1 前言

       在产品生命周期管理（PLM）的规划与实施过程中，离散型制造企业相较于其他类型的制造企业，面临着更为复杂和艰巨的挑战。其原因在于离散型制造企业的产品具有小批量、多样化的特点，导致了需求分析、数据管理、物料清单（BOM）、图纸文档管理、权限设置、设计流程以及系统集成在规划及建设中都面临诸多挑战。PLM归根到底是服务于产品和全生命周期的参与者，赋予参与者灵活、足够且受控的权限显得尤为关键。
 
2 PLM定位和整体架构

       2.1 定位

       随着企业数字化转型的不断发展，PLM的核心地位和作用也在不断提升。在离散型制造企业中，PLM管理着产品从无到有，从有到优的全过程，将设计工具、数据、信息、流程和参与者有机的整合起来，打通与企业资源计划（ERP）、制造执行系统（MES）、仓库管理系统（WMS）、客户关系管理（CRM）等系统之间的信息孤岛，成为企业应用系统的核心枢纽。

       2.2 整体架构
 
       1）基础层级

       支持层（Support layer）：通过网络、安全控制、通信协议、业务对象等提供基础支持。

       模型层（Model layer）：根据需求和具体情况，建立数据、业务和界面的模型

       组件层（Component layer）：配置系列服务组件，主要有：工作流、元数据、对象、关系描述和通用集成接口等。

       通用业务层（General Business Layer）：实现PLM通用功能模块的配置、管理和应用。

       2）平台层级

       包含PLM核心的需求管理、项目管理、开发管理、工艺管理、数据文档管理、变更管理、流程管理、集成管理和权限管理等。

3 权限定义

       PLM系统中，权限是用户正确合理使用系统的基本准则，从组织架构、角色定义和配置策略三个方面固化系统功能和资源被允许访问及使用的约束规则。具体到用户，则体现在登录账号组织机构域的控制、功能菜单使用限制、数据流程的访问和操作限制、参与业务的层级高低及管理员的“三员分离”。

       “三员分离”是指系统管理员、安全管理员、审计管理员的三员管理分别规划职责权限，实现相互制约、相互监督。

       1）系统管理员：进行系统日常管理和运维。包括处理业务问题，进行账号创建和资源管控，扩展的系统管理员还需进行服务器软硬件配置和运行管理。

       2）安全管理员：负责系统安全和涉密相关工作，确保系统、数据和应用符合安全机制要求。

       3）审计管理员：进行系统审计工作，对用户的权限、操作和业务行为进行监控和日志记录，确保其合规性。

4 离散制造企业的PLM权限规划

       离散制造企业产品结构复杂，质量要求较高以及多品种、小规模的典型特征决定了其研发和生产周期必然较长，各个环节之间缺乏连续性，这要求企业在PLM的权限规划方面除考虑常规的权限管理之外还必须具备高度的协调性和灵活性。

       4.1 常规权限规划

       1）管理员权限

       PLM系统管理员应强化“三员分离”，系统管理员、安全管理员和审计管理员在赋予相应的权限时需充分考虑角色要求和具体操作要求。主要权限如下：

       系统管理员：账号创建、编辑和删除权限、全部功能菜单管理和分配权限、所有业务模块和功能的管理权限、系统管控平台的全部权限、license管理权限、数据库管理权限、日志查看权限等。

       安全管理员：数据安全访问管理、用户权限管理、业务安全管理、数据库和应用系统的安全管理等权限。

       审计管理员：系统监控权限、日志记录权限、普通用户操作和业务行为查询记录权限、安全和系统管理员业务行为查阅记录权限等。
 
       2）普通角色权限

       对普通角色赋予权限，需要在业务、数据、流程、集成和变更方面进行合理规划，对特定行业，如军工企业必须同时加强安全性和涉密管控。
离散企业PLM普通角色主要有需求经理（Requirement Manager）；项目经理（Project manager）；研发（开发）工程师（R&D Designer）；工艺工程师（Process Engineer）；产品经理（Product manager）和质量工程师（Quality Engineer）。
 
       需求经理：需求定义权限、需求结构化权限、需求评审流程权限、需求追溯权限等。

       项目经理：项目创建权限、项目资源管理权限、项目修改变更权限、项目WBS任务分解权限、项目相关流程使用权限、项目质量风险和成本管理权限等。

       研发（开发）工程师：图文档创建编辑和处理权限、设计文件管理权限、设计软件集成权限、在线协同权限、变更权限、EBOM配置管理权限、2D/3D模型处理权限、版本管理权限、工艺文件访问权限、研发相关流程使用权限等。

       工艺工程师：图文档创建编辑和处理权限、设计文件和工程数据访问权限、工艺文件管理权限、在线协同权限、变更权限、PBOM配置管理权限、2D/3D模型处理权限、工艺软件集成权限、版本管理权限、工艺相关流程使用权限等。

       产品经理：产品规划管理权限、产品线和模块管理权限、产品通用BOM配置管理权限、产品结构兼容规则管理权限、产品变型配置管理权限、产品发展管理权限、资源跟踪管理权限、问题管理权限等。

       质量工程师：设计工艺文件访问权限、质量管理权限、版本管理权限、变更权限、项目参与权限、质量相关流程使用权限等。

       4.2 特殊权限规划

       鉴于离散型企业的特性，其权限设置需兼顾协调性与灵活性，以满足企业业务需求。主要体现在：

       1）组织机构权限

       在企业组织机构中，直线型结构、职能型结构以及矩阵型结构是最为普遍的三种形式，其中矩阵型结构的应用最为广泛。在进行PLM权限规划时，通常采用域管理的方法实现信息保密性与操作灵活性的需求。

       域管理的核心是将部门的某些下级单位、部门或某些部门的集合独立成域，每个域有单独的权限管理，域内成员首先要受到域权限的管控，其次才是自身角色权限的管控。

       域管理主要是指域内信息、数据、图文档、流程等只能域内流转，与其他域完全隔离，同时为了保证灵活性，需要跨域的信息必须进行流程审批管控后才可以跨域流转。

       域管理应用于中大型企业时，可以分为多级域并配置多级域管理员。由于是多层次域管理，域权限和各层级协调比较复杂，规划阶段需要特别关注。

       2）特殊用户权限

       特殊用户主要有两类：企业领导层和外部访问用户。

       企业的领导层，其关心重点在市场需求通过PLM、ERP、MES转化为合格产品所需要的时间和技术质量状态。在PLM系统中，应主要赋予这类特殊用户审批权限、项目观察权限和报表查看权限。
 
       外部访问用户，需要灵活的PLM权限配置，管理员可根据其需求灵活开放部分权限，如：向供应商开放供应链访问权限、物料审批参与权限、供应商信息和订单查看权限；向客户开放产品规格技术支持文件访问权限、产品状态和交付信息访问权限等。

5 权限管理

       5.1 建立PLM角色资源池

       企业系统管理员可在PLM系统中创建角色资源池，包含系统安全审计管理员、需求经理、项目经理、研发（开发）工程师、工艺工程师、产品经理、质量工程师。此外可根据企业自身特点创建如领导、外部访问者、市场营销员、标准化员、物流员、采购员等。

       5.2 建立PLM权限资源池

       安全管理员在PLM系统中创建权限资源池，包括基本权限、通用权限和专用权限。通用权限如流程权限、BOM配置权限、项目管理权限、集成权限、图文档权限和变更权限等。专用权限如报表生成权限、项目观察权限、数据分析和统计权限等。通用和专用权限需要用颗粒度更细的基本权限去组合匹配，如：项目创建、变更、删除权限；WBS分解权限；工程变更发起权限、变更参与权限；BOM创建和修改权限、BOM访问权限等。此外基本权限也可以直接放入角色加以灵活使用。

       5.3 建立组织域

       系统管理员可在PLM系统中创建企业的组织域，根据各级组织机构功能和要求将其纳入到相应的组织域中，配置每个组织域的管控权限和域间流转审批流程。

       5.4 权限管理的实现

       系统管理员根据审批流程建立用户账号，将用户分别放入各级组织机构，因组织机构受控于组织域，组织域的权限管控策略自动对用户生效且处于最优先级。

       系统管理员将安全管理员权限资源池里的通用权限匹配到各个角色上，根据申请用户的岗位职能要求把一个或多个角色绑定到用户账号上，通用权限自动生效。如用户申请的岗位包含专用权限或某些基本权限的集合，则增加专用权限或基本权限到用户账号并自动生效。此类权限的优先级低于组织域权限。

       用户离职（退休）、调岗、单位变动时，系统管理员对离职（退休）人员进行用户账号的冻结和注销，对单位变动或调岗人员进行组织域和权限的解绑调整。

       企业的组织机构发生变动时，系统管理员调整组织域并重新匹配管控权限。

6 小结

       本文首先介绍了PLM在离散企业的定位和整体框架，然后从权限的规划入手介绍角色如何分配权限，最后从权限的管理角度介绍组织域、角色、权限和用户管理的逻辑和构成。本文给出了离散企业PLM权限管理的主要模型以供参考。