在工業(yè)4.0時(shí)代，隨著工業(yè)智能化的迭代速度加快，現(xiàn)如今，企業(yè)引入工業(yè)物聯(lián)網(wǎng)、邊緣計(jì)算等新興技術(shù)，已經(jīng)是一件稀松平常的事。

多年來(lái)，以太網(wǎng)技術(shù)的廣泛應(yīng)用，為企業(yè)在整個(gè)生產(chǎn)體系中夯實(shí)工業(yè)網(wǎng)絡(luò)基礎(chǔ)，創(chuàng)造了極佳的條件。

那么，企業(yè)如何搭建一個(gè)符合工業(yè)4.0標(biāo)準(zhǔn)的網(wǎng)絡(luò)架構(gòu)？在IT/OT深度融合的進(jìn)程中，在業(yè)界熱門的TSN（時(shí)間敏感網(wǎng)絡(luò)）技術(shù)扮演著什么角色？如何保障工廠各個(gè)層級(jí)網(wǎng)絡(luò)數(shù)據(jù)的安全呢？

請(qǐng)看百通赫思曼網(wǎng)絡(luò)系統(tǒng)國(guó)際貿(mào)易（上海）有限公司亞太區(qū)產(chǎn)品市場(chǎng)高級(jí)顧問(wèn)阮逸宸，在2022（第十一屆）全球自動(dòng)化和制造主題峰會(huì)上的演講。

01工業(yè)智能化的進(jìn)程

從18世紀(jì)起，工業(yè)智能化一直在源源不斷更迭。從60年代的蒸汽動(dòng)力、機(jī)械化，到19世紀(jì)末的電氣化和大規(guī)模生產(chǎn)，再到20世紀(jì)60年代起的工業(yè)3.0，以及我們正在經(jīng)歷的工業(yè)4.0，當(dāng)然，未來(lái)很有可能的工業(yè)5.0、人機(jī)協(xié)作。

說(shuō)起工業(yè)3.0到工業(yè)4.0的轉(zhuǎn)型，一定會(huì)提到物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)。物聯(lián)網(wǎng)在工業(yè)領(lǐng)域的應(yīng)用，使得工業(yè)物聯(lián)網(wǎng)浮出水面。不論是預(yù)測(cè)和預(yù)防性的傳感器，還是工業(yè)機(jī)器人，都可以通過(guò)聯(lián)網(wǎng)提升生產(chǎn)效率。通過(guò)運(yùn)用機(jī)器對(duì)機(jī)器的學(xué)習(xí)和通訊，和其他大數(shù)據(jù)技術(shù)，工業(yè)物聯(lián)網(wǎng)已經(jīng)讓企業(yè)的運(yùn)營(yíng)效率、可靠性得到了顯著提升。當(dāng)然，工業(yè)物聯(lián)網(wǎng)也讓數(shù)字化轉(zhuǎn)型成為可能，并在工業(yè)生態(tài)體系革命中發(fā)揮著關(guān)鍵作用。

我們可以將工業(yè)4.0，視為工業(yè)和計(jì)算互相融合的趨勢(shì)，這一概念的核心是利用網(wǎng)絡(luò)系統(tǒng)和工業(yè)物聯(lián)網(wǎng)、云計(jì)算、人工智能、大數(shù)據(jù)學(xué)習(xí)和其他相關(guān)技術(shù)，對(duì)硬件設(shè)備和智能化的過(guò)程，以進(jìn)行更好的控制，顯著提高生產(chǎn)效率。

02工業(yè)4.0的構(gòu)建模塊

現(xiàn)如今，數(shù)字化正在深入每一個(gè)行業(yè)，工業(yè)領(lǐng)域也順應(yīng)著這一技術(shù)升級(jí)的趨勢(shì)，加入了潮流當(dāng)中，逐步引入如工業(yè)物聯(lián)網(wǎng)、邊緣計(jì)算、智慧工廠、智能電網(wǎng)等新概念和新技術(shù)。正因如此，每一個(gè)層級(jí)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的通訊都必須無(wú)縫連接，關(guān)鍵則在于各設(shè)備間可以進(jìn)行可靠的通信和穩(wěn)定的信號(hào)傳輸。

如今，工業(yè)生態(tài)體系正從基于專有網(wǎng)絡(luò)通訊協(xié)議的現(xiàn)場(chǎng)總線技術(shù)，轉(zhuǎn)向標(biāo)準(zhǔn)網(wǎng)絡(luò)，如以太網(wǎng)和基于802.11的WiFi和IP協(xié)議，在工業(yè)生產(chǎn)體系中部署標(biāo)準(zhǔn)化、融合和安全的網(wǎng)絡(luò)，為使用工業(yè)物聯(lián)網(wǎng)奠定了堅(jiān)實(shí)基礎(chǔ)。

▲工業(yè)自動(dòng)化架構(gòu)

在制造業(yè)中，數(shù)字化轉(zhuǎn)型代表著從入庫(kù)到出庫(kù)供應(yīng)鏈的自動(dòng)化，對(duì)于像石油和天然氣這類行業(yè)，則可能要從開(kāi)采精煉到分銷，整條價(jià)值鏈上都需要實(shí)現(xiàn)自動(dòng)化。雖然供應(yīng)商的設(shè)備不同，應(yīng)用規(guī)格等都會(huì)因?yàn)樵O(shè)施而產(chǎn)生差異，但是大多數(shù)標(biāo)準(zhǔn)的布線連接核心網(wǎng)絡(luò)，還有安全標(biāo)準(zhǔn)，仍然可以參考這個(gè)架構(gòu)。

在這其中，數(shù)據(jù)是實(shí)現(xiàn)一切的基礎(chǔ)，而在今天的大多數(shù)工廠中，數(shù)據(jù)仍然處于孤立的不可訪問(wèn)的孤島中。為打破孤立，IT和OT融合的概念應(yīng)運(yùn)而生。而合理的IT/OT融合，也并非是創(chuàng)建一個(gè)大型的扁平網(wǎng)絡(luò)，而是一個(gè)受保護(hù)的、只允許適當(dāng)數(shù)據(jù)流的網(wǎng)絡(luò)，而選擇性的共享是有效和安全網(wǎng)絡(luò)的關(guān)鍵。

當(dāng)然，要打通信息孤島的基礎(chǔ)，并不是硬件和網(wǎng)絡(luò)的融合就可以解決。還有一個(gè)因素，那就是人。負(fù)責(zé)不同區(qū)域和網(wǎng)絡(luò)的團(tuán)隊(duì)，在接納對(duì)方的過(guò)程中，總會(huì)伴隨著適應(yīng)和調(diào)整。

▲IT/OT融合的基礎(chǔ)

盡管兩個(gè)群體之間存在著很多差異，但是他們也有可能是走向融合的，讓有效的問(wèn)題得到解答，明確的決策制定原因，以及正確理解縮略詞和術(shù)語(yǔ)的含義，誠(chéng)實(shí)和開(kāi)放，在其中發(fā)揮了重要的作用。

03?TSN使IT/OT融合成為可能

企業(yè)在滿足了不同團(tuán)隊(duì)充分磨合的基本條件后，第二個(gè)能使IT/OT融合的關(guān)鍵就是TSN（時(shí)間敏感網(wǎng)絡(luò)）。TSN是一套在實(shí)現(xiàn)網(wǎng)絡(luò)層面確定性數(shù)據(jù)傳輸?shù)膮f(xié)議標(biāo)準(zhǔn)，它能夠允許信息在公共基礎(chǔ)架構(gòu)上，跨IT和OT不同的網(wǎng)絡(luò)進(jìn)行傳輸，且不會(huì)影響性能或時(shí)效性。

▲TSN使IT/OT融合成為可能

通過(guò)基于時(shí)間定義隊(duì)列，TSN可確保通過(guò)交換網(wǎng)絡(luò)的流量具有有限的最大延遲。因此TSN是滿足工業(yè)4.0諸多需求的基礎(chǔ)。通過(guò)TSN從工廠車間到云端、前臺(tái)或是其中的任何地方，整個(gè)工廠的所有數(shù)據(jù)均可共存和通訊。TSN將基于以太網(wǎng)數(shù)據(jù)傳輸?shù)拇_定性，提升了一個(gè)級(jí)別，這也是傳統(tǒng)以太網(wǎng)技術(shù)所無(wú)法達(dá)到的。

TSN是IEEE802.1 TSN工作組開(kāi)發(fā)的一系列數(shù)據(jù)鏈路層協(xié)議規(guī)范的統(tǒng)稱，用于指導(dǎo)和開(kāi)發(fā)低延時(shí)、低抖動(dòng)并具有傳輸時(shí)間確定性的以太網(wǎng)局域網(wǎng)，是傳統(tǒng)以太網(wǎng)在一些特定應(yīng)用環(huán)境下的增強(qiáng)功能的實(shí)現(xiàn)。

當(dāng)前已經(jīng)發(fā)布的TSN系列規(guī)范，可大概分為4個(gè)部分：時(shí)間同步、調(diào)度延時(shí)、可靠性和資源管理：

時(shí)間同步

規(guī)范基于數(shù)據(jù)鏈路層，進(jìn)行以交換機(jī)為關(guān)鍵節(jié)點(diǎn)的時(shí)鐘同步機(jī)制的實(shí)現(xiàn)，主要來(lái)自于IEEE1588時(shí)間同步協(xié)議的簡(jiǎn)化版本，更適用于實(shí)時(shí)性精度要求較高的通信傳輸場(chǎng)景。

調(diào)度延時(shí)

在交換機(jī)多個(gè)輸出隊(duì)列的嚴(yán)格優(yōu)先級(jí)模式下，利用門循環(huán)列表GCL（Gate Control List）來(lái)控制每個(gè)隊(duì)列的開(kāi)關(guān)時(shí)間窗口，來(lái)實(shí)現(xiàn)時(shí)間感知整形器TAS的功能；GCL通常有8~16組，可通過(guò)靈活配置，來(lái)實(shí)現(xiàn)不同延時(shí)需求的調(diào)度規(guī)則集合，進(jìn)而對(duì)應(yīng)不同優(yōu)先級(jí)幀的最大傳輸延時(shí)保證，來(lái)實(shí)現(xiàn)傳輸延時(shí)確定性和帶寬的穩(wěn)定性。

可靠性

相比傳統(tǒng)的通信錯(cuò)誤恢復(fù)機(jī)制，能夠在正常通信鏈路發(fā)生錯(cuò)誤時(shí)，利用在冗余路徑中的實(shí)時(shí)數(shù)據(jù)保證通信不間斷，可以非常好地滿足高實(shí)時(shí)高可靠性的應(yīng)用場(chǎng)景。

資源管理

規(guī)范類似于網(wǎng)絡(luò)管理之類的協(xié)議和配置格式的一些規(guī)定，適合于靈活組網(wǎng)、易于維護(hù)的一些應(yīng)用環(huán)境。

04?工業(yè)4.0的網(wǎng)絡(luò)構(gòu)架

不同層級(jí)中時(shí)間敏感網(wǎng)絡(luò)的重要性，在工業(yè)4.0中起著不可忽視的作用：

0，1的現(xiàn)場(chǎng)層，常用的設(shè)備有生產(chǎn)機(jī)器、IO模塊、網(wǎng)關(guān)、工業(yè)AP、工業(yè)接入級(jí)交換機(jī)；

第二層控制層級(jí)，常見(jiàn)有PLC、工業(yè)級(jí)匯聚交換機(jī)；

第三層監(jiān)控層級(jí)也被稱為SCADA級(jí)別，一般會(huì)在這個(gè)層面使用核心骨干交換機(jī)，部署SCADA系統(tǒng)以及人機(jī)界面；

3.5層生產(chǎn)網(wǎng)絡(luò)隔離層，主要作用是將對(duì)網(wǎng)絡(luò)的需求是低延時(shí)性和高可靠性的工業(yè)網(wǎng)絡(luò)，和主要的需求在于網(wǎng)絡(luò)高速率，可拓展性的IT網(wǎng)絡(luò)相融合，且既要保證特定的信息能夠再兩個(gè)網(wǎng)絡(luò)之間流通，也要保證工業(yè)網(wǎng)絡(luò)不會(huì)受到來(lái)自IT網(wǎng)絡(luò)的外界入侵，同時(shí)還要滿足管理人員對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。

第四層是IT辦公室網(wǎng)絡(luò)，包括無(wú)線AP，筆記本電腦，攝像頭等。最后的第五層就來(lái)到了互聯(lián)網(wǎng)和云。

其中，工業(yè)OT網(wǎng)絡(luò)的基礎(chǔ)設(shè)施和應(yīng)用都在控制層級(jí)?？刂茖蛹?jí)負(fù)責(zé)對(duì)設(shè)備的基本控制，由控制器組成、指揮和操縱自動(dòng)化過(guò)程，主要與現(xiàn)場(chǎng)層級(jí)接口。在離散環(huán)境中，通常采用PLC，而在過(guò)程自動(dòng)化環(huán)境中會(huì)采用DCS。

PLC、DCS與現(xiàn)場(chǎng)和監(jiān)控級(jí)設(shè)備之間的通信，通?；谝蕴W(wǎng)技術(shù)。在這個(gè)層級(jí)所用到的以太網(wǎng)通信設(shè)備，所處的環(huán)境可能存在的極端溫差、頻繁的震動(dòng)/沖擊以及高濕度的情況，所以設(shè)備需符合工業(yè)安全標(biāo)準(zhǔn)，支持相應(yīng)的工業(yè)協(xié)議，不僅堅(jiān)固可靠，還需易于使用、易于安裝。

在監(jiān)控層級(jí)，也就是SCADA系統(tǒng)所在的層級(jí)，是任務(wù)關(guān)鍵型OT網(wǎng)絡(luò)的一部分。在該網(wǎng)絡(luò)中，實(shí)時(shí)性和高可用性是必要條件。該級(jí)別需要設(shè)備能夠抵御惡劣的環(huán)境條件，高容錯(cuò)性以及網(wǎng)絡(luò)安全。

關(guān)于高容錯(cuò)性，就不得不提到工業(yè)標(biāo)準(zhǔn)IEC62439，在這套標(biāo)準(zhǔn)所提供的的冗余協(xié)議有RSTP快速生成樹(shù)協(xié)議、MRP介質(zhì)冗余協(xié)議、PRP并行冗余協(xié)議，還有HSR高可用性無(wú)縫環(huán)網(wǎng)。

這些冗余協(xié)議，也是為何在這個(gè)層級(jí)必須使用工業(yè)通信設(shè)備的主要原因之一。它們能夠保證OT網(wǎng)絡(luò)的低延時(shí)，高穩(wěn)定性，保證生產(chǎn)設(shè)備不會(huì)因?yàn)榫W(wǎng)絡(luò)故障而停機(jī)，從而避免動(dòng)輒千萬(wàn)的經(jīng)濟(jì)損失，這是一般商業(yè)設(shè)備所無(wú)法企及的。

此外，在IT/OT融合基礎(chǔ)之上還需要保證不同網(wǎng)絡(luò)融合的安全性。生產(chǎn)網(wǎng)絡(luò)隔離層，也叫緩沖區(qū)，這一層的功能是保證可信網(wǎng)絡(luò)（工業(yè)網(wǎng)絡(luò)）和不可行網(wǎng)絡(luò)（企業(yè)網(wǎng)絡(luò)）數(shù)據(jù)的安全。

近年來(lái)，工業(yè)自動(dòng)化與控制系統(tǒng)（IACS）所遭受的網(wǎng)絡(luò)攻擊日益增多。例如在2010年，Stuxnet蠕蟲(chóng)攻擊了伊朗的鈾濃縮設(shè)施，2015年Black Energy 惡意軟件攻擊了烏克蘭電網(wǎng)。這一連串的網(wǎng)絡(luò)攻擊表明，IACS本身的基本安全保障是非常缺乏的，一旦鏈接了IT網(wǎng)絡(luò)，等于是將工業(yè)區(qū)完全暴露在危險(xiǎn)之中。

所以在這一層，需要使用商業(yè)級(jí)和工業(yè)級(jí)兩種防火墻，在入口和出口同時(shí)提供網(wǎng)絡(luò)安全保障。由于兩種防火墻的職責(zé)和訪問(wèn)權(quán)限不同，一個(gè)防火墻中配置的錯(cuò)誤規(guī)則不會(huì)傳播到另一個(gè)防火墻，從而能夠降低風(fēng)險(xiǎn)并提高恢復(fù)能力。

另外，3.5層的出現(xiàn)，能夠幫助網(wǎng)絡(luò)管理員，更全面地監(jiān)控整個(gè)OT網(wǎng)絡(luò)，即使是多供應(yīng)商環(huán)境中的網(wǎng)絡(luò)和服務(wù)器組件，也可通過(guò)使用網(wǎng)絡(luò)管理軟件管理并監(jiān)視。為網(wǎng)絡(luò)提供實(shí)時(shí)保護(hù)和快速故障響應(yīng)，實(shí)現(xiàn)及時(shí)修復(fù)、優(yōu)化設(shè)備正常運(yùn)行時(shí)間和安全性外，這層還肩負(fù)了無(wú)線終端和移動(dòng)終端的接入，以及安全遠(yuǎn)程訪問(wèn)的功能，拓展了OT網(wǎng)絡(luò)的區(qū)域的限制。

IT/OT融合是工業(yè)自動(dòng)化的新趨勢(shì)，在現(xiàn)代數(shù)字化工業(yè)自動(dòng)化網(wǎng)絡(luò)中，發(fā)揮著至關(guān)重要的作用。在不斷發(fā)展自動(dòng)化領(lǐng)域，數(shù)字化正進(jìn)入工廠車間，使更多的設(shè)備相互通訊，企業(yè)網(wǎng)層級(jí)以更加先進(jìn)和透明的方式，連接MES和SCADA系統(tǒng)，為OT網(wǎng)絡(luò)提供更多的數(shù)據(jù)采集、分析和監(jiān)控機(jī)會(huì)。

企業(yè)網(wǎng)層級(jí)的網(wǎng)絡(luò)中，包含工業(yè)自動(dòng)化從工業(yè)3.0向工業(yè)4.0數(shù)字化轉(zhuǎn)型所需的關(guān)鍵資產(chǎn)。關(guān)鍵的通信組件包括服務(wù)器農(nóng)場(chǎng)，虛擬或者本地云、服務(wù)器、分布式存儲(chǔ)和操作服務(wù)器。當(dāng)然除了儲(chǔ)存者外，該層級(jí)還具有網(wǎng)絡(luò)安全和網(wǎng)絡(luò)訪問(wèn)控制的能力。

在這一層級(jí)，所接入的交換機(jī)和網(wǎng)絡(luò)設(shè)備數(shù)量劇增，相應(yīng)的需要使用到商業(yè)級(jí)核心交換機(jī)，和商業(yè)級(jí)新一代防火墻作為網(wǎng)絡(luò)硬件，搭配相應(yīng)登錄管理安全軟件提供了全方位的性能和安全保障。

IT/OT的融合看似非常復(fù)雜，但并非想象中的不可完成。百通赫思曼作為一個(gè)熟知IT和OT雙重領(lǐng)域的專家，我們可以幫助您客服IT/OT融合中所遇到的專業(yè)問(wèn)題，讓您的企業(yè)在現(xiàn)在以及未來(lái)的智能化革新中緊跟潮流。

編輯：黃飛

?