資料分析正成為工業物聯網 (IIoT) 功能的固定班底。根據最近一項研究指出，69% 的決策者認為最晚到 2020 年，工業分析便會成為企業成功的關鍵，主要應用於預測性與指導性機器維護。但是工業分析在延遲、頻寬和安全性方面必須克服不少獨特的挑戰。結果，工業分析通常必須在邊緣執行，而不是在雲端。自我調整型系統尤其需要邊緣處理的功能，因為這類系統必須將即時資料再回收並傳入回饋循環，以利持續改善效能。儘管處理器速度更快，在邊緣執行工業物聯網資料分析便更具可行性，但是工業機械仍然需要低功耗的運算技術，才能長時間在條件惡劣的環境中穩定運作。而且任何新的分析解決方案必須與既有的舊系統互通操作。想要在現有控制系統上增加邊緣分析功能的工業工程師也可以選擇改造他們的設計，以增加新的處理器模組來達成目的。我們的 Intel Atom^® 處理器 C3000 在運算、儲存和功能的改善能夠與能源效率達成平衡，因此要在邊緣安裝智慧便不必從頭開始。

利用 Intel Atom® 處理器獲取工業邊緣智慧

Intel Atom^® 處理器擁有諸多架構性更新，與前代處理器比較，運算效能提高 2.3 倍及儲存效能提高 4 倍（圖 1）。每一時脈週期可執行的指令 (IPC) 增加 30%、加強指令抓取/解碼功能、改善亂序 (out-of-order, OOO) 排程以及採用新的內部架構，才能讓處理效能升級，這全部都是執行即時邊緣分析工作負載所不可或缺的。

圖 1. Intel Atom^® 處理器 C3000 有多項功能升級。(資料來源：Intel)

若論記憶體，C3000 內建雙倍的 Layer 2 快取記憶體，讓邊緣分析系統可迅速存取資料。此處理器亦支援 Intelligent Storage Acceleration Library (ISA-L)，這是一個軟體程式庫，針對需要高資料傳輸量及最少延遲的應用程式進行最佳化。開發人員可以利用 Storage Performance Development Kit (SPDK) 根據其使用案例調校儲存效能。Intel^® SPDK 是一項開放原始碼工具組，可縮短上市時程並確保儲存伺服器和閘道的設計未來不會過時，例如工業物聯網中常見的設計（圖 2）。

圖 2. Storage Performance Development Kit (SPDK) 可確保儲存設計未來不會過時，同時縮短上市時程。(資料來源：Intel)

軟體端亦新增了對 64 位元應用程式的支援。在工業物聯網技術堆疊之較高層級使用 Intel^® Xeon^® 處理器或 Intel^® Core^™ 處理器的組織，可藉由 64 位元指令集的支援，將邊緣至雲端的軟體投資統合起來。而且這才不過是營運技術 (OT) 網域享受到的其中一項企業優勢而已。

邊緣的企業功能

除了運算與儲存的優勢以外，C3000 處理器包括一套硬體輔助式功能，可促進邊緣分析處理之效益。其中一例是 Intel^® QuickAssist Technology (Intel^® QAT)，提供高達 20 Gbps 的效能，可加速和壓縮加密工作負載，確保資料安全傳輸，同時為其他任務保留珍貴的處理器時脈週期。C3000 處理器上的 Intel® 虛擬化技術也逐漸演變成 Intel® Virtualization Technology for Directed I/O (Intel® VT-d) 以及 Intel® Virtualization Technology for Connectivity (Intel® VT-c)。如圖 3 所示，Intel^® VT-d 把 I/O 存取區隔並限制在特定已定義的記憶體區域。如此可避免發生與虛擬機器 (VM) 相關的 I/O 故障，並藉此改善可靠性和工廠運作時間。

圖 3.  Intel^® Virtualization Technology for Directed I/O (Intel^® VT-d) 把記憶體存取限制在已定義的記憶體區域。(資料來源：Intel)

Intel^® VT-c 負責與全新 Intel Atom 處理器內建的 Intel^® Ethernet Controller 搭配運作，實現 I/O 虛擬化與服務品質 (QoS) 的功能。藉由連接埠分隔以及執行多個發送和接收佇列的能力，讓不同 I/O 作業之間的頻寬配置達成平衡，便能實現上述功能（圖 4a 與 4b）。將主機處理器上的這類任務卸載至乙太網路控制器可減少 I/O 瓶頸並提升會產生大量感測器資料的應用程式（例如機器人）的效能。

圖 4a Intel^® Virtualization Technology for Connectivity (Intel® VT-c) 可進行連接埠區隔來減少 I/O 瓶頸。(資料來源：Intel)

圖 4b Intel^® Virtualization Technology for Connectivity (Intel® VT-c) 可執行多個發送與接收佇列，藉此平衡 I/O 作業。(資料來源：Intel)

這些企業級技術對工業物聯網而言是至關緊要的，因為他們允許在工業級處理器上執行多個工作負載，並有 15 年可用性保證為後盾。

可靠的改造

為了確保工業物聯網邊緣分析系統維持可靠運作，Intel Atom 處理器 C3000 擁有 Extended Ambient Operation Temperature (eTEMP) 的功能支援。這項功能可保證裝置在 -40 ºC 至 +85 ºC 的溫度範圍內保持可靠運作。處理器的耐用性亦有賴該系列的低熱設計功耗 (TDP)，某些 SKU 僅有 8.5 W。因此，廠房的被動式冷卻系統也可以部署 C3000 裝置，而錯誤修正碼 (ECC) 記憶體則確保邊緣分析應用程式的資料完整性。考慮到它們具備的能力，OEM 現在提供搭載 C3000 處理器的嵌入式主機板解決方案，藉由設計即可使用工業物聯網邊緣分析。例如 Quanmax Inc. 推出的 UATX-DNV0 是一款工業級單板電腦 (SBC)，它採用具有 2 至 16 核心的 Intel Atom 處理器 C3000（圖 5）。它包含四個銅線 GbE LAN 連接埠、四個光學 10 GbE LAN 連接埠以及六個 SATA 插槽。

圖 5. Quanmax Inc. 的 UATX-DNV0 是一款工業級單板電腦 (SBC)。（資料來源：Quanmax Inc.）

重要的是，UATX-DNV0 SBC 遵循工業標準的 Micro-ATX 外型規格。因此，原本支援 Micro-ATX 外型規格的機器可以整合該機板，而開發人員不必從頭設計整個系統。

工業物聯網邊緣分析讓過去和未來和諧共存

邊緣分析是工業物聯網當前的目標，但是要達成這個目標必須讓未來的技術與舊有的基礎架構和諧共存。Intel Atom 處理器 C3000 往該目標邁進了重要的一步，不但改善了效能與儲存，而且具備企業級功能和工業級的可靠性。如今，工業標準的處理器模組均提供這些進步功能，工業工程師可以善用這些功能來增加邊緣分析處理，而不需要捨棄之前的投資。他們的系統也做好了迎接工業物聯網下一階段的準備，即透過機器學習在邊緣實現自主操作。

在 IT 的世界裡，防火牆是保護敏感網路最有效的工具之一。企業防火牆作為敏感內部網路與網際網路之間的守門人，套用預先定義的安全規則來防止未經授權的外部流量接觸公司裝置，同時保護那些裝置上的資料避免外洩。大家已十分瞭解傳統防火牆。IT 部門一般購買現成的防火牆設備，然後對企業網路的所有裝置套用全域適用的規則。另一方面，工業物聯網需要的防火牆則是複雜許多。主要原因是他們所要保護的裝置類型。在 IT 中，網路上大多數系統皆具備某種程度的裝置上防護，例如防毒軟體，即使惡意程式碼成功破解防火牆的防護，仍能阻止程式碼執行。企業系統所執行的作業系統 (OS) 只要發現漏洞，亦可用最新的軟體修補程式更新。於是，防火牆管理員可以實行基準層級的安全措施，允許各種各樣的企業裝置存取網際網路。但是許多工業裝置執行已無安全修補程式支援的舊作業系統 (OS)。即使部分系統使用新版作業系統，也經常凍結他們的軟體以確保平台穩定性。此外，大多數工業系統的資源均十分有限，且無法執行本機防毒技術。工業網路防火牆因此能為許多這類系統提供完整的安全堆疊。因為系統之間各有不同的安全要求，工業防火牆通常由單一生產設施或設備專用而不是由整個組織使用，而且針對其特定需求調整。工業防火牆由熟悉防火牆所保護的系統之操作工程師或服務技術人員部署及維護，而且所支援的連接埠和 IP 位址數量比其企業防火牆更少。這些因素導致設計工業防火牆設備時必須滿足若干獨特要求，包括：

• 靈活彈性，可滿足各種系統的安全要求
• 簡單明瞭，好讓熟悉工業系統的操作技術人員可以部署和維護防火牆
• 持久耐用，經受得住嚴酷的環境考驗，例如廠房或是大型機械內部
• 可靠度，可在延長的工業週期下有效地運作
• 成本，以便使用多個防火牆來保護工業網路上的所有裝置

由於每個工業防火牆皆是少數裝置所專用，所以也不需要可以提供最高資料傳輸量和運算效能的網路處理器。相反的，支援工業防火牆設備的處理器應強調其經實證的技術和廣泛的市場採用率，能夠滿足上述各項要求。

搭載 Intel Atom^® 處理器的彈性工業防火牆

Intel Atom^® 處理器 E3800 是單核心至四核心的系統單晶片系列產品，在工業環境中已有部署，而且其效能足以滿足大多數工業防火牆設備的要求。處理器也內建一組硬體加速器，支援進階的安全功能，若正確使用可以大幅減少工業防火牆設備設計的複雜度。其一，Intel^® Advanced Encryption Standard – New Instructions (Intel^® AES-NI) 提升了硬體區塊的大批加密、解密和認證作業的效能，而該硬體區塊在主要 CPU 核心之外獨立運作。這是工業防火牆的重要功能，它能補足網路處理器的主要功能，同時讓處理器釋出資源處理其他任務。工業防火牆設計師若要利用 Intel AES-NI 所提供額外的處理器資源，方法之一是透過 Intel^® 虛擬化技術，這項能力允許多個虛擬機器 (VM) 在同一個多核心處理器上同時執行並維持接近原生的效能。同樣重要的是，這些虛擬機器始終安全地區隔開來，所以工業防火牆設計可以有各種不同可能性。例如，在獨立安全裝置上的虛擬機器執行的防火牆功能可以與其他服務分開，例如安全檔案傳輸通訊協定 (SFTP) 伺服器，此伺服器讓舊的工業系統不需要增加硬體即可連接網際網路。作為替代方案，與現有機械整合的工業防火牆還可以把安全應用程式與控制功能分隔開，確保技術人員在維修子系統時不會影響其他系統。在這兩種技術滿足了工業防火牆設備對靈活彈性與簡單明瞭的要求之同時，Intel Atom 處理器 E3800 的設計也能經受得住嚴酷的工業環境。系統單晶片也提供極多種不同溫度的版本，能夠應付 -40 ºC 至 110 ºC 之間的運作，而且 3 至 10 W 的低熱設計功耗 (TDP) 降低了風扇散熱的需求，而風扇散熱可能造成工業環境的可靠性問題。

彈性工業防火牆的解決方案架構

為了協助發展可自訂的工業防火牆，OEM 將搭載 E3800 且利用前述多項功能的解決方案引進市場。比如，TQ-Group 的 MBox-V 就是一款彈性、被動式冷卻的盒型電腦，可部署為桌上型裝置或是使用 DIN 滑軌安裝直接與機櫃整合（圖 1）。所有裝置的內部電子零件均採用符合標準的包覆方式，協助其經受住工廠廠房常見的濕度、氣體、髒污和其他刺激源。

圖 1. TQ-Group 的 MBox-V 支援彈性的工業防火牆。（資料來源：TQ-Group）

按照預設，MBox-V 在 100 mm x 100 mm x 23 mm 硬體套件中包含了 2 個 Gigabit 乙太網路連接埠、2 個 USB 連接埠以及 2 個 Mini DisplayPorts。但是整個系統都可以設定，而且透過內部的 Mini PCIe 附加介面卡可以整合更多介面卡和功能。系統亦支援選用的可信任平台模組來加強安全防護。從軟體角度而言，使用基於 IP 表格以及 Linux 強化版本的標準工業防火牆堆疊即可預先載入 MBox-V。TQ-Group 定期執行的滲透測試會迅速揭露堆疊中任何漏洞，以便及時傳送修補程式。TQ 的堆疊產品也支援通訊協定轉換（FTP 轉 SFTP）、網路介面、憑證和金鑰管理；以及「隱形模式」操作，它僅允許白名單上的連接埠和 IP 位址之間建立通訊路徑。稽核與錯誤記錄讓功能更加完整。MBox-V 不但支援其他功能例如進階封包過濾、入侵偵測/預防以及閘道服務，它也允許使用者上傳自己自訂的防火牆軟體。據 TQ-Group 指出，數家安全公司已經在使用 MBox-V 作為其工業防火牆設計的起點，並在軟體中以它為基礎建置更多功能。

靈活彈性且學習容易

所有類型的網路防火牆都有一個目標：防範敏感網路和裝置上的惡意活動。但是其連接的工業網路和裝置具有獨特的安全要求，必須使用彈性、可靠且耐用的防火牆設備。MBox-V 這一類解決方案藉由工業工程師和 IT 人員所熟悉的架構來滿足這些需求。這些小小的盒型電腦是實行安全工業物聯網的極佳方法，學習相當容易。