工業互聯網產業聯盟本報告所載的材料和信息，包括但不限于文本、圖片、數據、觀點、建議，不構成法律建議，也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有（注明是引自其他方的內容除外），并受法律保護。如需轉載，需聯系本聯盟并獲得授權許可。未經授權許可，任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用，不得將報告的全部或部分內容通過網絡方式傳播，不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者，本聯盟將追究其相關法律責任。工業互聯網產業聯盟聯系電話：010-623058871T11/AII001—2025編寫說明 3前言 4 52.規范性引用文件 53.縮略語 64.術語和定義 74.1操作系統（OperatingSystem） 74.2邊緣計算（EdgeComputing） 74.3邊緣節點（EdgeComputingNode） 74.4邊緣控制器（EdgeController） 74.5邊緣網關（EdgeGateway） 74.6邊緣云（EdgeCloud） 85.工業邊緣操作系統概述 85.1工業云邊端系統架構 85.2工業邊緣操作系統概念 96.工業邊緣操作系統參考架構 107.工業邊緣操作系統總體技術要求 117.1.內核技術要求 7.1.1.任務管理 7.1.2.任務同步與通信 7.1.3.內存管理 7.1.4.中斷管理 7.1.5.時鐘與定時器管理 7.1.6.多硬件平臺支持 7.1.7.驅動管理 7.1.8.其他要求 7.2.基礎能力組件技術要求 7.2.1基礎網絡協議棧 7.2.2容器框架組件 7.2.3系統升級組件 7.2.4遠程管理組件 7.3.工業能力組件技術要求 T11/AII001—20257.3.1工業控制組件 7.3.2工業通信組件 7.4.安全能力組件技術要求 7.4.1信息安全要求 7.4.2功能安全要求 7.5.混合部署技術要求 7.6.應用接口技術要求 A.1工業邊緣操作系統典型業務場景 A.2工業邊緣操作系統典型部署方案 參考文獻 T11/AII001—20253編寫說明新型工業化以信息化與工業化深度融合為主線，以技術創推進制造業向智能化、綠色化和服務化轉型，提高產業鏈的附加值，促進經濟高質量發展。國家高度重視新型工業化，并將其提升至關系全面推進強國建設的戰略高度。隨著信息化與工業化融合不斷深入，傳統工業ISA-95架構向云邊端架構演進，L1設備控制和L2過程控制將主要由邊緣設備節點承載，工業工業邊緣操作系統作為關鍵基礎軟件，是工業邊緣應用和硬件系統的橋梁。工業邊緣操作系統允許在邊緣設備本地進行數據處理，減少了對云服務的依賴，提高了數據安全性、隱私保護和效率，能夠支持多種協議和標準，以適應不同類型的工業設備和應用場景。工業邊緣操作系統對下可屏蔽底層硬件差異，對上是應用生態的核心。目前工業邊緣操作系統缺少統一能力要求，影響工業邊緣應用生態發展。通過編制工業邊緣操作系統總體技術要求標準，可為工業邊緣應用提供通用、標準的基礎能力，對降低工業邊緣設備研發成本，促進邊緣應用生T11/AII001—2025前言本文件由工業互聯網產業聯盟提出并歸口。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別這些中國移動通信集團有限公司、華為技術有限公司、中國信息通信研究院、中興通訊股份有限公司、麒麟軟件有限公司、施耐德電氣（中國）有限公司、英特爾（中國）有限公司、高通無線通信技術（中國）有限公司、中國聯合網絡通信集團有限公司研究院、北京東土科技股份有限公司、飛騰信息技術有限公司、北京國科環宇科技股份有限公司、思博倫通信科技文件主要起草人：劉瑋哲、張悅、楊博涵、馬帥、李蒙、李波、嚴鐳、陳波、余德釗、蔡圣明、王元、張文遠、王哲、胡鐘顥、徐立鋒、趙孝武、楚俊生、束裕、郭皓、王震、張衍順、陳俊璃、張亞平、王虎文、張宇、陳卓、劉洋、張文博、安崗、程遠、郭麗萍、王迥波、宋加僑、楊威、李壯、徐微、T11/AII001—20255工業邊緣操作系統總體技術要求本文件規定了工業邊緣操作系統的參考架構以及本文件適用于工業邊緣操作系統以及應用的設計34040—2017工業通信網絡功能安全現場總線行規通用規則和行規T/CSAE298—2023智能網聯汽車車控T11/AII001—2025AMP：非對稱多處理（AsymmetricMulti-Processing）BI：商業智能（BusinessIntelligence）BO：業務對象（BusinessObject）CMSISARM）Cortex微控制器軟件接口標準（CortexMicrocontrollerERP：企業資源計劃（EnterpriseResourcePlanning）FOTA：空中固件升級（FirmwareOver-The-Air）GUI：圖形用戶界面（GraphicalUserInterface）IEC：國際電工委員會（InternationalElectrotechnicalCommission）IPC：進程間通信（Inter-ProcessCommunication）ISA-95：國際自動化協會95標準（InternationalSocietyofAutomation95）ISO：國際標準化組織（InternationalOrganizationforStandardization）MES：制造執行信息系統（ManufacturingExecutionSystem）MMU：內存管理單元（MemoryManagementUnit）NTP：網絡時間協議（NetworkTimeProtocol）OS：操作系統（OperatingSystem）PTP：精確時間同步協議（PrecisionTimeSynchronizationProtocol）SMP：對稱多處理（SymmetricMultiprocessing）T11/AII001—20257SOTA：空中軟件升級（SoftwareOver-The-Air）TSN：時間敏感網絡（Time-SensitiveNetworking）USB：通用串行總線（UniversalSerialBus）邊緣網關、邊緣控制器、邊緣云等具有數字化、T11/AII001—2025位于網絡邊緣側，連接多個邊緣網管，提供連接管理、數ISA-95（IEC/ISO62264）通過制定工業控制系統與企圖1ISA-95向云邊端架構演進合性服務平臺。工業云平臺主要幫助制造業企業實現資源ISA-95架構中Level-3-Level-5層級。工業邊緣包括工業現場邊緣和工業網絡邊T11/AII001—20259型的工業邊緣設備包括邊緣控制器、工控機、邊緣終端則包括工業現場的傳感器、執行器、儀器儀表等，對應ISA-95架構中管理分配計算、存儲、網絡資源，為應用提供任務切邊緣設備硬件規格伸縮范圍大，邊緣業務對操作系統a）從云邊端整體架構看，工業邊緣操作系統運行b）從操作系統自身結構看，工業邊緣操作系統主要由操作系統內核、能力組件和應用接口等部分組成。其中，分層結構和提供邊緣操作系統的典型特征。參見圖2所示工業邊緣操作系統組成。T11/AII001—20252)數據處理：支持端側數據采集、數據加工、數據存儲3)工業控制：支持邏輯控制、運動控制、d）從工業邊緣操作系統部署方式看，典型2)非實時部署：為邊緣應用提供更高的靈活性，允許在不3)混合部署：在同一設備上提供實時應用與非工業控制與AI融合等業務。a）虛擬層提供虛擬化功能，允許在單一物理硬件T11/AII001—2025c）能力層包括基礎能力組件和工業能力組件，其接口來調用操作系統的各個內核功能，同時開發者也用內核功能。工業能力組件是面向工業應用提供的多e）信息安全組件提供數據安全、網絡安全f）功能安全組件提供內核、通信層、接口層和內核的功能應包括任務管理、內存管理、中斷管理、時鐘管理和定時器管任務管理實現對任務的創建、啟動、睡眠、阻塞、掛起、喚醒及銷毀等操作和資源分配或調度。其中，任務調度作為任務管理的關鍵部分，負責任務在T11/AII001—2025多種狀態之間切換，包括初始狀態、就緒狀態、運行狀態、睡眠狀態、阻塞狀2)應支持不少于一種的調度器。調度器可分為公平調度、空閑調度、限b）實時部署時，任務調度支持功能包括：b）應支持任務間通信，包括但不限于管道、消息隊列、共享內存等。內存管理用于對系統中內存空間進行動態管理，使得系統中的任務可以根5.宜提供內存使用情況的診斷和監控工具，幫助維護人員了解系統狀態，T11/AII001—20251.應支持中斷優先級的配置和管理，確保系統能夠根據中斷的重要性和緊迫程度及時響應。確保高優先級的中斷能夠優先得到處理，而不會因為低優先2.宜支持中斷嵌套，允許更高優先級的中斷打斷當前正在處理的中斷服務3.應支持用戶編寫ISR來響應特定的中斷事件，ISR通常要求簡短且無參數6.宜支持中斷屏蔽，提供開啟或關閉中斷機制，以及在必7.宜同時支持硬實時中斷和軟實時中斷。硬實時中斷由外設或硬件定時器驅動程序管理是操作系統內核中負責管理和控制硬件設備的一組軟件組件和接口，它定義了驅動程序與操作系統及其他硬件或軟件組件之間的交互方式（如實現設備管理、資源分配、數據傳輸、錯誤處理、性能優化等）。驅動程T11/AII001—2025序框架是指為開發特定操作系統的驅動程序所需的軟件和硬件的集合，即驅動2.應提供內核裁剪、配置工具，根據不同芯片規格、業務場景選擇內核能化隔離、可移植、跨環境一致性能力，具有易于部署構等優勢。容器編排也為應用提供了自動化部署能力T11/AII001—20253.容器編排框架宜支持服務發現和負載均衡，確保應用程序的可訪問性和4.容器編排框架宜支持集中式日志記錄和監控，持續監控應用程序的運行該組件提供系統升級能力，支持系統版本更新、漏洞1.應支持外部存儲介質升級，將升級文件存儲到USB閃存、SD卡等外部1.宜支持FOTA升級，通過網絡下載更新包并對完整性、安全性校驗后，對操作系統、驅動程序和底層固件進行更新，系統重啟后完成升級。建議采用2.宜支持SOTA升級，通過網絡下載應用開發者提供的應用更新包，由應該組件提供對邊緣設備的遠程接入、遠程監控、遠程入是指用戶通過網絡連接訪問位于不同地理位置的計算機系統控是通過網絡對遠程設備、系統或環境進行實時監測和管理的是在遠程位置通過網絡對軟件、硬件或系統進行調試和故障診T11/AII001—20254.宜支持遠程連接到服務器或設備，檢測硬件組件及軟件的狀態，定位并工業控制組件為用戶提供工業控制相關能力。若操作系統提供工業控制組工業控制運行時服務能夠加載用戶邏輯控制程序，高速率、低延遲、穩定2.應支持控制任務的創建、加載、調度、終止，且具有執行模式、周期、4.應滿足控制任務長時間穩定運行要求，提供相關錯誤處理、日志診斷、2.宜支持高級軌跡規劃功能，滿足高精度和復雜運動的需求，提升運動控T11/AII001—20254.應支持PID控制等過程控制能力，實現對生產過程的某一或某些物理參），1.宜支持數據加密。在邊緣設備上對敏感數據進行加密存儲和傳輸，確保2.宜支持設備敏感信息安全存儲。確保邊緣設備用戶數據存儲安全，包括T11/AII001—20253.宜支持數據備份和恢復。建立數據備份和恢復機制，確保在發生安全事1.宜支持端到端加密。在數據傳輸過程中采用端到端加密技術，確保數據2.宜支持安全通信協議。采用安全的通信協議（如TLS/DTLS）進行數據傳1.宜支持安全隔離，將不同的應用、服務或用戶群體隔離在不同的安全區2.宜支持實時監控。采用實時監控工具，對邊緣計算環境中的網絡流量、3.宜支持日志分析。建立日志分析機制，對收集的日志進行關聯分析，發2.宜支持固件簽名驗證。對固件進行簽名驗證，確保固件未被篡改，來自3.宜支持安全更新。定期發布安全更新和補丁，修復已知的安全漏洞和弱參考GB/T20438-2017（IEC61508）功能安全定義，作為相關受控設備（EUC）總體安全的一部分，功能安全依賴于電氣/電子/可編程電子（E/E/PE）安全相關系統功能正確的EUC控制系統以及其它安全相關系統技術和外部風險T11/AII001—2025a）操作系統內核的地址空間應被保護，并為應用程序提供訪問內核地址空相互隔離，并提供措施約束每個進程在執行過程中不會使用超過其預先分配的指針異常訪問、內存越界、死循環、死鎖、超時等異常發生時，內核應立即調用異常處理程序并進入相應的安全狀態（如內核日志轉儲、報警、降級、重啟或關閉等現超時錯誤、內存錯誤、指令錯誤等異常時，操作系統內核應立即調用該線程數、非法的上下文等不正確的內核服務接口調用時，內核調用接口不應執行對g）在多核處理器上，當操作系統內核在一個處理器核心上檢測到異常并且虛擬化管理器需具備相關硬件及軟件故障的診斷、故障上報、故障處理以a）虛擬化管理器應支持對硬件和軟件的安全診斷測試。在初始化虛擬環境虛擬化管理器宜使系統進入安全狀態（如日志轉儲、報警、T11/AII001—2025件隨機故障、現場干擾、偽裝攻擊、軟件邏輯問題產生的大部分數據錯誤，保a）應通過反饋報文、數據完整性保證（包括奇偶校驗、CRC校驗、和校驗b）應通過序列號、時間戳、帶交叉驗證的冗余等方式避免數據的錯序或意e）應通過序列號、時間戳、連接認證、反饋報文、帶交叉驗證的冗余等方f）應通過連接認證、反饋報文、不同的數據完整性保證系統等方式避免數2)應用軟件接口應對輸入參數的類型、取值范圍進行校驗，當檢測到參數3)應用軟件接口宜通過不同的模塊來進行數據校驗，并對安全相關的數據T11/AII001—20254)當不能收到功能模塊的通知或調用API返回異常或調用API無法返回時，應用軟件接口應進入相應的安全狀