本文开展了网络攻击下的配电网CPS 脆弱性评估的研究,建立考虑信息节点过载过程、修复过程的配电网CPS级联失效模型和脆弱性评价指标,并基于IEEE 118节点和巴拉巴西-阿尔伯特(barabási-albertmodel,BA)无标度网络进行仿真,对网络攻击下网络性能参数对配电网CPS脆弱性的影响进行分析,为提高防御策略有效性和针对性提供了有益参考和借鉴。

1 配电网CPS建模

配电网CPS模型见图1。配电网CPS模型主要由信息层(决策分析层、通信网络层和二次设备层)和物理层组成,可表示为G=(V,E),其中V={Vc,Vp}为信息层和物理层中所有节点的集合,E={Ec,Ep}为信息层和物理层中各个节点间的通信链路与电网线路的集合。由复杂网络理论可知,G中的各条边为无向边。可由邻接矩阵A表示配电网CPS中各节点的连接关系。

图1 配电网CPS模型示意

式中:A为m+n阶的矩阵;m为信息层的节点数目;n为物理层的节点数目;C m×m和P n×n分别为信息层和物理层的连接矩阵,表示各层内部的连接关系;I m×n和D n×m分别为信息层和物理层间的耦合连接矩阵,I m×n为数据采集和指令下达链路,D n×m为信息节点的供能路径。

A(i,j)为矩阵A的(i,j)元素。A(i,j)=1表示节点(i,j)之间存在连接边;相反,A(i,j)=0表示节点(i,j)之间不存在连接边。

2 配电网CPS改进级联失效模型

级联失效是指网络中的边或是节点由于故障或者被攻击而发生损坏,负载将再次进行分配,在这种情况下,进一步引起其他边或是节点由于负载过高而发生损坏的基本过程[10]。

2.1 信息节点失效模型

实际情况下,信息节点包括正常、失效、过载3种运行状态。信息节点的3种运行状态转换关系如图2所示。

图2 信息节点状态转移关系

信息节点负荷超过一定容量限度的情况下,信息节点处理数据的能力会下降,不会立即失效。在信息节点正常和失效状态的中间存在一种过载状态,定义一个“过载函数”,即每个信息节点都有一个动态失效概率的函数p i来描述信息节点的拥塞程度。

式中:L i(t)、C i分别为信息节点负载和额定容量;η为信息节点的过载能力承受系数;p i(t)为信息节点的动态失效概率。公式分别描述信息节点正常、过载和失效3种运行状态:当L i(t)小于等于额定容量C i时,信息节点处于正常状态;当L i(t)大于C i且不超过最大过载能力(1+η)C i时,信息节点处于过载状态;当L i(t)超过(1+η)C i时,信息节点处于失效状态。

其中,节点负载为相邻边加和,信息节点的初始负载L i(0)通过以下关系式表示

式中:δ、μ、φ分别为信息节点可调参数,可根据信息节点承载任务的不同进行调节;k i、k j分别为相邻信息节点度数;Ω为信息节点i相邻节点集合。

为了更好的描述信息节点处理能力的大小,定义e ic(t)来描述信息节点的工作效率。

考虑到在遭受攻击之后,调控中心通常可以在短时间内采取应急手段(切换为备用节点、信息系统的调整等)恢复一定数量的节点。信息节点i应急恢复过程表示如下

式中:e ic为信息节点i的工作效率;ξ为(0,1)之间的随机数;ρ为被恢复概率。当ξ＜ρ时,信息节点i可以修复;当ξ≥ρ时,信息节点i不能修复。

2.2 物理电网级联失效模型

本文考虑信息系统故障对物理电网的影响。信息节点Vci对应的电力节点为Vpi,引入信息-物理耦合因子θi描述信息节点与物理节点的耦合情况。对于电力节点Vpi对应的信息节点失效,则θi为0,电力节点不可控、不可观;相反θi=1,则电力节点可控、可观。对于电力线路Ep,ij,θi和θj分别表示电力线路两端的物理节点与信息节点的耦合因子,若都为0,那么线路Ep,ij为不可观线路。当不可观、不可控的电力节点、线路发生故障,调控中心难以及时发现并下发优化调整指令,造成电力系统连锁故障的进一步恶化。

基于直流潮流的最优潮流模型,综合考虑负荷重要程度的不同、系统运行约束及机组出力调整,以系统重要负荷最小削减量为目标,构建考虑信息节点的物理电网级联失效模型

式中:ωi为电力节点i的负荷重要度权重;ΔPDi为节点i的负荷削减量;F为支路潮流向量;A FP为支路-节点关联导纳矩阵;P为节点注入功率向量;PGi为节点i的发电机初始出力;ΔPGi为节点i的发电机出力调整量;PGimax为节点i的发电机出力最大值;PDi为节点i的初始负荷值;ΔPDi为节点i的负荷削减量;F l为支路l的线路潮流;F lmax为支路l的线路潮流限值;θi为节点的信息物理耦合因子;f为系统重要负荷削减量;Np为重要负荷的数量。

3 配电网CPS脆弱性评估

综合考虑拓扑结构和系统的运行状态,采用信息节点损失比例Rc、信息网络的相对传输效率R E、重要负荷削减量RS作为评估指标,对电力信息物理系统的脆弱性进行准确分析。

3.1 信息节点损失比例R c

信息流的传输依赖于信息网拓扑结构中信息节点的可用性。当信息系统遭到攻击时,信息节点损失比例Rc越大,表明对信息网络拓扑结构破坏程度越大,系统的脆弱性越高。

式中:N0为信息网初始节点的数量;N1为信息系统遭到攻击之后未失效信息节点数量。

3.2 信息相对传输效率R E

当信息系统遭到攻击时,信息节点的负载会重新进行分配,并可能造成某些信息节点过载或失效。由于信息节点运行状态(正常、过载、失效)不同,处理单位数据所用的时间也不同。信息节点处理单位数据所用时间T i(t)简化为节点效率的倒数。

式中:T i(t)为信息经过信息节点i增加的数据延时。

本文对数据通信传输延时按如下简化计算:数据在信息网络中传输符合最短路径原则,且仅考虑信息节点处理数据的延时时间,每通过一个信息节点,增加相应节点的数据延时。信息网络的传输效率

式中:N为信息网节点总数;t ij为数据通过最短的路径由源节点i传送至目标节点j的过程当中所产生的延时。

信息网络的相对传输效率为

式中:E0为信息网未受到攻击时的网络传输效率。

R E的取值范围为[0,1],当R E=1 时,表示在信息网遭受攻击后,网络传输效率没有下降;当R E=0时,表示信息网遭受攻击后,网络传输效率下降为零。

3.3 重要负荷削减量R S

为了反映网络攻击对物理电网的影响,定义重要负荷削减量RS作为评价攻击后果严重程度的指标。

式中:PLi为负荷削减后电力节点i的有功功率。

3.4 脆弱性评估流程

考虑电网潮流和信息流重新分配的电网信息物理系统脆弱性分析流程如图3所示。首先建立配电网CPS模型并输入系统结果参数。模拟网络攻击,确定初始失效信息节点和初始故障电网线路;根据CPS模型计算信息流重新分配过程,并模拟信息节点修复过程,确定正常信息节点、失效信息节点、过载信息节点;根据信息节点与电网耦合和潮流优化模型,计算得到电网潮流分布及过载情况,依据脆弱性指标计算获得电网脆弱性结果。

图3 配电网CPS脆弱性评估流程

4 仿真分析

4.1 仿真参数

采用IEEE 118 节点标准模型构建配电网CPS的物理网络,并将支路潮流限值设定成初始数值的1.8倍;信息网符合无标度网络特征,采用BA 无标度网络演化算法构造双星型信息网络,生成119个信息节点的BA 无标度信息网络,其中一个节点为配电网调度中心;将具有最大度数的信息节点作为调控中心,CPS物理网络节点和信息网络节点实现一对一随机耦合,见图4、图5。

图4 IEEE 118节点物理网络拓扑

图5 119节点BA网络拓扑

电网负荷等级权重依据文献[11]中参数。信息网络初始化参数如表1所示。

参数δ_______μφηρ__初始值_____0.5_____________________________________________0.1 2 0.1 0.1

仿真计算中,遍历测试所有电力线路N-1故障,为了消除随机误差,独立重复50次实验,根据评估模型计算Rc、R E、RS的平均值。

4.2 仿真结果与分析

4.2.1 脆弱性评估结果分析

针对2种不同评估方法,分别计算脆弱性评估指标。方法1:不考虑信息节点过载和修复状态的评估模型;方法2:本文评估模型。不同评估模型下,在初始攻击节点数量M较少时,2种评估方法的评估结果相似,这是由于此时信息网正常工作的节点多,拓扑结构完整,信息节点过载、应急恢复的作用不明显。随着攻击节点数量的增加,系统的故障进一步蔓延,本文方法所计算的配电网CPS脆弱性均低于不考虑信息节点过载和修复状态的评估模型。由于考虑了信息节点的过负荷运行状态和应急处置过程,所计算的结果更符合实际情况,见图6-8。

图6 配电网CPS信息节点损失比例计算结果

图7 配电网CPS信息传输效率计算结果

图8 配电网CPS负荷损失值计算结果

4.2.2 网络性能参数对配电网CPS 脆弱性的影响

网络性能参数在一定程度上反映了配电网CPS的整体性能,分析不同网络性能参数下配电网CPS的脆弱性,验证所提指标的有效性。

1)过载参数η。过载参数η反映的是信息节点对于超过其容量的额外负载的处理能力,η越大,信息节点对额外负载的处理能力越强,信息节点的失效概率越低。选取不同的η值,对配电网CPS的脆弱性进行计算。其中,M表示信息网络在初始条件下受攻击而失效的节点数量,不同网络攻击下,配电网CPS随η变化曲线如图9-11所示。

图9 配电网CPS信息节点损失比例随η 变化曲线

图10 配电网CPS信息传输效率随η 变化曲线

图11 配电网CPS负荷损失随η 变化曲线

由图9-11可知,随着η的增大,配电网CPS的信息节点损失比例、信息网传输效率2项脆弱性指标逐渐下降;η＞0.2后,上述2项指标随η的变化率明显变小。物理层负荷损失随着η增大而降低;η＞0.6后,物理层负荷损失指标随η的变化率明显变小。综上可知,当η为0.2～0.6时,通过增大η降低CPS脆弱性的效果更加明显,回报更大。

2)修复参数ρ。修复参数ρ决定了配电网CPS在遭受攻击之后,短时间内通过应急措施(切换为备用节点、调度人员对信息系统进行调整等)予以恢复信息节点的能力。选取不同的ρ值,对配电网CPS的脆弱性进行分析,仿真结果如图12-14所示。

图12 配电网CPS信息节点损失比例随ρ 变化曲线

图13 配电网CPS信息传输效率随ρ 变化曲线

图14 配电网CPS负荷损失随ρ 变化曲线

由图12-14 可知,随着ρ的增大,配电网CPS的脆弱性迅速降低,说明通过提升系统的ρ能够很好的对抗配电网CPS 故障的跨域传播。相比于增加信息节点η,通过提升ρ带来的效果更加明显,经济成本可控性也更高。提升ρ的方式包括切实可行的应急处置措施、充足的备用设备等。

5 结束语

本文在网络攻击场景下,对配电网信息物理系统的信息节点、电网节点失效模型进行优化,开展脆弱性评估研究。考虑信息节点过载状态和信息节点快速恢复过程,建立信息节点与电网物理节点的关联失效模型,同时建立脆弱性评估指标。本文基于IEEE 118节点和BA 无标度网络上进行仿真计算,对不同评估方法下的脆弱性指标结果进行比对分析,计算了网络性能参数对CPS脆弱性指标的影响程度。仿真结果验证了所使用的改进级联失效模型能够更好地模拟实际运行情况,对系统脆弱性评价的结果更加准确。同时,计算结果显示,相比于提高网络设备过载性能,提高修复参数ρ能够更好地对抗网络攻击带来的影响,降低CPS脆弱性。