东荣二矿网络平台建设方案系统技术方案

东荣二矿网络平台建设方案系统技术方案北京中轻恒泰技术发展有限公司2010年6月目录1 概述32 网络需求分析33 网络总体设计43.1 实时性设计43.2 可靠性设计63.3 安全性设计63.4 开放性设计73.5 网络平台设计84 网络交换机选型145传输光缆176传输平台电源设计187 子系统网络接入207.1 子系统接入要求207.2 子系统接入方式217.3 子系统接入特点238网络安全设计238.1 网络不安全因素分析238.2 网络系统安全需求248.3网络设备安全设计258.4 网络数据流的控制设计268.5 网络通信线路安全设计269 IP地址规划2710 工业网与企业网连接设计2811 网络实施与相关问题2911.1 设备连接与安装：3011.2 冗余设置及光缆连接3011.3 设备VLAN划分与优先级设置3111.4设备终端连接3312 项目施工36（1） 施工准备36（2） 施工步骤37（3） 进度保证37（4） 安全措施38（5） 人员计划表38（6） 施工进度表39（7） 项目验收4013 设备清单401 概述综合自动化网络平台是矿井综合自动化系统的传输平台，承担着设备控制层的信息传输和矿井生产综合自动化调度控制中心的控制和监测信息，对网络的实时性、可靠性、安全性均是工业级要求，要保证持续稳定运行。采用标准TCP/IP协议和工业以太网技术，将井上和井下设备监控站所采集的信息和控制信息实时传送到中央控制室。自动化控制网络通过网络安全设备和应用安全策略在保证安全的前提下与东荣二矿企业信息管理网络进行互联，实现领导统一指挥和管理，并且满足企业未来更多业务的应用需求。2 网络需求分析随着网络化、信息化概念向自动化领域的不断渗透，自动化控制理论和技术也在不断发展。在上世纪末新型的现场总线控制系统突破了DCS 系统中通信由专用网络的封闭系统实现所造成的缺陷，试图将基于封闭、专用的解决方案变成了基于公开化、标准化的解决方案。但由于不同行业不同应用派生出的不同的总线系统，加之经济利益的冲突，各种不同的现场总线标准之间的互不兼容严重束缚了不同厂商设备之间的互连，使得现场总线成为受厂商限制的专用网络。而在我国，传统的自动化控制和监测监控网络系统，基本上都是独立的采用集散系统结构，一般都由监控分站和控制中心主站组成，虽然这些自动化控制、监测监控系统在我国煤炭安全监测监控领域曾经发挥巨大的作用，但随着煤矿生产的发展，缺乏统一的通讯协议标准和网络结构、传输速率低等固有的缺陷已经严重的制约了煤矿数字化生产的发展。这些缺陷主要表现在以下方面： 缺乏统一的通讯协议标准和网络结构，国内外生产的安全生产监测监控系统多为封闭系统，系统中使用的通讯协议和信息交换标准都是由厂商自己制定的，严格保密，互不兼容，与其他系统联网很困难，难以做到数据共享。 网络模式多样，极不规范，每种系统都要建立自己的通讯网络，造成重复投资，通讯资源利用低下。 传输速率低，一般监测系统的网络传输速率都堵在4800bps以下，不仅不能用于传输多路信息，甚至原有系统的扩容也很难实现。这样的传输网络不能同时传输图象和话音信号，也无法形成一个真正的通信网络平台。 不易管理，各个自动化控制和监测监控网络系统，互不兼容，更难以实现集中统一的管理。以太网技术的不断发展，彻底改变了这种完全现场总线的局限性，它不仅在办公自动化领域而且在工业自动化场合得到了广泛应用，许多控制器、PLC、智能仪表、DCS 系统已经带有以太网接口，这标志着工业以太网已经成为真正开放互连的工业网络的发展方向。采用的基于工业以太网的集成式全分布控制系统，具有高度的分散性、实时性、可靠性、开放性和互操作性的特点。因此，本方案采用工业以太网技术进行综合自动化控制网的设计。采用最新的计算机网络、光纤通信和工业以太网技术，在环境恶劣、人员设备分散、有特殊安装要求的煤矿构建一个符合防爆要求的井下百千兆互联环网与地面生产系统环网，形成一个矿井综合控制和监控的传输平台。网络的核心采用开放型标准的以太网技术和TCP/IP协议，支持环形冗余，链路聚集，提供统一标准化的接入接口，突破了各子系统现场总线没有形成统一标准的局限性。(1)硬件设备选型须符合有关国家标准和行业标准，并通过国家煤监局认定的检测机构的形式检验。用于爆炸环境的设备，还必须通过国家煤监局认定的检测机构的防爆检验，并取得“防爆合格证”。下井设备还应取得国家煤矿安监局的“煤矿安全标志”，要充分考虑满足防爆、防尘、抗高温潮湿和电磁干扰的要求。地面系统充分考虑防雷和抗电磁干扰的设置。(2)在物理上和逻辑上都要考虑到网络信道的冗余，确保网络通路的安全。当系统某一子系统的通讯或元器件出现故障时，不能影响其他子系统的通讯和整个网络的传输性能。(3)系统应能随着矿井建设进程做到整体规划分步实施，并能随着技术的发展方便升级。(4)系统应可靠性高、稳定性强、人机界面友好、操作简单、维护方便。(5)充分考虑网络系统平台和数据的安全性。应具有可靠的安全策略机制、数据备份功能，应具有防止黑客侵扰的有效措施。3 网络总体设计3.1 实时性设计（1）选用西门子SCALANCE工业以太网交换机具备以下几点功能： 采用交换式数据传输方式，没有数据碰撞，数据传输实时性有保证 网络设备端口延时低，典型值小于10微秒，能满足实时性应用的要求 支持优先级队列，遵循IEEE 802.1D/p标准，保证了系统的实时性 支持工业网络必须的时钟同步SNTP（简单网络时钟协议）功能，全网时钟统一，实时性高（2）网络带宽分析千兆工业以太网带宽的实际可利用率在70以上，考虑到突发数据的端口阻塞可能，也考虑了突发状况下传输量的增加，因此本工业以太网采用的设计利用带宽为不大于300M，占总带宽30%，且地面与井下两张工业网络独立运行，可分别达到最大可用带宽，根据流量计算分析，为自动化系统网络平台建设提供依据。 综合自动化系统的网络流量分析： 以下是设备控制网带宽计算方式：设备控制I/O数量在5000点以内设备控制信息每秒刷新10次每次刷新包大小为80字节（46字节数据）每秒全网极限数据传输量大小为：5000*10*80*2=8000000字节根据开关量模拟量的一般关系，经验上换算为实际使用带宽/秒所需：8000000*8/10=6400000 bit/s，约等于6.4M bit /s（全双工模式，半双工时带宽值加倍，达12.8M bit /s）此时常态情况下数据带宽需求3倍设计容量，即保留20M带宽用于数据系统。以上参数来自实际包结构，最终折算来自设计经验。 工业电视系统的网络流量分析（若采用数字网络摄像机）：按照100路工业摄像头计算，1路图像512K-3M：100*3M bit /s =300M bit /s由于视频编码的数据量变动性，其实际瞬时传输量以正负30%变动，此时需要带宽为105M bit /s195M bit /s，适当放宽保留带宽可以确保全区域内不同分布时的传输实时性。 人员考勤定位系统的网络流量分析：按照井下部署200台分站计算，1台分站数据传输速率是9.6Kbit/s200*9.6Kbit/s=1.92Mbit/s综合数据与视频传输，总计需要带宽的瞬时值在320M bit /s左右，小于设计带宽（300M bit /s）需要保留的瞬时带宽在600M bit /s左右，小于总可用带宽（1000M bit /s），此时在传输实时性与带宽利用率间取得较好的平衡。3.2 可靠性设计煤矿行业的特点决定了整个系统必须具有很高的可靠性和可用性，以此保障生产活动的正常进行和井下工作人员的安全。因此在选型时考虑所选技术的在冗余性，出错处理和容错方面的能力，所选的产品能够适应井下恶劣的工作环境和防爆要求。本方案设计从网络拓扑结构、网络交换机、服务器、电源设计等方面，着重体现系统的可靠性： 网络拓扑结构选用环网冗余技术； 选用国际知名品牌，西门子工业网络交换机，可靠、稳定； 为数据采集配置了2台服务器，热备冗余； 配置了在线式UPS电源，提供2路供电，提高系统供电可靠性。3.3 安全性设计在本项目中，为确保全矿井综合自动化系统网络平台的安全性，采用了以下网络安全措施来构建网络安全体系，包括网络安全、数据安全、数据存储、灾难备份与恢复、供电安全等内容。 网络安全u 采用常规的网络安全手段VLAN划分（划分数量支持大于256个）；u 采用防火墙进行网络隔离，防止不可预测的具有潜在破坏性的侵入；u 采用入侵检测系统实时检测各种攻击行为并实时做出各种预先定义的响应；u 采用漏洞扫描系统定期对网络进行安全分析发现并修正存在的漏洞；u 外网用户访问由防火墙进行控制，只有经过身份认证的用户才可以访问自动化网络。 数据安全u 采用网络防病毒软件完整检测和清除服务器和工作站的各种病毒和恶意程序；u 相关业务部室只能通过web服务器有权限的分级浏览自动化网络数据信息，确保数据安全； 数据存储与备份u 服务器配置高性能的RAID功能，在RAID组内损坏一块硬盘不造成数据的丢失，通过配置可以立即用热备盘替代损坏的磁盘，从而提高数据存储的安全性、可靠性；u 数据采集服务器（SCADA）设计了冗余配置，数据分别存储在每台服务器的磁盘阵列上，再次提高保证数据存储的安全性和系统的安全；u 采用数据备份软件对2台数据采集服务器和2台数据库服务器上的数据库系统进行自动备份与恢复。 服务器的灾难备份与恢复u 服务器在安装过程中首先安装操作系统、驱动程序、各种补丁、各种应用程序等，一旦出现故障需要重新恢复服务器时需要很长时间并严重危及系统安全。u 设计选用的备份软件可将服务器和数据的最新状态备份，当进行裸机恢复时，只需用备份软件生成一张引导光盘引导服务器，然后自动将数据、信息恢复到一台全新的服务器(包括分区、补丁、应用程序配置等)。u 设计选用的服务器的灾难备份和恢复软件将服务器恢复至最后一次备份时的完全一样的状态，从而增强了系统的安全性。 设计采用UPS不间断电源来保证网络节点设备的供电安全性u 选择真正具有防雷功能的国际知名品牌爱默生UPS电源系统，其为业内独一无二的UPS防雷技术，内置D级防雷装置，可承受8/20us 6KV/3KVA的浪涌冲击；u 模块设计-无需停电就可更换防雷器模块；u 高电流-100KA/20S的过载电流；u 全保护-提供相对中、相对地、中对地的全面保护；u 长寿命-长达二十年；u 反复使用-可多次雷击后仍反复使用；u 安装方便-可直接安装在配电箱上；u 免维护可做到无人值守，及恶劣环境（-40至70）。3.4 开放性设计设计建设的网络通信系统具有开放性，符合现有相应的国际标准和协议。同时提供开放的网络接口和数据接口，保证现有的各类产品以及未来出现的新产品能够协同运行，方便数据交换、信息共享。设计建设的网络平台符合国际公认的网络标准IEC61158，具有完全开放的，具备成熟的第三方连接能力。3.5 网络平台设计(1) 网络结构设计工业以太网络采用星型结构或环型结构。为了进一步提高网络的可靠性，可以采用星形、环形、双星形和双环形网络拓扑结构。几种工业以太网结构的比较：星形环形双星形双环形网络拓扑描述一个网络核心节点下联各个分节点各个网络节点串联成闭环结构双核心、双接入节点，接入节点分别连接到核心节点，形成2 套网络每个网络节点具有2 套网络设备，各个节点串联成2套环网优点布线简单，管理方便，直接通过背板交换，交换速度快。分布式网络，允许光纤出现一处断点。发生连路故障时，网络自动在500MS 之内切换到总线。冗余网络，允许交换机、光纤、网线（网卡）三种故障，直接通过背板交换，交换速度快。冗余网络，允许交换机、两处光纤、网线（网卡）四种故障。是常用的高级工业冗余网络系统。缺点没有冗余，且中央交换机分险过于集中。属于简单冗余，当某一交换机发生故障时，会导致单点网络故障。布线复杂，所有网络设备、网络光（电）缆、网卡均为双份，成本高。冗余实际上是通过软件编程实现的，因此切换时间与程序编制有较大关系。布线较双星形简单，其他成本，如网络设备、网络光（电）缆、网卡均为双份，与双星形一样。同一井筒或巷道的双环形光缆敷设不适合煤矿的实际情况。成本低最低最高高冗余时间业界基本500ms取决于软件链路故障恢复500ms，其他故障取决于软件根据以上四种网络结构的对比，双环形的网络拓扑结构常用的高级工业冗余网络系统，但是其费用高，而且不适合于煤矿的特殊情况，因此设计选择为东荣二矿的综合自动化地面各子系统、井下各子系统都采用单环网络的方式组网，并且地面各子系统、井下各子系统组成单环网络分别连接到调度中心的核心网络设备上，这样整体自动化工业以太环网就形成了以二台核心交换机、井下环网、地面环网组成的相互独立的环型网络，并且每个网络都是两条链路连接到核心设备防止单点故障的出现。光纤环网冗余结构通过建立一个环状的光纤以太网结构来实现网络冗余，减少网络单点故障，增强整个通信网络在突发情况下的生存能力。工业以太网环网结构如下图所示：如果发生环网中某段线路出现意外中断的情况，环网传输路径将选择反方向传输，传输路径倒换时间小于300ms，如下图所示：(2)网络拓扑设计东荣二矿综合自动化网络拓扑如图3-1所示，骨干网由地面工业以太环网和井下工业以太环网组成。工业以太网标准采用国际标准化协议PROFINET。环网以光缆敷设，交换机就近接入原则。环形工业以太网络系统出现单点故障时（线缆或交换设备）， HSR协议会通过改变数据流方向的方式来避免故障影响。最大系统通讯切换时间: 300ms，典型系统通讯切换时间: 50ms。系统可承载故障冗余断点。其在结构上约等于并行的两套以太网。环形网络不增加网络设备与终端设备的投资成本，但环形网络的实际数据流向与总线型网络相同，没有数据层级，各网络单元所连接的网络属于平行层面。双环形网络提供高度冗余的网络，网络设备与终端通讯板卡投资加倍。但对于单网系统来说相当于系统全部部件的冗余，可用性极大提高。故障时，上位PC网卡与控制器网卡均同时工作。以太网提供对等的两条通信通道，除HSR协议提供的环网冗余，上位PC与控制器间的可以自由选择通信信道。单纯就网络系统来说，不存在两个网络间的切换时间。允许的故障冗余方式：双环形网络允许的故障断点是所有系统中最多的。根据东荣二煤矿综合自动化信息系统对网络的要求，单环网络可以在不大范围提升投资成本的情况下提供最为有效的网络保护，是网络结构的最佳选择。运转区设立地面调度指挥控制中心，可实现远程监控，报警，数据报表，视频监视，运行参数显示，电量管理，设备各种工况监测等功能。调度指挥控制中心安装整个自动化系统的核心交换机，各种服务器，数据存储设备，网闸，人机界面设备，工程师站，工业大屏幕，打印设备等， 中心控制室设备担负全矿井自动化系统的总集成功能，数据处理，运程控制，故障报警，报表管理，网络安全，系统冗余，自动化信息系统等。(3) 地面工业环网地面网络采用1000M工业以太环网，以光纤为传输介质,地面光纤围绕整个矿区形成一个环型,于骨干环上囊括了地面各个关键分站，分别为主井绞车房、地面注浆分站、选煤厂分站、锅炉房分站、选煤厂分站、压风机房分站、水源井1分站、水源井2分站、水源井3分站、厂内主扇房分站、厂外主扇房分站，共设置11台1000M工业心太网交换机，地面其它子系统本着接入就近交换机的原则。对于以后扩展的系统可以通过相关的接口模块和交换机接入到系统中。光纤在自动控制网络中心汇合，通过地面网关交换机把每个子系统的信号汇总传送到调度指挥控制中心服务器。 地面千兆以太网结构图如图3-2所示： 图3-2 地面环网拓扑图(4) 井下工业环网井下网络采用1000M工业以太环网，以光纤为传输介质,光纤从副井口下到井下中央变电所，再到井下各子站(中央变电所、南翼平巷变电所、南三-320变电所、南翼下延绞车变电所、信集闭、东翼260变电所、西翼皮带)，最后汇合上到地面，直接连到地面自动控制网络中心网关交换机上, 通过地面网关交换机把每个子系统的信号汇总传送到自动控制网络中心服务器。井下设置9套防爆工业以太网交换机，井下子系统本着就近原则接入临近交换机的原则。 井下千兆以太网结构图如下：图3-3 井下环网拓扑图134 网络交换机选型根据东荣二矿综合自动化系统应用类型分析，并考虑系统可靠性、安全性和可扩展性，本方案选用德国西门子公司的SCALANCE模块化千兆工业以太网交换机。（1）核心交换机选型依据上述技术要求，选用西门子公司的SCALANCE XR324模块化工业以太网交换机。SCALANCE XR系列骨干工业以太网交换机适用于组建总线和星形结构 (10/100/1000Mbit/s) 的高效能以太网，可灵活构建光纤或电气网络。基于交换机内部的管理功能，也可以用于组件光纤或电气的环形拓扑结构网络。SCALANCE XR系列交换机采用金属外壳，标准机架式安装、无风扇设计。由于其面向变电站应用的特殊性，产品设计更加牢固可靠。冗余电源、更宽温度工作范围，均满足变电站或相应恶劣环境的应用需求。SCALANCE XR监控VLAN等各种IT协议，可以划分网络，实现对不同网络间的安全隔离，以及网络流量的优化。IGMP Snooping功能使XR系列交换机在组播应用环境下应用自如。当工业网与传统商用以太网连接时，RSTP和SNTP与传统商用以太网设备的兼容性。（2）环网交换机选型设计选用的SCALANCE X414模块化工业以太网交换机，保留了工业级设备高度的灵活性和可靠性，将大型以太网交换机各种功能融合在工业级的设计中，基于导轨方式安装并具有千兆以太网接口，提供了新的工业级冗余千兆骨干网络解决方案。采用KJJ169隔爆千兆网络交换机作为井下工业以太环网交换机。 设备配置： 高性能的模块化工业骨干路由交换机 支持最多 4 个 千兆 端口，配置4个千兆以太网单模光接口 支持最多 28个 FE 端口，配置12个百兆以太网电口 工作温度范围0度60度 高集成设计，导轨安装 安装、维护、维修简便 符合相关工业标准 高速环网冗余机制技术特点：l X414-3E 交换机基本模块有两个集成的千兆以太网双绞线接口（10/100/1000 Mbit/s），用于相互连接交换机。通过集成在交换机中的 12 个快速以太网双绞端口（10/100 Mbit/s）连接节点。l 宽温产品，工作温度-40至70。l 通过一个 8 端口快速以太网双绞线扩展模块，该交换机还可多连接8个节点。该扩展模块安装在交换机的右侧。l 带有冗余管理器功能，可以实现高速冗余性，即使是大型网络，包括千兆网络（环网中的 SCALANCE X-400 交换机）和快速以太网（环网中 SCALANCE X-400 交换机以及 SCALANCEX-200 交换机）。l 对于光纤千兆以太网环网结构，两个集成的千兆网络端口可通过一个双端口千兆以太网介质模块连接光纤。该模块支持的光纤类型有多模型式（最大传输距离750m，光纤）和单模型式（最大传输距离10km）。l 通过一个用于多模或单模光纤的插入式双端口快速以太网介质模块。l 使用另一个插入式双端口快速以太网光学介质模块，可以远程光学连接节点。l 通过 PROFINET IO诊断、Web 浏览器 或 SNMP，可实现远程诊断。l SCALANCE X-400 系列交换机支持建立虚拟网络（VLAN）。l 通过对标准化冗余程序的支持（STP/RSTP），在上位公司网络中也可实现冗余性。SCALANCE X414-3E交换机支持三层路由功能。5传输光缆（1）光缆要求 光缆敷设全局考虑，统一部署，充分考虑矿井综合自动化网络系统各子系统接入设计，满足系统后期扩展需求； 光缆均采用单模，均符合标准，使用寿命25年； 地面主干链路选用8芯屏蔽、防水单膜光纤； 地面环网选用8芯屏蔽、防水单膜光纤； 井下环网选用8芯阻燃铠装光纤（MA认证）；（2）地面工业环网光缆敷设设计地面工业以太网连接节点分布如下示，光缆的敷设以调度中心为起点，经过井上各主要生产环节，以副井绞车房为末点形成环网。环网节点附近的各监测、监控、监视子系统就近接入到环网交换机上，连接方式根据可靠性、灵活性、实用性原则组建，敷设光缆地面主干光缆选用8芯。安装地点光缆类型起点终点地面8芯单模调度指挥中心主井绞车房地面8芯单模主井绞车房注浆站地面8芯单模注浆站选煤厂地面8芯单模选煤厂锅炉房地面8芯单模锅炉房压风机房地面8芯单模压风机房水源井1地面8芯单模水源井1水源井2地面8芯单模水源井2水源井3地面8芯单模水源井31#主扇地面8芯单模1#主扇2#主扇地面8芯单模2#主扇副井绞车房（3）井下工业环网光缆敷设井下工业以太网光缆敷设分为主井井口机房、中央变电所、主运输巷变电所。环网节点附近的各子系统监测、监控、监视就近接入到环网交换机上来，井下工业以太网连接节连接方式根据可靠性、灵活性、实用性原则组建，敷设光缆根据井下业务需求和扩展性选用矿用阻燃8芯单模光缆。线路铺设顺序见下表安装地点光缆类型起点终点井下8芯单模阻燃中央变电所南翼平巷变电所井下8芯单模阻燃南翼平巷变电所南三320变电所井下8芯单模阻燃南三320变电所信集闭井下8芯单模阻燃信集闭东翼-260变电所井下8芯单模阻燃东翼-260变电所西翼皮带井下8芯单模阻燃西翼皮带南翼皮带井下8芯单模阻燃南翼皮带中一采区变电所井下8芯单模阻燃中一采区变电所中央变电所（4）光缆实施 光纤的敷设 光纤的熔接 光纤配线盒的安装 光纤跳线的安装 光纤施工布线图的绘制注：光纤敷设由集成商负责安装，业主单位负责协调。6传输平台电源设计 UPS电源设计u 地面调度指挥中心：安装1套APC UPS，为三进三出型（三相输入，三相输出）全数字在线式智能交流不间断电源系统，电池诞时时间不低于4小时, 业内独一无二的UPS防雷技术，内置D级防雷装置，可承受8/20us 6KV/3KVA的浪涌冲击，可外配C级防雷箱u 地面环网交换机UPS电源：每台交换机安装1套山特UPS，1KVA不间断电源, 4小时延时u 井下环网交换机UPS电源：每台交换机安装1套井下矿用隔爆型不间断电源，供电时间不小于4小时 电源接入设计东荣二矿地面交流用电是220V/127V交流，工业以太网交换机所需的是24V直流，因此配置了220V交流转24V直流的AC/DC模块。井下交流用电是127V/380V/660V交流，同样工业以太网交换机所需的是24V直流，在电源转换上做如下考虑，井下127V或660V交流接入井下防爆UPS电源，变压为24V直流，再连接到交换机的电源模块。这样保证了交换机的双路供电，在有一个电源模块损坏或停电情况下，交换机设备可正常工作，完全不影响整个工业环网的传输，这点也是本方案设计的关键点之一。地面设备供电连接图如下：井下设备供电连接图如下：7 子系统网络接入根据东荣二矿技术要求，全矿须接入的生产子系统主要采用两种方式接入综合自动化监控系统。1. 对于PLC系统直接与子系统控制器联接。2. 对于DCS系统可与子系统控制主机联接。下面对上述的两种接入方式提出具体技术要求。7.1 子系统接入要求（1） 子系统接入硬件要求 采用PLC方式接入时a) PLC控制器须采用国际知名的主流设备b) PLC须具备支持以太网的模块 采用上位机接入方式时 a) 上位机要求采用冗余系统配置b) 上位机要求预留接入以太网的通讯接口 所有接入方式的硬件接口须采用标准以太网接口 (RJ45) 其它接入方式时可参照上位机或PLC的接入要求注：子系统未能直接提供以太网接口的，必须经转换后提供标准以太网接口(井下转换装置必须有MA 认证)。（2） 子系统接入软件要求 上位机软件支持标准OPC接口，数据通讯延时不能大于0.5秒 子系统厂商须提供需要的所有组态图形及I/O变量（包括外部变量和内部变量）、中英文名称、数据类型、解释、与图形的对应关系等，如需增加新的变量则子系统厂家须配合 子系统及OPC接口的验收需矿方与集成方和子系统厂商共同确认，必须有懂得开发的工程师配合集成方来完成监控中心的集成开发 子系统提供OPC接口软件，集成商负责系统接入(子系统定制开发另议) 子系统作为OPC软件的服务器端时，要启动OPC Server的服务功能； 集成商在OPC Client完成与子系统间的数据通讯。7.2 子系统接入方式接入方式一：直接与子系统PLC控制器联接。（PLC系统自带以太网通讯接口）接入方式一接入方式二：直接与子系统控制器联接。（控制器须增加接口转换模块，接入工业以太网）接入方式二接入方式三：与子系统控制主机联接。接入方式三7.3 子系统接入特点 当某子系统的通讯或元器件出现故障时，不能影响其他子系统的的通讯和整个网络的传输性能 子系统只要能满足RJ45和OPC接口，就可以无缝接入。 以太网接口（RJ45）和工业标准通迅协议(OPC)，具有良好的兼容性、可靠性和扩展性.8网络安全设计8.1 网络不安全因素分析随着网络技术的发展，网络丰富的信息资源给用户带来了方便，同时也给网络带来了安全问题的隐患。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全。东荣二矿综合自动化系统网络平台中，调度数据中心各个数据服务器系统是关键系统，需要不间断为个生产环节及调度中心提供服务。即使发生短暂的业务中断，也会导致难以估量的经济和名誉损失。在网络系统中，经常可能会导致业务系统中断的主要原因有一下几类：系统硬件故障如数据/系统磁盘的损坏将导致数据不能访问，并进而可能导致应用进程终止或系统停机，甚至系统不能重启动；网卡的损坏可使终端用户无法访问系统服务；CPU或内存的失效则会导致系统的死机；应用程序或操作系统出错由于操作系统或应用程序中可能存在不完善的地方，当碰到某种激发事件时，应用程序非正常终止或系统崩溃（只能通过改善程序或系统来解决）；人为错误一些人工的误操作，如删除系统或应用文件，终止系统或应用服务进程，也会导致系统服务的无法访问；电脑病毒/骇客入侵由于目前的大多数计算机系统均连接在网络上，若缺少有效的防范机制，很容易遭受病毒的感染或骇客的入侵，轻者数据被损坏，重者系统瘫痪（只能通过加强管理杜绝）；自然灾害由于一些意外的不可抗拒的因素，如雷击、火灾、洪灾等导致的计算机系统破坏，将会使一般系统的恢复非常困难和耗时，导致业务系统长时间的中断（通过容灾系统来解决）。正常的停机主要指计划内的系统升级、安装软件、系统备份等过程。由上可见，影响系统正常运行的因素有很多，因为在系统中断时能够在最短的时间内恢复数据是最重要的，所以需要采用一套离线存储系统对数据库中的数据进行储存备份保护。8.2 网络系统安全需求网络的安全是综合自动化网络方案的一个重要的设计内容。网络安全主要实现在网络的在TCP/IP及以下层次上，控制只有获得授权的用户与系统中允许他访问的节点，在指定的TCP或UDP端口上进行通信。构建一个安全的网络环境，就是针对非法入侵者采用的手段以及网络环境中存在的漏洞，并结合实际的网络环境，建立起一套安全的防范系统，补上系统中各个级别的漏洞，切断非法用户的入侵渠道。采用一系列软硬件安全措施，部署网络安全系统，保证整个自动化网络平台及所有子系统的安全性，保证综合自动化监控网络与企业办公网络平台的安全隔离。在本系统中，网络安全通过以下五个方面来实现：u 网络设备安全设计；u 网络数据流控制设计；u 网络通信线路安全设计；u 网络防病毒安全设计；u 网络存储与备份设计。8.3网络设备安全设计要实现自动化网络平台的安全，首先要保证网络设备本身的安全性。在本系统中使用的网络安全自适应设备是专门针对企业网络间网络安全设计的解决方案，提供了先进、高性能的保护。在工业交换设备上设定用户和口令，控制非特权方式和特权方式的访问权，并且通过设定口令的加密钥和网络设备的单向加密机制，使用权口令在配置中以加密方式出现，保证口令的安全性。设定访问空间时限，如果管理员在设定的一段时间内（如5秒）不使用，安全设备将自动终止访问连接。在设备上配置访问控制表，限制内部网络上只有维护工作站和网管工作站可以登录网络设备，同时，限制所有来自企业内部网络及Internet的用户对设备本身的访问（包括PING、Telnet、Discard、Echo、SNMP等）；限制内部网络上，只有网管工作站可以使用SNMP访问。除了Telnet服务外，在设备上取消全部IP服务器功能，包括Rlogin、Rsh、HTTP服务器等。 利用网络安全设备的访问控制表的LOG功能，定期检查是否有人试图攻击网络内部网络设备及主机等。严格管理所有工业交换机的配置的存放，如果是电子文本，注意其访问控制权。保证所有网络设备的物理安全性，防止无关人员接触网络设备。设备BIOS安全设置，杜绝设备“病由口入”，设置BIOS安全密码，禁用所有上位机及调度中心操作站USB、COM等数据接口（除鼠标、键盘、显示接口外）。设置技术操作人员、网络管理人员的网络设备访问权限、管理密码。提高技术操作人员、网络管理人员的整体网络安全意识。通过这些措施，本系统网络设备可以实现其安全、正常运行，完成这些网络设备应该完成的功能，为其它的安全措施提供一个安全基础。8.4 网络数据流的控制设计设计中采用的网络安全自适应设备，具有高度防火、入侵监测及针对网络安全的专用数据流控制功能。网络安全自适应设备将内部网络和外部网络安全隔离开来，在设备端口上设定数据流过滤，防止网络内部的IP地址欺骗及攻击性数据流；工业以太网交换设备本身支持虚拟局域网技术（VLAN），质量服务（Qos），多播过滤功能（IGMP），具备基于端口的流量控制功能。整网网络设备严格控制PING、Telnet、Discard、Echo、SNMP、Rsh、Rlogin、Rcp、TraceRT等数据流通过网络设备，原则上只允许本系统应用需要的应用数据流才能通过网络设备；通过按业务和网络结构划分虚拟网络，将不同的业务分别放在不同的虚拟网内，隔离开来。虚拟之间，可以通过路由器的访问控制表来控制对某个特定网络和主机的访问。通过数据流的控制，使数据流沿着系统功能预定的方式流动，极大地限制非法数据的流动，从而非常有效地提高系统的安全性。8.5 网络通信线路安全设计核心交换设备之间双链路实现热备冗余，环网交换设备使用千兆双链路光纤用于环节点的冗余连接，环网之间使用千兆双链路光纤用于环间耦合冗余连接，调度中心服务器及操作员站使用双链路连接网络交换设备。整个自动化系统网络平台，当其中某一段工作中的光纤线路被破坏或网络设备发生故障时，整个网络实现快速自愈，并保证在300ms 内恢复正常的通讯网络控制层光缆敷设时，使用多芯备份光纤，当其中两芯出现问题时，可以使用其他备份光纤传输。同时，不定期地派工作人员对通信线路进行安全性的检查，以保证各信息点访问的畅通。9 IP地址规划基于煤矿综合信息自动化系统中对于数据实时性的要求，实施中应当尽量使用二/三层交换的数据交换方式，而避免因为路由设备造成数据传输延时。由于视频系统与控制/监控系统间不存在数据交换，且传输数据类型差异较大。建议对视频系统和其他设备之间进行VLAN划分，从2层层面隔绝视频系统对其他系统的影响。由于VLAN的划分形成的隔绝，以及QoS对设备接口数据的优先级标记，视频系统不会对其他系统的传输带来负载压力。为方便规划和使用IP地址使用可变长地址规划，全网设备处于同一网络内部。各子系统间使用IP地址的1724位加以区别，设备的IP规划灵活更替，可根据需要转换成C类地址划分，使用路由方式连接各子网：设备管理：192.168.1.0/16主井轿车：192.168.2.0/16注浆站：192.168.3.0/162#主扇：192.168.10.0/16副井绞车：192.168.11.0/16南翼皮带：192.168.20.0/16压风机房:192.168.21.0/16设备VLAN的划分以将视频设备端口与其他设备端口区分为主，具体参见实施方案的相关说明。10 工业网与企业网连接设计采用标准TCP/IP协议和工业以太网技术，实现井上和井下区域控制器和设备监控站所采集的信息和监控信号实时传送到中央监控室（调度中心），自动化系统网络平台通过网络安全自适应设备和应用安全策略在保证安全的前提下与李家壕矿企业信息管理网络进行互联，满足领导统一指挥和管理。东荣二矿综合自动化监控中心是连接企业办公网络和矿井综合自动化层网络的核心部分，是网络安全设计的重要环节。整个综合自动化系统网络中选用两台主备冗余的服务器作为网络数据采集服务器，将采集到的各生产自动化子系统的实时信息储存到两台实时历史、关系数据库服务器，同时数据服务器将重要的数据记录实时的发布到的WEB服务器上，东荣二矿企业办公网络通过网络安全自适应安全模块与自动化系统网络平台互联，东荣二矿企业办公网领导或者技术人员取得访问自动化系统网络平台的权限后，可以安全访问自动化系统网络平台中关系数据库、WEB发布、视频服务器等实时监控信息。采用此网络自适应安全模块对东荣二矿自动化系统网络系统平台进行联网，并进行安全隔离与防御，将自动化系统网络服务器分别划分到安全安自适应设备的不同的安全区域中。既能允许煤矿企业办公网络中的领导通过安全等级及权限访问矿井综合自动化调度指挥中心的关系数据库、视频服务器、WEB发布服务器 ，方便煤矿出差人员和远程集团公司领导通过Internet实时查看监控、视频数据、或出差领带实时查看监控数据，又能保证整体网络的安全性。11 网络实施与相关问题东荣2矿煤矿综合自动化工业网络系统采用环间耦合冗余两级网络结构，在地面、井下各建立一个环网平台，地面、井下环网分别由各自的环网交换机与调度控制中心核心交换机连接，形成一个冗余工业千兆主干环形网。环网间使用Standby技术接入核心交换机，确保双网对于核心系统间的冗余连接。核心交换机与地面、井下两个环网的连接同时确保了综合自动化系统数据采集与发布的层级结构，避免单纯环网结构造成的负载增加。考虑到环网的逻辑结构实际为总线型。实际方案中，应当选择距离核心交换机双向最远的交换机为环网管理器，其断开自身逻辑链路后，可以保证实际工作的网络结构为最优结构。地面环网设置11台1000M以太环网交换机。井下环网设置9台1000M以太环网交换机。运转中心设置两台交换机分别与井上井下环网冗余相连。为保证全网设备的统一管理与监控，以及相关系统间冗余协议的快速切换。全网交换机应使用同一厂家产品，以确保协议的兼容性。其具体表现在，井上、井下环网间环网协议的兼容性，井上、井下环网与运转中心间STANDBY协议的兼容性。（统一设备类型冗余时间在300ms内，不同厂家设备间仅能保证在交换机地址表刷新范围内，约30s）11.1 设备连接与安装：井下及井上环网中所使用的工业以太网交换机均按照-40+70度宽温度范围进行选择。为节约安装空间，减少机柜投资成本，场站工业以太网交换机采用卡规安装方式。运转中心使用交换机使用安装条件优于现场交换机，采用19标准机架安装方式。本方案所设计的交换机连接类型共分3类，运转中心交换机连接使用电气接口连接同时位于运转中心的另一台交换机。使用两个单模1000M光纤接口分别连接井上以太环网和井下以太网环网。环网衔接交换机使用1000M光纤接口连接运转中心交换机，设置为环网端口的两个光纤接口连接其他环网交换机。环网交换机使用光纤接口进行环网连接，其他接口用于终端连接。11.2 冗余设置及光缆连接由于井上与井下光缆铺设并不完全依照网络拓扑结构，井上环网的主井绞车与副井轿车间、井下环网的中央变电所与压风机房间并无光缆的直接连接。主井绞车需经运转中心进行跳接，连接至副井轿车。同理中央变电所需经跳接，由运转中心连接至压风机房。因此骨干网络在井下、井上环网的光缆中占用两芯光纤。于主井绞车-运转中心-副井轿车（中央变电所-运转中心-压风机房）间，占用4芯光纤。根据网络系统对于冗余连接的要求，需按如下方式对交换机进行冗余设置。l 主井绞车、副井轿车的交换机各使用一个环网端口设置井上环网的STANDBY冗余连接匹配l 中央变电所、压风机房的交换机使用一个环网端口设置井下环网的STANDBY冗余连接匹配l 井上/井下环网中所有交换机设置光纤接口为环网端口l 井上/井下环网中各选择一台交换机设置为冗余管理器，其选择原则遵循原则如下：由于工业以太环网实现冗余的基本方式为从逻辑上断开冗余管理器的一个环网端口，以确保网络仍然工作在总线模式下。因此环网的实际传输结构为以冗余管理器为起点的一条总线网络，设置冗余管理器时应考虑网络结构的优化与负载分配。在不考虑视频系统的情况下，井上/井下环网的冗余管理器应分别设立于水源井1与信急闭。当涉及视频接入点时，由于视频业务占用带宽较大，应主要考虑视频流量的平均分配，即时视频接入点平均分布在环网与运转中心衔接点的两侧。11.3 设备VLAN划分与优先级设置通过网段划分，将工业以太网交换机连接就地的现场控制设备/IP电话/视频采集等不同应用进行三层隔离。基于IEEE802.1q对各系统进行划分隔离。并对4级QoS优先级队列对优先级较高的传输数据进行服务质量保障，保证其传输实时性。各场站、阀室内的语音与视频数据可按如下方式划分：划分实例：连接设备1#交换机-主井绞车VLAN 标记端口1端口2端口3端口4端口5VLAN 1UntagUntagUntagUntagUntagVLAN AVLAN 100-VLAN BVLAN 200Member-VLAN CVLAN 300Member-连接设备n路由器2#交换机IP电话视频RTU1#交换机VLAN 标记端口1端口2端口3端口4端口5VLAN 1UntagUntag-VLAN AVLAN 100-MemberUntagUntag-VLAN BVLAN 200MemberMember-VLAN CVLAN 300MemberMember-Untag连接设备1#交换机2#交换机IP电话视频RTU2#交换机VLAN 标记端口1端口2端口3端口4端口5VLAN 1UntagUntag-VLAN AVLAN 100MemberMemberUntagUntag-VLAN BVLAN 200MemberMember-VLAN CVLAN 300MemberMember-Untag连接设备2#交换机3#交换机IP电话视频RTU3#交换机VLAN 标记端口1端口2端口3端口4端口5VLAN 1UntagUntag-VLAN AVLAN 100MemberMemberUntagUntag-VLAN BVLAN 200MemberMember-VLAN CVLAN 300MemberMember-Untag连接设备3#交换机n+1交换机IP电话视频RTU视频系统4#交换机VLAN 标记端口1端口2端口3端口4端口5端口6VLAN 1UntagUntag-VLAN AVLAN 100MemberMemberUntagUntag-VLAN BVLAN 200MemberMember-VLAN CVLAN 300MemberMember-UntagUntag连接设备4#交换机-n+1视频路由器VLAN 标记端口1端口2端口3端口4端口5VLAN 1UntagUntagUntagUntagUntagVLAN AVLAN 100Member-VLAN BVLAN 200-VLAN CVLAN 300-连接设备4#交换机5#交换机n+1路由器-n+1交换机VLAN 标记端口1端口2端口3端口4端口5VLAN 1UntagUntagUntagUntagUntagVLAN AVLAN 100MemberMemberMember-VLAN BVLAN 200MemberMemberMember-VLAN CVLAN 300MemberMemberMember-实现物理链路保护后，允许区域环网的光缆与区域间光缆最多5个故障点（三个区域环各一个，两处环间连接各一个）的故障自愈。光缆链路故障时，以太网确保300ms之内完成物理链路与通讯的倒换。11.4设备终端连接与以太网终端进行连接工业以太网交换机连接终端的以太网网卡，可存在的连接方式为100兆RJ45电气连接，也可以为1000兆RJ45电气连接。距离超过100m时，可选用光线接口连接。与视频终端进行连接视频前端设备通过以太网接口连接至光电转换器，光电转换器间使用光纤进行连接。连接接口可为10/100Mbit/s RJ45接口。模拟摄像头需先连接至视频解码器。与控制器或远程采集单元连接控制器或远程采集单元采用CP通讯卡件的方式扩展以太网接口。使用以太网接口与工业以太网交换机互相连接。连接接口可为10/100Mbit/s RJ45接口。基于该方式，可将总线系统或其他协议的控制器系统耦合至以太网接口。与非以太网系统连接对于不存在以太网通讯卡的控制器或其他系统，可采用协议转换器进行耦合连接。使用IE/Pblink或IWLAN/PBLink将非以太网系统以有线或无线的方式与工业以太网平台进行对接。接口连接方式10/100M RJ45接口。网络管理与维护状态信息采集西门子工业以太网交换机支持SNMP管理，可与其他支持SNMP的终端协同被标准SNMP网管软件进行管理。各交换机通过对自身MIB库进行维护，将网络设备工作状态、性能、连接结构等信息以SNMP Trap方式上传至SNMP管理站，或响应SNMP管理站的轮询操作。SNMP管理站再将此类信息递交网管软件，便于维护工程师进行统一维护调度。12 项目施工（1） 施工准备A、设计阶段编制现场组织机构网络图，配合工程总负责人和用户，建立组织管理协调机构，指定与施工基层班组、设备供应商联系的代表；与施工基层班组落实施工组织结构，并明确人员配备（包括施工人员、质量监督人员等。附后），分清施工中各自的职责范围，协调各方关系，共同作为施工准备，并且负责下列诸项事宜。1) 将工程项目一览表、设计图纸、交施工班组，组织工程设计的原设计人员、施工班组进行设计及技术交底。组织全体施工人员熟悉了解工程的施工图、施工工期及各自承担的任务。2) 筹备落实和了解施工现场对该系统的管道、桥架的敷设的情况以及配电的准备情况。3) 筹备落实设备材料堆放场地，仓库，组装、加工场地及班组工具等辅助生产设施和必要的生活设施。4) 进行施工现场规划布置，准备组织施工队伍和材料、设备机具进场。B、设备采购1、光缆到货为20天；2、交换机及其它设备到货期应在60天（2） 施工步骤1) 光缆的铺设；2) 交换机及机柜的就位；3) 光纤熔接；4) 交换机的调试；5) 整个系统联调；（3） 进度保证A、项目施工工期施工工期由开工准备周期、设备施工周期、系统总调周期组成，施工工期初步预计为30个工作日。（注：实际施工工期视现场情况而定）开工准备周期由现场勘查周期及与此项目相关的部门及领导之间的协调周期组成，初步周期预计为3个工作日。（注：具体周期视现场实际情况而定）设备施工周期为本项目中所有设备的施工时间。系统总调周期分为本项目的设备调试及与全矿井自动化平台之间的对接调试。初步周期预计为10个工作日。（注：对接调试周期视环网组建周期而定）C、配备具有丰富施工经验的技术管理人员及综合素质高的职工队伍，建立一支精干高效的施工组织机构，是保证工期的基础和前提。D、