随着智慧型电子设备不断增多，不同时期建立的各类信息系统之间的互动变得複杂，信息、设备等安全风险日益加剧，电力二次系统安全面临前所未有的挑战。另外，分散式能源的接入和用电侧互动需求的增长，导致电网运行的複杂性增加，调度操作人员面临的决策压力也越来越大。将二次系统安全风险纳入当前运行风险评估问题，分析二次系统失效安全事件的可能性和严重度，并进行综合定量的评估，显得尤为重要。

电网安全风险评估问题早在20世纪90年代就已经受到关注，但到目前为止，相关研究还主要集中在一次系统。从可靠性研究开始，国内外研究人员已经对电力一次系统风险评估进行了比较系统、深入的研究，从设备到系统都有比较完善的分析和评估方法阵，并且运用于调度运行、检修计画和电网规划等。二次系统安全风险研究大多从安全防御角度提出构想，关注影响系统安全的各个因素，而对整体系统风险评估的研究尚较缺乏。已有的分析手段基本是从设备和信息分别入手，但对两者风险融合分析和人为因素的考虑，及二次系统风险对一次系统的作用形式研究尚少。

从电力二次系统安全风险来源入手，总结并评述电力二次系统安全风险，评估国内外研究现状，并指出未来的研究方向，为降低电力二次系统安全风险整体水平提供基础，使智慧型电网条件下电力系统的安全高效运行成为可能。

二次系统由软体、设备和其中的互动信息共同组成，并且和控制人员直接互动，其对电力系统的价值在于能够完成一次系统安全运行所需的数据採集、信息处理、装置控制等功能。根据文献的描述,可将二次系统风险来源分为设备、信息和人因3个部分。过去电网的一些事故经验也表明，这3者在故障产生、演变、扩大阶段都有着重要影响。

电网二次设备是指对一次设备进行监视、测量、控制、调节与辅助的具有行为能力的机械部件及其附属装置，主要包括继电保护和自动装置、RTU等远端测量监视装置和直流电源设备等。单个二次设备包括多个组件，其正常工作的完成是组件配合的结果。如继电保护装置的安全风险因素主要包括二次迴路绝缘老化、裸露接地故障，三相操作继电器箱等辅助装置失效，通信及接口装置通信阻断等。

此外，二次设备往往处于複杂多变的外部环境之中，如大部分远端RTU装置往往受到温度骤变、电磁干扰和大量灰尘污秽的影响，增加了量测不确定性，也减少了设备寿命。

电网正常运行时，二次设备故障会造成量测丢失或错误，影响调度人员对电网的準确感知;一次系统发生故障时，由于继电保护装置等二次设备的拒动或误动，会发生连锁故障，增加停电範围。

电力信息系统按照套用划分，可以分为生产控制系统、行政管理系统和市场行销系统3类。其中生产控制系统直接服务于电力系统运行，主要包括SCADA/EMS、变电站自动化系统、配网自动化系统等。这些系统的可靠性和实时性要求很高，採用电力调度通信专网，是信息风险因素的主要来源。

电力信息系统的风险因素主要有:硬体遭破坏造成信道阻断、信息遭窃取和篡改;利用软体的漏洞造成拒绝服务、远程控制、非法入侵等；以及变电站或网路通信协定功能完备性、可靠性和可控性等方面的安全隐患。这些风险因素会严重影响到电力生产信息的机密性、完整性和可用性，进而威胁电力系统安全。

电网运行的日前计画安排、调度控制命令下达以及故障定位排除等工作需要调度员参与完成的。而调度员由于受自身知识水平限制以及外部环境压力的影响，极有可能无法快速、準确地完成既定操作，造成设备损坏、故障扩大等严重后果；在故障情况下，控制人员的作用尤为重要。人为风险因素主要可以分为以下2部分:1)误操作、传送错误调度命令导致系统故障，主要是人对系统中继电保护误操作导致;2)无法识别或误判当前系统状态，延后或无法切除设备故障，导致电网故障範围扩大，造成额外损失。

二次设备是二次系统与一次系统的关联点，也是测量与控制的直接执行设备，一直是电力系统设备可靠性研究的重要组成部分。

与一次设备类似，二次设备的安全风险相关研究也是从可靠性领域发展而来的。随着马尔科夫状态模型的套用推广，通过建立相关的模型计算可靠性指标变得可能。有文献将影响继电保护系统可靠性的因素分为3类，并建立软体数学模型、硬体数学模型和人员可靠性分析模型，得到数字保护系统的状态空间图，套用马尔柯夫过程求解系统在无备用和有备用情况下的综合失效率及可用度。但可靠性的结果只涉及到设备层次，对于设备故障对系统故障发展的影响则无法判断。事件树法可以对设备故障导致系统故障的因果关係进行分析，进而分析二次设备对一次系统风险的影响。也有文献将其用于模拟保护和开关动作行为，建立了保护和自动装置等二次设备功能模型，然后模拟N-1的原发性故障引发的连锁故障，通过建立并分析故障事件树，评估故障发生后二次设备的拒/误动引起的系统风险增量。该方法可以通过控制事件树的规模来很好地协调计算效率和精度，以满足线上分析的计算要求。该学者的后续研究则关注于继电保护隐患的2方面原因为不合理保护定值和继电保护系统硬体缺陷，分别採用事件树分析法建模分析，以综合考虑静态安全约束、静态电压稳定约束、暂态电压稳定约束的主要传输断面的传输裕度为风险指标，标识运行风险。该方法可以定量评估这2方面原因对电网安全的影响，并确定其中的薄弱环节。

信息安全风险评估规範指出，信息安全风险评估是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。对于电力信息系统而言，需识别电力信息安全面临的威胁和存在的脆弱性，并分析两者相互作用后导致一次系统非正常运行的可能性及后果的严重度。

电力信息系统种类繁多，现有的安全风险评估主要从资产安全策略列表出发，从资产受攻击的角度评价其脆弱性，分析现有安全策略的有效性，并指出需要补充或加强的安全措施。有文献关注于继电保护系统的信息安全问题，指出继电保护系统网路安全风险因素的来源是数据访问需求的多样性。在分析继电保护信息通信特点的基础上，提出在OSI模型中的数据链路层和网路层採取虚拟区域网路等措施提高继保系统的网路安全性。

随着相关研究的增加，也有文献从电力信息系统的共性出发，期望可以得到一个通用模型或系统模组风险评估方法。通过确定信息系统的安全风险因素集、指标集以及因素的权重係数集，建立安全风险模糊综合评估矩阵，根据专家的专业知识和经验确定权重係数，定量评估系统组件的安全风险值。此外，还有不少学者做了基础性和安全框架的相关研究。有研究基于CIGRE联合工作组的实践经验，在分析系统内部脆弱点后，根据已有的技术报告和安全标準指出安全框架包含的一些要点，包括安全领域建模、风险评估方法和信息安全管理等。也有学者借鉴信息通信安全领域等级保护的概念，提出一个套用于电力系统的等级保护的构架和实施方案，能有效保护电力信息安全。

近年来的事故统计数据表明，随着电网设备智慧型化水平的提高，人为风险因素日益凸显，尤其在事故扩大阶段。目前系统人为风险因素的研究主要集中在发电厂，特别是核电厂方面，而电网领域的人为风险因素研究还比较少。

此外，不少学者在人为风险因素控制方法上取得一些成果。设计了一个基于IEC 61850的变电站防误作业系统，在站控层、间隔层和传输层实现实时防误逻辑判断，可有效减少人为误操作风险。介绍了基于移动机器人的变电站设备巡检系统。

目前，二次系统风险评估涉及的各项工作尚未形成统一标準，在模型选择、数据来源和风险指标方面的差别都比较大。

对于设备风险因素，主要採用的分析方法有事件树方法，基于历史数据，通过蒙特卡洛进行仿真，并可参考一次设备风险的评估，多角度分析二次设备对线路、电源及一次系统的风险。对于信息风险因素，採用分层方法将複杂信息系统分解，基于调查统计数据，对系统功能或脆弱性进行定性定量分析。对于人为风险因素，目前相关研究还比较少。从模型方法来看，故障树和事件树可以对连锁故障的各类原因进行有效仿真分析；Petri网和层次分析法可以简化複杂系统，釐清系统层级结构；CREAM模型能够量化环境因素对人为操作风险的影响。

二次系统是由软体、设备和信息共同组成，并且直接面向电网操作人员的複杂系统。其複杂性主要体现在以下几个方面：

1)组成的複杂性

二次系统风险由设备、软体、信息、人员等多种风险构成，它们的结构、行为差异巨大，并且时间、空间分布截然不同，给建模工作带来困难。因此，现有研究大多对二次设备、信息和通信系统、人员可靠性单独进行分析，这样导致评估结果只能反映单方面安全风险，无法评估二次系统整体风险及二次系统对一次系统的影响。

2)状态的多样性

二次系统对于整个电力系统的价值在于完成其所承担的相应任务。传统可靠性研究一般认为:设备或者元件的状态分为故障和正确2种基本状态。有研究对于设备和电力系统的可靠性研究，都假设元件存在少数几个状态。而二次系统功能存在多种可能状态，如正常完成、80%完成、50%完成及完全失效，不同的可能状态的风险必然不同，因此在风险评估过程中需要反映功能的不同状态对系统风险的影响。

3)网路的交错性

二次系统是一个巨大的网路系统，包含物理网路、信息网路、业务网路，这些网路架构各异，相互影响，任务的发起、执行需要这些网路互相配合。因此风险因素的作用、传递和演化机理也变得複杂多样。关键节点的脆弱性，可能影响到整个网路的工作表现。因此，识别和定量分析网路的脆弱性，对网路的行为特徵进行建模，表示网路单个元件或局部失效对整个网路的影响，都具有极大的挑战性。

大量集成监视、控制、测量功能的智慧型设备的套用使得信息与设备高度融合，单个智慧型设备的运行操作模型变得极为複杂，传统的基于设备的相关建模方法都不再适用，需研究软硬体互动故障模型。

变电站和控制中心集成了不同厂家、不同时期装设的各类系统，随着自动化水平的提高，其兼容性和可靠性也是一个日益凸显的风险因素。随着电力软体规模和複杂性的增加，软体可靠性因素对于系统风险的影响必须得到重视。此外，网路互联性和分散式套用的增加，也使入侵和攻击的方式变得更为複杂多样。

电力二次系统，特别是电力监控系统，是直接和控制人员互动的，控制人员命令和操作大多通过其来完成，同时控制人员失误或错误的命令和操作也通过其影响电力一次系统。而且，近年来硬、软体设备可靠性的提高，使人为可靠性对系统风险影响的作用更为突出，尤其是面对紧急情况或大灾害，控制人员的错误判断将导致严重后果。

目前电网中各种一次设备线上监测系统已经比较成熟，一次系统和设备风险评估相关的数据已较容易获得。二次设备运行、管理等数据尚未得到统一管理，对软体运行数据也基本上只有从安全日誌或者工作人员的主观描述中获取。目前对二次系统事故缺乏系统记录、分析，造成事故样本缺失，为风险量化工作带来困难，需要研究在风险基础数据缺失或不足时的风险评估方法。

不确定性贯穿风险评估的整个流程，但是数据的不确定性将对掌握软体和设备状态，描述控制行为，系统建模带来障碍。不确定因素的引入主要体现在2个方面:1)系统本身固有的随机不确定性;2)技术手段不足引入的不确定性。前者是不可避免的，而后者可以通过技术手段的改进，计算方法的设计来降低，可从观测手段、计算模型、风险结果解释等方面来降低不确定性。

在总结二次系统安全风险已有评估模型和研究方法的基础上，结合其他领域风险研究方法和二次系统的发展特点，未来电力二次系统风险评估的主要研究重点应在以下几个方面:

1)风险因素。智慧型电网条件下，可再生能源接入和需求侧互动的开展，使得电网需要监控的深度和广度大大增加，二次系统将变成一个不亚于一次系统的複杂大系统。二次设备、信息和人为因素这3种风险来源需综合评价，特别是分析这些风险因素在事故发生及扩大过程中产生的影响和作用形式，充分考虑各种因素的互动，全面评估二次系统整体风险。

2)数据获取。风险评估离不开充足完备的数据支持。现有的历史统计数据存在种类不齐全、格式不统一等缺点，而专家知识则具有模糊性和不确定性。未来的风险评估研究一方面需对二次系统监控与事故记录进行统一管理，累积事故样本，并整理历史数据和公式化专家经验;另一方面则需要研究在风险基础数据缺失或不足时的风险评估方法。

3)评估模型。二次系统本质上是为一次系统服务的，其价值与风险的归结点在于完成一次系统需要的功能，因此对于其风险的严重程度的评价标準应以一次系统为出发点。应从二次系统的功能价值及功能失效对一次系统的影响出发，建立统一的面向功能的二次系统风险评估模型和风险指标体系。

4)风险套用。风险评估结果应为发现系统脆弱点并评估脆弱点可能给系统带来后果的严重程度，进而提供相应的应对措施与改进方法来降低风险，如进行状态检修、修补系统漏洞和制订各种应急预案等;或者将风险评估结果运用于调度计画等辅助决策领域。