网络攻击下信息物理融合电力系统的弹性事件触发控制

杨飞生 汪璟 潘泉 康沛沛

信息物理融合系统(Cyber-physical systems,CPS)作为一种新型智能系统应运而生,它是一类集成计算、网络和物理实体的复杂系统,将三者进行有机融合与深度协作,从而达到对大型物理系统与信息系统的实时感知,动态控制和信息服务等[1],典型 CPS包括工控系统[2]、供水网络[3]等.智能电网从总体上可以视为由信息网和电力网这两个相互依存的网络构成的一个复合网络,也是一个典型的CPS[4].同步相量测量装置(Phasor measurement units,PMUs)、广域测量系统 (Wide-area measurement systems,WAMS)、变电站自动化等技术为智能电网的实现提供了坚实的基础,但同时也增加了智能电网对信息资源的依赖.一旦信息网出错或崩溃,电力网一般很难保持正常运行.这也为电力系统安全稳定运行带来了新的问题[5]:首先,随着PMUs布点的增多,调度数据网中传送的PMUs数据的比例将会越来越大,PMUs长期不间断且高刷新频率的传送导致海量的状态和控制信息等在通信网络上传送,可能会产生网络拥塞,影响数据实时传送;其次,与电力的物理系统相比,信息系统对恶意攻击具有更明显的脆弱性.由于通信网络的开放性,会导致电力系统面临各种类型网络攻击,造成失稳甚至毁坏.如2015年12月23日乌克兰电网遭受协同攻击导致近8万用户家庭突发停电事故,这次事故被认为是第一起由于网络攻击直接导致停电事故的案例.

针对上述问题,已有一些学者进行了相关的研究[5-10].文献[6]首次将事件触发机制引入多域电力系统负荷频率控制(Load frequency control,LFC)中,有效减少了数据传输量;文献[8]提出了一种弹性事件触发机制,应用于多域电力系统LFC当中,在考虑网络攻击的情况下保证电力系统的稳定性,并减少了传输的数据量;文献[9]提出一种针对电力系统状态估计的错误数据注入攻击防御与检测机制,从保护和检测两方面入手;基于保护的防御,主要是识别和保护关键的传感器,使系统更能抵御攻击;基于检测的防御,设计了基于空间和基于时间的检测方案,以准确识别数据注入攻击.文献[10]介绍了DoS攻击下电网的LFC方法,通过将电力系统建模为切换系统,检测DoS(Denial-of-service,DoS)攻击的存在,以双域电力系统为例,分析了系统性能问题.由于电动汽车(Electric vehicles,EVs)具有良好的环境特征,如温室气体排放量少,噪声污染低等,并且可用于提高电力系统的可靠性和灵活性[11].本文将EVs引入智能电网中,与负荷频率控制相结合,快速抑制系统扰动所引发的频率变化.在考虑DoS攻击的情况下,对电力CPS进行稳定性分析,并对事件触发机制和控制器进行联合设计,从而达到理想的控制效果.

1 系统模型

在本文中,假设存在大量可用的EVs,即存在足够的电能储备以达到协助传统电力单元实现负荷频率调节的目的,控制中心通过聚合器对EVs进行集中管理,聚合器将分散的各EVs的信息和状态收集起来,发送给控制中心.

由于EVs的接入,LFC系统中产生了新的时变时延.本文假设所有的同步电机都有再热热涡轮机,为了便于说明,对于电力CPS,我们将每个域的M个EVs等效为一个,控制器的输出按比例分配给EVs和再热电机,其中αi0,αi1表示分配比例.如图1所示,不考虑弹性事件触发机制和网络环境下,包含EVs的电力CPS动态模型可以描述为[12]

图1 基于弹性事件触发机制的电力CPS负载频率控制模型Fig.1 Grid CPS LFC model with a resilient event-triggered scheme

表1 带EVs电力CPS负载频率控制模型参数(i=1,2,···,n)Table 1 Parameters of power CPS LFC model including EV aggregators(i=1,2,···,n)

表1给出了系统中具体的符号意义.每个区域i的ACE(Area control error)信号定义为频率偏差与区域之间联络线电力交换之和:

假设传输线路为无损传输,电力CPS控制各区域之间的联络线功率交换满足.

注1[13].EVs参与负载频率控制可分为两种模式,SOC(State of charge)可控模式和SOC空闲模式.SOC空闲模式,即EV从电网中消耗电能或释放电能不考虑EV电池的充电状态,此时第m辆EV的增益,其中.而SOC可控模式中由于EV使用者的需要,第m辆EV参与负载频率控制时需要考虑SOC,因此通过SOC计算和当前SOC的值可以获得EV的增益,其中表示电池的设计规格,SOClow(high)为低(高)电池SOC,SOCmax(min)为最大(最小)电池SOC.假设在t时刻,区域i中有Me辆EVs参与LFC,其中Me1表示处于SOC空闲模式的EVs,Me2=Me-Me1表示处于SOC可控模式的EVs,则区域i总的EVs增益.

2 事件触发通信机制

2.1 传统事件触发机制

早期事件触发机制是所谓的连续事件触发,需要特殊硬件对状态进行连续监测.此外,在触发机制设计中,必须确保任意两个事件触发时刻之间的最小时间间隔严格大于零,如果最小事件间隔时间为零,就会出现无限事件发生在有限时间内的奇诺(Zeno)现象[14].为了解决这两个问题,文献[15]提出一种基于采样数据的离散型事件触发机制:

当上述条件违背时,传感器将采样数据传输给控制器.其中tk为事件触发时刻,Ω＞0为触发矩阵,σ∈(0,1)为触发参数,h为采样周期.该触发机制可以保证最小事件间隔Tetc≥h,避免出现Zeno现象,并且不需要特殊硬件对状态进行连续监测.

2.2 弹性事件触发机制

本文假设DoS攻击的能量是有限的,即DoS攻击的持续时间是有限的,当DoS攻击发生时通信中断.DoS攻击的发生将直接导致通信信道上正在传输的数据丢失,因此并不是所有事件触发时刻的状态都能成功传输到控制器侧.假设DoS攻击发生时,连续丢包量为τM,那么DoS攻击的持续时间τdos≤τMTetc,为了简单起见,取τdos≤τMh.此时,传统事件触发机制(3)将不能直接用于判断采样数据传输与否.为了消除DoS攻击所产生的影响,提出下列弹性事件触发机制:σr为事件触发参数.通常,σr＜σ,也就是说弹性事件触发机制将会产生更多的触发状态用以消除DoS攻击对系统所造成的影响.此时,将存在三个时刻,采样时刻kh,触发时刻rk和成功传输到控制器侧的时刻tk.令S0={0,h,2h,3h,···,jh},j∈N,S1={0,r1,r2,r3,···,rk},rk/h∈N,S2={0,t1,t2,t3,···,tk},tk/h∈N,则S2⊆S1⊆S0.当σr=σ时,意味着没有DoS攻击发生.下文将推导出系统所能容忍的DoS攻击最大持续时间.

定义

结合d(t)和定义,当t∈[tk+dτk,tk+1+dτk+1)时,系统(5)可以变形为

本文的主要目的是在DoS攻击的情况下研究电力系统的稳定性、设计弹性事件触发机制和控制器联合求解方案,同时系统还满足如下条件:

1)当负载干扰为零时(即ΔPd=0),电力系统在DoS攻击下是渐近稳定的;

2)当系统的初值为零时,对于任意非零ΔPd∈L2[0,∞),有,其中γ是给定的H∞性能.

3 主要结果

引理1[16].令矩阵R1,R2为正定矩阵,标量a∈(0,1),以及向量ω1,ω2∈Rm,那么对于任意矩阵Y1,Y2∈Rm×m,下列不等式成立:

本节对基于事件触发机制的电力CPS进行稳定性分析,选择Lyapunov-Krasovskii泛函为

其中,U,Q对称,R＞0.应用Jensen不等式,

从而得到:

由上式,当矩阵U和Q满足,此时并不需要U,Q和R都正定.对V(t)进行求导,

3.1 不考虑DoS攻击情况下的H∞性能分析

应用文献[17]中的Lemma 1,

因此

结合传统事件触发机制(3),对于t∈[tk+dτk,tk+1+dτk+1),我们可以得到:

使用Schur补,可以得到当存在R＞0,对称矩阵U,Q,实矩阵Y1,Y2以及标量,满足,并且LMIs(7)和(8)成立时,系统(6)渐近稳定.

同时,当LMIs(7)和(8)成立时,我们可以得到:

因为x(t)在t上连续,所以在t上也连续.因此对不等式两边同时从0到∞对t进行积分,可得:

从而在零初始条件下,

3.2 考虑DoS攻击情况下的H∞稳定性分析

本节将在DoS攻击发生时,基于弹性事件触发机制(4)对系统进行稳定性分析,找出弹性触发参数σr以及所能容忍的最大DoS攻击持续时间.

定理1.对于给定的标量,当存在实矩阵R＞0,Ω＞0,对称矩阵Q,U满足,实矩阵Y1,Y2以及给定的控制器增益矩阵K使得LMIs(7)和(8)成立,那么在弹性事件触发机制(4)下,系统(1)渐近稳定,并且σr满足:

同时,当σr已知的情况下,由式(10)可以得到系统所能容忍的最大DoS攻击持续时间

证明.为了符号表示方便,我们假设在两次成功传输时刻的区间[tk,tk+1)存在τM个由于DoS攻击所造成的未成功传输但是触发的状态x(rj),其中tk=r0＜r1＜r2＜···＜rτM＜rτM+1=tk+1.

因此,区间 [tk,tk+1)可以分为多个小区间[rj,rj+1),j∈{0,1,2,···,τM}.

其中,t∈[rj,rj+1),t=rj+lh,l∈N.应用弹性事件触发机制(4),

所以

由于t∈[rj,rj+1),数据包没有成功传输,因此,

结合式(11)和(12)即可以得到定理1.□

3.3 弹性事件触发机制和负载频率控制器协同设计

本节将在第3.1节和第3.2节稳定性分析的基础上,对弹性事件触发矩阵和控制器进行联合设计,从而达到理想的控制效果.

定理2.对于给定的参数γ＞0,0,在弹性事件触发通信机制(4)情况下,存在正定矩阵R,Ω,对称矩阵Q,U满足U+0,以及实矩阵P,Y1和Y2使得下列不等式成立,此时系统(1)渐近稳定,H∞控制器增益K=Kc(CP)+:

其中

证明.选择非奇异实矩阵P[18],令P z(t).则,当t∈[tk+dτk,tk+1+dτk+1)系统(1)变形为

与第2节中相似,对d(t)和ez(t)进行定义,其中d(t)的定义与第3节中相同.

则系统(1)可以进一步变形为

本节基于状态z选择与之前相同的Lyapunov-Krasovskii泛函以及相同的证明方法,不同的是在第2.1节中控制器增益K是预先给出的,而定理2中可以同时求出控制器增益K以及事件触发矩阵.定义,.

从而,可得到

此外

4 仿真案例

本节我们将第3节中的相关结论应用于三域LFC控制系统中,验证所提出的弹性事件触发机制的有效性,联合求出控制器增益K和事件触发矩阵.弹性事件触发通信机制与三域电力系统LFC的统一框架如图1所示,其中的相关参数[19]见表2.

表2 带EVs三域LFC模型参数(i=1,2,3)Table 2 Parameters of three-area LFC model including EV aggregators(i=1,2,3)

令h=0.01,控制器增益KPi=0.2,KIi=0.2,i=1,2,3,分配比例α0=0.9,α1=0.1.如表3所示,给定σ和σr,基于定理1我们可以得到DoS攻击最大持续时间τdos的值.从中可以看出弹性事件触发机制可以容许DoS攻击所造成的数据包丢失,当攻击持续时间小于τdos时,系统保持稳定.此外,当给定σ和τM时,也可以求出σr的值.从表3可以看出,σr越大,τdos越小,这是因为σr越大,信道上传输的数据量越小,从而在保证系统稳定的情况下,所能允许的DoS攻击造成的数据丢失量越小,因此系统所能承受的最大攻击持续时间越小.当σ=σr=0.01时,系统触发次数为389次,而根据文献[7-8]所提方法可以得到触发次数分别为398次和457次,因此可以看出本文所提方法可以得到更少的触发次数,有利于节约通信资源.

表3 给定不同的σ和σr,最大连续丢包量τM和攻击持续时间τdos的值Table 3τMand τdosfor different σand σr

基于定理2,给定σr=0.01时,使用Matlab/LMI工具箱,可以同时得到控制器增益和弹性事件触发矩阵如下:

此时,系统的响应曲线如图2所示,由图中可以看出系统处于稳定状态.

图2 系统变化频率曲线和功率交换曲线Fig.2 The curve of frequency variation and power transfer

5 结论

本文将电动汽车引入电力CPS中,提出了一种弹性事件触发机制,能够容忍DoS攻击所造成的数据包丢失,并给出了系统所能承受的最大DoS攻击持续时间.构建新型Lyapunov-Krasovskii泛函,对系统进行稳定性分析,并联合求出弹性控制器增益和事件触发矩阵.所得到的时滞依赖稳定性条件中,矩阵U,Q只需要对称即可,放松了对其正定性的要求.由于所提出的弹性事件触发通信机制,在保证电力CPS稳定的情况下,LFC控制器输入只在需要的时候进行更新,并可以消除DoS攻击对系统稳定性所造成的不利影响.最后,通过三域电力系统仿真,验证了所提出方法的有效性.