楊飛生 汪璟 潘泉 康沛沛

信息物理融合系統(tǒng)(Cyber-physical systems,CPS)作為一種新型智能系統(tǒng)應(yīng)運(yùn)而生,它是一類集成計算、網(wǎng)絡(luò)和物理實體的復(fù)雜系統(tǒng),將三者進(jìn)行有機(jī)融合與深度協(xié)作,從而達(dá)到對大型物理系統(tǒng)與信息系統(tǒng)的實時感知,動態(tài)控制和信息服務(wù)等[1],典型 CPS包括工控系統(tǒng)[2]、供水網(wǎng)絡(luò)[3]等.智能電網(wǎng)從總體上可以視為由信息網(wǎng)和電力網(wǎng)這兩個相互依存的網(wǎng)絡(luò)構(gòu)成的一個復(fù)合網(wǎng)絡(luò),也是一個典型的CPS[4].同步相量測量裝置(Phasor measurement units,PMUs)、廣域測量系統(tǒng) (Wide-area measurement systems,WAMS)、變電站自動化等技術(shù)為智能電網(wǎng)的實現(xiàn)提供了堅實的基礎(chǔ),但同時也增加了智能電網(wǎng)對信息資源的依賴.一旦信息網(wǎng)出錯或崩潰,電力網(wǎng)一般很難保持正常運(yùn)行.這也為電力系統(tǒng)安全穩(wěn)定運(yùn)行帶來了新的問題[5]:首先,隨著PMUs布點的增多,調(diào)度數(shù)據(jù)網(wǎng)中傳送的PMUs數(shù)據(jù)的比例將會越來越大,PMUs長期不間斷且高刷新頻率的傳送導(dǎo)致海量的狀態(tài)和控制信息等在通信網(wǎng)絡(luò)上傳送,可能會產(chǎn)生網(wǎng)絡(luò)擁塞,影響數(shù)據(jù)實時傳送;其次,與電力的物理系統(tǒng)相比,信息系統(tǒng)對惡意攻擊具有更明顯的脆弱性.由于通信網(wǎng)絡(luò)的開放性,會導(dǎo)致電力系統(tǒng)面臨各種類型網(wǎng)絡(luò)攻擊,造成失穩(wěn)甚至毀壞.如2015年12月23日烏克蘭電網(wǎng)遭受協(xié)同攻擊導(dǎo)致近8萬用戶家庭突發(fā)停電事故,這次事故被認(rèn)為是第一起由于網(wǎng)絡(luò)攻擊直接導(dǎo)致停電事故的案例.

針對上述問題,已有一些學(xué)者進(jìn)行了相關(guān)的研究[5-10].文獻(xiàn)[6]首次將事件觸發(fā)機(jī)制引入多域電力系統(tǒng)負(fù)荷頻率控制(Load frequency control,LFC)中,有效減少了數(shù)據(jù)傳輸量;文獻(xiàn)[8]提出了一種彈性事件觸發(fā)機(jī)制,應(yīng)用于多域電力系統(tǒng)LFC當(dāng)中,在考慮網(wǎng)絡(luò)攻擊的情況下保證電力系統(tǒng)的穩(wěn)定性,并減少了傳輸?shù)臄?shù)據(jù)量;文獻(xiàn)[9]提出一種針對電力系統(tǒng)狀態(tài)估計的錯誤數(shù)據(jù)注入攻擊防御與檢測機(jī)制,從保護(hù)和檢測兩方面入手;基于保護(hù)的防御,主要是識別和保護(hù)關(guān)鍵的傳感器,使系統(tǒng)更能抵御攻擊;基于檢測的防御,設(shè)計了基于空間和基于時間的檢測方案,以準(zhǔn)確識別數(shù)據(jù)注入攻擊.文獻(xiàn)[10]介紹了DoS攻擊下電網(wǎng)的LFC方法,通過將電力系統(tǒng)建模為切換系統(tǒng),檢測DoS(Denial-of-service,DoS)攻擊的存在,以雙域電力系統(tǒng)為例,分析了系統(tǒng)性能問題.由于電動汽車(Electric vehicles,EVs)具有良好的環(huán)境特征,如溫室氣體排放量少,噪聲污染低等,并且可用于提高電力系統(tǒng)的可靠性和靈活性[11].本文將EVs引入智能電網(wǎng)中,與負(fù)荷頻率控制相結(jié)合,快速抑制系統(tǒng)擾動所引發(fā)的頻率變化.在考慮DoS攻擊的情況下,對電力CPS進(jìn)行穩(wěn)定性分析,并對事件觸發(fā)機(jī)制和控制器進(jìn)行聯(lián)合設(shè)計,從而達(dá)到理想的控制效果.

1 系統(tǒng)模型

在本文中,假設(shè)存在大量可用的EVs,即存在足夠的電能儲備以達(dá)到協(xié)助傳統(tǒng)電力單元實現(xiàn)負(fù)荷頻率調(diào)節(jié)的目的,控制中心通過聚合器對EVs進(jìn)行集中管理,聚合器將分散的各EVs的信息和狀態(tài)收集起來,發(fā)送給控制中心.

由于EVs的接入,LFC系統(tǒng)中產(chǎn)生了新的時變時延.本文假設(shè)所有的同步電機(jī)都有再熱熱渦輪機(jī),為了便于說明,對于電力CPS,我們將每個域的M個EVs等效為一個,控制器的輸出按比例分配給EVs和再熱電機(jī),其中αi0,αi1表示分配比例.如圖1所示,不考慮彈性事件觸發(fā)機(jī)制和網(wǎng)絡(luò)環(huán)境下,包含EVs的電力CPS動態(tài)模型可以描述為[12]

圖1 基于彈性事件觸發(fā)機(jī)制的電力CPS負(fù)載頻率控制模型Fig.1 Grid CPS LFC model with a resilient event-triggered scheme

表1 帶EVs電力CPS負(fù)載頻率控制模型參數(shù)(i=1,2,···,n)Table 1 Parameters of power CPS LFC model including EV aggregators(i=1,2,···,n)

表1給出了系統(tǒng)中具體的符號意義.每個區(qū)域i的ACE(Area control error)信號定義為頻率偏差與區(qū)域之間聯(lián)絡(luò)線電力交換之和:

假設(shè)傳輸線路為無損傳輸,電力CPS控制各區(qū)域之間的聯(lián)絡(luò)線功率交換滿足.

注1[13].EVs參與負(fù)載頻率控制可分為兩種模式,SOC(State of charge)可控模式和SOC空閑模式.SOC空閑模式,即EV從電網(wǎng)中消耗電能或釋放電能不考慮EV電池的充電狀態(tài),此時第m輛EV的增益,其中.而SOC可控模式中由于EV使用者的需要,第m輛EV參與負(fù)載頻率控制時需要考慮SOC,因此通過SOC計算和當(dāng)前SOC的值可以獲得EV的增益,其中表示電池的設(shè)計規(guī)格,SOClow(high)為低(高)電池SOC,SOCmax(min)為最大(最小)電池SOC.假設(shè)在t時刻,區(qū)域i中有Me輛EVs參與LFC,其中Me1表示處于SOC空閑模式的EVs,Me2=Me-Me1表示處于SOC可控模式的EVs,則區(qū)域i總的EVs增益.

2 事件觸發(fā)通信機(jī)制

2.1 傳統(tǒng)事件觸發(fā)機(jī)制

早期事件觸發(fā)機(jī)制是所謂的連續(xù)事件觸發(fā),需要特殊硬件對狀態(tài)進(jìn)行連續(xù)監(jiān)測.此外,在觸發(fā)機(jī)制設(shè)計中,必須確保任意兩個事件觸發(fā)時刻之間的最小時間間隔嚴(yán)格大于零,如果最小事件間隔時間為零,就會出現(xiàn)無限事件發(fā)生在有限時間內(nèi)的奇諾(Zeno)現(xiàn)象[14].為了解決這兩個問題,文獻(xiàn)[15]提出一種基于采樣數(shù)據(jù)的離散型事件觸發(fā)機(jī)制:

當(dāng)上述條件違背時,傳感器將采樣數(shù)據(jù)傳輸給控制器.其中tk為事件觸發(fā)時刻,?＞0為觸發(fā)矩陣,σ∈(0,1)為觸發(fā)參數(shù),h為采樣周期.該觸發(fā)機(jī)制可以保證最小事件間隔Tetc≥h,避免出現(xiàn)Zeno現(xiàn)象,并且不需要特殊硬件對狀態(tài)進(jìn)行連續(xù)監(jiān)測.

2.2 彈性事件觸發(fā)機(jī)制

本文假設(shè)DoS攻擊的能量是有限的,即DoS攻擊的持續(xù)時間是有限的,當(dāng)DoS攻擊發(fā)生時通信中斷.DoS攻擊的發(fā)生將直接導(dǎo)致通信信道上正在傳輸?shù)臄?shù)據(jù)丟失,因此并不是所有事件觸發(fā)時刻的狀態(tài)都能成功傳輸?shù)娇刂破鱾?cè).假設(shè)DoS攻擊發(fā)生時,連續(xù)丟包量為τM,那么DoS攻擊的持續(xù)時間τdos≤τMTetc,為了簡單起見,取τdos≤τMh.此時,傳統(tǒng)事件觸發(fā)機(jī)制(3)將不能直接用于判斷采樣數(shù)據(jù)傳輸與否.為了消除DoS攻擊所產(chǎn)生的影響,提出下列彈性事件觸發(fā)機(jī)制:σr為事件觸發(fā)參數(shù).通常,σr＜σ,也就是說彈性事件觸發(fā)機(jī)制將會產(chǎn)生更多的觸發(fā)狀態(tài)用以消除DoS攻擊對系統(tǒng)所造成的影響.此時,將存在三個時刻,采樣時刻kh,觸發(fā)時刻rk和成功傳輸?shù)娇刂破鱾?cè)的時刻tk.令S0={0,h,2h,3h,···,jh},j∈N,S1={0,r1,r2,r3,···,rk},rk/h∈N,S2={0,t1,t2,t3,···,tk},tk/h∈N,則S2?S1?S0.當(dāng)σr=σ時,意味著沒有DoS攻擊發(fā)生.下文將推導(dǎo)出系統(tǒng)所能容忍的DoS攻擊最大持續(xù)時間.

定義

結(jié)合d(t)和定義,當(dāng)t∈[tk+dτk,tk+1+dτk+1)時,系統(tǒng)(5)可以變形為

本文的主要目的是在DoS攻擊的情況下研究電力系統(tǒng)的穩(wěn)定性、設(shè)計彈性事件觸發(fā)機(jī)制和控制器聯(lián)合求解方案,同時系統(tǒng)還滿足如下條件:

1)當(dāng)負(fù)載干擾為零時(即ΔPd=0),電力系統(tǒng)在DoS攻擊下是漸近穩(wěn)定的;

2)當(dāng)系統(tǒng)的初值為零時,對于任意非零ΔPd∈L2[0,∞),有,其中γ是給定的H∞性能.

3 主要結(jié)果

引理1[16].令矩陣R1,R2為正定矩陣,標(biāo)量a∈(0,1),以及向量ω1,ω2∈Rm,那么對于任意矩陣Y1,Y2∈Rm×m,下列不等式成立:

本節(jié)對基于事件觸發(fā)機(jī)制的電力CPS進(jìn)行穩(wěn)定性分析,選擇Lyapunov-Krasovskii泛函為

其中,U,Q對稱,R＞0.應(yīng)用Jensen不等式,

從而得到:

由上式,當(dāng)矩陣U和Q滿足,此時并不需要U,Q和R都正定.對V(t)進(jìn)行求導(dǎo),

3.1 不考慮DoS攻擊情況下的H∞性能分析

應(yīng)用文獻(xiàn)[17]中的Lemma 1,

因此

結(jié)合傳統(tǒng)事件觸發(fā)機(jī)制(3),對于t∈[tk+dτk,tk+1+dτk+1),我們可以得到:

使用Schur補(bǔ),可以得到當(dāng)存在R＞0,對稱矩陣U,Q,實矩陣Y1,Y2以及標(biāo)量,滿足,并且LMIs(7)和(8)成立時,系統(tǒng)(6)漸近穩(wěn)定.

同時,當(dāng)LMIs(7)和(8)成立時,我們可以得到:

因為x(t)在t上連續(xù),所以在t上也連續(xù).因此對不等式兩邊同時從0到∞對t進(jìn)行積分,可得:

從而在零初始條件下,

3.2 考慮DoS攻擊情況下的H∞穩(wěn)定性分析

本節(jié)將在DoS攻擊發(fā)生時,基于彈性事件觸發(fā)機(jī)制(4)對系統(tǒng)進(jìn)行穩(wěn)定性分析,找出彈性觸發(fā)參數(shù)σr以及所能容忍的最大DoS攻擊持續(xù)時間.

定理1.對于給定的標(biāo)量,當(dāng)存在實矩陣R＞0,?＞0,對稱矩陣Q,U滿足,實矩陣Y1,Y2以及給定的控制器增益矩陣K使得LMIs(7)和(8)成立,那么在彈性事件觸發(fā)機(jī)制(4)下,系統(tǒng)(1)漸近穩(wěn)定,并且σr滿足:

同時,當(dāng)σr已知的情況下,由式(10)可以得到系統(tǒng)所能容忍的最大DoS攻擊持續(xù)時間

證明.為了符號表示方便,我們假設(shè)在兩次成功傳輸時刻的區(qū)間[tk,tk+1)存在τM個由于DoS攻擊所造成的未成功傳輸?shù)怯|發(fā)的狀態(tài)x(rj),其中tk=r0＜r1＜r2＜···＜rτM＜rτM+1=tk+1.

因此,區(qū)間 [tk,tk+1)可以分為多個小區(qū)間[rj,rj+1),j∈{0,1,2,···,τM}.

其中,t∈[rj,rj+1),t=rj+lh,l∈N.應(yīng)用彈性事件觸發(fā)機(jī)制(4),

所以

由于t∈[rj,rj+1),數(shù)據(jù)包沒有成功傳輸,因此,

結(jié)合式(11)和(12)即可以得到定理1.□

3.3 彈性事件觸發(fā)機(jī)制和負(fù)載頻率控制器協(xié)同設(shè)計

本節(jié)將在第3.1節(jié)和第3.2節(jié)穩(wěn)定性分析的基礎(chǔ)上,對彈性事件觸發(fā)矩陣和控制器進(jìn)行聯(lián)合設(shè)計,從而達(dá)到理想的控制效果.

定理2.對于給定的參數(shù)γ＞0,0,在彈性事件觸發(fā)通信機(jī)制(4)情況下,存在正定矩陣R,?,對稱矩陣Q,U滿足U+0,以及實矩陣P,Y1和Y2使得下列不等式成立,此時系統(tǒng)(1)漸近穩(wěn)定,H∞控制器增益K=Kc(CP)+:

其中

證明.選擇非奇異實矩陣P[18],令P z(t).則,當(dāng)t∈[tk+dτk,tk+1+dτk+1)系統(tǒng)(1)變形為

與第2節(jié)中相似,對d(t)和ez(t)進(jìn)行定義,其中d(t)的定義與第3節(jié)中相同.

則系統(tǒng)(1)可以進(jìn)一步變形為

本節(jié)基于狀態(tài)z選擇與之前相同的Lyapunov-Krasovskii泛函以及相同的證明方法,不同的是在第2.1節(jié)中控制器增益K是預(yù)先給出的,而定理2中可以同時求出控制器增益K以及事件觸發(fā)矩陣.定義,.

從而,可得到

此外

4 仿真案例

本節(jié)我們將第3節(jié)中的相關(guān)結(jié)論應(yīng)用于三域LFC控制系統(tǒng)中,驗證所提出的彈性事件觸發(fā)機(jī)制的有效性,聯(lián)合求出控制器增益K和事件觸發(fā)矩陣.彈性事件觸發(fā)通信機(jī)制與三域電力系統(tǒng)LFC的統(tǒng)一框架如圖1所示,其中的相關(guān)參數(shù)[19]見表2.

表2 帶EVs三域LFC模型參數(shù)(i=1,2,3)Table 2 Parameters of three-area LFC model including EV aggregators(i=1,2,3)

令h=0.01,控制器增益KPi=0.2,KIi=0.2,i=1,2,3,分配比例α0=0.9,α1=0.1.如表3所示,給定σ和σr,基于定理1我們可以得到DoS攻擊最大持續(xù)時間τdos的值.從中可以看出彈性事件觸發(fā)機(jī)制可以容許DoS攻擊所造成的數(shù)據(jù)包丟失,當(dāng)攻擊持續(xù)時間小于τdos時,系統(tǒng)保持穩(wěn)定.此外,當(dāng)給定σ和τM時,也可以求出σr的值.從表3可以看出,σr越大,τdos越小,這是因為σr越大,信道上傳輸?shù)臄?shù)據(jù)量越小,從而在保證系統(tǒng)穩(wěn)定的情況下,所能允許的DoS攻擊造成的數(shù)據(jù)丟失量越小,因此系統(tǒng)所能承受的最大攻擊持續(xù)時間越小.當(dāng)σ=σr=0.01時,系統(tǒng)觸發(fā)次數(shù)為389次,而根據(jù)文獻(xiàn)[7-8]所提方法可以得到觸發(fā)次數(shù)分別為398次和457次,因此可以看出本文所提方法可以得到更少的觸發(fā)次數(shù),有利于節(jié)約通信資源.

表3 給定不同的σ和σr,最大連續(xù)丟包量τM和攻擊持續(xù)時間τdos的值Table 3τMand τdosfor different σand σr

基于定理2,給定σr=0.01時,使用Matlab/LMI工具箱,可以同時得到控制器增益和彈性事件觸發(fā)矩陣如下:

此時,系統(tǒng)的響應(yīng)曲線如圖2所示,由圖中可以看出系統(tǒng)處于穩(wěn)定狀態(tài).

圖2 系統(tǒng)變化頻率曲線和功率交換曲線Fig.2 The curve of frequency variation and power transfer

5 結(jié)論

本文將電動汽車引入電力CPS中,提出了一種彈性事件觸發(fā)機(jī)制,能夠容忍DoS攻擊所造成的數(shù)據(jù)包丟失,并給出了系統(tǒng)所能承受的最大DoS攻擊持續(xù)時間.構(gòu)建新型Lyapunov-Krasovskii泛函,對系統(tǒng)進(jìn)行穩(wěn)定性分析,并聯(lián)合求出彈性控制器增益和事件觸發(fā)矩陣.所得到的時滯依賴穩(wěn)定性條件中,矩陣U,Q只需要對稱即可,放松了對其正定性的要求.由于所提出的彈性事件觸發(fā)通信機(jī)制,在保證電力CPS穩(wěn)定的情況下,LFC控制器輸入只在需要的時候進(jìn)行更新,并可以消除DoS攻擊對系統(tǒng)穩(wěn)定性所造成的不利影響.最后,通過三域電力系統(tǒng)仿真,驗證了所提出方法的有效性.