冯晓丽，刘晨，张丽伟，王晓韵

（中国电信集团有限公司，北京 100033）

0 引言

目前，推进5G+工业互联网的融合创新发展和助力工业企业数字化转型等备受关注。然而整个制造型企业信息化程度非常不均衡，大部分处于连接和可视化阶段，其信息化发展重点由内部信息化逐渐外延至外部及输出信息化。其中，内部信息化希望通过网络化协同、智能化生产以及个性化定制打造一个数字化的智能工厂，实现企业的降本增效。实现工厂园区的智慧化，主要面临如下几点挑战。

· 安全管理方面。企业希望能够对人员进行有效管理，包括杜绝擅自离岗、关键区域非法侵入以及安全操作不规范防护等情况。除此之外，企业的制造数据属于企业的核心资产，高度敏感，严禁外传。

· 终端管理方面。企业现场设备终端类型繁多，且协议多样化，多终端数据采集、互通的壁垒较高。

· 网络管理方面。传统企业网络类型多样、组网复杂、速率低，出现故障后无法有效定位，运维难度较大，对企业的IT 系统是极大的挑战。

· 生产效率方面。目前大量产品的高精度检测准确度和效率对人工检测提出了很大的挑战，同时一些较为恶劣的环境也直接影响工人的身体健康，带来用工难的问题。即使已经采用了机器代替人工检测等方案，也存在各种检测系统并存、数据难以有效利用的问题，对于生产流程的优化和决策是很大的挑战。

因此，如何利用 5G、多接入边缘计算（multi-access edge computing，MEC）等新型ICT技术打造智慧化园区[1-9]，实现管理、生产效率的双提升，满足企业数字化转型要求成为本文重点关注的内容。

1 基于5G MEC 的智慧化园区解决方案

1.1 总体解决方案

为了实现企业的数字化转型，打造智慧化园区，首先需要为企业构建网络高速连接、算力灵活扩展、安全可靠的云网基础设施，同时按需加载不同的行业应用，解决企业管理效率提高、生产效率提升的问题。虽然不同企业的生产布局、制造工艺等存在较大差异，但总体可以分为室内固定、室内小范围移动、室内移动以及室外移动等场景。针对不同的场景以及需求，结合5G、无源光纤网络（passive optical network，PON）、Wi-Fi 等网络接入方式的特点给出了总体的解决方案，基于5G MEC的智慧化园区系统架构如图1 所示，具体有以下几种场景。

图1 基于5G MEC 的智慧化园区系统架构

（1）室内固定场景

针对固定产线、固定机床、机械臂控制等无移动诉求，且时延要求高的场景，可以充分利用PON 有线的高速连接以及毫秒级的时延（带宽1～10 Gbit/s，时延＜1.5 ms）为固定设备提供稳定可靠的千兆连接。但对于存在产线临时调整需求的场景，为了降低产线调整带来的有线网络调整的复杂度以及成本，则可以考虑5G 网络连接，满足其柔性生产的网络连接需求。

（2）室内小范围移动场景

针对办公计算机、手机、扫码枪等小范围移动或者对业务连续性要求不高的场景，则可以利用通用的Wi-Fi 接入，满足各类型重点的接入访问需求。考虑Wi-Fi 本身干扰协调能力较弱，比较适用于办公楼、办公室、教室等有墙壁阻碍的场景，降低邻区干扰的影响。

（3）室内移动场景

与办公楼等场景相比，此场景主要针对大型车间且业务具有连续性保障要求的场景，例如自动导引车（automated guided vehicle，AGV）、增强现实（augmented reality，AR）眼镜以及叉车等。此时，由于Wi-Fi 覆盖的抗干扰性较差且无有效的移动连续性保障机制，容易造成业务的中断，给企业的生产带来影响。因此，针对工厂车间等空旷场景，以及有业务连续性需求的业务场景，则优先选择5G 网络进行连接。

（4）室外场景

针对室外场景，5G 重点解决港口、码头、矿山等光纤不可达的场景，或者业务具有移动性需求的场景（如远程操控车、室外巡检机器人等）。

可以看出，通过5G、PON、Wi-Fi 等多种网络实现企业用户不同场景多种终端的固定、移动网络接入，可满足企业的千兆连接需求。

除此之外，通过下沉至企业园区的MEC，一方面支持5G、PON 等固定移动双千兆网络的本地接入，同时为客户提供灵活的算力资源，可按需加载客户所需的业务应用，满足客户的定制化需求，如图1 所示的视频监控、AGV 以及AR 远程辅助等业务应用。企业客户可基于MEC 提供的自服务门户，实现企业流量管理、终端管理、应用编排、监控运维以及能力开放等能力，实现用户对于云网资源及应用的可视可管可控，既可以有效快速地实现故障的定位定界，同时还可以将网络能力开放给企业，实现业务与网络的深度融合，加速新型业务创新。

基于上述讨论可以看出，通过5G+MEC 可以为工业园区提供低时延、大带宽、高算力的安全云网基础设施，同时可以根据工业企业具体的安全管理、终端管理、网络管理以及生产效率提升等需求，按需部署不同的业务应用满足企业管理效率以及生产效率的提升。例如可以通过部署视频人工智能（artificial intelligence，AI）类应用，实现企业人员、资产等的管理以及安全规范操作等内容；同时基于MEC 的多网络接入能力以及固定/移动网络的融合管理能力，面向企业为客户提供可视、可管、可控等能力，如终端管理、自助流量管理等，满足企业多种网络管理的需求；在生产效率提升方面，则主要面向物流、远程辅助、工业质检等方面，通过AGV、AR、视频AI 等提高整体的工作效率，降低人员工作强度，整体提升生产效率。

1.2 总体组网架构

基于5G MEC 的智慧化园区组网架构如图2 所示。基于上述讨论和图2，可以看出，通过下沉一体化用户面功能（user plane function，UPF）和MEC 平台，并采用数据网络标识（data network name，DNN）签约的方式，可以实现无论室内还是室外的企业终端，直接访问企业内下沉的一体化UPF 和MEC 平台，满足了企业数据不出园区的需求。同时，对于该区域内有公网访问需求的终端，则直接建立到核心网集中UPF 的连接会话，实现公网业务的接入访问。值得注意的是，这种场景下，5G 控制面依然采用集中控制的方式。除此之外，对于通过PON 访问的终端，则直接通过企业部署光线路终端（optical line terminal，OLT）设备实现边缘业务的直接访问。通过MEC 提供的网络管理服务实现5G、PON 的管理，实现企业用户对流量、终端的管理以及网络设备故障的即时告警提醒，同时可通过接口将相关能力开放给企业管理系统，实现企业网络的监控管理。

图2 基于5G MEC 的智慧化园区组网架构

基于5G MEC 的智慧化园区解决方案总体是利用5G、PON、MEC 等技术特征，为用户提供低时延、高带宽、高算力的边缘云网能力，打造虚拟的RAN 局域网。以企业园区为例，通过业务应用本地化以及本地分流技术可以实现企业内部高效办公、业务应用的本地访问等，从而为用户提供更优质体验的本地连接能力以及本地业务访问能力。也就是说，通过该解决方案为企业等热点高容量场景提供一个虚拟的本地RAN 局域网，实现了MEC“本地业务本地解决”的主要思想。

1.3 端到端安全分析

如上所述，企业用户对生产数据的安全提出了很高的要求，除了“数据不出园区”的最基本要求外，更关注端到端的安全防护。考虑安全是一个非常综合的复杂问题，本文主要针对图2 给出的5G MEC 的系统组网架构，分析讨论可能面临的安全问题[10]。其中潜在的安全问题包括接入安全、传输安全、平台安全以及应用安全等方面，基于5G MEC 的智慧化园区潜在的安全风险如图3 所示。

图3 基于5G MEC 的智慧化园区潜在的安全风险

针对上述潜在的问题，下面给出如何通过不同的方案或者策略保障用户的端到端安全防护。

（1）接入安全方面

首先，根据3GPP 标准要求[11-13]，不同于4G，5G 的用户永久标识（subscription permanent identifier，SUPI）不会在空口中直接传输，传输的是加密后的用户隐藏标识（subscription concealed identifier，SUCI），只有核心网收到解密信息后才能实现用户的识别。因此，4G 伪基站通过干扰用户重新附着获取用户标识信息的方法将无法实现，即5G 将不存在伪基站的困扰。除此之外，5G空口加密算法的密钥长度也由4G 的128 bit 提升至256 bit，提升了加密的复杂度，极大地保障了5G空口的接入安全；同时，在底层空口安全的基础上，企业还可以选择通过签约专用DNN 的方式，实现只有企业终端才能访问接入。并可以叠加机卡绑定、位置信息绑定等措施进一步提升终端接入的安全保障。传统应用层的安全认证机制依然可以保留，实现应用层二次认证。

（2）传输安全方面

首先根据3GPP 标准要求，传输层通过采用IPSec 加密、完整性校验以及防窃听和防篡改技术，保障5G 网络传输层安全。同时通过UPF 与MEC 下沉部署至客户机房，保证数据不出园区，一方面减少了数据传输的路径，另一方面降低了时延以及泄露的风险。考虑运营商网络和企业网络间的隔离需要，还可以通过在接入网、核心网以及企业网等不同网络域间部署防火墙将之充分隔离，从而实现传输层的安全保障。

（3）平台安全方面

UPF/MEC 虽然下沉部署至客户园区，但要求必须满足运营商机房运营管理要求，保障物理安全。在此基础上，通过软件操作系统加固、漏洞扫描等提出满足安全核查要求。同时通过UPF 主备容灾、MEC 平台高可用、多副本存储等进一步提高平台系统的可靠性。

（4）应用安全方面

对于运营商提供的、客户自由以及第三方提供的应用服务，MEC 系统可实现镜像扫描、漏洞扫描等应用部署准入机制，同时通过在应用间部署内层防火墙，实现安全隔离、白名单访问等功能以保障应用安全。除此之外，通过MEC 平台提供的安全监控能力避免应用对其他应用进行非法访问等，保证应用的安全运行。

除了上述提到的安全方面外，整个方案还可以通过进一步的安全加固，满足用户提出的不同等级保护要求，这里就不再赘述。综上所述，基于5G MEC 的智慧化园区解决方案目标是为企业客户打造一个集物理环境安全、通信网络安全、区域边界安全以及计算环境安全等为一体的边缘安全云网基础设施。

2 智慧化园区典型5G 应用场景

作为一种低时延、高带宽的移动通信系统，5G 重点解决企业园区中室内外移动性要求较高的场景（AGV、叉车等）、港口码头矿山等室外光纤不可达/易损坏的场景（矿山远程操控、港口塔吊等）以及室内外需要频繁调整部署位置的场景（企业产线调整、移动摄像头、临时防疫站点等）等需求，最终实现企业数字化转型过程中关注的管理效率和生产效率的提升。结合5G 商用后实际推进的项目，将5G MEC 在智慧化园区场景下最为典型的业务应用举例如下。

2.1 AGV 应用场景

对于企业园区的多种AGV 物流应用需求，现有Wi-Fi 网络接入方式存在干扰性大、易掉线、丢包率高、难以提供保障调度所需的稳定可靠网络环境等问题。此外，针对多台AGV 协同工作的，现有AGV 组内通信以及采用2.4 GHz 小无线、V2V（vehicle-to-vehicle）方式进行通信的方案，这种方案存在时延抖动大、难以实现同步的难题。基于5G MEC 的AGV 调度场景如图4 所示。

图4 基于5G MEC 的AGV 调度场景

其中，通过将AGV 调度平台部署在MEC 平台上，实现了AGV 业务的本地访问，此时AGV通过5G 模组接入5G 网络，调度平台可以实现AGV 的调度，以及多台AGV 的协同调度，满足了AGV 调度需要的低时延要求，避免了Wi-Fi 场景下切换带来的掉线问题。对于企业客户来讲，AGV 调度极大限度地提高了物流调度效率，与传统人员运输相比，效率提升了2～3 倍。

2.2 AR 远程指导

目前，大多数企业生产作业过程中面临着诸多难题，例如人工生产过程难以标准化、质量波动大，操作过程无法实时管控、出现问题难以排查，专业培训与实际工作环境差异大等。AR 远程指导的解决方案可以帮助园区实现智能生产作业，实现信息化、智能化办公，基于5G MEC 的AR 远程辅助如图5 所示。

图5 基于5G MEC 的AR 远程辅助

其中，AR 终端负责音视频和图像采集，支持轻量级AI 检测识别。在MEC 平台部署AI 算法、音/视频解码、图像渲染等能力，增强交互实时性，提升用户体验。一方面满足了客户低时延的需求，另一方面降低了对AR 眼镜的硬件性能要求、降低功耗，提升使用体验。各分区域的MEC 还可以将分析后的数据汇总到中心云端，实现云边数据的统一管理，后台专家系统通过接收的音视频实时画面进行标记、文字、语音以及推送图纸、文档等操作指导前端工作人员，实现快速远程辅助维修，降低工业现场的人员素质要求，以及避免专家现场维护带来的高昂成本。

2.3 工业质检

为了实现企业人员有效的管理，例如到岗管理、操作规范化管理等，目前视频AI 算法已经应用得较为广泛，但对于企业生产质量检测场景，如何降低现有人工质检带来的检测效率低、专业要求高、劳动强度大等问题，基于现有摄像头以及工业摄像机等可以有效提升管理和生产效率，基于5G MEC 的工业质检具体方案如图6 所示。

图6 基于5G MEC 的工业质检具体方案

其中，工业质检平台部署在MEC 平台上，提供视频图像识别、人/设备态势识别、产品在线质检等视觉分析能力，多台工业相机内嵌5G 模组或外接工业网关等方式将采集的数据快速上传至MEC 平台，实现秒级检测结果输出。可以看出，5G MEC 为工业质检应用提供了低时延、大带宽、本地化的云网基础，保证图像高传输质量且数据不出园区，还可以根据场景需求随时调整相机的部署位置，既提升了整个质检的效率，同时也具备了一定程度的柔性生产能力。

3 典型商用案例

为了更直观地说明，下面结合具体的企业园区场景进行方案描述，该客户的主要需求如下。

· 现有的Wi-Fi、工业内网稳定性差、安全性低，终端接入已达瓶颈。

· 传统加工制造自动化程度低，管理能力粗放，原有的ICT 方案支撑能力弱，可扩展性差。

· 企业升级转型叠加信息技术快速发展，运维要求不断提高，私有云等传统IT 业务建设周期长，成本高，难以满足企业需求。

· 首期通过5G+AGV 提升车间物流效率。

基于上述考虑给出基于5G MEC 的智慧化园区解决方案，并集成了AGV 应用进行完整交付，基于5G MEC 的智慧化园区实际组网方案如图7 所示。

图7 基于5G MEC 的智慧化园区实际组网方案

（1）UPF 侧出口部署两台CE 网关，双上联IPRAN A 设备，并侧挂两台防火墙，两台防火墙双机部署；UPF 双上联CE 网关。

（2）MEC 侧出口堆叠部署两台EOR 交换机，口字型上联CE 网关；EOR 交换机侧挂一台防火墙，作为服务器的网关；MEC 服务器双上联EOR交换机。

UPF 与A 设备之间部署L3 VPN，实现5G 相关VPN 下沉至A 设备。根据承载相关建设要求，边缘UPF 部署入网后，需要与电信网内的现有网络实现互通，具体如下。

· UPF 提供IPRAN 的CDMA-RAN VPN 与5G 基站实现互通。

· UPF 提供IPRAN 的CDMA-EPC VPN 与5GC SMF 实现互通。

· UPF 提供IPRAN 的CDMA-EPC VPN 与省会UPF 实现互通。

· UPF 提供IPRAN 的CDMA-MGNT VPN（或CDMA-Outband VPN）与设置在省会城市的EMS 实现互通。

同时，考虑客户对于数据不出园区要求较高，因此采用了专用的DNN 分流方案，其中UE 号卡需要根据预先规划的MEC/UPF 的DNN 信息进行配置，具体步骤如下。

前置条件：终端配置专用DNN 并在统一数据管理（unified data management，UDM）上面签约专用DNN。

步骤1 5G 终端发起协议数据单元（protocol data unit，PDU）会话建立请求，PDU Session Establishment Request 消息携带专用DNN。

步骤2 接入和移动性管理功能（access and mobility management function，AMF）向会话管理功能（session management function，SMF）发送创建会话管理（session management，SM）上下文请求，PDU Session CreateSMContext Request 消息包含了用户位置信息、DNN 等。

步骤3 SMF 向AMF 回复创建SM 上下文响应。

步骤4 SMF 继续执行用户PDU 会话建立流程，按照配置，SMF 根据特定的DNN 为5G 终端选择边缘UPF。

步骤5 SMF 向UPF 发送N4 会话建立请求，并提供要在该PDU 会话的UPF 上安装的分组检测规则（packet detection rule，PDR）等。

步骤6 UPF 向SMF 回复N4 会话建立响应。

步骤7 SMF 发送PDU 会话建立响应。

步骤8 通用分组无线服务隧道协议（general packet radio service tunneling protocol，GTP）隧道地址和隧道端点标识（tunnel endpoint identifier，TEID）的相互通知，PDU 会话创建成功。

除此之外，通过将AGV 管理平台部署在MEC上，实现AGV 通过5G 网络的本地化方案与调度，与Wi-Fi 网络下切换导致的10%左右的丢包率相比，5G 网络可以实现AGV 零丢包，有效地保障了AGV 业务的连续性和低时延访问，其中端到端ping包时延约为11 ms。通过AGV 应用的部署，企业的整体物流搬运效率提升约60%。基于MEC 拥有可灵活扩展的算力资源，同时还开展了人脸识别打卡、安全岗位动作规划化识别等视频AI 应用，有效地提升了企业的生产和管理效率。

4 问题及挑战

综上所述，基于5G MEC 的智慧化园区解决方案可为企业数字化转型提供包括固定移动双千兆网络连接、各类业务应用部署所需的灵活算力资源以及端到端安全保障的边缘云网基础设施。并且企业客户可基于MEC 提供的自服务门户，实现企业流量管理、终端管理、应用编排、监控运维以及能力开放等能力，实现用户对云网资源及应用的可视、可管、可控，既可以有效快速地实现故障的定位定界，同时还可以将网络能力开放给企业，实现业务与网络的深度融合，加速新型业务创新。然而，整个5G MEC 在实际落地应用中依然面临很多问题与挑战亟待研究解决，具体如下。

（1）灵活的分流策略

现有方案主要采用专用DNN 的方案，这种方案适合企业设备、终端等仅有本地业务访问需求的场景，安全度较高。然而，对于手机类用户，如果同时存在企业本地业务访问和公网业务访问，尤其是该终端从企业外部公网访问移动至企业内部访问本地业务时，分流的方案还需要进一步解决。

（2）安全防护方案

虽然前面已经针对端到端的安全方案进行了具体叙述，但由于UPF、MEC 等运营商设备下沉部署至客户园区，从运营商的角度、客户的角度对于安全的要求略有不同，需要同时满足双方对于总体安全的要求，形成更为规范、有效的安全防护标准以及安全分工界面。

（3）网络能力开放

如前所述，基于MEC 可以为用户提供一定程度的网络可视可管可控能力，如何通过开放接口将其开放给企业自有或者第三方业务应用，成为优化业务应用、提升用户体验、实现网络和业务深度融合的重要手段之一。因此需要根据业务需求，感知获取网络上下文信息，并通过分析处理形成MEC 平台具备的网络能力，同时通过开放接口的研究及标准化，加速创新型业务应用的开发及上线，打造良好的MEC 产业生态链。

（4）业务连续性保障

对于上述单个园区来讲，业务应用部署在一个MEC 上，此时终端移动带来的移动性切换5G可以很好地满足；然而当园区部署多个MEC 的场景时，负载平衡或性能不满足等原因会导致应用迁移以及终端在不同MEC 覆盖区域间移动的情况，此时如何保证用户会话以及业务的连续性等还需要进一步研究及标准化推进。

5 结束语

本文将首先结合园区类客户的典型需求，给出一种基于5G MEC 的智慧化园区解决方案，并分别讨论了总体架构、系统组网架构以及端到端的安全分析。除此之外，针对目前急需的几种典型应用场景给出AGV、AR 远程辅助、机器视觉3 种典型业务应用。最后结合实际商用项目给出了详细的组网方案和分流方案，并针对5G MEC 智慧化园区解决方案在后续应用中可能存在的问题与挑战进行了讨论，为后续大规模发展提供参考。