作者:宋强 奇安信

引言

2019年10月31日,我国5G商用大幕正式拉开。今年3月4日召开的中央会议提出要加快推动新型基础设施建设,5G位列七大领域之首。日前发改委和工信部联合下发了《关于组织实施2020年新型基础设施建设工程(宽带网络和5G领域)》的通知,更加凸显了5G在新基建领域的引领地位。

相比传统的蜂窝通信网络,5G极大扩展了应用场景与范围,成为数字经济转型的关键基础设施。中国现在已是制造业大国,但粗放型发展的弊端日益显现,亟需提质降本,发展智能制造迫在眉睫。智能制造对高性能、具有灵活组网能力的无线网络需求日益迫切,而5G 网络的高带宽、高可靠低时延、海量连接特性将成为发展智能制造的关键使能技术。5G在智能领域有哪些应用场景?5G技术如何在生产网络落地,需要进行哪些改造?传统网络结构从刚性变得弹性之后面临哪些新的安全风险?怎样保障5G生产网络安全?这些都是5G在垂直行业发展必须面对的重要课题,笔者基于多年网络安全从业经验以及对5G的理解,尝试进行初步分析。

一、5G赋能智能制造的主要技术

5G在技术上规划了三大场景:eMBB(增强型移动宽带)、mMTC(海量机器类通信)和URLLC(超可靠、低时延通信),以应对垂直应用对大带宽数据传输、海量网络连接、超低时延控制的需求。智能制造场景复杂,需求碎片化明显,一个具体的生产网络会对应以上一个或者多个场景,因此综合考虑效率、成本和安全因素,5G需要提供个性化的弹性组网能力,以适应工业生产在通信协议、性能要求与网络安全等方面巨大的差异性。5G+智能制造主要有以下几类关键技术:

(1)网络切片。5G 之前的通信网络通常采用单一网络架构服务所有用户需求,即所有用户共享一张物理网,无法满足各垂直行业应用的个性化网络服务要求。5G 采用网络切片技术,根据用户的业务需求弹性分配网络资源,有利于提升网络资源的利用率,也大大降低了网络部署与维护成本。网络切片是指将物理网络分割为多个相互隔离的虚拟网络,每个虚拟网络被称为一个网络切片,每个切片中的网络功能可以定制化裁剪,动态编排形成一个完整的实例化的网络架构。通过为不同的业务和通信场景创建不同的网络切片,可以为用户构建一个端到端、定制化的、安全隔离的逻辑网络。切片使用户不需要在公共网络中去争夺资源,对于网络运营者来说,也节约了宝贵的带宽与频谱资源,增强了网络管理的灵活性。

(2)边缘计算。很多生产设备与控制系统之间的通信延迟需要控制在毫秒级别,同时企业担心大量的工业数据在无线网络传输面临安全风险,这促使5G需要支持边缘计算方案,在靠近数据消费者的地方提供计算、存储与安全能力。相比于集中的云计算服务,边缘计算解决了工业控制时延过长、回程流量过大、数据安全风险等问题。5G MEC(Multi-access Edge Computing)多接入边缘计算是一种使能网络边缘业务的技术,通过将计算能力下沉到移动边缘节点,提供第三方应用集成,创造出一个具备高性能、低延迟与高带宽的电信级服务环境,是5G在行业应用的核心技术之一。

(3)NFV和SDN。网络功能虚拟化(NFV)和软件定义网络(SDN)技术是构筑5G网络的基石。NFV将网络的软硬件进行解耦,网络功能软件化,实现了计算资源与频谱资源共享;SDN支持控制平面与用户平面的分离,简化了网络和流量的管理控制功能。通过引入NFV和SDN,5G核心网可以专注处理控制面的访问请求,用户面的数据传送服务则由接入网和承载网直接提供,无需事事经过核心网协调处理,从而减轻核心网的压力。此外,NFV和SDN也是5G网络切片和边缘计算MEC服务的基础支撑技术。

(4)5G与TSN融合。工业领域中时延敏感型操作对网络通信的确定性提出了苛刻需求,目前主要通过工业总线和工业以太网实现。但工业以太网是各自动化厂商基于标准以太网改进而来,协议与设备绑定,互不兼容,互操作性较差,阻碍了柔性制造以及工业互联网的发展。市场期待一个统一的可互操作的系统出现,TSN(Time Sensitive Network)时间敏感网络是最有希望的一项技术,它能够打通工业通信协议和现场总线,支持多个制造商、不同协议的兼容与互操作。TSN作为一组位于数据链路层的协议簇,从底层网络架构改变了普通以太网数据传输的不确定性,将它转变为确定性网络。而5G的空口时延相比4G获得了显著的降低,理论值从20ms降到了1ms,5G与TSN的融合为无线接入的工业网络进行时间同步、高可靠数据通信提供了可能性。

二、5G+智能制造的典型应用场景

相比3G/4G,5G的应用领域除了消费市场,还极大地扩展到公共管理和工业生产领域,其中工业生产将是5G的主要应用领域。智能制造领域广泛采用机器人、无人机、数字装配、VR等技术实现数字化生产、柔性制造,而传统有线方式,或者工业WiFi、4G蜂窝网络等,无法完全满足智能制造对移动性(有线)、时延&可靠性(WiFi、4G)、带宽和连接数量(4G 、WiFi)的需求,同时,为了解决时延和数据安全问题,智能制造对计算的本地部署(MEC)也有强烈的需求。5G 技术切合了传统制造企业智能制造转型对无线网络的需求,在质量检测、实时控制、物料供应、辅助装配、柔性制造等多个场景起着关键支撑作用。

(1)机器视觉检测。传统产品质量检测基于人工手段,或者将抽检产品与预定缺陷知识库进行比较,检测精度不稳定,检测效率也比较低,无法满足高质量生产的要求。很多行业尝试通过机器视觉+AI进行缺陷检测,在生产线部署双目工业摄像机,把生产监测视频实时上传云端服务器,在云端通过AI分析引擎完成质量分析,并及时反馈生产线。过去这一方式由于数据量大,图像传到服务器延迟较长,因此未得到广泛推广。5G则可以将高清产品图像快速发送到MEC边缘服务器,实时AI分析并反馈结果。相比传统手段,机器视觉在检测效率、精度稳定性、操作安全性等各方面均有大幅提升,是智能制造发展的必然趋势。

(2)远程实时控制。对于位置偏远工况危险的环境(如矿山作业、飞行器巡检),传统遥控手段受到通讯能力限制,要么传输距离不够长,要么实时行驶画面传输延迟滞后明显,导致车辆运行速度无法提高,不能实现远程遥控的有效应用。除了远程遥控,车辆、无人机在作业时,还有运行信息回传的需求。5G用高带宽和低延时实时回传高清视频,结合云端分析,可以实现远程实时控制。

(3)AGV视觉导航。AGV自动导引运输车是工业制造中重要的基础系统,广泛应用于无人物流、仓储以及工业生产中。目前的AGV视觉导航主要采用磁导、二维码、激光等方式,磁导和二维码需要预先布置场景,灵活性较差,激光导航灵活性较强,但成本偏高。AGV采用WIFI与上位机通信,存在连接数少、信号易受干扰、切换与覆盖能力不足等问题。通过在AGV安装摄像机、5G模组,利用5G大带宽、多连接的特点,配合MEC边缘计算能力,形成5G+AI替代方案,不受场地限制,显著提高了AGV系统运行灵活性,降低了部署和运维成本。

(4)AR辅助装配。传统装配过程是刚性流程,需要人工操作找正位置才能够装配成功,对人员的操作经验、现场操作条件要求较高,且装配过程中没有很好的核对手段,这导致复杂产品的装配成本较高,效率较低。AR增强现实技术为远程辅助装配提供了有力的支持,通过实时地计算摄像机影像的位置及角度并叠加相应图像、视频、3D模型的技术,可以在屏幕上把虚拟世界套在现实世界并进行互动。AR对传输时延有很高的要求,在4G网络下,由于带宽和传输速度的限制,视频传输有时会卡顿。5G则能够实时将高清画面回传至监控中心,专家可远程实时指导现场人员进行准确操作。

(5)柔性制造。个性化、定制化生产越来越取代传统的标准化刚性生产,成为智能制造的常态,它要求生产线能够根据订单的变化灵活调整产品生产任务。在传统网络架构下,由于物理空间部署限制,企业在进行混线生产的过程中始终受到较大约束。智能制造柔性生产对机器的灵活性和差异化业务处理能力提出更高要求,机器人通信媒介需要从有线变成无线,以便自由移动,而大量本地计算与存储能力转移到云端,统一在MEC边缘服务器完成。5G网络的灵活组网、边缘计算与能力开放,能很好地满足柔性制造的要求。

智能制造场景复杂多样,对网络服务要求不尽相同,5G可以依据场景的具体特点,提供个性化的网络切片服务,典型场景配置如下表所示。

三、5G+智能制造网络结构升级改造

为了发挥5G技术对智能制造的巨大促进作用,现有的工控网络结构需要进行整体升级改造,涉及终端、通信、控制、网络等各方面,理想中的5G生产网络具有以下特征。

(1)结构扁平化。现有工控网络大多数是按照普渡模型设计的,按功能和流程划分为5个层级,如下图。这个模型在工业自动化时代代表了完美的网络结构,但随着生产向着信息化和智能化方向发展,工业网络静态配置、刚性组织的方式难以满足用户定制、柔性生产的需要,因此需要更先进的网络模型以适应新一代智能制造的要求。

采用5G无线接入(RAN)+多接入边缘计算(MEC)的新型网络结构,能够克服现有网络的缺陷,提升生产的效率与弹性。通过赋予设备终端智能,以5G传输取代有线电缆,将过程监控与生产管理上移至MEC,以微服务方式与MEC进行集成,生产网络从静态分级架构升级为扁平交互架构,既保证了生产对低时延的要求,又极大提升了网络部署和运维的灵活性,促进了OT和IT系统深度融合。

(2)终端智能化。数据采集、过程监控与反馈控制是智能制造的核心流程,为了保证数据采集的完整与及时,应尽量把5G传送能力部署到终端采集点,并在终端接受控制中心发回的指令。5G终端种类多样,已成功商用的包括5G手机、5G芯片、5G模组、5G CPE(Consumer Premise Equipment,客户前置设备,可以把高速的5G信号转为WiFi信号)等,这些5G终端可以部署在机器人、AGV、工业相机、无人机、AR/VR设备等,极大提升了生产设备的数据采集与处理能力。

(3)通信无线化。为了保证生产过程信息传输的低时延与可靠性,工控网络多数采用工业控制总线和工业以太网,通过铺设有线电缆连接生产设备与控制系统。为了提高生产灵活性,有些场景采用WiFi或者4G,但牺牲了部分可靠性。柔性制造要求随业务变化不断调整监测设备与网络位置,因此布设固定网络线路成为业务发展的障碍。5G网络的高带宽、广连接和低时延特性,恰好支持以无线替代有线,同时保障通信质量。比如对于柔性生产最重要的机器人,用5G模组替代有线网络,节省线缆及布线工作量,节省生产线调整时间,通过云端实现对机器人的控制,大大提升了工厂生产柔性化。此外,PLC是智能制造的核心工控设备,功能与形态已日臻完善,随着5G在工业领域的快速应用,主流供应商已经尝试推出无线PLC。在2018年汉诺威工业博览会上,华为和Beckhoff公司展示了用于支持5G的PLC产品,通过更高性能的连接和URLLC提高远程控制的范围,摆脱了对有线电缆的依赖。

数据来源:Qualcomm-How will 5G transform IIoT

(4)计算集中化。MEC是5G网络的核心组成部分,是5G赋能智能制造的关键技术措施。MEC是一个开放式云计算平台,部署在5G网络的边缘,对于用户来说,则处于无线网接入基站一侧,通常部署在工业园区或工厂内。MEC除了承担5G网络管理(切片,UPF等),还对外提供API,开放无线网络与垂直业务服务器之间的信息交互,使得无线网络可以与第三方应用融合,为业务创新提供无限可能。智能制造典型云端应用都可以部署在MEC服务器,如AGV云控制引擎、机器视觉AI分析服务、控制系统的集中监控服务器/HMI、制造执行系统MES、实时数据库等。工业应用系统的集中部署,大大提高了部署效率,降低了运维成本。

(5)网络虚拟化。5G在垂直行业组网的方式是切片,智能制造不同场景对带宽、连接能力、时延要求各不相同,因此5G通过切片或者子切片,配置不同网络参数,为企业提供差异化网络服务。5G网络通过NFV和SDN技术,实现了网络软硬件解耦以及控制面和用户面分离,可以根据业务特点灵活配置网络资源,快速编排端到端的行业应用网络,并通过切片商城快速激活交付。

四、5G+智能制造网络安全风险与防护

工业网络安全的危害在于对物理世界造成损失,轻则数据泄露、经济受损,重则污染环境甚至机毁人亡。随着针对工业网络的攻击逐年增多,工业安全备受人们关注。安全是场景强相关的伴生技术,传统的有线网络可以通过隔离的方法来加强安全防护,但网络无线化后,这种静态隔离的方法就很难实施了。5G工控网络的数据传输与设备组网方式都发生了很大变化,会引发新的网络攻击形式与相应的安全防护方案。在新的网络架构下,除了要保障智能化生产的连续性、可靠性,以及关注智能设备、控制设备的安全性以外,还要加强对云端网络、应用和工业大数据的安全防护。

5G在架构设计上较全面地考虑了网络安全问题,从大网运维角度针对5G终端防护、网络隔离和数据保护提供了灵活的安全措施。具体体现在,5G支持较高的端到端安全性,支持终端和网络之间的互相认证,通过安全芯片、安全算法、用户信令数据加密保护、签约凭证的安全存储等措施,确保非法终端不能入网,也能有效避免非法基站带来的安全隐患;网络安全方面,切片技术为行业应用建立了独立的虚拟化专用网络,切片之间采用严格的隔离措施,防范威胁向其它切片扩散;此外,为了保护工业大数据安全,5G采用边缘计算分流技术,将数据的计算、存储和安全锁定在MEC本地,避免进入核心网,从而避免来自互联网的攻击。

以上通用安全保护措施,还不能完全满足垂直行业具体应用对安全保障的精细化要求。对于智能制造来说,传统的设备、控制、网络和应用安全的需求仍然存在,只是部署的位置和方式发生了变化。

(1)工业主机安全防护。工业主机包括各种上位机、监控服务器、MES服务器、实时数据库服务器等,安全防护目标主要是防病毒及恶意软件攻击。根据网络改造程度的差异,有些工业主机将以虚拟机(VM)形态部署到MEC,有些则继续以物理机部署在靠近控制系统的位置。对于前者,需要在VM安装支持虚拟化部署的主机防护软件,有代理无代理均可,视安全防护等级和部署成本而定;对于后者,则沿袭传统措施,在物理主机上安装白名单控制软件。

(2)虚拟工控网络边界隔离与审计。传统工控网络安全方案中,网络分区、边界隔离、流量审计是最基本的安全手段。5G网络的工业过程监控与生产管理相关功能上升至MEC后,相应的设备与应用系统以虚拟化形式存在,物理边界消失,彼此通过逻辑隔离,原来的安全设备以虚拟化资源(vFW,vIDS,vISS等)在MEC调度使用,安全防护策略也从管理南北向流量变为东西向流量。

(3)MEC边缘计算安全防护。MEC汇集了5G+智能制造的过程监控系统、云计算应用系统(机器视觉分析,AR/VR等)、海量工业大数据,还是工业互联网平台的接入点,是生产控制网络的中枢,价值极高,是黑客攻击的重点和网络安全防护的核心。从技术角度,MEC是部署在生产网络边缘(也是5G移动网络边缘)的云计算中心,构建模型与私有云无本质差异,所面临的安全风险与采取的防护措施也基本相同。

云计算中心面临的安全风险与传统物理网络有巨大差异,除了“完美”继承主机设备的安全风险外,还面临云环境特有的跨虚拟机攻击、虚拟机逃逸、东西向流量感知与防护、针对云操作系统漏洞攻击、大数据安全防护等问题。单纯依靠部署虚拟化安全设备的方式,部署周期长,操作不方便,配置复杂,已经远远无法满足云环境下安全的需求。实践中效果比较好的方式是搭建一套可持续运营的弹性的云安全管理与服务平台,覆盖云外南北向访问控制、云内东西向访问控制、主机防护、漏洞管理、web安全防护以及流量与行为审计,通过虚拟安全资源池方式为不同应用提供按需安全防护能力。典型云安全管理平台架构如下图:

五、问题与安全展望

5G网络的eMBB、mMTC和URLLC三大技术能力让人们对5G在工业的应用充满了想象,坚信5G将为工业升级转型提供强有力支撑,前景广阔,来日可期。但我们必须注意的是,任何变革绝非一日之功,5G商用仅仅是产业变革的开始,过程中还有大量问题需要解决,在标准制定、技术落地、场景探索等多方面还需要做大量扎扎实实的工作。

5G标准还没有完全冻结。已经冻结的R15版本主要面向eMBB大带宽业务,面向URLLC的高可靠低延时的R16版本还在制定中,eMTC则更晚。因此目前的5G应用主要还是围绕大带宽数据传输展开,高可靠低时延和海量连接应用还是以畅想为主,至少目前运营商开展的5G网络试点应用,还没有URLLC的部分。尽管部分5G案例中提到了低延迟,但主要是得益于5G的高传输速率。

TSN时间敏感网络能很好地满足工业生产低延时的要求,因此与TSN融合是工控网络进行5G改造的关键技术。这个标准将在3GPP R16规划中支持,根据需求规范,对于时间敏感的工业应用场景,可能需要达到0.5 ms的延迟和99.9999%的可靠性。基于5G的TSN网络将在分组分发、自动寻址和服务质量QoS等领域满足工业企业需求。因此,工控网络短期内进行5G升级不会选择时延敏感系统,而是首选非实时的辅助系统,从而工业总线和工业以太网将在较长时期内与5G网络并存。

在5G试点方面,尽管各大运营商和5G厂商都宣称获得巨大成功,但所选场景,无论是通过机器视觉检测产品质量,还是通过云端控制AGV进行视觉导航,以及通过高清视频加强园区安全监控,还有借助AR实现辅助装配,大多数是生产的辅助功能,还没有触及智能制造的核心部分–自动控制。控制系统内大量传感器连续测量结果,定期传输给控制器以设定执行器,闭环控制周期低至 ms 级别,对网络的性能与可靠性要求极高,这对5G端到端的SLA保障能力提出了巨大挑战。此外,为了确保控制的实时性与可靠性,自动控制系统多数采用有线方式组网,无线化改造还处于概念尝试阶段,离规模推广还有很长距离。

不过,尽管还存在一些具体的问题需要克服,但推动5G快速发展无疑已经成为国家战略,相信随着标准不断完善,实践不断加深,商业模式不断清晰,5G在工业领域的应用会如人们的期待,实现改变工业生态、促进工业升级转型的宏大目标。而网络安全作为伴生技术,也将与时俱进,确保新型生产网络的安全运行。

参考文献:

1.《5G 与工业互联网融合应用发展白皮书》工业互联网产业联盟

2.《5G+智能制造白皮书》中国信息通信研究院华东分院

3.《5G最新进展深度解析》吴冬升

4.《边缘计算安全白皮书》ECC与AII联合发布

5.《MEC in 5G networks》ETSI

6.《5G+工业应用有哪些实际应用场景》欧氪

7.《5G MEC 的本质是什么》边缘计算社区

8.《中国移动5G联合创新中心创新研究报告——移动边缘计算(2017年)》

9.《中国电信5G行业场景案例集》中国电信政企客户部

10.《中国移动5G典型应用案例集锦》中国移动研究院

11.《中国联通5G应用创新案例汇编》中国联通

12.《奇安信云安全管理平台产品白皮书》奇安信集团

声明:本文来自工业菜园,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。