Il est devenu impératif de pouvoir offrir des systèmes industriels d'accès distant aux constructeurs de machines et aux OEM. D'ailleurs, un tel accès représente souvent la différence entre une société véritablement performante et les autres. Que les ingénieurs de maintenance travaillent de leur bureau ou de leur domicile, ils ont besoin d'un accès facile et transparent aux machines et aux équipements industriels afin de s'acquitter de leurs tâches, pour l'essentiel des opérations de télémaintenance.

Au début des années 1990, les possibilités d'accès distant aux machines et aux équipements industriels étaient assez limitées. La méthode la plus répandue consistait à utiliser un modem qui communiquait via un réseau téléphonique commuté public. Malheureusement, il fallait effectuer des appels interurbains ou internationaux et le débit offert était si faible qu'il était pratiquement impossible d'effectuer la maintenance des machines. Avec l'essor d'Internet, il est devenu possible d'utiliser les communications longue distance publiques ou gratuites pour l'accès distant. Son association aux technologies cellulaires de communication sans fil ou aux technologies DSL a offert au marché un nouveau support de communication pour accéder aux équipements. Toutefois, les technologies DSL exigent l'installation d'une ligne dédiée sur le site de la machine tandis que les technologies de téléphonie cellulaire ne peuvent être implémentées que s'il existe des récepteurs sans fil à proximité de la machine pour assurer une communication fiable.

Connexion faible coût à débit élevé

Il existe toutefois une solution alternative pour les constructeurs de machines, à savoir utiliser l'infrastructure réseau de leurs clients, pour autant bien sûr que la machine du client puisse être connectée à Internet via un point de connexion du réseau local (LAN). C'est la méthode d'accès aux machines la plus intéressante dans la mesure où elle garantit une connexion à faible coût, un débit élevé et où elle ne nécessite pratiquement aucune tâche de déploiement du côté du support.

Une connexion Internet exige l'implémentation de réseaux privés virtuels (VPN) pour sécuriser les connexions IP et l'utilisation d'un point de connexion LAN nécessite l'intégration de cesVPN aux réseaux locaux des clients des constructeurs de machines.

• 
  

• 
  

• 
  

• 
  

L'armoire de commande se situe en dessous de la zone de chargement entre les roues du véhicule de transport construit par Kamag. Le routeur de maintenance à distance Ewon y est installé. Il transmet tous les messages d'erreur immédiatement et enregistre toutes les données du système.

Ewon

En optant pour un système d'accès distant “prêt à l'emploi”, le constructeur de machines doit se charger des activités d'intégration et devra vraisemblablement collaborer avec l'équipe informatique du client pour réaliser l'intégration. Bien que viable, cette approche présente certains inconvénients. Ainsi, il se peut que chaque client nécessite une configuration de réseau privé virtuel différente, ce qui complique le processus d'intégration et augmente le délai d'installation et de mise en service, lequel n'est pas sans impact sur le coût d'installation de la machine. Dès lors, il est important de choisir des technologies qui permettent de limiter les coûts d'installation en simplifiant au maximum le processus d'intégration.

• 
  

• 
  

• 
  

• 
  

Le constructeur allemand Kamag produit des véhicules de transport de charges lourdes et volumineuses pour différents secteurs industriels. Ce panneau de contrôle sera installé dans la cabine du conducteur. Il comporte un automate Siemens S7-300 auquel est connecté un routeur d'Ewon. Cette solution autorise la maintenance à distance des véhicules.

Ewon

Réseaux privés virtuels

Les technologiesVPN offrent aux constructeurs de machines et aux OEM un autre moyen de bénéficier d'une connectivité performante pour la communication entre les ingénieurs chargés de la maintenance et les machines qu'ils doivent entretenir ou réparer, installées sur les sites ou dans les usines de leurs clients. Ils peuvent également envisager le développement de nouvelles applications,par exemple le diagnostic des pannes des machines (à l'aide d'une webcam), des tests d'évaluation des performances à l'aide des indicateurs clés de performance communiqués, la planification des activités de maintenance grâce à la surveillance des cycles de vie des machines, etc.

Le recours à ces technologies représente un défi technique différent. En effet, si l'utilisation de modems téléphoniques nécessite essentiellement une ligne téléphonique connectée au réseau RTC et deux modems (un à chaque extrémité), la technologieVPN demande certaines compétences et connais-sances des technologies Internet.

• 
  

• 
  

• 
  

• 
  

La technologieVPN comprend des fonctions de chiffrement et de tunnelisation. Les données sont encapsulées dans un “wrapper” IP acheminé via Internet. Lorsque les données sont envoyées, elles doivent être encapsulées et chiffrées par une passerelle, logicielle ou matérielle, à l'aide d'un mécanisme de chiffrement évolué. A l'autre extrémité de la communication, la passerelle de destination doit “désencapsuler” les données, les déchiffrer et les transmettre au destinataire. De cette façon, le trafic issu de la passerelle VPN est géré de la même façon que les données éma-nant d'un autre utilisateur du réseau local.

LesVPN implémentés au niveau de la couche réseau offrent aux utilisateurs un accès externe permanent à leurs réseaux d'entreprise via Internet, comme s'ils étaient connectés en interne au réseau local. Il s'agit de la solution la plus intéressante dans le cas d'une population d'utilisateurs largement distribuée qui a besoin de partager les mêmes ressources de façon transparente, sans perdre en productivité par rapport aux utilisateurs internes directement connectés au réseau local (LAN).

Eviter les problèmes de sécurité

Toutefois, ce niveau d'accès peut créer des failles de sécurité si le point de connexion dont se sert l'utilisateur n'est pas sécurisé ou peut être facilement compromis. S'il est possible de sécuriser un ordinateur hébergé au sein d'un réseau local, de telles mesures sont coûteuses et difficiles à implémenter dans le cas d'ordinateurs distants connectés à des réseaux non gérés.

• 
  

• 
  

• 
  

• 
  

La télémaintenance via le réseau Internet est la solution idéale pour la surveillance des sites isolés. C'est notamment le cas pour une unité mobile de filtration et de purification de l'eau.

Ewon

Dans le monde des constructeurs de machines et des OEM, il faut donc que le point de connexion côté machine soit contrôlé par le constructeur de la machine. Un tel contrôle est impossible puisque le point de connexion est situé au sein d'un autre réseau informatique, à savoir le LAN du client. Cela signifie que le point de connexion est géré par le service informatique du client et qu'il respecte les stratégies de sécurité de ce dernier, lesquelles peuvent être différentes de celles du constructeur de la machine. Il est également possible de limiter l'accès aux applications et périphériques IP de la machine mais pour ce faire, il faut configurer des paramètres supplémentaires, ce qui demande du temps et des efforts. Pour éviter les problèmes de sécurité, une autre solution consiste à disposer d'un point de connexion à Internet dédié et isolé du réseau local. Il est possible d'utiliser à cette fin un support physique supplémentaire, par exemple une ligne RTC,ADSL ou une liaison cellulaire.

Dans le cas desVPN implémentés au niveau de la couche réseau, un autre élément à prendre en compte est le niveau de compétences élevé demandé au personnel technique pour le déploiement et la maintenance. Pour les constructeurs de machines ou les OEM qui cherchent à fournir un accès distant à des centaines, voire des milliers de machines, le déploiement, la gestion et la mise à jour de toutes ces machines peuvent s'avérer très coûteux et fastidieux, surtout s'ils ne peuvent pas être présents sur le site pour configurer l'équipement. Si les constructeurs doivent en outre tenir compte des stratégies de sécurité et des paramètres de configuration propres à chaque client, les difficultés se multiplient et ils risquent d'être rapidement obligés d'investir massivement pour faire face à leurs obligations en matière d'implémentation et de gestion de ces nombreux paramètres et configurations de connexion de l'accès distant.

En général, les VPN au niveau de la couche réseau sont basés sur le protocole IPSec. Certains fournisseurs utilisent aussi une combinaison du protocole de tunnelisation de couche 2 (L2TP) et du protocole de tunnelisation point à point (PTPP).

Les réseaux privés virtuels implémentés au niveau de la couche application, par exemple lesVPN SSL (protocole de transport sécurisé) utilisent une autre méthode pour acheminer les données via l'Internet public. Ils utilisent le même chemin qu'une connexion web, ce qui limite les paramètres à configurer sur tous les périphériques d'intercommunication. C'est là le premier avantage des VPN SSL. En effet, chaque fois qu'une application de navigateur web est installée, il existe déjà un chemin (du point de vue de l'utilisateur) vers le monde externe (le Web) et les VPN SSL peuvent utiliser le même chemin.

• 
  

• 
  

• 
  

• 
  

ABB Robotics a choisi les solutions de communication M2M d'Ewon pour la maintenance préventive de ses robots à l'échelle globale. Le robot avertit automatiquement le service concerné qui peut immédiatement accéder aux données détaillées de l'équipement et identifier la cause de la panne.

Ewon

Dans le contexte des constructeurs de machines et des OEM, cela signifie que la connexion entre l'ingénieur de maintenance et la machine est chiffrée dans le VPN et qu'elle utilise le même chemin que la connexion web pour établir la connexion VPN (alias tunnel). Si les utilisateurs ou les machines peuvent jouer le rôle de clients web au sein de leur réseau (en d'autres termes, s'ils peuvent naviguer sur le Web), ils peuvent également établir des connexions VPN SSL. Comme les VPN SSL opèrent au niveau de la couche application, il est possible de disposer d'un accès contrôlé aux applications au lieu d'un accès contrôlé à l'ensemble du réseau local de l'entreprise, ce qui limite inévitablement les failles de sécurité au sein du réseau. C'est la solution idéale pour accéder aux machines hébergées dans d'autres infrastructures réseau ou à celles qui initient une connexion à partir d'un terminal non sécurisé. En outre, les tâches d'intégration sont limitées car les tunnelsVPN utilisent les mêmes chemins que les connexions web existantes qui transitent déjà par le pare-feu.

En outre, il s'agit d'une technologie plus familière pour les utilisateurs, même ceux dépourvus de connaissances techniques approfondies. La configuration demande moins de ressources et peut être effectuée par des informaticiens moins qualifiés. Lorsque vous déployez des centaines ou des milliers de machines, avoir un système VPN plus facile à configurer et à intégrer dans d'autres infrastructures réseau réduit les investissements, les risques et contribue à maintenir les coûts de l'intégration à un niveau raisonnable.

Architecture web hébergée

L'étape suivante consiste à déterminer comment établir une communication VPN entre l'ingénieur système (l'utilisateur) et la machine. Sur le site de l'utilisateur, il est possible d'installer un composant utilisé comme terminal du tunnel VPN initié par la machine. Il peut s'agir d'un composant logiciel ou matériel. Dans notre cas, le principe consiste à installer une application appelée serveur VPN SSL qui collecte toutes les connexionsVPN entrantes émanant des différentes machines (application de serveur classique). Pour ce faire, vous devez toutefois installer le serveurVPN sur un ordinateur et le configurer. La procédure est assez complexe et exige des connaissances et des compétences informatiques mais normalement, une fois l'installation configurée pour un constructeur de machines, seules les opérations de maintenance doivent être prises en compte par la suite. Avec une application serveur, les utilisateurs peuvent également se connecter aux mêmes serveurs que la ma-chine et le serveur VPN est responsable de l'établissement de la liaison finale entrel'uti-lisateur et la machine ( voir figure 2 ).

L'étape suivante consiste à transformer l'architecture de serveursVPN interne en architecture web externe.Grâce à une architecture web, les machines et les utilisateurs peuvent continuer à se connecter en toute transparence mais les constructeurs de machines n'ont plus besoin d'installer, de configurer et de gérer les serveursVPN puisque ces opérations peuvent être confiées à une société spécialisée tierce ( voir figure 3 ).

• 
  

• 
  

• 
  

• 
  

Les coûts liés à l'arrêt d'une ligne de conditionnement et d'emballage exigent une réactivé sans délai de la part du constructeur de machines.

Ewon

En fait, si le serveurVPN est hébergé par une société indépendante, il peut être partagé par plusieurs constructeurs de machines. Dans un tel cas, chaque constructeur dispose d'un compte privé et peut configurer individuellement ses utilisateurs et ses machines. Cela permet de réduire le coût de l'infrastructure web pour les constructeurs de machines et les OEM ou de répartir le coût entre plusieurs constructeurs.

Par nature, une architecture web est plus évolutive qu'une architecture matérielle basée sur des applications internes ou des passerelles matérielles. En fait, l'architecture web offre une fonction d'équilibrage de la charge qui permet de répartir le nombre de connexions ou tunnelsVPN nécessaires entre plusieurs serveurs. Elle est également redondante afin de garantir la continuité des services d'accès distant.

Même niveau de sécurité

Les deux technologies (VPN réseau et VPN application) sécurisent le trafic réseau mais comme elles présentent des avantages et inconvénients propres à chacune d'elles, elles répondent à des besoins différents.

Pour ce qui est des besoins des constructeurs de machines, les deux approches offrent le même niveau de sécurité même si les implémentations des protocoles diffèrent sensiblement. Elles présentent de nombreuses similitudes, notamment des fonctions d'authentification et de chiffrement fort ainsi que des clés de session de protocole spécifiées de façon semblable d'un point de vue conceptuel. Par conséquent, les deux protocoles offrent une prise en charge similaire des technologies de chiffrement, d'intégrité des données et d'authentification de pointe pour garantir un excellent niveau de sécurité.

L'architecture de serveurs web intègre un mécanisme d'authentification supplémentaire qui empêche les constructeurs d'utiliser des comptes qui ne leur appartiennent pas. SSL peut être également utilisé pour garantir la confidentialité des comptes d'utilisateur.

Connexions à la demande

Les constructeurs de machines doivent être en mesure de se connecter à leurs machines à tout moment et en tout lieu. Pour ne pas devoir se rendre sur le site, ils ont besoin de connexions fiables qui leur permettent d'accéder aux machines en vue de leur support, maintenance et dépannage.

A la différence de la gestion d'actifs à distance où le contrôle de l'équipement est primordial et nécessite un accès ininterrompu à ce dernier, les constructeurs n'ont pas besoin d'une connexion permanente. Tout dépend évidemment de l'application mais l'accès distant pour le dépannage ou la maintenance des machines peut être assuré par une connexion à la demande. En réalité, il est très possible que le client ne souhaite pas un accès distant permanent à sa machine. Dans ce cas, la machine est généralement déconnectée du réseau local et uniquement connectée pendant une certaine période, lorsque c'est nécessaire ou que le constructeur le demande.

La déconnexion du réseau local n'est pas un facteur essentiel pour la sécurité mais elle donne au client l'impression de disposer d'un contrôle physique sur l'accès à la machine et les périodes de connexion à celle-ci. Dans le cas d'une ligne dédiée qui utilise un supportautrequ'unaccèsLAN,desconnexions temporaires sont parfois souhaitables compte tenu du modèle de prix du support utilisé. Ce n'est pas nécessaire dans le cas d'un modèle de coût forfaitaire, par exemple une ligne ADSL, mais si le prix varie en fonction du volume (comme c'est le cas pour les liaisons cellulaires), il est parfois intéressant de ne conserver une connexion que le temps stric-tement nécessaire.En fait,les connexionsVPN établies envoient régulièrement des messages factices appelés messages KeepAlive , même s'ils ne transportent aucun message IP,afin de garder la connexion ouverte et d'informer la destination de l'existence d'une activité. Même si ces messages sont très courts, ils peuvent parfois être échangés plusieurs fois par minute et, à la fin du mois, représenter un volume considérable, surtout si des centaines de machines sont concernées.

La possibilité d'interruption de la connexion doit dès lors être prise en compte dans la conception du système d'accès distant afin de pouvoir rétablir la connexion VPN après une interruption ou d'établir une connexion si l'équipement n'est pas encore en ligne (connecté à Internet). Il est également utile d'implémenter des mécanismes de surveillance (matériels ou logiciels) au niveau du système d'accès distant afin de rétablir la connexion lors de la restauration du support ou de sa remise en ligne.