北京軟件開(kāi)發(fā)公司華盛恒輝物聯(lián)網(wǎng)開(kāi)發(fā)以太網(wǎng)是工業(yè)物聯(lián)網(wǎng)關(guān)鍵嗎?
預(yù)計(jì)到 2020 年將有 340 億臺(tái)設(shè)備連接到物聯(lián)網(wǎng) (IoT),其中企業(yè)和政府將占這些連接的 55% 以上。隨著物聯(lián)網(wǎng)對(duì)提高效率(例如降低運(yùn)營(yíng)成本和提高生產(chǎn)力)的承諾,“智能對(duì)象”之間的嵌入式機(jī)器對(duì)機(jī)器 (M2M) 通信在商業(yè)、工業(yè)和政府實(shí)體中越來(lái)越普遍。
與消費(fèi)物聯(lián)網(wǎng)不同,工業(yè)物聯(lián)網(wǎng) (IIoT) 對(duì)數(shù)據(jù)完整性、可靠性和安全性的要求要嚴(yán)格得多。中斷的威脅給整個(gè)數(shù)字網(wǎng)絡(luò)帶來(lái)了巨大的安全風(fēng)險(xiǎn),但 IIoT 前所未有的透明度和效率的前景仍然令人信服。
連接的 IIoT 對(duì)象的實(shí)時(shí)可見(jiàn)性和控制需要具有遠(yuǎn)程管理功能的高性能、低延遲網(wǎng)絡(luò)。以太網(wǎng)已經(jīng)成為企業(yè)、數(shù)據(jù)中心和許多服務(wù)提供商網(wǎng)絡(luò)的首選技術(shù),因?yàn)樗哂袠?biāo)準(zhǔn)化、多功能性、高性能和低成本等優(yōu)勢(shì)。
然而,今天的 IIoT 網(wǎng)絡(luò)主要使用專(zhuān)門(mén)的網(wǎng)絡(luò)協(xié)議和各種傳統(tǒng)設(shè)備的安裝基礎(chǔ)。這使得全 IP 以太網(wǎng)基礎(chǔ)設(shè)施的現(xiàn)代化變得更加復(fù)雜。這些異構(gòu)網(wǎng)絡(luò)的升級(jí)策略必須在工業(yè)設(shè)置的必要性(系統(tǒng)可靠性、確定性和安全性)與遷移到以太網(wǎng)提供的標(biāo)準(zhǔn)化和低成本網(wǎng)絡(luò)解決方案之間取得平衡。
IIoT北京軟件開(kāi)發(fā)公司面臨的三大挑戰(zhàn)是安全性、確定性和網(wǎng)絡(luò)遷移。應(yīng)對(duì)這些挑戰(zhàn)需要結(jié)合使用以太網(wǎng)交換解決方案、可編程設(shè)備、高精度定時(shí)、以太網(wǎng)供電 (PoE) 和應(yīng)用優(yōu)化軟件等技術(shù)。
工業(yè)網(wǎng)絡(luò)安全
當(dāng)今工業(yè)網(wǎng)絡(luò)的安全性通常以通過(guò)防火墻與企業(yè)網(wǎng)絡(luò)和 Internet 隔離為前提。更廣泛的保護(hù)工業(yè)網(wǎng)絡(luò)的嘗試通常會(huì)導(dǎo)致網(wǎng)絡(luò)停機(jī)、代價(jià)高昂的網(wǎng)絡(luò)拓?fù)涓幕騼烧呒娑兄?,從而危及工廠生產(chǎn)力、收入,有時(shí)甚至?xí)<鞍踩5?,僅僅因?yàn)槲覀冋J(rèn)為某個(gè)工業(yè)網(wǎng)絡(luò)與 Internet 隔離而假設(shè)它受到保護(hù)是一種誤解。
正如最近的網(wǎng)絡(luò)攻擊所表明的那樣,現(xiàn)實(shí)情況是將現(xiàn)代工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離實(shí)際上會(huì)降低其安全性,因?yàn)楣芾砗驮\斷問(wèn)題更加困難。隨著公司更新供應(yīng)鏈、采用新技術(shù)或發(fā)展以應(yīng)對(duì)新的競(jìng)爭(zhēng)威脅和機(jī)遇,孤立的網(wǎng)絡(luò)也難以擴(kuò)展和重新配置。
IIoT 網(wǎng)絡(luò)安全必須采取多層方法來(lái)保護(hù)數(shù)據(jù)平面、管理(網(wǎng)絡(luò)和元素)和控制(協(xié)議)平面。這三個(gè)都需要保護(hù),特別是對(duì)于 M2M 通信。典型的方法依賴(lài)于數(shù)據(jù)加密、管理和控制流量、尋址身份驗(yàn)證、授權(quán)和計(jì)費(fèi) (AAA) 以及數(shù)據(jù)完整性。
全網(wǎng)加密是保證所有網(wǎng)絡(luò)流量安全的另一層。在以太網(wǎng)網(wǎng)絡(luò)中,MACsec (IEEE 802.1AE) 和 Keysec(現(xiàn)在是 IEEE 802.1X 的一部分)是 L2 加密和密鑰管理協(xié)議,用于保護(hù)以太網(wǎng)物理端口和 VLAN。為了進(jìn)一步增強(qiáng)機(jī)密性,IEEE 802.1AEbn 包括某些政府機(jī)構(gòu)現(xiàn)在要求的強(qiáng)大的 256 位加密。
雖然僅靠加密不足以保護(hù)網(wǎng)絡(luò)安全,但在網(wǎng)絡(luò)設(shè)備和端點(diǎn)中使用強(qiáng)大的 256 位加密(如 MACsec)可以為基于以太網(wǎng)的 IIoT 網(wǎng)絡(luò)所需的身份驗(yàn)證、數(shù)據(jù)完整性和用戶(hù)機(jī)密性提供一種手段。此外,利用具有內(nèi)置安全功能的 FPGA 可用于在系統(tǒng)中提供信任根。這些設(shè)備通常用于安全啟動(dòng)外部處理器,添加另一個(gè)安全層以防止篡改網(wǎng)絡(luò)元素以查找密鑰。
隨著 IIoT 變得越來(lái)越普遍,公司將越來(lái)越多地尋求在網(wǎng)絡(luò)邊緣獲取數(shù)據(jù),使用大數(shù)據(jù)分析和云計(jì)算來(lái)擴(kuò)展處理并實(shí)際利用所有這些數(shù)據(jù)?;ヂ?lián)網(wǎng)連接是必不可少的。這就是與分布式網(wǎng)絡(luò)硬件密切合作的集中式安全編排方法可以提供保護(hù) IIoT 網(wǎng)絡(luò)的有效方法的地方。
歸根結(jié)底,工業(yè)網(wǎng)絡(luò)必須采用多層安全方法,以確保網(wǎng)絡(luò)的可靠性和正常運(yùn)行時(shí)間,同時(shí)不限制操作。
決定論
在考慮以太網(wǎng)中的確定性性能和網(wǎng)絡(luò)可靠性時(shí),期望特定功能在精確的時(shí)間范圍內(nèi)發(fā)生。當(dāng)每個(gè)網(wǎng)絡(luò)元素都具有時(shí)間感知能力并且可以識(shí)別它是否“準(zhǔn)時(shí)”傳送以太網(wǎng)數(shù)據(jù)包時(shí),這是可能的。
但只是解決方案的一部分。當(dāng)今存在使用 IEEE 1588v2 在以太網(wǎng)中同步和分配精確“時(shí)間”的機(jī)制;然而,最新的時(shí)間敏感網(wǎng)絡(luò) (TSN) 標(biāo)準(zhǔn)為系統(tǒng)開(kāi)發(fā)人員帶來(lái)了一種非常面向時(shí)間的流量調(diào)度方式。
TSN 標(biāo)準(zhǔn)由 IEEE 802 小組開(kāi)發(fā),擴(kuò)展了以太網(wǎng)功能,使其成為真正的工業(yè)級(jí)實(shí)時(shí)通信協(xié)議。元素包括時(shí)鐘同步、基于時(shí)間的消息處理、幀搶占和無(wú)縫冗余。
TSN (AVB Gen2) 是一套提供以下功能的標(biāo)準(zhǔn):
時(shí)間敏感應(yīng)用的定時(shí)和同步 (IEEE 802.1ASbt)
計(jì)劃流量的增強(qiáng)功能 (IEEE 802.1Qbv)
幀搶占 (IEEE 802.1Qbu)
冗余網(wǎng)絡(luò)的路徑控制和預(yù)留 (IEEE 802.1Qca)
流預(yù)留協(xié)議 (SRP) 增強(qiáng)以支持 Qbu/Qbv/Qca/CB (IEEE 802.1Qcc)
無(wú)縫冗余 (IEEE 802.1CB)。
例如,除了提高可用性和性能外,IEEE 802.1ASbt 還增加了一步時(shí)間戳支持。與上一代標(biāo)準(zhǔn)中使用的兩步過(guò)程相比,這減少了傳送網(wǎng)絡(luò)定時(shí)信息所需的數(shù)據(jù)包數(shù)量。數(shù)據(jù)包流量和計(jì)算能力的減少在廣泛的菊花鏈時(shí)間感知網(wǎng)絡(luò)中是有益的。IEEE 802.1ASbt 還通過(guò)提供多級(jí)同步來(lái)提高定時(shí)信息的可用性,以在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)獲得準(zhǔn)確的定時(shí)。
新的 TSN 功能將為以太網(wǎng)網(wǎng)絡(luò)提供 IIoT 應(yīng)用中通信所需的實(shí)時(shí)確定性和低延遲。這將消除可能阻止使用以太網(wǎng)作為其主要骨干網(wǎng)的 IIoT 網(wǎng)絡(luò)的最后一個(gè)障礙,推動(dòng)關(guān)鍵和非關(guān)鍵控制和數(shù)據(jù)流量融合到單個(gè)網(wǎng)絡(luò)上。
雖然帶有 TSN 的以太網(wǎng)最終將成為工業(yè)網(wǎng)絡(luò)部署的合理確定性主干,但至少在可預(yù)見(jiàn)的未來(lái),專(zhuān)有接口將繼續(xù)存在。能夠在以太網(wǎng)、IEEE 1588、TSN 和專(zhuān)用工業(yè)協(xié)議之間進(jìn)行轉(zhuǎn)換同時(shí)保持確定性行為的 FPGA/SoC 將是至關(guān)重要的。
確定性是使用 FPGA 相對(duì)于 MCU 的主要優(yōu)勢(shì)之一。例如,使用 EtherCAT 的聯(lián)網(wǎng)電機(jī)控制應(yīng)用將受益于 FPGA 架構(gòu)的確定性特性。FPGA 可以以盡可能低的延遲實(shí)現(xiàn)協(xié)議轉(zhuǎn)換和電機(jī)控制算法。與 MCU 不同,F(xiàn)PGA 能夠以確定性方式傳輸數(shù)據(jù)并與遠(yuǎn)程節(jié)點(diǎn)同步執(zhí)行確定性電機(jī)控制。
網(wǎng)絡(luò)遷移
IIoT 網(wǎng)絡(luò)最終遷移到 IP/以太網(wǎng)是給定的,但重要的是要認(rèn)識(shí)到這種轉(zhuǎn)變所特有的兩個(gè)主要因素:
專(zhuān)為局域網(wǎng) (LAN) 設(shè)計(jì)的以太網(wǎng)標(biāo)準(zhǔn)、組件和系統(tǒng)并不適合 IIoT 網(wǎng)絡(luò)。
IIoT 網(wǎng)絡(luò)遷移需要采取平衡措施來(lái)支持現(xiàn)有的“非標(biāo)準(zhǔn)”協(xié)議,并使網(wǎng)絡(luò)做好準(zhǔn)備以利用早期創(chuàng)新。
因此,當(dāng)面對(duì)典型的工業(yè)網(wǎng)絡(luò)時(shí)——由使用多種專(zhuān)用網(wǎng)絡(luò)協(xié)議的遺留設(shè)備的異構(gòu)安裝基礎(chǔ)組成——軟件開(kāi)發(fā)人員應(yīng)該尋找?guī)讉€(gè)關(guān)鍵元素來(lái)簡(jiǎn)化他們的網(wǎng)絡(luò)向以太網(wǎng)的遷移:
以太網(wǎng)和現(xiàn)場(chǎng)總線接口的多協(xié)議支持,以確保大規(guī)模異構(gòu)網(wǎng)絡(luò)中的互操作性和可擴(kuò)展性
優(yōu)化的以太網(wǎng)交換機(jī)軟件堆棧,便于部署和管理
統(tǒng)一的硬件和軟件,以可靠地提供工業(yè)通信所需的實(shí)時(shí)確定性和低延遲
端口配置和同步選項(xiàng)的靈活性,同時(shí)滿(mǎn)足 IIoT 的環(huán)境和操作要求
高達(dá) 95 W 的以太網(wǎng)供電 (PoE) 選項(xiàng)可為遠(yuǎn)程設(shè)備安全供電,簡(jiǎn)化部署
通過(guò)結(jié)合以下硬件和軟件開(kāi)發(fā)的實(shí)用組合,上述所有內(nèi)容都可以實(shí)現(xiàn):
低功耗且安全的 FPGA 解決方案
為工業(yè)部署優(yōu)化的以太網(wǎng)交換芯片
軟件堆棧不僅提供可管理性和監(jiān)控功能,還提供安全編排軟件生態(tài)系統(tǒng)
專(zhuān)為工業(yè)環(huán)境設(shè)計(jì)的堅(jiān)固耐用的 PoE 解決方案。
需要注意的是,IIoT軟件開(kāi)發(fā)不會(huì)有“一刀切”的方法。支持 PoE、同步需求和數(shù)據(jù)加密的選項(xiàng)可以幫助提供對(duì)基線硬件和軟件解決方案的無(wú)縫升級(jí)。其他場(chǎng)景可能有計(jì)算需求,這些需求可以通過(guò)交換機(jī)中的集成 CPU 或 FPGA 或獨(dú)立 CPU 實(shí)現(xiàn)。
為 IIoT 應(yīng)用程序設(shè)計(jì)需要一個(gè)合理的遷移路徑,利用確定性網(wǎng)絡(luò)的新技術(shù),同時(shí)承認(rèn)工業(yè)網(wǎng)絡(luò)存在于一個(gè)系統(tǒng)環(huán)境中,該系統(tǒng)環(huán)境優(yōu)先考慮最大網(wǎng)絡(luò)正常運(yùn)行時(shí)間而不是最新的網(wǎng)絡(luò)升級(jí)。在網(wǎng)絡(luò)中斷根本不可行的世界中,該行業(yè)必須擺脫舊的技術(shù)和協(xié)議以及第一代工業(yè)以太網(wǎng)網(wǎng)絡(luò)。