Die von der in Zimmern ob Rottweil ansässigen K.R. Pfiffner GmbH entwickelten Rundtaktmaschinen produzieren jeweils mehr als 300.000 Werkstücke pro Jahr, die bis zu faustgroß sein können. 450 weltweit tätige Mitarbeiter des zur Pfiffner-Gruppe mit Sitz im schweizerischen Thalwil gehörenden Unternehmens stellen die Bearbeitungszentren her. Diese werden beispielsweise zur Massenfertigung von Präzisionsteilen für die Automobil-Industrie verwendet. Als Beispiele seien Einspritzsysteme oder Turbolader genannt. Alle drei bis 60 Sekunden, je nach Komplexität, verlässt ein Teil die Maschine. Um einen reibungslosen Produktionsprozess mit hoher Verfügbarkeit sicherzustellen, ist ein 24-Stunden-Service des Maschinenbauers unabdingbar. Nur so können im Fehlerfall die entsprechenden Maßnahmen ergriffen werden, damit die Bearbeitungszentren lediglich für kurze Zeit außer Betrieb sind. Ein sicherer Fernzugriff auf die beim Endanwender installierte Anlage stellt einen wesentlichen Bestandteil des Service-Konzepts dar. \“Ursprünglich wurde die Fernwartung durch analoge Modem-Verbindungen realisiert. Allerdings hat die Performance nicht mehr unseren Anforderungen genügt. Außerdem traten oft Verbindungsprobleme auf\“, stellt Tobias Halbritter fest, der das Fernwartungssystem bei Pfiffner betreut und maßgeblich für die umgesetzte Struktur auf Basis sicherer VPN-Verbindungen (Virtual Private Network) verantwortlich ist. Als Kernelement des neuen Fernwartungskonzepts fungiert der Security-Router FL MGuard RS4000 TX/TX VPN von Phoenix Contact, der in den Bearbeitungszentren verbaut ist. \“Da wir die MGuard-Technologie mit integrierter Firewall-Funktionalität bereits zur Ankopplung unserer Anlagen an das Kundennetz nutzen, war es nur folgerichtig, dass wir das Gerät auch für den sicheren Fernzugriff einsetzen\“, erklärt Halbritter.
Reduzierung der Wartungskosten
Die Vorteile des Internet-basierten Fernzugriffs liegen auf der Hand: Für den Service-Techniker verhält sich die VPN-Verbindung nahezu so, als ob er direkt vor der Anlage sitzen würde. Das verkürzt die Reaktionszeiten im Wartungsfall deutlich. Darüber hinaus ist ein Vor-Ort-Einsatz meist nicht mehr notwendig, sodass erhebliche Wartungskosten eingespart werden. Auf diese Weise rechnen sich die Investitionen in die Teleservice-Lösung schnell. Falls der Service-Techniker doch einmal zum Kunden reisen muss, kann er seine Arbeit deutlich besser vorbereiten. \“Ein häufig bei uns auftretendes Problem sind die Sprachbarrieren zwischen unseren Mitarbeitern und dem Personal des Anwenders, weshalb Fehlermeldungen des Steuerungssystems oftmals falsch oder unvollständig kommuniziert werden. Durch den Direktzugriff auf die Meldungslisten entfallen derartige Probleme\“, erläutert Roland Schneider, Leiter der Elektrokonstruktion.
Kontrolle über den Netzwerkzugang
Aktuell sind 100 Maschinen sowie mehr als 25 Service-Techniker in das System eingebunden. Durch das Betätigen eines Schlüsselschalters initiiert der Anwender im Wartungsfall den Aufbau des IPsec-Tunnels zum Pfiffner Remote Services Center. Anschließend hat der Wartungstechniker Zugriff auf die Anlage. Der Anlagenbetreiber behält also die Kontrolle über den Zugang zur Anwendung, was die Akzeptanz der Technologie nicht zuletzt gesteigert hat. In diesem Zusammenhang erweist sich der optionale externe Konfigurationsspeicher des FL MGuard ebenfalls als hilfreich. Da die Pfiffner-Mitarbeiter die IP-Parameter des Kundennetzes im Vorfeld der Maschinenauslieferung meist noch nicht kennen, lässt sich die jeweilige Konfiguration nachträglich einfach per SD-Karte übertragen, ohne dass das Personal des Anwenders über spezielle Kenntnisse verfügen muss. Das gilt natürlich auch für den einfachen Gerätetausch im Fehlerfall.
Zugriffsbeschränkung auf bestimmte Anlagenteile
Die VPN-Zentrale ist bewusst nicht in das Pfiffner-Unternehmensnetzwerk integriert, sondern wird als Portal-System mit eigenem Internet-Zugang betrieben (Bild 2). So kann Pfiffner externen Zulieferern ebenfalls einen sicheren Zugriff auf Teile der entsprechenden Kundenanlage einräumen, ohne diesen durch das eigene Kommunikationsnetz zu tunneln. Die Security-Funktion des MGuard-Routers – insbesondere die frei konfigurierbare Firewall innerhalb des VPN-Tunnels – erlaubt hier selektive Zugriffsbeschränkungen auf bestimmte Teile der Bearbeitungszentren. Aus netzwerktechnischer Sicht sind die Kundenanlagen typischerweise mit identischen Adressbereichen konfiguriert. Das hat den Vorteil, dass sich einzelne Anlagenteile stets mit der gleichen IP-Adresse erreichen lassen. Damit hier kein Adresskonflikt entsteht, wenn mehrere Rundtaktmaschinen gleichzeitig gewartet werden sollen, müssen die Adressen virtualisiert respektive in eigenständigen Adressbereichen abgebildet werden. So ist wieder für eine Eindeutigkeit gesorgt. Diese Anforderung wird in den MGuard-Routern durch 1:1-NAT (Network Address Translation) im VPN-Tunnel umgesetzt (Bild 3).