基于事件驅動的配電信息物理連鎖故障演化機理

黃植， 劉東， 陳冠宏， 翁嘉明， 殷浩洋， 王臻

(電力傳輸與功率變換控制教育部重點實驗室(上海交通大學)，上海 200240)

0 引言

隨著通信技術在電力系統中的迅速發展，電力系統逐漸呈現出信息物理系統(cyber-physical system,CPS)的典型特征[1—4]。配電CPS作為整個電力CPS發展的關鍵環節，是一個多層異構復雜系統。當電力系統與信息系統相互關聯融合后，原本存在于信息系統中的各類安全風險也有可能被引入電力系統中，甚至嚴重影響電力系統的安全可靠運行[5—7]。近年來電網信息物理連鎖故障頻繁發生[8]，嚴重影響了電力用戶的正常工作生產與電力系統的正常運行。因此，分析信息物理連鎖故障的演化過程并對其機理進行理論研究具有重要意義。

目前，針對信息物理連鎖故障的研究主要集中在兩方面：一方面是分析其帶給電力CPS的安全風險與故障危害，并相應提出提升安全性的方法；另一方面是在特定場景下對其演化與傳播過程進行分析和研究。對第一類研究，文獻[9]分析了信息系統監測與控制功能失效對連鎖故障演化的影響；文獻[10—13]對電力CPS架構存在的安全缺陷及其可能面臨的安全風險進行了探討，并提出了若干針對信息物理連鎖故障的防護策略；文獻[14]對因信息系統節點遭受攻擊而導致物理系統故障引發大規模停電事故的可能性進行了論證；文獻[15]對電力CPS運行過程中物理與信息空間的交互機理進行了初步探索研究；文獻[16]提出了一種配電網信息物理故障的耦合度計算方法，從故障帶來的危害程度方面對故障進行評價。文獻[17—18]建立了信息物理連鎖故障脆弱度評估體系，量化了連鎖故障的危害性。對第二類研究，文獻[19—22]從具體應用場景出發，設想幾類典型的信息物理連鎖故障并推演其發展過程，試圖歸納總結演化機理。

無論是對于電力CPS安全風險與故障危害的分析[23—24]，還是對信息物理連鎖故障演化過程的推演與總結，大多是從幾類具體的連鎖故障出發展開分析與研究，并試圖從中總結出演化機理。但這種由某幾類具體故障總結抽象而得出的成果缺少泛用性，無法證明其對其他故障也適用，研究成果可擴展性不強。

為進一步闡明配電CPS中連鎖故障機理及故障對系統安全穩定運行的危害，文中做了如下工作：(1) 基于事件驅動模型建立配電CPS架構，以符號化語言定義CPS事件，分析物理與信息系統的交互機理。(2) 基于此提出了信息物理連鎖故障演化機理，通過分析與計算信息節點重要度與被攻擊成功概率等多項指標建立信息矩陣，完善了機理內容。(3) 由所提出的機理對實際算例進行研究，量化計算信息物理連鎖故障相比于物理連鎖故障對電力系統的額外風險與損失，驗證了機理的合理性與其在故障過程推演和后果計算上的有效性。

1 基于事件驅動的系統架構與機理框架

1.1 基于事件驅動的配電CPS架構

事件驅動是指在系統中，由于某一事件的出現或須要被處理，驅動系統整體或部分的狀態發生改變。事件驅動性是CPS的一種本征運行機制：物理層、信息層設備的工作狀態與系統的運行狀態變化，會在具體CPS事件觸發后依序執行控制命令，從而形成CPS節點或組件間的交互。

在配電CPS中，信息系統可由下至上歸納為3個層級：接入層、匯聚層和核心層。在不同層級中，存在不同的信息設備，其可靠性也不同。文中提出基于事件驅動的配電CPS架構，如圖1所示。圖中，信息事件代指以信息傳輸或影響其過程為形式的各類事件；物理事件代指以物理元件或設備動作或影響其物理實體為形式的各類事件，具體到不同元件之間其形式各有不同。圖1中基于事件驅動模型對配電網中故障演化過程進行了描述，其中E1—E8代指各類CPS事件。

圖1 基于事件驅動模型的配電CPS架構Fig.1 Distribution CPS architecture based on event-driven model

因此，在事件驅動框架的視角下，配電CPS中各對象交互的基本單元是CPS事件，事件驅使各個CPS對象狀態發生演變。為了更準確地描述配電CPS演化過程中的交互邏輯與約束關系，文中采用符號化語言定義的CPS事件描述CPS協同動作的同步機制和時間約束機制。一個CPS事件可以定義為：

〈pr〉ξCPS:=
?！碼〉⊕〈tg,og〉⊕〈tr,or〉
tg,tr:=[t1,t2]
og,or∈OCPS
t1,t2∈R+

該事件驅動模型實現了狀態遷移事件、信息交互事件的統一建模。文中將使用該模型對各CPS事件進行定義與表示。

1.2 基于事件驅動的信息物理連鎖故障演化機理研究框架

1.2.1 配電CPS物理與信息系統交互機理分析

在建立配電信息物理連鎖故障演化機理的研究框架之前，應先分析物理系統與信息系統之間的交互機理。而在分析交互機理之前，首先應明確系統的整體架構及各部分功能。由所提出的配電CPS架構可知，信息系統一方面負責采集物理系統各節點的實時運行數據并將其逐級向上傳輸，為控制中心的系統狀態評估與調度指令發布提供必要的數據基礎；一方面將控制中心發布的調度指令下傳，使得物理系統執行相關指令以調整電力系統運行狀態，完成對電力系統的控制。一旦控制中心通過所收到的數據判斷電力網絡存在故障，就會對故障的位置與類型進行準確判斷，并基于內嵌算法或人工下發調度指令切除故障使得損失降到最小。

由以上分析可知，控制中心對電力系統當前狀態進行評估時，是基于數據采集系統收集到的各量測信息進行的；物理系統依據指令進行動作時，是基于信息系統傳來的控制信息進行的。因此控制中心的判斷狀態并不是電力系統的真實狀態，而是基于采集數據分析得來的感知狀態；物理系統執行的控制命令也不是控制中心實際產生的真實指令，而是通過信息系統傳遞的傳輸指令。物理系統與信息系統的交互作用見圖2。

圖2 物理系統與信息系統的交互作用Fig.2 Interaction between physical system and cyber system

因此，若由于信息系統存在設計缺陷或遭受網絡攻擊而導致信息的采集或傳輸出現故障時，一方面可能使得控制中心對于電力系統狀態的判斷與電力系統的真實狀態出現較大差異，另一方面也可能使得控制中心實際產生的調度指令與物理系統接收到的傳輸指令不同，從而導致嚴重后果。由此可見，配電CPS中物理系統與信息系統緊密耦合、相互影響，物理或信息系統中任意一個故障，都可能對配電CPS的穩定運行造成影響，甚至可能導致信息物理連鎖故障的發生。

1.2.2 信息物理連鎖故障演化機理研究框架

由上節分析可知，產生信息物理連鎖故障的根源可能是信息系統元件與電力系統元件，亦或二者同時引發。而使得電力系統與信息系統緊密耦合的關鍵點就是存在于二者之間的信息流。信息流可分為上行信息流與下行信息流。前者指由物理層發往信息層的信息流，通常是各類電力二次設備與一次設備交互產生的各類狀態信息等；后者指由信息層發往物理層的信息流，通常是控制中心產生的各類用以調整電力系統運行狀態的控制指令。因此，產生信息物理連鎖故障的根本原因是信息系統與電力系統的緊密耦合，使得以往孤立存在于各自系統中的安全風險與故障通過信息流對對方網絡甚至整個系統產生影響。

引起配電CPS連鎖故障演化的機理是信息流不斷地在物理與信息系統之間來回傳遞并產生影響，使得物理與信息系統自身的狀態不斷變化，該過程不斷反復，使得故障狀態不斷演化。文中將信息物理連鎖故障演化機理的研究重點放在導致故障形成的上行與下行信息流上，對其在信息與物理空間之間傳遞并產生影響的過程進行描述并以矩陣形式量化分析，以體現電力系統與信息系統的交互過程。文中基于事件驅動模型建立的機理研究框架如圖3所示。

圖3 信息物理連鎖故障機理研究框架Fig.3 Research framework of cyber-physical cascading failure mechanism

2 信息物理連鎖故障演化機理

2.1 信息節點重要度分析與計算

與一般的電力系統不同，對于信息與物理系統緊密耦合的配電CPS而言，評價信息節點的重要度不僅應考慮單側網絡的特性，還應考慮2個系統的耦合性。鑒于此，文中提出從信息節點在拓撲中的重要性，在信息業務中的重要性與所在信息層級重要性3個方面來綜合評價其重要性。

2.1.1 信息節點拓撲重要度計算

基于復雜網絡理論將信息系統抽象為一個無向無權網絡，將饋線終端裝置(feeder terminal unit，FTU)、數據傳輸單元(data transfer unit,DTU)、交換機、路由器等均視為節點，信息通信線路視為邊，使用復雜網絡理論中的統計特征從拓撲結構方面評價其重要度，使用鄰接矩陣Mc來描述網絡中各個節點之間的連接關系。假設信息層節點數目為m，則鄰接矩陣Mc中各元素的數值定義如下：

(1)

式中：φ(i)為信息節點i的連接邊集合。信息節點i的拓撲重要度計算方式如下：

(2)

式中：k為平均度值；Idti為信息節點i的拓撲重要度，與該點相連接的節點越多，該值越大。

2.1.2 信息節點業務重要度分析與計算

將信息層的信息節點分為2類：與物理層設備有信息交換，存在耦合關系的信息節點稱為混合信息節點；僅與信息層設備有信息交換的信息節點稱為純信息節點。設配電CPS中信息層節點的集合Ec=Eh∪Ep={E1,E2,…,Em}，混合信息節點集合Eh={e1,e2,…,emh}，mh為混合信息節點數量；Ep={e1,e2,…,emp}為純信息節點集合，mp為純信息節點數量；m=mh+mp。

(1) 混合信息節點。該類信息節點一般位于信息網絡接入層的最底端，承擔采集、發送物理設備相關參數，接收控制指令等任務?；旌闲畔⒐濣c在信息業務上的重要度主要由與其耦合的物理節點的重要度決定。定義δuh={δuh1,δuh2,…,δuhmh}為混合信息節點業務重要度系數集合，其與各耦合物理節點的物理后果成正比?；旌闲畔⒐濣c耦合物理節點的物理后果計算流程如圖4所示，各點業務系數計算方法如式(3)所示。

圖4 混合信息節點業務系數計算流程Fig.4 Flow chart for calculating business coefficients of mixed information nodes

(3)

式中：δuhi為混合信息節點業務重要度系數；Lloss={Lloss1,Lloss2,…,Llossmh}為各耦合物理節點負荷期望損失值集合；maxLloss，minLloss分別為集合Lloss中最大值和最小值。

(2) 純信息節點。該類信息節點大多數位于信息網絡匯聚層與核心層，承擔連接多個信息設備，進行信息傳輸與交換等任務。純信息節點業務重要度系數集合δup={δup1,δup2,…,δupmp}，其由各純信息節點承載的信息量決定。純信息節點承載信息量計算流程如圖5所示，其業務系數計算方法如式(4)所示。

圖5 純信息節點業務系數計算流程Fig.5 Flow chart for calculating business coefficients of pure information nodes

(4)

式中：δupi為純信息節點業務重要度系數；Igather={Igather1,Igather2,…,Igathermp}為各純信息節點承載信息量集合；maxIgather，minIgather分別為集合Igather中最大值和最小值。

δu=δuh∪δup={δu1,δu2,…,δum}為信息層信息節點業務重要度系數集合。

2.1.3 信息節點重要度計算

文中節點重要度由3個表征不同方面但數值相差較大的分項組成，不宜采用加法而宜采用乘法運算。當信息節點業務重要度δui值為0時，其實際意義為節點i的δu值在所有信息節點中最低，此時定義該項將使得節點整體重要度值維持不變?？紤]到文中信息節點重要度值為相對值，更關注不同節點值的相對大小，因此在信息節點重要度計算式中對業務重要度系數做+1處理既可體現上述分析意義，也不會由于其影響了值的絕對大小而使得結果出現錯誤。定義信息節點重要度計算如下：

(5)

式中：Idi為信息節點i重要度；δui為信息節點i的業務重要度系數；δLi為信息節點i的信息層級系數，表示節點所在信息層級的相對重要度，層級越高，其值越大。

2.2 信息節點被攻擊成功概率分析與計算

2.2.1 系統風險評估模型

蘭德公司于2004年提出了適用于惡意攻擊的風險評估模型[25]：

R=TVC

(6)

式中：T為目標被攻擊的概率；V為若目標被攻擊，其被攻擊成功的概率；C為若目標被攻擊成功，其帶來的損失大小，代表攻擊后果；R為攻擊目標最終損失的期望值，代表風險。

式(6)所示的風險值算法同時考慮了目標的脆弱性與重要程度，其評估結果更貼近實際。文中采用該模型評估配電CPS的風險大小。

2.2.2 信息節點被攻擊成功概率計算

基于上述模型與一定假設，對該風險值算法中的各參數進行量化。在以該模型計算風險值時，文中假設攻擊者對所有目標發動隨機攻擊，即所有攻擊目標的T值大小相同。同時，一個節點的重要度越高，其被攻擊成功后帶來的損失越大，即二者成正比關系。因此，將2.1節計算出的各信息節點重要度作為式(6)中的V值。將對各信息設備的投資情況抽象描述為防御資源，其對信息攻擊的抵御能力稱為防御效果[26]，攻擊者須破壞目標的防御才能攻擊成功。實際情況中，防御者的總防御資源數有限，且對目標的防御資源投入越多，其防御效果越好，即被攻擊成功概率越低。

采用倒數關系描述防御效果與被攻擊成功概率間的聯系[25]，并且考慮到文獻[25]與[27]中所提出的對于不同安全級別要求的區域存在防御設備種類、數目和固有防御效果上的差異與資源換算系數，引入安全系數的概念：對于安全級別要求越高的區域，其安全系數越大，表示對該區域的資源投入能夠起到更強的防護效果。

通過上述分析，建立防御方的數學模型，防御方通過對各可能被攻擊的目標分配防御資源，以期將整個系統的總風險降至最低，其數學表達式如式(7)所示。

(7)

式中：Rst為系統總風險；δdi為信息節點i的安全系數；λdi為分配給信息節點i的防御資源；λD為防御資源總數。

通過求解該最優化問題，即可得到信息系統中，分配給各信息節點的防御資源數目，進而求得信息節點i被攻擊成功的概率值Psi，如式(8)所示。

(8)

定義信息節點被攻擊成功概率矩陣為：

(9)

其中，矩陣元素為：

(10)

至此，完成了對配電CPS中信息節點重要度與信息節點被攻擊成功概率的計算與模型建立。

2.3 配電CPS信息矩陣描述與量化計算

將信息設備的功能依據“三遙”技術進行劃分。將信息設備的遙信與遙測功能定義為信息設備的信息上行功能，將信息設備的遙控功能定義為信息設備的信息下行功能。

定義Vc=[vc1vc2…vcm]為信息節點功能狀態向量，其值為0-1變量，1為功能狀態正常，0為功能狀態故障。需要時可將其擴充為1×2m維向量Vce=[vce1vce2…vcemvce(m+1)…vce(2m)]，其中前1×m維表征信息節點的遙控功能狀態，后1×m維表征信息節點的遙信遙測功能狀態。定義信息上行矩陣Mpc與信息下行矩陣Mcp如式(11)所示。

(11)

各矩陣中元素值如式(12)所示。

(12)

擴充信息節點功能狀態向量，其中前1×m維值與后1×m維值分別為信息下行矩陣與信息上行矩陣中對角元素。提出信息節點功能狀態向量在一次信息系統內部風險傳播中的具體演化步驟如圖6所示。

圖6 信息節點狀態轉換步驟示意Fig.6 Schematic diagram of the transition steps of the information node status

圖中，向量Vc(t)為t時刻向量Vc的值；向量Vc(t+1)為t+1時刻(即下一時刻)向量Vc的值；Vcd為信息節點的上行功能狀態向量；Vcu為信息節點的下行功能狀態向量。根據圖6中步驟，可由前一時刻的信息節點狀態通過各類參數與矩陣運算得到下一時刻信息節點狀態，進而形成下一時刻的信息上行與下行矩陣。

至此，上行信息矩陣與下行信息矩陣建立完畢。上行信息矩陣反映了信息節點接收所上傳物理節點量測狀態信息的能力，下行信息矩陣反映了信息節點向物理節點發送控制指令的能力，體現了配電CPS中信息系統與物理系統交互的能力。

當物理系統發生故障，且信息系統發生故障后，根據所提信息節點狀態轉換步驟計算并判斷信息節點狀態，形成上行與下行信息矩陣；然后，根據上行信息矩陣，即信息節點上行功能狀態，將各物理節點狀態上傳至控制中心，控制中心根據感知狀態判斷并處理故障，下發調度控制指令；最后，根據下行信息矩陣，即信息節點下行功能狀態，將調度指令下發至各物理節點，物理節點根據傳輸指令進行動作。至此，結束本輪運算，進行下一輪運算，直至系統故障清除。

3 配電信息物理連鎖故障演化算例分析

3.1 算例介紹

以某配電系統衍生出的算例為對象進行研究。算例物理系統包含3個子網，3個子網通過聯絡開關相互聯系，相互備用。PV2、PV3為光伏電源，DFIG2、DFIG3為雙饋風機，BAT1、BAT2、BAT3為電池儲能裝置，GAS為燃氣輪機，Water為水輪機。算例信息系統中包含若干交換機、路由器、終端設備與主站服務器。算例物理系統如圖7所示，信息系統如圖8所示。

圖7 算例物理系統Fig.7 Physical system of case

信息系統中主站服務器作為控制中心，內嵌集中式饋線自動化算法與最優切負荷算法，可實現對故障線路的自動隔離與負荷轉供；各測控終端設備既可對對應物理節點的電壓、電流、潮流等數據信息與分段開關等狀態信息進行量測并逐級上傳至主站服務器，也可接收來自上級的控制指令并控制對應分段開關或斷路器作出相應動作。

圖8 算例信息系統Fig.8 Information system of case

3.2 信息網絡攻擊分析與概率計算

配電CPS中信息與物理系統的深度耦合使得各類信息安全風險可能嚴重影響到物理系統的安全可靠運行[28]。因此，信息網絡攻擊、信息設備故障和電力網絡擾動與故障之間存在因果邏輯關系，選取典型的故障后果、網絡攻擊方式與網絡攻擊類型[29]。所選取的典型故障后果中包含了信息篡改、停止收發與拒絕執行，形成了故障后果的全集；在全網絡攻擊方式與類型中選擇了能夠直接導致電力二次設備故障的攻擊，體現了網絡攻擊對信息系統的直接影響。文中假設網絡攻擊者以各類攻擊方式發動攻擊的概率相同，并以此計算每類攻擊后果出現的概率。

圖9 典型網絡攻擊方式和類型及后果Fig.9 Typical cyber attack methods,types and consequences

圖9為典型網絡攻擊方式和類型及后果。造成每一類典型攻擊后果的典型網絡攻擊發生概率計算方式如式(13)所示。

(13)

式中：pr為造成攻擊后果r的典型網絡攻擊發生概率；Nr為網絡攻擊后果總數；r為網絡攻擊后果編號，r=1,2,…,Nr；Nβ為網絡攻擊類型總數；β為網絡攻擊類型編號，β=1,2，…,Nβ；Nf為網絡攻擊方式總數；fβ為在第β類網絡攻擊類型下的網絡攻擊方式數目；rβ為0-1變量，其定義見式(14)。

(14)

式中：φ(gβ,β)為第β類網絡攻擊類型可能導致的網絡攻擊后果的集合。

3.3 信息物理連鎖故障期望失負荷量計算步驟

由于規程《電力安全事故應急處置和調查處理條例(國務院令第599號)》中明確了系統的減供負荷比例是劃分電力安全事故等級的標準，且已有多篇高水平文獻使用了系統失負荷量來衡量攻擊或故障對電力系統的危害程度[16,25—26,30—31]，因此，采用故障后的系統失負荷量作為評估故障對系統的危害程度已是較為普遍的方法。文中同樣采用系統失負荷量作為評估信息物理連鎖故障對配電CPS危害性的標準。

當配電CPS發生信息物理連鎖故障時，應用之前所提出的信息物理連鎖故障機理對其故障過程進行推演，并對其負荷損失情況進行計算與分析。連鎖故障其失負荷量計算流程如圖10所示。

圖10 發生信息物理連鎖故障時失負荷量計算流程Fig.10 Flow chart of calculation of loss of load in cyber-physical cascading failures

由圖10可以計算出每次發生信息物理連鎖故障后，系統清除故障時的負荷損失量?？紤]到信息設備擁有多種信息故障類型且其發生概率各不相同，因此對于某一線路來說，其上可能發生多類信息物理組合故障。要量化該線路上信息物理連鎖故障的危害性，不應采用單個信息物理組合故障下的負荷損失量，而應采用能全面反映所有故障組合下故障后果的期望失負荷量。

為簡化分析，假設僅故障輸電線路兩端物理節點對應的信息節點可能發生各類故障。期望失負荷量具體計算步驟如下：首先，依據前述所得各類典型網絡攻擊發生概率計算可能導致的各類攻擊后果出現概率；然后，依據所提機理分別計算各類攻擊后果出現致使信息節點發生各類故障時，其與物理側故障相疊加而導致的失負荷量；最后，先列舉該線路兩端物理節點其對應的信息節點之間所有可能發生的信息物理連鎖故障組合，分別計算組合中各故障出現的概率和其導致失負荷量值的乘積并求總和；再求取該線路僅發生物理單側故障的概率與故障導致的失負荷量的乘積；將二者相加作為該線路的期望失負荷量。

設第i段輸電線路其左物理節點對應的信息節點為Li，相應右信息節點為Ri。則發生信息物理連鎖故障情況下其期望失負荷量Elosscp(i)計算如式(15)所示。

(15)

式中：ElosscprLi，ElosscprRi分別為信息節點Li和Ri發生第r類網絡攻擊后果后故障線路的期望失負荷量。

3.4 算例計算

3.4.1 信息節點重要度計算

依據信息側拓撲結構，將其抽象為由節點與邊構成的圖，首先構建信息層鄰接矩陣Mc，其中信息層節點數目m=88。依序計算各信息節點拓撲重要度Idti、各混合信息節點與純信息節點業務重要度δuhi與δupi，并設信息層層級系數δLi={30,31,32}，3個值分別代表信息側接入層、匯聚層、核心層系數，其大小為相對值，僅起說明作用，并不代表實際數據。計算得到混合信息節點重要度與純信息節點重要度值如圖11所示。

圖11 信息節點重要度Fig.11 Importance of information nodes

由結果可知，純信息節點重要度遠大于混合信息節點重要度。這是因為其在信息層中都是起到匯聚并轉發大量信息的作用，若某純信息節點失效，則與其相關的大片區域的物理節點信息收發都將失效，造成嚴重后果；相比起來，單個混合信息節點的失效往往僅影響對應物理節點的信息收發。

3.4.2 信息節點被攻擊成功概率計算

根據上節計算所得的各信息節點重要度，本節采用2.2節所提最優化算法計算各信息節點在遭受信息攻擊時被攻擊成功的概率Psi并建立相應矩陣Mas。設防御資源總數λD=1 000份。計算結果如圖12所示。

圖12 信息節點被攻擊成功概率Fig.12 The probability of an information node being successfully attacked

由結果可知，盡管各純信息節點重要度較高，但因為防御者同樣傾向于對其進行較高程度的防御資源投入且固有防御效果更好，因此其被攻擊成功概率很低。而在混合信息節點中，相對而言各聯絡開關處物理節點所對應信息節點被攻擊成功概率較低。計算所得各混合信息節點被攻擊成功概率較高，是因為文中防御資源為抽象概念，其大小并不代表實際數據，同時設定的防御資源總數有限且較少，致使對應節點無法分配到充足防御資源。

3.4.3 信息物理連鎖故障危害評估

在算例線路上發生某具體物理故障(以三相短路故障為例)，同時線路兩端物理節點對應的信息節點發生各類信息故障時，應用之前所提出的信息物理連鎖故障演化機理，對算例中所有線路的期望失負荷量進行計算。另外，再計算僅物理側輸電線路發生三相短路故障時系統的期望失負荷量，并將二者進行對比分析。計算結果如圖13所示。

圖13 線路期望失負荷量Fig.13 Expected load loss of the line

由圖13可知：

(1) 發生信息物理連鎖故障時，各輸電線路發生三相短路故障后的期望失負荷量均高于或等于信息系統不發生故障時的期望失負荷量，最高的期望值約升高了33.9%，這表明信息物理連鎖故障會帶來更高的風險與更大的損失。

(2) 部分線路發生信息連鎖故障與僅發生物理故障下期望失負荷量相同，如線路57—58。這是因為節點58處于無法轉供的輻射狀輸電線上，其發生故障后一定損失；且與節點57相連的另外2個節點上無負荷，因此發生信息故障時也不會額外損失，使得期望失負荷量不變。但若不僅考慮線路兩端對應信息節點發生故障，也考慮其他信息節點故障情況時，其負荷損失區域可能會進一步擴大至其他輸電線路處，此時期望失負荷量必然會增大，符合上述結論。

(3) 部分線路發生信息連鎖故障與僅發生物理故障下期望失負荷量差距較大，如線路17—18、線路25—26等。線路17—18由0上升至0.17 MW，對其分析可知，其原期望負荷損失量為0是因為當此處僅發生物理故障時，該線路可以完全轉供至另一電源處；而當發生信息故障時，其可能出現故障誤判、開關誤動或不動等情況，導致負荷無法轉供或負荷損失區域擴大。

取線路8—9段發生三相短路故障，且節點8遭受信息攻擊，使得該點處發生信息無法上傳故障為例，基于事件驅動模型分析其事件交互與狀態遷移過程，如圖14所示。

圖14 線路8—9事件交互與狀態遷移過程Fig.14 Line 8-9 event interaction and state transition process

符號化語言描述如下，其中CC為控制中心：

〈δf=1〉ξi:=Failure〈a〉⊕
〈tg,Line8—9〉⊕〈tr,Line8—9〉
↓
〈|tg-tgref|≤ε〉∧〈δState=1〉
ξi:=State〈pi,qi〉⊕〈tg,N8〉⊕〈tr,CC〉
↓
〈δControl=1〉ξi:=
Mode_alter1〈δ7=0,δ8=0〉⊕
〈tg,CC〉⊕〈tr,[N7,N8]〉
↓
〈δControl=1〉ξi:=
Control〈δ13-3=1〉⊕〈tg,CC〉⊕〈tr,N13-3〉
↓
〈δControl=1〉ξi:=
Mode_alter2〈δ9=0〉⊕〈tg,CC〉⊕〈tr,N9〉

由圖14可知，初始時該配電CPS物理側發生了三相短路故障，且由于信息側受到網絡攻擊后發生信息上傳故障，兩側故障相互疊加形成連鎖故障使得控制中心誤判故障位置而導致物理側開關的誤動，并可能進一步引起物理側其他裝置的錯誤動作，導致故障區域擴大，造成更大損失。

由文中所提機理可知，發生物理或信息故障時，故障會改變上行或下行信息流內容，進而導致故障狀態演化。而物理系統某處發生故障時，若信息系統無故障，則控制中心能夠通過所采集的各類信息進行判斷并處理。對于其他類型的物理故障，仍然是通過采集節點處的各類信息上傳，控制中心通過收集到的信息對故障進行判斷處理，并下傳控制指令至物理系統進行調度處理，其流程與上述一致。所提方法與機理對其他類型的故障同樣適用。

綜上可知，發生信息物理連鎖故障時系統會承受更大的風險且可能導致更大的損失。文中所提機理能夠有效反映發生信息物理連鎖故障時的演化過程，并能計算故障發生時的負荷損失，驗證了文中方法的有效性。

4 結語

目前對配電網中連鎖故障演化機理的研究大多僅針對單一系統連鎖故障展開，對信息物理連鎖故障演化機理的研究還比較初步。在此背景下，文中對配電CPS的架構、交互機理與節點各參數等進行了分析，并對配電信息物理連鎖故障進行了研究，通過算例進行了仿真。結果顯示，發生信息物理連鎖故障時配電CPS會承受更大的風險，進而可能造成更大的損失。文中方法在故障過程演化與后果分析上具有有效性和合理性。

在后續研究中，將對文中所提連鎖故障演化機理中的內容進行精細化與補充，以進一步提高所提機理的準確性與適用性。同時，文中研究內容可對未來配電CPS的風險計算進行支撐，為電力CPS的進一步發展作出貢獻。