6ES7211-0BA23-0XB0原装代理
应 用 摘 要
电力局电力调度通信中心计算机网络系统是一个覆盖整个电力局电力调度通信中心及其下级调度中心的局域网,是电力局系统网络的一个重要的子系统,它与EMS相连接。这个系统的建立和应用,对于电力局电力调度通信中心的现代化建设起到十分重要的作用。电力局电力调度通信中心计算机网络系统的应用应该主要包括两个方面:其一是处理电力局业务信息(电力调度信息),其二是办公自动化。无论是哪一种应用都会涉及到一些敏感或涉密信息,采取相应的技术措施加强信息系统的安全保密是一项十分重要的工作。
应 用 领 域
能源
方 案 内 容
方案背景:
电力局电力调度通信中心计算机网络系统总体上是一个星型结构的网络,从管理的分工上可以分为三个层次:
层次:电力局电力调度通信中心局域网,该局域网是省局网络的心脏部分。
第二层:与电力局电力调度通信中心网络相连的电力下级网。
第三层:与Internet连接的对外服务器网络。
主要应用包含:
基于数据交换的业务应用
办公自动化
邮件服务
Web服务
Internet
原拓扑如下图所示:
解决方案:
网络风险分析及安全方案设计:
风险分析的一个步骤是判定需要保护的所有资源,特别是受安全问题影响的资源。这些资源包括:主机、工作站、各种网络设备等硬件;源程序、应用程序、操作系统等软件;在线存储、传输、及备份数据;等等。
XX电力局电力调度通信中心计算机网络系统是一个混合网络,包含了上述几乎所有的网络资源,系统较为复杂,目前尚未建立系统的安全防护体制,存在着明显的安全威胁。
1) 全网易受入侵。网络各个部分没有按照其应用的安全要求不同划分为不同的安全域;整个网络通过基本简单静态的通行字进行身份鉴别(可能),一旦身份鉴别通过,用户即可访问整个网络。侵袭者可以通过三种方式很容易地获取通行字:一是内部的管理人员因安全管理不当而造成泄密;二是通过在公用网上搭线窃取通行字;三是通过假冒,植入嗅探程序,截获通行字。侵袭者一旦掌握了通行字,即可在任何地方通过网络访问全网,并可能造成不可估量的损失。由于不可控制的接入点比较多,导致全网受攻击点明显增多。
2) 与Internet的直接连接,如不采取有效的访问控制措施,面临着来自Internet网络的安全威胁。
3) 系统保密性差。由于覆盖全市的网络系统大多是通过公用网络连接,全部线路上的信息多以明文的方式传送,其中包括登录通行字和一些敏感信息(甚至是涉密信息,如电力调度信息),可能被侵袭者截获、窃取和篡改,造成泄密。
4) 易受欺骗性。由于网络主要采用的是TCP/IP协议,不法分子就可能获取IP地址,在合法用户关机时,冒充该合法用户,从而窜入网络服务或应用系统,窃取甚至篡改有关信息,乃至会破坏整个网络。
5) 数据易损。由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击;一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。
6) 缺乏对全网的安全控制与管理。当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
7) 缺乏防范泄密行为的安全措施。XX电力局电力调度通信中心计算机网络系统目前应该有一些涉密信息,如果这些信息由内部工作人员有意或无意通过网络传播或扩散出去,可能造成十分严重的影响和损失。
了解了攻击手段和安全隐患之后,国恒联合科技结合现有的网络技术,设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问,尽量杜绝现存的安全隐患。
技 术 路 线
系统架构网络拓扑图:
整个方案设计分为以下几部分:
1、 根据对电力局电力调度通信中心的网络需求分析,建议对其网络拓扑做适当调整,主要是根据安全需求和安全等级的不同划分不同的安全域,添加适当的安全产品。
具体调整如下:
1) 以省电力调度通信中心计算机网络为中心,将与其连接的Internet、电力信息上级网等定义为外网。将省电力调度通信中心计算机局域网定义为内网。
2) 由于存在对外提供服务的对外服务器,而这些服务器提供对内和对外的访问服务,在安全等级划分中,他们的安全等级高于外网而低于内网,并且存在较多的安全隐患,故应将其单独划分成一个安全域——DMZ区,即停火区。
3) 由于省电力调度通信中心局域网中有一部分机器与核心业务网EMS之间有信息交互,建议将这一部分机器单独划分出来,组成单独的调度MIS。从安全性角度和易管理性方面考虑,可以选择部分机器专职完成调度MIS工作。
4) 核心业务系统EMS是重中之重,是整个网络中安全等级高的区域,应在不改变其结构的条件下,做重点防护。
5) 对于省局网和电力信息下级网,从狭义的角度上讲,也可将其视为外网的一部分,在此,我们主要考虑它们与调度中心之间的安全隔离,以及它们相互之间不要通过调度通信中心的连接,把安全隐患带到彼此的网络。
总的来讲,可将整个网络划分成EMS、调度MIS、公共MIS、对外服务器网络(DMZ区)、省局网、电力信息下级网、电力信息上级网、Internet等八个部分,它们的安全等级各不相同,应采用相应的安全设备将其划分成不同的安全域。
2、 对于电力局电力调度通信中心局域网安全保护的基本措施,是采用防火墙进行访问控制。关于这一措施应该从两个层次进行考虑,即对于局域网与外部网之间的访问控制和内部网中各个安全域之间的访问控制。
1) 省电力调度中心局域网与电力信息上级网、Internet之间的访问控制
在路由器后面安装防火墙(速通防火墙 1)来实现对省电力调度中心局域网的安全保护,利用防火墙的过滤功能来实现它与电力上级网、Internet之间相互访问控制。
2) 省电力调度中心局域网与省局网、电力下级网之间的访问控制
在路由器后面安装防火墙(速通防火墙 2)来实现对省电力调度中心局域网的安全保护,利用防火墙的过滤功能来实现它与省局网、电力下级网之间相互访问控制。速通防火墙自带的认证功能,可以实现内部用户认证,可以结合用户原有的域用户认证或者radius认证,实现用户级的访问控制。
3)EMS与省电力调度中心局域网之间的访问控制
在EMS与省电力调度中心局域网之间安装防火墙(速通防火墙 3)来实现对EMS的安全保护,利用防火墙的过滤功能来实现EMS与省电力调度中心局域网之间相互访问控制,防止将省电力调度中心局域网的安全问题带到EMS中,实现对EMS的重点防护。在这里,可利用防火墙的多端口结构,将调度MIS和公共MIS分开。
3、 入侵检测和病毒防护。速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方法。速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。真正实现了少花钱多办事的效果。对于网络内部的病毒防护建议使用网络防病毒软件进行整体防护。
4、 数据备份与恢复技术:利用备份系统可以快速地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量的自动数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,亦是系统灾难恢复的前提之一。
5、 建成之后的计算机信息网络系统将是一个比较复杂的系统,需要对网络活动进行有效控制和管理。网络管理员可随时监测系统中的所有网络设备运行状况,能够在不改变系统运行的情况下对网络进行调整;也不管网络设备的物理位置在何处,都能对网络进行管理与维护。网络管理应具有一体化管理措施和方法,能对网络设备进行远程管理和维护,能合理配置和调整网络资源,能提供用户访问权管理、网络性能管理以及故障管理,能准确报告与故障有关的事件,并能监视网络状态与控制网络运行。
本方案的特点在于:根据电力调度中心的实际需要,充分结合了各种网络安全产品和管理软件,实现了各系统的协同工作
、概述
本系统的目的是对全公司范围内风、水、电、气等产品的生产量、使用量(消耗)、库存及与能源消耗有关的数据进行实时的采集和存储,并对这些数据进行统计和分析,并提供给有关领导和部门作为生产指挥与调度的依据,做到合理生产,节能降耗。
本系统在结构上分为三级:总公司级、厂级、车间级。各车间(或设备)的主要数据指标送到厂级子系统,与全厂有关的生产数据汇总后再送到总公司级。
本系统在技术上能够保证长期稳定运行,全自动地采集和传送数据,投入运行后,对原生产设备无任何不利影响。首钢氧气厂前期提供六个现场测试点:其中3个liuliang点,3个压力点。对氧气厂与能源消耗有关的数据进行实时的采集和存储,并对这些数据进行统计和分析,提供给厂领导和部门作为生产指挥与调度的依据,做到合理生产,节能降耗。
本系统的实施分为三步进行:步实现1——-3个厂级子系统的建设;第二步实现公司级互联; 第三步实现公司内其他厂级子系统的建设和互联。
二、系统实现目标
1、以计算机、网络及软件为手段建立首钢稳定可靠、覆盖所有有效区域的分布式生产实时数据管理系统,建立生产实时、历史数据库及其管理系统。
2、该分布式实时生产数据管理系统是一个开放式的、应用规模可自由伸缩的系统。
3、通过实时数据库的压缩功能使全部过程数据的历史趋势可以保存10年以上。
4、该能源管理系统将真正实现
能源和过程的可视化
能源流向清晰化
高峰负荷降低化
能源消耗优化
帐单生成自动化
三、系统功能及其实现方法
系统如图:
1、数据采集
数据采集层将以德国GMC 公司的U16XX 系列数据总站为中心,对厂级或车间级的主要生产设备的能源消耗、设备产出等主要生产数据进行实时采集、存储和传输。每一台数据总站可以直接联接由现场仪表输出的模拟量标准信号, 也可以通过Lonworks现场总线联接。数据总站具有丰富的管理功能, 可对各种不同数据进行累积计量或趋势存储,各数据总站之间可以互联,可以无缝接入厂级或公司级的局域网,供上级系统进行的分析和利用。
2、生产数据实时显示、运算、存储功能
(1) 采用图形界面,可根据用户的需要创建总貌图、流程图、工框图、趋势曲线图、仪表棒图、报警画面,实时显示现场生产数据。各画面之间可方便的进行切换
(2) 对现场数据进行运算处理,根据用户的需要对现场原始生产数据进行统计计算,并通过各种形式实时显示。
(3) 现场生产数据的定时存储,可根据用户的需要每间隔一定时间对现场生产数据进行存储。可保持十年以上的历史数据和报警信息。
3、查询功能
形成历史数据库可方便的进行分类查询
(1) 单元数据查询
(2) 实时生产数据查询、监测
(3) 各类历史数据查询
(4) 生产实时趋势、历史趋势查询
4、报表打印功能
可根据用户的具体要求自动生成和打印各种报表,包括
(1) 生产日报
(2) 生产情况月报
以便数据管理部门或决策者分析能源使用情况,并提供数据管理决策的依据。并且报表格式、数据构成、采样间隔等参数都可随时更改。
5、报警功能
具有声音、图象等多种报警手段,并提供历史报警查询。
四、首钢氧气厂综合能源信息系统的实施方案
首钢氧气厂前期为我们提供了六个现场测试点:其中3个liuliang点,3个压力点。
1、硬件方案:硬件上选用德国GMC公司的产品搭建系统:数据总站选用U1601,6个采集点的模拟量直接连接到U1601的6个模拟量输入口。将U1601数据总站两个RS232接口的其中一个连接一个COM SERVER, 将数据总站输出的数据转化为局域网上可传输的数据,送到局域网上的PC机里进行数据的统计、分析和处理,以便有关人员利于查看和利用。如图:
2.软件方案:
本系统使用三维公司HMI软件产品力控2.6(FORCECONTROL 2.6)工业监控组态软件,以图形化的方式显示各种生产数据,自动生成各种统计报表,报警记录等等。其软件实施方案如下:
数据采集:以厂级局域网上的某个PC机做为数据采集服务器,安装FORCECONTROL 2.6 监控组态软件,它以以太网形式与现场数据总站通讯,将U1601上的数据采集到PC机。
厂级数据应用:该PC机做为网络上服务器端,通过力控网络服务程序NetServer,其它一个或多个网络结点机上安装的力控客户端网络服务程序NetClient连接到服务器端,访问服务器端,并可以对现场数据进行设置和管理。
公司级数据应用:公司级以上的局域网上的其他用户无须安装力控软件,而只需通过微软IE浏览器就可以查询到数据总站上的数据,进行报表打印等操作。
软件配置:
1.FORCECONTROL 2.6 服务器端软件
说明:安装在局域网上作为服务器的结点机上用于和U1601进行通讯,并且通过TCP/IP方式,作为其他结点机的服务器端。
2.FORCECONTROL 2.6 客户端软件
说明:厂级局域网上一台或多台结点机每台安装一套,用于访问服务器端数据,并通过服务器端向数据总站设置管理数据。
3.WEB SERVER 程序
说明:运行在服务器端结点机上,将监控画面发布,以便与公司级网络结点机通过微软IE 浏览器查询能源数据
1.中央空调系统的构成;
如图1,中央空调系统主要由以下几部份组成:
(1)冷冻机组
这是中央空调的“制冷源”,通往各个房间的循环水由冷冻机组进行“内部热交换”,降温为“冷冻水”。
图1 中央空调系统的构成
2.冷却水塔用于为冷冻机组提供“冷却水”;
3.“外部热交换”系统由两个循环水系统组成;
(1)冷冻水循环系统 (图1)
由冷冻泵及冷冻水管道组成。从冷冻机组流出的冷冻水由冷冻泵加压送入冷冻水管道,在各房间内进行热交换,带走房间热量,使房间内的温度下降。
从冷冻机组流出、进入房间的冷冻水简称为“出水”:流经所有的房间后回到冷冻机组的冷冻水简称为“回水”。
(2)冷却水循环系统
由冷冻泵、冷却水管道及冷却塔组成。冷冻机组进行热交换,使水温冷却的必将释放大量的热量。该热量被冷却水吸收,使冷却水温度升高。冷却泵将升了温的冷却水压入冷却塔,使之在冷却塔与大气进行热交换,在将降了温的冷却水,送回到冷却机组。如此不断循环,带走了冷冻机组释放的热量。
流进冷冻机组的冷却水简称为“进水”;从冷冻机组流回冷却塔的冷却水简称为“回水”。
4.冷却风机有两种情况:
(1)室内风机 安装于所有需要降温的房间内,用于将由冷冻水冷却了的冷空气吹入房间,加速房间内的热交换。
(2)冷却塔风机 用于降低冷却塔中的水温,加速将“回水”带回的热量散发到大气中去。
可以看出,中央空调系统是工作过程室一个不断地进行热交换的能量转换过程。在这里,冷冻水和冷却水循环系统是能量的主要传递者。对冷冻水和冷却水循环系统的控制便是中央空调控制系统的重要组成部份。
5.温度检测 通常使用热电阻,如图1中的Rt1、Rt2、Rt3。中央空调的拖动系统通常由以下部份组成:
① 冷冻机组拖动系统;
② 冷冻泵拖动系统 由若干台水泵组成;
③ 冷却泵拖动系统 也由若干台水泵组成;
④ 风机(包括室内风机和冷却塔风机)拖动系统。
拖动系统一般均不能调速,故耗能大,且温度的调节比较粗略。
二、中央空调变频调节系统的基本考虑
下面就冷冻水泵的冷却水泵变频调速进行分析(冷冻机组和冷却塔风机也可进行变频调速,可以参见风机和压缩机的变频调速),由于冷冻水泵和冷却水泵都是循环水,这就和供水系统有所区别。
1、供水系统
(1)用水特点
在供水系统中,用户抽用的水是消耗掉的。它并不回到水泵的进水口,对拖动系统毫无反馈作用。
(2)调速特点
在供水系统中,当通过改变转速来调节liuliang时,扬程也虽之改变,并且,扬程是和转速的平方成正比的:
H1/H2=nI2 / n22
(3)功率计算
功率与扬程的liuliang的乘积成正比,而liuliang和转速成正比,功率与转速的三次方成正比:
Q1/Q2=n1/n2
P1/P2=n1 3/n23
2、循环系统
(1)用水特点
在循环水系统中,所用的水是并不消耗的。从水泵流出的水又将流回水泵的进口处,并且,回水本身具有一定的动能和位能,将反馈到水泵的进水口。
(2)调速特点
在通过改变转速来调节liuliang时,扬程并无变化。更准确地说在循环水系统中,用扬程来描述水泵的作功情形是不够 准确的。
(3)压差的概念
循环水系统的工作情况与电路十分类似,水泵的作功情形也通过水泵出水与回水的压力差PD来描绘:
PD=P1-P2
(4)功率计算
与电路的工作情形相类似,循环水系统中的liuliang大小是与压差P成正比的:
Q=PD/R
而水泵作功的功率可计算如下:
P=PD*R=Q2*R
在循环水系统,水泵的功率是和转速的平方成正比的:
P1/P2=n12 /n22
循环水系统与供水系统相比节能效果要差一些。仍能达到20%以上的节能效果。
3.中央空调变频调速系统的控制依据
中央空调系统的外部热交换两个循环系统来完成。循环水系统的回水与进(出)水温度之差,反映了需要进行热交换的热量。根据回水与进水(出)水温度之差来控制循环水的流动速度,从而控制了进行热交换的速度,是比较合理的控制方法。
(1)冷冻水循环系统的控制
由于冷冻水的回水温度是冷冻机组“冷冻”的结果,常常是比较稳定的。单是回水温度的高低就足以反映房间内的温度。冷冻泵的变频调速系统,可以简单地根据回水温度进行如下控制:回水温度高,说明房间温度高,应该tigao冷冻泵的转速,加快冷冻水的循环速度;回水温度低,说明房间温度低,可降低冷冻泵的转速,减缓冷冻水的循环速度,以节约能源。简言之,对于冷冻水循环系统,控制依据是回水温度,即通过变频调速,实现水的恒温度控制。
(2)冷却水循环系统的控制
由于冷却塔的水温是随环境温度而变的其单侧水温度不能准确地反映冷冻机组内产生热量的多少。对于冷却泵,以进水和回水间的温差作为控制依据,宙实现进水和回水的恒温差控制是比较合理的。温差大,说明冷冻机组产生的热量大,应tigao冷却泵的转速,增大冷却水的循环速度;温差小,说明冷冻机组产生的热量小,可以降低冷却泵的转速,减缓冷却水的循环速度,以节约能源。
4.中央空调变频调速系统的控制方式
中央空调的水循环都由若干台水泵组成,其系统框图如图2。采用变频调速时,可以有两种方案:(1)一台变频器方案。(2)全变频方案。现以一台变频控制三台冷冻泵或三台冷却泵的各泵切换方法如下:
A、 先启动1号泵,进行恒温度(差)控制;
B、 当1号泵的工作频率上升到50HZ或上限切换频率(如48HZ)时,将工频启动2号泵;1号泵仍变频运行,进行恒温度(差)控制;
C、 当1号泵的工作频率上升到50HZ或上限切换频率(如48HZ)时,将工频启动3号泵;1号泵仍变频运行,进行恒温度(差)控制;
D、 当1号泵的工作频率下降至设定的下限切换频率时,则2号泵停机。
E、 当1号泵的工作频率下降至设定的下限切换频率时,将3号泵停机。这时,只有1号泵处于变频调速状态。
设置步骤分两种情况:一种是外置PID调节器,一种是内置PID调节器。与恒压供水系统相似。