计及级联失效的电力信息系统脆弱性评估

马世英，郭逸豪，宋墩文，郭创新

（1．电网安全与节能国家重点实验室(中国电力科学研究院有限公司)，北京市 海淀区 100192；2．浙江大学电气工程学院，浙江省 杭州市 310027）

0 引言

随着电力系统智能化水平不断提高、电力业务种类与数量不断增多，电力信息网络已深入到电力系统发、输、配、用各个环节，电力生产和管理越发地依赖电力信息系统的正常工作，信息系统对一次系统的影响更加突出。信息系统的失效特别是级联失效可能影响电力系统的安全可靠运行，甚至引发大范围停电事故。因此，研究影响信息系统脆弱性的因素，针对相关脆弱环节施加保护，可以有效抑制信息系统级联失效，降低故障从信息系统传递到一次系统的风险。通过对电力信息系统进行脆弱性评估，可以快速找出那些对保障电网安全稳定运行起到突出作用的重要节点。对这些节点和信息系统进行有效保护，有助于提升电网的整体安全性和稳定性。

关于网络的脆弱性评估，传统的网络脆弱性分析技术主要有基于规则的扫描分析方法和基于模型的形式化建模分析方法。这些方法通过引入模型对攻击者的一次攻击过程进行整体分析，但是不能直接量化网络中的弱点，更不能分析网络效能在攻击后的变化情况，难以考察网络在受攻击后对业务运行的影响程度[1]。由于这些原因，基于复杂网络的脆弱性分析技术被大量引入网络脆弱性分析领域。文献[2]通过数值仿真分析发现无标度网络是“鲁棒而脆弱的”，即网络的连通性对节点的随机移除具有较高的鲁棒性而对蓄意破坏某些高度数节点的攻击则十分敏感。文献[3]研究了复杂网络在其顶点和边遭受攻击后的反应。研究者从平均最短路径距离和最大联通子图等方面出发分析网络的效能，讨论了典型复杂网络在基于度数降序和介数降序攻击时的网络效能变化，揭示了中心介数和度数在复杂网络分析中的联系。文献[4]则基于复杂网络脆弱度理论，构建了互补性脆弱度指标集和综合脆弱度指标，进而提出一种输电线路脆弱度评估方法。该方法可从全局和局部、有功和无功2个方面综合衡量输电线路的脆弱度。文献[5]结合变电站自动化通信系统的特点和分布式系统脆弱性理论, 提出网络环境下变电站自动化通信系统脆弱性评估方法。通过对系统的形式化定义，构造表征攻击过程的脆弱性状态图，并计及变电站自动化通信系统的信息安全特点，设计了基于层次分析法(analytic hierarchy process，AHP)和逼近理想解排序法(technique for order preference by similarity to an ideal solution，TOPSIS)的脆弱度因子量化方法。此外，也有研究通过增加或重连边的方法来改善网络对故障和攻击的弹性[6-8]。

由于静态脆弱性评估不能考虑到网络中元素移除对网络性能的动态影响，因此，国内外诸多学者也对复杂网络上的级联失效进行了研究。文献[9]以最大连通子图作为测度标量，提出了级联失效的负载-容量模型。文献[10]分析了 Internet级联动力学特点，指出了2点可能引发级联故障的原因；不同于以往的介数模型，提出了节点拥塞函数，相当于给每个节点赋一个动态的权值，以表征该节点的拥塞程度；加入了延迟时间，在永久删除策略和不删除策略之间建立关联。文献[11]在网络动态性基础上，研究了级联失效条件下复杂网络的抗毁性能，对随机网络模型(Erdős-Rényi model，ER 模型)、无标度网络模型(Barabási-Albert model，BA 模型)和互联网拓扑模型(positive feedback preference model，PFP模型)这3种模型在不同攻击策略下的抗毁性进行了对比分析和仿真实验，实验结果表明网络的动态特性对网络抗毁性影响很大，因此应在评估复杂系统可靠性、设计可靠网络拓扑、网络元素保护策略或是攻击策略中予以充分考虑。

上述关于网络脆弱性评估的研究大多从系统科学角度对具有一般特征的复杂网络进行了静态和动态评估，在网络模型的构建中较少考虑电力信息系统的具体特征，提出的简化条件与电力信息系统实际运行状况不符且没有考虑电力信息系统节点在实际物理系统中的分布。因此，为了以较小代价提高电力信息系统安全性，本文提出一种计及级联失效的电力信息系统脆弱性评估方法。该方法首先将电力信息系统抽象为复杂网络；在此基础上，考虑电力信息系统在实际物理世界的分布，改进经典的负载-容量模型使其满足电力信息系统实际运行特性；提出2种脆弱性评估指标，并将改进的脆弱性评估方法用于测试系统，验证算法的有效性和合理性。

1 电力信息系统的抽象

电力信息系统可以被抽象为一个复杂网络。在物理结构层面上，电力信息网络普遍采用3层网络结构进行组网，分为核心层、骨干层和接入层，见图 1；整个网络尽量保证高冗余、高可靠的设计，以实现业务高速、可靠的传输；在数据业务层面上，电力信息网络数据业务，或者通过接入层节点上行经过骨干层传输到核心层节点，或者通过核心层节点下行经过骨干层传输到达接入层终端节点，整个信息网络的业务呈现出强烈的星形结构[1]。

在能够得到明确的电力信息网络结构的情况下，信息节点可以由调度中心和变电站/发电厂自动化系统抽象而成，信息连接可以由站间通讯线路抽象而成。这样，电力信息网络就被抽象为一个复杂网络G=(V, E)，其中V为节点集，E为连接集。网络 G可用邻接矩阵 A描述：若节点 vi与节点vj之间存在连接ei-j，则Aij=Aji=1；反之，有Aij=Aji=0。

图1 电力信息网络层次结构Fig. 1 Hierarchical structure of power information network

在无法得到明确的电力信息网络结构时，由于诸多数据表明电力信息系统是一个无标度网络，因此可以人工构建一个无标度网络进行仿真研究。无标度网络可以通过BA模型建立，具体步骤可参见文献[12]。

此外，电力信息的传输尚存在路由策略的选择问题。文献[13]提出一种确定路由策略的方法：

设与源节点vi相邻的节点构成集合Wi，节点vj∈Wi。定义节点vj与信息包目标节点间的有效距离为

式中：θ为路由策略控制系数，0≤θ≤1；dj为节点vj到目标节点的最短距离；qj为节点 vj处信息包队列的长度。

节点vj被选中为下一跳节点的概率为

式中：β为路由策略控制系数。本文取θ=1，β→∝，即源节点选择距目标节点距离最短的相邻节点作为下一跳节点。

2 级联失效的改进负载-容量模型

文献[9]所提出的级联失效的负载-容量模型，是基于以下3个假设。

1）每个节点或者链路的最大负载正比于初始负载。

2）每个时间单位内，网络中任意2个节点间都交换1个单位的信息、能量或者数据包，而且交换的路径是依据最短路径进行选择的。

3）正常情况下，网络处于一种自由流的状态，此时节点的负荷即为节点的介数大小。

这些假设在诸多通讯网络中都是广泛适用的。然而，由于电力信息系统分层的网络结构和特殊的通讯形式，这些假设并不适用于电力信息系统。例如，在调度中心和厂站自动化系统之间会存在上行数据和下行命令，但是厂站自动化系统之间并不会直接互相传输数据，该假设的第二条无法适用于电力信息系统。

考虑到电力信息系统的实际运行特点和电力信息系统节点在物理世界中的分布状况，本文提出了级联失效的改进负载-容量模型，该改进模型基于以下假设。

1）每个节点或者链路的最大负载正比于初始负载。

2）厂站自动化系统抽象节点与该厂站所交换的数据正比于该厂站的进线/出线数量，即该厂站的节点度。

3）网络中的数据并非出于自由流动的状态，而是只能由厂站自动化系统抽象节点流向调度中心抽象节点，或者由调度中心抽象节点流向厂站自动化系统抽象节点。

4）调度中心抽象节点与厂站自动化系统抽象节点之间，信息交换的路径是依据最短路径进行选择的。

假设 2）的提出是为了计及厂站自动化系统节点的差异性，诸多厂站自动化系统节点除了在电力信息系统网络中的网络特征存在差异外，其本身由于所对应的厂站不同也应具有差异性。由于变电站采集的数据(或下发的命令)与变电站内的间隔数量存在正相关性，因此本文采用变电站的进线/出线数量对其进行近似模拟。

假设 3）、4）的提出是因为，电力信息系统中的数据交换仍然是基于最短路径进行选择的，只是由于最短路径的首节点是调度中心节点，末节点是厂站自动化系统节点，最短路径并不是在全网所有节点对中间任意选择的，不能直接使用节点介数来表示节点负载。

基于假设2）、3）、4），电力信息系统中节点的负荷可以近似用如下公式表述：

式中：L(i)表示当前网络状况下节点i的负载；c表示调度中心节点；V表示当前网络中的节点集合；kt表示节点t对应厂站的进线/出线数量；σct表示从节点c到节点t的最短路径。

基于假设1），可得节点的负载限值为

式中：Lmax(i)表示节点i的负载限值；L0(i)表示节点i的初始负载；α表示节点负载的冗余系数。

对于调度中心节点，在本文中假设其负载限制是无穷的，不会由于过负荷而失效。

3 计及级联失效的电力信息系统脆弱性评估

3.1 脆弱性评估指标

某个系统的脆弱性，一般指当外部破坏性事件发生时，该系统性能的下降程度[14]。对于电力信息系统，外部扰动所产生的后果，除了网络拓扑结构可能遭到破坏，对一次系统进行监视与控制所需的数据亦可能发生缺失。因此，采用节点缺失率RONL和数据缺失率RODL这2个指标来综合度量电力信息系统脆弱性：

式中：RONL(i)和RODL(i)分别表示电力信息系统经历破坏性事件i时的节点缺失率和数据缺失率；N表示电力信息系统的节点数；iN′表示经历破坏性事件i后级联失效终止时电力信息系统的节点数；V表示电力信息系统的节点集合；Vt表示经历破坏性事件 i后级联失效终止时电力信息系统的节点集合。

3.2 计及级联失效的电力信息系统脆弱性评估步骤

本文使用改进负载-容量模型，进行计及级联失效的电力信息系统脆弱性评估，评估流程如图2所示，主要步骤如下：

步骤 1）根据输入数据建立电力信息系统网络模型。

步骤2）依据公式(3)—(5)计算初始状态下，各个节点的负载状况。

步骤3）设定评估所考虑的破坏性事件集合，在其中选定一个事件i。

步骤 4）分析破坏性事件发生时节点的失效状况，计算此时各个节点的负载情况。

步骤 5）判断是否有节点负载越限，若否，则认为级联失效终止，执行步骤6）；若是，则将越限节点设为失效，重复步骤4）。

步骤6）计算RONL(i)和RODL(i)。

步骤 7）判断是否遍历了破坏性事件集合中的所有事件。若否，则重复步骤3)—6)；若是，则输出脆弱性评估结果。

图2 计及级联失效的电力信息系统脆弱性评估流程Fig. 2 Vulnerability assessment process of power information system considering cascading failures

4 算例分析

4.1 测试系统

本文测试系统使用文献[15]所建立的电力信息系统。该电力信息系统所控制的一次系统为IEEE-57节点标准测试系统，如图3所示。

图3 IEEE-57节点标准测试系统Fig. 3 IEEE-57 bus standard system

采用文献[15]提出的无标度网络生成方法，该电力信息系统可以抽象为具有 58个节点的无标度网络，如图4所示。网络邻接矩阵参数可参见文献[15]的附录A2。其中，节点1代表调度中心节点，节点 2～58代表厂站自动化系统节点，分别对应地控制IEEE-57节点系统中的1—57号节点。这样，能在一定程度上反映电力信息系统节点在物理世界中的分布。

图4 算例系统的电力信息网络Fig. 4 Power information network of the case system

4.2 脆弱性评估结果

依据本文提出的改进负载-容量模型，可以计算出电力信息系统的节点初始负载状况，如表 1所示。

表1 节点初始负载状况Tab. 1 Initial loads of nodes

对于破坏性事件集合，仅考虑N-1情况，即每次只有一个电力信息系统节点失效。显然，如果调度中心节点失效，整个系统将不能运行，因此，暂时忽略调度中心失效的情况，仅考虑节点2～58的失效。为比较系统在不同冗余系数下的脆弱性指标，先取冗余系数α=1.5，测试系统的脆弱性评估结果如图5所示；然后取冗余系数α=1.8，测试系统的脆弱性评估结果如图6所示。

由图5可见，在α=1.5时，RONL(3)和RODL(3)分别大于RONL(58)和RODL(58)。这是因为此时节点3在信息系统中的地位(由节点在拓扑上的关键性、初始负载规模、负载限值等因素综合体现)比节点58重要。从图6可以看出，RONL和RODL曲线形状基本保持一致，但并非完全相同。例如，RONL(8)大于 RONL(10)，但是 RODL(8)小于 RODL(10)。显然，单纯从网络结构角度考虑电力信息物理系统不够全面，本文所建立的脆弱性指标体系从拓扑结构和网络性能2个方面评估系统脆弱性，因而更加全面。

图5 脆弱性评估结果(α=1.5)Fig. 5 Vulnerability assessment results (α=1.5)

图6 脆弱性评估结果(α=1.8)Fig. 6 Vulnerability assessment results (α=1.8)

通过图5和图6的对比可以看出，增大冗余系数可以极大地降低系统脆弱性，这是由于负载限值的增大，使得级联失效难以发生和传播，从而抑制了破坏性事件造成的后果。例如，在α=1.5时，节点6的初始失效，将会导致负载在整个网络中的重新分配，重新分配之后的节点10负载变为25，大于其负载限值22.5，节点10也会由于过负荷发生级联失效；节点10失效之后，会使得节点 16、20、23、30、32、34、37、38、45、53、57也出现过负荷状况，使得级联失效范围迅速扩大，到最终级联失效终止时，系统已经失去了 20个节点。然而，在α=1.8时，节点10 的负载限值为 27，节点 6的失效不会使得节点 10过负荷，α=1.5时发生的严重级联失效并没有发生，系统仅仅损失了节点 6一个节点。由此可见，在电力信息系统级联失效发生的初始阶段就对其进行抑制和控制，能够极大地减轻破坏性事件造成的后果。

图7 平均数据缺失率与冗余系数的关系Fig. 7 Relationship of average RODL and α

图 7展示了平均数据缺失率(所有情况下数据缺失率的平均值)与冗余系数的关系。可以看出，图7也证实了本文所得出的结论，即增大冗余系数可以有效降低系统脆弱性。同时可以看出，增大冗余系数的效果，是阶段性地降低系统脆弱性而非持续性地。因此，在考虑经济性的情况下，选取某个阶跃点的冗余系数值即可以最小代价改善系统整体脆弱性。例如，取α=1.68，此时的系统脆弱性与α=1.8相比并未提升，但是更加经济。

5 结论

本文提出了一种计及级联失效的电力信息系统脆弱性评估方法。基于电力信息系统具体特点，改进了传统的负载-容量模型，利用改进模型进行脆弱性评估，最后用测试系统验证了方法的有效性。论文主要在以下几个方面取得了进展。

1）改进了传统负载-容量模型，解决了其不满足电力信息系统特点的问题。

2）改进的负载-容量模型，能够反映电力信息系统节点在物理世界中的分布。

3）给出了计及级联失效的电力信息系统脆弱性评估方法，从拓扑结构和网络性能两方面建立了脆弱性评估指标，用以定量分析系统面临特定破坏性事件时的脆弱性。

由于电力信息系统较为复杂，本文研究所建立的模型粒度还比较粗糙。在下一步的研究中，需要进一步细化。

[1] 杨有秀．电力信息网络脆弱性分析与仿真验证技术研究[D]．北京：北京邮电大学，2015．

[2] Albert R，Jeong H，Barabási A-L．Error and attack tolerance of complex networks[J]．Nature，2000，406(6794)：378-382．

[3] Holme P，Kim B J，Yoon C N，et al．Attack vulnerability of complex networks[J]．Physical Review E，2002，65(5)：056109．

[4] 倪向萍，梅生伟，张雪敏．基于复杂网络理论的输电线路脆弱度评估方法[J]．电力系统自动化，2008，32(4)：1-5．

[5] 刘念，张建华，段斌，等．网络环境下变电站自动化通信系统脆弱性评估[J]．电力系统自动化，2008，32(8)：28-33．

[6] Luciano da Fontoura Costa．Reinforcing the resilience of complex networks[J]．Physical Review E，2004，69(6)：066127．

[7] Beygelzimer A，Grinstein G，Linsker R，et al．Improving network robustness by edge modification[J]．Physica A：Statistical Mechanics and its Applications，2005，357(3-4)：593-612．

[8] Hayashi Y，Matsukubo J．Improvement of the robustness on geographical networks by adding shortcuts[J]．Physica A：Statistical Mechanics and its Applications，2007，380(1)：552-562．

[9] Motter A E，Lai Y-C．Cascade-based attacks on complex networks[J]．Physical Review E，2002，66(6)：065102．

[10] 王健，刘衍珩，梅芳，等．基于网络拥塞的 Internet级联故障建模[J]．计算机研究与发展，2010，47(5)：772-779．

[11] 谢丰，程苏琦，陈冬青，等．基于级联失效的复杂网络抗毁性[J]．清华大学学报(自然科学版)，2011，51(10)：1252-1257．

[12] Barabási A L，Albert R．Emergence of scaling in random networks[J]．Science，1999，286(5439)：509．

[13] Echennique P，Gomez-Gardenes J，Moreno Y．Improved routing strategies for internet traffic delivery[J]．Physical Review E，2004，70(5)：1-4．

[14] Cuadra L，Salcedo-Sanz S，Ser J D，et al．A critical review of robustness in power grids using complex networks concepts[J]．Energies，2015，8(9)：9211-9265．

[15] Guo Jia，Han Yuqi，Guo Chuangxin，et al．Modeling and vulnerability analysis of cyber-physical power systems considering network topology and power flow properties[J]．Energies，2017，10(1)：87-107．