结合实际应用浅析M2M与物联网

MM《现代制造》 2015-10-08

“Secomea重新创造了用于M2M、物联网或类似概念的远程通信方案。”这句描述摘录于Secomea在美国分销商发出的一封客户简报。

这个引用准确地描述了现实需求与流行词之间的巨大差距。本文将相关术语放在远程通信场景的方式来尝试定义M2M(机器到机器)和物联网(Internet of Things)，并为选择有前瞻性的工业设备远程访问方案提供方向和指引(图1)。

物联网及其延伸

让我们将IoT代入实际应用场景中。许多人会认为“物联网”和另外一个热门词“云”是同一概念，想象它通过因特网把万物互联的情景，可供需要的人和系统在合理的条件下使用。

IoT起源于M2M和相关技术，一般而言是一个非常宽泛的概念。在较高的认知层面而言IoT可分为两个类别：需要人机交互的应用，即人工物联网(HIoT)和“著名”的工业物联网(IIoT)。HIoT典型应用为家用温度仪表、健身记录仪以或类似消费品。很容易误认为以实现交互性维护用途的远程访问工业设备方案也属于HIoT范畴，特别是因为IIoT强调无人工介入和在此情况下运作的能力。然而下文详细说明了为什么这类M2M应属于IIoT的范畴。

IIoT与HIoT最理想的应用环境均需要IPv6，实际上最好能解决大量已有工业设备连接IPv6的途径。许多IT从业人员都熟悉的IIoT的核心要素是点对点的安全体系、无单点故障、自动节点和不同应用的匹配。

将所有对技术的期望、实施条件，与现实、可预见的未来做比较，如果要很好地解决自动化行业面对的挑战与满足需求，IIoT还有很长一段路要走。

定义M2M

从这个角度而言，M2M绝不仅是一个“昨日新闻”，而应是IoT的一个关键组件，具有深度与实践意义。M2M是指设备利用网络资源与远端应用进行通信，以完成监视、控制设备自身或其关联的环境(图2)。该定义中人机交互仅仅是一个服务性附件，也可以把在人的短时间辅助下设备能完成更高级的功能认为是M2M定义中其中一个“M”。

因此现实中即使有人机交互环节，将M2M划分在IIoT的子集比归类在HIoT更合适。让我们来深入了解M2M。

M2M计划原则1：从商业案例中开始

为了履行合同义务，工业设备的远程通信方案在欧洲已成为OEM设备厂商与系统集成商的标准配置。这不仅是为了降低员工支出和出差成本，更重要的是协议中对服务响应时间与设备在线时间的保证。随着工业设备安装的复杂程度增加，有效率地用好有限的工程师资源变得极为重要。优化服务项目和资源，要求选择合适的M2M解决方案，这样精力可集中放在核心业务上。

定义现阶段与可预见未来的需求

首先从以下类别中确定可满足您需求的远程服务类型：

1.远程监视(Remote Monitoring)。远程监视或远程管理一般只从设备上采集特定预设信息，数据在中央服务器得以处理(图3)。它的主要目的是进行预见性维护或预防性维护，如果检测出一个关键问题，技术人员将出差到现场解决。请注意这类解决方案不可通过已建立的链路远程服务设备。此类解决方案在公共事业行业应用广泛(电力、燃气、水务等)。

2.通过远程桌面(Remote Desktop)的远程服务。许多低成本，甚至免费解决方案提供在一个局域网内设备的远程桌面访问服务。免费方案两端均需人为介入，这对工厂内的服务型PC而言并不现实。不需要人为介入的安全远程访问局域网设备的解决方案都不便宜。此外持续维护Windows PC的安全更新，再考虑在这些电脑上安装正版的PLC或HMI编程软件的成本，该方案并不是太合适。

3.通过端口映射的远程服务。此类解决方案基于现场硬件设备充当工业设备的因特网路由器。最简单的配置方案要求在公网上有一个固定IP地址，路由器可以路由或映射来访链路至设备上，与传统的拨号调制解调器相似。在视频监控上可常看到该类方案，将不加密的工业设备链路暴露在因特网上带来的风险，要求固定IP地址，这类应用基本上为强弩之末。

4.通过数据隧道的远程服务。这类解决方案满足大部分远程服务需求。基于VPN的传统IT方案已存在超过10年，近年来将VPN方案用于解决自动化行业的方案越来越多。绝大多数应用都是将传统VPN方案封装适应自动化行业的使用，可嵌入DIN导轨安装，使用24V电源。某些厂商更进一步，打包了所有需要用户完成的复杂的IT设置操作和避免了防火墙设置。这类解决方案通常包括一个中央M2M服务器，主要作用是用户访问控制和数据转发等管理功能。至少有一个供应商，丹麦的Secomea完全从VPN方案中脱离出来，采用加密代理连接技术解决了VPN技术无法克服的技术瓶颈。

类别4是最为全面的解决方案，它们涉及到几个挑战：操作性、安全性、规模化。例如，假设如果您能以简单且安全的双向隧道方式访问设备，利用相同的设施很有可能可以满足其他远程访问需求，如数据采集。

假如类别4不能满足某些需求，而需要完全不同的方案，这时请研究应用类别4是否会影响过程控制与资源配置。分开实施有可能会更具商业价值。

现在我们详细说说类别4的具体需求。

易于使用——工业安全中关键环节

易于安装与设置对节省时间和让非IT人员实施该方案非常关键。设置防火墙、设置路由规则、安装不属于该方案的第三方软件，这类操作不是必须的。安装和初步设置可由派遣人员或现场接线的工程师完成。用户登录权限控制、设备连接设置应可由PLC编程工程师、OEM项目经理或者现场负责人管理。

VPN是一种安全与可靠技术，用于远程连接办公室网络，也用于为远程用户提供访问总部办公室的安全链路。然而VPN应用在远程服务时，需求是不同用户需要访问不同现场，或者限制某些用户只访问某些设备，传统VPN方案在满足这类需求时是一项沉重的管理与技术任务，即使对熟练网络专家而言。请记住，安全不仅仅是加密与认证，更重要的是人的因素。因为缺乏认识，粗心以及误解造成的设置错误，就会造成安全事故。因此在方案中应尽量减少依赖熟练专家和深奥的技术文档的需求。

大部分远程访问解决方案都会宣传安全靠加密，这种情况下请花时间寻找一个拥有友好可视化用户界面，用以管理用户和现场权限。

使用客户现场网络的安全性讨论

一般而言，工厂或设备在一个网络与企业办公网络是独立的，而且只有办公网络可以访问因特网。在使用标准VPN功能路由器访问设备网络的时候，您需要将该路由器的WAN口接入办公网络，LAN口接入设备网络。

IT部门此时会不乐意网络之间装有一个第三方的设备，即使您重申该路由器内置了防火墙用来抵御在网络间的非授权访问。而且您必须精准地解释该设备如何运作，它为何不会降低安全程度。这类信息将由远程通信方案厂商提供。

此外，这类解决方案必须能在一般都开放的端口上建立加密隧道链路。这可以是web端口80(Http)，443(https)。别奢望IT部门会根据您的意愿来开放端口。

某些情况下企业政策不允许任何第三方设备通过企业网络获得因特网连接，与IT部门争取也许不明智，最好寻找其它途径或妥协。可以要求客户为设备建立独立的网络，或者选择带有无线模块的远程通信设备。

网络冲突

也许连接多个用户和网络时最常见的问题是网络冲突。在通过路由器或VPN静态连接多个网络时，所有网络必须有不同的IP子网。这在未来的IPv6不是一个问题，但在应用IPv4的今天以及未来很多年中都肯定是。

典型例子是两个工厂可能使用完全相同的IP子网。大部分工业远程访问设备解决该问题是通过动态建立按需连接，完成后再关闭。唯一限制是2个服务工程师不能同时连接到一个工厂，当然这种情况也不多。

更麻烦的任务是工程师所在网络与工厂网络一样的情况下(例如工程师子网为192.168.0.10/24，他尝试通过VPN连接一个拥有相同子网的工厂)。对于路由技术而言，这不可能实现。当然这可以通过设置别的IP地址和应用NAT(Network Access Translation)，但这个不是轻易能完成的。

您必须确保远程访问产品对于此类情景有一种解决方案。例如Secomea的解决方案则是基于加密代理连接技术而不是VPN，对此类子网冲突是天生免疫的。

双因子权鉴登录

典型的VPN方案静态连接办公网络是基于x.509证书，在建立VPN初始连接时手动进行交换。近年来基于SSL/TLS的VPN方案因为防火墙友好型和自动双向认证变得流行。对于此类用于工业访问的解决方案的担忧是最初的连接仅仅是基于用户名和密码。

双因子权鉴登录意味着您拥有额外的权鉴，例如安装在PC上的个人证书文件或者一个具有时效的手机短信。

因此请确保您选择的远程访问方案拥有双因子权鉴登录功能。

可追溯的日志查询

日志文档可查看何人、何时访问了何物。主要目的不仅是记录某个远程用户对设备做的变动造成的影响，更是确保服务工程师是否完成其服务任务。

确认是否存在日志，以及如何访问日志。

查看安全标准

在自动化行业，设备安全与系统安全同等重要。运动的设备安全事宜甚至被提上政府规章制度，确保OEM厂商在远程服务时必须合理提示现场操作人员正在进行远程操作。(欧洲标准例如，EN 415-10，包装机械的安全标准)

讨论M2M和IoT的专家有忽视该需求的趋势，而只关注系统安全和互动性。

确保您的供应商嵌入了相关方案来应对此类规定。