最火彭瑜边缘可编程控制器是OT

彭瑜：边缘可编程控制器是OT

作者：彭瑜（上海工业自动化仪表研究院，PLCopen中国组织）（版权提示：本文为彭瑜教授为 工控百家谈 公众号独家撰文，如需转载，请联系本公众号获得授权。如需投稿请联系号：）

近年来在工业自动化市场有一种耀眼的新品种引起了广泛关注，这就是运用于工业边缘、可安全接入工业互联的可编程工业控制器，例如美国OPTO 22的groov EPIC，日本三菱电机的MELIPC MI5000、MI3000、MI2000、MI1000和中国台湾研华的WISE-5000等。

数据共享是制造业未来的急切需要

当自动化工程师接到一个新项目，要求把生产线的相关数据呈现在基于互联的用户界面上，使工厂和企业主管生产的人员随时随地可以实时了解生产的实际情况。这个界面同时显示来自公司数据库中的生产目标和销售情况。据此，主管人员对比实时生产的数据，便可对生产进行调整。

但是实施起来几乎所有的技术手段都必须事先搞定，即预置（on-promise）的：

生产线上的现场设备要将相关的信号接到PLC的输入端，由PLC统计产线的成品数量。

从PLC获得数据要求在PC机中安装专用的通信驱动程序，工程师采购了驱动程序后安装，并将数据转换为工程量，存入相关的表格中。

接着PLC输出的数据必须通过络发送到也联在上的基于PC的HMI和SCADA系统中。这些系统都要求工程师对相关的数据标签、驱动和轮询周期和速率进行组态和赋值。

为了将数据传送给公司的数据库，接下去自动化工程师必须找到公司的IT部门，通过已经组态好的HMI和SCADA执行数据传送。

最后可能还要做一些必要的编程，才能把所要求的数据呈现在生产主管的界面上。

通过成本不菲和相当复杂的工作终于完成了任务。不过如果今后又要增加新的数据源，自动化工程师和IT人员还要重复以上的步骤再忙活一阵。

当公司认识到生产主管人员需要来自产线上的更多数据，以及需要某些控制生产要素的途径。加之还有新的产线生产不同的产品，那么新产线又会要求做许多工作，建立复杂的架构来实现生产数据的共享。这就是要求实现数据共享对工程技术人员的挑战（见图1）。

图1 要求数据共享对工程技术人员的挑战

差异性是赢得市场竞争的重要手段

设备制造厂在面对市场的竞争时要求它的设备与其它制造厂的同类型设备具有差异性，而来自客户的反馈意见归纳起来是：

方便客户将设备与过程控制系统集成；

增加HMI的选项，满足客户易于实现监控和控制生产操作运行的要求；

降低客户的成本，尤其是运行和维并且依照仪器说明输入要求的输出结果护的成本。

要实现客户的要求，得想很多办法。例如采用OPC UA，便于与过程控制系统集成，但如果设备的控制系统是专用的，那就必须逐个地为不同的专用控制系统开发OPC的驱动程序。与现有的HMI集成也有同样的问题。如果还需要让机械设备具有和移动智能或平板电脑接口的无线功能，开发的成本恐怕不会少。

如果机械设备制造厂想的更远，要为所有已经出厂或今后将要出厂的设备进行远程监控的售后服务，那么，怎么保证数据和信息的安全又是一个很大的挑战。

图2 要求数据共享的信息安全挑战

以上这些项目涉及到工业互联的三个主要挑战，即复杂性、信息安全问题和价格昂贵。在项目开始启动之初这些挑战的的范围并不是很明显，而在项目进行的过程中逐渐清晰。看来，任意的工业互联或数据密集的自动化应用，到最临近结束的时候都会表现出相当复杂、许许多多的信息安全风险和比原来考虑的投资多得多的问题。

从络的边缘获取数据，即从在工厂运行和安装的传感器、执行器，从远程的现场采集大量的数据，并传送到数据库和需要使用这些数据的人员那里，会使工程技术人员畏缩不前。如果要为控制以及监控、数据采集进行双向通信，那就更为艰难。

大多数控制系统和装置采用的通信协议和络常常是专用的或者只是在自动化领域中使用的（例如EtherNet/IP、MODBUS、Profibus、OPC等）。但是计算机和移动设备使用标准的以太或无线络和开放性协议和标准，如TCP/IP、HTTP/HTTPS、JSON和RESTful API等。将数据在上述两个系统中转换，并传送到需要这些数据的地方，必须经过许多中间环节：计算机、关、解析程序、客制化的软件、许可授权等。只要数据要传送到外或非预置的络，如远程的络、将智能或智能平板电脑(3)公众对本项目建设的态度;接入互联，又会增加一些中间环节和相关信息安全的问题。

作为工业控制的工程师熟悉PLC，也熟悉PAC（可编程自动化控制器）。经过多年的不断的使用和改善，增加了过去只有SCADA系统才有的功能和性能，又增添了与基于Windows的HMI的通信，还能够挂在在标准的以太络上运行。总之具备了在很多场合下所要求的功能。但是现在面临了新一类的应用要求，是不是能有一种新的方法来消除中间环节和缩减开发步骤，简化与工业互联的联接和通信呢？是的，现在市场出现了一种新的解决方案可以同时满足自动化和IIoT的要求，这就是边缘可编程工业控制器（见图3）。

图3 边缘可编程工业控制器的解决方案

边缘可编程控制器是OT-IT融合的利器

要求一个解决方案能实现OT和IT双方相互被理解（见图4），需要具备以下的功能：

就地将OT领域的物理量转换为能被IT领域运用的信息安全的通信协议和语言所能处理的数据；

处理和过滤海量数据，仅向云发送必要的、供进一步分析用的数据；

提供通信接口，提供闭环实时控制要求的处理能力；

将上述要求打包成一种能在严酷工业环境下可靠运行的设备，能经受振动、潮湿、环境温度变化和各种频率的的电磁干扰。

图4 满足OT和IT融合交汇的解决方案

满足IIoT的互操作性应该在边缘设备中具备如下的互联技术，如MQTT/Sparkplug、TCP/IP、HTTP/S和互联的专用语言RESTful的API；具备互联的信息安全技术，如SSL/TLS加密和认证。而云基系统必须调用RESTful API存取数据，或者使用publish-subscribe通信模型（如MQTT/Sparkplug）从远程边缘设备中获取数据，而无需像目前的工业应用中那样经过较为复杂的层次和转换。

边缘可编程工业控制器EPIC虽然不是单纯的PLC或PAC，但它依然提供可编程控制器的标准编程语言：功能块图（FBD）、结构化文本（ST）、顺序功能图（SFC）和梯形图（LD）。当然也可以通过EPIC的开源OS，运用高级语言（如C/C++、Java、Python或其它）存取和编写运用程序。

这样配备的工业可编程控制器不但能作为PLC使用，执行工业装备的控制功能，还可以作为HMI进行生产过程的监控，作为供改善工业装备的设计而采集数据的数据库，还可以运行跟踪用户服务的软件，并且可以实现人工智能和机器学习的服务，达到预测性维护、消除非计划停车的目标。

OPTO 22的EPIC groov采用开源的Linux操作系统，工业4核的ARM处理器，固态驱动，6G的用户存贮空间；有两个独立的千兆以太接口和WI-FI的适配器；整合了高分辨的彩色触摸屏，供系统组态、管理和显示；这种边缘可编程工业控制器还提供各种工业级的I/O模块，让用户根据实际需要选用，所有I/O模块都可热插拔和支持自寻址；系统可在严酷的工业环境中使用，其工作环境温不但在外交上面临着美国新1轮以遏制中国为核心的“重返亚太”大背景度宽达-20到70 C。

日本三菱电机在2018年推出其边缘计算的工业级硬件MELIPC系列，同时兼顾设备控制现场的先进视觉技术。该系列的旗舰性工控机MI5000将实时设备控制和高速数据采集、处理诊断与反馈集中整合在一台机器中，既可以节省空间，又可以降低构建工业互联IIoT的成本。在软件配置上，MI5000需要一种能灵活集成经实际验证的分析和诊断应用软件的实时控制平台，经过比较以后它们选择了美国风河的实时操作系统VxWorks和Wind River 虚拟技术的解决方案，达到了实时设备控制和边缘计算合而为一的目标。这里VxWorks作为实时的主操作系统，而Windows作为客户操作系统构建了Wind River 虚拟平台的运行环境。MI5000 兼容CC-Link IE高速工业以太。

台湾的研华科技最近也推出了WISE-5000类似产品，除了边缘计算所必须的互联通信功能和数据采集、处理功能以外，其突出特点是整合了德国CODESYS的边缘控制解决方案，集成了运动控制和机器视觉，并配备了长于运动控制应用的工业以太EtherCAT。

让控制器具有内生的信息安全

物理安全、络安全以及防止人因信息安全漏洞和隐患是保证信息安全的三个重要方面。其中络安全是指保护挂在络上的设备不受伤害由于这样对人工不好操作的状态，并确保在上传送的数据不会被非授权的人员和软件所窃取和改变。在一台控制设备中保证络安全必须具有5个信息安全特性，即络接口、防火墙、数据通信选项、授权证书管理和用户账号。络接口的信息安全问题源自于要求共享的数据越来越多，不能再沿用以往的专用而且价格昂贵的络，而必须采用来自IT的标准以太和标准协议传递数据。

在系统中设置两个完全独立的络接口是一种比较简单易行能确保络接口安全的方法（见图5），其中一个接口供可信的控制络运用，连在这个络的所有设备都是用户可以掌握的可信的设备；另一个接口供非可信络设备使用，如果在这一络中发生黑客攻击，不致影响可信络。

图5 可信络接口和非可信络接口

设备防火墙有别于络防火墙。络防火墙一般是保护络和挂在其上的设备阻断络外的联接请求，除非这个请求来自安全的端口而且已被授权。但是，如果络内的设备要求与络外的设备联接，防火墙应该允许此联接请求。这就所谓的 出站联接 或 设备发起联接 。在IIoT的项目中一个控制器，应该具有可对端口、协议和开放此设备的接口进行组态的设备防火墙。一个有双端口的控制器应具有分别对端口设置打开或关闭的能力，以及分别对协议进行组态的能力。

为了高效进行装置与系统之间的通信可以考虑不同的数据通信方法，例如采用由设备发起通信的方法。像MQTT（MQ telemetry transport）这样的远程传送协议运用发布-订阅（pub-sub）的通信机制。如果控制器采用pub-sub，那么发起通信的即是控制器本身。控制器对MQTT的brocker发起联接（如对预置的数据中心或对云），发布数据和/或订阅数据均通过brocker。MQTT原来是为远程的油气装置通信而设计的，针对资产的分布配置和络联接的可靠性不高等问题设计了通信解决方案。因此与大多数工业通信应用的请求-响应机制比较，其主要优点是优化了通信量、减少了与IT的牵连和改善了信息安全。pub-sub机制在发和收两个方向优化了通信量。首先，多个设备之间为了交换数据并不需要相互间直接联接，每个设备只要与brocker联接，因而将为了联接的数量最小化；其次，数据仅在其发生变化时（报告数据有所变化）才发送，因此通信量大大减少。由于联接由防火墙后的控制器内发起，IT无需建立专门的防火墙规则或文件，而且也无需管理开放络的端口。另外，联接是由在防火墙后的可信设备所发起，一旦建立了有信息安全保证的TLS封装和授权联接，数据即可安全的在两个方向传送。

图6 MQTT协议采用发布-订阅机制

图6释出发布-订阅机制的运行过程。图示的左上端的控制器发布tank_1_tenp value（1号罐的温度值），即刻通过MQTT的 brocker发送给右侧的数据库、HMI和移动手持终端，接着移动手持终端操作发出heater_1 command（1号加热器启动命令），立即通过brocker传送给左下端的1号加热器的控制器执行命令。

如果数据在任意非可信的络上传送，必须对数据加以封装，而且需要详细检查授权许可。对于IIoT项目，数据封装和管理授权许可都是确保更安全络的必要手段。

对一台计算机系统的用户需要用户名和密码才能准入，可是在自动化产品中常常忽视了这样的管理。对挂在络上且具有IIoT功能的控制器，不应设有默许的用户名和密码，只能在组态时才逐一对有关的人员和软件进行用户名和密码设置，还需要多这些用户账号的等级加以分类，分别设置允许哪些操作。譬如，操作人员可以对生产过程加以控制，管理者只需要生产数据，云端服务器只要求若干少数的机械设备数据的一个小子集，等等。

结语

工业企业的数字化转型极大的推动了工业控制和工业互联的整合集成的发展，边缘可编程工业控制器应运而生。这一工业自动化市场的新品种综合了实时控制、高速数据采集、边缘数据分析和处理、虚拟显示和监控、与IIoT高效通信等功能，在很大程度上简化和改善了工业互联的实现。目前这一新生事物已经有了一些工业实践的支持，在玻璃窑炉的控制、监控，以及数据采集、分析、诊断等方面都取得了实际效果。相信其综合集成的性能一定会在今后的智能制造和工业互联中发挥更多的作用。

（本文中所有的插图均引自OPTO 22的相关资料）

作者简介

彭瑜，教授级高工，上海工业自动化仪表研究院技术顾问，PLCopen中国组织名誉主席，工信部智能制造标准化体系建设工作组专家，国家智能制造标准化协调推进组专家咨询组专家。