2022年英方电力行业灾备解决方案

..可编辑版可编辑版.可编辑版电力行业调度系统业务连续性保障解决方案英方软件〔上海〕2021年8月..可编辑版可编辑版.可编辑版目录TOC\o"1-2"\f\u1.概述 42.电力行业调度信息系统现状 42.1.电力调度系统概述 42.2.电力调度系统当前的保障机制 62.3.存在的缺乏及需求分析 62.4.本地调度机房内建设保障系统的需求 83.多业务运维保障平台解决方案 93.1.多业务运维保障平台架构 93.2.保障一体机 103.3多业务运维保障平台的优势 124.多业务运维保障平台的技术特点 144.1.基于国产化的技术体系，产品具备自主知识产权 144.2.基于虚拟化技术的保障系统 144.3.基于字节级数据变化量捕获技术的同步复制机制 144.4.简单快捷的系统在线热迁移技术 165.案例分析 175.1.保障环境拓扑图 175.3.SCADA业务系统和前置系统迁移迁移到虚机上： 185.3.模拟SCADA工作机和前置工作机宕机情况： 186.英方软件〔i2〕公司简介 207.效劳条款 21..可编辑版可编辑版.可编辑版1.概述 随着信息技术的不断开展，信息系统已日益深入我国经济建设的各行各业，并逐步成为支撑业务运行的关键环节。信息技术以其创新的技术变革，极大地提高了各个行业的生产效率，促进了经济的迅速开展。 电力行业，以其在国民经济及社会生活方面所具有的关键战略平安地位，最近一二十年，信息系统在电力行业已得到全面地、深入地应用。从发电、输电到变电、电网监控等领域，已全面实现了信息化、自动化，信息系统在电力行业的普及应用极大促进了电力行业的开展。电力信息系统的正常运行为保障我国的电力平安生产起到了关键性的作用。考虑到信息系统的关键地位，一旦出现问题，将会给电力生产带来严重后果，甚至会影响到国家经济的平安运行及人民的正常生活，因此，如何保障电力信息系统的平安正常运行，从信息系统建成的那天开始，就注定成为管理人员所要面临的重大挑战。除了加强信息系统建设过程中的质量管理及运行平安管理外，采取容灾措施防范系统风险，成为了保障信息系统平安运行的重要举措。 我国对信息系统的平安运行予以高度重视，对信息平安的体系、模式和战略进行了大量的研究和探索。2006年，中共中央办公厅、国务院办公厅联合正式发布了文件?2006-2021年国家信息化开展战略?，明确提出要建立国家信息平安保障体系，并出台了国家标准GB20988-2007-T?信息平安技术信息系统灾难恢复标准?对容灾备份进行了标准化。 针对电力行业，国家安监总局和国家电网也专门出台?电网调度系统平安性评价?、〔2006〕34号?电力二次系统平安防护总体方案?、?电网调度平安分析制度〔试行〕??电网调度二次设备分析制度〔试行〕?等文件，从制度上保障电网平安生产。..可编辑版可编辑版.可编辑版2.电力行业调度信息系统现状2.1.电力调度系统概述 电力调度系统的根底平台及核心是D5000智能电网调度控制系统，它是按照等级保护四级系统保护要求，基于国产效劳器和网络设备，采用国产B级平安操作系统，国产平安数据库，国产中间件等根底软件的分布式一体化调度支持平台。D5000作为核心平台，承载着实时监控与预警(EMS)、调度方案(OPS)、平安校核(SCS)和调度管理(OMS)四大应用平台，实现了电网运行实时监控、在线稳定性分析、调度业务管理等功能。各个应用平台同时又分为多个独立的子系统模块，每个子系统或运行在单独的效劳器上，或与其他子系统共同运行一台效劳器上。 具体来说，这些子系统包括：能量管理系统、动态稳定预警系统、广域相量测量系统、电力方案管理系统、调度员培训模拟系统、水调自动化系统、继电保护及故障信息管理系统、调度生产管理信息系统、电力调度数据网络系统、雷电监测系统、电网稳定自动控制装置、微机继电保护装置、电网仿真计算系统、变电站自动化系统、发电厂计算机监控系统等。 在网络环境部署方面，国内各网调、省调的调度机房均按业务系统的重要程度，对整个调度机房的局域网划分为I区、II区、III区，每个区域的局域网相对独立，区域与区域间通过物理网关进行平安隔离。 为保证信息系统的自主性和平安性，调度机房内的所有软硬件产品均要求实现国产化，包括物理效劳器、操作系统、数据库、业务系统等等都已初步实现国产化。..可编辑版可编辑版.可编辑版 以下是某省电力调度机房I区的业务效劳器分布情况：2.2.电力调度系统当前的保障机制 由于各个网调、省调的业务系统非常重要，针对系统及硬件可能出现的不可靠性，电力调度系统已经采取了不同的措施来确保业务系统的持续不间断运行。2.2.1同机房内的双〔多〕机热备机制 针对重要系统，如scada、前置效劳器、通讯效劳器，都采用了双机甚至多机热备的形式。该模式下，主、备机的业务系统均处于运行状态。正常情况下，主机的业务系统承担提供效劳的角色，备机的业务系统处于热备空转运行模式。一旦主机宕机，那么备机立刻转为主机角色来运行，对外提供效劳，从而保障了业务的连续性。2.2.2异地备调保障机制..可编辑版可编辑版.可编辑版 为防止如地震、火灾、恐怖活动等灾难事件对整个机房大楼乃至整座城市造成瘫痪性影响从而导致整个调度系统失效，各个网调、省调同时在异地又新建了灾备机房，灾备机房内的物理根底设施参考主调机房，其业务系统与主调机房的业务系统一致，且都处于热备运行状态中。各个电厂、变电站等地的电力数据会同时分别送往主调和备调。同时，主调的一些管理配置操作的数据也会实时同步到备调，实现主备调的数据保持一致。一旦主调机房出现灾难事件，可以立即启用备调系统，接替主调进行工作。2.3.存在的缺乏及需求分析2.3.1业务系统的主、备机机制的缺陷 针对重要业务系统，虽然能够在应用层面采取一主一备甚至一主多备的形式来保障业务运行平安，且备机数量在理论上可进行无限扩展从而到达几乎业务系统运行绝对平安的保障目的，但根据实际使用情况看，重要系统配置为一主一备的方式是一个最优方式，最多不能超过一主二备的模式，这样的配置能够在满足整体性能的前提下得到一重平安保障。如果配置超出了一主二备模式，主备保障系统的各方面的开销如网络、时间同步开销等将急剧扩大，导致业务系统整体性能急剧降低，得不偿失。 因此，目前电力行业重要系统绝大多数都是配置为一主一备的模式。同一机房内的关键重要系统只有一台备机，这显然保障力度还是不够，无法确保重要系统的百分百平安。 而且，由于软件系统的复杂性，无法保证主备保障软件的绝对无错。一旦软件出现错误，将会直接导致这种主备模式的直接失效，采用再多的备机也无济于事。这样的案例并不是没有发生过。..可编辑版可编辑版.可编辑版2.3.2一主一备模式的平安隐患 针对重要系统实施一主一备模式是目前调度机房的常用做法。通常情况下，这样的配置能够为业务系统添加多一层额外保障，防止了单机运行的风险。 由于信息系统包括软件系统、硬件系统的复杂性，在日常使用时，不可防止的会带来维护的问题，如软件的升级、故障硬件的更换、修复等工作。一旦其中一台机器需要停机维护时，将直接导致另一台机器处于单机运行状态，这给系统的平安运行带来了极大的威胁。如果一台机器维护过程中，另一台机器宕机，将会直接导致业务系统的中断。对于电力系统这样的重要领域，这是不可接受的。2.3.3繁琐的系统运维工作 目前，各个网调或省调中心的机房里，都运行着大量的效劳器。这些效劳器及业务系统所带来的维护工作量非常大，如效劳器的更换、软件的升级、系统的配置等等工作。这些维护工作要求不能出任何过失，否那么可能会导致严重后果。这就要求维护人员具备精湛的技术、丰富的工作经验和细致的工作作风。这些都对维护人员的素质提出了很高的要求，同时工作中也给维护人员带来了非常大的工作压力。如果维护工作出现过失，很可能导致业务停机，直接影响电力的平安生产。 如何寻找一种解决方案，能够降低效劳器及系统的维护工作量，减少出错的几率，是电力公司所一直寻求的解决之道。2.3.4异地备调的缺乏..可编辑版可编辑版.可编辑版 异地备调系统的作用在于，当机房或本地区域发生灾难事件，导致机房效劳器大规模不可用时，基于异地的备调系统能够很好的接替主调的角色，保障调度系统的持续可用。 但是，异地备调系统还存在如下的缺乏： 1〕异地备调系统并不能完全无差异的接替主调的系统。 调度系统的关键数据及业务配置数据都是保存在后台数据库效劳器中，如达梦数据库或人大金仓数据库。通常情况下，主调后台数据库中的数据会实时与备调数据库进行同步。但由于技术或其他配置、操作方面的原因，并不是所有的数据都能够实时的同步过去。如果出现这类问题，两边数据的不一致，如主调这边新增或修改了某个调度公式，但备调那边该公式不存在或是旧的，这种情况下如果整个调度系统切过到备调后，很可能导致一些无法预估的后果，影响电力生产。 2〕异地备调系统可用性无法完全保证。 由于调度系统的复杂性，备调系统虽然也处于热备运行状态中，且每年会定期进行主备调切换演练，但还是无法完全保证紧急情况下，当主调瘫痪时，备调能够完全百分百接管成功。 而且，很多情况下，备调系统的数据通讯链路，并不是与主调并行运行。受历史及现实条件限制，有时候备调系统的数据通讯可能是通过主调机房的路由器转发而来。这种情况下，一旦主调机房的路由器失效，将会直接导致备调系统的实时电力数据无法采集获取。3〕备调系统启用时的经济性及效率的考虑..可编辑版可编辑版.可编辑版 在主调机房里，当仅某个或几个业务系统的双机或多机系统均瘫痪的情况下，这时如果依赖备调系统，启用异地备调系统的相关业务，就会有些得不偿失。启用备调系统需要一系列复杂的步骤，如请示、派遣调度人员到异地办公等等。这些复杂步骤在处理主调小范围故障的情况下，不是特别适合。2.4.本地调度机房内建设保障系统的需求 如果在机房本地，能够有一套额外的保障平台，当某个关键业务系统主备机都宕机时，该保障平台作为机房里的最后一道防线，能及时正常接管该业务系统，顶替原先的主备机，继续提供效劳，那么能够起到很好的保障效果。3.多业务运维保障平台解决方案 在本地机房中，通过部署英方软件推出的多业务运维保障平台，能够很好的解决如上的问题，实现以经济、高效的方式构筑机房业务系统的最后一道防线。3.1.多业务运维保障平台架构 拓扑图：..可编辑版可编辑版.可编辑版 多业务运维保障平台是构建于运维保障一体机之上的保障系统。针对受保障的业务效劳器的数量及运行要求，在调度机房的I区、II区、III区分别部署数量不等的运维保障一体机。每台保障一体机能够保障本区域内的多套业务系统，当受保障的业务效劳器宕机时，保障一体机能够及时启动备用系统予以接管，保证了该业务系统运行的连续不间断运行。 具体来说，多业务运维保障平台具备如下功能：业务系统N+1的保障模式： 在原有的保障模式的根底上，再增加一层保障。当原有的保障都失效了的情况下，多业务运维保障平台能够迅速接管业务，保障业务运行的连续性。一对多的业务保障能力： 采用虚拟化的技术，实现一台保障一体机可以同时接管多套业务系统，以到达用较少的资源，实现接管多套业务系统的高可用保障能力。效劳器的在线热迁移、效劳器的快速恢复功能：..可编辑版可编辑版.可编辑版 通过在线热迁移功能，在不影响工作机运行原有业务的情况下，实现将工作机的业务系统及数据一键式快速迁移至别的物理效劳器或虚拟机上。迁移后的机器能够保证在操作系统配置信息、业务系统及业务数据上与源机器保持一致。即时迁移过程中业务数据发生了变化，迁移系统也会在后续将该变化数据再同步到备端，实现业务数据的实时同步。 保障平台通过该迁移功能将生产机的系统快速迁移至保障一体机内部的保障虚拟机，完成搭建一对一的根底保障设施。效劳器业务数据的平安保障能力。3.2.保障一体机 保障一体机作为软硬件结合的灾备产品，首先它是基于高性能的效劳器硬件根底之上，并配以一定存储容量的本地磁盘阵列。同时，在其上安装了Linux操作系统及虚拟环境系统和保障软件，通过虚拟环境能够创立多台虚拟机作为保障机，实现一台保障机保障一台物理效劳器的一对一保障模式。图一对一业务保障模型 一旦业务效劳器宕机或效劳不可用，保障系统立刻启用保障虚拟机上的备用业务系统，接替原先..可编辑版可编辑版.可编辑版效劳器继续对外提供效劳。 由于调度系统的局域网划分为I、II、III三个区域，可在每个局域网所划分的区域内，针对现有的业务系统需要保障的数量，部署搭建多台保障一体机。依据受保障系统的负载程度、重要程度，对这些系统进行划分至相关的保障一体机来进行保障：(1)正常运行时，业务系统的物理机与保障一体机中的虚机形成一对一保障：〔2〕当某个业务系统宕机时，自动启动保障虚机的业务系统，实现业务托管..可编辑版可编辑版.可编辑版〔3〕当问题主机修复后，业务系统由保障机回切到主机，保障机释放业务IP； 以下是一款保障一体机的硬件配置信息：工程参数..可编辑版可编辑版.可编辑版硬件配置双颗志强12核主频2.7G/64G〔128G〕DDR3ECCREG/Intel4口千兆网口/支持24盘位热插拔SATA/SAS/SSD//LSI2108硬件RAID芯片支持RAID0,1,5,10,50/IPMI2.0远程管理接口/875W1+1冗余电源/128GSSD/高度4U，磁盘容量12T，根据需要扩展至48T软件系统信息操作系统CentOSv6+虚拟化软件+保障平台软件3.3多业务运维保障平台的优势 1〕对调度系统实现N+1的平安运行保障 基于电力调度系统的重要性，需要采取措施不断加强对业务系统的平安保障。目前虽然已经采取了多种措施，但还是有其缺乏之处。保障系统的建设，作为保障业务平安运行的一种补充措施，能够在现有保障根底上再增加一道平安保障，提高系统应对突发情况下的平安运行能力。当业务效劳器无法正常提供业务效劳，保障机能够迅速侦测到，并立即启动备用业务系统，对外提供效劳。 2〕弥补了现有的主备保障机制的缺乏： 多业务运维保障平台采用了独特的技术实现对业务系统的平安保障，其技术与原有的主备机所采用的保障技术完全不同，能够与原有的主备机保障技术实现互补。由于软件系统的复杂性，每套软件不能防止都可能会潜藏问题，一旦原有的主备机保障模式出现问题时，会导致多台主备机同时受到影响，备机失去保障能力。这时，采用独特技术实现的多业务运维保障平台能够不受影响地接管业务，确保了业务运行的连续性。 3〕有效简化维护人员的工作复杂度和工作量：..可编辑版可编辑版.可编辑版 信息系统维护工作中，会常常碰到更换效劳器、安装升级修复软件系统等工作。这些维护工作传统做法需要维护人员一步一步地执行安装系统及软件、配置软件等繁琐而复杂的操作步骤，费时费力，而且还易出错。多业务运维保障平台提供一种高效简便的在线快速迁移技术，能够有效帮助运维人员简单快速将业务系统迁移到一台新的机器上。该迁移技术不需要维护人员对业务系统有很深了解，普通维护人员即可胜任。由于迁移过程的自动化，迁移完成后能够将原有业务系统包括操作系统配置、业务程序及数据等信息原封不动迁移到新机器上，因此也不需要维护人员后期再进行额外配置，这极大降低了新机器的安装出错风险，防止了因效劳器安装或配置错误给整个调度业务系统带来平安运行威胁。而且，由于新机器采用了热迁移技术，不是采用安装光盘进行安装的模式，防止了安装软件版本管理混乱的潜在风险。 4〕对异地备调模式是一个很好的补充： 异地备调系统做为应对主调方面遇到的重大灾难性侵害时是非常适宜的，但对于主调系统中碰到的个别系统或小规模系统崩溃的情况时，却有些大材小用，开启一次备调系统费时费力。多业务运维保障系统恰恰能够很好的应付这些问题，在碰到个别系统或少数系统崩溃时能够迅速接管业务，保障了业务的连续性。 5〕以较小的投入获得额外的平安保障： 采用了虚拟技术的多业务运维保障平台，能够实现一台保障机同时监控和接管多达15台业务效劳器。现有的主备机保障模式，每台备机需要采用一台独立的且性能与主机一致的效劳器来担当，使得许多备机都处于空转的模式。机房内备机数量几乎超过机器总数的一半，因此这块投入非常巨大。..可编辑版可编辑版.可编辑版 多业务运维保障平台，采用虚拟化技术搭建虚拟空间，并创立出多台虚拟机用于实现对业务效劳器一对一的平安保障。正常情况下，每台虚拟机的CPU及内存损耗仅仅用于完成对物理机的数据同步任务，因此资源损耗非常少，这就使得保障一体机仅凭一台机器就能够创立并支撑正常运行多达15台的虚拟机。虽然虚拟机在接管业务时会导致CPU和内存使用的上升，但保障一体机同时接管业务的数量通常情况下不会太多，同时发生大面积物理效劳器宕机的概率非常小。 采用多业务运维保障平台，要完成一个区的全效劳器进行保障，只需投入少数几台保障一体机，即可实现。4.多业务运维保障平台的技术特点 多业务运维保障平台广泛支持除了常见Windows、Linux操作平台外，还支持电力系统中常见的如麒麟操作系统、凝思操作系统等。其所采用的技术非常适用于电力行业的信息系统的保障：4.1.基于国产化的技术体系，产品具备自主知识产权4.2.基于虚拟化技术的保障系统 通过在保障一体机效劳器上构造虚拟环境，创立多台虚拟机做为业务保障机，实现对业务效劳器的一对一的保障模式，最终实现了一台保障一体机同时保障及接管多台业务效劳器的目标。保障平台充分利用了虚机化技术的优势，以较少硬件资源实现了原来需要多台独立效劳器才能完成的保障任务，降低了保障本钱。..可编辑版可编辑版.可编辑版4.3.基于字节级数据变化量捕获技术的同步复制机制 要实现虚拟机接管物理机的业务，要求必须将生产机上的业务数据实时同步到虚拟机上。通过部署在生产系统上的轻量级客户端模块，对要保护的数据进行系统级I/O旁路监听，以细粒度的字节级增量数据捕捉方式，将生产端变化的数据复制到保障虚拟机上，且通过特有的数据序列化传输技术(DataOrderTransfer，简称DOT)〔如以下图〕，严格保证生产系统和保障虚拟机上的数据的一致性和完整性。采用字节级的数据捕获技术，能够带来如下好处：1〕占用工作机资源少：保障软件平时正常运行在工作机时，仅仅对通过操作系统文件驱动层的I/O数据进行监听并传输到对端，不会对工作机的磁盘进行扫描，不会消耗过多的CPU资源去执行如传统技术中的数据消重等任务，因此，其消耗的CPU非常少，一般会在5%以下，不会对原有业务系统产生影响。2〕数据传输占用网络带宽少：由于仅仅传输工作机上I/O变化数据，因此，传输数据量少，不会过多占用网络资源带宽。而且还可通过配置网络资源上限值来保证不会影响到原有业务系统的网络传输。..可编辑版可编辑版.可编辑版3〕数据同步迅速：对于关键数据，在接管切换过程中，要求丧失的数据量越少越好。由于采用了字节级的I/O捕获技术，每次I/O数据一旦有变化，就会立即传输到对端，所以，在网络带宽良好的情况下，我们的数据同步可以到达毫秒级的同步速度，在接管切换的过程中数据丧失率几乎为0,。4〕确保数据的一致性：多业务运维保障平台采用基于I2DOT的专利技术，能够确保工作机的I/O数据变化顺序正确的传到对端并按此顺序写入对端磁盘，这保证了写入磁盘数据的一致性，确保针对像ORACLE这样的数据库的数据文件在实时同步到备端后，也能够正常的翻开和使用。4.4.简单快捷的系统在线热迁移技术 在构造业务系统的一对一保障模式时，需要在保障一体机上创立一台与物理效劳器一模一样业务环境的虚拟机。如要求虚拟机操作系统版本、系统参数配置、业务程序及数据等都需要与生产机保持一致。通过采用保障系统的快速迁移技术，能够快速获得一台符合要求的虚拟机，为后续的业务系统高可用接管准备根底。..可编辑版可编辑版.可编辑版 该迁移技术具备如下特点： 1〕在线式热迁移： 可在线不停机将生产机系统或数据迁移到虚拟机上。在迁移过程中生产效劳器无需停机，对生产系统的正常运行无任何影响。特别是对需要备份的生产效劳器上的数据库和文件能进行自动监控，连续捕获和备份数据变化,只要数据发生变化，便实时、准确的备份下来。 2〕迁移过程中，不占用工作机的过多系统CPU、内存、网络、IO等资源，不影响原有业务的执行。 3〕广泛的适用性，支持Windows、Linux等X86平台上的各种系统的迁移。 4〕与硬件无关的迁移：操作系统、应用程序和数据都可以在不同厂商、型号和配置的效劳器间轻松迁移，可迁移至驱动、CPU或内存和生产效劳器完全不同的物理或虚拟效劳器上。5.案例分析..可编辑版可编辑版.可编辑版 以下以在甘肃电力调度中心进行的多业务运维保障平台部署工作为例，表达多业务运维保障平台在调度系统中的适用性。5.1.保障环境拓扑图 在调度一区中配置一台保障一体机，保障一体机通过内部创立2台虚机机，来保障前置和scada效劳器：5.2.在保障控制平台上配置生产机和保障虚机：..可编辑版可编辑版.可编辑版5.3.SCADA业务系统和前置系统迁移迁移到虚机上：5.3.模拟SCADA工作机和前置工作机宕机情况： 当SCADA工作机或前置机宕机时，虚拟保障时机立刻接管相关业务，保障业务连续运行： 上图显示了scada虚拟保障机处于接管模式，fes保障机处于监控模式。 以保障一体机〔48个逻辑CPU〕的计算能力，当保障一体机同时接管SCADA业务和前置业务的时候，其CPU..可编辑版可编辑版.可编辑版利用率如以下图