电力信息-物理系统的建模与脆弱性分析

陈世明 马 斐 高彦丽

(华东交通大学电气与自动化工程学院 江西 南昌 330013)

0 引 言

传统的电力系统已发展成为与信息网紧密融合的电力信息-物理系统(ElectricalCyber-physicalSystem,ECPS)。而电力网或信息网的故障可能波及对方网络，产生相互之间的连锁故障传播，从而严重影响系统的安全运行[1-7]。因此研究电力信息-物理系统的脆弱性具有非常重要的理论价值和现实意义。

构建合理的系统模型是进行脆弱性分析的前提。电力网可采用IEEE节点系统进行建模或通过实际电力网的地理接线图获取；而信息网结构复杂且拓扑数据难以获取。目前针对信息网构建规则的研究多数直接采用某些网络模型或其他易获取的网络，或直接在已有电力网基础上做简单修改。文献[8]提出信息网可能存在双星型与网型结构。文献[9]抽取因特网的部分结构作为信息网的拓扑结构。文献[10]基于BA构建比已有电力网多一个节点的信息网。显然以上构建方式较为简单，与实际信息网切合度不高。

以复杂网络理论为基础的电力系统脆弱性研究在近十年层出不穷[11-16]，且相依网络模型[17]的出现为分析系统中子网络间的交互影响提供了新的思路。文献[18]采用基于最大连通片的故障模型以分析电力信息-物理系统脆弱性。文献[19]从连通性角度分析电力信息-物理系统的脆弱性，提出加边策略以提升系统的鲁棒性。文献[20]提出一种优先连接策略以优化已有加边策略。这些研究的故障模型大多基于最大连通子集概念，即系统故障后未处于最大连通子集内的节点视为失效。而实际电力系统只要保证连通子集的有功平衡即可维持该部分站点的正常工作。因此最大连通子集的故障模型与实际电力系统的运行规律不符。

本文根据实际电力信息-物理系统中各元件的部署规律及元件间的相互作用，构建了系统模型及级联故障模型。然后通过分析实际电力信息-物理系统中关键元件的特性，提出一种基于节点度、介数及邻居信息的DB攻击策略。最后通过MATLAB仿真平台针对已构建的电力信息-物理系统在不同故障模型、不同攻击策略以及不同攻击对象下分别进行系统的脆弱性分析。

1 电力信息-物理系统建模

电力信息-物理系统是一个由电力网与信息网深度耦合的二元复合网络，分别构成物理层(P)和信息层(C)。基于复杂网络理论，电力信息-物理系统可抽象成一个无向网络，其拓扑关系可用邻接矩阵A表示：

(1)

式中：M、N分别表示物理层、信息层的节点总数；AP、AC分别表示物理层、信息层内部的连接关系；AP-C表示物理层与信息层的相依关系；(AP-C)T为AP-C的转置。

1.1 电力网建模

物理层为电力信息-物理系统中的载流电力网。为简化分析，作如下假设：

(1) 将电力网中的发电厂、变电站抽象为物理层中的物理节点VP；

(2) 忽略各厂站内部的连线，合并两个厂站间的多条输电线路以得电力网中的物理连边EP；

(3) 忽略厂站间输电线路的差异，且认为所有边为无向边；

(4) 假设发电节点的发电量任何时候都可以满足所需，因此不考虑失效过程中由于负荷过大而导致的节点失效。

基于以上假设，电力网可表示为一个无权无向图GP=(VP,EP),其中VP={1,2,…,M}表示电力网的节点集合，EP={ei,j}表示电力网的边集合。

本文采用IEEE118节点系统的拓扑结构作为电力网的研究模型，将节点分为发电机节点VPG、传输节点VPT、负荷节点VPL三类。其中发电机有功不为零的节点视为发电机节点；负载有功不为零的节点为负荷节点；负载有功与发电机有功均为零的节点视为传输节点。对于发电机有功与负载有功均不为零的节点，表明该节点既接入负荷也接入发电机，因此将此节点视为自治节点。

1.2 信息网建模

信息网是电力系统的通信专网，每个物理设备均配有相应的通信设备以实现信息采集、监督和控制等作用，因此信息网主要依据电网的结构进行部署，且具有高度相似性。信息网结构通常分以下三层进行建设：

(1) 核心层：由主调度中心与备用调度中心构成，负责整个电力网的经济调度与安全运行。

(2) 汇聚层：主要由通信传输骨干网的枢纽变电站节点构成，主要工作是将接入层信息进行汇聚并转发，同时进行区域调度。核心层与汇聚层在实际中均配有备用发电机组，在主供电厂失效下仍可保持正常工作，即为自治节点。

(3) 接入层：主要由电力网中每个物理场站直属的通信设备构成，主要负责对应物理设备的信息采集及调度命令的下达，因此其拓扑结构与电力网结构相同。

本文在IEEE118节点系统基础上构建相应的信息网，建模过程如下：

(1) 电力网分区。实际电力网中均采用分区运行方式，参照《电力系统安全稳定导则》相关规定，按以下技术原则对电力网进行分区：

① 本分区电压变化对相邻分区的电压变化影响较小，且分区间通过联络线连接；

② 根据高压输电线路的电气特性参数计算电气距离，并对加权网络的线路权值赋值；

③ 不考虑电网潮流的有向性。

将电气距离参数[21]作为线路权重，并与社团划分方法结合以对电力网进行分区[22]。综上可将IEEE118节点系统分为9个区域，如表1所示。

表1 IEEE118节点系统分区结果表

(2) 信息网结构。① 核心层：主调度中心与备用调度中心共2个节点；② 汇聚层：每个分区内部署一个汇聚节点，因此汇聚层共有9个节点；③ 接入层：接入层与电力网拓扑结构相同，即接入层共有118个节点。

(3) 各层级内部的连接方式。① 核心层：两个调度节点直接相连；② 汇聚层：汇聚层内部依据电力网各分区间的联络线进行连接；③ 接入层：接入层为电力网中每个物理场站直属的通信设备，因此接入层内部连接关系与电力网一致。

(4) 层级间的连接方式。① 核心层与汇聚层：采用全耦合方式进行连接；② 核心层与接入层：核心层直接对大容量发电站进行监控，按概率Pi,j抽样连接接入层的发电机节点：

(2)

式中：Gi max为发电站节点i的最大发电容量。

本文将Gi max取值为节点的发电机有功；S为电力网的发电站总数。③ 汇聚层与接入层：汇聚层连接分区内的所有发电机节点与最高度数节点。

综上所述，信息网可表示为一个无权无向异质图GC=(VC,EC),其中VC={1,2,…,N}表示信息网的节点集合，其中包括通信节点VCCM、汇聚节点VCCV、调度中心节点VCCT三类。EC={ei,j}表示电力网的边集合。本文为简化分析，不考虑信息节点或支路的负荷上限。

1.3 电力网与信息网相依关系建模

电力信息-物理系统为典型的相依网络：物理设备为信息设备供电，信息设备采集物理设备的状态信息并控制着物理层的安全运行。我国的各个电力站点均部署有数据采集与监视控制系统以实现对电力站点的监测与控制[11]，而信息网不仅包含各电力场站的信息系统(即接入层)，还包括核心层与汇聚层，两者均为信息网中的控制节点。显然电力信息-物理系统中的电力网与信息网为部分一对一相依的关系：电力网与信息网中接入层的拓扑结构相同，且对应节点互为一对一相依的关系，信息网中其他控制节点为与电力网“解耦”的自治节点，由此得物理层与信息层的相依关系矩阵AP-C。电力信息-物理系统的相依网络模型如图1所示。

图1 电力信息-物理系统的相依网络模型示意图

2 电力信息-物理系统的脆弱性分析

2.1 电力信息-物理系统的级联故障模型

2.1.1 电力网的节点故障

当物理节点故障时，可能导致与其相依的通信节点或其他物理节点发生失效。而由于通信节点具有双重配置而不一定直接失效，本文只考虑由备用装置启动失效或其他因素而导致相依的通信节点以一定的概率β1失效。下面按电力网节点类型进行故障说明。

(1) 发电机节点。发电机节点需要连通至少一个负荷节点才能发挥其作用，否则被视为失效且与其相依的通信节点以概率β1失效。

(2) 传输节点。传输节点必须同时连接至少一个发电机节点与一个负荷节点，否则视为失效且与其相依的通信节点以概率β1失效。

(3) 负荷节点。负荷节点必须连通至少一个发电机节点才能保证其所需的能量来源，否则视为失效且与其相依的通信节点以概率β1失效。特别地，当一个负荷节点同时承担发电工作时，该节点为自治节点，只要不遭受外界的攻击即视为有效。

2.1.2 信息网的节点故障

汇聚节点与调度中心节点均实现信息网的控制工作，通信节点必须受到控制节点的控制才能保证通信节点正常功能的运作。下面按信息网节点类型进行故障说明。

(1) 调度中心节点故障。由于调度中心节点为自治节点，只要不遭受外界攻击即视为有效。核心层只要有至少一个调度中心正常工作即可保证正常运作。而两个调度中心均失效时：

① 若区域内的汇聚节点保持正常工作，则该区域内的电力设备仍可受汇聚节点的区域调度，区域内的通信节点能保持正常工作；

② 若核心层与区域内的汇聚节点同时失效，即区域内的控制节点全部失效，此时该区域内无法完成对本地电力设备的控制工作，因此区域内的通信节点均视为失效，且所有物理层节点分别按概率β2失效。

(2) 汇聚节点故障。汇聚节点亦为自治节点，只要不遭受外界攻击即视为有效。当汇聚节点失效时：

① 若此时区域内有发电机节点连通至核心层，且核心层保持正常工作，则该区域内与核心层连通的通信节点可保持正常工作；

② 若此时区域内没有发电机节点连通至核心层，或者核心层不能保持正常的工作状态，则该区域内的通信节点全部失效，且所有物理层节点分别按概率β2失效。

(3) 通信节点故障。当通信节点发生故障时，可能导致相依的物理节点在不正常状态下无法获取来自控制层的调整命令，使物理节点以一定的概率β2失效。如果区域内的部分通信节点失效，可能影响其他通过该节点连通至控制节点的通信节点失效，从而使相应的物理节点以一定的概率β2失效；而当某区域内的通信节点全部失效时，所有物理节点分别以概率β2失效。

2.2 DB攻击函数

采取攻击的目的是旨在通过攻击较少的节点造成系统较大的损毁效果，而攻击不同节点带来的破坏性具有较大差异。因此攻击方式的选取与节点重要性的评估方式密不可分。目前电力信息-物理系统中常用攻击方式主要为度、介数两种，而两种指标考虑的因素过于单一，因此本文通过分析实际电力信息-物理系统中具有重要作用的元件特性，提出一种DB攻击策略。

电力网中站点的度值越大，说明该站点对该地区电网的支撑作用越强，对有功功率的平衡有着决定性作用，同时对电压与频率的稳定性有重要的作用；其次，电力网中站点的介数值越大，表明该电力站点为枢纽站，为电力网中的重要站点。信息节点的度值越大，说明该节点能够与越多的节点直接进行信息传输，从而提升信息的传输效率；而信息节点的介数值越大，说明该节点为信息网中传输信息所起的作用越大。因此高度和介数节点均为系统中的重要节点。又考虑到节点的邻居节点对该节点的重要性亦有着一定的影响程度：某些节点虽然具有较高的度值，但其邻居节点大多为不重要的节点；某些节点虽然只具有很低的度数，但与其相邻的节点均为系统中的重要节点。由此，将节点的度、介数与邻居节点的度值共同作为评判节点重要程度的因素，可得电力信息-物理系统节点重要性的DB函数如下：

(3)

式中：D(V)为节点V的度及其邻居节点度之和。

(4)

2.3 脆弱性测度

系统的脆弱性为当系统遭受攻击时，系统性能的下降程度。电力信息-物理系统在级联失效后拓扑结构的剩余量对系统的鲁棒性分析尤为重要，剩余的拓扑结构越完整，网络从失效状态中恢复的速度越快。反之，如果系统在遭受攻击后节点损失越严重，说明此时系统的脆弱性越高。本文结合级联故障模型机理，定义节点的存活率作为系统的脆弱性评估测度，表示为：

(5)

式中：M′、N′分别表示在本文的级联故障模型下，系统受到攻击后物理层、信息层中剩余的有效节点的数量。Rn值越大说明网络的损坏程度越小，即网络的鲁棒性越高。

2.4 脆弱性分析流程

(1) 分析系统在初始状态下的性能。

(2) 选择攻击对象(子网络)及相应的攻击方式，并对相应的节点进行攻击。

(3) 根据故障模型，对当前子网络中所有的失效节点的状态进行分析，更新子网络中各个节点类型的集合，并修正邻接矩阵A。

(4) 对于失效的节点，以一定概率修改与其相依的节点状态。若该相依节点失效，则返回至步骤(3)；若该节点保持正常功能，则进入下一步。

(5) 进一步判断是否有子网络存在新的失效节点。若存在新的失效节点，则返回至步骤(3)；若无新的失效节点，则说明系统达到平衡状态，进入下一步。

(6) 计算系统此时的脆弱性测度Rn，脆弱性分析结束。

3 仿真实验与分析

通过MATLAB仿真平台，对已构建的电力信息-物理系统的脆弱性研究与分析。为简化分析，将β1、β2均取值为0.5。为避免随机性，每个仿真实验进行3 000次。本文设定以下四种攻击策略：

(1) 随机攻击：在系统中随机选择一定数量的节点进行攻击。

(2) 度攻击：计算待攻击的子网络中各节点的度数，并进行降序排列，按序列顺序选择并移除相应数量的节点。

(3) 介数攻击：计算待攻击的子网络中各节点的介数，并进行降序排列，按序列顺序选择并移除相应数量的节点。

(4) DB攻击：计算待攻击的子网络中各个节点的DB值，并进行降序排列，按序列顺序选择并移除相应数量的节点。

3.1 不同故障模型的对比

通过节点存活率与连续攻击次数的关系图对本文的故障模型(NR)与基于最大连通片的故障模型(GR)进行比较，结果如图2所示。

图2 不同故障模型下系统节点存活率的变化情况

(1) 整个过程中，在GR下系统的脆弱性远高于NR，且当攻击次数达到12次以上后，节点存活率的衰减速度差异较大。

(2) 当攻击次数达到53次时，在NR下系统仍剩余60%以上的节点，而在GR的故障模型下系统的有效节点比例仅剩不到30%。

(3) 显然GR忽略了电网的“孤岛运行”现象，得出的系统脆弱性结果存在较大的偏差。而NR与实际电力系统的运行方式更为切合，即使系统拓扑不完整，只要保证连通子集的有功平衡即可维持该段连通子集的正常工作，面对攻击具有一定程度的鲁棒性。

3.2 不同攻击策略的效果对比

将信息网作为攻击对象，比较不同攻击策略对系统性能的影响，结果如图3所示。

图3 不同攻击策略下电力信息-物理系统节点存活率的变化情况

(1) 相比于随机攻击策略，整个攻击过程中在其他三种攻击策略下系统的节点存活率降低幅度较大，说明三种攻击策略在不同程度上辨识出了系统中的重要节点。

(2) 度攻击策略与介数攻击策略效果基本一致，说明两种策略下辨识出的重要节点对系统的重要程度很相似。

(3) 在攻击的初始阶段，DB策略相比其他三种攻击策略的节点存活率衰减幅度更大。特别地，当连续攻击次数为18次时，度策略与介数策略下节点的存活率达到80%，而DB策略下系统节点的存活率仅为46%。

(4) 显然DB策略比其他策略更能有效地识别出系统中的重要节点。实际中若重视与加强对高DB值节点的保护措施，将有助于避免系统的大规模失效。

3.3 攻击不同子网络的效果对比

利用DB攻击策略分别对电力网与信息网进行节点攻击，结果如图4所示。

(1) 相比于随机攻击策略，有针对性地攻击相应的子网络均对系统造成更大的损害，说明子网络中的重要节点均需要受到相应的重视。

(2) 对信息网进行攻击时系统的节点存活率最低，且在攻击刚开始时损失的节点激增，尤其在攻击次数为18次时，在攻击的对象为电力网时系统存活的节点达到81%以上，而在攻击对象为信息网时整个系统的节点存活率仅剩46%，显然基于信息网的重要节点攻击对系统的破坏性最高。

(3) 综合可知，信息网的失效比电力网失效对系统造成的破坏性更为严重。该结论具有一定的现实依据：电网的安全稳定运行需要信息网实时监测其状态。实际中应加强对重要信息节点的保护，避免大规模级联故障，进而提升系统整体的鲁棒性。

图4 攻击不同子网络下系统节点存活率的变化情况

4 结 语

本文根据实际电力信息-物理系统中各元件的部署规律及元件间的相互作用，构建了系统模型以及级联故障模型。然后通过分析实际系统中关键元件的特性，提出一种基于节点度、介数及邻居信息的DB攻击策略。最后通过MATLAB仿真平台针对已构建的电力信息-物理系统在不同故障模型、不同攻击策略以及不同攻击对象下分别进行系统的脆弱性分析。仿真结果表明，DB攻击策略比其他攻击策略对系统造成的破坏度更高，且信息网的失效对系统造成的损坏程度比电力网更高，实际中应加强对信息网关键节点的保护以使电力系统的运行更安全稳定。