各基层医疗卫生事业单位:
为进一步加强新北区区域卫生信息化建设,完善新北区基层医疗机构机房建设管理,现将《常州市新北区基层医疗机构信息化机房达标建设方案(试行)》印发给各单位,请遵照执行。
常州市新北区社会事业局
2017年6月19日
常州市新北区基层医疗机构信息化机房达标建设方案(试行)
第一章概述
一、概述
医院网络中心机房是医院信息系统的核心,运行着大量的服务器、计算机、存储设备和网络设备,其主要职能是为医院数据信息提供传递、处理、存储与管理,由于机房建设问题引起的设备或系统故障日见频繁,机房建设越来越受到人们的重视。
医院网络中心机房建设是一项系统工程,包括综合布线、抗静电地板铺设、UPS电源、专用恒温恒湿空调、机房环境及动力设备监控系统、新风系统、漏水检测、地线系统、防雷系统、门禁、监控工程等。
二、设计原则
1. 本机房建设依据国家有关标准,充分利用、整合现有资源,按照“实用可靠、有效适度、经济节约、技术先进”的总体原则实施。在机房设计、建设过程中充分考虑方便今后的运行维护,并能有效降低机房运行及维护成本。
2.系统的成熟性:充分考虑技术的成熟性,保证系统的可靠运行具有重要的意义。
3.系统的经济性:不仅要达到系统设计的技术要求,同时也要在合理地范围内控制系统成本,即追求最高的性能价格比。
4.系统的可管理性:应具有良好的可管理性。来保证系统高效、可靠、安全地运行。
5.系统的可靠性:设计过程中将采取有效的措施来保证系统的可靠性,包括提高系统的冗余能力,提高关键设备的容错性。
6.系统的先进性:在设计的当时是先进的,以保证在相当一段时间内,系统不致被淘汰。在保证成熟性和经济性的前提下,尽可能的先进。
三、设计依据与规范
机房相关规范:
GB50174-2008 电子信息系统机房设计规范
GB/T 2887-2011 计算机场地通用规范
GB/T 9361-2011 计算机场地安全要求
GB 50462-2015 数据中心基础设施施工及验收规范
GB 50016-2014 建筑设计防火规范
GB50222-1995 建筑内部装修设计防火规范
GB 50052-1995 供配电系统设计规范
GB 50054-2011 低压配电设计规范
JGJ 16-2008 民用建筑电气设计规范(附条文说明[另册])
GB 50034-2013 建筑照明设计标准
GB 50149-2010 电气装置安装工程母线装置施工及验收规范
GB 50168-2006 电气装置安装工程电缆线路施工及验收规范
GB 50169-2016 电气装置安装工程接地装置施工及验收规范
GB 50172-2012 电气装置安装工程蓄电池施工及验收规范
GB 50303-2015 建筑电气工程施工质量验收规范
GB 50243-2016 通风与空调工程施工质量验收规范
GB 50235-2010 工业金属管道工程施工规范
GB/T 3091-2015 低压流体输送用焊接钢管
GB 50057-2010 建筑物防雷设计规范
GB/T 3482-2008 电子设备雷击试验方法
GB 50343-2012建筑物电子信息系统防雷技术规范
GA 173-2002 计算机信息系统防雷保安器
GB 50116-2013 火灾自动报警系统设计规范
GB 50314-2015 智能建筑设计标准
GA/T 75-1994 安全防范工程程序与要求
四、设计目标
医院网络系统建设总体目标如下:
1.采用先进网络技术,同时注重该技术的成熟性,要求选择的技术符合国家标准。能够与主要网络厂商的产品及网络技术较为方便的实现互联。
2.采用的技术及设备应该具有易升级及可扩展性,能够向未来的高速网络技术和不断出现的新应用过渡。
3.适应桌面计算机处理、I/O能力大幅度提高的现状,发挥桌面机的网络性能,提高桌面的访问带宽。
4.适应联网规模大、总流量大的情况,合理分布流量,实现有效的安全访问控制和运行管理。
5.适应部门多、层次复杂的特点,合理进行网络划分,实现有效的安全访问控制和运行管理。
6.增加网络系统的运行可靠性,降低故障隐患,提供系统的可管理性。
7.适应机构建制和工作流程,提供多层次的安全保障。
简而言之,以实用性、先进性、开放性、可扩展性和安全可靠性为建网的主要原则。综合各种网络技术的特点,综合考虑到医学信息对网络传输速度和传输带宽的具体要求,以及目前网络技术发展的趋势和网络的可扩展性,应采用以光纤为主要数据干线,六类非屏蔽双绞线(UTP)为水平传输介质高速以太网,主干网络符合TIA/EIA-568B CAT6的性能要求,传输频宽达350MHz,可对语言和视频的传输都可以达到较好的效果。
五、基层卫生院网络拓扑现状举例
某乡镇卫生院网络拓扑图
说明:上图以新北区其中的一家乡镇卫生院为例,介绍了新北区基层医疗卫生单位典型网络连接情况
六、网络建设目标拓扑
说明:该拓扑为最终设想,整体网络可分为内网和外网两部分,通过网闸隔离内网和外网,实际部署时,可采用分期建设,前期暂不考虑网络设备的冗余及采购安装网闸设备。
内网:内网网络整体架构采用二层网络架构(核心层-接入层),采用星型网络拓扑形式,在保证内网网络的安全可靠性的前提下,又要顾及到经济性原则,主机房核心交换机采用双核心热备份的方式(vrrp),每套核心交换机都配备双交流电源,在实现数据高速转发及数据的分流处理的同时。提高了网络的可靠性。核心交换机上端通过防火墙来提供与外部专有网络的互联;防火墙通过六类线与主机房两台核心交换机连接,核心交换机采用双机热备份、双链路的方式通过千兆多模光缆连接到各接入交换机上,整体网络采用千兆主干,千兆到桌面的连接方式。对于网络的内网安全,采用网络防火墙来实现,通过相应策略的配置,来实现内网的数据安全。
外网:外网网络整体架构采用二层网络架构(核心层-接入层),采用星型网络拓扑形式,考虑到外网网络运行的稳定性,核心交换机采用单核心、双电源的方式,核心交换机上端通过防火墙来提供与互联网的互联;防火墙通过六类线与外网核心交换机连接,核心交换机通过千兆单模光缆连接到各接入层交换机上,整体网络采用千兆主干,千兆到桌面的连接方式,对于网络的外网安全,采用网络防火墙来实现,通过相应策略的配置,来实现外网的数据安全。
网络安全部署:网络层安全需求是保护网络不受攻击,确保网络服务的可用性。网络层的安全需求是面向系统安全的,具体包括划分VLAN;逻辑隔离内、外部网络、以及核心数据区;实现网络的边界安全,在网络的入口设置安全控制等。为实现网络的安全,可采用以下安全措施:
1.部署访问控制列表,明确各网段用户的权限,防止无关用户对数据的有意或无意破坏以及对数据的非法存取。
2.内、外网均划分VLAN,通过VLAN实现对终端用户的限制;
3.IP访问控制。网络层通过IP-MAC实现地址绑定,或者通过核心交换机的ACL策略来通过IP实现访问控制。
4.在核心三层交换机上设定包过滤规则实现到特定服务器按源IP地址的访问控制。
5.内、外网物理隔离。在内网和外网互联区域部署网闸(GAP)。为实现内网和外网之间进行数据交换的同时,又要保证高强度的网络安全,建议在网络之间部署一台安全隔离网闸,起到防止内部信息泄漏和外部病毒、黑客程序的渗透的作用。
6.网闸采用路由模式部署,直接通过双链路分别连接内、外网核心交换机,确保当一条链路发生故障时,另一条备用链路快速切换工作,提高网络的稳定性和可靠性。
7.在网络边界部署防火墙。提高网络的安全性,并通过过滤不安全的服务来降低风险。
根据网络整体安全考虑,内、外网防火墙均部署在网络边界,防火墙设置原则如下所示:建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问;定期查看防火墙访问日志;对防火墙的管理员权限严格控制。
8.加强对网络资源的管理和控制。
第二章机房设计方案
一、机房装修及防静电地板铺设
(一)装修材料选用原则
体现特点——营造高科技现代化的办公环境、人性化设计理念。
布局明了——考虑计算机系统、网络设备及其它附属设备的布局,便于管理。
格调淡雅——恰当的色彩搭配,营造出一种淡雅、明净、柔和、协调的氛围,令人赏心悦目。
健康环保——在材料选用方面要充分考虑环保因素,选用气密性好、不起尘、无毒、易清洗的材料。
(二)装修材料介绍
1.抗静电活动地板
按照 《计算机场地通用规范》(GB/T 2887-2011)电子计算机房场地内需安装抗静电活动地板。根据贵单位实际情况,建议使用:有边抗静电活动地板。规格为600*600*35,贴面为抗磨防火材料,厚度不小于1mm。该地板具有抗静电性能好、不起尘、易清洁、无色差,装饰效果好、整体感强、平整、耐磨、易除尘、不褪色等特点。
机房内部防静电地板需做等电位体,整个地板通过导线连成一个金属整体,并与室外地极良好连接
按照《电子信息系统机房设计规范》(GB50174-2008 )的要求,机房地板敷设高度应按实际需要确定,宜为250~400毫米,由于地板下作为机房专用精密空调送风通道的静压箱,并且机房内大量的强弱电线路要在地板下敷设,建议工程地板完成面设计高度为400毫米。
2.地面防尘
由于计算机机房对灰尘环境的要求较高,防止机房楼地面出现灰尘现象,地面在做清洁处理后建议采取防尘处理。
3.铝合金微孔板吊顶
机房区域安装矩形微孔铝板吊顶。按照《计算机场地通用规范》(GB/T 2887-2011),计算机房的净高依机房面积大小而定,一般高度为2.5~3.2米。为了保持机房区内顶棚的洁净及因温差过大而产生结露现象,机房内顶面在吊顶前做保温处理,保温板选用25毫米厚的阻燃橡塑。吊顶板上可安装灯具、火灾探测器等设备。
4.机房墙面
可选择防燃材料或涂料进行机房墙面的装修,也可采用铝塑板饰面的墙面装饰方式。装饰效果要求简洁、大方。
二、机房配电系统
(一)总述
计算机机房提供电能质量的好坏,将直接影响计算机系统正常、可靠的运行,也影响机房内其它附属设施的正常工作,同时机房对接地、雷电防护、机房屏蔽等均有特定要求。为了保证计算机的可靠运行,必须建立一个优质、稳定、安全、可靠的供配电系统。
(二)电能质量
名称
参数
市电
电压偏移范围
±2%
频率偏移范围
±0.2%
电压波形畸变率
3-5%
允许断电持续时间
0-4ms
照明
≥300Lx
事故照明
5Lx
(三)供电系统
配电室引用双电源直接供电至机房配电间的市电总配电柜,供UPS系统和其它设备用电。考虑到计算机系统以后升级、扩展等的可能性,配电柜设计容量为10KV,使整个供配电系统更安全、可靠、灵活、优质、稳定、经济且维护简便。电源经UPS稳频稳压、调整电压波形后为计算机设备供电,与此同时也为UPS的后备电池充电;一旦市电回路停电后,UPS的后备电池立即放电,经UPS逆变后给计算机设备供电,这样即能保证计算机设备的供电质量,又能保证无间断、长延时供电。
非计算机负荷包括机房内空调、照明等所有除计算机设备以外的用电负荷,这部分负荷对供电的要求较低。由于非计算机负荷在起动时起动电流较大、频闪较严重,均会产生高次谐波等冲击脉冲,影响电压的稳定性,导致电压波形畸变。因此,机房管理人员要经常注意电源和负荷的运行参数和工作状态,及时掌握机房内的工作情况。
设计时可采用1台配电柜,为UPS供电的计算机设备和市电供电的非计算机负荷使用。配电柜内设有电压电流指示、防雷防过压、短路、过载、过流等保护器,保护设备运行安全和人身安全。UPS的输出功率(KVA)=负载总功率(KW)÷功率因数÷功率裕量,目前机房设备不多,负载总功率最大可达6KW。一般来说,服务器及网络等设备属于整流性负载,功率因数大多为0.7—0.8。同时未来几年扩容的需要,可考虑20%左右的冗余,即: 6000W÷功率因数0.8÷功率裕量0.8≈10KVA, 所以应选用10KVA 在线式UPS电源系统,电池系统后备时间建议1小时以上。
配电柜内均需预留相应的备用开关位,主进线电缆、开关、接触器等均留有一定的富裕容量,以备以后增容和增加用电设备时使用。配电柜内均需设有独立的市电零、地母排,UPS配电柜内还需设有独立的计算机专用零、地母排,均有明显的标记,便于施工中接线和检查。配电柜还需设有紧急联锁接线端口,与消防紧急断电按钮相连,一旦发生火灾,能迅速切断电源,阻止火灾蔓延,减少事故损失。
配电柜内的开关设备都需留有一定备用数量,这样既能满足在现有设备下的正常工作,充分保证电源系统的安全性和可靠性,又为将来设备的增容留有余地。
(四)配电系统
机房区内的配电系统采用放射式(如重要设备)和树干式(如次要设备)相结合方式。计算机设备配电采用均匀分布在活动地板下的计算机专用插座供电,随用随插,方便灵活,减少地板面上走线;重要的计算机设备如小型机等,采用单独回路的方式,更安全可靠。所有强电均通过桥架与镀锌钢管到达使用端,并在地板下架空敷设。
机房内所有计算机设备的电源线均采用优质铜芯电缆,并做屏蔽处理,防止对外界的电磁干扰,保证计算机设备供电源的电能质量。空调等动力设备采用优质铜芯电缆直接供电;其他如照明、墙面插座、计算机专用插座等均采用BV导线穿镀锌电线管的方式。
供配电系统工程施工工艺严格按照现行行业规范和设计要求施工,所有的电力电缆均用金属线管、线槽屏蔽,地板下布线,这样可实现电力电缆与通信电缆两类电缆互不混合。这种布线方式有着良好的屏蔽效果,同时走向明确并具有防鼠咬、防火性能。为使地面线管、线槽安全可靠,所有地板下线管、线槽均架空安装,所有线管、线槽之间都采用锁母连接,做好跨接处理。
机房内所有计算机和网络设备的电源插座安装在地板下。辅助设备维修用电插座安装在高于地板面300毫米的墙壁上,间隔约3米一个。
市电空调插座安装的在相应的位置,独立供电。两类插座按边框颜色区分,市电采用常规乳白色面板,UPS采用有色面板。
(五)机柜及其它外设
机柜使用2台42U 600*1000*2000标准19英寸机柜,内配2个托盘、地角4支、小轮4支,承重在800KG以上;机柜材质使用优质的冷轧钢板,角规厚度为2.0mm,其他1.2mm。机柜表面进行了脱脂、酸洗、防锈磷化、清洗以及静电喷涂,极大的提高了内部各类设备的安全性。机柜内部使用KVM,拥有一台用户控制台,最多可以支持8台服务器切换控制。
三、机房空调
机房空调一般采用精密空调系统,以此维持机房内恒温恒湿状态,结合实际使用情况及成本考虑,我们不建议在短时间内采用精密空调,而只需配置一台大功率普通空调进行制冷,结合温度、湿度监控,并增强人员对机房的有效管理,将温度控制在18℃~28℃范围内(此温度范围为UPS电池要求温度,而由于条件限制,UPS基本放置在机房内,所以要求机房温度控制在此范围),在设备开机时相对湿度保持在35%~75%范围内,在设备停机时相对湿度保持在20%~80%范围内。同时,保持机房的正压环境。
四、机房防雷接地
机房雷电分为直击雷和感应雷。对直击雷的防护主要由建筑物所装的避雷针完成;机房的防雷(包括机房电源系统和弱电信息系统防雷)工作主要是防感应雷引起的雷电浪涌和其他原因引起的过电压。
(一)直击雷方面
1.避雷带:沿楼顶女儿墙走向用Φ10镀锌圆钢铺设避雷带,每间隔20米用Φ10镀锌圆钢做一避雷网格,在大楼的每个角处用Φ10镀锌圆钢做一个30厘米的短针。避雷带和避雷网格用支架固定,支架高0.15米,每间隔1米做一垂直支架,并通过引下线与接地系统连接。网格避雷支架固定在预制的水泥块上,原有避雷针如固定比较牢固可与避雷带进行有效连接。
2.引下线:在大楼的四个角和每间隔20米处用Φ10镀锌圆钢做一引下线,引下线距离地面2米处做一断绝卡,断绝卡下部分外穿pvc管。
3.接地:按照国家关于电子信息系统防雷标准的要求,所要求直击雷的接地电阻不能大于10Ω。从安全的角度及根据国家标准需在每条引下线处做一接地系统,具体做法为做一个0.8×10米地网,每个接地极采用2根40×4镀锌角钢间隔4米一字排开,做垂直接地极(每根角钢长2.5米)用40×4镀锌扁钢做水平连接,连接方式采用焊接方式。焊接完毕后要对焊点进行防腐预防工作,简单的做法为在焊点上刷防腐漆进行防腐。采用这种做法的优点是:施工简便,成本低廉。
(二)电源方面
1.在机房所在大楼的总配电处安装电源防雷器做电源的一级防护,防雷器前端串联安装63A空开用来保护防雷器,一级防雷器接地线采用25平方的多股铜线,防雷器和空开安装在回路箱内。
2.在机房配电处安装电源防雷器做电源的二级防护,防雷器前端串联安装32A空开用来保护防雷器,二级级防雷器接地线采用10平方的多股铜线,防雷器和空开安装在回路箱内。
3.在每个机柜设备前端安装插座式防雷器,作为电源的第三级保护。
4.计算机信号进、入为光纤传输,只需将光纤的铁拉线接地即可。
(三)等电位连接方面
等电位连接,在机房静电地板下面建议用40*4铜排铺设均压环,将机房内所有设备外壳、防雷器接地线以最短的方式连接到等电位连接箱内,使整个机房的设备处于真正的“零”电位上。所有进入机房的金属结构件都应该通过扁钢、铁箍或10mm2的多股导线与地网相连接,防止通过这些金属结构件将感应电流引入机房。
(四)接地方面
按照国家关于电子信息系统防雷标准的要求,机房接地的接地电阻不能大于4Ω。机房接地的具体做法是在大楼附近向下挖长6*2米的环形地网,80cm深60cm宽,走40*4扁钢,地线排。从一头每间隔4m向下砸40*4镀锌角钢做垂直接地体用,直到满足上门要求为止。地线排与接地体焊接。在接地端距地面50cm处安装段接卡,50cm以上部分用25平方多股铜线连接机房等电位连接箱。连接方式采用焊接方式。焊接完毕后要对焊点进行防腐预防工作,简单的做法为在焊点上涂以防腐漆进行防腐。
五、综合布线系统
(一)整体技术要求
设备制造商生产的六类系统必须获得中华人民共和国信息产业部关于最新六类布线系统标准的合格认证。综合布线所采用的布线产品包括线缆、跳线、面板、配线架、光缆、光纤接插件、工具及耗材必须具备出厂检验合格证和产品质量检验合格证。
(二)综合布线要求
电源线、地线要和信号线分开布放;电缆槽内缆线布放应顺直,尽量不交叉,在缆线进出线槽部位、转弯处应绑扎固定,其水平部份缆线每间隔5—10m绑扎。垂直线槽布放缆线应在缆线的上端和每间隔1.5m固定在缆线支架上,缆线的弯曲半径应符合下列要求:
1.非屏蔽4对对绞电缆的弯曲半径应至少为电缆外径的4倍;
2.屏蔽4对对绞线电缆的弯曲半径应至少为电缆外径的6—10倍;
3.主干对绞电缆的弯曲半径应至少为电缆外径的10倍;
4.光缆的弯曲半径应至少为光缆外径的15倍。
缆线端接的一般要求如下:
1.缆线的布放应自然平直,不得产生扭绞、打圈接头等现象,不应受外力的挤压和损伤;
2.缆线两端应贴有标签,应标明编号,标签书写应清晰、端正和正确。标签应选用不易损坏的材料;
3.缆线终接后,应有余量;
4.缆线中间不允许有接头;
5.缆线终接处必须牢固、接触良好;
6.缆线终接应符合设计和施工操作规程。
所有墙上型信息插座均距地300mm;所有地面信息插座距强电插座中心距离不小于300mm,主机房信息点位不少于6个,支持区信息点不少于2个。、
(三)标识标签
1.设备名称部分:在设备只有一台的情况下,在设备名称之后加上数字来表示设备的实际数量。
2.走线路由:对机房的所有走线槽进行编号,按照线缆走向顺序写出直线槽编号,机柜内部线缆直接写机柜内部走线。
3.PDU标签:与线缆标签一致,只是在线缆标签设备名称后面增加具体的PDU端口号,PDU端口编号由PDU进线端开始编号,以此类推。
4.粘贴位置:距离线缆接头处3CM,特殊情况可特殊处理。
六、消防系统
计算机机房是数据交换处理的枢纽,各种发热电子设备及强弱电线路汇集,存在火灾风险。一旦火灾发生,不仅可能使昂贵的计算机网络及各种专用设备付之一炬,而且会造成整个系统瘫痪,损失无法估量,所有机房必须配备灭火相关设施设备。根据机房建设经验和功能特点,建议采用七氟丙烷气体进行灭火,不仅可适应电气灭火的要求,而且不损坏机房电子设备。主要有两种方式,一种是为机房配置对应面积需求数量的七氟丙烷手提式灭火器,此种方式节约成本,但需要人工操作,一旦发现火灾,扑就不及时,将造成较大损失;另一种方式是采用七氟丙烷气体自动灭火系统。该系统配合烟感、温感探测器及电气盘继电器(开关分励脱扣器)、风机启停控制器等通过联动控制盘启动对消防区域实施自动灭火,实现机械应急手动、电气手动、自动控制三位一体的控制模式。
七、机房监控(有条件单位配备)
1.监控图像实时监视:对机房关键区域和出入口通道进行24小时全天候监控,现场画面实时显示在本地或监控中心的屏幕上。
2.监控图像存储和备份:前端摄像的音视频信号经编码压缩转换,录制成文件方式保存在本地硬盘中,支持长时间连续不间断的录制和存储。前端所有网点的NVR可实现本地实时或动态录像,录像文件和资料至少保存1个月。
3.监控图像本地回放:本地可以通过监控录像回放软件,直接在前端监控端上显示,支持时间进度条查询和文件查询双模式,支持同步播放模式和自由模式,切换自如。
4.监控图像控制:通过云台和快球等控制前端摄像的前后、左右、上下转动,通过镜头的三可变装置控制景深、焦距和光圈等。
八、机房动力监测系统(有条件单位配置)
随着社会信息化程度的不断提高,机房计算机系统的数量与日俱增,其环境设备也日益增多,机房环境设备(如供配电系统、UPS电源、消防系统、保安系统等)必须时时刻刻为计算机系统提供正常的运行环境。因此,对机房动力设备及环境实施监控就显得尤为重要。
机房环境及动力设备监控系统主要是对机房设备(如供配电系统、UPS电源、防雷器、空调、消防系统、保安门禁系统等)的运行状态、温度、湿度、洁净度、供电的电压、电流、频率、配电系统的开关状态、测漏系统等进行实时监控并记录历史数据,实现对机房遥测、遥信、遥控、遥调的管理功能,为机房高效的管理和安全运营提供有力的保证。