作者/Uday Mudoi 美高森美公司&營銷副總裁

　　引言

　　預期到2020年將有340億個設備與物聯網(IoT)連接，其中商業和政府的連接占55%以上。由于IoT有望提高效率(例如，降低操作成本和提高生產力)，使得商業、工業和政府機構內“智能設備”之間的嵌入式機器對機器(M2M)通信越來越普遍。

　　與消費類IoT不同的是，工業IoT(IIoT)對數據完整性、可靠性和安全性的要求更苛刻。中斷威脅會對整個數字網絡造成巨大的安全風險，但是，由于IIoT具有空前的透明性和效率, 其前景令人期待。

　　要對連接IIoT的物體實現實時的監視和控制，需要高性能、低延時、具有遠程管理能力的網絡。以太網在標準化、多功能、高性能和低成本等方面具有優勢，因而成為了企業、數據中心和許多運營商網絡所選擇的技術。

　　但是，今天的IIoT和IIoT網絡大量使用與安裝舊式設備的專用網絡協議，使得以全面升級為IP以太網基礎設施變得更為復雜。這些異構網絡的升級策略必須平衡工業應用的特點，包括系統可靠性、確定性和安全性，才可遷移到以太網來實現標準化和低成本網絡解決方案。

　　IIoT系統設計人員面臨的三項最重要挑戰就是安全性、確定性和網絡遷移。應對這些挑戰需要結合以以太網交換芯片解決方案、可編程器件、高精度時鐘、以太網供電(PoE)和應用優化軟件等技術。

　　1工業網絡安全

　　目前，工業網絡保持安全的前提通常是通過防火墻與公司網絡及互聯網隔離。確保工業網絡安全的更廣泛嘗試通常要求停用網絡、進行昂貴的網絡拓撲更改，或同時采用這兩種方法，這些方法都會對裝置生產力、收入造成不良影響，有時也會對安全造成不良影響。但是，假設一個給定工業網絡只要與互聯網隔離就能夠受到保護，是一個錯誤的概念。

　　正如最新的網絡攻擊表明，現實情況是，將現代工業網絡與互聯網隔離，由于更難進行問題管理和診斷，實際上會讓工業網絡更不安全。當公司更新供應鏈、采用新的技術或響應新的競爭威脅和機會而改變時，很難對隔離網絡進行擴展和重新配置。

　　IIoT網絡安全舉措必須采用多層方法來保護數據平面、管理(網絡和網元)和控制(協議)平面。這三者都需要保護，對M2M通信來說尤其如此。典型的方法依靠數據加密，管理和控制流量，采用認證、授權和記帳(AAA)，及數據完整性來進行保護。

　　網絡加密是保證所有網絡流量安全的另一層。在以太網中，MACsec (IEEE 802.1AE)和Keysec (現在是IEEE 802.1X的一部分)是確保以太網物理端口和VLAN安全的L2加密和密鑰管理協議。為了進一步增強機密性，IEEE 802.1AEbn包括目前某些政府機構要求的強大的256位加密。

　　雖然只加密并不足以保證網絡的安全，但是，在聯網設備和節點采用MACsec等強大的256位加密，能夠提供以太網IIoT網絡所需的認證、數據完整性和用戶機密性。此外，具有內置安全能力的FPGA可用于在系統內提供信任根。通常，這些器件用于安全啟動外部處理器，增加另一個安全層來防止黑客通過篡改網絡元件來偷取密鑰。

　　隨著IIoT的廣泛使用，各大公司將日益尋求在網絡邊緣獲取數據，利用大型數據分析和云計算來擴展處理和實際利用所有這些數據。互聯網連接是必不可少的。在互聯網中，安全與集中式的管理與分布式聯網硬件密切配合，提供有效的方法來確保IIoT網絡安全。

　　最后，對于工業網絡來說，多層安全方法必不可少，它確保網絡可靠和正常運行，同時不限制操作。

　　2確定性

　　當考慮以太網的確定性和網絡可靠性時，特定的業務功能要求在精確的時間內發生。當每個網元都是時間感知的，并能辨別其是否“準時”傳輸以太網數據包時，這是可能實現的。

　　但是，這只是解決方案的一部分。目前，存在一種利用IEEE 1588v2在以太網內同步和分發精確“時間”的機制;但是，最新的時間敏感網絡(TSN)標準為系統開發人員帶來了一種時間導向的流量調度方式。

　　由IEEE 802小組制定的TSN標準拓寬了以太網的能力，使其成為真正的工業級實時通信協議。其元件包括時鐘同步、基于時間的信息處理、幀搶占和無縫冗余。

　　TSN(AVB Gen2)是具有下述特征的一組標準：

　　時間敏感應用的定時和同步(IEEE 802.1ASbt);

　　調度流量增強(IEEE 802.1Qbv);

　　幀搶占(IEEE 802.1Qbu);

　　冗余網絡的路徑控制和預留(IEEE 802.1Qca);

　　增強流預留協議(SRP)以支持Qbu/Qbv/Qca/CB (IEEE 802.1Qcc);

　　無縫冗余(IEEE 802.1CB)。

　　例如，除改善使用性和性能以外，IEEE 802.1ASbt還增加了一步時間戳支持，與前一代標準采用的兩步法相比，減少了傳輸網絡定時信息所需的數據包的數量。數據包流量的減少和計算能力，讓廣泛的時間感知菊花鏈網絡受益。IEEE 802.1ASbt還通過提供多級同步，在單個網絡節點獲取準確的定時，增強了定時信息的獲得性。

　　新的TSN特征將在以太網IIoT應用中賦予通信要求的實時確定性和低延遲性，應該可以消除以往以太網未能作主骨干的IIoT網絡的最后障礙，推動關鍵和非關鍵控制和數據流量匯聚到單個網絡上面。

　　雖然TSN以太網似乎最終將成為工業網絡部署的確定性骨干，但是，專有接口將仍然存在，至少在可以預見的未來仍將存在。能夠在以太網、IEEE 1588、TSN和專用工業協議之間轉換，同時保持確定性行為的FPGAs/SoC將非常重要。

　　確定性是FPGA與MCU相比的重要優點之一。例如，采用EtherCAT的聯網電機控制應用將從FPGA結構的確定性中受益。FPGA能夠以最低延時來實施協議轉換和電機控制算法。與MCU相比，FPGA能夠以具有確定性的方式傳輸數據，與遠程節點同步執行具有確定性的電機控制。

　　圖中文字：PRODUCTION生產、FIRWALL防火墻、SCADA WEBSERVER網絡服務器、FILE SERVER文件服務器、ENGINEERING WORKSTATION工程工作站、Historian、SCADA SERVER服務器、SWITCH交換機、SDN CONTROLLER控制器、SWITCH交換機、PUMP泵、Value閥、motor馬達

　　3網絡遷移

　　最終IIoT網絡勢必會遷移到IP/以太網，但是，這種轉換具有非常獨特的兩個主要因素，辨別出它們是非常重要的：

　　設計用于局域網(LAN)的以太網標準、部件和系統并非本質上適合IIoT網絡;

　　IIoT網絡遷移需要平衡舉措，以支持現有“非標準”協議和使網絡為利用早期階段創新而做好準備。

　　典型的工業網絡包含了利用多種專用網絡協議的舊式設備所組成的不同安裝基礎，因此，當面對這些工業網絡時，為了簡化將其網絡遷移到以太網的工作，系統設計人員應尋找幾種關鍵元件：

　　以太網的多協議支持和現場總線接口，確保大型異構網絡的互操作性和擴展性;

　　易于部署和管理的以太網軟件協議棧;

　　統一的硬件和軟件，以可靠地實現工業通信要求的實時確定性和低延遲性;

　　支持靈活的端口配置與時間同步選型，同時滿足IIoT的環境和操作要求;

　　高達95 W以太網供電(PoE)選擇，以安全地為遠程器件供電，簡化部署。

　　采用綜合以下項目的硬件和軟件務實組合，便可能實現以上所有任務：

　　低功耗且安全的FPGA解決方案;

　　專為工業部署優化的以太網交換芯片;

　　不僅提供管理性和監測能力，而且還提供安全編排軟件的生態系統的軟件協議棧;

　　設計用于工業設置的堅固耐用PoE解決方案。

　　4小結

　　值得指出的是，對IIoT系統來說，并沒有一種“通用” (one-size-fits-all) 的方法。支持PoE、同步要求和數據加密的方法有助于提供無縫升級到基線硬件和軟件解決方案，但其它情況可能有計算需求，要在交換芯片內集成CPU或采用FPGA或獨立CPU來滿足。

　　設計用于IIoT應用要求一種可感知的遷移路徑，利用確定性網絡的新技術，同時應認識到，在工業網絡系統環境中，最大網絡正常運行時間優先于最新網絡升級。在難以接受網絡中斷的世界中，工業必須摒棄舊技術、協議和第一代工業以太網，才能夠迎來美好的未來。