陳郁林，齊冬蓮，李真鳴，王震宇，張建良，于 淼

（浙江大學電氣工程學院,浙江省杭州市132012）

0 引言

隨著分布式電源（distributed generator,DG）的廣泛接入和智能化電網(wǎng)建設(shè)的持續(xù)發(fā)展,配電網(wǎng)已逐漸變成一種有源、可控、靈活的有源配電網(wǎng)信息物理系統(tǒng)（cyber-physical system,CPS）［1-2］。有源配電網(wǎng)CPS的發(fā)展不但提高了對配電網(wǎng)的控制能力,也為電力CPS的建設(shè)提供了條件。然而,以智能設(shè)備構(gòu)筑的感知層和控制層因涉及面廣、安裝量大的特點,受到網(wǎng)絡(luò)攻擊的風險較高［3-4］。具體表現(xiàn)為全球電力二次系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā)［5-6］。因此,有源配電網(wǎng)CPS的網(wǎng)絡(luò)安全對于其進一步發(fā)展至關(guān)重要。微電網(wǎng)作為有源配電網(wǎng)CPS的重要組成部分,也繼承了相關(guān)特性。微電網(wǎng)不但可以連接主網(wǎng)運行,而且能夠脫離主網(wǎng)獨立管理系統(tǒng)內(nèi)部的能量流。這種即插即用的特點使得微電網(wǎng)CPS在保持電網(wǎng)的持續(xù)可靠供電和提高DG的滲透率方面發(fā)揮了重要作用。為了提高微電網(wǎng)的運行水平,常采用分層控制結(jié)構(gòu)［7-8］對微電網(wǎng)進行控制。分層控制結(jié)構(gòu)通常包含一次控制層、二次控制層和三次控制層。控制層之間相互配合,能夠有效確保微電網(wǎng)CPS的穩(wěn)定運行。

二次控制在保證孤島運行微電網(wǎng)穩(wěn)定性方面的作用十分關(guān)鍵［9-10］。分布式控制模式以其靈活性、高可靠性和可擴展性的優(yōu)點逐漸取代了集中式控制模式［11-15］。但由于涉及較多控制決策和信息通信過程,分布式控制非常容易受到網(wǎng)絡(luò)攻擊。網(wǎng)絡(luò)攻擊輕則會使控制算法無法達到控制目標,導(dǎo)致微電網(wǎng)頻率和電壓發(fā)生偏差；重則會導(dǎo)致微電網(wǎng)崩潰,帶來嚴重的經(jīng)濟損失。因此,為消除攻擊對系統(tǒng)的破壞,研究能夠抵御攻擊的分布式控制算法具有重要的現(xiàn)實意義。

在眾多的攻擊類型中,虛假數(shù)據(jù)注入（false data injection,FDI）攻擊可以在不引起控制器跟蹤誤差的前提下施加攻擊,很難被分布式控制器直接檢測并消除。以注入量為常值的FDI攻擊為研究對象,文獻［16-18］提出了基于狀態(tài)觀測器和信任因子的攻擊抑制算法,力圖減輕或消除攻擊對系統(tǒng)的影響。但這些算法主要采用建立評估信息可靠性的機制或建立狀態(tài)觀測器的方法,僅能減輕攻擊造成的影響,且計算復(fù)雜度高,不利于算法在控制器中的集成?；诖?針對注入量為常值的FDI攻擊,本文首先分析了FDI攻擊對微電網(wǎng)分布式協(xié)同控制的影響,然后基于常值微分為0的性質(zhì),設(shè)計了一種抵御FDI攻擊的分布式協(xié)同控制方法,該方法不需要建立復(fù)雜的評估機制,不依賴狀態(tài)觀測器,能夠完全消除注入量為常值的FDI攻擊對系統(tǒng)的影響,且能夠應(yīng)對所有DG受到攻擊的情況。

1 基于分布式協(xié)同控制的微電網(wǎng)頻率二次控制

在微電網(wǎng)分層控制結(jié)構(gòu)中,傳統(tǒng)的分布式協(xié)同控制在沒有攻擊的理想情況下能夠保證系統(tǒng)在孤島運行時的頻率運行在額定頻率［19-25］。

1.1 網(wǎng)絡(luò)圖論基本知識

一個由n個節(jié)點構(gòu)成的網(wǎng)絡(luò)拓撲G可以由節(jié)點集V={v1,v2,…,vn}和邊集E?V×V表示,即為G?(V,E),其中vi為第i個節(jié)點。若節(jié)點vi能夠收到節(jié)點vj的信息,則節(jié)點vj稱為vi的鄰居節(jié)點。節(jié)點vi的鄰居節(jié)點的集合定義為Ni={j|(vj,vi)∈E}。

網(wǎng)絡(luò)拓撲G的拉普拉斯矩陣L定義為:

式中:A為拓撲的鄰接矩陣,如果(vj,vi)∈E,即節(jié)點vi收到節(jié)點vj的信息,則矩陣A的元素aij=1,否則aij=0。

通過定義可知L e=0,其中e為元素為1的n維列向量。從節(jié)點vi到節(jié)點vj的路徑可表示為一組邊的序列,即(vi,vk),(vk,vl),…,(vm,vj)。若拓撲圖中從根節(jié)點到任意節(jié)點都存在至少1條路徑,則稱拓撲圖中包含1個生成樹。

領(lǐng)導(dǎo)節(jié)點v0通過邊與至少1個節(jié)點vi相連,記連接權(quán)值為bi,稱為連接增益。若bi=1,則表明vi與領(lǐng)導(dǎo)節(jié)點相連,否則bi=0。連接增益矩陣B的表達式為B=diag{b1,b2,…,bn}。本文假設(shè)通信拓撲圖是連通的,且包含1個以領(lǐng)導(dǎo)節(jié)點v0為根節(jié)點的生成樹。

1.2 微電網(wǎng)分布式協(xié)同控制

在微電網(wǎng)中,DG通過逆變器向微電網(wǎng)供電。根據(jù)控制目標的不同,DG逆變器可分為流控電壓源型逆變器（current controlled voltage source inverter,CCVSI）和壓控電壓源型逆變器（voltage controlled voltage source inverter,VCVSI）這2種。其中CCVSI只能跟蹤微電網(wǎng)的頻率和電壓提供相應(yīng)的有功功率和無功功率,而VCVSI可調(diào)整DG的頻率和電壓,可控性更好。因此,在孤島運行的微電網(wǎng)中,DG的端口逆變器往往采用VCVSI,其主要由直流電源、橋式逆變電路、功率控制器、電壓控制器、電流控制器和濾波器等組成。

在功率控制器中,下垂控制技術(shù)用于控制逆變器輸出的有功功率和無功功率。其模擬了同步發(fā)電機有功功率-角頻率和無功功率-電壓的關(guān)系,具體表達式為:

式中:ωi和Umag,i分別為逆變器i的輸出角頻率和電壓；Pi和Qi分別為逆變器i的輸出有功功率和無功功率；mp,i和nq,i分別為逆變器i的有功和無功下垂系數(shù),可通過逆變器的額定值獲得；ωn,i和Un,i分別為逆變器i的角頻率和電壓設(shè)定點。

下垂控制會導(dǎo)致頻率和電壓的偏差,因此,需要二次控制來進行補償。二次控制的目標是通過調(diào)節(jié)角頻率和電壓設(shè)定點將頻率和電壓恢復(fù)到正常工作范圍內(nèi)。本文只對攻擊下的分布式協(xié)同控制進行分析,因此控制目標為:在存在攻擊的情況下,設(shè)計二次控制算法,使式（3）成立。

式中:i=1,2,…,n,其中n為DG的個數(shù)；ωref為參考角頻率。

為了利用分布式協(xié)同控制實現(xiàn)上述控制目標,需要設(shè)計輔助控制器來獲取式（2）中的控制輸入ωn,i。將式（2）進行微分為:

根據(jù)式（4）,可將包含n個DG的微電網(wǎng)頻率恢復(fù)問題轉(zhuǎn)化為一階線性多智能體系統(tǒng)的跟蹤同步問題,即

為實現(xiàn)各個DG角頻率與參考角頻率一致,采用Leader-follower一致性控制算法設(shè)計控制率［12-14］。由于只依賴本地和通信拓撲圖中的鄰居節(jié)點信息,則傳統(tǒng)的分布式協(xié)同控制算法的控制輸入可設(shè)計為:

由式（4）可導(dǎo)出二次控制的設(shè)定點為:

根據(jù)式（6）及系統(tǒng)動態(tài)特性,結(jié)合下垂控制,可分布式地實現(xiàn)DG頻率的恢復(fù)［11］。

2 FDI攻擊下的微電網(wǎng)分布式協(xié)同控制算法

由引言可知,當微電網(wǎng)控制系統(tǒng)受到惡意網(wǎng)絡(luò)攻擊時,會導(dǎo)致控制目標無法實現(xiàn),甚至會產(chǎn)生遠超物理設(shè)備故障導(dǎo)致的后果。攻擊者可以從微電網(wǎng)的建設(shè)和生產(chǎn)環(huán)節(jié)中尋找漏洞實施攻擊。例如,攻擊者可以預(yù)先在設(shè)備采購供應(yīng)鏈環(huán)節(jié)植入惡意代碼,并適時誘導(dǎo)惡意代碼發(fā)作實施預(yù)設(shè)的攻擊行為。這也是FDI攻擊實施攻擊的常用手段。對分布式控制系統(tǒng)而言,注入量為常值的FDI攻擊可以在不引起系統(tǒng)跟蹤誤差的前提下破壞系統(tǒng)的性能［17］。由于缺乏全局信息,傳統(tǒng)分布式協(xié)同控制在實施過程中很難檢測并消除FDI攻擊。因此,本文針對注入量為常值的FDI攻擊,研究其對傳統(tǒng)分布式協(xié)同控制的影響,并提出抗攻擊分布式協(xié)同控制算法。

2.1 FDI攻擊對傳統(tǒng)分布式協(xié)同控制系統(tǒng)的影響

當微電網(wǎng)中分布式協(xié)同控制系統(tǒng)的控制器受到注入量為常值的FDI攻擊時,其數(shù)學模型為:

式中:ci為施加在第i個DG控制器上的FDI攻擊參數(shù)。

由于幅值較大的攻擊會帶來明顯的系統(tǒng)狀態(tài)異常,利用簡單的判斷機制即可捕捉到系統(tǒng)的這種異常變化。FDI攻擊為了避免引起注意,往往不會設(shè)定較大的攻擊幅值。

2.2 2組治療前后RDQ量表評分比較 2組治療后反酸、反流、燒心及胸痛等RDQ量表評分比較。中年治療組與對照組比較，χ2=4.24，P=0.039(P＜0.05)，差異具有統(tǒng)計學意義；老年治療組與對照組比較，χ2=10.881，P=0.001(P＜0.05)，差異具有統(tǒng)計學意義；中老年治療組比較，χ2=4.9，P=0.028(P＜0.05)，差異具有統(tǒng)計學意義；中老年對照組比較，χ2=0.60，P=0.438(P＞0.05)，差異無統(tǒng)計學意義。詳見表2。

由定理1證明在分布式協(xié)同控制器受到攻擊的情況下,無法實現(xiàn)控制目標。為證明定理1,引入以下引理。

引理:矩陣L+B為可逆矩陣。

定理1:式（6）在攻擊存在時,不能保證每個DG的角頻率恢復(fù)到參考角頻率,會產(chǎn)生與攻擊量有關(guān)的偏差。具體為:

式 中:ω=[ω1,ω2,…,ωn]T為 角 頻 率 向 量；C=[c1,c2,…,cn]T為攻擊向量。證明過程如附錄A所示。

由定理1可知,傳統(tǒng)分布式協(xié)同控制算法在注入量為常值的FDI攻擊下無法實現(xiàn)式（3）,會產(chǎn)生一個與攻擊向量有關(guān)的偏差,造成DG輸出頻率不同步,進而會破壞有功功率的平衡,發(fā)生頻率波動,從而影響整個系統(tǒng)的穩(wěn)定性。因此,設(shè)計能夠抵御攻擊的分布式協(xié)同控制算法十分重要。

2.2 FDI攻擊下的分布式協(xié)同控制算法設(shè)計與穩(wěn)定性分析

為消除注入量為常值的FDI攻擊對二次控制的影響,根據(jù)常值微分為0的特性和定理1的分析過程,設(shè)計新型抗攻擊分布式協(xié)同控制算法為:

定理2:式（10）能夠消除注入量為常值的FDI攻擊的影響,保證式（3）成立,且攻擊可以發(fā)生在任意DG上,攻擊的幅值可以任意大,即

證明過程如附錄A所示。證明過程表明,理論上,該算法能夠消除在任意DG上,任意大幅值的注入量為常值的FDI攻擊。

2.3 與現(xiàn)有抵御攻擊算法對比分析

文獻［17］利用容錯機制在一定程度上解決了注入量為常值的FDI攻擊下的微電網(wǎng)二次控制問題。其具體做法如下。

首先,為每個DG引入1個狀態(tài)觀測器為:

然后,定義本地鄰居跟蹤絕對誤差εi為:

該誤差的特點為:無論存在攻擊與否,εi→0,且t→∞。

定義偏差σi為:

該偏差的特點為:當不存在攻擊時,σi→0,且t→∞；當存在攻擊時,σi＞0,且t→∞。

利用二者在攻擊存在時的差異,設(shè)計評價第i個DG本地信息可靠性的自信因子Ci,其計算方法為:

式中:Δi為閾值。

根據(jù)定義可知,當不存在攻擊時,|σi?εi|=0,使得Ci=1,且t→∞。當?shù)趇個DG被攻擊時,|σi?εi|?Δi,使得Ci＜1,且t→∞。因此,自信因子能夠評價自身受到攻擊的嚴重程度,且攻擊造成的偏差差異越大,Ci越小。

除判斷自身是否受到攻擊以外,還可以利用鄰居的觀測值設(shè)計信任因子rij來判斷鄰居節(jié)點的信息的可靠性。其計算方法為:

式中:Θi為設(shè)計的閾值。

結(jié)合式（15）—式（18）得到用于判斷第i個DG傳遞給第j個DG信息的可信程度因子Tij為:

由設(shè)計規(guī)則可知,0≤Tij≤1。

共同考慮本地與鄰居節(jié)點信息的可靠性,最終設(shè)計得到抵御攻擊的控制為:

將評價本地與鄰居節(jié)點信息可靠性的因子嵌入到控制器中,利用攻擊造成的差異越大,因子值越小的特性,在控制器執(zhí)行過程中逐漸減小攻擊的擴散傳播,從而達到減小攻擊破壞程度的效果。從分析中可知,該算法只能減小攻擊的破壞程度,不能完全消除攻擊造成的影響。

結(jié)合上述分析,本文方法與該方法相比的優(yōu)勢如下。

1）不需要額外設(shè)計狀態(tài)觀測器對本地和鄰居節(jié)點的角頻率狀態(tài)進行觀測。

2）不需要計算本地和鄰居節(jié)點信息的可靠性,降低了決策單元的計算負擔。

3）能夠完全消除攻擊造成的不利影響,使得DG的頻率最終能夠嚴格跟蹤到參考頻率。

3 算例分析

為驗證算法的有效性,采用如圖1所示的微電網(wǎng)系統(tǒng)作為研究對象。該微電網(wǎng)中包含4個DG和3個集成負荷（連接在同一條母線上的負荷需求總和）L1至L3。其中DG的容量、下垂控制系數(shù)和負荷需求分別如附錄A表A1和表A2所示。在MATLAB的Simulink中搭建相應(yīng)的網(wǎng)絡(luò)拓撲及DG模型進行仿真。

圖1 微電網(wǎng)系統(tǒng)拓撲結(jié)構(gòu)圖Fig.1 Topology of microgrid system

采用文獻［17］中的算法進行對比實驗,進一步突出本文抗攻擊分布式協(xié)同控制算法的性能。

整個仿真過程中事件包括:t=0 s時,微電網(wǎng)脫離主網(wǎng)運行；t=1.5 s時,執(zhí)行二次控制；在t=3 s時,注入攻擊。實驗驗證的2種攻擊情況分別為DG3控制器單獨受到攻擊（如圖2（a）所示）和所有DG控制器受到攻擊（如圖2（b）所示）,攻擊向量分別為[0,0,0.3,0]T和[0.3,0.2,?0.3,0.4]T。

圖2 注入量為常值的FDI攻擊示意圖Fig.2 Schematic diagram of FDI attacks with constant injection

微電網(wǎng)系統(tǒng)環(huán)境無攻擊時,在傳統(tǒng)二次控制算法下,DG的頻率如圖3所示?？梢?傳統(tǒng)次級控制在沒有攻擊的情況下,能夠?qū)⑽㈦娋W(wǎng)孤島運行時的頻率同步在50 Hz的額定值。

圖4給出了運用圖2（a）攻擊場景下傳統(tǒng)次級控制算法、文獻［17］的頻率二次控制算法和本文方法得到的4個DG的輸出頻率。從圖4（a）中可以看出,DG3僅受到幅值較小的常值注入,所有DG的輸出頻率超出頻率允許范圍,且不能保持同步,極有可能引發(fā)更嚴重的系統(tǒng)穩(wěn)定問題。因此,重視配電網(wǎng)網(wǎng)絡(luò)安全,研究抵御攻擊的控制方法對于系統(tǒng)的穩(wěn)定運行具有重要意義。

圖3 無攻擊時傳統(tǒng)分布式協(xié)同控制效果曲線Fig.3 Effect curves of traditional distributed cooperative control without any attack

圖4 DG3受到攻擊時二次控制效果曲線Fig.4 Effect curves of secondary control when DG3 is attacked

由圖4（b）和圖4（c）可知,與傳統(tǒng)頻率二次控制方法相比,文獻［17］的控制算法抑制了攻擊在控制系統(tǒng)中的傳播,使得DG1、DG2和DG4的頻率同步在額定值,但未能消除DG3因攻擊產(chǎn)生的頻率偏差,長時間運行也可能引發(fā)系統(tǒng)穩(wěn)定問題。而本文方法則實現(xiàn)了攻擊的完全消除,保證了所有DG的頻率同步在額定頻率。驗證了本文方法的有效性和優(yōu)越性。

為進一步驗證本文方法能夠應(yīng)對較多DG受到攻擊的情況,選用圖2（b）所示的場景。圖5給出了傳統(tǒng)次級控制算法、文獻［17］頻率二次控制算法和本文方法在受到攻擊后,4個DG的輸出頻率。由圖5（a）可知,與DG3受到攻擊的情況類似,所有DG的輸出頻率均超過允許范圍,且不能保持同步。但由于DG都受到攻擊,此場景下頻率偏差更加嚴重。

由圖5（b）和圖5（c）可知,文獻［17］的控制算法與傳統(tǒng)方法相比,雖然減輕了攻擊的不利影響,但每個DG的輸出頻率仍然超過了允許范圍,且不能同步,可見,文獻［17］方法無法應(yīng)對所有DG受到攻擊的情況,算法具有較大的局限性。而本文方法則仍然能夠保證所有DG輸出頻率同步在額定值,完全消除了攻擊的影響,進一步驗證了所提抗攻擊分布式協(xié)同控制算法在應(yīng)對注入量為常值的FDI攻擊時的有效性。

圖5 所有DG受到攻擊時二次控制效果曲線Fig.5 Effect curves of secondary control when all DGs are attacked

4 結(jié)語

微電網(wǎng)CPS容易受到網(wǎng)絡(luò)攻擊,針對注入量為常值的FDI攻擊,本文分析了攻擊對傳統(tǒng)分布協(xié)同控制的影響,利用常值微分為0的性質(zhì),設(shè)計了能夠完全消除注入量為常值的FDI攻擊的分布式控制器。經(jīng)仿真驗證,與現(xiàn)有抵御攻擊的分布式協(xié)同控制方法相比,所提方法不需要設(shè)計復(fù)雜的參數(shù)評估鄰居信息的可信性,不依賴額外的估計器和通信網(wǎng)絡(luò),能夠完全消除攻擊的影響,且能夠應(yīng)對所有DG受到攻擊的情況,具有較高的實用性。

雖然所提抗攻擊分布式協(xié)同控制算法能夠有效抵御注入常值對執(zhí)行器的攻擊,但對感知器和通信鏈路遭受攻擊的情況仍需要進一步深入研究。未來還可將研究重點聚焦于研究能夠應(yīng)對更多類型注入式攻擊的分布式協(xié)同控制算法上。