Automazione Plus

Se il problema è la securityERT

Evitare fermi alle linee e mantenere in funzione la produzione è fondamentale per ottenere risparmi sui costi anche nel settore del Pharma

Una delle maggiori aziende europee attiva nell’ambito life science sviluppa nuovi progetti, testa materie prime, produce, ispeziona, confeziona e spedisce preparazioni e dispositivi medici in tutto il mondo da un grande stabilimento in Irlanda. La sua mission è quella di essere punto di riferimento a livello globale nell’innovazione e nella produzione di questo tipo di prodotti. In linea con questa visione, ha recentemente risolto un collo di bottiglia sulla linea di produzione utilizzando il software Cogent DataHub di Skkynet, distribuito e supportato in Italia da ServiTecno di Milano.

Problemi di security con OPC DA e Microsoft Dcom

A causa di una modifica nella security di alcune funzioni di Microsoft Windows, piccole interruzioni nel sistema di controllo che prima richiedevano pochi secondi per essere risolte, avevano iniziato a causare il fermo di intere linee di produzione, che potevano durare anche 5 ore. “I costi di questi fermi erano diventati elevati e non più giustificabili” afferma Stephen Doody, responsabile del team di automazione dell’impianto. La security rappresenta un problema ed è tipicamente una sfida continua nel settore dell’automazione quella di mantenere i sistemi stabili e funzionanti in un ambiente con hardware e software in continua evoluzione. È questo il caso del sistema di ispezione visiva qui in gioco, installato oltre 15 anni fa dall’azienda, con un significativo investimento: il cambiamento è stato necessario per l’iniziativa di Microsoft che ha inteso aumentare gli standard di security per la rete di dati nel software Windows. Nello stabilimento, i sistemi IT sono profondamente integrati con il processo produttivo e con gli apparati OT. I sistemi di ispezione visiva, per esempio, hanno una connessione diretta e in tempo reale con il sistema di controllo principale tramite OPC DA, il protocollo industriale standard basato su tecnologia COM/Dcom di Windows. Utilizzando in rete OPC DA si richiede che Dcom sia attivo e le impostazioni di security possono a volte essere complicate da configurare. Per gestire il sistema in modo efficiente e rendere le comunicazioni più veloci, il team di automazione dell’impianto ha sempre usato al minimo la security Dcom. Ora, con l’applicazione obbligatoria della patch di security Windows di Microsoft sono stati attivati solo i due livelli più alti di autorizzazione di Dcom; la configurazione e l’attivazione di queste impostazioni più elevate ha creato problemi. L’impianto aveva inoltre anche altri requisiti di security che rendevano il ripristino da qualsiasi interruzione da parte di OPC estremamente difficile e dispendioso in termini di tempo, causando ritardi nella produzione di diverse ore.

Un nuovo approccio: il tunneling

Ciò di cui l’automation manager Doody aveva bisogno era un modo diverso per connettere i client OPC sui PC che eseguono i sistemi di controllo visivo al server OPC sul sistema di controllo principale. Si è esplorata la strada di fare un aggiornamento da OPC DA a OPC UA, la ‘nuova’ versione di OPC, per evitare di continuare a utilizzare Dcom: purtroppo questa operazione non è stata possibile per ragioni sia tecniche (non era ancora disponibile OPC UA per tutti i dispositivi e gli applicativi utilizzati), sia economiche (impegno di costo per l’aggiornamento dei dispositivi, oltre alla necessità di riconvalida dei sistemi in uso). Una ricerca sul web su come bypassare il collo di bottiglia di Dcom ha portato alla conoscenza del concetto di tunneling OPC e al software Cogent DataHub. Per effettuare una prova, su una linea di produzione è stata configurata una connessione tunnel tra il PC del controller principale e 4 PC del sistema di visione. Originariamente la security, sia per i PC del sistema di visione, sia per quello del controller principale, era configurata sulla LAN dell’impianto e tutti gli accessi erano eseguiti tramite il controller di dominio di Active Directory, e dovevano essere identici. Con il tunnel, l’istanza DataHub sul controller principale si connette al server OPC utilizzando le normali credenziali di accesso. L’istanza DataHub su ciascun PC del sistema di visione effettua una connessione in tunneling all’istanza DataHub sul controller principale e riceve i dati; ognuna di queste istanze DataHub è configurata come server OPC DA, consentendo al sistema di visione di connettersi come client OPC. Ora, poiché il client OPC su ciascun sistema di controllo del sistema di visione si connette a un’istanza DataHub locale, il team di automazione è stato in grado di rimuovere quei PC dalla LAN dell’impianto. Non ha più bisogno di imporre gli accessi degli utenti al controller di dominio; ogni utente accede indipendentemente dall’accesso del controllo principale. Qualsiasi irregolarità o interruzione della connessione non richiede più la risincronizzazione degli accessi di sicurezza su più macchine. Dopo una settimana di test del primo sistema, Doody si è sentito sicuro di poter implementare la soluzione su tutte le restanti tre linee e ora tutte le connessioni utilizzano il tunneling DataHub con evidenti vantaggi.

Uno sguardo alla convalida

Oltre alla facilità di implementazione, che ha richiesto poco sforzo da parte del personale interno, anche la parte di qualifica/convalida è stata effettuata in modo agevole. Cogent DataHub è un layer software assolutamente standard, utilizzato in un numero considerevole di installazioni in tutto il mondo. Gli sviluppatori utilizzano metodi e tool di sviluppo secondo i massimi criteri di sicurezza e compliance a norme e standard internazionali e di mercato. Una volta documentato e qualificato sull’infrastruttura sulla quale viene installato, Cogent DataHub diviene assolutamente trasparente e supporta tutte le funzionalità delle applicazioni senza introdurre variazioni sulle stesse. Cogent DataHub viene fornito con una consolle di monitoraggio e controllo, detta DataHub Data Browser, che consente di valutare performance ed eventuali anomalie, nonché di effettuare la verifica dell’integrità del dato nella comunicazione in rete.

Alcune riflessioni sulla soluzione

“Prima, se una connessione OPC si interrompeva, potevano volerci da 1 a 5 ore per riaccendere i PC che erano fuori dominio, registrarsi, autenticarsi con l’account utente, inizializzare le schede di rete, connettersi alla LAN dell’impianto e ai PC di linea, connettersi a OPC, calibrare l’applicazione e altro ancora” ricorda Doody. “Adesso non ricevo più segnalazioni significative di fermi macchina. La nostra applicazione si connette ancora più velocemente all’istanza locale del server OPC. Il tunneling con DataHub rende molto più semplice il debug del motivo per cui la connessione fallisce. Finora abbiamo avuto solo un caso in cui OPC non è riuscito a connettersi alla nostra applicazione e guardando il DataHub Data Browser abbiamo potuto vedere che ciò era dovuto al fatto che l’applicazione di tunneling non era attiva sul lato server. Prima ciò sarebbe stato molto più difficile da diagnosticare e avrebbe comportato numerosi riavvii del PC in attesa e nella speranza che si potesse ristabilire questa connessione“. Egli quindi prosegue: “Mettere in piedi l’intera soluzione è stato praticamente un gioco da ragazzi per il management e facile da giustificare come investimento, perché consentiva di risparmiare molti soldi, piuttosto che aggiornare le linee con costosi interventi di revamping. Sono stati coinvolti anche i reparti IT e di ingegneria, infatti la soluzione era facile da implementare e davvero facile da mantenere. E poi anche il ‘Try-and-Buy’ ha aiutato: ottenere le licenze di prova così facilmente, leggere le istruzioni per implementarle sui nostri sistemi è stato fantastico, senza soluzione di continuità per il nostro lavoro”.

ServiTecno – www.servitecno.it

Scarica il pdf