AO_411

audit sulla sicurezza delle soluzioni fino ad allora utilizzate ha rive- lato che la sola separazione delle due reti non soddisfaceva gli ele- vati requisiti di sicurezza. Pertanto, il team di progetto ha pianificato un’ulteriore segmentazione al fine di isolare completamente le sin- gole linee di produzione o i singoli componenti Legacy. Le crescenti esigenze di sicurezza richiedevano un punto di accesso con gestione dei diritti di utenti interni ed esterni e non con una moltitudine di gateway diversi, in parte sconosciuti” spiega Hieber. I costruttori di macchine utensili dispongono di soluzioni individuali di manutenzione in remoto e configurano i componenti dell’impianto come componenti di rete, il che rende i lavori di manutenzione sem- pre più complessi. Hieber, esperto di manutenzione, continua: “fino all’introduzione della nuova piattaforma di sicurezza, le macchine erano in grado di collegarsi autonomamente a Internet. I costruttori avevano dotato i loro sistemi di modem che venivano utilizzati, ad esempio, per inviare messaggi di allarme via sms o e-mail, collegan- dosi in questo modo direttamente alla rete Festo. Il nostro personale addetto alla manutenzione non poteva accedere da remoto ai com- ponenti interni del sistema e doveva quindi prima loggarsi presso il costruttore per effettuare le modifiche ai programmi PLC e le inter- rogazioni sullo stato di avanzamento. Da lì, il collegamento tornava indietro alla macchina presente in fabbrica”. Questa procedura era molto incerta e ha spinto il team di progetto a chiedere ai costruttori di riorganizzare gli indirizzi IP delle loro macchine secondo le specifi- che Festo. Tuttavia, nellamaggior parte dei casi questa soluzione non era praticabile. La modifica degli indirizzi IP avrebbe infatti compor- tato anche la perdita di garanzia degli impianti. Eliminazione di conflitti di indirizzi IP, segmentazione dei partecipanti Profinet “Grazie alla soluzione Siemens abbiamo eliminato i conflitti degli indirizzi IP” sottolinea Lucia Tandjung. “L’utilizzo della piattaforma Sinema Remote Connect offre a noi e anche ai fornitori di macchine, il vantaggio di non dover più modificare i propri indirizzi IP”. Tutti gli accessi al sistema ora vengono eseguiti solo tramite Sinema Remote Connect con un indirizzo IP centrale per l’accesso dall’esterno. La nuova applicazione accetta tutte le connessioni tunnel VPN e mette in comunicazione i PC client dei tecnici esterni e le macchine. La gestione della comunicazione è indipendente dal protocollo e si basa su IP, evitando così l’accesso diretto e non coordinato alle reti di produzione. Sinema RC Client dispone anche di una funzione di rubrica che consente di identificare e selezionare inmodo univoco le macchine e gli impianti della fabbrica tecnologica per un accesso si- curo alla manutenzione. Le macchine vengono installate dal costrut- tore dell’impianto con indirizzi IP invariati e collegate alla rete tramite Scalance S615. Il dispositivo di sicurezza Scalance S615 traduce anche gli indirizzi IP (Network Address Translation, NAT) in modo che due diverse reti (interne ed esterne) possano essere collegate tramite fi- rewall. Le macchine non sono direttamente accessibili dall’esterno, perché sono nascoste dal NAT incluso nel firewall. I pacchetti di dati provenienti da una rete esterna e indirizzati a un IP esterno della macchina (indirizzo IP di destinazione) vengono sosti- tuiti dall’indirizzo IP interno in Scalance S615. Solo pochi partecipanti delle celle Profinet sono autorizzati a comunicare con la rete o le ap- plicazioni di Festo tramite IP. Anche l’accesso remoto a nuovi impianti può essere realizzato con gli Scalance S. I tecnici Festo addetti allamanutenzione hanno dotato, per la prima volta, una linea di produzione di valvole con Sinema Remote Connect. Questa comprende una macchina transfer rotativa a controllo numerico per la foratura e la tornitura dei pezzi, una macchina per la sbavatura ad alta pressione, un robot di movimenta- zione e un sistema di approvvigionamento e rimozione dei pezzi finiti. Le singole stazioni sono collegate alle porte dello Sca- lance S. Il dispositivo di sicurezza comunica con la piat- taforma di gestione tramite un tunnel VPN criptato. Il tunnel VPN può essere attivato sullo Scalance S tramite uno switch chiave oppure l’utente remoto può essere attivato temporaneamente sulla piattaforma di ge- stione Sinema Remote Connect. Simile a una chiavetta USB, ma senza il pericolo di caricare virus, un Key-Plug memorizza tutti i dati di configurazione dell’apparec- GENNAIO-FEBBRAIO 2019 AUTOMAZIONE OGGI 411 81 La scelta di combinare i PLC Simatic S7-1500 e i pannelli HMI con TIA Portal è dettata dall’alta efficienza e dalla flessibilità della soluzione L'obiettivo di Festo era quello di limitare in modo significativo e monitorare l’accesso alle macchine utensili da parte di personale esterno e interno all’azienda