工业机器人设计师一直面临着提高生产力和效率的压力。因此，设计师们转而求助CV 和 3D 视频拍摄等新兴技术。这些功能有望在工业自动化方面实现突破性变革，但需要新的系统架构提供比上一代产品更高的性能和连接性，同时保持性能可靠、外形紧凑。工业机器人借助 3D 机器视觉技术，可以依据实时拍摄和分析的图像优化抓握和调节力度。因此，机器人可以更加灵活、准确地移动零件和组件。尽管能够“自主观察”的机器人大幅提高了生产力水平，但设计师们还是面临着相当大的设计挑战。这些选项包括：

• 视觉引导机器人需要额外的摄像头硬件和高带宽 I/O 及接口，将 3D 摄像头连接到计算系统。
• 从而能够在有限的空间和恶劣的环境中工作。
• 有可靠的性能来执行深度学习算法，用以处理实时成像。

这些要求需要以紧凑的外形将高吞吐量和低功耗计算能力相结合，还需要大范围的工作温度、智能电路保护和减振等可靠特性。提供这些功能通常需要多种计算平台，这无疑会增加成本和系统复杂度。OEM 现可提供集成的解决方案，最大限度降低成本和复杂度。

机器视觉加强版运动控制

Vecow 是一家机器视觉和成像解决方案开发商，主营业务是为基于视觉的工业机器人平台设计工作站级系统。传统上，这种设计需要两个嵌入式系统 – 一个用于 3D 视频拍摄，另一个用于机器控制。但有限的空间要求计算系统必须外形紧凑、功能强大。因此，Vecow 选择使用服务器级英特尔® 至强® 处理器 E3-1275 v6 开展设计，使得视频拍摄和运动控制功能能够集成在 RCS-9000F GTX1080 这一个平台之中（图 1）。

图 1. RCS-9000F GTX1080 是将视频拍摄和机器控制整合在一个嵌入式系统中的工业机器人系统。（资料来源：Vecow）

RCS-9000 能够使用具备企业级性能的工业级软件包处理实时视频拍摄、深度学习、运动控制和其他机器人工作负载。该系统可以同时操控最多 16 个 3D 摄像头，通过制造机器人实现支持机器视觉的视频拍摄。Vecow 称，采用至强处理器 E3-1275 v6 的主要原因是它的基频比其他 Skylake-S 和 Kaby Lake-S 架构处理器高出 7％。称为增强型 Intel SpeedStep^® (EIST) 的频率调整技术可以在软件中实现处理器时钟速度动态变化，从而使得处理器能够满足瞬时功率需求，同时最大限度地降低功耗和发热。E3-1275 处理器采用集成英特尔^® 核心显卡 P630 技术是另一项关键的设计考虑因素，旨在以高效的方式支持实时 3D 视频拍摄（图 2）。图形引擎使至强处理器能够提供 10 位高效视频编码 (HEVC) 硬件加速，增强 4K 视频编码和解码操作。

图 2.
英特尔® 至强^® 处理器 E3-1200 v6 搭配 C236 芯片组，可以为一体机 CPU + GPU 解决方案提供多种接口选择。（资料来源：英特尔公司）

Vecow 声称 RCS-9000F GTX1080 是首款将灵活的 CPU 插槽与高端显卡相结合的机器视觉解决方案，可用于打造支持视觉的工业机器人。附加的图形引擎还使得系统能够同时运行 3D 视频拍摄和分析操作。除了增强型 CPU 和显卡之外，DDR4 纠错码 (ECC) 内存（配置最高 64 GB，2,400 MHz）还可以通过避免内存错误，确保系统可靠性。辅以 RCS-9000F 的无风扇设计以及 EN 50155 和 EN 50121-3-2 抗冲击和抗振动认证，工厂环境的可靠性得到增强。RCS-9000F 的规定工作温度范围是 -13ºF 至 140ºF，支持 80 V 浪涌保护。

一体机接口

在像制造机器人这样的任务关键型应用中执行 3D 视频操作时，如果可以并行执行任务，则更加高效。因此，Vecow 的 RCS-9000F GTX1080 计算解决方案分别为视频拍摄和数据分析提供了 USB 3.0 和 PCIe 插槽。得益于 i219LM 和 i210 以太网控制器，工业级计算系统能够通过多千兆位以太网 (GbE) LAN 接口控制机器人。这些高速 GbE 链路支持使用最多 16 个摄像头来执行机器视觉相关任务，以及实现机器人到机器人的连接。还可以通过附加 PCIe 扩展插槽的形式集成附加设备，进一步支持深度学习和机器视觉任务。因为多个 I/O 接口对于方便高分辨率数据传输和快速视频分析至关重要，所以，这款一体机平台提供了丰富的接口选择，适合进行各种操作。

从自动化到自主化

先进的 CV 和连接技术正在促使相对简单的工业机器人从孤立的系统向更复杂的自动化工作流程转变。但利用这些功能需要高度集成的计算平台，使每个机器人能够更快速、准确、持续地拍摄视频、分析数据并采取相应的行动。这对于日益自动化和自主化的机器而言至关重要。工业数据与 CV 系统集成顺应了工业物联网的大趋势，例如机器学习和数据分析。像 RCS-9000F GTX1080 这样的平台让工业机器人在这场持续的工业革命中起着重要的作用。

OEM 可以使用工业物联网 (IIoT) 概念减少宕机时间、降低成本并提高运营效率，但向 IIoT 过渡需要相当大的前期投资。幸运的是，新的架构方法（例如雾计算）将降低这些成本，同时提高性能。主要问题是传统工业设备未配备适当的技术来支持隔夜迁移到 IIoT。对于通过企业网络与云进行通信的系统而言，需要考虑连接性、安全性和延迟问题，这意味着想要过渡到 IIoT 的组织通常需要进行成本高昂的改进、额外基础设施和重要设计工作。在此期间，关键系统也必须处于离线状态。

雾计算如何实现工业物联网迁移

如果不想采用这种大规模重新设计的方法，另外一种替代性选择就是使用雾计算，它允许以高效、独特和可扩展的方式创建 IIoT 边缘传感器网络。雾计算架构将资源分布在网络边缘附近，而不是将大部分智能设备置于集中式云中（图 1）。

图 1. 雾计算将智能设备置于工业传感器附近，可减少与云通信相关的带宽、延迟和安全问题。（资料来源：Nebbiolo Technologies）

通过将更多智能设备置于机器附近，雾计算架构可最大限度地降低与云通信相关的带宽、存储、延迟和安全问题。它们还允许使用更便宜和更简单的基础设施硬件。特别是对于工业组织来说，许多时间敏感型数据分析任务均可在雾层执行，而无需传输到后端企业服务器，从而可以在实时控制应用中快速做出决策并限制数据传输成本。总而言之，雾计算有助于减少希望加入 IIoT 的工业运营商的部署障碍。但是，进入雾计算领域需要强大、可靠且灵活的物联网网关平台。

灵活的雾网关将 IT 与 OT 相融合

由于雾架构中对云的依赖更少，雾网关必须提供云通常所提供的大部分功能。这些网关用作工业传感器与控制平台之间的连接点，负责执行大量本地数据存储和分析，并在需要时与其他外部系统进行通信。因此，它们必须包含类似于企业平台中的计算资源，同时支持工业环境所需的灵活连接和低功耗操作。来自 WIN Enterprises 的 IoT-380 Gateway 是低成本、易于使用且可快速部署的入门级物联网雾网关的示例产品（图 2）。

图 2.
来自 WIN Enterprises 的 IoT-380 Gateway 是一种用于工业物联网部署的灵活雾网关。（资料来源：WIN Enterprises）

基于英特尔凌动^® 处理器 E3826 并且配备 4 GB 的 1067-MHz DDR3L 内存，IoT-380 旨在传输来自传感器的原始数据，并在本地处理它或将其发送到云端以供进一步分析。E3826 处理器为本地数据分析和数据包流式传输提供了充足的性能，同时融入了一系列功能，使其非常适合 IIoT 和雾环境。例如，该处理器的功耗只有 7 W，同时还支持 Intel SpeedStep^® 技术。Intel SpeedStep 根据工作负载动态调整处理器的时钟频率，帮助节省电源，并在需要时提升性能。这些处理器还通过集成的英特尔^® 虚拟化技术（英特尔® VT）提供虚拟化功能，以便出于安全目将关键工作负载与非关键工作负载进行分离。此外，IoT-380 还配备有两台英特尔^® i210AT 以太网控制器，这些控制器根据 IEEE 802.1Qav 音视频桥接 (AVB) 标准来提升时间敏感型千兆位以太网 (GbE) 网络。这些控制器还支持节能以太网 (EEE) 技术，与 Intel SpeedStep 类似，可在低数据活动期间降低功耗。除了以太网之外，IoT-380 还包括一系列有线和无线通信选项，使其能够用于各种 IIoT 应用。其中包括 3G、LTE、Wi-Fi 和 USB 2.0/3.0。该网关的工作温度范围为 -10°C 至 +60°C，并且具有 VESA 安装功能，可在恶劣的环境下运行和安装。这些环境包括制造设施、石油钻井平台、远程电站和运输系统，其中对高级别的冲击和振动的耐受性至关重要。

保持简单（以及安全和低成本）

随着工业环境中连接到控制网络的设备数量不断增加，设计人员正在寻求提供有效、安全、低成本和简单的 IIoT 迁移路径。与消费者物联网相比，IIoT 具有更严格的要求，包括需要不打折扣的控制和更强的安全性。但是，为了达到最终目标，了解当前系统的连接功能和环境要求以及分析功能和数据交换方面的近期目标非常重要。诸如 IoT-380 之类的物联网网关对于有效部署 IIoT 雾网关至关重要。它充当了边缘设备和云之间的桥梁。而且，通过利用英特尔® 架构，它可确保与现有解决方案的向后兼容性，并确保向未来的 IIoT/雾网络迁移。

数据分析正在成为工业物联网 (IIoT) 的一项重要功能。一项最近研究显示，69％ 的决策者认为：到 2020 年，工业分析对企业成功而言至关重要，预测性和规范性机器维护将成为工业分析的主要应用。但是，工业分析在延迟、带宽和安全性等领域面临着特别的挑战。因此，工业分析通常必须在边缘操作，而不是在云端进行。边缘处理对自调整系统尤为重要，它必须将实时数据回收到反馈环路中，从而不断提升性能。虽然更快的处理器使得在边缘执行工业物联网数据分析变得更加可行，但工业机器仍然需要低功耗计算技术，并且长时间在恶劣的环境中可靠运行。任何新分析解决方案都必须与现有的旧系统进行交互操作。工业工程师希望为现有的控制系统增加边缘分析能力，其中一项选择便是：通过增加一个新的处理器模块来改良设计。此时，英特尔凌动^® 处理器 C3000 实现了能源效率与计算、存储和功能改进之间的平衡，从而在边缘安装智能，无需从头开始安装。

采用英特尔凌动® 处理器的工业级边缘智能设备

英特尔凌动^® 处理器拥有一系列架构更新，计算性能提升 2.3 倍且存储性能提升 4 倍。（图 1）。由于每个周期指令 (IPC) 增加了 30％，指令获取/解码功能获得了增强，无序 (OOO) 调度和新的内部结构体系结构更加卓越，因此处理性能获得提升。这一切对于执行实时边缘分析工作负载至关重要。

图 1. 英特尔凌动^® 处理器 C3000 具有许多升级功能。（资料来源：英特尔）

在内存方面，C3000 融合了两倍第二层缓存，使得边缘分析系统可以快速访问数据。处理器还支持智能存储加速库 (ISA-L)，这是一款为需要高数据吞吐量和最小延迟的应用而优化的软件库。借助存储性能开发套件 (SPDK)，开发人员能将存储性能调整到他们所需使用状态。英特尔^® SPDK 作为一个开放源代码工具集，有助于加快上市速度，打造面向未来的存储服务器和网关设计（如工业物联网中常见的存储服务器和网关）（图 2）。

图 2.
存储性能开发套件 (SPDK) 有助于打造面向未来的存储设计，同时加快产品上市速度。（资料来源：英特尔）

软件方面的新功能是可以支持 64 位应用程序。对于在更高级别工业物联网技术堆栈中使用英特尔^® 至强^® 处理器或英特尔^® 酷睿^™ 处理器的组织来说，这种 64 位指令集能够让组织统一边缘到云端的软件投入。而这只是企业效益进入运营技术 (OT) 领域的一种行为。

边缘的企业级功能

除了计算和存储优势之外，C3000 处理器还包含一组硬件辅助功能，可帮助实现更有效的边缘分析处理。首先，英特尔^® QuickAssist 技术（英特尔^® QAT）可提供高达 20 Gbps 速度，可用于加速和压缩加密工作负载，从而确保安全的数据传输，同时为其他任务留出宝贵的处理器周期。英特尔^® 虚拟化技术（英特尔^® VT-x）也采用用于定向 I/O（英特尔^® VT-d）的英特尔^® 虚拟技术和用于连接的英特尔^® 虚拟技术（英特尔^® VT-c）在 C3000 处理器中得以发展。如图 3 所示，英特尔^® VT-d 隔离并限制对某些定义内存区域的 I/O 访问。这有助于消除与虚拟机 (VM) 相关的 I/O 故障，从而提高可靠性并增加工厂正常运行时间。

图 3. 用于定向 I/O 的英特尔^® 虚拟化技术（英特尔^® VT-d）将内存访问限制在已定义的内存区域。（资料来源：英特尔）

就其本身而言，英特尔^® VT-c 与英特尔^® 以太网控制器集成到新的英特尔凌动处理器中，以提供 I/O 虚拟化和服务质量 (QoS) 功能。这些功能通过端口分区以及多任务传输和接收队列的能力实现，从而实现 I/O 操作之间带宽分配的平衡（图 4a 和图 4b）。将这些任务从主机处理器卸到以太网控制器能减少 I/O 瓶颈，并提升生成大量传感器数据应用程序（例如机器人技术）的性能。

图 4a。用于连接的英特尔^® 虚拟化技术（英特尔® VT-c）支持端口分区，从而减少 I/O 瓶颈。（资料来源：英特尔）

图 4b。用于连接的英特尔^® 虚拟化技术（英特尔® VT-c）支持的多任务传输和接收队列。（资料来源：英特尔）

这些企业级技术对工业物联网系统至关重要，因为它们可使工业级处理器执行多个工作负载，寿命保障周期为 15 年。

可靠的改装

为了确保在工业物联网边缘分析系统中能够可靠运行，英特尔凌动处理器 C3000 受到“扩展环境运行温度” (eTEMP) 功能的支持。这能确保在 -40°C 至+ 85°C 的温度范围内可靠运行。除此之外，导致其高耐用性的另一个因素是该系列的低热设计功率 (TDP)，在部分 SKU 中仅为 8.5 瓦。因此，C3000 设备可以部署在工厂车间的被动冷却系统中，而纠错码 (ECC) 内存能确保边缘分析应用的数据完整性。考虑到设备的功能，OEM 现可提供基于 C3000 处理器的嵌入式主板解决方案，旨在为工业物联网边缘分析提供入口。例如，Quanmax 公司生产的 UATX-DNV0 是一款工业级单板计算机 (SBC)，搭载具有 2 至 16 个内核的英特尔凌动处理器 C3000（图 5）。它包括四个铜质 GbE LAN 端口、四个光纤 10 GbE LAN 端口和六个 SATA 插座。

图 5. Quanmax 公司的 UATX-DNV0 是工业级单板计算机 (SBC)。（资料来源：Quanmax 公司）

重要的是，UATX-DNV0 SBC 符合业界标准的 Micro-ATX 外形规格。因此，主板可以集成到最初支持 Micro-ATX 外形规格的机器中，开发人员无需重新设计整个系统。

工业物联网过去与未来之间的协调平衡

边缘分析是工业物联网的表现，想要实现就需要协调未来的技术和过去的基础设施。英特尔凌动处理器 C3000 标志着朝着这一目标迈进了一大步，将获得提升的性能和存储与企业级功能和工业级可靠性结合在一起。既然这样的改进在工业标准处理器模块上可供使用，那么工业工程师就能利用这些功能来添加边缘分析处理，而不会使以前的投入付诸东流。他们还将系统定位在工业物联网的下一阶段 – 通过机器学习实现边缘自主能力。

在 IT 领域，防火墙是最有效工具之一，用于保护敏感的网络。企业防火墙充当敏感的内部网络和互联网之间的“守护者”，通过应用预先定义的安全规则，预防未经授权的外部流量访问公司设备，同时保护内部设备上的数据不受外界干扰。传统的防火墙很好理解。IT 部门通常购买现成的防火墙设备，并将全局规则应用于企业网络中的所有设备。另一方面，工业物联网网络所需的防火墙要复杂得多。主要原因是他们所保护的设备类型。在 IT 领域中，网络上大多数系统都配备了一定级别基于设备的保护，例如防病毒 (AV) 软件，可阻止恶意代码的执行（即使恶意代码通过防火墙防御）。企业系统还运行操作系统 (OS)，每当发现漏洞时都可以使用最新的软件补丁程序进行更新。因此，防火墙管理员能够实施基础级别的安全保护，仍然允许各种企业设备访问互联网。但许多工业设备运行的旧版操作系统 (OS) 不再支持安全补丁。即使采用较新的操作系统的工业设备也经常冻结软件，以确保平台的稳定性。另外，大多数工业系统受资源约束严重，无法运行本地 AV 技术。因此，工业网络防火墙为许多此类系统提供了完整的安全堆栈。由于安全要求因系统而异，因此工业防火墙通常专门用于单个生产设备或某件设备而非整个组织，并根据具体需求进行调整。它们由熟悉防火墙保护系统的操作工程师或服务技术人员进行部署和维护，支持的端口和 IP 地址远远少于企业级端口和 IP 地址。这些因素推动工业防火墙设备需要满足以下几项特别设计要求，包括：

• 灵活，可满足多种系统的安全需求
• 简单，方便熟悉工业系统的操作技术人员部署和维护防火墙
• 耐用，能够承受恶劣环境（如工厂车间或大型机器内部）的影响
• 可靠，在较长的工业生命周期内高效运行
• 划算，可配置多个防火墙，用于保护工业网络上的所有设备

由于每个工业防火墙只保护少量设备，因此网络处理器无需提供尽可能高的数据吞吐量和计算性能。相反，支持工业防火墙设备的处理器应该具备成熟的技术和较广的市场采用率，同时还能解决上述问题。

基于英特尔凌动^® 处理器的灵活型工业防火墙

英特尔凌动^® 处理器 E3800 是一系列单核至四核的片上系统 (SoC)，拥有在工业环境中部署的传统性能，并且具备大多数工业防火墙设备所需的性能。该处理器还包括一组支持高级安全功能的集成硬件加速器，如果使用得当，可以显著降低工业防火墙设备设计的复杂性。首先，英特尔^® 高级加密标准新指令（英特尔^® AES-NI）可在独立于主 CPU 内核运行的硬件模块中获得批量加密、解密和验证任务的性能提升。这是工业防火墙的一个关键功能，因为它补充了网络处理器的主要功能，同时还为其他任务腾出空间。工业防火墙设计人员可以利用英特尔 AES-NI 提供的额外处理器资源的一种方式是：通过英特尔^® 虚拟化技术 (Intel® VT-x)，允许多个虚拟机 (VM) 在相同的多核处理器上以接近本机的性能同时运行。同样重要的是，这些虚拟机之间保持安全的距离，为工业防火墙设计创造了多种可能。例如，在离散安全设备上虚拟机中运行的防火墙功能可以与其他服务分离，例如安全文件传输协议 (SFTP) 服务器允许传统工业系统无需额外硬件即可连接到互联网。另外，集成到现有某台机器中的工业防火墙可以将保护应用与控制功能分离，确保技术人员可以在不影响其他子系统的情况下维护一个子系统。这两种技术可以满足工业防火墙设备的灵活性和简单性要求，同时，英特尔凌动处理器 E3800 还可以承受恶劣的工业环境。SoC 具备在 -40°C 至 110°C 工作温度范围内运行的性能，3 瓦到 10 瓦的热设计功耗 (TDP) 降低了工业环境中导致可靠性问题风扇冷却需求。

灵活型工业防火墙解决方案框架

为了帮助开发可定制的工业防火墙，OEM 正在将基于 E3800 的解决方案推向市场，充分利用了上述诸多性能。例如，TQ-Group 的 MBox-V 是一种灵活、被动的冷却箱式 PC，可以作为桌面设备部署，或直接集成到安装 DIN 导轨的机柜中（图 1）。所有设备的内部电子设备都使用保形涂层，有助于抵御工厂车间常见的潮湿、气体、污垢和其他刺激物。

图 1. TQ-Group 的 MBox-V 支持灵活型工业防火墙。（资料来源：TQ-Group）

默认情况下，MBox-V 包含两个千兆以太网端口，两个 USB 端口和两个 Mini DisplayPort 接口，采用 100 mm x 100 mm x 23 mm 的硬件套件。但系统是完全可配置的，并且可以通过内部的 Mini PCIe 扩展卡集成附加接口和功能。该系统还支持可选型可信平台模块 (TPM)，从而提升安全性。从软件角度来看，MBox-V 可以预装基于 IP 表和 Linux 硬化版的标准工业防火墙堆栈。TQ-Group 进行的定期渗透测试可迅速发现堆栈中的任何漏洞，以便及时提供补丁。TQ 的堆栈产品也支持协议转换（FTP 到 SFTP）、网络接口、证书和密钥管理以及“隐形模式”操作（允许在白名单端口和 IP 地址之间建立通信路径）。审核和错误记录完成了功能设置。MBox-V 除了支持高级数据包过滤、入侵检测/预防和网关服务等附加功能之外，还可设计用于让用户上传自己定制的防火墙软件。TQ-Group 称，几家安全公司已经将 MBox-V 作为其工业防火墙设计的起点，软件方面会在其之上增加附加功能。

没有学习曲线的灵活性

所有类型的网络防火墙都有共同的目标：阻止敏感网络和设备上的恶意活动。但是工业网络及其连接的设备具有特别的安全需求，需要灵活、可靠、耐用的防火墙设备。像 MBox-V 这样的解决方案可以满足这些需求，并且工业工程师和 IT 人员都熟悉这种架构。这些小盒子是实施安全工业物联网网络的好方法，受学习曲线的影响非常小。