SY/T 7796-2024 海洋石油支持船物联网建设规范

　　ICS75-010CCSE07

　　中华人民共和国石油天然气行业标准

　　SY/T7796—2024

　　海洋石油支持船物联网建设规范

　　Specification for construction ofinternet ofthingsfor offshore support vessels

　　2024-09-24发布2025-03-24实施

　　国家能源局发布

　　SY/ T7796—2024

　　目次

　　前言 Ⅱ

　　1范围 1

　　2规范性引用文件 1

　　3 术语和定义 1

　　4 缩略语 1

　　5建设要求 2

　　5.1 船舶物联网硬件配置 2

　　5.2 船舶物联网软件配置 3

　　5.3系统配置 3

　　5.4 组网建设要求 4

　　6 网络安全管理与流量管控 6

　　6.1网络安全 6

　　6.2流量管控 7

　　7 物联网设置与故障管理 7

　　7.1通则 7

　　7.2 船端物联网卫星链路与互联网出口 7

　　7.3 故障管理 7

　　7.4 配置管理 8

　　8 证实方法 8

　　附录A (资料性)海上船舶物联网逻辑网络拓扑结构示例 9

　　附录B (资料性)物联网硬件与软件清单 10

　　附录C (资料性)测点设备清单 11

　　附录D (规范性)安全测评内容清单 12

　　附录E (资料性)完工验收清单 13

　　附录F (资料性)网络故障排除清单 14

　　参考文献 15

　　SY/T7796—2024

　　前言

　　本文件按照GB/T 1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由石油工业标准化技术委员会石油信息与计算机应用专业标准化委员会提出并归口。

　　本文件起草单位：中海油田服务股份有限公司、中国石油天然气股份有限公司西北销售分公司、中国海洋石油集团有限公司科技与信息化部、中国石油天然气股份有限公司勘探开发研究院、昆仑数智科技有限责任公司、中油海工船舶(天津)有限公司、中石化海洋石油工程有限公司。

　　本文件主要起草人：唐海波、竹蔚文、石永杰、彭川、刘辉、张冬雪、张羽、聂红芳、刘强、王焱、侯强、邓春林、张铭、张亚东。

　　海洋石油支持船物联网建设规范

　　1范围

　　本文件规定了海洋石油支持船物联网建设要求、网络安全管理与流量管控、物联网设置与故障管理等，描述了对应的证实方法。

　　本文件适用于海洋石油支持船新造船舶及现有船舶的物联网建设。

　　2 规范性引用文件

　　本文件没有规范性引用文件。

　　3术语和定义

　　下列术语和定义适用于本文件。

　　3.1

　　海洋石油支持船offshoresupportvessel(OSV)

　　满足国际海事组织的近海供应船设计和建造指南，为海上油气勘探、开发、生产储运和油田废弃活动提供作业支持的专业船舶。以下简称“船舶”。

　　注：一般具有以下两种或两种以上功能，包括供应、拖曳、锚作、守护、救助、破冰、提油支持、人员载运、酸化压裂、对外消防、溢油回收、特殊用途、水下作业支持等。

　　4缩略语

　　下列缩略语适用于本文件。

　　AIS:船舶自动识别系统(automatic identification system)

　　CAT5e:增强型超五类(category 5 enhanced)

　　DCS:分散控制系统(distributedcontrolsystem)

　　DNP: 通信规约(distributednetworkprotocol)

　　ESD:静电释放(electro-static discharge)

　　HART: 高速可寻址远程传感器(highwayaddressableremotetransducerprotocol)

　　MODBUS: 串行通信协议(modbusserialcommunicationprotocol)

　　OLE:对象连接与嵌入(objectlinkingandembedding)

　　OPC: 用于过程控制的OLE(OLEforprocesscontrol)

　　UPS:不间断电源((uninterruptible power supply) 5建设要求

　　5.1船舶物联网硬件配置

　　5.1.1测点设备

　　应包括但不限于对以下船舶设备布置物联网测点：

　　a)主机：实现对主机气缸、轴系、增压器等部件的健康状态监测，监测参数包括主机转速、燃油刻度、功率等;

　　b)发电机：实现对发电机气缸、增压器、三相绕组等部件的健康状态监测，监测参数包括发电机转速、发电机功率、发电机滑油温度、发电机滑油压力等;

　　c)辅助系统：液压、温度等;

　　d )推进变压器：温度、湿度等;

　　e)推进变频器(可选);

　　f)推进电动机：实现对推进电动机的健康状态监测，监测参数包括电动机转速、电动机功率等;

　　g) 推进器：振动等;

　　h) 气体监控系统：废气、压缩空气等;

　　i)轴：振动等;

　　j) 配电板：实现对配电板的健康状态监测，监测参数包括应急切断/优先脱扣电源故障、应急切断断线报警等;

　　k)环境：接收海洋气象信息和气象预警，包括当前航线上气象信息和未来四天全航程海区的气象预报信息等;

　　1)导航：实现对导航系统的状态监测，监测参数包括电罗经(船艏向)、计程仪(对水速度)、测深仪(水深、对地航程)、自动舵(舵角、操舵模式)、风速风向仪(风向、风速)、AIS (经纬度、航向)等。

　　5.1.2船舶物联网网络硬件设备

　　船舶物联网网络硬件应符合表1的规定。

　　表1设备型号与数量表 序号 名称 功能要求 单位 数量 备注

　　1

　　网络服务器 CPU:满负荷运行时应有一定的冗余性能;

　　内存：8GB及以上;

　　硬盘：1T以上;

　　网卡：100兆及以上网卡

　　台

　　1 2 网络交换机 自适应式，速率100Mpps以上 台 工 3 配线架 23in 台 工 4 理线器 防爆外壳M23插头 个 2

　　5

　　多串口服务器 内建光电隔离保护，10/100Mbps以太网全双工自适应，高效能核心处理器;

　　RS-232,15kV,ESD串口突波保护

　　个

　　1 6 UPS电源 应满足系统基本配置要求 台 工 表1(续)

　　序号 名称 功能要求 单位 数量 备注 7 网络控制机柜 高度参考42U 套 工 8 视频类设备 应满足系统基本配置要求 套 工 9 测点设备 按照5.1.1执行 套 工 10 跳线 光缆，12芯 根 18 11 双绞线 CAT5e 根 按需 12 接线盒 应满足系统基本配置要求 个 按需 13 办公电脑 应满足办公及系统要求 个 3 14 信息插座 应满足系统基本配置要求 个 按需 15 复印打印一体机 宜配置彩色打印机 台 按需

　　5.2船舶物联网软件配置

　　船舶物联网软件项目及规格应满足系统功能与安全要求，应包括但不限于以下软件：

　　a)操作系统;

　　b) 数据库;

　　c)应用软件;

　　d) 杀毒软件;

　　e)办公软件;

　　f)其他与系统相关的专业软件。

　　5.3系统配置

　　5.3.1数据采集及监控

　　5.3.1.1数据采集与监控子系统应实现运行参数自动采集、生产环境自动监测、物联网设备状态自动监测、生产过程监测及远程控制功能。

　　5.3.1.2运行参数自动采集应实现生产各环节相关业务的生产数据采集。

　　5.3.1.3生产环境自动监测应实现视频、可燃气体、有毒有害气体浓度等信息的采集和告警。

　　5.3.1.4物联网设备状态自动监测应实现物联网设备的标识、位置、工作状态等信息的采集与监视。

　　5.3.1.5生产过程监测应提供生产对象的工艺流程图实时数据显示和告警。

　　5.3.1.6 远程控制应实现设备的远程启停、远程控制、远程关断、自动调节控制等，用户可综合考虑生产需求、管理需求和安全需求，选择实现的远程控制功能。

　　5.3.2数据传输

　　5.3.2.1数据传输子系统所承载的业务数据应包括：实时生产数据、控制命令数据、视频图像数据及语音数据。

　　5.3.2.2数据传输子系统的功能与架构设计应确认现有海洋石油支持船网络现状，适应船舶及海洋自然环境和发展需求。

　　5.3.2.3数据传输子系统应具备自动监测通信连接状态的功能，并具备断点续传功能。 5.3.3生产管理系统

　　5.3.3.1生产管理系统应具备生产过程监测、生产分析与工况诊断、物联网设备管理、视频监测、报表管理、数据管理、辅助分析与决策支持、系统管理、运维管理功能。

　　5.3.3.2生产过程监测应实现状态监测及信息展示功能，实现对涉及的生产对象基础数据和历史数据查询、实时监测和超限告警、视频监测。

　　5.3.3.3生产分析与工况诊断应实现产量计量、参数敏感性分析、工况诊断预警功能。

　　5.3.3.4物联网设备管理应实现物联网设备信息检索、设备故障管理和物联网设备维护功能。

　　5.3.3.5视频监测应实现视频采集与控制、视频展示、视频分析报警功能。

　　5.3.3.6报表管理应实现生产数据报表模板管理，实现对生产数据报表、物联网设备故障报表、系统运行报表的自动生成功能。

　　5.3.3.7数据管理应实现采集数据质量管理和数据集成管理功能。

　　5.3.3.8辅助分析与决策支持应实现油气生产物联网汇总信息展示功能。

　　5.3.3.9系统管理应实现告警预警配置管理、用户权限管理、系统日志管理、数据字典管理功能。

　　5.3.3.10运维管理应实现运维日志管理、运维任务管理、系统备份管理、系统版本控制功能。

　　5.3.4接口

　　5.3.4.1数据采集频率应满足业务生产需求，采用有线仪表方案时，前端采集系统压力、温度等参数支持1s刷新一次数据;采用无线仪表方案时，压力、温度等参数支持3min上传一次数据，功图10min上传一次数据。

　　5.3.4.2采用有线方式通信的智能仪表宜采用RS485接口或HART协议进行通信。

　　5.3.4.3 有线通信中控制单元与集联中继器通信应支持以太网通信接口或RS485/RS232物理接口方式，应支持标准或统一扩展的MODBUS协议，宜支持DNP3.0 协议。

　　5.3.4.4有人值守控制系统数据应通过OPC接口上传。采用OPC协议上传数据时宜考虑OPC通信对原系统性能的影响，大数据量上传时，宜配置专用OPC服务器。新建和改扩建系统应支持OPC2.0协议，同时兼容OPC1.0协议。老旧系统若不支持OPC协议，可在实施中根据支持的接口协议进行接入。

　　5.3.4.5无人值守控制系统数据应通过标准或统一扩展的MOD BUS协议上传。

　　5.3.4.6 大型船舶DCS数据传输时应使用OPC接口上传。

　　5.3.5数据存储

　　5.3.5.1数据存储宜考虑数据的可靠性、安全性、可扩展性和易于访问与共享。

　　5.3.5.2数据宜至少保存6个月。

　　5.4组网建设要求

　　5.4.1通用要求

　　5.4.1.1应从物理安全、网络架构、区域边界、计算环境、安全审计等方面采取适当的技术措施提高网络系统的威胁防御能力。

　　5.4.1.2如因条件受限，技术措施确实无法达到时，应采取适当的管理措施降低风险。

　　5.4.2安全

　　5.4.2.1船载计算机存放应满足船用条件及备用电源要求。

　　SY/T7796—2024

　　5.4.2.2船舶网络系统应满足物理访问控制要求。

　　5.4.2.3船舶网络系统设备应满足相关的安装及实施要求。

　　5.4.2.4 组网建设应满足网络安全、系统安全、数据安全和应用安全的要求。

　　5.4.3 网络架构

　　5.4.3.1对网络架构的设计应基于风险评估。

　　5.4.3.2网络设计应保证船舶在维持安全所需数据的机密性、完整性和可用性的同时，仍能继续其关键任务的操作。

　　5.4.3.3设备标准：船舶网络中涉及设备、线缆及无线设备及相关试验宜参考中国船级社《船舶网络安全指南》(2023)的相关要求。

　　5.4.3.4 网络冗余：主干网络应进行冗余设计，包括网络通信设备和网络处理、存储设备等。

　　5.4.3.5网络隔离：应通过物理隔离或逻辑隔离(如虚拟专用网)的方式将网络进行隔离，并对每个网络区域边界进行界定。当可在不同网络区域之间相连接时，应通过适当的边界保护设备(如代理、网关、路由器、防火墙、单向网关、保护和加密隧道等)对边界进行控制。

　　5.4.3.6网络分段：应根据系统类型、资产重要性、系统功能等因素对网络进行分段。可参考IEC62443-2-1的相关要求进行网络分段。

　　5.4.3.7网络边界防御：应在网络边界安装适当的网络防护设备，船舶网络与外部网络边界之间应安装合适的网络安全防御装置。

　　5.4.3.8网络事件监测及报警：为确保网络的预期性能和可靠性，应部署适当的网络监测和报警系统。网络监控系统应提供足够的信息来描述网络事件，供预期用户使用。当船舶提供远程连接时，应能够识别源自船舶外部的网络事件。

　　5.4.3.9船舶网络中应配备相应防护设备，应具有恶意代码防范、入侵防御等措施。

　　5.4.3.10网络集成：在船舶网络的集成过程中宜考虑不同网络的集成、接口、安全措施、设备冗余及故障报警等内容。

　　5.4.3.11应急响应计划：应制订适当的网络事件响应机制，以应对检测到的网络安全事件。

　　5.4.3.12备份恢复计划：应明确船舶网络备份范围、备份方式、频度、存储介质和保存期等内容。

　　5.4.3.13基于Ⅱ类和Ⅲ类系统及集成系统设计的网络应具有弹性，即由于网络设备故障或网络事故而导致的某一部分发生故障，不应影响连接到未受影响网络上的其他系统。

　　5.4.3.14应将Ⅱ类和Ⅲ类系统及其数据与非关键数据和进程分离，以尽量减少受攻击危害。

　　5.4.4 区域边界

　　5.4.4.1应基于网络的隔离与分段，确定边界并进行控制。

　　5.4.4.2 应建立恶意代码防范机制。

　　5.4.4.3应对从外部或内部发起的网络攻击行为进行检测、防止或限制。

　　5.4.4.4 应对船舶外部及内部通信进行监视和控制。

　　5.4.4.5 应对船舶网络系统的远程运维进行相应的监测和限制。

　　5.4.4.6应对网络系统进行访问控制。

　　5.4.5计算环境

　　5.4.5.1应对网络系统中的用户(人员、软件、设备)及账号进行认证。

　　5.4.5.2应基于风险分析，对网络系统中数据进行安全管理。

　　5.4.5.3应建立应急响应与事故恢复机制，并保证其有效性。 5.4.5.4应基于风险分析，对重要业务信息、系统数据及软件系统制订备份计划，并保证其有效性。

　　5.4.6安全审计

　　5.4.6.1网络设备应满足安全配置。

　　5.4.6.2应定期在网络边界、重要网络节点，对重要的用户行为和重要安全事件进行审计。

　　5.4.7组网实施

　　5.4.7.1网络功能确认

　　5.4.7.1.1应具备与FBB或VSAT 接口及协议。

　　5.4.7.1.2应支持远程通信系统与公司资源共享和信息传输。

　　5.4.7.1.3船端物联网络的数据采集系统，包括但不限于如下设备：

　　a)环境气象设备;

　　b)导航设备;

　　c)AIS 数据;

　　d)视频数据;

　　e) 网络访问及邮件收发系统。

　　5.4.7.1.4应具备信息存储能力。

　　5.4.7.2网络拓扑

　　网络拓扑结构宜为星型以太网，见附录A。

　　5.4.7.3组网前工作确认

　　5.4.7.3.1施工单位应为公司合格供应商、具有船舶施工资质。

　　5.4.7.3.2组网工作人员应具有相应的资质。

　　5.4.7.3.3 组网前应核对该船物联网软硬件，软硬件清单格式见附录B。

　　5.4.7.3.4工作人员应依照船舶规定办理上船手续。

　　5.4.7.4组网

　　5.4.7.4.1 在船舶办公区稳定位置宜安装1个网络机柜。

　　5.4.7.4.2 应将测点信号逐一引出，通过IAS系统或者直接接入网络机柜。

　　5.4.7.4.3船舶上所有办公区域网线应汇聚至网络机柜。

　　5.4.7.4.4 船舶上的卫星调制解调器、交换机、服务器、终端电脑之间应采用传输率为100MHz超五类屏蔽双绞线以太网线缆进行连接。

　　5.4.7.4.5线缆应隐藏在装饰板内，安装时宜避免与其他线缆的干扰。

　　6网络安全管理与流量管控

　　6.1网络安全

　　6.1.1物理安全

　　应做到防腐蚀、防潮、防振动、防火、防静电和防雷击等。

　　SY/T7796—2024

　　6.1.2逻辑安全

　　应按以下措施加强计算机的逻辑安全：

　　a)限制登录次数，对试探操作加上时间限制;

　　b) 对重要的文档、程序和文件加密;

　　c) 限制存取非登录用户的文件，除非得到明确的授权;

　　d)跟踪可疑的、未授权的存取企图等;

　　e)日志存储时长不少于6个月。

　　6.1.3操作系统安全

　　应对每个用户分配账号，不同账号分配不同的权限，在船舶卫星宽带允许的情况下，应针对终端电脑登录制订上网行为的管理办法。

　　6.1.4网络传输安全

　　网络传输安全要求为：

　　a) 应设置访问控制服务;

　　b)加强通信安全服务。

　　6.1.5上网行为管理

　　应按互联网出口管控要求执行。

　　6.2流量管控

　　船舶终端网络应支持流量管控。

　　7物联网设置与故障管理

　　7.1通则

　　7.1.1在满足网络安全的前提下，交换机配置宜支持远程登录管理。

　　7.1.2船舶终端电脑应安装杀毒软件。

　　7.1.3 船舶服务器宜采用Linux操作系统。

　　7.2船端物联网卫星链路与互联网出口

　　7.2.1 物联网应支持VSAT、4G、5G 等通信网络。

　　7.2.2卫星链路宽宜满足通信带宽要求。

　　7.2.3船舶卫星链路中间不宜有互联网出口。

　　7.3故障管理

　　7.3.1故障分类

　　故障分类详见表2中所列项。

　　7.3.2网络故障排除方式

　　网络故障排除方式应包括但不限于：

　　SY/T 7796—2024

　　a) 分层故障排除法;

　　b) 分块故障排除法;

　　c) 分段故障排除法;

　　d)替换法。

　　表2故障分类表 分类依据 故障类型

　　总体

　　软件故障 网络连接设置方面的故障 软件属性配置故障 网络协议故障 硬件故障

　　网络故障性质 物理故障 设备或链路损坏、线路受到严重电磁干扰等情况而出现的网络故障，如网络中某条线路突然中断，网络插头误接导致的故障 逻辑故障 配置错误，因网络设置配置原因而导致网络异常或故障，重要进程或端口关闭，以及系统负载过高引发的故障 OSI/RM的层次 物理层故障、数据链路层故障、网络层故障、传输层故障、会话层故障、表示层故障、应用 层故障

　　故障产生的范围 内网故障(内部物联网的故障) 外网故障(与物联网外部网络或Intenet连接的故障)

　　7.3.3故障检测工具

　　7.3.3.1硬件工具，应包括但不限于：

　　a)传输介质测试工具;

　　b)时域反射仪;

　　c)网络协议、数据流量分析仪。

　　1 7.3.3.2软件工具，应包括系统自带软件和测试软件。

　　7.4配置管理

　　7.4.1系统应具备获得网络配置信息的功能。

　　7.4.2系统可远程修改设备配置的功能。

　　7.4.3系统可维护一个设备清单并根据存储数据产生报告。

　　8 证实方法

　　8.1物联网硬件与软件清单见附录B。

　　8.2测点设备清单见附录C。

　　8.3安全测评清单见附录D。

　　8.4 完工验收清单见附录E。

　　8.5 网络故障排除清单见附录F。

　　附录A

　　(资料性)

　　海上船舶物联网逻辑网络拓扑结构示例

　　海上船舶物联网逻辑网络拓扑结构示意图见图A.1。

　　船长轮机长 大副 船舶端局城网

　　卫星提供商

　　地面接收站

　　卫星地面主站

　　视频监控系统CCTV监控

　　交换机

　　船岸系统船舶服务器

　　滨海268船硬件及P设置

　　AIS船舶自动识别系统 计程仅主机报警系统

　　图A.1 海上船舶物联网逻辑网络拓扑结构示意图

　　SY/T7796—2024

　　附录B

　　(资料性)

　　物联网硬件与软件清单

　　船舶物联网硬件与软件清单格式见表B.1。

　　表B.1物联网硬件与软件清单

　　船舶名称： 填表时间：年月日 序号 名称 厂家 型号 规格 单位 数量 出厂时间 备注 制表人： 负责人：

　　附录C

　　(资料性)测点设备清单

　　船舶物联网测点设备清单格式见表C.1。

　　表C.1测点清单 设备/系统名称 检测范围 信号来源 测点名称

　　附录D

　　(规范性)

　　安全测评内容清单

　　按表D.1要求进行安全测评。

　　表D.1安全测评内容清单

　　船舶名称： 填表时间：年月日 检查项 检查内容 检查结果 问题记录

　　身份鉴别 是否需要输入用户名和口令方能登录操作系统 □是口否 系统账号的密码是否足够复杂 □是口否 是否开启了密码复杂性要求 □是口否 要求最短长度是否在8位以上 □是口否 最长使用期限设置是否合理 □是口否 是否未勾选密码永不过期 □是口否 强制密码历史是否大于或等于3 □是□否 用可还原的加密来存储密码是否已禁用 □是口否 是否开启了登录失败处理机制 □是口否

　　访问控制 是否合理配置应用账号或用户自建账号权限 □是□否 是否删除系统中多余的自建账号 □是□否 系统重要文件夹或文件是否进行了严格的权限限制，避免EVERYONE完全控制 □是□否 是否已删除无用的默认共享 □是口否 是否更改缺省系统管理员账户名称 □是□否 是否停用Guest账户 □是口否 是否已启用“网络访问：不允许SAM账户和共享的匿名枚举” □是□否

　　入侵防范 是否停止或禁用与承载业务无关的服务 □是口否 是否未安装多余的组件及应用程序 □是□否 是否及时更新操作系统 □是□否

　　资源控制 是否采取措施限制登录服务器的主机 □是口否 是否设置带密码保护的屏幕保护，时间设置是否合理 □是口否 是否对单个账户的资源使用进行了限制 □是口否 制表人：负责人：

　　附录E (资料性)完工验收清单

　　完工验收清单见表E.1。

　　表E.1完工验收清单 验收名称 船端物联网完工验收 船舶名称 施工方 验收内容 序号 验收内容 验收结果 1 施工中确保人员和物 品安全 □合格 □不合格 2 物联网设备连接牢固可靠，布线满足船检及相关安全要求 □合格 □不合格 3 系统网络IP地址、VLAN及路由设置 □合格 □不合格 4 物联网与卫星通信设 备连接 □合格 □不合格 5 物联网各终端连接组网畅通 □合格 □不合格 6 服务器操作系统、杀 毒软件安装 □合格 □不合格

　　验收意见

　　合格，验收通过。不合格，需返工，

　　备注：

　　延期验收

　　验收人员会签栏

　　船长：

　　施工方：

　　年月日

　　附录 F

　　(资料性)

　　网络故障排除清单

　　网络故障排除清单见表F.1。

　　表F.1网络故障排除清单

　　船舶名称： 填表时间：年月日 序号 故障类型 排除方式 故障位置 排除时间 使用工具 制表人： 负责人：

　　SY/T7796—2024

　　参考文献

　　[1]船舶网络安全指南(2023)中国船级社

　　[2]EC 62443-2-1 Industrialcommunicationnetworks—Networkand systemsecurity—Part 2-1:Establishing an industrial automation and control systemsecurity program