NIST智能电网4.0版架构与安全解读（五）|智能电网的本体论（Ontology）

电网是一个庞大而复杂的系统，被称为20世纪最伟大的工程成就。除了基础设施的规模之外，电网是复杂的系统中的系统（SoS），其中机械、电子机械和电子控制设备必须在人类的监督和干预下近乎实时地共同工作，以生产和管理对现代社会至关重要的电力。电力是现代社会的首选能源载体，作为一个关键基础设施，电网为大量的其他系统服务，包括许多生命攸关的系统。然而，尽管如此复杂，我们用来描述电网的语言往往是晦涩难懂的，缺乏必要的清晰度，无法描述复杂的SoS运行逻辑及其管理手段。

本体论，是哲学的一个分支，在这里，我们可以将其理解为对电网系统中各种设备的分类，设计出一种理解方式，来理解和描述电网。电网只是更广泛的网络物理系统(CPS，Cypher-physical system)中的一个领域。为电网开发的任何本体论都应该与已经为其他网络物理系统开发的本体论相一致；这样做有助于更方便地实现电网与其他系统的互动并对总体进行优化。因此，NIST基于之前的CPS框架对智能电网进行了描述和刻画。

1.   NIST的网络物理系统框架

图1 - CPS框架的领域、面和方面

2. 智能电网的CPS分层

电网是CPS在能源领域的一个应用，所以图1中显示的CPS的各个Aspects也适用于电网。下面简要解释电网中的各个Aspects。

功能—电网中的功能性，包括传感、执行、控制和通信。例如，现代电网中DER的作用越来越重要，此时就需要考虑其对现有系统的传感、控制和通信要求产生的影响。
       商业—包括企业、上市时间、环境、监管、成本和其他商业领域。对于电网来说，一个关键的商业方面的问题是，在许多地区仍然处于受管制的垄断市场中的大背景下，如何设计市场策略才能以优化能源成本，实现其到现代开放电力市场的过度。
       人 -包括人与系统的交互方式。一个重要的人的方面的问题是，电网中的系统操作员是否能够有效地管理一个可能有数百万个不在他们直接控制之下的新分布式发电设备的电网。
    可信 - 包括安全（security，网络安全和物理安全）、隐私、安全（Safety）、可靠性和复原力。解决这些问题，包括理解和管理它们之间的相互关系，是电网的根本。因此，提升和保证可信性被视为电网现代化的一个关键驱动力，其将对整个电网的架构设计产生深远影响。
       时间—包括时间和频率信号的产生和传输、时间戳、管理延迟。时间方面的问题反映了发电、输电、配电和用电的实时性，电力行业早已通过许多现有的电网时间标准来解决这些问题。
       数据 - 包括融合（态势感知）、数据定义（元数据）、隐私、质量、类型和身份。数据的互操作性是电网的一个关键问题，如IEC-61850等国际标准，该标准定义了变电站智能电子设备（IED）的配置数据。此外，数据的准确性、及时性和可用性对通过数据分析来改善电网运行至关重要。
       边界—包括拓扑结构、功能和组织分界及互动有关的问题。对于电力公司来说，一直以来的一个边界方面的问题是组织筒仓之间的摩擦。为了最大限度地提高电网的运行效率，这些筒仓必须被整合。例如，信息技术（IT）和运营技术（OT）组织团体之间的界限。
       组成 -如何基于现有的各个CPS系统构建更大的系统。对于电力公司来说，目前的一个组成方面的关注点是如何有效地替换结合了停电管理系统（OMS）和配电管理系统（DMS）功能的新构建的控制系统。另一个关键的组成方面的问题是将公用事业控制系统与用户拥有和控制的DER资产整合的能力。
       生命周期 – 包括CPS系统的各个组件在整个生命周期包括设计、部署、运行、改进和最终的处置。对于电力公司来说，生命周期的问题包括如何保持系统和组件长时间稳定运行，因为一般来说对系统寿命的期望通常是以几十年而不是几年。另一个生命周期的问题是需要管理电网控制设备的更多重复使用，如分接开关，可能需要更频繁地运行，以控制现代负载和分布式发电引起的电压变化。另一个生命周期方面的问题是如何提供升级现有设备的固件，以支持更新功能，如高级逆变器控制电压和频率的能力。

3.可信性（Trustworthiness）

原标准列出了智能电网中的每个分层中的每个子问题的详细介绍，在本篇文章中，我们重点介绍可信性（Trustworthiness）中的子问题，这是一个与安全领域最相关的aspect，同时也是现代智能电网设计中最重要的部分。

隐私性(Privacy)

Privacy是指，防止任何未被授权的实体访问存储在 CPS 或其组件中、由其创建或传输的数据的能力。隐私性降低了在系统内或系统间处理个人信息或通过操纵物理环境而产生的信息泄露的人为因素风险。现代智能电网中有很多具体的隐私保护问题需要注意：

(1)为能源监测目的而收集的能源使用数据，可能会导致私人信息或其他机密信息的无意泄露。例如，这些数据有可能暴露个人行为的信息，如他或她晚上什么时候到家，以及他或她与CPS系统的日常互动信息。

(2)攻击者从各种来源收集信息，然后使用算法或机器学习来分析这些信息，就有可能通过将各种 "安全"（经过隐私保护处理的）数据结合起来，最终推测出有关个人的机密信息，产生 "不安全 "的结果。

(3)另一个隐私问题是客户数据的保密问题，包括商业和工业客户的数据。

因此在未来电网设计时，需要设计和实现一些算法，从监测的用电数据中去除个人身份信息（PII）和敏感个人信息（SPI）。

可靠性(Reliability)

可靠性(Reliability)是指在预期条件下提供稳定和可预测性能的能力。智能电网中的常见可靠性场景包括：

(1)保证电力系统满足需求的数量和质量提供电力，通常通过正常运行的中断指数衡量。

(2)增加现场发电（包括可再生能源和备用发电，通常是在用户控制的微电网范围内）。这是客户解决他们自己对可靠性要求的常见方法。这些资产也可以聚集在一起，并可以参与市场，提供有偿的电网可靠性资源。

(3)提升间歇性/不可调度的DER（作为单独的发电资产）的可靠性，保证其连接的电网系统的可靠性。

现代电网中，有些供电公司以外的组织(例如DER)会通过发电支持电网的可靠性，如果其违反了可靠性规范会发生什么（例如，如何通知公用事业公司或其他受影响的各方），以及各组织将如何对违反规范的局部和区域影响负责？

为了保障这些非传统公共事业组织的加入后电网的可靠性，下面几个问题需要考虑：

(1)提升由公用事业以外的团体拥有的电网段或设备，对系统运行提供自主修正的能力（即那些不受中央公用事业控制的修正）。这样做的优点是可以减少整个电网通信要求和部署DER的相关成本，同时也提高了整个系统采取纠正措施的速度。这方面的一个例子是重合器的自动化功能。

(2)多用户微电网和微电网网络可能需要与配电网协调保证可靠性，因此需要为其提供这种通信服务。

(3)如果事先无法对单个资产性能的可靠性进行验证，可能会导致电网运营商和/或公用事业部门要求对单个资产的状态进行直接实时观察，特别是当这些资产对电网提供服务的时候其可靠性就显得更加重要。

容错性(Resilience)

容错性(Resilience)是指当电网系统遭受不稳定、意外情况时能返回到可预测的、但可能是降级的的性能的能力，即保证系统在遭受意外时不至于失控的能力。科学研究表明，在未来热浪和大型风暴等极端天气事件可能会变得更加频繁和激烈，增加电网基础设施受损的风险。因此容错性必须被重视。

与提供正常服务的可靠性(Reliability)不同，容错性是指准备和适应不断变化的环境的能力，以及承受和迅速恢复中断的能力。对于单一系统，其遇到特殊情况时，可以选择将系统平稳退化(关闭或者降级服务)。然而电网的互连性质意味着单个系统的退化可能会影响更多的利益相关者，而不仅仅是那些协商（或同意）的运行方案的利益相关者。对许多行业来说，15秒的瞬间停电，或15小时的长时间停电，都会造成同样的经济损失。决定运行方案的权力以前是由公用事业单位和类似的负载服务实体掌握的；把这些决定权交给其他人的意义和可能产生的问题还不清楚。

降级状态的确定（或协商）现在是一个不明确的过程，但是过程中必须注意确保所有利益相关者都能参与，并在最终解决方案中准确地代表他们的利益。因此必须事先明确当某个系统性能降级时，其应该必须与哪些其他外部实体进行必要的沟通。

为了提高容错性，标准也指出了未来电网中需要提升的点：

(1)需要提升分布式发电（DG）用于电网抗灾的协调、通信和传感能力。

(2)需要设计一套能够快速相应各种紧急情况的电网和通信/协调结构。

(3)保证这些应急协商和维护措施所需的额外的通信带宽。

(4)可以利用配电层面的存储来提高容错性。

(5)在高优先级场所（如医院和急救站）使用智能电表，并加强停电检测警报，这需要更快的高带宽通信网络。

(6)除了满足客户的充电需求外，电动汽车充电可能能够为电网系统提供额外的弹性支持。

安全性(Safety)

安全性(Safety)与security不同，Safety是指确保不对CPS利益相关者的生命、健康、财产或数据以及物理环境造成灾难性后果的能力。

公用事业和能源服务供应商/运营商的首要需求就是保证客户的安全（Safety）。对安全的潜在威胁来自于多个方面，其中许多方面被归入可信性。例如，设备（和变电站）的可控性有可能通过网络安全攻击被恶意破坏，从而对生命安全产生灾难性的影响。在所有的电网系统升级改造过程中，必须评估和维护或改进安全。例如，随着分布式设备越来越多地被部署，传统的安全做法可能不再适用，必须更新。

安全性Security

与Safety不同，Security指的是信息安全和网络安全。具体是指确保其所有程序、机制（包括物理和网络）和服务得到内部或外部保护的能力，防止非故意和未经授权的访问、改变、破坏、毁灭或使用。

在新型电网场景中，security问题有很多，下面给出几个例子：

(1)大多数变电站系统被设计为孤立的非连接系统。因此，在变电站内连接物联网设备和系统需要重新评估security，包括设备级网络安全等。同时为旧的系统添加新设计的安全设备和措施时可能会使得安全性达不到设计预期。

(2)以通过干扰全球导航卫星系统（GNSS）或对通信网络流量的干扰来发起的拒绝定时（time denial）攻击可能导致电网或变电站故障。

(3)欺骗性网络攻击可以由连接到变电站通信总线的任何设备（包括那些只是临时连接的设备）发起，或者通过一个保护不力的网关到达变电站的外部设备发起。这种攻击将为个别或所有子系统提供错误的时间，从而导致对本地或全球时间同步错误。

(4)长时间的拒绝服务（DoS）网络攻击可能导致电网或变电站的故障。

(5)额外的DER和分布式自动化设备可能会被攻击者直接接触到，因此需要一些物理措施来保证其安全。

标准给出了下面的一些未来security方面的需求：

(1)为了防御基于物联网的网络攻击，需要针对边缘设备引起的电力流波动进行弹性缓冲的架构。

(2)需要设计一种网络安全架构来保证设备与网络/互联网连接时的安全。

(3)需要设计安全架构来解决多种问题，例如，防止定时拒绝和DoS网络攻击，并保护变电站免受欺骗攻击。此外，还需要确保传统电网系统和变电站安全的安全架构。还需要安全架构来支持对物理设备接入的管控的监测。

(4)在信息流、协调和控制方面，需要配电级的网络安全方法。