【精彩论文】考虑信息失效影响的配电网信息物理系统安全性评估方法

Original 中国电力中国电力 2023-12-18

考虑信息失效影响的配电网信息物理系统安全性评估方法

李晓^1,2, 许剑冰^1,2, 李满礼^1,2, 倪明^1,2, 童和钦^1,2

（1. 南瑞集团有限公司（国网电力科学研究院有限公司），江苏南京 211106; 2. 智能电网保护和运行控制国家重点实验室，江苏南京 211106）

摘要：由自然故障或网络攻击导致的信息失效事件会影响配电网的故障处理过程，导致配电网停电区域的扩大与停电时间的延长。为量化评估信息失效故障给配电网信息物理系统（cyber physical system, CPS）安全性造成的影响，首先建立配电网CPS安全性评估框架，明确安全性评估的内容和流程。其次，以最小化失负荷功率为目标函数构造配电网故障恢复数学模型，得到故障下的最优开关动作策略。随后考虑故障定位、隔离、恢复过程中出现的信息失效故障，分析其对故障处理业务的影响，计算信息物理组合故障下的安全性评价指标，最终得到对配电网CPS安全性影响最大的关键组合故障集与关键的电力及信息设备。基于某地62节点配电网算例的仿真结果，验证了所提方法的有效性和合理性。

引文信息

李晓, 许剑冰, 李满礼, 等. 考虑信息失效影响的配电网信息物理系统安全性评估方法[J]. 中国电力, 2022, 55(2): 73-81.

LI Xiao, XU Jianbing, LI Manli, et al. A security evaluation method for cyber physical distribution system considering influence of information failure[J]. Electric Power, 2022, 55(2): 73-81.

引言

随着先进信息通信技术（information and communication technology, ICT）在配电网中的广泛使用，传统配电网已逐步发展成为信息物理融合的配电系统^[1-2]。在信息网与电力网高度融合的背景下，一方面配电网对其运行状态的主动感知与控制能力得到大幅提升^[3]；另一方面，由网络攻击和自然故障导致的信息系统故障风险也会传导到电力物理系统，对配电网的安全运行造成了不利影响^[4]。近年来，国内外发生多起由网络攻击和气象灾害导致的跨空间连锁故障^[5-7]，引起业内专家、学者的广泛关注。

配电网中的信息通信装置一般配备不间断电源，电力侧故障造成的停电通常在短时间内不会威胁到信息系统^[8]，因此现有研究更多地关注信息系统故障对电力系统的影响。文献[9]将其归纳为直接作用关系和间接作用关系2种方式，并给出了相关应用场景和分析方法。直接作用关系的逻辑和后果相对明确和简单，而间接作用关系由于故障传导机制更加复杂，通常需要结合具体通信业务以及电网时序特征来进行分析^[10]，受到学者们更多的研究和关注。

在配电网信息物理系统（cyber physical system, CPS）中，信息扰动包括网络攻击和自然故障导致的通信延时、数据篡改、通信中断等多种形式^[11]。现有研究针对上述信息扰动给配电网带来的安全风险，开展了大量工作。文献[12-13]从CPS相关性建模、安全风险分析与防御等角度对近年来相关研究进行综述。文献[10]建立了信息故障在配电网CPS中的演化和传播机理，在此基础上，文献[14]提出了一种针对信息物理组合故障的耦合度计算方法，以描述信息系统与物理系统间的耦合程度。文献[15]量化分析了配电网在正常运行状态下，分段开关和断路器遭受网络攻击的风险后果。文献[11,16]考虑信息攻击、传输失效等多类型的信息扰动形式，结合馈线自动化业务分析其对配电网供电可靠性的影响。在此基础上，文献[17]进一步评估了不同信息失效因素对配电网电压波动性的影响。文献[18-19]对部分信息失效下的配电网的故障恢复控制开展了相关研究。

上述研究侧重于考虑信息故障的配电网CPS风险评估，在考虑故障全集扫描的安全性评估方面涉及较少。传统配电网安全性评估可以实现电力侧的N–1静态安全扫描^[20-21]，但在信息物理融合背景下，考虑信息故障对安全性的影响尤为迫切和必要，传统安全分析方法对此具有局限性。为此，文献[22]提出考虑信息-物理组合预想故障筛选的CPS安全性评估方法，扫描信息物理组合故障全集并根据相关性分析进行故障筛选。但该文对配电网潮流模型以及馈线自动化业务的影响分析过程不够精细，还需进一步研究。

综上所述，目前考虑信息故障影响的配电网CPS安全性评估研究相对较少，在信息故障对馈线自动化业务的影响建模过程不够精细。为此，本文提出一种考虑故障处理中信息失效影响的配电网CPS安全性评估方法。结合馈线自动化业务，量化分析信息物理组合故障对配电网CPS安全性的影响，计算安全性评价指标，找到对配电网安全性影响最大的关键组合故障和关键设备，进而为配电网CPS薄弱环节定位和后续的预防控制提供支撑。

1 配电网CPS安全性评估框架

考虑信息失效影响的配电网CPS安全性评估框架如图1所示。首先建立配电网CPS关联矩阵模型，生成物理矩阵P、通信网矩阵C以及信息物理关联矩阵等，从而对信息-物理的拓扑关联关系进行描述。关联特性矩阵具体建模方法可参考作者已发表文献[22-23]，本文不再赘述。其次，建立并求解配电网故障恢复模型，得到电力故障发生后最优的联络开关转供策略，为后续故障恢复阶段的业务相关性分析以及组合故障后果的计算提供支撑。随后，扫描电力故障，找到会影响馈线自动化业务正常执行的信息故障，从而生成具有业务相关性的信息物理组合预想故障集，缩减预想故障集规模，便于后续的安全分析。最后，对信息物理组合故障导致的开关动作情况进行分析，计算相应的安全性评价指标，找到对系统安全性影响最大的关键组合故障集与关键电力/信息设备，从而实现配电网CPS安全性的量化评估。

图1 配电网CPS安全性评估框架Fig.1 The security evaluation framework for cyber physical distribution system

2 配电网故障恢复模型建模求解

配电网故障恢复的目标函数为考虑负荷重要程度，最小化故障发生后的负荷损失功率，即

式中：N 为失电负荷节点总数；

为节点 i 上的负荷权重系数；

为节点 i 上的失电功率。（1）基于配电网DistFlow线性潮流方程^[24]建立功率平衡约束为

式中：w(j)为以节点 j 为首端节点的支路末端节点集合；m(j)为以节点 j 为末端节点的支路首端节点集合；P_jk与Q_jk分别为从节点 j 流向节点 k 的支路有功功率和无功功率；z_jk为支路 jk 上分段开关的运行状态，闭合状态为1，断开状态为 0；

分别为节点 j 上的变电站向节点 j 输送的有功功率和无功功率；

分别为节点 j 上的分布式电源向节点 j 输送的有功功率和无功功率；

分别为节点 j 的负荷有功功率和无功功率；

分别为支路 ij 的电阻和电抗值；

为节点 j 的节点电压。

（2）DG运行功率约束为

式中：

分别为节点 i 上DG有功出力的上、下限值；

分别为节点 i 上DG无功出力的上、下限值。（3）节点电压约束为

式中：

分别为配电系统安全运行允许的电压下限与电压上限。

（4）支路容量约束为

式中，为正常运行状态下，支路 ij 上允许通过的最大功率，即线路额定容量。

（5）配电网在故障重构时，仍要保持辐射状结构。辐射状网络约束为

式中：B 表示所有支路的集合；

与

分别为系统节点总数与变电站根节点总数；

为短路故障线路数量。其中，式（9）表示除电源根节点外，所有节点只有小于等于一个父节点与其相连；式（10）确保了每个生成树有且仅有一个根节点为其供电。

将式（8）线性化^[25]后，上述故障恢复模型可转换为混合整数线性规划（mixed-integer linear programming, MILP）问题，在GAMS 25.1.1平台上调用商用求解器CPLEX对其进行求解。

3 信息失效故障对馈线自动化业务的影响分析

3.1 考虑故障恢复全过程的分析流程

信息失效故障对配电网故障恢复业务的影响分析如图2所示。电力故障形式为线路故障，信息失效故障可归纳为通信节点失效和通信链路失效两种故障形式，其中信息节点包括馈线终端装置（FTU）、交换机、路由器等。遍历电力故障，针对每一个电力故障，结合馈线自动化业务的处理逻辑，在故障定位、隔离、恢复阶段的业务路径上，设置会影响业务执行的信息失效故障，从而得到具有业务相关性的信息物理组合故障集。随后，分析每个组合故障下的开关动作逻辑，代入到上节所建立的配电网故障恢复模型中，从而计算出组合故障导致的失负荷后果，以及相应的安全性评价指标。

图2 信息失效故障对馈线自动化业务的影响分析Fig.2 Analysis of the influence of information failure on feeder automation business

3.2 组合故障下的开关动作逻辑本文以主站集中式控制方式为例，分析开关在信息物理组合故障下的动作逻辑。本文案例中，电力故障设置为线路短路故障，信息故障设置为出现概率较高的FTU终端以及接入层交换机失效故障。如图3所示，开关S4和S5之间发生电力短路故障，且系统中还存在相关信息失效故障，影响故障定位、隔离、恢复等业务执行过程。下面对开关的动作逻辑进行分析。

图3 信息物理组合故障下的开关动作逻辑分析Fig.3 Logic analysis of switch action under the cyberphysical combination failure

（1）故障定位阶段。①若S4开关处FTU发生失效故障，则S3处FTU监测到过流信号，S5处是正常电流信号，故障定位在S3开关和S5开关之间，主站下发控制指令跳开S3和S5，闭合L1进行非故障区域转供；②若S5开关处FTU发生失效故障，则S4处FTU监测到过流信号，S6处FTU是正常电流信号，故障定位在S4开关和S6开关之间，主站下发指令跳开S4和S6，闭合L1进行非故障区域转供；③若J2交换机发生失效故障，则S4、S5、S6均无法将监测信号上传到主站，通过上游的S3-J1业务路径，在S3监测到过流信号，主站下发指令跳开S3开关，S3下游馈线全部失电，无法转供。

（2）故障隔离阶段。和故障定位阶段的开关动作逻辑相同。区别在于故障定位阶段是由监测信号无法正常上传到主站所致，而故障隔离阶段是由主站控制指令无法正常下发到终端所致。

（3）故障恢复阶段。①若L1开关处FTU发生失效故障，则主站下发的闭合控制指令无法被接收，联络开关L1保持断开状态，转供失败，S5下游全部失电。②若J2交换机发生失效故障，则该故障不仅影响供电定位与隔离业务，还影响供电恢复业务，导致联络开关L1拒动，S3下游馈线全部失电。

3.3 组合故障下的安全性评价指标

（1）信息物理组合故障下的失负荷风险。该指标考虑负荷重要程度，以及信息物理组合故障事件的发生概率，对组合故障给配电系统造成的负荷损失风险进行量化计算。即

式中：为组合故障下的失负荷风险；N 为故障导致的失电负荷节点集合；为 i 节点上的负荷权重系数；p,c 表示信息物理组合预想故障集Φ中的组合故障，p 表示电力故障，c 表示信息故障；分别为电力故障和信息故障的事件发生概率。为由信息物理组合故障导致的 i 节点失电功率。

（2）信息物理组合故障下的一类负荷损失风险。一类负荷作为配电系统中最关键和优先保障的负荷，一旦失电会造成严重的后果。该指标针对特定场景下一类负荷的供电安全性，对组合故障下的一类负荷损失风险进行量化计算。即

式中：为组合故障下的一类负荷损失风险；为配电系统中的一类负荷节点集合。

（3）电力/通信元件的累加风险值。扫描组合预想故障集Φ，将包含电力/通信元件 i 的组合故障风险值进行累加，得到电力/通信元件 i 上的累加风险值R_i为

该指标可用来描述元件 i 在特定场景下的故障风险。扫描系统全部元件并进行排序，可找到对配电系统安全性影响较大的关键节点。

4 算例分析

4.1 算例介绍

选取某地62节点实际配电系统进行算例分析。该算例中，电力侧、信息侧的拓扑结构分别如图4与图5所示。其中，物理侧共包含3条10 kV馈线，共计62个节点，65条线路，其中59条分段线路，6条联络线路。节点9、10、18、28、38、40、42、61、62处为一类负荷节点。在通信侧网络中，共有98个通信节点，100条通信链路。包含4个路由器节点、16个交换机节点、1个服务器节点以及若干终端节点和通信链路。

图4 某地62节点配电系统物理侧拓扑结构

Fig.4 Topology of the physical side of a 62-node distribution system

图5 某地62节点配电系统信息侧拓扑结构

Fig.5 Topology of the cyber side of a 62-node distribution system

在本算例场景中，由于恶劣天气的影响，工业区电力线路8-9，9-10，10-11，11-12，12-13的故障概率升至0.15，FTU节点9-13的故障概率升至0.1。一类负荷的权重设为5，二类负荷权重设为2，三类（普通）负荷的权重设为1。下面对该场景下配电网CPS运行安全性进行评估。4.2 关键信息物理组合故障集

扫描业务相关的信息物理组合预想故障集Φ，计算得到各个组合故障下的负荷损失风险以及一类负荷损失风险。如图6和图7所示，每个立方柱代表一个信息物理组合故障，立方柱上部颜色越红说明该组合故障的风险越大。没有立方柱的位置是业务不相关的组合故障，在分析中不予考虑。在图6和图7的左上角，以表格形式列出了相应安全指标下最严重的5个信息物理组合故障及其故障后果，即对配电CPS安全性影响最大的几个关键组合故障。

图6 信息物理组合故障导致的失负荷风险

Fig.6 Load loss risk caused by cyber-physical combination failure

图7 信息物理组合故障导致的一类负荷损失风险Fig.7 The first-class load loss risk caused by cyberphysical combination failure
结合图6和图7，可以得出结论：（1）接入层交换机发生信息失效故障对配电网CPS安全性的影响比FTU信息失效故障的影响更大。这是由于接入层交换机设备通常连接多个FTU终端设备，若交换机发生失效故障，与其直接相连的FTU终端的监测与控制功能均等同于失效。（2）影响故障恢复阶段的信息失效故障，通常比影响故障定位与隔离阶段的信息失效故障，对配电网安全性的危害更大。这是由于影响定位和隔离业务的信息失效故障，物理后果通常是扩大若干个停电节点。而影响故障恢复业务的信息失效故障，则会造成联络开关无法正常动作，整片非故障停电区域供电恢复失败，其影响通常更大。（3）图7中，一类负荷失电风险最高的两个组合故障的风险值明显大于其他组合故障。这是由于在本算例设置的场景下，工业区部分电力线路和FTU终端受恶劣天气影响故障概率升高的原因，导致某些组合故障对一类负荷安全性的威胁增大。这也同时说明，组合故障造成的风险是随着配电网运行状态的变化而动态变化的。针对该关键组合故障集中的故障场景，配电网运营者可采取相应的预防和管理措施来及时降低系统运行风险，并提前制定故障发生后的紧急控制预案，以提升配电网CPS运行的安全性。4.3 关键电力/通信元件

针对单个电力或信息元件设备，计算该设备累加的风险值并进行排序，如图8和图9所示。图中还列出了5个累加风险值最高的电力线路和通信节点，即为对配电网CPS安全性影响最大的关键电力/通信元件。

图8 各条电力线路的累加风险值

Fig.8 The cumulative risk value of each power line

图9 各个通信节点的累加风险值

Fig.9 The cumulative risk value of each communication node

从图8可知，在本算例设置的运行场景下，电力线路16、10、9、37、34的运行风险是最高的。从图9可以看到，通信节点76和65的累加风险值远远超出其他通信节点，这是由于通信节点65是联络线路13-43上的开关FTU终端，通信节点76是与该FTU直接相连的居民区交换机4。在多个组合故障场景下，这两个通信节点发生失效故障将会导致非故障区域的供电恢复无法完成，对配电网CPS运行安全性的影响很大，因此这两个通信节点上的累加风险最高。

图8和图9列出的5个电力和通信设备是配电网CPS运行中风险最高的设备，对系统安全性的影响较大，为系统的关键节点，应予以特别的关注。对这些关键设备应加强巡检，及时排除安全隐患，必要时配置备用设备。在风险达到阈值后还要采取相应的预防控制措施，降低配电系统的运行风险。

5 结论

由自然灾害或网络攻击导致的信息故障给配电网CPS安全性带来新的挑战。为此，本文提出一种考虑信息失效影响的配电网CPS安全性评估方法，解决传统配电网安全评估中对通信系统影响考虑不足的问题。结合配电网馈线自动化业务，计算信息物理组合故障下的安全性评价指标，量化分析了组合故障对配电网CPS安全性的影响，从而找到对配电网CPS安全性影响最大的关键组合故障集和关键电力/信息设备。所提方法可量化评估信息物理组合故障后果，定位配电系统中的薄弱节点，进而为配电网CPS安全防御与安全控制提供支撑。本文提出的安全评估方法针对单重信息物理组合故障进行了安全分析。在后续工作中，针对恶劣天气或网络攻击导致的多重信息物理组合故障的复杂故障场景，进行配电网CPS韧性评估和恢复控制是下一步的研究重点。（责任编辑　张重实）

作者介绍

李晓（1994—），男，硕士，工程师，从事电力信息物理系统、配电网 CPS 安全分析与控制研究，E-mail：lixiao5@sgepri.sgcc.com.cn；

★

许剑冰（1971—），男，博士，高级工程师（研究员级），从事电力系统安全稳定分析及控制研究，E-mail：xujianbing@sgepri.sgcc.com.cn;

★

李满礼（1989—），男，硕士，工程师，从事电力信息物理系统、电网安全稳定控制等研究， E-mail ：limanli@sgepri.sgcc.com.cn;

★

倪明（1969—），男，通信作者，博士，高级工程师（研究员级），从事电力信息物理系统、电力系统安全稳定控制等研究，E-mail：ni-ming@sgepri.sgcc.com.cn;

★

童和钦（1975—），男，硕士，高级工程师，从事电力信息物理系统、网络安全等研究，E-mail：tongheqin@sgepri.sgcc.com.cn.

往期回顾

◀《中国电力》2022年第2期目录