大停电事故后计及信息系统故障的机组启动次序优化策略

李明明，孙磊，马英浩

(1. 合肥工业大学 电气与自动化工程学院，安徽 合肥 230009；2. 新能源利用与节能安徽省重点实验室，安徽 合肥 230009)

0 引言

近年来，极端天气、网络攻击和人为破坏等因素导致多个国家和地区发生了大停电事故[1-6]。大停电事故后电力系统恢复过程可分为3个阶段，即黑启动阶段、网架重构阶段以及负荷恢复阶段[7-8]。在黑启动阶段，由具备自启动能力的黑启动机组向不具备自启动能力的非黑启动机组提供启动功率，进而实现全部机组的启动。这一阶段的首要目标是优化机组的启动次序，在短时间内尽可能恢复更多机组，最大化系统的发电量。制定机组的最优启动次序是电力系统恢复过程的基础，因此，有必要开展关于大停电事故发生后最优机组启动次序策略的研究。

目前，国内外专家学者已经对大停电后电力系统机组启动次序开展了研究。文献[9]提出了一种考虑恢复路径充电时间的机组启动次序决策方法，利用基于时间权值的扩展迪杰斯特拉算法，优化机组输送启动功率的最短路径。文献[10]提出了基于动态风电穿透功率极限（dynamic wind power penetration limit，DWPPL）的黑启动方案制定方法，算例结果表明所提出的方法可加快黑启动进程。文献[11]提出了基于深度学习和蒙特卡洛树搜索的机组恢复在线决策方案，所提出的决策方案能有效应对机组恢复过程中输电线路恢复状况的不确定性。文献[12]提出了以最大化系统总有功容量为目标函数的机组启动次序优化模型，并考虑了恢复过程中关键恢复路径对机组启动次序策略的影响。文献[13]提出了以最大化电力系统恢复能力为目标函数的系统恢复策略，采用商用求解器求得最优的机组启动次序，验证了风储联合系统对加快电力系统恢复的积极作用。

极端天气或网络攻击导致的电力信息系统故障愈加频繁，此外，网络攻击不仅会导致信息系统部分或全部功能失效，还可能通过注入虚假数据、拒绝服务（denial of service，DoS）等方式传导到电力物理系统[14]。通过虚假数据注入攻击（false data injection attack, FDIA）可诱导运行人员做出错误的调度决策，如削减负荷[15-16]；或者导致线路因潮流过载而停运，严重时会导致系统连锁故障[17-18]。DoS攻击会导致调度控制中心与发电厂、发电厂内设备之间通信中断[19]，比如2019年黑客组织对美国西部一家电力公司发起了DoS攻击，造成了调度控制中心与发电厂通信中断5 min左右[20]。相比于电力物理系统处于正常运行工况时，当电力物理系统处于恢复阶段时，信息系统故障对电力物理系统造成的影响更大[21]。目前，关于考虑信息系统故障的电力物理系统恢复策略的研究较少。文献[22]提出了一种计及通信失效的信息物理协同恢复策略，分析了信息系统故障给发电机出力调节、电力线路投运以及负荷恢复可能造成的延时，建立了物理系统恢复和信息系统恢复的交互模型，但研究对象是电力物理系统恢复过程中的网架重构和负荷恢复阶段。

综上所述，鲜有文献研究电力系统黑启动阶段信息系统故障对机组恢复特性的影响，关于如何构建考虑信息系统故障的机组启动次序优化模型的研究也鲜有报道。在此背景下，本文介绍了基于DoS攻击的信息系统故障，分析机组恢复过程中信息系统故障对机组恢复特性的影响。采用场景分析法处理信息系统故障时刻的不确定性，提出计及信息系统故障的机组启动次序优化模型。所构建的模型以最大化电力物理系统总发电量的期望为目标函数，并考虑机组启动时间和机组启动功率等约束。采用线性化方法将所提出的模型转换为混合整数线性规划模型，从而实现模型的高效求解。

1 基于DoS攻击的信息系统故障

自动发电控制(automatic generation control,AGC)系统是实现机组发电出力和负荷平衡，确保电力系统频率安全的重要手段，其主要功能是将调控中心的指令传递给发电机组，进而调节机组的发电出力，此外还收集机组的运行信息并发送到调控中心[22]。本文重点分析大停电事故后网络攻击者向AGC系统发动DoS攻击引发的信息系统故障及其对机组的影响。攻击者发动DoS攻击的具体方式为向AGC系统发送大量的伪装数据包，阻塞AGC系统与发电机组之间的通信信道，导致AGC系统无法向发电机组提供正常的服务[21]。通信信道阻塞导致AGC系统与发电机组之间通信中断，即为本文考虑的信息系统故障。在信息系统故障的条件下，AGC系统无法向机组发送控制指令，也无法获取机组的运行信息，因此，在大停电背景下，信息系统的故障使得机组的启动和出力均会受到影响。图1为AGC系统遭受DoS攻击的示意，攻击者通过DoS攻击方式切除AGC系统与机组间通信。

图1 AGC 系统遭受DoS攻击的示意Fig. 1 Diagram of AGC system suffering from DoS attack

AGC系统遭受DoS攻击后，AGC系统技术人员将采取过滤伪装数据包的方式来抵御DoS攻击[23]。针对以地址欺骗为代表的DoS攻击，技术人员检测数据包源IP地址的真实性并过滤源地址欺骗数据包，进而保障AGC系统与发电机组之间的正常通信。当伪装数据包被过滤清除后，AGC系统与发电机组之间的通信恢复正常，表示信息系统故障被清除，信息系统恢复。随着DoS攻击强度增加，AGC系统与发电机组之间通信中断时间增长[24]，本文假设信息系统从发生故障到完全恢复所需时间ΔT不大于10 min[20]。

因DoS攻击引发的信息系统故障将导致AGC系统无法向机组发送调控指令，在大停电事故后，若信息系统故障发生在机组启动时刻，则将导致机组延迟启动；若信息系统故障发生在机组爬坡阶段，则将导致机组延迟出力，因此信息系统故障会影响机组的启动次序。本文将分析机组恢复过程中信息系统故障对机组恢复特性的影响。

2 机组恢复特性

本文将机组恢复特性描述为机组在恢复过程中的启动功率曲线和发电功率曲线，并分析信息系统故障对机组恢复特性的影响。

2.1 机组的启动功率曲线

黑启动机组无需启动功率，而非黑启动机组需要从电力系统中获取一定的启动功率才能启动[25-26]。非黑启动机组的启动功率曲线如图2所示。

图2 非黑启动机组g的启动功率曲线Fig. 2 Start-up power curve of the non-black start-up unitg

式中：GNBSU为非黑启动机组的集合。

2.2 机组的发电功率曲线

2.2.1 不考虑信息系统故障时机组的发电功率曲线

大停电事故后机组停止运行，黑启动机组可自行启动，非黑启动机组在获得启动功率后启动。机组启动后经过一定的等待并网时间，开始向电力系统输出功率。不考虑信息系统故障时机组的发电功率曲线如图3所示。

图3 不考虑信息系统故障时机组g的发电功率曲线Fig. 3 Power generation curve of unitgwithout considering the cyber system fault

式中：G为系统中所有机组的集合。

2.2.2 考虑信息系统故障时机组的发电功率曲线

机组恢复过程中信息系统的故障会影响机组的发电功率，本文假定信息系统故障发生在离散的时间点，且信息系统从发生故障到完全恢复所需时间ΔT小于离散化的时段时长，假定机组达到最大功率时不再受信息系统故障的影响。分别介绍信息系统故障发生在机组启动时刻和爬坡阶段2种情况下机组的发电功率特性。

（1）信息系统故障发生在机组启动时刻。若信息系统故障发生在机组启动时刻，则机组将延迟启动，当信息系统故障切除且信息系统恢复正常运行状态后，机组才能启动。由于机组延迟一个时步才启动，机组爬坡也相应延迟一个时步。信息系统故障发生在机组启动时刻时机组的发电功率曲线如图4中红色曲线所示。在图4中，VT为离散化的时段时长，td为信息系统故障时刻，黑色曲线表示不考虑信息系统故障时机组的发电功率曲线。

图4 信息系统故障发生在机组启动时刻时机组g的发电功率曲线Fig. 4 Power generation curve of unitgwith the cyber system fault occurring at the start-up time of the unit

若信息系统故障发生在机组启动时刻，则机组在系统恢复期间发出的电量会减少，减少量为图4中灰色阴影部分面积，可表示为

（2）信息系统故障发生在机组爬坡阶段。若信息系统故障发生在机组的爬坡阶段，则机组在信息系统发生故障后经过ΔT才能继续爬坡，可由式（6）（7）判断信息系统故障是否发生在机组的爬坡阶段。信息系统故障发生在机组爬坡阶段时机组的发电功率曲线如图5中红色曲线所示。

图5 信息系统故障发生在机组爬坡阶段时机组g的发电功率曲线Fig. 5 Power generation curve of unitgwith the cyber system fault occurring at the ramping-up time of the unit

若信息系统故障发生在机组爬坡阶段，则机组在系统恢复期间发出的电量会减少，减少量为图5中灰色阴影部分面积，可表示为

3 机组启动次序优化模型

大停电事故后信息系统故障时刻是不确定的，本文运用场景分析法来处理信息系统故障时刻的不确定性对机组启动次序的影响。以停电时刻作为电力系统恢复的起始时刻，即t=0 min，在电力系统恢复期间，信息系统故障时刻的取值范围为[0,T]，在取值范围内的任一数值表示一种场景，比如，在本文中假定场景1为信息系统在t=0 min时发生故障。引入场景分析法处理信息系统故障时刻的不确定性，因此式（1）～（8）中的变量均需转换为与场景s相关的形式，如td转换为转换为等。

3.1 目标函数

3.2 约束条件

3.2.1 机组启动时间约束

3.2.2 与信息系统故障相关的辅助变量约束

3.2.3 机组启动功率约束

4 算例分析

本文以IEEE 39节点系统为例来说明所提出的方法。基于AMPL平台撰写程序，并调用商业求解器CPLEX求解模型且采用CPLEX求解器的默认参数。运行环境是Intel(R) Core(TM) i7-9 700 H、8 GB内存的计算机。

IEEE 39节点系统包含10台机组，设置机组G10为黑启动机组，机组G1～G9为非黑启动机组。机组G10的等待并网时间为10 min，机组G1～G9的等待并网时间为30 min[27]，机组的其他参数如表1所示。恢复总时长设置为4 h，离散化的时段时长为10 min，信息系统从发生故障到完全恢复所需时间为8 min，信息系统的故障场景总数为25，本文假设每种场景的概率均为4%。

表1 IEEE 39节点系统的机组参数Table 1 Parameters of generation units in the IEEE 39-bus system

求解所提出的模型，可得最优的机组启动次序方案，求解时间为9.25 s，最优的机组启动时间如表2所示。在所有场景中，50 min时黑启动机组G10发出的功率至少为81 MW，均能够满足机组G9和G4的启动，而由于最小临界启动时间约束限制，机组G4在70 min时才启动。

表2 最优的机组启动时间Table 2 Optimal start-up time of generation units

在最优的机组启动次序方案中，电力物理系统总发电量的期望值为9 317.39 MW·h。在场景9中，系统总发电量最小，其值为8 950.17 MW·h，除了机组G4外，其他机组出力均受信息系统故障的影响，总损失电量最多，可见信息系统故障对机组恢复方案影响最大，所得方案较为保守；在场景25中，系统总发电量最大，其值为9 618.33 MW·h，在信息系统发生故障时，除了机组G4正在爬坡，其他机组都已经达到最大输出功率，因此仅机组G4受信息系统故障的影响，总损失电量最小，可见信息系统故障对机组恢复方案影响最小，所得方案较为乐观。

图6展示了考虑和不考虑信息系统故障所得的机组启动时间结果对比。由图6可以看出：当考虑信息系统故障时，非黑启动机组G2、G3、G6、G7、G9均延迟启动，这是因为信息系统的故障会导致黑启动机组的输出功率延迟从而导致非黑启动机组延迟启动。

图6 考虑和不考虑信息系统故障所得的机组启动时间Fig. 6 Start-up time of generation units with and without considering the cyber system fault

在同一场景中信息系统故障对不同机组恢复特性的影响不同。表3展示了场景8中的信息系统故障对各个机组恢复特性的影响。由表3可以看出：在场景8中，机组G1、G2、G3、G5、G6、G7、G8、G10在其爬坡阶段均受信息系统故障的影响，信息系统发生故障的时刻为机组G4的启动时刻，在此场景下，机组G4将推迟1个时步启动，而机组G9的恢复过程则不受信息系统故障影响。除了机组G9外，其他机组均受信息系统故障影响，因此会损失部分电量。

表3 在场景8中信息系统故障对机组恢复的影响Table 3 Effects of the cyber system fault on generators'restoration in scenario 8

信息系统故障会导致机组出力有所延迟，因此，不同场景中机组的输出功率达到最大值所需的时间也有所不同。图7展示了机组G2在不同场景中输出功率达到最大值所需的时间。由图7可以看出：在场景5和场景8～23中，机组G2在240 min时达到最大输出功率，相比于在其他场景中机组延迟1个时步达到最大输出功率。在场景5中信息系统故障发生在机组G2的启动时刻，在场景8～23中信息系统故障发生在机组G2的爬坡阶段。因此，信息系统故障发生在机组的启动时刻或爬坡阶段均会导致机组延迟其输出功率。

图7 机组G2在不同场景中输出功率达到最大值所需的时间Fig. 7 The time for unit G2 to reach the maximum generation output in different scenarios

信息系统故障会影响机组出力，从而影响系统在恢复阶段总的发电量。当t=70 min时发生信息系统故障和不发生信息系统故障所得的机组总有功出力对比结果如图8所示。由图8可以看出：发生信息系统故障条件下所得的系统总发电量为8 965.3 MW·h，而不发生信息系统故障条件下所得的系统总发电量为10 446.2 MW·h，这是因为当t=70 min时发生信息系统故障导致部分机组出力有所延迟，在各时刻电力系统的输出功率减少，导致系统总发电量有所减少。因此，信息系统故障会减少电力物理系统在恢复阶段总的发电量，延缓电力物理系统的恢复速度。

图8 t=70 min时发生信息系统故障和不发生信息系统故障所得的机组总有功出力Fig. 8 Total active power generation with and without the cyber system fault att=70 min

5 结语

本文分析了机组恢复过程中信息系统故障对机组恢复特性的影响，提出了考虑信息系统故障影响的机组启动次序优化模型。通过调用商业求解器CPLEX求解所建立的模型，采用IEEE 39节点系统验证所提出模型的有效性，并得到以下结论。

（1）信息系统故障将导致部分机组延迟启动或延迟爬坡，进而使机组出力及其达到最大输出功率的时间均有所延迟，导致电力物理系统在恢复阶段总的发电量有所减少。

（2）通过对模型中的非线性项进行线性化，将所提出的模型描述为混合整数线性规划模型，并调用商业求解器CPLEX进行高效求解，有助于减少求解时间，提高解的质量。