煤矿井下以太环网方案.docx
《煤矿井下以太环网方案.docx》由会员分享,可在线阅读,更多相关《煤矿井下以太环网方案.docx(37页珍藏版)》请在冰豆网上搜索。
煤矿井下以太环网方案
山西金地煤焦有限公司赤峪煤矿
工业以太环网系统
建设方案
建设单位:
山西金地煤焦有限公司赤峪煤矿
供货单位:
中煤科工集团重庆研究院
日期:
2011年8月
前言
1)本技术方案的使用范围仅限于山西金地集团赤峪煤矿综合自动化系统。
2)我方保证提供设备符合国家标准、规范和本规格书的优质产品及其相应的优质服务。
3)由于山西金地集团赤峪煤矿正在扩建中,本技术方案为山西金地集团赤峪煤矿综合自动化系统初步设计方案,井下子系统接入综合自动化系统时需结合实际情况制定子系统接入实施方案。
第一章系统实施原则及建设内容规划
1)系统设计、实施始终遵循山西金地集团综合自动化系统相关企业标准。
2)系统建设采用“统筹规划,统一组织,分步实施,急用先建,突出重点,慎重投入”的指导思想。
3)结合山西金地集团赤峪煤矿实际情况以及山西金地集团赤峪煤矿现在使用运行的设备、目前已订购待安装的机电设备部分已具有的通信接口、通信协议、设备工况等进行综合设计。
4)为山西金地集团赤峪煤矿建设一个稳定、高效的1000M环网平台,能可靠传输数据、语音、图像等信息以满足日益复杂的安全生产管理需要,提高安全生产管理水平。
5)提供多种子系统接入方式以满足现场各种异构设备接入,保护已有投资。
1.1系统设计原则
考虑到山西金地集团赤峪煤矿综合自动化系统工程的实际需要和将来的发展趋势,各系统的实际需求及具体的使用特性,同时兼顾技术新旧更替不断加快的特点,项目的设计原则为:
“先进性、成熟性、实用性、安全性、实时性、易操作性、完整性、可查询性、互联性和可扩展性、经济性”。
为了使所设计的方案尽可能满足矿方实际的需求,使系统正常、高效地运转,整体方案设计遵循以下设计原则:
Ø先进性、成熟性
使用先进、成熟、实用和具有良好发展前景的技术,使得各个子系统具有较长的生命周期,不盲目追求高档次,既能满足当前的需求,又能适应未来的发展。
Ø实用性
由于现代煤矿企业的安全、生产监控及调度任务、各职能部门之间业务的联系在很大程度上是以网络为基础,而安全、生产监控则对数据的实时性要求很高。
因此,在设计上应保证网络的处理能力和带宽。
Ø可靠性
高效稳定的系统,能提供全年365天,一天24小时的不停顿运作。
对于安装的服务器、终端设备、网络设备、控制设备与布线系统,必须能适应严格的工作环境,特别考虑要适应煤矿井下高温、高湿、高瓦斯的客观环境,以确保系统稳定。
实时监控的不可间断性决定了在网络设计中(尤其是网络主干)必须考虑提高网络运行的可靠性,保证系统在一个节点出现意外时整个系统仍能运行。
因此,在硬件选型、线路、支撑环境及结构上都必须高质量,并保证核心网络设备具备冗余。
同时,采用先进的防火墙+网闸技术保证系统的安全。
Ø安全性
网络的各个环节要尽可能多的提供安全保密措施,来保证网络的性能。
安全措施应包括:
防病毒、防黑客、防止非法或越权访问、传输加密、安全策略控制等。
Ø易操作性
先进且易于使用的图形人机界面功能,提供信息共享与交流、信息资源查询与检索等有效工具。
Ø实时性
设备和终端必须反应快速,充分配合实时性的需求。
Ø完整性
提供与各种外界系统的通信功能,确保信息的完整性并充分利用在整体系统的运作上。
Ø可查询性
提供易于使用的数据库功能,让使用者能随时查询信息及制作所需的报表。
Ø互联性和可扩展性
把各子系统有机结合起来,满足信息层结构中各层之间信息沟通,增加各子系统之间的互联性和可扩展性。
充分考虑将来需求的成长空间,所提供的系统平台与技术将充分配合未来功能及扩充项目的需求,以避免将来重复的投资。
标准化、结构化、模块化的设计思想贯彻始终,奠定了系统开放性、可扩展性、可维护性、可靠性和经济性的基础。
Ø经济性
在一定的资金资源下,尽量有效地利用,以适当的投入,建立一个尽可能高水平的、完善的网络系统。
所有设备的选型配置和采购订货,坚持性能价格比最优的原则,同时兼顾供货商的资信度和维修服务能力。
1.2系统设计依据
1)《煤矿安全规程》;
2)《煤炭工业矿井设计规范》;
3)《煤矿安全装备基本要求》;
4)《煤矿监控系统总体设计规范》;
5)《煤矿监控系统中心站软件开发规范》;
6)《爆炸性环境用防爆电气设备本质安全型电路和电气设备要求》;
7)《爆炸性环境用防爆电气设备通用要求》;
8)《煤矿通信、检测、控制用电工产品通用技术条件》;
9)《设备可靠性试验》;
10)《电气设备的抗干扰特性基本测量方法》;
11)《煤炭调度信息化装备技术规范》;
12)《监测监控质量标准化实施标准》;
13)《智能调度室装备规范》;
14)《电子计算机房设计规范》;
1.3总体结构设计
系统分为管理层、控制层和设备层三层结构。
其中管理层为矿地面局域网,控制层采用高速工业以太环网,设备层采用现场总线,保证了现场子系统的实时性和可靠性。
在管理层,管理网服务器系统负责收集全矿的生产、管理、经营等方面的信息,并为管理网与国际互联网的连接提供服务;在管理网的各PC终端,可以在统一的界面下根据权限和等级查看全矿的所有信息。
控制层分为过程控制和集中监控层,在过程控制层,PLC分站、电机智能控制器、其它智能监控分站等对现场设备实现运行参数的采集,并负责传达集中控制信号至现场设备;各子系统通过其现场总线采集各自所控制设备的运行参数,并实现对整个子系统设备的集中控制。
设备层主要包括:
传感器、执行器、开关柜等现场设备。
1.4项目达到的效果
系统建成后,能把各个子系统有机整合在一起,能使山西金地集团赤峪煤矿井上下各生产环节的生产工况信息在现有条件下进行有效集成,能够将各子系统的数据进行深入挖掘,进而实现相关联业务数据的综合分析以及生产状态的实时评估,达到“管控一体化”和统一调度指挥决策的目标。
系统可在地面中央监控室实现对矿井主要生产环节如:
煤流、采、运、供电、排水、压风等生产环节的集中监控,部分系统实现可靠无人值守运行,有效提高矿井生产效率;另外可将环境监测、工业电视、主副井提升、通风机、调度通信等系统的信息集中于统一的数据库管理、存档、检索。
同时可实现整个矿井的综合自动化网络和管理信息网络的的无缝连接,矿各级领导和有关职能部门均可以通过网络终端进行数字化矿山系统的实时监测、数据报表显示查询,矿调度人员及相关管理人员同步掌握生产设备运行状态、产量及安全情况,便于快速做出反应,及时调度。
系统能通过矿的网络统一出口,与数据中心完成无缝对接,实现山西金地集团赤峪煤矿生产信息、安全信息和管理信息实时交换,远程显示、查看相关数据。
系统将矿井的环境安全监测系统、人员定位系统、电网监控系、各主要环节自动化控制系统等信息集成到统一的平台软件上进行综合分析处理,能实现矿井生产设备的优化运行控制和瓦斯等灾害的预警及联动控制。
山西金地集团赤峪煤矿建成的基于工业以太环网+现场总线技术的数字化矿山系统,信息汇接能力强大,留有充分的扩展端口以适应系统今后扩容发展的需要。
第二章千兆工业以太环网平台
2.1网络拓扑结构设计
本次工业以太网系统建设地面、井下2个1000M环网,采用地面网络和井下环网方式。
地面调度指挥中心的各种服务器、上位机、操作站、工程师站等均直接接入中心的两台核心交换机上,核心交换机接入矿方管理网络,但需矿方管理网络提供足够的网络接口。
井下各监控设备就近接入环网交换机。
这种布局网络结构清晰,网络层次分明,数据采集服务器直接连到核心交换机上,链路路径最直接,采集数据快捷。
WEB服务器对企业网的用户提供访问,接在防火墙的DMZ区,其他的设备都在防火墙的内部区域,被防火墙保护起来,整体网络结构非常安全。
平台主要由核心交换机、地面光纤环网交换机、井下环网交换机、防火墙、UPS电源、打印机等组成。
全网建成后的性能可以保证达到以下水平:
全网交换机连接均可基于单、多模光纤或铜介质,可按需要任意选择;光纤网络中的任何位置发生一个断点事故均可在瞬间内完成链路通信的恢复;全网基于统一、简洁的网络管理。
机房核心交换机:
在调度室中心机房配置2台赫斯曼公司的MACH4002-24G-L3EHCP三层交换机,工作方式:
双机热备。
地面环网:
在主井提升机房配电室、副井井口房变电所、北通风机房、中央通风机房、10KV变电所共5个节点,配置5台赫斯曼公司的MS4128-L2PHC地面环网交换机,组成地面1000M环网。
井下环网:
在中央采区泵房变电所、140M水平泵房变电所、北一采区变电所、北一采区泵房变电所、中央采区变电所共5个节点配置5台KJJ137(MS4128-L2PHC模块)1000M环网交换机,组成井下环网。
采集服务器:
在中心机房部署两台IBM3650M3机架式服务器,作为各子系统数据采集服务器用。
工作方式:
双机热备。
数据服务器:
在中心机房部署两台IBM3650M3机架式服务器,作为数据库数据管理服务器。
工作方式:
双机热备。
WEB服务器:
在中心机房部署一台IBM3650M3机架式服务器,作为网络浏览服务器,工作方式:
提供系统内网页浏览服务。
应用服务器:
在中心机房部署一台IBM3650M3机架式服务器,在服务器上部署KJ90综合系统平台系统。
工作方式:
系统生产业务处理。
磁盘阵列:
在中心机房部署IBMDS3500双控光纤磁盘阵列柜,系统所有采集数据和业务数据全部在本磁盘阵列做存储。
环网拓扑图
图01网络拓扑结构图
2.2其他技术要求
1)整个自动化综合控制网采用赫斯曼工业级的设备,实现井下高温、高湿等恶劣环境的稳定运行;
2)系统支持光纤冗余环网工作模式,接节故障不影响整个系统性能,故障自恢复时间短(0.05S),通信更加可靠;所有交换机采用高性能的赫思曼模块化千兆交换机,避免网络中部分节点故障,同时满足以后的扩容和升级;
3)矿井工业以太环网光纤冗余环网传输平台运行稳定、可靠性好、线路机械强度高矿井工业以太环网光纤冗余环网传输平台通讯协议采用标准的TCP/IP网络协议;
4)平台传输速率高、带宽容量大、传输距离远、抗干扰和雷击能力加强。
为数据、视频、语音三网合一提供了足够的带宽;
5)整个网管系统可对所有的综合自动化网的网络设备进行实时监控,出现故障实时报警。
6)在矿信息网与监控网中采用天融信防火墙连接,实现监控网的安全隔离。
7)采用先进的多主并发通讯模式,系统检测速度快,实时性强。
核心交换机提供OPC协议,支持监控软件的集成;
8)整个宽带传输网彻底突破了低速总线下的技术瓶颈,系统节点容量大大增加,稳定性提高;
9)由于以Internet/Intranet/Infranet为整体构架,具有开放的传输接入平台,系统集成能力显著提高,今后矿井各种自动化监测监控系统均可方便就近接入,易于扩展,无须重复布线,节约投资;
10)平台同时支持光纤多模、单模、超五类双绞线传输介质,结构灵活;可方便与局域网企业综合管理信息系统连接,实现信息共享;
11)井下交换机经过防爆认证,具有MA,同时增加UPS电源保护,在市电停电后,可运行四个小时以上。
12)支持多种网络拓扑结构和多重冗余方式,如(单)环网冗余、单环双节点冗余、双总线冗余、双环网冗余和环间冗余,本次投标方案采用单环单节点双冗余环网。
13)环网核心交换机具有路由功能的卡轨式模块交换机。
核心交换机有相对独立的模块插槽,每个模块插槽能够配置一块引擎模块,引擎模块上的子卡插槽,可以配置不同种类的网络接口卡。
14)环网交换机支持多光口、电口混合连接,支持Web管理,支持SNTP简单网络时间协议,准确记录故障时间。
15)交换机管理软件要求能统一配置、管理、监视所有交换机,可监视所有具有SNMP(简单网络管理协议)功能的设备;支持通讯故障自诊断、定位、报警;在更改设备配置时只要在网管工作站对相关设备进行合适配置,通过网管工作站对网络设备进行日常管理、流量统计、故障分析等。
16)交换机支持流量控制功能,防止广播风暴;支持端口的优先级划分和VLAN划分;支持端口和MAC地址的绑定,提高系统安全性。
2.3主要设备技术参数
2.3.1核心交换机(MACH4002-48G-L3PEHC)
1)端口转发速率:
1.488Mpps,背板带宽>40Gbps;
2)端口配置:
千兆电口(10/100/1000Mbps自适应):
24个;
千兆光口(单模、10Km、SFP、LC):
8个。
3)端口延时:
<32ms。
4)支持SNTP简单网络时钟协议协议。
5)支持端口优先级IEEE802.1D/p协议。
6)支持静态路由、RIPV1/2、OSPF等路由协议,支持VRRP路由冗余。
7)支持组播IGMPSnooping、GMRP,支持组播路由DVMRP/PIMDIM。
8)支持1024个IEEE802.1QVLAN。
9)支持4个以上链路聚合。
10)支持DHCPOption82、DHCPRealy、Hidiscovery。
11)冗余保护:
支持HIPPER-RING协议、支持RSTP协议;光纤环冗余:
单环支持50台以上节点交换机,自愈保护<50ms;冗余耦合:
切换时间<1s。
12)网管:
支持串口、WEB界面、SNMPV1/V2/V3;
支持拓朴自动发现;
支持命令行、V.24、Telnet、BootP;
提供交换机的集中和功能管理软件工业及企业版,图形化实时监控软件,可通过图形画面实时监测环网状态,应监测到每一端口;
13)提供OPCServer软件,环网状态信息可集成至集控软件平台。
2.3.2地面环网交换机(MS4128-L2P)
1)端口转发速率:
1.488Mpps,背板带宽>5Gbps;
2)端口配置:
百兆电口(10/100Mbps自适应):
12个;
千兆光口(单模、10Km、SFP、LC):
4个;
3)工业标准导轨安装
4)采用存储-转发技术,支持自动协商功能、自适应全双工/半双工、自适应10/100Base-TX(5)端口、自适应MDI/MDIX。
5)MTBF(平均无故障时间)不小于100万小时管理:
6)所有交换机提供OPC通讯方式对交换机进行监控、故障诊断和趋势图分析的功能。
7)支持RSTP、SNMPV1/V2/V3、IGMPsnooping、VLAN、QOS、TRUNKING、MIRRORING、(9)DHCP等功能。
8)网络距离:
单模10/20/80KM
9)相对湿度:
10%~95%(非凝结)
10)工作温度:
0°C~+70°C
11)支持光纤环网冗余,自愈时间低于50ms;支持环间耦合,耦合时间小于1s。
12)保护等级IP20,全封闭式金属钢质外壳,无需风扇散热
2.3.3井下环网防爆交换机(KJJ137)
选用德国赫斯曼MS4128交换机为隔爆交换机核心,其单台交换机技术指标如下:
光信号接口
1)传输方式:
全双工TCP/IP传输协议,波长为1310nm的单模光纤;
2)传输速率:
1000Mbps;
3)光发射功率:
-10~-5dBm;
4)光接收灵敏度:
-20dBm;
5)最大传输距离:
10km(使用单模光缆);
6)采用模块化结构,配置4个千兆光口(单模、10Km、SFP、LC)。
以太网电信号接口(本安接口)
1)传输方式:
全双工TCP/IP传输协议;
2)传输速率:
10/100Mbps自适应;
3)信号工作电压峰峰值:
1V~5V;
4)传输距离:
RJ45接口传输距离:
100m(使用矿用阻燃通信网线);
5)12个10/100Mbps自适应RJ45口,可扩展为20口
RS485信号接口
1)传输方式:
半双工RS485信号,双极性;
2)传输速率:
1200bps-115200bps;
3)信号工作电压峰峰值:
2V~10V;
4)信号工作电流峰值:
≤50mA;
5)传输距离:
5000m使用矿用阻燃屏蔽通信电缆
6)提供4以太网转485总线转换器;
电源:
1)额定工作电压:
AC127V/220V/380V/660V;
2)输入功率:
不大于64W;
3)在电源波动范围内工作电流:
不大于0.5A;
4)提供不小于4时后备电源;
其他:
1)端口转发速率:
1.488Mpps,背板带宽>10G。
2)端口延时:
<32ms。
3)支持SNTP简单网络时钟协议。
4)支持流量控制、广播限制、端口优先级、QoS分级、ToS分级,支持IEEE802.3x、IEEE802.1D/p协议。
5)支持组播IGMPSnooping、GMRP。
6)支持1024个IEEE802.1QVLAN。
7)冗余保护:
支持的协议符合骨干网关交换机保护机制要求。
网管:
符合骨干网关交换机网管要求。
2.3.4N3200入侵检测系统
功能分类
功能指标要求
基本要求
★要求提供V.S.P通用安全系统软件平台证书。
具备国内权威机构的相关认证:
公安部、国家信息安全测评认证中心、中国人民解放军信息安全测评认证中心、国家保密局,并提供相关证书编号。
硬件参数
★应具备至少2个10/100/1000M电口,2个SFP扩展插槽
采用2U机架式设备
平均无故障时间(MTBF)不小于6万小时
核心检测技术
支持特征匹配、协议分析和异常行为检测等方法,采用了自适应多协议融合分析技术,采用AMPFAT技术的数据分析系统,结合了特征匹配,协议分析和基于专家系统的异常行为分析方法,高速有效的对网络数据进行分析
提供对特定目标对象的实时检测和注册检测对象功能,可以由用户自定义特定的检测目标对象
响应方式
通过RESET重置TCP连接
通过与防火墙联动终止特定地址的连接
支持用户自定义响应措施
在报警界面显示会话数据的缩略信息,对获取的会话进行报警
向SNMP系统发送信息
提供对事件地址的反向路由追踪和IP地址定位,可以更有效的发现并指出攻击者的来源
管理能力
支持多探测器集中管理,远程管理,并具有完善的管理数据备份、恢复措施,支持Leadsec安全管理协议和PUMA安全联动协议
支持实时数据流量/报文流量显示
支持探测器状态显示
支持入侵检测系统控制台自身的安全性检查
支持计划任务设置,对事件库升级、制作报表、日志备份、完整性检查等可以定制自动进行,可以定制事件库升级、产生报表,日志备份、完整性检查的任务。
支持对会话休眠阀值的自定义
探测器与控制台之间的连接方式是多对多,而不是一般的一对一和一对多
支持透明方式监听,组件之间通讯加密进行
支持探测器与控制台之间报警信息的传递自定义,除了使用专属端口外,还可以使用HTTP/FTP等常见协议进行报警信息的传输,提供了基于通讯端口的信息传递,还可以通过HTTP/FTP协议进行报警信息的传递
可以设置不同权限的用户对IDS进行管理
攻击特征
>1600种
支持用户自定义攻击事件
与国际上标准的漏洞库CVE、Whitehats、等保持兼容,保证知识库的更新速度。
另外,通过和国家反入侵及病毒防范中心合作共享共建特征库
抗攻击能力
可实现抗针对IDS的Dos/Ddos攻击
表现优秀,针对主流的攻击手段进行有效的抵抗和防范。
其他必备安全特性
支持会话管理,可以手动切换是否使用会话分析技术,可以选择是否使用会话分析技术
★支持会话管理,可以手动切换是否使用会话分析技术,可以对类似MSN的加密会话进行解密分析
提供对原始数据的分析工具,可对网络传输数据进行深层次分析,提供类sniffer的网络数据分析工具,可以对网络原始数据进行分析
支持会话会放,对常见的会话如HTTP/MSN/QQ等能够进行回放,支持自定义回放所有TCP/IP的会话类型,提供了对几乎所有TCP/IP协议的会话记录,可以根据环境不同,设置分析种类
★提供对控制台关键文件、注册表键值、数据库表等的完整性检查,防止系统本身被非法篡改,提供了完整性检查工具,可以对控制台的关键文件、注册表键值、数据库表进行完整性的检查,一旦发现篡改将及时提出报警。
性能指标
包检测率:
>=2GBps
每秒碎片重组数:
>=120,000
设备资质要求★
公安部销售许可证
中国信息安全测评认证中心证书
中国人民解放军信息安全测评认证中心军B级证书
国家保密局涉密产品检测证书
具有公安部的检测证书(三级)
厂商资质要求★
具有计算机信息系统集成一级资质
具有信息安全服务一级风险评估资质
具有涉及国家秘密的计算机系统集成甲级资质
具有ISCCC应急安全服务一级资质
具有安全服务工程类二级资质
是微软的MAPP计划合作伙伴
国家级网络安全应急服务支撑单位
2.3.5防火墙H3CNS-SecPathU200-CA-AC
产品概述:
H3CSecPathU200-CA是H3C公司面向中小型企业/分支机构设计的新一代UTM(UnitedThreatManagement,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障全部安全功能开启时不降低性能,产品具有极高的性价比。
在提供传统防火墙、VPN功能基础上,同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。
H3C公司的SecPathU200-CA不仅能够全面有效的保证用户网络的安全,还支持SNMP和TR-069网管方式,最大化减少设备运营成本和维护复杂性。
产品特点:
市场领先的安全防护功能
●完善的防火墙功能:
提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、SYNflood、地址扫描和端口扫描等多种恶意攻击。
●丰富的VPN特性:
支持L2TPVPN、GREVPN、IPSec等远程安全接入方式,同时设备集成硬件加密引擎实现高性能的VPN处理。
●实时的病毒防护:
采用Kaspersky公司的流引擎查毒技术,从而迅速、准确查杀网络流量中的病毒等恶意代码。
●实时的垃圾邮件防护:
可以拦截垃圾邮件,净化邮件系统,解决垃圾邮件对正常工作的干扰问题。
●先进的URL过滤:
实现基于用户的URL访问控制,防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。
●全面的流量管理:
能精确检测BitTorrent、Thunder(迅雷)、QQ等P2P/IM应用,提供告警、限速、干扰或阻断等多种方式,保障网络核心业务正常应用。
●细致的行为审计:
可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录,实现细粒度的网络行为审计管理。
●NAT应用:
提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式;支持多种应用协议正确穿越NAT,提供DNS、FTP、H.323、NBT等NATALG功能。
电信级设备高可靠性
●采用H3C公司拥有自主知识产权的软、硬件平台。
产品应用从电信运营商到中小企业用户,经历了多年的市场考验。
●支持双机状态热备功能,支持Active/Active和Active/Passive两种工作模式,实现负载分担和业务备份
●36年的平均无故障时间(MTBF)
智能图形化的管理
●简单易用的WebUI管理
●支持基于SNMP和TR-069协议的管理
●通过H3CUTM管理软件实现统一管理
●通过H3CSecCenter安全管理中心实现统一管理
2.3.6路由器H3CNS-SecPathU200-CA-AC
升级会员 