200 Anlagen per M2M-Lösung ferngewartet

Zippe Industrieanlagen entwickelt, fertigt und modernisiert Gemenge- und Scherbenanlagen für die internationale Glasindustrie. Anlagentechnologien wie Kratzerförderer, Brecher, Einlegemaschinen und Glasstandsregler werden als Unikat auf die jeweiligen Anforderungen des Kunden zugeschnitten.

Die Firma nutzt den Teleservice derzeit für 200 Anlagen. Inzwischen wird jede neue Anlage mit der Teleservice-Infrastruktur mGuard von Innominate ausgestattet. Diese Technik ermöglicht Fernwartungen über breitbandige und sichere IP-/VPN-Verbindungen (Virtual Private Network). „Die Problemdiagnose und Problembehebung in Echtzeit wird immer wichtiger, denn bei derart komplexen Anlagen sind spontane unvorhersehbare Störungen nicht auszuschließen. Eine schnelle zielgerichtete Problemanalyse und die Einleitung und Durchführung der notwendigen Störungsbeseitigung ist für den Kunden oft schwierig“, beschreibt Thorsten Zimpel, Leiter Prozessleitsystem bei der Zippe Industrieanlagen GmbH, die Gründe für den großen Stellenwert des Teleservice.

Von der Zentrale in Wertheim im nördlichen Baden-Württemberg können Spezialisten weltweit jede Inbetriebnahme begleiten. Die Nutzung breitbandiger Verbindungen hat dem Teleservice neue Möglichkeiten eröffnet, denn allein ein Software-Update einer modernen Anlage kann bereits mehrere 100 MB umfassen. In der Gewährleistungsphase wird per Teleservice die Performance der Anlage kontinuierlich optimiert und auch nach der Garantie werden im Kundenauftrag Störungen per Onlinezugriff beseitigt oder zusätzliche Wartungs- und Serviceleistungen erbracht. „Mit dem Teleservice müssen wir weniger Personal vor Ort einsetzen und vergrößern gleichzeitig unser Serviceangebot. Die Investitionen in die Technikkomponenten haben wir bei weiter entfernten Anlagenstandorten bereits nach nur einer eingesparten Reise amortisiert“, so Thorsten Zimpel.

Moderne Zippe-Anlagen wie vollautomatische Glasgemenge-Produktionen werden von Automatisierungsgeräten, Wiege- und Dosiercomputern sowie vernetzten Leitsystemen gesteuert und überwacht. Dabei übernehmen die Automatisierungssysteme die Steuerung der zyklischen Abläufe und die genaue Dosierung und Verwiegung der Rohstoffe. Die Leittechnik umfasst die Visualisierung der Anlage mit Handsteuerung, das Überwachungs- und Meldesystem, die Dateneingabe, das Rezepthandling, das Reporting und die Produktionsdatenarchivierung.

Um die Performance solch komplexer Anlagen optimal einzustellen, stellt die Anlagensteuerung zahlreiche „Stellschrauben“ zur Verfügung. Per Teleservice können Statistikfunktionen zur Überwachung der Produktqualität abgerufen werden. Die Auswertung dieser Daten zeigt, ob sich die Waagen noch im Toleranzbereich bewegen, Dosierleistungen und Dosierzeiten werden sichtbar und Bedienprotokolle gewähren einen Einblick in die Anlagensteuerung. Bei der richtigen Interpretation der Daten und den daraus abzuleitenden Maßnahmen wünschen sich viele Kunden die Hilfestellung der Techniker von Zippe. Sie konfigurieren und optimieren aus der Ferne alle relevanten Anlagenteile sowie die Softwaremodule für die Planung und Organisation der Wartung. Vor dem Onlinezugang der Servicetechniker greift allerdings eine wichtige Sicherheitsfunktion der mGuard-Technik: Der Anwender muss jeden Onlinezugang zunächst per Hardwareschalter freigeben.

Ein VPN-fähiger Ethernet-Router mit IPsec-Verschlüsselung (IP-Security-Protokoll), eine konfigurierbare Firewall und der VPN-Hardwareschalter umfassen das Basispaket der mGuard-Teleservice-Lösung. Nach der Freigabe durch den Hardwareschalter wird über eine hardwarebasierte Verschlüsselung ein abhör- und manipulationssicherer VPN-Tunnel zwischen der Anlage beim Kunden und dem Servicetechniker bei Zippe aufgebaut. Zusätzlich sorgt die Firewall für die Abschottung der Anlagen gegenüber dem Netzwerk des Kunden.

„Dieses Sicherheits-Gesamtkonzept der Teleservice-Lösung von Innominate hat uns überzeugt. Es ist auf das industrielle Umfeld ausgerichtet, die Administration ist relativ einfach und wir können die hutschienenmontierbaren Metallgehäuse in unsere Schaltschränke einbauen“, begründet Thorsten Zimpel die Entscheidung für diese Technik. Für Zippe ist die Integrationsmöglichkeit der sicheren Teleservicetechnik auch in bestehende Systeme ohne definiertes Default Gateway oder Routing wichtig. Mit der Funktion „Remote VPN NAT“ wird der gesamte Datenverkehr, der über VPN hereinkommt, mit der konfigurierten Adresse aus dem lokalen Netz maskiert. Die Komponenten im lokalen Netz der Anlage sind dadurch auch ohne Konfiguration von Default Gateway oder Routen erreichbar.

Mit einer zusätzlichen Funktion der Firmware sollen demnächst auch Altsysteme für den Teleservice geöffnet werden. Bisher haben die Anlagenbetreiber den Zugriff auf Altsysteme mit Windows NT oder Windows 95 aus Sicherheitsgründen abgelehnt. Mit dem mGuard CIFS Integrity Monitoring, einem optionalen mGuard-Firmwaremodul, ist eine industrietaugliche Alternative zu Antiviren-Software verfügbar (siehe Textkasten CIFS Integrity Monitoring). In Verbindung mit der Firewall zur Abschottung vom Kundennetz kann dann auch für schlecht gesicherte Altsysteme der VPN-Zugang erreicht werden.

Martin Ortgies Fachjournalist in Hannover

Das Modul CIFS Integrity Monitoring der mGuard Firmware bietet auch für ältere Windows-Versionen wie Windows 98 eine industrietaugliche Alternative zum Anti-Virenschutz, ohne die ständige Zuführung von aktuellen Virenpattern. Dafür werden Windows-Netzlaufwerke regelmäßig überprüft, ob sich bestimmte Dateien im Vergleich zu einem Referenzstatus unerwartet verändert haben. Außerdem ermöglicht der mGuard einen externen Viren-Scan auf Laufwerke von Systemen „hinter“ dem mGuard, die sonst von außen nicht erreichbar sind (zum Beispiel Industrie-PCs in Produktionszellen) und keine lokal installierte Antivirus-Software nutzen können.

Die Lösung bietet damit einen verbesserten Schutz für die häufig zum Datenaustausch mit der Umgebung genutzten Dateifreigaben auf Basis der Protokollfamilie CIFS/SMB. Diese sind ein gefürchtetes Einfallstor für Schadsoftware, welches auch Stuxnet und der Conficker-Wurm für ihre Verbreitung nutzten. Außerdem können mit der CIFS-Integritätsprüfung Schäden von „Zero-Day-Exploits“ erkannt werden, also von Schadsoftware, die bereits am Tage des Bekanntwerdens einer neuen Schwachstelle in Umlauf kommt und für die es zu diesem Zeitpunkt noch gar keine Malware-Signaturen gibt.