在工业控制系统中,IT 与 OT 之间存在张力。所有权边界以机械运行为界定标准,并优先保障安全性和实时确定性需求。
为明确起见,我们将 IT 关联至向企业网络进行的垂直数据传输。相比之下,OT 则关联至工厂车间的机械设备以及机器间的数据传输。
关键要点
-
我们拥有智能硬件,它们位于工业防火墙之后却从未得到更新(老实说吧)。看似安全的垂直集成会泄漏到水平层面。
-
确定性的机器与过程控制是不可妥协的。
-
OT 团队与 IT 团队处于一种持续的良性张力状态之中。
-
OT 通过清晰描述 PLC 缓冲区与协议来与 IT 进行接口交互。
本文是 DigiKey 工业自动化现场指南的一部分
位置 :教学 → 行业背景
难度 :
工程师 — 难度等级说明
最后更新:2026 年 3 月 12 日
图 1 :工作台图像——配备有安全型 PLC 和安全等级的分布式 I/O。
隐藏在防火墙背后的 Linux 主机
让我们从一道伤疤开始探讨 IT 与 OT 之争。多年前,我曾在一家实验室工作,该实验室将一台先进的 GPS 接收器连接到一个扁平网络(即一个公共广播域)上。为该 GPS 接收器开放了一个外部端口,以便远程获取定时数据。从网络安全角度来看,这是一个极其糟糕的主意,因为该 GPS 接收器内含一个小型 Linux 主机。由于端口开放,远程用户可通过 SSH 登录该 GPS 设备,进而访问内部网络。利用此技术,Eve 和 Mallory 得以从防火墙后方获得内部网络访问权限,仿佛他们刚刚将本地笔记本电脑接入了一个开放的网络端口。那台 GPS 接收器并非安全的硬件设备,而是一个未打补丁且无人监控的通往网络的数字门户。
机器接口处的网络分类
就网络而言,我们可以将机器控制分类如下:
-
安全类 :包括安全型 PLC、光幕、急停按钮以及诸如 PROFISAFE 等网络。这是我们针对安全完整性等级(SIL)或性能等级(PL)要求进行设计的地方。任何网络故障都将导致机器进入故障安全状态。
-
确定性 :此类包括机器运行所需的时间关键信号。以太网连接的分布式远程 I/O(未特别标识为安全等级)。例如,配送中心中的中央 PLC 协调传送带上物体的移动。网络故障会使机器停机,但不会使操作员面临不安全状况(从 SIL/PL 角度审视)。
-
缓冲边缘 :此类通信重要但不具备确定性。这是水平工厂层与垂直企业网络的接口所在。继续以传送带为例,垂直计算机提供“何物去往何处”的数据。PLC 为控制室人员提供遥测数据:作业状态、速度、剔除情况和故障信息。缓冲区的使用区分了边缘控制与确定性控制。确定性信号紧邻 PLC 扫描周期,而边缘设备对网络波动更具容忍性。网络故障可被容忍,甚至被视为预期情况。然而,这并不意味着网络通信无关紧要,因为我们的示例传送带在没有外部指令时无法运行。
在安全系统方面,毫无协商余地。该反射式安全网络的设计及持续维护完全由机器设计人员(包括 PLC 程序员)承担。这属于 OT 领域。必须识别每种危害,并实施适当的 SIL/PL 缓解措施。
确定性接口通常由 OT 团队负责。这可视为一组针对分布式 I/O 的“网络故障时执行”设置。
笔者认为,IT 与 OT 的边缘边界最好理解为关于缓冲机制的协议(图 2)。各团队共同定义握手、重试、网络瞬断以及断电协议。例如,PLC 可将关键消息存储于保持型缓冲区,而非关键消息则存入更大的缓冲区。本文介绍一种 PLC 侧缓冲区的原型。此处可见关键字段,包括运行序列号、头尾指针、状态以及消息缓冲区本身。
技术提示 :版本控制可能成为维护工作的噩梦。当网络上存在多个智能设备时,这一点尤为如此。最糟糕的情况是传感器、开关和可编程逻辑控制器(PLC)均使用不同的软件。在此情况下,技术人员必须精通所有环境,并且必须独立保存每台设备的“黄金”配置文件。
有充分的理由将所有可机器编程的硬件集成到单一的软件开发环境中。是的,这可能成本高昂,但该成本可分摊到所节省的每一分钟停机时间上。
图 2 :优先级环形缓冲区类型定义。
网络卫生与责任负担
网络十分复杂。仅仅让系统运行起来,与在各种条件下(包括发生故障时能够优雅失效)确保系统可靠运行之间,存在着巨大鸿沟。此外,网络安全也增加了复杂性。
现在考虑各方偏好:
-
IT 部门的本能倾向是在整个基础设施范围内实现可视性和集中控制(策略)。IT 部门将更新视为常规操作。
-
OT 部门的本能是通过锁定系统来强调安全性和确定性通信。OT 部门对任何可能影响安全性和确定性的事物都深表怀疑。
-
我们不应忘记工厂经理以及负责维修设备的技术人员。当设备出现故障时,他们希望能够快速恢复设备运行。例如,与第三方交换机相比,在集成软件套件(如 TIA Portal)内控制的三层以太网交换机更易于管理。
与其争论谁的观点正确,不如从责任负担的角度来探讨这一问题。我们已触及人类能力的极限。是的,从理论上讲,一位熟练的 PLC 程序员兼 OT 专家可以声称掌控整个横向 OT 边界。IT 部门将仅面对 PLC 上的一个半隔离端口。但是,潜藏在网络中的那个简单的 GPS 接收器又该如何处理呢?OT 部门是否具备识别并随后缓解所有风险所需的技能组合?
不太可能,而且培养这种技能组合需要数十年的时间。
同样,信息技术(IT)团队也不太可能具备理解基于可编程逻辑控制器(PLC)的机械系统的安全性和确定性时序所需的技能。
因此,我们得出了一个令人不安的结论:运营技术(OT)与信息技术(IT)处于紧张关系之中。这是一种富有成效的紧张关系,需要双方团队发挥各自的最佳水平。运营技术(OT)通过安全性和抗崩溃的确定性来保障机器的自主性。随后,两个团队在接口层面(例如缓冲区)协作,以确保可靠的数据传输、合理的基础设施配置以及最佳的网络安全实践。
继续探索工业控制系统
如果本讨论对您有帮助,您可能还想了解:
DigiKey 导航
- 完整目录 :工业控制与自动化
相关基础文章