CN107909276A - 一种电力信息物理融合系统的脆弱性评估方法 - Google Patents

Abstract

本发明涉及一种电力信息物理融合系统的脆弱性评估方法，在本技术方案中，提供的电力信息物理融合系统的脆弱性评估方法，展示了电力信息物理融合系统中信息与物理空间的交互影响与连锁故障。采用本发明方法考虑物理‑信息虚拟连接可以对电力信息物理融合系统的脆弱性进行有效评估，分析出系统的脆弱环节。

Description

一种电力信息物理融合系统的脆弱性评估方法

技术领域

本发明涉及电力系统领域，特别是涉及一种电力信息物理融合系统的脆弱性评估方法。

背景技术

目前，智能电网战略的推进，使得智能控制设备和通信网络逐渐融入传统电力系统，促进了电网自动化和信息通信的发展，进而大大提高了电力系统对能量的利用效率，并且维持着电力系统安全可靠运行。信息网络在许多方面改进了原有的物理系统。例如，从可靠性的角度来看，最重要的就是为物理系统提供了故障诊断、隔离与恢复的能力。随着电网数字化和信息化水平的提高，信息系统对电力系统运行的影响越来越不可忽略，传统电力系统逐渐发展成为由信息系统和物理系统构成的复合系统，即电力信息物理融合系统。

随着信息网络在电网信息物理系统中的应用愈发广泛，信息设备的故障也会对电力系统产生较大影响。近年来对大停电的报告也证实了对信息网络的误操作以及信息网络本身的失效导致了电力系统可靠性的下降，并最终造成了大规模停电。由此可见，在电网信息物理系统中，对考虑监视和控制功能的信息网络与对传统电力设备进行可靠性与脆弱性评估同样重要。

有关电力信息物理系统的可靠性与脆弱性分析已有部分研究。这些研究从不同角度研究了信息系统与物理系统的交互作用，但对信息系统的故障缺乏从整体系统角度的评估。

如何考虑物理-信息虚拟连接，开展电力信息物理融合系统的脆弱性评估，是目前电力信息物理融合系统研究中需要解决的问题。可见，现有关于考虑物理-信息虚拟连接的电力信息物理融合系统的脆弱性评估方法还有待改进。

发明内容

本发明为克服上述现有技术所述的至少一种缺陷，提供一种电力信息物理融合系统的脆弱性评估方法。

为解决上述技术问题，本发明采用的技术方案是：

一种电力信息物理融合系统的脆弱性评估方法，包括以下步骤：

S1.信息与物理节点间的相互影响，将电网信息物理系统抽象建模为物理节点、物理-物理连接、信息节点、信息-信息连接与虚拟信息-物理连接5类元素；

S2.假设电网攻击者目标为造成系统有功负荷的损失，考虑系统受到电网攻击者对物理与信息层面同时展开攻击的场景；

S3.分析导致的连锁故障的处理方法，以最小化物理负荷损失为目标确定处理物理网络故障的措施；

S4.采用基于博弈论的双层数学规划模型分别对物理与信息环节进行了防御资源分配，以量化分析存在假想攻击下系统中各环节的重要程度；

S5.根据物理网络的拓扑参数/电气参数和信息网络的拓扑参数构造系统并进行考虑物理-信息虚拟连接的电力信息物理融合系统的脆弱性评估。

在上述方案中，其工作原理如下：信息与物理节点间的相互影响，将电网信息物理系统抽象建模为物理节点、物理-物理连接、信息节点、信息-信息连接与虚拟信息-物理连接5类元素；其中，假设电网攻击者目标为造成系统有功负荷的损失，考虑系统受到电网攻击者对物理与信息层面同时展开攻击的场景；进一步的，分析导致的连锁故障的处理方法，以最小化物理负荷损失为目标确定处理物理网络故障的措施；采用基于博弈论的双层数学规划模型分别对物理与信息环节进行了防御资源分配，以量化分析存在假想攻击下系统中各环节的重要程度；其中，根据物理网络的拓扑参数/电气参数和信息网络的拓扑参数构造系统并进行考虑物理-信息虚拟连接的电力信息物理融合系统的脆弱性评估；在本技术方案中，提供的电力信息物理融合系统的脆弱性评估方法，展示了电力信息物理融合系统中信息与物理空间的交互影响与连锁故障。采用本发明方法考虑物理-信息虚拟连接可以对电力信息物理融合系统的脆弱性进行有效评估，分析出系统的脆弱环节。

优选的，将电网信息物理系统抽象建模为物理节点、物理-物理连接、信息节点、信息-信息连接与虚拟信息-物理连接5类元素，具体包括：

1)物理节点

物理节点沿用了传统电力系统分析中的概念，即每个节点代表着一个负载或发电机；

若一个物理节点失效，则其对应的负载无法执行切负荷操作，对应的发电机也无法调整出力；

2)信息节点

在现代电力系统中，每个物理设备(如负载/发电机)一般都配备有与之相连的信息元件，实现信息采集与控制等相关功能；信息元件的类型与分布都较复杂，可以将其整合为一个信息节点，并认为所有相关功能都在该节点实现；同时，可以认为信息节点的分布与物理节点相同，即每个物理节点都对应了一个信息节点；信息节点分为信息中心与终端两类，一个系统中仅存在一个信息中心；

若一个信息节点失效，则认为它无法与其相邻的信息节点通信，即所有与之相连的信息-信息连接都失效；同时，由于该信息节点直接承担控制对应的物理节点的任务，也认为它对应的物理节点失效；

3)物理-物理连接

物理-物理连接沿用了传统电力系统分析中的概念，亦即输电线的简化，起到联络各物理节点的功能；

若一个物理-物理连接失效，则无法通过该物理连接输送功率，对于整个系统需要重新计算潮流分布；若存在潮流越限的情况，则需要考虑切负荷、切断过载线路等操作；

4)信息-信息连接

信息设备之间需要通信，信息设备采用如光纤等有线通信方式或采用无线通信的方式；上述可以统一考虑为信息-信息连接；

信息-信息连接的存在保证了每个信息节点与信息中心的通信成功与否；若一个信息节点被孤立(无法与信息中心通信)，则可认为该信息节点失效；

5)物理-信息连接

将每个物理节点配备的所有信息元件简化为一个信息节点；信息元件与物理设备之间存在着控制与信息采集的关联。对于物理节点与信息节点之间存在的虚拟关联，记为物理-信息连接；物理设备为本地信息设备供电，信息设备用于采集物理设备的负载、发电量等数据，以及控制负荷调节和发电调节；

由于物理节点与信息节点之间存在这种关联，当物理节点完全失去供电(如与负荷相连的所有输电线路都被切断)时，对应的信息节点也失去供电，并停止工作，产生进一步影响；当信息节点失去与信息中心的连接(即无法与信息中心连接)时，信息中心失去了对物理节点的控制功能，因此该物理节点无法调整发电机出力，也无法切除负荷；

所述的5个环节构成了考虑物理-信息虚拟连接的电力信息物理融合系统的节点-连接模型。

优选的，确定系统受到潜在电网攻击者对物理与信息层面同时展开攻击时的场景与信息物理连锁故障，包括：

电网攻击者为了对系统造成更大的损坏，往往会选择系统中薄弱的环节开展攻击；假设攻击者选取1条物理-物理连接进行攻击，导致线路破坏，改变系统潮流分布；此时，系统可能存在局部潮流越限的状况；在攻击成功后，攻击者再选取2个信息节点进行攻击，导致被攻击的信息节点受到破坏，相应的物理节点无法调整发电机出力，且导致切负荷拒动；

同时，物理元件与信息元件受损可能会互相产生影响，进一步扩大损失，具体如下：

1)信息-信息连接失效：需要重新验证信息节点是否能与通信中心联络，若不能则认为信息节点失效；

2)信息-物理连接失效：导致其相关联的信息节点与物理节点都失效；

3)物理-物理连接失效：影响系统的潮流分布，需要采取措施以保证系统潮流不越限；

4)信息节点失效：所有与之相连的信息-信息连接、信息-物理连接都失效；

5)物理节点失效：节点上的发电机无法改变出力，负荷无法执行切负荷操作；与之相连的信息-物理连接失效。

通过循环分析以上5种影响直至系统稳定，判断系统的损失。

优选的，确定了以最小化物理负荷损失为目标的处理物理网络故障的策略，包括：

通过循环分析电力物理信息融合系统交互影响直至系统稳定，判断系统的损失；每次在重新计算系统潮流分布并考虑切负荷与调整出力时，若出现线路潮流越限的情况，采取的策略为：

1)仅执行1次切除当前越限最严重的线路；

2)执行最小切负荷操作；

在计算线路潮流及重新确定策略前，先通过循环判断以上5种影响造成的损失，确定当前系统可控负荷集合L_a、可控发电机集合G_a以及对应不可控元件集合L_off与G_off；基于直流潮流的最小切负荷的目标函数可表示为：

式中：为负荷节点i的有功功率切除量；

最小化切负荷需要满足如下约束：

该式为功率平衡约束，和分别为负荷节点i和发电机节点j的有功功率切除量；

该式为负荷节点出力约束，和分别为负荷节点i的有功功率下限和上限；

该式为负荷节点出力约束，表示所有不可控负荷的有功负荷变动都为0；

该式为发电机节点出力约束，和分别为发电机节点j的有功功率下限和上限；

该式为发电机节点出力约束，表示所有不可控发电机的出力变动都为0；

该式为支路潮流方程。

优选的，确定基于博弈论的双层数学规划模型求解方法分别对物理与信息环节进行防御资源分配策略，包括：

对于存在的外部攻击，电网防御者需要有针对性地对各个物理与信息元件投入防御资源；防御者在一个元件上分配的防御资源越多，该元件受到攻击后失效的概率就越低；假定电网防御者具有一定总量的防御资源，包括建设设施时的防护措施、日常巡查的严密程度；假设防御者对于物理-物理连接有总量为D_p的防御资源，对于信息节点有总量为D_c的防御资源；则分配到各个元件上的防御资源为：

式中：与分别为第i个物理-物理连接和信息节点的防御资源分配；

考虑到防御资源分配越多，元件被攻击后失效的概率越低，这里假设元件被攻击后失效的概率与所分配的防御资源的关系为：

p_i＝1-tanh(βd_i)

防御者需要事先制定好防御资源的分配策略，攻击者可以在获取防御者的防御措施后再制定有针对性的攻击策略；

为了最小化系统损失，即最小化切负荷，采取如下双层优化模型；

攻击方：

防御方：

式中：a＝(x，y₁，y₂)为攻击方的攻击策略，即选取第x条物理-物理连接以及第y₁和y₂个信息节点进行攻击。S为系统切负荷总量；

攻击方选取能带来最大损失的攻击策略，防御方则制定最小化受到对应攻击的潜在损失的策略；

在确定一个攻击方案后，攻击方可能成功破坏0至2个信息节点，造成的总损失的计算，需要考虑到执行攻击操作的成功率；

式中：p_x，p_v1，p_v2分别为对物理连接和2个信息节点进行攻击的成功概率；

尽管攻击者事实上未必会采取此种策略，但据此可以分析防御资源应该如何分配，进而作为判断各个元件对于保证系统可靠性的重要程度；分配到一个元件上的防御资源越多，就说明该元件的正常工作对于系统可靠运行越重要；

对于防御资源的分配，先确定防御资源精度t，接着计算出当前系统下受破坏影响最大的元件i，为其分配一份防御资源，即d_i＝d_i+t。进行循环，直至所有防御资源都分配完毕。

优选的，根据给出的参数构造考虑物理-信息虚拟连接的电力信息物理融合系统并对其进行脆弱性评估，包括：

节点-连接关联的电力信息物理系统交互影响模型的脆弱性评估主要包括以下步骤：

1)根据系统参数，建立物理模型，并为每个物理节点、物理-物理连接对应添加信息节点与信息-信息连接，建立电力信息物理系统模型；

2)假设攻击者执行某一随机攻击，攻击1条物理-物理连接与1-2个信息节点，并成功破坏对应设施；

3)依据所描述的物理元件与信息元件交互影响，循环分析各种影响直至系统稳定；

4)对于已稳定(即连锁故障处理完毕)的系统，执行切负荷操作与切线路操作(如有必要)，并记录下攻击者攻击操作与负荷损失数据；

5)判断是否已遍历了所有攻击的可能。若是，则执行下一步；若否，则恢复系统为初始状况，并执行步骤2)，继续获取更多数据；

6)根据所有潜在攻击可能导致的负荷损失，计算出最终的防御资源分配方案。

与现有技术相比，本发明的有益效果是：在本技术方案中，提供的电力信息物理融合系统的脆弱性评估方法，展示了电力信息物理融合系统中信息与物理空间的交互影响与连锁故障。采用本发明方法考虑物理-信息虚拟连接可以对电力信息物理融合系统的脆弱性进行有效评估，分析出系统的脆弱环节。

附图说明

图1为电力信息物理融合系统的脆弱性评估方法流程图；

图2为电力信息物理融合系统模型示意图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1：

本发明提出了一种电力信息物理融合系统的脆弱性评估方法，其流程如图1所示：包括如下详细步骤：

步骤1、输入物理网络的拓扑参数/电气参数和信息网络的拓扑参数；

步骤2、确定考虑物理-信息虚拟连接的电力信息物理融合系统的模型构建方法；

为同时考虑电力信息物理融合系统中物理与信息环节的状况及其交互影响，提出考虑物理-信息虚拟连接的电力信息物理融合系统模型用于对电力信息物理融合系统建模，如图2所示：该模型由5个部分组成，即物理节点、信息节点、物理-物理连接、信息-信息连接和物理-信息连接；其中具体如下：

1)物理节点

物理节点沿用了传统电力系统分析中的概念，即每个节点代表着一个负载或发电机。

若一个物理节点失效，则其对应的负载无法执行切负荷操作，对应的发电机也无法调整出力。

2)信息节点

在现代电力系统中，每个物理设备(如负载/发电机)一般都配备有与之相连的信息元件，实现信息采集与控制等相关功能。因此尽管信息元件的类型与分布都较复杂，可以将其整合为一个信息节点，并认为所有相关功能都在该节点实现。同时，可以认为信息节点的分布与物理节点相同，即每个物理节点都对应了一个信息节点。信息节点分为信息中心与终端两类，一个系统中仅存在一个信息中心。

若一个信息节点失效，则认为它无法与其相邻的信息节点通信，即所有与之相连的信息-信息连接都失效。同时，由于该信息节点直接承担控制对应的物理节点的任务，因此也认为它对应的物理节点失效。

3)物理-物理连接

物理-物理连接沿用了传统电力系统分析中的概念，亦即输电线的简化，起到了联络各物理节点的功能。

若一个物理-物理连接失效，则无法通过该物理连接输送功率，对于整个系统需要重新计算潮流分布。若存在潮流越限的情况，则需要考虑切负荷、切断过载线路等操作。

4)信息-信息连接

信息设备之间需要通信。有些信息设备采用如光纤等有线通信方式，而有些采用无线通信的方式。上述可以统一考虑为信息-信息连接。

信息-信息连接的存在保证了每个信息节点与信息中心的通信成功与否。若一个信息节点被孤立(无法与信息中心通信)，则可认为该信息节点失效。

5)物理-信息连接

如前所述，将每个物理节点配备的所有信息元件简化为一个信息节点。信息元件与物理设备之间存在着控制与信息采集的关联。对于物理节点与信息节点之间存在的虚拟关联，记为物理-信息连接。物理设备为本地信息设备供电，信息设备用于采集物理设备的负载、发电量等数据，以及控制负荷调节和发电调节。

由于物理节点与信息节点之间存在这种关联，当物理节点完全失去供电(如与负荷相连的所有输电线路都被切断)时，对应的信息节点也失去供电，并停止工作，产生进一步影响。当信息节点失去与信息中心的连接(即无法与信息中心连接)时，信息中心失去了对物理节点的控制功能，因此该物理节点无法调整发电机出力，也无法切除负荷。

由上所述的5个环节构成了考虑物理-信息虚拟连接的电力信息物理融合系统的节点-连接模型。

步骤3、确定系统受到潜在电网攻击者对物理与信息层面同时展开攻击时的场景与信息物理连锁故障；

电网攻击者为了对系统造成更大的损坏，往往会选择系统中较为薄弱的环节开展攻击。对于一个电力信息物理系统，信息环节与物理环节遭受到损坏都会对系统平稳运行造成影响。假设攻击者的目标为造成有功负荷的损失，并着重考虑攻击者对物理与信息层面同时展开攻击的场景。

假设攻击者选取1条物理-物理连接进行攻击，导致线路破坏，改变系统潮流分布。此时系统可能存在局部潮流越限的状况。在攻击成功后，攻击者再选取2个信息节点进行攻击，导致被攻击的信息节点受到破坏，相应的物理节点无法调整发电机出力，且导致切负荷拒动。

同时，前已述及，物理元件与信息元件受损可能会互相产生影响，进一步扩大损失。具体体现在：

1)信息-信息连接失效：需要重新验证信息节点是否能与通信中心联络，若不能则认为信息节点失效；2)信息-物理连接失效：导致其相关联的信息节点与物理节点都失效；

3)物理-物理连接失效：影响系统的潮流分布，可能需要采取措施以保证系统潮流不越限；

4)信息节点失效：所有与之相连的信息-信息连接、信息-物理连接都失效；

5)物理节点失效：节点上的发电机无法改变出力，负荷无法执行切负荷操作；与之相连的信息-物理连接失效。

通过循环分析以上5种影响直至系统稳定，判断系统的损失。

步骤4、确定以最小化物理负荷损失为目标的处理物理网络故障的策略；

通过循环分析电力物理信息融合系统交互影响直至系统稳定，判断系统的损失。每次在重新计算系统潮流分布并考虑切负荷与调整出力时，若出现线路潮流越限的情况，采取的策略为：1)仅执行1次切除当前越限最严重的线路；2)执行最小切负荷操作。

在计算线路潮流及重新确定策略前，先通过循环判断以上5种影响造成的损失，确定当前系统可控负荷集合L_a、可控发电机集合G_a以及对应不可控元件集合L_off与G_off。基于直流潮流的最小切负荷的目标函数可表示为：

式中：为负荷节点i的有功功率切除量。

最小化切负荷需要满足如下约束：

该式为功率平衡约束，和分别为负荷节点i和发电机节点j的有功功率切除量。

该式为负荷节点约束，和分别为负荷节点i的有功功率下限和上限。

该式为负荷节点约束，表示所有不可控负荷的有功负荷变动都为0。

该式为发电机节点出力约束，和分别为发电机节点j的有功功率下限和上限。

该式为发电机节点出力约束，表示所有不可控发电机的出力变动都为0。

该式为支路潮流方程。

若需获得更精确的结果，可以将上述模型在交流潮流模型上进行拓展。

步骤5、确定基于博弈论的双层数学规划模型求解方法分别对物理与信息环节进行防御资源分配；

电网攻击者在攻击目标的选取上往往尽量选取能够造成更大损失的目标。对于考虑物理-信息虚拟连接的电力信息物理融合系统中的5类元素，信息-物理连接只是虚拟存在的，无法被攻击；信息-信息连接一般通过无线或光缆等形式构成，可靠性较高；物理节点设备的防护等级较高，不易遭到攻击，相对而言物理-物理连接与信息节点较脆弱。假设攻击者为了保证攻击的成功率与效率，选取1条物理-物理连接与2个信息节点进行攻击。

对于可能存在的外部攻击，电网防御者需要有针对性地对各个物理与信息元件投入防御资源。防御者在一个元件上分配的防御资源越多，该元件受到攻击后失效的概率就越低。假定电网防御者具有一定总量的防御资源，包括建设设施时的防护措施、日常巡查的严密程度等。假设防御者对于物理-物理连接有总量为D_p的防御资源，对于信息节点有总量为D_c的防御资源。则分配到各个元件上的防御资源为

式中：与分别为第i个物理-物理连接和信息节点的防御资源分配。

考虑到防御资源分配越多，元件被攻击后失效的概率越低，这里假设元件被攻击后失效的概率与所分配的防御资源的关系为

p_i＝1-tanh(βd_i)

防御者需要事先制定好防御资源的分配策略，攻击者可以在获取防御者的防御措施后再制定有针对性的攻击策略。

为了最小化系统损失，即最小化切负荷，采取如下双层优化模型。

攻击方：

防御方：

式中：a＝(x，y₁，y₂)为攻击方的攻击策略，即选取第x条物理-物理连接以及第y₁和y₂个信息节点进行攻击。S为系统切负荷总量。

攻击方选取能带来最大损失的攻击策略，防御方则制定最小化受到对应攻击的潜在损失的策略。

事实上，在确定一个攻击方案后，攻击方可能成功破坏0至2个信息节点，造成的总损失的计算，需要考虑到执行攻击操作的成功率。

式中：p_x，p_v1，p_v2分别为对物理连接和2个信息节点进行攻击的成功概率。

尽管攻击者事实上未必会采取此种策略，但据此可以分析防御资源应该如何分配，进而作为判断各个元件对于保证系统可靠性的重要程度。分配到一个元件上的防御资源越多，就说明该元件的正常工作对于系统可靠运行越重要。

对于防御资源的分配，先确定防御资源精度t，接着计算出当前系统下受破坏影响最大的元件i，为其分配一份防御资源，即d_i＝d_i+，。进行循环，直至所有防御资源都分配完毕。

步骤6、根据给出的参数构造考虑物理-信息虚拟连接的电力信息物理融合系统并对其进行脆弱性评估；

考虑节点-连接关联的电力信息物理系统交互影响模型的脆弱性评估流程主要包括以下步骤：

1)根据系统参数，建立物理模型，并为每个物理节点、物理-物理连接对应添加信息节点与信息-信息连接，建立电力信息物理系统模型。

2)假设攻击者执行某一随机攻击，即攻击1条物理-物理连接与1-2个信息节点，并成功破坏对应设施。

3)依据所描述的物理元件与信息元件交互影响，循环分析各种影响直至系统稳定。

4)对于已稳定(即连锁故障处理完毕)的系统，执行切负荷操作与切线路操作(如有必要)，并记录下攻击者攻击操作与负荷损失数据。

5)判断是否已遍历了所有攻击的可能。若是，则执行下一步；若否，则恢复系统为初始状况，并执行步骤2)，继续获取更多数据。

6)根据所有潜在攻击可能导致的负荷损失，计算出最终的防御资源分配方案。

实施例2：

为了进一步理解本发明，以下以IEEE 14节点系统为例，来解释本发明的实际应用。

首先进行算例构造与分析。对于该节点系统的14节点与20条输电线，分别对应构造了14个物理节点与20条物理-物理连接线路。需要注意的是，在原系统中部分节点存在同时含有发电机与负荷的情况，这里仍将其构造为1个物理节点。

接着，为每个物理节点对应添加了一个信息节点，并选取节点5为信息中心；为每条物理-物理连接线路添加了对应的信息-信息连接线路，用于代表相应的信息网络。

构造系统构造完毕之后，分别考虑以下3种攻击情况：

1)攻击者仅选取1条物理-物理连接攻击，防御方亦仅考虑防御物理-物理连接；

2)攻击方攻击1条物理-物理连接与1个信息节点，防御方同时防御物理-物理连接与信息节点；

3)攻击方攻击1条物理-物理连接与2个信息节点，防御方同时防御物理-物理连接与信息节点；对于此种攻击，需要考虑事实上成功破坏0至2个信息节点的情况。

假设每条物理线路上的有功潮流超过正常运行状况的30％则视作越限，需要执行切线路与后续切负荷操作。

获取攻击者采取不同攻击方式造成的损失，如表1所示。此处暂未开展防御，即所有攻击都成功破坏元件。攻击方式中PP表示只破坏1条物理-物理连接，PP+C表示额外破坏1个信息节点，PP+C+C表示额外破坏2个信息节点。同时也列出了额外攻击若干信息节点相对于单纯的物理攻击物理-物理连接所造成的额外损失的情况。

表1 不同攻击方式导致的负荷损失

由上表可以看出，直接攻击不同的物理-物理连接导致的负荷损失有不同，而与仅攻击物理-物理连接的情况相比，额外攻击信息节点会让系统损失更多的负荷。对于最严重的情形，损失额外增加了21.5％，说明当物理系统出现故障时，特定信息设备的失效会增加故障带来的损失。

在确定每种攻击方式所可能造成的损失后，计算并分配防御资源。对于防御资源的总量，选取为需要设防设施数量的1/2。在以IEEE 14节点系统为基础的电力信息物理系统中，共有20条物理-物理连接和14个信息节点可能受到攻击，因此取D_p＝10以及D_c＝7。

以最小化负荷损失期望为目标，先假设只存在对物理-物理连接的攻击，确定需要给物理-物理连接分配的防御资源。接着再假设同时存在多种攻击，确定需要在信息节点上分配的防御资源，如表2所示。分配防御资源后的负荷损失期望如表3所示。

表2 防御资源的分配情况

表3 防御资源的分配后的负荷损失期望值

可以发现，仅考虑对物理-物理连接的攻击时，最脆弱的几条物理-物理连接通过防御资源的分配，受损后有功损失期望十分接近，这归功于所采取的防御资源分配原理。对于存在物理、信息复合攻击的场景，也能得到最严重的损失相接近的结果。值得一提的是，在分配了防御资源后，攻击者对信息元件进行攻击所造成的额外损失大大下降，从表1中的17.9％下降到了表3中的2.4％。可以说明，对信息元件的防御也能提高电力物理信息系统运行的可靠性，因此对信息元件进行防御十分有必要。

通过以上分析，可见本发明提出的考虑物理-信息虚拟连接的电力信息物理融合系统的脆弱性评估方法，具有既定的可行性与有效性，可以对电力信息物理融合系统进行建模，分析物理网络与信息网络的交互影响，并对系统进行脆弱性评估。

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims (6)

1.一种电力信息物理融合系统的脆弱性评估方法，其特征在于：包括以下步骤：

S1.信息与物理节点间的相互影响，将电网信息物理系统抽象建模为物理节点、物理-物理连接、信息节点、信息-信息连接与虚拟信息-物理连接5类元素；

S2.假设电网攻击者目标为造成系统有功负荷的损失，考虑系统受到电网攻击者对物理与信息层面同时展开攻击的场景；

S3.分析导致的连锁故障的处理方法，以最小化物理负荷损失为目标确定处理物理网络故障的措施；

S4.采用基于博弈论的双层数学规划模型分别对物理与信息环节进行了防御资源分配，以量化分析存在假想攻击下系统中各环节的重要程度；

S5.根据物理网络的拓扑参数/电气参数和信息网络的拓扑参数构造系统并进行考虑物理-信息虚拟连接的电力信息物理融合系统的脆弱性评估。

2.根据权利要求1所述的电力信息物理融合系统的脆弱性评估方法，其特征在于：将电网信息物理系统抽象建模为物理节点、物理-物理连接、信息节点、信息-信息连接与虚拟信息-物理连接5类元素，具体包括：

1)物理节点

物理节点沿用了传统电力系统分析中的概念，即每个节点代表着一个负载或发电机；

若一个物理节点失效，则其对应的负载无法执行切负荷操作，对应的发电机也无法调整出力；

2)信息节点

在现代电力系统中，每个物理设备(如负载/发电机)一般都配备有与之相连的信息元件，实现信息采集与控制等相关功能；信息元件的类型与分布都较复杂，可以将其整合为一个信息节点，并认为所有相关功能都在该节点实现；同时，可以认为信息节点的分布与物理节点相同，即每个物理节点都对应了一个信息节点；信息节点分为信息中心与终端两类，一个系统中仅存在一个信息中心；

若一个信息节点失效，则认为它无法与其相邻的信息节点通信，即所有与之相连的信息-信息连接都失效；同时，由于该信息节点直接承担控制对应的物理节点的任务，也认为它对应的物理节点失效；

3)物理-物理连接

物理-物理连接沿用了传统电力系统分析中的概念，亦即输电线的简化，起到联络各物理节点的功能；

若一个物理-物理连接失效，则无法通过该物理连接输送功率，对于整个系统需要重新计算潮流分布；若存在潮流越限的情况，则需要考虑切负荷、切断过载线路等操作；

4)信息-信息连接

信息设备之间需要通信，信息设备采用如光纤等有线通信方式或采用无线通信的方式；上述可以统一考虑为信息-信息连接；

信息-信息连接的存在保证了每个信息节点与信息中心的通信成功与否；若一个信息节点被孤立(无法与信息中心通信)，则可认为该信息节点失效；

5)物理-信息连接

将每个物理节点配备的所有信息元件简化为一个信息节点；信息元件与物理设备之间存在着控制与信息采集的关联。对于物理节点与信息节点之间存在的虚拟关联，记为物理-信息连接；物理设备为本地信息设备供电，信息设备用于采集物理设备的负载、发电量等数据，以及控制负荷调节和发电调节；

由于物理节点与信息节点之间存在这种关联，当物理节点完全失去供电(如与负荷相连的所有输电线路都被切断)时，对应的信息节点也失去供电，并停止工作，产生进一步影响；当信息节点失去与信息中心的连接(即无法与信息中心连接)时，信息中心失去了对物理节点的控制功能，因此该物理节点无法调整发电机出力，也无法切除负荷；

所述的5个环节构成了考虑物理-信息虚拟连接的电力信息物理融合系统的节点-连接模型。

3.根据权利要求1所述的电力信息物理融合系统的脆弱性评估方法，其特征在于：确定系统受到潜在电网攻击者对物理与信息层面同时展开攻击时的场景与信息物理连锁故障，包括：

电网攻击者为了对系统造成更大的损坏，往往会选择系统中薄弱的环节开展攻击；假设攻击者选取1条物理-物理连接进行攻击，导致线路破坏，改变系统潮流分布；此时，系统可能存在局部潮流越限的状况；在攻击成功后，攻击者再选取2个信息节点进行攻击，导致被攻击的信息节点受到破坏，相应的物理节点无法调整发电机出力，且导致切负荷拒动；

同时，物理元件与信息元件受损可能会互相产生影响，进一步扩大损失，具体如下：

1)信息-信息连接失效：需要重新验证信息节点是否能与通信中心联络，若不能则认为信息节点失效；

2)信息-物理连接失效：导致其相关联的信息节点与物理节点都失效；

3)物理-物理连接失效：影响系统的潮流分布，需要采取措施以保证系统潮流不越限；

4)信息节点失效：所有与之相连的信息-信息连接、信息-物理连接都失效；

5)物理节点失效：节点上的发电机无法改变出力，负荷无法执行切负荷操作；与之相连的信息-物理连接失效。

通过循环分析以上5种影响直至系统稳定，判断系统的损失。

4.根据权利要求1所述的电力信息物理融合系统的脆弱性评估方法，其特征在于：确定了以最小化物理负荷损失为目标的处理物理网络故障的策略，包括：

通过循环分析电力物理信息融合系统交互影响直至系统稳定，判断系统的损失；每次在重新计算系统潮流分布并考虑切负荷与调整出力时，若出现线路潮流越限的情况，采取的策略为：

1)仅执行1次切除当前越限最严重的线路；

2)执行最小切负荷操作；

在计算线路潮流及重新确定策略前，先通过循环判断以上5种影响造成的损失，确定当前系统可控负荷集合L_a、可控发电机集合G_a以及对应不可控元件集合L_off与G_off；基于直流潮流的最小切负荷的目标函数可表示为：

<mrow> <mi>min</mi> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>&amp;Element;</mo> <mi>L</mi> </mrow> </munder> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> </msub> </mrow>

式中：为负荷节点i的有功功率切除量；

最小化切负荷需要满足如下约束：

<mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>&amp;Element;</mo> <mi>L</mi> </mrow> </munder> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> </msub> <mo>=</mo> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>&amp;Element;</mo> <mi>G</mi> </mrow> </munder> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>G</mi> <mi>j</mi> </msub> </msub> </mrow>

该式为功率平衡约束，和分别为负荷节点i和发电机节点j的有功功率切除量；

<mrow> <msubsup> <mi>P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> <mi>m</mi> </msubsup> <mo>&amp;le;</mo> <msub> <mi>P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> </msub> <mo>-</mo> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> </msub> <mo>&amp;le;</mo> <msubsup> <mi>P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> <mi>M</mi> </msubsup> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>j</mi> <mo>&amp;Element;</mo> <msub> <mi>L</mi> <mi>a</mi> </msub> </mrow>

该式为负荷节点出力约束，和分别为负荷节点i的有功功率下限和上限；

<mrow> <msub> <mi>&amp;Delta;P</mi> <mi>i</mi> </msub> <mo>=</mo> <mn>0</mn> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>i</mi> <mo>&amp;Element;</mo> <msub> <mi>L</mi> <mrow> <mi>o</mi> <mi>f</mi> <mi>f</mi> </mrow> </msub> </mrow>

该式为负荷节点出力约束，表示所有不可控负荷的有功负荷变动都为0；

<mrow> <msubsup> <mi>P</mi> <msub> <mi>G</mi> <mi>j</mi> </msub> <mi>m</mi> </msubsup> <mo>&amp;le;</mo> <msub> <mi>P</mi> <msub> <mi>G</mi> <mi>j</mi> </msub> </msub> <mo>-</mo> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>G</mi> <mi>j</mi> </msub> </msub> <mo>&amp;le;</mo> <msubsup> <mi>P</mi> <msub> <mi>G</mi> <mi>j</mi> </msub> <mi>M</mi> </msubsup> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>j</mi> <mo>&amp;Element;</mo> <msub> <mi>G</mi> <mi>a</mi> </msub> </mrow>

该式为发电机节点出力约束，和分别为发电机节点j的有功功率下限和上限；

<mrow> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>G</mi> <mi>j</mi> </msub> </msub> <mo>=</mo> <mn>0</mn> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>j</mi> <mo>&amp;Element;</mo> <msub> <mi>G</mi> <mrow> <mi>o</mi> <mi>f</mi> <mi>f</mi> </mrow> </msub> </mrow>

该式为发电机节点出力约束，表示所有不可控发电机的出力变动都为0；

<mrow> <msub> <mi>P</mi> <msub> <mi>N</mi> <mi>k</mi> </msub> </msub> <mo>=</mo> <mfrac> <mrow> <msub> <mi>&amp;theta;</mi> <mi>i</mi> </msub> <mo>-</mo> <msub> <mi>&amp;theta;</mi> <mi>j</mi> </msub> </mrow> <msub> <mi>x</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> </mfrac> <mo>,</mo> <mo>&amp;ForAll;</mo> <mi>k</mi> <mo>&amp;Element;</mo> <mrow> <mo>(</mo> <mi>i</mi> <mo>,</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow>

该式为支路潮流方程。

5.根据权利要求1所述的电力信息物理融合系统的脆弱性评估方法，其特征在于：确定基于博弈论的双层数学规划模型求解方法分别对物理与信息环节进行防御资源分配策略，包括：

对于存在的外部攻击，电网防御者需要有针对性地对各个物理与信息元件投入防御资源；防御者在一个元件上分配的防御资源越多，该元件受到攻击后失效的概率就越低；假定电网防御者具有一定总量的防御资源，包括建设设施时的防护措施、日常巡查的严密程度；假设防御者对于物理-物理连接有总量为D_p的防御资源，对于信息节点有总量为D_c的防御资源；则分配到各个元件上的防御资源为：

<mfenced open = "{" close = ""> <mtable> <mtr> <mtd> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <msub> <mi>N</mi> <mrow> <mi>P</mi> <mi>P</mi> </mrow> </msub> </munderover> <msub> <mi>d</mi> <msub> <mi>p</mi> <mi>i</mi> </msub> </msub> <mo>=</mo> <msub> <mi>D</mi> <mi>p</mi> </msub> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <msub> <mi>N</mi> <mi>C</mi> </msub> </munderover> <msub> <mi>d</mi> <msub> <mi>c</mi> <mi>i</mi> </msub> </msub> <mo>=</mo> <msub> <mi>D</mi> <mi>c</mi> </msub> </mrow> </mtd> </mtr> </mtable> </mfenced>

式中：与分别为第i个物理-物理连接和信息节点的防御资源分配；

考虑到防御资源分配越多，元件被攻击后失效的概率越低，这里假设元件被攻击后失效的概率与所分配的防御资源的关系为：

p_i＝1-tanh(βd_i)

防御者需要事先制定好防御资源的分配策略，攻击者可以在获取防御者的防御措施后再制定有针对性的攻击策略；

为了最小化系统损失，即最小化切负荷，采取如下双层优化模型；

攻击方：

<mrow> <munder> <mi>max</mi> <mrow> <mi>a</mi> <mo>=</mo> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <msub> <mi>y</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>y</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> </mrow> </munder> <mi>S</mi> <mo>=</mo> <munder> <mi>max</mi> <mrow> <mi>a</mi> <mo>=</mo> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <msub> <mi>y</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>y</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> </mrow> </munder> <mo>{</mo> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>i</mi> <mo>&amp;Element;</mo> <mi>L</mi> </mrow> </munder> <msub> <mi>&amp;Delta;P</mi> <msub> <mi>L</mi> <mi>i</mi> </msub> </msub> <mo>}</mo> </mrow>

防御方：

式中：a＝(x，y₁，y₂)为攻击方的攻击策略，即选取第x条物理-物理连接以及第y₁和y₂个信息节点进行攻击。S为系统切负荷总量；

攻击方选取能带来最大损失的攻击策略，防御方则制定最小化受到对应攻击的潜在损失的策略；

在确定一个攻击方案后，攻击方可能成功破坏0至2个信息节点，造成的总损失的计算，需要考虑到执行攻击操作的成功率；

<mfenced open = "" close = ""> <mtable> <mtr> <mtd> <mrow> <mi>S</mi> <mo>=</mo> <msub> <mi>p</mi> <mi>x</mi> </msub> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>1</mn> </msub> </msub> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>2</mn> </msub> </msub> <msub> <mi>S</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <msub> <mi>y</mi> <mn>1</mn> </msub> <mo>,</mo> <msub> <mi>y</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> </msub> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>+</mo> <msub> <mi>p</mi> <mi>x</mi> </msub> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>1</mn> </msub> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>2</mn> </msub> </msub> <mo>)</mo> </mrow> <msub> <mi>S</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <msub> <mi>y</mi> <mn>1</mn> </msub> <mo>)</mo> </mrow> </msub> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>+</mo> <msub> <mi>p</mi> <mi>x</mi> </msub> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>2</mn> </msub> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>1</mn> </msub> </msub> <mo>)</mo> </mrow> <msub> <mi>S</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>,</mo> <msub> <mi>y</mi> <mn>2</mn> </msub> <mo>)</mo> </mrow> </msub> </mrow> </mtd> </mtr> <mtr> <mtd> <mrow> <mo>+</mo> <msub> <mi>p</mi> <mi>x</mi> </msub> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>1</mn> </msub> </msub> <mo>)</mo> </mrow> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msub> <mi>p</mi> <msub> <mi>y</mi> <mn>2</mn> </msub> </msub> <mo>)</mo> </mrow> <msub> <mi>S</mi> <mrow> <mo>(</mo> <mi>x</mi> <mo>)</mo> </mrow> </msub> </mrow> </mtd> </mtr> </mtable> </mfenced>

式中：p_x，p_v1，p_v2分别为对物理连接和2个信息节点进行攻击的成功概率；

尽管攻击者事实上未必会采取此种策略，但据此可以分析防御资源应该如何分配，进而作为判断各个元件对于保证系统可靠性的重要程度；分配到一个元件上的防御资源越多，就说明该元件的正常工作对于系统可靠运行越重要；

对于防御资源的分配，先确定防御资源精度t，接着计算出当前系统下受破坏影响最大的元件i，为其分配一份防御资源，即d_i＝d_i+t。进行循环，直至所有防御资源都分配完毕。

6.根据权利要求1所述的电力信息物理融合系统的脆弱性评估方法，其特征在于：根据给出的参数构造考虑物理-信息虚拟连接的电力信息物理融合系统并对其进行脆弱性评估，包括：

节点-连接关联的电力信息物理系统交互影响模型的脆弱性评估主要包括以下步骤：

1)根据系统参数，建立物理模型，并为每个物理节点、物理-物理连接对应添加信息节点与信息-信息连接，建立电力信息物理系统模型；

2)假设攻击者执行某一随机攻击，攻击1条物理-物理连接与1-2个信息节点，并成功破坏对应设施；

3)依据所描述的物理元件与信息元件交互影响，循环分析各种影响直至系统稳定；

4)对于已稳定(即连锁故障处理完毕)的系统，执行切负荷操作与切线路操作(如有必要)，并记录下攻击者攻击操作与负荷损失数据；

5)判断是否已遍历了所有攻击的可能。若是，则执行下一步；若否，则恢复系统为初始状况，并执行步骤2)，继续获取更多数据；

6)根据所有潜在攻击可能导致的负荷损失，计算出最终的防御资源分配方案。