以太網(wǎng)是IIoT的關(guān)鍵嗎?

作者/Uday Mudoi 美高森美公司&營(yíng)銷副總裁

　　引言

　　預(yù)期到2020年將有340億個(gè)設(shè)備與物聯(lián)網(wǎng)(IoT)連接，其中商業(yè)和政府的連接占55%以上。由于IoT有望提高效率(例如，降低操作成本和提高生產(chǎn)力)，使得商業(yè)、工業(yè)和政府機(jī)構(gòu)內(nèi)“智能設(shè)備”之間的嵌入式機(jī)器對(duì)機(jī)器(M2M)通信越來(lái)越普遍。

　　與消費(fèi)類IoT不同的是，工業(yè)IoT(IIoT)對(duì)數(shù)據(jù)完整性、可靠性和安全性的要求更苛刻。中斷威脅會(huì)對(duì)整個(gè)數(shù)字網(wǎng)絡(luò)造成巨大的安全風(fēng)險(xiǎn)，但是，由于IIoT具有空前的透明性和效率, 其前景令人期待。

　　要對(duì)連接IIoT的物體實(shí)現(xiàn)實(shí)時(shí)的監(jiān)視和控制，需要高性能、低延時(shí)、具有遠(yuǎn)程管理能力的網(wǎng)絡(luò)。以太網(wǎng)在標(biāo)準(zhǔn)化、多功能、高性能和低成本等方面具有優(yōu)勢(shì)，因而成為了企業(yè)、數(shù)據(jù)中心和許多運(yùn)營(yíng)商網(wǎng)絡(luò)所選擇的技術(shù)。

　　但是，今天的IIoT和IIoT網(wǎng)絡(luò)大量使用與安裝舊式設(shè)備的專用網(wǎng)絡(luò)協(xié)議，使得以全面升級(jí)為IP以太網(wǎng)基礎(chǔ)設(shè)施變得更為復(fù)雜。這些異構(gòu)網(wǎng)絡(luò)的升級(jí)策略必須平衡工業(yè)應(yīng)用的特點(diǎn)，包括系統(tǒng)可靠性、確定性和安全性，才可遷移到以太網(wǎng)來(lái)實(shí)現(xiàn)標(biāo)準(zhǔn)化和低成本網(wǎng)絡(luò)解決方案。

　　IIoT系統(tǒng)設(shè)計(jì)人員面臨的三項(xiàng)最重要挑戰(zhàn)就是安全性、確定性和網(wǎng)絡(luò)遷移。應(yīng)對(duì)這些挑戰(zhàn)需要結(jié)合以以太網(wǎng)交換芯片解決方案、可編程器件、高精度時(shí)鐘、以太網(wǎng)供電(PoE)和應(yīng)用優(yōu)化軟件等技術(shù)。

　　1工業(yè)網(wǎng)絡(luò)安全

　　目前，工業(yè)網(wǎng)絡(luò)保持安全的前提通常是通過(guò)防火墻與公司網(wǎng)絡(luò)及互聯(lián)網(wǎng)隔離。確保工業(yè)網(wǎng)絡(luò)安全的更廣泛嘗試通常要求停用網(wǎng)絡(luò)、進(jìn)行昂貴的網(wǎng)絡(luò)拓?fù)涓模蛲瑫r(shí)采用這兩種方法，這些方法都會(huì)對(duì)裝置生產(chǎn)力、收入造成不良影響，有時(shí)也會(huì)對(duì)安全造成不良影響。但是，假設(shè)一個(gè)給定工業(yè)網(wǎng)絡(luò)只要與互聯(lián)網(wǎng)隔離就能夠受到保護(hù)，是一個(gè)錯(cuò)誤的概念。

　　正如最新的網(wǎng)絡(luò)攻擊表明，現(xiàn)實(shí)情況是，將現(xiàn)代工業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)隔離，由于更難進(jìn)行問(wèn)題管理和診斷，實(shí)際上會(huì)讓工業(yè)網(wǎng)絡(luò)更不安全。當(dāng)公司更新供應(yīng)鏈、采用新的技術(shù)或響應(yīng)新的競(jìng)爭(zhēng)威脅和機(jī)會(huì)而改變時(shí)，很難對(duì)隔離網(wǎng)絡(luò)進(jìn)行擴(kuò)展和重新配置。

　　IIoT網(wǎng)絡(luò)安全舉措必須采用多層方法來(lái)保護(hù)數(shù)據(jù)平面、管理(網(wǎng)絡(luò)和網(wǎng)元)和控制(協(xié)議)平面。這三者都需要保護(hù)，對(duì)M2M通信來(lái)說(shuō)尤其如此。典型的方法依靠數(shù)據(jù)加密，管理和控制流量，采用認(rèn)證、授權(quán)和記帳(AAA)，及數(shù)據(jù)完整性來(lái)進(jìn)行保護(hù)。

　　網(wǎng)絡(luò)加密是保證所有網(wǎng)絡(luò)流量安全的另一層。在以太網(wǎng)中，MACsec (IEEE 802.1AE)和Keysec (現(xiàn)在是IEEE 802.1X的一部分)是確保以太網(wǎng)物理端口和VLAN安全的L2加密和密鑰管理協(xié)議。為了進(jìn)一步增強(qiáng)機(jī)密性，IEEE 802.1AEbn包括目前某些政府機(jī)構(gòu)要求的強(qiáng)大的256位加密。

　　雖然只加密并不足以保證網(wǎng)絡(luò)的安全，但是，在聯(lián)網(wǎng)設(shè)備和節(jié)點(diǎn)采用MACsec等強(qiáng)大的256位加密，能夠提供以太網(wǎng)IIoT網(wǎng)絡(luò)所需的認(rèn)證、數(shù)據(jù)完整性和用戶機(jī)密性。此外，具有內(nèi)置安全能力的FPGA可用于在系統(tǒng)內(nèi)提供信任根。通常，這些器件用于安全啟動(dòng)外部處理器，增加另一個(gè)安全層來(lái)防止黑客通過(guò)篡改網(wǎng)絡(luò)元件來(lái)偷取密鑰。

　　隨著IIoT的廣泛使用，各大公司將日益尋求在網(wǎng)絡(luò)邊緣獲取數(shù)據(jù)，利用大型數(shù)據(jù)分析和云計(jì)算來(lái)擴(kuò)展處理和實(shí)際利用所有這些數(shù)據(jù)?；ヂ?lián)網(wǎng)連接是必不可少的。在互聯(lián)網(wǎng)中，安全與集中式的管理與分布式聯(lián)網(wǎng)硬件密切配合，提供有效的方法來(lái)確保IIoT網(wǎng)絡(luò)安全。

　　最后，對(duì)于工業(yè)網(wǎng)絡(luò)來(lái)說(shuō)，多層安全方法必不可少，它確保網(wǎng)絡(luò)可靠和正常運(yùn)行，同時(shí)不限制操作。

　　2確定性

　　當(dāng)考慮以太網(wǎng)的確定性和網(wǎng)絡(luò)可靠性時(shí)，特定的業(yè)務(wù)功能要求在精確的時(shí)間內(nèi)發(fā)生。當(dāng)每個(gè)網(wǎng)元都是時(shí)間感知的，并能辨別其是否“準(zhǔn)時(shí)”傳輸以太網(wǎng)數(shù)據(jù)包時(shí)，這是可能實(shí)現(xiàn)的。

　　但是，這只是解決方案的一部分。目前，存在一種利用IEEE 1588v2在以太網(wǎng)內(nèi)同步和分發(fā)精確“時(shí)間”的機(jī)制;但是，最新的時(shí)間敏感網(wǎng)絡(luò)(TSN)標(biāo)準(zhǔn)為系統(tǒng)開發(fā)人員帶來(lái)了一種時(shí)間導(dǎo)向的流量調(diào)度方式。

　　由IEEE 802小組制定的TSN標(biāo)準(zhǔn)拓寬了以太網(wǎng)的能力，使其成為真正的工業(yè)級(jí)實(shí)時(shí)通信協(xié)議。其元件包括時(shí)鐘同步、基于時(shí)間的信息處理、幀搶占和無(wú)縫冗余。

　　TSN(AVB Gen2)是具有下述特征的一組標(biāo)準(zhǔn)：

　　時(shí)間敏感應(yīng)用的定時(shí)和同步(IEEE 802.1ASbt);

　　調(diào)度流量增強(qiáng)(IEEE 802.1Qbv);

　　幀搶占(IEEE 802.1Qbu);

　　冗余網(wǎng)絡(luò)的路徑控制和預(yù)留(IEEE 802.1Qca);

　　增強(qiáng)流預(yù)留協(xié)議(SRP)以支持Qbu/Qbv/Qca/CB (IEEE 802.1Qcc);

　　無(wú)縫冗余(IEEE 802.1CB)。

　　例如，除改善使用性和性能以外，IEEE 802.1ASbt還增加了一步時(shí)間戳支持，與前一代標(biāo)準(zhǔn)采用的兩步法相比，減少了傳輸網(wǎng)絡(luò)定時(shí)信息所需的數(shù)據(jù)包的數(shù)量。數(shù)據(jù)包流量的減少和計(jì)算能力，讓廣泛的時(shí)間感知菊花鏈網(wǎng)絡(luò)受益。IEEE 802.1ASbt還通過(guò)提供多級(jí)同步，在單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)獲取準(zhǔn)確的定時(shí)，增強(qiáng)了定時(shí)信息的獲得性。

　　新的TSN特征將在以太網(wǎng)IIoT應(yīng)用中賦予通信要求的實(shí)時(shí)確定性和低延遲性，應(yīng)該可以消除以往以太網(wǎng)未能作主骨干的IIoT網(wǎng)絡(luò)的最后障礙，推動(dòng)關(guān)鍵和非關(guān)鍵控制和數(shù)據(jù)流量匯聚到單個(gè)網(wǎng)絡(luò)上面。

　　雖然TSN以太網(wǎng)似乎最終將成為工業(yè)網(wǎng)絡(luò)部署的確定性骨干，但是，專有接口將仍然存在，至少在可以預(yù)見(jiàn)的未來(lái)仍將存在。能夠在以太網(wǎng)、IEEE 1588、TSN和專用工業(yè)協(xié)議之間轉(zhuǎn)換，同時(shí)保持確定性行為的FPGAs/SoC將非常重要。

　　確定性是FPGA與MCU相比的重要優(yōu)點(diǎn)之一。例如，采用EtherCAT的聯(lián)網(wǎng)電機(jī)控制應(yīng)用將從FPGA結(jié)構(gòu)的確定性中受益。FPGA能夠以最低延時(shí)來(lái)實(shí)施協(xié)議轉(zhuǎn)換和電機(jī)控制算法。與MCU相比，F(xiàn)PGA能夠以具有確定性的方式傳輸數(shù)據(jù)，與遠(yuǎn)程節(jié)點(diǎn)同步執(zhí)行具有確定性的電機(jī)控制。

　　圖中文字：PRODUCTION生產(chǎn)、FIRWALL防火墻、SCADA WEBSERVER網(wǎng)絡(luò)服務(wù)器、FILE SERVER文件服務(wù)器、ENGINEERING WORKSTATION工程工作站、Historian、SCADA SERVER服務(wù)器、SWITCH交換機(jī)、SDN CONTROLLER控制器、SWITCH交換機(jī)、PUMP泵、Value閥、motor馬達(dá)

　　3網(wǎng)絡(luò)遷移

　　最終IIoT網(wǎng)絡(luò)勢(shì)必會(huì)遷移到IP/以太網(wǎng)，但是，這種轉(zhuǎn)換具有非常獨(dú)特的兩個(gè)主要因素，辨別出它們是非常重要的：

　　設(shè)計(jì)用于局域網(wǎng)(LAN)的以太網(wǎng)標(biāo)準(zhǔn)、部件和系統(tǒng)并非本質(zhì)上適合IIoT網(wǎng)絡(luò);

　　IIoT網(wǎng)絡(luò)遷移需要平衡舉措，以支持現(xiàn)有“非標(biāo)準(zhǔn)”協(xié)議和使網(wǎng)絡(luò)為利用早期階段創(chuàng)新而做好準(zhǔn)備。

　　典型的工業(yè)網(wǎng)絡(luò)包含了利用多種專用網(wǎng)絡(luò)協(xié)議的舊式設(shè)備所組成的不同安裝基礎(chǔ)，因此，當(dāng)面對(duì)這些工業(yè)網(wǎng)絡(luò)時(shí)，為了簡(jiǎn)化將其網(wǎng)絡(luò)遷移到以太網(wǎng)的工作，系統(tǒng)設(shè)計(jì)人員應(yīng)尋找?guī)追N關(guān)鍵元件：

　　以太網(wǎng)的多協(xié)議支持和現(xiàn)場(chǎng)總線接口，確保大型異構(gòu)網(wǎng)絡(luò)的互操作性和擴(kuò)展性;

　　易于部署和管理的以太網(wǎng)軟件協(xié)議棧;

　　統(tǒng)一的硬件和軟件，以可靠地實(shí)現(xiàn)工業(yè)通信要求的實(shí)時(shí)確定性和低延遲性;

　　支持靈活的端口配置與時(shí)間同步選型，同時(shí)滿足IIoT的環(huán)境和操作要求;

　　高達(dá)95 W以太網(wǎng)供電(PoE)選擇，以安全地為遠(yuǎn)程器件供電，簡(jiǎn)化部署。

　　采用綜合以下項(xiàng)目的硬件和軟件務(wù)實(shí)組合，便可能實(shí)現(xiàn)以上所有任務(wù)：

　　低功耗且安全的FPGA解決方案;

　　專為工業(yè)部署優(yōu)化的以太網(wǎng)交換芯片;

　　不僅提供管理性和監(jiān)測(cè)能力，而且還提供安全編排軟件的生態(tài)系統(tǒng)的軟件協(xié)議棧;

　　設(shè)計(jì)用于工業(yè)設(shè)置的堅(jiān)固耐用PoE解決方案。

　　4小結(jié)

　　值得指出的是，對(duì)IIoT系統(tǒng)來(lái)說(shuō)，并沒(méi)有一種“通用” (one-size-fits-all) 的方法。支持PoE、同步要求和數(shù)據(jù)加密的方法有助于提供無(wú)縫升級(jí)到基線硬件和軟件解決方案，但其它情況可能有計(jì)算需求，要在交換芯片內(nèi)集成CPU或采用FPGA或獨(dú)立CPU來(lái)滿足。

　　設(shè)計(jì)用于IIoT應(yīng)用要求一種可感知的遷移路徑，利用確定性網(wǎng)絡(luò)的新技術(shù)，同時(shí)應(yīng)認(rèn)識(shí)到，在工業(yè)網(wǎng)絡(luò)系統(tǒng)環(huán)境中，最大網(wǎng)絡(luò)正常運(yùn)行時(shí)間優(yōu)先于最新網(wǎng)絡(luò)升級(jí)。在難以接受網(wǎng)絡(luò)中斷的世界中，工業(yè)必須摒棄舊技術(shù)、協(xié)議和第一代工業(yè)以太網(wǎng)，才能夠迎來(lái)美好的未來(lái)。