电子产品世界

作者/Uday Mudoi 美高森美公司&营销副总裁

　　引言

　　预期到2020年将有340亿个设备与物联网(IoT)连接，其中商业和政府的连接占55%以上。由于IoT有望提高效率(例如，降低操作成本和提高生产力)，使得商业、工业和政府机构内“智能设备”之间的嵌入式机器对机器(M2M)通信越来越普遍。

　　与消费类IoT不同的是，工业IoT(IIoT)对数据完整性、可靠性和安全性的要求更苛刻。中断威胁会对整个数字网络造成巨大的安全风险，但是，由于IIoT具有空前的透明性和效率, 其前景令人期待。

　　要对连接IIoT的物体实现实时的监视和控制，需要高性能、低延时、具有远程管理能力的网络。以太网在标准化、多功能、高性能和低成本等方面具有优势，因而成为了企业、数据中心和许多运营商网络所选择的技术。

　　但是，今天的IIoT和IIoT网络大量使用与安装旧式设备的专用网络协议，使得以全面升级为IP以太网基础设施变得更为复杂。这些异构网络的升级策略必须平衡工业应用的特点，包括系统可靠性、确定性和安全性，才可迁移到以太网来实现标准化和低成本网络解决方案。

　　IIoT系统设计人员面临的三项最重要挑战就是安全性、确定性和网络迁移。应对这些挑战需要结合以以太网交换芯片解决方案、可编程器件、高精度时钟、以太网供电(PoE)和应用优化软件等技术。

　　1工业网络安全

　　目前，工业网络保持安全的前提通常是通过防火墙与公司网络及互联网隔离。确保工业网络安全的更广泛尝试通常要求停用网络、进行昂贵的网络拓扑更改，或同时采用这两种方法，这些方法都会对装置生产力、收入造成不良影响，有时也会对安全造成不良影响。但是，假设一个给定工业网络只要与互联网隔离就能够受到保护，是一个错误的概念。

　　正如最新的网络攻击表明，现实情况是，将现代工业网络与互联网隔离，由于更难进行问题管理和诊断，实际上会让工业网络更不安全。当公司更新供应链、采用新的技术或响应新的竞争威胁和机会而改变时，很难对隔离网络进行扩展和重新配置。

　　IIoT网络安全举措必须采用多层方法来保护数据平面、管理(网络和网元)和控制(协议)平面。这三者都需要保护，对M2M通信来说尤其如此。典型的方法依靠数据加密，管理和控制流量，采用认证、授权和记帐(AAA)，及数据完整性来进行保护。

　　网络加密是保证所有网络流量安全的另一层。在以太网中，MACsec (IEEE 802.1AE)和Keysec (现在是IEEE 802.1X的一部分)是确保以太网物理端口和VLAN安全的L2加密和密钥管理协议。为了进一步增强机密性，IEEE 802.1AEbn包括目前某些政府机构要求的强大的256位加密。

　　虽然只加密并不足以保证网络的安全，但是，在联网设备和节点采用MACsec等强大的256位加密，能够提供以太网IIoT网络所需的认证、数据完整性和用户机密性。此外，具有内置安全能力的FPGA可用于在系统内提供信任根。通常，这些器件用于安全启动外部处理器，增加另一个安全层来防止黑客通过篡改网络元件来偷取密钥。

　　随着IIoT的广泛使用，各大公司将日益寻求在网络边缘获取数据，利用大型数据分析和云计算来扩展处理和实际利用所有这些数据。互联网连接是必不可少的。在互联网中，安全与集中式的管理与分布式联网硬件密切配合，提供有效的方法来确保IIoT网络安全。

　　最后，对于工业网络来说，多层安全方法必不可少，它确保网络可靠和正常运行，同时不限制操作。

　　2确定性

　　当考虑以太网的确定性和网络可靠性时，特定的业务功能要求在精确的时间内发生。当每个网元都是时间感知的，并能辨别其是否“准时”传输以太网数据包时，这是可能实现的。

　　但是，这只是解决方案的一部分。目前，存在一种利用IEEE 1588v2在以太网内同步和分发精确“时间”的机制;但是，最新的时间敏感网络(TSN)标准为系统开发人员带来了一种时间导向的流量调度方式。

　　由IEEE 802小组制定的TSN标准拓宽了以太网的能力，使其成为真正的工业级实时通信协议。其元件包括时钟同步、基于时间的信息处理、帧抢占和无缝冗余。

　　TSN(AVB Gen2)是具有下述特征的一组标准：

　　时间敏感应用的定时和同步(IEEE 802.1ASbt);

　　调度流量增强(IEEE 802.1Qbv);

　　帧抢占(IEEE 802.1Qbu);

　　冗余网络的路径控制和预留(IEEE 802.1Qca);

　　增强流预留协议(SRP)以支持Qbu/Qbv/Qca/CB (IEEE 802.1Qcc);

　　无缝冗余(IEEE 802.1CB)。

　　例如，除改善使用性和性能以外，IEEE 802.1ASbt还增加了一步时间戳支持，与前一代标准采用的两步法相比，减少了传输网络定时信息所需的数据包的数量。数据包流量的减少和计算能力，让广泛的时间感知菊花链网络受益。IEEE 802.1ASbt还通过提供多级同步，在单个网络节点获取准确的定时，增强了定时信息的获得性。

　　新的TSN特征将在以太网IIoT应用中赋予通信要求的实时确定性和低延迟性，应该可以消除以往以太网未能作主骨干的IIoT网络的最后障碍，推动关键和非关键控制和数据流量汇聚到单个网络上面。

　　虽然TSN以太网似乎最终将成为工业网络部署的确定性骨干，但是，专有接口将仍然存在，至少在可以预见的未来仍将存在。能够在以太网、IEEE 1588、TSN和专用工业协议之间转换，同时保持确定性行为的FPGAs/SoC将非常重要。

　　确定性是FPGA与MCU相比的重要优点之一。例如，采用EtherCAT的联网电机控制应用将从FPGA结构的确定性中受益。FPGA能够以最低延时来实施协议转换和电机控制算法。与MCU相比，FPGA能够以具有确定性的方式传输数据，与远程节点同步执行具有确定性的电机控制。

　　图中文字：PRODUCTION生产、FIRWALL防火墙、SCADA WEBSERVER网络服务器、FILE SERVER文件服务器、ENGINEERING WORKSTATION工程工作站、Historian、SCADA SERVER服务器、SWITCH交换机、SDN CONTROLLER控制器、SWITCH交换机、PUMP泵、Value阀、motor马达

　　3网络迁移

　　最终IIoT网络势必会迁移到IP/以太网，但是，这种转换具有非常独特的两个主要因素，辨别出它们是非常重要的：

　　设计用于局域网(LAN)的以太网标准、部件和系统并非本质上适合IIoT网络;

　　IIoT网络迁移需要平衡举措，以支持现有“非标准”协议和使网络为利用早期阶段创新而做好准备。

　　典型的工业网络包含了利用多种专用网络协议的旧式设备所组成的不同安装基础，因此，当面对这些工业网络时，为了简化将其网络迁移到以太网的工作，系统设计人员应寻找几种关键元件：

　　以太网的多协议支持和现场总线接口，确保大型异构网络的互操作性和扩展性;

　　易于部署和管理的以太网软件协议栈;

　　统一的硬件和软件，以可靠地实现工业通信要求的实时确定性和低延迟性;

　　支持灵活的端口配置与时间同步选型，同时满足IIoT的环境和操作要求;

　　高达95 W以太网供电(PoE)选择，以安全地为远程器件供电，简化部署。

　　采用综合以下项目的硬件和软件务实组合，便可能实现以上所有任务：

　　低功耗且安全的FPGA解决方案;

　　专为工业部署优化的以太网交换芯片;

　　不仅提供管理性和监测能力，而且还提供安全编排软件的生态系统的软件协议栈;

　　设计用于工业设置的坚固耐用PoE解决方案。

　　4小结

　　值得指出的是，对IIoT系统来说，并没有一种“通用” (one-size-fits-all) 的方法。支持PoE、同步要求和数据加密的方法有助于提供无缝升级到基线硬件和软件解决方案，但其它情况可能有计算需求，要在交换芯片内集成CPU或采用FPGA或独立CPU来满足。

　　设计用于IIoT应用要求一种可感知的迁移路径，利用确定性网络的新技术，同时应认识到，在工业网络系统环境中，最大网络正常运行时间优先于最新网络升级。在难以接受网络中断的世界中，工业必须摒弃旧技术、协议和第一代工业以太网，才能够迎来美好的未来。

关键词： 以太网 IIoT