對許多工業物聯網裝置來說，電池或可再生能源是唯一的可用電源。可能的例子為快速大規模部署的無線點對點 (Ad Hoc) 裝置，比如零售信號台 (Beacon) 等。另外一個例子是以獨立設置部署的遠端氣候監控系統。或者也可能是行動機器人，需要離開固定電源，才能發揮功效。

無論什麼情況，這些系統都必須能夠最大化效能，同時保留電池續航力並維持安全性。

對於以電池供電的系統來說，由於有嚴重的資源限制，使得安全性更具挑戰。固定電源供應裝置的系統開發者傾向著重於尺寸、重量和發熱等問題。但在電池設計方面，總耗電量才是最重要的。

許多工程師都忽略了簡易 RSA 與 ECC 加密套件可能會消耗可觀的電量（圖 1）。但電池供電式系統的設計師沒有這樣的餘裕。

圖 1. 運作於嵌入式微控制器 (MCU) 的多種加密套件，以不同時脈頻率執行時的耗電量，以毫瓦時 (mWH) 表示。（資料來源：MDPI）

電池供電式物聯網系統的另一個考量則是加密通訊的延遲問題。一般來說，加密金鑰的長度越長（128 位元或 256 位元等），加密強度就越高。但較長的金鑰也有缺點，因為在使用這些金鑰要求加密資訊時會花費更多的時間（圖 2）。

圖 2. 加密過程有其優缺點，較長、較安全的金鑰可能會增加延遲、耗電量和記憶體需求。（資料來源：ScienceDirect）

延遲可能會對系統造成瀑布效應，尤其當系統為採用電池供電時。若應用程式具有即時性的需求，在延遲方面的限制便可能決定設計中使用的加密金鑰大小，因此影響到系統的安全性。金鑰的長度也會影響耗電量，使用較長金鑰加密資料時，便需要更多的時脈週期。使用較長金鑰時，記憶體用量也是一項考量。

使用信賴平台模組 (TPM) 降低安全性負荷

電腦與網路產業的一項解決方案，為電池供電式系統提供了一種能將安全性負荷降到最低的可能方式。Trusted Computing Group (TCG) 信賴平台模組 (TPM) 的規格在 2009 年正式評定為 ISO 標準。其中規範了負責在內部產生與儲存密碼編譯金鑰的安全協同處理器（圖 3）。

圖 3.  起初，信賴平台模組 (TPM) 標準定義了負責在內部產生與儲存密碼編譯金鑰的安全協同處理器。隨著標準的演進，也包括了韌體與軟體 TPM 系列。（資料來源：Semantic Scholar）

本質上，原始的 TPM 標準規範了獨立的 ASIC，負責由主機處理器卸載許多安全性操作。它也能做為信任根 (RoT)，用於驗證整個系統的完整性，包括周邊裝置與配件。

透過將這些功能轉移到專門的晶片上，開發者便可最佳化延遲與記憶體使用量，而無需採用更大、更昂貴，耗電量也更高的主機處理器。

但獨立 TPM 也有其優缺點，例如成本、尺寸（印刷電路板上需要更多空間），以及其本身的耗電量等。為了因應這個問題，TCG 擴增了他們的產品種類以包含數種不同類型的 TPM，提供多種針對整合、安全性與成本的選項。

圖 4 概略介紹最受歡迎的項目。

圖 4. Trusted Computing Group (TCG) 信賴平台模組 (TPM) 規格擴增以包含不同的實作。（資料來源：Trusted Computing Group）

針對行動或電池供電式系統，韌體 TPM 更為實用。其位於可信任執行環境 (TEE) 內，不受作業系統 (OS) 和其他程式的弱點所影響。

相較於獨立 TPM 或將 TPM 做為硬體整合至系統單晶片 (SoC) 上，韌體 TPM 不佔用實體區域，同時因為不需要額外線路，因此能降低耗電量。

雖然在過去，相較於硬體解決方案，軟體與韌體加密方法會導致大量效能損失（在某些案例中損失達到百分之 50），而較新的實作方式能將這樣的差距縮減到非常小（少於百分之 5）。事實上，如圖 5 所示，特定韌體 TPM 實作的表現現在甚至優於其獨立 TPM 競爭對手。

圖 5. 在多種韌體信賴平台模組 (TPM) 與獨立 TPM 上建立 RSA-2048 金鑰的延遲。（資料來源：USENIX Association）

在以電池運作的裝置中，這樣的效能進步亦有助於補償耗電量，因為主機處理器執行 TPM 命令所需的時脈週期較低。

電池上的安全性：韌體的彈性加上獨立 TPM 的效能

Intel^® Platform Trust Technology (Intel^® PTT) 採用 TCG 的 TPM 2.0 規格，是一種商業級韌體 TPM 解決方案。最近三個世代的許多 Intel^® 處理器均搭載此技術，包括基於 Bay Trail 微架構的低功率 Intel Atom^® SoC，以及第 8 代 Intel^® Core^™ U、Y 和 M 系列。

Intel PTT 會假設根金鑰將儲存在韌體中。雖然此層級的安全性並非最高，不過可在遭到惡意探索時允許進行安全性修補與更新。但透過聰明的安全性架構，也能讓設計師將 PTT 金鑰儲存在硬體中，系統的記憶體子系統之內。

舉例來說，Hyperstone GmbH 的 X1 快閃記憶體控制器本質上可為 Intel PTT 等韌體 TPM 提供硬體協助。針對採用電池並需要快閃記憶體控制器的系統設計，X1 整合一個 AES 和一個 ECC 模組，可對儲存在記憶體中的資料進行硬體加密與解密（圖 6）。此架構有助於降低延遲與總耗電量。

圖 6. Hyperstone X1 快閃記憶體控制器包含兩個專用的硬體加密模塊，有助於降低 Intel^® Platform Trust Technology (Intel^® PTT) 密碼編譯操作的延遲與總耗電量。（資料來源：Hyperstone GmbH）

雖然記憶體控制器在加密作業期間所消耗的電量稍微高於主機處理器，但 X1 搭載最佳化的 AES 與 ECC 模組，能更快速處理這些命令。在長度為五秒的加密過程中，處理器每秒可能會額外消耗一瓦的電量（總共 5 W）。即使 X1 每秒會額外增加兩瓦的耗電量，但可在 1.5 秒內完成操作（總共 3 W）。

此外，上述的安全架構可隨著時間提供更加延伸的安全性。TPM 2.0 規格的基礎原則是提供「演算法彈性」，或是可隨需求實施新的密碼編譯演算法的能力。

因為此解決方案結合了韌體與軟體，具有足夠的彈性可支援納入新加密、演算法、金鑰大小，或未來的 PTT 改變。

Hyperstone X1 控制器包含可整合客戶或使用案例特定安全延伸的 API，並具有 ISO 7816 介面，可與其他安全性元件通訊。後者有助於加快取得資訊技術安全評估準則 (Information Technology Security Evaluation Criteria, ITSEC) 或資訊技術安全評估共同準則 (Common Criteria for Information Technology Security) 等標準的憑證，高達評估保證等級 5 (EAL5)。

節省能源的安全性有助於讓物聯網設備擺脫插頭

上述許多具有 PTT 功能的處理器可在 Intel^® Next Unit of Computing (Intel^® NUC) 平台上使用，MakerPro 社群中的開發者已經開發出運用 20 V 的電池組為其供電。以桌上型電腦模式執行，一位使用者估計約有四小時的電池續航力，這對僅採用價值數百元現成材料的業餘專案來說，其實成效十分不錯。

若具有商業願景的組織使用這些建構模塊做為基準線來打造更加簡化的物聯網系統，便可大幅降低成本並延長電池續航力。

運用 Intel PTT 和 Hyperstone X1 快閃記憶體控制器等技術，便可安全地擷取、儲存及傳輸系統上的資料。幾乎不需要擔憂內建加密技術的耗電或壽命問題。解決方案可搭配 Intel^® Cloud Integrity Technology (Intel^® CIT) 等平台，打造強固的端對端系統安全性基礎。

讓物聯網裝置擺脫插頭吧！

隨著工業物聯網 (IIoT) 持續擴展，有越來越多的系統在即時處理以外，還需要執行企業應用程式。但在單一裝置上執行混合關鍵性的工作負載，可能會降低工業工作負載的決定性。為了克服這個問題，開發人員正在採用嵌入式虛擬化技術。

回顧企業與嵌入式虛擬化

虛擬化會建立一個抽象層，讓多個虛擬機器 (VM) 在相同的硬體上執行。在特定虛擬機器內的程式會表現得如同在專用硬體上執行，藉由監管程式 (Hypervisor) 管理共用的硬體。

在企業環境中，虛擬化可增進彈性並最大化資源利用率。運用對稱多元處理 (SMP) 技術，Microsoft Windows 或 Linux 等一般用途的作業系統可將工作負載平均分散至多個同質核心或處理器。（圖 1）。以這種方式分散應用程式可提高運算密度、降低硬體需求、減少耗電量，並節省維護成本。

圖 1. 對稱多元處理 (SMP) 可跨共用資源分散工作負載。（資料來源：Samson Richardson）

企業虛擬化的另一種常見用途是在虛擬機器中執行不同的作業系統。舉例來說，相同的實體系統雲端可執行 Windows、Linux 和 macOS（圖 2）。

圖 2. 虛擬化可在相同硬體上執行不同的作業系統。（資料來源：DynaSis）

適用於工業物聯網系統的嵌入式虛擬化可為其企業對應提供類似的優勢，但導入此技術亦伴隨著更多細微的挑戰。

為了確保安全可靠的營運，工業程序經常藉由即時作業系統 (RTOS) 或裸機韌體管理。這些工作負載必須綁定專用的硬體資源以確保決定性，並需要安全地與企業應用程式隔離。同時，也必須保持與企業軟體的處理序間通訊 (IPC)，才能首先保證工作負載整合。

不幸地，採用 Windows 等作業系統的 SMP 在配置核心、記憶體和 I/O 資源時，與生俱來會產生非決定性的管理負荷。這種形式的虛擬化也無法將處理器資源專用於決定性的工業工作負載上。

另一方面，嵌入式監管程式可將工作負載隔離到特定硬體資源，但也會導致效能降低。

有個替代方案是運用非對稱多元處理 (AMP)。

適用於混合關鍵性運算的非對稱多元處理

AMP 的設計是為了實現 SMP 的擴充，不過是針對具有多種不同處理器架構的系統。AMP 的附帶效果就是可將工作負載指派到一或多個特定處理器核心，藉此維持決定性，即使系統採用單一處理器架構。（圖 3）

圖 3.  非對稱多元處理可讓開發人員將核心專用於特定工作負載或處理程序。（資料來源：RTC Magazine）。

在多核心的主機處理器上，這代表如 TenAsys 的 INtime for Windows 等啟用 AMP 的 RTOS，可以和標準的一般用途作業系統安全地共存在相同的工業物聯網系統上。

透過修改 Windows 開機設定、INtime 分割記憶體、I/O、中斷，以及其他系統資源，可為 RTOS 執行個體專門保留一個區域。因此，兩種作業系統類型可原生執行在各自明確的處理器上，為工業工作負載提供決定性，同時最大化整體系統效能（圖 4）。

圖 4. TenAsys 的 INtime for Windows 運用非對稱多元處理 (AMP) 方法。（資料來源：TenAsys）

對採用 AMP 的虛擬化架構來說，IPC 仍是一項挑戰。因為缺少共用記憶體，使得一個作業系統無法成為所有系統程序的主要通訊服務。

為了防止這個問題發生，INtime 將所有系統核心當成 IPC 主機，運用「全域物件」在執行個體之間傳遞處理序資訊（圖 5）。全域物件可攜帶時間同步、警報、佇列及其他資訊，亦可與 RTOS 核心分享 HMI 等 Windows 資源。

圖 5. TenAsys 的 INtime for Windows 運用全域物件訊息進行處理序間通訊。（資料來源：TenAsys）

Intel^® 處理器納入整合式記憶體管理單元 (MMU) 和 Intel^® 虛擬化技術等硬體輔助功能，可簡化 INtime for Windows 等技術的部署過程。Intel Atom^®、Intel^® Core^™ 和 Intel^® Xeon^® 處理器具有可擴充的核心數量、時脈速度、記憶體，以及 I/O，可協助開發人員滿足確切的虛擬化需求。

使用嵌入式虛擬化實現工業物聯網

透過虛擬化，工業物聯網設計師可針對之前專用於馬達控制或電力傳輸等工作的工業裝置，新增諸如分析、遠端管理和 IT 安全性等企業功能。結合 IT 與 OT 技術所提供的洞見開啟了一扇能節省成本並創造潛在收益流的大門，但要實現這個目標，需要採用不同的虛擬化方式。

若要確保工業物聯網系統上嵌入式程序的安全性與可靠度，AMP 就是您理想的虛擬化架構選擇。透過 AMP、INtime for Windows 這類的解決方案和 Intel 處理器可為工業工程師所信任的技術提供企業虛擬化的優勢。

在過去的十年間，大數據的世界經過了大幅的變動。機器學習與人工智慧的進步，為製程最佳化帶來了嶄新的洞見與機會。

在製造產業中，這樣的改變伴隨著運算基礎架構的轉變。有越來越多的運算過程從資料中心移轉到邊緣，只有必要的資料會經由雲端傳輸。

邊緣到雲端的連續性

我們最近與 Hewlett Packard Enterprise 的邊緣運算產品主任 Gerald Kleyn 討論了這些變更。有些在資料中心使用 HPE 技術的客戶表示，他們想要能在網路邊緣使用規格較小的相同硬體，因此，HPE 於 2016 年開創了他們的融合式邊緣系統 (Converged Edge Systems) 業務單位。

根據 Kleyn 的說法，他們能瞭解此需求的關鍵，是注意到客戶在處理資料時，想要擁有從邊緣到雲端的連續性。「您在邊緣進行的處理和分析量與在雲端發生的量是連續的，」他說。

隨著邊緣運算日益成熟，這樣的彈性也變得更加重要。「我們認為這將會隨著時間改變，」Kleyn 表示。「並沒有固定的規則。我們正在建立平台，讓客戶能針對他們的工作負載與使用案例適當調整。」

OT 與 IT 正在融合

Kleyn 表示，客戶真正想要的，是在邊緣執行他們熟悉的資料中心應用程式，而不是在設備上執行那些應用程式的專屬或簡化版本。「我們掌握了一些關鍵原則，其中一項就是讓資料中心一直到邊緣都能執行未經修改的軟體，」他如此解釋。「不是不同的軟體、不是較小型的版本，也不是刪減版本，這代表 IT 能很快地提供支援。」

他也表示自己認為 OT（營運技術）與 IT（資訊技術）正透過數種方式互相融合：

• 組織性融合，IT 與 OT 員工的工作更加緊密
• 軟體性融合，包括位於邊緣的虛擬化與整合
• OT 與 IT 之間的硬體融合

「有許多設備的系統相對較為封閉，也不容易變更，這些系統傳出資料的格式或方法並不適用於現代的分析作業，」Kleyn 補充說明。「我們所做的是在我們的一些系統中融合 OT 和 IT 硬體，透過與應用程式一起擴展的業界標準價值鏈體系，為客戶建立優勢。」

如何在融合世界中更有效率地處理工作負載？

隨著這種融合性的逐漸發展，也提供了以新方法處理各種工作負載的可能性，為智慧工廠的作業方式帶來重大的變革。

從感應器、視訊攝影機，到機器人等各種物聯網裝置會產生極大量的資料。雲端式分析已經能讓製造商從這些資料中獲得寶貴的洞見。但將這樣的分析功能移轉到邊緣，製造商就能存取更大量的資料，並立即根據洞見採取應對動作。

Kleyn 舉了一個例子，HPE 為 Seagate Technology 在加州庫帕提諾的製造設施部署了這樣的解決方案。Seagate 運用在資料中心內以傳統高效能運算 (HPC) 系統所開發的人工智慧模型進行分析。

https://youtube.com/watch?v=TPf0qC7itcA

這些分析功能透過剖析矽晶圓的電子顯微鏡掃描影像尋找瑕疵，以改善 Seagate 產品的品質，並提供更快速且更早期偵測並修正異常的優勢。

能夠在邊緣處理這些工作，就能產生巨大的不同。在邊緣進行即時分析代表當資料出現異常時，Seagate 可以在營運異常導致產品出現瑕疵之前採取預防措施。這有助於減少預期外的維護停機時間，並為公司節省金錢。

「使用人工智慧時，您需要相當高的運算等級，才能處理如影片資料等複雜項目，在 Seagate 的範例中，則需要處理電子顯微鏡的影像資料，」Kleyn 說道。「處理這些資料需要大量的運算效能、儲存空間，以及頻寬，因為您通常需要將資料傳送回資料中心。若在邊緣進行這些分析，然後只將分析結果或是應注意的影片片段或影像送回資料中心，便能為公司節省大量資源。」

為邊緣提供更強大的運算能力

HPE 在邊緣運算付出諸多努力，其中的關鍵核心就是他們與 Intel^® 的技術合作夥伴關係，Kleyn 表示這對協助公司滿足製造產業客戶不斷增長的需求來說極為重要。他說這兩間公司在效能方面「突破極限」，同時為 HPE 的邊緣運算裝置最佳化了尺寸、重量，以及電源等特性。

「Intel 在功能、效能，以及微型化方面的一切努力，都讓我們從越來越小的節點尺寸中獲得了更高的價值，這對我們來說非常重要，」他下了這樣的結論。「我們能將省下來的成本直接回饋給使用者。」

一切才剛開始

邊緣運算已經廣泛地運用在多種製造使用案例中，本文提到的僅是其中一個由 HPE、Intel，以及其客戶所承諾要實現的範例。如需更多關於他們工作的詳細資料，請參閱解決方案目錄。