基于5G MEC 的智慧化園區解決方案

馮曉麗，劉晨，張麗偉，王曉韻

（中國電信集團有限公司，北京 100033）

0 引言

目前，推進5G+工業互聯網的融合創新發展和助力工業企業數字化轉型等備受關注。然而整個制造型企業信息化程度非常不均衡，大部分處于連接和可視化階段，其信息化發展重點由內部信息化逐漸外延至外部及輸出信息化。其中，內部信息化希望通過網絡化協同、智能化生產以及個性化定制打造一個數字化的智能工廠，實現企業的降本增效。實現工廠園區的智慧化，主要面臨如下幾點挑戰。

· 安全管理方面。企業希望能夠對人員進行有效管理，包括杜絕擅自離崗、關鍵區域非法侵入以及安全操作不規范防護等情況。除此之外，企業的制造數據屬于企業的核心資產，高度敏感，嚴禁外傳。

· 終端管理方面。企業現場設備終端類型繁多，且協議多樣化，多終端數據采集、互通的壁壘較高。

· 網絡管理方面。傳統企業網絡類型多樣、組網復雜、速率低，出現故障后無法有效定位，運維難度較大，對企業的IT 系統是極大的挑戰。

· 生產效率方面。目前大量產品的高精度檢測準確度和效率對人工檢測提出了很大的挑戰，同時一些較為惡劣的環境也直接影響工人的身體健康，帶來用工難的問題。即使已經采用了機器代替人工檢測等方案，也存在各種檢測系統并存、數據難以有效利用的問題，對于生產流程的優化和決策是很大的挑戰。

因此，如何利用 5G、多接入邊緣計算（multi-access edge computing，MEC）等新型ICT技術打造智慧化園區[1-9]，實現管理、生產效率的雙提升，滿足企業數字化轉型要求成為本文重點關注的內容。

1 基于5G MEC 的智慧化園區解決方案

1.1 總體解決方案

為了實現企業的數字化轉型，打造智慧化園區，首先需要為企業構建網絡高速連接、算力靈活擴展、安全可靠的云網基礎設施，同時按需加載不同的行業應用，解決企業管理效率提高、生產效率提升的問題。雖然不同企業的生產布局、制造工藝等存在較大差異，但總體可以分為室內固定、室內小范圍移動、室內移動以及室外移動等場景。針對不同的場景以及需求，結合5G、無源光纖網絡（passive optical network，PON）、Wi-Fi 等網絡接入方式的特點給出了總體的解決方案，基于5G MEC的智慧化園區系統架構如圖1 所示，具體有以下幾種場景。

圖1 基于5G MEC 的智慧化園區系統架構

（1）室內固定場景

針對固定產線、固定機床、機械臂控制等無移動訴求，且時延要求高的場景，可以充分利用PON 有線的高速連接以及毫秒級的時延（帶寬1～10 Gbit/s，時延＜1.5 ms）為固定設備提供穩定可靠的千兆連接。但對于存在產線臨時調整需求的場景，為了降低產線調整帶來的有線網絡調整的復雜度以及成本，則可以考慮5G 網絡連接，滿足其柔性生產的網絡連接需求。

（2）室內小范圍移動場景

針對辦公計算機、手機、掃碼槍等小范圍移動或者對業務連續性要求不高的場景，則可以利用通用的Wi-Fi 接入，滿足各類型重點的接入訪問需求。考慮Wi-Fi 本身干擾協調能力較弱，比較適用于辦公樓、辦公室、教室等有墻壁阻礙的場景，降低鄰區干擾的影響。

（3）室內移動場景

與辦公樓等場景相比，此場景主要針對大型車間且業務具有連續性保障要求的場景，例如自動導引車（automated guided vehicle，AGV）、增強現實（augmented reality，AR）眼鏡以及叉車等。此時，由于Wi-Fi 覆蓋的抗干擾性較差且無有效的移動連續性保障機制，容易造成業務的中斷，給企業的生產帶來影響。因此，針對工廠車間等空曠場景，以及有業務連續性需求的業務場景，則優先選擇5G 網絡進行連接。

（4）室外場景

針對室外場景，5G 重點解決港口、碼頭、礦山等光纖不可達的場景，或者業務具有移動性需求的場景（如遠程操控車、室外巡檢機器人等）。

可以看出，通過5G、PON、Wi-Fi 等多種網絡實現企業用戶不同場景多種終端的固定、移動網絡接入，可滿足企業的千兆連接需求。

除此之外，通過下沉至企業園區的MEC，一方面支持5G、PON 等固定移動雙千兆網絡的本地接入，同時為客戶提供靈活的算力資源，可按需加載客戶所需的業務應用，滿足客戶的定制化需求，如圖1 所示的視頻監控、AGV 以及AR 遠程輔助等業務應用。企業客戶可基于MEC 提供的自服務門戶，實現企業流量管理、終端管理、應用編排、監控運維以及能力開放等能力，實現用戶對于云網資源及應用的可視可管可控，既可以有效快速地實現故障的定位定界，同時還可以將網絡能力開放給企業，實現業務與網絡的深度融合，加速新型業務創新。

基于上述討論可以看出，通過5G+MEC 可以為工業園區提供低時延、大帶寬、高算力的安全云網基礎設施，同時可以根據工業企業具體的安全管理、終端管理、網絡管理以及生產效率提升等需求，按需部署不同的業務應用滿足企業管理效率以及生產效率的提升。例如可以通過部署視頻人工智能（artificial intelligence，AI）類應用，實現企業人員、資產等的管理以及安全規范操作等內容；同時基于MEC 的多網絡接入能力以及固定/移動網絡的融合管理能力，面向企業為客戶提供可視、可管、可控等能力，如終端管理、自助流量管理等，滿足企業多種網絡管理的需求；在生產效率提升方面，則主要面向物流、遠程輔助、工業質檢等方面，通過AGV、AR、視頻AI 等提高整體的工作效率，降低人員工作強度，整體提升生產效率。

1.2 總體組網架構

基于5G MEC 的智慧化園區組網架構如圖2 所示。基于上述討論和圖2，可以看出，通過下沉一體化用戶面功能（user plane function，UPF）和MEC 平臺，并采用數據網絡標識（data network name，DNN）簽約的方式，可以實現無論室內還是室外的企業終端，直接訪問企業內下沉的一體化UPF 和MEC 平臺，滿足了企業數據不出園區的需求。同時，對于該區域內有公網訪問需求的終端，則直接建立到核心網集中UPF 的連接會話，實現公網業務的接入訪問。值得注意的是，這種場景下，5G 控制面依然采用集中控制的方式。除此之外，對于通過PON 訪問的終端，則直接通過企業部署光線路終端（optical line terminal，OLT）設備實現邊緣業務的直接訪問。通過MEC 提供的網絡管理服務實現5G、PON 的管理，實現企業用戶對流量、終端的管理以及網絡設備故障的即時告警提醒，同時可通過接口將相關能力開放給企業管理系統，實現企業網絡的監控管理。

圖2 基于5G MEC 的智慧化園區組網架構

基于5G MEC 的智慧化園區解決方案總體是利用5G、PON、MEC 等技術特征，為用戶提供低時延、高帶寬、高算力的邊緣云網能力，打造虛擬的RAN 局域網。以企業園區為例，通過業務應用本地化以及本地分流技術可以實現企業內部高效辦公、業務應用的本地訪問等，從而為用戶提供更優質體驗的本地連接能力以及本地業務訪問能力。也就是說，通過該解決方案為企業等熱點高容量場景提供一個虛擬的本地RAN 局域網，實現了MEC“本地業務本地解決”的主要思想。

1.3 端到端安全分析

如上所述，企業用戶對生產數據的安全提出了很高的要求，除了“數據不出園區”的最基本要求外，更關注端到端的安全防護。考慮安全是一個非常綜合的復雜問題，本文主要針對圖2 給出的5G MEC 的系統組網架構，分析討論可能面臨的安全問題[10]。其中潛在的安全問題包括接入安全、傳輸安全、平臺安全以及應用安全等方面，基于5G MEC 的智慧化園區潛在的安全風險如圖3 所示。

圖3 基于5G MEC 的智慧化園區潛在的安全風險

針對上述潛在的問題，下面給出如何通過不同的方案或者策略保障用戶的端到端安全防護。

（1）接入安全方面

首先，根據3GPP 標準要求[11-13]，不同于4G，5G 的用戶永久標識（subscription permanent identifier，SUPI）不會在空口中直接傳輸，傳輸的是加密后的用戶隱藏標識（subscription concealed identifier，SUCI），只有核心網收到解密信息后才能實現用戶的識別。因此，4G 偽基站通過干擾用戶重新附著獲取用戶標識信息的方法將無法實現，即5G 將不存在偽基站的困擾。除此之外，5G空口加密算法的密鑰長度也由4G 的128 bit 提升至256 bit，提升了加密的復雜度，極大地保障了5G空口的接入安全；同時，在底層空口安全的基礎上，企業還可以選擇通過簽約專用DNN 的方式，實現只有企業終端才能訪問接入。并可以疊加機卡綁定、位置信息綁定等措施進一步提升終端接入的安全保障。傳統應用層的安全認證機制依然可以保留，實現應用層二次認證。

（2）傳輸安全方面

首先根據3GPP 標準要求，傳輸層通過采用IPSec 加密、完整性校驗以及防竊聽和防篡改技術，保障5G 網絡傳輸層安全。同時通過UPF 與MEC 下沉部署至客戶機房，保證數據不出園區，一方面減少了數據傳輸的路徑，另一方面降低了時延以及泄露的風險。考慮運營商網絡和企業網絡間的隔離需要，還可以通過在接入網、核心網以及企業網等不同網絡域間部署防火墻將之充分隔離，從而實現傳輸層的安全保障。

（3）平臺安全方面

UPF/MEC 雖然下沉部署至客戶園區，但要求必須滿足運營商機房運營管理要求，保障物理安全。在此基礎上，通過軟件操作系統加固、漏洞掃描等提出滿足安全核查要求。同時通過UPF 主備容災、MEC 平臺高可用、多副本存儲等進一步提高平臺系統的可靠性。

（4）應用安全方面

對于運營商提供的、客戶自由以及第三方提供的應用服務，MEC 系統可實現鏡像掃描、漏洞掃描等應用部署準入機制，同時通過在應用間部署內層防火墻，實現安全隔離、白名單訪問等功能以保障應用安全。除此之外，通過MEC 平臺提供的安全監控能力避免應用對其他應用進行非法訪問等，保證應用的安全運行。

除了上述提到的安全方面外，整個方案還可以通過進一步的安全加固，滿足用戶提出的不同等級保護要求，這里就不再贅述。綜上所述，基于5G MEC 的智慧化園區解決方案目標是為企業客戶打造一個集物理環境安全、通信網絡安全、區域邊界安全以及計算環境安全等為一體的邊緣安全云網基礎設施。

2 智慧化園區典型5G 應用場景

作為一種低時延、高帶寬的移動通信系統，5G 重點解決企業園區中室內外移動性要求較高的場景（AGV、叉車等）、港口碼頭礦山等室外光纖不可達/易損壞的場景（礦山遠程操控、港口塔吊等）以及室內外需要頻繁調整部署位置的場景（企業產線調整、移動攝像頭、臨時防疫站點等）等需求，最終實現企業數字化轉型過程中關注的管理效率和生產效率的提升。結合5G 商用后實際推進的項目，將5G MEC 在智慧化園區場景下最為典型的業務應用舉例如下。

2.1 AGV 應用場景

對于企業園區的多種AGV 物流應用需求，現有Wi-Fi 網絡接入方式存在干擾性大、易掉線、丟包率高、難以提供保障調度所需的穩定可靠網絡環境等問題。此外，針對多臺AGV 協同工作的，現有AGV 組內通信以及采用2.4 GHz 小無線、V2V（vehicle-to-vehicle）方式進行通信的方案，這種方案存在時延抖動大、難以實現同步的難題。基于5G MEC 的AGV 調度場景如圖4 所示。

圖4 基于5G MEC 的AGV 調度場景

其中，通過將AGV 調度平臺部署在MEC 平臺上，實現了AGV 業務的本地訪問，此時AGV通過5G 模組接入5G 網絡，調度平臺可以實現AGV 的調度，以及多臺AGV 的協同調度，滿足了AGV 調度需要的低時延要求，避免了Wi-Fi 場景下切換帶來的掉線問題。對于企業客戶來講，AGV 調度極大限度地提高了物流調度效率，與傳統人員運輸相比，效率提升了2～3 倍。

2.2 AR 遠程指導

目前，大多數企業生產作業過程中面臨著諸多難題，例如人工生產過程難以標準化、質量波動大，操作過程無法實時管控、出現問題難以排查，專業培訓與實際工作環境差異大等。AR 遠程指導的解決方案可以幫助園區實現智能生產作業，實現信息化、智能化辦公，基于5G MEC 的AR 遠程輔助如圖5 所示。

圖5 基于5G MEC 的AR 遠程輔助

其中，AR 終端負責音視頻和圖像采集，支持輕量級AI 檢測識別。在MEC 平臺部署AI 算法、音/視頻解碼、圖像渲染等能力，增強交互實時性，提升用戶體驗。一方面滿足了客戶低時延的需求，另一方面降低了對AR 眼鏡的硬件性能要求、降低功耗，提升使用體驗。各分區域的MEC 還可以將分析后的數據匯總到中心云端，實現云邊數據的統一管理，后臺專家系統通過接收的音視頻實時畫面進行標記、文字、語音以及推送圖紙、文檔等操作指導前端工作人員，實現快速遠程輔助維修，降低工業現場的人員素質要求，以及避免專家現場維護帶來的高昂成本。

2.3 工業質檢

為了實現企業人員有效的管理，例如到崗管理、操作規范化管理等，目前視頻AI 算法已經應用得較為廣泛，但對于企業生產質量檢測場景，如何降低現有人工質檢帶來的檢測效率低、專業要求高、勞動強度大等問題，基于現有攝像頭以及工業攝像機等可以有效提升管理和生產效率，基于5G MEC 的工業質檢具體方案如圖6 所示。

圖6 基于5G MEC 的工業質檢具體方案

其中，工業質檢平臺部署在MEC 平臺上，提供視頻圖像識別、人/設備態勢識別、產品在線質檢等視覺分析能力，多臺工業相機內嵌5G 模組或外接工業網關等方式將采集的數據快速上傳至MEC 平臺，實現秒級檢測結果輸出。可以看出，5G MEC 為工業質檢應用提供了低時延、大帶寬、本地化的云網基礎，保證圖像高傳輸質量且數據不出園區，還可以根據場景需求隨時調整相機的部署位置，既提升了整個質檢的效率，同時也具備了一定程度的柔性生產能力。

3 典型商用案例

為了更直觀地說明，下面結合具體的企業園區場景進行方案描述，該客戶的主要需求如下。

· 現有的Wi-Fi、工業內網穩定性差、安全性低，終端接入已達瓶頸。

· 傳統加工制造自動化程度低，管理能力粗放，原有的ICT 方案支撐能力弱，可擴展性差。

· 企業升級轉型疊加信息技術快速發展，運維要求不斷提高，私有云等傳統IT 業務建設周期長，成本高，難以滿足企業需求。

· 首期通過5G+AGV 提升車間物流效率。

基于上述考慮給出基于5G MEC 的智慧化園區解決方案，并集成了AGV 應用進行完整交付，基于5G MEC 的智慧化園區實際組網方案如圖7 所示。

圖7 基于5G MEC 的智慧化園區實際組網方案

（1）UPF 側出口部署兩臺CE 網關，雙上聯IPRAN A 設備，并側掛兩臺防火墻，兩臺防火墻雙機部署；UPF 雙上聯CE 網關。

（2）MEC 側出口堆疊部署兩臺EOR 交換機，口字型上聯CE 網關；EOR 交換機側掛一臺防火墻，作為服務器的網關；MEC 服務器雙上聯EOR交換機。

UPF 與A 設備之間部署L3 VPN，實現5G 相關VPN 下沉至A 設備。根據承載相關建設要求，邊緣UPF 部署入網后，需要與電信網內的現有網絡實現互通，具體如下。

· UPF 提供IPRAN 的CDMA-RAN VPN 與5G 基站實現互通。

· UPF 提供IPRAN 的CDMA-EPC VPN 與5GC SMF 實現互通。

· UPF 提供IPRAN 的CDMA-EPC VPN 與省會UPF 實現互通。

· UPF 提供IPRAN 的CDMA-MGNT VPN（或CDMA-Outband VPN）與設置在省會城市的EMS 實現互通。

同時，考慮客戶對于數據不出園區要求較高，因此采用了專用的DNN 分流方案，其中UE 號卡需要根據預先規劃的MEC/UPF 的DNN 信息進行配置，具體步驟如下。

前置條件：終端配置專用DNN 并在統一數據管理（unified data management，UDM）上面簽約專用DNN。

步驟1 5G 終端發起協議數據單元（protocol data unit，PDU）會話建立請求，PDU Session Establishment Request 消息攜帶專用DNN。

步驟2 接入和移動性管理功能（access and mobility management function，AMF）向會話管理功能（session management function，SMF）發送創建會話管理（session management，SM）上下文請求，PDU Session CreateSMContext Request 消息包含了用戶位置信息、DNN 等。

步驟3 SMF 向AMF 回復創建SM 上下文響應。

步驟4 SMF 繼續執行用戶PDU 會話建立流程，按照配置，SMF 根據特定的DNN 為5G 終端選擇邊緣UPF。

步驟5 SMF 向UPF 發送N4 會話建立請求，并提供要在該PDU 會話的UPF 上安裝的分組檢測規則（packet detection rule，PDR）等。

步驟6 UPF 向SMF 回復N4 會話建立響應。

步驟7 SMF 發送PDU 會話建立響應。

步驟8 通用分組無線服務隧道協議（general packet radio service tunneling protocol，GTP）隧道地址和隧道端點標識（tunnel endpoint identifier，TEID）的相互通知，PDU 會話創建成功。

除此之外，通過將AGV 管理平臺部署在MEC上，實現AGV 通過5G 網絡的本地化方案與調度，與Wi-Fi 網絡下切換導致的10%左右的丟包率相比，5G 網絡可以實現AGV 零丟包，有效地保障了AGV 業務的連續性和低時延訪問，其中端到端ping包時延約為11 ms。通過AGV 應用的部署，企業的整體物流搬運效率提升約60%。基于MEC 擁有可靈活擴展的算力資源，同時還開展了人臉識別打卡、安全崗位動作規劃化識別等視頻AI 應用，有效地提升了企業的生產和管理效率。

4 問題及挑戰

綜上所述，基于5G MEC 的智慧化園區解決方案可為企業數字化轉型提供包括固定移動雙千兆網絡連接、各類業務應用部署所需的靈活算力資源以及端到端安全保障的邊緣云網基礎設施。并且企業客戶可基于MEC 提供的自服務門戶，實現企業流量管理、終端管理、應用編排、監控運維以及能力開放等能力，實現用戶對云網資源及應用的可視、可管、可控，既可以有效快速地實現故障的定位定界，同時還可以將網絡能力開放給企業，實現業務與網絡的深度融合，加速新型業務創新。然而，整個5G MEC 在實際落地應用中依然面臨很多問題與挑戰亟待研究解決，具體如下。

（1）靈活的分流策略

現有方案主要采用專用DNN 的方案，這種方案適合企業設備、終端等僅有本地業務訪問需求的場景，安全度較高。然而，對于手機類用戶，如果同時存在企業本地業務訪問和公網業務訪問，尤其是該終端從企業外部公網訪問移動至企業內部訪問本地業務時，分流的方案還需要進一步解決。

（2）安全防護方案

雖然前面已經針對端到端的安全方案進行了具體敘述，但由于UPF、MEC 等運營商設備下沉部署至客戶園區，從運營商的角度、客戶的角度對于安全的要求略有不同，需要同時滿足雙方對于總體安全的要求，形成更為規范、有效的安全防護標準以及安全分工界面。

（3）網絡能力開放

如前所述，基于MEC 可以為用戶提供一定程度的網絡可視可管可控能力，如何通過開放接口將其開放給企業自有或者第三方業務應用，成為優化業務應用、提升用戶體驗、實現網絡和業務深度融合的重要手段之一。因此需要根據業務需求，感知獲取網絡上下文信息，并通過分析處理形成MEC 平臺具備的網絡能力，同時通過開放接口的研究及標準化，加速創新型業務應用的開發及上線，打造良好的MEC 產業生態鏈。

（4）業務連續性保障

對于上述單個園區來講，業務應用部署在一個MEC 上，此時終端移動帶來的移動性切換5G可以很好地滿足；然而當園區部署多個MEC 的場景時，負載平衡或性能不滿足等原因會導致應用遷移以及終端在不同MEC 覆蓋區域間移動的情況，此時如何保證用戶會話以及業務的連續性等還需要進一步研究及標準化推進。

5 結束語

本文將首先結合園區類客戶的典型需求，給出一種基于5G MEC 的智慧化園區解決方案，并分別討論了總體架構、系統組網架構以及端到端的安全分析。除此之外，針對目前急需的幾種典型應用場景給出AGV、AR 遠程輔助、機器視覺3 種典型業務應用。最后結合實際商用項目給出了詳細的組網方案和分流方案，并針對5G MEC 智慧化園區解決方案在后續應用中可能存在的問題與挑戰進行了討論，為后續大規模發展提供參考。