電力二次系統安全風險評估

隨著智慧型電子設備不斷增多，不同時期建立的各類信息系統之間的互動變得複雜，信息、設備等安全風險日益加劇，電力二次系統安全面臨前所未有的挑戰。另外，分散式能源的接入和用電側互動需求的增長，導致電網運行的複雜性增加，調度操作人員面臨的決策壓力也越來越大。將二次系統安全風險納入當前運行風險評估問題，分析二次系統失效安全事件的可能性和嚴重度，並進行綜合定量的評估，顯得尤為重要。

電網安全風險評估問題早在20世紀90年代就已經受到關注，但到目前為止，相關研究還主要集中在一次系統。從可靠性研究開始，國內外研究人員已經對電力一次系統風險評估進行了比較系統、深入的研究，從設備到系統都有比較完善的分析和評估方法陣，並且運用於調度運行、檢修計畫和電網規劃等。二次系統安全風險研究大多從安全防禦角度提出構想，關注影響系統安全的各個因素，而對整體系統風險評估的研究尚較缺乏。已有的分析手段基本是從設備和信息分別入手，但對兩者風險融合分析和人為因素的考慮，及二次系統風險對一次系統的作用形式研究尚少。

從電力二次系統安全風險來源入手，總結並評述電力二次系統安全風險，評估國內外研究現狀，並指出未來的研究方向，為降低電力二次系統安全風險整體水平提供基礎，使智慧型電網條件下電力系統的安全高效運行成為可能。

二次系統由軟體、設備和其中的互動信息共同組成，並且和控制人員直接互動，其對電力系統的價值在於能夠完成一次系統安全運行所需的數據採集、信息處理、裝置控制等功能。根據文獻的描述,可將二次系統風險來源分為設備、信息和人因3個部分。過去電網的一些事故經驗也表明，這3者在故障產生、演變、擴大階段都有著重要影響。

電網二次設備是指對一次設備進行監視、測量、控制、調節與輔助的具有行為能力的機械部件及其附屬裝置，主要包括繼電保護和自動裝置、RTU等遠端測量監視裝置和直流電源設備等。單個二次設備包括多個組件，其正常工作的完成是組件配合的結果。如繼電保護裝置的安全風險因素主要包括二次迴路絕緣老化、裸露接地故障，三相操作繼電器箱等輔助裝置失效，通信及接口裝置通信阻斷等。

此外，二次設備往往處於複雜多變的外部環境之中，如大部分遠端RTU裝置往往受到溫度驟變、電磁干擾和大量灰塵污穢的影響，增加了量測不確定性，也減少了設備壽命。

電網正常運行時，二次設備故障會造成量測丟失或錯誤，影響調度人員對電網的準確感知;一次系統發生故障時，由於繼電保護裝置等二次設備的拒動或誤動，會發生連鎖故障，增加停電範圍。

電力信息系統按照套用劃分，可以分為生產控制系統、行政管理系統和市場行銷系統3類。其中生產控制系統直接服務於電力系統運行，主要包括SCADA/EMS、變電站自動化系統、配網自動化系統等。這些系統的可靠性和實時性要求很高，採用電力調度通信專網，是信息風險因素的主要來源。

電力信息系統的風險因素主要有:硬體遭破壞造成信道阻斷、信息遭竊取和篡改;利用軟體的漏洞造成拒絕服務、遠程控制、非法入侵等；以及變電站或網路通信協定功能完備性、可靠性和可控性等方面的安全隱患。這些風險因素會嚴重影響到電力生產信息的機密性、完整性和可用性，進而威脅電力系統安全。

電網運行的日前計畫安排、調度控制命令下達以及故障定位排除等工作需要調度員參與完成的。而調度員由於受自身知識水平限制以及外部環境壓力的影響，極有可能無法快速、準確地完成既定操作，造成設備損壞、故障擴大等嚴重後果；在故障情況下，控制人員的作用尤為重要。人為風險因素主要可以分為以下2部分:1)誤操作、傳送錯誤調度命令導致系統故障，主要是人對系統中繼電保護誤操作導致;2)無法識別或誤判當前系統狀態，延後或無法切除設備故障，導致電網故障範圍擴大，造成額外損失。

二次設備是二次系統與一次系統的關聯點，也是測量與控制的直接執行設備，一直是電力系統設備可靠性研究的重要組成部分。

與一次設備類似，二次設備的安全風險相關研究也是從可靠性領域發展而來的。隨著馬爾科夫狀態模型的套用推廣，通過建立相關的模型計算可靠性指標變得可能。有文獻將影響繼電保護系統可靠性的因素分為3類，並建立軟體數學模型、硬體數學模型和人員可靠性分析模型，得到數字保護系統的狀態空間圖，套用馬爾柯夫過程求解系統在無備用和有備用情況下的綜合失效率及可用度。但可靠性的結果只涉及到設備層次，對於設備故障對系統故障發展的影響則無法判斷。事件樹法可以對設備故障導致系統故障的因果關係進行分析，進而分析二次設備對一次系統風險的影響。也有文獻將其用於模擬保護和開關動作行為，建立了保護和自動裝置等二次設備功能模型，然後模擬N-1的原發性故障引發的連鎖故障，通過建立並分析故障事件樹，評估故障發生後二次設備的拒/誤動引起的系統風險增量。該方法可以通過控制事件樹的規模來很好地協調計算效率和精度，以滿足線上分析的計算要求。該學者的後續研究則關注於繼電保護隱患的2方面原因為不合理保護定值和繼電保護系統硬體缺陷，分別採用事件樹分析法建模分析，以綜合考慮靜態安全約束、靜態電壓穩定約束、暫態電壓穩定約束的主要傳輸斷面的傳輸裕度為風險指標，標識運行風險。該方法可以定量評估這2方面原因對電網安全的影響，並確定其中的薄弱環節。

信息安全風險評估規範指出，信息安全風險評估是對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。對於電力信息系統而言，需識別電力信息安全面臨的威脅和存在的脆弱性，並分析兩者相互作用後導致一次系統非正常運行的可能性及後果的嚴重度。

電力信息系統種類繁多，現有的安全風險評估主要從資產安全策略列表出發，從資產受攻擊的角度評價其脆弱性，分析現有安全策略的有效性，並指出需要補充或加強的安全措施。有文獻關注於繼電保護系統的信息安全問題，指出繼電保護系統網路安全風險因素的來源是數據訪問需求的多樣性。在分析繼電保護信息通信特點的基礎上，提出在OSI模型中的數據鏈路層和網路層採取虛擬區域網路等措施提高繼保系統的網路安全性。

隨著相關研究的增加，也有文獻從電力信息系統的共性出發，期望可以得到一個通用模型或系統模組風險評估方法。通過確定信息系統的安全風險因素集、指標集以及因素的權重係數集，建立安全風險模糊綜合評估矩陣，根據專家的專業知識和經驗確定權重係數，定量評估系統組件的安全風險值。此外，還有不少學者做了基礎性和安全框架的相關研究。有研究基於CIGRE聯合工作組的實踐經驗，在分析系統內部脆弱點後，根據已有的技術報告和安全標準指出安全框架包含的一些要點，包括安全領域建模、風險評估方法和信息安全管理等。也有學者借鑑信息通信安全領域等級保護的概念，提出一個套用於電力系統的等級保護的構架和實施方案，能有效保護電力信息安全。

近年來的事故統計數據表明，隨著電網設備智慧型化水平的提高，人為風險因素日益凸顯，尤其在事故擴大階段。目前系統人為風險因素的研究主要集中在發電廠，特別是核電廠方面，而電網領域的人為風險因素研究還比較少。

此外，不少學者在人為風險因素控制方法上取得一些成果。設計了一個基於IEC 61850的變電站防誤作業系統，在站控層、間隔層和傳輸層實現實時防誤邏輯判斷，可有效減少人為誤操作風險。介紹了基於移動機器人的變電站設備巡檢系統。

目前，二次系統風險評估涉及的各項工作尚未形成統一標準，在模型選擇、數據來源和風險指標方面的差別都比較大。

對於設備風險因素，主要採用的分析方法有事件樹方法，基於歷史數據，通過蒙特卡洛進行仿真，並可參考一次設備風險的評估，多角度分析二次設備對線路、電源及一次系統的風險。對於信息風險因素，採用分層方法將複雜信息系統分解，基於調查統計數據，對系統功能或脆弱性進行定性定量分析。對於人為風險因素，目前相關研究還比較少。從模型方法來看，故障樹和事件樹可以對連鎖故障的各類原因進行有效仿真分析；Petri網和層次分析法可以簡化複雜系統，釐清系統層級結構；CREAM模型能夠量化環境因素對人為操作風險的影響。

二次系統是由軟體、設備和信息共同組成，並且直接面向電網操作人員的複雜系統。其複雜性主要體現在以下幾個方面：

1)組成的複雜性

二次系統風險由設備、軟體、信息、人員等多種風險構成，它們的結構、行為差異巨大，並且時間、空間分布截然不同，給建模工作帶來困難。因此，現有研究大多對二次設備、信息和通信系統、人員可靠性單獨進行分析，這樣導致評估結果只能反映單方面安全風險，無法評估二次系統整體風險及二次系統對一次系統的影響。

2)狀態的多樣性

二次系統對於整個電力系統的價值在於完成其所承擔的相應任務。傳統可靠性研究一般認為:設備或者元件的狀態分為故障和正確2種基本狀態。有研究對於設備和電力系統的可靠性研究，都假設元件存在少數幾個狀態。而二次系統功能存在多種可能狀態，如正常完成、80%完成、50%完成及完全失效，不同的可能狀態的風險必然不同，因此在風險評估過程中需要反映功能的不同狀態對系統風險的影響。

3)網路的交錯性

二次系統是一個巨大的網路系統，包含物理網路、信息網路、業務網路，這些網路架構各異，相互影響，任務的發起、執行需要這些網路互相配合。因此風險因素的作用、傳遞和演化機理也變得複雜多樣。關鍵節點的脆弱性，可能影響到整個網路的工作表現。因此，識別和定量分析網路的脆弱性，對網路的行為特徵進行建模，表示網路單個元件或局部失效對整個網路的影響，都具有極大的挑戰性。

大量集成監視、控制、測量功能的智慧型設備的套用使得信息與設備高度融合，單個智慧型設備的運行操作模型變得極為複雜，傳統的基於設備的相關建模方法都不再適用，需研究軟硬體互動故障模型。

變電站和控制中心集成了不同廠家、不同時期裝設的各類系統，隨著自動化水平的提高，其兼容性和可靠性也是一個日益凸顯的風險因素。隨著電力軟體規模和複雜性的增加，軟體可靠性因素對於系統風險的影響必須得到重視。此外，網路互聯性和分散式套用的增加，也使入侵和攻擊的方式變得更為複雜多樣。

電力二次系統，特別是電力監控系統，是直接和控制人員互動的，控制人員命令和操作大多通過其來完成，同時控制人員失誤或錯誤的命令和操作也通過其影響電力一次系統。而且，近年來硬、軟體設備可靠性的提高，使人為可靠性對系統風險影響的作用更為突出，尤其是面對緊急情況或大災害，控制人員的錯誤判斷將導致嚴重後果。

目前電網中各種一次設備線上監測系統已經比較成熟，一次系統和設備風險評估相關的數據已較容易獲得。二次設備運行、管理等數據尚未得到統一管理，對軟體運行數據也基本上只有從安全日誌或者工作人員的主觀描述中獲取。目前對二次系統事故缺乏系統記錄、分析，造成事故樣本缺失，為風險量化工作帶來困難，需要研究在風險基礎數據缺失或不足時的風險評估方法。

不確定性貫穿風險評估的整個流程，但是數據的不確定性將對掌握軟體和設備狀態，描述控制行為，系統建模帶來障礙。不確定因素的引入主要體現在2個方面:1)系統本身固有的隨機不確定性;2)技術手段不足引入的不確定性。前者是不可避免的，而後者可以通過技術手段的改進，計算方法的設計來降低，可從觀測手段、計算模型、風險結果解釋等方面來降低不確定性。

在總結二次系統安全風險已有評估模型和研究方法的基礎上，結合其他領域風險研究方法和二次系統的發展特點，未來電力二次系統風險評估的主要研究重點應在以下幾個方面:

1)風險因素。智慧型電網條件下，可再生能源接入和需求側互動的開展，使得電網需要監控的深度和廣度大大增加，二次系統將變成一個不亞於一次系統的複雜大系統。二次設備、信息和人為因素這3種風險來源需綜合評價，特別是分析這些風險因素在事故發生及擴大過程中產生的影響和作用形式，充分考慮各種因素的互動，全面評估二次系統整體風險。

2)數據獲取。風險評估離不開充足完備的數據支持。現有的歷史統計數據存在種類不齊全、格式不統一等缺點，而專家知識則具有模糊性和不確定性。未來的風險評估研究一方面需對二次系統監控與事故記錄進行統一管理，累積事故樣本，並整理歷史數據和公式化專家經驗;另一方面則需要研究在風險基礎數據缺失或不足時的風險評估方法。

3)評估模型。二次系統本質上是為一次系統服務的，其價值與風險的歸結點在於完成一次系統需要的功能，因此對於其風險的嚴重程度的評價標準應以一次系統為出發點。應從二次系統的功能價值及功能失效對一次系統的影響出發，建立統一的面向功能的二次系統風險評估模型和風險指標體系。

4)風險套用。風險評估結果應為發現系統脆弱點並評估脆弱點可能給系統帶來後果的嚴重程度，進而提供相應的應對措施與改進方法來降低風險，如進行狀態檢修、修補系統漏洞和制訂各種應急預案等;或者將風險評估結果運用於調度計畫等輔助決策領域。