考虑网络攻击的微电网弹性分布式控制策略

2021-09-13王晖南吕相沅闫春蕊

科学技术与工程 2021年24期

王晖南，李晋，吕相沅，闫春蕊

(1.国网山西省电力公司营销服务中心，太原 030000；2.国网山西省电力公司计量中心，太原 030000)

未来的智能电网将整合越来越多的分布式能源(distributed energy resources, DER)，这些资源有能够有效提升系统的效率和经济性、可靠性以及可持续性[1-2]。由于目前数据量呈爆炸式增长，分布式网络控制系统成为了电网控制系统的热点。

分布式系统由于极大地简化了集中式系统的运行过程，提升了系统的计算效率以及可靠性等优点，在航空航天，工业控制等领域得到了广泛的应用[3-4]。分布式控制策略实现了并行数据处理，提高了系统对可变指令和负载的响应速度，并且由于通信网络的稀疏性，降低了基础设施的成本，提高了系统的可扩展性。在微电网分布式能源控制中一经提出也得到了广泛的关注，文献[5]提出了增强基础设施故障后恢复能力的主从式微电网模型。但是随着参与DER数量的增加，主控制器(master controller, MC)将需要极其快速可靠的通信和计算能力，以实现实时数据采集和处理。通信和控制结构的任何故障都会影响微电网(micro grids, MG)的整体性能，包括效率和稳定性。然而，采用分布式控制策略的MG很容易受到网络攻击，并且因为没有中央实体来监控参与的DER，这导致了全局系统态势感知的目标化不清晰。

网络攻击所造成的虚假数据输入(false data injection, FDI)会使参与式应急响应系统的操作和控制功能恶化。因此，分析网络攻击的影响，发现网络攻击并制定有效的对策，对提高网络安全具有重要意义。针对在MG中检测FDI攻击并减轻其负面影响提出了几种策略，文献[6]利用Kalman滤波反馈控制实现MG中的攻击检测与控制。文献[7]提出全局灵敏度分析方法，量化变量输入对MG系统的影响，该方法能有效识别关键输入，指导有限防控资源应对FDI攻击。文献[8]将恶意网络攻击信号进行一致性处理，利用MG稳态运行状态下的数据，设计了基于置信度的控制协议来检测攻击。然而，这些检测方案会给参与的DERS带来巨大的通信和计算负担，并且考虑到MG相对较低的系统惯性，攻击检测和隔离响应不够迅速。

为解决分布式电网安全问题，提出了一种考虑网络攻击的微电网弹性分布式控制策略，通过深入分析攻击的类型以及特点，引入开关频率随机的非周期间歇控制策略，提升防控攻击的可靠性以及对连续攻击的鲁棒性，降低对系统的负荷。

1 网络攻击模型

讨论3种典型的网络攻击模型，包括对通信链路、局部控制器和主控制器的攻击，攻击示意图如图1所示。此外，还从频率恢复和比例有功功率分配两个方面分析了网络攻击对MG性能的影响。

图1 3种典型的网络攻击示意图

1.1 对通信链路的网络攻击

(1)

状态误差ei的定义是第i阶有功功率分配与最优值之间的差值，即ei=δi-δ*。通信链路受到攻击时，状态误差动态方程表示为

(2)

式(2)中：L为通信网络的拉普拉斯矩阵；G=diag(g1,g2,…,gN)为固定矩阵，当i=1,2，…,l时，gi>0；当i=l+1,l+2，…,N时，gi=0；μ为控制量；t为时间；B定义为Bmin=|Mm×m|，其中M为通信网络关联矩阵。因此，状态误差动态方程等价于：

(3)

式(3)中：s为动态时间。

由于矩阵-(L+G)是负的且可逆，式(3)中的e-(L+G)te(t0)会收敛到零。假设攻击信号是正的，即μij>μ0>0,∀(i,j)∈E。其中，μij为施加在通信链路上的攻击信号，μ0为通信链路上的攻击信号初始值，E为通信链路的边集。因为B中所有元素都是负的，因此可得

(4)

式(4)中：状态误差不能收敛到零，说明对通信链路的网络攻击会阻碍DER频率的同步和部分有功功率之间的共享。

1.2 对局部控制器的网络攻击

当DER中的一个局部控制器(local controller, LC)受到攻击，用ηi表示的恶意通信信号注入了DER的有功功率共享信息并发送给其邻域控制器。因此，DER及其相邻的有功功率共享控制输入可表示为

(5)

式(5)中：ajk为共享功率系数；ηi为恶意通信信号注入DER的有功功率；δk为第k个DER的主动功率共享；δj为第j个DER的主动功率共享。因此，针对局部控制器的攻击状态误差的动态方程可表示为

(6)

式(6)中：η为控制量。

同理，假设攻击信号是正的，即ηi>η0>0,∀i∈V，那么攻击信号会产生状态误差，可表示为

(7)

式(7)中：η0为初始控制量；t0为初始时刻。

1.3 对主控制器的网络攻击

当主控制器(MC)受到攻击时，用γi表示恶意通信信号发送到固定DER的部分有功功率共享信息[9]。此处从MC到固定DER的一些通信链路被破坏，因此应该将其禁用，从而防止输入攻击信号。另外，还必须保存完整的链接，以确保输入正确的控制信号。固定DER的有功功率的共享控制输入为

(8)

式(8)中：I为DER数据集。因此，MC上的网络攻击导致的状态误差动态方程为

(9)

式(9)中：γ为攻击信号，当且仅当从MC到固定DER的通信链路损坏时，γ=(γ1,γ2,…,γN)T才满足γ1≠0。

同样假设施加在MC上的攻击信号为正，即γi>γ0>0,∀i∈I。由于固定矩阵G的所有元素都是非负的，因此状态误差不能收敛为零，证明过程如式(10)所示。

(10)

式(10)中：γ0为初始攻击信号。

总之，通信链路，LC以及MC中的网络攻击信号将通过稀疏的通信网络传播，这会使MG工作点失真，并使MG系统失去最佳工作条件。

2 攻击检测与控制

隐形的FDI攻击是施加在通信链路或控制器上的随时间变化而变化的恶意信号。为了检测此恶意信号，将相邻DER之间以及MC和固定DER之间的数据交换设计为非周期性，从而使得MG的正常运行。对于有效DER，非周期性间歇模式的切换频率是预先确定的。如果某些链路的通信与非周期间歇模式的规定开关频率不匹配，则说明这些链路已损坏，并且相应的DER会禁用这些链路。如果控制器受到攻击，则说明相关的通信链接已损坏或已被禁用，且将已损坏的控制器与通信网络隔离。因此，在不需要充分了解通信和电力网络的情况下，以分布式方式参与DER，从而检测并处理恶意攻击。考虑到切换频率时可能被敌方捕获，为了提高对连续攻击的鲁棒性，有时需要对切换频率进行更新。因此，相应的通信和计算代价主要包括: ①不定期地打开和关闭通信链路；②针对连续攻击，更新非周期间歇模式的开关频率。

图2中，使用的通信网络有4种工作模式，状态变量用σl(t)和σp(t)表示，4种模式为：①当σl(t)=0，σp(t)=0时为模式1，不通过通信网络交换数据；②当σl(t)=1，σp(t)=0时为模式2，只在相邻的DER之间交换数据；③当σl(t)=0，σp(t)=1为模式3，对固定终端施加固定控制信号，而相邻的终端之间不进行数据交换；④当σl(t)=1，σp(t)=1时为模式4，对固定终端施加固定控制信号，同时在相邻的终端之间进行数据交换。因此，非周期性间歇有功功率分配控制输入为

图2 非周期间歇通信及其系统运行方式

(11)

如果有功功率分配误差ei=δi-δ*，则输入的有功功率分配控制能够有效的对DER进行调节，从而消除有功功率分配误差。因此，有效DER的有功功率分配误差动态方程为

(12)

式(12)中：Jk=σl(t)L+σp(t)G，表示不同工作模式下的耦合矩阵。为了分析渐近收敛性，设Lyapunov函数表达式为

(13)

(14)

式(14)中：α1、α2、α3、α4为特征值。

根据式(13)、式(14)，用递归方法证明了Lyapunov函数的收敛性。

V(tn+tn+1)e-2α2tn,2-2α3tn,3-2α4tn,4≤

V(tn)e-2α1tn,1-2α2tn,2-2α3tn,3-2α4tn,4≤…≤

(15)

假设将第一个DER进行固定，用λi表示-(L+G)的任意特征值，则有

-(L+G)vi=λivi

(16)

式(16)中：vi=(vi,1,vi,2,…,vi,N)T表示特征向量的特征值λi，而且满足vi,m=max{|vi,1|,|vi,2|,…,|vi,N|}>0。

如果m≤l，那么

(17)

式(17)中：amj为共享功率系数；gm为第m个DER的增益；vi,m为特征向量。由于vi,m>0，所以λi<0。如果m>l，那么有

(18)

结合式(17)和式(18)，得到λi≤0。因为L是秩为N的不可约矩阵，如果λi=0，对应的特征向量为v′i=(vi,m,vi,m,…,vi,m)T。但是-(L+G)≠0，所以λi=0不能一直成立。所以λi<0，说明-(L+G)的特征根是负的，而且满足α4=λmin(L+G)>0。并且α1=λmin(0)=0，α2=λmin(L)=0，α3=λmin(G)=0。因此，可以证明该函数满足稳定性判据，所以可以认为该函数存在，进一步证明了该系统渐进稳定。即式(10)中的非周期间歇控制设计的逐渐稳定性质得以证明。

L+G的最小特征值用λmin(L+G)表示，其定义为增广通信图的代数连通性，它衡量分布式控制策略的收敛速度[10]。较高的收敛速度说明固定DER可以更有效地与剩余未固定DER进行通信，并且相关信息在整个通信网络中的传播速度更快。通信网络的优化设计是一个多目标优化问题，即同时考虑收敛性能、时延鲁棒性以及成本问题。

(19)

式(19)中：ζ为收敛速度。

图2中，系统以式(19)所述的收敛速度在4种操作模式之间随机切换。如果相邻DER之间以及MC与固定DER之间的间歇通信是周期性的，则攻击者可能会捕捉到切换频率，从而在不被检测的情况下后续再次攻击。因此，应该将间歇式通信设计为非周期性的，并时常更新开关频率，以防止恶意攻击跟踪间歇式通信模式，导致MG中断，无法正常运行。综上非周期性的间歇控制策略对连续的网络攻击具有一定的弹性。

3 试验及分析

3.1 实验设置

基于PSCAD/EMTDC平台的总线MG系统验证了所提出的网络攻击弹性控制策略的有效性。图3中，MG系统包括6个分布式能源(distributed energy resources, DER)(位于总线1、4、7、9、10和13)、6个负载(位于总线3、5、6、8、11和12)和一个交换机。相应的通信网络如图4所示。当i=1、3、5时，固定DER1、3和5，用来接收具有固定增益gi=1的参考信息。通信网络连通性λmin(L+G)为0.401 3，基于DER的逆变器的详细模型和相应的参数参考文献[12]。

图3 13总线MG系统

图4 13总线MG系统的通信网络

仿真总时间为50 s，MG系统的初始运行频率约为59.3 Hz，因为有降速控制操作，以提供有效DER之间的部分有功功率共享。所以MG过程中先后出现以下情况：①t=10 s时，激活二级控制；②t=20 s时，总线2加90 kW+9 kV负荷；③t=30 s时，DER6与MG断开；④t=40 s时，开关S1断开，系统分为两个子MG。研究了3个网络攻击案例，具体为：①对通信链路的网络攻击；②对LCs的网络攻击；③对MC的网络攻击。假设恶意攻击信号是恒定的，从而可以更好地说明式(12)、式(15)和式(18)中所述的3种类型的网络攻击的影响。

3.2 对通信链路的网络攻击

在这种情况下，通信链路3-5和2-4分别在t=15 s和t=35 s受到攻击[建模过程如式(1)]。网络攻击对通信链路的影响如图5所示，其中将恶意攻击信号设为恒定。时变网络攻击的影响如图6所示，其中恶意信号为锯齿波。提出的控制策略对通信链路上的这种时变网络攻击的性能如图7所示。

图5 持续攻击对通信链路的影响

图6 时变攻击对通信链路的影响

图7 通信链路攻击控制策略的性能

图5、图6中，参与工作的DER之间的有功功率共享是同步的，并且在t=10 s激活二次控制后，DER频率恢复到额定的60 Hz。然后，DER有功功率共享的连接被损坏的通信链路3-5中断，这可能不符合DER的有功功率额定限值。由于有降速控制操作，当负载在t=20 s改变，DER6在t=30 s断开时，DER频率仍然是同步的，这导致DER频率在后续会发生变化。在t=40 s时，通过打开开关S1将MG分成两个子MG，这说明通信链路1-3和2-4被禁用。因此，DER1和DER2的有功功率共享同步，并且由于它们与损坏的通信链路3-5和2-4隔离，频率又恢复到60 Hz。

图7中，部分有功功率共享和参与工作的DER的额定工作频率始终保持不变。利用所提出的控制策略，由相应的DER检测和破坏隔离的通信链路3-5和2-4，从而确保在两个通信链路受到攻击引起的小振荡后仍能保持最佳的控制性能。t=40 s后，同一子MG(如DER1和DER2)中的DER在额定频率60 Hz下运行时，会具有相同的有功功率共享。

在不同的通信时延和分组丢失的情况下，对所提出的控制策略进行了测试。时延会推迟系统的收敛时间，恶化系统的动态性能，甚至导致MG系统不稳定。假设DER1和DER2与其他DER距离较远，与通信链路1-2、1-3、2-4相关的时延设为0.2 s，其他通信链路的时延设为0.1 s。另外，通信网络的丢包率设为20%。在这种情况下，所提出的控制策略仍然可以检测并隔离3-5和2-4的损坏通信链路。图8中的修正结果表明，在各种通信延迟和丢包情况下，本文策略可以在恢复DER部分有功功率共享和额定频率方面起到一定作用。图7、图8还说明了时延和丢包会降低检测攻击和隔离控制策略的响应速度。

图8 不同的通信延迟和数据包丢失情况下所提出的攻击控制策略的性能

3.3 对LC的网络攻击

在这种情况下，DER3的LC在t=15 s时受到攻击[建模过程如式(13)所示]，恶意通信信号通过通信链路1-3、3-4和3-5侵入MG。图9显示了网络攻击对LCs的影响，图10描述了本文策略在此类攻击中的性能。

图9 攻击对LC的影响

图10 针对LC攻击的控制策略性能

图9中，来自受到攻击DER3的LC的恶意通信信号破坏有效工作DER之间的部分有功功率共享。DER的频率在61.3 Hz左右，与额定功率60 Hz有一定偏差。打开开关S1后，禁用通信链路1-3和2-4，然后将DER1、DER2与损坏的DER3的LC进行隔离。保持DER1和DER2的部分有功功率分配，并将它们的频率恢复到60 Hz。虽然在固定DER3和DER5上施加MC的相关信息可以使DER3-5的频率恢复到60 Hz，但它们的有功功率共享有振荡现象，无法同步。

图10中，当DER3的LC在t=15 s时收到攻击后，相关的通信链路1-3、3-4和3-5会被相邻的DER检测并隔离，在这种情况下，DER3被迫与系统断开。在检测并隔离攻击后，剩余的DERs将按计划执行。随后，在各种操作条件下(t=20 s时的负载变化、t=30 s时的DER隔离和t=40 s时的MG重新配置操作)都实现了控制目标，即保持部分有功功率分配和额定工作频率。

3.4 对MC的网络攻击

在这种情况下，攻击者破坏MC的通信链路，建模过程如式(16)所示，分别在t=15 s和t=25 s处破坏MC与固定DER3和DER1的链路。网络攻击对MC的影响如图11所示，本文方法在此类攻击中的性能如图12所示。

在图11中，DER频率在约60.3 Hz处同步，并且由于t=15 s时施加在固定DER3上的参考信息损坏了，部分有功功率共享也会恶化。之后，在t=25 s时，施加在固定DER1上的已损坏参考信息会使DER频率恢复到60.5 Hz左右，这与额定频率60 Hz有一定偏差。当开关S1在t=40 s时打开后，由于受到施加在固定DER1和DER3上的损坏参考信息的影响，在两个生成子MG中很难实现最优控制目标。

图11 攻击对MC的影响

图12中，使用本文策略来检测施加在固定DER3和DER1上的损坏的参考信息，并且禁用相关的通信链路，阻止输入损坏的参考信息。当负载开始变化并且DER断开连接时，MC施加在固定DER5上的参考信息可以满足最佳控制目标，即部分有功功率共享和频率恢复。在断开开关S1之后，MG被分成两个子MG。因此，DER1和DER2将无法访问参考信息，其频率将被调为60.3 Hz。

图12 所提出的MC攻击控制策略的性能

总之，对通信链路、LC和MC的攻击将破坏参与工作的DER的部分有功功率共享和频率恢复。本文策略以分布式方式检测和隔离损坏的链路和控制器。因此，当攻击来临时，包括负载变化、DER即插即用操作和MG重新配置策略，可以满足孤岛MG的最优控制目标。

3.5 33总线MG系统

图13中，本文策略在33总线MG系统上进行测试，通过调节3个开关，该系统可分为3个子MG：sub-MG1(包括DERs 1-3)、sub-MG2(包括DERs 4-7)和sub-MG3(包括DERs 8-9)。相应的通信网络如图14所示。当i=1、4、8时，DER1、4、8被固定以接收具有固定增益gi=1的参考信息。通信网络连通性为0.239 2，此值相比情况A中的要低，因此，该通信网络对应的收敛速度比情况A慢。与通信链路相关的时延设为0.1 s，丢失率设为20%。将网络攻击引起的时变恶意信号设为锯齿波。MG的初始额定运行频率设为60 Hz，3个开关的初始状态为闭合。

图13 33总线MG系统

图14 33总线MG系统的通信网络

本文策略在33总线MG系统中的性能如表1所示，此过程中先后会出现的情况有：①在t=1 s时，向第9个Bus施加60 kW+6 kV的负载；②t=10 s时，通信链路2-3被攻击；③t=20 s时，开关S12和S13断开；④t=30 s时，DER6的LC被攻击；⑤在t=40 s时，开关S23断开。

表1 提出的控制策略在33母线MG系统中的性能

在t=1 s时，向Bus 9施加60 kW+6 kV的负载。当DER频率保持在额定值时，DER 1-9协同工作以恢复MG系统的功率平衡。然后，在t=10 s时攻击通信链路2-3，利用本文策略，由相应的DERs检测并隔离被损坏的通信链路2-3，从而恢复参与工作的DERs的部分有功功率共享和额定工作频率。在t=20 s时，开关S12和S13断开，sub-MG1与sub-MG2和sub-MG3断开。sub-MG1内的负载仅由本地DER 1-3提供，与sub-MG2和sub-MG3中的DERs 4-9不同，保持了DES1-3的比例有功功率共享。在t=30 s时，DER6的LC被攻击，被相邻的DER检测并隔离。此后，DER6与系统断开连接，由此引起的功率不平衡将由sub-MG2和sub-MG3中的其他DER缓解。在t=40 s时，开关S23断开。3个sub-MG并联运行，其中相同sub-MG中的DER(即sub-MG1中的DER 1-3，sub-MG2中的DERs 4、5、7，sub-MG3中的DER8和DER9)在额定频率下运行时具有相同的有功功率共享。

当非周期间歇模式的开关频率增加时，本文策略的性能表2所示。由于开关频率的增加，本文策略的收敛速度比表1的慢。然而，增加非周期间歇模式的开关频率可以通过增加通信和计算成本来加快控制策略检测并隔离攻击的响应速度。因此，在检测攻击时，将通信过程和计算成本以及本文策略的响应归为切换频率的折中选择。