煤矿井下以太环网方案说明

1、 .wd. .wd. .wd.山西金地煤焦赤峪煤矿工业以太环网系统建设方案建设单位：山西金地煤焦赤峪煤矿供货单位：中煤科工集团重庆研究院日期：2011年8月目录 TOC o 1-3 h z u HYPERLINK l _Toc300997188前言 PAGEREF _Toc300997188 h 3HYPERLINK l _Toc300997189第一章系统实施原那么及建设内容规划 PAGEREF _Toc300997189 h 3HYPERLINK l _Toc3009971901.1系统设计原那么 PAGEREF _Toc300997190 h 3HYPERLINK l _Toc30099

2、71911.2系统设计依据 PAGEREF _Toc300997191 h 5HYPERLINK l _Toc3009971921.3总体构造设计 PAGEREF _Toc300997192 h 6HYPERLINK l _Toc3009971931.4工程到达的效果 PAGEREF _Toc300997193 h 6HYPERLINK l _Toc300997194第二章千兆工业以太环网平台 PAGEREF _Toc300997194 h 8HYPERLINK l _Toc3009971952.1网络拓扑构造设计 PAGEREF _Toc300997195 h 8HYPERLINK l _T

3、oc3009971962.2其他技术要求 PAGEREF _Toc300997196 h 10HYPERLINK l _Toc3009971972.3主要设备技术参数 PAGEREF _Toc300997197 h 12HYPERLINK l _Toc3009971982.3.1 核心交换机MACH4002-48G-L3PEHC PAGEREF _Toc300997198 h 12HYPERLINK l _Toc3009971992.3.2 地面环网交换机MS4128-L2P PAGEREF _Toc300997199 h 13HYPERLINK l _Toc3009972002.3.3 井下

4、环网防爆交换机KJJ137 PAGEREF _Toc300997200 h 13HYPERLINK l _Toc3009972012.3.4 N3200入侵检测系统 PAGEREF _Toc300997201 h 15HYPERLINK l _Toc3009972022.3.5 防火墙H3C NS-SecPath U200-CA-AC PAGEREF _Toc300997202 h 17HYPERLINK l _Toc3009972032.3.6 路由器H3C NS-SecPath U200-CA-AC PAGEREF _Toc300997203 h 19HYPERLINK l _Toc300

5、9972042.3.7 网闸ViGapV6.5-300S-MK PAGEREF _Toc300997204 h 20HYPERLINK l _Toc3009972052.3.8 磁盘阵列柜DS3500 PAGEREF _Toc300997205 h 23HYPERLINK l _Toc300997206第三章软件集成平台 PAGEREF _Toc300997206 h 24HYPERLINK l _Toc3009972073.1软件平台的架构 PAGEREF _Toc300997207 h 24HYPERLINK l _Toc3009972083.2子系统汇接方式 PAGEREF _Toc30

6、0997208 h 25HYPERLINK l _Toc3009972093.2.1 上位机接入方式 PAGEREF _Toc300997209 h 25HYPERLINK l _Toc3009972103.2.2 PLC接入方式 PAGEREF _Toc300997210 h 25HYPERLINK l _Toc3009972113.2.3 嵌入式控制器接入方式 PAGEREF _Toc300997211 h 26HYPERLINK l _Toc3009972123.2.4 扩展接入方式 PAGEREF _Toc300997212 h 27HYPERLINK l _Toc3009972133

7、.3数据交互方式 PAGEREF _Toc300997213 h 28HYPERLINK l _Toc3009972143.3.1 OPC方式 PAGEREF _Toc300997214 h 28HYPERLINK l _Toc3009972153.3.2 DDE/NetDDE方式 PAGEREF _Toc300997215 h 28HYPERLINK l _Toc3009972163.3.3 ODBC方式 PAGEREF _Toc300997216 h 28HYPERLINK l _Toc3009972173.3.4 FTP文件方式 PAGEREF _Toc300997217 h 29HYP

8、ERLINK l _Toc3009972183.4子系统接入 PAGEREF _Toc300997218 h 29HYPERLINK l _Toc3009972193.5功能 PAGEREF _Toc300997219 h 29HYPERLINK l _Toc3009972203.5.1 综合自动化模块功能 PAGEREF _Toc300997220 h 29HYPERLINK l _Toc3009972213.5.2 综合分析模块功能 PAGEREF _Toc300997221 h 30HYPERLINK l _Toc3009972223.5.3 平台配置管理功能 PAGEREF _Toc3

9、00997222 h 31HYPERLINK l _Toc300997223第四章技术培训 PAGEREF _Toc300997223 h 32HYPERLINK l _Toc300997224第五章售后服务承诺 PAGEREF _Toc300997224 h 32HYPERLINK l _Toc3009972255.1质保期内 PAGEREF _Toc300997225 h 32HYPERLINK l _Toc3009972265.2 质保期外 PAGEREF _Toc300997226 h 32HYPERLINK l _Toc300997227附件：设备配置清单 PAGEREF _Toc3

10、00997227 h 34前言本技术方案的使用范围仅限于山西金地集团赤峪煤矿综合自动化系统。我方保证提供设备符合国家标准、标准和本规格书的优质产品及其相应的优质服务。由于山西金地集团赤峪煤矿正在扩建中，本技术方案为山西金地集团赤峪煤矿综合自动化系统初步设计方案，井下子系统接入综合自动化系统时需结合实际情况制定子系统接入实施方案。第一章 系统实施原那么及建设内容规划系统设计、实施始终遵循山西金地集团综合自动化系统相关企业标准。系统建设采用“统筹规划，统一组织，分步实施，急用先建，突出重点，慎重投入的指导思想。结合山西金地集团赤峪煤矿实际情况以及山西金地集团赤峪煤矿现在使用运行的设备、目前已订购待

11、安装的机电设备局部已具有的通信接口、通信协议、设备工况等进展综合设计。为山西金地集团赤峪煤矿建设一个稳定、高效的1000M环网平台，能可靠传输数据、语音、图像等信息以满足日益复杂的安全生产管理需要，提高安全生产管理水平。提供多种子系统接入方式以满足现场各种异构设备接入，保护已有投资。1.1系统设计原那么考虑到山西金地集团赤峪煤矿综合自动化系统工程的实际需要和将来的开展趋势，各系统的实际需求及具体的使用特性，同时兼顾技术新旧更替不断加快的特点，工程的设计原那么为：“先进性、成熟性、实用性、安全性、实时性、易操作性、完整性、可查询性、互联性和可扩展性、经济性。为了使所设计的方案尽可能满足矿方实际的

12、需求，使系统正常、高效地运转，整体方案设计遵循以下设计原那么：先进性、成熟性使用先进、成熟、实用和具有良好开展前景的技术，使得各个子系统具有较长的生命周期，不盲目追求高档次，既能满足当前的需求，又能适应未来的开展。实用性由于现代煤矿企业的安全、生产监控及调度任务、各职能部门之间业务的联系在很大程度上是以网络为基础，而安全、生产监控那么对数据的实时性要求很高。因此，在设计上应保证网络的处理能力和带宽。可靠性高效稳定的系统，能提供全年365 天，一天24 小时的不停顿运作。对于安装的服务器、终端设备、网络设备、控制设备与布线系统，必须能适应严格的工作环境，特别考虑要适应煤矿井下高温、高湿、高瓦斯的

13、客观环境，以确保系统稳定。实时监控的不可连续性决定了在网络设计中尤其是网络主干必须考虑提高网络运行的可靠性，保证系统在一个节点出现意外时整个系统仍能运行。因此，在硬件选型、线路、支撑环境及构造上都必须高质量，并保证核心网络设备具备冗余。同时，采用先进的防火墙+网闸技术保证系统的安全。安全性网络的各个环节要尽可能多的提供安全保密措施，来保证网络的性能。安全措施应包括：防病毒、防黑客、防止非法或越权访问、传输加密、安全策略控制等。易操作性先进且易于使用的图形人机界面功能，提供信息共享与交流、信息资源查询与检索等有效工具。实时性设备和终端必须反响快速，充分配合实时性的需求。完整性提供与各种外界系统的

14、通信功能，确保信息的完整性并充分利用在整体系统的运作上。可查询性提供易于使用的数据库功能，让使用者能随时查询信息及制作所需的报表。互联性和可扩展性把各子系统有机结合起来，满足信息层构造中各层之间信息沟通，增加各子系统之间的互联性和可扩展性。充分考虑将来需求的成长空间，所提供的系统平台与技术将充分配合未来功能及扩大工程的需求，以防止将来重复的投资。标准化、构造化、模块化的设计思想贯彻始终，奠定了系统开放性、可扩展性、可维护性、可靠性和经济性的基础。经济性在一定的资金资源下，尽量有效地利用，以适当的投入，建设一个尽可能高水平的、完善的网络系统。所有设备的选型配置和采购订货，坚持性能价格比最优的原那

15、么，同时兼顾供货商的资信度和维修服务能力。1.2系统设计依据?煤矿安全规程?；?煤炭工业矿井设计标准?；?煤矿安全装备 基本要求?；?煤矿监控系统总体设计标准?；?煤矿监控系统中心站软件开发标准?；?爆炸性环境用防爆电气设备本质安全型电路和电气设备要求?；?爆炸性环境用防爆电气设备通用要求?；?煤矿通信、检测、控制用电工产品通用技术条件?；?设备可靠性试验?；?电气设备的抗干扰特性 基本测量方法?；?煤炭调度信息化装备技术标准?；?监测监控质量标准化实施标准?；?智能调度室装备标准?；?电子计算机房设计标准?；1.3总体构造设计系统分为管理层、控制层和设备层三层构造。其中管理层为矿地面局域网，

16、控制层采用高速工业以太环网，设备层采用现场总线，保证了现场子系统的实时性和可靠性。在管理层，管理网服务器系统负责收集全矿的生产、管理、经营等方面的信息，并为管理网与国际互联网的连接提供服务；在管理网的各PC终端，可以在统一的界面下根据权限和等级查看全矿的所有信息。控制层分为过程控制和集中监控层，在过程控制层，PLC分站、电机智能控制器、其它智能监控分站等对现场设备实现运行参数的采集，并负责传达集中控制信号至现场设备；各子系统通过其现场总线采集各自所控制设备的运行参数，并实现对整个子系统设备的集中控制。设备层主要包括：传感器、执行器、开关柜等现场设备。1.4工程到达的效果系统建成后，能把各个子系

17、统有机整合在一起，能使山西金地集团赤峪煤矿井上下各生产环节的生产工况信息在现有条件下进展有效集成，能够将各子系统的数据进展深入挖掘，进而实现相关联业务数据的综合分析以及生产状态的实时评估，到达“管控一体化和统一调度指挥决策的目标。系统可在地面中央监控室实现对矿井主要生产环节如：煤流、采、运、供电、排水、压风等生产环节的集中监控，局部系统实现可靠无人值守运行，有效提高矿井生产效率；另外可将环境监测、工业电视、主副井提升、通风机、调度通信等系统的信息集中于统一的数据库管理、存档、检索。同时可实现整个矿井的综合自动化网络和管理信息网络的的无缝连接，矿各级领导和有关职能部门均可以通过网络终端进展数字化

18、矿山系统的实时监测、数据报表显示查询，矿调度人员及相关管理人员同步掌握生产设备运行状态、产量及安全情况，便于快速做出反响，及时调度。系统能通过矿的网络统一出口，与数据中心完成无缝对接，实现山西金地集团赤峪煤矿生产信息、安全信息和管理信息实时交换，远程显示、查看相关数据。系统将矿井的环境安全监测系统、人员定位系统、电网监控系、各主要环节自动化控制系统等信息集成到统一的平台软件上进展综合分析处理，能实现矿井生产设备的优化运行控制和瓦斯等灾害的预警及联动控制。山西金地集团赤峪煤矿建成的基于工业以太环网+现场总线技术的数字化矿山系统，信息汇接能力强大，留有充分的扩展端口以适应系统今后扩容开展的需要。第

19、二章 千兆工业以太环网平台2.1网络拓扑构造设计本次工业以太网系统建设地面、井下2个1000M环网，采用地面网络和井下环网方式。地面调度指挥中心的各种服务器、上位机、操作站、工程师站等均直接接入中心的两台核心交换机上，核心交换机接入矿方管理网络，但需矿方管理网络提供足够的网络接口。井下各监控设备就近接入环网交换机。这种布局网络构造清晰，网络层次清楚，数据采集服务器直接连到核心交换机上，链路路径最直接，采集数据快捷。WEB服务器对企业网的用户提供访问，接在防火墙的DMZ区，其他的设备都在防火墙的内部区域，被防火墙保护起来，整体网络构造非常安全。平台主要由核心交换机、地面光纤环网交换机、井下环网交

20、换机、防火墙、UPS电源、打印机等组成。全网建成后的性能可以保证到达以下水平：全网交换机连接均可基于单、多模光纤或铜介质，可按需要任意选择；光纤网络中的任何位置发生一个断点事故均可在瞬间内完成链路通信的恢复；全网基于统一、简洁的网络管理。机房核心交换机：在调度室中心机房配置2台赫斯曼公司的MACH4002-24G-L3EHCP三层交换机，工作方式：双机热备。地面环网：在主井提升机房配电室、副井井口房变电所、北通风机房、中央通风机房、10KV变电所共5个节点，配置5台赫斯曼公司的MS4128-L2PHC地面环网交换机，组成地面1000M环网。井下环网：在中央采区泵房变电所、140M水平泵房变电所

21、、北一采区变电所、北一采区泵房变电所、中央采区变电所共5个节点配置5台KJJ137MS4128-L2PHC模块1000M环网交换机，组成井下环网。采集服务器：在中心机房部署两台IBM 3650 M3机架式服务器，作为各子系统数据采集服务器用。工作方式：双机热备。数据服务器：在中心机房部署两台IBM 3650 M3机架式服务器，作为数据库数据管理服务器。工作方式：双机热备。WEB服务器：在中心机房部署一台IBM 3650 M3机架式服务器，作为网络浏览服务器，工作方式：提供系统内网页浏览服务。应用服务器：在中心机房部署一台IBM 3650 M3机架式服务器，在服务器上部署KJ90综合系统平台系统

22、。工作方式：系统生产业务处理。磁盘阵列：在中心机房部署IBM DS3500 双控光纤磁盘阵列柜,系统所有采集数据和业务数据全部在本磁盘阵列做存储。环网拓扑图图 STYLEREF 1 s 0 SEQ 图 * ARABIC s 1 1网络拓扑构造图2.2其他技术要求整个自动化综合控制网采用赫斯曼工业级的设备，实现井下高温、高湿等恶劣环境的稳定运行；系统支持光纤冗余环网工作模式，接节故障不影响整个系统性能，故障自恢复时间短0.05S，通信更加可靠；所有交换机采用高性能的赫思曼模块化千兆交换机，防止网络中局部节点故障，同时满足以后的扩容和升级；矿井工业以太环网光纤冗余环网传输平台运行稳定、可靠性好、线

23、路机械强度高矿井工业以太环网光纤冗余环网传输平台通讯协议采用标准的TCP/IP网络协议；平台传输速率高、带宽容量大、传输距离远、抗干扰和雷击能力加强。为数据、视频、语音三网合一提供了足够的带宽；整个网管系统可对所有的综合自动化网的网络设备进展实时监控，出现故障实时报警。在矿信息网与监控网中采用天融信防火墙连接，实现监控网的安全隔离。采用先进的多主并发通讯模式，系统检测速度快，实时性强。核心交换机提供OPC协议，支持监控软件的集成；整个宽带传输网彻底突破了低速总线下的技术瓶颈，系统节点容量大大增加，稳定性提高；由于以Internet/Intranet/Infranet为整体构架，具有开放的传输接

24、入平台，系统集成能力显著提高，今后矿井各种自动化监测监控系统均可方便就近接入，易于扩展，无须重复布线，节约投资；平台同时支持光纤多模、单模、超五类双绞线传输介质，构造灵活；可方便与局域网企业综合管理信息系统连接，实现信息共享；井下交换机经过防爆认证，具有MA，同时增加UPS电源保护，在市电停电后，可运行四个小时以上。支持多种网络拓扑构造和多重冗余方式，如单环网冗余、单环双节点冗余、双总线冗余、双环网冗余和环间冗余，本次投标方案采用单环单节点双冗余环网。环网核心交换机具有路由功能的卡轨式模块交换机。核心交换机有相对独立的模块插槽，每个模块插槽能够配置一块引擎模块，引擎模块上的子卡插槽，可以配置不

25、同种类的网络接口卡。环网交换机支持多光口、电口混合连接，支持Web管理，支持SNTP简单网络时间协议，准确记录故障时间。交换机管理软件要求能统一配置、管理、监视所有交换机，可监视所有具有SNMP(简单网络管理协议)功能的设备；支持通讯故障自诊断、定位、报警；在更改设备配置时只要在网管工作站对相关设备进展适宜配置，通过网管工作站对网络设备进展日常管理、流量统计、故障分析等。交换机支持流量控制功能，防止播送风暴；支持端口的优先级划分和VLAN划分；支持端口和MAC地址的绑定，提高系统安全性。2.3主要设备技术参数2.3.1核心交换机MACH4002-48G-L3PEHC端口转发速率：1.488Mp

26、ps，背板带宽40Gbps；端口配置：千兆电口10/100/1000Mbps自适应：24个；千兆光口单模、10Km、SFP、LC：8个。端口延时：32ms。支持SNTP简单网络时钟协议协议。支持端口优先级IEEE802.1D/p协议。支持静态路由、RIP V1/2、OSPF等路由协议，支持VRRP路由冗余。支持组播IGMP Snooping、GMRP，支持组播路由DVMRP/PIM DIM。支持1024个IEEE802.1Q VLAN。支持4个以上链路聚合。支持DHCP Option 82、DHCP Realy、Hidiscovery。冗余保护：支持HIPPER-RING协议、支持RSTP协议

27、；光纤环冗余：单环支持50台以上节点交换机，自愈保护50ms；冗余耦合：切换时间1s。网管：支持串口、WEB界面、SNMP V1/ V2/ V3；支持拓朴自动发现；支持命令行、V.24、Telnet、BootP；提供交换机的集中和功能管理软件工业及企业版，图形化实时监控软件，可通过图形画面实时监测环网状态，应监测到每一端口；提供OPC Server软件，环网状态信息可集成至集控软件平台。2.3.2地面环网交换机MS4128-L2P端口转发速率：1.488Mpps，背板带宽5Gbps；端口配置：百兆电口10/100Mbps自适应：12个；千兆光口单模、10Km、SFP、LC：4个；工业标准导轨安

28、装采用存储-转发技术，支持自动协商功能、自适应全双工/半双工、自适应10/100Base-TX5端口、自适应MDI/MDIX。MTBF(平均无故障时间)不小于100万小时管理：所有交换机提供 OPC通讯方式对交换机进展监控、故障诊断和趋势图分析的功能。支持RSTP、SNMPV1/V2/V3、IGMP snooping、VLAN、QOS、TRUNKING、MIRRORING、9DHCP等功能。网络距离：单模10/20/80KM相对湿度：10% 95%(非凝结)工作温度：0 C+70 C支持光纤环网冗余，自愈时间低于50ms；支持环间耦合，耦合时间小于1s。保护等级IP20，全封闭式金属钢质外壳，

29、无需风扇散热2.3.3井下环网防爆交换机KJJ137选用德国赫斯曼MS4128交换机为隔爆交换机核心，其单台交换机技术指标如下： 光信号接口传输方式：全双工TCP/IP传输协议，波长为1310nm的单模光纤；传输速率： 1000 Mbps；光发射功率：-10-5dBm；光接收灵敏度：-20dBm；最大传输距离：10km使用单模光缆；采用模块化构造，配置4个千兆光口单模、10Km、SFP、LC。以太网电信号接口本安接口传输方式：全双工TCP/IP传输协议；传输速率：10/100 Mbps自适应；信号工作电压峰峰值：1V5V； 传输距离：RJ45接口传输距离：100m使用矿用阻燃通信网线；12个1

30、0/100Mbps自适应RJ45口，可扩展为20口RS485信号接口传输方式：半双工RS485信号，双极性；传输速率：1200bps-115200 bps；信号工作电压峰峰值：2V10V；信号工作电流峰值：50mA；传输距离：5000m使用矿用阻燃屏蔽通信电缆提供4以太网转485总线转换器；电源：额定工作电压：AC127V/220V/380V/660V；输入功率：不大于64W；在电源波动范围内工作电流：不大于0.5A；提供不小于4时后备电源；其他：端口转发速率：1.488Mpps，背板带宽10G。端口延时：1600种支持用户自定义攻击事件与国际上标准的漏洞库CVE、Whitehats、等保持兼

31、容，保证知识库的更新速度。另外，通过和国家反入侵及病毒防范中心合作共享共建特征库抗攻击能力可实现抗针对IDS的Dos/Ddos攻击表现优秀，针对主流的攻击手段进展有效的抵抗和防范。其他必备安全特性支持会话管理，可以手动切换是否使用会话分析技术，可以选择是否使用会话分析技术 支持会话管理，可以手动切换是否使用会话分析技术，可以对类似MSN的加密会话进展解密分析提供对原始数据的分析工具，可对网络传输数据进展深层次分析，提供类sniffer的网络数据分析工具，可以对网络原始数据进展分析支持会话会放，对常见的会话如HTTP/MSN/QQ等能够进展回放，支持自定义回放所有TCP/IP的会话类型，提供了对

32、几乎所有TCP/IP协议的会话记录，可以根据环境不同，设置分析种类 提供对控制台关键文件、注册表键值、数据库表等的完整性检查，防止系统本身被非法篡改，提供了完整性检查工具，可以对控制台的关键文件、注册表键值、数据库表进展完整性的检查，一旦发现篡改将及时提出报警。性能指标包检测率：=2 GBps每秒碎片重组数：=120,000设备资质要求公安部销售许可证中国信息安全测评认证中心证书中国人民解放军信息安全测评认证中心军B级证书国家保密局涉密产品检测证书具有公安部的检测证书三级厂商资质要求具有计算机信息系统集成一级资质具有信息安全服务一级风险评估资质具有涉及国家秘密的计算机系统集成甲级资质具有ISC

33、CC应急安全服务一级资质具有安全服务工程类二级资质是微软的MAPP方案合作伙伴国家级网络安全应急服务支撑单位2.3.5防火墙H3CNS-SecPath U200-CA-AC产品概述：H3C SecPath U200-CA是H3C公司面向中小型企业/分支机构设计的新一代UTMUnited Threat Management，统一威胁管理设备，采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。H3C公司的SecPa

34、th U200-CA不仅能够全面有效的保证用户网络的安全，还支持SNMP和TR-069网管方式，最大化减少设备运营本钱和维护复杂性。产品特点：市场领先的安全防护功能完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表ACL和攻击防范等 基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、地址扫描和端口扫描等多种恶意攻击。丰富的VPN特性：支持L2TP VPN、GRE VPN、IPSec等远程安全接入方式，同时设备集成硬件加密引擎实现高性能的VPN处理。实

35、时的病毒防护：采用Kaspersky公司的流引擎查毒技术，从而迅速、准确查杀网络流量中的病毒等恶意代码。实时的垃圾邮件防护：可以拦截垃圾邮件，净化邮件系统，解决垃圾邮件对正常工作的干扰问题。先进的URL过滤：实现基于用户的URL访问控制，防止因浏览恶意或未授权的网站(如网络钓鱼攻击网站)而带来的安全威胁。全面的流量管理：能准确检测BitTorrent、Thunder迅雷、QQ等P2P/IM应用，提供告警、限速、干扰或阻断等多种方式，保障网络核心业务正常应用。细致的行为审计：可对各种P2P/IM、网络游戏、邮件和数据传输等行为提供细致的监控和记录，实现细粒度的网络行为审计管理。NAT应用：提供多

36、对一、多对多、静态网段、双向转换、Easy IP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NAT ALG功能。电信级设备高可靠性采用H3C公司拥有自主知识产权的软、硬件平台。产品应用从电信运营商到中小企业用户，经历了多年的市场考验。支持双机状态热备功能，支持Active/Active和Active/Passive两种工作模式，实现负载分担和业务备份36年的平均无故障时间(MTBF)智能图形化的管理简单易用的Web UI管理支持基于SNMP和TR-069协议的管理通过H3C UTM管理软件实现统一管理通过H3C SecCenter安全管

37、理中心实现统一管理2.3.6路由器H3CNS-SecPath U200-CA-AC产品概述：MSRMultiple Services Router多业务开放路由器是H3C公司专门面向行业分支机构和大中型企业而推出的新一代网络产品。MSR先进的软件构造与硬件平台，能够在最小的投资范围内为企业边缘网络提供一体化解决方案，更能充分满足未来业务扩展的多元化应用需求，符合企业IT建设的现状与趋势。企业信息架构正在由C/S模式向B/S模式转变，MSR具备高数据转发能力与高加密能力，很好的解决了转变过程中凸现的网络带宽压力与安全隐患，保障企业关键业务流可以高速、机密的通过广域网传输。MSR集数据安全、语音通

38、信、视频交互、业务定制等功能于一体，能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点，不仅能够最大程度的防止网络中多设备繁杂异构问题，而且极大降低了企业网络建设的初期投资与长期运维本钱。针对企业用户日益个性化的应用需求，MSR领先集成了可以定制开发的高性能开放业务平台，任何人都可以基于该平台开发自身需要的高级网络业务，企业用户只需安装软件便能在网络中方便的部署相应业务，节省了购置各类高昂专用网络设备的投资。MSR在突破性提高数据处理能力与插槽扩展性的同时，还能完全兼容原AR系列的硬件模块与软件功能，为客户提供了最为经济的网络升级方案。H3C MSR 3020产品内置的硬件加密功

39、能可以为中小型分支机构提供与总部安全的数据连接，MSR 30也可以作为中小企业核心设备，承担公司广域路由、局域交换、IP语音、视频交互等综合应用。通过在单一平台集成多种网络功能，不仅能够减少业务扩展给企业带来的无尽投资，更能实现总部对众多分支的统一管理和控制，免去了大量的运维本钱，让企业在信息化进程中更具竞争力。MSR 3020产品采用H3C公司成熟商用的操作系统平台，提供丰富的QoS特性，全面支持IPv6，同时大大地增强部署MPLS VPN业务的能力。MSR50采用OAAOpen Application Architecture开放应用体系架构，产品提供了一个公开软硬件接口及标准标准的开放平

40、台，任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能，以形成业务定制、优势互补、深度集成、合作共赢。2.3.7网闸ViGapV6.5-300S-MK性能指标：机箱外形及安装机柜式机型，2U高，标准机柜安装网络吞吐量网络吞吐量600Mbps；隔离反射GAP交换总线速率5Gbps并发连接数20,000内部数据总线交换带宽5Gbps系统延时20ns用户数支持无限制固定端口数量4个10/100M/1000 RJ-45以太网接口仅内网唯一1个RS232接口，外网不能有任何管理控制接口架构2+1架构，隔离区必须包含基于ASIC设计的电子开关隔离芯片，不采用SCSI、加密矩阵、网卡以及任何加

41、/解密等方式，具有不可编程特性协议支持支持各类通用应用协议HTTP、FTP、SMTP、SAMBA、NFS、DNS、SQL等，包括支持数据库同步、数据库访问、文件访问、文件同步、视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议攻击识别与过滤智能识别并过滤大量基于应用层协议的攻击行为，全面防护各类应用系统安全风险，包括：HTTP、FTP、SMTP、POP3、IMAP、DNS等协议分析模块网络隔离基于ASIC芯片设计的硬件隔离部件实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击防病毒、IDS入侵检测系统内嵌防病毒引擎、IDS入侵检测引擎，可实现对内外网摆渡数据的病毒查杀，可有效保护

42、系统自身及受保护网络免受攻击者的频繁攻击SAT服务器地址映射具备完善的SAT功能，访问者仅能访问虚拟端口而无法直接连接服务器，从而对外屏蔽服务器，防止服务器遭到攻击安全访问控制服务可以应用代理方式访问不可信网络，可根据身份认证、IPMAC绑定等多种安全策略实现用户控制，在应用层进展更细的粒度和检查元素，以保证安全控制能力服务定时功能内置定时功能,可设置多个时间点来控制(非断电,加电)网闸网络服务的启动和终止, 如果不对定时功能进展设置,在默认情况下网闸可正常使用客户端认证控制严格控制上网用户和邮件发送，采用专用认证客户端浏览网页、收发邮件，用户列表存储在网闸设备上，未经授权的用户和使用普通IE

43、浏览器、Outlook客户端的用户无法上网和收发邮件。数据库应用支持各种类型的数据库应用，支持数据库的访问，支持数据库间全表复制、增量更新、全表更新等多种条件数据库同步方式，支持单双向、断点续传等同步功能身份认证除了提供 基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能AI安全过滤AI智能应用能够根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问，提供应用级的安全过滤以保护数据和应用服务器免受恶意 Java 和 ActiveX applet 的攻击内容及格式检测具备内

44、容过滤及文件格式检查功能，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，能够阻止敏感的信息外泄或恶意程序的入侵WEB站点保护分析了来自WEB服务的漏洞，抵御黑客对WEB、MAIL以及FTP系统服务系统发动的攻击。包括：Cookie安全签名、URL字段细粒度过滤、输入参数检测、操作系统屏蔽、WebService函数等功能安全要求平均无故障时间60，000小时高可用性最大支持32台设备的负载平衡系统来实现高可用性日志及审计全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规那么的过滤信息等日志信息，支持日志管理分析和第三方日志导出系统工作状态检测与

45、报警提供液晶显示屏，液晶面板上可直观显示系统运行状态信息、故障信息和报警信息，管理员可针对故障信息迅速并做出响应管理要求管理功能允许管理员进展集中式管理，提供了一个良好的图形化用户界面，支持以GUI专用图形管理软件或CONSOLE方式管理支持，PKI证书等多种认证方式进展安全管理。图形化网络行为监控，管理平台采用图形化的网络行为监控，可实时监控网络流量、并发连接数、违反规那么尝试次数等统计信息认证客户端管理采用认证客户端方式进展设备管理，且仅能在内网管理。外网默认不能开放HTTP/HTTPS服务用于管理。资质证书要求拥有公安部销售许可证、国家保密局涉密产品认证、军队信息安全产品认证获得中华人民

46、共和国公安部网监网闸入围产品；设备制造厂商注册资金1000万以上含1000万；设备制造厂商拥有ISO9001：2008质量管理体系认证证书设备制造厂商拥有生产科技型企业资质证书从事网闸产品研发生产时间超过6年，并提交相关证明文件产品自主研发，具有自主产权软件著作权认证证书2.3.8磁盘阵列柜DS3500IBM System Storage DS3500主要性能平均传输率6Gbps高速缓存每个控制器1GB缓存，可升级至2GB电池供电外接主机通道三种选项：4个或8个6Gbps SAS端口；8个8Gbps FC端口和4个6Gbps SAS端口；8个1Gbps iSCSI端口和4个6Gbps SAS端

47、口RAID支持双活动型热插拔控制器，RAID0、1、3、5、6、10单机磁盘数量12个内置硬盘接口2个 6Gb SAS 驱动器端口风扇双冗余可热插拔式其它参数管理软件：IBM System Storage DS Storage ManagerSAN支持：受支持的IBM FC交换机、导向器和IP交换机IBM System Storage DS3500(1746A2D)一般性能产品电源双冗余可热插拔式长度551.6mm宽度482.47mm高度86.16mm第三章 软件集成平台3.1软件平台的架构整个系统采用C/S与B/S相结合架构设计。平台框架及综合分析执行模块、安全管理及预警模块采用基于.NET

48、平台开发。使用微软最新的智能客户端Smart Client技术，实现无接触部署、离线应用、自动更新、个性化用户界面，最大程度上解决了B/S与C/S构造在使用习惯与性能的差异。结合Click Once技术有效解决了C/S构造在部署上所带来的不方便。保证了任何授权用户，不受时间、空间在网络互通情况下访问属于他的数据资源。平台核心支撑：主要由德国西门子wincc引擎、Gis图形引擎、业务引擎和分析预警引擎构成。系统体系构造图3.2子系统汇接方式3.2.1上位机接入方式对于已建且相对独立的一些自动化监测监控子系统，特别是较早运行的系统，其底层技术协议难以找到，技术支持不能保证，将采取上位机接入方式，通

49、过其以太网接口如没有那么增加通讯网卡支持，与附近的硬件平台环网交换机进展物理上的连接接入。对于煤矿专业性较强的子系统如安全监控、人员监测及瓦斯抽放系统等,多采用此种接入集成方式。采集服务器通过以太环网及OPC/DDE/ODBC/FTP接口协议标准与该类型的子系统主机进展数据交互。该方式须具备两个条件：一是该上位机具有以太网通讯模块；二是配套厂家能支持OPC/DDE/ODBC/FTP等方式。上位机接入方式构造示意图3.2.2 PLC接入方式对于一些自动化控制子系统，多采用PLC进展控制。PLC已具备以太网接口，或具备扩展以太网通信模块的能力，可以对PLC增加以太网模块，通过其以太网接口与附近的硬

50、件平台环网交换机进展物理上的连接接入。采集服务器通过以太环网与PLC的以太网接口相连，安装在采集服务器中PLC的OPC Server与自动化平台中的采集服务器进展信息交互。该方式须具备两个条件：一是该PLC具有以太网通讯模块或可插入以太网通讯模块，二是子系统的控制逻辑在PLC中，而不是在其上位机中，并且配套厂家提供PLC的OPC Server软件。PLC接入方式构造示意图3.2.3嵌入式控制器接入方式有些自动化系统采用自主开发的嵌入式控制器作为核心控制器，具有以太网接口，可以通过其以太网接口与附近的硬件平台环网交换机进展物理上的连接接入。嵌入式控制器内置有OPC/DDE SERVER，采集服务

51、器通过以太环网及OPC/DDE CLINE接口协议与该子系统相联。该接入方式须具备两个条件：一是该子系统对外有统一的以太网接口，二是配套厂家能提供OPC/DDE数据交互方式。构造如下列图。嵌入式控制器接入方式构造示意图3.2.4扩展接入方式有些自动化系统不仅没有以太网接口，而且也没有上位机，但该系统支持现场总线或具备RS485/232串口。对于此类子系统，可以通过增加综合接入网关，进展接口形式、协议转换，将这些接口转化成以太网接口，也可直接利用环网交换机的对应总线端口，就近与硬件平台环网交换机进展物理上的连接接入。通讯采用OPC方式。构造如下列图。扩展接入方式构造示意图3.3数据交互方式数据实

52、时、动态交互是煤矿综合自动化系统的 基本功能之一，目前有多种标准的数据动态交互方式。由建设在物理链路层之上的数据接口标准协议、标准所支持，由综合自动化系统软件平台实施。目前几种典型的数据交互方式如下：3.3.1OPC方式OPCOLE for Process Control是被工控领域广泛遵循的一种标准，它标准了应用程序与现场设备或数据源之间数据存取的接口协议，它是基于微软的组件技术COM/DCOM设计，采用客户/服务器体系构造。它既可存取本地OPC服务器数据，又可存取分布在网上其它节点的OPC服务器，并且具有实时、高效、安全的特点。它是目前存取自动化子系统现场数据最理想的方法。3.3.2DDE

53、/NetDDE方式NetDDE是基于网络的动态数据交换DDE技术，DDE由微软早期发布，解决应用程序之间数据的动态交换。也采用客户/服务器体系构造。它既可存取本地DDE服务器数据，又可存取分布在网上其它节点的DDE服务器，它比OPC在速度和安全性方面要逊色。但对一些动态刷新的自动化子系统它仍不失为一种简单有效的方法。3.3.3ODBC方式ODBC是一种基于数据库的数据交互，实时性和效率相对较低，由微软发布。自动化子系统或其它信息系统可将一些对实时性要求不高如统计等信息周期性地按规定的数据构造通过标准的访问数据接口写入指定的共享数据库如MS Access 或MS SQL等的表中，综合自动化系统通

54、过数据库接口获取相关信息。目前，国内各类监测监控系统由于都是各厂家自己开发，上位机不支持OPC和NETDDE方式，均可采用这种方式进展接入。3.3.4FTP文件方式FTP是一种基于文件的数据交互方式，实时性和效率相对较低。自动化子系或其它信息系统将实时数据周期性地写入指定的文件中，文件的构造符合统一的信息描述，子系统通过FTP上传至采集服务器设置好的FTP服务器。目前，国内各类安全监控系统由于都是各厂家自己开发，上位机不支持OPC和NETDDE方式，也可采用这种方式进展接入。3.4子系统接入系统集成时，需要矿方协助我院与子系统生产厂家协调，由相关子系统生产厂家根据我院集成要求提供相关数据协议。

55、3.5功能3.5.1综合自动化模块功能实时数据采集与存储系统能采集存储生产过程的重要数据，以实现设备的数据管理和分析。提供毫秒级的数据采集速度。采用高效的数据压缩算法可以大大节约存储空间。平台集中自动化控制在平台软件上通过管理权限，可对相应的自动化系统发送控制命令，远程集中控制煤矿生产设备，在具备条件的情况下可完全实现无人值守。实时监控功能系统的每幅画面能显示过程变量的实时数据和设备运行的状态，这些数据和状态能实时更新。显示的颜色或图形将随过程状态而变化。棒状图和趋势图将能显示在任意一个画面的任何一个部位上。生产装置的图片、工艺流程图、设备简图、单线图等都可以在终端显示出来，每个画面都可包括字

56、母数字字符和图形符号，通常采用可变化的颜色、图形、闪烁表示过程变量的不同状态，所有过程变量的数值和状态可动态刷新。操作员在此画面对有关过程变量实施操作和调整。功能键和软开关的设置可在画面上任意位置，并可通过光标就对任何一个过程进展操作。可显示所有的过程点，包括模拟量输入、模拟量输出、数字量输入、数字量输出、中间变量和计算值。全局概要显示从全局的角度浏览矿井运输、提升、通风、人员分布、供电情况的总体展示。便于总调度人员使用。分区显示能对工作面内的相关设备信息如：水泵运行状态、煤流状态、瓦斯情况等分区域显示，便于队组管理人员使用。事件记录系统对所有涉及系统配置操作，对子系统实施控制的操作及一些重要

57、的操作，系统都自动进展完整的记录，包括：操作时间、操作者、事件描述等。为系统的事故追查及重演提供重要的信息。趋势显示趋势显示可以调用历史数据曲线，可在趋势图上切点观察任一时点的值。报警显示系统可按时间或者时间段统计查询报警个数，并按类别、等级等条件查询。对于需要报警的变量给出报警提示，以颜色闪烁或提示框等方式直观的表现，并有专门的报警窗口可以查看历史报警；具备在线组态设计功能：系统具备画面设计、动画连接、脚本编写等功能，还应具备对变量的报警、趋势曲线组态等重要功能。3.5.2综合分析模块功能 数据综合分析功能能够对各子系统数据进展分类管理，形成信息数据中心。具有统计分析、存储查询等功能。生产效

58、能评估功能定期提示影响煤矿生产的因素和时间，为管理人员提供参考依据。分析矿井生产过程中能耗与产量的关联信息，指导管理人员对生产各环节进展优化控制，节约能耗，提高能效。系统的联动控制功能综合自动化系统平台的建设，不仅能实现全矿所有数据的集中，更重要的是有机的整合了所有的系统的数据，通过联动控制功能模块可以实现各个子系统之间信息共享及联动，从而使原来各个独立的系统现在变成了一个整体无缝连接的大型系统。3.5.3平台配置管理功能访问权限管理模块功能对使用系统的有关人员，将使用统一标准的应用系统授权管理，如系统的参数配置、组态、功能模块调阅、发送指令等使用权限进展集中授权管理。能有效防止非法操作，并能

59、对非法操作进展跟踪记录，确保系统运行安全。丰富的子系统扩展接口平台软件要和各种监控硬件设备进展通信，获取其它业务管理系统的数据，能适应现场的多种设备选择，支持RS485、RS232、Can等总线。支持市场上主流设备的数据交换协议，例如： TCP/IP协议、Modbus协议、OPC2.0协议、FTP协议、ODBC等等。使系统能在应用级别上可以使用更广泛的功能接口，方便子系统接入。系统具备软件的定制及扩展功能可以使用、修改、扩大、定制构件，以满足其个性化应用需求。平台软件使用系统框架构件作为基础，内部的每一个子系统都作为一个构件，可以单独维护，防止了牵一发而动全身的情况；使整个平台软件便于升级和扩

60、展。安全生产管理功能应急预案管理功能参照相关应急管理标准，矿井灾害发生时，针对不同的情况，可调出相关的应急预案，供现场抢险救援提供参考使用。第四章 技术培训1理论培训：在安装使用前，在乙方对相关系统操作维护人员及专业技术人员710人进展为期一周的培训学习。内容包括必要的理论学习和实际操作，培训完毕后，进展测试。在培训中，主要注重培训实际操作能力，通过前期的技术培训，使维护人员、操作人员对系统有一个较全面的了解，并能完成日常的操作及维护。2实践培训在甲方：在相关系统安装时，结合现场实际，为期5-7天的时间进展现场指导、讲解，使他们较好地掌握系统的操作使用，维护方法及常见的故障处理。由于本系统是融