受攻击信息物理系统的分布式安全状态估计与控制—一种有限时间方法

敖伟 宋永端 温长云

随着信息技术的广泛应用,信息物理系统(Cyber physical systems,CPS)(交通系统、智能电网系统以及高速铁路系统),以其物理动态过程与信息传输处理过程的紧密耦合[1],成为近期研究热点.不过,正是由于信息处理与动态过程的紧密关联,使其特别容易受到数据传输中的错误或攻击影响,进而造成损失或重大破坏,比如巴西电网大停电事故[2]以及针对伊朗的震荡波病毒攻击[3].

当前已有一些文章涉及信息物理系统安全问题,其中大体包含两类.第一类着重研究攻击检测问题.比如,文献[4]研究信息物理系统的攻击检测与识别问题,从系统理论和图论的角度刻画监测系统的固有缺陷,并设计一种基于Luenberger观测器的监测器,用于攻击检测和识别,但是其只能实现渐近收敛,故检测时间可能非常长.文献[5]提出一种基于滑模观测器的方法,可分别对信息物理系统中存在的状态攻击和输出攻击进行检测和重构,但该方法需要满足所谓的观测器匹配条件.文献[6]通过研究系统的强观测性,并利用系统动态特征向量,提出一种攻击可检测的充分必要条件.不过,他们都没有涉及状态安全估计与控制问题.第二类主要关注状态安全估计和安全控制器设计.比如,文献[7]针对部分传感器受到攻击的信息物理系统,提出一种便于计算的解码算法,用以估计系统状态,并刻画该算法能够容许的最大受攻击传感器数量的上界;进而,这些结果在文献[8]中得到了扩充,该文即不仅展示了通过设计局部安全控制器可以提升系统面对攻击的性能,同时还提出一种基于L1/Lr的编码器实现状态的安全估计.此外,通过研究系统的稀疏观测性,文献[9]指出,2s-稀疏可观测,那当且仅当其受到不超过s-稀疏攻击时,状态可以被安全估计出来;文献[10]拓展这一结论,并利用高效满足性模态理论,设计一种新型的多模态Luenberger观测器,对安全估计问题的复杂性进行了优化.不过,文献[7-10]中的安全估计算法都是集中式的,且其估计误差为指数衰减,这使得估计结果可能要较长时间才能满足实际需求.此外,我们在文献[11]中,针对受到攻击的线性信息物理系统,提出一种基于有限时间观测器的安全估计算法,可以确保在预设有限时间完成状态安全估计,不过,该方法仍然是集中式的,同时也没有涉及安全控制问题.进而,文献[12]进一步拓展这些结果,提出一种分布式的状态安全估计与安全控制策略;不过,其研究的信息物理系统之间仅含有线性耦合,且其安全控制方法依赖分数阶动态面技术,只能保证动态面在有限时间内达到,并不能确保期望状态误差在有限时间内收敛到零.而实际的信息物理系统,比如智能电网系统,其分布式特点比较明显,且其子系统之间的耦合也可能是非线性的;同时为应对恶意攻击,需要在有限时间内将跟踪误差控制到零.因此,这就需要探索新的有限时间分布式安全估计以及安全控制设计方法.

正是基于上述考虑,本文针对一类受到攻击的由多个子系统组成的非线性耦合信息物理系统,研究其分布式安全估计以及分布式安全控制问题.相关的系统结构及提出的方法和策略如图1所示.本文的主要贡献包括:

1)针对一类含有非线性耦合的信息物理系统,提出一种由安全测量预选器和有限时间观测器组成的分布式有限时间状态安全估计策略.当满足一定条件时,该策略可确保系统状态在预设有限时间之内被准确估计出来;

2)利用获得的安全状态估计,采用反步设计方法建立分布式有限时间安全控制律;

3)基于李亚普洛夫稳定性理论,严格论证该控制律可以保证系统在有限时间内跟踪期望信号,且各系统状态,观测器信号以及控制信号有界.该方法的有效性也通过仿真实验得到验证.

图1 受到传感器攻击的信息物理系统与有限时间状态安全估计与控制框图Fig.1 The diagram of the CPS under sensor attacks and the finite time secure state estimation and control

本文后续内容由以下几部分组成:第1节介绍研究对象模型并提出研究目的;第2节提出一种由安全预选器和有限时间观测器组成的状态估计策略,解决分布式安全状态估计问题;第3节提出一种分布式控制算法,解决分布式安全控制问题;第4节将提出的方法在微电网中仿真实验,验证该方法的有效性;第5节对本文做总结.

1 系统模型

本文考虑由N个相互耦合子系统组成的信息物理系统,其结构见图1(a).由于物理特性,子系统相互之间具有一定的非线性动态耦合;相应地,为完成控制、监测功能,子系统之间还包含信息处理系统即通过计算机处理和信息网络设施,将测量、控制信号传输到监测或控制系统;而这些信息处理与传输过程,有可能遭受恶意攻击.基于这些考虑,该信息物理系统中的第i个受到攻击的子系统,可用下述模型描述.

其中,xi(t)=[xi,1(t),···,xi,n(t)]T∈Rn为系统的未知状态,ui(t)∈R为受控输入信号;yi(t)∈Rpi是经传输得到的测量信号,需注意,由于存在恶意攻击者,yi(t)可能被任意篡改,ηi(t)∈Rpi即为T攻击者注入的恶意攻击信号;Ci=[Ci,0,···,Ci,0]∈Rpi×n为系统测量矩阵,其中Rn;而代表第i个子系统受到其他所有子系统的非线性耦合效应,表示所有子系统状态第一个分量组成的向量.

注1.文献[12]仅考虑存在纯线性耦合的情况,这局限了其应用范围;而本文研究的系统模型包含非线性耦合分量,这样可能更符合实际情况使其适用范围更广.另外,文献[12]设计的控制律是基于分数阶动态面的,并不能保证受控状态在有限时间内跟踪上期望信号.因此,需要探索新的方法实现对状态的有限时间跟踪控制.

正如文献[4]所述,许多实际信息物理系统,譬如智能电网、高铁系统[13]等,都可用形如式(1)的模型描述.此外,随着信息技术的发展,在实际的系统[14-15]中,经常利用多路传感器采集同一信号,以便提高系统中信号测量的可靠性、冗余性与安全性.鉴于此,本文也采用该方法.因此,输出分布矩阵即Ci,便如模型1中所示.

本文假定,对于第i个子系统,pi路传感器中仅有si路是可被攻击者任意操纵的.除此之外,本文不对攻击者具有的关于系统的信息和操纵信号的能力作任何限制.此外,受安全检测与估计方面[4,8]等文献的启发,为了刻画安全估计可实现的充分条件,本文引入如下定义.

定义 1.s-稀疏攻击[8]:给定攻击向量ηi(t),如果存在集合 Λi⊂{1,···,pi}且Card(Λi)=pi-s,对任意s∈N 和t,有ηi,j(t)=0,而ηi(t)的其他s个分量不一定为零,则称它是一个s-稀疏攻击,或它是一个稀疏指数为s的攻击向量.s即为攻击向量的稀疏指数.

注2.定义1主要用于刻画如(1)所示受攻击信息物理系统,其状态安全估计可解的充分条件,见第3.1节.

2 问题描述

本文的主要目标是解决如下两个问题.

1)分布式有限时间安全状态估计问题:即针对如式(1)所示受攻击信息物理系统,提出其分布式状态安全估计可解的充分条件,并设计安全估计器,在有限时间内获得系统的真实状态.

2)分布式有限时间安全问题:即针对如式(1)所示受攻击信息物理系统,在安全状态估计实现的基础上,设计分布式安全控制器,使系统能够在有限时间内跟踪任意给定信号.

3 分布式有限时间状态安全估计

本节将提出一种由安全预选器与有限时间观测器构成的分布式有限时间状态安全估计策略.

3.1 安全测量预选器设计

首先,受文献[12]启发,利用定义1,对于分布式信息物理系统(1),可给出其状态可安全估计的充分条件.

条件1.对于受到稀疏攻击的分布式信息物理系统(1),其中第i个子系统中的稀疏指数为si,si满足如下条件:

命题1.对于受到稀疏攻击的分布式信息物理系统(1),其中第i个子系统中的稀疏指数为si,若条件1成立,那其状态安全估计是可实现的.

证明.命题1的证明与文献[12]中相似,故在此省略.□

注3.对于集中式信息物理系统模型,受攻击时状态安全估计的可实现条件在文献[7-11]中给出;而命题1则进一步将对象扩展到受攻击的分布式信息物理系统,并提出了状态可被安全估计得到的充分条件.此外,需要注意,命题1虽然刻画了受攻击地信息物理中的状态可安全估计的充分条件,但由于系统1含有非线性耦合特性,文献[12]中设计的安全观测器并不能直接应用,所以具体的状态估计方法特别是有限时间估计方法还需要精巧地设计.

基于条件1,同时受文献[12]启发,可以设计一种分布式策略,检索出每个系统中未受攻击的传感数据.在此,先介绍一种中间值求取算子:给定向量yi(t),将其元素按大小排序得到一个新的向量vi=[vi,1,···,vi,pi]T,其中vi,1≤···≤vi,pi. 那么,对于向量yi(t)的中间值算子如下:

其中,pi为偶数时,而pi为奇数时,in=.当条件1成立时,针对第i个子系统的分布式安全测量预选器设计如下:

关于上述预选器,下述结论成立.

引理1.对于含有攻击的信息物理系统(1),当条件1成立时,利用安全测量预选器(4),对所有时刻,下式成立.

证明.引理1的证明与文献[12]中相似,故省略.□

注4.值得注意的是,si为攻击向量中非零信号的数目,即受到攻击的传感器的数量;ri为不受攻击的传感器的数量;而qi表示不受攻击的传感器超过受攻击的传感器的数量.实际上,这部分分析表明,只要不受攻击的传感器超过受攻击的传感器的数量,即qi＞0,那么利用排序方法和中间值算子,都能将“中间”不受攻击的信号提取出来.需要指出的是,由于预选器(4)主要通过分析多路传输信号的差异,从而提取出“安全”(未受攻击)的测量信号;此外,多路传感器采集的是同样的信号,而实际信息系统内部的非线性特性在输出通道的表现都是相同的,所以,该预选器可以应对系统中含有非线性耦合的情况.

3.2 分布式状态安全估计器设计

受文献[16]中集中式有限时间观测器以及文献[12]中分布式有限时间安全状态估计器启发,利用式(4)所设计的预选器,对于受到攻击的信息物理系统(1)中第i个子系统,可设计如下分布式安全状态估计器.

为方便起见,将所有子系统的Te,i取为相同值,即Te,i=Te,i=1,···,N.

注5.虽然分布式有限时间观测器(6)是受文献[12]中方法启发而来,且形式上有一定的相似之处,但由于非线性耦合效应的存在,使该文结果并不能直接应用到系统(1)中.因此,本文利用项对信息物理系统中的非线性耦合部分进行补偿,才能确保有限时间安全状态估计的实现.

利用上述提出的预选器与有限时间观测器,能够确保在条件1满足时,在有限时间内解决状态安全估计问题,即可表述为如下定理.

定理1.针对含有攻击的信息物理系统(1),分布式输出预选器(4)和分布式有限时间观测器(6).当条件1成立且分别满足(7)和(8)时,信息物理系统(1)中的状态,可以在预设的有限时间内准确地得到,即当t≥Te时,

证明.记估计误差为:,由于预选器(4)可以得到未受攻击测量信号,那么估计误差的动态特性如下:

显然,若将初始误差记为, 那么误差的特性可以刻画如下.

由于Te为满足式(7)的常数,那么根据式(8),可得:

显然,比较式(14)与式(6),即可得到,当t≥Te时,式(9)成立.

4 分布式有限时间安全控制器设计

受文献[17]启发,本节提出一种基于反步法的分布式有限时间安全控制器,使得受到攻击的信息物理系统(1)依然能够在有限时间内跟踪上任意的期望轨迹,即xi,1(t)→xi,d(t),i=1,···,N.

4.1 反步法分布式状态安全估计器设计

其中,ϑi,1,1=ai,1和ϑi,1,2=1.

下面将采用反步法,对第i个子系统,设计分布式安全控制器,使得ei,1(t)收敛到0.

步骤1.构造Lyapunov函数,选择虚拟控制律:

步骤2.构造Lyapunov函数,选择虚拟控制律:

注意,根据杨氏不等式,可得:

进而,根据式(21)可得:

其中,ci,2为一正常数.

选择βi,2≥ci,2+n-1,并将式(19)代入式(20),可得:

步骤3.假设,那构造Lyapunov函数,选择虚拟控制律:

相似地,根据杨氏不等式,可得:

其中,ci,j为一正常数.

选择βi,j≥ci,j+n-j+1,并将式(24)和式(26)代入式(25),可得:

步骤4.第n步.设计虚拟控制律:

其中,αi,n(t)在式(28)中给出,Te为满足式(7)的常数.

4.2 稳定性分析

至此,关于受攻击信息物理系统(1),其有限时间安全控制问题可解,可总结为如下定理.

定理2.针对含有攻击的信息物理系统(1)、分布式输出预选器(4)、分布式有限时间观测器(6)以及分布式有限时间控制器(29).当条件1成立且Te和分别满足式(7)和式(8)时,信息物理系统(1)中状态xi,1(t),可以在有限时间内准确跟踪上任意信号xi,d(t),即存在Tc＞0,当t≥Tc+Te时,

其中,Te为满足(7)的常数,,而Vn(0)为选择的Lyapunov函数初值;而为一偶数,ħ2为一奇数,且;为一常数.

证明.首先证明,含有攻击的信息物理系统(1)、分布式输出预选器(4)、分布式有限时间观测器(6)以及分布式有限时间控制器(29)是有限时间稳定的.现在根据定理2,利用信息物理系统(1),分布式输出预选器(4),分布式有限时间观测器(6),当t≥Te时,.这就意味着,当t≥Te时,可直接利用代替xi(t),进行控制器设计.所以,仅需分析t≥Te时控制律的效果.

根据杨氏不等式,可得:

选择βi,n≥ci,n+1,并将式(32)代入式(31),可得:

另外,与式(21)相似,可得:

进而,可得:

那么,根据Vi,n(t)定义,可得:

其中,γi≥0为一常数.

接下来,将证明当t∈[0,Tc]时,系统中的各个变量不会发散.构造函数,计算其导数可得:

将式(41)代入式(39),可得:

其中,Ki=2(1+nυi).

此时,将式(43)代入式(39),可得:

其中,Li=n-1+υi.

综合式(42)和式(44),可得:

其中,K=max{Ki}和L=max{Li}.求解不等式(46),可得:

根据Θ(e)的定义,可得,在t∈[0,Tc]时,系统(1)中各子系统的状态xi(t)都是有界的.□

5 仿真示例

为了验证本文提出算法的有效性,将其应用到如图2所示的微电网系统中的二次频率恢复控制中[18].该微电网包含4个发电机,4个局部负载以及3组传输母线.遵照该文方法,仅考虑发电过程,而将原电机的机械力矩直接作为发电机受控输入,且当传输母线为无损时,则第i个发电机的相位下降过程为

其中,δi(t)是第i个发电机的电气角,ωi(t)是相对角速度,ui(t)是设计的受控输入,τPi为测量有功功率的滤波器系数,kPi为频率下降增益;为期望的有功功率,Pi(t)而为实际的有功功率,它满足如下条件:

其中,Bij是通过剔除所有物理母线后得到的内部网络节点后得到的阻抗矩阵的第i行第j列的参数;Vi(t)为第i个发电机的电压,P1i、P2i和P3i分别为名义恒定阻抗、恒定电流和恒定功率负载.该微电网的参数见表1.

图2 受到传感器攻击的微电网系统框图Fig.2 The diagram of the micro-grid system under sensor attacks

表1 微电网系统模型参数Table 1 Parameters of isolated grids systems

其中,Ai和Bi的值可以通过表 1计算可得,选 择而为注入的传感器攻击.设计的攻击信号为:,,其余分量为0.

根据第3节和第4节的分析,设计的有限时间观测器参数为Te= 0.45,62.5 0 0;0 0 42.5 1.0;0 0-2856.3-62.5],[1.0 0 0 0;0 1.0 0 0];而安全控制器的参数为hi,1=2和hi,2=7,βi,1=5和βi,2=2.5.

仿真结果见图3～图7.发电机组的状态及其估计如图3～图6所示,可以看出,经过Te=0.45s后,所有发电机的状态估计值与真实值完全一致,这就验证了文中理论分析的有效性;此外,利用设计的安全控制器,每个发电机的电气角都在有限时间,大约为2.7s后,达到期望的角度,见图3～图6;同样,从图3～图6可以看出,每个发电机的状态都是有界的,同时根据图7可得,设计的安全控制信号也是有界的,这同样也验证了本文的理论分析.

图3 发电机1受控状态及其估计值Fig.3 The angle of the 1st generator and its estimation

图4 发电机2受控状态及其估计值Fig.4 The angle of the 2nd generator and its estimation

图5 发电机3受控状态及其估计值Fig.5 The angle of the 3rd generator and its estimation

图6 发电机4受控状态及其估计值Fig.6 The angle of the 4th generator and its estimation

图7 设计的安全控制输入Fig.7 The designed secure control law

6 结束语

本文针对含有非线性耦合特性的受攻击信息物理系统,研究其有限时间状态安全估计以及分布式有限时间安全控制器设计问题.首先,设计一种由安全测量预选器和有限时间观测器组成的分布式安全状态估计策略,能够保证在预设时间内实现有限时间安全状态估计;其次,利用获得的安全状态估计,并采用反步设计方法,提出一种分布式有限时间安全控制器,可以保证系统的在有限时间内跟踪期望信号;并将文中提出的方法在一个微电网系统中进行仿真实验,其结果验证了所提方法的有效性.需要说明的是,本文涉及发电过程没有涉及对机械传动过程,即对原动机的工作特性研究有所不足,因此,在将本文提出的方法应用到实际系统时,还有不少工作需要完成.此外,实际系统中还需要关注系统不确定性、噪声、状态及控制信号约束等特性,这也是我们未来研究的目标.