ADNET智能工廠網(wǎng)絡(luò)建設(shè)方案

新華三技術(shù)有限公司

網(wǎng)絡(luò)改造技術(shù)篇/成熟技術(shù)/工廠內(nèi)網(wǎng)改造

1 概述

本方案旨在為制造業(yè)企業(yè)提供一套可靠的智能工廠網(wǎng)絡(luò)建設(shè)方案。方案利用工業(yè)物聯(lián)網(wǎng)、SDN、IPv6等新興技術(shù)，實(shí)現(xiàn)工業(yè)場(chǎng)景下人員、設(shè)備、物料、產(chǎn)品的海量互聯(lián)，為工廠實(shí)現(xiàn)智能生產(chǎn)、協(xié)同制造和柔性制造提供網(wǎng)絡(luò)支撐。

1.1 背景

近年來，制造業(yè)企業(yè)正面臨著供給側(cè)改革的時(shí)代命題，轉(zhuǎn)型升級(jí)的需求十分迫切。而傳統(tǒng)工廠IT系統(tǒng)與工控系統(tǒng)間的通信往往存在較多障礙，具體表現(xiàn)在：

1) 工業(yè)控制協(xié)議標(biāo)準(zhǔn)各異，各廠家設(shè)備難以互通；

2) 工業(yè)現(xiàn)場(chǎng)存在很多信息孤島，網(wǎng)絡(luò)性能亟待提高。

這些問題導(dǎo)致現(xiàn)有工廠網(wǎng)絡(luò)無法支撐數(shù)字經(jīng)濟(jì)下的制造業(yè)生產(chǎn)運(yùn)營(yíng)模式。隨著物聯(lián)網(wǎng)、SDN、IPv6技術(shù)的日漸成熟， ADNET智能工廠網(wǎng)絡(luò)建設(shè)方案（ADNET即應(yīng)用驅(qū)動(dòng)網(wǎng)絡(luò)）的提出，幫助制造業(yè)企業(yè)完成工廠網(wǎng)絡(luò)的升級(jí)改造。

1.2 實(shí)施目標(biāo)

1) 實(shí)現(xiàn)工廠有線無線網(wǎng)絡(luò)全覆蓋，解決信息孤島的問題。有線網(wǎng)絡(luò)的時(shí)延、穩(wěn)定性達(dá)到工業(yè)現(xiàn)場(chǎng)要求，同時(shí)兼容IPv4/IPv6雙棧。無線網(wǎng)絡(luò)根據(jù)工廠實(shí)際需求支持Wi-Fi、RFID、4G/5G、NB-IoT、LoRa、ZigBee、藍(lán)牙等信號(hào)中的一種或幾種，同時(shí)無線信號(hào)質(zhì)量高，滿足場(chǎng)景要求。

2) 對(duì)主流工業(yè)現(xiàn)場(chǎng)總線協(xié)議進(jìn)行適配，實(shí)現(xiàn)生產(chǎn)網(wǎng)和信息網(wǎng)的雙網(wǎng)融合互通。

3) 基于SDN技術(shù)部署工廠網(wǎng)絡(luò)，向上對(duì)接工廠云平臺(tái)，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自動(dòng)配置和業(yè)務(wù)快速部署，提升產(chǎn)線效率，減少人力投入。

4) 建立工廠網(wǎng)絡(luò)安全保障系統(tǒng)，實(shí)現(xiàn)人、機(jī)、物、系統(tǒng)的可控接入和行為審計(jì)，保證工廠的設(shè)備安全、網(wǎng)絡(luò)安全、控制安全、應(yīng)用安全和數(shù)據(jù)安全。

1.3 適用范圍

該解決方案適用于制造業(yè)工廠內(nèi)網(wǎng)絡(luò)的建設(shè)和升級(jí)改造，建設(shè)完成后的網(wǎng)絡(luò)能夠滿足工廠柔性制造、協(xié)同生產(chǎn)、個(gè)性化定制的業(yè)務(wù)需求。

1.4 在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)中的位置

該解決方案屬于工廠內(nèi)網(wǎng)絡(luò)建設(shè)方案，在下圖中所處位置包含1、2、3、4、5、6六部分的內(nèi)容。

圖1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖

2 需求分析

傳統(tǒng)的工業(yè)網(wǎng)絡(luò)存在以下問題：

1) 工業(yè)現(xiàn)場(chǎng)總線協(xié)議標(biāo)準(zhǔn)各異，不同廠家設(shè)備無法互通，存在數(shù)據(jù)孤島；

2) 數(shù)據(jù)孤島的存在使設(shè)備狀態(tài)無法得到有效監(jiān)控，進(jìn)而導(dǎo)致企業(yè)需要在計(jì)劃排產(chǎn)、物料配送、生產(chǎn)協(xié)同、質(zhì)量控制、設(shè)備檢測(cè)等環(huán)節(jié)投入大量的人力物力；

3) 傳統(tǒng)IP網(wǎng)絡(luò)采用盡力而為的傳輸機(jī)制，時(shí)延不穩(wěn)定且存在丟包，因此在一些時(shí)間敏感型場(chǎng)景無法使用；

4) 網(wǎng)絡(luò)安全問題層出不窮，工控設(shè)備普遍不打補(bǔ)丁，一旦設(shè)備聯(lián)外網(wǎng)就容易遭到入侵攻擊，導(dǎo)致工廠大面積癱瘓；

5) 生產(chǎn)區(qū)域的任意設(shè)備都可以隨意接入網(wǎng)絡(luò)，缺乏接入管控；

智能工廠網(wǎng)絡(luò)的建設(shè)目的是構(gòu)建連接人、機(jī)、物、系統(tǒng)的高性能泛在互聯(lián)網(wǎng)絡(luò)，實(shí)現(xiàn)工業(yè)數(shù)據(jù)的充分流動(dòng)和處理。為此，需要解決如下問題：

1) 傳統(tǒng)工控協(xié)議的適配問題

2) 設(shè)備物料的泛在接入問題

3) 數(shù)據(jù)穩(wěn)定低時(shí)延傳輸問題

4) 網(wǎng)絡(luò)智能化運(yùn)維管理

5) 網(wǎng)絡(luò)安全可控、終端準(zhǔn)入

3 解決方案

3.1 系統(tǒng)架構(gòu)

圖2 工廠內(nèi)網(wǎng)絡(luò)邏輯架構(gòu)圖

ADNET智能工廠網(wǎng)絡(luò)的建設(shè)內(nèi)容位于上圖紅框中，含邊緣接入層、核心匯聚層和安全保障三部分，其中：

? 邊緣接入層：主要負(fù)責(zé)邊緣設(shè)備接入、數(shù)據(jù)采集與邊緣計(jì)算。邊緣接入設(shè)備應(yīng)支持海量物聯(lián)網(wǎng)傳感器和智能硬件的快速接入和數(shù)據(jù)服務(wù)，滿足物聯(lián)網(wǎng)領(lǐng)域的設(shè)備連接、協(xié)議適配、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全、數(shù)據(jù)分析等服務(wù)需求。

? 核心匯聚層：本次方案采用SDN VxLAN技術(shù)設(shè)計(jì)工廠內(nèi)核心匯聚層網(wǎng)絡(luò)，網(wǎng)絡(luò)可以抽象為物理承載網(wǎng)絡(luò)和面向應(yīng)用的Overlay網(wǎng)絡(luò)。這種網(wǎng)絡(luò)設(shè)計(jì)方式的兩大特征是柔性網(wǎng)絡(luò)和軟件定義。柔性一方面指網(wǎng)絡(luò)架構(gòu)靈活，業(yè)務(wù)部署（應(yīng)用/終端）與位置無關(guān)；另一方面指以人和業(yè)務(wù)應(yīng)用為核心，所有網(wǎng)絡(luò)資源根據(jù)人和業(yè)務(wù)需要移動(dòng)。軟件定義指基于SDN思想將網(wǎng)絡(luò)控制平面集中，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的自動(dòng)部署、業(yè)務(wù)按需交付，將運(yùn)維人員從重復(fù)勞動(dòng)中解放出來。

圖3 核心匯聚層網(wǎng)絡(luò)的物理/邏輯架構(gòu)

? 安全保障：網(wǎng)絡(luò)安全是工廠業(yè)務(wù)平穩(wěn)運(yùn)行的基礎(chǔ)，ADNET智能工廠網(wǎng)絡(luò)方案具備完整的安全防護(hù)體系，包括安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全保護(hù)、數(shù)據(jù)節(jié)點(diǎn)接入控制，保證工廠IT基礎(chǔ)設(shè)施安全、業(yè)務(wù)系統(tǒng)安全、資產(chǎn)安全。

3.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

根據(jù)上述系統(tǒng)架構(gòu)，工廠實(shí)際部署的網(wǎng)絡(luò)拓?fù)淙鐖D4所示，根據(jù)地理位置可分為生產(chǎn)車間網(wǎng)絡(luò)、辦公接入網(wǎng)、核心匯聚網(wǎng)三部分：

圖4 ADNET智能工廠網(wǎng)絡(luò)實(shí)際拓?fù)鋱D

1）生產(chǎn)車間網(wǎng)絡(luò)

? 邊緣接入

在工業(yè)現(xiàn)場(chǎng)，數(shù)據(jù)接入方式有：傳感器類型的離散點(diǎn)(IO信號(hào)，模擬信號(hào))采集接入、設(shè)備工業(yè)現(xiàn)場(chǎng)總線協(xié)議或?qū)Ｓ袇f(xié)議類型接入和網(wǎng)絡(luò)TCP/IP直接數(shù)字接入。目前，ADNET智能工廠網(wǎng)絡(luò)方案涉及的工業(yè)物聯(lián)網(wǎng)設(shè)備已具備GB/T 33474-2016感知控制域中所列舉的數(shù)據(jù)接入能力。

圖5 數(shù)據(jù)采集接入示意圖

針對(duì)工業(yè)協(xié)議的適配，方案采用工業(yè)網(wǎng)關(guān)完成不同現(xiàn)場(chǎng)總線的接入轉(zhuǎn)換，實(shí)現(xiàn)Modbus、PROFIBUS、EtherNet/IP、SIEMENS S7Comm等協(xié)議的接入適配。

另一方面，方案也支持采用OPC UA的采集接入方式。OPC UA技術(shù)為工業(yè)生產(chǎn)各系統(tǒng)提供了統(tǒng)一接口標(biāo)準(zhǔn)。其中，OPC UA服務(wù)器和客戶端是系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)采集的核心環(huán)節(jié)。OPC UA服務(wù)器負(fù)責(zé)對(duì)底層設(shè)備數(shù)據(jù)進(jìn)行采集封裝，并將歷史數(shù)據(jù)存放于外加的數(shù)據(jù)庫(kù)內(nèi)，使多個(gè)客戶端以統(tǒng)一的方式獲取不同底層設(shè)備的數(shù)據(jù)。OPC UA客戶端的主要功能是搜索并連接OPC UA服務(wù)器，瀏覽服務(wù)器的地址空間并讀取其中存放的實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)，并通過客戶端顯示界面將數(shù)據(jù)以圖表的形式展示給工作人員。

? 工業(yè)以太網(wǎng)

工廠生產(chǎn)線上溫濕度、電磁干擾等環(huán)境相對(duì)復(fù)雜，方案擬在接入密度較高的區(qū)域采用機(jī)架式工業(yè)交換機(jī)，交換機(jī)支持Modbus TCP/IP、ProfINet、Ethernet/IP等工業(yè)以太網(wǎng)協(xié)議。另外，在一些特定場(chǎng)景將卡軌式工業(yè)交換機(jī)直接安裝在電器柜，交換機(jī)從電器柜內(nèi)取電。工業(yè)交換機(jī)按照產(chǎn)線做RRPP環(huán)路部署。按照這種部署方式，關(guān)閉生產(chǎn)線上的任一臺(tái)工業(yè)交換機(jī)，除直連到該交換機(jī)的設(shè)備網(wǎng)絡(luò)不通，其他網(wǎng)絡(luò)不受影響。

? 工業(yè)無線網(wǎng)

WLAN網(wǎng)絡(luò)：針對(duì)工業(yè)無線網(wǎng)的需求，方案基于802.11ac技術(shù)，采用無線控制器AC+瘦AP的部署方式構(gòu)建無線網(wǎng)絡(luò)。其中，Wi-Fi信號(hào)質(zhì)量和漫游問題是部署過程中的兩個(gè)難點(diǎn)。為保證WLAN網(wǎng)絡(luò)的信號(hào)覆蓋質(zhì)量，需要依據(jù)實(shí)際環(huán)境設(shè)計(jì)交付方案并進(jìn)行測(cè)試，最終完成部署?？諘鐓^(qū)域部署室外AP，用POE供電盒供電。對(duì)信號(hào)要求無死角的區(qū)域，部署放裝AP。針對(duì)漫游問題，可提供二層漫游、三層漫游、跨AC漫游三種方案，其中跨AC漫游的最大延遲時(shí)間為50ms。

LPWAN網(wǎng)絡(luò)：在NB-IoT領(lǐng)域，方案擬提供NB-IoT/eMTC/E-GPRS基站實(shí)現(xiàn)物聯(lián)終端接入，通過內(nèi)置LPWAN通信模組將終端聯(lián)網(wǎng)。管道方面，基站部署方式靈活，有三種模式可供選擇（獨(dú)立部署、保護(hù)帶部署、帶內(nèi)部署）。

在LoRa領(lǐng)域，方案提供LoRa基站、終端、模組，其中基站的有效覆蓋范圍為2~3KM，支持10萬終端并發(fā)，用于工廠電力抄表，水力抄表及溫濕度環(huán)境監(jiān)控等遠(yuǎn)距傳輸控制。方案支持超高頻無源RFID，用于倉(cāng)儲(chǔ)物流定位場(chǎng)景。

2）辦公接入網(wǎng)

? 辦公有線

由于辦公樓宇規(guī)模不一，配線間數(shù)量不定，所以每個(gè)配線間接入設(shè)備數(shù)量在2-X臺(tái)不等。為了節(jié)省光纖，簡(jiǎn)化管理，接入層設(shè)備采用IRF2多虛一技術(shù)，將每個(gè)配線間的設(shè)備虛擬化一臺(tái)設(shè)備后通過10G帶寬上行至匯聚層設(shè)備。

? 辦公無線

在建筑物內(nèi),每層建筑樓根據(jù)使用功能部署AP數(shù)量，方案擬部署的無線AP支持最新無線傳輸802.11n協(xié)議，提供理論上300M傳輸帶寬。為建設(shè)高可靠、高性能的無線網(wǎng)絡(luò)系統(tǒng)，室內(nèi)無線AP采用POE供電。通過在每層樓部署千兆POE交換機(jī)，為無線AP提供千兆接入的同時(shí)，還能通過以太網(wǎng)線對(duì)無線AP供電。無線系統(tǒng)采用瘦AP（FIT）+無線控制器部署方案。無線控制器部署采用在核心交換機(jī)上部署1塊無線控制器功能板卡，實(shí)現(xiàn)無線網(wǎng)絡(luò)系統(tǒng)的高可靠性。

3）核心匯聚網(wǎng)絡(luò)

整個(gè)工廠網(wǎng)絡(luò)由核心、匯聚、接入三層設(shè)備組成，再搭配園區(qū)SDN控制器。其中接入層設(shè)備部署在生產(chǎn)線附近，而匯聚、核心設(shè)備之間則構(gòu)建overlay網(wǎng)絡(luò)，同時(shí)采用分布式L3網(wǎng)關(guān)并通過可靠機(jī)制來抑制廣播風(fēng)暴。接入層設(shè)備采用不同的VLAN進(jìn)行接入位置的標(biāo)識(shí)，通過TRUNK的方式上行到匯聚層，匯聚層完成VLAN到VxLAN的映射。

圖6 工廠核心匯聚層VxLAN網(wǎng)絡(luò)示意圖

該網(wǎng)絡(luò)方案的核心是SDN控制器。所有網(wǎng)絡(luò)自動(dòng)化上線，接入管理，用戶組/策略管理，業(yè)務(wù)配置管理，網(wǎng)絡(luò)運(yùn)維管理全部在控制器上通過直觀的圖形化界面完成。同時(shí)通過開放控制器接口，允許第三方進(jìn)行業(yè)務(wù)定制開發(fā)，滿足用戶個(gè)性化、定制化、可編程的需求。

該網(wǎng)絡(luò)方案的另一大特性是實(shí)現(xiàn)有線無線一體化管理。傳統(tǒng)有線/無線網(wǎng)絡(luò)存在管理不統(tǒng)一、轉(zhuǎn)發(fā)不統(tǒng)一、策略控制不統(tǒng)一的問題(比如跨L3網(wǎng)段漫游要么支持不了，要么需要在AC之間打隧道,增加成本),而方案通過SDN控制器極大解放了AC和AP，真正實(shí)現(xiàn)有線無線的統(tǒng)一管理、統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一認(rèn)證和統(tǒng)一拓?fù)湔故尽?/p>

4）整體安全保障系統(tǒng)設(shè)計(jì)

? 終端接入管控

在工廠內(nèi)部署一套終端準(zhǔn)入控制系統(tǒng)，與防病毒軟件、WSUS補(bǔ)丁管理相配合。防毒軟件、WSUS負(fù)責(zé)專業(yè)殺毒、補(bǔ)丁下載，終端準(zhǔn)入控制系統(tǒng)采用接入層802.1x部署方案，與交換機(jī)配合實(shí)現(xiàn)網(wǎng)絡(luò)接入控制、桌面管理、用戶行為審計(jì)和終端安全管理。

? 網(wǎng)絡(luò)安全設(shè)計(jì)

工廠網(wǎng)絡(luò)安全涉及到南北向安全防護(hù)和東西向安全防護(hù)。網(wǎng)絡(luò)部署中的安全資源可以是軟/硬件安全資源，也可以是虛擬化的安全資源。

南北向安全防護(hù)：負(fù)責(zé)處理南北向的業(yè)務(wù)流量，涉及DDoS、IPS、防火墻等安全設(shè)備，以及負(fù)載均衡設(shè)備做流量分配。每個(gè)安全服務(wù)模塊中涉及硬件安全設(shè)備和軟件形態(tài)NFV設(shè)備。對(duì)于不同等級(jí)的用戶分配不同的安全資源，高等級(jí)用戶分配硬件安全資源，低等級(jí)用戶分配軟件形態(tài)NFV安全資源。

一個(gè)開啟全功能安全服務(wù)的互聯(lián)網(wǎng)租戶與半安全域交互的流量會(huì)依次經(jīng)過DDos、IPS、LLB、防火墻、WAF等安全設(shè)備，最終來到安全域。

東西向安全防護(hù)：東西向服務(wù)鏈負(fù)責(zé)工廠內(nèi)部不同安全域安全流量處理。

? 安全態(tài)勢(shì)感知

為了做到對(duì)工廠網(wǎng)絡(luò)風(fēng)險(xiǎn)的主動(dòng)發(fā)現(xiàn)和提前防御，工廠需要采集安全日志、網(wǎng)絡(luò)流量、用戶行為、終端日志、業(yè)務(wù)數(shù)據(jù)、資產(chǎn)狀態(tài)等數(shù)據(jù)。結(jié)合外部情報(bào)，通過安全態(tài)勢(shì)感知系統(tǒng)對(duì)攻擊趨勢(shì)分析、異常流量判斷和終端行為檢測(cè)，實(shí)現(xiàn)“安全趨勢(shì)可預(yù)測(cè)”；通過對(duì)未知威脅的智能檢測(cè)識(shí)別、流量/行為/資產(chǎn)的狀態(tài)監(jiān)控和多維度風(fēng)險(xiǎn)分析，實(shí)現(xiàn)“安全風(fēng)險(xiǎn)可感應(yīng)”；通過對(duì)攻擊溯源取證、云網(wǎng)端協(xié)同聯(lián)動(dòng)、工單流程閉環(huán)處理和設(shè)備策略自適應(yīng)調(diào)整，實(shí)現(xiàn)“風(fēng)險(xiǎn)行為可管控”。

5）工廠網(wǎng)絡(luò)整體IPv6升級(jí)思路

目前大量工廠網(wǎng)絡(luò)都是IPv4網(wǎng)絡(luò)，隨著IPv6逐漸部署，很長(zhǎng)一段時(shí)間是IPv4與IPv6共存的過渡階段。過渡階段所采用的過渡技術(shù)主要包括：

? 雙棧技術(shù)：雙棧節(jié)點(diǎn)與IPv4節(jié)點(diǎn)通訊時(shí)使用IPv4協(xié)議棧，與IPv6節(jié)點(diǎn)通訊時(shí)使用IPv6協(xié)議棧。

? 隧道技術(shù)：提供了兩個(gè)IPv6站點(diǎn)之間通過IPv4網(wǎng)絡(luò)實(shí)現(xiàn)通訊連接，以及兩個(gè)IPv4站點(diǎn)之間通過IPv6網(wǎng)絡(luò)實(shí)現(xiàn)通訊連接的技術(shù)。

? IPv4/IPv6協(xié)議轉(zhuǎn)換技術(shù)：提供了IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)之間的互訪技術(shù)。

對(duì)于小型工廠，方案推薦通過IPv4/IPv6雙協(xié)議棧部署IPv6網(wǎng)絡(luò)。這種方式可以同時(shí)提供IPv4應(yīng)用和IPv6應(yīng)用，但缺點(diǎn)是需要所有網(wǎng)絡(luò)節(jié)點(diǎn)支持IPv4和IPv6路由協(xié)議。因此對(duì)于大型舊工廠，升級(jí)工作量大。

如果企業(yè)需要跨越IPv4網(wǎng)絡(luò)連接不同的IPv6域，則需要通過隧道技術(shù)部署IPv6。這種場(chǎng)景需要設(shè)備提供IPv6 DNS查詢功能，同時(shí)邊界路由器需要支持6 Over 4隧道。這種方式投資和風(fēng)險(xiǎn)很小。缺點(diǎn)是使用隧道使網(wǎng)絡(luò)拓?fù)鋸?fù)雜，不易管理，出現(xiàn)問題難以定位。另外，由于使用隧道封裝，對(duì)轉(zhuǎn)發(fā)效率有一定影響。

3.3 功能設(shè)計(jì)

1) 設(shè)備物料的泛在接入能力

智能工廠網(wǎng)絡(luò)提供多種OT終端接入能力，包括以太網(wǎng)有線接入、無線接入（Wi-Fi/IEEE 802.15.4/ ISA100.11a/ WIA-FA/IoT/LTE/5G/藍(lán)牙等）、PON接入；支持Modbus、PROFIBUS、EtherNet/IP等主流工業(yè)以太網(wǎng)協(xié)議，提供海量終端的接入能力。

2) 無阻塞、易擴(kuò)展的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

基于SDN的（ACCESS/LEAF/SPINE）三級(jí)網(wǎng)絡(luò)架構(gòu)，構(gòu)建無阻塞工業(yè)網(wǎng)絡(luò)。根據(jù)企業(yè)接入能力不同選擇兩級(jí)或者三級(jí)架構(gòu)部署，每層網(wǎng)絡(luò)可以橫向無限擴(kuò)展，配合SDN實(shí)現(xiàn)擴(kuò)展自動(dòng)化，減少人力投入。

3) 自動(dòng)化部署

通過SDN控制器對(duì)網(wǎng)絡(luò)設(shè)備分類，不同的設(shè)備采用和角色對(duì)應(yīng)的配置文件，設(shè)備初始上線后，根據(jù)拓?fù)溥B接關(guān)系、角色從控制器下拉基礎(chǔ)配置文件，保證設(shè)備實(shí)現(xiàn)批量自動(dòng)上線，減少管理員操作。

4) 一體化運(yùn)維

通過控制器實(shí)現(xiàn)端到端業(yè)務(wù)編排，并配合工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)資源的按需調(diào)度；通過控制器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控，建立統(tǒng)一的拓?fù)洹⒔y(tǒng)一的管理平臺(tái)。

圖7 ADNET智能工廠網(wǎng)絡(luò)能力特征

3.4 安全及可靠性

? 高可靠

工廠網(wǎng)絡(luò)建設(shè)對(duì)設(shè)備可靠性要求很高。一旦網(wǎng)絡(luò)系統(tǒng)運(yùn)行不正?；蛘叱霈F(xiàn)故障中斷將直接導(dǎo)致工廠業(yè)務(wù)的中斷。因此需要從設(shè)備自身和網(wǎng)絡(luò)架構(gòu)角度確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。從設(shè)備自身角度，核心匯聚層設(shè)備采用多級(jí)交換架構(gòu)設(shè)備，利用引擎、交換矩陣關(guān)鍵部件的分離提高物理可靠性；從架構(gòu)方面，兩臺(tái)物理設(shè)備利用智能虛擬化或者堆疊技術(shù)提高故障的切換速度。

? 系統(tǒng)化的安全防護(hù)

工廠網(wǎng)絡(luò)安全保障方案不應(yīng)該是孤立的設(shè)備堆砌，而是從工廠的實(shí)際情況出發(fā)構(gòu)建系統(tǒng)的安全防護(hù)體系。在此體系中，使用者、生產(chǎn)設(shè)備、產(chǎn)品、個(gè)人終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、態(tài)勢(shì)感知系統(tǒng)充分協(xié)同，在安全事件出現(xiàn)前極力規(guī)避、預(yù)警，出現(xiàn)時(shí)能夠及時(shí)發(fā)現(xiàn)，并具備依據(jù)事先制定好的應(yīng)急方法進(jìn)行自動(dòng)化處理的能力，最后輸出完整的安全防護(hù)日志報(bào)表，供管理人員查看、分析并進(jìn)行策略調(diào)整。

4 成功案例

本解決方案已經(jīng)在中車株機(jī)軌道交通車輛轉(zhuǎn)向架智能制造車間項(xiàng)目中應(yīng)用。轉(zhuǎn)向架作為軌道車輛最為重要的零部件之一，起著導(dǎo)向、支撐車體、減震運(yùn)行的作用，對(duì)軌道交通產(chǎn)品的安全平穩(wěn)運(yùn)行至關(guān)重要?；贏DNET智能工廠網(wǎng)絡(luò)方案，為中車株機(jī)公司轉(zhuǎn)向架車間建設(shè)互聯(lián)網(wǎng)絡(luò)，具體建設(shè)情況如下：

1）核心層設(shè)備采用高性能網(wǎng)絡(luò)交換機(jī)，做橫向虛擬化。匯聚層將生產(chǎn)網(wǎng)和辦公網(wǎng)的交換機(jī)配置模塊進(jìn)行堆疊，將匯聚交換機(jī)虛擬化為一臺(tái)。接入層辦公網(wǎng)保持不變，生產(chǎn)網(wǎng)增加工業(yè)交換機(jī)。

2）生產(chǎn)線上，采用工業(yè)交換機(jī)按照產(chǎn)線做環(huán)路部署。無線生產(chǎn)網(wǎng)部署滿足工廠電磁環(huán)境的室外AP，配置定向天線。

3）安全方面，在核心匯聚與生產(chǎn)區(qū)域之間部署一對(duì)防火墻，保護(hù)生產(chǎn)區(qū)域，同時(shí)將服務(wù)器區(qū)設(shè)置為防火墻DMZ區(qū)。另外，在服務(wù)器區(qū)部署堡壘機(jī)，實(shí)現(xiàn)對(duì)所有服務(wù)器及交換機(jī)操作進(jìn)行監(jiān)控、管理以及回溯。

4）軟件層面，增加管理軟件，對(duì)工廠網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一監(jiān)控管理；增加無線管理組件，實(shí)現(xiàn)整網(wǎng)無線統(tǒng)一管理；增加接入認(rèn)證組件，對(duì)生產(chǎn)網(wǎng)終端接入進(jìn)行認(rèn)證；增加IP地址管理軟件，對(duì)現(xiàn)網(wǎng)IP地址進(jìn)行規(guī)劃。

通過互聯(lián)網(wǎng)絡(luò)的建設(shè)，中車株機(jī)轉(zhuǎn)向架車間網(wǎng)絡(luò)的穩(wěn)定性大大提升，設(shè)備故障切換時(shí)間由秒級(jí)提升為毫秒級(jí)。車間無線信號(hào)的覆蓋狀況大大提升，保證AGV小車等無線需求高的工業(yè)設(shè)備平穩(wěn)運(yùn)行。高可靠網(wǎng)絡(luò)為中車株機(jī)轉(zhuǎn)向架生產(chǎn)業(yè)務(wù)提供了保障，大大提高了工控系統(tǒng)的生產(chǎn)效率。在安全性上,工業(yè)安全軟件統(tǒng)一接入和管理信息點(diǎn)，并監(jiān)管工廠所有網(wǎng)絡(luò)設(shè)備。同時(shí)加入網(wǎng)絡(luò)安全設(shè)備，有效減少了工廠網(wǎng)絡(luò)病毒木馬造成的工業(yè)數(shù)據(jù)丟失、泄密風(fēng)險(xiǎn)。