Awaria 150 km od firmy
Piątek, 14:00. Dzwoni utrzymanie ruchu z obiektu oddalonego o 150 km: maszyna stoi, sterownik PLC zgłasza błąd. Serwisant odkłada bieżącą robotę, wsiada do auta i jedzie.
Na miejscu okazuje się, że problemem była błędna wartość parametru. Poprawka zajmuje kwadrans. Dojazd i powrót zajęły razem ponad cztery godziny, a do tego doszło niezadowolenie klienta, bo maszyna miała pół dnia przestoju.
Zdalny dostęp Tosi to system VPN, w którym router Tosi (Lock) instaluje się na obiekcie w szafie sterowniczej maszyny, a serwisant łączy się z maszynami przez klucz sprzętowy TOSIBOX Key, licencję programową SoftKey na komputerze lub aplikację Mobile Client na telefonie. Uruchomienie polega na sparowaniu klucza z routerem i nie wymaga wiedzy sieciowej, a serwery systemu odpowiadające za automatyczne zestawienie połączenia utrzymuje i zabezpiecza producent. Dzięki temu znaczną część diagnoz wykonasz zdalnie w kilka minut, zamiast jechać na obiekt.
Skąd biorą się oszczędności
W trzech miejscach: przy uruchomieniu, w utrzymaniu i przy każdej awarii, do której nie trzeba jechać.
Uruchomienie bez wiedzy sieciowej. Parowanie klucza z routerem wykonasz fizycznie, wkładając klucz do portu USB routera, albo zdalnie, kodem parowania zdalnego zatwierdzanym kluczem Master Key. Obie metody opisujemy w artykule DWIE METODY PAROWANIA KLUCZA TOSIBOX Z ROUTEREM TOSIBOX. Urządzenia podłączone do portów LAN routera są wykrywane automatycznie i od razu widoczne dla użytkowników klucza.
Opatentowana metoda nawiązywania połączenia działa także wtedy, gdy obie strony są za NAT lub firewallem. Obiekt bez publicznego adresu IP od operatora Internetu to dla Tosi normalna sytuacja, co pokazujemy w artykule o zdalnym dostępie bez publicznego adresu IP. W praktyce: konfigurację wykona automatyk, bez angażowania specjalisty od połączeń sieciowych, certyfikatów i reguł firewalla.
Utrzymanie po stronie producenta. Serwery pośredniczące systemu (MatchMaker i relay) utrzymuje producent. Serwery MatchMaker koordynują zestawianie połączeń i nigdy nie przenoszą danych klienta. Aktualizacje bezpieczeństwa urządzeń są automatyczne. Serwer VPN, jego administracja i łatanie podatności są po stronie producenta, w Twoim budżecie nie ma tej pozycji.
Korzystanie z systemu Tosi do połączeń VPN nie wymaga zakupu subskrypcji: płatność jest jednorazowa, za sprzęt i licencje, bez cyklicznych opłat za połączenie, inaczej niż w większości konkurencyjnych rozwiązań.
Producent Tosi (Tosibox Oy) ma certyfikaty ISO 27001 i ISO 9001, a zgodność z ISO 27001 obejmuje regularne audyty wewnętrzne i zewnętrzne. Za zespół cyberbezpieczeństwa, który pilnuje tej infrastruktury na co dzień, płaci producent.
Uniknięte wyjazdy. Większość zgłoszeń serwisowych zaczyna się od diagnozy. Ze zdalnym dostępem diagnozę wykonasz przy swoim biurku: podgląd sterownika, odczyt błędów, korekta parametru, restart aplikacji. Na obiekt jedziesz dopiero wtedy, gdy naprawdę trzeba wymienić sprzęt.
Prosty rachunek: jeden wyjazd serwisowy
Policzmy na przykładzie. Wszystkie wartości to założenia, podstaw w ich miejsce własne liczby.
| Założenie | Wartość przykładowa |
| Odległość do obiektu | 150 km w jedną stronę |
| Koszt auta | 1 zł za km |
| Stawka godzinowa serwisanta | 150 zł |
| Dojazd i powrót | 4 godziny |
| Diagnoza i poprawka na miejscu | 1 godzina |
Koszt wyjazdu: 300 zł za auto (2 x 150 km) plus 750 zł za 5 godzin pracy serwisanta. Razem 1050 zł.
Ta sama diagnoza wykonana zdalnie: pół godziny przy biurku, czyli 75 zł. Różnica na jednym zdarzeniu: 975 zł.
Przy dwóch takich zdarzeniach miesięcznie to około 23 400 zł rocznie. Nawet jeśli tylko połowa awarii nadaje się do zdalnego rozwiązania, zostaje około 11 700 zł. W rachunku nie wyceniliśmy przestoju maszyny ani pracy, którą serwisant zostawił, wyjeżdżając. Jeśli znasz koszt godziny przestoju swojej linii, dopisz go do rachunku.
A gdy wyjazd jest konieczny, bo trzeba wymienić podzespół? Zdalna diagnoza powie Ci wcześniej, co jest zepsute i jaką część zabrać. Jedziesz raz zamiast dwa razy.
Porównaj wynik z ceną zestawu startowego (router plus klucz administratora plus licencja softwarowa dla programisty automatyka) w kategorii TOSI ZESTAWY STARTOWE i policz, po ilu unikniętych wyjazdach zestaw się zwraca.
Czas reakcji, czyli to, czego rachunek nie pokazuje
W przykładzie powyżej liczyliśmy koszty po Twojej stronie. Klient widzi co innego: jego maszyna stała pół dnia, a sama poprawka zajęła kwadrans.
Ze zdalnym dostępem reakcja na zgłoszenie zaczyna się kilka minut po telefonie, bez czekania, aż serwisant dojedzie na obiekt. Jeśli serwisujesz maszyny u klientów albo jesteś ich producentem, ten czas reakcji jest tym, co klient zapamięta i za co przedłuży umowę serwisową. Krótszy przestój to wyższa satysfakcja, a przy kolejnym kontrakcie mniejsze ryzyko, że klient rozejrzy się za kimś szybszym.
Tak to działa w fabryce DMI Smart Factory (wdrożenie Tosi przez firmę BONNER): według menedżera operacyjnego DMI zdalne wsparcie skraca czas oczekiwania na pomoc serwisu i eliminuje koszt dojazdu na obiekt.
Case study: Howard Energy Partners
Model to jedno, wdrożenie i uruchomienie systemu zdalnego dostępu na dużą skalę to drugie. Howard Energy Partners, amerykańska firma z sektora midstream (przesył ropy i gazu), zainstalowała ponad 100 urządzeń Tosi w swojej infrastrukturze OT. Liczby poniżej pochodzą z opublikowanego case study producenta i są szacunkami klienta.
Wyjazdy serwisowe na obiekty spadły szacunkowo o 60-75%, a ponad 90% problemów rozwiązywanych jest zdalnie. Firma szacuje roczne oszczędności na dojazdach i nadgodzinach na 15 000 do 50 000 dolarów, przy wzroście efektywności techników o ponad 50%.
Czas reakcji na zgłoszenia poprawił się szacunkowo o 60 do 80%, a przestoje spadły o około połowę. Do tego dostępność systemu na poziomie 99,995% (wcześniej zdarzały się awarie łączności trwające do 24 godzin) i około 10 godzin miesięcznie mniej na przygotowanie dokumentacji audytowej.
Skala jest inna niż w naszym przykładzie, mechanizm ten sam: diagnoza od biurka zamiast wyjazdu.
A co z bezpieczeństwem?
Ten rachunek ma sens tylko wtedy, gdy zdalny dostęp nie osłabia ochrony sieci OT. W Tosi za niski koszt utrzymania i bezpieczeństwo odpowiada ta sama architektura.
Ruch jest w pełni szyfrowany sprzętowo (domyślnie algorytmem szyfrującym AES 256-bit) i może być odczytany wyłącznie w urządzeniach końcowych: routerze, koncentratorze VPN Tosi HUB i kluczu użytkownika. Po drodze nie ma serwera ani osoby, która mogłaby odczytać przesyłane dane, dotyczy to także serwerów producenta.
Router Tosi (Lock) ma od strony WAN fabrycznie wbudowany firewall i przyjmuje zdalne połączenia wyłącznie od kluczy, które zostały z nim wcześniej sparowane. Klucze kryptograficzne urządzeń są nadawane w procesie produkcji, a klucz prywatny nie opuszcza urządzenia. Producent nie przechowuje Twoich kluczy prywatnych ani haseł.
Szczegóły architektury opisaliśmy w artykułach Czy instalacja routera zdalnego dostępu TOSIBOX Lock w mojej sieci jest bezpieczna? oraz Jakie technologie kryptograficzne wykorzystuje Tosibox.
Sprzęt i licencje
Co składa się na zestaw startowy:
- Router Tosi (Lock): instalowany na obiekcie, przy maszynach. Jeden router obsługuje urządzenia podłączone do jego portów LAN.
- TOSIBOX Key: klucz sprzętowy USB. Pierwszy klucz w środowisku pełni rolę Master Key, czyli zarządza siecią i uprawnieniami pozostałych użytkowników.
- Licencja TOSIBOX SoftKey: dostęp z komputera bez klucza sprzętowego. Dostępna w pakietach 5 licencji i 10 licencji, w pakiecie pojedyncza licencja wychodzi taniej.
- Licencja TOSIBOX Mobile Client: dostęp z telefonu lub tabletu, np. do podglądu HMI. Dostępna w pakietach 5 licencji i 10 licencji, z tą samą zasadą oszczędności dla zespołów.
Liczysz koszty wyjazdów do swoich obiektów i nie wiesz, jaki zestaw wybrać na start? Napisz do nas, policzymy konfigurację dopasowaną do Twojej instalacji.
Najczęstsze pytania
Czy uruchomienie zdalnego dostępu Tosi wymaga wiedzy sieciowej?
Uruchomienie systemu Tosi polega na sparowaniu klucza TOSIBOX Key z routerem Tosi (Lock): fizycznie przez port USB routera albo zdalnie, kodem parowania zdalnego zatwierdzanym kluczem Master Key. Urządzenia IP podłączone do portów LAN routera są wykrywane automatycznie. Konfiguracja tuneli VPN, certyfikatów i reguł firewalla odbywa się automatycznie, więc system uruchomi automatyk bez wsparcia specjalisty od sieci.
Ile kosztuje utrzymanie systemu Tosi?
Po stronie firmy zostają sprzęt (router Tosi, klucze TOSIBOX Key) i licencje dla użytkowników (SoftKey, Mobile Client). Korzystanie z systemu Tosi do połączeń VPN nie wymaga zakupu subskrypcji. Płatność jest jednorazowa za sprzęt i licencje, bez cyklicznych opłat za połączenie, inaczej niż w większości konkurencyjnych rozwiązań. Serwery systemu w Tosi Cloud, w tym serwery MatchMaker i relay, utrzymuje producent, a aktualizacje bezpieczeństwa urządzeń są automatyczne. Firma korzystająca z Tosi płaci i amortyzuje więc tylko własne urządzenia końcowe, bez serwera VPN i bez kosztów jego administracji.
Dlaczego Tosi jest uznawany za bezpieczny?
Połączenia Tosi są szyfrowane od końca do końca, domyślnie algorytmem szyfrującym AES 256-bitowym i są czytelne wyłącznie w urządzeniach końcowych. Router Tosi (Lock) ma fabrycznie wbudowany firewall od strony WAN i przyjmuje połączenia tylko od wcześniej sparowanych kluczy. Klucz prywatny nie opuszcza urządzenia, producent nie przechowuje kluczy prywatnych ani haseł klientów, a w systemie nie ma backdoorów. Producent ma certyfikaty ISO 27001 i ISO 9001.
Czy Tosi działa na obiekcie bez publicznego adresu IP?
Tak. Opatentowana metoda nawiązywania połączenia Tosi działa również wtedy, gdy router i klucz znajdują się za NAT lub firewallem. Obiekt nie potrzebuje publicznego adresu IP od operatora, co ma znaczenie przy łączach komórkowych LTE i 5G, z których często korzystają instalacje przemysłowe.
Kiedy zdalny dostęp nie zastąpi wyjazdu serwisowego?
Wyjazd jest konieczny, gdy trzeba fizycznie wymienić uszkodzony podzespół lub wykonać prace przy samej maszynie. Zdalna diagnoza przez Tosi skraca jednak także taki serwis: przed wyjazdem wiadomo, co się zepsuło i jaką część zabrać, więc serwisant jedzie na obiekt raz, z właściwym materiałem.