郑红娟，季振亚，窦真兰，陈良亮

(1.南瑞集团(国网电力科学研究院)有限公司，江苏 南京 211106)(2.国电南瑞南京控制系统有限公司，江苏 南京 211106)(3.南京师范大学南瑞电气与自动化学院，江苏 南京 210046)(4.国网上海市电力公司，上海 200122)(5.国电南瑞科技股份有限公司，江苏 南京 211106)

随着电动汽车的渗透与国家“新基建”战略的实施，充电网络日趋智能化、网联化、共享化[1-2]。大量分散或集中的充电桩分布于无人值守的充电站点，存在接口自燃或人为损坏、软硬件故障或被入侵、充电车位占用等安全管理难题。若仅依靠定期被动检查的传统方式，管理成本大、检测设备投入高、数据更新效率低，各项安全隐患难以及时发现，既影响设施运营，也为用户带来隐患。

近年来，随着区块链技术的快速发展，去中心化形式下的信息可信机制在各领域获得广泛研究[3]。文献[4]提出了充电数据的认证加密算法，文献[5]设计了基于闪电网络的充电调度加密模式。尽管上述研究侧重于充电交易数据，尚未引入安全风险的相关数据，但表明电动汽车与充电桩能够组成点对点(P2P)网络并进行可信广播。

引入去中心化架构解决电动汽车充电安全的相关问题时，日益增多的节点数量将不可避免地造成庞大的通信开销，复杂通信和低速共识带来的时延将影响风险识别的即时性。针对这类问题，文献[6]提出了利用树形拓扑网络将全网范围共识改进为子网范围共识，文献[7]比较了自下而上的共识结构对效率的有益影响，并分别设计了符合场景的信用值模型。但相关研究未给出面向减少通信复杂度的层数定量方案，且当用于充电网络时，电动汽车在各轮共识达成之后还会继续流动接入不同的充电桩，固定拓扑面临数量和拓扑的更改，有效性较差。

针对上述问题，本文提出了基于分界树形拓扑信用共识的充电设施安全风险主动识别方法，利用P2P网络由电动汽车用户主动识别并广播充电设施的安全风险状态，通过信用共识机制保障信息可靠性，并针对传统共识机制效率的挑战，设计分界树型网络拓扑支撑自下而上简化的共识协议，不同节点规模的仿真验证了所提方法能够降低通信复杂度，有效控制了共识所需的时延。

1 树形拓扑分界量化分层原则

充电网络中，电动汽车、充电桩和充电网络边缘管理中心自下向上连接，层次关系及其组成的P2P网络基本结构如图1所示。不同于常见的树形拓扑，充电网络分为电动汽车层和充电桩层，且各层节点功能不同，因此电动汽车层的节点与充电桩层的节点应明确固定的分界并分开建立各自的树形结构。此外，在固有交通属性下，电动汽车往往在多台充电桩中流动。令E和M分别表示电动汽车的数量和充电桩的数量，则一个电动汽车节点e(e∈E)能够共享多个充电桩节点m(m∈M)的安全风险状态信息，这一点也不同于常见的树形拓扑。

图1 充电网络节点的分界树形拓扑关系示意

当各节点组成P2P网络时，共识机制能保障各节点达成一致，如实用拜占庭容错(PBFT)、工作量证明(PoW)等，但各有性能瓶颈，需合理选择和改进。对于充电安全风险主动识别这一应用场景，因电动汽车用户发起请求的时刻往往不同步，且各节点的计算能力有限，对设备处理要求能力较高的PoW类机制不够适用。而广泛用于物联网的PBFT类机制作为轻量级共识协议，具有计算复杂度低、能耗小等优势，更适用于本场景。

评估共识协议性能的重要指标之一为通信复杂度，其直接影响能耗和时延。对一个边缘管理中心所辖的M台充电设施和E辆电动汽车，节点总数为Z=E+M+1。若采用传统单层PBFT协议，所有节点之间均执行请求、预准备、准备、确认和回复等阶段的信息推送，如图2所示，共形成2Z2条信息，即通信复杂度为O[(E+M+1)2]。如文献[8]所述，受通信复杂度制约，基于PBFT的区块链直接用于百个节点的规模时效果较差。

具体到充电网络，一个边缘管理中心下辖节点实际已远超百个，在全网节点范围内，难以运行图2中完整的经典PBFT协议。此时，通过将全网络的共识任务分解到若干个分支网络，再通过一定规则确定图1结构中的分支层数和分支网络内的节点数量，有助于减少PBFT类协议的通信复杂度。

图2 经典PBFT协议的通信过程

各分支网络节点组成满k叉树结构时最紧凑[9]，其中，k为除底层节点外各节点具有的子节点数量。对充电桩节点m，在第t轮共识中能共享其安全风险状态的电动汽车节点数量已知且一定，记为E(m,t)，则其所辖所有的电动汽车节点可被分为X(m,t)层：

X(m,t)=⎣logk-1[2E(m,t)+1]」-1

(1)

类似地，对充电桩层，充电桩总数量M保持不变，其分支网络的层数Y为

Y=⎣logk-1(2M+1)」-1

(2)

2 综合信用奖惩模型

根据PBFT协议要求，树形拓扑的各分支网络均需要选举领导节点。当就充电桩安全风险状态发起共识时，不仅面临是否有用户参与和响应该轮共识的挑战，还面临用户共享的信息是否正确可信的问题。用户可能因为电动汽车自身充电失败的客观故障，或是错误观察、主观故意等原因，在网络中散布关于某充电桩状态的不正确信息。针对可能的不可信行为，设计一种用于量化节点信用的奖惩模型，使各分支网络可以在信用值较高的节点中选举领导节点。

首先，针对节点e是否响应充电桩m安全风险状态的请求，记活跃度A(e,m,t)为

A(e,m,t)=N(e,m,t)/∑e∈EN(e,m,t)

(3)

式中：N(e,m,t)为第t轮共识中节点e是否提供充电设施m安全风险状态信息的二元变量，N(e,m,t)=1时表示提供，N(e,m,t)=0时未提供。

其次，建立节点e关于充电桩m安全风险信息的可信度R(e,m,t)。若第(t-1)轮中节点e关于充电桩m安全风险信息可信，其可信度由以下函数更新[6]

R(e,m,t)=R(e,m,t-1)+a|log2R(e,m,t-1)|

(4)

式中：a为信用奖励参数。

反之，若第(t-1)轮中节点e不可信，其可信度更新为

R(e,m,t)=bR(e,m,t-1)

(5)

式中：b为信用惩罚参数。

式(4)和(5)分别以对数公式和线性公式控制可信度的增长或下降速率，且随着共识轮数的不断增加，历史信用的累积影响逐渐降低。

再次，P2P网络的信息传播受传输、数据确认等影响，节点e在充电桩m相关P2P网络中的信息传播率η(e,m,t)可拟合为[10]

η(e,m,t)=e-[τ/c∑e∈EN(e,m,t)+dτ]

(6)

式中：τ为安全风险状态信息的数据吞吐量；c,d分别为传输和确认属性的经验参数。

以表示服务质量满意度的S型函数[11]表征第t轮共识中用户节点e关于充电设施m的综合信用C(e,m,t)为

(7)

式中：δ1,δ2,δ3分别为活跃度、可信度和传播率的折算系数。

当节点e能够提供更活跃、更高质量、更稳定传播的充电桩m安全风险状态信息时，其C(e,m,t)越高，越有可能成为共识过程中的领导节点。

3 共识协议过程及其通信复杂度分析

以PBFT类协议为基础，结合图1的分界树形拓扑，根据树形拓扑可以仅在底层分支网络运行完整PBFT协议的优势，以第t轮共识为例，部署过程如下，如图3所示。

图3 面向分界树形拓扑的改进PBFT协议过程

步骤1：全局广播。充电网络边缘管理中心向全网节点发送信息，请求各节点执行充电桩安全风险状态的主动评估。

步骤2：划分电动汽车层分支网络。根据式(2)确定X(m,t)，各充电桩节点m所辖的电动汽车节点形成分支网络G(x,m,t)，其中x∈X(m,t)。

步骤3：选举电动汽车层分支网络的领导节点。PBFT类协议一般根据一定指标选择领导节点，这里选取各G(x,m,t)中综合信用较高C(e,m,t)的一组节点作为候选节点集，并从中随机选举出领导节点L(x,m,t)。

步骤4：电动汽车层分支网络并行获得局部共识。各G(x,m,t)完整运行图2的经典PBFT协议，且其中将第x层的共识插入第(x-1)层的预准备和回复阶段，各L(x,m,t)确认充电桩m的安全风险状态后，信息待用。

步骤5：划分充电桩层分支网络。根据式(3)确定Y，在第t轮中各G(x,m,t)内电动汽车节点e重合度更高的各充电桩节点m形成分支网络G(y,t)，其中y∈Y。

步骤6：选举充电桩层分支网络的领导节点。各G(y,t)以电动汽车节点e提供信息最多，即N(e,m,t)最大的充电桩m作为该分支网络的领导节点L(y,t)。

步骤7：充电桩层分支网络获得局部共识。各G(y,t)接收来自下层L(x,m,t)的信息，并执行类似步骤4的PBFT协议。

步骤8：第t轮共识结束，充电设施网络的边缘管理中心作为最高层，接收最终共识确认的各充电桩安全风险状态，且在全网中广播更新第t轮后各节点e的综合信用。

上述步骤中，该分界树形拓扑以自下向上的顺序依次开展局部共识。该过程不仅充分结合了传统树形拓扑的优势和充电设施网络自然分界的特点，还发掘了同一电动汽车节点能够并行参与多个共识过程的能力，从而能够显著降低通信复杂度。所提方法所需通信复杂度的理论测算如下。

对在同一分界内的树形拓扑，底层子网络具有k个节点且执行完整的PBFT协议时，类似图1，形成2k2条信息；其他较高节点层执行简化PBFT协议时，可省去(k-1)2条准备阶段信息，如图3所示。因此，树型拓扑的信息条数降低至2k2-(k-1)2=k2+2k-1。考虑到充电网络中具有两层分界的树形拓扑，总通信复杂度主要由步骤4电动汽车层和步骤7充电桩层共同决定。

(8)

(9)

nmax(t)=(kXmax(m,t)-1)/(k-1)

(10)

式中Xmax(m,t)由式(1)决定。

在充电桩层，总消息条数NM为

NM=i0·2k2+(i-i0)(k2+2k-1)

(11)

式中：i0为充电桩层中最底层分支网络数量；i为充电桩层总分支网络的数量。i0，i和由式(2)决定的Y之间满足

i0=kY-1

(12)

i=(kY-1)/(k-1)

(13)

综上可得，直接影响共识效率的总消息条数为Nmax(t)+NM。相比充电网络全部节点直接执行PBFT协议的通信复杂度O[(E+M+1)2]，所提方法通信复杂度近似降至O[k(E+M+1)]的数量级，理论上能够极大提高效率。

4 仿真结果与分析

4.1 仿真设置

按我国车桩比约3∶1现状，初始设置节点数量E=300，M=100，并等比例递增。式(6)中数据吞吐量τ的初值设置为1 000 byt/s。

针对电动汽车的流动性，假定E个电动汽车节点中，能参与关于第m个充电桩安全风险状态共识的数量N(15，22)的规律分布。因PBFT类协议必须包含至少3个节点，所以k取4，超出k整数倍的节点随机并入某分支网络，且设置各充电桩m的安全风险状态均至少有3个电动汽车节点响应。

设置各节点的初始历史信用值相等，每轮共识中各节点以N(0.1，0.052)正态分布规律随机出现不可信行为。式(4)～式(7)中，a，b，c，d，δ1，δ2，δ3分别取0.050，0.500，0.005，0.001，1.000，10.000，0.100。信用值排序在各组前10%的可成为步骤3中领导节点的候选节点集。

本文利用Anaconda平台进行仿真分析，硬件环境为Intel i7 1.10 GHz、RAM 16 GB。

4.2 性能分析

比较所提协议与经典PBFT的时延，取t=10轮观察，如图4所示。充电网络中总节点数量较少时，两种协议达成共识的时延接近，但随着节点规模的增长，经典PBFT的时延增长极快，而所提分界树形拓扑下，时延的增长速度相对较慢。与此同时，当吞吐量从1 000 byt/s逐步增加，经典PBFT协议下的时延也出现了显著增长，所提方法对应的时延增长也更缓慢。这表明受益于共识过程的分层和并行，达成一轮共识所需的通信开销显著减小，能够在保障PBFT类协议所需的核心步骤下，提高在节点数量和事务吞吐量方面的可扩展性。

图4 不同节点规模和数据吞吐量下的时延对比

图5进一步展示了时延在不同共识轮数下的变化情况，取E=900、M=300的节点规模和3 000 byt/s的吞吐量观察。经典PBFT的时延效果一直较为稳定，但总体上，获得共识所需的时延较长。与之相比，所提协议能够随着轮数的增加，时延逐渐减少并趋于稳定。从时序角度来看，这是由于综合信用奖惩模型的作用，约束了不可信行为较多的节点在共识中的参与程度。

图5 不同轮数中获得共识的时延变化

由图可知，尽管共识轮数、吞吐量和总节点数不断变化，所提协议和经典PBFT均能够取得共识，即协议的安全性能效果一致，所提方法并未影响不同规模安全风险数据下主动共识的达成。

5 结束语

为提高充电网络安全风险识别的主动性，引入去中心化P2P网络结构，提出了由电动汽车用户识别并共享充电桩安全风险状态的新机制，针对传统PBFT协议面临高通信复杂度和确定领导节点的挑战，提出利用分界树形拓扑量化分支网络层数，并设计综合信用共识模型选举分支网络领导节点，再以自下而上的共识顺序简化协议过程。仿真分析结果表明，所提方法能够在电动汽车和充电桩数量、安全风险状态信息吞吐量不断扩展的场景下，保持良好的时延性能。