計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估

馬世英，郭逸豪，宋墩文，郭創(chuàng)新

（1．電網(wǎng)安全與節(jié)能國家重點實驗室(中國電力科學研究院有限公司)，北京市 海淀區(qū) 100192；2．浙江大學電氣工程學院，浙江省 杭州市 310027）

0 引言

隨著電力系統(tǒng)智能化水平不斷提高、電力業(yè)務種類與數(shù)量不斷增多，電力信息網(wǎng)絡已深入到電力系統(tǒng)發(fā)、輸、配、用各個環(huán)節(jié)，電力生產和管理越發(fā)地依賴電力信息系統(tǒng)的正常工作，信息系統(tǒng)對一次系統(tǒng)的影響更加突出。信息系統(tǒng)的失效特別是級聯(lián)失效可能影響電力系統(tǒng)的安全可靠運行，甚至引發(fā)大范圍停電事故。因此，研究影響信息系統(tǒng)脆弱性的因素，針對相關脆弱環(huán)節(jié)施加保護，可以有效抑制信息系統(tǒng)級聯(lián)失效，降低故障從信息系統(tǒng)傳遞到一次系統(tǒng)的風險。通過對電力信息系統(tǒng)進行脆弱性評估，可以快速找出那些對保障電網(wǎng)安全穩(wěn)定運行起到突出作用的重要節(jié)點。對這些節(jié)點和信息系統(tǒng)進行有效保護，有助于提升電網(wǎng)的整體安全性和穩(wěn)定性。

關于網(wǎng)絡的脆弱性評估，傳統(tǒng)的網(wǎng)絡脆弱性分析技術主要有基于規(guī)則的掃描分析方法和基于模型的形式化建模分析方法。這些方法通過引入模型對攻擊者的一次攻擊過程進行整體分析，但是不能直接量化網(wǎng)絡中的弱點，更不能分析網(wǎng)絡效能在攻擊后的變化情況，難以考察網(wǎng)絡在受攻擊后對業(yè)務運行的影響程度[1]。由于這些原因，基于復雜網(wǎng)絡的脆弱性分析技術被大量引入網(wǎng)絡脆弱性分析領域。文獻[2]通過數(shù)值仿真分析發(fā)現(xiàn)無標度網(wǎng)絡是“魯棒而脆弱的”，即網(wǎng)絡的連通性對節(jié)點的隨機移除具有較高的魯棒性而對蓄意破壞某些高度數(shù)節(jié)點的攻擊則十分敏感。文獻[3]研究了復雜網(wǎng)絡在其頂點和邊遭受攻擊后的反應。研究者從平均最短路徑距離和最大聯(lián)通子圖等方面出發(fā)分析網(wǎng)絡的效能，討論了典型復雜網(wǎng)絡在基于度數(shù)降序和介數(shù)降序攻擊時的網(wǎng)絡效能變化，揭示了中心介數(shù)和度數(shù)在復雜網(wǎng)絡分析中的聯(lián)系。文獻[4]則基于復雜網(wǎng)絡脆弱度理論，構建了互補性脆弱度指標集和綜合脆弱度指標，進而提出一種輸電線路脆弱度評估方法。該方法可從全局和局部、有功和無功2個方面綜合衡量輸電線路的脆弱度。文獻[5]結合變電站自動化通信系統(tǒng)的特點和分布式系統(tǒng)脆弱性理論, 提出網(wǎng)絡環(huán)境下變電站自動化通信系統(tǒng)脆弱性評估方法。通過對系統(tǒng)的形式化定義，構造表征攻擊過程的脆弱性狀態(tài)圖，并計及變電站自動化通信系統(tǒng)的信息安全特點，設計了基于層次分析法(analytic hierarchy process，AHP)和逼近理想解排序法(technique for order preference by similarity to an ideal solution，TOPSIS)的脆弱度因子量化方法。此外，也有研究通過增加或重連邊的方法來改善網(wǎng)絡對故障和攻擊的彈性[6-8]。

由于靜態(tài)脆弱性評估不能考慮到網(wǎng)絡中元素移除對網(wǎng)絡性能的動態(tài)影響，因此，國內外諸多學者也對復雜網(wǎng)絡上的級聯(lián)失效進行了研究。文獻[9]以最大連通子圖作為測度標量，提出了級聯(lián)失效的負載-容量模型。文獻[10]分析了 Internet級聯(lián)動力學特點，指出了2點可能引發(fā)級聯(lián)故障的原因；不同于以往的介數(shù)模型，提出了節(jié)點擁塞函數(shù)，相當于給每個節(jié)點賦一個動態(tài)的權值，以表征該節(jié)點的擁塞程度；加入了延遲時間，在永久刪除策略和不刪除策略之間建立關聯(lián)。文獻[11]在網(wǎng)絡動態(tài)性基礎上，研究了級聯(lián)失效條件下復雜網(wǎng)絡的抗毀性能，對隨機網(wǎng)絡模型(Erd?s-Rényi model，ER 模型)、無標度網(wǎng)絡模型(Barabási-Albert model，BA 模型)和互聯(lián)網(wǎng)拓撲模型(positive feedback preference model，PFP模型)這3種模型在不同攻擊策略下的抗毀性進行了對比分析和仿真實驗，實驗結果表明網(wǎng)絡的動態(tài)特性對網(wǎng)絡抗毀性影響很大，因此應在評估復雜系統(tǒng)可靠性、設計可靠網(wǎng)絡拓撲、網(wǎng)絡元素保護策略或是攻擊策略中予以充分考慮。

上述關于網(wǎng)絡脆弱性評估的研究大多從系統(tǒng)科學角度對具有一般特征的復雜網(wǎng)絡進行了靜態(tài)和動態(tài)評估，在網(wǎng)絡模型的構建中較少考慮電力信息系統(tǒng)的具體特征，提出的簡化條件與電力信息系統(tǒng)實際運行狀況不符且沒有考慮電力信息系統(tǒng)節(jié)點在實際物理系統(tǒng)中的分布。因此，為了以較小代價提高電力信息系統(tǒng)安全性，本文提出一種計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估方法。該方法首先將電力信息系統(tǒng)抽象為復雜網(wǎng)絡；在此基礎上，考慮電力信息系統(tǒng)在實際物理世界的分布，改進經(jīng)典的負載-容量模型使其滿足電力信息系統(tǒng)實際運行特性；提出2種脆弱性評估指標，并將改進的脆弱性評估方法用于測試系統(tǒng)，驗證算法的有效性和合理性。

1 電力信息系統(tǒng)的抽象

電力信息系統(tǒng)可以被抽象為一個復雜網(wǎng)絡。在物理結構層面上，電力信息網(wǎng)絡普遍采用3層網(wǎng)絡結構進行組網(wǎng)，分為核心層、骨干層和接入層，見圖 1；整個網(wǎng)絡盡量保證高冗余、高可靠的設計，以實現(xiàn)業(yè)務高速、可靠的傳輸；在數(shù)據(jù)業(yè)務層面上，電力信息網(wǎng)絡數(shù)據(jù)業(yè)務，或者通過接入層節(jié)點上行經(jīng)過骨干層傳輸?shù)胶诵膶庸?jié)點，或者通過核心層節(jié)點下行經(jīng)過骨干層傳輸?shù)竭_接入層終端節(jié)點，整個信息網(wǎng)絡的業(yè)務呈現(xiàn)出強烈的星形結構[1]。

在能夠得到明確的電力信息網(wǎng)絡結構的情況下，信息節(jié)點可以由調度中心和變電站/發(fā)電廠自動化系統(tǒng)抽象而成，信息連接可以由站間通訊線路抽象而成。這樣，電力信息網(wǎng)絡就被抽象為一個復雜網(wǎng)絡G=(V, E)，其中V為節(jié)點集，E為連接集。網(wǎng)絡 G可用鄰接矩陣 A描述：若節(jié)點 vi與節(jié)點vj之間存在連接ei-j，則Aij=Aji=1；反之，有Aij=Aji=0。

圖1 電力信息網(wǎng)絡層次結構Fig. 1 Hierarchical structure of power information network

在無法得到明確的電力信息網(wǎng)絡結構時，由于諸多數(shù)據(jù)表明電力信息系統(tǒng)是一個無標度網(wǎng)絡，因此可以人工構建一個無標度網(wǎng)絡進行仿真研究。無標度網(wǎng)絡可以通過BA模型建立，具體步驟可參見文獻[12]。

此外，電力信息的傳輸尚存在路由策略的選擇問題。文獻[13]提出一種確定路由策略的方法：

設與源節(jié)點vi相鄰的節(jié)點構成集合Wi，節(jié)點vj∈Wi。定義節(jié)點vj與信息包目標節(jié)點間的有效距離為

式中：θ為路由策略控制系數(shù)，0≤θ≤1；dj為節(jié)點vj到目標節(jié)點的最短距離；qj為節(jié)點 vj處信息包隊列的長度。

節(jié)點vj被選中為下一跳節(jié)點的概率為

式中：β為路由策略控制系數(shù)。本文取θ=1，β→∝，即源節(jié)點選擇距目標節(jié)點距離最短的相鄰節(jié)點作為下一跳節(jié)點。

2 級聯(lián)失效的改進負載-容量模型

文獻[9]所提出的級聯(lián)失效的負載-容量模型，是基于以下3個假設。

1）每個節(jié)點或者鏈路的最大負載正比于初始負載。

2）每個時間單位內，網(wǎng)絡中任意2個節(jié)點間都交換1個單位的信息、能量或者數(shù)據(jù)包，而且交換的路徑是依據(jù)最短路徑進行選擇的。

3）正常情況下，網(wǎng)絡處于一種自由流的狀態(tài)，此時節(jié)點的負荷即為節(jié)點的介數(shù)大小。

這些假設在諸多通訊網(wǎng)絡中都是廣泛適用的。然而，由于電力信息系統(tǒng)分層的網(wǎng)絡結構和特殊的通訊形式，這些假設并不適用于電力信息系統(tǒng)。例如，在調度中心和廠站自動化系統(tǒng)之間會存在上行數(shù)據(jù)和下行命令，但是廠站自動化系統(tǒng)之間并不會直接互相傳輸數(shù)據(jù)，該假設的第二條無法適用于電力信息系統(tǒng)。

考慮到電力信息系統(tǒng)的實際運行特點和電力信息系統(tǒng)節(jié)點在物理世界中的分布狀況，本文提出了級聯(lián)失效的改進負載-容量模型，該改進模型基于以下假設。

1）每個節(jié)點或者鏈路的最大負載正比于初始負載。

2）廠站自動化系統(tǒng)抽象節(jié)點與該廠站所交換的數(shù)據(jù)正比于該廠站的進線/出線數(shù)量，即該廠站的節(jié)點度。

3）網(wǎng)絡中的數(shù)據(jù)并非出于自由流動的狀態(tài)，而是只能由廠站自動化系統(tǒng)抽象節(jié)點流向調度中心抽象節(jié)點，或者由調度中心抽象節(jié)點流向廠站自動化系統(tǒng)抽象節(jié)點。

4）調度中心抽象節(jié)點與廠站自動化系統(tǒng)抽象節(jié)點之間，信息交換的路徑是依據(jù)最短路徑進行選擇的。

假設 2）的提出是為了計及廠站自動化系統(tǒng)節(jié)點的差異性，諸多廠站自動化系統(tǒng)節(jié)點除了在電力信息系統(tǒng)網(wǎng)絡中的網(wǎng)絡特征存在差異外，其本身由于所對應的廠站不同也應具有差異性。由于變電站采集的數(shù)據(jù)(或下發(fā)的命令)與變電站內的間隔數(shù)量存在正相關性，因此本文采用變電站的進線/出線數(shù)量對其進行近似模擬。

假設 3）、4）的提出是因為，電力信息系統(tǒng)中的數(shù)據(jù)交換仍然是基于最短路徑進行選擇的，只是由于最短路徑的首節(jié)點是調度中心節(jié)點，末節(jié)點是廠站自動化系統(tǒng)節(jié)點，最短路徑并不是在全網(wǎng)所有節(jié)點對中間任意選擇的，不能直接使用節(jié)點介數(shù)來表示節(jié)點負載。

基于假設2）、3）、4），電力信息系統(tǒng)中節(jié)點的負荷可以近似用如下公式表述：

式中：L(i)表示當前網(wǎng)絡狀況下節(jié)點i的負載；c表示調度中心節(jié)點；V表示當前網(wǎng)絡中的節(jié)點集合；kt表示節(jié)點t對應廠站的進線/出線數(shù)量；σct表示從節(jié)點c到節(jié)點t的最短路徑。

基于假設1），可得節(jié)點的負載限值為

式中：Lmax(i)表示節(jié)點i的負載限值；L0(i)表示節(jié)點i的初始負載；α表示節(jié)點負載的冗余系數(shù)。

對于調度中心節(jié)點，在本文中假設其負載限制是無窮的，不會由于過負荷而失效。

3 計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估

3.1 脆弱性評估指標

某個系統(tǒng)的脆弱性，一般指當外部破壞性事件發(fā)生時，該系統(tǒng)性能的下降程度[14]。對于電力信息系統(tǒng)，外部擾動所產生的后果，除了網(wǎng)絡拓撲結構可能遭到破壞，對一次系統(tǒng)進行監(jiān)視與控制所需的數(shù)據(jù)亦可能發(fā)生缺失。因此，采用節(jié)點缺失率RONL和數(shù)據(jù)缺失率RODL這2個指標來綜合度量電力信息系統(tǒng)脆弱性：

式中：RONL(i)和RODL(i)分別表示電力信息系統(tǒng)經(jīng)歷破壞性事件i時的節(jié)點缺失率和數(shù)據(jù)缺失率；N表示電力信息系統(tǒng)的節(jié)點數(shù)；iN′表示經(jīng)歷破壞性事件i后級聯(lián)失效終止時電力信息系統(tǒng)的節(jié)點數(shù)；V表示電力信息系統(tǒng)的節(jié)點集合；Vt表示經(jīng)歷破壞性事件 i后級聯(lián)失效終止時電力信息系統(tǒng)的節(jié)點集合。

3.2 計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估步驟

本文使用改進負載-容量模型，進行計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估，評估流程如圖2所示，主要步驟如下：

步驟 1）根據(jù)輸入數(shù)據(jù)建立電力信息系統(tǒng)網(wǎng)絡模型。

步驟2）依據(jù)公式(3)—(5)計算初始狀態(tài)下，各個節(jié)點的負載狀況。

步驟3）設定評估所考慮的破壞性事件集合，在其中選定一個事件i。

步驟 4）分析破壞性事件發(fā)生時節(jié)點的失效狀況，計算此時各個節(jié)點的負載情況。

步驟 5）判斷是否有節(jié)點負載越限，若否，則認為級聯(lián)失效終止，執(zhí)行步驟6）；若是，則將越限節(jié)點設為失效，重復步驟4）。

步驟6）計算RONL(i)和RODL(i)。

步驟 7）判斷是否遍歷了破壞性事件集合中的所有事件。若否，則重復步驟3)—6)；若是，則輸出脆弱性評估結果。

圖2 計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估流程Fig. 2 Vulnerability assessment process of power information system considering cascading failures

4 算例分析

4.1 測試系統(tǒng)

本文測試系統(tǒng)使用文獻[15]所建立的電力信息系統(tǒng)。該電力信息系統(tǒng)所控制的一次系統(tǒng)為IEEE-57節(jié)點標準測試系統(tǒng)，如圖3所示。

圖3 IEEE-57節(jié)點標準測試系統(tǒng)Fig. 3 IEEE-57 bus standard system

采用文獻[15]提出的無標度網(wǎng)絡生成方法，該電力信息系統(tǒng)可以抽象為具有 58個節(jié)點的無標度網(wǎng)絡，如圖4所示。網(wǎng)絡鄰接矩陣參數(shù)可參見文獻[15]的附錄A2。其中，節(jié)點1代表調度中心節(jié)點，節(jié)點 2～58代表廠站自動化系統(tǒng)節(jié)點，分別對應地控制IEEE-57節(jié)點系統(tǒng)中的1—57號節(jié)點。這樣，能在一定程度上反映電力信息系統(tǒng)節(jié)點在物理世界中的分布。

圖4 算例系統(tǒng)的電力信息網(wǎng)絡Fig. 4 Power information network of the case system

4.2 脆弱性評估結果

依據(jù)本文提出的改進負載-容量模型，可以計算出電力信息系統(tǒng)的節(jié)點初始負載狀況，如表 1所示。

表1 節(jié)點初始負載狀況Tab. 1 Initial loads of nodes

對于破壞性事件集合，僅考慮N-1情況，即每次只有一個電力信息系統(tǒng)節(jié)點失效。顯然，如果調度中心節(jié)點失效，整個系統(tǒng)將不能運行，因此，暫時忽略調度中心失效的情況，僅考慮節(jié)點2～58的失效。為比較系統(tǒng)在不同冗余系數(shù)下的脆弱性指標，先取冗余系數(shù)α=1.5，測試系統(tǒng)的脆弱性評估結果如圖5所示；然后取冗余系數(shù)α=1.8，測試系統(tǒng)的脆弱性評估結果如圖6所示。

由圖5可見，在α=1.5時，RONL(3)和RODL(3)分別大于RONL(58)和RODL(58)。這是因為此時節(jié)點3在信息系統(tǒng)中的地位(由節(jié)點在拓撲上的關鍵性、初始負載規(guī)模、負載限值等因素綜合體現(xiàn))比節(jié)點58重要。從圖6可以看出，RONL和RODL曲線形狀基本保持一致，但并非完全相同。例如，RONL(8)大于 RONL(10)，但是 RODL(8)小于 RODL(10)。顯然，單純從網(wǎng)絡結構角度考慮電力信息物理系統(tǒng)不夠全面，本文所建立的脆弱性指標體系從拓撲結構和網(wǎng)絡性能2個方面評估系統(tǒng)脆弱性，因而更加全面。

圖5 脆弱性評估結果(α=1.5)Fig. 5 Vulnerability assessment results (α=1.5)

圖6 脆弱性評估結果(α=1.8)Fig. 6 Vulnerability assessment results (α=1.8)

通過圖5和圖6的對比可以看出，增大冗余系數(shù)可以極大地降低系統(tǒng)脆弱性，這是由于負載限值的增大，使得級聯(lián)失效難以發(fā)生和傳播，從而抑制了破壞性事件造成的后果。例如，在α=1.5時，節(jié)點6的初始失效，將會導致負載在整個網(wǎng)絡中的重新分配，重新分配之后的節(jié)點10負載變?yōu)?5，大于其負載限值22.5，節(jié)點10也會由于過負荷發(fā)生級聯(lián)失效；節(jié)點10失效之后，會使得節(jié)點 16、20、23、30、32、34、37、38、45、53、57也出現(xiàn)過負荷狀況，使得級聯(lián)失效范圍迅速擴大，到最終級聯(lián)失效終止時，系統(tǒng)已經(jīng)失去了 20個節(jié)點。然而，在α=1.8時，節(jié)點10 的負載限值為 27，節(jié)點 6的失效不會使得節(jié)點 10過負荷，α=1.5時發(fā)生的嚴重級聯(lián)失效并沒有發(fā)生，系統(tǒng)僅僅損失了節(jié)點 6一個節(jié)點。由此可見，在電力信息系統(tǒng)級聯(lián)失效發(fā)生的初始階段就對其進行抑制和控制，能夠極大地減輕破壞性事件造成的后果。

圖7 平均數(shù)據(jù)缺失率與冗余系數(shù)的關系Fig. 7 Relationship of average RODL and α

圖 7展示了平均數(shù)據(jù)缺失率(所有情況下數(shù)據(jù)缺失率的平均值)與冗余系數(shù)的關系?？梢钥闯?，圖7也證實了本文所得出的結論，即增大冗余系數(shù)可以有效降低系統(tǒng)脆弱性。同時可以看出，增大冗余系數(shù)的效果，是階段性地降低系統(tǒng)脆弱性而非持續(xù)性地。因此，在考慮經(jīng)濟性的情況下，選取某個階躍點的冗余系數(shù)值即可以最小代價改善系統(tǒng)整體脆弱性。例如，取α=1.68，此時的系統(tǒng)脆弱性與α=1.8相比并未提升，但是更加經(jīng)濟。

5 結論

本文提出了一種計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估方法。基于電力信息系統(tǒng)具體特點，改進了傳統(tǒng)的負載-容量模型，利用改進模型進行脆弱性評估，最后用測試系統(tǒng)驗證了方法的有效性。論文主要在以下幾個方面取得了進展。

1）改進了傳統(tǒng)負載-容量模型，解決了其不滿足電力信息系統(tǒng)特點的問題。

2）改進的負載-容量模型，能夠反映電力信息系統(tǒng)節(jié)點在物理世界中的分布。

3）給出了計及級聯(lián)失效的電力信息系統(tǒng)脆弱性評估方法，從拓撲結構和網(wǎng)絡性能兩方面建立了脆弱性評估指標，用以定量分析系統(tǒng)面臨特定破壞性事件時的脆弱性。

由于電力信息系統(tǒng)較為復雜，本文研究所建立的模型粒度還比較粗糙。在下一步的研究中，需要進一步細化。

[1] 楊有秀．電力信息網(wǎng)絡脆弱性分析與仿真驗證技術研究[D]．北京：北京郵電大學，2015．

[2] Albert R，Jeong H，Barabási A-L．Error and attack tolerance of complex networks[J]．Nature，2000，406(6794)：378-382．

[3] Holme P，Kim B J，Yoon C N，et al．Attack vulnerability of complex networks[J]．Physical Review E，2002，65(5)：056109．

[4] 倪向萍，梅生偉，張雪敏．基于復雜網(wǎng)絡理論的輸電線路脆弱度評估方法[J]．電力系統(tǒng)自動化，2008，32(4)：1-5．

[5] 劉念，張建華，段斌，等．網(wǎng)絡環(huán)境下變電站自動化通信系統(tǒng)脆弱性評估[J]．電力系統(tǒng)自動化，2008，32(8)：28-33．

[6] Luciano da Fontoura Costa．Reinforcing the resilience of complex networks[J]．Physical Review E，2004，69(6)：066127．

[7] Beygelzimer A，Grinstein G，Linsker R，et al．Improving network robustness by edge modification[J]．Physica A：Statistical Mechanics and its Applications，2005，357(3-4)：593-612．

[8] Hayashi Y，Matsukubo J．Improvement of the robustness on geographical networks by adding shortcuts[J]．Physica A：Statistical Mechanics and its Applications，2007，380(1)：552-562．

[9] Motter A E，Lai Y-C．Cascade-based attacks on complex networks[J]．Physical Review E，2002，66(6)：065102．

[10] 王健，劉衍珩，梅芳，等．基于網(wǎng)絡擁塞的 Internet級聯(lián)故障建模[J]．計算機研究與發(fā)展，2010，47(5)：772-779．

[11] 謝豐，程蘇琦，陳冬青，等．基于級聯(lián)失效的復雜網(wǎng)絡抗毀性[J]．清華大學學報(自然科學版)，2011，51(10)：1252-1257．

[12] Barabási A L，Albert R．Emergence of scaling in random networks[J]．Science，1999，286(5439)：509．

[13] Echennique P，Gomez-Gardenes J，Moreno Y．Improved routing strategies for internet traffic delivery[J]．Physical Review E，2004，70(5)：1-4．

[14] Cuadra L，Salcedo-Sanz S，Ser J D，et al．A critical review of robustness in power grids using complex networks concepts[J]．Energies，2015，8(9)：9211-9265．

[15] Guo Jia，Han Yuqi，Guo Chuangxin，et al．Modeling and vulnerability analysis of cyber-physical power systems considering network topology and power flow properties[J]．Energies，2017，10(1)：87-107．