太原市智慧供熱平臺云化遷移研究與實踐

齊衛(wèi)雪，石光輝，李建剛，樊 敏

(太原市熱力集團有限責任公司，山西 太原 030000)

1 概述

隨著太原市近幾年的發(fā)展，城區(qū)面積不斷增加，太原熱力供熱范圍逐漸擴大，熱用戶和熱力站數(shù)量逐年增多。當前，太原熱力有生產(chǎn)分公司11家，管理供熱面積1.62億m2，涉及熱力站2 000余座。供熱面積的逐步擴大，現(xiàn)有供熱系統(tǒng)自動化程度和“信息孤島”情況已不能夠有效滿足供熱需求，為了方便生產(chǎn)運行的管理與調(diào)度，太原熱力從2018年著手進行智慧熱網(wǎng)系統(tǒng)建設(shè)，構(gòu)建一個綜合的、全面的、統(tǒng)一的管理、調(diào)度智慧供熱平臺，全面提升生產(chǎn)經(jīng)營能力，實現(xiàn)精細化調(diào)度。然而在建設(shè)過程中，面向用戶精細化和精準化管理需求的提升，對于智慧熱網(wǎng)的功能要求逐漸提高，為更好的服務(wù)用戶，平臺需要采用1∶2 000的矢量化地形圖，在平臺中實現(xiàn)樓棟和用戶的精確管理。由于大量用戶數(shù)據(jù)和地圖信息存在敏感性，并且國家對信息安全越來越重視，現(xiàn)有的組網(wǎng)結(jié)構(gòu)和分公司分散式的生產(chǎn)系統(tǒng)不能滿足信息安全保護的要求。因此，智慧熱網(wǎng)的建設(shè)，不僅需要圍繞用戶供熱需求進一步提升供熱功能軟硬件平臺能力，同步構(gòu)建等保三級的信息安全能力，保障公司信息安全，同時需要引入數(shù)據(jù)中臺整合孤立的生產(chǎn)數(shù)據(jù)和經(jīng)營數(shù)據(jù)，發(fā)揮大數(shù)據(jù)作用，促進系統(tǒng)從“人治”到“數(shù)治”的轉(zhuǎn)型發(fā)展[1]。

本文以太原熱力建設(shè)智慧熱網(wǎng)遇到的問題為例，分析目前各個生產(chǎn)系統(tǒng)和組網(wǎng)結(jié)構(gòu)的現(xiàn)狀和存在的問題，提出在數(shù)據(jù)機房建成后生產(chǎn)系統(tǒng)云化遷移和網(wǎng)絡(luò)安全的部署建議，在智慧熱網(wǎng)的建設(shè)、維護和運營中進行了實踐，相關(guān)經(jīng)驗供同行智慧熱網(wǎng)建設(shè)平臺參考。

2 集團公司生產(chǎn)業(yè)務(wù)現(xiàn)狀與存在問題

2.1 生產(chǎn)業(yè)務(wù)系統(tǒng)現(xiàn)狀

集團公司共有11家分公司直接進行供熱調(diào)度運行工作，每個分公司基本都設(shè)有SCADA系統(tǒng)、全網(wǎng)平衡系統(tǒng)、視頻監(jiān)控系統(tǒng)和Web發(fā)布系統(tǒng)，負責分公司所屬熱力站的生產(chǎn)運行與監(jiān)控工作。太古高溫網(wǎng)系統(tǒng)實現(xiàn)了太古高溫網(wǎng)系統(tǒng)六級泵的聯(lián)調(diào)聯(lián)控功能；EZ系統(tǒng)，負責各分公司運行參數(shù)的匯聚采集、監(jiān)控和歷史數(shù)據(jù)查詢；“三供一業(yè)”控制系統(tǒng)，負責移交改造小區(qū)生產(chǎn)數(shù)據(jù)的采集、監(jiān)控和二次網(wǎng)平衡調(diào)節(jié)等功能；另外，集團公司還有熱計量系統(tǒng)，負責對部分用戶用熱量進行數(shù)據(jù)采集和收費管理；室溫采集系統(tǒng)負責對用戶的室溫進行采集，反饋供熱效果[2]。在自控系統(tǒng)建設(shè)時，熱力站與分公司之間只進行生產(chǎn)數(shù)據(jù)的傳輸，沒有數(shù)據(jù)或者功能需要使用互聯(lián)網(wǎng)，因此采用數(shù)字電路的方式即可實現(xiàn)，以全網(wǎng)平衡為例，系統(tǒng)拓撲圖如圖1所示。

智慧熱網(wǎng)平臺開始實施后，采集供熱運行數(shù)據(jù)，實現(xiàn)生產(chǎn)調(diào)度管理、能源管理、設(shè)施管理和數(shù)據(jù)管理等功能；目前接入智慧熱網(wǎng)系統(tǒng)圖如圖2所示。

2.2 通訊網(wǎng)絡(luò)現(xiàn)狀

各個行業(yè)的生產(chǎn)運行都與通訊系統(tǒng)密不可分，供熱行業(yè)同樣需要通訊系統(tǒng)的支持。目前各分公司自主選擇通訊運營商，實現(xiàn)各個系統(tǒng)與熱力站點或關(guān)口的通訊。據(jù)統(tǒng)計，租用三家運營商的數(shù)據(jù)專線總量為2 323條，租用帶寬從2 Mbp/s～300 Mbp/s不等，根據(jù)使用情況，按月或者年計費，不同運營商寬帶價格不同。按運營商統(tǒng)計，使用中國移動的寬帶數(shù)量最多；按寬帶大小統(tǒng)計，4 M和300 M的寬帶數(shù)量最多，都屬于熱力站與分公司的通訊，其中4 M寬帶為專線，300 M寬帶屬于家庭式寬帶應(yīng)用到熱力站中。按業(yè)務(wù)區(qū)分，99%的數(shù)據(jù)專線都為生產(chǎn)系統(tǒng)使用。具體分布如表1所示。

表1 熱力集團數(shù)據(jù)專線用途分布情況 條

2.3 存在問題

在建設(shè)智慧熱網(wǎng)平臺初期，沒有先例可以參考，整個軟、硬件的架構(gòu)設(shè)計沒有統(tǒng)籌規(guī)劃，沒有考慮硬件設(shè)施以及網(wǎng)絡(luò)安全的配套問題。隨著數(shù)據(jù)量的增加以及軟件功能的提高，各種問題逐漸顯現(xiàn)，很大程度上制約了智慧熱網(wǎng)軟件的發(fā)展，具體問題分析如下：

1)分公司各個生產(chǎn)系統(tǒng)獨立建設(shè)，在建設(shè)智慧熱網(wǎng)平臺時，只是將數(shù)據(jù)統(tǒng)一接入平臺，沒有進行數(shù)據(jù)的治理和融合工作，信息孤島仍然存在，部署新業(yè)務(wù)實施難度大，不能充分發(fā)揮數(shù)據(jù)的作用。

2)分公司的各個生產(chǎn)系統(tǒng)已經(jīng)存在多年，個別分公司的硬件設(shè)備已經(jīng)超過服役年限，穩(wěn)定性不足，機房條件差沒有專業(yè)維護，并且分散式機房硬件資源使用率低且不能共享，大多數(shù)業(yè)務(wù)缺乏高可用性保障。

3)國家對信息安全的重視，目前公司的信息與網(wǎng)絡(luò)安全不能達到國家信息安全三級等保要求，如果改造分散式機房來滿足等保Ⅲ級要求代價過高且難以實施。

4)IP地址設(shè)置不規(guī)范，同一IP地址可能對應(yīng)多個熱力站。

5)專線帶寬大小數(shù)量設(shè)置不合理。租用的部分帶寬實際利用率不高，存在帶寬過度租用的現(xiàn)象；各系統(tǒng)服務(wù)器不集中，互聯(lián)網(wǎng)寬帶數(shù)量多，每項業(yè)務(wù)都有一條甚至兩條寬帶。

6)熱力站到分公司的通訊，由于分公司與運營商只能簽訂單一合同，導(dǎo)致部分換熱站沒有通信導(dǎo)致數(shù)據(jù)缺失。

7)各運營商采用的技術(shù)、價格均不一致，不利于公司專線的統(tǒng)一維護和管理。

3 生產(chǎn)系統(tǒng)的云化遷移和網(wǎng)絡(luò)整合

通過對目前集團公司生產(chǎn)業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)現(xiàn)狀的分析，結(jié)合目前調(diào)度中心的建設(shè)，為滿足太原熱力集團智慧供熱業(yè)務(wù)的發(fā)展，推進公司信息系統(tǒng)集約建設(shè)，對生產(chǎn)系統(tǒng)進行遷移上云，構(gòu)建集團智慧熱網(wǎng)云平臺，整合集團公司生產(chǎn)網(wǎng)絡(luò)，并進行網(wǎng)絡(luò)安全設(shè)置，達到三級等保的要求。

3.1 生產(chǎn)系統(tǒng)云化遷移

所有分公司的生產(chǎn)類系統(tǒng)遷移至云計算平臺，實現(xiàn)集約化的云化部署，提升基礎(chǔ)資源的利用效率、降低運營成本；由于EZ系統(tǒng)和分公司SCADA系統(tǒng)功能相似，并且SCADA系統(tǒng)已投入時間較長，系統(tǒng)遷移存在大量不確定性，故本期只遷移EZ平臺至數(shù)據(jù)中心云平臺；太古高溫網(wǎng)系統(tǒng)承擔著太原市1/3的供熱面積，采用西門子分布式控制系統(tǒng)，沒有系統(tǒng)云化的先例，存在云化遷移的不確定性和風險，重新購買支持云化的新系統(tǒng)費用偏高，綜合考慮技術(shù)和經(jīng)濟性，為了保證高溫網(wǎng)系統(tǒng)的安全穩(wěn)定運行，現(xiàn)有太古高溫網(wǎng)系統(tǒng)維持原方式運行，不進行云化。

在確定遷移的生產(chǎn)系統(tǒng)后，太原熱力對所有需要遷移上云的系統(tǒng)進行詳細調(diào)研，調(diào)研包括滿足系統(tǒng)運行和處理的CPU計算資源、內(nèi)存容量和數(shù)據(jù)存儲的容量，以及支持程序運行的操作系統(tǒng)、數(shù)據(jù)庫、中間件等相關(guān)支撐性軟件，根據(jù)業(yè)務(wù)的差異化需求，將云計算資源細分為多個不同能力的特性資源池，通過結(jié)合業(yè)務(wù)應(yīng)用場景分析虛擬化計算和存儲資源需求，確定云資源池所需的CPU、內(nèi)存和存儲容量，并預(yù)留未來三年每年30%資源需求增長率作為硬件基礎(chǔ)資源擴展，根據(jù)業(yè)務(wù)發(fā)展分期建設(shè)。

考慮到本期系統(tǒng)關(guān)系到太原全市的供熱保障，受到信息安全侵害會對社會秩序和公共利益造成嚴重損害，根據(jù)國家信息安全等級保護要求，本期將遷移至云平臺的自控系統(tǒng)納入信息安全三級等保管理，提供安全的計算環(huán)境、安全通信網(wǎng)絡(luò)、安全的管理中心，有效保障系統(tǒng)和業(yè)務(wù)的安全性。分公司不再設(shè)置生產(chǎn)類服務(wù)器，僅通過安全管控下遠程終端進行訪問，最大程度地提高生產(chǎn)管理集約化和安全化。熱力站通過專線接入安全網(wǎng)絡(luò)，經(jīng)過等保安全系統(tǒng)的檢測和防御后接入自控系統(tǒng)，后期綜合評估成本、效益和安全，考慮熱力站的邊界安全建設(shè)。

3.2 生產(chǎn)系統(tǒng)硬件系統(tǒng)搬遷

由于多數(shù)分公司硬件系統(tǒng)使用時間超過服役年限，并且考慮軟件系統(tǒng)遷移上云的不確定性，部分硬件系統(tǒng)不進行搬遷，作為備份手段保留在分公司；部分系統(tǒng)綜合考慮硬件性能，部分硬件搬遷至數(shù)據(jù)中心集中化管理，并納入安全系統(tǒng)管理。本期考慮太古分公司不進行云化遷移的太古高溫網(wǎng)系統(tǒng)，設(shè)備使用年限較短、硬件性能較好，將太古分公司部分業(yè)務(wù)系統(tǒng)的組網(wǎng)設(shè)備(服務(wù)器、磁陣等)搬遷至數(shù)據(jù)中心，搬遷的系統(tǒng)納入網(wǎng)絡(luò)信息安全系統(tǒng)的管理，保障業(yè)務(wù)的安全性。

3.3 熱力站網(wǎng)絡(luò)地址整體規(guī)劃

目前各分公司大約有2 026個熱力站，分公司系統(tǒng)上云后，結(jié)合數(shù)據(jù)中臺與數(shù)據(jù)中心網(wǎng)絡(luò)整合，實現(xiàn)大數(shù)據(jù)分析與應(yīng)用，需將所有熱力站信息統(tǒng)一匯聚，因此在完成云遷移后，要對各熱力站的IP地址重新進行規(guī)劃和調(diào)整，調(diào)整的基本原則如下：

1)對目前所有熱力站的IP地址進行梳理，保證IP地址的唯一性，不沖突的網(wǎng)址不進行更改，盡量減少更改量。

2)對于需要更改IP地址的熱力站，參考其同一支、干線的熱力站地址進行配置，盡量保持連續(xù)性。

3)對于后期新建熱力站IP地址的分配，分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴展時能保證地址疊合所需的連續(xù)性。

4)在新建熱力站的IP地址規(guī)劃時，盡量使每個地址具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設(shè)備。

3.4 專線整合方案

針對目前太原熱力集團專線現(xiàn)狀和問題，分別從熱力專線和分公司專線進行規(guī)劃整合。

3.4.1 熱力站專線匯聚整合

熱力站至分公司的數(shù)據(jù)傳輸采用數(shù)字電路專線的形式，由分公司自主選擇運營商，存在三家運營商專線混用，在生產(chǎn)系統(tǒng)云化遷移后，所有熱力站生產(chǎn)數(shù)據(jù)的匯聚點由分公司調(diào)整為數(shù)據(jù)中心，并且將當前數(shù)據(jù)、視頻分離的專線整合成一條綜合專線承載該熱力站的所有業(yè)務(wù)(含自控、視頻)。經(jīng)過現(xiàn)網(wǎng)流量統(tǒng)計分析，熱力站至分公司的流量年內(nèi)峰值流量為0.58 Mbp/s，平均流量0.036 Mb/s。專線整改優(yōu)化時，熱力站的專線帶寬統(tǒng)一開通4 M帶寬，以滿足熱力站自控數(shù)據(jù)實時上傳及視頻監(jiān)控使用。

3.4.2 分公司數(shù)據(jù)專線優(yōu)化整合

智慧熱網(wǎng)、ez以及太古一級網(wǎng)的全網(wǎng)平衡等主要系統(tǒng)部署在太古分公司，其他分公司需要將自控和視頻數(shù)據(jù)上傳至太古匯聚，分公司至太古調(diào)度中心的通信網(wǎng)絡(luò)采用運營商的數(shù)字電路專線，網(wǎng)絡(luò)架構(gòu)采用星型架構(gòu)組網(wǎng)模式，網(wǎng)絡(luò)架構(gòu)示意圖如圖3所示。

數(shù)據(jù)中心建立后，位于太古分公司的生產(chǎn)系統(tǒng)將搬至數(shù)據(jù)中心，將10個分公司至太古現(xiàn)有的數(shù)字電路專線接口調(diào)整至數(shù)據(jù)中心，太古分公司則通過光纖直驅(qū)與數(shù)據(jù)中心互聯(lián)互通，無需租用運營商專線帶寬。分公司至太古專線同樣是由視頻專線和自控數(shù)據(jù)專線兩條，在整合時進行合并，由1條專線綜合承載該分公司的所有業(yè)務(wù)(含自控、視頻等)，現(xiàn)有帶寬暫時保持不變。

3.4.3 智慧熱網(wǎng)、三供一業(yè)、計量、室溫等專線整改

智慧熱網(wǎng)、三供一業(yè)、計量、室溫等專線均采用運營商的互聯(lián)網(wǎng)專線形式進行組網(wǎng)，在數(shù)據(jù)中心投運后，數(shù)據(jù)中心統(tǒng)一開通2條1 000 M互聯(lián)網(wǎng)專線作為整個公司的唯一互聯(lián)網(wǎng)訪問出口。整合后網(wǎng)絡(luò)拓撲示意圖見圖4。

4 網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)

數(shù)據(jù)中心建成后，所有的生產(chǎn)數(shù)據(jù)在數(shù)據(jù)中心進行匯聚，因此數(shù)據(jù)中心成為整個公司的安全防護和管理中心，系統(tǒng)的整體安全尤其重要。根據(jù)國家信息安全等級保護要求，建設(shè)滿足三級等級保護信息網(wǎng)絡(luò)系統(tǒng)，包括新建DDos流量清洗系統(tǒng)、防火墻、IPS入侵防御、APT高級威脅檢測、漏洞掃描、防病毒系統(tǒng)、數(shù)據(jù)庫審計系統(tǒng)、安全管理平臺、日志系統(tǒng)等安全防護系統(tǒng)，組成綜合安全防護區(qū)，為整體智慧熱網(wǎng)平臺提供網(wǎng)絡(luò)信息安全保障。未進行云化遷移的太古高溫網(wǎng)系統(tǒng)以及其他非生產(chǎn)系統(tǒng)均根據(jù)安全保護需求，可同步納入此安全系統(tǒng)，統(tǒng)一防御管理[3]。網(wǎng)絡(luò)系統(tǒng)如圖5所示。

5 數(shù)據(jù)中臺

在生產(chǎn)系統(tǒng)云化后，系統(tǒng)和數(shù)據(jù)逐步匯聚到云平臺中心[4]，系統(tǒng)依然是按照垂直化、個性化的業(yè)務(wù)邏輯部署，數(shù)據(jù)重復(fù)且不一致，煙囪式系統(tǒng)間的集成和協(xié)作成本高。將統(tǒng)一規(guī)劃數(shù)據(jù)中臺，對全網(wǎng)的數(shù)據(jù)梳理、整合、規(guī)范和統(tǒng)一。將數(shù)據(jù)進行有效的統(tǒng)一收集、處理、存儲、計算、分析、共享和可視化呈現(xiàn)，將企業(yè)全域、海量、多源、異構(gòu)的數(shù)據(jù)整合資產(chǎn)化，形成全網(wǎng)統(tǒng)一價值化的數(shù)據(jù)資產(chǎn)，優(yōu)化整體的系統(tǒng)架構(gòu)，實現(xiàn)數(shù)據(jù)和應(yīng)用的分層解耦，為業(yè)務(wù)前臺提供數(shù)據(jù)資源和能力的支撐，徹底解決信息孤島、多源數(shù)據(jù)等問題，為實現(xiàn)精確供熱、按需供熱的精細化調(diào)節(jié)提供數(shù)據(jù)基礎(chǔ)，實現(xiàn)數(shù)據(jù)驅(qū)動的精細化運營[5]。

1)打通生產(chǎn)系統(tǒng)的數(shù)據(jù)集合。整合全網(wǎng)現(xiàn)有生產(chǎn)系統(tǒng)的數(shù)據(jù)，實現(xiàn)生產(chǎn)應(yīng)用主數(shù)據(jù)的一致性、可溯性、數(shù)據(jù)的關(guān)聯(lián)性，上層應(yīng)用的數(shù)據(jù)調(diào)用、操作將從統(tǒng)一的數(shù)據(jù)層進行數(shù)據(jù)的存儲、讀取和操作，相關(guān)業(yè)務(wù)主數(shù)據(jù)保持全網(wǎng)唯一性。

2)數(shù)據(jù)中臺具備架構(gòu)和應(yīng)用的靈活性，能夠根據(jù)熱力公司業(yè)務(wù)應(yīng)用需求和數(shù)據(jù)需求，構(gòu)建靈活新建的數(shù)據(jù)模型和數(shù)據(jù)應(yīng)用。

3)支撐數(shù)據(jù)服務(wù)，即數(shù)據(jù)管理平臺上提供數(shù)據(jù)或數(shù)據(jù)分析結(jié)果的服務(wù)，能夠?qū)?shù)據(jù)中臺的統(tǒng)一數(shù)據(jù)提供企業(yè)應(yīng)用(如EZ平臺、全網(wǎng)平衡系統(tǒng)、室溫控制系統(tǒng)、太古高溫網(wǎng)系統(tǒng)、智慧熱網(wǎng)等)訪問和分析[6]。

6 結(jié)論

本文以太原熱力為例，介紹了太原熱力目前生產(chǎn)系統(tǒng)和網(wǎng)絡(luò)的情況與問題，基于目前存在的問題，在數(shù)據(jù)中心建成后如何進行現(xiàn)有生產(chǎn)系統(tǒng)的云化遷移和網(wǎng)絡(luò)整合，并且解決數(shù)據(jù)分散不統(tǒng)一的問題?；谔瓱崃鼛啄杲ㄔO(shè)智慧熱網(wǎng)的歷程，總結(jié)經(jīng)驗如下：

1)在智慧熱網(wǎng)建設(shè)之前，做好平臺整體頂層規(guī)劃，梳理業(yè)務(wù)系統(tǒng)現(xiàn)狀，確定需要云化的系統(tǒng)，根據(jù)業(yè)務(wù)需求和特點，確定智慧熱網(wǎng)云資源池資源需求，為智慧熱網(wǎng)平臺提供堅實的硬件基礎(chǔ)。

2)針對公司組網(wǎng)，以業(yè)務(wù)場景區(qū)分，綜合考慮帶寬需求、網(wǎng)絡(luò)安全、組網(wǎng)成本、網(wǎng)絡(luò)運維管理等因素，整合優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)和IP地址規(guī)劃。

3)優(yōu)化公司專線，基于熱力站、分公司、互聯(lián)網(wǎng)專線、三供一業(yè)相關(guān)業(yè)務(wù)系統(tǒng)專線，以業(yè)務(wù)特點和流量進行細化分析，建設(shè)結(jié)構(gòu)清晰、帶寬合理、網(wǎng)絡(luò)安全的專線。

4)根據(jù)國家信息安全等級保護要求，構(gòu)建滿足等保三級的網(wǎng)絡(luò)信息安全中心，為智慧熱網(wǎng)提供安全可靠的網(wǎng)絡(luò)和信息安全，保護業(yè)務(wù)和數(shù)據(jù)的安全。

5)面向公司數(shù)據(jù)孤島問題，提出數(shù)據(jù)中臺建設(shè)方案，對全網(wǎng)的數(shù)據(jù)梳理、整合、規(guī)范和統(tǒng)一，支撐智慧熱網(wǎng)統(tǒng)一數(shù)據(jù)資產(chǎn)管理和分析，實現(xiàn)數(shù)據(jù)驅(qū)動的精細化運營。