האינטרנט התעשייתי של הדברים (IIoT) – הרעיון שלפיו כל המערכות צריכות להיות מחוברות בקנה מידה עולמי, על מנת לחלוק ביניהן מידע – הופך מהר מאוד למציאות. כיום, יש מספר גדל והולך של חברות, במיוחד בשוקי הציוד התעשייתי, שלוקחות את האינטרנט התעשייתי של הדברים צעד אחד קדימה, על ידי יצירת מערכות מורכבות שמשלבות חיישנים, יכולת עיבוד ותקשורת, על מנת ליצור מפעלים חכמים, רשתות אנרגיה חכמות ואפילו ערים חכמות. ההתפתחויות האלו מרחיבות את הפריון ואת הרווחיות ומעשירות את החיים.
איור 1. קביעת לוח זמנים לייצור באמצעות ERP/MES
הטכנולוגיה החדשה שיושמה על המערכת על השבב וניתנת לתכנות במלואה – Zync 7000 – של ®Xilinx עוזרת להעביר את המערכות החכמות אל מגזר הייצור היצרני של האינטרנט התעשייתי של הדברים. שער החיבור החכם, שתוכנן על ידי חברת SoC-e, מפשט את הפריון ומסייע בידי חברות כגון Microdeco להיות מחוברות ומאובטחות באופן אמין יותר.
על מנת להגדיל למקסימום את הרווחיות, צוותי מפעלים מחפשים יותר גמישות עבור המערכים שלהם, יותר מידע לגבי תהליך הייצור והמוצרים המיוצרים, יותר חוכמה בתהליך העיבוד של הנתונים האלו ושילוב יעיל של ניסיון אנושי ואינטראקציה בין אנשים. אך עם זאת, בזמן שמופיעות טכנולוגיות חדשות בתחומי המפעל, היוצרים שלהם חייבים לכבד כמה כללים. הראשון והחשוב מהם הוא הכלל האומר שהייצור לא יכול להיפסק. הטכנולוגיות החדשות חייבות לעמוד בתאימות עם המערכות הישנות ויש לאפשר יכולת פעולה ביינית בין היצרנים. יתר על כן, הפתרונות אמורים לספק אמצעי עבור נקיטת הצעד הבא באוטומציה, שיוביל אל ניתוחים מבוזרים יותר או אוטונומיים יותר.
על מנת להשיג את מה שרבים מכנים “המהפכה התעשייתית הרביעית”, המפעלים צריכים שהתשתיות והמערכות ישתמשו בטכנולוגיית המידע ובמערכות אלקטרוניות עבור ייצור אוטומטי. על אף שרבים מהמפעלים עברו לאוטומציה כבר בגל התיעוש השלישי, בתרחישים רבים יש צורך לממש שני צעדים בו בזמן: את הצעד של ההתפתחות השלישית של האוטומציה ואת הצעד של ההתפתחות הרביעית של האוטומציה. מצב זה מציע הזדמנות טובה שבה אפשר לשלב את תשתיות טכנולוגיית המידע באופן כזה שיתאימו לדרישות החדשות עבור מפעלים חכמים, אך גם שיעמדו בתאימות עם המערכות של תזמון הייצור ושל האוטומציה של העידן השלישי. איור 1 מתאר את מערכת הייצור האופיינית שמשמשת במידה רחבה בתעשייה ומסייעת לאמץ ולשפר את הייצור לפי דרישה. התוכנה לתכנון משאבי הארגון (ERP- Enterprise resource planning) מתבססת על כלים שתומכים במסד נתונים מסחרי. היא מגדירה מה נדרש לייצר. בינתיים מערכת הארגון היצרנית (MES – manufacturing enterprise system) מתמקדת בקביעת לוחות זמנים לייצור. היא משתמשת בהודעות הפלט של ERP, מתקשרת עם ציוד מפעל הייצור ו’אומרת’ לציוד מה נדרש לעשות.
איור 2. שער החיבור החכם CPPS-Gate40 של SoC-e
התחברות לרשת, עיבוד וחישה במפעל החכם
כאשר יש כל כך הרבה חברות שמציעות סוגים שונים של ציוד למפעלים ודורות רבים של אותו ציוד שקיימים זה בצד זה, ההתחברות לציוד שמקורו אצל יצרנים שונים ובתקופות זמן שונות ואשר עומד בתאימות לתקנים שונים, יכול להיות מאתגר לא מעט. הדבר הופך להיות מורכב עוד יותר בשל העובדה שציוד זה של המפעל חייב גם לתקשר עם רשת טכנולוגיית המידע (IT) של החברה (הארגון ו/או האינטרנט), עם שילובים של מערכות מבוססות PC, עם חיבורי שער, תיבות שחורות ומתגים תעשייתיים שבנויים סביב פרוטוקולים מרובים. במצב זה המפעל יכול בקלות להפוך להיות סיוט הטרוגני, שיחסרו בו הפשטות והגמישות שנדרשים להפעלה מסוג ‘תקע והפעל’. שערי חיבור חכמים כגון CPPS-Gate40 של חברת SoC-e (איור 2) יכולים למלא תפקיד חיוני בהציעם פעולה מאובטחת ושקופה בין שני העולמות (עולם המכונות ועולם טכנולוגית המידע).
חברת Microdeco מייצרת חלקי מתכת קטנים עבור תחום כלי הרכב. החברה מחפשת ללא הרף אחר דרכים לשיפור הפריון, והיא נמצאת בחוד החנית בנושא של שימוש במערכות חכמות. במפעל לניסיון של החברה, שנמצא בארמואה, ספרד, בנתה Microdeco תשתית התחברות לרשת סביב התפיסה של שערי חיבור חכמים שמשלבים באותה מערכת, רישות, עיבוד וחישה.
אחד האתגרים העצומים ביצירת מפעל חכם, מונח בחיבור של המערכות השונות. המפעל כולל קישורים אופטיים למהירות גבוהה שמחברים בין האזורים של מערכת הייצור הפיסית במרחב הקיברנטי (CPPS -Cyber physical production system) – כלומר, כל קבוצה בייצור הכוללת את המכונות, החיישנים והמנועים הליניאריים (actuator). שער החיבור החכם הוא האחראי על כל תשתית התקשורת. באלו נכללים המיתוג במהירות גבוהה עבור קישורים סיב אופטיים וחיבורי tri-speed Ethernet גמישים למימוש של פרוטוקולי Ethernet רגילים או פרוטוקולי Ethernet תעשייתיים בכל תא, עם חיבורי port טוריים, על מנת לממש את הפרוטוקולים התעשייתיים שמשמשים במידה רבה, כגון Modbus ו-Profibus.
איור 3 מראה כיצד כל שער חיבור חכם שמותקן בכל מכונה (באזור CPPS) מקושר לחיבור הבא בעזרת קישור סיב אופטי יחיד. את התשתית משלימים בעזרת חיבור
איור 3. אגף המחרטות במפעל של Microdeco
של כל המכשירים בטבעת יחידה שמממשת את הפרוטוקול ליתירות שקופה בזמינות גבוהה (HSR – High Availability Seamless Redundancy). פתרון לא קנייני זה (IEC 62439-3 Clause 5) של ‘זמן שיקום באפס השהיה’ ב-Ethernet מאפשר למפעילים לנתק כל ציוד מהטבעת מבלי שהדבר ישפיע במידה חמורה על צמתים אחרים או על ציוד אחר שנמצא במפעל. פעולה אמיתית זו של ‘תקע והפעל’ מפשטת את השינויים במערך המפעל. יתר על כן, HSR תומכת בפרוטוקול סנכרון בפחות ממיקרו שנייה IEEE 1588v2 ביתירות, שמפשט את הסנכרון של המערכת לביצוע שחזור מדויק של נתוני חיישן שנדגמו או מפשט את מימוש משימות הבקרה.
על מנת לספק יתירות חלקה, כל צומת HSR שולח את מסגרות Ethernet דרך שני הכיוונים של הטבעת. גישה זו מאפשרת לכבל להיות “חם”, פעיל כל העת או לחבר ולנתק ציוד. כל צומת אחראי להעברה של שתי המסגרות, והתמיכה בתקן IEEE 1588v2 מתקנת את זמן השהות (residence time) ואת זמן השהיית הקישור על מנת להבטיח את דיוק התזמון ברשת כולה. באופן כזה, עיבוד המסגרות בחומרה הופך למחויב על מנת להבטיח זמני עיכוב אחזור (latency) קבועים וקצרים בכל צומת. ואמנם, תקן IEC ממליץ על גישה של “העברה מיידית” (cut through) לצורך העברה של מסגרות בטבעת.
על מנת להימנע מהעברת מסגרות במעגל הפצה (circulation), הצומת שמקבל את המסגרות בתקשורת ליחיד (Unicast) יהיה אחראי להסרת המסגרות מהטבעת. כאשר מדובר בתעבורת תקשורת לרבים (Multicast) או בתעבורת שידור, השולח מסיר את המסגרות כשהוא מקבל אותן בחיבור ה-port היתיר. כמו כן, מיושמים כללים נוספים שמתייחסים למסגרות המועברות במעגל הפצה (כמו למשל מסגרות שהושחתו) כדי להבטיח את יציבות הרשת.
HSR, המשולב במקרים רבים עם פרוטוקול יתירות מקבילי (PRP), הוא הפרוטוקול לזמינות גבוהה ברשת Ethernet אשר מומלץ בתקן האוטומציה של אחד המגזרים הקריטיים ביותר בעולם: תחנות כוח משניות. מגזרים נוספים כגון, התחום הצבאי ותחום החלל-אוויר מאמצים אף הם את הפתרונות האלו, של שכבה 2 (Layer 2).
איור 4 תרשים בלוקים של מימוש המערכת על שבב Zynq
שערי חיבור חכמים מספקים מיתוג בחומרה מרשת Ethernet וחיבורי port טוריים אל טבעת תשתית HSR. קיימים שני שערי חיבור חכמים, הנראים בצד ימין ובצד שמאל של איור 3, אשר מחברים את טבעת HSR עם הרשת הארגונית המבוססת Ethernet ופועלים כתיבת יתירות (תיבה אדומה – RedBox). מבחינה פונקציונלית, נקודת הגישה המוצגת בצד ימין היא אופציה, שכן אפשר להשתמש בה כדי להימנע מנקודת הכשל היחידה שעלולה הייתה להופיע במקרה של רשת שבה משתמשים בתיבת RedBox יחידה. אנחנו ממליצים לממש את המערך עם שתי התיבות במקרים שבהם נדרשת זמינות גבוהה או כאשר יש צורך לנהל מסגרות PRP בצמתים החיוניים ברשת של הארגון.
בנוסף, קיימים חיבורי port פנימיים לרישות בתוך שער החיבור אל חלקי העיבוד של התקן המערכת על שבב. ברוב המקרים, גישת מיתוג “פשוטה” תהיה חסרת ערך בעת חיבור המפעל לעולמות השונים של טכנולוגית המידע. חוסר האחידות בתבניות של הנתונים ושל הרשתות יהפוך את ביצוע החיבורים הישירים מורכב למדי. על מנת שאפשר יהיה לתקשר עם מסדי נתונים מקומיים, ארגוניים או בתוך ענן המחשוב, יש צורך במערכת עיבוד משולבת ורבת יכולת. בנוסף, מערכת כזו תהיה אחראית לתרגום של פרוטוקולים, לניהול מערכות ממשקי HMI, לתמיכה במערכות MES ואף להפעלה של בקרים מתוכנתים בתוכנה (soft PLC) לצורך בקרה בזמן אמת. וזה לא הכל! הלקוח מצפה שמערכת כזו תבצע בציוד גם עיבוד וסינון של נתוני חיישנים מורכבים וכמובן פעולות מתקדמות של אבטחה במערכת הקיברנטית.
במערכת קיברנטית מסוג זה של מתקני ייצור מתקדמים, דרישות האבטחה משתנות באפן נרחב. אבטחה מתקדמת נחוצה על מנת להגן על המצב של הייצור עצמו, תוך כדי הימנעות מהפרעות זדוניות או מקריות שנגרמות על ידי כל תשתית קיברנטית (התקנים, רשת, תוכנה או חומרה). יש צורך גם לאמת את זהות המשתמשים וההתקנים שניגשים למידע או לכל פעולה קריטית. מעבר לכך, יש להגן על מידע זה ועל פרוטוקולי הבקרה במונחים של אימות זהות ופרטיות, מאחר שרשתות של בתי חרושת מחוברות לרשתות רחבות יותר של טכנולוגית המידע בארגונים ומחוץ להם.
איור 5. תשתית תוכנה לרשת המפעל החכם
על אתגרים אלו אפשר לענות רק בגישה של אבטחה קיברנטית בשכבות, אשר תיקח בחשבון כל מימוש אפשרי של מפעל. מרכיב נפוץ בכל הפרויקטים הוא הצורך בתמיכה באתחול מאובטח ובאחסון נתונים עם הצפנה ואימות זהות. תכונה זו תהפוך לאמין את המימוש של תוכנה מאובטחת ושל רשתות מאובטחות. ההגנה על מערכת משובצת שניתן לתת בה אמון הופכת להיות קשה יותר ויותר בשל המספר הגדל והולך של התקנים ובגלל חוסר האחידות שלהם.
לצורך אימות זהות ועבור אבטחה ברשת, מערכות אלו יכולות להשתמש ישירות בפתרונות הרבים הקיימים כיום בעולם טכנולוגית המידע. דוגמה טובה לכך הם מנגנונים ידועים לאימות זהות כגון, IEEE 802.1X בשילוב עם RADIUS. מערכות משובצות רבות עם מערכות הפעלה ברמה גבוהה יכולות להפעיל ספריות הצפנה (כמו למשל OpenSSL) כדי לתמוך בכל הפרוטוקולים של שכבה 3 (Layer 3) והיישומים המאובטחים השימושיים בהעברת נתונים מאובטחת. עם זאת, האתגר הגדול מופיע כאשר יש צורך לאבטח פרוטוקולים תעשייתיים בשכבה 2 עם דרישות חמורות של זמן אמת. הניתוח של התרחישים האלו מראה שהשימוש בגישה של תוכנה להגנה על מסגרות אלו על ידי הפעלה של אלגוריתמי הצפנה או אפילו על ידי שימוש במאיצי הצפנה, אינו ישיר, ובמקרים רבים נדרש עיבוד בחומרה בהתאמה אישית.
בטופולוגיה המוצגת, מנקודת המבט של הרשת ושל המשתמש, יש צורך לאבטח באמצעות מנגנונים של אימות זהות שלושה קישורי רשת – HSR/ PRP בעל היתירות, חיבור המיתוג 10/ 100/ 1G וחיבורי port לשירות. בנוסף, כתוצאה מכל תעבורת הרשת של המפעל העוברת דרך שער החיבור החכם, שלושת הקישורים ימלאו תפקיד חיוני ביותר בניטור התעבורה להגנה מפני איומים אפשריים.
התפישה הסופית תכלול שילוב של סוויטת ממשק חיישנים. כפי שכבר נאמר, ההתפתחויות בטכנולוגיה אמורות לסייע בידינו לפשט את ההתקנות, ולא להפוך אותן למורכבות יותר. כדי לעמוד בדרישה זו, שילבנו את כל הממשקים האנלוגיים והספרתיים הרגילים בשער החיבור. בנוסף, הכללנו גם את הממשקים המתקדמים ביותר עבור חישני רעידות וממשקים מהירים להרכשת נתונים עם גישה ישירה להתקן המערכת על שבב Zynq.
כיצד הפלטפורמות של מערכות על שבב הניתנות לתכנות, מניעות את השינוי
“הקסם” של מיזוג רישות מהשורה הראשונה, עיבוד רב יכולת ויכולות חישה הושג הודות לפלטפורמות של המערכות על שבב הניתנות לתכנות. המוצר שלנו, שנקרא CPPS-Gate40, משבץ את התקן המערכת על שבב הניתנת לתכנות במלואה Zynq-7000 של Xilinx שאותה מימשנו על המודול ליצרני ציוד מקור (OEM) SMARTzynq של SOC-e. הליבה הכפולה Cortex™-A9 של שעל ההתקן מקבלת השלמה עם משאבי זיכרון שונים (DDR3, הבזק, יחידות זיכרון גדול מאוד וכיו”ב) ועם חומרה כדי לתמוך בריבוי של קישורי רשתות מהירים. תשתית זו מציעה רמה עצומה של חופש ליצירת מחיצות של עיבוד תוכנה וחומרה, על מנת לעמוד בפני אתגרים שיישומים אלו מעמידים.
מנקודת מבט של החומרה, הלוגיקה הניתנת לתכנות של המערכת על שבב היא המועמד המתאים ביותר למימוש של משימות רישות עם זמן אחזור קצר בשילוב עם יחידות התמיכה בחומרה לפי תקן IEEE 1588v2. איור 4 הוא תרשים בלוקים של מימוש המערכת על שבב של CPPS-Gate40 במימוש של מפעל Microdeco. תשתית המיתוג של הרשת מתואמת באמצעות ליבת IP של המתג ל- HSR/ PRP/ Ethernet (HPS) של SoC-e שמבטיחה זמן העברה קבוע של 550 ננו שנייה בכל צומת של הטבעת, ומשלבת חיבורי port פנימיים וחיצוניים בתקשורת tri-speed Ethernet.
ליבת IP הבסיסית לזמן מדויק (PTB) “מרחרחת” (sniff) ומוסיפה חתימת זמן לחיבור port הפנימי, ובכך מספקת תמיכה למחסנית PTP. תשתית IEEE 1588v2 מאפשרת לשערי חיבור חכמים לפעול כשערים שולטים (master), כשערים נשלטים (slave), כשקופים לאותות שעון וכמקורות קצה לאותות שעון. לכן, בסיכומו של דבר, בכל יחידת ציוד אפשר להשתמש בקוצב זמן (timer) מסונכרן של 64 סיביות לצורך הוספת חתימת זמן, סנכרון, בקרה, או כאות ייחוס זמן משותף לצורך מימוש רשתות ברישות תלוי זמן (TSN).
ליבות רישות אלו, שממומשות בחלק התקן FPGA של המערכת על שבב Zynq מוכנות גם לתמיכה בתכונות של אבטחה קיברנטית, כגון אימות זהות לפי IEEE 802.1X. מנגנון זה, בשילוב עם שרת חיצוני לאימות זהות, מגן מפני התחברויות לא מאושרות לחיבורי port של הרשת. הלוגיקה הניתנת לתכנות של המערכת על שבב Zynq ממלאת תפקיד חיוני ביותר באבטחה תוך כדי פעולה של מסגרות הקשורות לבקרה בשכבה 2, כמו למשל אימות הזהות הנדרש בפעולת אות השעון השקופה לפי IEEE 1588v2.
האבטחה הקיברנטית מתרחבת עוד על ידי האתחול המאובטח של המערכת על שבב Zynq. כל התוכנה החיצונית ותנועות הסיביות החיצוניות להתקן, ואפילו מנהל האתחול (bootloader) ומערכת ההפעלה, מאוחסנים בזיכרון, מוצפנים לפי AES-256 וזהותם מאומתת לפי HMAC. בשילוב עם הגנות נוספות בחומרה הכלולות בהתקן, תכונה זו מבטיחה שהנתונים המגיעים מרחבי התשתית הקיברנטית יהיו ממקור אמין.
נוסף על כך, סוכן ניהול SIEM המותקן בכל CPPS-Gate40, מפעיל (בין היתר) את המשימות הבאות הקשורות באבטחה: מעקב אחר חיבורים חדשים חיבורי SSH וגישה אל כלי ניתוח, גילוי וירוסים ותוכנה זדונית, זיהוי התקפות ברשת, וניתוח תעבורת ARP.
ממשקי החיישנים ממומשים אף הם בחלק הלוגיקה הניתנת לתכנות (הרכשת נתונים מהירה, סינון ספרתי וטרנספורם FFT) ובאמצעות חלק מערוצי התקשורת הקיימים במערכת העיבוד של המערכת על שבב Zynq .
לתשתית התוכנה הממומשת במערכת זו יש יתרונות הנובעים מהאינטגרציה החלקה של הפצת מערכת ההפעלה Ubuntu של Linux בהתקן. רשימת התכונות שבהן Linux תומכת היא מקיפה ביותר. איור 5 מסכם את שירותי התוכנה החשובים ביותר שמומשו מעבר למערכת ההפעלה Linux במימוש המסוים של Microdeco.
על מנת למפות ממשקי חיישנים בפרישת פרוטוקול Modbus TCP הנפוץ בשימוש, פותח אמולטור של בקרים מתוכנתים (PLC) מבוסס שפת Python. גישה זו מפשטת את התקשורת עם תוכנת MES של צד שלישי. במקביל לכך, לקוח SQL מעביר חבילות של נתוני חיישנים – גולמיות או מעובדות באופן ראשוני – אל שרת SQL מרוחק. התרעות ייעודיות ונתונים נבחרים מפורסמים ישירות במסד הנתונים couchDB, המבוסס ענן מחשוב. ניתוח הנתונים יכול להתבצע באופן מרוחק בארגון או בשרת בענן המחשוב, או אף באופן מקומי בשער החיבור החכם. למטרה אחרונה זו המוצר כולל מסד נתונים זמני שיכול לחזות תקלות בייצור או התנהגויות מוגדרות אחרות ולפעול באופן מקומי. תוכנה לניתוח נתונים בהיקף נרחב (big data) המסופקת על ידי Juxt.io היא האחראית לביצוע ניתוחי תחזיות הקשורות להתנהגות מכונות.
ניהול הרשת נתמך על ידי SNMP הודות לממשק API לכלים ניידים של SoC-e. תשתית האבטחה הקיברנטית בנויה סביב תמיכת החומרה של נכסי IP של SoC-e וסוכן SIEM המשולב לצורך מעקב אחר הפעילות ברשת ופעילות המשתמשים.
הגדלת הרווחים באמצעות טכנולוגיה
המכון הגרמני Fraunhofer להנדסה ואוטומציה בתעשייה, צופה שמהפכת Industry 4.0 יכולה להוביל לקפיצה של 20 עד 30 אחוזים בפריון הייצור עד שנת 2025. עם זאת, למגזר התעשייתי נדרשים שינויים הדרגתיים וטכנולוגיות ופתרונות ידידותיים. למשל, מפעל Microdeco מפיק יתרונות מטכנולוגיות מהשורה הראשונה, שמאפשרות לו לשלב תשתיות תקשורת ועיבוד גמישות ורבות יכולת מבחינת המחשוב בקווי הייצור שלו.
את הגישה הזו דוחפים כמה דברים, בהם אפשר למנות: אימוץ של תקנים פתוחים לרישות ולתבניות של נתונים, שימוש בהתקנים שניתנים לקונפיגורציה במערכות על שבב עם יכולת הרחבה ויכולת חלוקה מחדש, ובחירה במסגרות תוכנה שמציעות פריון ייצור ברמה גבוהה (כמו למשל Python במערכת Linux משובצת). מעבר לכך, היצרנים יכולים לקצר באופן חד את זמן היציאה לשוק, על ידי כניסה לשוק חדש זה תוך כדי שימוש בנכסים אינטלקטואליים בחומרה, מוכנים לשימוש ובעלי ערך מוסף, שקיימים כיום.
וכמובן, שעל המערכת לכלול גם אבטחה קיברנטית ברמת ההתקן, התוכנה והרשת.
לקבלת מידע נוסף בנוגע לתיק מוצרי הנכסים האינטלקטואליים בתחום IIoT של SoC-e בקרו באתר החברה.
