为IIoT | 2018-01-09 |组装杂志翻译制造数据

捕获和控制可靠的生产线数据是达到符合工业互联网的承诺的伟大谜团（IIT）。除了存储解决方案之外，机器上可用的数据尚未与业务系统正确通信。可接受的数据交换解决方案创建组织冲突和提高困难障碍的安全问题。

关于交换数据的安全问题由运营技术（OT）和信息技术（IT）部门共享，但它们本质上是不同的。用一个替换生产线上的工业PCMES网关设备提供OT和IT批准所需的端到端安全。通过隔离OT和IT系统，而不是将它们聚合在一起，MES网关设备提供了生产线数据交换，这是制造商长期以来一直想要的。

你可能听说过工业4.0，IIoT或智能制造。这些术语适用于网络物理系统，即所谓的第四次工业革命。第一次工业革命的特点是机械化、水力和蒸汽动力；二是通过批量生产，流水线和电；第三个是计算机和自动化。工业4.0、IIoT或智能制造并不是一场革命，而仅仅是计算机和自动化的进化。

IIoT不是一个新概念。它过去被称为遥测或数据采集或监控。很少有业内人士计划将其专有传感器数据发送到云端，而不是发送到机器的可编程逻辑控制器（PLC），但在智能制造领域有盈利的机会。制造商可以利用他们现有的技术来改进监控，更广泛地部署制造业的数据通信……如果连接正确的话。

MES网关设备从根本上简化了智能制造的部署。一种专用的MES网关设备用于连接制造业的OT和管理部门的IT，消除了工厂对工业pc和OPC中间件的需求——以及它们带来的所有复杂和折衷的连接问题。

问题

我们带着口袋大小的设备走来走去，让我们在我们选择的任何地方工作和播放。那么为什么生产经理难以与他们的生产楼层相同的简单连接？生产楼层上的PC防止采集所需的机器数据，以满足质量保证（QA）和整体设备有效性目标。负责OT的工程师以及负责系统管理的IT专业人员，由于两种系统责任与专业知识之间的自然冲突，不能在生产线上拥有PC的所有权。

首先，必须考虑工程师的观点。价值1300万美元的迈凯轮F1超级跑车近日成为新闻。从20世纪90年代初开始，康柏笔记本电脑的控制完全依赖于定制的CA卡。对大多数人来说，这则新闻是一则荒谬的无能故事。对于管理流程和生产的工程师来说，处理遗留系统是司空见惯的事情。质量保证是通过系统的方法来保证，以维持确定的控制参数。一旦它们得到验证并就位，就不能对流程进行修补。生产线的所有阶段，通过和失败的部分依赖于几十年的遗留自动化系统。生产中使用的每种设备都是相互依存系统的一部分。系统化的方法为质量保证维护定义的控制参数。添加到过程中的任何组件必须符合工程师负责的解决方案网络，并且不得干扰工程师的QA职责。

现在，让我们从IT的角度考虑生产线数据交换。2010年6月，白俄罗斯一家小公司收到了一份关于软件故障的投诉。侦探们发现了一种叫做stuxnet.。与互联网上的病毒和蠕虫不同，这一个并不试图窃取密码，身份或金钱。它从计算机到计算机，在世界各地爬到计算机，使用特定设备寻找网络，西门子S7 300 PLC。该病毒旨在加速电机过去的安全限制，以便在核电站中损坏离心机。操作员看不到任何损害，因为病毒从监督控制 - 工厂的基于PC的监管控制和数据采集系统（SCADA）伪装。

IT专业人员中有一句老话:“系统管理员有两个问题:愚蠢的用户和聪明的用户。”组织中的任何一台PC都存在安全风险。主要的和被接受的技术与控制和自动化水平（ISA-95）生产线上有专有的PC软件和OPC中间件。任何一个软件程序都是一个安全问题，因为他们负责他们网络上的每台电脑。任何个人电脑都存在安全风险，必须加以管理，以避免黑客攻击和系统错误。

OT和IT学科均以不同方式管理安全性，更改管理及其数据。一个人的专业知识往往与另一方的专业知识直接相冲突：

OT中的安全性意味着确保生产始终可用。它的安全意味着总数和完整的机密性。
OT的变化是不鼓励的，而且很少发生。当需要更改时，会提前很长一段时间进行相应的生产计划。IT部门必须不断地、立即地制作安全补丁来保护网络。
OT的机上/机下数据很简单，但它以极高的速度运行以实时协调生产过程。它的数据由复杂的操作系统和更新组成，与OT相比，这些系统和更新以较低的数据速率运行。

此时，生产经理获得仪表板报告的可能性有多大？没有一个管理员想要工程师的PC进入他们的IT网络的安全问题，也没有一个工程师想要办公室PC在他们的OT网络上的过程和QA风险。但为什么呢？他们不是都对各自网络的数据完整性高度关注吗？

智能制造难以困难，因为制造商正在尝试收敛应该彼此隔离的系统。它保护防火墙后面的内部服务器，双重认证和其他安全系统。分享数据将商业秘密造成风险。平衡在完全锁定并能够运行之间。工业流程旁边的Web服务是与Web服务器相同的方式打开攻击。黑客将网络中最薄弱的链接定位在“最大的爆炸”中。

解决问题

传统上，软件应用程序运行在一个通用操作系统之上，该操作系统使用计算机的硬件资源(主要是内存、磁盘存储、处理能力和网络带宽)来满足用户的计算需求。安全漏洞是工业pc固有的，因为常见的应用程序总是在运行并且可以访问。

MES网关设备是一种具有特殊硬件和固件的计算设备，其唯一目的是为IT数据库翻译OT设备。计算机设备不同于一般用途的计算机，如台式计算机或服务器。它们不是被设计用来被最终用户修改的。所有的功能都被“密封”在工厂里;本质上，它是一个封闭的架构。

运行单个专有应用程序（如MES网关设备）的设备，除非在自定义应用程序中映射指定字段，否则不会将数据包从一个网络传输到另一个网络（如路由器），而不会将数据通过物理防火墙。MES网关设备隔离OT和IT网络。有两个不同的物理以太网网络接口控制器端口。在应用程序中，OT和IT网络不仅用语言分开，而且这两个网络在物理上彼此不同，不能通过软件桥接。相反，在Windows中，防火墙属性可以被黑客操纵。

现在克服了它的安全保护性已经解决，必须解决工程问题。使用设备确实让它更容易生产管理水平（ISA-95）认真开始智能制造的努力，但是OT的安全问题呢？最终目标是端到端的安全性，而不是IT部门的IIoT安全性。从OT的角度来看，安全的生产线意味着与从it的角度来看完全不同的事情。病毒和恶意软件无法通过MES网关设备传播，但这对生产意味着什么？

设备上的固件使用设备的本地语言，并直接与它们通信——就像在工厂车间出现以太网通信之前使用车站地址的老式做法一样。OT的数据由小数据包组成，旨在跟上制造业基于事件的数据的实时世界，这与OPC使用的大型IT数据包的轮询性质相反。

机器网络上可靠通信中固有的两种考虑因素：设备语言（专有软件）和工业以太网协议。

MES网关设备可以以设备的母语说话。设备的接口以设备上使用的任何语言通信。通信不受任何方式限制，因为设备和设备以完全相同的语言发言。对于替代示例，必须将OPC（UA）添加到用于与OPC服务器通信的设备中，并且可以不包括PLC的所有存储区域。一旦机器通信合并到网络上，它必须编写应用程序以使用OPC服务器上托管的PLC数据。

MES网关设备也使用可靠的网络传输。有些协议是机器通信的专有协议（例如，DeviceNet、ProfiNet或以太网/IP）。其他的是标准的，比如UDP（实时I/O控制）。但是，了解工业协议很重要的一点是，它们没有与IT网络基础设施相同的开销，因为当使用MES网关设备时，网络没有广播。

因为设备的应用程序将数据而不是跨不传输数据网络,终端用户可以设计他们的工业以太网适合不需要实时数据,安全的知识,基于事件的信息交流本身和整个协议在其目标。

在过去，在MES网关设备可用于OT之前，工业以太网将镜像IT基础设施，带来IT延迟问题、拥塞下的数据包丢失以及干扰机器通信可靠性从而影响机器可用性的网络安全问题。

生产的最后一个安全特性是数据本身的质量。应用程序的“存储和转发”特性缓冲数据，因此在网络中断时不会丢失任何数据。来自多个地方的数据可以组合在设备的应用程序中进行计算或堆叠IP地址，进一步减轻机器可能的网络干扰，简化网络基础设施。存储过程过滤原始数据，防止数据直接插入到数据库或OT的机器中，以避免在“垃圾输出”场景中出现垃圾。

MES网关设备不仅保护了IT网络的机密性，而且简化了OT网络上的网络要求，以确保机器的可用性。组织冲突得到满足，因此生产经理能够与生产线实现可靠的数据交换，而不必依赖于专门的编程。