Accesso remoto facile e sicuro alle tue macchine

Whitepaper:

Introduzione all'accesso remoto industriale

Accesso remoto facile e sicuro alle tue macchine

Scopri tutto quello che c’è da sapere sull'accesso remoto

Sommario

Introduzione

Alcune ipotesi ...1

Icone utilizzate nel presente whitepaper ...1

In aggiunta al whitepaper ...1

Capitolo 1: Cos'è l'accesso remoto alle macchine industriali e quali vantaggi offre?

Definiamo la necessità dell’accesso remoto ...3

Vantaggi dell'accesso remoto ...3

La storia dell'accesso remoto ...5

Sfruttare la rete Internet ...6

Accesso remoto on-demand ...6

Connessioni in uscita ...6

Soluzioni basate su software ...7

Soluzioni VPN basate su un router industriale sicuro ...7

Capitolo 2: Capire e utilizzare la soluzione di accesso remoto di Ewon

Introduzione al router industriale Ewon Cosy ...8

Come funziona Ewon Cosy? ...8

Connessione delle macchine a Internet tramite Ewon Cosy ...10

Connessione della macchina a Talk2M ...11

Capitolo 3: Garantire un accesso remoto sicuro e affidabile

Suggerimenti per una migliore sicurezza ...17

Le minacce alla sicurezza informatica ...18

Come funzionano i firewall e le reti virtuali private (VPN) ...19

Come utilizzare un'architettura web-hosted ...20

Scopriamo l'approccio alla sicurezza “multilivello” di Ewon ...21

La soluzione futura: Ewon Cosy+ per una maggiore sicurezza ...26

Capitolo 4: Esempi di utilizzo dell'accesso remoto

1: Costruttore di macchine termoformatrici ...27

2: Panificio industriale (Bakkersland) ...28

3: Movimentazione dei materiali (A.G. Stacker) ...28

4: Ciclotroni nel settore sanitario (IBA) ...29

Capitolo 5: Avviare Ewon Cosy in 5 semplici passaggi

Avviare Ewon Cosy ... 31

Check-list:

Consigli per l'utente che sceglie una soluzione di accesso remoto industriale ...35

Glossario

... 37

Introduzione

Nel settore industriale, ingegneri e tecnici devono recarsi regolarmente in fabbrica per eseguire la manutenzione di attrezzature e macchine. Non sarebbe fantastico, sia per il costruttore di macchine che per l'industriale, se fosse possibile farlo a distanza e risolvere così la maggior parte dei problemi in modo semplice e sicuro, ovunque ci si trovi?

Alcune ipotesi

Presumiamo che lavori nel campo dell'industria e/o dell'automazione. Sicuramente conosci in modo approfondito le macchine e i PLC che commercializzi, costruisci, ripari o utilizzi.

Forse però non hai dimestichezza con tecnologie come l'accesso remoto, Internet, la sicurezza, il cloud computing e l'utilizzo dei dati forniti dalle tue macchine.

Icone utilizzate nel presente whitepaper

In questo documento sono presenti una serie di icone speciali per richiamare l’attenzione del lettore su alcune informazioni importanti. Eccole di seguito:

Questa icona segnala le informazioni importanti da tenere a mente.

Questa icona indica i contenuti tecnici.

Questo simbolo indica le informazioni utili.

Presta attenzione a questi consigli ed eviterai di fare errori potenzialmente costosi.

In aggiunta al whitepaper

Promemoria

Contenuto tecnico

Suggerimento

Attenzione

Capitolo 1

Cos'è l'accesso remoto alle macchine industriali e quali vantaggi offre?

In questo capitolo, risponderemo alle seguenti domande:

• Perché l'accesso remoto è più necessario che mai?

• Quali sono le opzioni di accesso remoto alle macchine?

• Quali sono i vantaggi dell'accesso remoto?

Definiamo la necessità dell’accesso remoto

I costruttori di macchine industriali hanno sempre sognato di potersi collegare alla proprie macchine a distanza. Per i produttori di apparecchiature originali (OEM) che dispongono di flotte di macchine installate in remoto in più siti dei clienti, così come per le aziende che producono in più stabilimenti diversi, la possibilità di visualizzare da remoto il funzionamento delle apparecchiature offre un chiaro vantaggio competitivo.

Ecco alcune delle situazioni più comuni in cui è utile accedere da remoto ai macchinari industriali:

• Risoluzione dei problemi e programmazione remota di controllori logici programmabili (PLC)

• Visualizzazione e controllo a distanza dell'interfaccia uomo-macchina (HMI)

• Connessione a una webcam per ottenere assistenza

• Assistenza ai tecnici sul campo per la messa in servizio

Vantaggi dell'accesso remoto

La possibilità di accedere da remoto al sistema di controllo di una macchina può aiutare a risolvere la maggior parte dei problemi riscontrati, evitando così che tecnici o ingegneri debbano recarsi di persona sul posto. Spesso si tratta di problemi che non richiedono vere e proprie riparazioni, ma semplicemente la regolazione di parametri o impostazioni.

Tali problemi sono solitamente legati a cambiamenti di materie prime, all’usura della macchina o alle modifiche di altri parametri di produzione avvenute nel corso del tempo.

Suggerimento

L'accesso remoto permette di passare da un modello di assistenza reattivo a uno proattivo, che aiuta a rimanere competitivi. Una volta connesso in remoto alla macchina (o flotta di macchine), potrai infatti non solo risolvere i problemi e intervenire rapidamente, ma anche analizzare i dati per rilevarne le cause. Potrai, ad esempio:

• Migliorare la reattività

• Ridurre l'impatto negativo delle emergenze

• Ottimizzare il carico di lavoro degli ingegneri

• Massimizzare la disponibilità e la produttività della macchina

• Ridurre le spese di spostamento

• Minimizzare l'impatto ambientale

• Aumentare la sostenibilità

• Ridurre al minimo il tempo di inattività delle macchine

• Massimizzare l'efficacia globale dell’impianto (Overall Equipment Effectiveness - OEE)

• Massimizzare la sicurezza

Una risoluzione rapida dei problemi si traduce nella riduzione dei tempi morti e in una ripresa più rapida della produzione per il cliente finale. Nei casi in cui resta necessario un intervento fisico sul posto, l'accesso remoto può aiutare a garantire che la persona chiamata a intervenire disponga delle giuste competenze, dei pezzi e degli strumenti necessari - aumentando così le possibilità che il problema venga risolto in un solo intervento. Tutto ciò contribuisce a migliorare l'esperienza del cliente e a ridurre al minimo i tempi di fermo macchina.

Le pressioni che spingono l'industria ad adottare strategie di accesso remoto si sono

intensificate negli ultimi anni. L'emergere globale del telelavoro, per esempio, ha contribuito a questo scenario. L'ultimo importante fattore è stata la crisi legata al Covid-19 e il conseguente timore di aprire le porte degli stabilimenti a persone esterne, con il rischio di contagiare il personale.

Naturalmente anche gli aspetti ecologici, economici e sociali giocano un ruolo importante.

La sostenibilità e l'impatto ambientale sono sempre più determinanti per il nostro stile di vita.

Pertanto è chiaro che l'accesso remoto industriale è un modo efficace e sicuro per contribuire a questo obiettivo, il tutto minimizzando i costi e aumentando l'efficacia globale dell’impianto (OEE).

I costruttori di macchine riconoscono inoltre l'opportunità offerta dall'accesso remoto per la creazione di nuovi servizi redditizi, proattivi e preventivi da offrire ai clienti.

Ci riferiamo in particolare allo sfruttamento dei dati ai fini di una manutenzione predittiva.

Suggerimento

In definitiva, l'accesso remoto si traduce in una maggiore efficienza di tutte le parti coinvolte.

I costruttori di macchine potranno trarne vantaggi competitivi, illustrati nella Figura 1-1, per servire più clienti e raggiungere nuovi mercati, mentre gli utenti finali vedranno aumentare l’OEE.

Figura 1-1: Migliora l’efficienza e ottieni un vantaggio competitivo grazie all'accesso remoto

La storia dell'accesso remoto

Nei primi tempi, l'accesso remoto alle macchine consisteva in una gestione “punto-punto”

mediante una console terminale collegata tramite un telefono analogico fisso e un modem.

Si trattava di sistemi lenti, spesso difficili da installare e costosi da gestire e mantenere.

Eppure, l'accesso remoto tramite connessione router continua a essere popolare al giorno d’oggi, grazie alla disponibilità di reti cellulari ad alta velocità. L'attrazione principale di questo metodo di accesso remoto è la possibilità di accedere ai dati del controllore della macchina (PLC) senza utilizzare la rete informatica dei clienti. I router wireless che comunicano attraverso le reti di dati dei provider di telefonia mobile sono disponibili presso numerosi fornitori di PLC.

Questo approccio evita la necessità di una linea telefonica cablata o di attingere alla rete informatica dell'azienda, tuttavia la disponibilità del segnale wireless all’interno delle aree produttive talvolta può rivelarsi problematica.

Ciò implica un accesso continuativo alla rete, con conseguente accumulo dei costi.

?

con accesso remoto...

senza accesso remoto...

• Riduci le onerose visite sul posto

• Assistenza in diretta e supporto online per i tuoi clienti

• Contatti periodici con le apparecchiature

• Impatto ambientale ridotto

• Tempi di fermo macchina ridotti

• OEE massimizzata

• Maggiore sicurezza

• Aumento della produttività

Sfruttare la rete Internet

Un modo migliore di accedere alle macchine da remoto è quello di sfruttare Internet e la tecnologia del cloud computing. La sfida principale è quella di gestire in modo sicuro la connessione della macchina alla rete aziendale dell'utente finale e, di conseguenza, a Internet. Nella maggior parte delle aziende, i dipartimenti IT sono riluttanti a concedere l'accesso alla rete aziendale ai non dipendenti, per ovvie ragioni di sicurezza.

Accesso remoto on-demand

I costruttori di macchine non necessitano di collegamenti continuativi. Di fatto, l'accesso remoto per la risoluzione dei problemi, la manutenzione o l'assistenza può essere fornito da una connessione on-demand, limitando così i costi e aumentando la sicurezza.

Quali sono i vantaggi dell'accesso on-demand? In primo luogo, l'utente finale può impedire l’accesso remoto continuativo alla macchina. Il fatto di poter scollegare la macchina dalla rete locale (LAN) non è essenziale ai fini della sicurezza, ma permette all'utente finale di controllare manualmente il momento in cui la macchina diviene accessibile e per quanto tempo lo rimane.

In questo scenario, la macchina di solito è scollegata dalla rete locale. La macchina viene collegata solo se necessario o su richiesta del costruttore.

Inoltre, quando la connettività remota si basa su un'opzione tariffaria che dipende dal volume, come la tecnologia cellulare, può essere preferibile stabilire una connessione e di conseguenza pagare solo quando strettamente necessario.

Connessioni in uscita

Le reti virtuali private (VPN) rappresentano una soluzione eccellente dal punto di vista tecnico.

Tuttavia, abilitare un accesso appropriato alla rete garantendo la sicurezza può rivelarsi complesso. Ogni produttore di PLC utilizza tipicamente un diverso set di porte di rete, e definire un percorso chiaro attraverso i firewall di un cliente richiede un'attenta configurazione.

Inoltre, questa pratica viene puntualmente rigettata dai dipartimenti IT, sempre riluttanti a creare falle sotto il profilo della sicurezza.

Facendo affidamento su una connessione in uscita verso la LAN dello stabilimento, è possibile risolvere molti problemi di firewall già dal principio. Questo perché, se non vengono stabilite connessioni in entrata, non occorre attivare porte nel firewall dell'azienda per le connessioni

in entrata, e non sarà necessario apportare modifiche all’infrastruttura informatica per stabilire la comunicazione; il tutto con la massima sicurezza. Questa configurazione permette al tecnico di accedere alle macchine autorizzate, mentre impedisce l'accesso alla rete dello stabilimento (LAN).

Soluzioni basate su software

Usando Internet, è possibile raggiungere e controllare a distanza un PC di monitoraggio locale sfruttando una tecnologia di tipo Virtual Network Computing (VNC) o altri software di accesso remoto basati su PC. In questo scenario, il software replica e cede il controllo del computer dell’interfaccia operatore rendendolo accessibile da remoto. Se questo tipo di soluzione può essere accettabile per la connessione remota a un PC, va sottolineato che, generalmente, l'utente avrà in questo modo accesso all'intera rete, e ciò non è accettabile dal punto di vista della sicurezza.

Questo approccio presuppone che ci sia un PC industriale in grado di eseguire l'applicazione sulla macchina remota. Munirsi di hardware e software di questo tipo comporta spese aggiuntive, rendendo i costi complessivi superiori rispetto a quelli di una soluzione dedicata.

Soluzioni VPN basate su un router industriale sicuro

La soluzione migliore consiste nell’utilizzare una connessione VPN on-demand basata su un router industriale e un'infrastruttura basata su un cloud sicuro. Una connessione VPN SSL (Secure Sockets Layer) generalmente presenta pochi problemi per il dipartimento IT del cliente.

Questo metodo è ancora più interessante dal punto di vista della sicurezza perché aggiunge automaticamente una separazione logica della rete tra la macchina e la LAN dello stabilimento.

I costruttori possono gestire flotte di macchine utilizzando un'unica interfaccia semplice e sicura. Gli utenti finali, a loro volta, possono utilizzare la piattaforma per gestire i diritti di accesso remoto.

Poiché questa è la soluzione migliore, la vedremo in dettaglio nei capitoli seguenti.

Capitolo 2

Capire e utilizzare la soluzione di accesso remoto di Ewon

In questo capitolo tratteremo i seguenti temi:

• Presentazione e funzionamento di Ewon Cosy e del cloud industriale Talk2M

• Come connettersi al cloud industriale Talk2M

• Come usare eCatcher per connettersi a una macchina tramite Talk2M

• Come comunicare tramite una connessione VPN

• Altre soluzioni Ewon

Introduzione al router industriale Ewon Cosy

Ewon Cosy è un router industriale sicuro che permette di connettersi da remoto a una macchina o un'attrezzatura in modo sicuro. Con Ewon Cosy, i costruttori di macchine e gli industriali possono risolvere i problemi delle macchine, correggere gli errori dei PLC, azionare a distanza un’interfaccia uomo-macchina (HMI) o una telecamera IP, senza doversi spostare.

Ewon Cosy è compatibile non solo con la stragrande maggioranza dei controllori logici programmabili, ma anche con le macchine più datate (“legacy/brown field equipment”).

Questo approccio permette di:

• ridurre notevolmente i costi

• migliorare l'efficienza delle macchine

• minimizzare le emissioni di carbonio

• aggiornare facilmente le vecchie attrezzature

Come funziona Ewon Cosy?

Ewon Cosy stabilisce una connessione VPN sicura tra te e la tua macchina, sempre e ovunque.

La connessione viene stabilita tramite Talk2M, un cloud industriale altamente sicuro.

Ewon Cosy permette di collegarsi via Ethernet o in modalità wireless (4G o Wi-Fi), per un facile accesso remoto in qualsiasi situazione.

Ewon Cosy, abbinato a Talk2M, facilita la connessione degli utenti alle macchine via Internet, come mostrato nella Figura 4-1. Questa soluzione è molto facile da usare e non richiede alcuna conoscenza informatica specifica.

Figura 4-1: Talk2M è un cloud industriale che permette agli utenti di connettersi alle macchine via Internet.

Ewon offre agli utenti tre soluzioni per connettersi alle macchine via Talk2M:

• eCatcher: un software client di Talk2M

• eCatcher mobile: un'applicazione per smartphone

• M2Web: un portale Internet dedicato

Non devi necessariamente installare l’applicazione eCatcher per connetterti alle macchine.

Puoi usare anche un browser Web, come Google Chrome, Microsoft Internet Explorer / Edge o Mozilla Firefox (modalità M2Web).

Connessione delle macchine a Internet tramite Ewon Cosy

Esistono diverse possibilità per la connessione delle macchine a Internet:

- Rete cablata (Ethernet): La maggior parte dei siti industriali ne sono dotati per connettersi a Internet. Spesso è questo il metodo preferito. Generalmente le connessioni LAN Ethernet sono gratuite e forniscono un accesso affidabile e ad alta velocità. In alcuni casi, le reti locali sono soggette a complesse politiche di sicurezza che possono limitare la connessione delle macchine. In circostanze simili, le connessioni wireless possono rappresentare una valida alternativa.

- Rete senza fili (Wi-Fi): Le reti Wi-Fi stanno diventando sempre più comuni nelle fabbriche.

Come per le connessioni LAN, l'accesso al Wi-Fi è di norma gratuito e offre una connettività ad alta velocità. Molti stabilimenti forniscono reti Wi-Fi per “ospiti” che sono logicamente separate dalla LAN aziendale. Questa soluzione permette ai costruttori di macchine e agli utenti di accedere a Internet senza richiedere alcuna modifica alla configurazione del firewall.

- Rete cellulare (4G): Quando non è disponibile una connessione LAN o Wi-Fi, le tecnologie cellulari rappresentano un’alternativa praticabile. Il servizio cellulare è generalmente disponibile in tutto il mondo, a varie velocità, tuttavia la copertura del segnale può essere limitata o inaffidabile in alcune aree. Inoltre, i costi di utilizzo dei dati su una rete cellulare possono essere elevati e la tecnologia cellulare non è la stessa ovunque, potrebbe pertanto rendersi necessaria l'installazione di moduli SIM diversi nei router della macchina. Pertanto, è in generale preferibile sfruttare le connessioni LAN o Wi-Fi, se disponibili.

Suggerimento

Connessione della macchina a Talk2M

Stabilita la connessione a Internet, Ewon cercherà di connettersi a Talk2M in tre fasi:

1. Ewon si connette a un server di accesso centrale (AS) e si autentica tramite una sessione HTTPS (Hyper Text Transfer Protocol Secure).

2. Ewon richiede l'indirizzo IP del server VPN da utilizzare (gli indirizzi dei server VPN possono cambiare da una connessione all'altra) tramite una connessione HTTPS.

3. Ewon stabilisce un tunnel VPN con il server VPN.

Queste fasi sono mostrate nella Figura 4-2.

Figura 4-2: Connessione di Ewon a Talk2M in tre fasi.

?

?

?

VS servers AS server

aziendaleLAN VPN

HTTPS 2

1 3

Richiesta Risposta VS scelta

C

Connessione dell’utente a Talk2M

Quando l'utente avvia il software eCatcher, il primo passaggio consiste nell’autenticazione, che avviene con le seguenti informazioni:

- Nome dell’account: Con eCatcher è possibile creare un account Talk2M. È possibile creare un numero illimitato di account. Ogni account raggruppa tutti gli utenti autorizzati a connettersi ai dispositivi Ewon registrati in quell'account.

- Nome utente: In ogni account è possibile registrare un numero illimitato di utenti.

I nomi utente all’interno dello stesso account devono essere unici.

- Password: Ogni utente ha la propria password.

Dopo l'autenticazione, è possibile accedere all’elenco di Ewon registrati sull’account Talk2M e per i quali si dispone dei diritti di accesso. L'elenco fornisce i seguenti elementi:

• Il nome e lo stato di ogni Ewon

• Una breve descrizione dell'Ewon e della macchina collegata

• Tutti gli utenti attualmente connessi a Ewon

• Tutti i parchi (gruppi di Ewon) connessi

• Il tipo di PLC

• Il tipo di connettività remota (ad es. LAN o cellulare)

• L'indirizzo IP delle altre apparecchiature dichiarate sulla rete dell’Ewon

Quando fai clic su uno degli Ewon nell’elenco, se lo stato di connessione indicato è “Online”

(cioè è in esecuzione una connessione VPN), eCatcher crea un tunnel VPN verso l'Ewon assegnato.

Attenzione

Con eCatcher è possibile eseguire una serie di altre azioni, ad esempio:

• Registrare un nuovo Ewon nell’account attivo

• Modificare ed eliminare le informazioni sugli Ewon

• Aggiungere, modificare o eliminare le informazioni sugli utenti o sui gruppi nell'account attivo (un gruppo è un insieme di utenti)

• Aggiungere, modificare o eliminare i parchi nell'account attivo (un parco è un insieme di Ewon)

• Modificare le informazioni dell'account

Utilizzare la connessione VPN

Dopo aver stabilito una connessione VPN, vengono creati due “tunnel”: uno tra l’Ewon e il server VPN, l'altro tra eCatcher e il server VPN. Questo passaggio è illustrato nella Figura 4-3.

A ogni tunnel viene assegnato automaticamente un indirizzo IP VPN univoco.

Pur essendo accessibili sul lato Ewon e sul lato eCatcher, gli indirizzi VPN non sono accessibili sul lato server VPN.

LAN aziendale VS servers

VPN VPN

IP LAN:

192.168.0.53 IP LAN: 192.168.4.2

IP VPN: 10.8.222.144

IP VPN: 10.8.222.106 Indirizzo ADD

192.168.0.0 255.255.255.0 10.8.222.144 Rete Mask Gateway

IP WAN: 10.1.0.53

Per raggiungere il lato macchina dell'Ewon, il computer/tablet/smartphone deve sapere che tutto il traffico contenente un indirizzo IP di destinazione all'interno della gamma di indirizzi IP della LAN Ewon deve essere inoltrato attraverso la sua interfaccia virtuale. Per permetterlo, eCatcher aggiunge automaticamente un percorso non appena viene aperta una connessione VPN e rimuove automaticamente il percorso non appena la connessione VPN viene chiusa, come mostrato nella Figura 4-3. Il software eCatcher conosce l'indirizzo IP LAN dell'Ewon, poiché viene fornito ogniqualvolta un Ewon si registra in un account Talk2M. Se desideri connetterti a un altro Ewon, eCatcher cancella automaticamente il percorso precedente e aggiunge un nuovo percorso con la gamma di indirizzi di destinazione appropriata.

Sul lato macchina, il traffico che passa attraverso il tunnel VPN viene automaticamente inoltrato al lato LAN (macchina) dell'Ewon. Per far sì che una macchina sul lato LAN comunichi con l'utente, esistono due opzioni:

• Una funzione di traduzione degli indirizzi di rete (NAT), detta anche Plug'n Route, può sostituire l'indirizzo IP LAN dell'Ewon con l'indirizzo IP dell'utente (impostazione predefinita nell'Ewon).

• Le singole macchine sul lato LAN dell'Ewon possono essere configurate manualmente per utilizzare l'indirizzo IP LAN dell’Ewon come gateway predefinito.

Uno sguardo alle altre soluzioni Ewon

L'accesso remoto tramite Ewon Cosy e Talk2M è un primo passo sulla strada della digitalizzazione. Per andare oltre, Ewon offre soluzioni di monitoraggio e acquisizione di dati tramite Ewon Flexy e Talk2M.

Ewon Flexy è un router industriale avanzato e un vero e proprio gateway IIoT multiuso.

Oltre all'accesso remoto, permette di monitorare e raccogliere gli indicatori chiave di prestazione (KPI), essenziali per ottimizzare l'efficienza (OEE). Permette inoltre di trasferire questi dati dalla macchina al cloud e di analizzarli ai fini di una manutenzione predittiva.

Le caratteristiche di Ewon Flexy includono:

- Accesso remoto VPN sicuro: Ewon Flexy integra una VPN compatibile con Talk2M che permette un accesso remoto altamente sicuro per la manutenzione, il monitoraggio e l'acquisizione dei dati. Permette di connettersi da remoto a un PLC, a una telecamera IP,

Contenuto tecnico

- Schede di espansione: Oltre alle funzionalità di base, Ewon Flexy può essere adattato alle specifiche esigenze di connettività tramite schede di espansione (Ethernet, WiFi, 4G, USB, seriale, ecc.).

- Acquisizione di dati: Ewon Flexy acquisisce i dati locali utilizzando una porta seriale o Ethernet. Il processo di acquisizione ruota intorno a un database dotato di tag, ciascuno dei quali è associato a un server di input/output (I/O).

- Gestione degli allarmi e delle notifiche: Ewon Flexy permette l'attivazione di allarmi e notifiche e la relativa tracciabilità. È possibile impostare, per ogni variabile, una serie di soglie di allarme e parametri. Il ciclo completo dell'allarme viene tracciato e reso disponibile per il monitoraggio e l'analisi. La notifica dell'allarme può essere inviata via e-mail, SMS, trap SNMP (Simple Network Management Protocol) e/o FTP (File Transfer Protocol).

- Salvataggio e recupero dei dati: Il salvataggio continuativo dei dati e il buffering può essere effettuato per ogni variabile. Ogni variabile può essere salvata a intervalli regolari, oppure è possibile modificare i trigger. Ewon memorizza i valori dei dati e li marca temporalmente nel suo database interno (fino a un milione di punti con marca temporale) ai fini di una successiva analisi statistica e revisione (registrazione storica), o per analizzare le tendenze recenti (registrazione in tempo reale).

- Web Server HMI (interfaccia uomo-macchina): Ewon Flexy dispone di un server Web integrato per la configurazione e la visualizzazione dei dati, visibile in qualsiasi browser Web standard.

- Talk2M API: L'API può essere utilizzata per l'integrazione aziendale di software di terze parti e soluzioni cloud (ad esempio i partner IIoT di Ewon: AmazonWeb Services, Microsoft Azure, Siemens MindSphere, IBMBluemix e altri).

Ewon Flexy si usa in particolare per stabilire connessioni nei campi del cleantech, del fotovoltaico, della gestione degli edifici, dei contatori intelligenti, della gestione idrica e delle acque reflue, del monitoraggio dell'energia, dei sistemi di irrigazione, ecc.

La Figura 4-4 mostra queste aree di applicazione.

Figura 4-4: Ewon Flexy collega i dispositivi remoti utilizzando diversi protocolli di comunicazione.

Per maggiori informazioni su Ewon Flexy, visita www.ewon.biz/flexy

01 0011 0 1 010

1 0101 01 1 1 01 010 00101 01 1 1 01 010 01 101 01 1 1 0

1 010 1 1 01 010 01 101 01 1 1 01 010 1 1 01 010 01 101 01 1 1 01 010 1 0101 01 1 1 01 010 0 00011100110011 1 1101 01 000 01 101 01 1 1 01 010 00101 01 1 1 01 010 01 101 01

101001010101001010100101010010101001010010110 1011010011 11010

0010101001010100101001011010010010101001001001010100100

00

11101010101001011101010101010101010101010100100100100 01000010

1010010101010010101001010100101010010100100011010011 11100100

00101010010101001010010110100100101010010010100101 01001010001

0 0 0

0 0 1

1 1 0 1 0 1 0 TAGNAME DATABASE VPN

HMI DRIVERIO

BASIC JAVA N A TAGNAME DATABASE

ALARM LOG

VPN

HMI DRIVERIO OPC UA

BASIC JAVA 010100

101010 01010100110100

10100100 10100 10 100101010

01010 01011010

010011 010010101100 01010100101110

101010 1010100100101010101

01011 0 001010

10100101010 0101010010101

1 01010110 001010100101010

01010 01011010

01100 000 01 0 10 01 01 01 00 10 10 10 01 01 01 00 10 10 01 000 10 10 11 0

0 100 10 10 10 01 01 00 10 11 01 00 10 01 01 01 00 001 01 1 01 01 1 0

10 01 01 01 00 10 11 1 01 01 01 01 01 01 01 01 01 00 10 10 10 11 01 1 0

01 01 0 10 01 01 01 01 00 10 10 10 01 01 01 00 10 100

0

10 01 01

11001010 01 01

0 01 01 01 00 10 10 10 01 01 00 10 1 0 0 01 01 0

0

1101001010010101 0011

Suggerimento

Capitolo 3

Garantire un accesso remoto sicuro e affidabile

In questo capitolo:

• Scoprirai alcuni suggerimenti per migliorare la sicurezza

• Vedremo una panoramica delle minacce alla sicurezza informatica

• Scoprirai di più su firewall e VPN

• Saprai come scegliere un'architettura web-hosted

• Scoprirai come adottare un approccio alla sicurezza “multilivello”

• Scoprirai Ewon Cosy e le sue funzionalità

Suggerimenti per una migliore sicurezza

La sicurezza è paragonabile a una catena che può rompersi in qualsiasi momento a causa del suo anello più debole. È quindi fondamentale trovare il miglior compromesso tra sicurezza e facilità d'uso. Ecco alcuni punti che è bene verificare prima di implementare una soluzione di accesso remoto industriale:

1. Il firewall della fabbrica non deve essere modificato, per garantirne l’integrità. Usando una connessione in uscita, si minimizza il rischio di creare una falla nelle proprie reti.

D'altra parte, con un interruttore a chiave o un pulsante HMI, l'utente finale mantiene il controllo fisico sull'accesso remoto. “Basta girare la chiave”.

2. Mantieni il controllo sulle tue connessioni! L'amministratore deve essere in grado di determinare chi ha avuto accesso, quando, e a cosa

3. Autenticazione a due fattori: Oltre alle credenziali tradizionali (utente/password), è consigliabile utilizzare un secondo livello di sicurezza, attraverso l'autenticazione a due fattori. Per esempio usando una chiave di identificazione inviata via SMS, diversa per ogni connessione.

4. Certificazione: è importante che le soluzioni prescelte siano controllate

e approvate da enti di certificazione professionali. La norma ISO 27001 è lo standard

5. Audit e test di penetrazione: Assicurati che il fornitore sia adeguatamente controllato da una società esterna seria che aggiorni frequentemente i propri test. L'obiettivo, naturalmente, è quello di tenersi aggiornati e di evitare di ripetere ogni anno lo stesso test, lo stesso processo o di effettuare l'audit su una parte troppo limitata della soluzione.

6. Infine, è opportuno non essere ingenui: “Non è tutto oro quello che luccica” - scegli sempre un partner serio, affermato e specializzato.

Le minacce alla sicurezza informatica

I media riportano di frequente notizie di grandi violazioni della sicurezza informatica, che di solito implicano la divulgazione di milioni di credenziali. Esiste tuttavia una minaccia molto più grande e potenzialmente devastante: gli attacchi informatici ad infrastrutture e macchinari chiave. Parliamo di servizi pubblici, sistemi di emergenza, controlli di carattere ambientale sugli edifici e attrezzature industriali.

Ecco un esempio: Nel maggio 2021, Colonial Pipeline, che fornisce il 45% di tutto il carburante consumato sulla costa orientale degli Stati Uniti, è stata bersaglio di un attacco informatico.

L'attacco con ransomware ha costretto la compagnia a chiudere gli 8.000 chilometri di condutture per diversi giorni.

Gruppi di hacker, di solito motivati da guadagni finanziari, ma anche da ragioni politiche o sociali, possono tentare di ottenere riscatti o danneggiare le macchine industriali collegate a Internet. Alcuni Stati vengono coinvolti in attacchi informatici che cercano di colpire obiettivi strategici.

Per esempio, nel 2010 è stato sviluppato il virus Stuxnet, presumibilmente da una o più nazioni che avevano come obiettivo il sabotaggio del programma nucleare iraniano. Il virus ha infettato alcuni PLC vulnerabili e il software Step7 di Siemens all’interno della centrale nucleare iraniana di Natanz, facendo girare le centrifughe a velocità variabili per indurre vibrazioni eccessive e quindi distruggerle.

Più di recente, pare che l'introduzione di codice maligno nel software di sicurezza della società Solarwinds abbia infettato più di 18.000 clienti e abbia permesso la fuga dei dati.

L’amministratore delegato, il sig. Mandia, ha dichiarato che dietro l'attacco potesse celarsi solo

“una nazione con capacità offensive notevoli”. La sicurezza deve quindi essere prioritaria per

tutti i costruttori di macchine, i produttori di apparecchiature originali (OEM) e gli integratori di sistemi che cercano di connettersi a distanza alle macchine dei clienti.

Secondo un recente studio di Palo Alto Networks, il 98% del traffico IoT non è criptato e quasi il 60% dei dispositivi è vulnerabile agli attacchi informatici (da moderati a gravi). Proteggere le fabbriche dagli attacchi dolosi è più che mai importante, dato che questi stanno diventando sempre più complessi e sofisticati.

Come funzionano i firewall e le reti virtuali private (VPN)

I firewall controllano il flusso di traffico tra le reti di tipo locale (LAN) e Internet. I firewall vengono solitamente installati alla periferia della rete che proteggono, e possono consistere in dispositivi hardware, software o in combinazioni dei due.

Possiamo paragonare il router all'entrata di un castello medievale, e il firewall al ponte levatoio che ne controlla gli accessi.

Anche se esistono numerose progettazioni e tecnologie avanzate, il funzionamento di base del firewall consiste nel filtrare tutto il traffico in entrata proveniente da reti non approvate (come Internet) sulla base di un insieme di regole preconfigurate. Per impostazione predefinita, tutto il traffico in uscita dalla rete fidata è permesso (per esempio dalla LAN a Internet).

Anche il traffico in entrata inviato in risposta a una connessione in uscita attiva è permesso.

Il traffico in entrata proveniente dalla pagina web di Ewon, www.ewon.biz, sarà

automaticamente permesso attraverso il firewall in risposta alla richiesta di un browser web.

Tuttavia, tutto il traffico in entrata non esplicitamente associato a una richiesta di traffico in uscita viene bloccato per impostazione predefinita. Per consentire un certo numero di traffici in entrata da Internet, occorre configurare le regole del firewall per permettere un tipo specifico di traffico, da una fonte specifica verso una destinazione specifica.

Il firewall protegge i sistemi (comprese le macchine) e i dati sulla LAN dagli accessi non autorizzati, ma non protegge la riservatezza e l'integrità del traffico Internet inviato e ricevuto dalla LAN. Di questo aspetto si occupano le reti virtuali private, o VPN. La tecnologia VPN crea un tunnel tra due macchine o due reti. Tra le due estremità viene generata una chiave crittografica che crea un “involucro” criptato per proteggere i dati alla fonte. All'altra estremità del tunnel di comunicazione, il gateway di destinazione “spacchetta” i dati e li decripta.

Suggerimento

Come utilizzare un'architettura web-hosted

Puoi scegliere di installare tu stesso una soluzione VPN sul tuo PC. Dovrai occuparti di installare e configurare il software in modo che la comunicazione possa essere stabilita e sia sicura.

Non si tratta di un compito scontato, e un'errata configurazione delle impostazioni di sicurezza vanificherebbe ogni sforzo. Crediamo che i costruttori debbano preoccuparsi solo delle attività di manutenzione delle macchine, senza prendere in carico i grattacapi informatici.

Ecco perché abbiamo progettato Talk2M. Con la nostra soluzione web-hosted, gli utenti non devono occuparsi di configurazioni complicate. La configurazione del server VPN viene spostata dal PC al cloud e le configurazioni tecniche e di sicurezza vengono impostate dai nostri esperti.

Gli utenti si collegano alle macchine con facilità e possono concentrarsi sul proprio lavoro, come mostrato nella Figura 3-1.

Figura 3-1: Utilizza un server VPN per connetterti in modo sicuro alle macchine remote.

Se, tuttavia, invece di essere installato su una singola macchina (PC), il server VPN è ospitato da un'organizzazione indipendente in un'offerta di servizi cloud (SaaS), potrà essere condiviso tra più costruttori, ciascuno con un account privato e in grado di configurare i propri clienti e le proprie macchine individualmente.Un'architettura basata sul cloud offre intrinsecamente una migliore scalabilità rispetto a un'architettura essenzialmente hardware basata su gateway o applicazioni software interne. Un'architettura cloud permette di bilanciare il carico distribuendo

Utente

Firewall Firewall

Router Cloud

LAN della fabbrica

Macchina LAN della

macchina

le connessioni e i tunnel VPN necessari su più server. Non solo, poiché presenta anche una capacità ridondante, assicurando la resilienza dei servizi di accesso remoto in caso di interruzione delle attività o di disastro.

Scopriamo l'approccio alla sicurezza “multilivello” di Ewon

Una delle principali sfide poste dalle connessioni remote è quella di bilanciare le esigenze degli ingegneri o degli specialisti dell'automazione e la missione dei dipartimenti IT, che è quella di garantire la sicurezza, l'integrità e l'affidabilità della rete. Trovare una soluzione accettabile per entrambe le parti ha rappresentato una sfida per molti anni, oltre che una fonte

di frustrazione e inefficienza per tutti i professionisti coinvolti. Garantire la sicurezza della rete è essenziale per ottenere l’approvazione degli esperti informatici, ma gli utenti rifiutano le soluzioni complesse, difficili da implementare o che ostacolano la produttività.

Concentrandosi sia sulla sicurezza che sulla facilità d'uso, Ewon ha creato una soluzione di accesso remoto adatta sia agli utenti finali che ai manager IT.

La sicurezza e l'affidabilità sono due aspetti chiave delle soluzioni Ewon. Le nostre soluzioni si basano su una strategia di “sicurezza multilivello”, che sfrutta cioè più livelli di contromisure di sicurezza, come mostrato nella Figura 3-2.

L'obiettivo, tra gli altri, è quello di proteggere l'integrità del sistema di connessioni e informatico del cloud industriale Talk2M basandosi su numerose pubblicazioni, linee guida, best practice e standard di sicurezza, come ad esempio:

• ISO/IEC 27001 (Organizzazione internazionale per la standardizzazione e Commissione Elettrotecnica Internazionale)

• Framework for Improving Critical Infrastructure Cybersecurity, Versione 1.0, U.S. National Institute of Standards and Technology (NIST)

• Open Web Application Security Project (OWASP)

• Open Source Security Testing Methodology Manual (OSSTMM)

Dall'hardware fino alle politiche e alle procedure, la sicurezza è una componente essenziale, completamente integrata in ogni aspetto delle soluzioni Ewon. I diversi livelli della strategia di difesa profonda di Ewon consistono nei seguenti elementi:

• Router Ewon: Gli utenti devono essere autenticati. Il traffico lato macchina/LAN è separato dal lato WAN/client e gli utenti possono accedere solo ai dispositivi autorizzati sulla LAN. I controlli specifici comprendono quattro aspetti chiave

▫ Segregazione della rete: I router industriali sono generalmente installati nel pannello di controllo della macchina, con la macchina collegata da un lato (LAN)

e la rete della fabbrica dall'altro (WAN). Quando è necessario stabilire una connessione, il dispositivo Ewon funge da gateway attraverso il quale passa tutto il traffico. In occasione della prima configurazione di Ewon, le impostazioni di sicurezza del dispositivo limitano il traffico tra queste due interfacce di rete.

Questa separazione di rete limita l'accesso remoto ai soli dispositivi collegati alla rete locale di Ewon, impedendo l'accesso al resto della rete.

▫ Autenticazione del dispositivo: I router Ewon hanno diritti di accesso separati da quelli di Talk2M. Solo gli utenti che dispongono delle credenziali e dei diritti di accesso adeguati possono modificare le impostazioni di sicurezza dei router Ewon.

Allo stesso modo, per i dispositivi dotati di servizi di dati, solo gli utenti autorizzati potranno visualizzarli o modificarli.

▫ Interruttore fisico: Tutti i dispositivi hardware di Ewon dispongono di un ingresso digitale. È possibile collegare a questo ingresso un interruttore fisico per abilitare o disabilitare la porta WAN. Ciò permette all'utente finale di mantenere il pieno controllo locale sugli accessi, remoti o meno, al dispositivo.

Promemoria

▫ Attribuzione e controllo dell'IP: Ewon necessita dello stesso tipo di impostazioni di un PC collegato alla stessa rete (indirizzo IP, maschera di sottorete e gateway, oltre a eventuali impostazioni proxy opzionali). L’unità Ewon può essere configurata per ricevere queste impostazioni automaticamente tramite protocollo DHCP. Esiste tuttavia la possibilità di configurare Ewon per far sì che utilizzi un indirizzo IP statico attribuito e controllato dal dipartimento IT, se lo si desidera.

• Firewall: Dall'applicazione eCatcher, gli amministratori dell’account Talk2M possono impostare filtri e regole del firewall per stabilire quali dispositivi dietro l'unità Ewon possono essere accessibili da remoto e persino su quali porte (Ethernet, USB o seriale) e con quali protocolli. Talk2M fornisce quattro diverse configurazioni di firewall basate sull'indirizzo IP, le porte, i gateway e l'accesso ai servizi Ewon dei dispositivi dichiarati.

Le elenchiamo di seguito, partendo dal livello di firewall meno restrittivo per arrivare a quello più sicuro:

▫ Standard: È possibile accedere a tutti i dispositivi collegati alla rete Ewon.

▫ Elevato: Accesso consentito solo ai dispositivi collegati alla LAN dell’Ewon esplicitamente elencati; sono possibili anche restrizioni sulle porte.

▫ Rinforzato: L'accesso al gateway Ewon può essere bloccato.

▫ Ultra: L'accesso ai servizi delle periferiche Ewon, come HTTP, FTP e SNMP, può essere bloccato.

Quando sono associati alla gestione dei diritti utente di Talk2M, gli amministratori possono personalizzare i diritti di accesso remoto a gruppi di utenti specifici.

• Crittografia: Le comunicazioni tra l'utente remoto ed Ewon sono completamente criptate tramite Transport Layer Security (TLS); questo garantisce l'autenticità, l'integrità e la riservatezza dei dati. Tutti gli utenti e le unità Ewon sono autenticati tramite certificati x.509, e il traffico end-to-end è criptato da potenti algoritmi simmetrici e asimmetrici

• Gestione degli utenti e responsabilità: Ogni account Talk2M può avere un numero illimitato di utenti. Per ogni utente che desidera accedere all'attrezzatura remota, gli amministratori possono creare delle credenziali uniche. Questo rende più facile

così come i servizi e le porte e i protocolli autorizzati. Per esempio, l’amministratore può autorizzare gli utenti remoti ad accedere ai servizi Web di un particolare dispositivo per scopi di monitoraggio, ma limitare l’accesso alle porte utilizzate per apportare modifiche solo a determinati tecnici. I controlli includono:

▫ Il controllo degli accessi basato sui ruoli (RBAC), che definisce quali utenti possono avere accesso a quali macchine e permette diversi livelli di accesso

▫ Credenziali univoche per utente e requisiti password personalizzati (lunghezza minima, lettere, cifre, caratteri speciali, tempi di scadenza e storico password uniche)

▫ L’autenticazione a due fattori (MFA), che richiede agli utenti di inserire un codice inviato via SMS dopo aver inserito nome utente e password

▫ Registri delle verifiche e delle connessioni per ogni dispositivo, per tenere traccia di chi si è collegato, quando e per quanto tempo

• Infrastruttura Talk2M: Ewon valuta regolarmente l'architettura Talk2M nell’ambito della gestione del rischio. Vengono implementati controlli appropriati per la massima efficacia della sicurezza e per la conformità ai requisiti normativi applicabili.

Ewon collabora con società di hosting di prim’ordine che soddisfano i seguenti requisiti:

▫ Fornitori di hosting di qualità: Per aumentare l'affidabilità, migliorare la ridondanza e ridurre la latenza, Ewon collabora con 21 fornitori di hosting leader in tutto il mondo.

▫ Monitoraggio 24/7/365: La nostra rete di server è monitorata 24 ore su 24 per garantire la massima disponibilità e sicurezza.

▫ Centri dati certificati: Nello specifico Service Organization Control (SOC) 1/2 Statements on Standards for Attestation Engagements (SSAE) 16/International Standard for Assurance Engagements (ISAE) 3402, SOC 2, e Organizzazione internazionale per la normazione (ISO) 27001/27002/27017/27018.

▫ Corporate member della Cloud Security Alliance (CSA): Ewon collabora con partner di hosting che sono Corporate member della CSA.

Contenuto tecnico

• Politiche e procedure: La soluzione di accesso remoto Talk2M è progettata per essere compatibile con le politiche di sicurezza esistenti del cliente. Utilizzando connessioni in uscita su porte comunemente aperte (ad esempio 443 e 1194) e grazie alla compatibilità con la maggior parte dei server proxy, il router Ewon è progettato per essere il meno intrusivo possibile sulla rete e per operare nel rispetto delle regole firewall esistenti. Gli amministratori degli account Talk2M possono personalizzare le politiche in materia di password per adattarle alle politiche aziendali e possono limitare l'accesso degli utenti. Gli amministratori degli account Talk2M possono inoltre visualizzare il rapporto di connessione Talk2M (audit) per visualizzare quali utenti si stanno connettendo a quali dispositivi e quando, e quindi verificare che le politiche di accesso remoto dell'azienda siano rispettate.

Per assicurare la migliore continuità possibile delle attività, i clienti hanno a disposizione due diverse tipologie di servizio:

ͳ Talk2M Free+ fornisce un servizio efficiente e gratuito senza un accordo sui livelli di servizio (SLA)

ͳ Talk2M Pro è un servizio più elaborato, a pagamento, che prevede un accordo sui livelli di servizio (SLA)

Il servizio Talk2M Pro garantisce una disponibilità del servizio del 99,6%. Per fornire questi due livelli di servizio, l'architettura Talk2M è rafforzata da diversi obiettivi di politica e di controllo, tra cui:

▫ Accordo sui livelli di servizio dei fornitori di hosting: I servizi Talk2M Pro sono ospitati da partner di hosting di prim’ordine, che garantiscono una disponibilità prossima al 99,99%. I servizi Talk2M Free + si appoggiano a più fornitori di hosting, che offrono in generale una disponibilità superiore al 99%.

▫ Indicatori chiave di prestazione: Le prestazioni di ciascun server vengono costantemente monitorate.

▫ Ridondanza dei server: La presenza di più provider permette di reindirizzare rapidamente le connessioni VPN in caso di problemi.

▫ Monitoraggio continuo: I servizi TalK2M sono costantemente monitorati dagli ingegneri di turno.

Infine, per ridurre la latenza della rete, i centri dati sono situati nei cinque continenti

La soluzione futura: Ewon Cosy+ per una maggiore sicurezza

In futuro, il router industriale Cosy+ di Ewon integrerà un approccio alla sicurezza multilivello (vedi Figura 3-2) e si posizionerà come vero e proprio punto di riferimento del settore, con un'enfasi sempre maggiore sulla sicurezza. Con Cosy+, Ewon porta il mercato dell'accesso remoto a un livello di sicurezza senza precedenti. Con questo nuovo approccio, un alto livello di sicurezza fisica entra a far parte integrante della catena di fiducia, così da soddisfare gli standard IoT più rigorosi. Ecco

in breve alcune delle caratteristiche di sicurezza avanzate che Ewon Cosy+ incorpora:

• Catena di fiducia garantita, dall'hardware al cloud: Ewon Cosy + è dotato di un chip Secure Element (SE) integrato, per proteggere i dati segreti e fornire un Hardware Root of Trust.

Inoltre incorpora un certificato radice per prevenire clonazioni o contraffazioni.

• Abbiamo implementato una sequenza di avvio protetto (Secure Boot) che limita l’esecuzione al solo codice firmato da Ewon. Garantiamo inoltre un'elevata crittografia di tutte le comunicazioni tramite Cloud T2M.

• Tutte le operazioni riguardanti i segreti relativi all'Ewon Cosy + sono gestite tramite "Key Ceremony". La “Key Ceremony” (KC) è una sessione che regola il modo in cui gli oggetti crittografici sono generati e conservati.

• Maggiore sicurezza grazie all'uscita digitale che segnala una connessione remota attiva.

Capitolo 4

Esempi di utilizzo dell'accesso remoto

In questo capitolo vedremo quattro esempi concreti di clienti soddisfatti:

1. Costruttore di macchine termoformatrici (MAAC) 2. Panificio industriale (Bakkersland)

3. Movimentazione dei materiali (A.G. Stacker) 4. Ciclotroni nel settore sanitario (IBA)

1. Costruttore di macchine termoformatrici

MAAC è un’azienda di Chicago specializzata nella produzione di macchine termoformatrici e altri prodotti complementari. I prodotti MAAC sono utilizzati in tutto il mondo in numerosi settori, dall’aerospaziale al sanitario fino all’industria automobilistica.

MAAC ha ben presto compreso che la tecnologia di controllo dell'automazione sarebbe stata la chiave del successo nel settore dei macchinari. Leslie Adams, Director of Technical Services, è da lungo tempo un sostenitore dell'automazione elettronica. Secondo Adams,

"Le comunicazioni fornite da un router VPN Ewon sono semplicemente sorprendenti.

Con una connessione Internet, possiamo collegarci alle macchine pressoché ovunque".

La connessione VPN sicura fornita dalla tecnologia Ewon offre una completa integrazione delle norme di sicurezza informatica. L’esclusiva soluzione di accesso remoto di Ewon permette a MAAC di connettersi alle macchine sul campo con la stessa facilità e flessibilità con cui si connette alle macchine presenti nel proprio stabilimento produttivo.

L'accesso remoto permette all'azienda di connettersi alla macchine come se fossero sul posto, di accedere a PLC, variatori, dispositivi HMI e a qualsiasi altro dispositivo collegato alla sottorete della macchina, telecamere IP comprese. Prima di installare i router Ewon, MAAC si serviva di modem telefonici per connettersi alle macchine, ma la latenza costituiva un problema enorme.

“Ricordo la frustrazione che accompagnava l’attività di monitoraggio, i lunghi tempi di attesa prima che le informazioni arrivassero attraverso la connessione modem. Lavoravamo su una

ha un impatto positivo sui costi di assistenza ai clienti. Leslie commenta: “Con Ewon abbattiamo del 50-70% i costi di assistenza, e riduciamo significativamente il tempo di inattività che si accompagna normalmente all'attesa di un tecnico. Il tempo sprecato negli spostamenti sul campo rappresenta un sacco di soldi. Stare seduti negli aeroporti e guidare fino alle strutture dei clienti è semplicemente tempo perso. Preferiamo che i nostri programmatori lo passino lavorando su nuove macchine o perfezionando i sistemi esistenti. Quando i nostri tecnici non sono in azienda, semplicemente non stanno lavorando sulle cose importanti.

2. Panificio industriale (Bakkersland)

Bakkersland è il più grande panificio industriale dei Paesi Bassi. La principale preoccupazione della Bakkersland è il possibile arresto delle macchine impiegate nel processo di produzione.

I tempi di inattività possono comportare ritardi nel processo logistico.

Per evitare questo tipo di interruzioni, Bakkersland ha avviato un progetto volto a dotare ciascuna delle proprie macchine di un router industriale Ewon. I router Ewon sono installati nella sala di controllo, accanto al PLC sulla guida DIN (una guida metallica utilizzata per il montaggio di interruttori e apparecchiature di controllo industriale all'interno dei quadri elettrici delle apparecchiature). La struttura funziona online e può fornire la supervisione remota della macchina all'operatore tramite una connessione VPN sicura.

Bakkersland ha scelto il router Cosy di Ewon come sistema di manutenzione remota per le proprie macchine. Dennis van Scheijndel di Bakkersland illustra i vantaggi dell'architettura Ewon: “In caso di allarme, l'operatore può indicare, a seconda dei casi, che un particolare sensore è sporco o che la connessione non è completamente sicura. Se necessario, il fornitore può apportare modifiche al controllo. Da utenti non siamo gli unici a risparmiare tempo;

il costruttore, infatti, non deve più mandare i propri tecnici sul posto. Sono soprattutto i fornitori basati all'estero a beneficiarne.

3. Movimentazione dei materiali (A.G. Stacker)

A.G. Stacker è un produttore di macchine impilatrici e attrezzature ausiliarie. Quando Clarence e Helen Allen hanno fondato l'azienda nel 1996, avevano l'obiettivo di fornire attrezzature innovative e un supporto clienti migliore di chiunque altro nel settore. Oggi, con l'innovazione e il servizio clienti sempre in cima alle priorità, A.G. Stacker collabora con Ewon per sviluppare la prossima generazione di interazione con i clienti.

Le macchine A.G. Stacker sono state scelte da clienti in tutto il mondo. Ciascuna di esse utilizza un sofisticato sistema di automazione che include azionamenti, controlli programmabili e altri dispositivi all'avanguardia. Nonostante A.G. Stacker disponga di un team di ingegneri, tecnici e formatori altamente qualificati per aiutare i clienti a massimizzare il valore delle macchine, talvolta le condizioni del cliente giustificano la messa a punto e le modifiche del sistema sul campo. Le attrezzature per l’automazione delle macchine in uso richiedono talvolta l’intervento di un esperto presso il cliente per apportare anche piccole modifiche. Visto l’aumento

vertiginoso dei prezzi dei voli last-minute, A.G. Stacker ha cercato un modo innovativo per risolvere il problema. E ha chiesto aiuto ad Ewon.

Ewon fornisce un approccio rapido e semplice, ma del tutto sicuro, alla connettività remota.

Kennedy Larramore, tecnico elettrico/informatico di A.G. Stacker, spiega: "Anche se abbiamo tre tecnici dedicati all’assistenza ai clienti, i “tecnici itineranti” sono costosi, sia per i nostri clienti che per A.G. Stacker. Fondamentalmente, il tempo passato in viaggio potrebbe essere speso meglio, e i tempi morti presso i nostri clienti sono molto costosi. Inoltre, spesso riscontriamo problemi dei quali il cliente fatica a descrivere l'esatta natura”.

"All’inizio proponevamo i dispositivi Ewon come optional sulle nostre macchine. Ma dopo avere constatato la potenza della soluzione gratuita Talk2M e dei dispositivi sul campo, abbiamo integrato Ewon in tutte le macchine che costruiamo", aggiunge Kennedy.

4. Ciclotroni nel settore sanitario (IBA)

IBA sviluppa soluzioni di alta precisione per la diagnosi e il trattamento del cancro - per esempio, i ciclotroni. IBA ha scelto Ewon e la tecnologia Talk2M per fornire un servizio di assistenza a distanza su scala globale.

“Prima di tutto, il nostro obiettivo è quello di poter risolvere i problemi dei clienti a distanza in caso di guasti o di dubbi”, spiega Patrick Delcour, project manager del servizio clienti di IBA.

“Con Talk2M posso connettermi e spostarmi dal sito di Melbourne, in Australia, a quello di Gand, Belgio, in tre secondi”.

I guasti vengono rimediati direttamente dalla sala di controllo sulla base delle informazioni fornite dallo stato delle spie luminose e dei display. “Tuttavia, le informazioni fornite dalla sala di controllo sono molto frammentarie”, sottolinea Delcour. Prima di usare Ewon, all’insorgere

La soluzione Talk2M ha rivoluzionato il modo di lavorare di IBA. Talk2M offre facilità d'uso e di connessione e migliora l'efficienza della risposta. “Tre clic e sono collegato”, spiega Delcour.

La complessità associata ai firewall o ai proxy è completamente nascosta all'utente.

Una volta stabilita la connessione a Talk2M, tutti gli indirizzi IP sul lato della rete locale dell’Ewon diventano trasparenti e accessibili da parte dell’utente. Con pochi clic, l'utente può connettersi al PLC e alla telecamera IP o lanciare l'applicazione desktop da remoto sul PC di controllo per pilotare il PC locale e lanciare l'HMI.

Scopri altri esempi di utilizzo di Ewon alla pagina www.ewon.biz/customers.

Capitolo 5

Avviare Ewon Cosy in 5 semplici passaggi

In questo capitolo scoprirai come:

• Creare e impostare il tuo account Talk2M

• Configurare Ewon Cosy

• Connetterti a una macchina remota

Se non hai ancora acquistato un Ewon Cosy ma desideri averne uno, visita www.ewon.

biz/contact per trovare un distributore nella tua regione o nel tuo Paese.

Segui questi passaggi:

1. Scarica, installa e avvia eCatcher.

eCatcher è uno strumento gratuito che serve ad avviare l'accesso remoto alla rete virtuale privata (VPN) di Talk2M e a connettersi a tutti i dispositivi collegati ad Ewon. Puoi scaricare eCatcher direttamente dal sito Web di Ewon all'indirizzo https://ewon.biz/technical- support/pages/all-downloads. Avvia la procedura guidata di installazione e segui le istruzioni per completare la configurazione e lanciare eCatcher.

2. Nella pagina di accesso, crea il tuo account facendo clic su "Crea un account free".

Crea un nome account unico, inserisci il tuo nome e indirizzo e-mail e crea una password.

Ricordati di attivare il tuo account facendo clic sul link inviato al tuo indirizzo e-mail.

Fai clic su Verifica disponibilità per assicurarti di avere scelto un nome account unico.

3. Accedi a eCatcher e aggiungi il tuo Ewon facendo clic sul pulsante "Aggiungi".

Questo passaggio è illustrato nella Figura 6-1. Segui la procedura guidata di configurazione. Seleziona la tua versione di Ewon Cosy (Ethernet, Wi-Fi o Cellulare).

La configurazione avviene tramite una chiavetta USB/scheda SD preconfigurata inserita nell'Ewon o tramite l'interfaccia Web dell'Ewon.

L'interfaccia Web dell'Ewon è accessibile tramite un browser Web collegato alla

Suggerimento

Suggerimento

4. A questo punto hai la possibilità di cambiare l'indirizzo IP della LAN (di default 10.0.0.53) e di impostare la WAN tramite DHCP o un indirizzo IP statico. Quando richiesto, inserisci una chiavetta USB / scheda SD nel PC per salvare la configurazione. Quando hai finito, chiudi l'applicazione eCatcher.

Figura 6.1: Aggiungere un Ewon a Ecatcher

5. Accendi Ewon Cosy, collega il cavo WAN e inserisci la tua chiavetta USB/scheda SD.

Inserisci il cavo Ethernet WAN nella porta WAN, come mostrato nella Figura 6-2; la porta adeguata sarà contrassegnata da una spia arancione. Accanto a ogni porta dell'Ewon è riportato un numero. Di default, 1 è una porta LAN e 4 è una porta WAN.

FIGURA 6-2: Individuare la porta WAN del proprio Ewon.

Quando la spia PWR è verde e la spia USR lampeggia in verde, come mostrato nella Figura 6-3, inserisci la chiavetta USB/scheda SD configurata nel tuo Ewon Cosy. La spia USR inizierà a lampeggiare rapidamente in arancione, indicando che è stato rilevato un file

di configurazione valido.

Properties Ewons

No action View map

My Ewons Active connection

Status Name Firmware Description

Figura 6-3: Pattern dei LED quando si inserisce un file di configurazione valido tramite USB.

Quando la spia USR diventa verde fisso, il file è stato caricato con successo. È ora possibile rimuovere la chiavetta USB o scheda SD; Ewon Cosy si riavvierà. Se la spia USR diventa rossa, significa che è presente un errore di configurazione. Questi modelli sono illustrati nella Figura 6-4.

Figura 6-4: Attendere che la spia dell'utente diventi verde fissa (caricato con successo) o rossa (errore)

Potrebbero essere necessari alcuni minuti per configurare la connessione Talk2M.

Alla fine del processo di configurazione, dovrebbe accendersi la spia Talk2M.

Vedi la Figura 6-5.

When the PWR LED is green and the USR LED is blinking green, insert your configured USB stick/SD card into your Ewon Cosy.

Wait until the USR LED becomes fixed green (success) or red (error) to indicate the result of the configuration.

The USB stick/SD card can now be removed.

Your Ewon Cosy will reboot to apply the new settings.

The Talk2M connection configuration takes several minutes (up to 5 min.).

At the end of the configuration process, the Talk2M LED should light up.

Verde Segnale di svolta

Verde Rosso

When the PWR LED is green and the USR LED is blinking green, insert your configured USB stick/SD card into your Ewon Cosy.

Wait until the USR LED becomes fixed green (success) or red (error) to indicate the result of the configuration.

The USB stick/SD card can now be removed.

Your Ewon Cosy will reboot to apply the new settings.

The Talk2M connection configuration takes several minutes (up to 5 min.).

At the end of the configuration process, the Talk2M LED should light up.

Verde Segnale di svolta

Verde Rosso When the PWR LED is green and the USR LED is blinking green, insert your configured USB stick/SD card into your Ewon Cosy.

Wait until the USR LED becomes fixed green (success) or red (error) to indicate the result of the configuration.

The USB stick/SD card can now be removed.

Your Ewon Cosy will reboot to apply the new settings.

The Talk2M connection configuration takes several minutes (up to 5 min.).

At the end of the configuration process, the Talk2M LED should light up.

Verde Segnale di svolta

Verde Rosso

Promemoria

6. Dopo avere collegato il computer a Internet, lancia eCatcher.

Lo stato dell’Ewon Cosy deve essere "Online". Basterà evidenziare il dispositivo Ewon e fare clic sul pulsante Connetti.

Una volta connesso all’Ewon tramite eCatcher, se hai collegato un dispositivo Ethernet alla porta LAN del tuo Ewon Cosy e nella stessa sottorete, dovresti essere in grado di inviare un ping al relativo indirizzo IP per verificare la connettività.

Suggerimento