雷傲宇，劉蔚，周劍，梅勇，楊榮照，毛振宇

(1.中國南方電網(wǎng)電力調(diào)度控制中心，廣東 廣州 510663；2.南方電網(wǎng)科學研究院有限責任公司，廣東 廣州 510663)

電力系統(tǒng)是國家關鍵基礎設施，電力安全關系國計民生，國家的金融、通信、交通、供水、供氣、互聯(lián)網(wǎng)等領域基礎設施安全可靠運行都建立在電力持續(xù)穩(wěn)定供應的基礎上。電力安全與政治安全、經(jīng)濟安全、網(wǎng)絡安全、社會安全等總體國家安全體系[1]中的諸多領域密切關聯(lián)。電力安全是國家安全的重要組成和保障，一旦發(fā)生大面積停電事故，可能引發(fā)跨領域連鎖反應，導致重大經(jīng)濟財產(chǎn)損失，甚至引發(fā)社會恐慌，危及國家安全。

新時期電力安全的內(nèi)涵正在發(fā)生深刻變化。世界百年變局與世紀疫情疊加震蕩，世界進入新的動蕩調(diào)整期，國際上恐怖主義、保護主義、遏制主義等有所抬頭，冷戰(zhàn)思維依然存在，世界大國對能源資源的爭奪和尖端科技管制日益加劇。2015年烏克蘭電網(wǎng)遭受網(wǎng)絡攻擊發(fā)生了大停電事故[2]，2019年委內(nèi)瑞拉電網(wǎng)也疑似遭受網(wǎng)絡攻擊和物理攻擊發(fā)生了大停電事故[3-4]。新時期下的網(wǎng)絡攻擊、電磁攻擊和物理攻擊等外部攻擊形式對電力安全構成重大威脅，電力安全風險防控呈現(xiàn)對象更廣、場景更多、要求更高、難度更大等新特點。

我國現(xiàn)有的電力系統(tǒng)安全防御主要依據(jù)《電力系統(tǒng)安全穩(wěn)定導則》中的三級安全穩(wěn)定標準[5]，國內(nèi)學者和電力工作者開展了大量工作[6-11]，構建了成熟、卓有成效的3道防線。但是常規(guī)電力系統(tǒng)安全防御體系針對的場景主要是設備故障和自然災害等，難以應對極端情況下的外部攻擊。因此有必要開展極端情況下電網(wǎng)遭受網(wǎng)絡攻擊、電磁攻擊、物理攻擊等外部攻擊的風險評估。

極端情況下電網(wǎng)遭受外部攻擊的安全防御與電力系統(tǒng)常規(guī)防御模式差異較大，目前缺少對外部攻擊行為的機理/破壞能力、攻擊行為的推演、電網(wǎng)防御外部攻擊的能力、外部攻擊造成的電網(wǎng)安全風險以及極端情況下的電網(wǎng)運行策略等內(nèi)容的深入研究。我國頒布了一些電力系統(tǒng)應對網(wǎng)絡安全、電磁兼容、治安反恐等行為的相關標準和規(guī)范[12-23]，但均未針對極端情況下的外部攻擊。國內(nèi)學者雖然也針對部分攻擊(如網(wǎng)絡攻擊的防范、電磁脈沖的威脅和防御、石墨炸彈的破壞機理和防護策略等)開展了初步研究[24-36]，但研究內(nèi)容還不夠深入，缺少極端情況下電網(wǎng)遭受外部攻擊的風險評估方面的研究成果。

本文針對極端情況下電網(wǎng)遭受外部攻擊的風險評估問題，首先從極端情況下外部攻擊行為的機理/破壞能力、攻擊行為的推演、電網(wǎng)防御外部攻擊的能力、外部攻擊造成的電網(wǎng)故障形態(tài)入手，結合風險理論，提出一種極端情況下電網(wǎng)遭受外部攻擊的暫態(tài)穩(wěn)定風險評估模型。然后，利用提出的評估模型建立網(wǎng)絡攻擊、電磁攻擊、石墨炸彈攻擊和暴恐襲擊這4種典型外部攻擊的暫態(tài)穩(wěn)定風險評估指標和計算方法。最后，以某城市電網(wǎng)為算例，利用提出的模型評估了該城市電網(wǎng)遭受極端情況下4種典型外部攻擊的暫態(tài)穩(wěn)定風險的評估結果。

1 評估模型的構建

1.1 風險評估模型

綜合極端情況下外部攻擊行為的機理/破壞能力、電網(wǎng)防御外部攻擊的能力、外部攻擊造成的電網(wǎng)安全風險等因素，提出的模型框架由外部攻擊、電網(wǎng)防御、故障形態(tài)、電網(wǎng)風險4部分組成，如圖1所示。

圖1 極端情況下電網(wǎng)遭受外部攻擊的風險評估模型

a)外部攻擊。外部攻擊由外部攻擊方式和基于外部攻擊特性的破壞能力過濾器構成。

本文研究的極端情況下電網(wǎng)可能遭受的外部攻擊行為主要包括網(wǎng)絡攻擊、電磁攻擊和物理攻擊(暴恐石墨炸彈攻擊、暴恐襲擊)。

基于外部攻擊特性的破壞能力過濾器主要用于表征外部攻擊的行為特點，用來評估分析攻擊行為帶來的破壞能力和過濾掉不具威脅的攻擊行為。構建過濾器模型時主要考慮以下原則：①最大效能原則——不同攻擊方式具有不同特性和優(yōu)缺點，攻擊方會最大限度利用攻擊方式的優(yōu)勢，發(fā)揮最大效能，實現(xiàn)對電網(wǎng)最大程度的破壞；②優(yōu)先原則——外部攻擊具有較強的目的性，因此會優(yōu)先選擇重要目標作為攻擊對象。

b)電網(wǎng)防御。電網(wǎng)防御由基于電網(wǎng)防護能力的防御攔截器和被攻擊對象構成。

被攻擊對象是指可能會被攻擊的具體電網(wǎng)設施，如母線、變壓器等一次設備、繼電保護等二次設備和系統(tǒng)。

基于電網(wǎng)防護能力的防御攔截器主要用于表征電網(wǎng)針對具體被攻擊對象所采取的防護措施特性。構建攔截器模型時主要考慮以下原則：①合理攔截原則——電網(wǎng)對不同攻擊形式具有不同的防護水平和能力，攔截程度和效果也不同；②隨機突破原則——考慮電網(wǎng)防護能力有限和可能存在的缺陷及漏洞所造成的部分攻擊突破攔截的情況。

c)故障形態(tài)。故障形態(tài)包括外部攻擊行為作用在被攻擊對象后，在電網(wǎng)中表現(xiàn)出來的各種可能的電網(wǎng)故障形式，例如一次設備短路和繼電保護誤動等。故障形態(tài)主要按最嚴重后果原則確定，即從攻擊者角度考慮攻擊行為特性能造成的對電網(wǎng)安全穩(wěn)定威脅最大的故障形式。

d)電網(wǎng)風險評估。電網(wǎng)風險由故障形態(tài)的仿真模擬和風險分析構成。本文主要研究外部攻擊對電網(wǎng)暫態(tài)穩(wěn)定造成的影響，因此故障形態(tài)的仿真模擬主要用于分析故障對電網(wǎng)暫態(tài)穩(wěn)定的影響，得到具體的負荷損失量?；诜抡娼Y果，可以評估外部攻擊造成的電網(wǎng)風險。

1.2 電網(wǎng)風險評估指標和方法

風險理論認為風險是不確定性對事物的影響，是概率和損失的結合，一般以事故發(fā)生的概率和事故造成的損失的乘積表示。

本文根據(jù)風險理論，將圖1風險評估模型中的各環(huán)節(jié)量化。其中電網(wǎng)風險評估指標

(1)

Pi=MiAiDi,

(2)

(3)

式(1)—(3)中：R為電網(wǎng)遭受外部攻擊的整體風險；Pi為目標i遭受外部攻擊的概率，由基于外部攻擊特性的破壞能力過濾器和基于電網(wǎng)防護能力的防御攔截器量化后得到；Ci為目標i的故障損失風險；n為電網(wǎng)中被攻擊目標的總數(shù)；Mi為目標i被選擇的概率；Ai為攻擊目標i成功的概率；Di為防護目標i失敗的概率；Fij為目標i遭受外部攻擊后導致故障j的概率；Lij為故障j給電網(wǎng)造成的損失；mi為目標i遭受外部攻擊后可能導致的故障總數(shù)。

式(2)中的Mi反映了攻擊方認為的目標重要程度，目標越重要被選擇的可能性越大；Ai反映了攻擊方的破壞能力，能力越大，成功攻擊的可能性越高；Di反映了電網(wǎng)的防護能力，防護能力越強，攻擊成功的可能性越低。式(3)中具體故障及其概率根據(jù)故障形態(tài)確定。電網(wǎng)損失是通過仿真得到的故障造成負荷損失量。

式(2)中目標被選擇的概率Mi取決于攻擊者對目標的綜合判斷。這里給出一種用目標的設備系數(shù)、負荷系數(shù)、線路系數(shù)、攻擊難度系數(shù)4個指標并結合不同系數(shù)的權重進行綜合判斷的方法。

(4)

式中Jui為向量Ju中第i個元素的值。

2 4種典型攻擊行為的評估模型

基于第1章的風險評估模型和指標計算方法，對網(wǎng)絡攻擊、電磁攻擊、石墨炸彈攻擊和暴恐襲擊4種極端情況下的典型外部攻擊行為，建立風險評估模型并給出指標的具體計算公式。

2.1 網(wǎng)絡攻擊的風險評估模型

網(wǎng)絡攻擊是針對電力系統(tǒng)中用于監(jiān)視和控制電力生產(chǎn)及供應過程的、基于計算機及網(wǎng)絡技術的業(yè)務系統(tǒng)及智能設備，以及作為基礎支撐的通信及數(shù)據(jù)網(wǎng)絡的攻擊行為。

2.1.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。網(wǎng)絡攻擊的破壞效能包括竊取、泄露、破壞和控制網(wǎng)絡系統(tǒng)，其中對電網(wǎng)的最大破壞效能是控制或破壞電力監(jiān)控系統(tǒng)。

b)優(yōu)先原則。網(wǎng)絡攻擊會優(yōu)先選擇電力監(jiān)控系統(tǒng)中具有最大權限或直接涉及電網(wǎng)實時穩(wěn)定運行的業(yè)務系統(tǒng)或功能模塊作為攻擊對象。

網(wǎng)絡攻擊的破壞能力主要依賴資金和技術的投入。文獻[37]提出利用自然指數(shù)函數(shù)描述資金和技術投入對破壞和防護能力概率關系的方法。這里也采用該方法描述網(wǎng)絡攻擊的破壞能力和防護能力。

將式(2)中Ai具體表達為

Ai=1-e-NSi.

(5)

式中NSi為攻擊方投入的資金和技術資源系數(shù)。如果NSi=0，則攻擊成功概率Ai=0；如果NSi=∞，則Ai=1，即投入無限多資金和技術資源后才能保證成功概率為1。

2.1.2 基于電網(wǎng)網(wǎng)絡防護能力的防御攔截器模型

a)合理攔截原則。電力監(jiān)控系統(tǒng)安全防護是依據(jù)國家信息安全等級保護制度，按照安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證原則建立的網(wǎng)絡攻擊防護能力。

b)隨機破壞原則。電力監(jiān)控系統(tǒng)的網(wǎng)絡防護能力受資源投入限制和可能存在的技術漏洞，仍存在部分網(wǎng)絡攻擊突破攔截的情況。網(wǎng)絡攻擊的防護能力也主要依賴資金和技術的投入。

對于網(wǎng)絡攻擊，式(2)中Di的表達為

Di=e-NGi.

(6)

式中NGi為為防護網(wǎng)絡攻擊目標i投入的資金和技術資源系數(shù)。如果NGi=0，則Di=1，即沒有防護時失敗的概率為1；如果NGi=∞，則Di=0，即投入無限多資金和技術資源后防護失敗概率為0。

2.1.3 故障形態(tài)

網(wǎng)絡攻擊的對象是電力監(jiān)控系統(tǒng)，主要針對電力監(jiān)控系統(tǒng)的遙控模塊、自動發(fā)電控制(automatic generation control，AGC)模塊、自動電壓控制(automatic voltage control，AVC)模塊、繼電保護系統(tǒng)和安穩(wěn)控制系統(tǒng)等重要控制業(yè)務系統(tǒng)或功能模塊。

按照最嚴重后果原則，選出可能對電網(wǎng)穩(wěn)定造成嚴重后果的故障形態(tài)和具體故障，見表1。

表1 網(wǎng)絡攻擊的故障形態(tài)表

為簡化分析，假設網(wǎng)絡攻擊每次攻擊僅導致1種故障形態(tài)，不考慮同時出現(xiàn)多種故障形態(tài)的情況。

2.1.4 風險評估

利用式(1)—(6)和表1可以評估網(wǎng)絡攻擊造成的電網(wǎng)風險。

2.2 電磁攻擊的風險評估模型

電磁攻擊是通過電磁脈沖武器如電磁炸彈等產(chǎn)生的脈沖對電子設備進行干擾或破壞的攻擊行為。本文研究飛機空投電磁炸彈的攻擊方式。

2.2.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。電磁攻擊的破壞效能包括干擾、降能、損傷或損毀電子元器件，對電網(wǎng)的最大破壞效能是損傷或損毀電力監(jiān)控系統(tǒng)的電子元器件。

b)優(yōu)先原則。電磁攻擊會優(yōu)先將電力監(jiān)控系統(tǒng)作為攻擊對象。

電磁炸彈對電子設備的破壞能力取決于爆炸后電磁輻射到達電子設備時的功率密度值，只要達到密度值就會產(chǎn)生攻擊效果，因此電磁炸彈成功的概率取決于是否在目標上空成功引爆?？蓪⑹?2)中Ai表達為

Ai=MSi.

(7)

式中MSi為電磁炸彈在目標i上空成功引爆的概率。

2.2.2 基于電網(wǎng)電磁防護能力的防御攔截器模型

電網(wǎng)對電磁攻擊的防護能力有2個方面：

a)防空能力?？胀峨姶耪◤検紫纫黄茋业姆揽障到y(tǒng)，如果攻擊目標在防空區(qū)內(nèi)，則飛機會遭到防空力量攻擊。這里假設防空失敗的概率為1-λMGi。其中MGi為攻擊目標i在防空區(qū)內(nèi)的概率，λ為防空區(qū)內(nèi)攻擊方飛機被擊落的概率。

b)電力監(jiān)控系統(tǒng)的電磁兼容能力。目前電力監(jiān)控系統(tǒng)設計和設備配置滿足國家電磁兼容相關標準和規(guī)范要求，具有較好的防護能力?？紤]電磁攻擊時功率密度差異和電子設備元器件質量差異，存在電子設備隨機損壞情況。

綜合以上分析，定義式(2)中防護目標i失敗的概率

Di=(1-λMGi)(1-MPi).

(8)

式中MPi為電力監(jiān)控系統(tǒng)未損壞的概率。

2.2.3 故障形態(tài)

電磁攻擊的對象是電力監(jiān)控系統(tǒng)的電子設備，對因電力監(jiān)控系統(tǒng)損失或損壞導致部分業(yè)務系統(tǒng)和功能模塊的誤發(fā)指令或功能失效等具有隨機性。

按照最嚴重后果原則，選出可能對電網(wǎng)穩(wěn)定造成嚴重后果的故障形態(tài)和具體故障，見表2。

表2 電磁攻擊的故障形態(tài)表

2.2.4 風險評估

利用式(1)—(4)、(7)、(8)和表2可以評估電磁攻擊造成的電網(wǎng)風險。

2.3 石墨炸彈攻擊的風險評估模型

石墨炸彈攻擊是利用石墨炸彈在目標廠站上空釋放出導電纖維網(wǎng)，造成廠站內(nèi)的戶外裸露帶電設備短路的攻擊行為。

2.3.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。石墨炸彈的最大破壞效能是造成電廠和變電站內(nèi)的大量戶外裸露帶電一次設備短路。

b)優(yōu)先原則。石墨炸彈攻擊會優(yōu)先選擇電廠和變電站的戶外裸露一次設備作為攻擊對象。

石墨炸彈對一次設備的破壞能力取決于炸彈產(chǎn)生的導電纖維網(wǎng)是否能覆蓋到裸露帶電設備上。假設石墨炸彈的爆炸點在廠站上空，爆炸后形成的導電纖維網(wǎng)是以爆炸點為原點半徑的圓。為方便分析，將導電纖維網(wǎng)形狀簡化為圓形，目標廠站形狀簡化為矩形，將導電纖維網(wǎng)覆蓋到廠站設備上的概率作為攻擊目標i成功的概率。因此式(2)中的Ai表達為

(9)

式中：Li、Wi為目標廠站i的長度、寬度；Ri為石墨炸彈釋放的導電纖維網(wǎng)的半徑。

2.3.2 基于電網(wǎng)石墨炸彈能力的防御攔截器模型

目前電網(wǎng)沒有專門針對石墨炸彈攻擊的防護措施，對石墨炸彈攻擊的防護能力取決于國家的防空能力。式(2)中Di的表達為

Di=1-λCGi.

(10)

式中CGi為目標i在防空區(qū)內(nèi)的概率。

2.3.3 故障形態(tài)

石墨炸彈攻擊的對象是廠站內(nèi)的戶外裸露一次設備。按照最嚴重后果原則，石墨炸彈攻擊后表現(xiàn)出來的電網(wǎng)故障形態(tài)主要是廠站大量的戶外裸露的帶電設備短路，見表3。

表3 石墨炸彈攻擊的故障形態(tài)表

2.3.4 風險評估

利用式(1)—(4)、(9)、(10)和表3可以評估石墨炸彈攻擊造成的電網(wǎng)風險。

2.4 暴恐襲擊的風險評估模型

暴恐襲擊是指以制造恐慌、危害電力安全等為目的，采取暴力破壞等手段，造成或意圖造成人員傷亡、電力設施損壞、社會秩序混亂等的攻擊行為。

2.4.1 基于外部攻擊特性的破壞能力過濾器模型

a)最大效能原則。暴恐襲擊的破壞效能包括爆炸、劫持人質等。因此對電網(wǎng)的最大破壞效能是通過爆炸破壞電力設施、劫持人質、惡意操作等危害電網(wǎng)安全運行。

b)優(yōu)先原則。暴恐襲擊會將調(diào)度部門、重要廠站作為優(yōu)先攻擊對象。

暴恐襲擊的破壞能力主要依賴人員和裝備的投入。這里參照網(wǎng)絡攻擊，定義式(2)中攻擊目標i成功的概率

Ai=1-e-CSi.

(11)

式中CSi為攻擊方的人員和裝備資源系數(shù)。如果CSi=0，則成功概率Ai=0；如果CSi=∞，則Ai=1，即投入無限多人員和裝備后成功概率為1。

2.4.2 基于暴恐襲擊防護能力的防御攔截器模型

a)合理攔截原則。電力系統(tǒng)防御暴恐襲擊的防護是基于國家2021年頒布的GA 1800—2021《電力系統(tǒng)治安反恐防范要求》規(guī)定建立的暴恐襲擊防護能力。

b)隨機破壞原則?？紤]受反恐資源投入的限制和可能存在的安全漏洞，暴恐襲擊有可能突破防御，對電網(wǎng)目標進行隨機破壞活動。暴恐襲擊的防護能力主要依賴反恐人員和裝備的投入，式(2)中

Di=e-CGi.

(12)

式中CGi為為防護暴恐襲擊目標i投入的人員和裝備資源系數(shù)。如果CGi=0，則Di=1，即沒有防護時失敗概率為1；如果CGi=∞，則Di=0，即投入無限多人員和裝備資源后，防護失敗概率為0。

2.4.3 故障形態(tài)

暴恐襲擊的對象是調(diào)度部門和廠站，主要針對調(diào)度系統(tǒng)、廠站的一次設備和自動化系統(tǒng)等。按照最嚴重后果原則，選出可能對電網(wǎng)穩(wěn)定造成嚴重后果的故障形態(tài)和具體故障，見表4。

表4 暴恐襲擊的故障形態(tài)表

2.4.4 電網(wǎng)風險

利用式(1)—(4)、(11)、(12)和表4可以評估暴恐襲擊造成的電網(wǎng)風險。

3 算例分析

以某典型城市電網(wǎng)為算例，采用本文所述方法評估該電網(wǎng)遭受4種典型外部攻擊時的風險。

3.1 算例電網(wǎng)

該城市電網(wǎng)有8座500 kV變電站和1座500 kV電廠，其拓撲結構如圖2所示。

圖2 某城市電網(wǎng)網(wǎng)絡拓撲圖

圖2中電廠編號8，有1個調(diào)度中心負責調(diào)控，編號0，其余為500 kV變電站。假設外部攻擊將以上10個電廠、變電站和調(diào)度中心作為攻擊目標。

仿真數(shù)據(jù)采用該城市電網(wǎng)所在大電網(wǎng)的典型夏季大負荷方式數(shù)據(jù)，并加入3道防線。如果故障后電網(wǎng)穩(wěn)定，則將切除的負荷作為損失負荷，如果失穩(wěn)則認為損失城市電網(wǎng)所有負荷。損失負荷用其占城市電網(wǎng)總負荷的百分比表示。

3.2 目標被選擇的概率

表5給出了這10個目標的設備系數(shù)、負荷系數(shù)、線路系數(shù)和攻擊容易系數(shù)的評判矩陣系數(shù)。

表5 目標評判系數(shù)表

其中設施系數(shù)根據(jù)一次設備數(shù)量確定，設備最多的目標的設施系數(shù)設為1，其余按比例確定；調(diào)度中心由于考慮其重要性，設施系數(shù)設為10。負荷系數(shù)根據(jù)目標的供電負荷確定，將負荷最大的目標的負荷系數(shù)設為1，其余按比例確定。潮流系數(shù)根據(jù)目標連接線路上的潮流確定。攻擊容易系數(shù)考慮目標各種防護措施配備條件后給定，將最弱的目標的攻擊容易系數(shù)設為1，調(diào)度中心最強，攻擊容易系數(shù)為0。

為方便對比，假設4種攻擊方式都采用表5的評判系數(shù)，權重也相同，即We=[0.1 0.2 0.2 0.5]。根據(jù)式(4)得到目標被選擇的概率，見表6。其中石墨炸彈攻擊的目標是廠站一次設備，因此攻擊調(diào)度中心概率為0。

表6 目標被選擇的概率表

3.3 網(wǎng)絡攻擊的風險評估

為了計算網(wǎng)絡攻擊風險，需要給定式(5)中攻擊方投入的資金和技術資源系數(shù)和式(6)中防護方投入的資金和技術資源系數(shù)。這2個系數(shù)較難確定，本文將防護方防守失敗概率為0.5%時投入的資金和技術資源系數(shù)NGE作為基準值。

假設雙方在目標i投入的資源系數(shù)分別等于1倍基準值和10倍基準值，即NSi=NGE，NGi=10NGE。

表1中網(wǎng)絡攻擊的每種故障形態(tài)的概率較難評估，本文人為給定可能造成的損失，其中開關誤動概率為0.35，保護誤動概率為0.35，AGC誤動、AVC誤動和穩(wěn)控誤動概率均為0.1。故障形態(tài)內(nèi)各故障的概率相等。根據(jù)以上給定參數(shù)和式(1)—(3)，計算得到網(wǎng)絡攻擊造成的風險，見表7。

表7 網(wǎng)絡攻擊造成的風險表

作為對比，表8中給出了防守方投入的資源系數(shù)等于10倍和20倍基準值時，攻擊方投入不同資源導致不同的攻擊成功概率下風險的變化情況。

由表8可以看出：投入資源為1倍基準值時，對網(wǎng)絡攻擊風險的防護有限；投入10倍時，網(wǎng)絡風險降低了500倍，投入20倍時，網(wǎng)絡風險又降低了1 000倍。因此保持足夠的資源投入可以極大降低網(wǎng)絡攻擊風險。

表8 不同資源投入下的網(wǎng)絡攻擊風險表

3.4 電磁攻擊的風險評估

假設式(7)中電磁炸彈在各目標上空成功引爆的概率均為A=0.95。

假設式(8)中國家防空系統(tǒng)覆蓋了所有廠站，即MG=1，飛機被擊落的概率均為λ=0.8，電力監(jiān)控系統(tǒng)未損壞的概率均為MP=0.8，則各廠站防護失敗的概率均為Di=0.04。

電磁攻擊后的拒動故障不會直接影響電網(wǎng)穩(wěn)定，因此不考慮拒動故障，僅考慮誤動故障?？紤]到調(diào)度中心電力監(jiān)控系統(tǒng)防誤操作邏輯較復雜，電子設備損壞后拒動概率為1，誤動概率為0；假設廠站內(nèi)單個保護在損壞后拒動的概率0.8，誤動概率0.2。故障集中考慮保護設備的各種誤動組合情況，例如廠站中有K套保護，則共有2K種誤動組合。

電磁攻擊造成的廠站故障損失風險見表9。作為對比，表9給出了誤動概率為0.1和0.4時的風險值，可以看出，誤動概率取值對風險值的影響較大。

表9 電磁攻擊造成的廠站故障損失風險表

電磁攻擊造成的風險見表10。作為對比，表10給出了沒有防護即Di=1時的風險值。可以看出，沒有防護時的風險是有防護時的25倍。

表10 電磁攻擊造成風險表

3.5 石墨炸彈攻擊的風險評估

根據(jù)式(9)，可以得到石墨炸彈成功攻擊各廠站的概率，見表11。其中石墨炸彈釋放的導電纖維網(wǎng)直徑約為250 m。

表11 石墨炸彈攻擊成功的概率表

假設式(10)中國家防空系統(tǒng)覆蓋所有廠站，即CG=1，飛機被擊落的概率均為0.8，則各廠站防護失敗的概率均為0.2。

石墨炸彈的導電纖維網(wǎng)覆蓋到廠站內(nèi)一次設備的概率計算較復雜，考慮到導電纖維網(wǎng)和廠站的面積相差不大，在仿真中只考慮廠站內(nèi)的500 kV母線、線路和主變設備有80%以上隨機被覆蓋導致短路故障情況，每種情況的概率相同。

根據(jù)以上給定參數(shù)和式(1)—(3)，計算得到石墨炸彈攻擊造成的風險，見表12。

表12 石墨炸彈攻擊造成的風險表

3.6 暴恐襲擊的風險評估

為了計算暴恐襲擊攻擊風險，需要給定式(11)中攻擊方投入的人員和裝備資源系數(shù)和式(12)中防護方投入的反恐人員和裝備資源系數(shù)。這2個系數(shù)較難確定，本文將防護方防守失敗概率為0.5%時投入的的資金和技術資源系數(shù)CGE作為基準值。

假設雙方在目標i投入的資源系數(shù)分別等于1倍基準值和10倍基準值，即CSi=CGE，CGi=10CGE。

表4中暴恐襲擊的每種故障形態(tài)的概率較難評估，本文人為給定可能造成的損失，其中調(diào)度中心的開關誤動概率為0.35，保護誤動概率為0.35，AGC誤動、AVC誤動和穩(wěn)控誤動概率均為0.1。電廠和變電站的開關誤動概率為0.5，設備短路概率為0.5。故障形態(tài)內(nèi)的各故障的概率相等。

根據(jù)以上給定參數(shù)和式(1)—(3)，計算得到暴恐襲擊造成的風險，見表13。

表13 暴恐襲擊造成的風險表

作為對比，表14給出了防守方投入的資源系數(shù)等于10倍和20倍基準值時，攻擊方投入不同資源導致不同的攻擊成功概率下風險的變化情況。

表14 不同資源投入下的暴恐系統(tǒng)風險表

由表14可以看出：投入的人力和裝備資源為1倍基準值時，對網(wǎng)絡攻擊風險的防護有限；投入10倍時，風險降低了500倍，投入20倍時，風險又降低了1 000倍。因此保持足夠的資源投入可以極大降低暴恐襲擊風險，具有很高的性價比。

表15匯總了不同攻擊方式造成的風險及關鍵影響因素。

表15 不同攻擊方式造成的風險及關鍵影響因素

綜合以上仿真和分析結果，可以看出：

a)從風險看，石墨炸彈攻擊造成的電網(wǎng)暫態(tài)穩(wěn)定風險最大，比其他攻擊方式風險高1個數(shù)量級，主要原因是電網(wǎng)沒有專門防護石墨炸彈攻擊的防護措施，而且石墨炸彈釋放的導電纖維網(wǎng)覆蓋范圍大，容易引起大量設備短路跳閘，對電網(wǎng)暫態(tài)穩(wěn)定影響較大。另外3種攻擊方式造成的電網(wǎng)暫態(tài)穩(wěn)定風險沒有數(shù)量級上的差異。

b)從影響因素看，網(wǎng)絡攻擊和暴恐襲擊造成的電網(wǎng)暫態(tài)穩(wěn)定風險主要受相應資源投入量的影響很大，只要保障足夠的資源投入，就可以明顯降低風險。電磁攻擊造成的風險主要由電子設備被攻擊后的誤動概率影響，只要在技術上降低誤動概率，就可以明顯降低風險。而石墨炸彈攻擊在電網(wǎng)側沒有防護措施，可以通過研究防護措施來降低風險。

4 結束語

本文提出了一種極端情況下電網(wǎng)遭受外部攻擊的暫態(tài)穩(wěn)定風險評估模型，通過基于外部攻擊特性的破壞能力過濾器來表征外部攻擊的行為特點，通過基于電網(wǎng)防護能力的防御攔截器來表征電網(wǎng)的防護特性，通過用外部攻擊行為作用在被攻擊對象后在電網(wǎng)中表現(xiàn)出來的電網(wǎng)故障形式來定量計算暫態(tài)穩(wěn)定風險。利用提出的模型，建立了網(wǎng)絡攻擊、電磁攻擊、石墨炸彈攻擊和暴恐襲擊4種典型外部攻擊的暫態(tài)穩(wěn)定風險評估方法。以某城市電網(wǎng)為算例，給出了電網(wǎng)遭受4種典型外部攻擊的風險評估結果，分析了不同外部攻擊的特點和影響因素，研究結論對于構建極端情況下電網(wǎng)遭受外部攻擊的電網(wǎng)安全防御具有參考意義。

由于外部攻擊的行為特性較為復雜，文中在風險評估建模過程中對部分模型和參數(shù)進行了簡化處理，后續(xù)將針對這部分內(nèi)容開展進一步深入研究。