系统总体设计1.1 设计依据(1)《关于全面加强危险化学品安全生产工作的意见》 (2)《危险化学品安全管理条例》 (3)《“工业互联网+危化安全生产”试点建设方案》(应急厅〔2021〕27号) (4)《“工业互联网+危化安全生产”试点建设实施指南(试行)》(2021.9) (5)《“工业互联网+危化安全生产”试点建设绩效评价办法》(2022.5.9征求意见) (6)《化工园区安全风险智能化管控平台建设指南(试行)》 (7)《危险化学品企业安全风险智能化管控平台建设指南(试行)》 (8)《危险化学品企业双重预防机制数字化建设工作指南(试行)》 (9)《“工业互联网+危化安全生产”特殊作业许可与作业过程管理系统建设应用指南(试行)》 (10)《“工业互联网+危化安全生产”智能巡检系统建设应用指南(试行)》 (11)《“工业互联网+危化安全生产”人员定位系统建设应用指南 (试行)》 (12)《油气储存企业安全风险智能化管控平台建设指南(试行)》 (13)《大型油气储存基地雷电预警系统基本要求(试行)》 (14)《危险化学品企业安全培训空间建设应用指南(试行)》 (15)《危险化学品企业重大危险源安全包保责任制办法(试行)》(应急厅〔2021〕12 号) (16)《企业安全生产网络化监测系统技术规范(系列)》(AQ 9003.1-2008、AQ 9003.2-2008、AQ 9003.3-2008) (17)《工业互联网标识解析二级节点技术要求》(AII/001—2021) (18)《化工园区危险品运输车辆停车场建设标准》(T/CPCIF 0050—2020) (19)《智慧化工园区建设指南》(GB/T 39218—2020) (20)《危险化学品重大危险源安全监控通用技术规范》(AQ 3035-2010) (21)《危险化学品重大危险源 罐区现场安全监控装备设置规范》(AQ 3036-2010) (22)《危险化学品企业特殊作业安全规范》(GB 30871-2022) (23)《公共安全视频监控联网系统信息传输、交换、控制技术要求》(GB/T 28181) 1.2 设计原则本项目方案不但要建设信息系统,还应引入科学管理和设计思路,构建长期有生命力的管理体系,实现整体可持续发展。智慧园区系统高效快速完成日常维护、问题处理等运维工作。能够支持远程、高效地安装、部署、调测、升级和故障处理等。整体实施方案设计遵循如下原则: 1.2.1 先进性系统设计有前瞻性、先进性、成熟性以及可扩展性,符合当今社会信息化发展的新潮流;采用目前流行的多层结构设计,以成熟的开发方式,保证系统的先进性和成熟性。 对工业园区各业务进行抽象建模,业务数据与业务逻辑解耦,平台和应用解耦,实现智慧化、模块化、积木化建设,可将平台和应用产品聚合。本项目通过先进的服务架构可实现最佳的低耦合、高弹性、高可用模块化方案。 1.2.2 实用性在保持技术设计具有前瞻性和先进性的同时,确保系统切合实际、符合现状。系统各应用模块完全从业务需求出发,贴近用户,以保障数据处理的安全性和提高操作便利性为目的,把满足业务需求作为第一要素。 除了园区系统内各级、各层次界线清晰,权限明确外,园区和企业间的建设、管理边界也应该清晰规范。方案设计不应影响现有生产企业日常管理,尽量不为企业增加额外负担,充分为企业考虑资源利旧,保留接口,利用共有区域部署园区管理所需设施而避免管理区域混合。 1.2.3 可靠性基于高可靠的支撑江西乐平工业园区安全风险智能化管控平台项目从软件架构上来支持整体的可靠性。当任何单点数据节点发生故障,可以保证数据的完整性和系统运行的稳定性。 1.2.4 安全性构建物理安全、网络安全和应用系统综合安全体系,确保园区方案中系统、网络和数据的机密性、完整性、可用性、可追溯性。 系统为不同权限的用户提供不同的服务,防止了执行超越权限操作的现象发生。系统分级分层授权,数据分级分层管理,以保证信息的安全保密。对数据严格保密,未经授权基础数据库,包括牵头建设单位,不得泄露给任何单位和个人。 1.2.5 扩展性在统一数据标准和接口标准的基础上,以拓展生态、各模块(及各企业系统)互联互通为目标设计方案,而不是盲目开发各种集成接入,避免为解决异构系统对接问题产生的时间和资源浪费。本项目计划引入管理咨询,重点做好主数据等标准化管理,为平台长期可持续发展打好管理基础。 数据库和系统软件支持通过增加新增硬件对系统进行扩展,满足不断增加的性能要求;在系统软件结构上采用多层技术框架设计,分别支持系统的横向扩展和系统的功能扩展;数据库和系统模块化设计,可根据需要拆接、组合,系统模块及应用模块的设计开发应尽可能为后续的功能预留对外接口。 1.3 主要技术指标根据国家应急管理部的建设指南要求,平台在网络延迟、安全等级、响应时间和稳定性等方面应满足以下技术指标要求。 1.3.1 网络延迟(1)静态数据(企业基础数据、承包商、特殊作业、双重预防机制等)传输网络延迟不超过2秒。 (2)视频监控数据传输网络延迟不超过1秒。 (3)实时动态数据(传感器感知数据)传输网络延迟不超过2秒,数据更新频次不低于5分钟。 1.3.2 安全等级按照安全等保2.0三级规定的要求,将系统安全细化、落实。做到符合信息系统安全等级保护三级规定,合理利用现有资源,节约安全建设投资最大限度的利用现有的安全相关的软硬件资源,对应用系统的网络及应用层面进行安全防护。 1.3.3 响应时间3.3.3.1交互类交互类是指平时工作中在系统中进行的业务处理,如录入,修改或删除一条记录、发布一条信息等操作。平均响应时间:0.2-0.8s,峰值响应时间:0.5-1s,视频点播平均响应时间:5-10s。 3.3.3.2查询类查询业务由于受到查询的复杂程度、查询的数据量大小等因素的影响,需要根据具体情况而定,在此给出一个参考范围。简单查询平均响应时间:1-3s,复杂查询平均响应时间:3-5s,地理信息查询平均响应时间:5-10s。 3.3.3.3在线分析类在线分析类因需要调用多维数据集,性能受维度多少影响比较明显,在此给出一个参考范围。平均响应时间:0.3-1s,峰值响应时间:0.5-3s。 3.3.3.4统计报表类统计报表类因需要在线实时汇总数据,受数据量多少、汇总层次影响较大,在此给出一个参考范围。平均响应时间:1-3s,峰值响应时间:3-8s。 3.3.3.5并发数支持同时在线用户数大于1000,并发用户数不小于300。系统具有数据备份及灾难恢复功能。 1.4 园区智能化平台总体架构
图 1 工业园区智能化管控平台总体架构
图2 园区智能化平台系统拓扑图 平台总体构架划分为:边缘层、网络层、IaaS层、DaaS层、PaaS层、SaaS层六个层次,以工业互联网标准为引领、工业互联网安全体系为保障,依托数据流、信息流、业务流,提供风险监测、安全监管、统计分析、应急处置等方面的支撑,提升化工园区安全风险管控能力。 1.4.1 边缘层边缘侧侧重于实时运行、要求响应较高、短周期数据的处理与分析,支撑本地业务的实时智能化决策与执行。边缘侧通过智能网关和智能控制器提供数据采集转发。 边缘计算层在靠近设备或数据源头的边缘侧,一方面,通过大范围、深层次的数据采集,以及异构数据的协议转换与边缘处理,构建平台的数据基础,包括通过各类通信手段接入不同的设备、系统和产品,采集海量数据,以及依托协议转换技术实现多源异构数据的归一化和边缘集成;另一方面,边缘层融合网络、存储、计算、应用核心能力,就近提供数据分析和业务自动化处理等边缘智能服务,满足敏捷连接,实时业务、数据优化、智能应用、隐私和安全等方面的关键需求。最终,边缘层利用边缘计算设备实现底层数据的汇聚处理,优化分析和边缘应用并实现数据向云端平台的集成。 互联设备可以通过边缘应用,同步设备数据以及与其它设备安全通信,甚至无需连接互联网,最大程度地提升可靠性、安全性和隐私保护能力。但是一些重要数据,仍旧需要回传到云端,进行保存以便进行长期趋势分析。 边缘层通过对化工园区企业及公共管廊、公共区域的监测监控设备与遥测设备等的网络化改造,或者加装网络化智能化监控设备,通过协议转换、边缘计算等构建精准、实时、高效的安全与应急数据采集与分析体系,接入、转换、预处理、存储、分析数据,配置边缘网关等设备合理布置算力和模型,实时获知企业及园区公共设备设施的运行状况和环境动态变化,就近提供边缘智能服务,掌握安全态势。 1.4.2 网络层通过F5G、5G、NB—IoT、LoRa、WiFi6、UWB、TSN 等新一代通信技术在近设备端和控制器端的应用,以地理空间为参考系,帮助园区建立覆盖范围更广、连接更多、带宽更大的基础网络,应用IPv6等新一代通信协议,以满足对海量过程数据的采集、传输、分析的需要。 1.4.3 IaaS 层IaaS层作为江西乐平工业园区安全风险智能化管控平台项目的底层,通过基于虚拟化、分布式存储、并行计算、负载调度等技术,实现信息基础设施的资源池化。IaaS 层提供所有计算需要的基础设施,包括处理 CPU、内存、存储、网络和其他基本的计算硬件资源,根据 PaaS 层的运算需要部署和运行相应的软件,包括操作系统和应用程序等。 1.4.4 DaaS层工业园区领域的DaaS层包含数据采集、数据集成、数据共享、数据可视化等内容,实现对平台数据的整合、分析、应用能力。基于数据共享机制,实现企业的数据分析利用,可作为智能化管控平台及平台运营的数据基础。 DaaS层对各类数据信息进一步加工形成信息组合应用,通过汇聚、整合、清洗、关联和比对等数据处理手段,实现对数据资源全生命周期的规划设计、过程控制和质量监督,进一步盘活数据,提高数据质量,提升数据价值。通过数据中台建设数据资源池,建立数据模型,对基础数据信息块以不同的方式进行组装,满足各类应用的需要。通过对数据聚合抽象,把数据转换成通用信息,对外提供数据服务。 1.4.5 PaaS 层PaaS层以“搭积木”的方式提供工业APP创建、测试和部署的开发环境。江西乐平工业园区智能化管控平台项目的PaaS层利用IaaS层和DaaS层的数据处理能力,对通过边缘层采集和网络层传输与汇聚的异常环境数据、安全管理数据、人员位置数据、实时通讯数据、标识数据、各系统产生的数据等统一调度和应用。结合园区运营各环节实际数据和运行流程,构建机理模型和数据驱动模型。 1.4.6 SaaS 层SaaS层面向最终用户,提供满足业务需求的各类工业APP,可结合用户业务需求,开展定制化创新应用的开发,还可以通过容器化技术封装、部署第三方SaaS应用。具体应用详见“软件平台建设内容”。 SaaS层是通过调用和封装PaaS平台上的开发工具、行业机理模型、数据驱动模型等服务开发形成的应用服务。SaaS层利用PaaS层积累沉淀的各类型数据模型,打造高可靠、可扩展的应用。 1.4.7 安全保障体系系统安全体系是江西乐平工业园区安全风险智能化管控平台项目安全可信运行的基本保障。全面考虑物理环境安全、网络和通信安全、边界安全、终端安全、云安全、应用系统安全、数据安全、装置及设备安全、处置恢复安全等重点安全防护对象及场景,提供安全保障软硬件配套设施及服务。 通过固件安全增强、漏洞修复加固、补丁升级管理、安全监测审计、加强认证授权、部署分布式拒绝服务(DDoS)防御体系、应用程序安全、主机入侵监测防护、漏洞扫描、资源访问控制、信息完整性保护等安全措施保障核心数据的安全流转及平台的正常运行,对物理、网络、系统、应用、数据及用户安全等实现可管可控,打造满足园区安全管理需求的安全技术体系和相应管理机制,实现网络安全与物理安全的真正融合。 依据安全等保2.0三级要求,智能化管控平台安全建设主要从安全管理、应用安全、系统安全、网络安全、安全审计等方面对平台进行安全加固。 通过增强智能化管控平台登录模块的使用,实现多种方式的用户认证,灵活的使用身份管理项目中所提供的不同级别的用户认证机制(用户名/密码,数字证书),同时完成用户入口级别的访问控制功能,实现等保合规。 启用安全通信协议(HTTPS),实现通信数据的保密性和完整性,保证所有服务器端数据(表单、文件等)在与客户端交互时,全部都是加密的,从而保证安全通信的安全。 利用权限分配机制,合理规划并落实用户的权限。 制定完善的备份和恢复机制,从而保障园区安全风险智能化管控平台在出现硬件故障、意外自然灾害时保持业务的连续性、可用性。 参照审计平台及三级等保对日志格式及内容要求,智能化管控平台日志收集使用客户端代理、文件型和ODBC数据库连接三种方式,实现日志收集,利用信息安全审计平台收集系统日志,并进行日志的统计分析。 1.4.8 运维保障体系运维安全保障依托等级保护建设要求进行设计建设,包括网络系统、数据、应用系统等的安全系统的建设,为平台安全提供支撑。运维体系以综合管理为核心、专业管理为纽带,包括运维标准、保障机制、运维管理系统等内容,为平台运行提供坚实保障。 通过运维流程体系管理、程序闭环发布流程管理、日常运维值班、故障处理、应急保障等五方面来进行。以ITIL为基础,建设与甲方管理相结合的流程管理。 另外根据ITIL体系建立的定制化培训体系,旨在为客户提供差异化、定制化的培训服务。定制化服务赋予了服务工作更大的灵活性,同时通过定制化培训试运行工作对培训体系进行了验证。体现出运维服务的便利与高效。 1.4.9 标准规范体系标准规范依托应国家急管理部、地方应急管理厅标准规范建设,为信息化建设管理提供统一的标准支撑。 |
