關鍵基礎設施安全應急響應中心
以下文章來源于控制工程中文版 ,作者Josh Eastburn
控制工程中文版
本訂閱號是CONGTROL ENGINEERING China雜志的官微,每日發布國內外工業控制、自動化和儀器儀表領域的技術趨勢,注重原創,多數翻譯自美國CE雜志,以全球視野來報道工業4.0、工業互聯網和智能制造。
功能強大的邊緣控制器正在取代工廠車間的傳統IPC,實現以往IPC無法實現的功能,并為每項任務提供運行多個“應用程序”的能力。
在很多日常活動中,智能手機已取代了上一代消費類設備,而在工廠環境中,邊緣可編程工業控制器(EPIC)正在取代傳統IPC、服務器和舊式硬件。邊緣控制器旨在提高現有自動化系統的效率,同時降低復雜性和擁有成本。
邊緣控制是大勢所趨
邊緣計算是一種趨勢,即在靠近傳感器、設備和用戶生成實時數據的設備中增加處理和存儲能力。對于控制系統而言,邊緣控制器以緊湊的工業尺寸將通用計算能力、連接性、數據處理和存儲帶到了流程層面,并具有輸入/輸出(I/O)、實時控制和可視化選項。
像智能手機一樣,在配置于邊緣(數據生成的位置)的創新軟件平臺上,現代控制器正在改變傳統架構。通過集成用戶管理、網絡、安全性和硬件接口,創建一個應用程序和工具的生態系統,用戶可以用其向流程提供比以前更豐富的功能。邊緣控制器可以處理更多的自動化功能,包括傳統上需要PC 或其它專用設備實現的功能。
▎像Opto 22 的groov EPIC 這樣的邊緣可編程工業控制器,提供了運行多種工業應用程序的安全平臺。使用安全外殼訪問,用戶可以在工廠控制器上安裝企業級數據庫系統,以及各種其它應用程序。圖片來源:Opto 22
開箱即用
集成多個廠商的PLC 或聚合來自異構設備的數據,可以使用專用的OPC 服務器來處理。它可以托管在從消費級筆記本電腦、機架式服務器、到IT 管理的基礎架構中的虛擬機上的任何內容。無論如何,這種對PC的依賴,都需要額外的許可成本和管理開銷。
尤其是IT 管理的復雜性,是工廠自動化的一大難點。每臺新PC 都需要配置管理、用戶訪問控制、防病毒、驅動程序和操作系統更新等,這會由于維護或意外停機而導致生產中斷。在這些元素中,每一個都可能會由于許可和長期支持協議,導致更多的成本。如果維護程序無法與任何特定團隊的運營很好地集成,則系統所有權也會引起爭議。
與傳統的PLC 不同,邊緣控制器可以提供完整的連接解決方案,包括充當OPC 或消息隊列遙測傳輸(MQTT) 服務器。與基于PC 的解決方案不同,邊緣控制器幾乎不需要IT 介入,因為它們是為工業環境而設計的,并且開箱即用。它將負擔從IT 轉移到其它方面,并允許運營和工程部門完全控制自動化。成本因特定的應用而異,但由于減少了硬件和軟件許可,成本通常會較低。
從通信基礎架構中移除PC 后,該架構的整體復雜性就會降低。需要的互連更少,并且可以同時管理控制和通信。
邊緣數據庫的優勢
在工廠環境中,數據庫服務器是另一個常見功能,因為它們使存儲、組合、共享和保護過程數據成為可能。在大數據、云分析、機器學習和IoT 時代,由于數據更加豐富和復雜,數據庫服務器變得越來越重要。網絡流量越來越多,數據來自諸多格式不同的設備,也給中央服務器增加了負擔。規范化數據的額外工作包括處理和排序,這樣數據庫模式就不會變得復雜和低效。
邊緣計算技術最早是為了解決全球互聯網上的這些問題而開發的,方法是通過分散資源并使其更接近所要求的地理區域。邊緣控制器可以對工廠網絡做同樣的事情。由于邊緣控制器能夠運行自定義應用程序(除了基本控制之外),因此可以在本地運行數據庫服務器。
邊緣控制器可以存儲和預處理數據,響應本地請求并將規范化的數據轉發到中央存儲。這減少了對中央網絡和服務器的需求。與使用扁平文件存儲相比,它還提高了過程級別的響應能力和靈活性。存儲轉發技術還可在網絡穩定性出現問題的情況下建立容錯能力。
有許多潛在的應用程序可用,例如數據記錄和歷史數據。由于內置了查詢邏輯和可用管理工具,當過程數據存儲在數據庫時,可用性更高。用戶可以將給定設備的過程值和事件的簡單存檔轉換為報告系統,以減少本地停機時間或提高整體設備效率(OEE),并且可以直接查詢或復制到中央存儲系統。
編程改進
本地數據庫也可用作一個或跨多個過程區域的任務計劃程序。使用過程控制語言來構建這種邏輯可能非常麻煩,并且缺乏靈活性。數據庫系統和高級編程語言,可以更好地創建和管理基于時間的事件機制。
結合存儲和調度需求的高級示例是批處理和配方管理。許多配方可以存儲在數據庫中并進行修改,而無需下載新的控制代碼,配方的執行由運行人員觸發,或在特定時間觸發運行。開源數據庫的質量使其可以在邊緣控制器上提供這樣的功能,即使對于較小的設施或低成本的應用程序,也無需設置主機PC。
由于邊緣控制器可以建立自己的與外部或云托管數據庫的連接,數據庫連接也可以朝另一個方向工作。如果將上一個示例中的配方數據庫轉移至云存儲,則可以在許多站點上與控制器共享該數據庫。每個邊緣控制器都可以建立自己的連接,并根據需要請求參數,同時允許在所有設備之間進行一致的配方管理。或者通過組合方法,使邊緣控制器安裝主數據庫的本地副本。無論在哪種情況下這種模式都可以實現,同時減少對工廠級PC 的依賴。
提升安全性
連接性是控制器技術發展的主要推動力。邊緣控制器的設計旨在更好的支持IT 和OT 之間的日益融合,如OPC 通信以及數據存儲和處理的示例所示。在這個日益互聯的世界中,網絡安全也是重要的推動力。邊緣控制器以簡化控制系統架構的方式,通過設計和運營來解決現代安全性問題。
邊緣控制器嵌入了企業級安全標準。它們需要用戶身份驗證并支持多個訪問級別。由于它們是面向網絡的,因此它們包括標準的網絡保護,例如用于阻止未經請求的內部防火墻,用于隔離受信任和不受信任流量的多個以太網接口以及SSL/TLS 加密和認證。
相比之下,典型的工廠監控和數據采集(SCADA)體系結構涉及許多點對點連接,包括使用不安全的應用程序和設備特定的通信協議。隨著這些網絡的發展,潛在的攻擊向量會成倍增加。在這些類型的系統中維護安全結構需要大量的IT 參與和基礎設施的增加。這也意味著要花費大量時間來獲得網絡地址、端口、LAN管理和常規操作的批準。
邊緣控制器接管了舊硬件的工作,簡化了體系結構,減少了總體攻擊面,同時增強了安全性。邊緣控制器網絡可以配置在不安全甚至分散的網段之間(例如,物理隔離或由子網、VLAN 或防火墻分開)來確保自動化功能,而無需使用翻新和替代方法或使用更強大的基礎架構,來建立安全、有凝聚力的內部網絡,從而更有效地進行管理。
運行多個應用程序
智能邊緣設備對工業和消費領域的作用相同:在最需要的地方提供靈活的功能。邊緣控制器可用于基本控制,并具有運營工程師所希望的、在過程層面運行多個“應用程序”的能力。
邊緣控制器可以重振和簡化工廠現有的控制系統和基礎架構,并提供移動可視化、文本和電子郵件報警通知等功能,能夠與MES 和IoT 系統集成或開發自定義應用程序。智能邊緣設備的應用也有一些限制。邊緣控制器需要資源管理,而高級功能則需要了解安全性和管理,但如果應用得當可以幫助企業簡化和改善系統架構。
原文來源:控制工程中文版
