杭州電力設(shè)計(jì)院 310014

摘要：為降低電力二次系統(tǒng)安全風(fēng)險(xiǎn)整體水平，實(shí)現(xiàn)智能電網(wǎng)條件下電力系統(tǒng)高效運(yùn)行，對(duì)電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究進(jìn)行了綜述。分別從二次設(shè)備、信息系統(tǒng)和人為因素3方面論述二次系統(tǒng)風(fēng)險(xiǎn)因素的來(lái)源，綜述各風(fēng)險(xiǎn)因素的作用形式和對(duì)一次系統(tǒng)的影響。從二次設(shè)備、信息安全和人為風(fēng)險(xiǎn)3 個(gè)領(lǐng)域總結(jié)并評(píng)述了國(guó)內(nèi)外電力二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究現(xiàn)狀，從模型方法、數(shù)據(jù)來(lái)源和風(fēng)險(xiǎn)指標(biāo)等方面比較了已有研究成果的優(yōu)點(diǎn)和不足。分析了在智能電網(wǎng)條件下，電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估面臨的系統(tǒng)復(fù)雜性、風(fēng)險(xiǎn)因素來(lái)源綜合多樣和風(fēng)險(xiǎn)基礎(chǔ)數(shù)據(jù)缺乏等問(wèn)題與挑戰(zhàn)，并指出未來(lái)二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究方向?yàn)轱L(fēng)險(xiǎn)因素、數(shù)據(jù)獲取、評(píng)估模型和風(fēng)險(xiǎn)應(yīng)用4 個(gè)方面。

關(guān)鍵詞：電力二次系統(tǒng)；風(fēng)險(xiǎn)評(píng)估；二次設(shè)備；信息

0 引言

隨著智能電子設(shè)備不斷增多，不同時(shí)期建立的各類信息系統(tǒng)之間的交互變得復(fù)雜，信息、設(shè)備等安全風(fēng)險(xiǎn)日益加劇，電力二次系統(tǒng)安全面臨前所未有的挑戰(zhàn)。另外，分布式能源的接入和用電側(cè)交互需求的增長(zhǎng)，導(dǎo)致電網(wǎng)運(yùn)行的復(fù)雜性增加，調(diào)度操作人員面臨的決策壓力也越來(lái)越大。將二次系統(tǒng)安全風(fēng)險(xiǎn)納入當(dāng)前運(yùn)行風(fēng)險(xiǎn)評(píng)估問(wèn)題，分析二次系統(tǒng)失效安全事件的可能性和嚴(yán)重度，并進(jìn)行綜合定量的評(píng)估，顯得尤為重要。

電網(wǎng)安全風(fēng)險(xiǎn)評(píng)估問(wèn)題早在20 世紀(jì)80 年代就已經(jīng)受到關(guān)注，但到目前為止，相關(guān)研究還主要集中在一次系統(tǒng)。從可靠性研究開始，國(guó)內(nèi)外研究人員已經(jīng)對(duì)電力一次系統(tǒng)風(fēng)險(xiǎn)評(píng)估進(jìn)行了比較系統(tǒng)、深入的研究，從設(shè)備到系統(tǒng)都有比較完善的分析和評(píng)估方法，并且運(yùn)用于調(diào)度運(yùn)行、檢修計(jì)劃和電網(wǎng)規(guī)劃等。二次系統(tǒng)安全風(fēng)險(xiǎn)研究大多從安全防御角度提出構(gòu)想，關(guān)注影響系統(tǒng)安全的各個(gè)因素，而對(duì)整體系統(tǒng)風(fēng)險(xiǎn)評(píng)估的研究尚較缺乏。已有的分析手段基本是從設(shè)備和信息分別入手，但對(duì)兩者風(fēng)險(xiǎn)融合分析和人為因素的考慮，及二次系統(tǒng)風(fēng)險(xiǎn)對(duì)一次系統(tǒng)的作用形式研究尚少。

本文從電力二次系統(tǒng)安全風(fēng)險(xiǎn)來(lái)源入手，總結(jié)并評(píng)述電力二次系統(tǒng)安全風(fēng)險(xiǎn)，評(píng)估國(guó)內(nèi)外研究現(xiàn)狀，并指出未來(lái)的研究方向，為降低電力二次系統(tǒng)安全風(fēng)險(xiǎn)整體水平提供基礎(chǔ)，使智能電網(wǎng)條件下電力系統(tǒng)的安全高效運(yùn)行成為可能。

1 二次系統(tǒng)風(fēng)險(xiǎn)來(lái)源

1.1 二次系統(tǒng)概念

二次系統(tǒng)由軟件、設(shè)備和其中的交互信息共同組成，并且和控制人員直接交互，其對(duì)電力系統(tǒng)的價(jià)值在于能夠完成一次系統(tǒng)安全運(yùn)行所需的數(shù)據(jù)采集、信息處理、裝置控制等功能?？蓪⒍蜗到y(tǒng)風(fēng)險(xiǎn)來(lái)源分為設(shè)備、信息和人因3個(gè)部分。過(guò)去電網(wǎng)的一些事故經(jīng)驗(yàn)也表明，這3 者在故障產(chǎn)生、演變、擴(kuò)大階段都有著重要影響。

1.2 二次設(shè)備因素

電網(wǎng)二次設(shè)備是指對(duì)一次設(shè)備進(jìn)行監(jiān)視、測(cè)量、控制、調(diào)節(jié)與輔助的具有行為能力的機(jī)械部件及其附屬裝置，主要包括繼電保護(hù)和自動(dòng)裝置、RTU 等遠(yuǎn)端測(cè)量監(jiān)視裝置和直流電源設(shè)備等。單個(gè)二次設(shè)備包括多個(gè)組件，其正常工作的完成是組件配合的結(jié)果。如繼電保護(hù)裝置的安全風(fēng)險(xiǎn)因素主要包括二次回路絕緣老化、裸露接地故障，三相操作繼電器箱等輔助裝置失效，通信及接口裝置通信阻斷等。

此外，二次設(shè)備往往處于復(fù)雜多變的外部環(huán)境之中，如大部分遠(yuǎn)端RTU 裝置往往受到溫度驟變、電磁干擾和大量灰塵污穢的影響，增加了量測(cè)不確定性，也減少了設(shè)備壽命。電網(wǎng)正常運(yùn)行時(shí)，二次設(shè)備故障會(huì)造成量測(cè)丟失或錯(cuò)誤，影響調(diào)度人員對(duì)電網(wǎng)的準(zhǔn)確感知；一次系統(tǒng)發(fā)生故障時(shí)，由于繼電保護(hù)裝置等二次設(shè)備的拒動(dòng)或誤動(dòng)，會(huì)發(fā)生連鎖故障，增加停電范圍。

1.3 信息系統(tǒng)因素

電力信息系統(tǒng)按照應(yīng)用劃分，可以分為生產(chǎn)控制系統(tǒng)、行政管理系統(tǒng)和市場(chǎng)營(yíng)銷系統(tǒng)3 類。其中生產(chǎn)控制系統(tǒng)直接服務(wù)于電力系統(tǒng)運(yùn)行，主要包SCADA/EMS、變電站自動(dòng)化系統(tǒng)、配網(wǎng)自動(dòng)化系統(tǒng)等。這些系統(tǒng)的可靠性和實(shí)時(shí)性要求很高，采用電力調(diào)度通信專網(wǎng)，是信息風(fēng)險(xiǎn)因素的主要來(lái)源。電力信息系統(tǒng)的風(fēng)險(xiǎn)因素主要有：硬件遭破壞造成信道阻斷、信息遭竊取和篡改；利用軟件的漏洞造成拒絕服務(wù)、遠(yuǎn)程控制、非法入侵等；以及變電站或網(wǎng)絡(luò)通信協(xié)議功能完備性、可靠性和可控性等方面的安全隱患。這些風(fēng)險(xiǎn)因素會(huì)嚴(yán)重影響到電力生產(chǎn)信息的機(jī)密性、完整性和可用性，進(jìn)而威脅電力系統(tǒng)安全。

1.4 人為風(fēng)險(xiǎn)因素

電網(wǎng)運(yùn)行的日前計(jì)劃安排、調(diào)度控制命令下達(dá)以及故障定位排除等工作需要調(diào)度員參與完成的。而調(diào)度員由于受自身知識(shí)水平限制以及外部環(huán)境壓力的影響，極有可能無(wú)法快速、準(zhǔn)確地完成既定操作，造成設(shè)備損壞、故障擴(kuò)大等嚴(yán)重后果；在故障情況下，控制人員的作用尤為重要。人為風(fēng)險(xiǎn)因素主要可以分為以下2 部分：1）誤操作、發(fā)送錯(cuò)誤調(diào)度命令導(dǎo)致系統(tǒng)故障，主要是人對(duì)系統(tǒng)中繼電保護(hù)誤操作導(dǎo)致；2）無(wú)法識(shí)別或誤判當(dāng)前系統(tǒng)狀態(tài)，延后或無(wú)法切除設(shè)備故障，導(dǎo)致電網(wǎng)故障范圍擴(kuò)大，造成額外損失。

2 二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型和方法

2.1 二次設(shè)備領(lǐng)域

二次設(shè)備是二次系統(tǒng)與一次系統(tǒng)的關(guān)聯(lián)點(diǎn)，也是測(cè)量與控制的直接執(zhí)行設(shè)備，一直是電力系統(tǒng)設(shè)備可靠性研究的重要組成部分。與一次設(shè)備類似，二次設(shè)備的安全風(fēng)險(xiǎn)相關(guān)研究也是從可靠性領(lǐng)域發(fā)展而來(lái)的。隨著馬爾科夫狀態(tài)模型的應(yīng)用推廣，通過(guò)建立相關(guān)的模型計(jì)算可靠性指標(biāo)變得可能。將影響繼電保護(hù)系統(tǒng)可靠性的因素分為3 類，并建立軟件數(shù)學(xué)模型、硬件數(shù)學(xué)模型和人員可靠性分析模型，得到數(shù)字保護(hù)系統(tǒng)的狀態(tài)空間圖，應(yīng)用馬爾柯夫過(guò)程求解系統(tǒng)在無(wú)備用和有備用情況下的綜合失效率及可用度。但可靠性的結(jié)果只涉及到設(shè)備層次，對(duì)于設(shè)備故障對(duì)系統(tǒng)故障發(fā)展的影響則無(wú)法判斷。事件樹法可以對(duì)設(shè)備故障導(dǎo)致系統(tǒng)故障的因果關(guān)系進(jìn)行分析，進(jìn)而分析二次設(shè)備對(duì)一次系統(tǒng)風(fēng)險(xiǎn)的影響。將其用于模擬保護(hù)和開關(guān)動(dòng)作行為，建立了保護(hù)和自動(dòng)裝置等二次設(shè)備功能模型，然后模擬N-1的原發(fā)性故障引發(fā)的連鎖故障，通過(guò)建立并分析故障事件樹，評(píng)估故障發(fā)生后二次設(shè)備的拒/誤動(dòng)引起的系統(tǒng)風(fēng)險(xiǎn)增量。該方法可以通過(guò)控制事件樹的規(guī)模來(lái)很好地協(xié)調(diào)計(jì)算效率和精度，以滿足在線分析的計(jì)算要求。該學(xué)者的后續(xù)研究則關(guān)注于繼電保護(hù)隱患的2方面原因?yàn)椴缓侠肀Ｗo(hù)定值和繼電保護(hù)系統(tǒng)硬件缺陷，分別采用事件樹分析法建模分析，以綜合考慮靜態(tài)安全約束、靜態(tài)電壓穩(wěn)定約束、暫態(tài)電壓穩(wěn)定約束的主要傳輸斷面的傳輸裕度為風(fēng)險(xiǎn)指標(biāo)，標(biāo)識(shí)運(yùn)行風(fēng)險(xiǎn)。該方法可以定量評(píng)估這2方面原因?qū)﹄娋W(wǎng)安全的影響，并確定其中的薄弱環(huán)節(jié)。在方法研究方面，蒙特卡羅方法顯示出在風(fēng)險(xiǎn)評(píng)估領(lǐng)域的巨大潛力。研究了繼電保護(hù)裝置隱形故障造成連鎖故障的過(guò)程和機(jī)理，采用故障樹和準(zhǔn)誤動(dòng)集的方式建立連鎖故障模型；運(yùn)用蒙特卡羅仿真方法，相比傳統(tǒng)N-1故障模式更有效地覆蓋了系統(tǒng)的故障模式集，給出4個(gè)風(fēng)險(xiǎn)指標(biāo)衡量系統(tǒng)的連鎖故障風(fēng)險(xiǎn)，并指出了系統(tǒng)存在的薄弱環(huán)節(jié)，提供了相應(yīng)的預(yù)防策略。除面向調(diào)度運(yùn)行，也有文獻(xiàn)將設(shè)備安全風(fēng)險(xiǎn)運(yùn)用于規(guī)劃和檢修角度?；隈R爾科夫模型提出計(jì)算繼電保護(hù)系統(tǒng)可靠性的模型，并用于評(píng)價(jià)常用設(shè)計(jì)方案的可靠性分析論證。則將繼電保護(hù)裝置可靠性分析結(jié)果用于檢修，為保護(hù)裝置最佳檢修周期的確定提供了理論依據(jù)。但此類研究都從設(shè)備層出發(fā)，對(duì)系統(tǒng)風(fēng)險(xiǎn)暫無(wú)涉及。

2.2 信息安全領(lǐng)域

信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范指出，信息安全風(fēng)險(xiǎn)評(píng)估是對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。對(duì)于電力信息系統(tǒng)而言，需識(shí)別電力信息安全面臨的威脅和存在的脆弱性，并分析兩者相互作用后導(dǎo)致一次系統(tǒng)非正常運(yùn)行的可能性及后果的嚴(yán)重度。

電力信息系統(tǒng)種類繁多，現(xiàn)有的安全風(fēng)險(xiǎn)評(píng)估主要從資產(chǎn)安全策略列表出發(fā)，從資產(chǎn)受攻擊的角度評(píng)價(jià)其脆弱性，分析現(xiàn)有安全策略的有效性，并指出需要補(bǔ)充或加強(qiáng)的安全措施。關(guān)注于繼電保護(hù)系統(tǒng)的信息安全問(wèn)題，指出繼電保護(hù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)因素的來(lái)源是數(shù)據(jù)訪問(wèn)需求的多樣性。在分析繼電保護(hù)信息通信特點(diǎn)的基礎(chǔ)上，提出在OSI 模型中的數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層采取虛擬局域網(wǎng)等措施提高繼保系統(tǒng)的網(wǎng)絡(luò)安全性。分析了SCADA 系統(tǒng)面臨的安全問(wèn)題，認(rèn)為目前單純物理隔離方式無(wú)法保障SCADA 系統(tǒng)的網(wǎng)絡(luò)安全，而且遠(yuǎn)端的商用成（commercial-off-the-shelf，COTS）裝置具有脆弱性，易受經(jīng)由因特網(wǎng)的攻擊。

最后，總結(jié)了降低SCADA 系統(tǒng)脆弱性的手段，包括訪問(wèn)權(quán)限控制，防火墻和入侵偵測(cè)系統(tǒng)，脆弱性分析，密鑰管理等。除定性研究之外，隨著對(duì)系統(tǒng)分析方法的增加，部分學(xué)者開始建立信息系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估模型，定量地分析信息系統(tǒng)風(fēng)險(xiǎn)。運(yùn)用廣義隨機(jī)Petri 網(wǎng)方法從系統(tǒng)、情境和訪問(wèn)節(jié)點(diǎn)3個(gè)層次建立了SCADA脆弱性模型，并以潛在失負(fù)荷量評(píng)價(jià)入侵造成影響的大小。文獻(xiàn)中IEEE 30節(jié)點(diǎn)系統(tǒng)的算例分析表明，該方法能較好地評(píng)估網(wǎng)絡(luò)攻擊對(duì)電力系統(tǒng)的影響，并指出系統(tǒng)安全的瓶頸。結(jié)合分布式系統(tǒng)脆弱性理論，提出網(wǎng)絡(luò)環(huán)境下變電站自動(dòng)化通信系統(tǒng)脆弱性評(píng)估方法。從“遭受攻擊”角度量化分布式系統(tǒng)的脆弱性，并基于層次分析法和逼近理想解排序法量化路徑脆弱度因子，最后構(gòu)造攻擊過(guò)程的脆弱性狀態(tài)圖。通過(guò)對(duì)系統(tǒng)不同安全方案下的脆弱度計(jì)算比較，表明該方法能有效量化系統(tǒng)脆弱度，并指導(dǎo)安全防御策略。

隨著相關(guān)研究的增加，也有文獻(xiàn)從電力信息系統(tǒng)的共性出發(fā)，期望可以得到一個(gè)通用模型或系統(tǒng)模塊風(fēng)險(xiǎn)評(píng)估方法。通過(guò)確定信息系統(tǒng)的安全風(fēng)險(xiǎn)因素集、指標(biāo)集以及因素的權(quán)重系數(shù)集，建立安全風(fēng)險(xiǎn)模糊綜合評(píng)估矩陣，根據(jù)專家的專業(yè)知識(shí)和經(jīng)驗(yàn)確定權(quán)重系數(shù)，定量評(píng)估系統(tǒng)組件的安全風(fēng)險(xiǎn)值。此外，還有不少學(xué)者做了基礎(chǔ)性和安全框架的相關(guān)研究。設(shè)計(jì)了一種用于電力信息系統(tǒng)安全的建模語(yǔ)言和定量評(píng)估方法。論述了信息通信系統(tǒng)脆弱性的原因，威脅與攻擊的方式和應(yīng)對(duì)風(fēng)險(xiǎn)的策略?；贑IGRé 聯(lián)合工作組的實(shí)踐經(jīng)驗(yàn)，在分析系統(tǒng)內(nèi)部脆弱點(diǎn)后，根據(jù)已有的技術(shù)報(bào)告和安全標(biāo)準(zhǔn)指出安全框架包含的一些要點(diǎn)，包括安全領(lǐng)域建模、風(fēng)險(xiǎn)評(píng)估方法和信息安全管理等。也有學(xué)者借鑒信息通信安全領(lǐng)域等級(jí)保護(hù)的概念，提出一個(gè)應(yīng)用于電力系統(tǒng)的等級(jí)保護(hù)的構(gòu)架和實(shí)施方案，能有效保護(hù)電力信息安全。

2.3 人為風(fēng)險(xiǎn)領(lǐng)域

近年來(lái)的事故統(tǒng)計(jì)數(shù)據(jù)表明，隨著電網(wǎng)設(shè)備智能化水平的提高，人為風(fēng)險(xiǎn)因素日益凸顯，尤其在事故擴(kuò)大階段。目前系統(tǒng)人為風(fēng)險(xiǎn)因素的研究主要集中在發(fā)電廠，特別是核電廠方面，而電網(wǎng)領(lǐng)域的人為風(fēng)險(xiǎn)因素研究還比較少。將人為風(fēng)險(xiǎn)因素與設(shè)備類比，假設(shè)人為因素也具有故障率和修復(fù)率，并據(jù)此計(jì)算得到人為失效概率（human errorprobability，HEP）。而根據(jù)認(rèn)知可靠性和誤差分析模型（cognitive reliability and error analysis method，CREAM），認(rèn)為人為因素不是隨機(jī)的，而與所處環(huán)境緊密相關(guān)。人員的認(rèn)知特性及其技術(shù)行為不僅受組織和管理方面因素的影響，還受機(jī)構(gòu)的安全培養(yǎng)、規(guī)章條例和環(huán)境壓力的影響。提出一個(gè)基于改進(jìn)CREAM 定量分析人為可靠性的方法。文獻(xiàn)首先羅列了9項(xiàng)常見外部條件影響維度，并定義了4個(gè)等級(jí)人為控制模型和對(duì)應(yīng)的故障率；通過(guò)模糊克隆選擇算法結(jié)合給定的知識(shí)庫(kù)判斷人為可靠性水平。仿真測(cè)試表明該方法可以判斷在特殊環(huán)境下評(píng)估人為操作的可靠性。此外，不少學(xué)者在人為風(fēng)險(xiǎn)因素控制方法上取得一些成果。設(shè)計(jì)了一個(gè)基于IEC 61850的變電站防誤操作系統(tǒng)，在站控層、間隔層和傳輸層實(shí)現(xiàn)實(shí)時(shí)防誤邏輯判斷，可有效減少人為誤操作風(fēng)險(xiǎn)。介紹了基于移動(dòng)機(jī)器人的變電站設(shè)備巡檢系統(tǒng)。從減少心理應(yīng)激的負(fù)面作用和計(jì)算機(jī)支持下的調(diào)度員協(xié)作等對(duì)提高緊急情形下EMS 人機(jī)交互的能力進(jìn)行了探討。

2.4 綜合比較

目前，二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估涉及的各項(xiàng)工作尚未形成統(tǒng)一標(biāo)準(zhǔn)，在模型選擇、數(shù)據(jù)來(lái)源和風(fēng)險(xiǎn)指標(biāo)方面的差別都比較大，如表1 所示。

表1

表中所列的文獻(xiàn)具有一定的代表性。對(duì)于設(shè)備風(fēng)險(xiǎn)因素，主要采用的分析方法有事件樹方法，基于歷史數(shù)據(jù)，通過(guò)蒙特卡洛進(jìn)行仿真，并可參考一次設(shè)備風(fēng)險(xiǎn)的評(píng)估，多角度分析二次設(shè)備對(duì)線路、電源及一次系統(tǒng)的風(fēng)險(xiǎn)。對(duì)于信息風(fēng)險(xiǎn)因素，采用分層方法將復(fù)雜信息系統(tǒng)分解，基于調(diào)查統(tǒng)計(jì)數(shù)據(jù)，對(duì)系統(tǒng)功能或脆弱性進(jìn)行定性定量分析。對(duì)于人為風(fēng)險(xiǎn)因素，目前相關(guān)研究還比較少，表中文獻(xiàn)的評(píng)估結(jié)果并沒(méi)有嚴(yán)重度指標(biāo)。從模型方法來(lái)看，故障樹和事件樹可以對(duì)連鎖故障的各類原因進(jìn)行有效仿真分析；Petri網(wǎng)和層次分析法可以簡(jiǎn)化復(fù)雜系統(tǒng)，厘清系統(tǒng)層級(jí)結(jié)構(gòu)；CREAM 模型能夠量化環(huán)境因素對(duì)人為操作風(fēng)險(xiǎn)的影響。

3 二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估面臨的問(wèn)題與挑戰(zhàn)

3.1 二次系統(tǒng)的復(fù)雜性

二次系統(tǒng)是由軟件、設(shè)備和信息共同組成，并且直接面向電網(wǎng)操作人員的復(fù)雜系統(tǒng)。其復(fù)雜性主要體現(xiàn)在以下幾個(gè)方面：

1）組成的復(fù)雜性。

二次系統(tǒng)風(fēng)險(xiǎn)由設(shè)備、軟件、信息、人員等多種風(fēng)險(xiǎn)構(gòu)成，它們的結(jié)構(gòu)、行為差異巨大，并且時(shí)間、空間分布截然不同，給建模工作帶來(lái)困難。因此，現(xiàn)有研究大多對(duì)二次設(shè)備、信息和通信系統(tǒng)、人員可靠性單獨(dú)進(jìn)行分析，這樣導(dǎo)致評(píng)估結(jié)果只能反映單方面安全風(fēng)險(xiǎn)，無(wú)法評(píng)估二次系統(tǒng)整體風(fēng)險(xiǎn)及二次系統(tǒng)對(duì)一次系統(tǒng)的影響。

2）狀態(tài)的多樣性。

二次系統(tǒng)對(duì)于整個(gè)電力系統(tǒng)的價(jià)值在于完成其所承擔(dān)的相應(yīng)任務(wù)。傳統(tǒng)可靠性研究一般認(rèn)為：設(shè)備或者元件的狀態(tài)分為故障和正確2 種基本狀態(tài)。對(duì)于設(shè)備和電力系統(tǒng)的可靠性研究，都假設(shè)元件存在少數(shù)幾個(gè)狀態(tài)。而二次系統(tǒng)功能存在多種可能狀態(tài)，如正常完成、80%完成、50%完成及完全失效，不同的可能狀態(tài)的風(fēng)險(xiǎn)必然不同，因此在風(fēng)險(xiǎn)評(píng)估過(guò)程中需要反映功能的不同狀態(tài)對(duì)系統(tǒng)風(fēng)險(xiǎn)的影響。

3）網(wǎng)絡(luò)的交錯(cuò)性。

二次系統(tǒng)是一個(gè)巨大的網(wǎng)絡(luò)系統(tǒng)，包含物理網(wǎng)絡(luò)、信息網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)，這些網(wǎng)絡(luò)架構(gòu)各異，相互影響，任務(wù)的發(fā)起、執(zhí)行需要這些網(wǎng)絡(luò)互相配合。因此風(fēng)險(xiǎn)因素的作用、傳遞和演化機(jī)理也變得復(fù)雜多樣。關(guān)鍵節(jié)點(diǎn)的脆弱性，可能影響到整個(gè)網(wǎng)絡(luò)的工作表現(xiàn)。因此，識(shí)別和定量分析網(wǎng)絡(luò)的脆弱性，對(duì)網(wǎng)絡(luò)的行為特征進(jìn)行建模，表示網(wǎng)絡(luò)單個(gè)元件或局部失效對(duì)整個(gè)網(wǎng)絡(luò)的影響，都具有極大的挑戰(zhàn)性。

3.2 風(fēng)險(xiǎn)因素來(lái)源的多樣性

大量集成監(jiān)視、控制、測(cè)量功能的智能設(shè)備的應(yīng)用使得信息與設(shè)備高度融合，單個(gè)智能設(shè)備的運(yùn)行操作模型變得極為復(fù)雜，傳統(tǒng)的基于設(shè)備的相關(guān)建模方法都不再適用，需研究軟硬件交互故障模型。

變電站和控制中心集成了不同廠家、不同時(shí)期裝設(shè)的各類系統(tǒng)，隨著自動(dòng)化水平的提高，其兼容性和可靠性也是一個(gè)日益凸顯的風(fēng)險(xiǎn)因素。隨著電力軟件規(guī)模和復(fù)雜性的增加，軟件可靠性因素對(duì)于系統(tǒng)風(fēng)險(xiǎn)的影響必須得到重視。此外，網(wǎng)絡(luò)互聯(lián)性和分布式應(yīng)用的增加，也使入侵和攻擊的方式變得更為復(fù)雜多樣。

電力二次系統(tǒng)，特別是電力監(jiān)控系統(tǒng)，是直接和控制人員交互的，控制人員命令和操作大多通過(guò)其來(lái)完成，同時(shí)控制人員失誤或錯(cuò)誤的命令和操作也通過(guò)其影響電力一次系統(tǒng)。而且，近年來(lái)硬、軟件設(shè)備可靠性的提高，使人為可靠性對(duì)系統(tǒng)風(fēng)險(xiǎn)影響的作用更為突出，尤其是面對(duì)緊急情況或大災(zāi)害，控制人員的錯(cuò)誤判斷將導(dǎo)致嚴(yán)重后果。

3.3 基礎(chǔ)數(shù)據(jù)的不確定性

目前電網(wǎng)中各種一次設(shè)備在線監(jiān)測(cè)系統(tǒng)已經(jīng)比較成熟，一次系統(tǒng)和設(shè)備風(fēng)險(xiǎn)評(píng)估相關(guān)的數(shù)據(jù)已較容易獲得。從表1 中也可以看出，二次設(shè)備運(yùn)行、管理等數(shù)據(jù)尚未得到統(tǒng)一管理，對(duì)軟件運(yùn)行數(shù)據(jù)也基本上只有從安全日志或者工作人員的主觀描述中獲取。目前對(duì)二次系統(tǒng)事故缺乏系統(tǒng)記錄、分析，造成事故樣本缺失，為風(fēng)險(xiǎn)量化工作帶來(lái)困難，需要研究在風(fēng)險(xiǎn)基礎(chǔ)數(shù)據(jù)缺失或不足時(shí)的風(fēng)險(xiǎn)評(píng)估方。

不確定性貫穿風(fēng)險(xiǎn)評(píng)估的整個(gè)流程，但是數(shù)據(jù)的不確定性將對(duì)掌握軟件和設(shè)備狀態(tài)，描述控制行為，系統(tǒng)建模帶來(lái)障礙。不確定因素的引入主要體現(xiàn)在2個(gè)方面：1）系統(tǒng)本身固有的隨機(jī)不確定性；2）技術(shù)手段不足引入的不確定性。前者是不可避免的，而后者可以通過(guò)技術(shù)手段的改進(jìn)，計(jì)算方法的設(shè)計(jì)來(lái)降低，可從觀測(cè)手段、計(jì)算模型、風(fēng)險(xiǎn)結(jié)果解釋等方面來(lái)降低不確定性。

4 結(jié)論與展望

在總結(jié)二次系統(tǒng)安全風(fēng)險(xiǎn)已有評(píng)估模型和研究方法的基礎(chǔ)上，結(jié)合其他領(lǐng)域風(fēng)險(xiǎn)研究方法和二次系統(tǒng)的發(fā)展特點(diǎn)，筆者認(rèn)為，未來(lái)電力二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估的主要研究重點(diǎn)應(yīng)在以下幾個(gè)方面：

1）風(fēng)險(xiǎn)因素。智能電網(wǎng)條件下，可再生能源接入和需求側(cè)交互的開展，使得電網(wǎng)需要監(jiān)控的深度和廣度大大增加，二次系統(tǒng)將變成一個(gè)不亞于一次系統(tǒng)的復(fù)雜大系統(tǒng)。二次設(shè)備、信息和人為因素這3 種風(fēng)險(xiǎn)來(lái)源需綜合評(píng)價(jià)，特別是分析這些風(fēng)險(xiǎn)因素在事故發(fā)生及擴(kuò)大過(guò)程中產(chǎn)生的影響和作用形式，充分考慮各種因素的交互，全面評(píng)估二次系統(tǒng)整體風(fēng)險(xiǎn)。

2）數(shù)據(jù)獲取。風(fēng)險(xiǎn)評(píng)估離不開充足完備的數(shù)據(jù)支持?，F(xiàn)有的歷史統(tǒng)計(jì)數(shù)據(jù)存在種類不齊全、格式不統(tǒng)一等缺點(diǎn)，而專家知識(shí)則具有模糊性和不確定性。未來(lái)的風(fēng)險(xiǎn)評(píng)估研究一方面需對(duì)二次系統(tǒng)監(jiān)控與事故記錄進(jìn)行統(tǒng)一管理，累積事故樣本，并整理歷史數(shù)據(jù)和公式化專家經(jīng)驗(yàn)；另一方面則需要研究在風(fēng)險(xiǎn)基礎(chǔ)數(shù)據(jù)缺失或不足時(shí)的風(fēng)險(xiǎn)評(píng)估方法。

3）評(píng)估模型。二次系統(tǒng)本質(zhì)上是為一次系統(tǒng)服務(wù)的，其價(jià)值與風(fēng)險(xiǎn)的歸結(jié)點(diǎn)在于完成一次系統(tǒng)需要的功能，因此對(duì)于其風(fēng)險(xiǎn)的嚴(yán)重程度的評(píng)價(jià)標(biāo)準(zhǔn)應(yīng)以一次系統(tǒng)為出發(fā)點(diǎn)。應(yīng)從二次系統(tǒng)的功能價(jià)值及功能失效對(duì)一次系統(tǒng)的影響出發(fā)，建立統(tǒng)一的面向功能的二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估模型和風(fēng)險(xiǎn)指標(biāo)體系。

4）風(fēng)險(xiǎn)應(yīng)用。風(fēng)險(xiǎn)評(píng)估結(jié)果應(yīng)為發(fā)現(xiàn)系統(tǒng)脆弱點(diǎn)并評(píng)估脆弱點(diǎn)可能給系統(tǒng)帶來(lái)后果的嚴(yán)重程度，進(jìn)而提供相應(yīng)的應(yīng)對(duì)措施與改進(jìn)方法來(lái)降低風(fēng)險(xiǎn)，如進(jìn)行狀態(tài)檢修、修補(bǔ)系統(tǒng)漏洞和制訂各種應(yīng)急預(yù)案等；或者將風(fēng)險(xiǎn)評(píng)估結(jié)果運(yùn)用于調(diào)度計(jì)劃等輔助決策領(lǐng)域。

參考文獻(xiàn)：

[1] 帥軍慶，特大型電網(wǎng)高級(jí)調(diào)度中心關(guān)鍵技術(shù)[M].北京：中國(guó)電力出版社，2010：220-224.

[2] 馮永青，吳文傳，張伯明，等.基于可信性理論的電力系統(tǒng)運(yùn)行風(fēng)險(xiǎn)評(píng)估：（三）應(yīng)用與工程實(shí)踐[J].電力系統(tǒng)自動(dòng)化，2006，30（3）：11-16

[3] 王博，游大海，尹項(xiàng)根，等.基于多因素分析的復(fù)雜電力系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估體系[J].電網(wǎng)技術(shù)，2011，35（1）：40-45.