协同设计基础核心平台（PDM/PLM）介绍

大多数特殊行业企业在其设计和生产过程中已经大规模使用CAD、CAM等技术，新技术的应用在促进生产力发展的同时也带来了新的挑战。对于特殊行业而言，虽然各单元的计算机辅助技术已经日益成熟，但都自成体系，彼此之间缺少有效的信息共享和利用，形成所谓的“信息孤岛”。并且，随着计算机应用的飞速发展，随之而来的各种数据也急剧膨胀。数据种类繁多、数据重复冗余、数据检索困难、数据的安全性及共享管理等问题对企业的相应管理形成巨大压力。

由前文所述，特殊行业的每个装备型号都是由多家成员单位共同研制开发而成，而中国的特殊企业地理位置分散，不同单位之间的协同设计问题非常突出。以传统的舰船研发模式为例，舰船研发工作中会有一个总体设计单位承担总体设计工作，由其他单位进行船体、动力、光电、通讯、声纳、火控等分项设计，最终由船厂进行生产制造和总装；在总体设计单位的设计工作中，包括船厂在内的其他单位都需要派人到总体设计单位进行相关的设计配合工作，这种研发方式效率低下，无法充分利用各单位的研发数据，研发周期长、成本高。

协同设计系统以产品数据管理（Product Data Management，PDM）或产品生命周期管理(product lifecycle management，PLM)为核心，利用各个特殊行业企业现有的广域网系统，将原有的总体设计单位、分项设计单位、各生产配套单位、生产总装厂互联，构建一个协同设计制造平台。打破现有的各单位信息孤岛，将各个单位的研发数据最大化的有效利用，形成科学的装备研制过程管理，提升研发效率、缩短定型时间。

1.应用范围PDM/PLM软件一般包括包括文档管理、工作流和过程管理、产品结构与配置管理、查看和批注、扫描和图像服务、设计检索和零件库、项目管理、电子协作、工具与“集成件”功能。凡是最终可以转换成计算机描述和存储的数据，PDM/PLM软件都可以一概管之，例如：产品结构和配置、零件定义及设计数据、CAD绘图文件、工程分析及验证数据、制造计划及规范、NC编程文件、图像文件（照片、造型图、扫描图等）、产品说明书、软件产品（程序、库、函数等“零部件”）、各种电子报表、成本核算、产品注释等、项目规划书、多媒体音像产品、硬拷贝文件、其电子数据等。

2. PDM与PLM带来的网络系统设计需求

特殊行业客户由于其行业特殊性，其网络必须通过分级保护测评。特殊行业客户的网络主要包括集团广域网与成员单位局域网两个部分。

集团广域网主要负责将本集团内的成员单位互联，其应用系统主要以视频会议、公文流转为主。由于其业务单一，所以集团广域网在成员单位内部以单点或者部分节点（一般不超过10台PC）接入为主，成员单位的办公局域网基本不接入到广域网中。

成员单位局域网建设情况多种多样，虽然大部分成员单位通过了分级保护测评，但安全防护水平与集团的要求尚有差距。

集团层面的协同设计系统对网络平台的要求体现在广域网改造、集团数据中心建设、成员单位局域网改造三个方面。广域网改造

广域网的改造主要在链路带宽扩容与路由器设备升级上。协同设计系统中需要传输大量的成员单位4C系统（CAD/CAPP/CAM/CAE）数据，并且在3D设计系统逐渐普及的今天，一张3D设计图纸的大小要以G为单位进行衡量。传统的特殊行业广域网主要传输视频会议与办公公文，其业务带宽要求较小，一般为2-4M，协同设计的高数据量传输要求对广域网带宽进行升级，常规的协同设计单位对广域网带宽要求在30M以上。特殊行业企业广域网建设的时间都比较早（一般在2002年前后），在协同设计系统出现之前，由于其业务单一，路由器设备的升级需求并不强烈。大部分特殊行业企业的集团层面协同设计需求是近几年才出现的，广域网路由器也到了设备报废时间。因此，部署集团层面的协同设计系统，要求对广域网路由器设备进行升级改造。

表1 广域网改造规模

特殊行业企业广域网的边界还需要部署防火墙产品：数据中心广域网边界1-2台、每个成员单位广域网边界1台。网络防火墙产品目前资质齐全，除了项目必备的涉密产品认证资质以外，还有 EAL3、销售许可证、国家信息安全产品型号证书等资质证书。广域网边界防火墙在承担传统的数据包过滤的职责以外，还可配置蠕虫病毒防护策略，提升广域网边界的防护水平和防护层次。

中国共有11个特殊行业，以一个特殊行业为例，广域网改造规模如表1：集团PDM系统要求参与协同设计的成员单位将大量的设计文档、数据传输到集团的协同设计数据中心。而且要求包括设计全过程的文档和数据，这就要求在集团层面建设数据中心，用以存储不同装备型号的协同设计研发数据。

由于特殊行业客户涉密的业务特点，对数据中心交换机的各种云计算和数据中心特性区别对待：

以太网光纤通道（Fibre Channel over Ethernet，简称FCoE）：特殊行业客户对FCoE持接受的态度，在特殊行业目前已经有了的FCoE成功案例。

虚拟以太网端口聚 合 器（Virtual Ethernet Port Aggregator，简 称VEPA）：在前几年，出于安全的考虑，特殊行业客户的涉密网中不允许使用服务器虚拟化软件。但是随着国内服务器虚拟化厂商的发展，部分客户已经开始准备部署使用国内厂商的产品；还有一部分客户目前持观望态度。从我们与特殊行业客户交流的情况来看，大部分客户从节省成本和简化运维角度出发，希望能在涉密网中部署使用服务器虚拟化产品。

某特殊行业企业的协同设计广域网改造与集团数据中心网络拓扑示意图2。

该广域网采用集团传统的“核心—汇聚—接入”三层架构，并建设集团数据中心。采用双链路的方式分别传输视频会议业务与数据业务。核心与汇聚的链路带宽为100M，成员单位的链路带宽为8-30M。

图1 数据中心网络拓扑示意图

图2 协同设计局域网改造拓扑示意图

因为特殊行业成员单位中的多个部门需要通过集团协同设计系统参与到多个设备型号项目的研制工作中，所以一般的成员单位的局域网将采用整网接入的方式接入到广域网中。成员单位需要进行相关的局域网改造，并与按照集团的安全保密要求进行分级保护安全加固。

某成员单位的协同设计局域网改造拓扑示意图2。

该局域网按照传统的园区网“核心—汇聚—接入”三层架构，遵循分级保护的相关标准与要求，对局域网进行不同密级、不同应用/业务类型的区域划分。不同的安全区域之间采用防火墙进行逻辑隔离，通过控制策略防止涉密到非密、高密到低密的数据传输。局域网建议采用“万兆骨干、千兆桌面”的部署方式，局域网的数据中心区域采用网络的数据中心交换机，采用FCoE、VEPA等数据中心技术支持客户FCoE存储与服务器虚拟化的部署场景。如果客户采用服务器虚拟化软件，数据中心交换机的VEPA功能可将服务器内虚拟机之间的流量牵引到交换机上，由部署在交换机上的入侵检测系统进行抓包分析，防止出现跳板攻击。在局域网安全建设方面可采用防火墙、入侵防御系统、数据库审计系统等构建安全防护体。