[要約] 要約:RFC 5673は、低消費電力で信頼性の低いネットワークでの産業用ルーティングの要件について説明しています。 目的:このRFCの目的は、産業用ネットワークでのルーティングの特殊な要件を理解し、効果的なルーティングプロトコルの設計と実装を促進することです。
Network Working Group K. Pister, Ed. Request for Comments: 5673 Dust Networks Category: Informational P. Thubert, Ed. Cisco Systems S. Dwars Shell T. Phinney Consultant October 2009
Industrial Routing Requirements in Low-Power and Lossy Networks
低電力および損失のあるネットワークにおける産業用ルーティング要件
Abstract
概要
The wide deployment of lower-cost wireless devices will significantly improve the productivity and safety of industrial plants while increasing the efficiency of plant workers by extending the information set available about the plant operations. The aim of this document is to analyze the functional requirements for a routing protocol used in industrial Low-power and Lossy Networks (LLNs) of field devices.
低コストのワイヤレスデバイスの幅広い展開は、工業工場の生産性と安全性を大幅に向上させ、プラントの運用について利用可能な情報セットを拡張することにより、植物労働者の効率を高めます。このドキュメントの目的は、フィールドデバイスの産業用低電力および損失のあるネットワーク(LLN)で使用されるルーティングプロトコルの機能要件を分析することです。
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、BSDライセンスに記載されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.1. Requirements Language . . . . . . . . . . . . . . . . . . 3 2. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . 4 3. Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 3.1. Applications and Traffic Patterns . . . . . . . . . . . . 5 3.2. Network Topology of Industrial Applications . . . . . . . 9 3.2.1. The Physical Topology . . . . . . . . . . . . . . . . 10 3.2.2. Logical Topologies . . . . . . . . . . . . . . . . . . 12 4. Requirements Related to Traffic Characteristics . . . . . . . 13 4.1. Service Requirements . . . . . . . . . . . . . . . . . . . 14 4.2. Configurable Application Requirement . . . . . . . . . . . 15 4.3. Different Routes for Different Flows . . . . . . . . . . . 15 5. Reliability Requirements . . . . . . . . . . . . . . . . . . . 16 6. Device-Aware Routing Requirements . . . . . . . . . . . . . . 18 7. Broadcast/Multicast Requirements . . . . . . . . . . . . . . . 19 8. Protocol Performance Requirements . . . . . . . . . . . . . . 20 9. Mobility Requirements . . . . . . . . . . . . . . . . . . . . 21 10. Manageability Requirements . . . . . . . . . . . . . . . . . . 21 11. Antagonistic Requirements . . . . . . . . . . . . . . . . . . 22 12. Security Considerations . . . . . . . . . . . . . . . . . . . 23 13. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 25 14. References . . . . . . . . . . . . . . . . . . . . . . . . . . 25 14.1. Normative References . . . . . . . . . . . . . . . . . . . 25 14.2. Informative References . . . . . . . . . . . . . . . . . . 25
Information Technology (IT) is already, and increasingly will be applied to industrial Control Technology (CT) in application areas where those IT technologies can be constrained sufficiently by Service Level Agreements (SLA) or other modest changes that they are able to meet the operational needs of industrial CT. When that happens, the CT benefits from the large intellectual, experiential, and training investment that has already occurred in those IT precursors. One can conclude that future reuse of additional IT protocols for industrial CT will continue to occur due to the significant intellectual, experiential, and training economies that result from that reuse.
情報技術(IT)は既にあり、アプリケーション分野の産業制御技術(CT)にますます適用されます。これらの技術は、サービスレベル契約(SLA)または運用を満たすことができるその他の控えめな変更によって十分に制約されます。産業CTのニーズ。それが起こると、CTは、IT前駆体ですでに発生している大規模な知的、体験的、およびトレーニング投資から恩恵を受けます。産業用CTの追加のITプロトコルの将来の再利用は、その再利用から生じる重要な知的、体験的、およびトレーニング経済のために引き続き発生すると結論付けることができます。
Following that logic, many vendors are already extending or replacing their local fieldbus [IEC61158] technology with Ethernet and IP-based solutions. Examples of this evolution include Common Industrial Protocol (CIP) EtherNet/IP, Modbus/TCP, Fieldbus Foundation High Speed Ethernet (HSE), PROFInet, and Invensys/Foxboro FOXnet. At the same time, wireless, low-power field devices are being introduced that facilitate a significant increase in the amount of information that industrial users can collect and the number of control points that can be remotely managed.
そのロジックに従って、多くのベンダーはすでにローカルフィールドバス[IEC61158]テクノロジーをイーサネットおよびIPベースのソリューションに拡張または交換しています。この進化の例には、Common Industrial Protocol(CIP)Ethernet/IP、Modbus/TCP、Fieldbus Foundation High Speed Ethernet(HSE)、Profinet、およびInvensys/Foxboro FoxNetが含まれます。同時に、産業ユーザーが収集できる情報の量とリモート管理可能なコントロールポイントの数を大幅に増やすことを促進するワイヤレスで低電力のフィールドデバイスが導入されています。
IPv6 appears as a core technology at the conjunction of both trends, as illustrated by the current [ISA100.11a] industrial Wireless Sensor Networking specification, where technologies for layers 1-4 that were developed for purposes other than industrial CT -- [IEEE802.15.4] PHY and MAC, IPv6 over Low-Power Wireless Personal Area Networks (6LoWPANs) [RFC4919], and UDP -- are adapted to industrial CT use. But due to the lack of open standards for routing in Low-power and Lossy Networks (LLNs), even ISA100.11a leaves the routing operation to proprietary methods.
IPv6は、現在の[ISA100.11a]産業用ワイヤレスセンサーネットワーキング仕様で示されているように、両方のトレンドの結合でコアテクノロジーとして表示されます。ここでは、産業用CT以外の目的で開発されたレイヤー1〜4のテクノロジーが開発されています[IEEE802。15.4] PHYおよびMAC、低電力ワイヤレスパーソナルエリアネットワーク(6LowPans)[RFC4919]、およびUDPを超えるIPv6は、産業用CTの使用に適合しています。しかし、低電力および損失のあるネットワーク(LLN)でのルーティングのオープン標準がないため、ISA100.11aでさえ、ルーティング操作を独自の方法に残します。
The aim of this document is to analyze the requirements from the industrial environment for a routing protocol in Low power and Lossy Networks (LLNs) based on IPv6 to power the next generation of Control Technology.
このドキュメントの目的は、IPv6に基づいた低電力および損失ネットワーク(LLN)のルーティングプロトコルの産業環境からの要件を分析して、次世代の制御技術に駆動することです。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。
This document employs terminology defined in the ROLL (Routing Over Low-power and Lossy networks) terminology document [ROLL-TERM]. This document also refers to industrial standards:
このドキュメントは、ロール(低電力および損失のあるネットワーク上のルーティング)で定義されている用語を使用しています。このドキュメントは、産業基準も参照しています。
HART: Highway Addressable Remote Transducer, a group of specifications for industrial process and control devices administered by the HART Communication Foundation (see [HART]). The latest version for the specifications is HART7, which includes the additions for WirelessHART [IEC62591].
HART:高速道路アドレス可能なリモートトランスデューサー、HART通信財団が管理する産業プロセスおよび制御デバイスの仕様のグループ([HART]を参照)。仕様の最新バージョンはHART7です。これには、WirelessHart [IEC62591]の追加が含まれています。
ISA: International Society of Automation, an ANSI-accredited standards-making society. ISA100 is an ISA committee whose charter includes defining a family of standards for industrial automation. [ISA100.11a] is a working group within ISA100 that is working on a standard for monitoring and non-critical process control applications.
ISA:国際自動化協会、ANSI認識された標準制作協会。ISA100はISA委員会であり、その憲章は産業自動化の基準の定義を含むことを含みます。[ISA100.11a]は、ISA100内のワーキンググループであり、監視および非批判的なプロセス制御アプリケーションの標準に取り組んでいます。
Wireless, low-power field devices enable industrial users to significantly increase the amount of information collected and the number of control points that can be remotely managed. The deployment of these wireless devices will significantly improve the productivity and safety of the plants while increasing the efficiency of the plant workers. IPv6 is perceived as a key technology to provide the scalability and interoperability that are required in that space, and it is more and more present in standards and products under development and early deployments.
ワイヤレスの低電力フィールドデバイスにより、産業ユーザーは収集された情報の量とリモート管理できる制御ポイントの数を大幅に増やすことができます。これらのワイヤレスデバイスの展開は、植物労働者の効率を高めながら、植物の生産性と安全性を大幅に改善します。IPv6は、そのスペースで必要なスケーラビリティと相互運用性を提供する重要な技術として認識されており、開発および早期展開中の標準と製品にますます存在します。
Cable is perceived as a more proven, safer technology, and existing, operational deployments are very stable in time. For these reasons, it is not expected that wireless will replace wire in any foreseeable future; the consensus in the industrial space is rather that wireless will tremendously augment the scope and benefits of automation by enabling the control of devices that were not connected in the past for reasons of cost and/or deployment complexities. But for LLNs to be adopted in the industrial environment, the wireless network needs to have three qualities: low power, high reliability, and easy installation and maintenance. The routing protocol used for LLNs is important to fulfilling these goals.
ケーブルは、より実証済みの、より安全な技術として認識されており、既存の運用展開は非常に安定しています。これらの理由により、ワイヤレスが予見可能な将来にワイヤーを交換することは予想されません。産業スペースのコンセンサスは、むしろ、コストおよび/または展開の複雑さの理由で過去に接続されていなかったデバイスの制御を可能にすることにより、ワイヤレスが自動化の範囲と利点を非常に強化することです。しかし、LLNが産業環境で採用されるには、ワイヤレスネットワークには、低電力、高い信頼性、簡単な設置とメンテナンスの3つの品質が必要です。LLNSに使用されるルーティングプロトコルは、これらの目標を達成するために重要です。
Industrial automation is segmented into two distinct application spaces, known as "process" or "process control" and "discrete manufacturing" or "factory automation". In industrial process control, the product is typically a fluid (oil, gas, chemicals, etc.). In factory automation or discrete manufacturing, the products are individual elements (screws, cars, dolls). While there is some overlap of products and systems between these two segments, they are surprisingly separate communities. The specifications targeting industrial process control tend to have more tolerance for network latency than what is needed for factory automation.
産業自動化は、「プロセス」または「プロセス制御」と「離散製造」または「ファクトリーオートメーション」として知られる2つの異なるアプリケーションスペースにセグメント化されています。産業プロセス制御では、製品は通常、液体(油、ガス、化学物質など)です。工場の自動化または個別の製造では、製品は個々の要素(ネジ、車、人形)です。これら2つのセグメント間に製品とシステムの重複があるが、それらは驚くほど独立したコミュニティです。産業プロセス制御を対象とした仕様は、工場の自動化に必要なものよりもネットワークレイテンシに対してより多くの耐性を持つ傾向があります。
Irrespective of this different 'process' and 'discrete' plant nature, both plant types will have similar needs for automating the collection of data that used to be collected manually, or was not collected before. Examples are wireless sensors that report the state of a fuse, report the state of a luminary, HVAC status, report vibration levels on pumps, report man-down, and so on.
この異なる「プロセス」と「離散」植物の性質に関係なく、両方の植物タイプは、手動で収集された、または以前に収集されなかったデータの収集を自動化するための同様のニーズを持っています。例は、ヒューズの状態を報告するワイヤレスセンサー、LUMINAR、HVACステータスの状態を報告し、ポンプの振動レベルを報告する、マンダウンを報告するなどです。
Other novel application arenas that equally apply to both 'process' and 'discrete' involve mobile sensors that roam in and out of plants, such as active sensor tags on containers or vehicles.
「プロセス」と「離散」の両方に等しく適用される他の新しいアプリケーションアリーナには、コンテナや車両のアクティブなセンサータグなど、植物の内外を歩き回るモバイルセンサーが含まれます。
Some if not all of these applications will need to be served by the same low-power and lossy wireless network technology. This may mean several disconnected, autonomous LLNs connecting to multiple hosts, but sharing the same ether. Interconnecting such networks, if only to supervise channel and priority allocations, or to fully synchronize, or to share path capacity within a set of physical network components may be desired, or may not be desired for practical reasons, such as e.g., cyber security concerns in relation to plant safety and integrity.
これらのアプリケーションのすべてではないにしても、同じ低電力と損失のあるワイヤレスネットワークテクノロジーが提供する必要があるものもあります。これは、複数のホストに接続するいくつかの切断された自律的なLLNを意味するかもしれませんが、同じエーテルを共有します。チャネルと優先順位の割り当てを監督したり、完全に同期したり、物理的なネットワークコンポーネントのセット内でパス容量を共有する場合のみ、そのようなネットワークを相互接続してください。植物の安全性と完全性に関連して。
All application spaces desire battery-operated networks of hundreds of sensors and actuators communicating with LLN access points. In an oil refinery, the total number of devices might exceed one million, but the devices will be clustered into smaller networks that in most cases interconnect and report to an existing plant network infrastructure.
すべてのアプリケーションスペースは、LLNアクセスポイントと通信する数百のセンサーとアクチュエーターのバッテリー操作ネットワークを希望します。オイル製油所では、デバイスの総数は100万を超える可能性がありますが、ほとんどの場合、既存のプラントネットワークインフラストラクチャに相互接続および報告する小さなネットワークにデバイスがクラスター化されます。
Existing wired sensor networks in this space typically use communication protocols with low data rates, from 1200 baud (e.g., wired HART) to the 100-200 kbps range for most of the others. The existing protocols are often master/slave with command/response.
このスペースの既存の有線センサーネットワークは、通常、1200ボー(有線HART)から他のほとんどで100〜200 kbpsの範囲まで、低データレートの通信プロトコルを使用します。既存のプロトコルは、多くの場合、コマンド/応答を備えたマスター/スレーブです。
The industrial market classifies process applications into three broad categories and six classes.
o Safety
o 安全性
* Class 0: Emergency action - Always a critical function
* クラス0:緊急活動 - 常に重要な機能
o Control
o コントロール
* Class 1: Closed-loop regulatory control - Often a critical function
* クラス1:閉ループ規制制御 - 多くの場合、重要な機能
* Class 2: Closed-loop supervisory control - Usually a non-critical function
* クラス2:クローズドループ監督制御 - 通常は非批判的な機能
* Class 3: Open-loop control - Operator takes action and controls the actuator (human in the loop)
* クラス3:オープンループコントロール - オペレーターがアクションを実行し、アクチュエータを制御します(ループ内の人間)
o Monitoring
o モニタリング
* Class 4: Alerting - Short-term operational effect (for example, event-based maintenance)
* クラス4:アラート - 短期運用効果(たとえば、イベントベースのメンテナンス)
* Class 5: Logging and downloading / uploading - No immediate operational consequence (e.g., history collection, sequence-of-events, preventive maintenance)
* クラス5:ロギングとダウンロード /アップロード - 即時の運用上の結果はありません(例:履歴コレクション、シーケンス、予防保守)
Safety-critical functions effect the basic safety integrity of the plant. These normally dormant functions kick in only when process control systems, or their operators, have failed. By design and by regular interval inspection, they have a well-understood probability of failure on demand in the range of typically once per 10-1000 years.
安全性が批判的な機能は、植物の基本的な安全性の完全性に影響します。これらの通常の休眠機能は、プロセス制御システムまたはその演算子が失敗した場合にのみキックインします。設計により、定期的なインターバル検査により、通常は10〜1000年あたり1回の範囲の範囲で、故障する可能性が十分に理解されています。
In-time deliveries of messages become more relevant as the class number decreases.
メッセージの時間内配信は、クラス数が減少するにつれて関連性が高くなります。
Note that for a control application, the jitter is just as important as latency and has a potential of destabilizing control algorithms.
制御アプリケーションの場合、ジッターはレイテンシと同じくらい重要であり、制御アルゴリズムを不安定化する可能性があることに注意してください。
Industrial users are interested in deploying wireless networks for the monitoring classes 4 and 5, and in the non-critical portions of classes 2 through 3.
産業ユーザーは、監視クラス4および5のワイヤレスネットワークの展開に関心があり、クラス2から3の非クリティカルな部分にあります。
Classes 4 and 5 also include asset monitoring and tracking, which include equipment monitoring and are essentially separate from process monitoring. An example of equipment monitoring is the recording of motor vibrations to detect bearing wear. However, similar sensors detecting excessive vibration levels could be used as safeguarding loops that immediately initiate a trip, and thus end up being class 0.
クラス4と5には、機器の監視を含む資産の監視と追跡も含まれており、プロセスの監視と本質的には別のものです。機器の監視の例は、ベアリング摩耗を検出するための運動振動の記録です。ただし、過度の振動レベルを検出する同様のセンサーは、すぐに旅行を開始する保護ループとして使用でき、クラス0になります。
In the near future, most LLN systems in industrial automation environments will be for low-frequency data collection. Packets containing samples will be generated continuously, and 90% of the market is covered by packet rates of between 1/second and 1/hour, with the average under 1/minute. In industrial process, these sensors include temperature, pressure, fluid flow, tank level, and corrosion. Some sensors are bursty, such as vibration monitors that may generate and transmit tens of kilobytes (hundreds to thousands of packets) of time-series data at reporting rates of minutes to days.
近い将来、産業自動化環境のほとんどのLLNシステムは、低周波データ収集のためのものです。サンプルを含むパケットは継続的に生成され、市場の90%は1/秒から1時間/時間のパケットレートでカバーされ、平均は1/分未満です。産業プロセスでは、これらのセンサーには、温度、圧力、流体の流れ、タンクレベル、腐食が含まれます。いくつかのセンサーは、数分から数日のレポートで数十キロバイト(数百から数千のパケット)の時系列データを生成および送信する可能性のある振動モニターなど、破裂しています。
Almost all of these sensors will have built-in microprocessors that may detect alarm conditions. Time-critical alarm packets are expected to be granted a lower latency than periodic sensor data streams.
これらのセンサーのほとんどすべてには、アラーム条件を検出する可能性のあるマイクロプロセッサが組み込まれています。時間型のアラームパケットは、周期的なセンサーデータストリームよりも低いレイテンシが付与されると予想されます。
Some devices will transmit a log file every day, again with typically tens of kilobytes of data. For these applications, there is very little "downstream" traffic coming from the LLN access point and traveling to particular sensors. During diagnostics, however, a technician may be investigating a fault from a control room and expect to have "low" latency (human tolerable) in a command/response mode.
一部のデバイスでは、通常、数十キロバイトのデータを使用して、毎日ログファイルを送信します。これらのアプリケーションでは、LLNアクセスポイントからの「下流」トラフィックがほとんどなく、特定のセンサーへの移動がありません。ただし、診断中、技術者はコントロールルームからの障害を調査しており、コマンド/応答モードで「低い」レイテンシ(人間の許容範囲)があると予想される場合があります。
Low-rate control, often with a "human in the loop" (also referred to as "open loop"), is implemented via communication to a control room because that's where the human in the loop will be. The sensor data makes its way through the LLN access point to the centralized controller where it is processed, the operator sees the information and takes action, and the control information is then sent out to the actuator node in the network.
多くの場合、「ループ中の人間」(「オープンループ」とも呼ばれる)を使用して、ループ内の人間がいる場所であるため、コントロールルームへの通信を介して実装されます。センサーデータは、LLNアクセスポイントを通過して集中コントローラーが処理され、オペレーターが情報を確認してアクションを実行し、コントロール情報がネットワーク内のアクチュエータノードに送信されます。
In the future, it is envisioned that some open-loop processes will be automated (closed loop) and packets will flow over local loops and not involve the LLN access point. These closed-loop controls for non-critical applications will be implemented on LLNs. Non-critical closed-loop applications have a latency requirement that can be as low as 100 milliseconds but many control loops are tolerant of latencies above 1 second.
将来的には、一部のオープンループプロセスが自動化され(閉ループ)、パケットがローカルループ上に流れ、LLNアクセスポイントが含まれないことが想定されています。これらの非批判的なアプリケーション用のこれらの閉ループ制御は、LLNに実装されます。非クリティカルな閉ループアプリケーションには、100ミリ秒ほど低いことができるレイテンシ要件がありますが、多くの制御ループは1秒を超えるレイテンシーに耐性があります。
More likely though is that loops will be closed in the field entirely, and in such a case, having wireless links within the control loop does not usually present actual value. Most control loops have sensors and actuators within such proximity that a wire between them remains the most sensible option from an economic point of view. This 'control in the field' architecture is already common practice with wired fieldbusses. An 'upstream' wireless link would only be used to influence the in-field controller settings and to occasionally capture diagnostics. Even though the link back to a control room might be wireless, this architecture reduces the tight latency and availability requirements for the wireless links.
しかし、より可能性が高いのは、ループが完全にフィールドで閉じられることであり、そのような場合、コントロールループ内にワイヤレスリンクを持つことは通常実際の値を示しません。ほとんどのコントロールループには、その間のワイヤーが経済的観点から最も賢明な選択肢のままであるため、このような近接範囲内にセンサーとアクチュエーターがあります。この「フィールドでのコントロール」アーキテクチャは、有線のフィールドバスですでに一般的な慣行です。「アップストリーム」ワイヤレスリンクは、フィールド内コントローラーの設定に影響を与え、診断をキャプチャするためにのみ使用されます。コントロールルームへのリンクはワイヤレスかもしれませんが、このアーキテクチャはワイヤレスリンクの厳しい遅延と可用性の要件を削減します。
Closing loops in the field:
フィールドの閉鎖ループ:
o does not prevent the same loop from being closed through a remote multivariable controller during some modes of operation, while being closed directly in the field during other modes of operation (e.g., fallback, or when timing is more critical)
o 一部の動作モード中に同じループがリモート多変数コントローラーを介して閉じられないようにしますが、他の動作モード中にフィールドで直接閉じられています(たとえば、フォールバック、またはタイミングがより重要である場合)
o does not imply that the loop will be closed with a wired connection, or that the wired connection is more energy efficient even when it exists as an alternate to the wireless connection.
o ループが有線接続で閉じられること、またはワイヤレス接続と代替として存在する場合でも、有線接続がよりエネルギー効率が高いことを意味するものではありません。
A realistic future scenario is for a field device with a battery or ultra-capacitor power storage to have both wireless and unpowered wired communications capability (e.g., galvanically isolated RS-485), where the wireless communication is more flexible and, for local loop operation, more energy efficient. The wired communication capability serves as a backup interconnect among the loop elements, but without a wired connection back to the operations center blockhouse. In other words, the loop elements are interconnected through wiring to a nearby junction box, but the 2 km home-run link from the junction box to the control center does not exist.
現実的な将来のシナリオは、バッテリーまたはウルトラキャパシタの電力ストレージを備えたフィールドデバイスが、ワイヤレスおよび無線通信機能の両方を持つことです(例:ガルバンに分離されたRS-485)。、よりエネルギー効率が高くなります。有線通信機能は、ループ要素間のバックアップ相互接続として機能しますが、配線接続がオペレーションセンターブロックハウスに戻ることはありません。言い換えれば、ループ要素は近くのジャンクションボックスへの配線を介して相互接続されていますが、ジャンクションボックスからコントロールセンターへの2 kmのホームランリンクは存在しません。
When wireless communication conditions are good, devices use wireless for loop interconnect, and either one wireless device reports alarms and other status to the control center for all elements of the loop, or each element reports independently. When wireless communications are sporadic, the loop interconnect uses the self-powered galvanically isolated RS-485 link and one of the devices with good wireless communications to the control center serves as a router for those devices that are unable to contact the control center directly.
The above approach is particularly attractive for large storage tanks in tank farms, where devices may not all have good wireless visibility of the control center, and where a home-run cable from the tank to the control center is undesirable due to the electro-potential differences between the tank location and the distant control center that arise during lightning storms.
上記のアプローチは、タンクファームの大型ストレージタンクにとって特に魅力的です。この農場では、デバイスがすべてコントロールセンターのワイヤレス視認性が良くない場合があり、タンクからコントロールセンターへのホームランケーブルが電気ポテンシャルのために望ましくありません。稲妻の際に発生する遠方のコントロールセンターとの違い。
In fast control, tens of milliseconds of latency is typical. In many of these systems, if a packet does not arrive within the specified interval, the system enters an emergency shutdown state, often with substantial financial repercussions. For a one-second control loop in a system with a target of 30 years for the mean time between shutdowns, the latency requirement implies nine 9s of reliability (aka 99.9999999% reliability). Given such exposure, given the intrinsic vulnerability of wireless link availability, and given the emergence of control in the field architectures, most users tend not to aim for fast closed-loop control with wireless links within that fast loop.
迅速な制御では、数十ミリ秒のレイテンシが典型的です。これらのシステムの多くでは、パケットが指定された間隔内に到着しない場合、システムは緊急シャットダウン状態になり、多くの場合、かなりの経済的影響があります。シャットダウンまでの平均時間の目標を持つシステム内の1秒の制御ループの場合、レイテンシ要件は9つの9sの信頼性(別名99.9999999%の信頼性)を意味します。このような露出を考えると、ワイヤレスリンクの可用性の本質的な脆弱性を考えると、フィールドアーキテクチャでの制御の出現を考えると、ほとんどのユーザーは、その高速ループ内のワイヤレスリンクを使用した高速閉ループ制御を目指しない傾向があります。
Although network topology is difficult to generalize, the majority of existing applications can be met by networks of 10 to 200 field devices and a maximum number of hops of 20. It is assumed that the field devices themselves will provide routing capability for the network, and additional repeaters/routers will not be required in most cases.
ネットワークトポロジを一般化することは困難ですが、既存のアプリケーションの大部分は、10〜200のフィールドデバイスのネットワークと20のホップ数で満たすことができます。フィールドデバイス自体がネットワークにルーティング機能を提供すると想定されています。ほとんどの場合、追加のリピーター/ルーターは必要ありません。
For the vast majority of industrial applications, the traffic is mostly composed of real-time publish/subscribe sensor data also referred to as buffered, from the field devices over an LLN towards one or more sinks. Increasingly over time, these sinks will be a part of a backbone, but today they are often fragmented and isolated.
産業用アプリケーションの大部分では、トラフィックは主にLLNを介したフィールドデバイスから1つ以上のシンクに向けて、バッファーとも呼ばれるリアルタイムのパブリッシュ/サブスクライブセンサーデータで構成されています。時間が経つにつれて、これらのシンクはバックボーンの一部になりますが、今日ではしばしば断片化され孤立しています。
The wireless sensor network (WSN) is an LLN of field devices for which two logical roles are defined, the field routers and the non-routing devices. It is acceptable and even probable that the repartition of the roles across the field devices changes over time to balance the cost of the forwarding operation amongst the nodes.
ワイヤレスセンサーネットワーク(WSN)は、フィールドルーターと非ルーティングデバイスの2つの論理ロールが定義されているフィールドデバイスのLLNです。フィールドデバイス全体での役割の再パーティションが時間とともに変化し、ノード間の転送操作のコストのバランスをとることは許容され、さらには考えられません。
In order to scale a control network in terms of density, one possible architecture is to deploy a backbone as a canopy that aggregates multiple smaller LLNs. The backbone is a high-speed infrastructure network that may interconnect multiple WSNs through backbone routers. Infrastructure devices can be connected to the backbone. A gateway/ manager that interconnects the backbone to the plant network of the corporate network can be viewed as collapsing the backbone and the infrastructure devices into a single device that operates all the required logical roles. The backbone is likely to become an option in the industrial network.
密度の観点から制御ネットワークをスケーリングするために、可能なアーキテクチャの1つは、複数の小さなLLNを集約するキャノピーとしてバックボーンを展開することです。バックボーンは、バックボーンルーターを介して複数のWSNを相互接続できる高速インフラストラクチャネットワークです。インフラストラクチャデバイスをバックボーンに接続できます。バックボーンをコーポレートネットワークのプラントネットワークと相互接続するゲートウェイ/マネージャーは、バックボーンとインフラストラクチャデバイスを必要なすべての論理ロールを操作する単一のデバイスに崩壊させると見なすことができます。バックボーンは、産業ネットワークでオプションになる可能性があります。
Typically, such backbones interconnect to the 'legacy' wired plant infrastructure, which is known as the plant network or Process Control Domain (PCD). These plant automation networks are segregated domain-wise from the office network or office domain (OD), which in itself is typically segregated from the Internet.
通常、このようなバックボーンは、プラントネットワークまたはプロセス制御ドメイン(PCD)として知られている「レガシー」有線プラントインフラストラクチャと相互接続します。これらのプラントオートメーションネットワークは、オフィスネットワークまたはオフィスドメイン(OD)から分離されたドメインであり、それ自体は通常、インターネットから分離されています。
Sinks for LLN sensor data reside on the plant network (the PCD), the business network (the OD), and on the Internet. Applications close to existing plant automation, such as wired process control and monitoring systems running on fieldbusses, that require high availability and low latencies, and that are managed by 'Control and Automation' departments typically reside on the PCD. Other applications such as automated corrosion monitoring, cathodic protection voltage verification, or machine condition (vibration) monitoring where one sample per week is considered over-sampling, would more likely deliver their sensor readings in the OD. Such applications are 'owned' by, e.g., maintenance departments.
LLNセンサーデータのシンクは、プラントネットワーク(PCD)、ビジネスネットワーク(OD)、およびインターネットにあります。フィールドバスで実行される有線プロセス制御および監視システムなど、既存のプラント自動化に近いアプリケーションは、高可用性と低レイテンシを必要とし、「制御と自動化」部門によって管理されます。自動化された腐食モニタリング、カソード保護電圧検証、または機械条件(振動)モニタリングなどの他のアプリケーションは、1つのサンプルが過剰サンプリングと見なされる場合、ODでセンサーの測定値を提供する可能性が高くなります。このようなアプリケーションは、たとえばメンテナンス部門によって「所有」されます。
Yet other applications like third-party-maintained luminaries, or vendor-managed inventory systems, where a supplier of chemicals needs access to tank level readings at his customer's site, will be best served with direct Internet connectivity all the way to its sensor at his customer's site. Temporary 'babysitting sensors' deployed for just a few days, say during startup or troubleshooting or for ad hoc measurement campaigns for research and development purposes, are other examples where Internet would be the domain where wireless sensor data would land, and other domains such as the OD and PCD should preferably be circumvented if quick deployment without potentially impacting plant safety integrity is required.
さらに、化学物質のサプライヤーが顧客のサイトでタンクレベルの測定値にアクセスできるベンダー管理在庫システムなど、他のアプリケーションは、彼のセンサーに直接インターネット接続を備えた最適に提供されます。顧客のサイト。たとえば、スタートアップやトラブルシューティング中、または研究開発目的のためのアドホック測定キャンペーンなど、ほんの数日間展開された一時的な「ベビーシッターセンサー」は、インターネットがワイヤレスセンサーデータが上陸するドメイン、および他のドメインや、他のドメインや他のドメインがあります。ODとPCDは、植物の安全性に潜在的に影響を与えることなく迅速な展開が必要な場合、好ましくは回避する必要があります。
This multiple-domain multiple-application connectivity creates a significant challenge. Many different applications will all share the same medium, the ether, within the fence, preferably sharing the same frequency bands, and preferably sharing the same protocols, preferably synchronized to optimize coexistence challenges, yet logically segregated to avoid creation of intolerable shortcuts between existing wired domains.
この複数ドメインの複数アプリケーション接続は、重要な課題を生み出します。多くの異なるアプリケーションはすべて、フェンス内で同じ媒体、エーテルを共有し、好ましくは同じ周波数帯域を共有し、好ましくは同じプロトコルを共有します。ドメイン。
Given this challenge, LLNs are best to be treated as all sitting on yet another segregated domain, segregated from all other wired domains where conventional security is organized by perimeter. Moving away from the traditional perimeter-security mindset means moving towards stronger end-device identity authentication, so that LLN access points can split the various wireless data streams and interconnect back to the appropriate domain (pending the gateways' establishment of the message originators' identity and trust).
この課題を考えると、LLNは、従来のセキュリティが境界線によって編成されている他のすべての有線ドメインから分離された、さらに別の分離ドメインに座っているすべてのものとして扱われるのが最善です。従来の境界セキュリティの考え方から離れることとは、LLNアクセスポイントがさまざまなワイヤレスデータストリームを分割し、適切なドメインに相互接続することができるように、より強力なエンドデバイスIDの認証に向かって移動することを意味します(Gatewaysの「Messivent 'Indestiblishing of the Message Originators」IDのIDの確立はと信頼)。
Similar considerations are to be given to how multiple applications may or may not be allowed to share routing devices and their potentially redundant bandwidth within the network. Challenges here are to balance available capacity, required latencies, expected priorities, and (last but not least) available (battery) energy within the routing devices.
同様の考慮事項は、複数のアプリケーションがルーティングデバイスと、ネットワーク内で潜在的に冗長帯域幅を共有することを許可されるか、許可されているかについて与えられます。ここでの課題は、利用可能な容量、必要なレイテンシ、予想される優先順位、および(最後になりましたが)ルーティングデバイス内の利用可能な(バッテリー)エネルギーのバランスをとることです。
There is no specific physical topology for an industrial process control network.
産業プロセス制御ネットワークには特定の物理トポロジーはありません。
One extreme example is a multi-square-kilometer refinery where isolated tanks, some of them with power but most with no backbone connectivity, compose a farm that spans over of the surface of the plant. A few hundred field devices are deployed to ensure the global coverage using a wireless self-forming self-healing mesh network that might be 5 to 10 hops across. Local feedback loops and mobile workers tend to be only 1 or 2 hops. The backbone is in the refinery proper, many hops away. Even there, powered infrastructure is also typically several hops away. In that case, hopping to/from the powered infrastructure may often be more costly than the direct route.
極端な例の1つは、隔離されたタンク、そのうちのいくつかは電力を備えているがバックボーン接続のないほとんどが植物の表面にまたがる農場を構成する複数平方メートルの製油所です。数百のフィールドデバイスが展開され、5〜10ホップである可能性のあるワイヤレスの自己形成セルフヒーリングメッシュネットワークを使用してグローバルなカバレッジを確保しています。ローカルフィードバックループとモバイルワーカーは、1つまたは2ホップしかない傾向があります。バックボーンは適切な製油所にあり、多くの人が飛び回っています。そこでも、パワーインフラストラクチャは通常、数回離れています。その場合、パワーインフラストラクチャに出入りすることは、多くの場合、直接ルートよりも費用がかかる場合があります。
In the opposite extreme case, the backbone network spans all the nodes and most nodes are in direct sight of one or more backbone routers. Most communication between field devices and infrastructure devices, as well as field device to field device, occurs across the backbone. From afar, this model resembles the WiFi ESS (Extended Service Set). But from a layer-3 (L3) perspective, the issues are the default (backbone) router selection and the routing inside the backbone, whereas the radio hop towards the field device is in fact a simple local delivery.
反対の極端な場合、バックボーンネットワークはすべてのノードにまたがり、ほとんどのノードは1つ以上のバックボーンルーターを直接目にしています。フィールドデバイスとインフラストラクチャデバイス間のほとんどの通信、およびフィールドデバイスへのフィールドデバイスは、バックボーン全体で発生します。遠くから、このモデルはWiFi ESS(拡張サービスセット)に似ています。しかし、レイヤー3(L3)の観点からは、問題はデフォルト(バックボーン)ルーターの選択とバックボーン内のルーティングですが、フィールドデバイスに向かうラジオホップは実際には単純なローカル配信です。
---------+---------------------------- | Plant Network | +-----+ | | Gateway M : Mobile device | | o : Field device +-----+ | | Backbone +--------------------+------------------+ | | | +-----+ +-----+ +-----+ | | Backbone | | Backbone | | Backbone | | router | | router | | router +-----+ +-----+ +-----+ o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o o M o o o o o o o M o o o o o o o o o o o o o o o o o o o o o o o o o o o LLN
Figure 1: Backbone-Based Physical Topology
図1:バックボーンベースの物理トポロジ
An intermediate case is illustrated in Figure 1 with a backbone that spans the Wireless Sensor Network in such a fashion that any WSN node is only a few wireless hops away from the nearest backbone router. WSN nodes are expected to organize into self-forming, self-healing, self-optimizing logical topologies that enable leveraging the backbone when it is most efficient to do so.
図1に、WSNノードが最寄りのバックボーンルーターからわずか数ワイヤレスホップであるという方法でワイヤレスセンサーネットワークにまたがるバックボーンを備えた中間ケースを図1に示します。WSNノードは、自己形成、自己修復、自己最適化の論理トポロジーに整理することが期待されています。
It must be noted that the routing function is expected to be so simple that any field device could assume the role of a router, depending on the self-discovery of the topology and the power status of the neighbors. On the other hand, only devices equipped with the appropriate hardware and software combination could assume the role of an endpoint for a given purpose, such as sensor or actuator.
トポロジーの自己発見と近隣のパワーステータスに応じて、ルーティング機能が非常に単純であると予想されることに注意する必要があります。一方、適切なハードウェアとソフトウェアの組み合わせを装備したデバイスのみが、センサーやアクチュエータなどの特定の目的のエンドポイントの役割を引き受けることができます。
Most of the traffic over the LLN is publish/subscribe of sensor data from the field device towards a sink that can be a backbone router, a gateway, or a controller/manager. The destination of the sensor data is an infrastructure device that sits on the backbone and is reachable via one or more backbone routers.
LLN上のトラフィックのほとんどは、フィールドデバイスからバックボーンルーター、ゲートウェイ、またはコントローラー/マネージャーになる可能性のあるシンクに向けてセンサーデータを公開/購読しています。センサーデータの宛先は、バックボーンにあるインフラストラクチャデバイスで、1つ以上のバックボーンルーターを介して到達可能です。
For security, reliability, availability, or serviceability reasons, it is often required that the logical topologies are not physically congruent over the radio network; that is, they form logical partitions of the LLN. For instance, a routing topology that is set up for control should be isolated from a topology that reports the temperature and the status of the vents, if that second topology has lesser constraints for the security policy. This isolation might be implemented as Virtual LANs and Virtual Routing Tables in shared nodes in the backbone, but correspond effectively to physical nodes in the wireless network.
セキュリティ、信頼性、可用性、または保守性の理由のために、論理トポロジーが無線ネットワーク上で物理的に一致しないことがしばしば必要です。つまり、LLNの論理パーティションを形成します。たとえば、制御用に設定されたルーティングトポロジは、セキュリティポリシーの制約が少ない場合、通気口の温度と状態を報告するトポロジから分離する必要があります。この分離は、バックボーンの共有ノードの仮想LANおよび仮想ルーティングテーブルとして実装される可能性がありますが、ワイヤレスネットワークの物理ノードに効果的に対応します。
Since publishing the data is the raison d'etre for most of the sensors, in some cases it makes sense to build proactively a set of routes between the sensors and one or more backbone routers and maintain those routes at all time. Also, because of the lossy nature of the network, the routing in place should attempt to propose multiple paths in the form of Directed Acyclic Graphs oriented towards the destination.
データを公開することはほとんどのセンサーのレゾンドレルであるため、場合によっては、センサーと1つ以上のバックボーンルーターの間に一連のルートを積極的に構築し、常にそれらのルートを常に維持することが理にかなっています。また、ネットワークの不足している性質のため、配置されたルーティングは、目的地に向けられた指向性の非環式グラフの形で複数のパスを提案しようと試みるはずです。
In contrast with the general requirement of maintaining default routes towards the sinks, the need for field device to field device (FD-to-FD) connectivity is very specific and rare, though the traffic associated might be of foremost importance. FD-to-FD routes are often the most critical, optimized, and well-maintained routes. A class 0 safeguarding loop requires guaranteed delivery and extremely tight response times. Both the respect of criteria in the route computation and the quality of the maintenance of the route are critical for the field devices' operation. Typically, a control loop will be using a dedicated direct wire that has very different capabilities, cost, and constraints than the wireless medium, with the need to use a wireless path as a backup route only in case of loss of the wired path.
シンクに向かってデフォルトルートを維持するという一般的な要件とは対照的に、フィールドデバイスへのフィールドデバイス(FDからFDへ)接続の必要性は非常に具体的でまれですが、関連するトラフィックは最も重要である可能性があります。FDからFDへのルートは、多くの場合、最も重要で、最適化され、よく維持されているルートです。クラス0保護ループには、保証された配信と非常に厳しい応答時間が必要です。ルート計算における基準の尊重と、ルートのメンテナンスの品質の両方が、フィールドデバイスの操作にとって重要です。通常、コントロールループは、ワイヤレス媒体とは非常に異なる機能、コスト、制約を持つ専用のダイレクトワイヤを使用し、有線パスが失われた場合にのみワイヤレスパスをバックアップルートとして使用する必要があります。
Considering that each FD-to-FD route computation has specific constraints in terms of latency and availability, it can be expected that the shortest path possible will often be selected and that this path will be routed inside the LLN as opposed to via the backbone. It can also be noted that the lifetimes of the routes might range from minutes for a mobile worker to tens of years for a command and control closed loop. Finally, time-varying user requirements for latency and bandwidth will change the constraints on the routes, which might either trigger a constrained route recomputation, a reprovisioning of the underlying L2 protocols, or both in that order. For instance, a wireless worker may initiate a bulk transfer to configure or diagnose a field device. A level sensor device may need to perform a calibration and send a bulk file to a plant.
各FDからFDへのルート計算には、レイテンシと可用性の観点から特定の制約があることを考慮すると、可能な限り短いパスが選択され、このパスがバックボーンを介してではなくLLN内にルーティングされることが予想されます。また、ルートの寿命は、モバイルワーカーの数分からコマンドとコントロールの閉ループのために数十年に及ぶ可能性があることに注意することもできます。最後に、レイテンシと帯域幅の時変ユーザー要件は、ルートの制約を変更します。これにより、拘束されたルートの再計算、基礎となるL2プロトコルの再確認、またはその順序での両方がトリガーされる場合があります。たとえば、ワイヤレスワーカーは、フィールドデバイスを構成または診断するためにバルク転送を開始する場合があります。レベルセンサーデバイスは、キャリブレーションを実行し、プラントにバルクファイルを送信する必要がある場合があります。
[ISA100.11a] selected IPv6 as its network layer for a number of reasons, including the huge address space and the large potential size of a subnet, which can range up to 10K nodes in a plant deployment. In the ISA100 model, industrial applications fall into four large service categories:
[ISA100.11a]は、巨大なアドレススペースやサブネットの大きなポテンシャルサイズなど、いくつかの理由でIPv6をネットワークレイヤーとして選択しました。ISA100モデルでは、産業用アプリケーションは4つの大規模なサービスカテゴリに分類されます。
1. Periodic data (aka buffered). Data that is generated periodically and has a well understood data bandwidth requirement, both deterministic and predictable. Timely delivery of such data is often the core function of a wireless sensor network and permanent resources are assigned to ensure that the required bandwidth stays available. Buffered data usually exhibits a short time to live, and the newer reading obsoletes the previous. In some cases, alarms are low-priority information that gets repeated over and over. The end-to-end latency of this data is not as important as the regularity with which the data is presented to the plant application.
1. 周期データ(別名バッファリング)。定期的に生成され、決定論的で予測可能な両方で、よく理解されているデータ帯域幅要件があります。このようなデータのタイムリーな配信は、多くの場合、ワイヤレスセンサーネットワークのコア機能であり、必要な帯域幅が利用可能な状態を確保するために永続的なリソースが割り当てられます。バッファされたデータは通常、短時間の生活を送っており、新しい読み取りは前の廃止を示しています。場合によっては、アラームは繰り返される低優先情報です。このデータのエンドツーエンドのレイテンシは、データがプラントアプリケーションに提示される規則性ほど重要ではありません。
2. Event data. This category includes alarms and aperiodic data reports with bursty data bandwidth requirements. In certain cases, alarms are critical and require a priority service from the network.
2. イベントデータ。このカテゴリには、AlarmsおよびAperiodicデータレポートが爆発的なデータ帯域幅要件を備えています。特定の場合、アラームは重要であり、ネットワークからの優先サービスが必要です。
3. Client/Server. Many industrial applications are based on a client/server model and implement a command response protocol. The data bandwidth required is often bursty. The acceptable round-trip latency for some legacy systems was based on the time to send tens of bytes over a 1200 baud link. Hundreds of milliseconds is typical. This type of request is statistically multiplexed over the LLN and cost-based, fair-share, best-effort service is usually expected.
3. クライアントサーバー。多くの産業用アプリケーションは、クライアント/サーバーモデルに基づいており、コマンド応答プロトコルを実装しています。必要なデータ帯域幅はしばしば破裂します。一部のレガシーシステムの許容可能な往復レイテンシは、1200ボーリンクを介して数十バイトを送信する時間に基づいていました。数百ミリ秒が典型的です。このタイプのリクエストは、LLNで統計的に多重化されており、コストベースのフェアシェア、ベストエフォルトサービスが通常予想されます。
4. Bulk transfer. Bulk transfers involve the transmission of blocks of data in multiple packets where temporary resources are assigned to meet a transaction time constraint. Transient resources are assigned for a limited time (related to file size and data rate) to meet the bulk transfers service requirements.
4. バルク転送。バルク転送には、トランザクション時間の制約を満たすために一時的なリソースが割り当てられている複数のパケットにデータブロックを送信することが含まれます。一時的なリソースは、バルク転送サービス要件を満たすために、限られた時間(ファイルサイズとデータレートに関連)に割り当てられます。
The following service parameters can affect routing decisions in a resource-constrained network:
次のサービスパラメーターは、リソースに制約のあるネットワークのルーティング決定に影響を与える可能性があります。
o Data bandwidth - the bandwidth might be allocated permanently or for a period of time to a specific flow that usually exhibits well-defined properties of burstiness and throughput. Some bandwidth will also be statistically shared between flows in a best-effort fashion.
o データ帯域幅 - 帯域幅は、通常、害とスループットの明確に定義された特性を示す特定のフローに永久に、または一定期間割り当てられる場合があります。一部の帯域幅は、最良の方法でフロー間で統計的に共有されます。
o Latency - the time taken for the data to transit the network from the source to the destination. This may be expressed in terms of a deadline for delivery. Most monitoring latencies will be in seconds to minutes.
o レイテンシ - データがソースから宛先にネットワークを通過するのにかかった時間。これは、配達期限の観点から表現できます。ほとんどの監視レイテンシは数秒から数分で行われます。
o Transmission phase - process applications can be synchronized to wall clock time and require coordinated transmissions. A common coordination frequency is 4 Hz (250 ms).
o 送信フェーズ - プロセスアプリケーションは、壁の時計時間に同期することができ、調整された送信が必要です。一般的な配位周波数は4 Hz(250 ms)です。
o Service contract type - revocation priority. LLNs have limited network resources that can vary with time. This means the system can become fully subscribed or even over-subscribed. System policies determine how resources are allocated when resources are over-subscribed. The choices are blocking and graceful degradation.
o サービス契約タイプ - 取り消し優先度。LLNには、時間とともに異なる可能性のあるネットワークリソースが限られています。これは、システムが完全にサブスクライブされたり、過度にサブスクライブされることもできることを意味します。システムポリシーは、リソースが過剰に登録されているときにリソースがどのように割り当てられるかを決定します。選択はブロックされ、優雅な劣化です。
o Transmission priority - the means by which limited resources within field devices are allocated across multiple services. For transmissions, a device has to select which packet in its queue will be sent at the next transmission opportunity. Packet priority is used as one criterion for selecting the next packet. For reception, a device has to decide how to store a received packet. The field devices are memory-constrained and receive buffers may become full. Packet priority is used to select which packets are stored or discarded.
o トランスミッションの優先度 - フィールドデバイス内の限られたリソースが複数のサービスで割り当てられる手段。トランスミッションの場合、デバイスは次の送信機会に送信されるキュー内のパケットを選択する必要があります。パケットの優先度は、次のパケットを選択するための1つの基準として使用されます。受信のために、デバイスは受信したパケットを保存する方法を決定する必要があります。フィールドデバイスはメモリに制約されており、受信バッファーがいっぱいになる場合があります。パケットの優先度は、保存または破棄されるパケットを選択するために使用されます。
The routing protocol MUST also support different metric types for each link used to compute the path according to some objective function (e.g., minimize latency) depending on the nature of the traffic.
ルーティングプロトコルは、トラフィックの性質に応じて、何らかの客観的関数(例えば、最小限のレイテンシ)に従ってパスを計算するために使用される各リンクの異なるメトリックタイプもサポートする必要があります。
For these reasons, the ROLL routing infrastructure is REQUIRED to compute and update constrained routes on demand, and it can be expected that this model will become more prevalent for FD-to-FD connectivity as well as for some FD-to-infrastructure-device connectivity over time.
これらの理由から、ロールルーティングインフラストラクチャは、需要のある制約されたルートを計算および更新するために必要です。また、このモデルはFDからFDへの接続性とFDからインフラクトへのデバイスでより一般的になることが予想されます。時間の経過に伴う接続。
Industrial application data flows between field devices are not necessarily symmetric. In particular, asymmetrical cost and unidirectional routes are common for published data and alerts, which represent the most part of the sensor traffic. The routing protocol MUST be able to compute a set of unidirectional routes with potentially different costs that are composed of one or more non-congruent paths.
産業用アプリケーションデータフローフィールドデバイス間のフローは、必ずしも対称ではありません。特に、非対称コストと一方向ルートは、センサートラフィックの大部分を表す公開されたデータとアラートで一般的です。ルーティングプロトコルは、1つまたは複数の非条件パスで構成される潜在的に異なるコストで一連の単方向ルートを計算できる必要があります。
As multiple paths are set up and a variety of flows traverse the network towards a same destination (for instance, a node acting as a sink for the LLN), the use of an additional marking/tagging mechanism based on upper-layer information will be REQUIRED for intermediate routers to discriminate the flows and perform the appropriate routing decision using only the content of the IPv6 packet (e.g., use of DSCP, Flow Label).
複数のパスがセットアップされ、さまざまなフローがネットワークを同じ宛先(たとえば、LLNのシンクとして機能するノード)に向かって移動すると、上層層情報に基づく追加のマーキング/タグ付けメカニズムの使用は次のとおりです。中間ルーターがフローを識別し、IPv6パケットのコンテンツのみを使用して適切なルーティング決定を実行するために必要です(例:DSCP、フローラベルの使用)。
Time-varying user requirements for latency and bandwidth may require changes in the provisioning of the underlying L2 protocols. A technician may initiate a query/response session or bulk transfer to diagnose or configure a field device. A level sensor device may need to perform a calibration and send a bulk file to a plant. The routing protocol MUST support the ability to recompute paths based on network-layer abstractions of the underlying link attributes/metrics that may change dynamically.
遅延と帯域幅の時変ユーザー要件には、基礎となるL2プロトコルのプロビジョニングの変更が必要になる場合があります。技術者は、フィールドデバイスを診断または構成するためにクエリ/応答セッションまたはバルク転送を開始することができます。レベルセンサーデバイスは、キャリブレーションを実行し、プラントにバルクファイルを送信する必要がある場合があります。ルーティングプロトコルは、動的に変化する可能性のある基礎となるリンク属性/メトリックのネットワーク層抽象化に基づいてパスを再計算する機能をサポートする必要があります。
Because different services categories have different service requirements, it is often desirable to have different routes for different data flows between the same two endpoints. For example, alarm or periodic data from A to Z may require path diversity with specific latency and reliability. A file transfer between A and Z may not need path diversity. The routing algorithm MUST be able to generate different routes with different characteristics (e.g., optimized according to different costs, etc.).
さまざまなサービスカテゴリにはさまざまなサービス要件があるため、同じ2つのエンドポイント間で異なるデータフローに対して異なるルートを持つことが望ましいことがよくあります。たとえば、AからZまでのアラームまたは定期的なデータには、特定の遅延と信頼性を備えたパスの多様性が必要になる場合があります。AとZの間のファイル転送には、パスの多様性が必要ない場合があります。ルーティングアルゴリズムは、異なる特性を持つ異なるルートを生成できる必要があります(例:異なるコストなどに応じて最適化されています)。
Dynamic or configured states of links and nodes influence the capability of a given path to fulfill operational requirements such as stability, battery cost, or latency. Constraints such as battery lifetime derive from the application itself, and because industrial applications data flows are typically well-defined and well-controlled, it is usually possible to estimate the battery consumption of a router for a given topology.
リンクとノードの動的または構成された状態は、安定性、バッテリーコスト、レイテンシなどの運用要件を満たすために、特定のパスの機能に影響します。バッテリーの寿命などの制約はアプリケーション自体に由来し、産業用アプリケーションのデータフローは通常明確に定義されており、よく制御されているため、通常、特定のトポロジのルーターのバッテリー消費量を推定することができます。
The routing protocol MUST support the ability to (re)compute paths based on network-layer abstractions of upper-layer constraints to maintain the level of operation within required parameters. Such information MAY be advertised by the routing protocol as metrics that enable routing algorithms to establish appropriate paths that fit the upper-layer constraints.
ルーティングプロトコルは、必要なパラメーター内で動作レベルを維持するために、上層層の制約のネットワーク層抽象化に基づいてパスを(再)計算する機能をサポートする必要があります。このような情報は、ルーティングアルゴリズムが上層層の制約に適合する適切なパスを確立できるようにするメトリックとして、ルーティングプロトコルによって宣伝される場合があります。
The handling of an IPv6 packet by the network layer operates on the standard properties and the settings of the IPv6 packet header fields. These fields include the 3-tuple of the Flow Label and the Source and Destination Address that can be used to identify a flow and the Traffic Class octet that can be used to influence the Per Hop Behavior in intermediate routers.
ネットワークレイヤーによるIPv6パケットの処理は、標準プロパティとIPv6パケットヘッダーフィールドの設定で動作します。これらのフィールドには、フローラベルの3タプルと、中間ルーターのホップごとの動作に影響を与えるために使用できるフローを識別するために使用できるソースおよび宛先アドレスが含まれます。
An application MAY choose how to set those fields for each packet or for streams of packets, and the routing protocol specification SHOULD state how different field settings will be handled to perform different routing decisions.
アプリケーションは、各パケットまたはパケットのストリームにこれらのフィールドを設定する方法を選択する場合があり、ルーティングプロトコル仕様は、異なるルーティング決定を実行するために異なるフィールド設定を処理する方法を述べる必要があります。
LLN reliability constitutes several unrelated aspects:
LLN信頼性は、いくつかの無関係な側面を構成します。
1) Availability of source-to-destination connectivity when the application needs it, expressed in number of successes divided by number of attempts.
1) ソース間接続の可用性アプリケーションが必要とする場合、成功の数で表された試みの数で割引されます。
2) Availability of source-to-destination connectivity when the application might need it, expressed in number of potential failures / available bandwidth,
2) 潜在的な障害 /利用可能な帯域幅の数で表される場合、アプリケーションがそれを必要とする場合にソース間接続の可用性、
3) Ability, expressed in number of successes divided by number of attempts to get data delivered from source to destination within a capped time,
3) 成功数で表現された能力は、キャップ付き時間内にソースから目的地にデータを提供するための試みの数で割ったもので、
4) How well a network (serving many applications) achieves end-to-end delivery of packets within a bounded latency,
4) ネットワーク(多くのアプリケーションにサービスを提供する)が、境界のあるレイテンシ内でパケットのエンドツーエンドの配信をどの程度達成しますか、
5) Trustworthiness of data that is delivered to the sinks,
5) シンクに配信されるデータの信頼性、
6) and others depending on the specific case.
6) 特定のケースに応じて他のもの。
This makes quantifying reliability the equivalent of plotting it on a three (or more) dimensional graph. Different applications have different requirements, and expressing reliability as a one dimensional parameter, like 'reliability on my wireless network is 99.9%' often creates more confusion than clarity.
これにより、定量化された信頼性が、3つ(またはそれ以上)の次元グラフでそれをプロットすることに相当するものになります。さまざまなアプリケーションには異なる要件があり、「ワイヤレスネットワークの信頼性が99.9%」など、1次元パラメーターとして信頼性を表現することは、しばしば明確さよりも多くの混乱を生み出します。
The impact of not receiving sensor data due to sporadic network outages can be devastating if this happens unnoticed. However, if destinations that expect periodic sensor data or alarm status updates fail to get them, then automatically these systems can take appropriate actions that prevent dangerous situations. Pending the wireless application, appropriate action ranges from initiating a shutdown within 100 ms, to using a last known good value for as much as N successive samples, to sending out an operator into the plant to collect monthly data in the conventional way, i.e., some portable sensor, or paper and a clipboard.
散発的なネットワークの停止によるセンサーデータを受信しないことの影響は、これが気付かれずに発生した場合、壊滅的になる可能性があります。ただし、定期的なセンサーデータまたはアラームステータスの更新を期待する目的地がそれらを取得できない場合、これらのシステムは自動的に危険な状況を防ぐ適切なアクションをとることができます。ワイヤレスアプリケーションの保留中、適切なアクションは、100ミリ秒以内にシャットダウンを開始することから、連続サンプルと同じくらいの最後の既知の値を使用して、オペレーターをプラントに送信して、従来の方法で毎月のデータを収集することにまで及びます。いくつかのポータブルセンサー、または紙とクリップボード。
The impact of receiving corrupted data, and not being able to detect that received data is corrupt, is often more dangerous. Data corruption can either come from random bit errors due to white noise, or from occasional bursty interference sources like thunderstorms or leaky microwave ovens, but also from conscious attacks by adversaries.
破損したデータを受信し、受信したデータが破損することを検出できないことの影響は、しばしばより危険です。データの破損は、ホワイトノイズによるランダムなビットエラー、または雷雨や漏れやすいマイクロ波オーブンなどの爆発的な干渉源から、敵による意識的な攻撃からも発生する可能性があります。
Another critical aspect for the routing is the capability to ensure maximum disruption time and route maintenance. The maximum disruption time is the time it takes at most for a specific path to be restored when broken. Route maintenance ensures that a path is monitored cannot stay disrupted for more than the maximum disruption time. Maintenance should also ensure that a path continues to provide the service for which it was established, for instance, in terms of bandwidth, jitter, and latency.
ルーティングのもう1つの重要な側面は、最大の破壊時間とルートメンテナンスを確保する機能です。最大の破壊時間は、特定のパスが壊れたときに復元されるまでにせいぜい時間がかかる時間です。ルートメンテナンスにより、パスが監視されていることが保証されます。メンテナンスは、たとえば帯域幅、ジッター、レイテンシの観点から、パスが確立されたサービスを引き続き提供し続けることを保証する必要があります。
In industrial applications, availability is usually defined with respect to end-to-end delivery of packets within a bounded latency. Availability requirements vary over many orders of magnitude. Some non-critical monitoring applications may tolerate an availability of less than 90% with hours of latency. Most industrial standards, such as HART7 [IEC62591], have set user availability expectations at 99.9%. Regulatory requirements are a driver for some industrial applications. Regulatory monitoring requires high data integrity because lost data is assumed to be out of compliance and subject to fines. This can drive up either availability or trustworthiness requirements.
産業用アプリケーションでは、通常、可用性は、境界のあるレイテンシ内のパケットのエンドツーエンド配信に関して定義されます。可用性の要件は、大幅に大きく異なります。一部の非批判的な監視アプリケーションは、数時間の待ち時間で90%未満の可用性を許容する場合があります。HART7 [IEC62591]などのほとんどの産業基準は、ユーザーの可用性の期待を99.9%に設定しています。規制要件は、一部の産業用アプリケーションの推進力です。規制の監視には、失われたデータがコンプライアンスから外れ、罰金の対象となると想定されるため、高いデータの整合性が必要です。これにより、可用性または信頼性の要件のいずれかを押し上げることができます。
Because LLN link stability is often low, path diversity is critical. Hop-by-hop link diversity is used to improve latency-bounded reliability by sending data over diverse paths.
LLNリンクの安定性はしばしば低いため、パスの多様性が重要です。ホップバイホップリンクの多様性は、多様なパスを介してデータを送信することにより、レイテンシーバウンドの信頼性を向上させるために使用されます。
Because data from field devices are aggregated and funneled at the LLN access point before they are routed to plant applications, LLN access point redundancy is an important factor in overall availability. A route that connects a field device to a plant application may have multiple paths that go through more than one LLN access point. The routing protocol MUST be able to compute paths of not-necessarily-equal cost toward a given destination so as to enable load-balancing across a variety of paths. The availability of each path in a multipath route can change over time. Hence, it is important to measure the availability on a per-path basis and select a path (or paths) according to the availability requirements.
フィールドデバイスからのデータは、プラントアプリケーションにルーティングされる前にLLNアクセスポイントで集計および漏洩しているため、LLNアクセスポイント冗長性は全体的な可用性の重要な要素です。フィールドデバイスをプラントアプリケーションに接続するルートには、複数のLLNアクセスポイントを通過する複数のパスがあります。ルーティングプロトコルは、さまざまなパスを横切る負荷分散を可能にするために、特定の宛先に向かって、非不平等なコストのパスを計算できる必要があります。マルチパスルートでの各パスの可用性は、時間とともに変化する可能性があります。したがって、パスごとに可用性を測定し、可用性要件に従ってパス(またはパス)を選択することが重要です。
Wireless LLN nodes in industrial environments are powered by a variety of sources. Battery-operated devices with lifetime requirements of at least five years are the most common. Battery operated devices have a cap on their total energy, and typically can report an estimate of remaining energy, and typically do not have constraints on the short-term average power consumption. Energy-scavenging devices are more complex. These systems contain both a power-scavenging device (such as solar, vibration, or temperature difference) and an energy storage device, such as a rechargeable battery or a capacitor. These systems, therefore, have limits on both long-term average power consumption (which cannot exceed the average scavenged power over the same interval) as well as the short-term limits imposed by the energy storage requirements. For solar-powered systems, the energy storage system is generally designed to provide days of power in the absence of sunlight. Many industrial sensors run off of a 4-20 mA current loop, and can scavenge on the order of milliwatts from that source. Vibration monitoring systems are a natural choice for vibration scavenging, which typically only provides tens or hundreds of microwatts. Due to industrial temperature ranges and desired lifetimes, the choices of energy storage devices can be limited, and the resulting stored energy is often comparable to the energy cost of sending or receiving a packet rather than the energy of operating the node for several days. And of course, some nodes will be line-powered.
産業環境のワイヤレスLLNノードは、さまざまなソースを搭載しています。少なくとも5年の生涯要件を備えたバッテリー操作デバイスが最も一般的です。バッテリー操作デバイスには、総エネルギーが上限しており、通常、残りのエネルギーの推定値を報告でき、通常は短期平均消費電力に制約がありません。エネルギー除去デバイスはより複雑です。これらのシステムには、電力拡張デバイス(太陽光、振動、温度差など)と、充電式バッテリーやコンデンサなどのエネルギー貯蔵装置の両方が含まれています。したがって、これらのシステムには、長期平均消費電力(同じ間隔で平均除去された電力を超えることはできません)と、エネルギー貯蔵要件によって課される短期制限の両方に制限があります。太陽光発電システムの場合、エネルギー貯蔵システムは一般に、日光がない場合に日々のパワーを提供するように設計されています。多くの産業センサーは、4〜20 mAの電流ループから走り去り、そのソースからのミリワットの順序で清掃できます。振動監視システムは、振動の清掃に自然な選択であり、通常、数十または数百マイクロワットのみを提供します。産業温度の範囲と望ましい寿命により、エネルギー貯蔵装置の選択は制限される可能性があり、結果として生じるエネルギーは、数日間ノードを操作するエネルギーではなく、パケットを送信または受信するエネルギーコストに匹敵することがよくあります。そしてもちろん、いくつかのノードはライン駆動されます。
Example 1: solar panel, lead-acid battery sized for two weeks of rain.
例1:ソーラーパネル、2週間の雨のために鉛蓄電池サイズの鉛蓄電池。
Example 2: vibration scavenger, 1 mF tantalum capacitor.
例2:振動スカベンジャー、1 MFタンタルコンデンサ。
Field devices have limited resources. Low-power, low-cost devices have limited memory for storing route information. Typical field devices will have a finite number of routes they can support for their embedded sensor/actuator application and for forwarding other devices packets in a mesh network slotted-link.
フィールドデバイスのリソースは限られています。低電力の低コストのデバイスは、ルート情報を保存するためのメモリが限られています。典型的なフィールドデバイスには、組み込みセンサー/アクチュエータアプリケーションとメッシュネットワークスロットリンクで他のデバイスパケットを転送するためにサポートできる有限数のルートがあります。
Users may strongly prefer that the same device have different lifetime requirements in different locations. A sensor monitoring a non-critical parameter in an easily accessed location may have a lifetime requirement that is shorter and may tolerate more statistical variation than a mission-critical sensor in a hard-to-reach place that requires a plant shutdown in order to replace.
ユーザーは、同じデバイスが異なる場所で異なる生涯要件を持っていることを強く好むかもしれません。簡単にアクセスできる位置で非批判的なパラメーターを監視するセンサーには、より短い寿命要件があり、植物のシャットダウンを必要とする困難な場所のミッションクリティカルなセンサーよりも統計的変動を許容する可能性があります。。
The routing algorithm MUST support node-constrained routing (e.g., taking into account the existing energy state as a node constraint). Node constraints include power and memory, as well as constraints placed on the device by the user, such as battery life.
ルーティングアルゴリズムは、ノードに制約のあるルーティングをサポートする必要があります(たとえば、既存のエネルギー状態をノード制約として考慮して)。ノードの制約には、電源とメモリ、およびバッテリー寿命などのユーザーがデバイスに置く制約が含まれます。
Some existing industrial plant applications do not use broadcast or multicast addressing to communicate to field devices. Unicast address support is sufficient for them.
一部の既存の産業プラントアプリケーションでは、フィールドデバイスと通信するためにブロードキャストやマルチキャストアドレス指定を使用していません。ユニキャストアドレスサポートは彼らにとって十分です。
In some other industrial process automation environments, multicast over IP is used to deliver to multiple nodes that may be functionally similar or not. Example usages are:
他のいくつかの産業プロセス自動化環境では、マルチキャストオーバーIPを使用して、機能的に類似しているかどうかにかかわらず、複数のノードを提供します。使用法の例は次のとおりです。
1) Delivery of alerts to multiple similar servers in an automation control room. Alerts are multicast to a group address based on the part of the automation process where the alerts arose (e.g., the multicast address "all-nodes-interested-in-alerts-for-process-unit-X"). This is always a restricted-scope multicast, not a broadcast.
1) 自動化制御室の複数の類似サーバーへのアラートの配信。アラートは、アラートが発生した自動化プロセスの部分に基づいてグループアドレスにマルチキャストです(たとえば、マルチキャストアドレス「オールノードインテストインアレストのためにプロセスユニット-X」)。これは常に制限付きスコープマルチキャストであり、放送ではありません。
2) Delivery of common packets to multiple routers over a backbone, where the packets result in each receiving router initiating multicast (sometimes as a full broadcast) within the LLN. For instance, this can be a byproduct of having potentially physically separated backbone routers that can inject messages into different portions of the same larger LLN.
2) バックボーン上の複数のルーターに共通のパケットを配信します。パケットは、各受信ルーターがLLN内でマルチキャスト(場合によっては完全な放送として)を開始することになります。たとえば、これは、同じ大きいLLNの異なる部分にメッセージを注入できる潜在的に物理的に分離されたバックボーンルーターを持つことの副産物になる可能性があります。
3) Publication of measurement data to more than one subscriber. This feature is useful in some peer-to-peer control applications. For example, level position may be useful to a controller that operates the flow valve and also to the overfill alarm indicator. Both controller and alarm indicator would receive the same publication sent as a multicast by the level gauge.
3) 複数のサブスクライバーへの測定データの公開。この機能は、一部のピアツーピア制御アプリケーションで役立ちます。たとえば、レベルの位置は、フローバルブを操作するコントローラーやオーバーフィルアラームインジケーターにとっても役立ちます。コントローラーとアラームインジケーターの両方が、レベルゲージによってマルチキャストと送信されるのと同じ出版物を受け取ります。
All of these uses require an 1:N security mechanism as well; they aren't of any use if the end-to-end security is only point-to-point.
これらの使用にはすべて、1:Nセキュリティメカニズムも必要です。エンドツーエンドのセキュリティがポイントツーポイントのみである場合、それらは何の役にも立ちません。
It is quite possible that first-generation wireless automation field networks can be adequately useful without either of these capabilities, but in the near future, wireless field devices with communication controllers and protocol stacks will require control and configuration, such as firmware downloading, that may benefit from broadcast or multicast addressing.
これらの機能のいずれかがなければ、第一世代のワイヤレスオートメーションフィールドネットワークが適切に役立つ可能性がありますが、近い将来、通信コントローラーとプロトコルスタックを備えたワイヤレスフィールドデバイスには、ファームウェアのダウンロードなどの制御と構成が必要になります。放送またはマルチキャストアドレス指定の恩恵を受ける。
The routing protocol SHOULD support multicast addressing.
ルーティングプロトコルは、マルチキャストアドレス指定をサポートする必要があります。
The routing protocol MUST converge after the addition of a new device within several minutes, and SHOULD converge within tens of seconds such that a device is able to establish connectivity to any other point in the network or determine that there is a connectivity issue. Any routing algorithm used to determine how to route packets in the network, MUST be capable of routing packets to and from a newly added device within several minutes of its addition, and SHOULD be able to perform this function within tens of seconds.
ルーティングプロトコルは、数分以内に新しいデバイスを追加した後に収束する必要があり、デバイスがネットワーク内の他のポイントへの接続を確立したり、接続性の問題があると判断できるように、数秒以内に収束する必要があります。ネットワーク内のパケットをルーティングする方法を決定するために使用されるルーティングアルゴリズムは、追加されてから数分以内に新しく追加されたデバイスとの間でパケットをルーティングできる必要があり、数十秒以内にこの機能を実行できる必要があります。
The routing protocol MUST distribute sufficient information about link failures to enable traffic to be routed such that all service requirements (especially latency) continue to be met. This places a requirement on the speed of distribution and convergence of this information as well as the responsiveness of any routing algorithms used to determine how to route packets. This requirement only applies at normal link failure rates (see Section 5) and MAY degrade during failure storms.
ルーティングプロトコルは、すべてのサービス要件(特に待ち時間)が引き続き満たされるように、トラフィックをルーティングできるようにするために、リンク障害に関する十分な情報を配布する必要があります。これにより、この情報の分布速度と収束の速度、およびパケットのルーティング方法を決定するために使用されるルーティングアルゴリズムの応答性に要件があります。この要件は、通常のリンクの故障率(セクション5を参照)でのみ適用され、故障嵐の間は劣化する場合があります。
Any algorithm that computes routes for packets in the network MUST be able to perform route computations in advance of needing to use the route. Since such algorithms are required to react to link failures, link usage information, and other dynamic link properties as the information is distributed by the routing protocol, the algorithms SHOULD recompute route based on the receipt of new information.
ネットワーク内のパケットのルートを計算するアルゴリズムは、ルートを使用する必要がある前にルート計算を実行できる必要があります。このようなアルゴリズムは、リンク障害、リンクの使用情報、およびその他の動的リンクプロパティに反応するために必要であるため、情報はルーティングプロトコルによって分散されるため、アルゴリズムは新しい情報の受領に基づいてルートを再計算する必要があります。
Various economic factors have contributed to a reduction of trained workers in the industrial plant. A very common problem is that of the "wireless worker". Carrying a PDA or something similar, this worker will be able to accomplish more work in less time than the older, better-trained workers that he or she replaces. Whether the premise is valid, the use case is commonly presented: the worker will be wirelessly connected to the plant IT system to download documentation, instructions, etc., and will need to be able to connect "directly" to the sensors and control points in or near the equipment on which he or she is working. It is possible that this "direct" connection could come via the normal LLNs data collection network. This connection is likely to require higher bandwidth and lower latency than the normal data collection operation.
さまざまな経済的要因が、産業工場での訓練を受けた労働者の削減に貢献しています。非常に一般的な問題は、「ワイヤレスワーカー」の問題です。PDAまたは同様のものを運んでいるこの労働者は、彼または彼女が置き換える年配の訓練を受けた労働者よりも少ない時間でより多くの仕事を達成することができます。前提が有効かどうかにかかわらず、ユースケースが一般的に提示されます。ワーカーは、ドキュメント、指示などをダウンロードするためにプラントITシステムにワイヤレスで接続され、「直接」をセンサーと制御ポイントに接続できる必要があります彼または彼女が働いている機器の中またはその近く。この「直接」接続は、通常のLLNSデータ収集ネットワークを介して発生する可能性があります。この接続では、通常のデータ収集操作よりも高い帯域幅と遅延が必要になる可能性があります。
PDAs are typically used as the user interfaces for plant historians, asset management systems, and the like. It is undecided if these PDAs will use the LLN directly to talk to field sensors, or if they will rather use other wireless connectivity that proxies back into the field or to anywhere else.
PDAは通常、植物史家、資産管理システムなどのユーザーインターフェイスとして使用されます。これらのPDAがLLNを直接使用してフィールドセンサーと通信するか、フィールドに戻ってきている他のワイヤレス接続を使用する場合、または他のどこにもむしろ使用する場合は、未定です。
The routing protocol SHOULD support the wireless worker with fast network connection times of a few of seconds, and low command and response latencies to the plant behind the LLN access points, to applications, and to field devices. The routing protocol SHOULD also support the bandwidth allocation for bulk transfers between the field device and the handheld device of the wireless worker. The routing protocol SHOULD support walking speeds for maintaining network connectivity as the handheld device changes position in the wireless network.
ルーティングプロトコルは、数秒の高速ネットワーク接続時間、LLNアクセスポイントの背後にあるプラント、アプリケーション、およびフィールドデバイスへの低コマンドと応答のレイテンシを備えたワイヤレスワーカーをサポートする必要があります。ルーティングプロトコルは、フィールドデバイスとワイヤレスワーカーのハンドヘルドデバイス間のバルク転送の帯域幅割り当てもサポートする必要があります。ルーティングプロトコルは、ハンドヘルドデバイスがワイヤレスネットワークの位置を変更するため、ネットワーク接続を維持するためのウォーキング速度をサポートする必要があります。
Some field devices will be mobile. These devices may be located on moving parts such as rotating components, or they may be located on vehicles such as cranes or fork lifts. The routing protocol SHOULD support vehicular speeds of up to 35 kmph.
一部のフィールドデバイスはモバイルになります。これらのデバイスは、回転コンポーネントなどの可動部品に配置されている場合や、クレーンやフォークリフトなどの車両に配置される場合があります。ルーティングプロトコルは、最大35 kmphの車両速度をサポートする必要があります。
The process and control industry is manpower constrained. The aging demographics of plant personnel are causing a looming manpower problem for industry across many markets. The goal for the industrial networks is to have the installation process not require any new skills for the plant personnel. The person would install the wireless sensor or wireless actuator the same way the wired sensor or wired actuator is installed, except the step to connect wire is eliminated.
プロセスと制御産業は、人材制限されています。植物職員の老化した人口統計は、多くの市場で産業に迫り来る人材の問題を引き起こしています。産業ネットワークの目標は、設置プロセスにプラント職員に新しいスキルを必要としないようにすることです。接続ワイヤのステップが排除されている場合を除き、有線センサーまたは有線アクチュエーターがインストールされるのと同じように、その人はワイヤレスセンサーまたはワイヤレスアクチュエーターを取り付けます。
Most users in fact demand even much further simplified provisioning methods, a plug and play operation that would be fully transparent to the user. This requires availability of open and untrusted side channels for new joiners, and it requires strong and automated authentication so that networks can automatically accept or reject new joiners. Ideally, for a user, adding new routing devices should be as easy as dragging and dropping an icon from a pool of authenticated new joiners into a pool for the wired domain that this new sensor should connect to. Under the hood, invisible to the user, auditable security mechanisms should take care of new device authentication, and secret join key distribution. These more sophisticated 'over the air' secure provisioning methods should eliminate the use of traditional configuration tools for setting up devices prior to being ready to securely join an LLN access point.
実際、ほとんどのユーザーは、さらに簡素化されたプロビジョニング方法、ユーザーに対して完全に透過的なプラグアンドプレイ操作を要求しています。これには、新しいジョイナー用のオープンで信頼されていないサイドチャネルの可用性が必要であり、ネットワークが新しいジョイナーを自動的に受け入れるか拒否できるように、強力で自動化された認証が必要です。理想的には、ユーザーの場合、新しいルーティングデバイスを追加することは、認証された新しいジョイナーのプールからアイコンをドラッグしてドロップするのと同じくらい簡単で、この新しいセンサーが接続する有線ドメインのプールにドロップする必要があります。ユーザーには見えないボンネットの下で、監査可能なセキュリティメカニズムは新しいデバイス認証を処理し、Secretが重要な分布に参加する必要があります。これらのより洗練された「オーバーザエア」の安全なプロビジョニング方法は、LLNアクセスポイントを安全に結合する準備ができてから、デバイスをセットアップするための従来の構成ツールの使用を排除するはずです。
The routing protocol SHOULD be fully configurable over the air as part of the joining process of a new routing device.
ルーティングプロトコルは、新しいルーティングデバイスの参加プロセスの一部として、空中で完全に構成可能である必要があります。
There will be many new applications where even without any human intervention at the plant, devices that have never been on site before, should be allowed, based on their credentials and cryptographic capabilities, to connect anyway. Examples are third-party road tankers, rail cargo containers with overfill protection sensors, or consumer cars that need to be refueled with hydrogen by robots at future fueling stations.
The routing protocol for LLNs is expected to be easy to deploy and manage. Because the number of field devices in a network is large, provisioning the devices manually may not make sense. The proper operation of the routing protocol MAY require that the node be commissioned with information about itself, like identity, security tokens, radio standards and frequencies, etc.
LLNSのルーティングプロトコルは、展開と管理が簡単になると予想されます。ネットワーク内のフィールドデバイスの数は大きいため、デバイスを手動でプロビジョニングすることは意味がない場合があります。ルーティングプロトコルの適切な操作では、アイデンティティ、セキュリティトークン、無線標準、周波数など、それ自体に関する情報をノードに委託する必要があります。
The routing protocol SHOULD NOT require to preprovision information about the environment where the node will be deployed. The routing protocol MUST enable the full discovery and setup of the environment (available links, selected peers, reachable network). The protocol MUST enable the distribution of its own configuration to be performed by some external mechanism from a centralized management controller.
ルーティングプロトコルは、ノードが展開される環境に関する情報を不足させる必要はありません。ルーティングプロトコルは、環境の完全な発見とセットアップを有効にする必要があります(利用可能なリンク、選択されたピア、到達可能なネットワーク)。プロトコルは、集中管理コントローラーからの外部メカニズムによって独自の構成の分布を実行できるようにする必要があります。
This document contains a number of strongly required constraints on the ROLL routing protocol. Some of those strong requirements might appear antagonistic and, as such, impossible to fulfill at the same time.
このドキュメントには、ロールルーティングプロトコルに多くの強く必要な制約が含まれています。これらの強力な要件のいくつかは、敵対的であるように見える可能性があり、そのため、同時に満たすことは不可能です。
For instance, the strong requirement of power economy applies on general routing but is variant since it is reasonable to spend more energy on ensuring the availability of a short emergency closed-loop path than it is to maintain an alert path that is used for regular updates on the operating status of the device. In the same fashion, the strong requirement on easy provisioning does not match easily the strong security requirements that can be needed to implement a factory policy. Then again, a non-default non-trivial setup can be acceptable as long as the default configuration enables a device to join with some degree of security.
たとえば、パワーエコノミーの強力な要件は一般的なルーティングに適用されますが、定期的な更新に使用されるアラートパスを維持するよりも短い緊急閉鎖パスの可用性を確保するためにより多くのエネルギーを費やすことが合理的であるため、バリアントです。デバイスの動作ステータスについて。同様に、簡単なプロビジョニングに関する強力な要件は、工場ポリシーを実装するために必要な強力なセキュリティ要件と簡単に一致しません。繰り返しになりますが、デフォルトの構成によりデバイスがある程度のセキュリティで結合できる限り、非デフォルト以外の非自明性セットアップは許容できます。
Convergence time and network size are also antagonistic. The values expressed in Section 8 ("Protocol Performance Requirements") apply to an average network with tens of devices. The use of a backbone can maintain that level of performance and still enable to grow the network to thousands of node. In any case, it is acceptable to grow reasonably the convergence time with the network size.
収束時間とネットワークサイズも敵対的です。セクション8で表される値(「プロトコルパフォーマンス要件」)は、数十デバイスを備えた平均的なネットワークに適用されます。バックボーンを使用すると、そのレベルのパフォーマンスを維持でき、それでもネットワークを数千のノードに成長させることができます。いずれにせよ、ネットワークサイズで収束時間を合理的に成長させることは許容されます。
Given that wireless sensor networks in industrial automation operate in systems that have substantial financial and human safety implications, security is of considerable concern. Levels of security violation that are tolerated as a "cost of doing business" in the banking industry are not acceptable when in some cases literally thousands of lives may be at risk.
産業自動化のワイヤレスセンサーネットワークが、財政的および人間の安全性への影響を大きく持っているシステムで動作することを考えると、セキュリティはかなりの懸念事項です。銀行業界で「ビジネスのコスト」として容認されるセキュリティ違反のレベルは、文字通り何千もの命が危険にさらされている場合がある場合、受け入れられません。
Security is easily confused with guarantee for availability. When discussing wireless security, it's important to distinguish clearly between the risks of temporarily losing connectivity, say due to a thunderstorm, and the risks associated with knowledgeable adversaries attacking a wireless system. The conscious attacks need to be split between 1) attacks on the actual application served by the wireless devices and 2) attacks that exploit the presence of a wireless access point that may provide connectivity onto legacy wired plant networks, so these are attacks that have little to do with the wireless devices in the LLNs. In the second type of attack, access points that might be wireless backdoors that allow an attacker outside the fence to access typically non-secured process control and/or office networks are typically the ones that do create exposures where lives are at risk. This implies that the LLN access point on its own must possess functionality that guarantees domain segregation, and thus prohibits many types of traffic further upstream.
セキュリティは、可用性の保証と簡単に混同されます。ワイヤレスセキュリティについて議論する場合、雷雨のために、一時的に接続性を失うリスクと、ワイヤレスシステムを攻撃する知識のある敵に関連するリスクを明確に区別することが重要です。意識的な攻撃は、1)ワイヤレスデバイスが提供する実際のアプリケーションへの攻撃と2)レガシーワイヤードプラントネットワークへの接続を提供するワイヤレスアクセスポイントの存在を活用する攻撃の間で分割する必要があります。LLNSのワイヤレスデバイスを使用します。2番目のタイプの攻撃では、フェンスの外側の攻撃者が通常セーチャープロセス制御および/またはオフィスネットワークにアクセスできるワイヤレスバックドアである可能性のあるアクセスポイントは、通常、命が危険にさらされている露出を作成するものです。これは、LLNアクセスポイント自体がドメインの分離を保証する機能を所有している必要があり、したがって、さらに上流の多くのタイプのトラフィックを禁止することを意味します。
The current generation of industrial wireless device manufacturers is specifying security at the MAC (Media Access Control) layer and the transport layer. A shared key is used to authenticate messages at the MAC layer. At the transport layer, commands are encrypted with statistically unique randomly generated end-to-end session keys. HART7 [IEC62591] and ISA100.11a are examples of security systems for industrial wireless networks.
現在の世代の産業用ワイヤレスデバイスメーカーは、Mac(メディアアクセス制御)レイヤーと輸送層でセキュリティを指定しています。共有キーは、MACレイヤーでメッセージを認証するために使用されます。輸送層では、コマンドは、統計的に一意に生成されたエンドツーエンドセッションキーで暗号化されます。HART7 [IEC62591]およびISA100.11Aは、産業用ワイヤレスネットワークのセキュリティシステムの例です。
Although such symmetric key encryption and authentication mechanisms at MAC and transport layers may protect reasonably well during the lifecycle, the initial network boot (provisioning) step in many cases requires more sophisticated steps to securely land the initial secret keys in field devices. Also, it is vital that during these steps, the ease of deployment and the freedom of mixing and matching products from different suppliers does not complicate life for those that deploy and commission. Given the average skill levels in the field and the serious resource constraints in the market, investing a little bit more in sensor-node hardware and software so that new devices automatically can be deemed trustworthy, and thus automatically join the domains that they should join, with just one drag-and-drop action for those in charge of deploying, will yield faster adoption and proliferation of the LLN technology.
Macおよび輸送層でのこのような対称キー暗号化と認証メカニズムは、ライフサイクル中に合理的に保護する可能性がありますが、多くの場合、初期ネットワークブート(プロビジョニング)ステップでは、フィールドデバイスの初期秘密キーを安全に着陸させるためのより洗練された手順が必要です。また、これらのステップ中に、展開の容易さとさまざまなサプライヤーの製品の混合と一致の自由が、展開および委託する人々の生活を複雑にしないことが重要です。フィールドの平均スキルレベルと市場の深刻なリソースの制約を考えると、センサーノードハードウェアとソフトウェアにもう少し投資して、新しいデバイスが自動的に信頼できると見なされるため、参加するドメインに自動的に結合することができます。展開を担当する人々のためのドラッグアンドドロップアクションが1つだけで、LLNテクノロジーの採用と増殖が速くなります。
Industrial plants may not maintain the same level of physical security for field devices that is associated with traditional network sites such as locked IT centers. In industrial plants, it must be assumed that the field devices have marginal physical security and might be compromised. The routing protocol SHOULD limit the risk incurred by one node being compromised, for instance by proposing a non-congruent path for a given route and balancing the traffic across the network.
産業工場は、ロックされたITセンターなどの従来のネットワークサイトに関連付けられているフィールドデバイスの同じレベルの物理的セキュリティを維持できない場合があります。産業工場では、フィールドデバイスにはわずかな物理的セキュリティがあり、妥協される可能性があると想定しなければなりません。ルーティングプロトコルは、たとえば特定のルートの非微妙なパスを提案し、ネットワーク全体のトラフィックのバランスをとることにより、1つのノードによって生じるリスクを損なうリスクを制限する必要があります。
The routing protocol SHOULD compartmentalize the trust placed in field devices so that a compromised field device does not destroy the security of the whole network. The routing MUST be configured and managed using secure messages and protocols that prevent outsider attacks and limit insider attacks from field devices installed in insecure locations in the plant.
ルーティングプロトコルは、侵害されたフィールドデバイスがネットワーク全体のセキュリティを破壊しないように、フィールドデバイスに配置された信頼を区別する必要があります。ルーティングは、アウトサイダー攻撃を防ぎ、プラント内の安全な場所にインストールされたフィールドデバイスからインサイダー攻撃を制限する安全なメッセージとプロトコルを使用して構成および管理する必要があります。
The wireless environment typically forces the abandonment of classical 'by perimeter' thinking when trying to secure network domains. Wireless nodes in LLN networks should thus be regarded as little islands with trusted kernels, situated in an ocean of untrusted connectivity, an ocean that might be full of pirate ships. Consequently, confidence in node identity and ability to challenge authenticity of source node credentials gets more relevant. Cryptographic boundaries inside devices that clearly demark the border between trusted and untrusted areas need to be drawn. Protection against compromise of the cryptographic boundaries inside the hardware of devices is outside of the scope of this document.
ワイヤレス環境は、通常、ネットワークドメインを確保しようとするときに、「境界による」考え方による古典的な「」の放棄を強制します。したがって、LLNネットワークのワイヤレスノードは、信頼できない接続性の海に位置する信頼できる核のある小さな島、海賊船でいっぱいの海と見なされるべきです。その結果、ノードのアイデンティティに対する信頼性とソースノード資格情報の信頼性に挑戦する能力はより関連性があります。信頼できる領域と信頼されていない領域の境界を明確に区別するデバイス内の暗号化境界を描く必要があります。デバイスのハードウェア内の暗号化境界の妥協に対する保護は、このドキュメントの範囲外です。
Note that because nodes are usually expected to be capable of routing, the end-node security requirements are usually a superset of the router requirements, in order to prevent a end node from being used to inject forged information into the network that could alter the plant operations.
通常、ノードはルーティングが可能であると予想されるため、エンドノードのセキュリティ要件は通常、ルーター要件のスーパーセットであることに注意してください。オペレーション。
Additional details of security across all application scenarios are provided in the ROLL security framework [ROLL-SEC-FMWK]. Implications of these security requirements for the routing protocol itself are a topic for future work.
すべてのアプリケーションシナリオのセキュリティの追加の詳細は、ロールセキュリティフレームワーク[ロール-SEC-FMWK]に記載されています。ルーティングプロトコル自体に対するこれらのセキュリティ要件の意味は、将来の作業のトピックです。
Many thanks to Rick Enns, Alexander Chernoguzov, and Chol Su Kang for their contributions.
Rick Enns、Alexander Chernoguzov、およびChol Su Kangに貢献してくれたことに感謝します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[HART] HART (Highway Addressable Remote Transducer) Communication Foundation, "HART Communication Protocol and Foundation - Home Page", <http://www.hartcomm.org>.
[Hart] Hart(Highway Addressable Remote Transducer)Communication Foundation、「Hart Communication Protocol and Foundation -Home Page」、<http://www.hartcomm.org>。
[IEC61158] IEC, "Industrial communication networks - Fieldbus specifications", IEC 61158 series.
[IEC61158] IEC、「産業通信ネットワーク - フィールドバス仕様」、IEC 61158シリーズ。
[IEC62591] IEC, "Industrial communication networks - Wireless communication network and communication profiles - WirelessHART", IEC 62591.
[IEC62591] IEC、「産業通信ネットワーク - ワイヤレス通信ネットワークおよび通信プロファイル-WirelessHart」、IEC 62591。
[IEEE802.15.4] IEEE, "Telecommunications and information exchange between systems -- Local and metropolitan area networks -- Specific requirements Part 15.4: Wireless Medium Access Control (MAC) and Physical Layer (PHY) Specifications for Low-Rate Wireless Personal Area Networks (WPANs)", IEEE 802.15.4, 2006.
[IEEE802.15.4] IEEE、「電気通信とシステム間の情報交換 - ローカルおよびメトロポリタンエリアネットワーク - 特定の要件パート15.4:ワイヤレス中程度アクセス制御(MAC)および物理レイヤー(PHY)仕様は、低料金のワイヤレスパーソナルエリアネットワークのための仕様(wpans) "、IEEE 802.15.4、2006。
[ISA100.11a] ISA, "Wireless systems for industrial automation: Process control and related applications", ISA 100.11a, May 2008, <http://www.isa.org/ Community/SP100WirelessSystemsforAutomation>.
[ISA100.11a] ISA、「産業自動化用のワイヤレスシステム:プロセス制御および関連アプリケーション」、ISA 100.11a、2008年5月、<http://www.isa.org/ community/sp100wirelesssystemsforautomation>。
[RFC4919] Kushalnagar, N., Montenegro, G., and C. Schumacher, "IPv6 over Low-Power Wireless Personal Area Networks (6LoWPANs): Overview, Assumptions, Problem Statement, and Goals", RFC 4919, August 2007.
[RFC4919] Kushalnagar、N.、Montenegro、G。、およびC. Schumacher、「低電力ワイヤレスパーソナルエリアネットワーク(6lowpans)を超えるIPv6:概要、仮定、問題声明、および目標、RFC 4919、2007年8月。
[ROLL-SEC-FMWK] Tsao, T., Alexander, R., Dohler, M., Daza, V., and A. Lozano, "A Security Framework for Routing over Low Power and Lossy Networks", Work in Progress, September 2009.
[Roll-Sec-Fmwk] Tsao、T.、Alexander、R.、Dohler、M.、Daza、V。、およびA. Lozano、「低電力と損失のあるネットワークをルーティングするためのセキュリティフレームワーク」、進行中の作業、2009年9月。
[ROLL-TERM] Vasseur, JP., "Terminology in Low power And Lossy Networks", Work in Progress, October 2009.
[Roll-Term] Vasseur、jp。、「低電力と損失のあるネットワークの用語」、2009年10月、進行中の作業。
Authors' Addresses
著者のアドレス
Kris Pister (editor) Dust Networks 30695 Huntwood Ave. Hayward, CA 94544 USA
Kris Pister(Editor)Dust Networks 30695 Huntwood Ave. Hayward、CA 94544 USA
EMail: kpister@dustnetworks.com
Pascal Thubert (editor) Cisco Systems Village d'Entreprises Green Side 400, Avenue de Roumanille Batiment T3 Biot - Sophia Antipolis 06410 FRANCE
Pascal Thubert(編集者)Cisco Systems Village D'Entreprises Green Side 400、Avenue de Roumanille Batiment T3 Biot -Sophia Antipolis 06410 France
Phone: +33 497 23 26 34 EMail: pthubert@cisco.com
Sicco Dwars Shell Global Solutions International B.V. Sir Winston Churchilllaan 299 Rijswijk 2288 DC Netherlands
シッコドワーズシェルグローバルソリューションインターナショナルB.V.サーウィンストンチャーチルラーン299 Rijswijk 2288 DCオランダ
Phone: +31 70 447 2660 EMail: sicco.dwars@shell.com
Tom Phinney Consultant 5012 W. Torrey Pines Circle Glendale, AZ 85308-3221 USA
Tom Phinney Consultant 5012 W. Torrey Pines Circle Glendale、AZ 85308-3221 USA
Phone: +1 602 938 3163 EMail: tom.phinney@cox.net