摘要:为降低电力二次系统安全风险整体水平,实现智能电网条件下电力系统高效运行,对电力二次系统安全风险评估研究进行了综述。分别从二次设备、信息系统和人为因素3方面论述二次系统风险因素的来源,综述各风险因素的作用形式和对一次系统的影响。从二次设备、信息安全和人为风险3 个领域总结并评述了国内外电力二次系统风险评估的研究现状,从模型方法、数据来源和风险指标等方面比较了已有研究成果的优点和不足。分析了在智能电网条件下,电力二次系统安全风险评估面临的系统复杂性、风险因素来源综合多样和风险基础数据缺乏等问题与挑战,并指出未来二次系统风险评估的研究方向为风险因素、数据获取、评估模型和风险应用4 个方面。
关键词:电力二次系统;风险评估;二次设备;信息
0 引言
随着智能电子设备不断增多,不同时期建立的各类信息系统之间的交互变得复杂,信息、设备等安全风险日益加剧,电力二次系统安全面临前所未有的挑战。另外,分布式能源的接入和用电侧交互需求的增长,导致电网运行的复杂性增加,调度操作人员面临的决策压力也越来越大。将二次系统安全风险纳入当前运行风险评估问题,分析二次系统失效安全事件的可能性和严重度,并进行综合定量的评估,显得尤为重要。
电网安全风险评估问题早在20 世纪80 年代就已经受到关注,但到目前为止,相关研究还主要集中在一次系统。从可靠性研究开始,国内外研究人员已经对电力一次系统风险评估进行了比较系统、深入的研究,从设备到系统都有比较完善的分析和评估方法,并且运用于调度运行、检修计划和电网规划等。二次系统安全风险研究大多从安全防御角度提出构想,关注影响系统安全的各个因素,而对整体系统风险评估的研究尚较缺乏。已有的分析手段基本是从设备和信息分别入手,但对两者风险融合分析和人为因素的考虑,及二次系统风险对一次系统的作用形式研究尚少。
本文从电力二次系统安全风险来源入手,总结并评述电力二次系统安全风险,评估国内外研究现状,并指出未来的研究方向,为降低电力二次系统安全风险整体水平提供基础,使智能电网条件下电力系统的安全高效运行成为可能。
1 二次系统风险来源
1.1 二次系统概念
二次系统由软件、设备和其中的交互信息共同组成,并且和控制人员直接交互,其对电力系统的价值在于能够完成一次系统安全运行所需的数据采集、信息处理、装置控制等功能。可将二次系统风险来源分为设备、信息和人因3个部分。过去电网的一些事故经验也表明,这3 者在故障产生、演变、扩大阶段都有着重要影响。
1.2 二次设备因素
电网二次设备是指对一次设备进行监视、测量、控制、调节与辅助的具有行为能力的机械部件及其附属装置,主要包括继电保护和自动装置、RTU 等远端测量监视装置和直流电源设备等。单个二次设备包括多个组件,其正常工作的完成是组件配合的结果。如继电保护装置的安全风险因素主要包括二次回路绝缘老化、裸露接地故障,三相操作继电器箱等辅助装置失效,通信及接口装置通信阻断等。
此外,二次设备往往处于复杂多变的外部环境之中,如大部分远端RTU 装置往往受到温度骤变、电磁干扰和大量灰尘污秽的影响,增加了量测不确定性,也减少了设备寿命。电网正常运行时,二次设备故障会造成量测丢失或错误,影响调度人员对电网的准确感知;一次系统发生故障时,由于继电保护装置等二次设备的拒动或误动,会发生连锁故障,增加停电范围。
1.3 信息系统因素
电力信息系统按照应用划分,可以分为生产控制系统、行政管理系统和市场营销系统3 类。其中生产控制系统直接服务于电力系统运行,主要包SCADA/EMS、变电站自动化系统、配网自动化系统等。这些系统的可靠性和实时性要求很高,采用电力调度通信专网,是信息风险因素的主要来源。电力信息系统的风险因素主要有:硬件遭破坏造成信道阻断、信息遭窃取和篡改;利用软件的漏洞造成拒绝服务、远程控制、非法入侵等;以及变电站或网络通信协议功能完备性、可靠性和可控性等方面的安全隐患。这些风险因素会严重影响到电力生产信息的机密性、完整性和可用性,进而威胁电力系统安全。
1.4 人为风险因素
电网运行的日前计划安排、调度控制命令下达以及故障定位排除等工作需要调度员参与完成的。而调度员由于受自身知识水平限制以及外部环境压力的影响,极有可能无法快速、准确地完成既定操作,造成设备损坏、故障扩大等严重后果;在故障情况下,控制人员的作用尤为重要。人为风险因素主要可以分为以下2 部分:1)误操作、发送错误调度命令导致系统故障,主要是人对系统中继电保护误操作导致;2)无法识别或误判当前系统状态,延后或无法切除设备故障,导致电网故障范围扩大,造成额外损失。
2 二次系统风险评估模型和方法
2.1 二次设备领域
二次设备是二次系统与一次系统的关联点,也是测量与控制的直接执行设备,一直是电力系统设备可靠性研究的重要组成部分。与一次设备类似,二次设备的安全风险相关研究也是从可靠性领域发展而来的。随着马尔科夫状态模型的应用推广,通过建立相关的模型计算可靠性指标变得可能。将影响继电保护系统可靠性的因素分为3 类,并建立软件数学模型、硬件数学模型和人员可靠性分析模型,得到数字保护系统的状态空间图,应用马尔柯夫过程求解系统在无备用和有备用情况下的综合失效率及可用度。但可靠性的结果只涉及到设备层次,对于设备故障对系统故障发展的影响则无法判断。事件树法可以对设备故障导致系统故障的因果关系进行分析,进而分析二次设备对一次系统风险的影响。将其用于模拟保护和开关动作行为,建立了保护和自动装置等二次设备功能模型,然后模拟N-1的原发性故障引发的连锁故障,通过建立并分析故障事件树,评估故障发生后二次设备的拒/误动引起的系统风险增量。该方法可以通过控制事件树的规模来很好地协调计算效率和精度,以满足在线分析的计算要求。该学者的后续研究则关注于继电保护隐患的2方面原因为不合理保护定值和继电保护系统硬件缺陷,分别采用事件树分析法建模分析,以综合考虑静态安全约束、静态电压稳定约束、暂态电压稳定约束的主要传输断面的传输裕度为风险指标,标识运行风险。该方法可以定量评估这2方面原因对电网安全的影响,并确定其中的薄弱环节。在方法研究方面,蒙特卡罗方法显示出在风险评估领域的巨大潜力。研究了继电保护装置隐形故障造成连锁故障的过程和机理,采用故障树和准误动集的方式建立连锁故障模型;运用蒙特卡罗仿真方法,相比传统N-1故障模式更有效地覆盖了系统的故障模式集,给出4个风险指标衡量系统的连锁故障风险,并指出了系统存在的薄弱环节,提供了相应的预防策略。除面向调度运行,也有文献将设备安全风险运用于规划和检修角度。基于马尔科夫模型提出计算继电保护系统可靠性的模型,并用于评价常用设计方案的可靠性分析论证。则将继电保护装置可靠性分析结果用于检修,为保护装置最佳检修周期的确定提供了理论依据。但此类研究都从设备层出发,对系统风险暂无涉及。
2.2 信息安全领域
信息安全风险评估规范指出,信息安全风险评估是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。对于电力信息系统而言,需识别电力信息安全面临的威胁和存在的脆弱性,并分析两者相互作用后导致一次系统非正常运行的可能性及后果的严重度。
电力信息系统种类繁多,现有的安全风险评估主要从资产安全策略列表出发,从资产受攻击的角度评价其脆弱性,分析现有安全策略的有效性,并指出需要补充或加强的安全措施。关注于继电保护系统的信息安全问题,指出继电保护系统网络安全风险因素的来源是数据访问需求的多样性。在分析继电保护信息通信特点的基础上,提出在OSI 模型中的数据链路层和网络层采取虚拟局域网等措施提高继保系统的网络安全性。分析了SCADA 系统面临的安全问题,认为目前单纯物理隔离方式无法保障SCADA 系统的网络安全,而且远端的商用成(commercial-off-the-shelf,COTS)装置具有脆弱性,易受经由因特网的攻击。
最后,总结了降低SCADA 系统脆弱性的手段,包括访问权限控制,防火墙和入侵侦测系统,脆弱性分析,密钥管理等。除定性研究之外,随着对系统分析方法的增加,部分学者开始建立信息系统的安全风险评估模型,定量地分析信息系统风险。运用广义随机Petri 网方法从系统、情境和访问节点3个层次建立了SCADA脆弱性模型,并以潜在失负荷量评价入侵造成影响的大小。文献中IEEE 30节点系统的算例分析表明,该方法能较好地评估网络攻击对电力系统的影响,并指出系统安全的瓶颈。结合分布式系统脆弱性理论,提出网络环境下变电站自动化通信系统脆弱性评估方法。从“遭受攻击”角度量化分布式系统的脆弱性,并基于层次分析法和逼近理想解排序法量化路径脆弱度因子,最后构造攻击过程的脆弱性状态图。通过对系统不同安全方案下的脆弱度计算比较,表明该方法能有效量化系统脆弱度,并指导安全防御策略。
随着相关研究的增加,也有文献从电力信息系统的共性出发,期望可以得到一个通用模型或系统模块风险评估方法。通过确定信息系统的安全风险因素集、指标集以及因素的权重系数集,建立安全风险模糊综合评估矩阵,根据专家的专业知识和经验确定权重系数,定量评估系统组件的安全风险值。此外,还有不少学者做了基础性和安全框架的相关研究。设计了一种用于电力信息系统安全的建模语言和定量评估方法。论述了信息通信系统脆弱性的原因,威胁与攻击的方式和应对风险的策略。基于CIGRÉ 联合工作组的实践经验,在分析系统内部脆弱点后,根据已有的技术报告和安全标准指出安全框架包含的一些要点,包括安全领域建模、风险评估方法和信息安全管理等。也有学者借鉴信息通信安全领域等级保护的概念,提出一个应用于电力系统的等级保护的构架和实施方案,能有效保护电力信息安全。
2.3 人为风险领域
近年来的事故统计数据表明,随着电网设备智能化水平的提高,人为风险因素日益凸显,尤其在事故扩大阶段。目前系统人为风险因素的研究主要集中在发电厂,特别是核电厂方面,而电网领域的人为风险因素研究还比较少。将人为风险因素与设备类比,假设人为因素也具有故障率和修复率,并据此计算得到人为失效概率(human errorprobability,HEP)。而根据认知可靠性和误差分析模型(cognitive reliability and error analysis method,CREAM),认为人为因素不是随机的,而与所处环境紧密相关。人员的认知特性及其技术行为不仅受组织和管理方面因素的影响,还受机构的安全培养、规章条例和环境压力的影响。提出一个基于改进CREAM 定量分析人为可靠性的方法。文献首先罗列了9项常见外部条件影响维度,并定义了4个等级人为控制模型和对应的故障率;通过模糊克隆选择算法结合给定的知识库判断人为可靠性水平。仿真测试表明该方法可以判断在特殊环境下评估人为操作的可靠性。此外,不少学者在人为风险因素控制方法上取得一些成果。设计了一个基于IEC 61850的变电站防误操作系统,在站控层、间隔层和传输层实现实时防误逻辑判断,可有效减少人为误操作风险。介绍了基于移动机器人的变电站设备巡检系统。从减少心理应激的负面作用和计算机支持下的调度员协作等对提高紧急情形下EMS 人机交互的能力进行了探讨。
2.4 综合比较
目前,二次系统风险评估涉及的各项工作尚未形成统一标准,在模型选择、数据来源和风险指标方面的差别都比较大,如表1 所示。
表1
表中所列的文献具有一定的代表性。对于设备风险因素,主要采用的分析方法有事件树方法,基于历史数据,通过蒙特卡洛进行仿真,并可参考一次设备风险的评估,多角度分析二次设备对线路、电源及一次系统的风险。对于信息风险因素,采用分层方法将复杂信息系统分解,基于调查统计数据,对系统功能或脆弱性进行定性定量分析。对于人为风险因素,目前相关研究还比较少,表中文献的评估结果并没有严重度指标。从模型方法来看,故障树和事件树可以对连锁故障的各类原因进行有效仿真分析;Petri网和层次分析法可以简化复杂系统,厘清系统层级结构;CREAM 模型能够量化环境因素对人为操作风险的影响。
3 二次系统风险评估面临的问题与挑战
3.1 二次系统的复杂性
二次系统是由软件、设备和信息共同组成,并且直接面向电网操作人员的复杂系统。其复杂性主要体现在以下几个方面:
1)组成的复杂性。
二次系统风险由设备、软件、信息、人员等多种风险构成,它们的结构、行为差异巨大,并且时间、空间分布截然不同,给建模工作带来困难。因此,现有研究大多对二次设备、信息和通信系统、人员可靠性单独进行分析,这样导致评估结果只能反映单方面安全风险,无法评估二次系统整体风险及二次系统对一次系统的影响。
2)状态的多样性。
二次系统对于整个电力系统的价值在于完成其所承担的相应任务。传统可靠性研究一般认为:设备或者元件的状态分为故障和正确2 种基本状态。对于设备和电力系统的可靠性研究,都假设元件存在少数几个状态。而二次系统功能存在多种可能状态,如正常完成、80%完成、50%完成及完全失效,不同的可能状态的风险必然不同,因此在风险评估过程中需要反映功能的不同状态对系统风险的影响。
3)网络的交错性。
二次系统是一个巨大的网络系统,包含物理网络、信息网络、业务网络,这些网络架构各异,相互影响,任务的发起、执行需要这些网络互相配合。因此风险因素的作用、传递和演化机理也变得复杂多样。关键节点的脆弱性,可能影响到整个网络的工作表现。因此,识别和定量分析网络的脆弱性,对网络的行为特征进行建模,表示网络单个元件或局部失效对整个网络的影响,都具有极大的挑战性。
3.2 风险因素来源的多样性
大量集成监视、控制、测量功能的智能设备的应用使得信息与设备高度融合,单个智能设备的运行操作模型变得极为复杂,传统的基于设备的相关建模方法都不再适用,需研究软硬件交互故障模型。
变电站和控制中心集成了不同厂家、不同时期装设的各类系统,随着自动化水平的提高,其兼容性和可靠性也是一个日益凸显的风险因素。随着电力软件规模和复杂性的增加,软件可靠性因素对于系统风险的影响必须得到重视。此外,网络互联性和分布式应用的增加,也使入侵和攻击的方式变得更为复杂多样。
电力二次系统,特别是电力监控系统,是直接和控制人员交互的,控制人员命令和操作大多通过其来完成,同时控制人员失误或错误的命令和操作也通过其影响电力一次系统。而且,近年来硬、软件设备可靠性的提高,使人为可靠性对系统风险影响的作用更为突出,尤其是面对紧急情况或大灾害,控制人员的错误判断将导致严重后果。
3.3 基础数据的不确定性
目前电网中各种一次设备在线监测系统已经比较成熟,一次系统和设备风险评估相关的数据已较容易获得。从表1 中也可以看出,二次设备运行、管理等数据尚未得到统一管理,对软件运行数据也基本上只有从安全日志或者工作人员的主观描述中获取。目前对二次系统事故缺乏系统记录、分析,造成事故样本缺失,为风险量化工作带来困难,需要研究在风险基础数据缺失或不足时的风险评估方。
不确定性贯穿风险评估的整个流程,但是数据的不确定性将对掌握软件和设备状态,描述控制行为,系统建模带来障碍。不确定因素的引入主要体现在2个方面:1)系统本身固有的随机不确定性;2)技术手段不足引入的不确定性。前者是不可避免的,而后者可以通过技术手段的改进,计算方法的设计来降低,可从观测手段、计算模型、风险结果解释等方面来降低不确定性。
4 结论与展望
在总结二次系统安全风险已有评估模型和研究方法的基础上,结合其他领域风险研究方法和二次系统的发展特点,笔者认为,未来电力二次系统风险评估的主要研究重点应在以下几个方面:
1)风险因素。智能电网条件下,可再生能源接入和需求侧交互的开展,使得电网需要监控的深度和广度大大增加,二次系统将变成一个不亚于一次系统的复杂大系统。二次设备、信息和人为因素这3 种风险来源需综合评价,特别是分析这些风险因素在事故发生及扩大过程中产生的影响和作用形式,充分考虑各种因素的交互,全面评估二次系统整体风险。
2)数据获取。风险评估离不开充足完备的数据支持。现有的历史统计数据存在种类不齐全、格式不统一等缺点,而专家知识则具有模糊性和不确定性。未来的风险评估研究一方面需对二次系统监控与事故记录进行统一管理,累积事故样本,并整理历史数据和公式化专家经验;另一方面则需要研究在风险基础数据缺失或不足时的风险评估方法。
3)评估模型。二次系统本质上是为一次系统服务的,其价值与风险的归结点在于完成一次系统需要的功能,因此对于其风险的严重程度的评价标准应以一次系统为出发点。应从二次系统的功能价值及功能失效对一次系统的影响出发,建立统一的面向功能的二次系统风险评估模型和风险指标体系。
4)风险应用。风险评估结果应为发现系统脆弱点并评估脆弱点可能给系统带来后果的严重程度,进而提供相应的应对措施与改进方法来降低风险,如进行状态检修、修补系统漏洞和制订各种应急预案等;或者将风险评估结果运用于调度计划等辅助决策领域。
参考文献:
[1] 帅军庆,特大型电网高级调度中心关键技术[M].北京:中国电力出版社,2010:220-224.
[2] 冯永青,吴文传,张伯明,等.基于可信性理论的电力系统运行风险评估:(三)应用与工程实践[J].电力系统自动化,2006,30(3):11-16
[3] 王博,游大海,尹项根,等.基于多因素分析的复杂电力系统安全风险评估体系[J].电网技术,2011,35(1):40-45.
论文作者:许秀珍
论文发表刊物:《基层建设》2015年32期
论文发表时间:2016/10/20
标签:系统论文; 风险论文; 设备论文; 因素论文; 风险评估论文; 电网论文; 电力论文; 《基层建设》2015年32期论文;