ADNET智能工廠網(wǎng)絡(luò)建設(shè)方案
新華三技術(shù)有限公司
網(wǎng)絡(luò)改造技術(shù)篇/成熟技術(shù)/工廠內(nèi)網(wǎng)改造
1 概述
本方案旨在為制造業(yè)企業(yè)提供一套可靠的智能工廠網(wǎng)絡(luò)建設(shè)方案。方案利用工業(yè)物聯(lián)網(wǎng)、SDN、IPv6等新興技術(shù),實(shí)現(xiàn)工業(yè)場(chǎng)景下人員、設(shè)備、物料、產(chǎn)品的海量互聯(lián),為工廠實(shí)現(xiàn)智能生產(chǎn)、協(xié)同制造和柔性制造提供網(wǎng)絡(luò)支撐。
1.1 背景
近年來(lái),制造業(yè)企業(yè)正面臨著供給側(cè)改革的時(shí)代命題,轉(zhuǎn)型升級(jí)的需求十分迫切。而傳統(tǒng)工廠IT系統(tǒng)與工控系統(tǒng)間的通信往往存在較多障礙,具體表現(xiàn)在:
1) 工業(yè)控制協(xié)議標(biāo)準(zhǔn)各異,各廠家設(shè)備難以互通;
2) 工業(yè)現(xiàn)場(chǎng)存在很多信息孤島,網(wǎng)絡(luò)性能亟待提高。
這些問(wèn)題導(dǎo)致現(xiàn)有工廠網(wǎng)絡(luò)無(wú)法支撐數(shù)字經(jīng)濟(jì)下的制造業(yè)生產(chǎn)運(yùn)營(yíng)模式。隨著物聯(lián)網(wǎng)、SDN、IPv6技術(shù)的日漸成熟, ADNET智能工廠網(wǎng)絡(luò)建設(shè)方案(ADNET即應(yīng)用驅(qū)動(dòng)網(wǎng)絡(luò))的提出,幫助制造業(yè)企業(yè)完成工廠網(wǎng)絡(luò)的升級(jí)改造。
1.2 實(shí)施目標(biāo)
1) 實(shí)現(xiàn)工廠有線無(wú)線網(wǎng)絡(luò)全覆蓋,解決信息孤島的問(wèn)題。有線網(wǎng)絡(luò)的時(shí)延、穩(wěn)定性達(dá)到工業(yè)現(xiàn)場(chǎng)要求,同時(shí)兼容IPv4/IPv6雙棧。無(wú)線網(wǎng)絡(luò)根據(jù)工廠實(shí)際需求支持Wi-Fi、RFID、4G/5G、NB-IoT、LoRa、ZigBee、藍(lán)牙等信號(hào)中的一種或幾種,同時(shí)無(wú)線信號(hào)質(zhì)量高,滿足場(chǎng)景要求。
2) 對(duì)主流工業(yè)現(xiàn)場(chǎng)總線協(xié)議進(jìn)行適配,實(shí)現(xiàn)生產(chǎn)網(wǎng)和信息網(wǎng)的雙網(wǎng)融合互通。
3) 基于SDN技術(shù)部署工廠網(wǎng)絡(luò),向上對(duì)接工廠云平臺(tái),實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備自動(dòng)配置和業(yè)務(wù)快速部署,提升產(chǎn)線效率,減少人力投入。
4) 建立工廠網(wǎng)絡(luò)安全保障系統(tǒng),實(shí)現(xiàn)人、機(jī)、物、系統(tǒng)的可控接入和行為審計(jì),保證工廠的設(shè)備安全、網(wǎng)絡(luò)安全、控制安全、應(yīng)用安全和數(shù)據(jù)安全。
1.3 適用范圍
該解決方案適用于制造業(yè)工廠內(nèi)網(wǎng)絡(luò)的建設(shè)和升級(jí)改造,建設(shè)完成后的網(wǎng)絡(luò)能夠滿足工廠柔性制造、協(xié)同生產(chǎn)、個(gè)性化定制的業(yè)務(wù)需求。
1.4 在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系架構(gòu)中的位置
該解決方案屬于工廠內(nèi)網(wǎng)絡(luò)建設(shè)方案,在下圖中所處位置包含1、2、3、4、5、6六部分的內(nèi)容。
圖1 工業(yè)互聯(lián)網(wǎng)互聯(lián)示意圖
2 需求分析
傳統(tǒng)的工業(yè)網(wǎng)絡(luò)存在以下問(wèn)題:
1) 工業(yè)現(xiàn)場(chǎng)總線協(xié)議標(biāo)準(zhǔn)各異,不同廠家設(shè)備無(wú)法互通,存在數(shù)據(jù)孤島;
2) 數(shù)據(jù)孤島的存在使設(shè)備狀態(tài)無(wú)法得到有效監(jiān)控,進(jìn)而導(dǎo)致企業(yè)需要在計(jì)劃排產(chǎn)、物料配送、生產(chǎn)協(xié)同、質(zhì)量控制、設(shè)備檢測(cè)等環(huán)節(jié)投入大量的人力物力;
3) 傳統(tǒng)IP網(wǎng)絡(luò)采用盡力而為的傳輸機(jī)制,時(shí)延不穩(wěn)定且存在丟包,因此在一些時(shí)間敏感型場(chǎng)景無(wú)法使用;
4) 網(wǎng)絡(luò)安全問(wèn)題層出不窮,工控設(shè)備普遍不打補(bǔ)丁,一旦設(shè)備聯(lián)外網(wǎng)就容易遭到入侵攻擊,導(dǎo)致工廠大面積癱瘓;
5) 生產(chǎn)區(qū)域的任意設(shè)備都可以隨意接入網(wǎng)絡(luò),缺乏接入管控;
智能工廠網(wǎng)絡(luò)的建設(shè)目的是構(gòu)建連接人、機(jī)、物、系統(tǒng)的高性能泛在互聯(lián)網(wǎng)絡(luò),實(shí)現(xiàn)工業(yè)數(shù)據(jù)的充分流動(dòng)和處理。為此,需要解決如下問(wèn)題:
1) 傳統(tǒng)工控協(xié)議的適配問(wèn)題
2) 設(shè)備物料的泛在接入問(wèn)題
3) 數(shù)據(jù)穩(wěn)定低時(shí)延傳輸問(wèn)題
4) 網(wǎng)絡(luò)智能化運(yùn)維管理
5) 網(wǎng)絡(luò)安全可控、終端準(zhǔn)入
3 解決方案
3.1 系統(tǒng)架構(gòu)
圖2 工廠內(nèi)網(wǎng)絡(luò)邏輯架構(gòu)圖
ADNET智能工廠網(wǎng)絡(luò)的建設(shè)內(nèi)容位于上圖紅框中,含邊緣接入層、核心匯聚層和安全保障三部分,其中:
? 邊緣接入層:主要負(fù)責(zé)邊緣設(shè)備接入、數(shù)據(jù)采集與邊緣計(jì)算。邊緣接入設(shè)備應(yīng)支持海量物聯(lián)網(wǎng)傳感器和智能硬件的快速接入和數(shù)據(jù)服務(wù),滿足物聯(lián)網(wǎng)領(lǐng)域的設(shè)備連接、協(xié)議適配、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)安全、數(shù)據(jù)分析等服務(wù)需求。
? 核心匯聚層:本次方案采用SDN VxLAN技術(shù)設(shè)計(jì)工廠內(nèi)核心匯聚層網(wǎng)絡(luò),網(wǎng)絡(luò)可以抽象為物理承載網(wǎng)絡(luò)和面向應(yīng)用的Overlay網(wǎng)絡(luò)。這種網(wǎng)絡(luò)設(shè)計(jì)方式的兩大特征是柔性網(wǎng)絡(luò)和軟件定義。柔性一方面指網(wǎng)絡(luò)架構(gòu)靈活,業(yè)務(wù)部署(應(yīng)用/終端)與位置無(wú)關(guān);另一方面指以人和業(yè)務(wù)應(yīng)用為核心,所有網(wǎng)絡(luò)資源根據(jù)人和業(yè)務(wù)需要移動(dòng)。軟件定義指基于SDN思想將網(wǎng)絡(luò)控制平面集中,實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的自動(dòng)部署、業(yè)務(wù)按需交付,將運(yùn)維人員從重復(fù)勞動(dòng)中解放出來(lái)。
圖3 核心匯聚層網(wǎng)絡(luò)的物理/邏輯架構(gòu)
? 安全保障:網(wǎng)絡(luò)安全是工廠業(yè)務(wù)平穩(wěn)運(yùn)行的基礎(chǔ),ADNET智能工廠網(wǎng)絡(luò)方案具備完整的安全防護(hù)體系,包括安全態(tài)勢(shì)感知、網(wǎng)絡(luò)安全保護(hù)、數(shù)據(jù)節(jié)點(diǎn)接入控制,保證工廠IT基礎(chǔ)設(shè)施安全、業(yè)務(wù)系統(tǒng)安全、資產(chǎn)安全。
3.2 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)
根據(jù)上述系統(tǒng)架構(gòu),工廠實(shí)際部署的網(wǎng)絡(luò)拓?fù)淙鐖D4所示,根據(jù)地理位置可分為生產(chǎn)車間網(wǎng)絡(luò)、辦公接入網(wǎng)、核心匯聚網(wǎng)三部分:
圖4 ADNET智能工廠網(wǎng)絡(luò)實(shí)際拓?fù)鋱D
1)生產(chǎn)車間網(wǎng)絡(luò)
? 邊緣接入
在工業(yè)現(xiàn)場(chǎng),數(shù)據(jù)接入方式有:傳感器類型的離散點(diǎn)(IO信號(hào),模擬信號(hào))采集接入、設(shè)備工業(yè)現(xiàn)場(chǎng)總線協(xié)議或?qū)S袇f(xié)議類型接入和網(wǎng)絡(luò)TCP/IP直接數(shù)字接入。目前,ADNET智能工廠網(wǎng)絡(luò)方案涉及的工業(yè)物聯(lián)網(wǎng)設(shè)備已具備GB/T 33474-2016感知控制域中所列舉的數(shù)據(jù)接入能力。
圖5 數(shù)據(jù)采集接入示意圖
針對(duì)工業(yè)協(xié)議的適配,方案采用工業(yè)網(wǎng)關(guān)完成不同現(xiàn)場(chǎng)總線的接入轉(zhuǎn)換,實(shí)現(xiàn)Modbus、PROFIBUS、EtherNet/IP、SIEMENS S7Comm等協(xié)議的接入適配。
另一方面,方案也支持采用OPC UA的采集接入方式。OPC UA技術(shù)為工業(yè)生產(chǎn)各系統(tǒng)提供了統(tǒng)一接口標(biāo)準(zhǔn)。其中,OPC UA服務(wù)器和客戶端是系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)采集的核心環(huán)節(jié)。OPC UA服務(wù)器負(fù)責(zé)對(duì)底層設(shè)備數(shù)據(jù)進(jìn)行采集封裝,并將歷史數(shù)據(jù)存放于外加的數(shù)據(jù)庫(kù)內(nèi),使多個(gè)客戶端以統(tǒng)一的方式獲取不同底層設(shè)備的數(shù)據(jù)。OPC UA客戶端的主要功能是搜索并連接OPC UA服務(wù)器,瀏覽服務(wù)器的地址空間并讀取其中存放的實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù),并通過(guò)客戶端顯示界面將數(shù)據(jù)以圖表的形式展示給工作人員。
? 工業(yè)以太網(wǎng)
工廠生產(chǎn)線上溫濕度、電磁干擾等環(huán)境相對(duì)復(fù)雜,方案擬在接入密度較高的區(qū)域采用機(jī)架式工業(yè)交換機(jī),交換機(jī)支持Modbus TCP/IP、ProfINet、Ethernet/IP等工業(yè)以太網(wǎng)協(xié)議。另外,在一些特定場(chǎng)景將卡軌式工業(yè)交換機(jī)直接安裝在電器柜,交換機(jī)從電器柜內(nèi)取電。工業(yè)交換機(jī)按照產(chǎn)線做RRPP環(huán)路部署。按照這種部署方式,關(guān)閉生產(chǎn)線上的任一臺(tái)工業(yè)交換機(jī),除直連到該交換機(jī)的設(shè)備網(wǎng)絡(luò)不通,其他網(wǎng)絡(luò)不受影響。
? 工業(yè)無(wú)線網(wǎng)
WLAN網(wǎng)絡(luò):針對(duì)工業(yè)無(wú)線網(wǎng)的需求,方案基于802.11ac技術(shù),采用無(wú)線控制器AC+瘦AP的部署方式構(gòu)建無(wú)線網(wǎng)絡(luò)。其中,Wi-Fi信號(hào)質(zhì)量和漫游問(wèn)題是部署過(guò)程中的兩個(gè)難點(diǎn)。為保證WLAN網(wǎng)絡(luò)的信號(hào)覆蓋質(zhì)量,需要依據(jù)實(shí)際環(huán)境設(shè)計(jì)交付方案并進(jìn)行測(cè)試,最終完成部署。空曠區(qū)域部署室外AP,用POE供電盒供電。對(duì)信號(hào)要求無(wú)死角的區(qū)域,部署放裝AP。針對(duì)漫游問(wèn)題,可提供二層漫游、三層漫游、跨AC漫游三種方案,其中跨AC漫游的最大延遲時(shí)間為50ms。
LPWAN網(wǎng)絡(luò):在NB-IoT領(lǐng)域,方案擬提供NB-IoT/eMTC/E-GPRS基站實(shí)現(xiàn)物聯(lián)終端接入,通過(guò)內(nèi)置LPWAN通信模組將終端聯(lián)網(wǎng)。管道方面,基站部署方式靈活,有三種模式可供選擇(獨(dú)立部署、保護(hù)帶部署、帶內(nèi)部署)。
在LoRa領(lǐng)域,方案提供LoRa基站、終端、模組,其中基站的有效覆蓋范圍為2~3KM,支持10萬(wàn)終端并發(fā),用于工廠電力抄表,水力抄表及溫濕度環(huán)境監(jiān)控等遠(yuǎn)距傳輸控制。方案支持超高頻無(wú)源RFID,用于倉(cāng)儲(chǔ)物流定位場(chǎng)景。
2)辦公接入網(wǎng)
? 辦公有線
由于辦公樓宇規(guī)模不一,配線間數(shù)量不定,所以每個(gè)配線間接入設(shè)備數(shù)量在2-X臺(tái)不等。為了節(jié)省光纖,簡(jiǎn)化管理,接入層設(shè)備采用IRF2多虛一技術(shù),將每個(gè)配線間的設(shè)備虛擬化一臺(tái)設(shè)備后通過(guò)10G帶寬上行至匯聚層設(shè)備。
? 辦公無(wú)線
在建筑物內(nèi),每層建筑樓根據(jù)使用功能部署AP數(shù)量,方案擬部署的無(wú)線AP支持最新無(wú)線傳輸802.11n協(xié)議,提供理論上300M傳輸帶寬。為建設(shè)高可靠、高性能的無(wú)線網(wǎng)絡(luò)系統(tǒng),室內(nèi)無(wú)線AP采用POE供電。通過(guò)在每層樓部署千兆POE交換機(jī),為無(wú)線AP提供千兆接入的同時(shí),還能通過(guò)以太網(wǎng)線對(duì)無(wú)線AP供電。無(wú)線系統(tǒng)采用瘦AP(FIT)+無(wú)線控制器部署方案。無(wú)線控制器部署采用在核心交換機(jī)上部署1塊無(wú)線控制器功能板卡,實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)系統(tǒng)的高可靠性。
3)核心匯聚網(wǎng)絡(luò)
整個(gè)工廠網(wǎng)絡(luò)由核心、匯聚、接入三層設(shè)備組成,再搭配園區(qū)SDN控制器。其中接入層設(shè)備部署在生產(chǎn)線附近,而匯聚、核心設(shè)備之間則構(gòu)建overlay網(wǎng)絡(luò),同時(shí)采用分布式L3網(wǎng)關(guān)并通過(guò)可靠機(jī)制來(lái)抑制廣播風(fēng)暴。接入層設(shè)備采用不同的VLAN進(jìn)行接入位置的標(biāo)識(shí),通過(guò)TRUNK的方式上行到匯聚層,匯聚層完成VLAN到VxLAN的映射。
圖6 工廠核心匯聚層VxLAN網(wǎng)絡(luò)示意圖
該網(wǎng)絡(luò)方案的核心是SDN控制器。所有網(wǎng)絡(luò)自動(dòng)化上線,接入管理,用戶組/策略管理,業(yè)務(wù)配置管理,網(wǎng)絡(luò)運(yùn)維管理全部在控制器上通過(guò)直觀的圖形化界面完成。同時(shí)通過(guò)開(kāi)放控制器接口,允許第三方進(jìn)行業(yè)務(wù)定制開(kāi)發(fā),滿足用戶個(gè)性化、定制化、可編程的需求。
該網(wǎng)絡(luò)方案的另一大特性是實(shí)現(xiàn)有線無(wú)線一體化管理。傳統(tǒng)有線/無(wú)線網(wǎng)絡(luò)存在管理不統(tǒng)一、轉(zhuǎn)發(fā)不統(tǒng)一、策略控制不統(tǒng)一的問(wèn)題(比如跨L3網(wǎng)段漫游要么支持不了,要么需要在AC之間打隧道,增加成本),而方案通過(guò)SDN控制器極大解放了AC和AP,真正實(shí)現(xiàn)有線無(wú)線的統(tǒng)一管理、統(tǒng)一轉(zhuǎn)發(fā)、統(tǒng)一認(rèn)證和統(tǒng)一拓?fù)湔故尽?/p>
4)整體安全保障系統(tǒng)設(shè)計(jì)
? 終端接入管控
在工廠內(nèi)部署一套終端準(zhǔn)入控制系統(tǒng),與防病毒軟件、WSUS補(bǔ)丁管理相配合。防毒軟件、WSUS負(fù)責(zé)專業(yè)殺毒、補(bǔ)丁下載,終端準(zhǔn)入控制系統(tǒng)采用接入層802.1x部署方案,與交換機(jī)配合實(shí)現(xiàn)網(wǎng)絡(luò)接入控制、桌面管理、用戶行為審計(jì)和終端安全管理。
? 網(wǎng)絡(luò)安全設(shè)計(jì)
工廠網(wǎng)絡(luò)安全涉及到南北向安全防護(hù)和東西向安全防護(hù)。網(wǎng)絡(luò)部署中的安全資源可以是軟/硬件安全資源,也可以是虛擬化的安全資源。
南北向安全防護(hù):負(fù)責(zé)處理南北向的業(yè)務(wù)流量,涉及DDoS、IPS、防火墻等安全設(shè)備,以及負(fù)載均衡設(shè)備做流量分配。每個(gè)安全服務(wù)模塊中涉及硬件安全設(shè)備和軟件形態(tài)NFV設(shè)備。對(duì)于不同等級(jí)的用戶分配不同的安全資源,高等級(jí)用戶分配硬件安全資源,低等級(jí)用戶分配軟件形態(tài)NFV安全資源。
一個(gè)開(kāi)啟全功能安全服務(wù)的互聯(lián)網(wǎng)租戶與半安全域交互的流量會(huì)依次經(jīng)過(guò)DDos、IPS、LLB、防火墻、WAF等安全設(shè)備,最終來(lái)到安全域。
東西向安全防護(hù):東西向服務(wù)鏈負(fù)責(zé)工廠內(nèi)部不同安全域安全流量處理。
? 安全態(tài)勢(shì)感知
為了做到對(duì)工廠網(wǎng)絡(luò)風(fēng)險(xiǎn)的主動(dòng)發(fā)現(xiàn)和提前防御,工廠需要采集安全日志、網(wǎng)絡(luò)流量、用戶行為、終端日志、業(yè)務(wù)數(shù)據(jù)、資產(chǎn)狀態(tài)等數(shù)據(jù)。結(jié)合外部情報(bào),通過(guò)安全態(tài)勢(shì)感知系統(tǒng)對(duì)攻擊趨勢(shì)分析、異常流量判斷和終端行為檢測(cè),實(shí)現(xiàn)“安全趨勢(shì)可預(yù)測(cè)”;通過(guò)對(duì)未知威脅的智能檢測(cè)識(shí)別、流量/行為/資產(chǎn)的狀態(tài)監(jiān)控和多維度風(fēng)險(xiǎn)分析,實(shí)現(xiàn)“安全風(fēng)險(xiǎn)可感應(yīng)”;通過(guò)對(duì)攻擊溯源取證、云網(wǎng)端協(xié)同聯(lián)動(dòng)、工單流程閉環(huán)處理和設(shè)備策略自適應(yīng)調(diào)整,實(shí)現(xiàn)“風(fēng)險(xiǎn)行為可管控”。
5)工廠網(wǎng)絡(luò)整體IPv6升級(jí)思路
目前大量工廠網(wǎng)絡(luò)都是IPv4網(wǎng)絡(luò),隨著IPv6逐漸部署,很長(zhǎng)一段時(shí)間是IPv4與IPv6共存的過(guò)渡階段。過(guò)渡階段所采用的過(guò)渡技術(shù)主要包括:
? 雙棧技術(shù):雙棧節(jié)點(diǎn)與IPv4節(jié)點(diǎn)通訊時(shí)使用IPv4協(xié)議棧,與IPv6節(jié)點(diǎn)通訊時(shí)使用IPv6協(xié)議棧。
? 隧道技術(shù):提供了兩個(gè)IPv6站點(diǎn)之間通過(guò)IPv4網(wǎng)絡(luò)實(shí)現(xiàn)通訊連接,以及兩個(gè)IPv4站點(diǎn)之間通過(guò)IPv6網(wǎng)絡(luò)實(shí)現(xiàn)通訊連接的技術(shù)。
? IPv4/IPv6協(xié)議轉(zhuǎn)換技術(shù):提供了IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)之間的互訪技術(shù)。
對(duì)于小型工廠,方案推薦通過(guò)IPv4/IPv6雙協(xié)議棧部署IPv6網(wǎng)絡(luò)。這種方式可以同時(shí)提供IPv4應(yīng)用和IPv6應(yīng)用,但缺點(diǎn)是需要所有網(wǎng)絡(luò)節(jié)點(diǎn)支持IPv4和IPv6路由協(xié)議。因此對(duì)于大型舊工廠,升級(jí)工作量大。
如果企業(yè)需要跨越IPv4網(wǎng)絡(luò)連接不同的IPv6域,則需要通過(guò)隧道技術(shù)部署IPv6。這種場(chǎng)景需要設(shè)備提供IPv6 DNS查詢功能,同時(shí)邊界路由器需要支持6 Over 4隧道。這種方式投資和風(fēng)險(xiǎn)很小。缺點(diǎn)是使用隧道使網(wǎng)絡(luò)拓?fù)鋸?fù)雜,不易管理,出現(xiàn)問(wèn)題難以定位。另外,由于使用隧道封裝,對(duì)轉(zhuǎn)發(fā)效率有一定影響。
3.3 功能設(shè)計(jì)
1) 設(shè)備物料的泛在接入能力
智能工廠網(wǎng)絡(luò)提供多種OT終端接入能力,包括以太網(wǎng)有線接入、無(wú)線接入(Wi-Fi/IEEE 802.15.4/ ISA100.11a/ WIA-FA/IoT/LTE/5G/藍(lán)牙等)、PON接入;支持Modbus、PROFIBUS、EtherNet/IP等主流工業(yè)以太網(wǎng)協(xié)議,提供海量終端的接入能力。
2) 無(wú)阻塞、易擴(kuò)展的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)
基于SDN的(ACCESS/LEAF/SPINE)三級(jí)網(wǎng)絡(luò)架構(gòu),構(gòu)建無(wú)阻塞工業(yè)網(wǎng)絡(luò)。根據(jù)企業(yè)接入能力不同選擇兩級(jí)或者三級(jí)架構(gòu)部署,每層網(wǎng)絡(luò)可以橫向無(wú)限擴(kuò)展,配合SDN實(shí)現(xiàn)擴(kuò)展自動(dòng)化,減少人力投入。
3) 自動(dòng)化部署
通過(guò)SDN控制器對(duì)網(wǎng)絡(luò)設(shè)備分類,不同的設(shè)備采用和角色對(duì)應(yīng)的配置文件,設(shè)備初始上線后,根據(jù)拓?fù)溥B接關(guān)系、角色從控制器下拉基礎(chǔ)配置文件,保證設(shè)備實(shí)現(xiàn)批量自動(dòng)上線,減少管理員操作。
4) 一體化運(yùn)維
通過(guò)控制器實(shí)現(xiàn)端到端業(yè)務(wù)編排,并配合工業(yè)控制系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)資源的按需調(diào)度;通過(guò)控制器對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控,建立統(tǒng)一的拓?fù)洹⒔y(tǒng)一的管理平臺(tái)。
圖7 ADNET智能工廠網(wǎng)絡(luò)能力特征
3.4 安全及可靠性
? 高可靠
工廠網(wǎng)絡(luò)建設(shè)對(duì)設(shè)備可靠性要求很高。一旦網(wǎng)絡(luò)系統(tǒng)運(yùn)行不正常或者出現(xiàn)故障中斷將直接導(dǎo)致工廠業(yè)務(wù)的中斷。因此需要從設(shè)備自身和網(wǎng)絡(luò)架構(gòu)角度確保網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性。從設(shè)備自身角度,核心匯聚層設(shè)備采用多級(jí)交換架構(gòu)設(shè)備,利用引擎、交換矩陣關(guān)鍵部件的分離提高物理可靠性;從架構(gòu)方面,兩臺(tái)物理設(shè)備利用智能虛擬化或者堆疊技術(shù)提高故障的切換速度。
? 系統(tǒng)化的安全防護(hù)
工廠網(wǎng)絡(luò)安全保障方案不應(yīng)該是孤立的設(shè)備堆砌,而是從工廠的實(shí)際情況出發(fā)構(gòu)建系統(tǒng)的安全防護(hù)體系。在此體系中,使用者、生產(chǎn)設(shè)備、產(chǎn)品、個(gè)人終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、態(tài)勢(shì)感知系統(tǒng)充分協(xié)同,在安全事件出現(xiàn)前極力規(guī)避、預(yù)警,出現(xiàn)時(shí)能夠及時(shí)發(fā)現(xiàn),并具備依據(jù)事先制定好的應(yīng)急方法進(jìn)行自動(dòng)化處理的能力,最后輸出完整的安全防護(hù)日志報(bào)表,供管理人員查看、分析并進(jìn)行策略調(diào)整。
4 成功案例
本解決方案已經(jīng)在中車株機(jī)軌道交通車輛轉(zhuǎn)向架智能制造車間項(xiàng)目中應(yīng)用。轉(zhuǎn)向架作為軌道車輛最為重要的零部件之一,起著導(dǎo)向、支撐車體、減震運(yùn)行的作用,對(duì)軌道交通產(chǎn)品的安全平穩(wěn)運(yùn)行至關(guān)重要。基于ADNET智能工廠網(wǎng)絡(luò)方案,為中車株機(jī)公司轉(zhuǎn)向架車間建設(shè)互聯(lián)網(wǎng)絡(luò),具體建設(shè)情況如下:
1)核心層設(shè)備采用高性能網(wǎng)絡(luò)交換機(jī),做橫向虛擬化。匯聚層將生產(chǎn)網(wǎng)和辦公網(wǎng)的交換機(jī)配置模塊進(jìn)行堆疊,將匯聚交換機(jī)虛擬化為一臺(tái)。接入層辦公網(wǎng)保持不變,生產(chǎn)網(wǎng)增加工業(yè)交換機(jī)。
2)生產(chǎn)線上,采用工業(yè)交換機(jī)按照產(chǎn)線做環(huán)路部署。無(wú)線生產(chǎn)網(wǎng)部署滿足工廠電磁環(huán)境的室外AP,配置定向天線。
3)安全方面,在核心匯聚與生產(chǎn)區(qū)域之間部署一對(duì)防火墻,保護(hù)生產(chǎn)區(qū)域,同時(shí)將服務(wù)器區(qū)設(shè)置為防火墻DMZ區(qū)。另外,在服務(wù)器區(qū)部署堡壘機(jī),實(shí)現(xiàn)對(duì)所有服務(wù)器及交換機(jī)操作進(jìn)行監(jiān)控、管理以及回溯。
4)軟件層面,增加管理軟件,對(duì)工廠網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一監(jiān)控管理;增加無(wú)線管理組件,實(shí)現(xiàn)整網(wǎng)無(wú)線統(tǒng)一管理;增加接入認(rèn)證組件,對(duì)生產(chǎn)網(wǎng)終端接入進(jìn)行認(rèn)證;增加IP地址管理軟件,對(duì)現(xiàn)網(wǎng)IP地址進(jìn)行規(guī)劃。
通過(guò)互聯(lián)網(wǎng)絡(luò)的建設(shè),中車株機(jī)轉(zhuǎn)向架車間網(wǎng)絡(luò)的穩(wěn)定性大大提升,設(shè)備故障切換時(shí)間由秒級(jí)提升為毫秒級(jí)。車間無(wú)線信號(hào)的覆蓋狀況大大提升,保證AGV小車等無(wú)線需求高的工業(yè)設(shè)備平穩(wěn)運(yùn)行。高可靠網(wǎng)絡(luò)為中車株機(jī)轉(zhuǎn)向架生產(chǎn)業(yè)務(wù)提供了保障,大大提高了工控系統(tǒng)的生產(chǎn)效率。在安全性上,工業(yè)安全軟件統(tǒng)一接入和管理信息點(diǎn),并監(jiān)管工廠所有網(wǎng)絡(luò)設(shè)備。同時(shí)加入網(wǎng)絡(luò)安全設(shè)備,有效減少了工廠網(wǎng)絡(luò)病毒木馬造成的工業(yè)數(shù)據(jù)丟失、泄密風(fēng)險(xiǎn)。