齐卫雪,石光辉,李建刚,樊 敏
(太原市热力集团有限责任公司,山西 太原 030000)
随着太原市近几年的发展,城区面积不断增加,太原热力供热范围逐渐扩大,热用户和热力站数量逐年增多。当前,太原热力有生产分公司11家,管理供热面积1.62亿m2,涉及热力站2 000余座。供热面积的逐步扩大,现有供热系统自动化程度和“信息孤岛”情况已不能够有效满足供热需求,为了方便生产运行的管理与调度,太原热力从2018年着手进行智慧热网系统建设,构建一个综合的、全面的、统一的管理、调度智慧供热平台,全面提升生产经营能力,实现精细化调度。然而在建设过程中,面向用户精细化和精准化管理需求的提升,对于智慧热网的功能要求逐渐提高,为更好的服务用户,平台需要采用1∶2 000的矢量化地形图,在平台中实现楼栋和用户的精确管理。由于大量用户数据和地图信息存在敏感性,并且国家对信息安全越来越重视,现有的组网结构和分公司分散式的生产系统不能满足信息安全保护的要求。因此,智慧热网的建设,不仅需要围绕用户供热需求进一步提升供热功能软硬件平台能力,同步构建等保三级的信息安全能力,保障公司信息安全,同时需要引入数据中台整合孤立的生产数据和经营数据,发挥大数据作用,促进系统从“人治”到“数治”的转型发展[1]。
本文以太原热力建设智慧热网遇到的问题为例,分析目前各个生产系统和组网结构的现状和存在的问题,提出在数据机房建成后生产系统云化迁移和网络安全的部署建议,在智慧热网的建设、维护和运营中进行了实践,相关经验供同行智慧热网建设平台参考。
集团公司共有11家分公司直接进行供热调度运行工作,每个分公司基本都设有SCADA系统、全网平衡系统、视频监控系统和Web发布系统,负责分公司所属热力站的生产运行与监控工作。太古高温网系统实现了太古高温网系统六级泵的联调联控功能;EZ系统,负责各分公司运行参数的汇聚采集、监控和历史数据查询;“三供一业”控制系统,负责移交改造小区生产数据的采集、监控和二次网平衡调节等功能;另外,集团公司还有热计量系统,负责对部分用户用热量进行数据采集和收费管理;室温采集系统负责对用户的室温进行采集,反馈供热效果[2]。在自控系统建设时,热力站与分公司之间只进行生产数据的传输,没有数据或者功能需要使用互联网,因此采用数字电路的方式即可实现,以全网平衡为例,系统拓扑图如图1所示。
智慧热网平台开始实施后,采集供热运行数据,实现生产调度管理、能源管理、设施管理和数据管理等功能;目前接入智慧热网系统图如图2所示。
各个行业的生产运行都与通讯系统密不可分,供热行业同样需要通讯系统的支持。目前各分公司自主选择通讯运营商,实现各个系统与热力站点或关口的通讯。据统计,租用三家运营商的数据专线总量为2 323条,租用带宽从2 Mbp/s~300 Mbp/s不等,根据使用情况,按月或者年计费,不同运营商宽带价格不同。按运营商统计,使用中国移动的宽带数量最多;按宽带大小统计,4 M和300 M的宽带数量最多,都属于热力站与分公司的通讯,其中4 M宽带为专线,300 M宽带属于家庭式宽带应用到热力站中。按业务区分,99%的数据专线都为生产系统使用。具体分布如表1所示。
表1 热力集团数据专线用途分布情况 条
在建设智慧热网平台初期,没有先例可以参考,整个软、硬件的架构设计没有统筹规划,没有考虑硬件设施以及网络安全的配套问题。随着数据量的增加以及软件功能的提高,各种问题逐渐显现,很大程度上制约了智慧热网软件的发展,具体问题分析如下:
1)分公司各个生产系统独立建设,在建设智慧热网平台时,只是将数据统一接入平台,没有进行数据的治理和融合工作,信息孤岛仍然存在,部署新业务实施难度大,不能充分发挥数据的作用。
2)分公司的各个生产系统已经存在多年,个别分公司的硬件设备已经超过服役年限,稳定性不足,机房条件差没有专业维护,并且分散式机房硬件资源使用率低且不能共享,大多数业务缺乏高可用性保障。
3)国家对信息安全的重视,目前公司的信息与网络安全不能达到国家信息安全三级等保要求,如果改造分散式机房来满足等保Ⅲ级要求代价过高且难以实施。
4)IP地址设置不规范,同一IP地址可能对应多个热力站。
5)专线带宽大小数量设置不合理。租用的部分带宽实际利用率不高,存在带宽过度租用的现象;各系统服务器不集中,互联网宽带数量多,每项业务都有一条甚至两条宽带。
6)热力站到分公司的通讯,由于分公司与运营商只能签订单一合同,导致部分换热站没有通信导致数据缺失。
7)各运营商采用的技术、价格均不一致,不利于公司专线的统一维护和管理。
通过对目前集团公司生产业务系统和网络现状的分析,结合目前调度中心的建设,为满足太原热力集团智慧供热业务的发展,推进公司信息系统集约建设,对生产系统进行迁移上云,构建集团智慧热网云平台,整合集团公司生产网络,并进行网络安全设置,达到三级等保的要求。
所有分公司的生产类系统迁移至云计算平台,实现集约化的云化部署,提升基础资源的利用效率、降低运营成本;由于EZ系统和分公司SCADA系统功能相似,并且SCADA系统已投入时间较长,系统迁移存在大量不确定性,故本期只迁移EZ平台至数据中心云平台;太古高温网系统承担着太原市1/3的供热面积,采用西门子分布式控制系统,没有系统云化的先例,存在云化迁移的不确定性和风险,重新购买支持云化的新系统费用偏高,综合考虑技术和经济性,为了保证高温网系统的安全稳定运行,现有太古高温网系统维持原方式运行,不进行云化。
在确定迁移的生产系统后,太原热力对所有需要迁移上云的系统进行详细调研,调研包括满足系统运行和处理的CPU计算资源、内存容量和数据存储的容量,以及支持程序运行的操作系统、数据库、中间件等相关支撑性软件,根据业务的差异化需求,将云计算资源细分为多个不同能力的特性资源池,通过结合业务应用场景分析虚拟化计算和存储资源需求,确定云资源池所需的CPU、内存和存储容量,并预留未来三年每年30%资源需求增长率作为硬件基础资源扩展,根据业务发展分期建设。
考虑到本期系统关系到太原全市的供热保障,受到信息安全侵害会对社会秩序和公共利益造成严重损害,根据国家信息安全等级保护要求,本期将迁移至云平台的自控系统纳入信息安全三级等保管理,提供安全的计算环境、安全通信网络、安全的管理中心,有效保障系统和业务的安全性。分公司不再设置生产类服务器,仅通过安全管控下远程终端进行访问,最大程度地提高生产管理集约化和安全化。热力站通过专线接入安全网络,经过等保安全系统的检测和防御后接入自控系统,后期综合评估成本、效益和安全,考虑热力站的边界安全建设。
由于多数分公司硬件系统使用时间超过服役年限,并且考虑软件系统迁移上云的不确定性,部分硬件系统不进行搬迁,作为备份手段保留在分公司;部分系统综合考虑硬件性能,部分硬件搬迁至数据中心集中化管理,并纳入安全系统管理。本期考虑太古分公司不进行云化迁移的太古高温网系统,设备使用年限较短、硬件性能较好,将太古分公司部分业务系统的组网设备(服务器、磁阵等)搬迁至数据中心,搬迁的系统纳入网络信息安全系统的管理,保障业务的安全性。
目前各分公司大约有2 026个热力站,分公司系统上云后,结合数据中台与数据中心网络整合,实现大数据分析与应用,需将所有热力站信息统一汇聚,因此在完成云迁移后,要对各热力站的IP地址重新进行规划和调整,调整的基本原则如下:
1)对目前所有热力站的IP地址进行梳理,保证IP地址的唯一性,不冲突的网址不进行更改,尽量减少更改量。
2)对于需要更改IP地址的热力站,参考其同一支、干线的热力站地址进行配置,尽量保持连续性。
3)对于后期新建热力站IP地址的分配,分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。
4)在新建热力站的IP地址规划时,尽量使每个地址具有实际含义,看到一个地址就可以大致判断出该地址所属的设备。
针对目前太原热力集团专线现状和问题,分别从热力专线和分公司专线进行规划整合。
3.4.1 热力站专线汇聚整合
热力站至分公司的数据传输采用数字电路专线的形式,由分公司自主选择运营商,存在三家运营商专线混用,在生产系统云化迁移后,所有热力站生产数据的汇聚点由分公司调整为数据中心,并且将当前数据、视频分离的专线整合成一条综合专线承载该热力站的所有业务(含自控、视频)。经过现网流量统计分析,热力站至分公司的流量年内峰值流量为0.58 Mbp/s,平均流量0.036 Mb/s。专线整改优化时,热力站的专线带宽统一开通4 M带宽,以满足热力站自控数据实时上传及视频监控使用。
3.4.2 分公司数据专线优化整合
智慧热网、ez以及太古一级网的全网平衡等主要系统部署在太古分公司,其他分公司需要将自控和视频数据上传至太古汇聚,分公司至太古调度中心的通信网络采用运营商的数字电路专线,网络架构采用星型架构组网模式,网络架构示意图如图3所示。
数据中心建立后,位于太古分公司的生产系统将搬至数据中心,将10个分公司至太古现有的数字电路专线接口调整至数据中心,太古分公司则通过光纤直驱与数据中心互联互通,无需租用运营商专线带宽。分公司至太古专线同样是由视频专线和自控数据专线两条,在整合时进行合并,由1条专线综合承载该分公司的所有业务(含自控、视频等),现有带宽暂时保持不变。
3.4.3 智慧热网、三供一业、计量、室温等专线整改
智慧热网、三供一业、计量、室温等专线均采用运营商的互联网专线形式进行组网,在数据中心投运后,数据中心统一开通2条1 000 M互联网专线作为整个公司的唯一互联网访问出口。整合后网络拓扑示意图见图4。
数据中心建成后,所有的生产数据在数据中心进行汇聚,因此数据中心成为整个公司的安全防护和管理中心,系统的整体安全尤其重要。根据国家信息安全等级保护要求,建设满足三级等级保护信息网络系统,包括新建DDos流量清洗系统、防火墙、IPS入侵防御、APT高级威胁检测、漏洞扫描、防病毒系统、数据库审计系统、安全管理平台、日志系统等安全防护系统,组成综合安全防护区,为整体智慧热网平台提供网络信息安全保障。未进行云化迁移的太古高温网系统以及其他非生产系统均根据安全保护需求,可同步纳入此安全系统,统一防御管理[3]。网络系统如图5所示。
在生产系统云化后,系统和数据逐步汇聚到云平台中心[4],系统依然是按照垂直化、个性化的业务逻辑部署,数据重复且不一致,烟囱式系统间的集成和协作成本高。将统一规划数据中台,对全网的数据梳理、整合、规范和统一。将数据进行有效的统一收集、处理、存储、计算、分析、共享和可视化呈现,将企业全域、海量、多源、异构的数据整合资产化,形成全网统一价值化的数据资产,优化整体的系统架构,实现数据和应用的分层解耦,为业务前台提供数据资源和能力的支撑,彻底解决信息孤岛、多源数据等问题,为实现精确供热、按需供热的精细化调节提供数据基础,实现数据驱动的精细化运营[5]。
1)打通生产系统的数据集合。整合全网现有生产系统的数据,实现生产应用主数据的一致性、可溯性、数据的关联性,上层应用的数据调用、操作将从统一的数据层进行数据的存储、读取和操作,相关业务主数据保持全网唯一性。
2)数据中台具备架构和应用的灵活性,能够根据热力公司业务应用需求和数据需求,构建灵活新建的数据模型和数据应用。
3)支撑数据服务,即数据管理平台上提供数据或数据分析结果的服务,能够将数据中台的统一数据提供企业应用(如EZ平台、全网平衡系统、室温控制系统、太古高温网系统、智慧热网等)访问和分析[6]。
本文以太原热力为例,介绍了太原热力目前生产系统和网络的情况与问题,基于目前存在的问题,在数据中心建成后如何进行现有生产系统的云化迁移和网络整合,并且解决数据分散不统一的问题。基于太原热力近几年建设智慧热网的历程,总结经验如下:
1)在智慧热网建设之前,做好平台整体顶层规划,梳理业务系统现状,确定需要云化的系统,根据业务需求和特点,确定智慧热网云资源池资源需求,为智慧热网平台提供坚实的硬件基础。
2)针对公司组网,以业务场景区分,综合考虑带宽需求、网络安全、组网成本、网络运维管理等因素,整合优化网络结构和IP地址规划。
3)优化公司专线,基于热力站、分公司、互联网专线、三供一业相关业务系统专线,以业务特点和流量进行细化分析,建设结构清晰、带宽合理、网络安全的专线。
4)根据国家信息安全等级保护要求,构建满足等保三级的网络信息安全中心,为智慧热网提供安全可靠的网络和信息安全,保护业务和数据的安全。
5)面向公司数据孤岛问题,提出数据中台建设方案,对全网的数据梳理、整合、规范和统一,支撑智慧热网统一数据资产管理和分析,实现数据驱动的精细化运营。