太原市智慧供熱平臺云化遷移研究與實踐

齊衛雪，石光輝，李建剛，樊 敏

(太原市熱力集團有限責任公司，山西 太原 030000)

1 概述

隨著太原市近幾年的發展，城區面積不斷增加，太原熱力供熱范圍逐漸擴大，熱用戶和熱力站數量逐年增多。當前，太原熱力有生產分公司11家，管理供熱面積1.62億m2，涉及熱力站2 000余座。供熱面積的逐步擴大，現有供熱系統自動化程度和“信息孤島”情況已不能夠有效滿足供熱需求，為了方便生產運行的管理與調度，太原熱力從2018年著手進行智慧熱網系統建設，構建一個綜合的、全面的、統一的管理、調度智慧供熱平臺，全面提升生產經營能力，實現精細化調度。然而在建設過程中，面向用戶精細化和精準化管理需求的提升，對于智慧熱網的功能要求逐漸提高，為更好的服務用戶，平臺需要采用1∶2 000的矢量化地形圖，在平臺中實現樓棟和用戶的精確管理。由于大量用戶數據和地圖信息存在敏感性，并且國家對信息安全越來越重視，現有的組網結構和分公司分散式的生產系統不能滿足信息安全保護的要求。因此，智慧熱網的建設，不僅需要圍繞用戶供熱需求進一步提升供熱功能軟硬件平臺能力，同步構建等保三級的信息安全能力，保障公司信息安全，同時需要引入數據中臺整合孤立的生產數據和經營數據，發揮大數據作用，促進系統從“人治”到“數治”的轉型發展[1]。

本文以太原熱力建設智慧熱網遇到的問題為例，分析目前各個生產系統和組網結構的現狀和存在的問題，提出在數據機房建成后生產系統云化遷移和網絡安全的部署建議，在智慧熱網的建設、維護和運營中進行了實踐，相關經驗供同行智慧熱網建設平臺參考。

2 集團公司生產業務現狀與存在問題

2.1 生產業務系統現狀

集團公司共有11家分公司直接進行供熱調度運行工作，每個分公司基本都設有SCADA系統、全網平衡系統、視頻監控系統和Web發布系統，負責分公司所屬熱力站的生產運行與監控工作。太古高溫網系統實現了太古高溫網系統六級泵的聯調聯控功能；EZ系統，負責各分公司運行參數的匯聚采集、監控和歷史數據查詢；“三供一業”控制系統，負責移交改造小區生產數據的采集、監控和二次網平衡調節等功能；另外，集團公司還有熱計量系統，負責對部分用戶用熱量進行數據采集和收費管理；室溫采集系統負責對用戶的室溫進行采集，反饋供熱效果[2]。在自控系統建設時，熱力站與分公司之間只進行生產數據的傳輸，沒有數據或者功能需要使用互聯網，因此采用數字電路的方式即可實現，以全網平衡為例，系統拓撲圖如圖1所示。

智慧熱網平臺開始實施后，采集供熱運行數據，實現生產調度管理、能源管理、設施管理和數據管理等功能；目前接入智慧熱網系統圖如圖2所示。

2.2 通訊網絡現狀

各個行業的生產運行都與通訊系統密不可分，供熱行業同樣需要通訊系統的支持。目前各分公司自主選擇通訊運營商，實現各個系統與熱力站點或關口的通訊。據統計，租用三家運營商的數據專線總量為2 323條，租用帶寬從2 Mbp/s～300 Mbp/s不等，根據使用情況，按月或者年計費，不同運營商寬帶價格不同。按運營商統計，使用中國移動的寬帶數量最多；按寬帶大小統計，4 M和300 M的寬帶數量最多，都屬于熱力站與分公司的通訊，其中4 M寬帶為專線，300 M寬帶屬于家庭式寬帶應用到熱力站中。按業務區分，99%的數據專線都為生產系統使用。具體分布如表1所示。

表1 熱力集團數據專線用途分布情況 條

2.3 存在問題

在建設智慧熱網平臺初期，沒有先例可以參考，整個軟、硬件的架構設計沒有統籌規劃，沒有考慮硬件設施以及網絡安全的配套問題。隨著數據量的增加以及軟件功能的提高，各種問題逐漸顯現，很大程度上制約了智慧熱網軟件的發展，具體問題分析如下：

1)分公司各個生產系統獨立建設，在建設智慧熱網平臺時，只是將數據統一接入平臺，沒有進行數據的治理和融合工作，信息孤島仍然存在，部署新業務實施難度大，不能充分發揮數據的作用。

2)分公司的各個生產系統已經存在多年，個別分公司的硬件設備已經超過服役年限，穩定性不足，機房條件差沒有專業維護，并且分散式機房硬件資源使用率低且不能共享，大多數業務缺乏高可用性保障。

3)國家對信息安全的重視，目前公司的信息與網絡安全不能達到國家信息安全三級等保要求，如果改造分散式機房來滿足等保Ⅲ級要求代價過高且難以實施。

4)IP地址設置不規范，同一IP地址可能對應多個熱力站。

5)專線帶寬大小數量設置不合理。租用的部分帶寬實際利用率不高，存在帶寬過度租用的現象；各系統服務器不集中，互聯網寬帶數量多，每項業務都有一條甚至兩條寬帶。

6)熱力站到分公司的通訊，由于分公司與運營商只能簽訂單一合同，導致部分換熱站沒有通信導致數據缺失。

7)各運營商采用的技術、價格均不一致，不利于公司專線的統一維護和管理。

3 生產系統的云化遷移和網絡整合

通過對目前集團公司生產業務系統和網絡現狀的分析，結合目前調度中心的建設，為滿足太原熱力集團智慧供熱業務的發展，推進公司信息系統集約建設，對生產系統進行遷移上云，構建集團智慧熱網云平臺，整合集團公司生產網絡，并進行網絡安全設置，達到三級等保的要求。

3.1 生產系統云化遷移

所有分公司的生產類系統遷移至云計算平臺，實現集約化的云化部署，提升基礎資源的利用效率、降低運營成本；由于EZ系統和分公司SCADA系統功能相似，并且SCADA系統已投入時間較長，系統遷移存在大量不確定性，故本期只遷移EZ平臺至數據中心云平臺；太古高溫網系統承擔著太原市1/3的供熱面積，采用西門子分布式控制系統，沒有系統云化的先例，存在云化遷移的不確定性和風險，重新購買支持云化的新系統費用偏高，綜合考慮技術和經濟性，為了保證高溫網系統的安全穩定運行，現有太古高溫網系統維持原方式運行，不進行云化。

在確定遷移的生產系統后，太原熱力對所有需要遷移上云的系統進行詳細調研，調研包括滿足系統運行和處理的CPU計算資源、內存容量和數據存儲的容量，以及支持程序運行的操作系統、數據庫、中間件等相關支撐性軟件，根據業務的差異化需求，將云計算資源細分為多個不同能力的特性資源池，通過結合業務應用場景分析虛擬化計算和存儲資源需求，確定云資源池所需的CPU、內存和存儲容量，并預留未來三年每年30%資源需求增長率作為硬件基礎資源擴展，根據業務發展分期建設。

考慮到本期系統關系到太原全市的供熱保障，受到信息安全侵害會對社會秩序和公共利益造成嚴重損害，根據國家信息安全等級保護要求，本期將遷移至云平臺的自控系統納入信息安全三級等保管理，提供安全的計算環境、安全通信網絡、安全的管理中心，有效保障系統和業務的安全性。分公司不再設置生產類服務器，僅通過安全管控下遠程終端進行訪問，最大程度地提高生產管理集約化和安全化。熱力站通過專線接入安全網絡，經過等保安全系統的檢測和防御后接入自控系統，后期綜合評估成本、效益和安全，考慮熱力站的邊界安全建設。

3.2 生產系統硬件系統搬遷

由于多數分公司硬件系統使用時間超過服役年限，并且考慮軟件系統遷移上云的不確定性，部分硬件系統不進行搬遷，作為備份手段保留在分公司；部分系統綜合考慮硬件性能，部分硬件搬遷至數據中心集中化管理，并納入安全系統管理。本期考慮太古分公司不進行云化遷移的太古高溫網系統，設備使用年限較短、硬件性能較好，將太古分公司部分業務系統的組網設備(服務器、磁陣等)搬遷至數據中心，搬遷的系統納入網絡信息安全系統的管理，保障業務的安全性。

3.3 熱力站網絡地址整體規劃

目前各分公司大約有2 026個熱力站，分公司系統上云后，結合數據中臺與數據中心網絡整合，實現大數據分析與應用，需將所有熱力站信息統一匯聚，因此在完成云遷移后，要對各熱力站的IP地址重新進行規劃和調整，調整的基本原則如下：

1)對目前所有熱力站的IP地址進行梳理，保證IP地址的唯一性，不沖突的網址不進行更改，盡量減少更改量。

2)對于需要更改IP地址的熱力站，參考其同一支、干線的熱力站地址進行配置，盡量保持連續性。

3)對于后期新建熱力站IP地址的分配，分配在每一層次上都要留有余量，在網絡規模擴展時能保證地址疊合所需的連續性。

4)在新建熱力站的IP地址規劃時，盡量使每個地址具有實際含義，看到一個地址就可以大致判斷出該地址所屬的設備。

3.4 專線整合方案

針對目前太原熱力集團專線現狀和問題，分別從熱力專線和分公司專線進行規劃整合。

3.4.1 熱力站專線匯聚整合

熱力站至分公司的數據傳輸采用數字電路專線的形式，由分公司自主選擇運營商，存在三家運營商專線混用，在生產系統云化遷移后，所有熱力站生產數據的匯聚點由分公司調整為數據中心，并且將當前數據、視頻分離的專線整合成一條綜合專線承載該熱力站的所有業務(含自控、視頻)。經過現網流量統計分析，熱力站至分公司的流量年內峰值流量為0.58 Mbp/s，平均流量0.036 Mb/s。專線整改優化時，熱力站的專線帶寬統一開通4 M帶寬，以滿足熱力站自控數據實時上傳及視頻監控使用。

3.4.2 分公司數據專線優化整合

智慧熱網、ez以及太古一級網的全網平衡等主要系統部署在太古分公司，其他分公司需要將自控和視頻數據上傳至太古匯聚，分公司至太古調度中心的通信網絡采用運營商的數字電路專線，網絡架構采用星型架構組網模式，網絡架構示意圖如圖3所示。

數據中心建立后，位于太古分公司的生產系統將搬至數據中心，將10個分公司至太古現有的數字電路專線接口調整至數據中心，太古分公司則通過光纖直驅與數據中心互聯互通，無需租用運營商專線帶寬。分公司至太古專線同樣是由視頻專線和自控數據專線兩條，在整合時進行合并，由1條專線綜合承載該分公司的所有業務(含自控、視頻等)，現有帶寬暫時保持不變。

3.4.3 智慧熱網、三供一業、計量、室溫等專線整改

智慧熱網、三供一業、計量、室溫等專線均采用運營商的互聯網專線形式進行組網，在數據中心投運后，數據中心統一開通2條1 000 M互聯網專線作為整個公司的唯一互聯網訪問出口。整合后網絡拓撲示意圖見圖4。

4 網絡信息安全系統建設

數據中心建成后，所有的生產數據在數據中心進行匯聚，因此數據中心成為整個公司的安全防護和管理中心，系統的整體安全尤其重要。根據國家信息安全等級保護要求，建設滿足三級等級保護信息網絡系統，包括新建DDos流量清洗系統、防火墻、IPS入侵防御、APT高級威脅檢測、漏洞掃描、防病毒系統、數據庫審計系統、安全管理平臺、日志系統等安全防護系統，組成綜合安全防護區，為整體智慧熱網平臺提供網絡信息安全保障。未進行云化遷移的太古高溫網系統以及其他非生產系統均根據安全保護需求，可同步納入此安全系統，統一防御管理[3]。網絡系統如圖5所示。

5 數據中臺

在生產系統云化后，系統和數據逐步匯聚到云平臺中心[4]，系統依然是按照垂直化、個性化的業務邏輯部署，數據重復且不一致，煙囪式系統間的集成和協作成本高。將統一規劃數據中臺，對全網的數據梳理、整合、規范和統一。將數據進行有效的統一收集、處理、存儲、計算、分析、共享和可視化呈現，將企業全域、海量、多源、異構的數據整合資產化，形成全網統一價值化的數據資產，優化整體的系統架構，實現數據和應用的分層解耦，為業務前臺提供數據資源和能力的支撐，徹底解決信息孤島、多源數據等問題，為實現精確供熱、按需供熱的精細化調節提供數據基礎，實現數據驅動的精細化運營[5]。

1)打通生產系統的數據集合。整合全網現有生產系統的數據，實現生產應用主數據的一致性、可溯性、數據的關聯性，上層應用的數據調用、操作將從統一的數據層進行數據的存儲、讀取和操作，相關業務主數據保持全網唯一性。

2)數據中臺具備架構和應用的靈活性，能夠根據熱力公司業務應用需求和數據需求，構建靈活新建的數據模型和數據應用。

3)支撐數據服務，即數據管理平臺上提供數據或數據分析結果的服務，能夠將數據中臺的統一數據提供企業應用(如EZ平臺、全網平衡系統、室溫控制系統、太古高溫網系統、智慧熱網等)訪問和分析[6]。

6 結論

本文以太原熱力為例，介紹了太原熱力目前生產系統和網絡的情況與問題，基于目前存在的問題，在數據中心建成后如何進行現有生產系統的云化遷移和網絡整合，并且解決數據分散不統一的問題?；谔瓱崃鼛啄杲ㄔO智慧熱網的歷程，總結經驗如下：

1)在智慧熱網建設之前，做好平臺整體頂層規劃，梳理業務系統現狀，確定需要云化的系統，根據業務需求和特點，確定智慧熱網云資源池資源需求，為智慧熱網平臺提供堅實的硬件基礎。

2)針對公司組網，以業務場景區分，綜合考慮帶寬需求、網絡安全、組網成本、網絡運維管理等因素，整合優化網絡結構和IP地址規劃。

3)優化公司專線，基于熱力站、分公司、互聯網專線、三供一業相關業務系統專線，以業務特點和流量進行細化分析，建設結構清晰、帶寬合理、網絡安全的專線。

4)根據國家信息安全等級保護要求，構建滿足等保三級的網絡信息安全中心，為智慧熱網提供安全可靠的網絡和信息安全，保護業務和數據的安全。

5)面向公司數據孤島問題，提出數據中臺建設方案，對全網的數據梳理、整合、規范和統一，支撐智慧熱網統一數據資產管理和分析，實現數據驅動的精細化運營。