WO2016188731A1 - Machine maintenance in the beverage industry - Google Patents

Machine maintenance in the beverage industry Download PDF

Info

Publication number
WO2016188731A1
WO2016188731A1 PCT/EP2016/060388 EP2016060388W WO2016188731A1 WO 2016188731 A1 WO2016188731 A1 WO 2016188731A1 EP 2016060388 W EP2016060388 W EP 2016060388W WO 2016188731 A1 WO2016188731 A1 WO 2016188731A1
Authority
WO
WIPO (PCT)
Prior art keywords
approval
machine
remote maintenance
request
remote
Prior art date
Application number
PCT/EP2016/060388
Other languages
German (de)
French (fr)
Inventor
Johann Zistler
Gerhard Zanner
Original Assignee
Krones Ag
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Krones Ag filed Critical Krones Ag
Publication of WO2016188731A1 publication Critical patent/WO2016188731A1/en

Links

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • G05B19/4185Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by the network communication
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/042Programme control other than numerical control, i.e. in sequence controllers or logic controllers using digital processors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14084Remote diagnostic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/10Plc systems
    • G05B2219/14Plc safety
    • G05B2219/14119Inhibit remote control
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24048Remote test, monitoring, diagnostic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/24Pc safety
    • G05B2219/24154Password with time limited access to system, protect protocol
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/30Nc systems
    • G05B2219/36Nc in input of data, input key till input tape
    • G05B2219/36542Cryptography, encrypt, access, authorize with key, code, password
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Definitions

  • the present invention relates to a device for controlling a remote maintenance access to a machine in the liquid food filling industry, in particular the beverage industry according to the preamble of claim 1 and a method for controlling a remote maintenance access to such a machine according to the preamble of claim 8.
  • remote maintenance or remote service for remote maintenance of machinery or machine components is typically performed by means of a data connection over an external network, such as the Internet.
  • Access to the machine or the machine component takes place, for example, by means of a virtual private network (VPN) tunnel, which provides a secure connection between the machine or the machine component and a terminal for carrying out the remote maintenance.
  • the terminal is typically a computer of the employee performing the remote maintenance, for example, at the manufacturer of the machine or other remote remote maintenance platform.
  • the VPN tunnel is automatically set up by the remote maintenance platform.
  • the connection is established without restriction and does not require any active steps on the part of the machine or a user of the machine.
  • the only prerequisite for establishing the connection is a network connection of the machine or of the machine component, which typically can only be physically separated by pulling out the network plug on the machine or on a network router. Nevertheless, situations may occur in which (for a limited time) remote maintenance access to the machine is undesirable or needs to be prevented, for example, to ensure the safety of personnel during a local maintenance process on the machine. However, physically disrupting the network connection by disconnecting the hardware or network cables of the machine or router to prevent remote maintenance access to the machine may affect the functionality of that machine, particularly if the machine is dependent on network communication for its operation.
  • An embodiment of the invention relates to a device for controlling a remote maintenance access to a machine in the liquid food filling industry, in particular the beverage industry.
  • the machine comprises at least one machine component.
  • the machine component is configured to establish a communication link with at least one remote unit for remote servicing of the at least one machine component of the machine.
  • the communication link between the remote unit and the machine may be via an external network such as the Internet.
  • the device is configured to receive a request for permission to remotely service at least one particular machine component.
  • the apparatus may further include an approval module for granting a remote maintenance approval.
  • the granted approval identifies a particular remote unit and machine component of the remote maintenance machine.
  • a time for the remote maintenance can be specified, so that the approval is valid only in a certain period or for a certain period of time.
  • the request can already have one desired or proposed machine component and a remote unit. equivalent.
  • the apparatus may further include an activation module for enabling or blocking a communication link between the particular remote unit and the particular remote maintenance machine component. Activation or blocking is based on the granted approval.
  • the activation module is configured such that enabling a communication connection is only possible between the particular remote unit and the particular machine component. Remote maintenance for the at least one machine component of the machine can then be carried out by means of a remote access session using the reased communication connection.
  • the operator or user of the system has at all times control over who accesses which machine and when.
  • one or more approval processes may be defined for the at least one machine component.
  • Such an approval process may predefine several pieces of information, such as a unique identifier (identifier), a designation of the approval process, a list of firm contacts, the option to add more contacts as needed, or an adjustment whether the appropriate approval process has been granted permanently and none requires further explicit issuing by the operator of the facility.
  • the definition of an approval process may also include a definition of a machine component or a group of machine components. For example, it may be specified that a remote maintenance access authorization is granted only if it complies with a predefined approval process. This further increases the security of the remote maintenance process.
  • the approval further comprises a period for the remote maintenance.
  • the activation module allows the communication connection for remote maintenance only during this period.
  • a period can for example a list of fixed values, but also be set manually.
  • a fixed duration such as 2h, 6h, 12h, 72h, etc.
  • no time is specified, so that the authorized user must make the setting explicitly, whereby accidental approval can be prevented.
  • the period of approval granted may also be changed after the grant.
  • a change may be made explicitly by an authorized user to the operator of the machine via an interface of the device for controlling the remote maintenance access, and / or the period is terminated as soon as a connection to the remote maintenance is terminated, for example by having a service person of the
  • the manufacturer of the machine terminates the communication connection, which can be done by logging out of the machine component or by terminating a computer control software that was used to perform the remote maintenance.
  • an administrator may be authorized to interrupt the communication connection.
  • the license for the remote maintenance further comprises at least one condition.
  • the remote maintenance is then actually enabled only after fulfillment of this condition.
  • An example of such a condition is that an acknowledgment of the remote maintenance by a user must be made directly on the machine by means of a Human Machine Interface (HMI) for which the remote maintenance is conditionally approved on at least one machine component. This could be necessary, for example, to meet occupational safety requirements of persons who are in the immediate vicinity of the machine.
  • HMI Human Machine Interface
  • observations can be made on the machine or the machine component, for example by detecting visually or by hearing whether or how electrical or mechanical elements of the machine behave.
  • the device after receiving a request, sends a request approval message about the request to at least one designated person.
  • the person or their contact information such as an email address
  • the notification may include an authorization key in a predefined format by which the request and / or the approval process, ie the type of remote maintenance and on which machine components the remote maintenance is to be performed uniquely identifiable is.
  • This approval key may be included in a notification about the request that can be sent to authorized persons in such a way that it is not immediately valid.
  • the person to first modify the approval key in response to the request approval message to cause the approval to be granted upon receipt of the response with a valid approval key from the device.
  • This modifier can be done manually, for example by copying several separate parts and then assembling the copied parts into the valid approval key.
  • the device or the responsible contact person in response to an incoming request, sends an e-mail which, in accordance with a configurable template, contains one or more placeholders for, for example, the name of the responsible contact person at the operator of the machine, the name of an employee of the manufacturer , a commission number and / or the name of the machine or machine component or a desired duration for the release period.
  • the email may contain the approval key, which may consist of at least 24 alphanumeric characters.
  • this approval key may be divided into multiple parts in the email about the received request, whereby the approval request and / or an underlying, predefined approval process is uniquely identifiable.
  • the approval key in this format is not valid to grant an approval.
  • the partitioning may be done by one or more readable tags according to another embodiment, or it may be necessary to add or change one or more particular characters of the approval key.
  • the multi-part or otherwise non-valid approval key must first be manually converted to a contiguous, valid approval key, such as by removing the tags.
  • one or more approval processes may be configured for the machine.
  • An approval process is a definition that defines who can access which machine component remotely over a communication link from a remote unit.
  • a defined approval process makes it possible for remote maintenance to be controlled, ie with the knowledge and consent of the operator of the machine.
  • Such a preconfigured approval process may include the name (s) of the contact (s) at the manufacturer of the machine that may be responsible for performing remote maintenance, and the at least one machine component affected by remote maintenance according to such a preconfigured approval process.
  • the approval process may include the authorized representative (s) with the operator of the machine who are authorized to grant an approval for that machine component.
  • persons may also be deposited in the approval process who are to be informed about a corresponding request for approval of remote maintenance, but who are not authorized to approve it.
  • the control commands which are permitted within the framework of the corresponding remote maintenance, are defined. This can be done by a positive selection of permissible commands and / or controllable functions of the machine component. Alternatively, only certain commands or functions can be disabled as inadmissible, which are then blocked or filtered by the activation module.
  • approval processes for defined groups of machines and / or Machine components are set.
  • An option to edit the definition of groups of machine components can be made via a user interface via drag and drop. All machine components of the industrial plant are contained in the user interface and can be moved between the groups.
  • a group includes an editable label. If a group no longer contains any machine components, it will be removed.
  • a symbolic representation of a machine component is dragged to a "Create New Group" field, releasing (dropping) will create a new group with the appropriate component, saving it explicitly and saving changes automatically, if possible That contact persons are also added manually for an approval process, this is an option that can be selected, for example, by a checkbox
  • a special approval process can be defined that can not be deleted and no contact persons
  • the approval is permanently valid
  • an approval is granted according to a defined approval process
  • the granted approval can be stored with the list of machinery components used in the approval process in the Group were included.
  • the approval process can also refer to a group of machine components. This ensures that a permit, which, for example, only applies for a later period, can not be changed by a change in the group between the granting and the start of the activation.
  • the apparatus further comprises a means for logging, which details with respect to the machine or machine component, the device from which the remote maintenance takes place, information on actually transmitted data and control commands, a descriptive text to the carried out remote maintenance or information on the operating state of Machine component or machine, etc. are recorded.
  • the authorization after receiving the request can only be granted by the licensing device during a predefined period of time. This can ensure that a no longer required remote maintenance is not inadvertently released due to an outdated request.
  • the Machine can in this case set up a communication link with at least one remote unit for the remote maintenance of at least one machine component of the machine.
  • the communication link between the remote unit and the machine can be established via an external network.
  • the method includes receiving a request for approval of remote maintenance access to at least one machine component of the machine, and granting the approval of the remote maintenance access.
  • the granted approval identifies a particular remote unit and the at least one machine component of the machine for remote maintenance access.
  • the granted approval may include a time for remote maintenance access.
  • a communication link between the particular remote unit and the at least one machine component is blocked or unlocked.
  • the communication link is thereby enabled only between the particular remote unit and the at least one machine component identified in the granted license.
  • a remote maintenance for the at least one machine component of the machine by the at least one remote unit can only be carried out by means of an activated communication connection.
  • FIG. 1 shows a system having a device for controlling a remote maintenance access to a machine in the beverage industry, by which remote access from a manufacturer or service provider over a network to machinery and / or machine components is enabled at an operator thereof;
  • FIG. 2 shows a procedure by means of which a customer or a manufacturer can obtain a license for remote maintenance
  • FIG. 3 shows states of one or more (communication) sessions that are run as part of an approved remote maintenance, during which, for example, an employee of the manufacturer communicatively connects to one or more machine components at the operator of the machine via a network;
  • FIG. 4 shows a method sequence for the control of a remote maintenance access from the receipt of a request for the granting of a license, including identification of a specific remote unit and a specific machine component of the machine, and optionally a time for the remote maintenance, until the activation of the communication connection according to the approval.
  • FIG. 1 shows an exemplary embodiment of a system 100 in which a device 150 for controlling remote maintenance access to a machine 132 in the beverage industry may be employed.
  • the device 150 is located at a location of the operator of the machine, which is often a customer 130 of the manufacturer 110, and is controlled by one or more predefined contact persons at the operator.
  • the device 150 controls communication to the outside of, for example, a location of an operator on which the machine is installed, in a precisely controlled manner.
  • the contact persons at the customer can see incoming inquiries that have been received, for example, from a reception module 154, and, if necessary, arrange for the approval to be granted.
  • the defined contact persons of the operator of the machine can connect to the device 150 via a device which makes available a user interface 152 and specify further details for a communication for carrying out the remote maintenance according to the request and optionally also according to predefined, stored specifications and then grant a permit.
  • the determination of the details is carried out by means of an approval module 156, whereby, for example, settings relating to the communication connection can be stored and checked for correctness according to predefinable rules.
  • the settings include an identification of a remote unit, from which the remote maintenance is to be made by means of a remote access, as well as an identification of the exact machine or of at least one specific machine component, for which the remote maintenance is required.
  • the at least one identification of a source address from which the remote maintenance is performed, and an identification of one or more destination addresses of the at least one particular machine component may be preconfigured and stored as an approval process. It may be necessary for a communication connection to be released for remote maintenance only if the settings correspond to one of the predefined approval processes. Furthermore, a time can be specified in which the remote maintenance can take place, whereby the approval has a time-limited validity.
  • the identification of the engine 132 and / or the at least one machine component 134 may include one or more destination addresses and / or one or more particular physical or logical access interfaces 136, such as Internet Protocol (IP) ports.
  • IP Internet Protocol
  • the destination address (s) can be determined by one or more IP addresses or by identification numbers such as a globally unique device identification number or a device identifier.
  • a machine that does not include any other (logical) machine components may be considered as a machine component.
  • the authorization comprises a determination of a source address, from which, ie from which user or from which device the communication for remote maintenance may take place. This can be done by setting an IP address of the manufacturer or service provider 110, or by setting a specific IP address or an identification number of a unit such as a computer 114 or a virtual machine of a service employee. Under certain circumstances, a service employee of the manufacturer may also be found at a different IP address than the manufacturer's IP address, for example if the relevant service employee with a corresponding mobile unit 112 such as a notebook is outside his company location. Another possibility can be the identification of the source address via a determination of a particular service employee or service team, for example by means of a specific access identifier or a specific login name.
  • Remote maintenance is done by means of a communicative connection via a network 120 such as the Internet.
  • the communication from the device 150 via the network 120 outside, for example, an internal network 138 at the location of the operator 130 can be encrypted, for example via a Virtual Private Network (VPN) or Internet Protocol Security (IPsec) or by means of Security Sockets Layer ( SSL).
  • VPN Virtual Private Network
  • IPsec Internet Protocol Security
  • SSL Security Sockets Layer
  • one embodiment of the enablement module 158 may include a Network Address Translation (NAT) router that is dynamically configured to allow communication only between the particular device at the manufacturer and the particular machine components at the customer, with the NAT router dynamically configured can be that an access is released only at the beginning of a defined period of time, and is locked again at the end of the defined period of time.
  • NAT Network Address Translation
  • the activation can take place on the transport layer (layer 4) or a higher layer.
  • the user interface 152 of the device 150 may include, for example, a selection of the following features.
  • the user interface 152, or parts of the device 150 that interact with users and requests, may also be referred to as a management platform.
  • Received and as yet unprocessed requests for remote machine tool 134 approval are displayed, where a request may include, for example, an accompanying text for illustration, and the user interface 152 provides the ability to concretely set the approval or even reject the approval.
  • Remote maintenance only takes place between the manufacturer's source address specified in the license and the destination address (s) of the machine 132 or machine components 134 at the operator of the machine, because the activation module 158 only communicates between source address and destination Address (s).
  • this activation can also be done only as a time-terminated communication session or session.
  • the user interface 152 may accept approved and scheduled, i. show future sessions and, optionally, allow a subsequent change of these scheduled sessions.
  • one or more currently active sessions can be displayed; Here, too, a subsequent change of details, for example by one of the predefined contact person is possible at any time. If it turns out that a remote maintenance takes longer, the period can be extended. Or a permit and the corresponding active session can be shortened or terminated immediately if required.
  • already finished sessions can be displayed. Remote maintenance sessions can be logged and a recorded log can be displayed in whole or in part. Furthermore, rejected requests or invalid requests or inappropriate access attempts can be logged.
  • the last remote maintenance sessions can be displayed; active sessions can be highlighted in the display.
  • the last 5 sessions can be displayed, or a scrollable list can be displayed.
  • several sessions can take place, for example several completed sequences of starting a session, executing commands and terminating the session and the connection, or by several sessions carried out in parallel, for example with several software tools.
  • the remaining time of a permit is displayed to the manufacturer or service provider 110.
  • an operator of a current session such as a service agent, may be alerted to the near end of the remote maintenance period. This can be done for example by a pop-up on the screen of the operator, and / or an SMS can be automatically sent to the operator. Such information may occur at a predefined time prior to the end of the period, for example, 15 minutes before the end of the period. A pop-up should not be accidentally closed, and it should not intercept keystrokes, which would disrupt the operator's workflow. If the time has expired, the communication connection is disconnected.
  • the license for the remote maintenance may further include a condition, wherein the remote maintenance is actually enabled only after fulfillment of this condition.
  • a condition may be, for example, that the machine 132 or machine component 134 must be in a particular operating condition.
  • a condition may require confirmation of remote maintenance by a user via the user interface at the machine 132 or machine component 134 before the remote service can actually begin.
  • the user who confirms the remote maintenance on the user interface does not have to be the same as the user who granted the remote maintenance approval.
  • an engineer or line manager may release a remote maintenance; a technician on the running machine 132 is informed by the user interface of the machine and must confirm remote access at the user interface, which may be important for reasons of safety at work.
  • Another scenario may be for an engineer to release the remote maintenance through the user interface 152 of the device 150, where the service employee's access should not start until the engineer is actually at the machine 132, and the engineer may spend some time on the machine Distance to the machine needed.
  • it can be ensured that no critical process is currently running on the machine 132, or there may be an observation and / or telephone feedback to the service person during the remote maintenance access.
  • one or more machines 132 and / or one or more machine components 134 with corresponding responsible contact persons at the customer as well as at the manufacturer can be defined by the user interface 152 or by the device 150 for different remote maintenance options.
  • approvals include parameters that allow for predefined groups of machine components 134 and / or certain actions that occur in the Within the scope of a corresponding remote maintenance. Such approval requirements can be set up and processed by authorized employees of the customer. It may also be possible for one or more given approvals to be permanent and not changeable by the customer's employees.
  • the device 150 may check an incoming request to see if the request corresponds to one of the predefined approvals; if not, the request can be automatically rejected. In the case of an automatic rejection, both the person who made the request and the authorized employees of the customer can be notified; if necessary, such a request can nevertheless be processed, so that after the establishment of correct and valid parameters an approval is granted.
  • a remote service approval notification may be transmitted by means of one or more transmission protocols from the device 150 to a predefined address associated with a person performing the remote maintenance.
  • Transmission protocols may include, for example, e-mail, SMS, MMS, a message to computer software used for remote access for the purpose of remote maintenance, a web page, or a message sent to an app on a smartphone.
  • persons who are responsible for example, for a machine 132 or machine component 134, can also be notified to the customer, since these persons can be different from the persons who are authorized to issue approvals.
  • communication may also be sent in a suitable format between the machine 132 or the machine components 134 for which remote maintenance is to be performed; this may be necessary, for example, to allow conditional approval where the enabling device 158 needs to check information about the operating state of the machine 132 or the machine component 134, or an acknowledgment for an HMI associated with the machine 132 or machine component 134 to query the actual start of the activation.
  • Such activation can be done by a simple confirmation, or by entering a security code or similar. respectively.
  • a security code can be predefined or defined for a specific authorization for remote maintenance in the parameters.
  • the device 150 may be implemented in the form of hardware modules, software modules, or a combination of hardware and software modules.
  • a request for remote maintenance may originate from a device within the customer's internal network 138, where machine 132 or machine component 134 is located. Furthermore, a request can be made directly via a User interface to the machine 132 or machine component 134. Furthermore, a request can be made via the user interface 152 of the device 150. In addition to such cases in which the request is initiated by the operator of the machine, a request can also be made by the manufacturer or a service provider 110, for example, if a preventive remote maintenance makes sense due to a data point evaluation, and / or if, for example, a software update for a Machine 132 or machine component 134 is to be performed.
  • a request may be made by one or more transmission protocols, including, for example, e-mail, SMS, MMS, a message from computer software, a website, a message generated by an app on a smartphone, and so on.
  • a request may contain information about a desired period for carrying out the remote maintenance. The approval can be granted for the desired period or for a different period.
  • a permit is issued permanently, ie that the corresponding permit is valid indefinitely.
  • the device 150 may include a means for logging, wherein one or more of the following information is logged.
  • preconfigured approvals in approval processes may include certain possible remote maintenance types with defined control possibilities.
  • the activation module 158 restricts the communication connection to one or more defined machine components 134 of the machine 132, and / or to one or more physical or logical access components. interfaces or ports 136 of the machine components 134.
  • the activation device can additionally limit the communication to certain functions that can be performed during remote maintenance. For example, a calibration routine may be disabled, or certain parameters of the machine may not be changed in the context of remote maintenance.
  • control commands may be disabled, such as control commands with which the movement of a robot arm or actuation of a valve is controlled; For example, such control commands may not be allowable under remote access because of security policies, and thus may be advantageously blocked by the device 150.
  • a request may be directed to the device 150.
  • the device can then send a notification, for example in the form of an e-mail, to the person or persons responsible who can approve the request. This is possible if the request contains enough information to be assigned by the device, for example, to a predefined approval process, or if the request contains information about the contact person. If certain machine components are identified in the request, but for which different approval processes are defined, which may also have different contact persons, then all contact persons can be notified that are suitable according to the possible approval processes.
  • a notification e-mail may include an indication of a desired approval period. However, it may be necessary to always enter the period of actual approval manually and in a specific format.
  • the recipient may respond to a notification e-mail, this response being sent back to the device, which then makes the appropriate settings to enable the communication link for remote maintenance.
  • the device may also send another notification to the person or persons who are to perform the remote maintenance. Inquiries may also be viewed, edited and approved via the user interface 152, for example by an authorized user logging into the user interface.
  • a request can also be made directly via the user interface, for example, when an authorized employee is made aware of a desired remote maintenance by telephone or by email or by other means.
  • the notifications sent by the device are based on predefined templates for the text contained in corresponding emails.
  • FIG. 2 shows an exemplary process via which a remote maintenance access can be authorized.
  • a request for remote maintenance approval is received 202 by the device 150.
  • the request may include an identification of a particular service , preconfigured approval process included. If approval is required, the request is processed further and some necessary settings for the communication link for remote maintenance can be set. In particular, at least one particular machine component and a particular remote unit are determined.
  • the particular remote unit may be, for example, a computer-based device located, for example, outside an internal network of the operator of the machine and configured to communicatively connect to the at least one particular machine component 134 via the device 150 via at least one network 120 in order to carry out a remote maintenance session - if granted and valid.
  • an authorized operator of the machine operator will review, if necessary, edit and approve a request for approval by interaction through a user interface 152 or by exchanging notifications such as emails with the device 150.
  • the device 150 may generate an email that is sent to the authorized employees as defined by the approval process.
  • further settings such as the period and / or conditions for the remote maintenance and / or the machine components and the permitted commands can be made. At least parts of such settings can be stored permanently in the preconfigured approval process. If the remote maintenance approval has been processed 206 and the defined settings have been saved, the manufacturer or service provider may be notified of the granted approval and the time period, for example, by sending a notification by e-mail or SMS. Remote maintenance is then enabled by enabling 208 the communication link according to the permit, ensuring that communication is only possible between the at least one particular machine component and the particular remote unit.
  • FIG. 3 shows an exemplary sequence of remote maintenance in the form of a state diagram after it has been approved and activated.
  • a communication link is initiated from a device of the manufacturer or service provider, and the system is in the "no session" state 302.
  • a remote maintenance session is started 310 with a suitable software tool, which places the system in the "active session" state 304 passes.
  • a login with security mechanisms such as a login name and a password for authentication may be necessary.
  • an active remote maintenance session 304 the at least one specific machine component can be accessed, data can be read out and transferred, parameters of the machine component can be changed, commands can be issued, etc.
  • a logging of the remote maintenance can also be made during the session by means of the software tool for remote maintenance.
  • the remote maintenance accesses used, ie the machine components accessed, the executed control commands, the duration of the access or a freely written documentation may be included in the protocol.
  • the activation module can check whether the approval has already expired, for example because the remote maintenance period has expired, or because the approval has been changed or revoked by the customer. Upon expiration of the approval, the system enters 314 inactive session 306. Further, an administrator may be entitled to put an active active session in the "inactive" state 314.
  • Device 150 may interrupt the communication connection to the machine component - Access to the machine component (s) is now no longer possible, but completion of, for example, a documentation of the remote maintenance can still be performed. If necessary, the manufacturer may ask for an extension of the license, if the remote maintenance has not yet been completed Extension is a resumption 318 of the session possible after the activation module 158 has re-enabled the communication link according to the amended approval.Otherwise, the system goes, for example after a specified time in the state "no session" 302 via 316. The active S ession can also be completed 312 while the approval is still valid.
  • the session is terminated, ie, the system goes to the "no session” state 302, but the communication link remains enabled from device 150.
  • switching to an active session 304 is by starting a new session 310.
  • the system can go into the state "no session” 302, whereby the remote maintenance session is completed, ie it is no longer possible to resume the session.
  • FIG. 4 shows an embodiment of a method for controlling remote access for remote maintenance of a machine, which may include one or more machine components.
  • a request for a remote maintenance approval is received from one or more machine components.
  • This request is checked 404, for example, whether it refers to an authorized representative of the manufacturer and a machine component at the operator of the machine, for which a remote maintenance is provided in principle. This can be done by comparing the details from the request with predefined approval processes. A predefined approval process can also be identified by an approval key that is included in the request. If a request for remote maintenance approval is correct 406, then actual remote maintenance settings are completed, which in turn may be done according to a predefined approval process.
  • a request approval message is sent for approval to one or more of the employees who are authorized to approve the approval process or machine components.
  • the request approval message may be an email. At least one of these authorized employees must then confirm the approval by responding to the request approval message to ensure control by the operator of the machine.
  • the grant may require that a period for remote maintenance be explicitly set and / or an approval key must be manually changed by the employee to a valid form.
  • the request approval message includes an approval key that is modified in a predetermined manner so that the modified approval key is not immediately valid to confirm the grant of a permit. This prevents that, for example, an auto-responder function can already lead to the granting of a license.
  • conditions, the permissible commands or the type of access can be determined, which can be done by changing or selecting a specific approval process, for example, if there are several approval processes with different access rights for the at least one machine component.
  • an optional confirmation with details regarding the remote maintenance to the manufacturer or the corresponding employees who are to carry out the remote maintenance can be sent 412.
  • the author of the request can be informed about the approval or rejection. If necessary, it may be necessary to wait 416 for the specified validity period of the approval. before the communication is unlocked 418. Optionally, it may also be necessary for conditions on the part of the machine or machine to be met before the communication is enabled. If an approval is modified to become invalid, or if the specified period expires, the communication will be interrupted.
  • the employee who performs the remote maintenance is informed about all his active and inactive sessions, so that the remote maintenance can be completed as efficiently and fully documented as possible.
  • the employee can also see which approvals have been granted.
  • the employee is warned before the approval expires.
  • the device 150 may also be configured to periodically retrieve an e-mail account in which responses to approval e-mails are received.
  • the emails may also be transferred to the device 150 by a push process.
  • a processed email can be marked as read. Processing involves searching for the approval key for an active approval request. The search for the approval key should be done with a certain amount of fault tolerance.
  • Notifications sent to the originator of the remote maintenance request or to the manufacturer performing the remote maintenance do not include an approval key to avoid repetitive responses through an auto-responder feature. If multiple approvals arrive at a request that has been independently granted by multiple authorized persons, the device can either manage multiple independent approvals, or it can be determined which license is actually valid. This may be the first granted approval so all other approvals are ignored or a later arriving approval may override and replace an earlier approval. The corresponding persons can be informed immediately.

Abstract

The invention relates to an apparatus for controlling remote maintenance access to a machine in the beverage industry. An enquiry for approval of remote maintenance of a machine component is received. An approval module allows an approval to be granted, wherein the granted approval identifies a determined remote unit and a determined machine component of the machine for remote maintenance and preferably indicates a time for the remote maintenance. It may be necessary for an enquiry to comply with a predefined approval process. An activation module for activating or blocking a communication link between the determined remote unit and the determined machine component for remote maintenance based on the granted approval is configured such that activation activates a communication link only between the determined remote unit and the determined machine component. The remote maintenance can be performed only for the at least one machine component of the machine by the at least one remote unit by means of the activated communication link.

Description

Maschinenwartung in der Getränkemittelindustrie  Machine maintenance in the beverage industry
Die vorliegende Erfindung betrifft eine Vorrichtung zum Steuern eines Fernwartungszugriffs auf eine Maschine in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie gemäß dem Oberbegriff des Anspruchs 1 und ein Verfahren zum Steuern eines Fernwartungszugriffs auf eine solche Maschine gemäß dem Oberbegriff des Anspruchs 8. The present invention relates to a device for controlling a remote maintenance access to a machine in the liquid food filling industry, in particular the beverage industry according to the preamble of claim 1 and a method for controlling a remote maintenance access to such a machine according to the preamble of claim 8.
Stand der Technik State of the art
In der Getränkemittelindustrie wird eine Fernwartung oder ein Remote-Service zur Fernwartung von Maschinen oder Maschinenkomponenten typischerweise mittels einer Datenverbindung über ein externes Netzwerk, wie dem Internet, durchgeführt. Der Zugriff auf die Maschine oder die Maschinenkomponente erfolgt hierbei beispielsweise mittels eines Virtual Private Network (VPN) Tunnels, der eine gesicherte Verbindung zwischen der Maschine bzw. der Maschinenkomponente und einem Terminal zur Durchführung der Fernwartung bereitstellt. Das Terminal ist typischerweise ein Computer des Mitarbeiters, der die Fernwartung durchführt, beispielweise beim Hersteller der Maschine oder einer sonstigen entfernten Fernwartungsplattform. Der VPN-Tunnel wird dabei automatisch seitens der Fernwartungsplattform aufgebaut. Der Verbindungsaufbau erfolgt ohne Einschränkung und erfordert keine aktiven Schritte seitens der Maschine oder eines Benutzers der Maschine. Einzige Voraussetzung für den Verbindungsaufbau ist eine Netzwerkverbindung der Maschine bzw. der Maschinenkomponente, welche typischerweise nur durch Herausziehens des Netzwerksteckers an der Maschine oder an einem Netzwerkrouter physikalisch getrennt werden kann. Trotzdem können Situationen auftreten, in denen (zeitlich begrenzt) ein Fernwartungszugriff auf die Maschine unerwünscht ist oder verhindert werden muss, beispielsweise zur Sicherstellung der Sicherheit von Mitarbeitern während eines lokalen Wartungsvorganges an der Maschine. Ein physikalisches Unterbrechen der Netzwerkverbindung durch Trennen der Hardware- oder Netzwerkkabel der Maschine oder des Routers, um einen Fernwartungszugriff auf die Maschine zu verhindern, kann jedoch die Funktionalitäten dieser Maschine beeinträchtigen, insbesondere wenn die Maschine für ihren Funktionsablauf auf eine Netzwerkkommunikation angewiesen ist. Während die Möglichkeit eines Fernzugriffs auf Maschinen für den Betreiber der Maschinen den Vorteil hat, dass der Hersteller im Falle von Problemen oder Konfigurationsänderungen diese oft schneller und kostengünstiger durch eine Fernwartung zu lösen sind, so bestehen demnach auch Sicherheitsbedenken, beispielsweise in Bezug auf die Arbeitssicherheit von Angestellten, die sich in unmittelbarer Nähe zu einer Maschine aufhalten, auf die ein Fernzugriff durchgeführt wird. Weiterhin bestehen Sicherheitsbedenken hinsichtlich eines möglichen unerwünschten Zugriffs auf die Maschine, wie etwa eines Hackerang riffs durch Dritte, oder hinsichtlich eines unerwünschten Informationsabflusses von Produktionsdaten. Aufgabe In the beverage industry, remote maintenance or remote service for remote maintenance of machinery or machine components is typically performed by means of a data connection over an external network, such as the Internet. Access to the machine or the machine component takes place, for example, by means of a virtual private network (VPN) tunnel, which provides a secure connection between the machine or the machine component and a terminal for carrying out the remote maintenance. The terminal is typically a computer of the employee performing the remote maintenance, for example, at the manufacturer of the machine or other remote remote maintenance platform. The VPN tunnel is automatically set up by the remote maintenance platform. The connection is established without restriction and does not require any active steps on the part of the machine or a user of the machine. The only prerequisite for establishing the connection is a network connection of the machine or of the machine component, which typically can only be physically separated by pulling out the network plug on the machine or on a network router. Nevertheless, situations may occur in which (for a limited time) remote maintenance access to the machine is undesirable or needs to be prevented, for example, to ensure the safety of personnel during a local maintenance process on the machine. However, physically disrupting the network connection by disconnecting the hardware or network cables of the machine or router to prevent remote maintenance access to the machine may affect the functionality of that machine, particularly if the machine is dependent on network communication for its operation. While the possibility of remote access to machines for the operator of the machines has the advantage that the manufacturer in the case of problems or configuration changes are often faster and cheaper to solve by remote maintenance, so there are also safety concerns, for example, in terms of safety of employees, that are in close proximity to a machine that is being remotely accessed. Furthermore, there are security concerns regarding possible unwanted access to the machine, such as a hacker attack by third parties, or with regard to an undesired outflow of information from production data. task
Es ist somit die Aufgabe der Erfindung, eine verbesserte Vorrichtung und ein verbessertes Verfahren zum Steuern eines Fernwartungszugriffs auf eine Maschine in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie bereitzustellen, insbesondere hinsichtlich einer Möglichkeit der Kontrolle und Steuerung von Fernwartungszugriffen über ein externes Netzwerk seitens des Benutzers der Maschine. It is thus the object of the invention to provide an improved apparatus and method for controlling remote maintenance access to a machine in the liquid food filling industry, in particular the beverage industry, particularly with regard to a possibility of controlling and controlling remote maintenance accesses via an external network User of the machine.
Lösung solution
Diese Aufgabe wird erfindungsgemäß durch eine Vorrichtung zum Steuern eines Fernwartungszugriffs auf eine Maschine in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie gemäß Anspruch 1 und ein Verfahren zum Steuern eines Fernwar- tungszugriffs auf eine Maschine in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie gemäß Anspruch 8 gelöst. Vorteilhafte Ausführungsformen und Weiterbildungen sind Gegenstand der Unteransprüche. This object is achieved according to the invention by a device for controlling a remote maintenance access to a machine in the liquid food filling industry, in particular the beverage industry according to claim 1 and a method for controlling remote access to a machine in the liquid food filling industry, in particular the beverage industry Claim 8 solved. Advantageous embodiments and further developments are the subject of the dependent claims.
Eine Ausführungsform der Erfindung betrifft eine Vorrichtung zum Steuern eines Fernwartungszugriffs auf eine Maschine in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie. Die Maschine umfasst wenigstens eine Maschinenkomponente. Die Maschinenkomponente ist dazu konfiguriert, eine Kommunikationsverbindung mit wenigstens einer entfernten Einheit zur Fernwartung der wenigstens einen Maschinenkomponente der Maschine einzurichten. Die Kommunikationsverbindung zwischen der entfernten Einheit und der Maschine kann über ein externes Netzwerk wie beispielsweise das Internet erfolgen. Die Vorrichtung ist so konfiguriert, eine Anfrage für eine Genehmigung einer Fernwartung von wenigstens einer bestimmten Maschinenkomponente empfangen zu können. Die Vorrichtung kann ferner ein Genehmigungsmodul zum Erteilen einer Genehmigung einer Fernwartung umfassen. Die erteilte Genehmigung identifiziert eine bestimmte entfernte Einheit und eine bestimmte Maschinenkomponente der Maschine für die Fernwartung. Bevorzugt kann eine Zeitangabe für die Fernwartung angegeben werden, so dass die Genehmigung nur in einem bestimmten Zeitraum oder für eine bestimmte Zeitdauer gültig ist. Die Anfrage kann bereits eine gewünschte oder vorgeschlagene Maschinenkomponente sowie eine entfernte Einheit umfassen. entspricht. An embodiment of the invention relates to a device for controlling a remote maintenance access to a machine in the liquid food filling industry, in particular the beverage industry. The machine comprises at least one machine component. The machine component is configured to establish a communication link with at least one remote unit for remote servicing of the at least one machine component of the machine. The communication link between the remote unit and the machine may be via an external network such as the Internet. The device is configured to receive a request for permission to remotely service at least one particular machine component. The apparatus may further include an approval module for granting a remote maintenance approval. The granted approval identifies a particular remote unit and machine component of the remote maintenance machine. Preferably, a time for the remote maintenance can be specified, so that the approval is valid only in a certain period or for a certain period of time. The request can already have one desired or proposed machine component and a remote unit. equivalent.
Die Vorrichtung kann weiterhin ein Freischaltungsmodul zum Freischalten oder Blockieren einer Kommunikationsverbindung zwischen der bestimmten entfernten Einheit und der bestimmten Maschinenkomponente zur Fernwartung umfassen. Das Freischalten oder Blockieren basiert hierbei auf der erteilten Genehmigung. Dabei ist das Freischaltungsmodul so konfiguriert, dass durch das Freischalten eine Kommunikationsverbindung nur zwischen der bestimmten entfernten Einheit und der bestimmten Maschinenkomponente ermöglicht wird. Eine Fernwartung für die wenigstens eine Maschinenkomponente der Maschine kann dann mittels einer Fernzug riffs-Session unter Nutzung der freigeschalteten Kommunikationsverbindung durchgeführt werden. Somit hat der Betreiber oder Benutzer der Anlage jederzeit die Kontrolle darüber, wer wann auf welche Maschine von außerhalb zugreift. Durch vordefinierte Genehmigungsprozesse und/oder durch vordefi nierbare Gruppen von Maschinenkomponenten, auf die sich Genehmigungsprozesse beziehen können, ist es gemäß einer weiteren Ausführungsform ferner möglich, Genehmigungen leichter und fehlerfrei zu erteilten, um so den Prozess der Erteilung einer Genehmigung für den Support bzw. die Fernwartung zu vereinfachen und fehlerunanfälliger zu gestalten. The apparatus may further include an activation module for enabling or blocking a communication link between the particular remote unit and the particular remote maintenance machine component. Activation or blocking is based on the granted approval. In this case, the activation module is configured such that enabling a communication connection is only possible between the particular remote unit and the particular machine component. Remote maintenance for the at least one machine component of the machine can then be carried out by means of a remote access session using the reased communication connection. Thus, the operator or user of the system has at all times control over who accesses which machine and when. Furthermore, by means of predefined approval processes and / or predefinable groups of machine components, to which approval processes may relate, according to a further embodiment it is possible to grant approvals more easily and without error, in order to simplify the process of granting approval for the support Remote maintenance to simplify and error-prone to make.
Gemäß einer weiteren Ausführungsform können für die wenigstens eine Maschinenkomponente ein oder mehrere Genehmigungsprozesse definiert werden. Ein solcher Genehmigungsprozess kann mehrere Angaben vordefinieren, wie etwa eine eindeutigen Kennung (Identifikator), eine Bezeichnung des Genehmigungsprozesses, eine Liste von festen Ansprechpartnern, die Option, weitere Ansprechpartner nach Bedarf hinzuzufügen, oder eine Einstellung, ob der entsprechende Genehmigungsprozess dauerhaft erteilt wurde und keine weitere explizite Erteilung durch den Betreiber der Anlage erfordert. Die Definition eines Genehmigungsprozesses kann auch eine Festlegung von einer Maschinenkomponente oder einer Gruppe von Maschinenkomponenten umfassen. Es kann beispielsweise festgelegt werden, dass eine Genehmigung eines Fernwartungszugriffs nur erteilt wird, wenn sie einem vordefinierten Genehmigungsprozess entspricht. Dies erhöht weiterhin die Sicherheit des Fernwartungsprozesses. According to a further embodiment, one or more approval processes may be defined for the at least one machine component. Such an approval process may predefine several pieces of information, such as a unique identifier (identifier), a designation of the approval process, a list of firm contacts, the option to add more contacts as needed, or an adjustment whether the appropriate approval process has been granted permanently and none requires further explicit issuing by the operator of the facility. The definition of an approval process may also include a definition of a machine component or a group of machine components. For example, it may be specified that a remote maintenance access authorization is granted only if it complies with a predefined approval process. This further increases the security of the remote maintenance process.
Gemäß einer weiteren Ausführungsform umfasst die Genehmigung weiterhin einen Zeitraum für die Fernwartung. Das Freischaltungsmodul ermöglicht die Kommunikationsverbindung für die Fernwartung nur während dieses Zeitraums. Ein solcher Zeitraum kann beispielsweise aus einer Liste von festen Werten ausgewählt werden, aber auch manuell festgelegt werden. Beispielsweise kann lediglich eine feste Dauer, wie etwa 2h, 6h, 12h, 72h, etc., angegeben werden, oder auch der Beginn und das Ende des Zeitraums. Vorteilhafterweise ist dabei keine Zeit vorgegeben, so dass der genehmigungsberechtigte Anwender die Einstellung explizit vornehmen muss, womit eine versehentliche Genehmigung verhindert werden kann. According to another embodiment, the approval further comprises a period for the remote maintenance. The activation module allows the communication connection for remote maintenance only during this period. Such a period can for example a list of fixed values, but also be set manually. For example, only a fixed duration, such as 2h, 6h, 12h, 72h, etc., can be specified, or even the beginning and the end of the period. Advantageously, no time is specified, so that the authorized user must make the setting explicitly, whereby accidental approval can be prevented.
Gemäß einer weiteren Ausführungsform kann der Zeitraum einer erteilten Genehmigung auch nach der Erteilung verändert werden. Eine solche Veränderung kann durch einen berechtigten Anwender beim Betreiber der Maschine explizit über ein Interface der Vorrichtung zur Steuerung des Fernwartungszugriffs vorgenommen werden, und/oder der Zeitraum wird beendet, sobald eine Verbindung zur Fernwartung beendet wird, beispielsweise dadurch, dass ein Service-Mitarbeiter des Herstellers der Maschine nach Abschluss einer Session zur Durchführung einer Fernwartung die Kommunikationsverbindung beendet, was durch ein Ausloggen aus der Maschinenkomponente oder durch Beenden einer Computersteuersoftware, welche zur Durchführung der Fernwartung verwendet wurde, erfolgen kann. Weiterhin kann ein Administrator berechtigt sein, die Kommunikationsverbindung zu unterbrechen. According to a further embodiment, the period of approval granted may also be changed after the grant. Such a change may be made explicitly by an authorized user to the operator of the machine via an interface of the device for controlling the remote maintenance access, and / or the period is terminated as soon as a connection to the remote maintenance is terminated, for example by having a service person of the After completion of a session for remote maintenance, the manufacturer of the machine terminates the communication connection, which can be done by logging out of the machine component or by terminating a computer control software that was used to perform the remote maintenance. Furthermore, an administrator may be authorized to interrupt the communication connection.
Gemäß einer weiteren Ausführungsform umfasst die Genehmigung für die Fernwartung weiterhin mindestens eine Bedingung. Die Fernwartung wird dann erst nach Erfüllung dieser Bedingung tatsächlich freigeschaltet. Ein Beispiel einer solchen Bedingung ist, dass eine Bestätigung der Fernwartung durch einen Anwender mittels eines Human-Machine-Interfaces (HMI) direkt an der Maschine erfolgen muss, für welche die Fernwartung an mindestens einer Maschinenkomponente bedingt genehmigt ist. Dies könnte beispielsweise notwendig sein, um Arbeitssicherheitserfordernissen von Personen, die in unmittelbarer Nähe der Maschine aufhalten, zu genügen. Weiterhin kann es wünschenswert sein, dass eine bestimmte Person, wie ein Techniker oder Ingenieur des Kunden, der die Maschine betreibt, während der Fernwartung direkt vor Ort bei der Maschine ist, und dass die Fernwartung erst beginnen kann, wenn die bestimmte Person tatsächlich dort ist, und/oder nachdem beispielsweise eine Abdeckung geöffnet wurde. So können beispielsweise Beobachtungen an der Maschine oder der Maschinenkomponente vorgenommen werden, indem beispielsweise nach Augenschein oder Gehör festgestellt wird, ob oder wie sich elektrische oder mechanische Elemente der Maschine verhalten. According to a further embodiment, the license for the remote maintenance further comprises at least one condition. The remote maintenance is then actually enabled only after fulfillment of this condition. An example of such a condition is that an acknowledgment of the remote maintenance by a user must be made directly on the machine by means of a Human Machine Interface (HMI) for which the remote maintenance is conditionally approved on at least one machine component. This could be necessary, for example, to meet occupational safety requirements of persons who are in the immediate vicinity of the machine. Furthermore, it may be desirable for a particular person, such as a technician or engineer of the customer operating the machine, to be on-site at the machine during remote servicing, and that remote servicing may not begin until the particular person is actually there , and / or after, for example, a cover has been opened. Thus, for example, observations can be made on the machine or the machine component, for example by detecting visually or by hearing whether or how electrical or mechanical elements of the machine behave.
Gemäß einer weiteren Ausführungsform sendet die Vorrichtung nach dem Eingang einer Anfrage eine Anfragegenehmigungsnachricht über die Anfrage an mindestens eine bestimmte, zuständige Person. In einem solchen Genehmigungsprozess können die Person oder deren Kontaktinformationen, wie beispielsweise eine Emailadresse, festgelegt sein. Um eine versehentliche Genehmigung beispielsweise durch eine automatische Email-Antwort zu verhindern, kann die Benachrichtigung einen Genehmigungsschlüssel in einem vordefinierten Format umfassen, durch den die Anfrage und/oder der Genehmigungsprozess, d.h. die Art der Fernwartung sowie auf welchen Maschinenkomponenten die Fernwartung durchgeführt werden soll, eindeutig identifizierbar ist. Dieser Genehmigungsschlüssel kann in einer Benachrichtigung über die Anfrage, die an genehmigungsberechtigte Personen gesendet werden kann, so enthalten sein, dass er nicht unmittelbar gültig ist. Statt dessen ist es erforderlich ist, dass die Person den Genehmigungsschlüssel in einer Antwort auf die Anfragegenehmigungsnachricht erst modifizieren muss, um zu veranlassen, dass die Genehmigung nach Empfang der Antwort mit einem gültigen Genehmigungsschlüssel von der Vorrichtung erteilt wird. Dieses Modiziteren kann manuell erfolgen, beispielsweise mittels Kopierens mehrerer voneinander getrennter Teile und anschließendem Zusammensetzens der kopierten Teile zu dem gültigen Genehmigungsschlüssel. Entsprechend wird, auf eine eingehende Anfrage hin, an den oder die zuständigen Ansprechpartner von der Vorrichtung beispielsweise eine Email geschickt, die entsprechend einem konfigurierbaren Template ein oder mehrere Platzhalter für beispielsweise den Namen des zuständigen Ansprechpartners beim Betreiber der Maschine, den Namen eines Mitarbeiters des Herstellers, eine Kommissionsnummer und/oder den Namen der Maschine oder Maschinenkomponente oder eine gewünschte Dauer für den Freigabezeitraum umfasst. Weiterhin kann in der Email der Genehmigungsschlüssel enthalten sein, der aus mindestens 24 alphanumerischen Zeichen bestehen kann. Dieser Genehmigungsschlüssel kann in der Email über die eingegangene Anfrage beispielsweise in mehrere Teile aufgeteilt sein, wodurch die Genehmigungsanfrage und/oder ein zugrundeliegender, vordefinierter Genehmigungsprozess eindeutig identifizierbar ist. Dennoch ist der Genehmigungsschlüssel in diesem Format nicht gültig, um eine Genehmigung zu erteilen. Die Aufteilung kann gemäß einer weiteren Ausführungsform durch ein oder mehrere lesbare Markierungen erfolgen, oder es kann ein Hinzufügen oder ein Ändern von ein- oder mehreren bestimmten Zeichen des Genehmigungsschlüssels erforderlich sein. Wenn eine Genehmigung erteilt wird, muss der in mehrere Teile aufgeteilte oder anderweitig noch nicht gültige Genehmigungsschlüssel zunächst manuell in einen zusammenhängenden, gültigen Genehmigungsschlüssel umgewandelt werden, beispielsweise durch Entfernen der Markierungen. Nur ein solcher zusammenhängender Schlüssel ist gültig, das heißt, nur wenn die Antwort-Email des zuständigen Ansprechpartners tatsächlich so bearbeitet wurde, dass sie einen gültigen d.h. zusammenhängenden Genehmigungsschlüssel enthält, wird die Genehmigung vom Genehmigungsmodul erteilt. Gemäß einer weiteren Ausführungsform sind für die Maschine ein oder mehrere Genehmigungsprozesse konfigurierbar. Ein Genehmigungsprozess ist eine Definition, mit der festgelegt wird, wer auf welche Maschinenkomponente Remote-Zugriff über eine Kommunikationsverbindung von einer entfernten Einheit aus bekommen kann. Ein definierter Genehmigungsprozess ermöglicht es, dass Fernwartungen kontrolliert, d.h. mit Wissen und Zustimmung des Betreibers der Maschine durchgeführt werden. Ein solcher vorkonfigurierter Genehmigungsprozess kann den oder die Namen von Ansprechpartner(n) beim Hersteller der Maschine, die für die Durchführung einer Fernwartung in Frage kommen, umfassen, sowie die mindestens eine Maschinenkomponente festlegen, die von einer Fernwartung entsprechend eines solchen vorkonfigurierten Genehmigungsprozesses betroffen sind. Weiterhin kann der Genehmigungsprozess den oder die genehmigungsberechtigten Ansprechpartner beim Betreiber der Maschine umfassen, die befugt sind, eine Genehmigung für diese Maschinenkomponente zu erteilen. Optional können auch Personen im Genehmigungsprozess hinterlegt sein, die über einen entsprechenden Antrag für eine Genehmigung einer Fernwartung informiert werden sollen, die aber nicht genehmigungsberechtigt sind. Als zusätzliche Option ist es möglich, dass in dem Genehmigungsprozess auch noch die Steuerkommandos, die im Rahmen der entsprechenden Fernwartung zulässig sind, festgelegt werden. Dies kann durch eine positive Auswahl von zulässigen Kommandos und/oder ansteuerbaren Funktionen der Maschinenkomponente geschehen. Alternativ können auch lediglich bestimmte Kommandos oder Funktionen als unzulässig gesperrt werden, die dann durch das Freischaltungsmodul blockiert oder ausgefiltert werden. So kann beispielsweise verhindert werden, dass durch Kommandos, die im Rahmen einer Fernwartung gesendet werden, ein Roboterarm gesteuert wird, was aufgrund von Sicherheitsrichtlinien nicht zulässig ist. Oder es kann verhindert werden, dass durch eine Fernwartung eine Pumpe oder eine Belüftungsvorrichtung an- oder abgeschaltet wird, was ebenfalls aus Sicherheitsgründen nicht erwünscht sein kann. Somit können auch für eine bestimmte Maschinenkomponente unterschiedliche Genehmigungsprozesse mit unterschiedlichen Möglichkeiten in Bezug auf die ausführbaren Aktionen definiert werden. Ein Genehmigungsprozess kann über das Benutzerinterface der Vorrichtung definiert, erstellt oder geändert werden. Optional kann ein Genehmigungsprozess auch direkt über das HMI einer Maschine oder Maschinenkomponente erstellt oder bearbeitet werden. Dies ist vorteilhaft, da der Genehmigungsprozess dann direkt vor Ort an der entsprechenden Maschine festgelegt wird, wobei es beispielsweise auch einfach möglich ist, die zulässigen oder die unzulässigen Funktionen auszuwählen, ohne etwas zu übersehen. Um die Definition von Genehmigungsprozessen für mehr als eine Maschinenkomponente oder auch für mehrere Maschinen, die jeweils ein oder mehrere Maschinenkomponenten umfassen, zu erleichtern, können Genehmigungsprozesse für definierte Gruppen von Maschinen und/oder Maschinenkomponenten festgelegt werden. Eine Option zur Bearbeitung der Definition von Gruppen von Maschinenkomponenten kann über ein Benutzerinterface mittels Drag and Drop erfolgen. Dabei sind sämtliche Maschinenkomponenten der industriellen Anlage in dem Benutzerinterface enthalten und können zwischen den Gruppen verschoben werden. Eine Gruppe umfasst eine editierbare Bezeichnung. Enthält eine Gruppe keine Maschinenkomponenten mehr, wird sie entfernt. Wird eine symbolische Darstellung einer Maschinenkomponente auf ein Feld„Neue Gruppe erstellen" gezogen, so wird beim loslassen (drop) eine neue Gruppe mit der entsprechenden Komponente erstellt. Ein explizites Speichern ist nicht notwendig, sondern Änderungen werden automatisch gespeichert. Wenn es möglich sein soll, dass für einen Genehmigungsprozess Ansprechpartner auch manuell hinzugefügt werden, so ist dies eine beispielsweise durch eine Checkbox auswählbare Option. Für jede Anlage, die ein oder mehrere Maschinen umfasst, kann ein spezieller Genehmigungsprozess definiert sein, der nicht gelöscht werden kann, und der keine Ansprechpartner enthält. Für diesen Genehmigungsprozess ist die Genehmigung dauerhaft gültig. Wenn, gemäß dieser Ausführungsform, eine Genehmigung entsprechend eines definierten Genehmigungsprozesses erteilt wird, so kann die erteilte Genehmigung mit der Liste der Maschinenkomponenten gespeichert werden, die bei der Erteilung der Genehmigung in der Gruppe enthalten waren. Der Genehmigungsprozess kann sich hierbei auch auf eine Gruppe von Maschinenkomponenten beziehen. Dies stellt sicher, dass eine Genehmigung, die beispielsweise erst für einen späteren Zeitraum gilt, nicht durch eine Veränderung der Gruppe zwischen der Erteilung und dem Beginn der Freischaltung noch verändert werden kann. According to a further embodiment, after receiving a request, the device sends a request approval message about the request to at least one designated person. In such an approval process, the person or their contact information, such as an email address, may be specified. To one Inadvertent approval, for example, by preventing an automatic e-mail response, the notification may include an authorization key in a predefined format by which the request and / or the approval process, ie the type of remote maintenance and on which machine components the remote maintenance is to be performed uniquely identifiable is. This approval key may be included in a notification about the request that can be sent to authorized persons in such a way that it is not immediately valid. Instead, it is necessary for the person to first modify the approval key in response to the request approval message to cause the approval to be granted upon receipt of the response with a valid approval key from the device. This modifier can be done manually, for example by copying several separate parts and then assembling the copied parts into the valid approval key. Accordingly, in response to an incoming request, the device or the responsible contact person, for example, sends an e-mail which, in accordance with a configurable template, contains one or more placeholders for, for example, the name of the responsible contact person at the operator of the machine, the name of an employee of the manufacturer , a commission number and / or the name of the machine or machine component or a desired duration for the release period. Furthermore, the email may contain the approval key, which may consist of at least 24 alphanumeric characters. For example, this approval key may be divided into multiple parts in the email about the received request, whereby the approval request and / or an underlying, predefined approval process is uniquely identifiable. However, the approval key in this format is not valid to grant an approval. The partitioning may be done by one or more readable tags according to another embodiment, or it may be necessary to add or change one or more particular characters of the approval key. When an approval is granted, the multi-part or otherwise non-valid approval key must first be manually converted to a contiguous, valid approval key, such as by removing the tags. Only one such contiguous key is valid, that is, only if the contact's response email has actually been edited to contain a valid, ie contiguous, approval key will the approval be granted by the Approval module. According to another embodiment, one or more approval processes may be configured for the machine. An approval process is a definition that defines who can access which machine component remotely over a communication link from a remote unit. A defined approval process makes it possible for remote maintenance to be controlled, ie with the knowledge and consent of the operator of the machine. Such a preconfigured approval process may include the name (s) of the contact (s) at the manufacturer of the machine that may be responsible for performing remote maintenance, and the at least one machine component affected by remote maintenance according to such a preconfigured approval process. Furthermore, the approval process may include the authorized representative (s) with the operator of the machine who are authorized to grant an approval for that machine component. Optionally, persons may also be deposited in the approval process who are to be informed about a corresponding request for approval of remote maintenance, but who are not authorized to approve it. As an additional option, it is possible that in the approval process also the control commands, which are permitted within the framework of the corresponding remote maintenance, are defined. This can be done by a positive selection of permissible commands and / or controllable functions of the machine component. Alternatively, only certain commands or functions can be disabled as inadmissible, which are then blocked or filtered by the activation module. For example, it is possible to prevent a robot arm from being controlled by commands sent as part of remote maintenance, which is not permitted due to security guidelines. Or it can be prevented that a pump or a ventilation device is switched on or off by a remote maintenance, which may also be undesirable for security reasons. Thus, different approval processes with different possibilities with regard to the executable actions can also be defined for a specific machine component. An approval process can be defined, created or changed via the user interface of the device. Optionally, an approval process can also be created or edited directly via the HMI of a machine or machine component. This is advantageous because the approval process is then determined directly on-site at the appropriate machine, for example, it is also easily possible to select the permissible or impermissible functions, without overlooking anything. In order to facilitate the definition of approval processes for more than one machine component or also for several machines, which respectively comprise one or more machine components, approval processes for defined groups of machines and / or Machine components are set. An option to edit the definition of groups of machine components can be made via a user interface via drag and drop. All machine components of the industrial plant are contained in the user interface and can be moved between the groups. A group includes an editable label. If a group no longer contains any machine components, it will be removed. If a symbolic representation of a machine component is dragged to a "Create New Group" field, releasing (dropping) will create a new group with the appropriate component, saving it explicitly and saving changes automatically, if possible That contact persons are also added manually for an approval process, this is an option that can be selected, for example, by a checkbox For each plant that includes one or more machines, a special approval process can be defined that can not be deleted and no contact persons For this approval process, the approval is permanently valid If, in accordance with this embodiment, an approval is granted according to a defined approval process, the granted approval can be stored with the list of machinery components used in the approval process in the Group were included. The approval process can also refer to a group of machine components. This ensures that a permit, which, for example, only applies for a later period, can not be changed by a change in the group between the granting and the start of the activation.
Gemäß einer weiteren Ausführungsform umfasst die Vorrichtung weiterhin ein Mittel zur Protokollierung, womit Details bezüglich der Maschine oder Maschinenkomponente, dem Gerät von dem aus die Fernwartung erfolgt, Informationen zu tatsächlich übertragenen Daten und Steuerbefehlen, ein Besch reibungstext zu der durchgeführten Fernwartung oder Informationen zum Betriebszustand der Maschinenkomponente oder der Maschine usw. aufgezeichnet werden. According to a further embodiment, the apparatus further comprises a means for logging, which details with respect to the machine or machine component, the device from which the remote maintenance takes place, information on actually transmitted data and control commands, a descriptive text to the carried out remote maintenance or information on the operating state of Machine component or machine, etc. are recorded.
Gemäß einer weiteren Ausführungsform ist die Genehmigung nach dem Empfang der Anfrage nur während einer vordefinierten Zeitspanne durch die Genehmigungsvorrichtung erteilbar. Dadurch kann sichergestellt werden, dass nicht versehentlich eine gar nicht mehr benötigte Fernwartung aufgrund einer veralteten Anfrage freigegeben wird. According to a further embodiment, the authorization after receiving the request can only be granted by the licensing device during a predefined period of time. This can ensure that a no longer required remote maintenance is not inadvertently released due to an outdated request.
Eine weitere Ausführungsform der Erfindung betrifft ein Verfahren zum Steuern eines Fernzugriffs für eine Fernwartung für eine Maschine in der Getränkemittelindustrie. Die Maschine kann hierbei eine Kommunikationsverbindung mit wenigstens einer entfernten Einheit zur Fernwartung wenigstens einer Maschinenkomponente der Maschine einrichten. Die Kommunikationsverbindung zwischen der entfernten Einheit und der Maschine kann insbesondere über ein externes Netzwerk aufgebaut werden. Das Verfahren umfasst ein Empfangen einer Anfrage für eine Genehmigung eines Fernwartungszugriffs auf wenigstens eine Maschinenkomponente der Maschine, sowie ein Erteilen der Genehmigung des Fernwartungszugriffs. Die erteilte Genehmigung identifiziert eine bestimmte entfernte Einheit und die wenigstens eine Maschinenkomponente der Maschine für den Fernwartungszugriff. Weiterhin kann die erteilte Genehmigung eine Zeitangabe für den Fernwartungszugriff enthalten. Basierend auf der erteilten Genehmigung wird eine Kommunikationsverbindung zwischen der bestimmten entfernten Einheit und der die wenigstens eine Maschinenkomponente blockiert oder freigeschaltet. Die Kommunikationsverbindung wird hierbei nur zwischen der bestimmten entfernten Einheit und der wenigstens einen Maschinenkomponente, die in der erteilten Genehmigung identifiziert sind, freigeschaltet. Eine Fernwartung für die wenigstens eine Maschinenkomponente der Maschine durch die wenigstens eine entfernte Einheit ist nur mittels einer freigeschalteten Kommunikationsverbindung durchführbar. Another embodiment of the invention relates to a method for controlling remote access for remote maintenance of a machine in the beverage industry. The Machine can in this case set up a communication link with at least one remote unit for the remote maintenance of at least one machine component of the machine. In particular, the communication link between the remote unit and the machine can be established via an external network. The method includes receiving a request for approval of remote maintenance access to at least one machine component of the machine, and granting the approval of the remote maintenance access. The granted approval identifies a particular remote unit and the at least one machine component of the machine for remote maintenance access. Furthermore, the granted approval may include a time for remote maintenance access. Based on the granted approval, a communication link between the particular remote unit and the at least one machine component is blocked or unlocked. The communication link is thereby enabled only between the particular remote unit and the at least one machine component identified in the granted license. A remote maintenance for the at least one machine component of the machine by the at least one remote unit can only be carried out by means of an activated communication connection.
Weitere Merkmale und Vorteile der Erfindung werden nachfolgend anhand der beispielhaften Figuren erläutert. Es zeigen: Further features and advantages of the invention will be explained below with reference to the exemplary figures. Show it:
Figur 1 ein System mit einer Vorrichtung zur Steuerung eines Fernwartungszugriffs auf eine Maschine in der Getränkemittelindustrie, durch welche der Remote-Zugriff von einem Hersteller oder Service-Anbieter über ein Netzwerk auf eine Maschinen und/oder Maschinenkomponenten bei einem Betreiber derselben ermöglicht wird; FIG. 1 shows a system having a device for controlling a remote maintenance access to a machine in the beverage industry, by which remote access from a manufacturer or service provider over a network to machinery and / or machine components is enabled at an operator thereof;
Figur 2 einen Verfahrensablauf, über den ein Kunde oder auch ein Hersteller eine Genehmigung für eine Fernwartung erhalten kann; FIG. 2 shows a procedure by means of which a customer or a manufacturer can obtain a license for remote maintenance;
Figur 3 Zustände von ein oder mehreren (Kommunikations-) Sessions, die im Rahmen einer genehmigten Fernwartung durchlaufen werden, während der sich beispielsweise ein Mitarbeiter des Herstellers kommunikativ mit ein oder mehreren Maschinenkomponenten beim Betreiber der Maschine über ein Netzwerk verbindet; FIG. 3 shows states of one or more (communication) sessions that are run as part of an approved remote maintenance, during which, for example, an employee of the manufacturer communicatively connects to one or more machine components at the operator of the machine via a network;
Figur 4 einen Verfahrensablauf für die Steuerung eines Fernwartungszugriffs vom Empfang einer Anfrage über die Erteilung einer Genehmigung inklusive Identifikation einer bestimmten entfernten Einheit und einer bestimmten Maschinenkomponente der Maschine sowie optional einer Zeitangabe für die Fernwartung, bis zur Freischaltung der Kommunikationsverbindung entsprechend der Genehmigung. FIG. 4 shows a method sequence for the control of a remote maintenance access from the receipt of a request for the granting of a license, including identification of a specific remote unit and a specific machine component of the machine, and optionally a time for the remote maintenance, until the activation of the communication connection according to the approval.
Hierbei werden die Ausführungsformen der Erfindung anhand eines Fernwartungszugriffs auf eine oder mehrere Maschinen in der Getränkemittelindustrie beschrieben. Jedoch sind die beschriebenen Ausführungsformen und Beispiele nicht auf die Getränkemittelindustrie beschränkt, sondern betreffen allgemein die Abfüllindustrie und die Abfüllung flüssiger oder fließender Güter, wie beispielsweise flüssige Lebensmittel wie Speiseöle oder Soßen. Figur 1 zeigt eine beispielhafte Ausführungsform eines Systems 100, in dem eine Vorrichtung 150 zur Steuerung eines Fernwartungszugriffs auf eine Maschine 132 in der Getränkemittelindustrie eingesetzt werden kann. Die Vorrichtung 150 befindet sich an einem Standort des Betreibers der Maschine, welcher oftmals ein Kunde 130 des Herstellers 110 ist, und wird durch ein oder mehrere vordefinierte Ansprechpartner beim Betreiber kontrolliert. Durch die Vorrichtung 150 wird Kommunikation nach außerhalb beispielsweise eines Standortes eines Betreibers, an dem die Maschine installiert ist, auf genau kontrollierte Art und Weise gesteuert. Die Ansprechpartner beim Kunden können eingegangene Anfragen, die beispielsweise von einem Empfangsmodul 154 empfangen wurden, sehen und gegebenenfalls die Erteilung einer Genehmigung veranlassen. Dazu können sich die definierten Ansprechpartner des Betreibers der Maschine über ein Gerät, welches eine Benutzerschnittstelle 152 zur Verfügung stellt, mit der Vorrichtung 150 verbinden und entsprechend der Anfrage sowie optional auch entsprechend von vordefinierten, gespeicherten Vorgaben weitere Details für eine Kommunikation zur Durchführung der Fernwartung festlegen und dann eine Genehmigung erteilen. Die Festlegung der Details erfolgt mittels eines Genehmigungsmoduls 156, wodurch beispielsweise Einstellungen bezüglich der Kommunikationsverbindung gespeichert und auf Richtigkeit gemäß von vordefinierbaren Regeln überprüft werden können. Die Einstellungen umfassen dabei eine Identifikation einer entfernten Einheit, von der aus die Fernwartung mittels eines Remote-Zugriffs vorgenommen werden soll, sowie eine Identifikation der genauen Maschine beziehungsweise von wenigstens einer bestimmten Maschinenkomponente, für die die Fernwartung erforderlich ist. Solche Einstellungen, die mindestens eine Identifikation einer Quell-Adresse, von der aus die Fernwartung durchgeführt wird, und eine Identifikation von ein oder mehreren Ziel-Adressen der wenigstens einen bestimmten Maschinenkomponente können als ein Genehmigungsprozess vorkonfiguriert und gespeichert werden. Es kann erforderlich sein, dass eine Kommunikationsverbindung für eine Fernwartung nur dann freigegeben wird, wenn die Einstellungen einem der vordefinierten Genehmigungsprozesse entsprechen. Weiterhin kann eine Zeitangabe angegeben werden, in der die Fernwartung erfolgen kann, wodurch die Genehmigung eine zeitlich begrenzte Gültigkeit hat. Für die zeitlich begrenzte Gültigkeit kann ein Zeitraum angegeben werden, oder anstelle des Zeitraumes mit einer Startzeit und einer Endzeit kann auch lediglich eine Gültigkeitsdauer festgelegt werden, wobei die Zeit für die Gültigkeit dann ab dem Start einer Session eines tatsächlichen Remote-Zugriffs läuft. Wie weiter unter beschrieben kann die Genehmigung auch mit ein oder mehreren Bedingungen verknüpft sein. Die Identifikation der Maschine 132 und/oder der wenigstens einen Maschinenkomponente 134 kann eine oder mehrere Ziel-Adressen und/oder ein oder mehrere bestimmte physikalische oder logische Zugangsschnittstellen 136, wie beispielsweise Ports im Rahmen des Internetprotokolls (IP) umfassen. Die Ziel-Adresse(n) können dabei durch ein oder mehrere IP-Adressen oder auch über Identifikationsnummern wie beispielsweise eine global eindeutige Geräteidentifikationsnummer oder einer Gerätekennung festgelegt werden. Eine Maschine, die keine weiteren (logischen) Maschinenkomponenten umfasst, kann als eine Maschinenkomponente angesehen werden. Weiterhin umfasst die Genehmigung eine Festlegung einer Quell-Adresse, von der aus, d.h. von welchem Anwender oder von welchem Gerät aus die Kommunikation zur Fernwartung erfolgen darf. Dies kann durch die Festlegung einer IP-Adresse des Herstellers oder Service-Anbieters 110 erfolgen, oder auch durch die Festlegung einer bestimmten IP-Adresse oder einer Identifikationsnummer einer Einheit wie beispielsweise einem Computer 114 oder einer Virtual Machine eines Service-Mitarbeiters erfolgen. Ein Service-Mitarbeiter des Herstellers kann dabei unter Umständen auch unter einer anderen IP-Adresse als der IP-Adresse des Herstellers zu finden sein, beispielsweise wenn sich der betreffende Service-Mitarbeiter mit einer entsprechenden mobilen Einheit 112 wie einem Notebook außerhalb seines Unternehmensstandorts befindet. Eine andere Möglichkeit kann die Identifikation der Quell-Adresse über eine Festlegung eines bestimmten Service- Mitarbeiters oder eines Service-Teams darstellen, beispielsweise durch eine bestimmte Zugangskennung oder einen bestimmten login-Namen. Eine Fernwartung erfolgt mittels einer kommunikativen Verbindung über ein Netzwerk 120 wie beispielsweise dem Internet. Here, the embodiments of the invention will be described with reference to a remote maintenance access to one or more machines in the beverage industry. However, the described embodiments and examples are not limited to the beverage industry, but generally relate to the bottling industry and the filling of liquid or flowing goods, such as liquid foods such as edible oils or sauces. Figure 1 shows an exemplary embodiment of a system 100 in which a device 150 for controlling remote maintenance access to a machine 132 in the beverage industry may be employed. The device 150 is located at a location of the operator of the machine, which is often a customer 130 of the manufacturer 110, and is controlled by one or more predefined contact persons at the operator. The device 150 controls communication to the outside of, for example, a location of an operator on which the machine is installed, in a precisely controlled manner. The contact persons at the customer can see incoming inquiries that have been received, for example, from a reception module 154, and, if necessary, arrange for the approval to be granted. For this purpose, the defined contact persons of the operator of the machine can connect to the device 150 via a device which makes available a user interface 152 and specify further details for a communication for carrying out the remote maintenance according to the request and optionally also according to predefined, stored specifications and then grant a permit. The determination of the details is carried out by means of an approval module 156, whereby, for example, settings relating to the communication connection can be stored and checked for correctness according to predefinable rules. The settings include an identification of a remote unit, from which the remote maintenance is to be made by means of a remote access, as well as an identification of the exact machine or of at least one specific machine component, for which the remote maintenance is required. Such settings, the at least one identification of a source address from which the remote maintenance is performed, and an identification of one or more destination addresses of the at least one particular machine component may be preconfigured and stored as an approval process. It may be necessary for a communication connection to be released for remote maintenance only if the settings correspond to one of the predefined approval processes. Furthermore, a time can be specified in which the remote maintenance can take place, whereby the approval has a time-limited validity. For the time limited Validity can be specified as a period, or instead of the period with a start time and an end time, only a validity period can be set, the time for the validity then running from the start of a session of an actual remote access. As further described below, the approval may also be associated with one or more conditions. The identification of the engine 132 and / or the at least one machine component 134 may include one or more destination addresses and / or one or more particular physical or logical access interfaces 136, such as Internet Protocol (IP) ports. The destination address (s) can be determined by one or more IP addresses or by identification numbers such as a globally unique device identification number or a device identifier. A machine that does not include any other (logical) machine components may be considered as a machine component. Furthermore, the authorization comprises a determination of a source address, from which, ie from which user or from which device the communication for remote maintenance may take place. This can be done by setting an IP address of the manufacturer or service provider 110, or by setting a specific IP address or an identification number of a unit such as a computer 114 or a virtual machine of a service employee. Under certain circumstances, a service employee of the manufacturer may also be found at a different IP address than the manufacturer's IP address, for example if the relevant service employee with a corresponding mobile unit 112 such as a notebook is outside his company location. Another possibility can be the identification of the source address via a determination of a particular service employee or service team, for example by means of a specific access identifier or a specific login name. Remote maintenance is done by means of a communicative connection via a network 120 such as the Internet.
Die Kommunikation von der Vorrichtung 150 über das Netzwerk 120 außerhalb beispielsweise eines internen Netzwerks 138 am Standort des Betreibers 130 kann dabei verschlüsselt erfolgen, beispielsweise über ein Virtual Private Network (VPN) oder entsprechend der Internet Protocol Security (IPsec) oder mittels Security Sockets Layer (SSL) verschlüsselt. Eine Ausführungsform des Freischaltungsmoduls 158 kann beispielsweise einen Network Address Translation (NAT)-Router umfassen, der dynamisch so konfiguriert wird, dass Kommunikation nur zwischen dem bestimmten Gerät beim Hersteller und den bestimmten Maschinenkomponenten beim Kunden möglich ist, wobei der NAT-Router dynamisch so konfiguriert werden kann, dass ein Zugriff erst mit dem Beginn einer definierten Zeitspanne freigeschaltet wird, und bei Ablauf der definierten Zeitspanne wieder gesperrt wird. Entsprechend dem Open Systems Interconnection Model, dem OSl-Modell, kann die Freischaltung auf der Transportschicht (Schicht 4) oder einer höheren Schicht erfolgen. The communication from the device 150 via the network 120 outside, for example, an internal network 138 at the location of the operator 130 can be encrypted, for example via a Virtual Private Network (VPN) or Internet Protocol Security (IPsec) or by means of Security Sockets Layer ( SSL). For example, one embodiment of the enablement module 158 may include a Network Address Translation (NAT) router that is dynamically configured to allow communication only between the particular device at the manufacturer and the particular machine components at the customer, with the NAT router dynamically configured can be that an access is released only at the beginning of a defined period of time, and is locked again at the end of the defined period of time. According to the Open Systems Interconnection Model, the OSI model, the activation can take place on the transport layer (layer 4) or a higher layer.
Die Benutzerschnittstelle 152 der Vorrichtung 150 kann dabei beispielsweise eine Auswahl der folgenden Merkmale umfassen. Die Benutzerschnittstelle 152 beziehungsweise die Teile der Vorrichtung 150, die mit Benutzern und Anfragen interagieren, können auch als Management- Plattform bezeichnet werden. Eingegangene und noch nicht bearbeitete Anfragen für Genehmigungen zu einer Fernwartung einer Maschinenkomponente 134 werden angezeigt, wobei eine Anfrage beispielsweise einen begleitenden Text zur Erläuterung beinhalten kann, und wobei die Benutzerschnittstelle 152 die Möglichkeit bietet, die Genehmigung konkret festzulegen, oder auch die Genehmigung abzulehnen. Eine Fernwartung findet dabei nur zwischen der in der Genehmigung festgelegten Quell-Adresse des Herstellers und der oder den Ziel-Adresse(n) der Maschine 132 oder Maschinenkomponenten 134 beim Betreiber der Maschine statt, da das Freischaltungsmodul 158 nur Kommunikation zwischen Quell-Adresse und Ziel-Adresse(n) zulässt. Optional kann diese Freischaltung auch nur als zeitlich abgeschlossene Kommunikationssitzung oder Session erfolgen. Die Benutzerschnittstelle 152 kann genehmigte und geplante, d.h. zukünftige Sessions anzeigen und optional auch eine nachträgliche Veränderung dieser geplanten Sessions ermöglichen. Weiterhin können ein oder mehrere gerade aktive Sessions angezeigt werden; auch hier ist eine nachträgliche Veränderung von Details beispielsweise durch einen der vordefinierten Ansprechpartner jederzeit möglich. Falls sich herausstellt, dass eine Fernwartung länger dauert, kann der Zeitraum verlängert werden. Oder eine Genehmigung und die entsprechende aktive Session kann verkürzt oder sofort beendet werden, wenn dies erforderlich wird. Weiterhin können bereits beendete Sessions angezeigt werden. Fernwartungssessions können protokolliert werden und ein aufgezeichnetes Protokoll kann ganz oder teilweise angezeigt werden. Weiterhin können abgelehnte Anfragen oder ungültige Anfragen oder unzulässige Zugriffsversuche protokolliert werden. The user interface 152 of the device 150 may include, for example, a selection of the following features. The user interface 152, or parts of the device 150 that interact with users and requests, may also be referred to as a management platform. Received and as yet unprocessed requests for remote machine tool 134 approval are displayed, where a request may include, for example, an accompanying text for illustration, and the user interface 152 provides the ability to concretely set the approval or even reject the approval. Remote maintenance only takes place between the manufacturer's source address specified in the license and the destination address (s) of the machine 132 or machine components 134 at the operator of the machine, because the activation module 158 only communicates between source address and destination Address (s). Optionally, this activation can also be done only as a time-terminated communication session or session. The user interface 152 may accept approved and scheduled, i. show future sessions and, optionally, allow a subsequent change of these scheduled sessions. Furthermore, one or more currently active sessions can be displayed; Here, too, a subsequent change of details, for example by one of the predefined contact person is possible at any time. If it turns out that a remote maintenance takes longer, the period can be extended. Or a permit and the corresponding active session can be shortened or terminated immediately if required. Furthermore, already finished sessions can be displayed. Remote maintenance sessions can be logged and a recorded log can be displayed in whole or in part. Furthermore, rejected requests or invalid requests or inappropriate access attempts can be logged.
Auf einem Dashboard bzw. auf der Benutzerschnittstelle (wie dem HMI) der Maschine 132 oder der Maschinenkomponente 134 können die letzten Fernwartungssessions angezeigt werden; aktive Sessions können in der Anzeige hervorgehoben werden. Je nach Gestaltung des Benutzerinterface können beispielsweise die letzten 5 Sessions angezeigt werden, oder es kann eine scrollbare Liste angezeigt werden. Im Rahmen eines genehmigten Fernwartungszugriffs können dabei auch mehrere Sessions erfolgen, beispielsweise mehrere abgeschlossene Sequenzen von Starten einer Session, Ausführen von Kommandos und Beenden der Session und der Verbindung, oder durch mehrere parallel durchgeführte Sessions beispielsweise mit mehreren Softwaretools. Gemäß einer weiteren Ausführungsform wird die verbleibende Restdauer einer Genehmigung beim Hersteller oder Service-Anbieter 110 angezeigt. Vor Ablauf der Zeit kann ein Bediener einer aktuellen Session, wie beispielsweise ein Service-Mitarbeiter, auf das baldige Ende des Zeitraums für die Fernwartung aufmerksam gemacht werden. Dies kann beispielsweise durch ein Pop-up auf dem Bildschirm des Bedieners geschehen, und/oder eine SMS kann automatisch an den Bediener gesendet werden. Eine solche Information kann zu einer vordefinierten Zeit vor dem Ende des Zeitraums erfolgen, also beispielsweise 15 Minuten vor Ablauf des Zeitraums. Ein Pop-up soll nicht versehentlich geschlossen werden können, und es soll keine Tastatureingaben abfangen, was den Arbeitsablauf des Bedieners stören würde. Ist die Zeit abgelaufen, so wird die Kommunikationsverbindung getrennt. On a dashboard or on the user interface (such as the HMI) of the machine 132 or the machine component 134, the last remote maintenance sessions can be displayed; active sessions can be highlighted in the display. Depending on the design of the user interface, for example, the last 5 sessions can be displayed, or a scrollable list can be displayed. Within the scope of an approved remote maintenance access, several sessions can take place, for example several completed sequences of starting a session, executing commands and terminating the session and the connection, or by several sessions carried out in parallel, for example with several software tools. According to another embodiment, the remaining time of a permit is displayed to the manufacturer or service provider 110. Before the time has elapsed, an operator of a current session, such as a service agent, may be alerted to the near end of the remote maintenance period. This can be done for example by a pop-up on the screen of the operator, and / or an SMS can be automatically sent to the operator. Such information may occur at a predefined time prior to the end of the period, for example, 15 minutes before the end of the period. A pop-up should not be accidentally closed, and it should not intercept keystrokes, which would disrupt the operator's workflow. If the time has expired, the communication connection is disconnected.
Gemäß einer Ausführungsform kann die Genehmigung für die Fernwartung weiterhin eine Bedingung umfassen, wobei die Fernwartung erst nach Erfüllung dieser Bedingung tatsächlich freigeschaltet wird. Eine solche Bedingung kann beispielsweise sein, dass die Maschine 132 oder Maschinenkomponente 134 in einem bestimmten Betriebszustand sein muss. Weiterhin kann eine Bedingung erfordern, dass eine Bestätigung der Fernwartung durch einen Anwender mittels der Benutzerschnittstelle an der Maschine 132 oder Maschinenkomponente 134 erfolgt, bevor die Fernwartung tatsächlich beginnen kann. Der Anwender, der die Fernwartung an der Benutzerschnittstelle bestätigt, muss dabei nicht derselbe sein wie der Anwender, der die Genehmigung für die Fernwartung erteilt hat. Beispielsweise kann ein Ingenieur oder Linienmanager eine Fernwartung freigeben; ein Techniker an der laufenden Maschine 132 wird durch die Benutzerschnittstelle der Maschine informiert und muss an der Benutzerschnittstelle den Fernzugriff bestätigen, was aus Gründen der Arbeitssicherheit wichtig sein kann. Ein weiteres Szenario kann sein, dass ein Ingenieur die Fernwartung durch die Benutzerschnittstelle 152 der Vorrichtung 150 freigibt, wobei der Zugriff des Service- Mitarbeiters erst starten soll, wenn der Ingenieur tatsächlich an der Maschine 132 ist, und wobei der Ingenieur eine gewisse Zeit für die Wegstrecke zur Maschine benötigt. So kann beispielsweise sichergestellt werden, dass auf der Maschine 132 gerade kein kritischer Prozess läuft, oder es kann eine Beobachtung und/oder telefonisches Feedback zum Service-Mitarbeiter während des Fernwartungszugriffs erfolgen. Gemäß einer weiteren Ausführungsform können durch die Benutzerschnittstelle 152 oder durch die Vorrichtung 150 für verschiedene Fernwartungsmöglichkeiten jeweils ein oder mehrere Maschinen 132 und/oder ein oder mehrere Maschinenkomponenten 134 mit entsprechenden verantwortlichen Ansprechpartnern beim Kunden sowie beim Hersteller festgelegt sein. Weiterhin kann definiert werden, dass Genehmigungen Parameter umfassen, wodurch für vordefinierte Gruppen von Maschinenkomponenten 134 und/oder bestimmten Aktionen, die im Rahmen einer entsprechenden Fernwartung durchgeführt werden dürfen, festgelegt sind. Solche Vorgaben zu Genehmigungen können von berechtigten Mitarbeitern des Kunden eingerichtet und bearbeitet werden. Es kann auch möglich sein, dass ein oder mehrere vorgegebene Genehmigungen permanent und nicht durch Mitarbeiter des Kunden veränderbar definiert sind. Die Vorrichtung 150 kann eine eingehende Anfrage daraufhin überprüfen, ob die Anfrage einer der vordefinierten Genehmigungen entspricht; falls nicht, kann die Anfrage automatisch abgelehnt werden. Bei einer automatischen Ablehnung können sowohl derjenige, der die Anfrage gestellt hat, als auch die berechtigten Mitarbeiter des Kunden benachrichtigt werden; gegebenenfalls kann eine solche Anfrage dennoch bearbeitet werden, so dass nach Festlegung von korrekten und gültigen Parametern eine Genehmigung erteilt wird. Wenn eine Genehmigung erteilt wird, kann eine Benachrichtigung über die Genehmigung für die Fernwartung mittels einem oder mehrerer Übertragungsprotokolle von der Vorrichtung 150 an eine vordefinierte Adresse, die einer Person zugeordnet ist, welche die Fernwartung durchführt, übertragen werden. Übertragungsprotokolle können beispielsweise E-Mail, SMS, MMS, eine Nachricht an eine Computersoftware, welche für den Remote-Zugriff zum Zweck der Fernwartung eingesetzt wird, einer Internetseite oder eine Nachricht, die an eine App auf einem Smartphone gesendet wird, umfassen. Gemäß einer weiteren Ausführungsform können auch Personen beim Kunden, die beispielsweise für eine Maschine 132 oder Maschinenkomponente 134 zuständig sind, benachrichtigt werden, da diese Personen andere sein können als die Personen, die für die Erteilung von Genehmigungen berechtigt sind. Optional kann auch eine Kommunikation in einem geeigneten Format zwischen der Maschine 132 oder der Maschinenkomponenten 134 gesendet werden, für die die Fernwartung erfolgen soll; dies kann notwendig sein, um beispielsweise eine bedingte Genehmigung zu ermöglichen, wobei die Freischaltungsvorrichtung 158 Informationen zum Betriebszustand der Maschine 132 oder der Maschinenkomponente 134 prüfen muss, oder um durch ein HMI, das mit der Maschine 132 oder Maschinenkomponente 134 verbunden ist, eine Bestätigung für die den tatsächlichen Beginn der Freischaltung abzufragen. Eine solche Freischaltung kann dabei durch eine einfache Bestätigung, oder durch die Eingabe eines Sicherheitscodes o.ä. erfolgen. Ein solcher Sicherheitscode kann fest vordefiniert sein, oder für eine bestimmte Genehmigung für eine Fernwartung in den Parametern definiert werden. According to one embodiment, the license for the remote maintenance may further include a condition, wherein the remote maintenance is actually enabled only after fulfillment of this condition. Such a condition may be, for example, that the machine 132 or machine component 134 must be in a particular operating condition. Further, a condition may require confirmation of remote maintenance by a user via the user interface at the machine 132 or machine component 134 before the remote service can actually begin. The user who confirms the remote maintenance on the user interface does not have to be the same as the user who granted the remote maintenance approval. For example, an engineer or line manager may release a remote maintenance; a technician on the running machine 132 is informed by the user interface of the machine and must confirm remote access at the user interface, which may be important for reasons of safety at work. Another scenario may be for an engineer to release the remote maintenance through the user interface 152 of the device 150, where the service employee's access should not start until the engineer is actually at the machine 132, and the engineer may spend some time on the machine Distance to the machine needed. Thus, for example, it can be ensured that no critical process is currently running on the machine 132, or there may be an observation and / or telephone feedback to the service person during the remote maintenance access. According to a further embodiment, one or more machines 132 and / or one or more machine components 134 with corresponding responsible contact persons at the customer as well as at the manufacturer can be defined by the user interface 152 or by the device 150 for different remote maintenance options. Furthermore, it can be defined that approvals include parameters that allow for predefined groups of machine components 134 and / or certain actions that occur in the Within the scope of a corresponding remote maintenance. Such approval requirements can be set up and processed by authorized employees of the customer. It may also be possible for one or more given approvals to be permanent and not changeable by the customer's employees. The device 150 may check an incoming request to see if the request corresponds to one of the predefined approvals; if not, the request can be automatically rejected. In the case of an automatic rejection, both the person who made the request and the authorized employees of the customer can be notified; if necessary, such a request can nevertheless be processed, so that after the establishment of correct and valid parameters an approval is granted. When an approval is granted, a remote service approval notification may be transmitted by means of one or more transmission protocols from the device 150 to a predefined address associated with a person performing the remote maintenance. Transmission protocols may include, for example, e-mail, SMS, MMS, a message to computer software used for remote access for the purpose of remote maintenance, a web page, or a message sent to an app on a smartphone. According to a further embodiment, persons who are responsible, for example, for a machine 132 or machine component 134, can also be notified to the customer, since these persons can be different from the persons who are authorized to issue approvals. Optionally, communication may also be sent in a suitable format between the machine 132 or the machine components 134 for which remote maintenance is to be performed; this may be necessary, for example, to allow conditional approval where the enabling device 158 needs to check information about the operating state of the machine 132 or the machine component 134, or an acknowledgment for an HMI associated with the machine 132 or machine component 134 to query the actual start of the activation. Such activation can be done by a simple confirmation, or by entering a security code or similar. respectively. Such a security code can be predefined or defined for a specific authorization for remote maintenance in the parameters.
Die Vorrichtung 150 kann in Form von Hardwaremodulen, Softwaremodulen oder als Kombination von Hardware- und Softwaremodulen implementiert sein. The device 150 may be implemented in the form of hardware modules, software modules, or a combination of hardware and software modules.
Gemäß einer weiteren Ausführungsform kann eine Anfrage für die Fernwartung von einem Gerät innerhalb des internen Netzwerks 138 des Kunden ausgehen, indem sich die Maschine 132 oder Maschinenkomponente 134 befindet. Weiterhin kann eine Anfrage direkt über eine Benutzerschnittstelle an der Maschine 132 oder Maschinenkomponente 134 gestellt werden. Weiterhin kann eine Anfrage über die Benutzerschnittstelle 152 der Vorrichtung 150 gestellt werden. Neben solchen Fällen, in denen die Anfrage vom Betreiber der Maschine initiiert wird, kann eine Anfrage auch vom Hersteller oder einem Service-Anbieter 110 gestellt werden, wenn beispielsweise aufgrund einer Datenpunktauswertung eine präventive Fernwartung sinnvoll erscheint, und/oder wenn beispielsweise eine Softwareaktualisierung für eine Maschine 132 oder Maschinenkomponente 134 durchgeführt werden soll. Eine Anfrage kann durch ein oder mehrere Übertragungsprotokolle erfolgen, welche beispielsweise E-Mail, SMS, MMS, eine Nachricht einer Computersoftware, einer Internetseite, einer Nachricht, die durch eine App auf einem Smartphone erzeugt wurde usw. umfassen. Eine Anfrage kann Informationen zu einem gewünschten Zeitraum für eine Durchführung der Fernwartung enthalten. Die Genehmigung kann für den gewünschten Zeitraum oder auch für einen abweichenden Zeitraum erteilt werden. Als Sonderfall ist es auch möglich, dass eine Genehmigung dauerhaft erteilt wird, d.h. dass die entsprechende Genehmigung unbegrenzt gültig ist. According to another embodiment, a request for remote maintenance may originate from a device within the customer's internal network 138, where machine 132 or machine component 134 is located. Furthermore, a request can be made directly via a User interface to the machine 132 or machine component 134. Furthermore, a request can be made via the user interface 152 of the device 150. In addition to such cases in which the request is initiated by the operator of the machine, a request can also be made by the manufacturer or a service provider 110, for example, if a preventive remote maintenance makes sense due to a data point evaluation, and / or if, for example, a software update for a Machine 132 or machine component 134 is to be performed. A request may be made by one or more transmission protocols, including, for example, e-mail, SMS, MMS, a message from computer software, a website, a message generated by an app on a smartphone, and so on. A request may contain information about a desired period for carrying out the remote maintenance. The approval can be granted for the desired period or for a different period. As a special case, it is also possible that a permit is issued permanently, ie that the corresponding permit is valid indefinitely.
Gemäß einer weiteren Ausführungsform kann die Vorrichtung 150 ein Mittel zur Protokollierung umfassen, wobei ein oder mehrere der folgenden Informationen protokolliert werden. Die Identifikation der Maschine 132, die Identifikation des Herstellers oder des Service-Anbieters 110, eine Identifikation des Mitarbeiters, der eine Fernwartung durchführt, eine Identifikation des bestimmten Geräts außerhalb des internen Netzwerks 138, von dem aus die Kommunikation für die Fernwartung erfolgt, die Quell-IP-Adresse, eine Identifikation der mindestens einen Maschinenkomponente 134, für welche die Fernwartung durchgeführt wird, die Ziel-IP-Adresse, eine Identifikation der Zugangsschnittstelle 136, der festgelegte Zeitraum für die Fernwartung, die Zeiten, in denen tatsächlich Kommunikation erfolgt ist, die Arten der Fernwartung, das Kommunikationsvolumen in beide Richtungen, mindestens Teile der gesamten Kommunikation, Zeitpunkt des Eingangs der Anfrage, Informationen über das Gerät, von dem die Anfrage ausgegangen ist, Zeitpunkt der Genehmigung der Anfrage, Informationen über das Gerät, von dem die Anfrage genehmigt wurde, Informationen zum Benutzer, der die Genehmigung erteilt hat, Informationen zu Fernwartungsversuchen, bei denen der Zugriff nicht erfolgreich war, ein Beschreibungstext zu einer durchgeführten Fernwartung, oder Informationen zum Betriebszustand der Maschinenkomponente 134 oder der Maschine 132, usw.. According to another embodiment, the device 150 may include a means for logging, wherein one or more of the following information is logged. The identification of the machine 132, the identification of the manufacturer or service provider 110, an identification of the employee performing remote maintenance, identification of the particular device outside the internal network 138 from which the remote maintenance communication is made, the source IP address, an identification of the at least one machine component 134 for which the remote maintenance is performed, the destination IP address, an identification of the access interface 136, the specified time period for the remote maintenance, the times in which communication has actually occurred, the types of remote maintenance, the communication volume in both directions, at least parts of the total communication, time of receipt of the request, information about the device from which the request originated, time of approval of the request, information about the device from which the request was approved, information about the user who the Authorization, information on remote maintenance attempts in which the access was unsuccessful, a description text to a remote maintenance performed, or information on the operating state of the machine component 134 or the machine 132, etc ..
Gemäß einer weiteren Ausführungsform können in Genehmigungsprozessen vorkonfigurierte Genehmigungen bestimmte mögliche Fernwartungsarten mit definierten Steuerungsmöglichkeiten umfassen. Das Freischaltungsmodul 158 beschränkt die Kommunikationsverbindung auf ein oder mehrere definierte Maschinenkomponenten 134 der Maschine 132, und/oder auf ein oder mehrere physikalische oder logische Zugangs- schnittsteilen oder Ports 136 der Maschinenkomponenten 134. Optional kann die Freischaltungsvorrichtung die Kommunikation zusätzlich auf bestimmte während der Fernwartung ausführbare Funktionen beschränkt. Beispielsweise kann eine Kalibrierungsroutine gesperrt sein, oder bestimmte Parameter der Maschine können im Rahmen der Fernwartung nicht verändert werden. Weiterhin können bestimmte Steuerbefehle gesperrt sein, wie beispielsweise Steuerbefehle, mit denen die Bewegung eines Roboterarms oder eine Betätigung eines Ventils gesteuert wird; solche Steuerbefehle können beispielsweise aufgrund von Sicherheitsrichtlinien nicht im Rahmen eines Remote-Zugriffs zulässig sein, und können daher durch die Vorrichtung 150 vorteilhafterweise blockiert werden. Eine Anfrage kann an die Vorrichtung 150 gerichtet sein. Die Vorrichtung kann daraufhin eine Benachrichtigung beispielsweise in Form einer Email an den oder die zuständigen Mitarbeiter schicken, die die Anfrage genehmigen können. Dies ist möglich, wenn die Anfrage genügend Informationen enthält, um von der Vorrichtung beispielsweise einem vordefinierten Genehmigungsprozess zugeordnet zu werden, oder wenn die Anfrage Informationen zum Ansprechpartner enthält. Falls bestimmte Maschinenkomponenten in der Anfrage identifiziert sind, für die jedoch unterschiedliche Genehmigungsprozesse definiert sind, die auch unterschiedliche Ansprechpartner haben können, so können alle Ansprechpartner benachrichtigt werden, die entsprechend der möglichen Genehmigungsprozesse in Frage kommen. In einem solchen Fall erfordert die Erteilung der Genehmigung eine genauere Festlegung der Maschinenkomponenten und/oder des Genehmigungsprozesses, d.h. der Aktionen, die im Rahmen der Fernwartung ausgeführt werden dürfen. Eine Benachrichtigungsemail kann eine Angabe zu einem gewünschten Zeitraum für die Genehmigung enthalten. Es kann allerdings erforderlich sein, den Zeitraum für die tatsächliche Genehmigung stets manuell und in einem bestimmten Format einzugeben. Zur Erteilung einer Genehmigung kann der Empfänger einer Benachrichtigungsemail antworten, wobei diese Antwort wieder an die Vorrichtung geschickt wird, die daraufhin die entsprechenden Einstellungen vornimmt, um die Kommunikationsverbindung für die Fernwartung zu ermöglichen. Optional kann die Vorrichtung auch eine weitere Benachrichtigung an den oder diejenigen Personen schicken, die die Fernwartung durchführen sollen. Anfragen können auch über die Benutzerschnittstelle 152 eingesehen, bearbeitet und genehmigt werden, beispielsweise dadurch, dass sich ein berechtigter Mitarbeiter bei der Benutzerschnittstelle einloggt. Eine Anfrage kann auch direkt über die Benutzerschnittstelle erstellt werden, beispielsweise dann, wenn ein berechtigter Mitarbeiter per Telefon oder per Email oder auf anderem Wege auf eine gewünschte Fernwartung aufmerksam gemacht wird. Die Benachrichtigungen, die von der Vorrichtung versendet werden, basieren auf vordefinierten Vorlagen für den Text, der in entsprechenden Emails enthalten ist. According to a further embodiment preconfigured approvals in approval processes may include certain possible remote maintenance types with defined control possibilities. The activation module 158 restricts the communication connection to one or more defined machine components 134 of the machine 132, and / or to one or more physical or logical access components. interfaces or ports 136 of the machine components 134. Optionally, the activation device can additionally limit the communication to certain functions that can be performed during remote maintenance. For example, a calibration routine may be disabled, or certain parameters of the machine may not be changed in the context of remote maintenance. Furthermore, certain control commands may be disabled, such as control commands with which the movement of a robot arm or actuation of a valve is controlled; For example, such control commands may not be allowable under remote access because of security policies, and thus may be advantageously blocked by the device 150. A request may be directed to the device 150. The device can then send a notification, for example in the form of an e-mail, to the person or persons responsible who can approve the request. This is possible if the request contains enough information to be assigned by the device, for example, to a predefined approval process, or if the request contains information about the contact person. If certain machine components are identified in the request, but for which different approval processes are defined, which may also have different contact persons, then all contact persons can be notified that are suitable according to the possible approval processes. In such a case, the granting of approval requires a more precise definition of the machine components and / or the approval process, ie the actions that may be carried out in the context of remote maintenance. A notification e-mail may include an indication of a desired approval period. However, it may be necessary to always enter the period of actual approval manually and in a specific format. For approval, the recipient may respond to a notification e-mail, this response being sent back to the device, which then makes the appropriate settings to enable the communication link for remote maintenance. Optionally, the device may also send another notification to the person or persons who are to perform the remote maintenance. Inquiries may also be viewed, edited and approved via the user interface 152, for example by an authorized user logging into the user interface. A request can also be made directly via the user interface, for example, when an authorized employee is made aware of a desired remote maintenance by telephone or by email or by other means. The notifications sent by the device are based on predefined templates for the text contained in corresponding emails.
Figur 2 zeigt einen beispielhaften Ablauf, über den ein Fernwartungszugriff genehmigt werden kann. Eine Anfrage für eine Genehmigung für eine Fernwartung wird von der Vorrichtung 150 empfangen 202. Entsprechend von Informationen, welche in der Anfrage enthalten sind, kann entschieden werden, ob für die angefragte Fernwartung eine Genehmigung erforderlich ist 204. Beispielsweise kann die Anfrage eine Identifikation eines bestimmten, vorkonfigurierten Genehmigungsprozesses enthalten. Falls eine Genehmigung erforderlich ist, wird die Anfrage weiter verarbeitet und einige notwendige Einstellungen für die Kommunikationsverbindung für die Fernwartung können festgelegt werden. Insbesondere werden wenigstens eine bestimmte Maschinenkomponente sowie eine bestimmte entfernte Einheit bestimmt. Die bestimmte entfernte Einheit kann beispielsweise ein computerbasiertes Gerät sein, welches sich beispielsweise außerhalb eines internen Netzwerks des Betreibers der Maschine befindet, und welches dazu konfiguriert ist, sich über mindestens ein Netzwerk 120 über die Vorrichtung 150 mit der wenigstens einen bestimmten Maschinenkomponente 134 kommunikativ zu verbinden, um so - bei erteilter und gültiger Genehmigung - eine Fernwartungssession durchzuführen. In der Regel wird ein berechtigter Mitarbeiter des Betreibers der Maschine eine Anfrage für eine Genehmigung durch Interaktion mittels einer Benutzerschnittstelle 152 oder durch Austausch von Benachrichtigungen wie Emails mit der Vorrichtung 150 überprüfen, gegebenenfalls bearbeiten und freigeben. Die Vorrichtung 150 kann beispielsweise nach Empfang einer Anfrage eine Email erzeugen, die an die genehmigungsberechtigten Mitarbeiter entsprechend der Definition des Genehmigungsprozesses gesendet wird. In einer Antwort auf diese Email oder über die Benutzerschnittstelle können weitere Einstellungen, wie beispielsweise der Zeitraum und/oder Bedingungen für die Fernwartung und/oder die Maschinenkomponenten sowie die erlaubten Befehle vorgenommen werden. Zumindest Teile solcher Einstellungen können dabei fest in dem vorkonfigurierten Genehmigungsprozess hinterlegt sein. Wenn die Genehmigung für die Fernwartung so verarbeitet 206 ist, und die definierten Einstellungen gespeichert wurden, kann der Hersteller oder Service-Anbieter über die erteilte Genehmigung und den Zeitraum informiert werden, beispielsweise durch Versenden einer entsprechenden Benachrichtigung per E-Mail oder SMS. Die Fernwartung wird dann ermöglicht durch Freischalten 208 der Kommunikationsverbindung entsprechend der Genehmigung, wobei sichergestellt wird, dass die Kommunikation nur zwischen der mindestens einen bestimmten Maschinenkomponente sowie der bestimmten entfernten Einheit möglich ist. Nach erfolgter Freischaltung kann eine Fernwartung beginnen 210, d.h. ein Service-Mitarbeiter des Herstellers kann beispielsweise eine Session starten und so die Fernwartung durchführen. Figur 3 zeigt einen beispielhaften Ablauf einer Fernwartung in Form eines Zustandsdiagramms, nachdem diese genehmigt und freigeschaltet wurde. Von einem Gerät des Herstellers oder Service-Anbieters aus wird eine Kommunikationsverbindung initiiert, und das System befindet sich im Zustand „keine Session" 302. Dann wird eine Fernwartungssession mit einem geeigneten Softwaretool gestartet 310, wodurch das System in den Zustand„aktive Session" 304 übergeht. Gegebenenfalls kann für den Aufbau der Kommunikationsverbindung und/oder für den Start der Fernwartungssession ein Einloggen mit Sicherheitsmechanismen wie beispielsweise ein Login-Name und ein Passwort zur Authentifizierung notwendig sein. Im Rahmen einer aktiven Fernwartungssession 304 kann auf die mindestens eine bestimmte Maschinenkomponente zugegriffen werden, es können Daten ausgelesen und übertragen werden, Parameter der Maschinenkomponente verändert werden, Befehle erteilt werden, usw.. Eine Protokollierung der Fernwartung kann auch im Rahmen der Session mittels des Softwaretools für die Fernwartung erfolgen. Die genutzten Fernwartungszugriffe, d.h. die Maschinenkomponenten, auf die zugegriffen wurde, die ausgeführten Steuerkommandos, die Dauer des Zugriffs oder eine frei geschriebene Dokumentation können in dem Protokoll enthalten sein. Das Freischaltungsmodul kann dabei überprüfen, ob die Genehmigung bereits abgelaufen ist, beispielsweise weil der Zeitraum für die Fernwartung abgelaufen ist, oder weil die Genehmigung seitens des Kunden geändert oder widerrufen wurde. Nach Ablauf der Genehmigung geht das System in den Zustand inaktive Session 306 über 314. Weiterhin kann ein Administrator berechtigt sein, eine laufende aktive Session in den Zustand „inaktiv" zu bringen 314. Vorrichtung 150 kann hierzu die Kommunikationsverbindung zu der Maschinenkomponente unterbrechen. Ein Remote-Zugriff auf die Maschinenkomponente(n) ist nun nicht mehr möglich, doch eine Vervollständigung beispielsweise einer Dokumentation der Fernwartung kann noch durchgeführt werden. Gegebenenfalls kann der Hersteller auch um eine Verlängerung der Genehmigung bitten, falls die Fernwartung noch nicht vollständig abgeschlossen wurde. Bei entsprechender Verlängerung ist eine Wiederaufnahme 318 der Session möglich, nachdem das Freischaltungsmodul 158 die Kommunikationsverbindung entsprechend der geänderten Genehmigung wieder freigeschaltet hat. Ansonsten geht das System beispielsweise nach einer festgelegten Zeit in den Zustand„keine Session" 302 über 316. Die aktive Session kann auch von dem Softwaretool aus abgeschlossen werden 312, während die Genehmigung noch gültig ist. In diesem Fall wird die Session beendet, d.h. das System geht in den Zustand „keine Session" 302 über, wobei jedoch die Kommunikationsverbindung von Vorrichtung 150 aus freigeschaltet bleibt. Solange eine erteilte Genehmigung (noch) besteht, ist ein Wechseln in eine aktive Session 304 durch das Starten 310 einer neuen Session möglich. Nach einer vordefinierten Zeitspanne im Zustand der inaktiven Session 306 kann das System in den Zustand „keine Session" 302 übergehen, womit die Fernwartungssession beendet ist, d.h. es ist keine Wiederaufnahme der Session mehr möglich. FIG. 2 shows an exemplary process via which a remote maintenance access can be authorized. A request for remote maintenance approval is received 202 by the device 150. In accordance with information included in the request, it may be decided whether approval is required for the requested remote service 204. For example, the request may include an identification of a particular service , preconfigured approval process included. If approval is required, the request is processed further and some necessary settings for the communication link for remote maintenance can be set. In particular, at least one particular machine component and a particular remote unit are determined. The particular remote unit may be, for example, a computer-based device located, for example, outside an internal network of the operator of the machine and configured to communicatively connect to the at least one particular machine component 134 via the device 150 via at least one network 120 in order to carry out a remote maintenance session - if granted and valid. Typically, an authorized operator of the machine operator will review, if necessary, edit and approve a request for approval by interaction through a user interface 152 or by exchanging notifications such as emails with the device 150. For example, after receiving a request, the device 150 may generate an email that is sent to the authorized employees as defined by the approval process. In a reply to this e-mail or via the user interface, further settings, such as the period and / or conditions for the remote maintenance and / or the machine components and the permitted commands can be made. At least parts of such settings can be stored permanently in the preconfigured approval process. If the remote maintenance approval has been processed 206 and the defined settings have been saved, the manufacturer or service provider may be notified of the granted approval and the time period, for example, by sending a notification by e-mail or SMS. Remote maintenance is then enabled by enabling 208 the communication link according to the permit, ensuring that communication is only possible between the at least one particular machine component and the particular remote unit. After activation, a remote maintenance can begin 210, ie a service employee of the manufacturer can, for example, start a session and thus carry out the remote maintenance. FIG. 3 shows an exemplary sequence of remote maintenance in the form of a state diagram after it has been approved and activated. A communication link is initiated from a device of the manufacturer or service provider, and the system is in the "no session" state 302. Then, a remote maintenance session is started 310 with a suitable software tool, which places the system in the "active session" state 304 passes. Optionally, for the establishment of the communication connection and / or for the start of the remote maintenance session, a login with security mechanisms such as a login name and a password for authentication may be necessary. Within the scope of an active remote maintenance session 304, the at least one specific machine component can be accessed, data can be read out and transferred, parameters of the machine component can be changed, commands can be issued, etc. A logging of the remote maintenance can also be made during the session by means of the software tool for remote maintenance. The remote maintenance accesses used, ie the machine components accessed, the executed control commands, the duration of the access or a freely written documentation may be included in the protocol. The activation module can check whether the approval has already expired, for example because the remote maintenance period has expired, or because the approval has been changed or revoked by the customer. Upon expiration of the approval, the system enters 314 inactive session 306. Further, an administrator may be entitled to put an active active session in the "inactive" state 314. Device 150 may interrupt the communication connection to the machine component - Access to the machine component (s) is now no longer possible, but completion of, for example, a documentation of the remote maintenance can still be performed.If necessary, the manufacturer may ask for an extension of the license, if the remote maintenance has not yet been completed Extension is a resumption 318 of the session possible after the activation module 158 has re-enabled the communication link according to the amended approval.Otherwise, the system goes, for example after a specified time in the state "no session" 302 via 316. The active S ession can also be completed 312 while the approval is still valid. In this case, the session is terminated, ie, the system goes to the "no session" state 302, but the communication link remains enabled from device 150. As long as an granted approval exists (yet), switching to an active session 304 is by starting a new session 310. After a predefined period of time in the state of the inactive session 306 the system can go into the state "no session" 302, whereby the remote maintenance session is completed, ie it is no longer possible to resume the session.
Figur 4 zeigt ein Ausführungsbeispiel eines Verfahrens zur Steuerung eines Fernzugriffs für eine Fernwartung einer Maschine, welche ein oder mehrere Maschinenkomponenten umfassen kann. In Schritt 402 wird eine Anfrage für eine Genehmigung einer Fernwartung von ein oder mehreren Maschinenkomponenten empfangen. Diese Anfrage wird überprüft 404, beispielsweise daraufhin, ob sie sich auf einen berechtigten Ansprechpartner des Herstellers sowie eine Maschinenkomponente beim Betreiber der Maschine bezieht, für den eine Fernwartung grundsätzlich vorgesehen ist. Dies kann durch Vergleich der Angaben aus der Anfrage mit vordefinierten Genehmigungsprozessen geschehen. Ein vordefinierter Genehmigungsprozess kann auch durch einen Genehmigungsschlüssel identifiziert werden, der in der Anfrage enthalten ist. Wenn eine Anfrage für eine Genehmigung einer Fernwartung soweit korrekt ist 406, werden Einstellungen für die tatsächliche Fernwartung vervollständigt, was wiederum entsprechend eines vordefinierten Genehmigungsprozesses erfolgen kann. Dann wird eine Anfragegenehmigungsnachricht zur Erteilung der Genehmigung an einen oder mehrere der Mitarbeiter gesendet, die für den Genehmigungsprozess bzw. für die Maschinenkomponenten genehmigungsberechtigt sind. Die Anfragegenehmigungsnachricht kann eine Email sein. Mindestens einer dieser berechtigten Mitarbeiter muss dann die Genehmigung durch eine Antwort auf die Anfragegenehmigungsnachricht bestätigen, um so die Kontrolle durch den Betreiber der Maschine zu gewährleisten. Für die Erteilung kann es erforderlich sein, dass ein Zeitraum für die Fernwartung explizit festgelegt wird, und/oder ein Genehmigungsschlüssel muss manuell durch den Mitarbeiter in eine gültige Form geändert werden. Die Anfragegenehmigungsnachricht enthält einen Genehmigungsschlüssel, der auf eine festgelegte Art modifiziert wird, so dass der modifizierte Genehmigungsschlüssel, nicht unmittelbar gültig ist, um die Erteilung einer Genehmigung zu bestätigen. Hierdurch wird verhindert, dass beispielsweise eine Auto-Responder-Funktion bereits zur Erteilung einer Genehmigung führen kann. Weiterhin können Bedingungen, die zulässigen Befehle oder die Zugriffsart festgelegt werden, was durch Änderung oder Auswahl eines bestimmten Genehmigungsprozesses geschehen kann, wenn es beispielsweise für die wenigstens eine Maschinenkomponente mehrere Genehmigungsprozesse mit unterschiedlichen Zugriffsrechten gibt. Nach Erteilung der Genehmigung 410 kann optional eine Bestätigung mit Details bezüglich der Fernwartung an den Hersteller beziehungsweise die entsprechenden Mitarbeiter, die die Fernwartung durchführen sollen, gesendet werden 412. Auch der Urheber der Anfrage kann über die Genehmigung oder die Ablehnung informiert werden. Gegebenenfalls kann es notwendig sein, auf den festgelegten Gültigkeitszeitraum der Genehmigung zu warten 416, bevor die Kommunikation freigeschaltet 418 wird. Optional kann es auch noch notwendig sein, dass Bedingungen seitens der Maschinenkomponente oder Maschine erfüllt werden, bevor die Kommunikation freigeschaltet wird. Wird eine Genehmigung modifiziert, so dass sie ihre Gültigkeit verliert, oder läuft der festgelegte Zeitraum ab, wird die Kommunikation unterbrochen. Der Mitarbeiter, der die Fernwartung durchführt, wird über alle seine aktiven und inaktiven Sessions informiert, damit die Fernwartungen möglichst effizient und vollständig dokumentiert zum Abschluss gebracht werden können. Optional kann der Mitarbeiter auch sehen, welche Genehmigungen erteilt wurden. Vor dem Ablauf einer Genehmigung wird der Mitarbeiter gewarnt. Die Vorrichtung 150 kann ferner so konfiguriert sein, dass sie in regelmäßigen Abständen ein Emailkonto abruft, in dem die Antworten auf Genehmigungsemails eingehen. Alternativ können die Emails auch durch ein push-Verfahren an die Vorrichtung 150 übertragen werden. Um doppelte Verarbeitung von Emails zu vermeiden, kann eine verarbeitete Email als gelesen markiert werden. Die Verarbeitung umfasst dabei die Suche nach dem Genehmigungsschlüssel zu einer aktiven Genehmigungsanfrage. Die Suche nach dem Genehmigungsschlüssel soll mit einer gewissen Fehlertoleranz geschehen. In Benachrichtigungen, die an den Urheber der Anfrage für die Fernwartung oder an den Hersteller, der die Fernwartung durchführen soll, ist kein Genehmigungsschlüssel enthalten, um wiederholende Antworten durch eine Auto- Responder-Funktion zu vermeiden. Falls mehrere Genehmigungen zu einer Anfrage eingehen, die von mehreren genehmigungsberechtigten Personen unabhängig voneinander erteilt wurden, kann die Vorrichtung entweder mehrere unabhängige Genehmigungen verwalten, oder es kann bestimmt werden, welche Genehmigung tatsächlich gültig ist. Dies kann die erste erteilte Genehmigung sein, so dass alle weiteren Genehmigungen ignoriert werden, oder eine später eintreffende Genehmigung kann eine frühere Genehmigung überschreiben und ersetzen. Die entsprechenden Personen können sofort benachrichtigt werden. FIG. 4 shows an embodiment of a method for controlling remote access for remote maintenance of a machine, which may include one or more machine components. In step 402, a request for a remote maintenance approval is received from one or more machine components. This request is checked 404, for example, whether it refers to an authorized representative of the manufacturer and a machine component at the operator of the machine, for which a remote maintenance is provided in principle. This can be done by comparing the details from the request with predefined approval processes. A predefined approval process can also be identified by an approval key that is included in the request. If a request for remote maintenance approval is correct 406, then actual remote maintenance settings are completed, which in turn may be done according to a predefined approval process. Then, a request approval message is sent for approval to one or more of the employees who are authorized to approve the approval process or machine components. The request approval message may be an email. At least one of these authorized employees must then confirm the approval by responding to the request approval message to ensure control by the operator of the machine. The grant may require that a period for remote maintenance be explicitly set and / or an approval key must be manually changed by the employee to a valid form. The request approval message includes an approval key that is modified in a predetermined manner so that the modified approval key is not immediately valid to confirm the grant of a permit. This prevents that, for example, an auto-responder function can already lead to the granting of a license. Furthermore, conditions, the permissible commands or the type of access can be determined, which can be done by changing or selecting a specific approval process, for example, if there are several approval processes with different access rights for the at least one machine component. After approval 410, an optional confirmation with details regarding the remote maintenance to the manufacturer or the corresponding employees who are to carry out the remote maintenance can be sent 412. Also, the author of the request can be informed about the approval or rejection. If necessary, it may be necessary to wait 416 for the specified validity period of the approval. before the communication is unlocked 418. Optionally, it may also be necessary for conditions on the part of the machine or machine to be met before the communication is enabled. If an approval is modified to become invalid, or if the specified period expires, the communication will be interrupted. The employee who performs the remote maintenance is informed about all his active and inactive sessions, so that the remote maintenance can be completed as efficiently and fully documented as possible. Optionally, the employee can also see which approvals have been granted. The employee is warned before the approval expires. The device 150 may also be configured to periodically retrieve an e-mail account in which responses to approval e-mails are received. Alternatively, the emails may also be transferred to the device 150 by a push process. To avoid duplicate processing of emails, a processed email can be marked as read. Processing involves searching for the approval key for an active approval request. The search for the approval key should be done with a certain amount of fault tolerance. Notifications sent to the originator of the remote maintenance request or to the manufacturer performing the remote maintenance do not include an approval key to avoid repetitive responses through an auto-responder feature. If multiple approvals arrive at a request that has been independently granted by multiple authorized persons, the device can either manage multiple independent approvals, or it can be determined which license is actually valid. This may be the first granted approval so all other approvals are ignored or a later arriving approval may override and replace an earlier approval. The corresponding persons can be informed immediately.
Es wird ferner darauf hingewiesen, dass in den zuvor beschriebenen Ausführungsformen genannte Merkmale nicht auf diese speziellen Kombinationen beschränkt sind, sondern auch in beliebigen anderen Kombinationen als weitere Ausführungsformen möglich sind. It is further noted that features mentioned in the embodiments described above are not limited to these specific combinations, but are also possible in any other combinations as further embodiments.

Claims

Patentansprüche  claims
Vorrichtung (150) zum Steuern eines Fernwartungszugriffs auf eine Maschine (132) in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie, wobei die Maschine konfiguriert ist, eine Kommunikationsverbindung mit wenigstens einer entfernten Einheit (110, 112, 114) zur Fernwartung wenigstens einer Maschinenkomponente (134) der Maschine einzurichten, wobei die Kommunikationsverbindung zwischen der entfernten Einheit und der Maschine ein externes Netzwerk (120) umfasst, dadurch gekennzeichnet, dass die Vorrichtung konfiguriert ist, eine Anfrage für eine Genehmigung eines Fernwartungszugriffs auf wenigstens eine Maschinenkomponente der Maschine zu empfangen, die Vorrichtung ein Genehmigungsmodul (156) zum Erteilen der Genehmigung des Fernwartungszugriffs umfasst, wobei die erteilte Genehmigung eine bestimmte entfernte Einheit und die wenigstens eine Maschinenkomponente der Maschine für den Fernwartungszugriff identifiziert und insbesondere des Weiteren eine Zeitangabe für den Fernwartungszugriff angibt; die Vorrichtung ein Freischaltungsmodul (158) zum Freischalten oder Blockieren einer Kommunikationsverbindung zwischen der bestimmten entfernten Einheit und der die wenigstens eine Maschinenkomponente basierend auf der erteilten Genehmigung umfasst, wobei das Freischaltungsmodul so konfiguriert ist, dass die Kommunikationsverbindung nur zwischen der bestimmten entfernten Einheit und der wenigstens einen Maschinenkomponente, die in der erteilten Genehmigung identifiziert sind, freigeschaltet wird; und wobei eine Fernwartung für die wenigstens eine Maschinenkomponente der Maschine nur mittels einer freigeschalteten Kommunikationsverbindung und nur durch eine in einer erteilten Genehmigung identifizierten entfernten Einheit durchführbar ist. Apparatus (150) for controlling remote maintenance access to a machine (132) in the liquid food filling industry, in particular the beverage industry, wherein the machine is configured to communicate with at least one remote unit (110, 112, 114) for remotely maintaining at least one machine component (134) of the machine, wherein the communication link between the remote unit and the machine comprises an external network (120), characterized in that the device is configured to receive a request for permission of remote maintenance access to at least one machine component of the machine, the device comprises an approval module (156) for granting the approval of the remote maintenance access, the granted approval identifying a particular remote unit and the at least one machine component of the remote maintenance access engine, and more particularly indicates a time for the remote maintenance access; the device comprises an activation module (158) for enabling or blocking a communication link between the particular remote unit and the at least one machine component based on the granted approval, the activation module being configured such that the communication link is only between the particular remote unit and the at least one remote unit unlock a machine component identified in the granted approval; and wherein remote maintenance for the at least one machine component of the machine is feasible only by means of an enabled communication link and only by a remote unit identified in an issued approval.
Vorrichtung nach Anspruch 1 , wobei die erteilte Genehmigung einen Zeitraum für den Fernwartungszugriff zur Durchführung der Fernwartung angibt, und wobei das Freischaltungsmodul (158) konfiguriert ist, die Kommunikationsverbindung nur während des Zeitraums freizuschalten. The apparatus of claim 1, wherein the granted approval indicates a period for the remote maintenance access for performing the remote maintenance, and wherein the activation module (158) is configured to enable the communication connection only during the period.
3. Vorrichtung nach Anspruch 2, wobei die Vorrichtung des Weiteren so konfiguriert ist, dass sie den Zeitraum einer erteilten Genehmigung ändern kann, und dass sie den Zeitraum der erteilten Genehmigung so ändert, dass der Zeitraum nach Beendigung der Kommunikationsverbindung der Fernwartung ebenfalls endet. 3. The apparatus of claim 2, wherein the device is further configured to change the period of granted approval, and to change the period of granted approval so that the time period after termination of the remote maintenance communication connection also ends.
4. Vorrichtung nach einem der Ansprüche 1 bis 3, wobei die Genehmigung des Weiteren eine Bedingung umfasst, welche eine Bestätigung des Fernwartungszugriffs durch einen Anwender mittels eines Human-Machine-Interfaces, HMI, der Maschine (132) erfordert, und wobei das Freischaltungsmodul (158) konfiguriert ist, den Fernwartungszugriff erst nach Erfüllung der Bedingung freizuschalten. The apparatus of any one of claims 1 to 3, wherein the approval further comprises a condition requiring confirmation by a user of the remote maintenance access by means of a human machine interface, HMI, of the machine (132), and wherein the activation module ( 158) is configured to enable remote maintenance access only after the condition has been met.
5. Vorrichtung nach einem der Ansprüche 1 bis 4, wobei das Genehmigungsmodul (156) des Weiteren konfiguriert ist, die Genehmigung nur nach Empfang einer gültigen Bestätigungsnachricht zu erteilen, wobei die gültige Bestätigungsnachricht einen Genehmigungsschlüssel umfasst, welcher der Anfrage zugeordnet ist und zuvor von der Vorrichtung in einer Anfragegenehmigungsnachricht an wenigstens einen vorgegeben Empfängen gesendet wurde, wobei die Vorrichtung (150) des Weiteren konfiguriert ist, die Anfragegenehmigungsnachricht für die empfangene Anfrage an den wenigstens einen vorgegeben Empfänger zu senden, wobei die Anfragegenehmigungsnachricht den Genehmigungsschlüssel derart enthält, dass der Genehmigungsschlüssel in wenigstens zwei, voneinander getrennte Teile aufgeteilt ist und der Genehmigungsschlüssel aus diesen wenigstens zwei, voneinander getrennten Teilen der Anfragegenehmigungsnachricht wieder zusammengesetzt werden kann, und wobei die Bestätigungsnachricht als Antwort des wenigstens einen vorgegeben Empfängers auf die Anfragegenehmigungsnachricht von der Vorrichtung empfangen wird. The apparatus of any of claims 1 to 4, wherein the approval module (156) is further configured to grant the approval only upon receipt of a valid acknowledgment message, the valid acknowledgment message comprising an authorization key associated with the request and previously submitted by the user The device (150) is further configured to send the request approval message for the received request to the at least one predetermined recipient, the request approval message including the approval key such that the approval key in at least two parts separated from each other and the approval key from these at least two separate parts of the request approval message can be reassembled, and wherein the confirmation message as Antwo At least one predetermined recipient is received on the request approval message from the device.
6. Vorrichtung nach einem der Ansprüche 1 bis 5, wobei wenigstens ein Genehmigungsprozess vordefiniert ist, welcher eine bestimmte entfernte Einheit und wenigstens eine bestimmte Maschinenkomponente (134) für einen Fernwartungszugriff angibt, und wobei der Genehmigungsprozess Funktionen angibt, die während des Fernwartungszugriffs ausführbar sind und/oder die während des Fernwartungszugriffs blockiert sind. 6. The device according to claim 1, wherein at least one approval process is predefined, which specifies a specific remote unit and at least one specific machine component (134) for a remote maintenance access, and wherein the approval process specifies functions that are executable during remote maintenance access and / or that are blocked during remote maintenance access.
Vorrichtung nach einem der Ansprüche 1 bis 6, wobei das Genehmigungsmodul (156) konfiguriert ist, die Genehmigung für die Anfrage nur innerhalb eines vordefinierten Zeitraums nach dem Empfang der Anfrage zu erteilen. The apparatus of any one of claims 1 to 6, wherein the approval module (156) is configured to grant approval for the request only within a predefined period of time after receipt of the request.
Verfahren zum Steuern eines Fernwartungszugriffs auf eine Maschine (132) in der Abfüllindustrie für flüssige Lebensmittel, insbesondere der Getränkemittelindustrie, wobei die Maschine konfiguriert ist, eine Kommunikationsverbindung mit wenigstens einer entfernten Einheit (110, 112, 114) zur Fernwartung wenigstens einer Maschinenkomponente (134) der Maschine einzurichten, und wobei die Kommunikationsverbindung zwischen der entfernten Einheit und der Maschine ein externes Netzwerk (120) umfasst, wobei das Verfahren umfasst: A method of controlling a remote maintenance access to a machine (132) in the liquid food filling industry, in particular the beverage industry, wherein the machine is configured to communicate with at least one remote unit (110, 112, 114) to remotely maintain at least one machine component (134). the machine, and wherein the communication link between the remote unit and the machine comprises an external network (120), the method comprising:
Empfangen (402) einer Anfrage für eine Genehmigung eines Fernwartungszugriffs auf wenigstens eine Maschinenkomponente der Maschine; Receiving (402) a request for approval of remote maintenance access to at least one machine component of the machine;
Erteilen (410) der Genehmigung des Fernwartungszugriffs, wobei die erteilte Genehmigung eine bestimmte entfernte Einheit und die wenigstens eine Maschinenkomponente der Maschine für den Fernwartungszugriff identifiziert und insbesondere des Weiteren eine Zeitangabe für den Fernwartungszugriff angibt; Granting (410) the approval of the remote maintenance access, wherein the granted approval identifies a particular remote unit and the at least one machine component of the remote maintenance access machine, and more particularly, further indicating a time for remote maintenance access;
Freischalten (418) oder Blockieren einer Kommunikationsverbindung zwischen der bestimmten entfernten Einheit und der die wenigstens eine Maschinenkomponente basierend auf der erteilten Genehmigung, wobei die Kommunikationsverbindung nur zwischen der bestimmten entfernten Einheit und der wenigstens einen Maschinenkomponente, die in der erteilten Genehmigung identifiziert sind, freigeschaltet wird; und wobei eine Fernwartung für die wenigstens eine Maschinenkomponente der Maschine nur mittels einer freigeschalteten Kommunikationsverbindung und nur durch eine in einer erteilten Genehmigung identifizierten entfernten Einheit durchführbar ist. Enabling (418) or blocking a communication link between the particular remote unit and the at least one machine component based on the granted approval, wherein the communication link is enabled only between the particular remote unit and the at least one machine component identified in the granted approval ; and wherein remote maintenance for the at least one machine component of the machine is feasible only by means of an enabled communication link and only by a remote unit identified in an issued approval.
Verfahren nach Anspruch 8, wobei die erteilte Genehmigung einen Zeitraum für den Fernwartungszugriff zur Durchführung der Fernwartung angibt, und wobei die Kommunikationsverbindung nur während des Zeitraums freigeschaltet wird. The method of claim 8, wherein the granted approval indicates a period of remote maintenance access for performing the remote maintenance, and wherein the communication connection is enabled only during the time period.
10. Verfahren nach Anspruch 9, welches des Weiteren umfasst: 10. The method of claim 9, further comprising:
Ändern des Zeitraums der erteilten Genehmigung, wobei der Zeitraum derart geändert wird, dass der Zeitraum der erteilten Genehmigung nach Beendigung der Kommunikationsverbindung der Fernwartung ebenfalls endet. Changing the period of the granted approval, whereby the period is changed so that the period of the granted approval also ends after termination of the communication connection of the remote maintenance.
11. Verfahren nach einem der Ansprüche 8 bis 10, wobei die Genehmigung des Weiteren eine Bedingung umfasst, die eine Bestätigung des Fernwartungszugriffs durch einen Anwender erfordert, und wobei der Fernwartungszugriff erst nach Erfüllung der Bedingung freigeschaltet wird. 11. The method of claim 8, wherein the approval further comprises a condition requiring confirmation of the remote maintenance access by a user, and wherein the remote maintenance access is enabled only upon satisfaction of the condition.
12. Verfahren nach einem der Ansprüche 8 bis 11 , wobei das Verfahren des Weiteren umfasst: 12. The method according to any one of claims 8 to 11, wherein the method further comprises:
Senden einer Anfragegenehmigungsnachricht für die empfangene Anfrage an wenigstens einen vorgegeben Empfänger, wobei die Anfragegenehmigungsnachricht einen Genehmigungsschlüssel derart enthält, dass der Genehmigungsschlüssel in wenigstens zwei, voneinander getrennte Teile aufgeteilt ist und der Genehmigungsschlüssel aus diesen wenigstens zwei, voneinander getrennten Teilen der Anfragegenehmigungsnachricht wieder zusammengesetzt werden kann, und wobei der Genehmigungsschlüssel der empfangenen Anfrage zugeordnet ist, Sending a request approval message for the received request to at least one predetermined recipient, wherein the request approval message includes an approval key such that the approval key is divided into at least two separate parts and the approval key can be reassembled from these at least two separate parts of the request approval message , and wherein the approval key is associated with the received request,
Empfangen einer Bestätigungsnachricht als Antwort auf das Senden der Anfragegenehmigungsnachricht, wobei das Erteilen (410) der Genehmigung nur erfolgt, wenn die empfangene Bestätigungsnachricht den zusammengesetzten Genehmigungsschlüssel umfasst. Receiving an acknowledgment message in response to the sending of the request approval message, wherein granting (410) of the approval occurs only if the received acknowledgment message comprises the composite approval key.
13. Verfahren nach einem der Ansprüche 8 bis 12, wobei wenigstens ein Genehmigungsprozess vordefiniert ist, welcher eine bestimmte entfernte Einheit und wenigstens eine bestimmte Maschinenkomponente (134) für einen Fernwartungszugriff angibt, und wobei der Genehmigungsprozess Funktionen angibt, die während des Fernwartungszugriffs ausführbar sind und/oder die während des Fernwartungszugriffs blockiert sind. Verfahren nach einem der Ansprüche 8 bis 13, wobei die Genehmigung für die empfangene Anfrage nur innerhalb eines vordefinierten Zeitraums nach dem Empfang der Anfrage erteilbar ist. 13. The method of claim 8, wherein at least one approval process is predefined that specifies a particular remote unit and at least one particular machine component for remote maintenance access, and wherein the approval process specifies functions executable during the remote maintenance access and / or blocked during remote maintenance access. Method according to one of claims 8 to 13, wherein the approval for the received request can be given only within a predefined period of time after the receipt of the request.
PCT/EP2016/060388 2015-05-22 2016-05-10 Machine maintenance in the beverage industry WO2016188731A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102015209499.5 2015-05-22
DE102015209499.5A DE102015209499A1 (en) 2015-05-22 2015-05-22 Machine maintenance in the beverage industry

Publications (1)

Publication Number Publication Date
WO2016188731A1 true WO2016188731A1 (en) 2016-12-01

Family

ID=56026827

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2016/060388 WO2016188731A1 (en) 2015-05-22 2016-05-10 Machine maintenance in the beverage industry

Country Status (2)

Country Link
DE (1) DE102015209499A1 (en)
WO (1) WO2016188731A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021017660A1 (en) * 2019-07-31 2021-02-04 中兴通讯股份有限公司 Execution method and apparatus for maintenance operation

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102018208609A1 (en) * 2018-05-30 2019-12-05 Siemens Aktiengesellschaft A method of operating a wireless communication link and system arrangement
EP4102853A4 (en) * 2020-02-03 2024-03-06 Dmg Mori Co Ltd Information processing device and information processing method
EP4020107B1 (en) * 2020-12-23 2023-11-29 Red Bull GmbH Method for monitoring the production of containers filled with an aqueous system with a production system, use of a monitoring method and production system

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200681A1 (en) * 2002-01-10 2003-07-31 Siemens Ag Temporary entry authorization for accessing automation devices, such as machine tool, involves generating token for communicating with accessing terminal
EP2557733A1 (en) * 2011-08-09 2013-02-13 Siemens Aktiengesellschaft Configuration of a communication network
DE102013111690A1 (en) * 2013-10-23 2015-05-07 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Method for providing limited access keys for field devices

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10054298A1 (en) * 2000-07-12 2002-01-31 Frank Brinkmann Authentication of digital data uses generation of two part object keys for comparison with master key
US7302570B2 (en) * 2003-08-19 2007-11-27 International Business Machines Corporation Apparatus, system, and method for authorized remote access to a target system
DE102005015792A1 (en) * 2004-05-04 2005-12-01 Heidelberger Druckmaschinen Ag Electronic system for numerically controlled industrial processing machine, has computer operating printing machine, and another computer including authorization device storing access data for personnel with access authorization
DE102011106497B4 (en) * 2011-06-15 2018-11-15 Messer Cutting Systems Gmbh System for remote maintenance or diagnosis of a computer-controlled flame cutting machine

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10200681A1 (en) * 2002-01-10 2003-07-31 Siemens Ag Temporary entry authorization for accessing automation devices, such as machine tool, involves generating token for communicating with accessing terminal
EP2557733A1 (en) * 2011-08-09 2013-02-13 Siemens Aktiengesellschaft Configuration of a communication network
DE102013111690A1 (en) * 2013-10-23 2015-05-07 Endress + Hauser Conducta Gesellschaft für Mess- und Regeltechnik mbH + Co. KG Method for providing limited access keys for field devices

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021017660A1 (en) * 2019-07-31 2021-02-04 中兴通讯股份有限公司 Execution method and apparatus for maintenance operation

Also Published As

Publication number Publication date
DE102015209499A1 (en) 2016-11-24

Similar Documents

Publication Publication Date Title
EP2805208B1 (en) Method for communicating data between a domestic appliance and a user terminal, a domestic appliance, and a system comprising a domestic appliance and a user terminal
WO2016188731A1 (en) Machine maintenance in the beverage industry
DE102011081804A1 (en) Method and system for providing device-specific operator data for an automation device of an automation system
DE102015118142A1 (en) Method for configuring and controlling intelligent home appliances
DE10251523A1 (en) System and method for providing data and services for devices, and device that uses the data and services provided
DE102015103357A1 (en) CONNECTING PEOPLE AND THINGS ABOUT MOBILE MESSAGING PRIVACY / SECURITY BROKERSYSTEM
DE112004000349T5 (en) Operation management system
DE112010003638T5 (en) Public BOT management in private networks
EP3798767B1 (en) Method and arrangement for controlling the data exchange of an industrial edge device
EP3080950B1 (en) Method and system for deterministic auto-configuration of a device
EP3314933A1 (en) Communicating a subscriber identity module to a server, in particular upon changing profiles
EP2707782B1 (en) Method and system for providing device-specific property data for an automation device in an automation installation
DE60312138T2 (en) SECURE REMOTE CONTROL
EP3200034A1 (en) Method and device for accessing data or functions of a programmable logic controller by means of a web-service
DE102020124820A1 (en) SECURE EXTERNAL ACCESS TO PROCESS CONTROL DATA THROUGH A MOBILE DEVICE
EP3151503B1 (en) Method and system for authenticating a surrounding web application with an embedded web application
DE102013227141A1 (en) Transfer of a user interface
EP2929665B1 (en) Method, assembly for processing information in a domestic appliance, and domestic appliance
EP2557733A1 (en) Configuration of a communication network
EP2662738A1 (en) Method and application for configuring a component in an industrial automation device with a mobile device
EP3585084A1 (en) Device of an access authorisation system for a sub-network of a mobile radio network
WO2013041360A1 (en) System and method for providing a control program code
DE102020124837A1 (en) WHITELISTING FOR HART COMMUNICATIONS IN A PROCESS CONTROL SYSTEM
EP2645630B1 (en) Adaptive remote service protocol
EP3456005B1 (en) Mobile communication device having a user interface depiction on the basis of a parameter captured on an interface

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16723984

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16723984

Country of ref document: EP

Kind code of ref document: A1