工业互联网网络建设技术规范

工业互联网网络建设技术规范范围本文件给出了XX省工业互联网网络建设技术规范的一般性要求。本文件适用于XX省工业互联网网络的规划、设计、建设、监理和升级改造。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22240《信息安全技术网络安全等级保护定级指南》GB/T22239《信息安全技术网络安全等级保护基本要求》GB/T26336《工业通信网络工业环境中的通信网络安装》GB/T36968《信息安全技术IPSecVPN技术规范》GB/T38868《工业控制网络通用技术要求有线网络》GB/T42021《工业互联网总体网络架构》GB50311《综合布线系统工程设计规范》GB/T50312《综合布线系统工程验收规范》GB/T51398《光传送网（OTN）工程技术标准》GB/T51419《无线局域网工程设计标准》GB/T51431《移动通信基站工程技术标准》YD5215《无线局域网工程验收规范》YD5214《无线局域网工程设计规范》YD/T1170《IP网络技术要求-网络总体》YD/T1238《基于SDH的多业务传送节点技术要求》YD/T1477《基于边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLSVPN）组网》YD/T3804《工业互联网安全防护总体要求》YD/T3973《5G网络切片端到端总体技术要求》MEF-70《SD-WANServiceAttributesandServices》ISO/IEC11801《信息技术-用户基础设施结构化布线》术语和定义下列术语和定义适用于本文件。工业互联网Industrialinternet互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态，是工业智能化发展的关键综合信息基础设施。标识解析IdentifierResolution工业标识解析通过标识码为实体和虚拟的对象赋予唯一的身份码，记录和追溯这个虚拟或实体对象的全生命周期信息。工业内网Industrialinternalnetwork在工厂或园区内部，用于生产要素互联以及企业IT管理系统之间连接的网络。工业外网Industrialexternalnetwork以支撑工业全生命周期各项活动为目的，用于连接企业上下游之间，企业与智能产品、企业与用户之间的网络。OT网络operationtechnologynetwork用于连接生产现场设备与系统，实现自动控制及信息采集的工业通讯网络。IT网络informationtechnologynetwork用于连接信息系统与终端的数据通信网络。现场总线fieldbus是一种工业数据总线，是自动化领域中底层数据通信网络。工业以太网industrialEthernet是基于IEEE802.3的区域和单元网络，是应用于工业控制领域的以太网技术。虚拟专网virtualprivatenetwork基于现有公网而构建的能满足各行业业务及安全需求、按需实现软硬件隔离，同时向行业用户提供部分网络管理、监测、独立开户等权力的虚拟网络。缩略语下列缩略语适用于本文件。Wifi无线保真技术（wirelessfidelity）Wifi6第六代无线保真技术（wirelessfidelity6）WIA 无线接入点（WirelessAccessPoint）WirelessHART无线可寻址远程传感器告诉通道开放通讯协议（WirelessHighwayAddressableRemoteTransducer）2G 第二代移动通信技术（the2ndGenerationofcommunicationtechnology）3G 第三代移动通信技术（the3rdGenerationofcommunicationtechnology）4G 第四代移动通信技术（the4thGenerationofcommunicationtechnology）5G第五代移动通信技术（the5thGenerationofcommunicationtechnology）ACL 访问控制列表（AccessControlLists）QoS 服务质量（QualityofService）TCP 传输控制协议（TransmissionControlProtocol）UDP 用户数据报协议（UserDatagramProtocol）OPCUAOPC统一架构（OPCUnifiedArchitecture）MQTT 消息队列遥测传输（MessageQueuingTelemetryTransport）OT操作技术（OperationTechnology）IT信息技术（InformationTechnology）TSN 时间敏感网络（Time-SensitiveNetworking）OA 办公自动化（OfficeAutomation）ERP 企业资源计划（enterpriseresourceplanning）PLM产品生命周期管理（ProductLifecycleManagement）CRM 客户关系管理（customerrelationship）MICE 环境观念特征与环境（MilieuIdeaCharacterandEnvironment）IP 互联网协议地址（InternetProtocolAddress）MPLS 多协议标签交换（Multi-ProtocolLabelSwitching）VPN虚拟专用网（VirtualPrivateNetwork）IPsec 互联网安全协议（InternetProtocolSecurity）SD-WAN软件定义广域网（SoftwareDefinedWideAreaNetwork）BGP 边界网关协议（BorderGatewayProtocol）MSTP 多业务传送平台（Multi-ServiceTransportPlatform）OTN 光传送网（OpticalTransportNetwork）MEF 城域以太网论坛（MetroEthernetForum）网络功能框架基本框架工业互联网网络功能框架由网络互联、数据互通和标识解析三部分组成，标识解析不在本文件范围内，具体见图1。图1工业互联网网络功能框架网络互联工业企业应通过有线、无线等接入方式，将工业互联网体系相关的人、机、料、法、环以及企业上下游、智能产品、用户等相关要素进行互联，支撑业务发展的多要求数据转发，实现端到端数据传输。网络互联按照协议层次由下至上可分为接入层、网络层和传输层。接入层接入层应实现工厂内外相关要素连接，宜根据需求选择合适的接入方式，具体包括WiFi、WiFi6、WIA、WirelessHART等无线接入，2G、3G、4G、5G等蜂窝接入，工业以太网接入，现场总线接入及光纤接入等。网络层网络层应具备工业实时数据转发、工业非实时数据转发、网络控制、网络管理等功能，其中：1）工业实时数据转发完成生产控制过程中有实时性要求的控制信息和需要实时处理的采集信息传输；2）工业非实时数据转发完成无时延同步要求的采集信息数据和管理数据传输；3）网络控制完成路由表/流表生成、路径选择、路由协议互通、ACL配置、QoS配置等功能；4）网络管理完成层次化的QoS、拓扑管理、接入管理、资源管理等功能。传输层传输层应具备端到端数据传输功能和管理功能，其中：1）传输层端到端数据传输功能基于TCP、UDP等协议实现设备到系统的数据传输；2）传输层管理功能实现端口管理、端到端连接管理、安全管理等。数据互通工业企业部署的生产装备、信息采集设备、专用远程终端单元、数据服务器、数据中间件、应用系统等宜支持国际国内标准化数据及通讯协议、行业专有信息模型，构建从底到上全流程、全业务的数据互通系统，实现数据和信息在各要素间、各系统间的无缝传递，使得异构系统在数据层面能相互理解，可采用的协议包括但不限于OPCUA、MQTT等。应用层通信应用层通信应实现数据信息传输安全通道的建立、维持、关闭，并对支持工业数据资源模型的装备、传感器、远程终端单元、服务器等设备节点进行管理。信息模型信息模型应提供完备、统一的数据对象表达、描述和操作模型。语义互操作语义互操作应实现工业数据信息的发现、采集、查询、存储、交互等功能，及对工业数据信息的请求、相应、发布、订阅等功能。网络技术要求连接框架参照GB/T42021《工业互联网总体网络架构》，工业互联网网络连接框架见图2。从功能角度分为网络互联和数据互通两个层次，根据连接对象和所处位置又可分为工业内网和工业外网两个部分。图2工业互联网网络连接框架工业内网部署视图工业内网包括OT网络和IT网络两个层级，根据承载业务的不同，分为生产网、办公网、安防网等，部署示例见图3。图3工业内网部署视图示例性能要求生产网络生产网是指承载企业核心生产经营活动的网络。不同类型企业，由于生产经营活动的不同，生产网性能及可靠性要求差异非常大。基于现场总线、工业以太网等有线网络进行生产网建设时，相关性能要求参照GB∕T38868《工业控制网络通用技术要求有线网络》进行设计。企业也可基于WiFi、WiFi6、WIA、WirelessHART、物联网等无线通信技术，TSN、光网、5G、WIFI6先进通信技术进行生产网建设，具体性能应根据业务需求进行设计，应符合时延、带宽、丢包、抖动等各项性能指标要求。办公网络办公网是企业用于日常办公的网络，通常运行企业的邮件系统、OA、ERP、PLM、CRM等信息系统。办公网需能保证相关办公业务的服务质量，避免因为带宽、网络不稳定等问题导致应用缓慢，避免因为服务质量保证能力不足影响业务实施。安防网络安防网是指承载视频监控、楼宇自控、门禁控制、电梯控制、广播系统等与企业安防相关业务的网络，主要访问监控中心和服务存储区，其中监控视频流量对带宽较为敏感，宜满足业务带宽等性能要求。管理要求配置工厂内网配置要求如下：1）宜支持设备配置管理功能，通过网络接口进行设备配置管理，设备网络配置管理功能应包含但不限于，设备基本信息管理、诊断范围和报警域限管理、设备固件升级等；2）宜根据身份对管理进行权限控制。可扩展工业内网应具备可扩展性，新接入的节点宜能即插即用。拓扑管理工业内网拓扑管理要求如下：1）应支持网络拓扑图生成、显示、布局；2）宜支持设备自动发现；3）宜支持网络拓扑管理，当网络结构发生变化时，可自动更新。可靠性要求冗余工业内网宜具备一定的冗余措施，在部分网络出现故障时，剩余网络维持系统正常运转，宜包括以下冗余能力：网络冗余：两个或以上的冗余通信网络，当其中一个网络故障时，另一个网络能够正常通信，不影响正常数据通信，或者构建环形冗余通信网络，当环网其中一个方向网络故障时，通信数据可以通过另一个方向正常通信；节点冗余：互为热备或冷备的冗余节点，当其中一个节点故障时，另一个热备或冷备节点能够接替故障节点工作，不影响正常数据通信。故障隔离工业内网宜支持网络故障隔离，减小故障影响。故障类型包括区域故障和单点故障，宜采取包括但不限于以下措施：1）工业内网宜进行横向分区，纵向分层设计，某区域发生故障时，故障宜被隔离，不应扩散至其他区域；2）工业内网宜配置合适策略，网络某点发生故障时，故障被隔离至有限范围内，故障恢复时，隔离措施不影响正常通信。环境要求工业现场环境复杂，网络设备和线路设施等可能处于综合的电磁、物理、化学环境中，宜根据工业场景所处的环境条件进行抗电磁干扰、防水防尘、耐极端温度、以及耐化学腐蚀等能力的设计。对于工业场景的环境描述，参照ISO/IEC11801系列标准对于工业场景通信布线系统定义的MICE环境条件体系。工厂外网部署视图在企业出口路由器上，根据不同的网络需求，引导流量去往不同的网络连接。工业企业根据自身业务的层次化网络需求，在企业出口路由器上，引导不同业务流量去往不同的网络连接。如通过公众互联网等普通互联网连接实现最基本的商务、客户、用户和产品联系，通过虚拟专线、物理专线等高质量专线连接实现高可靠、高安全、高质量的业务部署。具体部署示例见图3。图4工业外网部署视图示例公众互联网上下游企业间的电子商务合作、工厂与用户、产品的信息交互等对时延、可靠性要求不高的业务可选择公众互联网提供网络数据转发。基础电信企业提供的公众互联网服务应符合YD/T1170-2001《IP网络技术要求-网络总体》标准要求。虚拟专网工业企业分支机构互联、高价值产品远程运维等多类应用场景中可基于基础电信企业公共物理网络资源构建逻辑隔离的虚拟专网，包括MPLSVPN、IPsecVPN、SD-WAN、5G网络切片等多种类型。工业企业应梳理应用场景对时延、抖动、丢包、带宽等网络性能的具体需求，选择不同服务质量和技术的虚拟专网。基础电信企业应根据工业企业需求，提供符合相关网络技术标准的虚拟专网服务，其中：1）MPLSVPN宜符合YD/T1477《基于边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLSVPN）组网》相关要求；2）IPsecVPN虚拟专网宜符合GB∕T36968《信息安全技术IPSecVPN技术规范》相关要求；3）SD-WAN宜符合MEF-70《SD-WANServiceAttributesandServices》相关要求；4）5G网络切片宜符合YD/T3973《5G网络切片端到端总体技术要求》相关要求。物理专线工厂与外部交互对象之间需构建私有网络来保障业务的高可靠、高安全、高质量时，可构建物理隔离的物理专网，包括MSTP物理专网、OTN物理专网等多种类型。工业企业应梳理自身业务需求，选择合适的组网技术与服务。基础电信企业应根据工业企业需求，提供符合相关网络技术标准的物理专网服务，其中：1）MSTP物理专网宜符合YD/T1238《基于SDH的多业务传送节点技术要求》相关要求；2）OTN物理专网宜符合GB/T51398《光传送网（OTN）工程技术标准》相关要求。网络安全要求网络安全定级企业宜参照GB/T22240《信息安全技术网络安全等级保护定级指南》及YD/T3804《工业互联网安全防护总体要求》等标准开展网络安全定级工作。网络安全防护企业宜参照GB/T22239《信息安全技术网络安全等级保护基本要求》及YD/T3804《工业互联网安全防护总体要求》等标准开展网络安全防护工作。网络建设要求工业互联网网络建设安装工作宜遵循工程建设“三同步”原则，与工业互联网主体同步设计、同步施工、同步验收。过程中涉及到的采购招标、安全生产、建设监理、质量管控等通用性要求应遵循国家法律及相关强制性标准开展。规划设计规划设计原则实用性网络规划设计过程中以满足用户需求为目标，最大限度满足用户提出的功能需求，并充分考虑业务特点，确保网络系统实用性。先进性除满足用户当前需求外，应采用适度超前的技术及参数，确保建成的网络具有一定的先进性，能够平滑升级。灵活性规划设计的网络系统除能够满足用户实际应用需求外，应不受产品选型、链路设计等限制，可进行灵活调整，且具备可扩展性。网络系统规划设计应遵循国际和国家有关标准进行，具备结构化和标准化特点，支持多种网络操作系统、网络协议的运行，兼容各类型厂商的网络产品。可靠性工业互联网网络必须稳定可靠工作，业务不中断，保证业务体验。规划设计时宜对关键部件采用冗余或备份架构，发生故障时可以快速恢复。同时，网络必须安全、可信任，保障网络和业务安全。经济性在实现实用性、先进性、灵活性、可靠性的前提下，充分利用现有网络系统，同时考虑设备成本、建设成本、运维成本，达到功能和经济的融合设计。易管理性规划设计时应充分考虑网络管理、维护、诊断和故障定位的难易程度，考虑采用全网多业务智能、主动和综合管理模式，实时分析网络健康状况，积极预防，快速排障，减少损失。规划设计要求规划设计阶段应开展需求调研分析及网络规划设计等工作。需求调研分析规划设计首先应开展需求调研与分析，宜开展但不限于以下工作：1）宜调研网络建设目标，明确需要通过网络建设解决的问题及通过网络提供的应用和服务；2）宜调研网络的物理布局，