受攻擊信息物理系統(tǒng)的分布式安全狀態(tài)估計與控制—一種有限時間方法

敖偉 宋永端 溫長云

隨著信息技術(shù)的廣泛應(yīng)用,信息物理系統(tǒng)(Cyber physical systems,CPS)(交通系統(tǒng)、智能電網(wǎng)系統(tǒng)以及高速鐵路系統(tǒng)),以其物理動態(tài)過程與信息傳輸處理過程的緊密耦合[1],成為近期研究熱點.不過,正是由于信息處理與動態(tài)過程的緊密關(guān)聯(lián),使其特別容易受到數(shù)據(jù)傳輸中的錯誤或攻擊影響,進(jìn)而造成損失或重大破壞,比如巴西電網(wǎng)大停電事故[2]以及針對伊朗的震蕩波病毒攻擊[3].

當(dāng)前已有一些文章涉及信息物理系統(tǒng)安全問題,其中大體包含兩類.第一類著重研究攻擊檢測問題.比如,文獻(xiàn)[4]研究信息物理系統(tǒng)的攻擊檢測與識別問題,從系統(tǒng)理論和圖論的角度刻畫監(jiān)測系統(tǒng)的固有缺陷,并設(shè)計一種基于Luenberger觀測器的監(jiān)測器,用于攻擊檢測和識別,但是其只能實現(xiàn)漸近收斂,故檢測時間可能非常長.文獻(xiàn)[5]提出一種基于滑模觀測器的方法,可分別對信息物理系統(tǒng)中存在的狀態(tài)攻擊和輸出攻擊進(jìn)行檢測和重構(gòu),但該方法需要滿足所謂的觀測器匹配條件.文獻(xiàn)[6]通過研究系統(tǒng)的強觀測性,并利用系統(tǒng)動態(tài)特征向量,提出一種攻擊可檢測的充分必要條件.不過,他們都沒有涉及狀態(tài)安全估計與控制問題.第二類主要關(guān)注狀態(tài)安全估計和安全控制器設(shè)計.比如,文獻(xiàn)[7]針對部分傳感器受到攻擊的信息物理系統(tǒng),提出一種便于計算的解碼算法,用以估計系統(tǒng)狀態(tài),并刻畫該算法能夠容許的最大受攻擊傳感器數(shù)量的上界;進(jìn)而,這些結(jié)果在文獻(xiàn)[8]中得到了擴(kuò)充,該文即不僅展示了通過設(shè)計局部安全控制器可以提升系統(tǒng)面對攻擊的性能,同時還提出一種基于L1/Lr的編碼器實現(xiàn)狀態(tài)的安全估計.此外,通過研究系統(tǒng)的稀疏觀測性,文獻(xiàn)[9]指出,2s-稀疏可觀測,那當(dāng)且僅當(dāng)其受到不超過s-稀疏攻擊時,狀態(tài)可以被安全估計出來;文獻(xiàn)[10]拓展這一結(jié)論,并利用高效滿足性模態(tài)理論,設(shè)計一種新型的多模態(tài)Luenberger觀測器,對安全估計問題的復(fù)雜性進(jìn)行了優(yōu)化.不過,文獻(xiàn)[7-10]中的安全估計算法都是集中式的,且其估計誤差為指數(shù)衰減,這使得估計結(jié)果可能要較長時間才能滿足實際需求.此外,我們在文獻(xiàn)[11]中,針對受到攻擊的線性信息物理系統(tǒng),提出一種基于有限時間觀測器的安全估計算法,可以確保在預(yù)設(shè)有限時間完成狀態(tài)安全估計,不過,該方法仍然是集中式的,同時也沒有涉及安全控制問題.進(jìn)而,文獻(xiàn)[12]進(jìn)一步拓展這些結(jié)果,提出一種分布式的狀態(tài)安全估計與安全控制策略;不過,其研究的信息物理系統(tǒng)之間僅含有線性耦合,且其安全控制方法依賴分?jǐn)?shù)階動態(tài)面技術(shù),只能保證動態(tài)面在有限時間內(nèi)達(dá)到,并不能確保期望狀態(tài)誤差在有限時間內(nèi)收斂到零.而實際的信息物理系統(tǒng),比如智能電網(wǎng)系統(tǒng),其分布式特點比較明顯,且其子系統(tǒng)之間的耦合也可能是非線性的;同時為應(yīng)對惡意攻擊,需要在有限時間內(nèi)將跟蹤誤差控制到零.因此,這就需要探索新的有限時間分布式安全估計以及安全控制設(shè)計方法.

正是基于上述考慮,本文針對一類受到攻擊的由多個子系統(tǒng)組成的非線性耦合信息物理系統(tǒng),研究其分布式安全估計以及分布式安全控制問題.相關(guān)的系統(tǒng)結(jié)構(gòu)及提出的方法和策略如圖1所示.本文的主要貢獻(xiàn)包括:

1)針對一類含有非線性耦合的信息物理系統(tǒng),提出一種由安全測量預(yù)選器和有限時間觀測器組成的分布式有限時間狀態(tài)安全估計策略.當(dāng)滿足一定條件時,該策略可確保系統(tǒng)狀態(tài)在預(yù)設(shè)有限時間之內(nèi)被準(zhǔn)確估計出來;

2)利用獲得的安全狀態(tài)估計,采用反步設(shè)計方法建立分布式有限時間安全控制律;

3)基于李亞普洛夫穩(wěn)定性理論,嚴(yán)格論證該控制律可以保證系統(tǒng)在有限時間內(nèi)跟蹤期望信號,且各系統(tǒng)狀態(tài),觀測器信號以及控制信號有界.該方法的有效性也通過仿真實驗得到驗證.

圖1 受到傳感器攻擊的信息物理系統(tǒng)與有限時間狀態(tài)安全估計與控制框圖Fig.1 The diagram of the CPS under sensor attacks and the finite time secure state estimation and control

本文后續(xù)內(nèi)容由以下幾部分組成:第1節(jié)介紹研究對象模型并提出研究目的;第2節(jié)提出一種由安全預(yù)選器和有限時間觀測器組成的狀態(tài)估計策略,解決分布式安全狀態(tài)估計問題;第3節(jié)提出一種分布式控制算法,解決分布式安全控制問題;第4節(jié)將提出的方法在微電網(wǎng)中仿真實驗,驗證該方法的有效性;第5節(jié)對本文做總結(jié).

1 系統(tǒng)模型

本文考慮由N個相互耦合子系統(tǒng)組成的信息物理系統(tǒng),其結(jié)構(gòu)見圖1(a).由于物理特性,子系統(tǒng)相互之間具有一定的非線性動態(tài)耦合;相應(yīng)地,為完成控制、監(jiān)測功能,子系統(tǒng)之間還包含信息處理系統(tǒng)即通過計算機處理和信息網(wǎng)絡(luò)設(shè)施,將測量、控制信號傳輸?shù)奖O(jiān)測或控制系統(tǒng);而這些信息處理與傳輸過程,有可能遭受惡意攻擊.基于這些考慮,該信息物理系統(tǒng)中的第i個受到攻擊的子系統(tǒng),可用下述模型描述.

其中,xi(t)=[xi,1(t),···,xi,n(t)]T∈Rn為系統(tǒng)的未知狀態(tài),ui(t)∈R為受控輸入信號;yi(t)∈Rpi是經(jīng)傳輸?shù)玫降臏y量信號,需注意,由于存在惡意攻擊者,yi(t)可能被任意篡改,ηi(t)∈Rpi即為T攻擊者注入的惡意攻擊信號;Ci=[Ci,0,···,Ci,0]∈Rpi×n為系統(tǒng)測量矩陣,其中Rn;而代表第i個子系統(tǒng)受到其他所有子系統(tǒng)的非線性耦合效應(yīng),表示所有子系統(tǒng)狀態(tài)第一個分量組成的向量.

注1.文獻(xiàn)[12]僅考慮存在純線性耦合的情況,這局限了其應(yīng)用范圍;而本文研究的系統(tǒng)模型包含非線性耦合分量,這樣可能更符合實際情況使其適用范圍更廣.另外,文獻(xiàn)[12]設(shè)計的控制律是基于分?jǐn)?shù)階動態(tài)面的,并不能保證受控狀態(tài)在有限時間內(nèi)跟蹤上期望信號.因此,需要探索新的方法實現(xiàn)對狀態(tài)的有限時間跟蹤控制.

正如文獻(xiàn)[4]所述,許多實際信息物理系統(tǒng),譬如智能電網(wǎng)、高鐵系統(tǒng)[13]等,都可用形如式(1)的模型描述.此外,隨著信息技術(shù)的發(fā)展,在實際的系統(tǒng)[14-15]中,經(jīng)常利用多路傳感器采集同一信號,以便提高系統(tǒng)中信號測量的可靠性、冗余性與安全性.鑒于此,本文也采用該方法.因此,輸出分布矩陣即Ci,便如模型1中所示.

本文假定,對于第i個子系統(tǒng),pi路傳感器中僅有si路是可被攻擊者任意操縱的.除此之外,本文不對攻擊者具有的關(guān)于系統(tǒng)的信息和操縱信號的能力作任何限制.此外,受安全檢測與估計方面[4,8]等文獻(xiàn)的啟發(fā),為了刻畫安全估計可實現(xiàn)的充分條件,本文引入如下定義.

定義 1.s-稀疏攻擊[8]:給定攻擊向量ηi(t),如果存在集合 Λi?{1,···,pi}且Card(Λi)=pi-s,對任意s∈N 和t,有ηi,j(t)=0,而ηi(t)的其他s個分量不一定為零,則稱它是一個s-稀疏攻擊,或它是一個稀疏指數(shù)為s的攻擊向量.s即為攻擊向量的稀疏指數(shù).

注2.定義1主要用于刻畫如(1)所示受攻擊信息物理系統(tǒng),其狀態(tài)安全估計可解的充分條件,見第3.1節(jié).

2 問題描述

本文的主要目標(biāo)是解決如下兩個問題.

1)分布式有限時間安全狀態(tài)估計問題:即針對如式(1)所示受攻擊信息物理系統(tǒng),提出其分布式狀態(tài)安全估計可解的充分條件,并設(shè)計安全估計器,在有限時間內(nèi)獲得系統(tǒng)的真實狀態(tài).

2)分布式有限時間安全問題:即針對如式(1)所示受攻擊信息物理系統(tǒng),在安全狀態(tài)估計實現(xiàn)的基礎(chǔ)上,設(shè)計分布式安全控制器,使系統(tǒng)能夠在有限時間內(nèi)跟蹤任意給定信號.

3 分布式有限時間狀態(tài)安全估計

本節(jié)將提出一種由安全預(yù)選器與有限時間觀測器構(gòu)成的分布式有限時間狀態(tài)安全估計策略.

3.1 安全測量預(yù)選器設(shè)計

首先,受文獻(xiàn)[12]啟發(fā),利用定義1,對于分布式信息物理系統(tǒng)(1),可給出其狀態(tài)可安全估計的充分條件.

條件1.對于受到稀疏攻擊的分布式信息物理系統(tǒng)(1),其中第i個子系統(tǒng)中的稀疏指數(shù)為si,si滿足如下條件:

命題1.對于受到稀疏攻擊的分布式信息物理系統(tǒng)(1),其中第i個子系統(tǒng)中的稀疏指數(shù)為si,若條件1成立,那其狀態(tài)安全估計是可實現(xiàn)的.

證明.命題1的證明與文獻(xiàn)[12]中相似,故在此省略.□

注3.對于集中式信息物理系統(tǒng)模型,受攻擊時狀態(tài)安全估計的可實現(xiàn)條件在文獻(xiàn)[7-11]中給出;而命題1則進(jìn)一步將對象擴(kuò)展到受攻擊的分布式信息物理系統(tǒng),并提出了狀態(tài)可被安全估計得到的充分條件.此外,需要注意,命題1雖然刻畫了受攻擊地信息物理中的狀態(tài)可安全估計的充分條件,但由于系統(tǒng)1含有非線性耦合特性,文獻(xiàn)[12]中設(shè)計的安全觀測器并不能直接應(yīng)用,所以具體的狀態(tài)估計方法特別是有限時間估計方法還需要精巧地設(shè)計.

基于條件1,同時受文獻(xiàn)[12]啟發(fā),可以設(shè)計一種分布式策略,檢索出每個系統(tǒng)中未受攻擊的傳感數(shù)據(jù).在此,先介紹一種中間值求取算子:給定向量yi(t),將其元素按大小排序得到一個新的向量vi=[vi,1,···,vi,pi]T,其中vi,1≤···≤vi,pi. 那么,對于向量yi(t)的中間值算子如下:

其中,pi為偶數(shù)時,而pi為奇數(shù)時,in=.當(dāng)條件1成立時,針對第i個子系統(tǒng)的分布式安全測量預(yù)選器設(shè)計如下:

關(guān)于上述預(yù)選器,下述結(jié)論成立.

引理1.對于含有攻擊的信息物理系統(tǒng)(1),當(dāng)條件1成立時,利用安全測量預(yù)選器(4),對所有時刻,下式成立.

證明.引理1的證明與文獻(xiàn)[12]中相似,故省略.□

注4.值得注意的是,si為攻擊向量中非零信號的數(shù)目,即受到攻擊的傳感器的數(shù)量;ri為不受攻擊的傳感器的數(shù)量;而qi表示不受攻擊的傳感器超過受攻擊的傳感器的數(shù)量.實際上,這部分分析表明,只要不受攻擊的傳感器超過受攻擊的傳感器的數(shù)量,即qi＞0,那么利用排序方法和中間值算子,都能將“中間”不受攻擊的信號提取出來.需要指出的是,由于預(yù)選器(4)主要通過分析多路傳輸信號的差異,從而提取出“安全”(未受攻擊)的測量信號;此外,多路傳感器采集的是同樣的信號,而實際信息系統(tǒng)內(nèi)部的非線性特性在輸出通道的表現(xiàn)都是相同的,所以,該預(yù)選器可以應(yīng)對系統(tǒng)中含有非線性耦合的情況.

3.2 分布式狀態(tài)安全估計器設(shè)計

受文獻(xiàn)[16]中集中式有限時間觀測器以及文獻(xiàn)[12]中分布式有限時間安全狀態(tài)估計器啟發(fā),利用式(4)所設(shè)計的預(yù)選器,對于受到攻擊的信息物理系統(tǒng)(1)中第i個子系統(tǒng),可設(shè)計如下分布式安全狀態(tài)估計器.

為方便起見,將所有子系統(tǒng)的Te,i取為相同值,即Te,i=Te,i=1,···,N.

注5.雖然分布式有限時間觀測器(6)是受文獻(xiàn)[12]中方法啟發(fā)而來,且形式上有一定的相似之處,但由于非線性耦合效應(yīng)的存在,使該文結(jié)果并不能直接應(yīng)用到系統(tǒng)(1)中.因此,本文利用項對信息物理系統(tǒng)中的非線性耦合部分進(jìn)行補償,才能確保有限時間安全狀態(tài)估計的實現(xiàn).

利用上述提出的預(yù)選器與有限時間觀測器,能夠確保在條件1滿足時,在有限時間內(nèi)解決狀態(tài)安全估計問題,即可表述為如下定理.

定理1.針對含有攻擊的信息物理系統(tǒng)(1),分布式輸出預(yù)選器(4)和分布式有限時間觀測器(6).當(dāng)條件1成立且分別滿足(7)和(8)時,信息物理系統(tǒng)(1)中的狀態(tài),可以在預(yù)設(shè)的有限時間內(nèi)準(zhǔn)確地得到,即當(dāng)t≥Te時,

證明.記估計誤差為:,由于預(yù)選器(4)可以得到未受攻擊測量信號,那么估計誤差的動態(tài)特性如下:

顯然,若將初始誤差記為, 那么誤差的特性可以刻畫如下.

由于Te為滿足式(7)的常數(shù),那么根據(jù)式(8),可得:

顯然,比較式(14)與式(6),即可得到,當(dāng)t≥Te時,式(9)成立.

4 分布式有限時間安全控制器設(shè)計

受文獻(xiàn)[17]啟發(fā),本節(jié)提出一種基于反步法的分布式有限時間安全控制器,使得受到攻擊的信息物理系統(tǒng)(1)依然能夠在有限時間內(nèi)跟蹤上任意的期望軌跡,即xi,1(t)→xi,d(t),i=1,···,N.

4.1 反步法分布式狀態(tài)安全估計器設(shè)計

其中,?i,1,1=ai,1和?i,1,2=1.

下面將采用反步法,對第i個子系統(tǒng),設(shè)計分布式安全控制器,使得ei,1(t)收斂到0.

步驟1.構(gòu)造Lyapunov函數(shù),選擇虛擬控制律:

步驟2.構(gòu)造Lyapunov函數(shù),選擇虛擬控制律:

注意,根據(jù)楊氏不等式,可得:

進(jìn)而,根據(jù)式(21)可得:

其中,ci,2為一正常數(shù).

選擇βi,2≥ci,2+n-1,并將式(19)代入式(20),可得:

步驟3.假設(shè),那構(gòu)造Lyapunov函數(shù),選擇虛擬控制律:

相似地,根據(jù)楊氏不等式,可得:

其中,ci,j為一正常數(shù).

選擇βi,j≥ci,j+n-j+1,并將式(24)和式(26)代入式(25),可得:

步驟4.第n步.設(shè)計虛擬控制律:

其中,αi,n(t)在式(28)中給出,Te為滿足式(7)的常數(shù).

4.2 穩(wěn)定性分析

至此,關(guān)于受攻擊信息物理系統(tǒng)(1),其有限時間安全控制問題可解,可總結(jié)為如下定理.

定理2.針對含有攻擊的信息物理系統(tǒng)(1)、分布式輸出預(yù)選器(4)、分布式有限時間觀測器(6)以及分布式有限時間控制器(29).當(dāng)條件1成立且Te和分別滿足式(7)和式(8)時,信息物理系統(tǒng)(1)中狀態(tài)xi,1(t),可以在有限時間內(nèi)準(zhǔn)確跟蹤上任意信號xi,d(t),即存在Tc＞0,當(dāng)t≥Tc+Te時,

其中,Te為滿足(7)的常數(shù),,而Vn(0)為選擇的Lyapunov函數(shù)初值;而為一偶數(shù),?2為一奇數(shù),且;為一常數(shù).

證明.首先證明,含有攻擊的信息物理系統(tǒng)(1)、分布式輸出預(yù)選器(4)、分布式有限時間觀測器(6)以及分布式有限時間控制器(29)是有限時間穩(wěn)定的.現(xiàn)在根據(jù)定理2,利用信息物理系統(tǒng)(1),分布式輸出預(yù)選器(4),分布式有限時間觀測器(6),當(dāng)t≥Te時,.這就意味著,當(dāng)t≥Te時,可直接利用代替xi(t),進(jìn)行控制器設(shè)計.所以,僅需分析t≥Te時控制律的效果.

根據(jù)楊氏不等式,可得:

選擇βi,n≥ci,n+1,并將式(32)代入式(31),可得:

另外,與式(21)相似,可得:

進(jìn)而,可得:

那么,根據(jù)Vi,n(t)定義,可得:

其中,γi≥0為一常數(shù).

接下來,將證明當(dāng)t∈[0,Tc]時,系統(tǒng)中的各個變量不會發(fā)散.構(gòu)造函數(shù),計算其導(dǎo)數(shù)可得:

將式(41)代入式(39),可得:

其中,Ki=2(1+nυi).

此時,將式(43)代入式(39),可得:

其中,Li=n-1+υi.

綜合式(42)和式(44),可得:

其中,K=max{Ki}和L=max{Li}.求解不等式(46),可得:

根據(jù)Θ(e)的定義,可得,在t∈[0,Tc]時,系統(tǒng)(1)中各子系統(tǒng)的狀態(tài)xi(t)都是有界的.□

5 仿真示例

為了驗證本文提出算法的有效性,將其應(yīng)用到如圖2所示的微電網(wǎng)系統(tǒng)中的二次頻率恢復(fù)控制中[18].該微電網(wǎng)包含4個發(fā)電機,4個局部負(fù)載以及3組傳輸母線.遵照該文方法,僅考慮發(fā)電過程,而將原電機的機械力矩直接作為發(fā)電機受控輸入,且當(dāng)傳輸母線為無損時,則第i個發(fā)電機的相位下降過程為

其中,δi(t)是第i個發(fā)電機的電氣角,ωi(t)是相對角速度,ui(t)是設(shè)計的受控輸入,τPi為測量有功功率的濾波器系數(shù),kPi為頻率下降增益;為期望的有功功率,Pi(t)而為實際的有功功率,它滿足如下條件:

其中,Bij是通過剔除所有物理母線后得到的內(nèi)部網(wǎng)絡(luò)節(jié)點后得到的阻抗矩陣的第i行第j列的參數(shù);Vi(t)為第i個發(fā)電機的電壓,P1i、P2i和P3i分別為名義恒定阻抗、恒定電流和恒定功率負(fù)載.該微電網(wǎng)的參數(shù)見表1.

圖2 受到傳感器攻擊的微電網(wǎng)系統(tǒng)框圖Fig.2 The diagram of the micro-grid system under sensor attacks

表1 微電網(wǎng)系統(tǒng)模型參數(shù)Table 1 Parameters of isolated grids systems

其中,Ai和Bi的值可以通過表 1計算可得,選 擇而為注入的傳感器攻擊.設(shè)計的攻擊信號為:,,其余分量為0.

根據(jù)第3節(jié)和第4節(jié)的分析,設(shè)計的有限時間觀測器參數(shù)為Te= 0.45,62.5 0 0;0 0 42.5 1.0;0 0-2856.3-62.5],[1.0 0 0 0;0 1.0 0 0];而安全控制器的參數(shù)為hi,1=2和hi,2=7,βi,1=5和βi,2=2.5.

仿真結(jié)果見圖3～圖7.發(fā)電機組的狀態(tài)及其估計如圖3～圖6所示,可以看出,經(jīng)過Te=0.45s后,所有發(fā)電機的狀態(tài)估計值與真實值完全一致,這就驗證了文中理論分析的有效性;此外,利用設(shè)計的安全控制器,每個發(fā)電機的電氣角都在有限時間,大約為2.7s后,達(dá)到期望的角度,見圖3～圖6;同樣,從圖3～圖6可以看出,每個發(fā)電機的狀態(tài)都是有界的,同時根據(jù)圖7可得,設(shè)計的安全控制信號也是有界的,這同樣也驗證了本文的理論分析.

圖3 發(fā)電機1受控狀態(tài)及其估計值Fig.3 The angle of the 1st generator and its estimation

圖4 發(fā)電機2受控狀態(tài)及其估計值Fig.4 The angle of the 2nd generator and its estimation

圖5 發(fā)電機3受控狀態(tài)及其估計值Fig.5 The angle of the 3rd generator and its estimation

圖6 發(fā)電機4受控狀態(tài)及其估計值Fig.6 The angle of the 4th generator and its estimation

圖7 設(shè)計的安全控制輸入Fig.7 The designed secure control law

6 結(jié)束語

本文針對含有非線性耦合特性的受攻擊信息物理系統(tǒng),研究其有限時間狀態(tài)安全估計以及分布式有限時間安全控制器設(shè)計問題.首先,設(shè)計一種由安全測量預(yù)選器和有限時間觀測器組成的分布式安全狀態(tài)估計策略,能夠保證在預(yù)設(shè)時間內(nèi)實現(xiàn)有限時間安全狀態(tài)估計;其次,利用獲得的安全狀態(tài)估計,并采用反步設(shè)計方法,提出一種分布式有限時間安全控制器,可以保證系統(tǒng)的在有限時間內(nèi)跟蹤期望信號;并將文中提出的方法在一個微電網(wǎng)系統(tǒng)中進(jìn)行仿真實驗,其結(jié)果驗證了所提方法的有效性.需要說明的是,本文涉及發(fā)電過程沒有涉及對機械傳動過程,即對原動機的工作特性研究有所不足,因此,在將本文提出的方法應(yīng)用到實際系統(tǒng)時,還有不少工作需要完成.此外,實際系統(tǒng)中還需要關(guān)注系統(tǒng)不確定性、噪聲、狀態(tài)及控制信號約束等特性,這也是我們未來研究的目標(biāo).