雷傲宇，劉蔚，周劍，梅勇，楊榮照，毛振宇

(1.中國南方電網(wǎng)電力調(diào)度控制中心，廣東 廣州 510663；2.南方電網(wǎng)科學(xué)研究院有限責(zé)任公司，廣東 廣州 510663)

電力系統(tǒng)是國家關(guān)鍵基礎(chǔ)設(shè)施，電力安全關(guān)系國計民生，國家的金融、通信、交通、供水、供氣、互聯(lián)網(wǎng)等領(lǐng)域基礎(chǔ)設(shè)施安全可靠運行都建立在電力持續(xù)穩(wěn)定供應(yīng)的基礎(chǔ)上。電力安全與政治安全、經(jīng)濟安全、網(wǎng)絡(luò)安全、社會安全等總體國家安全體系[1]中的諸多領(lǐng)域密切關(guān)聯(lián)。電力安全是國家安全的重要組成和保障，一旦發(fā)生大面積停電事故，可能引發(fā)跨領(lǐng)域連鎖反應(yīng)，導(dǎo)致重大經(jīng)濟財產(chǎn)損失，甚至引發(fā)社會恐慌，危及國家安全。

新時期電力安全的內(nèi)涵正在發(fā)生深刻變化。世界百年變局與世紀(jì)疫情疊加震蕩，世界進(jìn)入新的動蕩調(diào)整期，國際上恐怖主義、保護(hù)主義、遏制主義等有所抬頭，冷戰(zhàn)思維依然存在，世界大國對能源資源的爭奪和尖端科技管制日益加劇。2015年烏克蘭電網(wǎng)遭受網(wǎng)絡(luò)攻擊發(fā)生了大停電事故[2]，2019年委內(nèi)瑞拉電網(wǎng)也疑似遭受網(wǎng)絡(luò)攻擊和物理攻擊發(fā)生了大停電事故[3-4]。新時期下的網(wǎng)絡(luò)攻擊、電磁攻擊和物理攻擊等外部攻擊形式對電力安全構(gòu)成重大威脅，電力安全風(fēng)險防控呈現(xiàn)對象更廣、場景更多、要求更高、難度更大等新特點。

我國現(xiàn)有的電力系統(tǒng)安全防御主要依據(jù)《電力系統(tǒng)安全穩(wěn)定導(dǎo)則》中的三級安全穩(wěn)定標(biāo)準(zhǔn)[5]，國內(nèi)學(xué)者和電力工作者開展了大量工作[6-11]，構(gòu)建了成熟、卓有成效的3道防線。但是常規(guī)電力系統(tǒng)安全防御體系針對的場景主要是設(shè)備故障和自然災(zāi)害等，難以應(yīng)對極端情況下的外部攻擊。因此有必要開展極端情況下電網(wǎng)遭受網(wǎng)絡(luò)攻擊、電磁攻擊、物理攻擊等外部攻擊的風(fēng)險評估。

極端情況下電網(wǎng)遭受外部攻擊的安全防御與電力系統(tǒng)常規(guī)防御模式差異較大，目前缺少對外部攻擊行為的機理/破壞能力、攻擊行為的推演、電網(wǎng)防御外部攻擊的能力、外部攻擊造成的電網(wǎng)安全風(fēng)險以及極端情況下的電網(wǎng)運行策略等內(nèi)容的深入研究。我國頒布了一些電力系統(tǒng)應(yīng)對網(wǎng)絡(luò)安全、電磁兼容、治安反恐等行為的相關(guān)標(biāo)準(zhǔn)和規(guī)范[12-23]，但均未針對極端情況下的外部攻擊。國內(nèi)學(xué)者雖然也針對部分攻擊(如網(wǎng)絡(luò)攻擊的防范、電磁脈沖的威脅和防御、石墨炸彈的破壞機理和防護(hù)策略等)開展了初步研究[24-36]，但研究內(nèi)容還不夠深入，缺少極端情況下電網(wǎng)遭受外部攻擊的風(fēng)險評估方面的研究成果。

本文針對極端情況下電網(wǎng)遭受外部攻擊的風(fēng)險評估問題，首先從極端情況下外部攻擊行為的機理/破壞能力、攻擊行為的推演、電網(wǎng)防御外部攻擊的能力、外部攻擊造成的電網(wǎng)故障形態(tài)入手，結(jié)合風(fēng)險理論，提出一種極端情況下電網(wǎng)遭受外部攻擊的暫態(tài)穩(wěn)定風(fēng)險評估模型。然后，利用提出的評估模型建立網(wǎng)絡(luò)攻擊、電磁攻擊、石墨炸彈攻擊和暴恐襲擊這4種典型外部攻擊的暫態(tài)穩(wěn)定風(fēng)險評估指標(biāo)和計算方法。最后，以某城市電網(wǎng)為算例，利用提出的模型評估了該城市電網(wǎng)遭受極端情況下4種典型外部攻擊的暫態(tài)穩(wěn)定風(fēng)險的評估結(jié)果。

1 評估模型的構(gòu)建

1.1 風(fēng)險評估模型

綜合極端情況下外部攻擊行為的機理/破壞能力、電網(wǎng)防御外部攻擊的能力、外部攻擊造成的電網(wǎng)安全風(fēng)險等因素，提出的模型框架由外部攻擊、電網(wǎng)防御、故障形態(tài)、電網(wǎng)風(fēng)險4部分組成，如圖1所示。

圖1 極端情況下電網(wǎng)遭受外部攻擊的風(fēng)險評估模型

a)外部攻擊。外部攻擊由外部攻擊方式和基于外部攻擊特性的破壞能力過濾器構(gòu)成。

本文研究的極端情況下電網(wǎng)可能遭受的外部攻擊行為主要包括網(wǎng)絡(luò)攻擊、電磁攻擊和物理攻擊(暴恐石墨炸彈攻擊、暴恐襲擊)。

基于外部攻擊特性的破壞能力過濾器主要用于表征外部攻擊的行為特點，用來評估分析攻擊行為帶來的破壞能力和過濾掉不具威脅的攻擊行為。構(gòu)建過濾器模型時主要考慮以下原則：①最大效能原則——不同攻擊方式具有不同特性和優(yōu)缺點，攻擊方會最大限度利用攻擊方式的優(yōu)勢，發(fā)揮最大效能，實現(xiàn)對電網(wǎng)最大程度的破壞；②優(yōu)先原則——外部攻擊具有較強的目的性，因此會優(yōu)先選擇重要目標(biāo)作為攻擊對象。

b)電網(wǎng)防御。電網(wǎng)防御由基于電網(wǎng)防護(hù)能力的防御攔截器和被攻擊對象構(gòu)成。

被攻擊對象是指可能會被攻擊的具體電網(wǎng)設(shè)施，如母線、變壓器等一次設(shè)備、繼電保護(hù)等二次設(shè)備和系統(tǒng)。

基于電網(wǎng)防護(hù)能力的防御攔截器主要用于表征電網(wǎng)針對具體被攻擊對象所采取的防護(hù)措施特性。構(gòu)建攔截器模型時主要考慮以下原則：①合理攔截原則——電網(wǎng)對不同攻擊形式具有不同的防護(hù)水平和能力，攔截程度和效果也不同；②隨機突破原則——考慮電網(wǎng)防護(hù)能力有限和可能存在的缺陷及漏洞所造成的部分攻擊突破攔截的情況。

c)故障形態(tài)。故障形態(tài)包括外部攻擊行為作用在被攻擊對象后，在電網(wǎng)中表現(xiàn)出來的各種可能的電網(wǎng)故障形式，例如一次設(shè)備短路和繼電保護(hù)誤動等。故障形態(tài)主要按最嚴(yán)重后果原則確定，即從攻擊者角度考慮攻擊行為特性能造成的對電網(wǎng)安全穩(wěn)定威脅最大的故障形式。

d)電網(wǎng)風(fēng)險評估。電網(wǎng)風(fēng)險由故障形態(tài)的仿真模擬和風(fēng)險分析構(gòu)成。本文主要研究外部攻擊對電網(wǎng)暫態(tài)穩(wěn)定造成的影響，因此故障形態(tài)的仿真模擬主要用于分析故障對電網(wǎng)暫態(tài)穩(wěn)定的影響，得到具體的負(fù)荷損失量?；诜抡娼Y(jié)果，可以評估外部攻擊造成的電網(wǎng)風(fēng)險。

1.2 電網(wǎng)風(fēng)險評估指標(biāo)和方法

風(fēng)險理論認(rèn)為風(fēng)險是不確定性對事物的影響，是概率和損失的結(jié)合，一般以事故發(fā)生的概率和事故造成的損失的乘積表示。

本文根據(jù)風(fēng)險理論，將圖1風(fēng)險評估模型中的各環(huán)節(jié)量化。其中電網(wǎng)風(fēng)險評估指標(biāo)

(1)

Pi=MiAiDi,

(2)

(3)

式(1)—(3)中：R為電網(wǎng)遭受外部攻擊的整體風(fēng)險；Pi為目標(biāo)i遭受外部攻擊的概率，由基于外部攻擊特性的破壞能力過濾器和基于電網(wǎng)防護(hù)能力的防御攔截器量化后得到；Ci為目標(biāo)i的故障損失風(fēng)險；n為電網(wǎng)中被攻擊目標(biāo)的總數(shù)；Mi為目標(biāo)i被選擇的概率；Ai為攻擊目標(biāo)i成功的概率；Di為防護(hù)目標(biāo)i失敗的概率；Fij為目標(biāo)i遭受外部攻擊后導(dǎo)致故障j的概率；Lij為故障j給電網(wǎng)造成的損失；mi為目標(biāo)i遭受外部攻擊后可能導(dǎo)致的故障總數(shù)。

式(2)中的Mi反映了攻擊方認(rèn)為的目標(biāo)重要程度，目標(biāo)越重要被選擇的可能性越大；Ai反映了攻擊方的破壞能力，能力越大，成功攻擊的可能性越高；Di反映了電網(wǎng)的防護(hù)能力，防護(hù)能力越強，攻擊成功的可能性越低。式(3)中具體故障及其概率根據(jù)故障形態(tài)確定。電網(wǎng)損失是通過仿真得到的故障造成負(fù)荷損失量。

式(2)中目標(biāo)被選擇的概率Mi取決于攻擊者對目標(biāo)的綜合判斷。這里給出一種用目標(biāo)的設(shè)備系數(shù)、負(fù)荷系數(shù)、線路系數(shù)、攻擊難度系數(shù)4個指標(biāo)并結(jié)合不同系數(shù)的權(quán)重進(jìn)行綜合判斷的方法。

(4)

式中Jui為向量Ju中第i個元素的值。

2 4種典型攻擊行為的評估模型

基于第1章的風(fēng)險評估模型和指標(biāo)計算方法，對網(wǎng)絡(luò)攻擊、電磁攻擊、石墨炸彈攻擊和暴恐襲擊4種極端情況下的典型外部攻擊行為，建立風(fēng)險評估模型并給出指標(biāo)的具體計算公式。

2.1 網(wǎng)絡(luò)攻擊的風(fēng)險評估模型

網(wǎng)絡(luò)攻擊是針對電力系統(tǒng)中用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程的、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)的攻擊行為。

2.1.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。網(wǎng)絡(luò)攻擊的破壞效能包括竊取、泄露、破壞和控制網(wǎng)絡(luò)系統(tǒng)，其中對電網(wǎng)的最大破壞效能是控制或破壞電力監(jiān)控系統(tǒng)。

b)優(yōu)先原則。網(wǎng)絡(luò)攻擊會優(yōu)先選擇電力監(jiān)控系統(tǒng)中具有最大權(quán)限或直接涉及電網(wǎng)實時穩(wěn)定運行的業(yè)務(wù)系統(tǒng)或功能模塊作為攻擊對象。

網(wǎng)絡(luò)攻擊的破壞能力主要依賴資金和技術(shù)的投入。文獻(xiàn)[37]提出利用自然指數(shù)函數(shù)描述資金和技術(shù)投入對破壞和防護(hù)能力概率關(guān)系的方法。這里也采用該方法描述網(wǎng)絡(luò)攻擊的破壞能力和防護(hù)能力。

將式(2)中Ai具體表達(dá)為

Ai=1-e-NSi.

(5)

式中NSi為攻擊方投入的資金和技術(shù)資源系數(shù)。如果NSi=0，則攻擊成功概率Ai=0；如果NSi=∞，則Ai=1，即投入無限多資金和技術(shù)資源后才能保證成功概率為1。

2.1.2 基于電網(wǎng)網(wǎng)絡(luò)防護(hù)能力的防御攔截器模型

a)合理攔截原則。電力監(jiān)控系統(tǒng)安全防護(hù)是依據(jù)國家信息安全等級保護(hù)制度，按照安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證原則建立的網(wǎng)絡(luò)攻擊防護(hù)能力。

b)隨機破壞原則。電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)防護(hù)能力受資源投入限制和可能存在的技術(shù)漏洞，仍存在部分網(wǎng)絡(luò)攻擊突破攔截的情況。網(wǎng)絡(luò)攻擊的防護(hù)能力也主要依賴資金和技術(shù)的投入。

對于網(wǎng)絡(luò)攻擊，式(2)中Di的表達(dá)為

Di=e-NGi.

(6)

式中NGi為為防護(hù)網(wǎng)絡(luò)攻擊目標(biāo)i投入的資金和技術(shù)資源系數(shù)。如果NGi=0，則Di=1，即沒有防護(hù)時失敗的概率為1；如果NGi=∞，則Di=0，即投入無限多資金和技術(shù)資源后防護(hù)失敗概率為0。

2.1.3 故障形態(tài)

網(wǎng)絡(luò)攻擊的對象是電力監(jiān)控系統(tǒng)，主要針對電力監(jiān)控系統(tǒng)的遙控模塊、自動發(fā)電控制(automatic generation control，AGC)模塊、自動電壓控制(automatic voltage control，AVC)模塊、繼電保護(hù)系統(tǒng)和安穩(wěn)控制系統(tǒng)等重要控制業(yè)務(wù)系統(tǒng)或功能模塊。

按照最嚴(yán)重后果原則，選出可能對電網(wǎng)穩(wěn)定造成嚴(yán)重后果的故障形態(tài)和具體故障，見表1。

表1 網(wǎng)絡(luò)攻擊的故障形態(tài)表

為簡化分析，假設(shè)網(wǎng)絡(luò)攻擊每次攻擊僅導(dǎo)致1種故障形態(tài)，不考慮同時出現(xiàn)多種故障形態(tài)的情況。

2.1.4 風(fēng)險評估

利用式(1)—(6)和表1可以評估網(wǎng)絡(luò)攻擊造成的電網(wǎng)風(fēng)險。

2.2 電磁攻擊的風(fēng)險評估模型

電磁攻擊是通過電磁脈沖武器如電磁炸彈等產(chǎn)生的脈沖對電子設(shè)備進(jìn)行干擾或破壞的攻擊行為。本文研究飛機空投電磁炸彈的攻擊方式。

2.2.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。電磁攻擊的破壞效能包括干擾、降能、損傷或損毀電子元器件，對電網(wǎng)的最大破壞效能是損傷或損毀電力監(jiān)控系統(tǒng)的電子元器件。

b)優(yōu)先原則。電磁攻擊會優(yōu)先將電力監(jiān)控系統(tǒng)作為攻擊對象。

電磁炸彈對電子設(shè)備的破壞能力取決于爆炸后電磁輻射到達(dá)電子設(shè)備時的功率密度值，只要達(dá)到密度值就會產(chǎn)生攻擊效果，因此電磁炸彈成功的概率取決于是否在目標(biāo)上空成功引爆?？蓪⑹?2)中Ai表達(dá)為

Ai=MSi.

(7)

式中MSi為電磁炸彈在目標(biāo)i上空成功引爆的概率。

2.2.2 基于電網(wǎng)電磁防護(hù)能力的防御攔截器模型

電網(wǎng)對電磁攻擊的防護(hù)能力有2個方面：

a)防空能力?？胀峨姶耪◤検紫纫黄茋业姆揽障到y(tǒng)，如果攻擊目標(biāo)在防空區(qū)內(nèi)，則飛機會遭到防空力量攻擊。這里假設(shè)防空失敗的概率為1-λMGi。其中MGi為攻擊目標(biāo)i在防空區(qū)內(nèi)的概率，λ為防空區(qū)內(nèi)攻擊方飛機被擊落的概率。

b)電力監(jiān)控系統(tǒng)的電磁兼容能力。目前電力監(jiān)控系統(tǒng)設(shè)計和設(shè)備配置滿足國家電磁兼容相關(guān)標(biāo)準(zhǔn)和規(guī)范要求，具有較好的防護(hù)能力。考慮電磁攻擊時功率密度差異和電子設(shè)備元器件質(zhì)量差異，存在電子設(shè)備隨機損壞情況。

綜合以上分析，定義式(2)中防護(hù)目標(biāo)i失敗的概率

Di=(1-λMGi)(1-MPi).

(8)

式中MPi為電力監(jiān)控系統(tǒng)未損壞的概率。

2.2.3 故障形態(tài)

電磁攻擊的對象是電力監(jiān)控系統(tǒng)的電子設(shè)備，對因電力監(jiān)控系統(tǒng)損失或損壞導(dǎo)致部分業(yè)務(wù)系統(tǒng)和功能模塊的誤發(fā)指令或功能失效等具有隨機性。

按照最嚴(yán)重后果原則，選出可能對電網(wǎng)穩(wěn)定造成嚴(yán)重后果的故障形態(tài)和具體故障，見表2。

表2 電磁攻擊的故障形態(tài)表

2.2.4 風(fēng)險評估

利用式(1)—(4)、(7)、(8)和表2可以評估電磁攻擊造成的電網(wǎng)風(fēng)險。

2.3 石墨炸彈攻擊的風(fēng)險評估模型

石墨炸彈攻擊是利用石墨炸彈在目標(biāo)廠站上空釋放出導(dǎo)電纖維網(wǎng)，造成廠站內(nèi)的戶外裸露帶電設(shè)備短路的攻擊行為。

2.3.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。石墨炸彈的最大破壞效能是造成電廠和變電站內(nèi)的大量戶外裸露帶電一次設(shè)備短路。

b)優(yōu)先原則。石墨炸彈攻擊會優(yōu)先選擇電廠和變電站的戶外裸露一次設(shè)備作為攻擊對象。

石墨炸彈對一次設(shè)備的破壞能力取決于炸彈產(chǎn)生的導(dǎo)電纖維網(wǎng)是否能覆蓋到裸露帶電設(shè)備上。假設(shè)石墨炸彈的爆炸點在廠站上空，爆炸后形成的導(dǎo)電纖維網(wǎng)是以爆炸點為原點半徑的圓。為方便分析，將導(dǎo)電纖維網(wǎng)形狀簡化為圓形，目標(biāo)廠站形狀簡化為矩形，將導(dǎo)電纖維網(wǎng)覆蓋到廠站設(shè)備上的概率作為攻擊目標(biāo)i成功的概率。因此式(2)中的Ai表達(dá)為

(9)

式中：Li、Wi為目標(biāo)廠站i的長度、寬度；Ri為石墨炸彈釋放的導(dǎo)電纖維網(wǎng)的半徑。

2.3.2 基于電網(wǎng)石墨炸彈能力的防御攔截器模型

目前電網(wǎng)沒有專門針對石墨炸彈攻擊的防護(hù)措施，對石墨炸彈攻擊的防護(hù)能力取決于國家的防空能力。式(2)中Di的表達(dá)為

Di=1-λCGi.

(10)

式中CGi為目標(biāo)i在防空區(qū)內(nèi)的概率。

2.3.3 故障形態(tài)

石墨炸彈攻擊的對象是廠站內(nèi)的戶外裸露一次設(shè)備。按照最嚴(yán)重后果原則，石墨炸彈攻擊后表現(xiàn)出來的電網(wǎng)故障形態(tài)主要是廠站大量的戶外裸露的帶電設(shè)備短路，見表3。

表3 石墨炸彈攻擊的故障形態(tài)表

2.3.4 風(fēng)險評估

利用式(1)—(4)、(9)、(10)和表3可以評估石墨炸彈攻擊造成的電網(wǎng)風(fēng)險。

2.4 暴恐襲擊的風(fēng)險評估模型

暴恐襲擊是指以制造恐慌、危害電力安全等為目的，采取暴力破壞等手段，造成或意圖造成人員傷亡、電力設(shè)施損壞、社會秩序混亂等的攻擊行為。

2.4.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。暴恐襲擊的破壞效能包括爆炸、劫持人質(zhì)等。因此對電網(wǎng)的最大破壞效能是通過爆炸破壞電力設(shè)施、劫持人質(zhì)、惡意操作等危害電網(wǎng)安全運行。

b)優(yōu)先原則。暴恐襲擊會將調(diào)度部門、重要廠站作為優(yōu)先攻擊對象。

暴恐襲擊的破壞能力主要依賴人員和裝備的投入。這里參照網(wǎng)絡(luò)攻擊，定義式(2)中攻擊目標(biāo)i成功的概率

Ai=1-e-CSi.

(11)

式中CSi為攻擊方的人員和裝備資源系數(shù)。如果CSi=0，則成功概率Ai=0；如果CSi=∞，則Ai=1，即投入無限多人員和裝備后成功概率為1。

2.4.2 基于暴恐襲擊防護(hù)能力的防御攔截器模型

a)合理攔截原則。電力系統(tǒng)防御暴恐襲擊的防護(hù)是基于國家2021年頒布的GA 1800—2021《電力系統(tǒng)治安反恐防范要求》規(guī)定建立的暴恐襲擊防護(hù)能力。

b)隨機破壞原則?？紤]受反恐資源投入的限制和可能存在的安全漏洞，暴恐襲擊有可能突破防御，對電網(wǎng)目標(biāo)進(jìn)行隨機破壞活動。暴恐襲擊的防護(hù)能力主要依賴反恐人員和裝備的投入，式(2)中

Di=e-CGi.

(12)

式中CGi為為防護(hù)暴恐襲擊目標(biāo)i投入的人員和裝備資源系數(shù)。如果CGi=0，則Di=1，即沒有防護(hù)時失敗概率為1；如果CGi=∞，則Di=0，即投入無限多人員和裝備資源后，防護(hù)失敗概率為0。

2.4.3 故障形態(tài)

暴恐襲擊的對象是調(diào)度部門和廠站，主要針對調(diào)度系統(tǒng)、廠站的一次設(shè)備和自動化系統(tǒng)等。按照最嚴(yán)重后果原則，選出可能對電網(wǎng)穩(wěn)定造成嚴(yán)重后果的故障形態(tài)和具體故障，見表4。

表4 暴恐襲擊的故障形態(tài)表

2.4.4 電網(wǎng)風(fēng)險

利用式(1)—(4)、(11)、(12)和表4可以評估暴恐襲擊造成的電網(wǎng)風(fēng)險。

3 算例分析

以某典型城市電網(wǎng)為算例，采用本文所述方法評估該電網(wǎng)遭受4種典型外部攻擊時的風(fēng)險。

3.1 算例電網(wǎng)

該城市電網(wǎng)有8座500 kV變電站和1座500 kV電廠，其拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 某城市電網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D

圖2中電廠編號8，有1個調(diào)度中心負(fù)責(zé)調(diào)控，編號0，其余為500 kV變電站。假設(shè)外部攻擊將以上10個電廠、變電站和調(diào)度中心作為攻擊目標(biāo)。

仿真數(shù)據(jù)采用該城市電網(wǎng)所在大電網(wǎng)的典型夏季大負(fù)荷方式數(shù)據(jù)，并加入3道防線。如果故障后電網(wǎng)穩(wěn)定，則將切除的負(fù)荷作為損失負(fù)荷，如果失穩(wěn)則認(rèn)為損失城市電網(wǎng)所有負(fù)荷。損失負(fù)荷用其占城市電網(wǎng)總負(fù)荷的百分比表示。

3.2 目標(biāo)被選擇的概率

表5給出了這10個目標(biāo)的設(shè)備系數(shù)、負(fù)荷系數(shù)、線路系數(shù)和攻擊容易系數(shù)的評判矩陣系數(shù)。

表5 目標(biāo)評判系數(shù)表

其中設(shè)施系數(shù)根據(jù)一次設(shè)備數(shù)量確定，設(shè)備最多的目標(biāo)的設(shè)施系數(shù)設(shè)為1，其余按比例確定；調(diào)度中心由于考慮其重要性，設(shè)施系數(shù)設(shè)為10。負(fù)荷系數(shù)根據(jù)目標(biāo)的供電負(fù)荷確定，將負(fù)荷最大的目標(biāo)的負(fù)荷系數(shù)設(shè)為1，其余按比例確定。潮流系數(shù)根據(jù)目標(biāo)連接線路上的潮流確定。攻擊容易系數(shù)考慮目標(biāo)各種防護(hù)措施配備條件后給定，將最弱的目標(biāo)的攻擊容易系數(shù)設(shè)為1，調(diào)度中心最強，攻擊容易系數(shù)為0。

為方便對比，假設(shè)4種攻擊方式都采用表5的評判系數(shù)，權(quán)重也相同，即We=[0.1 0.2 0.2 0.5]。根據(jù)式(4)得到目標(biāo)被選擇的概率，見表6。其中石墨炸彈攻擊的目標(biāo)是廠站一次設(shè)備，因此攻擊調(diào)度中心概率為0。

表6 目標(biāo)被選擇的概率表

3.3 網(wǎng)絡(luò)攻擊的風(fēng)險評估

為了計算網(wǎng)絡(luò)攻擊風(fēng)險，需要給定式(5)中攻擊方投入的資金和技術(shù)資源系數(shù)和式(6)中防護(hù)方投入的資金和技術(shù)資源系數(shù)。這2個系數(shù)較難確定，本文將防護(hù)方防守失敗概率為0.5%時投入的資金和技術(shù)資源系數(shù)NGE作為基準(zhǔn)值。

假設(shè)雙方在目標(biāo)i投入的資源系數(shù)分別等于1倍基準(zhǔn)值和10倍基準(zhǔn)值，即NSi=NGE，NGi=10NGE。

表1中網(wǎng)絡(luò)攻擊的每種故障形態(tài)的概率較難評估，本文人為給定可能造成的損失，其中開關(guān)誤動概率為0.35，保護(hù)誤動概率為0.35，AGC誤動、AVC誤動和穩(wěn)控誤動概率均為0.1。故障形態(tài)內(nèi)各故障的概率相等。根據(jù)以上給定參數(shù)和式(1)—(3)，計算得到網(wǎng)絡(luò)攻擊造成的風(fēng)險，見表7。

表7 網(wǎng)絡(luò)攻擊造成的風(fēng)險表

作為對比，表8中給出了防守方投入的資源系數(shù)等于10倍和20倍基準(zhǔn)值時，攻擊方投入不同資源導(dǎo)致不同的攻擊成功概率下風(fēng)險的變化情況。

由表8可以看出：投入資源為1倍基準(zhǔn)值時，對網(wǎng)絡(luò)攻擊風(fēng)險的防護(hù)有限；投入10倍時，網(wǎng)絡(luò)風(fēng)險降低了500倍，投入20倍時，網(wǎng)絡(luò)風(fēng)險又降低了1 000倍。因此保持足夠的資源投入可以極大降低網(wǎng)絡(luò)攻擊風(fēng)險。

表8 不同資源投入下的網(wǎng)絡(luò)攻擊風(fēng)險表

3.4 電磁攻擊的風(fēng)險評估

假設(shè)式(7)中電磁炸彈在各目標(biāo)上空成功引爆的概率均為A=0.95。

假設(shè)式(8)中國家防空系統(tǒng)覆蓋了所有廠站，即MG=1，飛機被擊落的概率均為λ=0.8，電力監(jiān)控系統(tǒng)未損壞的概率均為MP=0.8，則各廠站防護(hù)失敗的概率均為Di=0.04。

電磁攻擊后的拒動故障不會直接影響電網(wǎng)穩(wěn)定，因此不考慮拒動故障，僅考慮誤動故障。考慮到調(diào)度中心電力監(jiān)控系統(tǒng)防誤操作邏輯較復(fù)雜，電子設(shè)備損壞后拒動概率為1，誤動概率為0；假設(shè)廠站內(nèi)單個保護(hù)在損壞后拒動的概率0.8，誤動概率0.2。故障集中考慮保護(hù)設(shè)備的各種誤動組合情況，例如廠站中有K套保護(hù)，則共有2K種誤動組合。

電磁攻擊造成的廠站故障損失風(fēng)險見表9。作為對比，表9給出了誤動概率為0.1和0.4時的風(fēng)險值，可以看出，誤動概率取值對風(fēng)險值的影響較大。

表9 電磁攻擊造成的廠站故障損失風(fēng)險表

電磁攻擊造成的風(fēng)險見表10。作為對比，表10給出了沒有防護(hù)即Di=1時的風(fēng)險值?？梢钥闯?，沒有防護(hù)時的風(fēng)險是有防護(hù)時的25倍。

表10 電磁攻擊造成風(fēng)險表

3.5 石墨炸彈攻擊的風(fēng)險評估

根據(jù)式(9)，可以得到石墨炸彈成功攻擊各廠站的概率，見表11。其中石墨炸彈釋放的導(dǎo)電纖維網(wǎng)直徑約為250 m。

表11 石墨炸彈攻擊成功的概率表

假設(shè)式(10)中國家防空系統(tǒng)覆蓋所有廠站，即CG=1，飛機被擊落的概率均為0.8，則各廠站防護(hù)失敗的概率均為0.2。

石墨炸彈的導(dǎo)電纖維網(wǎng)覆蓋到廠站內(nèi)一次設(shè)備的概率計算較復(fù)雜，考慮到導(dǎo)電纖維網(wǎng)和廠站的面積相差不大，在仿真中只考慮廠站內(nèi)的500 kV母線、線路和主變設(shè)備有80%以上隨機被覆蓋導(dǎo)致短路故障情況，每種情況的概率相同。

根據(jù)以上給定參數(shù)和式(1)—(3)，計算得到石墨炸彈攻擊造成的風(fēng)險，見表12。

表12 石墨炸彈攻擊造成的風(fēng)險表

3.6 暴恐襲擊的風(fēng)險評估

為了計算暴恐襲擊攻擊風(fēng)險，需要給定式(11)中攻擊方投入的人員和裝備資源系數(shù)和式(12)中防護(hù)方投入的反恐人員和裝備資源系數(shù)。這2個系數(shù)較難確定，本文將防護(hù)方防守失敗概率為0.5%時投入的的資金和技術(shù)資源系數(shù)CGE作為基準(zhǔn)值。

假設(shè)雙方在目標(biāo)i投入的資源系數(shù)分別等于1倍基準(zhǔn)值和10倍基準(zhǔn)值，即CSi=CGE，CGi=10CGE。

表4中暴恐襲擊的每種故障形態(tài)的概率較難評估，本文人為給定可能造成的損失，其中調(diào)度中心的開關(guān)誤動概率為0.35，保護(hù)誤動概率為0.35，AGC誤動、AVC誤動和穩(wěn)控誤動概率均為0.1。電廠和變電站的開關(guān)誤動概率為0.5，設(shè)備短路概率為0.5。故障形態(tài)內(nèi)的各故障的概率相等。

根據(jù)以上給定參數(shù)和式(1)—(3)，計算得到暴恐襲擊造成的風(fēng)險，見表13。

表13 暴恐襲擊造成的風(fēng)險表

作為對比，表14給出了防守方投入的資源系數(shù)等于10倍和20倍基準(zhǔn)值時，攻擊方投入不同資源導(dǎo)致不同的攻擊成功概率下風(fēng)險的變化情況。

表14 不同資源投入下的暴恐系統(tǒng)風(fēng)險表

由表14可以看出：投入的人力和裝備資源為1倍基準(zhǔn)值時，對網(wǎng)絡(luò)攻擊風(fēng)險的防護(hù)有限；投入10倍時，風(fēng)險降低了500倍，投入20倍時，風(fēng)險又降低了1 000倍。因此保持足夠的資源投入可以極大降低暴恐襲擊風(fēng)險，具有很高的性價比。

表15匯總了不同攻擊方式造成的風(fēng)險及關(guān)鍵影響因素。

表15 不同攻擊方式造成的風(fēng)險及關(guān)鍵影響因素

綜合以上仿真和分析結(jié)果，可以看出：

a)從風(fēng)險看，石墨炸彈攻擊造成的電網(wǎng)暫態(tài)穩(wěn)定風(fēng)險最大，比其他攻擊方式風(fēng)險高1個數(shù)量級，主要原因是電網(wǎng)沒有專門防護(hù)石墨炸彈攻擊的防護(hù)措施，而且石墨炸彈釋放的導(dǎo)電纖維網(wǎng)覆蓋范圍大，容易引起大量設(shè)備短路跳閘，對電網(wǎng)暫態(tài)穩(wěn)定影響較大。另外3種攻擊方式造成的電網(wǎng)暫態(tài)穩(wěn)定風(fēng)險沒有數(shù)量級上的差異。

b)從影響因素看，網(wǎng)絡(luò)攻擊和暴恐襲擊造成的電網(wǎng)暫態(tài)穩(wěn)定風(fēng)險主要受相應(yīng)資源投入量的影響很大，只要保障足夠的資源投入，就可以明顯降低風(fēng)險。電磁攻擊造成的風(fēng)險主要由電子設(shè)備被攻擊后的誤動概率影響，只要在技術(shù)上降低誤動概率，就可以明顯降低風(fēng)險。而石墨炸彈攻擊在電網(wǎng)側(cè)沒有防護(hù)措施，可以通過研究防護(hù)措施來降低風(fēng)險。

4 結(jié)束語

本文提出了一種極端情況下電網(wǎng)遭受外部攻擊的暫態(tài)穩(wěn)定風(fēng)險評估模型，通過基于外部攻擊特性的破壞能力過濾器來表征外部攻擊的行為特點，通過基于電網(wǎng)防護(hù)能力的防御攔截器來表征電網(wǎng)的防護(hù)特性，通過用外部攻擊行為作用在被攻擊對象后在電網(wǎng)中表現(xiàn)出來的電網(wǎng)故障形式來定量計算暫態(tài)穩(wěn)定風(fēng)險。利用提出的模型，建立了網(wǎng)絡(luò)攻擊、電磁攻擊、石墨炸彈攻擊和暴恐襲擊4種典型外部攻擊的暫態(tài)穩(wěn)定風(fēng)險評估方法。以某城市電網(wǎng)為算例，給出了電網(wǎng)遭受4種典型外部攻擊的風(fēng)險評估結(jié)果，分析了不同外部攻擊的特點和影響因素，研究結(jié)論對于構(gòu)建極端情況下電網(wǎng)遭受外部攻擊的電網(wǎng)安全防御具有參考意義。

由于外部攻擊的行為特性較為復(fù)雜，文中在風(fēng)險評估建模過程中對部分模型和參數(shù)進(jìn)行了簡化處理，后續(xù)將針對這部分內(nèi)容開展進(jìn)一步深入研究。