高庄煤矿井下环网系统技术协议.docx
《高庄煤矿井下环网系统技术协议.docx》由会员分享,可在线阅读,更多相关《高庄煤矿井下环网系统技术协议.docx(31页珍藏版)》请在冰点文库上搜索。
高庄煤矿井下环网系统技术协议
枣庄矿业(集团)有限责任公司
高庄煤矿环网建设项目
技
术
协
议
甲方:
枣庄矿业(集团)有限责任公司高庄煤矿
乙方:
江苏三恒科技集团有限公司
2011年2月
项目名称:
高庄煤矿井下环网系统
甲方:
枣庄矿业(集团)有限责任公司高庄煤矿
乙方:
江苏三恒科技集团有限公司
根据枣庄矿业(集团)有限责任公司高庄煤矿发的招标文件要求,由江苏三恒科技集团有限公司负责枣庄矿业(集团)有限责任公司高庄煤矿全矿环网建设项目安装并负责后期所有售后服务,全面提升矿井安全保障水平。
现由乙方江苏三恒科技集团有限公司提供高庄煤矿建设系统,为保障双方利益,根据设备性能和甲方需求,现签订技术协议如下:
一、乙方负责为甲方安装高庄煤矿环网建设系统一套;
二、乙方提供的高庄煤矿环网建设系统具备如下功能;
1、信息的综合功能
矿井综合信息化网络平台将需接入的各子系统信息通过标准的数据交换方式和综合监控中心进行数据存取,并将各子系统的信息进行综合处理。
矿井综合信息化网络平台负责将实时、历史及综合分析后的信息提供给系统中的用户。
要求网络功能完全满足煤矿的需求,具有良好的可靠性,兼容性、扩容性。
2、WEB浏览功能
矿井综合信息化网络平台可将各子系统显示的各类实时数据、报表等信息供授权用户实时浏览(客户端)。
3、数据系统分级管理
设定不同权限,实现安全监测信息、设备运行信息及其他安全信息的分类显示。
4、实时报警故障记录
矿井综合信息化网络平台为用户提供各类监测系统的实时报警信息包括超限报警、开关报警、系统在线设备的故障记录。
5、完整的事件记录
对所有涉及系统配置操作,对子系统实施控制的操作及一些重要的操作,系统都进行完整的记录,为系统的事故追查及重演提供重要的信息。
6、扩展功能
矿井综合信息化网络平台采用统一标准的数据接口采集各监测系统的数据,保证采集数据的准确性。
接口数据具有实时性和可扩展性,可满足实时数据的要求。
当监测数据有增、减等变动时,应自动反映到系统中。
同时,可将各监测系统的数据进行专业级处理后,作为上一级信息网的信息源。
选用计算机和系统软件应留有备用足够的容量和接口,可以很方便地进行扩展,以满足将来全矿井的需要。
7、系统安全性
系统抗干扰能力强、容错性好,具有优良的安全验证体系,支持系统的安全性恢复,支持数据备份,保证系统安全可靠。
网页的访问必须通过口令,没有授权的用户不能查看网页。
通过对网络加设路由器及防火墙,安装网络版防病毒软件,具有网络冗余、备份数据机制,最大可能的实现网络及数据的安全性。
8、故障报警分析统计
系统自动统计出昨日、当日、当前的报警故障个数,并可点击查看相应详细信息,可以按子系统、类别、等级、日期段等条件查询和统计历史报警或故障信息。
9、综合查询
系统可以查询任何系统中设备的开停情况,如开时间、次数等,可查看累计量信息及统计图表,还可查看整个系统的网络故障信息可方便用户管理。
10、系统总图
《全矿井自动化系统总图》中可以快捷查看某设备的开停统计、故障统计,设备固有参数等信息的查询。
11、历史曲线
系统选择日期查看某测点历史数据的曲线,在曲线的值坐标上可以自定义刻度。
12、故障报警分析
当系统出现故障和报警的时候会自动弹出窗口或弹出报警条,根据用户自定义的等级严重性排序,并提供声光报警。
依据其影响程度进行分类。
类别包括:
影响安全、影响生产、普通报警或故障。
13、系统扩容
系统预留足够扩展空间,可对系统进行扩容。
三、综合自动化系统接入方式慨述
各子系统设备以通讯方式和矿井综合自动化监控网络相连,三恒建议通过控制器或上位机采用国际标准工业以太网通讯接口和调度中心交换机相连,这样能保证系统通讯的快速性;对能在下位控制器直接接入的子系统,一律采用控制器直接接入的方式,可以方便地实现子系统的监视和控制,并保证系统的可靠性和实时性;对于总线接入的子系统,控制器采用RS232\RS485的接口通讯,可通过串口转换设备将其转化成以太网的接口,接口转换装置采用处理时间短,技术先进合理,满足快速指挥调度要求的产品,画面监测显示和现场实际之间响应时间将不超过1秒;同时,三恒具备非标设备的接入通讯开发能力。
过程控制网络和操作执行层(设备层)网络间的集成主要是实现网络间信息交换和信息共享。
在煤矿行业使用中,目前主流硬件设备配置的PLC产品为西门子、ABB和AB等。
根据目前设备、技术的情况和未来技术发展的方向,信息的集成主要有三种方式:
1)和子系统控制器联接
对于采用PLC控制的子系统,管控服务器通过以太环网和PLC的以太网接口相连,而该PLC的OPCServer安装在管控服务器中和自动化平台中的管控服务器进行信息交互。
该联接方式须具备两个条件:
一是该PLC具有以太网通讯模块或可插入以太通讯模块,其次是子系统的控制逻辑在PLC中,而不是在其上位机中,并且配套厂家提供PLC的OPCServer软件。
2)和子系统主机联接
对于煤矿专业性较强的子系统(如安全监控、人员监测及瓦斯抽放系统等)管控服务器通过以太环网及OPC/DDE/FTP接口协议和该类型的子系统主机相联。
传输该联接方式须具备两个条件:
一是该上位机具有以太网通讯模块。
其次配套厂家提供的统一格式的0PC/DDE等方式通讯的设备类型配置表。
3)和基于PC的嵌入式子系统联接
基于PC的嵌入式子系统以其系统结构简单、价格便宜,但功能强大而受到工控业内人士青睐,该类型的系统近年来在煤矿也得到迅速的发展。
因其核心就是安装嵌入系统的计算机,管控服务器通过以太环网及OPC/DDE/FTP接口协议和该类型的嵌入PC相联。
传输该联接方式须具备两个条件:
一是该嵌入式控制器具有以太网通讯接口,或控制器采用RS232\RS485的接口通讯,可通过串口转换设备将其转化成以太网的接口。
其次配套厂家提供的统一格式(集成商提供格式)的0PC/DDE/MODBUS等方式通讯的设备类型配置表。
按本项目规定,系统集成商负责各子系统设备的接口设计,届时需同业主有关技术部门、各子系统设备供应商,协商解决系统网络通信所有技术问题,并将有关接口技术内容落实到各合同技术附件中,确保网络连接技术规格统一、维护方便、安全稳定、满足实时控制的响应指标要求。
通信接口说明
●单机自动化子系统和电力调度系统推荐推荐采用国际标准工业以太网通讯协议接入矿井自动化控制系统,使用国际标准IEC60870-5-104协议,这样便于业主长期使用过程中的维护;
●鉴于目前控制环网接入层交换机端口数量所限,在实际工程设计中可能需要部分PLC会聚层交换机(或智能型接口PLC)。
各子系统设备配置的PLC产品若为西门子、ROCKWELL、GE及施耐德等世界著名品牌PLC/DCS控制器,均可方便接入自动化控制系统集成系统。
也可通过本地监控系统采用OPC方式将信息接入自动化控制系统,在本地监控系统配置OPC服务端软件。
●各子系统供应商应提供相应各子系统的硬件网络通信模块卡,以方便通信接入。
四、高庄煤矿环网系统拓扑图
五、相关设备技术参数
1、服务器IBMSystemx3650M3
1.E56202.4GHz4c12M缓存/1*4GBRDIMM开放式托架可放8块3.5英寸硬盘/双千兆网卡/675W热插拔电源/可选光驱/M1015RAID01
2.300GB10K3GbpsSAS2.5-inchHot-SwapHDD
3.IBMUltraSlimEnhancedSATADVD-ROMIBM超薄内置光驱DVD-ROM
4.IBM19液晶显示器宽屏
2、磁盘阵列柜DS3400
1.DS3400磁盘柜DualController
2.300GB15KHotSwapSAS
3.Emulex4GBFCSingle-PortPCI-EHBAforIBMSystemx
4.5mFiberOpticCableLC-LC
5.4Gb短波模块
3、工业以太环网交换机
Ø支持导轨方式安装;
Ø支持多种冗余,包括HIPER-Ring(超级冗余环),RSTP(快速生成树),冗余环-环之间耦合,DualHoming,双24VDC电源冗余,冗余状态信号输出,链路聚合;
Ø支持HIPER-Ring(超级冗余环)技术可以组建100Mbps/1000Mbps快速自愈环网,环网可以在500毫秒内自动恢复正常工作;
Ø支持MICE即模块化工业通信设备,采用模块化结构,便于扩展、端口配置灵活;
Ø支持基于端口的VLAN设置、IGMPSnooping组播管理、IEEE802.3x流控制和SNTP协议(简单网络时间协议);
Ø网络管理功能包括串口网管、基于WEB的网管、SNMPV1/V2/V3和HiVision网络管理,采用HiVision或者HiOPC,可以将网络设备的状态信息以OPC方式传递到HMI/SCADA软件中,从而将网络监控和其他智能设备的监控集成一体。
Ø独立接点交换机后备电源必须满足4小时以上的连续不间断供电。
4、煤矿防爆兼本安环网交换机(KJJ63)
Ø具有煤安认证
Ø单台交换机具有本安RS485接口不少于四个,以太网电接口不少于四个,光接口不少于2组,并具备扩展功能。
Ø环网交换机电接口需安全隔离。
Ø后备电源满足4小时以上连续不间断供电
5、网络功能
Ø具备网络自诊断功能(包含线路断线位置、端口位置等)
Ø发现异常时,主动发送电子邮件报警
Ø网络通讯建立时,主动发送电子邮件通知
Ø可以设置镜像端口,方便对数据进行实时监控
Ø对所连接的设备分配IP地址
Ø对重要设备可以分配高优先权
Ø隔离特定网络端口,防止XX的入侵
Ø支持虚拟局域网VLAN功能
Ø支持冗余双环网主备STANDBY功能,且网络基于光端机/交换机的管理为基础,无需网关软件
Ø支持基于普通网络浏览器的访问及设置功能
Ø电气端口具备断线诊断功能
Ø串口设备(RS-232/485)联网功能
Ø发送PING命令,验证网络的完整性
/
6、联想网闸SIS3000-FE(HA)-TD技术参数
功能点
功能详细要求
产品架构
*系统架构
2U标准机架式设备,单电源(可升级至冗余电源);
采用“2+1”系统架构,即由两个主机系统和一个隔离交换矩阵组成,主机系统采用VSP通用安全平台,隔离交换矩阵基于LeadASIC专用芯片实现主机系统间采用自有协议摆渡数据,确保信任网络和非信任网络之间任何连接的断开,彻底阻断TCP/IP协议及其他网络协议
*隔离交换矩阵
自主研发的硬件,无操作系统,外界无法编程控制,而不是采用低安全性的通用可编程硬件,如网线、SCSI、USB等
接口
*接口配置
双冗余电源,不少于6个10/100/1000M自适应电口,内外网主机系统分别具有独立的网络口、管理口、HA口(热备口)、扩展口;
内外网主机系统分别具有1个RJ45串口;
性能
*系统吞吐量
不小于150Mbps
*并发连接数
不小于2万
延时
小于5ms
交换开关切换
小于1ns
功能模块
文件交换
支持NFS、SMBFS、SAMBA等文件系统;文件服务器可以是Windows、Linux/Unix等系统平台(无客户端);支持病毒检测;
文件传输方向可控,实现单向或双向传输;
支持断点续传功能;支持按任务进行分策略过滤;
支持一源多目的及多源一目的文件交换;
文件交换可以采用客户端方式和无客户端方式的部署;支持客户端和网闸之间双向认证,认证方式可以是数字证书,证书遵循X509格式标准
文件传输支持身份认证及加密传输;可以灵活设置允许或禁止
传输模式支持改名传输、增量传输、传输后删除等三种方式。
改名传输方式,能实现对源文件改名后进行传输,并可设置“源名”和“完成后”标识的;增量传输方式,实现只传输修改、增加了的源文件;传输后删除方式,实现传输完成后删除源文件,保留目标文件不变化。
支持文件格式特征过滤,并且不依赖于文件扩展名;
发送文件可进行优先级控制策略,任务发送端提供三种(高、中、低)发送优先级策略;默认情况以文件目录(英文)为排列顺序;
重发策略,在文件发送端设置发送次数
任务间隔策略,任务之间完成和下一次启动的时间间隔。
重名策略,接收端客户端支持对重名文件的控制策略,提供“覆盖”、“丢弃”、“重命名”等重名策略。
访问控制策略。
支持用户访问控制,可对发送用户和接收用户的权限进行控制;支持对发送客户端地址、网闸本机地址和端口的访问过滤控制;支持对网闸运行时间的控制策略;
支持用户和任务号绑定策略;任务号一一对应控制。
强化文件安全传输。
内容过滤。
支持文件名、二进制文件的控制;支持通配符*和?
;支持文件黑白名单控制;
支持对子目录下多级目录的文件交换;支持接收和发送任务设置;
具备详细的日志记录功能,方便日志查询、统计等操作
数据库同步
支持Oracle、SQLServer、Sybase、Db2等主流数据库;支持病毒检测;数据库同步客户端支持Windows、Linux等多种平台;
支持Oracle数据库RAC集群同步;
支持任务单独启停管理,不影响数据库同步的其他任务运行;
支持同种数据间(同构)和不同种数据库间(异构)的同步;同构方式同步,适合相同结构的数据库的表名、字段名、字段类型完全相同;异构方式同步,支持oracle、SqlServer、DB2、Sybase间的异构同步,支持大字段之间的同步,同步过程中,源表字段个数必须小于等于目的表字段个数;
支持数据库间的单向或双向同步(不改变用户的库结构)。
支持灵活的数据库冲突处理策略,当关键字数据发生冲突时可选择:
覆盖/丢弃;(提供功能介面截图)
支持字段值按条件进行数据同步,支持字段类型是:
数值、字符、日期(固定格式);(提供功能介面截图)
支持一源表对多目的表同步,支持多源表对一目的表的同步;
支持数据库同步事件邮件报警功能;(提供功能介面截图)
支持数据库同步客户端的双机热备技术(不仅仅是网闸的双机热备),为用户提供更高的冗余技术支持;(提供功能介面截图)
支持数据容错处理,当数据同步失败时,用户可以查询、复位、删除未能正常传输的数据。
支持有外键的表的同步,在数据库同步过程中支持有外键的表同步;
支持数据库表及级字段的同步;支持同步库中初始数据功能;
支持单向自增变量的同步,源数据表设为自增,目的数据表设为非自增
支持单主键、多主键及无主键(无重复)表结构,主键字段的类型可为字符串、整型和日期型(同构)等类型;
支持客户端和网闸间的第三方数字证书方式的身份认证,确保只有被授权的合法用户才能运行;
支持客户端和网闸间的SSL加密传输,确保网络数据传输的安全;
支持时段控制策略;
支持客户端和网闸之间连接的相关认证关联,即IP/MAC捆绑;
支持数据库同步数据统计、查询功能;(提供功能介面截图)
提供数据库同步实时日志记录,满足日志审计、查询;
数据库传输
实现对多种(如MySql、SqlServer、Oracle、DB2、Sybase)主流数据库系统的安全访问;支持病毒检测功能;
提供数据库访问用户的过滤和控制;
支持SQLServer和Oracle数据库SQL语句过滤功能。
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;
提供任务单独启停控制;
支持对访问源地址、目的地址和、本机地址和端口的自定义访问过滤
支持对访问源地址、目的地址和、本机地址和端口的自定义访问过滤;
数据库访问支持普通访问和透明访问模式;普通模式下,提供对数据库真实地址和服务端口的控制,透明模式下支持Oracle数据通道IP地址的设置;
提供服务器地址和访问用户捆绑控制;提供网闸内外主机的数据库访问启停服务控制
支持访问时段控制:
时段方式可以是一次性执行、周循环两种方式;
提供服务器地址和访问用户捆绑控制;提供网闸内外主机的数据库访问启停服务控制;
提供数据库访问日志;
FTP访问
实现安全的FTP访问,支持对访问用户、访问协议命令、上传下载文件类型等访问过滤控制;支持病毒检测功能;
支持访问用户的黑白名单过滤;
支持FTP协议命令的黑白名单控制;
支持上传文件类型的黑白名单控制;
支持文件大小控制,超过指定文件上限将被阻断;
支持FTPBanner参数替换;
支持不同任务采用不同的协议过滤策略;
支持主动、被动两种传输模式;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;
支持任务的单独启停管理,不影响其他任务的正常运行;
支持动态建立数据通道,并可对访问端口号自由定义;可提供对本机FTP虚拟服务地址和端口的自由定义设置;
支持透明方式、普通方式两种部署模式;
支持访问时段策略;时间可以设置为一次性或者周循环方式
可对访问源地址、目的地址和端口进行访问控制;
提供对网闸内、外主机的FTP服务的启停控制
邮件传输
支持基于SMTP协议的邮件发送和POP3协议的邮件接收;
具有病毒检测功能;
支持透明访问方式和普通访问方式;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;
支持访问源地址、目的地址、目的端口的访问控制;
提供任务单独启停控制;
邮件内容控制支持以下功能:
⏹提供邮件附件的访问控制:
支持附件大小上限控制,支持附件扩展名的白名单控制;
⏹提供邮件地址的黑白名单访问控制:
支持邮件发件人、收件人等地址的过滤;
⏹具有邮件内容的黑名单关键字访问控制,包括邮件主题关键字、内容关键字;
支持以上邮件内容过滤参数任意组合;
提供对访问源地址、目的地址和端口、本机地址和端口的自定义访问过滤控制
邮件发送和接收任务可灵活设置,任务号的对应加强了邮件的发送和接收的安全
邮件收发支持时段访问控制;时间段可以是一次性执行、周循环两种方式
提供邮件访问日志,方便日志审计和管理
安全浏览
支持透明访问、普通访问两种方式;
支持基于会话级的内容过滤策略,允许不同会话采用不同的内容访问控制策略;
支持访问源地址、目的地址、目的端口的访问控制;
提供任务单独启停控制;
提供多种内容过滤方法,包括:
⏹支持HTTP五种请求类型(GET/POST/PUT/HEAD/CONNECT)的黑白名单控制;
⏹具有URL地址的黑白名单过滤;
⏹支持MIME类型的黑白名单过滤;
⏹支持文件类型(文件扩展名)的黑白名单过滤;
⏹支持病毒扫描功能;
⏹提供文件上限控制;
⏹支持对HTTP协议头部长度的上限控制;
支持以上过滤选项的任意组合;
支持HTTPS访问;
支持上网时段控制策略,时间策略可以是一次性或者周循环模式;
提供安全浏览日志
定制访问
实现特定TCP、UDP协议的数据隔离交换,可合作定制开发针对特定协议的安全检测,实现如黑白名单控制、关键字过滤等
支持TCP/UDP的透明访问和普通访问;
支持源地址、目的地址、目的断开的访问控制。
支持时段控制策略,时间模式可以是一次性执行、周循环两种方式;
提供访问任务的单独启停控制;
消息传输
网闸通用接口;提供外部API函数及说明;消息模块中内置了身份认证、访问用户控制、通信加密、数据传输模式、时间控制策略、内容过滤控制、访问控制、高可靠性等使用;身份认证支持客户端和网闸认证,认证方式可以是数字证书、X509格式的数字证书、本地用户口令认证;通信加密可以实现客户端和网闸之间的SSL加密,实现密文传输;传输模式可以是以文件、字符串、文件和字符串组合等三种传输方式;
安全通道
支持多种安全访问方式,比如普通访问模式、透明访问模式、同一个IP多个端口等访问模式;
支持HTTP/HTTPS/FTP/SMTP/POP3等使用协议;
支持H323/H323_GK等多媒体协议;
支持TNS等Oracle数据库访问;
支持SNMP/DNS等协议;
支持多种访问控制,比如IP地址和端口访问控制,连续端口范围控制等;
支持时间策略访问控制。
统一身份认证
认证方式:
提供专用客户端,和网闸进行认证;
支持IE浏览器,和网闸进行认证;
认证服务器:
支持本地用户名口令认证;
支持第三方Radius认证;
提供在线用户查看、管理界面截图;
攻击防御
病毒检测
支持文件扫描和流式病毒扫描两种检测技术,采用自有知识产权的病毒防护引擎(包括病毒检测引擎和病毒分析引擎);采用国内知名病毒厂商特征库。
(提供证明文件,提供功能介面截图)
*入侵检测功能
具有实时入侵检测机制,实时阻断入侵
*抗DDoS攻击
具有抗DoS、DDoS攻击功能。
关联安全使用
设备管理联动
遵循CSC关联安全标准,通过Leadsec安全管理系统实现集中安全管理
管理方式
*灵活多样的管理方式
支持HTTPS的Web方式管理,实现了远程管理信息加密传输
支持命令行方式管理,可通过命令行完成全部管理配置工作;可以通过命令方式进行资源分配、深层次管理
支持远程SSH管理,远程管理的信息以密文形式传输
*高安全的管理形式
内/外网主机系统分别具有独立管理接口,而不是采用低安全的管理方式,如通过网络接口管理、通过内网一个管理接口完成全部管理等
*管理员分级管理
管理员权限支持超级管理、配置管理、策略管理、审计管理权限,不同的管理员可以设置不同的帐号
*物理接口管理
可指定物理接口的MAC地址、IP地址、工作模式、速度、MTU(最大传输单位)、工作模式等,可设置是否允许PING、TRACEROUTE、启用等,并可实时显示系统接口的总计和当前设备总发送和总接收的字节数,并可以查看设备收发数据的统计图示
适
应
性
*多网隔离能力
实现外网主机系统直接通过独立的网络接口连接2个相同安全级别的网络,内网主机系统直接通过独立的网络接口连接2个相同安全级别的网络
接入方式
支持相同网络地址的网络间部署,网络部署适应性强
时间控制
支持自由定制时间策略,并在各安全策略中调用
设备时间管理
设备支持强制和管理主机或自动和指定时间服务器的时间实现同步
防暴力破坏限制
支持系统防爆处理,对管理员登陆有密码次数限制,密码输入错误,超过限定次数,自动锁定设备,阻止非法管理员再次登录。
根据限定期限,可自动解除锁定。
可
靠
性
专用冗余协议
支持MRP多重冗余协议,保障设备的高可靠性
*双机热备
通过独立的热备端口实现双机热备;
*负载均衡
支持2~32台设备实现负载均衡,无需第三方软硬件支持;(访问类模块)
*端口冗余
支持设备自身物理端口冗余功能;
*链路聚合
物理端口支持802.3ad标准,实现链路聚合功能;
无故障运行时间
不少于5万小时;
日志审计
日志管理
日志实现按功能模块分组管理;
日志审计
实现对日志的浏览、查询、导出、删除等操作
日志扩展使用
日志支持远程存储,能为第三方提供日志格式,实现日志数据分析;支持SysLog标准
7、HPLaserJet5200(Q7543A)打印机
打印机类型黑白激光打印机
适用类型商用打印机
缓存48MB
最大可扩展内存512MB
硒鼓型号Q7516A
硒鼓寿命12000张
字体103种内置可扩展PCL字体,93种内置PostScript字体
接口1个IEEE-1284并行端口,1个USB