智能網(wǎng)關(guān)讓工廠(chǎng)更智能

作者/Armando Astarloa System-on-Chip engineering S.L.公司聯(lián)合創(chuàng )始人兼首席執行官

　　引言

　　工業(yè)物聯(lián)網(wǎng)是指所有系統應該在全球范圍內互聯(lián)，以便共享信息，這一理念正在快速成為現實(shí)。當今，越來(lái)越多的公司，尤其是工業(yè)設備領(lǐng)域的公司，正在構建將傳感器、處理和通信集成在一起的復雜系統，打造出智能工廠(chǎng)、智能電網(wǎng)和智能城市，從而進(jìn)一步推動(dòng)工業(yè)物聯(lián)網(wǎng)(IIoT)發(fā)展。這些技術(shù)發(fā)展不僅提高生產(chǎn)力和盈利能力，而且豐富了人們生活。

　　利用賽靈思 Zynq?-7000 All Programmable SoC 實(shí)現的新技術(shù)正在將智能系統帶到 IIoT 制造業(yè)。由 System-on-Chip engineering S.L.(SoC-e) 設計的智能網(wǎng)關(guān)不僅可提高生產(chǎn)力，而且還可幫助 Microdeco 等公司實(shí)現更可靠的互聯(lián)并確保安全性。為了最大限度地提高盈利能力，工廠(chǎng)希望使布局更具靈活性，獲得有關(guān)工藝及制造產(chǎn)品的更多信息，實(shí)現更智能的數據處理，并高效整合人的經(jīng)驗/交互。不過(guò)，在將新技術(shù)引入工廠(chǎng)時(shí)，開(kāi)發(fā)該技術(shù)的人需要遵守一些規則。第一條也是最重要的規則就是生產(chǎn)不能停止。新技術(shù)必須與老系統兼容，并且便于不同廠(chǎng)商產(chǎn)品之間的互操作性。此外，解決方案應該能夠讓自動(dòng)化更進(jìn)一步，實(shí)現更加自主或去中心化分析。

　　1工廠(chǎng)設備公司的 IT 網(wǎng)絡(luò )進(jìn)行通信

　　為了實(shí)現很多人所說(shuō)的“第四次工業(yè)革命”，工廠(chǎng)需要相應的基礎設施和系統，才能利用 IT及電子設備實(shí)現自動(dòng)化生產(chǎn)。盡管很多工廠(chǎng)在第三次工業(yè)化浪潮中實(shí)現了自動(dòng)化，但在很多情況下，有必要同時(shí)實(shí)施兩個(gè)步驟：第三次及第四次自動(dòng)化演進(jìn)。這是一個(gè)集成IT基礎設施的大好時(shí)機，以使IT既滿(mǎn)足智能工廠(chǎng)的新要求，又兼容于第三代生產(chǎn)調度及自動(dòng)化系統。圖1是業(yè)界廣泛使用的典型生產(chǎn)系統，該系統有助于根據要求調整和優(yōu)化生產(chǎn)。企業(yè)資源計劃 (ERP) 軟件包含各種支持商業(yè)數據庫的工具，它可定義要制造的內容。而制造企業(yè)系統 (MES) 則側重于生產(chǎn)調度。MES使用ERP輸出與生產(chǎn)工廠(chǎng)設備通信，并告訴設備應該做什么。

　　圖1 通過(guò)ERP/MES安排生產(chǎn)調度

　　2智能工廠(chǎng)中的網(wǎng)絡(luò )、處理與感測

　　由于很多公司提供不同類(lèi)型的工廠(chǎng)設備，而且往往有好幾代設備都在同時(shí)使用，因此將不同廠(chǎng)商和不同時(shí)期的、符合不同標準的設備連接起來(lái)，可能非常困難。還有一個(gè)因素讓事情變得更為復雜，那就是工廠(chǎng)設備必須與公司的 IT 網(wǎng)絡(luò )(企業(yè)網(wǎng)絡(luò )和/或互聯(lián)網(wǎng))、各種 PC 系統組合，以及基于多種協(xié)議的網(wǎng)關(guān)、黑盒及工業(yè)交換機進(jìn)行通信。

　　這樣，工廠(chǎng)可能很快就會(huì )陷入異構化噩夢(mèng)，缺乏“即插即用”操作模式所要求的簡(jiǎn)便性和靈活性。諸如 SoC-e 的 CPPS-Gate40 這樣的智能網(wǎng)關(guān) (圖 2)將在在機器與 IT 之間實(shí)現安全透明操作的過(guò)程中起到關(guān)鍵作用。

　　Microdeco 是一家為汽車(chē)行業(yè)制造小金屬零件的公司。該公司一直在尋找能夠提高生產(chǎn)力的方法，并且在智能系統使用方面走在前沿。在 Microdeco 位于西班牙 Ermua 的試驗工廠(chǎng)中，Microdeco 圍繞整合相同系統網(wǎng)絡(luò )、處理與傳感技術(shù)的智能網(wǎng)關(guān)概念，為工廠(chǎng)構建了一套網(wǎng)絡(luò )基礎架構。

　　創(chuàng )建智能工廠(chǎng)的最大挑戰之一在于連接不同系統。工廠(chǎng)包含高速光學(xué)鏈路，可用來(lái)將不同信息物理生產(chǎn)系統 (CPPS) 區域——即每個(gè)機器、傳感器和致動(dòng)器生產(chǎn)組——互連起來(lái)。智能網(wǎng)關(guān)掌管所有通信基礎架構。這包括：高速切換光纖鏈路和靈活的三速以太網(wǎng)端口(可在每個(gè)單元中實(shí)現常規以太網(wǎng)或工業(yè)以太網(wǎng)協(xié)議)，以及各種串行端口(可實(shí)現廣泛使用的工業(yè)協(xié)議，例如 Modbus 和 Profibus)。

　　圖2 SoC-e的CPPS-Gate40智能網(wǎng)關(guān)

　　圖3是每臺機器(CPPS區域)中安裝的每個(gè)智能網(wǎng)關(guān)如何通過(guò)單條光纖鏈路連接到下一個(gè)網(wǎng)關(guān)。在該通信基礎架構中，還將所有設備連接成單個(gè)環(huán)路，實(shí)現高可用性無(wú)縫冗余(HSR)協(xié)議。這種非專(zhuān)有的(IEC 62439-3 Clause 5)以太網(wǎng)“零延遲恢復時(shí)間”解決方案允許操作人員將任意設備從環(huán)路中斷開(kāi)，而且不會(huì )對工廠(chǎng)中其他節點(diǎn)或設備造成不利影響。這種真正的即插即用式操作便于進(jìn)行工廠(chǎng)布局修改。此外，HSR還支持冗余IEEE 1588v2亞微秒同步協(xié)議，該協(xié)議可簡(jiǎn)化系統的同步化，從而可執行采樣傳感器數據的準確重建或者控制任務(wù)的實(shí)現。

　　圖3 Microdeco工廠(chǎng)車(chē)床部分

　　為了實(shí)現無(wú)縫冗余，每個(gè) HSR 節點(diǎn)都以環(huán)路的兩個(gè)方向發(fā)送以太網(wǎng)信號幀。這種方法可實(shí)現對電纜或設備的“熱”插拔。每個(gè)節點(diǎn)都負責轉發(fā)兩個(gè)方向的信號幀，同時(shí)，IEEE 1588v2 負責校正停留時(shí)間和鏈路延遲時(shí)間以確保整個(gè)網(wǎng)絡(luò )的時(shí)序精度。因此，必須實(shí)現幀的硬件處理，以確保每個(gè)節點(diǎn)中延遲時(shí)間短且恒定。確切地說(shuō)，IEC 標準建議采用“直通轉發(fā)”方案轉發(fā)環(huán)路中的信號幀。

　　為了避免出現循環(huán)幀，在單播通信中，接收幀的節點(diǎn)負責從環(huán)路中將幀刪除。對于多播及廣播流量，當發(fā)送端在冗余端口中再次看到發(fā)出的幀時(shí)會(huì )將幀刪除。還應用了有關(guān)循環(huán)幀(例如損壞的幀)的更多規則以確保網(wǎng)絡(luò )穩定性。HSR 很多情況下與并行冗余協(xié)議 (PRP) 結合，是變電站(即全球最重要的領(lǐng)域之一)的自動(dòng)化標準所建議的高可用性以太網(wǎng)協(xié)議。此外，軍事和航天等其它領(lǐng)域也采用這些 L2 解決方案。

　　智能網(wǎng)關(guān)提供從以太網(wǎng)和串行端口到 HSR 基礎架構環(huán)路的硬件交換功能。有兩個(gè)智能網(wǎng)關(guān)(分別位于圖 3 的左側和右側)，它們作為冗余盒 (RedBox) 負責連接 HSR 環(huán)路與基于以太網(wǎng)的企業(yè)網(wǎng)絡(luò )。從功能上講，右側的接入點(diǎn)是可選的，因為它可用來(lái)避免在網(wǎng)絡(luò )只使用一個(gè) RedBox 的情況下會(huì )出現的單點(diǎn)故障。我們建議：在需要高可用性，或者有必要在企業(yè)網(wǎng)絡(luò )的關(guān)鍵節點(diǎn)中管理 PRP 幀(IEC 62439-3 Clause 5)的情況下，實(shí)施雙盒設置。

　　圖4 Zynq SoC實(shí)現方案的方框圖

　　此外，網(wǎng)關(guān)中還有通向 SoC 器件處理單元的內部網(wǎng)絡(luò )端口。在大多數情況下，“無(wú)聲”交換方案在連接工廠(chǎng)與 IT 設備時(shí)沒(méi)有用。數據和網(wǎng)絡(luò )格式的異構特點(diǎn)使得很難實(shí)現簡(jiǎn)單直接的連接。這里需要的是能夠與本地、企業(yè)或云數據庫對話(huà)的強大集成處理系統。此外，該系統還將負責翻譯協(xié)議，管理 HMI 系統，支持 MES 系統，甚至運行軟 PLC 實(shí)現實(shí)時(shí)控制。但是，這還不夠?？蛻?hù)還希望這樣的系統能夠在設備中執行復雜傳感器數據的預處理和濾波，當然還有高級網(wǎng)絡(luò )安全工作。

　　這類(lèi)先進(jìn)制造設施中的網(wǎng)絡(luò )安全要求變化很大。必須提供高級安全，才能保護生產(chǎn)本身的狀態(tài)，才能避免惡意中斷或網(wǎng)絡(luò )基礎架構(設備、網(wǎng)絡(luò )、軟件或硬件)引起的意外中斷。另外，還必須對正在訪(fǎng)問(wèn)信息或重要操作的用戶(hù)和設備進(jìn)行身份驗證。此外，還需要在身份驗證和隱私方面保護信息和控制協(xié)議，因為工廠(chǎng)網(wǎng)絡(luò )連接到企業(yè)內和企業(yè)外的更大的 IT 網(wǎng)絡(luò )。

　　只有采用顧及到每個(gè)工廠(chǎng)實(shí)施內容的分層網(wǎng)絡(luò )安全方案才能應對這些挑戰。所有項目中的共有元素是需要支持采用加密和身份驗證措施的安全引導及存儲功能。該特性可使安全軟件及安全網(wǎng)絡(luò )的實(shí)現方案更可信。

　　可信嵌入式系統的保護工作變得越來(lái)越難，原因在于設備的異構性以及設備數量越來(lái)越多。

　　為了進(jìn)行身份驗證和實(shí)現網(wǎng)絡(luò )安全，這些系統可以直接使用當今 IT 領(lǐng)域的很多解決方案。將著(zhù)名身份驗證機制 IEEE 802.1X 與 RADIUS 相結合就是一個(gè)很好的實(shí)例。很多具有高級操作系統的嵌入式系統都可通過(guò)運行密碼庫(例如 OpenSSL)來(lái)支持所有 L3 安全協(xié)議以及有助于保護數據交換的應用。然而，在需要保護具有嚴格實(shí)時(shí)要求的 L2 工業(yè)協(xié)議時(shí)，會(huì )出現一個(gè)很大的挑戰。對這些情景的分析表明：采用軟件方案保護這些幀，也就是應用密碼算法，即使采用密碼加速器，也不夠簡(jiǎn)單直觀(guān)，在很多情況下，還需要進(jìn)行自定義硬件處理。

　　在所給的拓撲結構中，從網(wǎng)絡(luò )及用戶(hù)角度來(lái)看，必須利用身份驗證機制來(lái)保護三個(gè)網(wǎng)絡(luò )鏈路：冗余 HSR/PRP、10/100/1G 交換端口和服務(wù)端口。此外，所有工廠(chǎng)流量都通過(guò)智能網(wǎng)關(guān)，因此這三個(gè)鏈路將在監控流量、防止潛在威脅的過(guò)程中起到非常重要的作用。

　　最后一個(gè)概念是傳感器接口套件的集成。如前文所述，技術(shù)進(jìn)步應該幫我們簡(jiǎn)化設備，而不是使它們變得更復雜。為滿(mǎn)足這一要求，我們將所有標準數字及模擬接口都集成在網(wǎng)關(guān)中。此外，我們還包含了用于高級振動(dòng)傳感器的高端接口，以及能直接訪(fǎng)問(wèn) Zynq SoC 器件的高速數據采集接口。

　　3 SOC 可編程平臺如何創(chuàng )造機會(huì )

　　高端網(wǎng)絡(luò )、強大處理和傳感功能相結合的這種“魔力”已經(jīng)得以實(shí)現，這要得益于 SoC 可編程平臺。我們名為 CPPSGate40 的產(chǎn)品內嵌一款在 SoC-e SMARTzynq OEM 模塊上實(shí)現的賽靈思 Zynq-7000 All Programmable SoC 器件。器件上的雙核 ARM? Cortex?-A9 MPCore? 搭配有不同的存儲器資源(DDR3、閃存和大型存儲單元等)和硬件，支持多個(gè)高速網(wǎng)絡(luò )鏈路。該基礎架構可在對軟硬件處理進(jìn)行分區時(shí)提供極大的自由度，以面對這些應用提出的挑戰。

　　從硬件角度看，Zynq SoC 的可編程邏輯與 IEEE 1588v2 硬件支持單元相結合，是實(shí)現低時(shí)延網(wǎng)絡(luò )任務(wù)的最佳選擇。圖 4 是 Microdeco 實(shí)施方案中 CPPS-Gate40 的 SoC 實(shí)現方案方框圖。網(wǎng)絡(luò )的交換基礎架構通過(guò) SoC-e HSR/ PRP/以太網(wǎng)交換機 (HPS) IP 核進(jìn)行協(xié)調，其不僅可確保環(huán)路每個(gè)節點(diǎn)的轉發(fā)時(shí)間都是恒定 550ns，而且還集成內外部三速以太網(wǎng)端口。

　　內部端口由精確時(shí)間基本 (PTB) IP 核進(jìn)行嗅探并提供時(shí)間戳，從而可為 PTP 協(xié)議棧提供支持。該 IEEE 1588v2 基礎架構允許智能網(wǎng)關(guān)作為主機、從機、透明時(shí)鐘和冗余時(shí)鐘工作。因而，最后在每個(gè)設備中，都可將同步 64 位定時(shí)器用于提供時(shí)間戳，實(shí)現同步和控制并可用作通用時(shí)間參考，實(shí)現時(shí)間敏感型網(wǎng)絡(luò )技術(shù) (TSN) 網(wǎng)絡(luò )。

　　此外，這些在 Zynq SoC 的 FPGA 上實(shí)現的網(wǎng)絡(luò )內核還可隨時(shí)支持 IEEE 802.1X 身份驗證等網(wǎng)絡(luò )安全特性。該機制與外部身份驗證服務(wù)器相結合，可保護對網(wǎng)絡(luò )端口的非授權連接。在實(shí)時(shí)時(shí)確保 L2 控制幀安全過(guò)程中，Zynq SoC 的可編程邏輯也可發(fā)揮至關(guān)重要的作用，這就類(lèi)似于IEEE 1588v2 透明時(shí)鐘操作需要身份驗證那樣。

　　網(wǎng)絡(luò )安全可通過(guò) Zynq SoC 的安全引導功能進(jìn)一步加強。所有外部軟件和器件外比特流，甚至引導加載程序和操作系統，都進(jìn)行了存儲、AES-256 加密和 HMAC 身份驗證。該特性加上器件中包含的其它硬件安全保護功能，可確保整個(gè)網(wǎng)絡(luò )基礎架構中的數據都來(lái)自可信源。

　　此外，安裝在每個(gè) CPPS-Gate40 中的 SIEM 代理還運行(在其它設備中)下列與安全有關(guān)的任務(wù)：監控新連接、身份驗證嘗試、SSH 連接以及對分析工具的訪(fǎng)問(wèn);病毒/惡意軟件檢測;網(wǎng)絡(luò )攻擊識別;以及 ARP 流量分析。

　　傳感器接口也在可編程邏輯部分(高速數據采集、數字濾波和 FFT)通過(guò) Zynq SoC 處理系統上提供的部分標準通信通道實(shí)現(UART、I2C、SPI)。

　　該設備上實(shí)現的軟件基礎架構受益于 Linux OS Ubuntu 在器件上的無(wú)縫集成。Linux 支持的功能非常廣泛。圖 5 針對 Microdeco 的特定實(shí)現方案，總結了基于 Linux OS 實(shí)現的最具相關(guān)性的軟件服務(wù)。

　　已開(kāi)發(fā)出的基于 Python 的 PLC 仿真器，可作為關(guān)鍵組件用來(lái)映射著(zhù)名 Modbus TCP 方案中的傳感器接口。該方法可簡(jiǎn)化與第三方 MES，同時(shí)，SQL 客戶(hù)端可將原始傳感器數據包及預處理傳感器數據包發(fā)送至遠程 SQL 服務(wù)器。具體告警及所選數據可在基于云的 couchDB 數據庫中直接發(fā)布。數據分析可在企業(yè)或云服務(wù)器中遠程執行，甚至可通過(guò)智能網(wǎng)關(guān)本地執行。對于最后這個(gè)目標，該產(chǎn)品包含一個(gè)時(shí)間數據庫，其不僅可預測生產(chǎn)中的故障或其它已定義的行為，而且還可就地采取行動(dòng)。Juxt.io 提供的大數據分析軟件負責執行與機器行為有關(guān)的預測分析任務(wù)。

　　有了 SoC-e 的便攜式工具 API，我們可以通過(guò) SNMP 來(lái)提供網(wǎng)絡(luò )管理支持。網(wǎng)絡(luò )安全基礎架構的構建基礎是 SoC-e IP 的硬件支持以及用于網(wǎng)絡(luò )及用戶(hù)活動(dòng)監控的集成型 SIEM 代理。

4通過(guò)技術(shù)增加利潤

　　德國的 Fraunhofer 工業(yè)工程與自動(dòng)化研究所預測：到 2025 年，工業(yè) 4.0 可能會(huì )促進(jìn)生產(chǎn)力實(shí)現 20%-30% 的飛躍式增長(cháng)。然而，工業(yè)市場(chǎng)需要循序漸進(jìn)的變革以及友好的技術(shù)和解決方案。例如，Microdeco 工廠(chǎng)就受益于高級技術(shù)，以在其生產(chǎn)線(xiàn)中集成靈活且計算能力強大的網(wǎng)絡(luò )和處理基礎架構。

　　該方案背后的推動(dòng)力包括：采用針對網(wǎng)絡(luò )和數據格式的開(kāi)放標準;使用可擴展、可重新分區的 SoC 可重配置器件;以及選擇可提供高生產(chǎn)力的軟件框架(例如嵌入式 Linux 上的 Python)。此外，通過(guò)使用現成的增值硬件 IP，制造商可顯著(zhù)縮短上市時(shí)間，滿(mǎn)足新市場(chǎng)的需求。當然，系統還必須在器件、軟件和網(wǎng)絡(luò )層面上實(shí)現最高級別的網(wǎng)絡(luò )安全性。

　　圖5 智能工廠(chǎng)網(wǎng)絡(luò )的軟件基礎架