虚拟化技术在IT系统中得到了广泛的应用。从服务器、存储、应用程序、桌面到操作系统等多个方面都已实现虚拟化。
服务器虚拟化是虚拟化最常见的用途。它包括将一个物理服务器划分为几个较小的虚拟服务器。这些虚拟服务器中的每个部分都可以运行自己的操作系统和应用程序,使其看起来像是单独运行的机器。这有助于优化资源并降低成本。
存储虚拟化涉及将多个网络存储设备中的物理存储集中到一个由中央控制台管理的存储设备中。这有助于备份和归档,提高效率和速度。类似地,应用程序虚拟化,允许在独立的虚拟环境中运行应用程序,而无需专用主机。桌面虚拟化涉及在服务器上运行的虚拟机内,托管桌面操作系统。这意味着服务器完成所有处理,用户只需要一个小型设备(称为瘦客户端或零客户端)即可连接到服务器。这可以减少用户对硬件的要求,并能提高数据安全性。
虚拟化技术极大地改变了IT资源的使用方式和服务的提供方式,增强了效率、灵活性和可扩展性。然而,虚拟化的好处尚未以显著的方式使工业运营受益。在工业运营中,工业自动化和控制系统(IACS)硬件资源继续作为离散资源存在。随着数字化的推进,此类硬件资源的数量迅速增加,监控、更新和故障排除的时间和费用也迅速增加,这可能需要延长停机时间并导致生产力损失。
01 虚拟化能为工业运营带来什么?
虚拟化可让制造企业获益良多。它们可以将可编程逻辑控制器(PLC)、工业PC(IPC)、人机界面(HMI)、网关以及目前在工厂车间的其他物理计算资源整合到本地虚拟机上,这些虚拟机在超融合计算和存储基础架构上运行。
▲图1:从离散到虚拟化的工业控制系统。
图1显示了如何用一个集中的虚拟PLC池取代多个单独的PLC。这种安排有许多优点:
1 可扩展和敏捷的运营:
虚拟化使制造商能够根据需要添加或删除虚拟机,而不是购买和部署新硬件,从而轻松地扩展其运营。它还简化了添加新应用程序、更新、适应不断变化的工况、产品重新设计等操作。
2 提高安全性:
从工厂车间移除离散硬件,可以最大限度地减少攻击者未经授权就能访问制造资产和过程的潜在途径。虚拟化可以通过隔离关键控制系统来提高IACS的安全性。通过分离网络并在虚拟层实施安全措施,制造商可以将恶意软件传播的风险降至最低。一旦系统被入侵,可以很容易关闭受损的虚拟控制系统,并由新部署的虚拟机替换。
3 改进灾难恢复:
虚拟化允许高效备份、复制和恢复虚拟机,使灾难恢复规划和执行更加精简。它使制造商能够从系统故障或灾难中恢复,减少停机时间,并更快地将对生产的影响降至最低。
4 测试和开发:
虚拟化为测试和开发活动提供了一个理想的环境。制造商可以创建生产系统的虚拟副本,用于测试新软件、配置或系统更新,确保它们不会影响实际生产环境。
5 降低成本:
虚拟化可以帮助减少运营和资本支出。在服务器上运行多个虚拟机,可以降低硬件前期购买成本。更少的物理服务器也意味着需要维护和修复的机器更少。虚拟化通常伴随着简化和自动化虚拟机维护的管理工具。这就可以减少手动管理,并提高生产效率。
6 更好的可持续性:
将计算和存储资源整合为一组中央服务。有助于降低总的能源需求。此外,更轻松地访问更多的过程数据有助于提高效率、减少浪费和降低能耗。
02 为什么虚拟化工业控制系统如此困难?
即使有这些好处,控制系统的虚拟化在制造业还不是主流。如果不能确保解决转型过程中所遇到的挑战,制造商往往对于改变其久经考验的流程和系统会犹豫不决。有效的虚拟化策略需要:
1 精确定时:
工业控制系统大多需要具有确定性响应的实时性能。这些系统控制物理设备,延迟可能导致严重问题,包括安全问题。虚拟化可能会增加延迟,这在工业环境中可能是不可接受的。网络必须具有确定性并确保足够的性能。
2 工业协议:
传统上,工业控制系统和机器被设计为通过第2层网络进行通信,强调精确的定时要求。第2层连接的优点是具有较少的网络中介,并且避免了路由,从而可以降低延迟。用中央计算环境取代单个控制器,将需要第3层网络,因为数据包需要在机器和控制应用程序之间路由。第3层网络不仅需要对第2层业务进行管道传输,而且还需要满足严格的定时和丢包要求。
3 弹性和可靠性:
用路由的第3层取代第2层网络,增加了机器和控制应用程序之间的新链路和网络功能,这使制造过程面临中断风险。一个能够承受链路和设备故障的弹性网络可以确保运营的连续性。
4 安全性:
随着连接的工业资产越来越多,对网络的依赖越来越大,在虚拟化环境中保护运营变得更加重要。该解决方案必须提供详细的可见性,能够发现漏洞,对网络进行粒度分割,并持续监控所连接的设备是否存在任何漏洞。
5 可扩展性和灵活性:
网络基础设施应该是可扩展的,以适应对虚拟化系统日益增长的需求。这包括考虑网络容量、交换机和路由器的可扩展性以及根据需要添加、删除和重新配置虚拟机的能力等因素。
03 网络是IACS虚拟化的关键
▲图2:由Cisco和CODESYS共同定义的用于IACS虚拟化的软件定义网络架构
网络是将单个PLC、HMI、IPC和其它离散硬件资源迁移到中央超融合环境的关键。图2显示了一个简化的软件定义网络架构,说明了主要组件及其连接。
以下是该架构的主要组成部分:
■ 工业以太网交换机提供大容量数据包交换和无损弹性,以实现IACS与受控机器的不间断连接。
■ 智能网络管理系统指导网络的所有功能,从加入设备、初始和永久配置、性能监控、主动故障排除、网络和安全策略,以及维护网络性能和安全所需的一切。它启用软件定义的结构,并确保网络始终处于就绪状态。
■ AAA策略库和服务器,可确保安全的网络访问并强制执行安全策略。它允许组织控制对其网络的访问以及其可访问的资源。
■ 在工业交换机内运行的可视性应用程序有助于识别连接的资产、识别网络流量和发现安全漏洞。利用这种可视性,您可以按照ISA/IEC 62443的要求定义区域和管道,并使用策略服务器和工业交换机执行分段。
■ 集中式的超融合基础架构将计算、网络和存储汇集在一个系统中,为包括虚拟化在内的应用程序提供动力。
■ 虚拟PLC是符合IEC 61131-3标准的集成开发系统(IDE),用于对控制逻辑进行编程,并包含各种文本和图形编辑器。
虽然,IACS的虚拟化并不是主流,它可能还没有出现在您的视线内,但是,从它所能带来的种种好处来看,不难看出它可能很快就会改变游戏规则。事实上,领先的德国汽车制造商奥迪已经开始采用虚拟化,并正在改造其生产线。从现在开始,为制造业的未来奠定网络基础还为时不晚。
关键概念:
■ 虚拟化使制造商能够根据需要添加或删除虚拟机,而不是购买和部署新硬件,从而轻松地扩展其运营。
■ 网络是将单个PLC、HMI、IPC和其它离散硬件资源迁移到中央超融合环境的关键。
思考一下:
为工业控制系统实现虚拟化有哪些好处?
▲本文来自于控制工程中文版杂志(CONTROL ENGINEERING China)2024年6月刊《技术文章》栏目:智能工厂的下一件大事:控制系统虚拟化?