6 硬 件
6.1 一般规定
6.1.1 硬件设备应选用先进、成熟、实用、可靠的产品,并应具有可维护性和可扩充性。 6.1.2应根据功能和软件的需求合理配备硬件设备,并宜选用具有节能环保性能的产品。 6.1.3 硬件设备选择设计时,应采用先进、可靠的计算机技术优化服务器、存储等设备配置,并进行必要的整合。
6.2 设 备
6.2.1 网络连接与网络交换设备应符合下列要求:
1 应根据总体规划中的网络拓扑结构及功能和性能需求,选配核心交换机、二三级交换机、路由器、防火墙等网络连接设备,以及相关的通信线缆、机柜、配线装置等。 2各级交换机应支持网络管理软件实现网络管理,支持网络系统的三层交换和VLAN划分。
3核心交换机宜双机冗余配备。根据需求配置足够的千兆和百兆端口与模块,用于连接各个建筑与服务器、存储备份设备等。
4二级交换设备宜为单机配置,配备数量应根据地理位置分布、网段及VLAN划分等因素确定。在不同地点、网段和VLAN中二级交换机的端口数量应留有适当冗余。
5 根据需求应配置足够的光纤模块用于核心交换机与二级交换机的链接,光纤模块的配备应根据二级交换机与核心交换机的不同距离选配多模光纤模块和单模光纤模块。 6.2.2 网络互联与网络安全防护设备应符合下列要求: 1 应根据总体规划和不同安全需求,分别配置相关的网锺全防护设备。
2生产控制大区与管理信息大区之间必须设置经国家指部门检测认证的电力专用横向单向安全隔离装置。
3生产控制大区内部的安全区之间应采用具有访问控制能的设备、防火墙或者相当功能的设施,实现逻辑隔离。
4管理信息大区与公用信息网络连接处应配置硬件防火增同时宜配置一台路由器,防火墙应支持VPN相关协议、加密算和身份认证。
6.2.3 网络管理服务器应符合下列要求:
1 火力发电厂信息系统应根据网络总体架构配置一管理服务器。
2 网络管理服务器宜具备域控制、文件存储管理、防病毒管理和其他常规功能。 6.2.4关系数据库服务器应符合下列要求:
1 当上级机构对关系数据库服务器没有集中统一规划要求时,应配置数据库服务器。
2数据库服务器可采用小型机服务器冗余配备、CPU常规负荷≤40%,也可根据需求组成双机集群的中心数据库服务器系统,还可采用小型机单机形式配备,最低配置采用高端双微j器配备。
3关系数据库服务器的硬件系统和操作系统应选择成熟度、安全的产品'关系数据库服务器的操作系统应满足应用软件系绕的开发和运行要求,具有良好的可开发性,并支持与其他系乡据传输。
6.2.5实时数据库服务器应符合下列要求:
1应能够接受、处理、保存所需的生产过程数据和计算分析后的结果数据 2应能保证服务器、操作系统和实时数据库管理系统间的相互支持,方便运行维护。 3实时数据库服务器宜采用微机服务器,可按照双机冗余方式配置。当按照单机配
1
置时,应保证服务器具有高可靠性。
4存储容量应不低于3年的实时数据在线存储要求,并具有可扩充性。
5 应支持具有适配控制系统的通讯接口,支持硬件冗余、硬件在线诊断和热插拔技术。
6 实时数据库服务器和应用功能站的CPU平均负荷率≤40%。
6.2.6应用服务器应符合下列要求:
1 应根据信息系统的总体规划在火力发电厂的建设阶段和运行阶段分别合理配置。 2 应用服务器硬件设备配置数量应根据系统功能的需要确定,可将两个或多个应用功能系统布置在同一个服务器上。
6.2.7应对信息系统的数据存储系统统一规划,以确定适合整个信息系统的数据存储方式,存储设备应符合下列要求:
1 存储系统的设备构成应根据不同存储方式确定,宜由相应的软件、光纤交换机、磁盘阵列、适配卡(千兆网卡)以及相应的线缆构成。
2应配置磁盘冗余阵列作为数据库服务器的直接连接存储设备,当需要建立全厂统一的数据存储系统时,宜采用存储区域网络方式,或采用网络附加存储方式。 3可根据系统规划和功能的需要选择其他的存储方式,
6.2.8信息系统应配置数据备份系统,并应符合下列要求: 1 应视信息系统的功能和规模配置备份系统。
2 备份系统也可以与存储系统一起配置,建立统一的网络存储备份系统。 6.2.9视频监视系统的硬件设备应符合《工业电视系统工程设计规范》GB50115规定。 6.2. 10 GB 50396统的硬件设备应符合《出人口控制系统工程设计规范》GB 50396的规定。
7 接 口
7.1 一般规定
7.1.1 信息系统设计应考虑以下五种类型的接口: 1 与电网相关系统接口
2 与上级机构信息系统接口 3 与其他外部系统接口 4 与电厂控制系统接口 5 信息系统内部接口
7.1.2 信息系统的接口设置在满足不同系统间数据交换需求的同时,应采取安全措施,保证所连接系统之间的安全,并保证不降低系统连接任何一方的安全防护等级。
7.2 与电网相关系统接口
7.2.1 应根据火力发电厂所在区域电网相关规定和电厂信息系统规划设计,决定信息系统与电力综合数据网络及厂内远动设备的通信接口的设置。 7.2.2 当运行需要、电力调度中心许可时,应在信息系统与电厂远动设备之间设置接口,接口软件应符合相关标准的规定。
7.2.3 当具备竞价上网条件时,应按照所在区域的相关技术规定配置相关软、硬件,设置电力交易网络平台的电厂端工作站和远程通信接口。
7.3 与上级机构信息系统接口
7.3.1 应按照上级机构的要求设置与上级机构信息系统接口,信息系统与上级机构数据
2
传送宜采用专用通道,其传输速率不宜低 于2Mbps。
7.3.2 宜按照上级机构要求设置与上级机构的视频会议系统接口,实现火力发电厂与上级机构间点对点或与其他电厂多点的远程视频会议功能,信息传送通道宜与本标准7.3.1条中的专用主道统一规划设计。
7.3.3 可根据电厂上级机构要求设置与上级机构视频监视系统接口,实现建设阶段现场视频信号的远程传输。
7.3.4 当火力发电厂与上级机构设置IP网络通信时,视频、语音和数据宜采用共用通道。
7.3.5 当火力发电厂与上级机构采用电力综合数据网络的通信接口时,宜统一设置。
7.3.6应统一考虑设置火力发电厂与上级机构的视频监视和视频会议系统接口。
7.4 与其他外部系统接口
7.4.1 应按上级机构统一规定设置与互联网的通信接口。
7.4.2 应根据需求确定是否设置与所在地行政、环保、安全等管理机构相关系统的接口。
7.4.3 与其他外部系统的接口应配置硬件防火墙及其他必要的网络边界防护设施。
7.5 与电厂控制系统接口
7.5.1 当信息系统不包含与电厂控制相关的操作功能时,应配置数据单向传输的专用隔离装置,严禁电厂信息系统向电厂控制系统发送除采集数据所需通信协议以外的任何信息。 7.5.2 当信息系统包含与电厂控制相关酌操作功能时,两者间的通信接口和操作站应设置在具有可靠保护设施的安全区内,并配置数据单向传输的专用隔离装置,向安全区外传送数据。
7.53 与机组控制系统及辅助车间控制系统等的接口应采用可靠安全的传输或连接方式。 7.5.4对生产实时数据应分类传输,传输速率应满足全部生产实时数据的更新周期需要,并应确保在任何情况下数据传输正常。
7.5.5 当辅助控制系统向机组控制系统传送实时数据时,宜通过机组控制系统获取实时数据。
7.5.6 当辅助控制系统不向机组控制系统传送实时数据时,获取实时数据的接口方式应符合下列规定:
1 各辅助控制系统间已实现联网时,宜通过该网络接口获取实时数据。
2 辅助控制系统间未实现相互联网时,应分别获取各辅助控制系统的实时数据。 7.5.7 信息系统与机组控制系统和辅助控制系统或其网络系统间的数据接口应具有可靠的安全设施,限制信息系统向任何控制系统发送数据。
7.6 信息系统内部接口
7. 6.1 信息系统的子系统间宜根据需要设置数据通信接口,实现系统数据集成和统一管理。
7.6.2 宜设置视频监视系统、视频会议系统与办公管理、安全管理等相关系统间的接口。 7.6.3 可将门禁管理、考勤管理、消费管理和文档管理等子系统与相关的人事、财务、物资、系统权限管理等子系统建立接口,也可上述子系统的功能集成为“一卡通系统”。 7.6.4应根据各子系统的安全等级和操作环境需要采取安全措施,将各子系绕的不安全因素限制在其内部,防止相互影响。
3
7.7 信息系统常用接口标准与通信协议
7.7.1 信息系统各类接口标准与通信协议宜符合表7.7.1的规定。
表7.7.1 电厂信息系统常用标准与通信协议
标准/协议名称 ODBC-开放式数据库连接标准(Open Da- tabase Connectivity) OPC-过程控制的 对象链接与嵌入技术 ( Object Linking and Embedding for Process Control) VPN-虚拟专用网 络( Virtual Private Net- work) DDNLL-数字数据 网络专线(Dirrital Dsitn Networ IEEE 802. 3 IEEE局 域网 [Local Area Net- works: Carrier Sense Multiple Access with Collision Detection (CS- MA/CD) -( ETH- ERNET) ] IEEE 802. 3ab标准 IEEE Std. 802. 3ab 在5类双绞线上运行IOOOM 局域网的物理层参数标准 可用于电厂综合布线 电信营运商提供的远程网络 用户与局域网间数据传送 电信营运商提供的较高速的 域网间多种数据传送 定义局域网物理层和链路层 问及碰撞检测( CSMA/CD)的 通信协议 多用于单个用户或网络从远程和访问 用磊厂信息系笔网络与上级机 用于电厂信息系纲中各局域网已经形成标准序列,其中 802. 3u为lOOMbps标 准,802. 3z为lOOOMbps 标准) 连接通道,实现局域网间或单 对电厂信息系统进行网络连接 应用层协议,提供对存放生 问的应用程序驱动程序 用于应用软件对生产过程仪表据进行访问 产过程数据的数据库服务器访 和自动化设备所具有的过程数 技术特点 应用层协议,提供应用软件 对数据库的访问驱动程序 技术用途 可用于应用软件与SQL数据库间访问 网络连接通道,实现远程的局 构信J网络的远程通信连接 的协议,采用载波侦听多点访 之间的庵络连接(注:802.3
续表7.7.1
标准/协议名称 IEEE 802.11——无限局域网(WIRELESS LANs) TCP/IP—传输与控制协议/网间协议 (Transmission Control Protocol/Internet Protocol) Modbus---总线通信协议 有两种连接: 2) 基于TCP/IP协议层 4
技术特点 无限局域网介质和物理层参数规范 定义局域网网络层的数据传输和局域网之间网络层的数据传输 技术用途 可用于电厂会议室或技术培训场所(需要时可临时设置) 用于电厂辅控网络间、管理信息系统网络与生产实时系统网 络间、信息系统网络与机组控制系统网络间数据通信 用于电厂信息系统网络与机组数据通信 1) 基于RS 232/RS 485串口; 控制网络、辅助控制网络间的API-----应用编程接口Integerface) RS 232/RS 485 提供应用程序级的相互连接,现数据访问 定义串口通信方式的物理连接和电平信号标准 用于电厂信息系统 l应用软件与实时数据 l库系统数据访问及其 I他各类软件间接口 用于信息系统与部分自动化、智能设备的字符信息传送 (Application Programmiing 可以在不同系统活程序之间实 8信息安全 8.1 一般规定
8.1-1 信息系统应满足保密性、完整性、可用性、可控性和可靠性的基本安全目标要求。
8.1.2 信息安全应涵盖信息系统全生命周期的各个阶段。
8.1.3 信息安全设计应执行国家有关法令和标准。
8.1.4 信息系统安全设计宜遵循电厂的信息安全规划及信息安全管理体系要求,满足信息安全目标、符合信息安全方针和安全策略。
8.1.5信息系统安全设计应符合下列设计原则:
1 基于安全需求原则。 2 分权原则。
3 选用成熟技术原则。 4 分级保护原则。 5 同步建设原则。
6 动态调整原则。
8.1.6 信息系统各项功能的安全保护等级由低到高划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级等五级。安全保护等级的定级应符合《计算机信息系统安全保护等级划分准则》GB 17859、《信息安全技术 信息系统安全等级保护定级指南》GB/T 22240的规定。
8.1.7信息系统的总体安全规划和安全设计应符合《信息系统安全等级保护基本要求》GB/T 22239、《信息安全技术 信息系统通用安全技术要求》GB/T 20271的规定。
8.1.8 应根据所确定的信息系统安全保护等级选用经国家指定部门检测认证的且不低于其对应安全等级的信息安全产品。
8.2 物理安全
8. 2.1 信息系统的物理安全应符合《信息安全技术信息系统物理安全技术要求》GB/T 21052的规定。
8.2.2 信息系统机房的安全应符合《电子信息系统机房设计规范》GB 50174的规定。 8.2.3 信息系统中的服务器、网络及安全防护设备、数据存储及备份设备、终端/工作站等应按等级保护要求,采取相应的防盗窃、防破坏、防静电、电源保护、电磁防护等安全保护措施。
8.3 网络安全
8.3.1 应按照国家信息系统安全等级保护相关标准划分信息系统安全区域,并应采用与安全等级相对应的网闸、防火墙、路由器等网络安全设备,对网络结构、网络边界、网络设备自身运行安全防护设计。
8.3.2 网络安全防护设计应符合《信息安全技术网络基础安全技术要求》GB/T 20270的规定。
8.3.3 网络结构、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、
5