#智慧製造 #智慧工廠 #工業乙太網 #工控網路 #自動化控制 #10Base-T1L #單對乙太網SPE

【感測器乙太網路即將到來！】

最初，傳統企業 IT 與 PLC/DCS 控制器的 I/O 卡通訊只有單一輸出／輸入固定功能，目的是將接收到的現場訊號路由到控制櫃正確位置，複雜、成本高、尺寸大；其對外連接到 4～20mA 電流迴路 (編組櫃) 線纜通常是長達數百公尺至一公里的雙絞線，每個感測器都必須使用一根線纜連接至編組櫃，資料速率非常慢。好處是：兩條線纜的負載阻抗變化並不會對訊號傳輸產生太大影響、具有現場斷線檢測，以及可為溫度或壓力等低耗電感測器提供迴路電源。

二十多年前，業界開始向現場匯流排 (fieldbus) 技術遷移，不再需要編組櫃、隨插即用，輕巧簡便、可運行高速協定 (從感測器獲得更高頻寬、獲得更多數據) 且擴展性佳，可惜缺少統一標準、不具備產業範圍的互通性，通常須經閘道轉換資料才能執行後續操作，將增加功耗和成本且安裝複雜。現在，工控網路即將再次邁入新紀元，感測器乙太網路即將到來！最新獲得認證的 IEEE802.3cg (10Base-T1L) 標準將支援感測器無縫接入乙太網路，預期將在兩年內實現。

演示影片：
《ADI：控制網路的演變》
https://www.youtube.com/watch?v=7ZZTa2eC4IA
http://www.compotechasia.com/a/CTOV/2021/0526/48012.html

#亞德諾ADI

P.S.《COMPOTECHAsia 電子與電腦》在 YouTube 也有專屬頻道哦！歡迎各位朋友訂閱＋開啟小鈴鐺。
https://www.youtube.com/user/compotechasia/videos

萬物聯網有效益也有威脅　建立可信任安全生態刻不容緩

掌控資訊基礎架構風險　5G物聯網未來前景可期

2021-01-26顏志仲

物聯網作為近年來最熱門的議題之一，在這個萬物聯網的時代，隱私與安全是不可或缺的。然而，物聯網的安全並非是靠單一廠商一蹴可及，必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。

新世代5G高速網路的佈建，再次讓物聯網的應用飛速成長。隨著物聯網設備進一步深入我們生活周遭，物聯網的安全更必須被高度重視。而物聯網的安全，需要整個生態鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商共同努力方能達成。

工業物聯網之安全要求大不同

2020年各大電信業者5G陸續開台，隨著「高速度」、「低延遲」、「多連結」的網路到來，各式應用場景的討論絡繹不絕，熱鬧異常。軟硬體廠商均卯足全力，希望藉由新的網路型態在低迷的景氣中打造全新的商業機會。然而，在這樣各類新型態的應用即將面市之時，更應回頭關注一下物聯網的基礎架構風險。

物聯網資訊基礎架構風險地圖。

與傳統的資訊科技（IT）及運營科技（OT）相較，物聯網的安全則集其大成，強調隱私（Privacy）、安全（Safety）、資安（Security）、可信賴度（Reliability）以及資訊韌性（Resilience）。對傳統IT而言，生命財產安全的要求是相對陌生的，但別忘了，2010年Stuxnet造成了伊朗核電廠的高度破壞，到了現今汽車、家電、各式感測器連網的IoT時代， 不安全的資訊基礎架構能對日常生活造成什麼樣的破壞？隨著破壞的「所需成本」與「其影響層級」的重新再平衡，隱晦式的資訊安全（Security by Obscurity）早已不該成為唯一的安全機制。

物聯網之資安風險控制框架

那麼在萬物聯網的時代，物聯網的安全相較於傳統IT/OT會有哪些重點？參考工業網際網路聯盟（Industrial Internet Consortium，IIC）以及相關先進的建議，以下的物聯網資訊基礎架構風險地圖可以作為初步的參考。

端點與嵌入式系統層

物聯網興起之後，安全上最大的不同即落在端點及嵌入式系統這一端。這部分近年討論熱烈即是信任根（Roots of Trust），亦即將安全之信任基礎建置於硬體上，減少韌體遭竄改而導致的安全風險，其常見技術包含現場可程式化邏輯閘陣列（FPGA）、信賴平台模組（TPM）以及可信執行環境（Trusted Execution Environment）等。

總的來說，這些技術均透過端點硬體晶片上內建的安全設計，提供其上的系統軟體安全憑證、安全基礎認證、加密資訊儲存等基礎的安全功能。以此為基礎，就可以實作簽章以認證並授權核可的使用者或應用程式進行系統操作、比對Hash值嚴格控管開機程序，減低惡意程式預先載入系統的風險，或是以信任根驗證系統更新是否合法等等，進行各式端點的安全控管。必須特別注意的是，這樣的安全功能有賴各供應鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商將其導入並實作，才能完備整個信任鏈的健全。

然而，現今許多正在進行的IoT專案有兩個共同難題，一是專案大多建置於多年前的基礎架構（Brownfield），難以將新式安全架構完整導入；另一難題則是受限的端點資源（Resource-constrained Endpoint），專案常因端點載具體積、耗能以及成本等多方考量，無法建置應有的安全功能。這時，只好仰賴資訊基礎架構風險地圖裡其他層的控管機制來緩解端點的安全疑慮。

通訊連接層

談到物聯網通訊，首先得提到其無所不在的網路（Ubiquitous Network）特性，亦即其網路已非傳統IT的多層式架構；再來就是其應用的通訊協定，多使用Fieldbus等通訊協定來連接各種不同的設備，這些歷史悠久的通訊協定因早期封閉式網路有著實體隔離的特性，極少內建安全機制。根據國外的研究，內建通訊加密與安全認證的工業用通訊協定不到十分之一。試想不安全的通訊協定連接上網際網路後可能對關鍵基礎設施（例如電廠、水壩）造成多大的安全風險？

然而，物聯網的趨勢總是得走下去，還是有一些方法來控制這些問題，包含網路實體隔離、透過虛擬機隔離作業系統核心、應用程序隔離等方法來控制風險，在架構允許的情況下，也應建置加密通道（例如MPLS）或是使用IPSec等加密技術來建立安全的傳輸通道。

此外，傳統的Gateway端防護依然是有效的，只是須特別注意的是，傳統的防火牆僅針對IT環境常見的設備建立預設的防護，對於工業用通訊協定的支援相當有限，另外也欠缺第七層應用層的關聯規則，這部分未來將有賴IT廠商、OT大腕及各業界專家們通力合作來完成了。

雲端平台與應用

基於地域性與可擴充性考量，現今越來越多的應用放置於雲端服務業者，這時候可以思考使用雲端安全聯盟的CAIQ（Consensus Assessments Initiative Questionnaire）來評估自身導入雲端服務的安全水準。而在系統開發的過程中，也必須遵行Security by Design的精神，早期將安全需求內建於系統中，其中，Right-size Security是相當重要的，必須考量安全遭破獲的嚴重性與影響層級，建立相對應的系統安全控制，方能說服主管機關與投資者。

而在最後的安全測試上，也必須著重End-to-End的安全測試，也就是從雲端平台一路到端點的安全測試，而非只是針對端點產品的安全測試與認證。需要知道的是萬物聯網的時代，任何一個節點的安全漏洞均可能導致整個系統全面性的破壞崩解。台灣身為ICT產業大國，資通產業標準協會（TAICS）業已參考國際標準制定網路攝影機等設備之資安檢測標準，政府亦積極發展物聯網資安認證標章，我們樂見各應用領域之安全檢測基準能夠順利地推展開來。

風險治理流程

在整體風險治理架構上，首要之務是進行風險評估，工業網際網路聯盟（IIC）已經建立IoT Security Maturity Model，將安全要求分為風險治理、安全功能與系統強化三大面向協助組織進行深度評估。另外，建立完整的安全組織與流程亦是絕對必要的，須知物聯網可能牽涉的是生命財產的安全議題，因此安全組織不能只是產品與IT人員，還須包含法務、公關、總務、客服等各單位，並進行完整之緊急事件應對演練，以備不時之需。 而在具規模的組織，建立相當的風險智能功能團隊亦是必要的。需要了解的是，物聯網設備多是專業領域之特殊應用，因此資料需要大量的領域專家進行分析解讀，這時亦可以應用機器學習技術使用監督式學習尋找錯誤資料，並進行風險評分，甚至可進階使用非監督式學習進行資料分類與異常分析，尋找系統優化之契機。

最後，這些風險分析的規則，最好能適度轉換成Machine Policy，建置安全智能於端點，使資料中心與端點通力合作，形成一個正向輪迴，持續強化安全偵測，阻擋威脅於機先。

物聯網安全之未來

物聯網作為近年來最熱門的議題之一，在這個萬物聯網的時代，隱私與安全是不可或缺的。然而，物聯網的安全並非是靠單一廠商就能一蹴可及，必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。這個生態鏈中包含硬體製造商必須建立信任根，解決方案商基於硬體安全方案實作安全功能，系統維運商精實管理維運安全，最後加上安全認證的導入方能健全。

現今，已經看到硬體製造商提出多樣的安全晶片，政府亦積極推展物聯網安全標準，目前包含視訊監視器、無線路由器以及智慧運輸等，均有相對應的檢測單位。

放眼未來，樂見更多資源投入，發展更多領域的安全基準，更重要的是希望民眾能提高安全意識，方能促使廠商將相關安全要求導入產品與日常維運中，建立起更為安全、便捷的物聯網新世界。

資料來源：https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/26443E6FD1EE49CEB4A565A6F3A5A0FF?fbclid=IwAR0r3Vk8jZ784d2FzIyFT0tO03sJlt3wjh4K-eTxX6e70GSoVigky4HPFF4

#工業物聯網IIoT #工業4.0 #智慧製造 #現場匯流排Fieldbus #Modbus #EtherCAT #可程式化邏輯控制器PLC #微控制器MCU #工業資安

【Fieldbus 接軌乙太網：EtherCAT 登峰後，SPE 將一統江湖？】

可程式化邏輯控制器 (PLC) 讓工業控制變得更加自動化，帶動分佈式控制系統 (DCS) 控制器等其他類型的專用控制器發展，並催生工業網路的出現。早期的工業網路都是專有的，把持在某些 PLC 大 廠手中、須經授權才能使用，後為便於互通，才創建由第三方貿易組織管理的新網路——RS-485 現場匯流排 (Fieldbus)，乃許多工業用通訊協定的總稱，任何公司都可購買這些網路協定的規範並為其開發產品。

簡言之，工業乙太網是由傳輸媒體轉換器模組、集線器、交換機和路由器等組成，使用乙太網協定做即時控制，EtherNet/IP、PROFINET、EtherCAT、Modbus TCP/IP、POWERLINK 是現今五大主流協定；但嚴格來說，只有 EtherNet/IP 和 Modbus-TCP 符合 IEEE802.3U，是真正的乙太網。特別一提的是，於 2003 年發跡的 EtherCAT 有後來居上之姿，已然在工業乙太網取得壓倒性優勢。最初，「缺乏功能性安全協定實現」曾是 EtherCAT 為人詬病的軟肋；但就在最近，這樣的景況有了轉機：首款由半導體製造商支援 EtherCAT 功能安全性的軟體已問市！

然而，不管是 EtherCAT、EtherNet 或 PROFINET 皆須大量設備擷取資料，而一個設備可能有數十個感測器，執行上並不容易——雖然 EtherCAT 在歐洲、美國和中國行之有年，但因須有專門的網路設備、成本高，且許多既有產線皆採用 Modbus 採集資料，若要大幅改弦更張須暫時停機、導致成本增加；為此，中央大學資訊工程系開發「高速 Modbus 感測器介面硬體電路」可同時滿足大封包數據的「感測＋傳輸」需求。

Modbus 擁先佔優勢，成創新方案元素。雲林科技大學電機工程系則利用 Modbus 主從架構擷取多個電表資訊，利用 Modbus 單播＋Zigbee 廣播開發監控平台，在 PC 端設置協調器 (Coordinator) 監控工廠內多個電表的用電狀況 (後因 Zigbee 聲勢漸消而改採 LoRa)。中正大學電機工程系亦看好 LoRa 的應用，用以改善一公里Ｘ一公里的大範圍雙向通訊，即時報警。解決了現場數據匯流，如何有效率地將這些數據上傳雲端又是一項課題。

德國連接器大廠看好單對乙太網 (SPE) 將成為建構雙向工業物聯網 (IIoT) 的理想工具，是連接現場和雲端之最快、最簡單、最具成本效益的方法。它與當下 EtherNet/IP、Profinet 和 EtherCAT 等乙太網網路協定相容，且得益於「時間敏感網路」(TSN) 技術，讓一度背負「不可靠之即時工業通訊」污名的乙太網能借助 SPE 實現關鍵任務，作為傳統兩對／四對乙太網的補充技術；更實惠的是，SPE 能同時傳送功率和數據，無需再為低功率智能感測器／致動器單獨供電。

延伸閱讀：
《EtherCAT 傲立工業乙太網，SPE 將隨後終結 RS-485？》
http://www.compotechasia.com/a/feature/2020/1012/46008.html

#倍福自動化Beckhoff #瑞薩電子Renesas #中央大學資訊工程系 #高速Modbus感測器介面硬體電路 #微芯科技Microchip #dsPIC33F #中正大學電機工程系 #浩亭Harting #趨勢科技TrendMicro