现如今，石油行业的数字化变革为油气田勘探开发生产带来极大改变和推动力，各国海上平台都在逐步向“少人化”甚至“无人化”上发展，海上平台运行将越来越智慧且高效，为行业降本增效带来显著效果。

海上平台通过数字化、智能化提升以及陆地智控分中心建设，将打造成具备全面感知、数据互联、预警诊断、协同运营和科学决策的油田智能装备，实现提质降本增效和安全管控的目的，进而争取到更多生产运营一体化总包的业务量，实现开源和创收。但现有海上平台存在物理空间小、数据存储需求大、现场运维不便等特点，因此，需要针对性设计统一的网络架构、安全架构、硬件架构，最大限度适配海上平台现场条件，搭建海上无人平台/辅助平台智算中心。

通常，海上平台智算中心业务系统包括智能巡检、智能监控、智能管理等。一般情况下，为了满足业务系统对于算力以及存储时长的要求，要独立部署5-6台配置了GPU算力卡的物理服务器，并需要配置专用的磁盘阵列和存储交换机、网络交换机等设备，这会带来较高的设备采购成本和部署周期。除了成本和时间因素外，海上平台的机柜空间也非常有限，无法提供满足以上设备的机柜空间。因此，需要设计一套性价比较高、集成度较高、占用空间较小的IT基础资源供给方案。

海上平台智算中心业务系统需要从海上平台的工控网采集数据，并通过办公网将海上平台生产数据推送给陆地操控中心，以供技术专家进行决策。然而，由于涉及将办公网和工控网打通来实现数据通信，可能导致办公网的安全风险通过办公网和工控网之间的网络通道进入工控网，对工控网下达异常工控指令或传播病毒，导致安全事故的发生。因此，有必要对海上平台智算中心业务系统进行安全防护的设计，确保工控网到办公网的数据传输安全可靠。

海上平台日常工作人员通常是基础工人，他们没有IT设备和系统维护操作的技术能力。当海上平台的边缘智能计算系统需要调整资源或出现故障时，需要陆地上的技术工程师通过摆渡船、直升机等方式前往海上平台进行现场处理。然而，这种方式处理问题的周期较长，响应较慢，不利于问题的及时解决。因此，需要一种远程维护的管理方式，使技术工程师可以在陆地上远程解决非硬件故障问题，以提高运维效率。

海上平台智算中心技术方案包含IT基础资源、网络安全防护以及陆地操控中心集中管理三部分能力，总体拓扑图如下：

图1 海上平台智算中心总体拓扑图

在海上平台部署一套两节点最小单元内的超融合系统，硬件服务器搭载GPU算力卡。海上智算中心超融合服务器典型规格推荐硬件规格如下：

超融合系统是一种横向扩展的软件集成基础架构云操作系统，包括计算虚拟化、存储虚拟化、网络虚拟化等关键能力。虚拟化软件可以抽象化和池化底层资源，并将它们动态分配到在虚拟机或容器中运行的应用，从而可以将多个超融合节点的计算、存储、网络资源资源池化，为用户提供逻辑上独立的服务器，分别根据不同智算中心系统组件的资源需要独立部署，灵活分配IT资源。

图2 超融合架构图

相较于市面上主流超融合产品三节点起步，威努特超融合系统最小支持两节点部署，在两节点的部署模式下具备存储两副本的配置方式，满足基本的数据冗余能力，当任意一台节点宿主机故障时，依旧可由另一台宿主机承载业务并保证数据完整不丢失。同时，二节点部署模式可以通过两条万兆光纤接口互联，即可实现二节点的存储网络搭建，不用额外购置存储网络交换机，整体方案部署起点更低，占用空间更小，性价比更高。

超融合系统支持GPU卡直通虚拟机和虚拟vGPU虚拟机两种模式，可根据智算中心业务系统的实际GPU算力需求，灵活分配GPU资源，实现强大的图形处理能力，满足不同系统的算力需求。

威努特超融合系统具备对虚拟机资源的弹性伸缩能力，当海上平台智算系统虚拟机的CPU、内存在一段时间内持续占用率较高，并触发设定好的阈值时，系统认为该虚拟机资源无法满足现有业务需要，将自动给虚拟机添加CPU和内存资源，以保障业务系统的正常使用和性能，从而使陆地技术工程师无非过度关心海上平台智算中心的资源使用情况，自动化保证系统稳定运行所需的计算资源。

图3 弹性伸缩流程图

在海上平台智算中心与海上平台工控网之间部署一台工控安全隔离与信息交换系统，在与集团办公网之间部署一台工业防火墙，在海上平台智算系统虚拟机上部署工控主机卫士。

图4 海上智算中心网络安全设计

利用海上平台智算中心与海上平台工控网之间的工控安全隔离与信息交换系统（工控网闸），作为智算中心与工控网的边界管控措施。安全隔离与信息交换系统由内端机、外端机、数据迁移控制单元组成“2+1”系统架构，如下图所示：

图5 工控安全隔离与信息交换系统数据摆渡逻辑

将工控网连接至内端机，作为可信网络区域；将智算中心连接至外端机，作为非可信网络区域。内端机和外端机分别作为工控网和智算中心网络会话的终点。所有由工控网OPC服务器发送至智算中心实时数据库的数据都从TCP/IP协议中剥离，被剥离的数据再通过数据迁移控制单元在内外端机之间进行传输。内端机与外端机之间采用专用传输隔离硬件和专用协议相连，从而阻断了从任何一端网络对另外一端网络发起的攻击。

由于数据迁移控制单元使用专用的私有协议与内外端机进行通信，且其驱动程序模块也是独立编写的，在这种情况下，即使黑客试图通过代码分析洞悉安全隔离与信息交换系统一端机的接口，也无法通过控制单元攻击到另外一端机，也就无法攻击到另一端网络。

同时配置工控安全隔离与信息交换系统的OPC数据通道，确保OPC协议由工控网到中心的单向、只读方式传递至海上平台智算中心实时数据库，确保工控网边界安全。

利用海上平台智算中心与集团办公网之间的工业防火墙，作为办公网和智算中心的网络边界，防火墙策略上只开放必要的WEB服务端口和数据传输端口；同时，利用工业白名单功能对OPC协议进行深度解析和控制；结合IPS入侵防御特征库与恶意代码库，对办公网、海上平台智算中心交互流量中的异常行为、恶意代码进行拦截、审计。

利用在智算中心系统虚拟机上部署的工控主机卫士，通过程序白名单功能将系统内必要的程序、进程、脚本建立起安全白名单，当虚拟机执行程序时与白名单进行对比，非白名单程序进行拦截，同时由于该功能对于恶意代码的防护不依赖任何特征库，因此不需要实施特征库升级即可实现长效的虚拟机防护。

图6 主机卫士程序白名单

在陆地操控中心部署一套超融合统一管理系统，对作业区范围内所有海上平台智算中心的超融合系统统一纳管，实现远程对现场集群的硬件物理资源与虚拟化资源进行统一管理，其中，硬件物理资源包括节点运行、CPU/GPU、内存、磁盘等状态与使用情况；虚拟化资源包括虚拟机、虚拟网络、虚拟存储等状态与使用情况。提供统一的用户策略与日志告警平台，并支持利用一键巡检功能，随时了解各平台超融合系统的资源的健康状态。

图7 统一IT资源管理

在陆地操控中心部署一台统一安全管理平台，对海上平台智算中心中工业互联防火墙、工控主机卫士、工控安全隔离与信息交换系统进行统一纳管。实时收集现场安全资产产生的安全事件、告警，并做到统一分析展示，同时可对现场的安全资产进行批量下发。

图8 统一安全管理

相对于传统IT基础资源方案，本方案使用的设备数量少、占用机柜空间小、性价比高，满足海上平台智算中心的IT资源供给。

综合考虑工控网和集团办公网连通后的网络安全，将海上平台智算中心作为两张网数据连通的缓冲区，最大限度保证数据跨网安全。

部署的超融合系统、网络产品均能在陆地操控中心集中管理控制，常见策略、配置修改及非硬件故障损坏均可由技术工程师在陆地操控中心远程维护，提高运维效率。

在现代信息技术的赋能下，海上智能油田实现了油藏、注采和设备设施的智能化管理以及远程操控管理，从而实现海上油田少人化无人化、油藏研究可视化、生产运营协同化、战略决策科学化，进而推动生产方式转变和管理流程优化，构建“智能、安全、高效”的新型海上油气开采运行模式。威努特充分考虑海上平台现状及业务特点，针对海上平台场景打造海上平台智算中心方案，助力海上平台数字化、智能化转型。