楊至元 ，張仕鵬 ，孫浩

（1. 西安交通大學(xué) 智能網(wǎng)絡(luò)與網(wǎng)絡(luò)安全教育部重點(diǎn)實(shí)驗(yàn)室, 陜西 西安, 710049；2. 中國能源建設(shè)集團(tuán)廣東省電力設(shè)計(jì)研究院有限公司, 廣東 廣州, 510663）

0 引言

隨著能源互聯(lián)網(wǎng)建設(shè)和電網(wǎng)數(shù)字化轉(zhuǎn)型加快，電力信息物理融合系統(tǒng)（CPS）正加速電力運(yùn)行調(diào)度網(wǎng)、全域安全防護(hù)網(wǎng)和用戶終端數(shù)據(jù)網(wǎng)之間的協(xié)同互動(dòng)，促進(jìn)建設(shè)以“電力大數(shù)據(jù)服務(wù)公共社會(huì)管理和經(jīng)濟(jì)發(fā)展”為目標(biāo)的新型數(shù)字產(chǎn)業(yè)，發(fā)展以高比例分布式能源為主體的現(xiàn)代化綜合能源系統(tǒng)[1-2]。作為關(guān)鍵支撐技術(shù)，自2006 年首次由美國國家科學(xué)院提出以來，CPS 的安全性定義和研究邊界一直存在分歧。一般而言，電力CPS 的安全問題是包含通信控制安全和工程運(yùn)行安全的綜合安全問題[3]，其研究本質(zhì)是基于通用的數(shù)學(xué)模型描述信息系統(tǒng)的通道中斷、信息錯(cuò)位、延遲以及錯(cuò)誤等故障，在通信智能化技術(shù)高度集中的CPS 模型中，對(duì)物理側(cè)能源系統(tǒng)的工控可靠性影響[4]。

國內(nèi)外電力CPS 安全研究學(xué)者在信息安全脆弱性分析[5]，基于網(wǎng)絡(luò)攻擊事件的電力運(yùn)行故障分析[6]，電力CPS 離散事件的控制建模[7]，電力CPS 的半實(shí)物仿真[8]等領(lǐng)域開展了大量研究并取得多項(xiàng)成果。但上述部分研究的重點(diǎn)大都落在信息側(cè)或物理側(cè)的單邊安全問題上，未能提出改善CPS 綜合安全性的量化方案，其中部分結(jié)果缺少電力工程安全環(huán)境的計(jì)算校驗(yàn)，安全結(jié)論還需驗(yàn)證[9]。電力CPS 的安全問題本質(zhì)可類比“木桶理論”，其上限應(yīng)由整體系統(tǒng)的安全短板決定，即需要考慮信息物理雙重脆弱性的協(xié)同作用[6]。CPS 環(huán)境中任何信息安全漏洞或工程設(shè)計(jì)缺陷都有可能被惡意利用，其危害會(huì)被放大，直接影響到電力系統(tǒng)綜合安全。篩選信息安全事件及其潛在誘發(fā)的工程安全事件，有助于快速定位CPS 系統(tǒng)內(nèi)部的安全“短板”，幫助安全研究人員在規(guī)劃設(shè)計(jì)階段提前做好預(yù)案[10]。

為了更好解決電力CPS 綜合安全問題，學(xué)者前期工作[10-11]介紹了基于電力監(jiān)控系統(tǒng)搭建入侵攻擊模型，給出潛在入侵風(fēng)險(xiǎn)的概率建模，并根據(jù)變電站中斷故障響應(yīng)給出基于穩(wěn)態(tài)潮流分析的全枚舉方案。但上述工作缺少CPS 聯(lián)合仿真模型校驗(yàn)，缺少信息安全事件對(duì)工程物理安全的直接表征。Liu 在CPS融合仿真測試中明確了中間人攻擊（MIM）、拒絕服務(wù)攻擊（DoS）等網(wǎng)絡(luò)攻擊誘發(fā)的非傳統(tǒng)電力工程故障的復(fù)雜特性[12]，在此基礎(chǔ)上，學(xué)者基于RTDS 搭建了廣域測量網(wǎng)絡(luò)（WAMS）架構(gòu)的半實(shí)物仿真系統(tǒng)，將控制設(shè)備和測量裝置的通訊協(xié)議整合到仿真系統(tǒng)中，指出基于CPS 模型的控制理論可有效限制電力系統(tǒng)級(jí)聯(lián)故障[13-14]。上述研究采用的OPNET 和RTDS/RT-LAB 混合仿真平臺(tái)可以實(shí)現(xiàn)多組高度復(fù)雜模型的實(shí)時(shí)動(dòng)態(tài)仿真[15]，為相關(guān)理論及應(yīng)用提供了堅(jiān)實(shí)的技術(shù)支撐，但由于其投資成本高，開發(fā)周期長，不支持后期開發(fā)，目前暫未普及[16-17]。

為提高仿真平臺(tái)的適用性和可拓展性，學(xué)者基于軟件定義網(wǎng)絡(luò)（SDN）理論，將電力控制采集元件抽象為獨(dú)立單元，自定義攻擊場景，驗(yàn)證了IEC 61850協(xié)議的網(wǎng)絡(luò)攻擊特征[18]。為保證研究結(jié)果易于復(fù)現(xiàn)，安全結(jié)論便于推廣，文章通過開源軟件搭建了電力變電站CPS 聯(lián)合仿真的初級(jí)測試平臺(tái)，主要貢獻(xiàn)包括：（1）基于實(shí)際工程的變電站監(jiān)控系統(tǒng)工程接線，通過網(wǎng)絡(luò)拓?fù)浞抡嫫鱉ininet 搭建了變電站過程層網(wǎng)絡(luò)的虛擬化框架[19-20]，在虛擬化的通信主機(jī)中調(diào)用數(shù)據(jù)包分析進(jìn)程Scapy 設(shè)置通信系統(tǒng)故障[21]；（2）通過調(diào)用外部的PSD-BPA 暫/穩(wěn)計(jì)算核心，脫離了傳統(tǒng)的“故障卡”限制，實(shí)現(xiàn)了計(jì)算文件中故障信息的自動(dòng)更新，實(shí)現(xiàn)了基于Mininet-BPA 的CPS 輕量級(jí)聯(lián)合仿真，并為安穩(wěn)分析工程師提供在線實(shí)時(shí)計(jì)算多組電力故障的可行思路；（3）根據(jù)典型的網(wǎng)絡(luò)安全事件，通過實(shí)際的工程算例驗(yàn)證了基于電力CPS 聯(lián)合仿真框架的多站點(diǎn)過載級(jí)聯(lián)故障的快速檢測方案，并給出了對(duì)應(yīng)的安穩(wěn)指標(biāo)。

1 基于Mininet-Scapy 聯(lián)合仿真的電力信息虛擬化框架及測試方案

基于SDN 理論，網(wǎng)絡(luò)模擬器Mininet 提供了一種集成路由器、交換機(jī)、鏈路、主機(jī)等多個(gè)對(duì)象聯(lián)合建模的整體虛擬化方案[19]。本章以電力監(jiān)控系統(tǒng)為基礎(chǔ)，介紹基于Mininet-Scapy 框架的輕量化信息網(wǎng)絡(luò)拓?fù)浞抡娣桨?。圖1 左側(cè)給出了電力變電站母線母聯(lián)間隔中，過程層網(wǎng)絡(luò)拓?fù)涞腃PS 簡化模型，圖1的右下框圖為對(duì)應(yīng)的信息模塊及接線，右上框圖為變電站過程層網(wǎng)絡(luò)的Mininet 虛擬化架構(gòu)。在Linux 環(huán)境中，通過仿真器Mininet 虛擬化的各個(gè)設(shè)備和主機(jī)在Linux 中被表示為各個(gè)Bash 進(jìn)程，共享核心、主機(jī)文件系統(tǒng)以及進(jìn)程標(biāo)識(shí)號(hào)。但進(jìn)程在網(wǎng)絡(luò)命名空間中會(huì)被分配專用的網(wǎng)絡(luò)接口、路由、防火墻規(guī)則等，使得各個(gè)Bash 進(jìn)程可以運(yùn)行在獨(dú)立且完整的網(wǎng)絡(luò)環(huán)境中，運(yùn)行的系統(tǒng)級(jí)代碼和功能也互不影響。由此，文章認(rèn)為基于Mininet 創(chuàng)建的虛擬網(wǎng)絡(luò)可以較為準(zhǔn)確地體現(xiàn)真實(shí)物理主機(jī)的網(wǎng)絡(luò)特征。

圖1 中基于Mininet 模擬器的信息仿真框架里除了與真實(shí)系統(tǒng)對(duì)應(yīng)的信息主機(jī)和交換機(jī)節(jié)點(diǎn)外，另有控制器（Controller）節(jié)點(diǎn)。這是由于Mininet 是基于SDN 開發(fā)的項(xiàng)目，后者典型特征是將信息網(wǎng)絡(luò)的各控制功能抽象并實(shí)例化為一個(gè)單獨(dú)的功能模塊，用戶可通過設(shè)置控制器參數(shù)來配置各個(gè)模塊的詳細(xì)功能，以此測試用戶定制化的通信或路由協(xié)議。文章不涉及此項(xiàng)功能，選擇默認(rèn)交換機(jī)模型，即控制器參數(shù)設(shè)置為遠(yuǎn)程控制器方案“Controller”設(shè)置為“Controller-Remote”，即不額外定義本地的控制器模塊。圖1 中控制器通道為虛線，其余通信鏈路為實(shí)線，以示區(qū)別。

圖1 電力變電站CPS 模型及基于Mininet 實(shí)現(xiàn)的虛擬化框架Fig. 1 The model of power substation CPS and the corresponding Mininet-based virtualization framework

為了提高仿真測試的準(zhǔn)確性和適用性，根據(jù)IEC 61850 標(biāo)準(zhǔn)，文章提出的變電站信息仿真框架中還包括了SV 和GOOSE 通信協(xié)議，以此區(qū)分合并單元和智能終端的通信內(nèi)容。文章選擇了開放、交互式的數(shù)據(jù)包開發(fā)程序Scapy 作為構(gòu)建和收發(fā)GOOSE（SV）數(shù)據(jù)包的功能模塊，通過配置其內(nèi)置函數(shù)參數(shù)，可自定義收發(fā)主機(jī)的目的IP、MAC 地址以及網(wǎng)卡信息等。根據(jù)前文介紹，基于Mininet 虛擬化部署的主機(jī)節(jié)點(diǎn)可獨(dú)立調(diào)用虛擬機(jī)的核心進(jìn)程和應(yīng)用，由此各主機(jī)調(diào)用、運(yùn)行Scapy 的數(shù)據(jù)包收發(fā)功能不會(huì)互相影響。

圖2 給出了基于Mininet-Scapy 聯(lián)合仿真的變電站信息網(wǎng)絡(luò)虛擬化流程。主要功能偽代碼見附錄A。注意到，代碼中調(diào)用了專業(yè)的網(wǎng)絡(luò)仿真平臺(tái)NS3 作為基礎(chǔ)仿真環(huán)境，這是因?yàn)镹S3 支持更多通信功能和協(xié)議，且能為Mininet 提供外部接口，讓Mininet 主機(jī)運(yùn)行NS3 內(nèi)部的通信協(xié)議，提高仿真準(zhǔn)確性。例如，附錄A 中的鏈路仿真模塊“CSMALink”便是基于NS3 開發(fā)。詳細(xì)的Mininet 嵌入NS3 融合開發(fā)技術(shù)不屬于文章范疇，此處不展開討論。

圖2 基于Mininet-Scapy 框架開發(fā)的信息系統(tǒng)仿真方案Fig. 2 Simulation solutions of the information system based on Mininet-Scapy framework

2 基于信息物理聯(lián)合仿真的過載穩(wěn)定校驗(yàn)

由變電站信息網(wǎng)絡(luò)虛擬化框架可知，Mininet 各個(gè)主機(jī)可以查看其通信及控制詳情，直接調(diào)用Wireshark 程序即可查詢所有網(wǎng)卡上的數(shù)據(jù)流量，進(jìn)而得到網(wǎng)絡(luò)的時(shí)延信息。本章將繼續(xù)介紹基于Mininet-Scapy 信息通信框架的系統(tǒng)運(yùn)行安全分析模塊，并根據(jù)線路的過載結(jié)果給出系統(tǒng)安全風(fēng)險(xiǎn)的量化方案。根據(jù)工程安全的分析思路，文章基于“最壞”考慮給出安全事件X假設(shè)：變電站i同時(shí)出現(xiàn)電力故障和信息故障。例如，攻擊者劫持變電站通信網(wǎng)絡(luò)且持續(xù)潛伏，直到變電站出現(xiàn)全站失壓故障，并同時(shí)發(fā)動(dòng)分布式拒絕服務(wù)攻擊（DDoS），惡意占用合并單元和智能終端的傳輸通道，以拖延測控保護(hù)裝置接收故障信號(hào)，從而擴(kuò)大故障影響。

便于闡述，本節(jié)令網(wǎng)絡(luò)攻擊造成的時(shí)延為 τx，系統(tǒng)變電站集合N，線路集合L，借助圖論形式G(N,L)來表達(dá)系統(tǒng)的電網(wǎng)拓?fù)?，記安穩(wěn)計(jì)算程序?yàn)?c alculate(·)，其結(jié)果r為高階矩陣，包括線路最高功率、額定功率、系統(tǒng)功角、系統(tǒng)頻率以及系統(tǒng)電壓的計(jì)算結(jié)果，分別記為Pmax，Prate，δ′，μ′以 及 σ′，可由.read()函數(shù)展開。算法1 給出了傳輸線過載引起的級(jí)聯(lián)故障的工程安全計(jì)算方法，如表1 所示。

表1 變電站CPS 安全故障計(jì)算模塊算法Tab. 1 Algorithm of substation cps contingency calculation module

算法1 第4 行給出了系統(tǒng)的過載指標(biāo) γp， 其中κ為過載穩(wěn)定閾值。m表示當(dāng)發(fā)生第n組全站失壓故障時(shí)，過載線路集合M的 索引，Pmax,m和Prate,m分別表示線路m出現(xiàn)的最高功率和額定功率。此外，算法還設(shè)置了功角穩(wěn)定性指標(biāo) γδ， 頻率穩(wěn)定性指標(biāo) γμ以及電壓穩(wěn)定性指標(biāo) γσ，初始值設(shè)為0。算法1 還選取了最大系統(tǒng)功角、最低系統(tǒng)頻率和最低系統(tǒng)電壓，即δmax、μmin和 σmin，作為表征各分量嚴(yán)重性的穩(wěn)定判據(jù)。例如，在計(jì)算周期內(nèi)，t(0,td)， 若系統(tǒng)的功角差超過 δmax，則給出判斷：系統(tǒng)在下個(gè)計(jì)算周期內(nèi)極有可能出現(xiàn)失步運(yùn)行。相較于線路過載，失步運(yùn)行的故障影響更為嚴(yán)重，于是將其對(duì)應(yīng)的功角嚴(yán)重性指標(biāo) γδ設(shè)置為1.0。同樣地，指標(biāo) γμ和 γσ設(shè)置為1，分別表示仿真中算法檢測到系統(tǒng)在該計(jì)算周期內(nèi)或下個(gè)周期將發(fā)生嚴(yán)重的頻率降低和電壓崩潰故障。算法給出vn作為第n組故障的綜合安全指標(biāo)，可知，其數(shù)值越高，故障越嚴(yán)重，即系統(tǒng)穩(wěn)定性越低。功能實(shí)現(xiàn)的偽代碼見附錄B。

由附錄B 可知，文章選擇的安全計(jì)算程序calculate(·)包括了工程計(jì)算中常用的電力系統(tǒng)安全分析軟件PSD-BPA 中內(nèi)置的穩(wěn)態(tài)/暫態(tài)計(jì)算核心“bpa_pfnt.exe”和“bpa_swnt.exe”，主要用于工程計(jì)算中的穩(wěn)態(tài)潮流計(jì)算和暫態(tài)故障計(jì)算。此外，在update_swi()函數(shù)中，通過Python 腳本實(shí)現(xiàn)了故障卡的連續(xù)、自動(dòng)編輯和更新，無需手動(dòng)編輯“.LSD”故障卡。由電力工程安全的穩(wěn)控策略表可知，直接切除過載線路容易擴(kuò)大故障影響，過載保護(hù)設(shè)備動(dòng)作較為謹(jǐn)慎。由此，在算法實(shí)現(xiàn)中，暫態(tài)分析函數(shù)“Xcade_swi()”中只選取了過載最嚴(yán)重的線路作為典型的過載故障信息添加到故障卡更新函數(shù)“update_swi()”中，用以區(qū)分初始故障。

3 仿真算例

3.1 仿真環(huán)境及參數(shù)設(shè)置

根據(jù)前文第1 章和第2 章的介紹可知，文章基于Mininet 虛擬化框架聯(lián)合電力安全計(jì)算軟件PSDBPA，得到了變電站信息物理聯(lián)合測試方案。本小節(jié)將詳細(xì)介紹仿真的測試環(huán)境及相關(guān)參數(shù)。根據(jù)南方電網(wǎng)系統(tǒng)某220 kV 保信子站的工程接線圖，算例選取了變電中典型的保護(hù)間隔作為研究對(duì)象，給出了聯(lián)合仿真方案，如圖3 的右上框圖所示。文章的算例仿真主要基于VirtualBox-Ubuntu 搭建的Linux環(huán)境。算例在已嵌入Mininet 模塊的NS3 環(huán)境中啟用“./waf”環(huán)境變量的編譯模式，并在該模式中直接運(yùn)行Mininet 腳本即可讓虛擬主機(jī)接入NS3 環(huán)境。圖3 中左上框圖給出了變電站通信網(wǎng)絡(luò)虛擬化框架及相關(guān)界面展示：配置NS3-Mininet 的聯(lián)合仿真通道，通過Python 編輯Mininet 的網(wǎng)絡(luò)仿真腳本，通過“net.addSwitch()”函數(shù)配置1 個(gè)主交換機(jī)和5 個(gè)間隔交換機(jī)，通過“net.addHost()”函數(shù)配置了20 個(gè)通信節(jié)點(diǎn)，并根據(jù)圖3 的間隔信息，通過Mininet 中內(nèi)置的鏈路配置函數(shù)“CSMLink()”配置了34 條鏈路。

算例基于第2 章中的“最壞”假設(shè)，選取Scapy作為收發(fā)流量測試包的操作工具，通過內(nèi)置的“sendp()”函數(shù)定義發(fā)包規(guī)則、網(wǎng)卡和間隔時(shí)間來模擬滿足IEC 協(xié)議的GOOSE 和SV 報(bào)文通信[22]。在目的地址的主機(jī)上調(diào)用Wireshark 抓取特定網(wǎng)卡的報(bào)文，解析并處理報(bào)文。最后，算例將變電站信息網(wǎng)絡(luò)仿真結(jié)果導(dǎo)入至算法1，并調(diào)用PSD-BPA 的計(jì)算核心實(shí)現(xiàn)信息物理聯(lián)合仿真。仿真中主要的編譯語言為Python 3.7，暫穩(wěn)計(jì)算核心版本為5.7.1。

3.2 仿真測試結(jié)果

1）變電站通信網(wǎng)絡(luò)鏈路的時(shí)延測試結(jié)果

由3.1 節(jié)環(huán)境設(shè)置可知，算例通過Mininet 添加了20 個(gè)通信節(jié)點(diǎn)（host），記為h1，h2，···，h20。其中，h2，h3，h4，h5分別表示圖3 中的母聯(lián)測控主機(jī)保護(hù)裝置，母線保護(hù)裝置，變壓器保護(hù)裝置以及線路保護(hù)裝置；h6，h7，h8依次表示母線母聯(lián)間隔內(nèi)1 套合并單元和2 套智能終端的3 個(gè)主機(jī)配置；以此類推，h9，h，···，h20表示其余4 個(gè)間隔內(nèi)的主機(jī)配置。表2給出了未受攻擊時(shí)的系統(tǒng)延時(shí)的測試結(jié)果。結(jié)果顯示，20 個(gè)通信節(jié)點(diǎn)互相通信時(shí)，部分節(jié)點(diǎn)和鏈路的負(fù)載較高，某一條鏈路會(huì)出現(xiàn)極高時(shí)延，可以通過配置冗余鏈路或有針對(duì)性配置低時(shí)延設(shè)備來改善。但在網(wǎng)絡(luò)入侵攻擊的假設(shè)場景下，為了體現(xiàn)入侵攻擊對(duì)系統(tǒng)時(shí)延的影響，算例選取15 ms作為系統(tǒng)設(shè)備的默認(rèn)時(shí)延設(shè)置，以便消除由通信鏈路單一或部分節(jié)點(diǎn)負(fù)載高等客觀因素對(duì)網(wǎng)絡(luò)安全結(jié)論的影響。

圖3 220 kV 變電站信息安全故障引起的保護(hù)動(dòng)作遲滯對(duì)系統(tǒng)運(yùn)行影響的CPS 聯(lián)合仿真測試方案Fig. 3 The CPS-based co-simulation scheme of power system analysis on delayed-operations of protective relay induced by information network failures in the 220 kV power substation

表2 變電站保護(hù)裝置通信時(shí)延仿真測試Tab. 2 Time delay results of protection devices in the power substation communication model

算例在Mininet 中搭建了220 kV 變電站的網(wǎng)絡(luò)虛擬化模型。表3 給出了變電站保護(hù)裝置在不同測試場景下的平均時(shí)延結(jié)果，其中保護(hù)1～保護(hù)5 分別為母聯(lián)保護(hù)、110 kV 變壓器保護(hù)、35 kV 變壓器保護(hù)以及廠站進(jìn)線與出現(xiàn)的線路保護(hù)。各組保護(hù)系統(tǒng)內(nèi)配置了1 套合并單元和2 套智能終端，根據(jù)附錄中的設(shè)置，初始帶寬設(shè)置為1 Gbps。為區(qū)分不同的設(shè)備，保護(hù)1～保護(hù)3 的固定時(shí)延設(shè)置為5 ms～20 ms，保護(hù)4 和保護(hù)5 的固定時(shí)延設(shè)置為40 ms～50 ms。注意到，時(shí)延仿真測試中某條鏈路出現(xiàn)了較大時(shí)延，這是因?yàn)榇颂幉捎玫氖腔A(chǔ)通信模型，網(wǎng)絡(luò)拓?fù)湮醋鰞?yōu)化處理。X1，X2分別表示保護(hù)1 和2 子系統(tǒng)中的智能終端發(fā)生了信息安全事件X；X3表示保護(hù)2 和保護(hù)3 子系統(tǒng)中同時(shí)出現(xiàn)了信息安全事件。

表3 故障場景下，各個(gè)保護(hù)系統(tǒng)內(nèi)部的平均時(shí)延Tab. 3 The results of average time delay of protection relays under normal/attacking scenarios ms

由信息仿真結(jié)果可知，出現(xiàn)信息故障X3后，通信網(wǎng)絡(luò)中約64%的鏈路時(shí)延增加了10 倍或以上，其中2 號(hào)主變的MU 主機(jī)與110 kV 變壓器保護(hù)主機(jī)的通信時(shí)延，從正常條件下的5.16 ms 增加至520.11 ms。此時(shí)信息故障將極大地阻礙合并單元向保護(hù)裝置傳遞測量信號(hào)，存在嚴(yán)重運(yùn)行安全隱患。

2）基于海南電網(wǎng)夏大運(yùn)行方式數(shù)據(jù)的仿真結(jié)果

算例選取2027 年海南電網(wǎng)夏大運(yùn)行方式數(shù)據(jù)作為系統(tǒng)工程安全的基礎(chǔ)數(shù)據(jù)。注意到，電網(wǎng)中接入78 個(gè)變電站站點(diǎn)，包括466 個(gè)母線節(jié)點(diǎn)，涵蓋23個(gè)供電區(qū)域，接入功率11.6 GW，掛有11.3 GW 負(fù)荷。算例假設(shè)各站點(diǎn)的信息物理拓?fù)渑c配置均同圖3 一致，并選擇表1 中場景X3作為信息故障模型?？芍ㄐ畔到y(tǒng)的平均時(shí)延為288.5 ms，保護(hù)設(shè)備接收到真實(shí)測量信號(hào)的時(shí)間將延緩至少12～13 周波。過載穩(wěn)定裕度 κ取溫度在15～40 ℃時(shí)載流量的變化區(qū)間[23]， κ∈[1,1.35]。

根據(jù)上述計(jì)算條件，首先對(duì)各站點(diǎn)的母線出線做N-1 三相短路故障校驗(yàn)，共計(jì)檢測線路1 400 條，其中無法滿足計(jì)算條件的線路200 條，即在預(yù)設(shè)的計(jì)算周期500 ms 內(nèi)，電力系統(tǒng)的安穩(wěn)計(jì)算無法在約束條件內(nèi)求解可行運(yùn)行方案。在嚴(yán)重的信息故障前提下，工程安全故障范圍可能會(huì)被惡意擴(kuò)散，此時(shí)電力系統(tǒng)極有可能不再滿足基本N-1 準(zhǔn)則，電網(wǎng)可靠性降低。

基于算法1，圖4 給出了海南電網(wǎng)各個(gè)變電站站點(diǎn)在信息故障場景X3下發(fā)生全站失壓故障的聯(lián)合仿真結(jié)果。其中紅色和藍(lán)色圖例分別表示發(fā)生初始故障后，有/否考慮線路過載特性的暫態(tài)穩(wěn)定結(jié)果。黑色表示暫穩(wěn)安全指標(biāo)為1.0 的廠站。例如，“望樓站”為220 kV 廠站，掛有負(fù)荷179.8 MW，當(dāng)該站同時(shí)出現(xiàn)信息故障和全站失壓故障時(shí)，注意到，計(jì)算周期內(nèi)暫態(tài)分析仍然收斂，系統(tǒng)的整體過載指標(biāo)為0.785，且未檢到其他安全故障。但在考慮過載保護(hù)動(dòng)作的場景中，系統(tǒng)在發(fā)生初始故障后會(huì)切除部分嚴(yán)重過載的線路，此時(shí)系統(tǒng)的功角差將超過計(jì)算極限，在計(jì)算周期內(nèi)無法得到可行解，預(yù)計(jì)將出現(xiàn)嚴(yán)重的失步運(yùn)行故障，此時(shí)該站的穩(wěn)定性指標(biāo)為1.0。同樣地，“八所站”為500 kV 變電站，掛有負(fù)荷215 MW，在發(fā)生初始故障時(shí)，計(jì)算得到系統(tǒng)的過載指標(biāo)為0.73；當(dāng)考慮過載保護(hù)動(dòng)作后，系統(tǒng)的功角穩(wěn)定性和頻率穩(wěn)定性指標(biāo)均為1.0，預(yù)計(jì)將出現(xiàn)嚴(yán)重的失步運(yùn)行和頻率崩潰故障。

圖4 海南電網(wǎng)夏大運(yùn)行方式數(shù)據(jù)的CPS 聯(lián)合仿真結(jié)果Fig. 4 The screening results of cyber-physical coordinated evaluations based on the peak-load dataset of Hainan grid

注意到，在嚴(yán)重的信息故障條件下，大部分廠站的過載保護(hù)動(dòng)作將降低系統(tǒng)運(yùn)行的安全閾值，其中“望樓”“煉化”等11 個(gè)站點(diǎn)出現(xiàn)了包括潛在的失步運(yùn)行、電壓崩潰故障以及系統(tǒng)頻率降低甚至頻率崩潰等嚴(yán)重運(yùn)行故障。但對(duì)于“文昌氣電”站、“東方電廠”等廠站，過載保護(hù)的積極動(dòng)作提升了其運(yùn)行系統(tǒng)的安全閾值。下一步的工作將研究詳細(xì)的安穩(wěn)控制策略對(duì)CPS 工程安全問題的影響機(jī)制。

4 結(jié)論

文章沿用了前文的網(wǎng)絡(luò)攻擊假設(shè)，在站控層網(wǎng)絡(luò)的入侵風(fēng)險(xiǎn)評(píng)估模型的基礎(chǔ)上新增了過程層網(wǎng)絡(luò)的信息物理聯(lián)合仿真，基于繼電保護(hù)裝置的時(shí)延測試驗(yàn)證了入侵風(fēng)險(xiǎn)的評(píng)估方法。文章提出了可快速篩選潛在“高危風(fēng)險(xiǎn)節(jié)點(diǎn)或設(shè)備”的CPS 聯(lián)合仿真方法，為電力CPS 安全工程師提供了一種支持自定義開發(fā)及調(diào)試系統(tǒng)安全的開源方法。基于實(shí)際的工程算例，文章成功識(shí)別出高危風(fēng)險(xiǎn)站點(diǎn)和線路，量化了安穩(wěn)控制設(shè)備的信息故障對(duì)電力能源系統(tǒng)的影響，同時(shí)驗(yàn)證了過載保護(hù)等傳統(tǒng)電力保護(hù)設(shè)備對(duì)CPS 安全事件的影響機(jī)制，例如，對(duì)負(fù)荷節(jié)點(diǎn)的和發(fā)電機(jī)節(jié)點(diǎn)應(yīng)配置不同的過載保護(hù)控制策略便可提升系統(tǒng)的穩(wěn)定裕度。此外，文章在聯(lián)合仿真中脫離了傳統(tǒng)的“故障卡”限制，實(shí)現(xiàn)了計(jì)算文件中故障信息的自動(dòng)更新，在提高計(jì)算效率的同時(shí)也為安穩(wěn)分析工程師在線實(shí)時(shí)計(jì)算多組電力故障提供了可行思路。

未來能源領(lǐng)域的工作重點(diǎn)是搭建以新能源為主體的高效能源體系。更多智能化、集成化的控制和感知設(shè)備將促進(jìn)電力運(yùn)行網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的數(shù)據(jù)融合，電力CPS 的安全場景愈發(fā)復(fù)雜。后續(xù)的研究將繼續(xù)優(yōu)化聯(lián)合仿真功能代碼，提高數(shù)據(jù)交互效率，同時(shí)探究安穩(wěn)控制設(shè)備的信息安全事件對(duì)高比例新能源廣泛接入的新型電力系統(tǒng)的影響。

附錄A 基于Mininet 開發(fā)的功能模塊偽代碼

該部分主要介紹Linux 環(huán)境中基于Mininet 各子模塊開發(fā)的變電站信息仿真平臺(tái)。

附錄B算法1功能實(shí)現(xiàn)偽代碼