28. Oktober 2011

Sichere Fernwartung von Abfüllanlagen

Beitrag aus openautomation 5/2011

*Der Maschinenhersteller Groninger liefert seine Abfüll­straßen für die Kosmetik- und Pharmaindustrie in die ganze Welt. Um Stillstandszeiten der Maschinen sowie die Wartungskosten zu reduzieren, sieht er die Fernwartung als wichtigen Aspekt. In Zusammenarbeit mit Phoenix Contact ist eine Lösung entstanden, die auf einem sicheren VPN-
Tunnel basiert.*


Die bei einem Kunden installierte Verpackungsmaschine ist über einen VPN-Router mit der Serviceniederlassung von Groninger verbunden

Groninger USA L.L.C., ein 100-prozentiges Tochterunternehmen der in Crailsheim ansässigen Groninger & Co. GmbH, hat seinen Sitz in Charlotte in North Carolina. Hier befinden sich auch die wichtigsten Fertigungs- und Wartungsstätten des Unternehmens, das Abfüllstraßen für die Kosmetik- und Pharmaindustrie entwickelt und produziert. Seit seiner Gründung im Jahr 1980 hat Groninger weltweit mehr als 5 000 Anlagen installiert, davon über 500 in Nordamerika. Für den Maschinenhersteller ist die After-Sales-Betreuung seiner Kunden wichtig. Bislang mussten die Servicetechniker zumeist zum Standort des Endanwenders fahren, um oftmals einfache Problemstellungen zu lösen. Vorausgegangen waren häufig lange Telefonate, in denen die technische Problemstellung erläutert wurde.


Anwender initiiert die sichere VPN-Verbindung
„Nun haben wir eine Lösung gefunden, wie wir den Kundensupport deutlich verbessern, ohne unsere Techniker zu überlasten“, stellt Stefan Winzinger, Leiter des Bereichs Electronic Support und Programming, fest. „Auf Basis moderner Kommunikationstechnologien führen wir aus der Ferne eine Maschinendiagnose durch und beheben das Problem via Internet. Bei der Entwicklung und Umsetzung dieser Remote-Service-Funktion für unsere Maschinen haben wir eng mit Phoenix Contact zusammengearbeitet“.

Beim Remote-Video-Service handelt es sich um eine vom Anwender aktivierbare sichere VPN-Verbindung (Virtual Private Network) zwischen der beim Kunden aufgebauten Maschine und dem internen Groninger-Service-Netzwerk. „Sowohl beim Endanwender als auch in unserem Servicenetzwerk nutzen wir den VPN-Router ,FL MGuard RS VPN‘ von Phoenix Contact, um eine verschlüsselte VPN-Verbindung zu starten und aufrecht zu erhalten“, erklärt S. Winzinger. Der Remote-Video-Service wird beim Kauf einer neuen Maschine als Zusatzoption angeboten. Bereits installierte Maschinen mit interner Ethernet-Vernetzung lassen sich entsprechend erweitern. Mithilfe der Remote-Service-Funktion kann das Unternehmen seinen Kundendienst somit weiter optimieren.


Ferngesteuerte Kamera für umfassende Diagnose

Der NAT-Router „FL MGuard RS VPN“ stellt unter anderem einen Stateful-Firewall-Schutz, Netzwerk-Routing sowie die Adress­übersetzung mit NAT zur Verfügung

Tritt ein technisches Problem auf, wendet sich der US-Anwender an die regionale Serviceniederlassung von Groninger in Charlotte. Dazu initiiert er über den Schlüsselschalter des „FL MGuard RS VPN“ einen internetbasierten VPN-Tunnel zwischen seiner Maschine und der Serviceniederlassung. Dort ist der VPN-Tunnel mit dem internen Servicenetzwerk verbunden, das sämtliche Serviceniederlassungen des Unternehmens miteinander verknüpft. Durch das verschlüsselte Netzwerk können sowohl der Servicetechniker in Charlotte als auch die in der deutschen Zentrale ansässigen Spezialisten auf den VPN-Tunnel des Anwenders zugreifen. Auf der Kundenseite des VPN-Tunnels befindet sich das Maschinennetzwerk, das Steuerungen, Bedienen-und Beobachtungsgeräte, Servoregler und andere Ethernet-Komponenten umfassen kann. Die Groninger-Mitarbeiter haben Zugang zu allen Teilnehmern, damit sie den aktuellen Programmstatus überprüfen, Änderungen vornehmen, Programme sichern und/oder wiederherstellen, neue Rezepte umsetzen sowie aktuelle Softwareversionen bereitstellen können.

Im Rahmen der Remote-Service-Funktion hat der Anwender außerdem die Möglichkeit, eine ferngesteuerte Kamera an das Maschinennetzwerk anzukoppeln. Neben der Kontrolle des SPS- und IO-Status sieht der Techniker den relevanten Maschinenbereich durch das Drehen, Schwenken und Zoomen der Kamera nun ebenso ein wie der Bediener vor Ort. Ist der Fehler beseitigt respektive die Steue­rung oder Software der Maschine aktualisiert, betätigt der Anwender den Schlüsselschalter und trennt so die Verbindung zwischen seinem Maschinen- und dem Servicenetzwerk von Groninger. Einige Kunden bevorzugen eine permanent aktive VPN-Verbindung, sodass die Techniker ihre Maschinen regelmäßig präventiv warten können. Dann wird der Schlüsselschalter in der Position „ON“ belassen. Das sichere Servicenetzwerk unterstützt mehr als einen VPN-Tunnel pro Anwender. S. Winzinger erläutert: „In diesem Fall übernimmt Groninger die Verwaltung der erforderlichen IP-Adressen. Darüber hi­naus verhindern Firewall-Einstellungen, dass die Kunden ohne Kontrolle durch unsere Servicetechniker auf das Groninger-Servicenetzwerk zugreifen. Die Anwender können also nicht in die gleichzeitig geöffneten VPN-Tunnel anderer Kunden eindringen“.


Stateful Inspection Firewall

Die Service­techniker von Groninger können sich mithilfe einer fern­gesteuerten Videokamera die Bedienkonsole sowie andere wichtige Bereiche der Maschine anzeigen lassen

Groninger wollte insbesondere ein System entwickeln, das sich in verschiedenen IT-Umgebungen an unterschiedlichen Anwenderstandorten einfach einrichten und warten lässt. Ferner sollte die Möglichkeit einer Verbindung von zwei NAT-Routern (Network Address Translation) geschaffen werden. In der Praxis befindet sich einer der NAT-Router beim Kunden, das zweite Gerät bei Groninger. Mit dem NAT-Router „FL M­Guard RS VPN“ wird diese Anforderung erfüllt. Das Gerät stellt unter anderem einen Stateful-Firewall-Schutz, Netzwerk-Routing sowie die Adressübersetzung mit NAT zur Verfügung. Zudem werden Netzwerkprotokolle, wie DHCP (Dynamic Host Configuration Protocol), DNS (Domain Name System) und QoS (Quality of Service), unterstützt. Die VPN-Funktion des Routers umfasst alle notwendigen Zertifikate, Authentifizierungen und Verschlüsselungsverfahren. Ein Router leitet die Datenpakete über eine Reihe von Netzwerken von der Quelle zum Zielgerät weiter. Der Router wird dabei häufig mit Bridges oder Switches verwechselt, die ebenfalls Pakete übermitteln, allerdings nur in lokalen Netzwerken sowie unter Verwendung von MAC-Adressen (Media Access Control). Router sorgen hingegen dafür, dass Informationen über weitere fremde Netzwerke wie das Internet übertragen werden, und verknüpfen folglich verschiedene Netzwerke miteinander.

Die Stateful Inspection Firewall des „FL MGuard RS VPN“ überwacht den Zustand der Netzwerkverbindung, beispielsweise bei TCP-Streams oder UDP-Übertragungen. Der Algorithmus der State Machine unterscheidet dazu die für die verschiedenen Verbindungsarten zulässigen Pakete voneinander. Gibt es keine Stateful Inspection Firewall oder eine geeignete Zugriffskontrollliste, kann sich die Festlegung entsprechender Regeln für die eingehende Kommunikation langwierig gestalten. Aus diesem Grund definieren manche Unternehmen keine Zugangsbedingungen, sodass unerwünschter Datenverkehr in das Netzwerk eindringen kann und die Firewall nutzlos wird. Durch den Einsatz einer Stateful Inspection Firewall kann der Anwender dagegen Regeln für einen nicht angeforderten, aber dennoch zulässigen Datenverkehr aufstellen, wenn beispielsweise die Steue­rung eine Verbindung initiieren möchte.


Schnelle Umstellung der Maschinen dank Wireless-Funktion
Eine weitere Anforderung des Maschinenherstellers war die einfache Einrichtung der Remote-Kamera, die der Bediener lediglich einstöpseln soll, ohne verschiedene Verbindungen für Strom, Daten und das Netzwerk herstellen zu müssen. „Hier haben wir uns für das PoE-Modul (Power over Ethernet) von Phoenix Contact entschieden, das der Remote-Kamera Strom und Daten über ein einziges Kabel liefert“. informiert S. Winzinger.

Der Remote-Video-Service sollte außerdem drahtlos betrieben werden können. Zu diesem Zweck sind in jeder Produktionshalle ein „MGuard“-Router mit Schlüsselschalter sowie ein funkbasierter Access Point montiert. Sämtliche Groninger-Maschinen mit Wireless-Funktion verfügen über eine Antenne, über die eine Verbindung mit dem Access Point aufgebaut wird. Die Wireless-Funktion kommt insbesondere in der Kosmetikbranche zum Tragen, wo die Fertigungslinien regelmäßig an neue Paketgrößen, -formen und -typen angepasst werden müssen.

Der Maschinenhersteller hat Phoenix Contact eng in die Entwicklung des Remote-Video-Service eingebunden. Für das NAT-Routing war beispielsweise eine neue Firmware-Version des „FL MGuard RS VPN“ erforderlich, die der Automatisierungsspezialist innerhalb weniger Tage geliefert hat. „Darüber hinaus hat uns Phoenix Contact eine einzigartige Lösung zur Initiierung der VPN-Tunnel zur Verfügung gestellt. Dabei handelt es sich um einen Eingang des NAT-Routers, über den die Verbindung zum Schlüsselschalter hergestellt wird, um den VPN-Tunnel aufzubauen. Wir haben den Remote-Video-Service auf der Packexpo 2010 in Chicago offiziell vorgestellt. Dort waren sowohl die Besucher als auch unsere Kunden von der Funktion begeistert, denn nun können unsere Servicetechniker unmittelbar bei der Fehlerbehebung unterstützen, sodass sich Stillstandszeiten minimieren“, freut sich S. Winziger.

Ingo Hilgenkamp
Ingo Hilgenkamp ist Mitarbeiter im Network Product Marketing Wired bei der Phoenix Contact Electronics GmbH in Bad Pyrmont.

Weitere Informationen unter
www.groninger.de und
www.phoenixcontact.de.


>>> Kommentar schreiben
>>> zur Comment Area