「物聯網」這個名詞聽起來像是最新的技術浪潮,不過其實早在1999年就已經出現;當時研究人員的想法,是利用RFID標籤追蹤大型的物體網路[1]。這項概念演進發展,大量導入智慧型連網裝置,而Cisco這家主要的連網設備廠商,目前將物聯網定義為物體 (也就是「物」) 連網數量超越人口數的時間點。Cisco甚至預測到了2020 年,將有500億台裝置連上網際網路[2]。
這類裝置相互搭配運作,傳送資料至雲端型應用程式,透過巨量資料分析來實現價值,這樣的願景就是現今所謂的「物聯網」(IoT)。雖然此項願景通常與連網消費性產品有關,但也進軍其他領域,例如目前的「工業物聯網」(IIoT),利用現場或廠房的數千個感測器提供資料,即時達到最佳生產力及資源使用率,進而實現「工業 4.0」全新工業革命。
本白皮書將探討 IoT 的各項承諾,實作 IoT 的各項技術和標準,再對比能源產業已經使用的項目,探討智慧電網專案期間發現的各項挑戰。本文也將討論如何擷取及使用現有應用的資料,並仍能符合關鍵基礎設施的安全需求。
定義 IoT
物聯網定義相當混亂,其中包含大量的應用和技術。連網裝置、自動化和軟體的各大廠商都加入了這一波浪潮,各界不斷大肆宣傳這項新型商業契機的作法,使得 IoT 定義的釐清更加困難。此外,物聯網說明內容一般維持在大方向,很少有人從技術層面切入,探討如何建構 IoT 實現所有效益。
標準開發組織 (SDO) 已經組成工作小組,以提出 IoT 的正式架構。例如 IEEER 已經建立 IoT 計畫,將 IoT 定義為「由各個內嵌感測器的連網項目所組成的網路」[3]。其中已經提出 140 項以上的相關標準和專案,並組成 IEEE P2413 工作小組負責定義架構,並釐清各 IoT 領域、其抽象概念和共通處。
P2413 工作小組已經提出下列 IoT 領域:居家和建物、零售、能源、製造、行動及運輸、物流、媒體、醫療保健。P2413 以大方向為原則,將架構定義為三個層級,包含應用、網路和資料通訊、感測[4]。
由於大量的智慧型電子裝置 (IED) 部署於變電所及配電網路,因此各界經常將能源產業視為實現 IoT 理所當然的機會目標。不過,討論內容通常侷限於 AMI 及「智慧型」溫控等常見應用。可惜的是,大多未能提及能源產業在智慧電網專案中,透過本身連網裝置標準型架構所汲取的豐富寶貴經驗。
以下將詳細探討各項 IoT 概念,說明其中牽涉的技術,並就智慧電網計畫的工作成果來闡述。
網路連線及資料通訊
網路連線
IoT 的基礎概念,是感測器網路將傳送資料至各項應用程式,以便為組織或個人創造價值。一般是假設各個感測器將獲派獨一無二的位址,而資料會透過公共網際網路基礎設施傳輸至雲端型應用程式。不過,如果有500億個裝置要直接連網,就需要大幅改變裝置定址的方式。
網際網路通訊協定原本是設計為研究專案,使用32位元的定址空間,這在當時並不構成問題。此外,位址原本的分配方式相當浪費,造成目前IP位址空間耗盡,在使用目前版本網際網路通訊協定IPv4的情況下,已經沒有未指派公共IP位址的區塊。
到目前為止,這項限制並未阻止網際網路成長,因為大部分電腦和連網裝置並不需要公共IP位址,而是使用私人IP位址,透過執行網路位址轉譯 (NAT) 的路由器存取網際網路。NAT 不僅降低對個別公共位址的需求,也提供安全層,只有對外的路由器具有公共 IP 位址,而無法由外部直接存取私人位址範圍之中的裝置或電腦。
然而,必須要有使用更大的位址空間,才有可能實現500億台個別定址裝置的IoT願景。新版標準也就是所謂的IPv6,使用 128 位元定址空間,理論上能夠提供2128或約3.4×1038個位址,足以因應所有可預見的應用需求。
現代電腦作業系統一般可支援 IPv4 及 IPv6,不過,製程控制、自動化及保護使用的 IED,一般並不支援 IPv6。這類裝置可執行特定作業,滿足非常嚴峻的成本要求及環保規範。為了因應這類要求所使用的電子裝置,只能提供非常有限的運算能力和記憶體。此外,裝置設計人員將重點放在裝置功能,通常僅實作最低限度的通訊及安全功能。在自動化領域中,基本上已採用網路連線技術來取代點對點接線。系統之中的裝置可透過網路互相通訊,不過一般並無法向外連線至網際網路。
雖然未來裝置廠商最終將轉移至 IPv6 定址,但關鍵基礎設施的組織,絕對會繼續控制及限制存取其現場裝置。安全從業人員一般認為,使用公共網際網路與現場裝置通訊,會帶來嚴重的網路安全及服務品質 (QoS) 疑慮。
通訊
能源產業透過變電所自動化及智慧電網專案,獲得通訊技術和通訊協定方面的豐富經驗。就變電所而言,通訊特性為裝置對裝置,其中的關鍵需求為可靠性、低延遲及決定性行為。在能源產業方面,IEC 61850 標準已定義架構保護裝置,其基礎為使用乙太網路傳輸抽樣值及 GOOSE 訊息。乙太網路可提供快速的裝置對裝置通訊,並支援優先順序及 QoS。不過即使有了以上功能,其非決定的特質仍然招來質疑。
SCADA/RTU 應用特性可歸類為裝置對伺服器,其時間要求並不像保護那麼嚴格。這在能源產業是透過DNP3、IEC 61870-5-101/104 及 IEC 61850 等通訊協定處理,透過各種LAN及WAN通訊網路傳輸。
即使其特性可歸類為裝置對伺服器,AMI 應用的時間要求寬鬆許多。其中一項關鍵差異是 AMI 控制功能一般不需要及時回應。SCADA 用於控制電氣設備,因此需要能夠提供可靠及可預測行為的通訊基礎設施。另一方面,AMI 等應用執行的控制作業非常少。大部分作業包含定期讀取電錶讀數,電錶斷線的控制要求非常少。因此 AMI 系統一般使用各種不同的通訊技術,從電力線載波 (PLC) 到各種無線方式,其中許多具有高延遲和低頻寬等問題。
這類通訊技術連接至公用設施時,大多利用實作場域網路 (FAN) 的資料集中器,作為閘道連往公用設施廣域網路 (WAN)。智慧電網計畫[5]也確認及提出各種不同標準和通訊協定,其中包括 IEC 61850。
雖然能源產業中,裝置對裝置、裝置對伺服器通訊協定均已充分定義且使用普遍,但是在提供標準化資料給商業應用方面的成果比較少。即使 CIM 和 IEC 61850 已提供互通性基礎,智慧電網應用大多仍於專屬的廠商獨立環境運作。
通訊協定
在網際網路和自動化系統之中,執行資料擷取的方式大不相同。一般來說,SCADA/RTU 仍然主宰自動化領域的機器對機器通訊。電力產業使用的資料擷取通訊協定,一般為主機/從機或用戶端/伺服器。SCADA 主機 (用戶端) 連線至裝置,並定期輪詢資料。RTU 等裝置及閘道一般會由大量實體點集中資料,透過IED直接連線或提供。實作從機 (伺服器) 的裝置聽取傳入的連線要求,建立通訊工作階段,然後聽取資料讀取要求及控制作業。這是所有常見通訊協定使用的方式,包括Modbus、DNP3、IEC 61870-5-101/104 及 IEC 61850。現代通訊協定也支援時間戳記、資料品質及主動提供報告等功能,以減少延遲及頻寬。一旦建立通訊工作階段,裝置就可在掃描作業間的空檔回報資料變更。
以上所述的所有通訊協定,均設計在各種通訊技術提供可靠作業,包括低頻寬和不可靠的傳輸。現代通訊協定也能匯出裝置點清單,以促進互通性。
在工業層級方面,OPC UA 通訊協定取代舊型 OPC,是工業 IoT (IIoT) 理想選擇。這項用戶端/伺服器通訊協定,不再綁定Microsoft Windows作業系統,而提供了安全性功能,支援 Web 服務介面及資訊模式,目前定義為 IEC 62541。
不過,以上通訊協定均未使用於 IT、Web 和網際網路應用。前述應用使用完全不同的通訊協定系列[6][7]。雖然 Web 採用戶端/伺服器方式,但依據的架構不同,且使用的是無連線的 HTTP 通訊協定。Web 瀏覽器連線至伺服器,傳送讀取或寫入要求,然後關閉連線。Web 伺服器並不會追蹤記錄連線。這種方式提供可擴充性,可同時容納非常大量的用戶端。
HTTP 及其安全版本的 HTTPS,正透過使用所謂「Web 服務」的方式,增加在機器對機器通訊之中的使用情形。由於有越來越多裝置內建 Web 伺服器進行設定和監控,因此也加入可編程介面,使用具象狀態傳輸 (REST) 介面,支援存取裝置資料和設定。基本上這是以 HTTP/HTTPS 來交換結構化為 XML 或 JSON 訊息的資料。
緊密和鬆散結合架構的比較
用戶端/伺服器相當適合自動化應用,因為系統架構獲得妥善定義,並且非常穩定。SCADA 主機使用 RTU、閘道和 IED 的位址和點清單預先設定,RTU 及閘道則使用裝置的位址和點清單預先設定。架構因此得以緊密結合,所有裝置可安全有效地交換即時資料。不過,若要新增新裝置就必須更新系統設定。
用戶端/伺服器的替代方案為發佈/訂閱方式。在這類架構中,只要裝置有需要報告的資料或事件,就會主動發佈訊息。有一種特殊類型的伺服器會負責代理,管理訊息佇列,將其組織為各個主題。用戶端應用程式訂閱主題,以便接收資料。使用發佈/訂閱及訊息,將產生鬆散結合的架構。新裝置可輕鬆新增至系統,並開始在特定主題發佈資料。用戶端應用程式將接收資料、識別資料源自新裝置,然後依此調整本身架構。顯然就網路安全及互通性能力而言,管理鬆散結合架構本身就存在著各種挑戰。
最常見的 IoT 願景是鬆散結合的裝置及感測器網路,透過傳訊架構發佈資料,使用各種 Web 服務及傳訊通訊協定,例如訊息佇列遙測傳輸 (MQTT)、受限應用協定 (CoAP)、資料分配服務 (DDS)、進階訊息佇列協定 (AMQP)。除了AMQP 以外,以上大部分通訊協定都尚未普遍使用。AMQP 通訊協定用於金融業,支援交易模式,因此更為複雜,不適合用於邊緣裝置。就我們所知,以上通訊協定都未用於能源產業的自動化系統和裝置。
在電力產業及 IEC 61968 標準的通用訊息模型 (CIM) 之中,已提案納入使用傳訊架構。使用傳訊可在裝置和企業應用程式之間建立橋樑;這兩者運作環境的需求完全不同。
其中一家廠商 Intel 已經提出 IoT 閘道開發平台,支援各式各樣的通訊技術,並提供軟體支援傳訊通訊協定及安全性。這類裝置可連結這兩種不同環境[8]。
不過為了實現真正的互通性,裝置和應用程式也必須共用通用資料模型,這就是IEC 61850和CIM為電力產業完成的成果。
語義
IoT 的一大挑戰,就是要理解感測器產生的大量資料。廠商推動的願景,是讓大量裝置和感測器共同運作,提供資料給精密的軟體應用程式。不過,為了達成以上願景,應用程式需要瞭解資料意義,也就是所謂的語義學。感測器讀取的是電壓還是溫度?溫度是攝氏或華氏度數?比例係數為何?
為了達到互通目標,裝置需要發佈自己的資料模型,而軟體應用程式則需要依此自行設定,基本上實作所謂「隨插即用」的模式。
能源產業透過 IEC 61850 及 CIM,在資料建模和電力網路「物」的語義方面,具有強大的領先優勢。不過,我們可以發現願景仍未完全實現,IEC 61850 所提供的,大多只有相同廠商裝置之間的互通性。
雲端運算
前幾節我們探討裝置如何通訊及產生資料,以便由應用程式處理。IoT 承諾的各項效益,將透過應用程式實現,使用前述資料產生各種寶貴資訊。不過,企業應用程式相當昂貴,組織面對的挑戰,正是要負擔高額成本來部署及維護這類應用程式。廠商持續演進發展各項應用程式,新增各種全新功能,滿足市場及客戶需求,不過組織根本無法負擔如此迅速的變更。「如果沒壞,就不要修。」
IoT 其中一大基礎是雲端運算,這勢必能解決許多以上挑戰。美國國家標準與技術研究院 (NIST) 將雲端運算定義為「可實現普遍、便利、隨需的網路存取模型,取得共用的可設定運算資源集區 (例如網路、伺服器、儲存設備、應用程式及服務),能夠以最少的管理工作或服務供應商互動迅速佈建及發行。[9]」
收集裝置和感測器資料的應用程式,需要的磁碟儲存容量持續增加。透過進階分析處理此類資料,從中擷取寶貴資訊和趨勢的作法,需要豐富的運算功能。維護應用程式及安裝各種更新,因應錯誤或安全問題所需的 IT 資源可能無法取得,對於規模較小的公用設施更是如此。
雲端運算平台提供兩種效益:受管理的基礎架構服務及軟體架構,簡化開發大規模應用程式。雲端運算建構於現代系統的虛擬化功能,向組織提供隨需運算及儲存功能,並透過使用容錯系統及分散各地的資料中心,確保提供高可用性。最重要的是,雲端運算可確保即時套用各項更新及修補程式。雲端運算提供各式各樣的服務模式,因應不同的使用情況:軟體即服務 (SaaS)、平台即服務 (PaaS)、基礎架構即服務 (IaaS)。
SCADA、DMS、EMS 及 FLISR 等公用設施應用程式,對公共設施營運相當重要,因為這類應用程式操作遠端裝置,管理傳輸或配電系統,是關鍵基礎設施的一部分。因此這類應用程式的可靠性及安全性要求非常嚴苛,一般由公用設施 IT 團隊部署於高度安全的公用設施資料中心。NERC CIP 等網路安全架構及標準,要求系統營運商實作可稽核的安全控制功能。在公用設施資料中心內部部署及維護應用程式較為昂貴,因此提供了公用設施可完全稽核的控制功能,規定可以使用應用程式的對象,以及如何管理資料和裝置存取。
雲端運算廠商主張自己提供的安全性層級,能夠因應所有適用需求。不過,如果在雲端部署應用程式,公用設施 IT 及網路安全團隊就必須仰賴第三方,喪失本身部分的控制能力。
然而,對重要性較低的應用程式和組織而言,雲端提供的重大效益,可能比喪失控制能力更為重要。雲端也能讓規模較小的公用設施,存取在其他方面無法負擔使用的應用程式。
公用設施可利用多重層級方式及私有雲端,享有雲端型解決方案的各種好處,同時也能兼顧安全性。公用設施可以選擇管理本身內部的資料擷取應用程式,由自己的私有裝置網路收集資料,並使用閘道應用程式將資料推送至雲端型應用程式進行處理。
網路安全
網路安全必須成為IoT的基本特性。然而,安全從業人員多半將IoT視為正在發生的災難事件。500 億台裝置連線公共網際網路的願景,將引發各界嚴重疑慮,擔心惡意軟體、大規模殭屍網路,以及阻斷服務 (DDOS) 攻擊[10] 等事件普遍散佈。
研究人員不斷發現內嵌式裝置的弱點,例如車輛因為內建電腦網路而遭到竊取、節律器及胰島素泵遭到入侵、智慧型電視殭屍網路等等。網路安全從業人員將此歸咎於裝置製造商注重提供產品功能,但其安全技術仍十分有限。
IEEE P2413 工作小組已經成立子工作小組處理網路安全問題,並瞭解所謂的四大信任要素 (Quadruple Trust):保護、保全、隱私及安全。小組已經深入探討安全性問題,並將其作為主要原則[4]。
能源產業再次因為領先發展而受益。網路安全一開始就是智慧電網計畫的關鍵要求,且已投入大量心力定義各項已於報告正式提出的需求,例如智慧電網安全的 NIST 7628 準則。雖然這類準則並未因應 IoT 本身,但確實針對能源產業的各項應用定義網路安全要求,涵蓋發電廠到客戶場所。此外,許多公用設施必須達到 NERC CIP 網路安全標準,並由此獲得保護資產的寶貴經驗。基本上,關鍵資產必須隔離,獨立於安全的網路區域,並且必須將區域之間的網路流量加以限制,僅提供給獲得授權及驗證的實體;因此,深度架構必須採取分層防禦。
達成保護、保全、隱私及安全的 NIST 四大信任要素,需要使用密碼,並因應其中產生的所有主要關鍵挑戰。可用的分散式隨需運算資源持續增加,引起各界疑慮擔心加密金鑰遭到暴力攻擊法破解,因此要求使用更強大的金鑰,以及更強大的裝置。在私有網路隔離裝置,也可能是解決方案。
管理裝置生命週期
筆者在前一份白皮書[11]曾經探討過,連網裝置管理仍會是需要因應的挑戰。開發應用程式和策略支援完整的裝置生命週期,是降低所有連網「物」整體擁有成本 (TCO) 的必要措施。目前有許多佈建、調試、更新及棄置作業,仍需要由高度合格人員手動執行。
在這方面,建立 IoT 的 IT 領域大幅領先。連網裝置廠商提供網路管理軟體 (NMS) 支援其裝置。不過,這類軟體一般用於支援單一廠商裝置,執行非常充分定義的功能。目前正在努力定義標準介面,規定哪些裝置可以發佈本身功能,並以編程方式管理。只是開發通用管理平台仍是挑戰,甚至在經濟考量上也不太可行。
結論
本白皮書試概述實作 IoT 的部分現有技術,以及與能源產業現行努力成果的相關性。
IoT 將站穩腳步繼續發展。參照 Gartner 技術成熟度曲線 (Gartner Hype Cycle),我們可以表示 IoT 願景的觸發因素,是廣泛採用的網際網路,以及依據通用網路連線技術不斷增加的連線裝置。IoT 目前處於「期望膨脹的高峰期」(Peak of Inflated Expectations)。工業及電力產業的所有主要廠商,目前都推出 IoT 計畫並推動其願景。
我們已經瞭解 IoT 已自然地連結到能源產業的現行努力成果。裝置及感測器大量部署,協助管理電力基礎設施。雖然這類裝置可能絕對不會透過公共網際網路連網,但其資料可利用 IEC 61850 及 CIM 加以結構化及建模,並使用傳訊技術和 Web 服務在企業層級交換。進階軟體應用程式可利用雲端型平台提供的功能加以開發,以便提供公用設施各項寶貴資訊,實現最佳化作業。不過,以上解決方案可能將以私有雲端為基礎,並含有透過安全 Web 介面及 Web 服務型 API 公開的資料子集。
(本文作者Jacques Benoit任職於Eaton Cooper Power Systems)
參考資料
1. Internet of Things, 維基百科,來源:https://en.wikipedia.org/wiki/Internet_of_Things
2. D. Evans, “The Internet of things: How the next evolution of the Internet is changing everything,” Cisco Internet Business Solutions Group (IBSG), White Paper, April, 2011. 來源:http://www.cisco.com/web/about/ac79/docs/innov/ IoT_IBSG_0411FINAL.pdf
3. IEEE, “Towards a definition of the Internet of Things (IoT)” 來源:http://iot.ieee.org/images/files/pdf/IEEE_IoT_ Towards_Definition_Internet_of_Things_Issue1_14MAY15.pdf
4. Oleg Logvinov, “Standard for an Architectural Framework for the Internet of Things (IoT) IEEE P2413” 來源: https://grouper.ieee.org/groups/2413/Intro-to-IEEE-P2413.pdf
5. V. Cagri Gungor et al., “A Survey on Smart Grid Potential Applications and Communications Requirements”, IEEE Transactions on Industrial Informatics, Vol. 9, No. 1, February 2013.
6. Stan Schneider, “Understanding The Protocols Behind The Internet Of Things”, Electronic Design, Oct 9, 2013. 來源:http://electronicdesign.com/iot/understanding-protocols-behind-internet-things
7. Aron Semle, “IIoT Protocols to Watch”, Automation.com, October 26, 2015. 來源:http://www.automation.com/ library/white-papers/iiot-protocols-to-watch
8. Intel Gateway Solutions for the Internet of Things. 來源:http://www.mcafee.com/ca/resources/solution-briefs/ sb-intel-gateway-iot.pdf
9. P. Mell, T. Grance, “The NIST Definition of Cloud Computing”. 來源:http://csrc.nist.gov/publications/ nistpubs/800-145/SP800-145.pdf
10. The Economist, “In the nascent “Internet of things”, security is the last thing on people’s minds”. 來源:http://www. economist.com/news/science-and-technology/21657766- nascent-internet-things-security-last-thing-peoples
11. Jacques Benoit, “Managing the Smart Grid Building Blocks”, Proceedings of the Power and Energy Automation Conference, March 2014, Spokane, WA.
12. The Gartner Hype Cycle, 來源:http://www.gartner. com/technology/research/methodologies/hype-cycle.jsp