萬克廳，陸玲霞，于淼，齊冬蓮

(浙江大學(xué) 電氣工程學(xué)院，浙江 杭州 310027)

0 引言

隨著電力系統(tǒng)中信息技術(shù)的不斷發(fā)展與應(yīng)用，傳統(tǒng)電網(wǎng)已經(jīng)逐步轉(zhuǎn)型升級為電力拓?fù)渑c信息網(wǎng)絡(luò)深度耦合、頻繁交互的電力信息物理系統(tǒng)（cyber physical systems, CPS），信息側(cè)或物理側(cè)的單一仿真手段已無法滿足電力CPS的仿真需求[1-2]。與此同時，電力CPS的網(wǎng)絡(luò)安全及防御策略作為近年來的理論研究熱點[3]，其具體的實時仿真技術(shù)與攻擊實現(xiàn)手段卻鮮有文章提及。如針對電力CPS的虛假數(shù)據(jù)注入攻擊與防御措施已在理論層面取得了一定成果[4-5]，但其具體攻擊的實現(xiàn)過程大多采取等效或簡化處理，缺少在實際通信環(huán)境中的應(yīng)用先例。因此，迫切需要提出一種新型的電力CPS仿真技術(shù)，能夠在融合傳統(tǒng)仿真手段的基礎(chǔ)上精準(zhǔn)模擬系統(tǒng)中的耦合機(jī)制與交互行為，同時具備基礎(chǔ)的網(wǎng)絡(luò)安全滲透測試功能，為電力CPS的理論研究提供精準(zhǔn)高效的仿真平臺與通用便捷的驗證手段。

目前，電力CPS仿真技術(shù)的研究在國內(nèi)外受到了廣泛關(guān)注[6-9]。文獻(xiàn)[6]總結(jié)了國內(nèi)外電力與通信復(fù)合系統(tǒng)的主要研究方案，詳細(xì)介紹了3種主流的仿真思路，對混合仿真平臺的架構(gòu)搭建提出了若干要求。文獻(xiàn)[7]綜述了智能電網(wǎng)中通信仿真技術(shù)與聯(lián)合仿真平臺的研究進(jìn)展，著重分析了聯(lián)合仿真平臺中物理側(cè)與信息側(cè)的時間同步問題。文獻(xiàn)[8]闡述了將實時硬件集成至能源信息物理系統(tǒng)仿真中的具體要求，認(rèn)為能源CPS實時聯(lián)合仿真框架必須滿足外部組件的可擴(kuò)展性并建議具備統(tǒng)一的硬件接口標(biāo)準(zhǔn)。文獻(xiàn)[9]綜述了智能電網(wǎng)技術(shù)中使用實時仿真和硬件在環(huán)技術(shù)的先進(jìn)實驗測試方法。

較早開展的非實時聯(lián)合仿真的實現(xiàn)難度相對較小，文獻(xiàn)[10-12]借助特定的數(shù)據(jù)轉(zhuǎn)換模塊聯(lián)立Matlab與OPNET，以步進(jìn)交替式仿真的時間同步機(jī)制實現(xiàn)了電力CPS聯(lián)合仿真；該類平臺可滿足基礎(chǔ)的信息物理耦合需求，但是非實時的仿真架構(gòu)限制了運算性能與仿真精度，無法準(zhǔn)確模擬系統(tǒng)中的信息物理耦合特性。進(jìn)一步地，為實現(xiàn)聯(lián)合仿真的實時性，文獻(xiàn)[13-14]以RT-LAB和OPNET為核心組件，配合相應(yīng)的數(shù)據(jù)接口構(gòu)建了電力CPS實時仿真平臺，可實現(xiàn)電力系統(tǒng)功率特性與通信網(wǎng)絡(luò)流量特性的實時聯(lián)合仿真。文獻(xiàn)[15]基于HLA/Agent開發(fā)了OPNET和PSCAD/EMTDC的聯(lián)合同步仿真平臺，采用基于仿真步長的時間同步策略，同時適配IEC 61850標(biāo)準(zhǔn)與HLA規(guī)范。但部分文獻(xiàn)將信息側(cè)仿真環(huán)境的全部數(shù)據(jù)包整合后經(jīng)由單一通信鏈路傳輸至物理側(cè)仿真環(huán)境，無法反映網(wǎng)絡(luò)中各條通信鏈路之間的流量特性[13-14]。另外，電力CPS仿真平臺的安全防御研究尚處于初步探索階段[16-18]。文獻(xiàn)[16-17]在OPNET中配置了分布式拒絕服務(wù)攻擊場景以模擬其對電力系統(tǒng)造成的影響，另外以修改雙網(wǎng)卡計算機(jī)的互聯(lián)網(wǎng)協(xié)議（Internet protocol，IP）信息的方式接入原有通信鏈路，實現(xiàn)了等效的中間人攻擊。文獻(xiàn)[18]在原有實時聯(lián)合仿真平臺的通信鏈路中增設(shè)了LABVIEW中間人攻擊平臺，依靠偽裝IP信息實現(xiàn)了對特定數(shù)據(jù)包的偵聽和篡改。但是以上方法均通過等效處理手段將攻擊過程簡化，未能結(jié)合網(wǎng)絡(luò)安全技術(shù)進(jìn)行實操驗證，無法準(zhǔn)確反映實際運行場景中的惡意攻擊過程。

綜上所述，現(xiàn)階段的電力CPS聯(lián)合仿真平臺已基本實現(xiàn)了物理側(cè)電力系統(tǒng)與信息側(cè)通信網(wǎng)絡(luò)的實時聯(lián)合仿真，但其中各部分的仿真技術(shù)水平參差不齊：物理側(cè)的電力系統(tǒng)功率特性仿真技術(shù)最為成熟，以RT-LAB為代表的實時仿真工具已基本滿足現(xiàn)階段的各類仿真場景；信息側(cè)的通信網(wǎng)絡(luò)流量特性仿真技術(shù)有待進(jìn)一步發(fā)展，以O(shè)PNET為代表的實時仿真工具可滿足簡單的仿真場景需求，但存在硬件終端數(shù)量受限和通信拓?fù)溥^度簡化等短板；網(wǎng)絡(luò)安全領(lǐng)域的滲透測試與攻防技術(shù)僅處于起步階段，鮮有研究關(guān)注具體的攻擊實現(xiàn)手段，大多以等效或簡化措施代替實際操作。

本文為解決電力信息物理系統(tǒng)的實時仿真問題，同時改進(jìn)傳統(tǒng)方案中不支持多端通信及滲透測試等缺陷，提出了基于多組件并行架構(gòu)的電力CPS實時聯(lián)合仿真平臺架構(gòu)及其測試算例：首先借鑒主流技術(shù)方案，選擇RT-LAB與OPNET分別作為物理側(cè)與信息側(cè)的實時仿真環(huán)境；其次設(shè)計嵌入式控制組件，構(gòu)建物理側(cè)電力硬件在環(huán)實時仿真和信息側(cè)通信系統(tǒng)在環(huán)實時仿真，在保證聯(lián)合仿真實時性的同時提升通信網(wǎng)絡(luò)的模型復(fù)雜度，為復(fù)雜的通信場景仿真提供多端通信的解決方案；再次設(shè)計滲透測試組件，借助網(wǎng)絡(luò)安全技術(shù)實現(xiàn)基本的滲透測試功能；最后，基于多組件并行架構(gòu)對應(yīng)的多種實時仿真模式，設(shè)計了涵蓋多種仿真場景的測試算例以驗證平臺的各項功能。

1 平臺總體架構(gòu)

本文提出的電力CPS實時聯(lián)合仿真平臺架構(gòu)如圖1所示。其中，嵌入式控制組件作為平臺架構(gòu)的主組件，是聯(lián)合仿真的計算核心與數(shù)據(jù)樞紐；主組件連接了3個相互獨立的從組件，依次為電力系統(tǒng)實時仿真組件、通信網(wǎng)絡(luò)實時仿真組件和滲透測試組件；主組件與3個從組件并行運行，分別實現(xiàn)不同的實時仿真模式。

圖1 仿真平臺總體架構(gòu)Fig. 1 The overall architecture of the simulation platform

首先，嵌入式控制組件提供了信息空間與物理空間的耦合接口，是本平臺的核心主組件和主要技術(shù)難點?，F(xiàn)有研究中描述信息流與能量流之間耦合關(guān)系的建模理論尚未成熟，如步進(jìn)式交替仿真[10-11]、統(tǒng)一交互接口[13]等方法均未能兼顧仿真實時性與模型復(fù)雜度。選用嵌入式控制器件作為耦合接口的優(yōu)點有：（1）在控制物理側(cè)電能特性的同時參與信息側(cè)的網(wǎng)絡(luò)通信，以成熟的實物器件代替煩瑣的理論建模，可提升平臺應(yīng)用的普適性；（2）保證了通信終端的實際數(shù)量和通信網(wǎng)絡(luò)的模型復(fù)雜度，可提升復(fù)雜通信網(wǎng)絡(luò)的仿真性能；（3）控制器在環(huán)實時仿真對控制算法具有更高的性能要求，可提升仿真結(jié)果的可信度?？紤]到性能需求和通信功能，選用DSP芯片TMS320 F28377 D 和通信 芯片 W5300 的主控組合，將其集成在單塊PCB電路板以實現(xiàn)模塊化設(shè)計，與適配OPAL-RT的信號調(diào)理板構(gòu)成嵌入式控制組件。

其次，通信網(wǎng)絡(luò)實時仿真組件和電力系統(tǒng)實時仿真組件分別提供信息空間和物理空間的仿真環(huán)境，借助成熟的數(shù)值仿真軟件模擬信息側(cè)的流量特性與物理側(cè)的能量潮流。在充分調(diào)研各類仿真軟件的基礎(chǔ)上，參考主流方案[6-8]，選用OPNET軟件包和OPAL-RT仿真套件分別作為通信網(wǎng)絡(luò)實時仿真組件和電力系統(tǒng)實時仿真組件的數(shù)值仿真環(huán)境。其中，OPNET軟件包允許在仿真設(shè)備中接入其他硬件實物進(jìn)行系統(tǒng)在環(huán)實時仿真（system in the loop, SITL），OPAL-RT 仿真套件具備模擬信號與數(shù)字信號的輸入輸出（I/O）模塊可實現(xiàn)控制器硬件在環(huán)仿真（controller hardware in the loop,HIL），上述2種功能分別提供了其對應(yīng)從組件與主組件的聯(lián)合仿真接口。

最后，滲透測試組件為網(wǎng)絡(luò)安全技術(shù)在電力CPS中的實際應(yīng)用提供了硬件支撐，是本平臺相較于其他方案所獨有的特色功能。現(xiàn)有的同類方案[13-14]大多采取等效的構(gòu)造手段，對系統(tǒng)的原生通信網(wǎng)絡(luò)或者交互數(shù)據(jù)進(jìn)行預(yù)先改動，忽略了攻擊細(xì)節(jié)且缺乏實際可行性。為確保網(wǎng)絡(luò)惡意攻擊的高還原性和高可行性，在調(diào)研主流滲透測試方案的基礎(chǔ)上，選擇Kali Linux和樹莓派4 B單板機(jī)電腦分別作為滲透測試操作系統(tǒng)與物理主機(jī)。該組件經(jīng)由以太網(wǎng)接入電力CPS的通信網(wǎng)絡(luò)，通過運行腳本程序開展信息搜集、網(wǎng)絡(luò)嗅探、ARP欺騙等滲透測試。

綜上所述，本平臺由1個主組件（嵌入式控制組件）和3個從組件（電力系統(tǒng)實時仿真組件、通信網(wǎng)絡(luò)實時仿真組件和滲透測試組件）構(gòu)成，各個從組件根據(jù)具體的仿真任務(wù)需求：既可以單獨與主組件聯(lián)立，分別構(gòu)成電力硬件在環(huán)實時仿真、通信系統(tǒng)在環(huán)實時仿真和安防實驗實時仿真，側(cè)重電力CPS中的電力能量潮流、網(wǎng)絡(luò)流量特性或安全防御性能仿真；也可與其他從組件共同聯(lián)立主組件，構(gòu)成實時聯(lián)合仿真，兼顧電力CPS中物理側(cè)與信息側(cè)的耦合機(jī)制與交互特性。

2 組件運行機(jī)理

2.1 嵌入式控制組件

嵌入式控制組件用于聯(lián)立其他從組件，實現(xiàn)電力CPS中節(jié)點設(shè)備的電氣狀態(tài)控制與通信數(shù)據(jù)交互，由若干塊模塊化的嵌入式控制板組成，每塊控制板上集成了TMS320 F28377 D芯片、W5300芯片及其硬件電路，且各塊控制板與電力系統(tǒng)中的節(jié)點設(shè)備一一對應(yīng)，其硬件布局與軟件功能如圖2所示。

圖2 嵌入式控制組件的硬件布局與軟件功能Fig. 2 Hardware layout and software functions of embedded control components

本組件作為仿真平臺中的核心主組件，具體功能包括：DSP片上雙模式ADC配合信號調(diào)理板，將OPAL-RT仿真機(jī)輸出的電氣參量模擬信號轉(zhuǎn)換為DSP中浮點變量，完成電氣運行狀態(tài)的量測采樣；DSP雙核CPU及片上CLA協(xié)同實現(xiàn)資源調(diào)控與控制運算，其中CPU負(fù)責(zé)主程序框架的任務(wù)協(xié)調(diào)、中斷控制和外設(shè)調(diào)用，CLA負(fù)責(zé)并行執(zhí)行主要的浮點計算和外設(shè)讀寫任務(wù)，協(xié)同實現(xiàn)電力節(jié)點設(shè)備的單體控制算法與通信模式配置；DSP片上ePWM模塊配合信號調(diào)理板，將實時運算結(jié)果轉(zhuǎn)換為相應(yīng)的PWM脈沖控制信號，在進(jìn)行電平轉(zhuǎn)換與信號驅(qū)動后輸入至OPAL-RT仿真機(jī)，實現(xiàn)電力節(jié)點設(shè)備中功率開關(guān)管的實時開斷控制；W5300芯片在DSP中驅(qū)動程序的控制下，配置本地節(jié)點的IP信息與通信模式，并按預(yù)設(shè)的通信拓?fù)潢P(guān)系開啟對應(yīng)的TCP socket，實現(xiàn)本地節(jié)點與其他節(jié)點之間的網(wǎng)絡(luò)數(shù)據(jù)通信。

2.2 電力系統(tǒng)實時仿真組件

電力系統(tǒng)實時仿真組件用于電力系統(tǒng)功率特性的實時仿真，包括RT-LAB上位機(jī)和OPALRT仿真機(jī)，其組成架構(gòu)與運行機(jī)制如圖3所示。

圖3 電力系統(tǒng)實時仿真組件的組成架構(gòu)與運行機(jī)制Fig. 3 Composition architecture and operation mechanism of real-time simulation components for power system

本組件作為電力硬件在環(huán)實時仿真的關(guān)鍵從組件，基本運行流程為：RT-LAB上位機(jī)中電力CPS物理模型經(jīng)過分割和編譯后，裝載至OPALRT仿真機(jī)進(jìn)行電力系統(tǒng)實時仿真，輸出電氣節(jié)點狀態(tài)量測的模擬信號至嵌入式控制組件，并接收來自嵌入式控制組件的數(shù)字控制信號用于控制電氣節(jié)點的運行特性，實現(xiàn)電力CPS中物理側(cè)的在線參數(shù)調(diào)試與實時閉環(huán)控制。

2.3 通信網(wǎng)絡(luò)實時仿真組件

通信網(wǎng)絡(luò)實時仿真組件用于通信網(wǎng)絡(luò)流量特性的實時仿真，包括OPNET仿真機(jī)，其組成架構(gòu)及連接方式如圖4所示。

圖4 通信網(wǎng)絡(luò)實時仿真組件的組成架構(gòu)及連接方式Fig. 4 Composition architecture and connection of realtime simulation components for communication network

本組件作為通信系統(tǒng)在環(huán)實時仿真的關(guān)鍵從組件，基本運行流程為：當(dāng)前時刻外部通信終端的真實數(shù)據(jù)包經(jīng)由OPNET仿真機(jī)中的以太網(wǎng)接口轉(zhuǎn)發(fā)至對應(yīng)的SITL模塊，根據(jù)伯克利包過濾規(guī)則（Berkeley packet filter，BPF）完成過濾并轉(zhuǎn)換為虛擬數(shù)據(jù)包；虛擬數(shù)據(jù)包參與以通信鏈路、交換機(jī)、路由器、服務(wù)器等網(wǎng)絡(luò)節(jié)點模型構(gòu)建的虛擬通信網(wǎng)絡(luò)，按離散事件驅(qū)動的仿真機(jī)制執(zhí)行預(yù)設(shè)的流量業(yè)務(wù)，仿真得到下一時刻應(yīng)當(dāng)發(fā)送至外部終端的虛擬數(shù)據(jù)包；待發(fā)送的虛擬數(shù)據(jù)包通過SITL模塊完成過濾并轉(zhuǎn)換為真實數(shù)據(jù)包，再經(jīng)由以太網(wǎng)接口發(fā)送至對應(yīng)的外部通信終端；至此完成單個離散時間區(qū)間內(nèi)的虛擬通信網(wǎng)絡(luò)仿真，同時得到了該時間區(qū)間內(nèi)虛擬通信節(jié)點的流量特性與統(tǒng)計數(shù)據(jù)。

2.4 滲透測試組件

滲透測試組件用于電力CPS安全防御性能的測試驗證，包括操作系統(tǒng)和執(zhí)行設(shè)備，其組成架構(gòu)與滲透功能如圖5所示。

圖5 滲透測試組件的組成架構(gòu)與滲透功能Fig. 5 Composition architecture and penetration function of penetration testing components

本組件作為安防實驗實時仿真的關(guān)鍵從組件，具體功能為：針對其他組件采用的Modbus TCP通信協(xié)議，Kali Linux攻擊節(jié)點可基于其機(jī)制漏洞展開偵聽、欺騙、截獲、篡改和轉(zhuǎn)發(fā)等滲透操作，以降低系統(tǒng)的網(wǎng)絡(luò)通信性能或損害節(jié)點內(nèi)的數(shù)據(jù)信息，完成竊取系統(tǒng)配置信息、篡改主站控制指令和偽造虛假運行狀態(tài)等操作，實現(xiàn)拒絕服務(wù)攻擊（denial of service, DoS）、中間人攻擊（man-in-the-middle, MITM）和虛假數(shù)據(jù)注入攻擊（false data injection, FDI）等惡意攻擊。

本組件通過以太網(wǎng)接入包含嵌入式控制組件與通信網(wǎng)絡(luò)實時仿真組件等設(shè)備的局域網(wǎng)，對網(wǎng)絡(luò)中的TCP/IP端口開展嗅探掃描；在DoS攻擊時，本組件基于掃描結(jié)果偵聽特定的傳輸控制協(xié)議（transmission control protocol，TCP）連接，根據(jù)偵聽信息構(gòu)造虛假RST數(shù)據(jù)包以提前終止其通信過程；在MITM和FDI攻擊時，本組件發(fā)送高頻的地址解析協(xié)議（address resolution protocol，ARP）響應(yīng)包以欺騙靶機(jī)，與之建立相應(yīng)的TCP連接后即可進(jìn)行數(shù)據(jù)包的截獲、篡改及轉(zhuǎn)發(fā)等操作。

3 算例仿真驗證

3.1 基礎(chǔ)算例

為驗證本文所述電力CPS實時聯(lián)合仿真平臺的各項性能，以直流微電網(wǎng)CPS仿真研究為例，搭建其仿真模型如圖6所示，設(shè)計了涵蓋系統(tǒng)故障與惡意攻擊等多種仿真場景的測試算例。

圖6 直流微電網(wǎng)CPS仿真模型Fig. 6 Simulation models for DC micro-grid CPS

其中，物理側(cè)電力系統(tǒng)為直流微電網(wǎng)，4個節(jié)點經(jīng)DC/DC變流器接入母線，各節(jié)點的控制策略由對應(yīng)的嵌入式控制器實現(xiàn)，相關(guān)參數(shù)見表1。

表1 電力系統(tǒng)參數(shù)Table 1 Power system parameters

信息側(cè)通信網(wǎng)絡(luò)包含路由器、交換機(jī)和SITL等模塊，結(jié)合嵌入式控制組件實現(xiàn)跨網(wǎng)段的單向鏈?zhǔn)綌?shù)據(jù)通信結(jié)構(gòu)，即來自上一節(jié)點的通信數(shù)據(jù)包將轉(zhuǎn)發(fā)至下一節(jié)點。主站模擬機(jī)、節(jié)點1和2、節(jié)點3和4分別從屬于3個不同的網(wǎng)段，以上設(shè)備均需要經(jīng)由交換機(jī)接入路由器以實現(xiàn)跨網(wǎng)段通信，相關(guān)參數(shù)如表2所示。

表2 通信網(wǎng)絡(luò)參數(shù)Table 2 Communication network parameters

本算例的仿真進(jìn)程如下：主站以100 ms的通信周期定時發(fā)送控制指令至節(jié)點1對應(yīng)的嵌入式控制單元，實現(xiàn)目標(biāo)節(jié)點輸出功率的實時調(diào)控；節(jié)點1在接收指令后存儲其中的功率參考值，將其應(yīng)用至功率控制算法并封裝為新的控制指令發(fā)送至下一節(jié)點；其余節(jié)點的處理進(jìn)程與節(jié)點1類似，以期完成主站對所有節(jié)點輸出功率的統(tǒng)一調(diào)控。

3.1.1 仿真性能論證

結(jié)合所給算例參數(shù)和多組件并行架構(gòu)，對本平臺的各方面仿真性能進(jìn)行簡要討論。

（1）在仿真時間機(jī)制方面，不同于文獻(xiàn)[19-22]的實時性討論，本平臺中物理側(cè)與信息側(cè)的仿真環(huán)境互為并行進(jìn)程，因此其仿真實時性可進(jìn)行獨立分析。在本算例中，物理側(cè)OPAL-RT仿真機(jī)的仿真步長設(shè)定值為20 μs，而DSP芯片的控制周期設(shè)定值為200 μs，二者間的數(shù)量關(guān)系符合控制器硬件在環(huán)仿真的常規(guī)要求，能夠保證對物理空間的精準(zhǔn)模擬與實時控制；信息側(cè)OPNET軟件中測得數(shù)據(jù)包傳輸延時最大值為7.53 ms，而系統(tǒng)內(nèi)通信終端的通信周期設(shè)定值為100.00 ms，可保證系統(tǒng)在環(huán)仿真的實時運行與數(shù)據(jù)包的各向交互；滲透測試組件中Kali Linux節(jié)點執(zhí)行攻擊腳本的單次耗時最大值為64.00 ms，小于通信周期設(shè)定值，即攻擊節(jié)點能夠在相鄰兩次通信間隔內(nèi)完成對目標(biāo)數(shù)據(jù)包的截取、篡改及轉(zhuǎn)發(fā)操作。

（2）在仿真場景覆蓋方面，本平臺相較于同類方案更適用于復(fù)雜通信網(wǎng)絡(luò)仿真，可提供更為精細(xì)的通信鏈路流量特性數(shù)據(jù)，同時滲透測試組件為實施DoS、MITM、FDI等攻擊提供了實操手段，可實現(xiàn)信息側(cè)常規(guī)故障及惡意攻擊場景；而物理側(cè)OPAL-RT套件可配置實現(xiàn)設(shè)備動作、拓?fù)渥兓?、?fù)荷切換等常見工況；將二者細(xì)化、組合和協(xié)同即可覆蓋電力CPS中主要運行場景的實時聯(lián)合仿真。

（3）在平臺可擴(kuò)展性方面，憑借多組件并行架構(gòu)的靈活組排方式，各個組件在保持基本架構(gòu)不變的基礎(chǔ)上可進(jìn)行獨立升級或擴(kuò)展，從而以較小的維護(hù)成本實現(xiàn)平臺的性能提升與組件的高復(fù)用性，便于在未來應(yīng)用新型的仿真軟件或硬件終端。

3.1.2 正常運行工況

考慮正常工況對應(yīng)的仿真場景：主站模擬機(jī)定時發(fā)送的輸出功率參考標(biāo)幺值在13 s時由0.4改為0.5，因此節(jié)點1～4的輸出功率將依次產(chǎn)生相應(yīng)的躍升波形，同時各節(jié)點間的通信速率將基本保持不變。

圖7a)為信息側(cè)各節(jié)點通信速率波形。在仿真開始后，各節(jié)點對應(yīng)的SITL模塊與外部網(wǎng)絡(luò)（即嵌入式控制組件中對應(yīng)的控制板）之間的收發(fā)速率基本保持不變；節(jié)點2和節(jié)點3因為同時涉及控制指令的接收與發(fā)送，其收發(fā)速率約為節(jié)點1或節(jié)點4的2倍。圖7b)為物理側(cè)各節(jié)點輸出功率波形。約13 s時主站下發(fā)的控制指令發(fā)生變化，單向通信鏈路決定了各個節(jié)點接收控制指令的先后順序，因此各節(jié)點的輸出功率也呈現(xiàn)依次躍升的波形。

圖7 正常工況下仿真結(jié)果Fig. 7 Simulation results under normal working conditions

3.1.3 通信故障工況

考慮通信網(wǎng)絡(luò)中發(fā)生設(shè)備故障的仿真場景：在正常工況仿真場景的基礎(chǔ)上，設(shè)定OPNET仿真網(wǎng)絡(luò)中節(jié)點4對應(yīng)的SITL模塊在10 s時進(jìn)入故障狀態(tài)，相當(dāng)于節(jié)點4從通信網(wǎng)絡(luò)中切除，因此在13 s時更新的控制指令將無法下發(fā)至節(jié)點4。

圖8a)為信息側(cè)各節(jié)點通信速率波形。在仿真的前10 s內(nèi)，各節(jié)點對應(yīng)的SITL模塊與外部網(wǎng)絡(luò)之間的收發(fā)速率波形與正常工況基本一致，10 s后由于節(jié)點4對應(yīng)的SITL模塊故障，其收發(fā)速率全部驟降為0；同時由于節(jié)點3和節(jié)點4之間的TCP連接斷開，節(jié)點3的下發(fā)指令無法發(fā)送并獲得回應(yīng)，導(dǎo)致其收發(fā)速率減半；其余節(jié)點的收發(fā)速率基本保持不變。圖8b)為物理側(cè)各節(jié)點輸出功率波形。約13 s時主站下發(fā)的控制指令發(fā)生變化，節(jié)點1～3的輸出功率呈現(xiàn)依次躍升的波形；但節(jié)點4因通信故障無法接收新的控制指令，其輸出功率保持不變。

圖8 通信故障工況下仿真結(jié)果Fig. 8 Simulation results under failure conditions

3.1.4 DoS 攻擊工況

考慮攻擊者節(jié)點發(fā)起拒絕服務(wù)攻擊的仿真場景：在正常工況仿真場景的基礎(chǔ)上，攻擊者節(jié)點在 10 s時對節(jié)點 1與節(jié)點2之間的Modbus TCP通信連接發(fā)起DoS攻擊，相當(dāng)于切斷節(jié)點1與節(jié)點2之間的通信鏈路，因此在13 s時更新的控制指令將無法下發(fā)至節(jié)點2及其他節(jié)點。

圖9a)為信息側(cè)各節(jié)點通信速率波形：在仿真的前10 s內(nèi)，各節(jié)點對應(yīng)的SITL模塊與外部網(wǎng)絡(luò)之間的收發(fā)速率波形與正常工況基本一致，10 s后由于攻擊者節(jié)點發(fā)起了針對Modbus TCP連接的RST-DoS攻擊，其基本原理是偽裝成TCP客戶端向TCP服務(wù)器發(fā)送虛假RST數(shù)據(jù)包以終止連接，節(jié)點1的發(fā)送速率和節(jié)點2的接收速率激增；其余節(jié)點的收發(fā)速率基本保持不變。圖9b)為物理側(cè)各節(jié)點輸出功率波形。約13 s時主站下發(fā)的控制指令發(fā)生變化，節(jié)點1可接收新指令并采取控制動作使輸出功率躍升；但其余節(jié)點由于DoS攻擊無法接收新的控制指令，其輸出功率的穩(wěn)態(tài)值保持不變。

圖9 DoS攻擊工況下仿真結(jié)果Fig. 9 Simulation results under DoS attack conditions

3.1.5 MITM 攻擊 (FDI攻擊)工況

考慮攻擊者節(jié)點發(fā)起中間人攻擊和虛假數(shù)據(jù)注入攻擊的仿真場景：在正常工況仿真場景的基礎(chǔ)上，攻擊者節(jié)點在仿真開始時對節(jié)點3與節(jié)點4之間的Modbus TCP通信連接發(fā)起MITM攻擊，將節(jié)點3下發(fā)至節(jié)點4的控制指令按特定規(guī)則進(jìn)行篡改（具體規(guī)則為當(dāng)數(shù)據(jù)包中輸出功率參考標(biāo)幺值＞0.45時，為其增加0.1（p.u.）的偏置量，此步驟即實現(xiàn)了FDI攻擊），相當(dāng)于更改了主站對節(jié)點4的控制目標(biāo)，因此在13 s時更新的控制指令將無法在節(jié)點4實現(xiàn)原有的預(yù)期控制目標(biāo)。

圖1 a)為信息側(cè)各節(jié)點通信速率波形。在仿真開始時，攻擊者節(jié)點發(fā)起了針對IP協(xié)議的ARP欺騙，其基本原理是以虛假的ARP回應(yīng)包欺騙靶機(jī)實現(xiàn)數(shù)據(jù)包的截獲、篡改及轉(zhuǎn)發(fā)，因此各節(jié)點對應(yīng)的SITL模塊與外部網(wǎng)絡(luò)之間的收發(fā)速率波形與正常工況無明顯區(qū)別。圖10 b)為物理側(cè)各節(jié)點輸出功率波形。約13 s時主站下發(fā)的控制指令發(fā)生變化，節(jié)點1～3的輸出功率呈現(xiàn)依次躍升的波形；但節(jié)點4因MITM攻擊和FDI攻擊接收到了篡改后的控制指令，其輸出功率躍升后的穩(wěn)態(tài)值并不是主站模擬機(jī)下發(fā)的0.5（p.u.），而是被攻擊者篡改后的0.6（p.u.）。

圖10 MITM攻擊工況下仿真結(jié)果Fig. 10 Simulation results under MITM attack conditions

3.2 進(jìn)階算例

依托基礎(chǔ)算例的仿真配置和實驗結(jié)果，本平臺參照文獻(xiàn)[23-25]的電路拓?fù)浜屯ㄐ啪W(wǎng)絡(luò)，復(fù)現(xiàn)了基于分布式協(xié)同控制的多代理直流微電網(wǎng)CPS。其中，系統(tǒng)仿真模型的主體結(jié)構(gòu)參見圖6；OPAL-RT仿真機(jī)的仿真步長及DSP芯片的控制周期與基礎(chǔ)算例一致，故關(guān)于仿真性能的論證不再展開；其余參數(shù)配置詳見文獻(xiàn)[23]，此處不再贅述。

3.2.1 仿真預(yù)設(shè)場景

首先，仿真開始后，嵌入式控制組件中運行常規(guī)的直流微電網(wǎng)下垂控制算法[24]；在t=2 s時，控制算法切換為分布式協(xié)同控制算法[25]；在t=6 s時，節(jié)點 1 的本地負(fù)載由 20 Ω 切換至 10 Ω；在t=10 s時，滲透測試組件對節(jié)點3傳輸至節(jié)點4的數(shù)據(jù)包進(jìn)行MITM攻擊，在其傳輸?shù)碾娏髦抵凶⑷肓艘粋€正弦疊加分量，即

在t=16 s時，滲透測試組件對節(jié)點1傳輸至節(jié)點2的數(shù)據(jù)包進(jìn)行DoS攻擊，切斷該方向上的數(shù)據(jù)通信，直至仿真結(jié)束。

3.2.2 仿真結(jié)果分析

圖11 a)為信息側(cè)各節(jié)點通信速率波形。在仿真開始后，各節(jié)點對應(yīng)的SITL模塊與外部網(wǎng)絡(luò)之間的收發(fā)速率基本保持不變；在t=2 s時和在t=6 s時，控制算法和節(jié)點負(fù)載的變換并不會引起通信速率變化；在t=10 s時，MITM攻擊只會修改數(shù)據(jù)包中的數(shù)據(jù)段，并不明顯影響通信速率，該結(jié)果與3.1.5節(jié)中基礎(chǔ)算例的仿真結(jié)果一致；在t=16 s時，DoS攻擊導(dǎo)致節(jié)點1和節(jié)點2的收發(fā)速率激增，另外由于OPNET處理瞬時激增數(shù)據(jù)需要一定的響應(yīng)時間，導(dǎo)致節(jié)點1、2與節(jié)點3、4之間通信連接的收發(fā)速率也產(chǎn)生了一定波動，該結(jié)果與3.1.4節(jié)中基礎(chǔ)算例的仿真結(jié)果一致。

圖11 進(jìn)階算例仿真結(jié)果Fig. 11 Simulation results of advanced calculation example

由物理側(cè)各節(jié)點輸出功率波形圖11 b)可知，在仿真開始后，各節(jié)點輸出功率從初始狀態(tài)向控制目標(biāo)收斂，但傳統(tǒng)的下垂控制算法存在一定的靜態(tài)誤差，由圖11 b)可見并未實現(xiàn)預(yù)期的功率比例關(guān)系；在t=2 s時，切換后的分布式協(xié)同控制算法具有更好的控制效果，由圖可見各節(jié)點在t=2 s時產(chǎn)生了相應(yīng)的功率躍升，使得補(bǔ)償后的輸出功率滿足1∶2∶2∶1的比例關(guān)系；在t=6 s時，節(jié)點1的負(fù)載變化導(dǎo)致各節(jié)點輸出功率按原比例增加，新的穩(wěn)態(tài)工作點仍滿足既定的功率比例關(guān)系；在t=10 s時，MITM攻擊注入的正弦疊加分量導(dǎo)致各節(jié)點輸出功率產(chǎn)生了相應(yīng)的周期性波動分量，其中節(jié)點4作為首個被攻擊的節(jié)點，其功率波動最為嚴(yán)重；在t=16 s時，DoS攻擊導(dǎo)致節(jié)點2中協(xié)同控制算法的部分輸入變量無法更新，引發(fā)節(jié)點2乃至其余節(jié)點的算法崩潰，進(jìn)而導(dǎo)致系統(tǒng)控制失效，各節(jié)點的輸出功率失穩(wěn)（圖11中最終穩(wěn)態(tài)值0和300 W分別對應(yīng)于輸出功率模擬信號的幅值下限和上限）。

3.3 平臺性能分析

（1）為驗證平臺中各組件功能的有效性，在測試算例中面向不同的側(cè)重點，仿真了多種運行場景，其中：基礎(chǔ)算例側(cè)重典型工況切換的運行結(jié)果，對比突出特定事件動作或單一參數(shù)變化造成的結(jié)果差異；進(jìn)階算例側(cè)重本平臺針對復(fù)雜仿真對象的可用性和適配性，給出復(fù)合事件疊加和多個參數(shù)變化時的系統(tǒng)響應(yīng)。基于上述算例的仿真配置及相關(guān)結(jié)論，能夠說明各組件功能的有效性，同時可以指導(dǎo)本平臺應(yīng)用于其他電力CPS的聯(lián)合實時仿真。

（2）為驗證聯(lián)合仿真的準(zhǔn)確性，基于進(jìn)階算例在MATLAB/Simulink中搭建了等效模型，其中：物理側(cè)與電力系統(tǒng)實時仿真組件配置一致；控制器與嵌入式控制組件配置一致；信息側(cè)在信息通路中加入零階保持器模塊和其他數(shù)據(jù)操作模塊，以分別模擬通信網(wǎng)絡(luò)實時仿真組件中的通信時延和滲透測試組件的惡意攻擊。圖12為物理側(cè)各節(jié)點的輸出功率波形，忽略圖11中模擬信號量測誤差的影響，可以認(rèn)為二者波形基本一致。因此，在計及信息側(cè)通信時延及等效惡意攻擊的情況下，Simulink的物理側(cè)仿真結(jié)果及精度與聯(lián)合仿真基本一致，驗證了聯(lián)合仿真的準(zhǔn)確性。

圖12 Matlab/Simulink仿真結(jié)果Fig. 12 Simulation results of Matlab/Simulink

4 結(jié)語

本文搭建了基于多組件并行架構(gòu)的電力CPS實時聯(lián)合仿真平臺，實現(xiàn)了電力硬件在環(huán)實時仿真、通信系統(tǒng)在環(huán)實時仿真、安防實驗實時仿真及實時聯(lián)合仿真，可基本覆蓋電力CPS中主要運行場景的實時聯(lián)合仿真；相較于現(xiàn)有方案具備多端通信及滲透測試的功能，提升了對復(fù)雜通信網(wǎng)絡(luò)及安全滲透測試的仿真能力；設(shè)計了涵蓋多種仿真場景的測試算例，實驗結(jié)果驗證了平臺中各組件功能的有效性與聯(lián)合仿真的準(zhǔn)確性。

為進(jìn)一步提高本平臺仿真性能，可以考慮更換腳本語言或優(yōu)化程序架構(gòu)，針對其他網(wǎng)絡(luò)通信協(xié)議和信息安全漏洞實現(xiàn)更多的滲透功能與更高的執(zhí)行效率，以豐富安防實驗實時仿真的測試場景。