应对关键工业物联网(IIoT)挑战

据BI Intelligence最新报告，到2020年物联网(IoT)将连接340亿台器件，在这些连接中，商业和政府连接占55%以上。随着IoT有望于提高效率(如降低运营成本和提高生产力)，“智能物体”中的嵌入式机对机(M2M)通信在商业、工业和政府实体中将日益普及。urJednc

与消费者IoT不同的是，工业IoT (IIoT) 发生故障可能造成灾难性甚至致命的后果，因此，对数据完整性、可靠性和安全性的要求要苛刻很多。崩溃的威胁对整个数字网络造成巨大的安全风险。但是，IIoT前所未有的透明性和效率前景仍然非常诱人。urJednc

要在连接IIoT物体实现实时可视性和控制，需要高性能、低延时且具有远程管理能力的网络。而以太网具有包括标准化、多功能性、高性能和低成本在内的优点，因此一直是企业、数据中心和许多服务提供商的网络技术选择。但是，现时已存在的IIoT网络大多数采用专用网络协议和拥有各种旧有设备，使所有IP以太网基础设施的现代化更为复杂。这些异构网络的升级战略，在迁移到以太网提供的标准化低成本网络解决方案的，必须平衡工业设置必要的系统可靠性、确定性和安全性。urJednc

在本文中，我们将在系统级别上探讨IIoT系统设计人员面临的三大挑战 – 安全性、确定性和网络迁移性 – 并利用从以太网交换解决方案、可编程器件、高精度定时、以太网供电和应用优化软件的技术组合，提供应对这些挑战的技巧和策略。urJednc

安全性urJednc

今天，工业网络安全性的前提是利用防火墙与公司网络隔离，及与互联网隔离。确保工业网络安全更广泛的做法，通常招致网络停机或需要昂贵的网络拓扑更改，甚至两者结合，因而损害装置生产力和公司收入，有时甚至危及安全。但是，对一个给定网络来说，仅仅因为其与互联网隔离，我们便相信它得到了保护，这种想法是错误的。正如最新网络攻击所示，将现代工业网络与互联网隔离，实际上使其更不安全，因为这样的话，工业网络更难管理和诊断问题。当公司更新供应链、采用新技术或响应新竞争威胁和机会而演变时，隔离网络还难于扩展和重新配置。urJednc

IIoT网络安全必须采用多层方法来保护数据平面、管理(网络和元件)和控制(协议)平面。这三者都需要保护，特别是对M2M通信来说。典型的方法是依赖数据加密、管理和控制流量、开展验证、授权和计费(AAA)，及数据完整性。网络加密是保证所有网络流量安全的另一层。在以太网中，MACsec (IEEE 802.1AE) 和Keysec (现在是IEEE 802.1X的一部分)是L2加密和关键管理协议，以确保以太网物理端口和VLAN的安全。现在，IEEE 802.1AEbn包括某些政府机构要求的强大256位加密，进一步增强了保密性。虽然仅依赖加密无法足够保证网络安全，然而，联网设备和端点采用强大的256位加密(如MACsec)，可以提供一种基于以太网的IIoT网络所需的验证、数据完整性和用户保密的手段。此外，利用具有内置安全能力的FPGA，可在系统中提供信任根。通常，这些设备用于安全地启动外部处理器，增加另一个安全层，以防止利用网络元件寻找密钥进行篡改。urJednc

随着IIoT应用更为广泛，各大公司将日益依赖在网络边缘获取数据、利用大型数据分析和云计算，从而扩展处理和实际利用所有这些数据。互联网连接是必须的。中央安全编排方法在互联网与分布式联网硬件密切配合，能够提供有效的方法以确保IIoT网络安全。urJednc

最后，对工业网络来说，若要确保网络可靠性和正常运行时间，同时不限制运算，则采用多层安全方法是必须的。urJednc

图1 工业自动化网络。随着网络变得更为灵活，安全架构不断演变。urJednc

确定性urJednc

当考虑以太网的确定性性能和网络可靠性时，人们期望特定功能在精确的时间框架内发生。当每个网络元件都是时间感知的，并且能够识别其是否“按时”传输以太网数据包时，这是可能的。但是，这仅仅是解决方案的一部分。今天，已经拥有利用IEEE 1588v2在以太网内同步和分配精确“时间”的机制，但是，最新时间敏感网络(TSN)标准为系统开发者带来了流量调度的时间定向方式。urJednc

TSN标准由IEEE 802工作组开发，拓宽了以太网的能力，使其成为真正的工业级实时通信协议，其元件包括时钟同步、基于时间的消息处理、帧抢占和无缝冗余。urJednc

TSN (AVB Gen2)是一组标准，提供下述特征：urJednc

• 时间敏感应用的定时和同步(IEEE 802.1ASbt)urJednc

• 调度流量增强(IEEE 802.1Qbv)urJednc

• 帧抢占(IEEE 802.1Qbu)urJednc

• 冗余网络路径控制和保留(IEEE 802.1Qca)urJednc

• 流预留协议(SRP)增强，支持Qbu/Qbv/Qca/CB (IEEE 802.1Qcc)urJednc

• 无缝冗余(IEEE 802.1CB)urJednc

除改善可用性和性能之外，例如，IEEE 802.1ASbt还增加了一步时间戳支持，与前一代标准采用的两步法相比，减少了传达网络定时信息所需数据包的数量。数据包流量和计算能力的降低，有益于广泛的菊链时间感知网络。IEEE 802.1ASbt还通过提供多级同步，在各网络节点获得准确定时，从而增强了定时信息的可用性。urJednc

新的TSN特征将赋予以太网IIoT应用通信所需的实时确定性和低延时。这应该可以消除可能阻碍IIoT网络采用以太网作为其主要骨干的最后拦阻，推动关键和非关键控制和数据流量在单一网络的融合。urJednc

虽然TSN以太网可能最终将成为工业网络部署的确定性骨干，但至少在可以预见的未来，专有接口将仍然存在。能够在以太网、IEEE 1588、TSN和专用工业协议之间转换，同时保持确定性行为的FPGA/SoC将非常关键。与MCU相比，确定性是FPGA的关键优点之一。例如，利用EtherCAT的联网电机控制应用将从FPGA结构的确定性性质中受益。FPGA可以执行协议转化和电机控制算法，且都具有可能最低的延时。与MCU相比，FPGA能够与远程节点同步，以确定性的方式传输数据和执行确定性的电机控制。urJednc

网络迁移urJednc

IIoT网络最终必然会迁移到IP/以太网，但重要的是识别这种转换所独有的两个主要因素：urJednc

• 设计用于局域网(LAN)的以太网标准、部件和系统，并非自然适合IIoT网络。urJednc

• IIoT迁移需要平衡行动，以支持现有“非标准”协议和使网络准备好利用初期的创新。urJednc

因此，当面临采用几种专用网络协议的旧有设备的异构安装基站所组成的典型工业网络的时候，设计人员为了简化其网络向以太网的迁移，应该寻找的几个关键元件是：urJednc

• 以太网多协议支持和现场总线接口，以确保大型异构网络的互操作性和扩展性urJednc

• 优化的以太网交换软件堆栈，使部署和管理简单urJednc

• 统一的硬件和软件，用于可靠地提供工业通信所需的实时确定性和低延时urJednc

• 端口配置灵活性和同步选择，同时要满足IIoT的环境要求和操作要求urJednc

• 高达95w的以太网供电(PoE)，安全地为远程器件供电，简化部署urJednc

采用结合以下几项硬件和软件的实用组合，可能实现以上全部项目：urJednc

• 安全的低功耗FPGA解决方案urJednc

• 优化用于工业部署的以太网交换硅urJednc

• 不仅提供管理性和监测能力，而且具备安全编排软件生态系统的软件堆栈urJednc

• 设计用于工业设置的加固PoE解决方案urJednc

大家必须明白，对IIoT系统来说，不存在任何“普世通用的万全之策”。支持PoE、同步需求和数据加密的选项，可以帮助提供基础硬件和软件解决方案的无缝升级。其它情况的计算需求或许能够采用交换机中的集成CPU或FPGA或独立CPU来实现。urJednc

结论urJednc

IIoT应用设计需要可感知的迁移路径，以及采用实现确定性网络的新技术，同时认识到在工业网络存在的系统环境中，最大网络正常运行时间比最新网络升级更重要。在不能发生网络崩溃的世界中，工业必须越过旧技术、协议和第一代工业以太网。urJednc