Sammenligning af lovkrav: Maskindirektivet kontra Maskinforordningen
1.2.1 Et styresystems sikkerhed og pålidelighed
Ændringer
Maskinforordningen indfører flere nye og skærpede krav til styresystemer, med særligt fokus på cybersikkerhed, sporbarhed og softwarens rolle for sikkerheden. Styresystemer skal nu være modstandsdygtige over for både utilsigtet og tilsigtet påvirkning, herunder ondsindede angreb. Der indføres krav om, at sikkerhedsfunktionernes grænser skal fastlægges og ikke må kunne ændres på en måde, der medfører risiko.
Ydermere indføres krav om logning og lagring af sikkerhedsrelaterede hændelser og softwareændringer for at muliggøre efterfølgende kontrol. For maskiner med selvudviklende adfærd eller autonomi stilles der desuden særlige krav om, at deres handlinger skal begrænses, kunne overvåges og om nødvendigt korrigeres for at opretholde sikkerheden.
- Nyt krav: "det, når det er hensigtsmæssigt under hensyn til omstændighederne og risiciene, kan modstå de tilsigtede driftsbelastninger og tilsigtet og utilsigtet ekstern påvirkning, herunder rimeligt forudseelige ondsindede forsøg fra tredjemand, der fører til farlige situationer,"
- Nyt krav: "grænserne for sikkerhedsfunktionerne skal fastlægges som en del af den risikovurdering, der udføres af fabrikanten, og der er ikke tilladt ændringer af de indstillinger eller regler, der er genereret af maskinen eller det relaterede produkt eller af operatørerne, herunder under maskinens eller det relaterede produkts læringsfase, hvis sådanne ændringer kan føre til farlige situationer,"
- Nyt krav: "sporingsloggen over de data, der genereres i forbindelse med et indgreb, og de versioner af sikkerhedssoftware, der er uploadet efter at maskinen eller det relaterede produkt er bragt i omsætning eller taget i brug, er aktiveret i fem år efter uploaden, udelukkende for på behørig anmodning fra en kompetent national myndighed at dokumentere, at maskinen eller det relaterede produkt er i overensstemmelse med dette bilag,"
- Nyt krav: "styresystemer for maskiner eller relaterede produkter med helt eller delvist selvudviklende adfærd eller logik, som er konstrueret til at fungere med varierende grad af autonomi, skal konstrueres og fremstilles på en sådan måde, at"
- Nyt krav: "maskinen eller det relaterede produkt ikke udfører handlinger ud over dets fastlagte arbejdsopgave og bevægelsesområde,"
- Nyt krav: "registrering af data om den sikkerhedsrelaterede beslutningsproces for softwarebaserede sikkerhedssystemer, der sikrer sikkerhedsfunktioner, herunder sikkerhedskomponenter, efter at maskinen eller det relaterede produkt er bragt i omsætning eller taget i brug, er mulig, og at sådanne data lagres i et år efter indsamlingen, udelukkende for på behørig anmodning fra en kompetent national myndighed at dokumentere, at maskinen eller det relaterede produkt er i overensstemmelse med dette bilag,"
- Nyt krav: "det altid er muligt at korrigere maskinen eller det relaterede produkt for at bevare dets iboende sikkerhed."
- Nyt krav: "Ændringer af de indstillinger eller regler, der er genereret af maskinen eller det relaterede produkt eller af operatører, også under maskinens eller det relaterede produkts læringsfase, skal forhindres, hvis sådanne ændringer kan føre til farlige situationer."
- Krav ændres: "For trådløs styring skal der foretages et automatisk stop, når korrekte styresignaler ikke når frem, herunder ved kommunikationssvigt." erstattes med "For trådløs styring må en fejl i kommunikationen eller forbindelsen eller en forkert forbindelse ikke føre til en farlig situation."
Forslag til foranstaltninger
- Sørg for, at styresystemet er analyseret også med hensyn til forsætlig påvirkning (f.eks. manipulation, cyberangreb)
- Verificér, at styresystemet er robust over for både utilsigtet og forsætlig ydre påvirkning, herunder kommunikation og netværk
- Sørg for, at grænserne for alle sikkerhedsfunktioner er defineret og dokumenteret i risikovurderingen
- Kontrollér, at disse grænser ikke kan ændres af operatør, system eller læringsfunktioner på en måde, der kan skabe risiko
- Verificér, at ændringer i parametre, indstillinger og regler, der påvirker sikkerheden, er beskyttet (f.eks. adgangsstyring, låsning, validering)
- Sørg for, at ændringer under en eventuel læringsfase ikke kan føre til risikobetonede situationer
- Sørg for, at logningssystemer (sporbarhed) findes og er aktiveret
- Verificér, at logfiler indeholder:
- indgreb i systemet
- ændringer i sikkerhedssoftware
- versionsstyring
- Kontrollér, at logfiler opbevares i mindst 5 år og kan fremlægges på myndighedens anmodning
- Hvis maskinen har selvudviklende adfærd eller autonomi:
- Verificér, at maskinen ikke kan udføre handlinger uden for den definerede arbejdsopgave og bevægelseszone
- Sørg for, at beslutninger, der påvirker sikkerhedsfunktioner, registreres og lagres (mindst 1 år)
- Kontrollér, at der er mulighed for at korrigere eller gendanne systemet for at opretholde sikkerheden
- Sørg for, at styresystemet forhindrer uautoriserede ændringer af sikkerhedskritiske indstillinger (inkl. fra operatører)
- Verificér, at dette også gælder under drift, service og eventuelle adaptive funktioner
- Ved trådløs styring:
- Kontrollér, at alle typer kommunikationsfejl (udfald, interferens, fejlagtig forbindelse) håndteres, så ingen risiko opstår
- Verificér, at systemet går i en sikker tilstand ved kommunikationsproblemer (ikke blot stop, men en risikofri situation)
Maskindirektivets lovtekst
1.2.1 Et styresystems sikkerhed og pålidelighed
Et styresystem skal være konstrueret og fremstillet, så farlige situationer ikke kan opstå. Frem for alt skal det være konstrueret og fremstillet, så
— det kan modstå de tilsigtede belastninger under drift og ydre påvirkninger,
— fejl i styresystemets hardware eller software ikke fører til farlige situationer,
— fejl i styresystemets logik ikke fører til farlige situationer,
— rimeligt forudsigelige menneskelige fejl under betjeningen ikke fører til farlige situationer.
Der skal rettes særlig opmærksomhed mod følgende punkter:
— Maskinen må ikke starte uventet.
— Maskinens parametre må ikke ændres ukontrolleret, hvis en ændring kan give anledning til farlige situationer.
— Maskinen må ikke hindres i at stoppe, hvis stopkommandoen allerede er givet.
— Ingen bevægelig del af maskinen eller del, som holdes af maskinen, må falde eller slynges ud.
— Automatisk eller manuel standsning af bevægelige dele af enhver art skal kunne udføres uhindret.
— Beskyttelsesanordningerne skal fortsat være fuldt effektive eller udløse stopkommando.
— De sikkerhedsrelaterede dele af styresystemet skal fungere sammenhængende for en hel gruppe
af maskiner og/eller delvist færdiggjorte maskiner.
Ved trådløs styring skal der foretages et automatisk stop, når korrekte styresignaler ikke fremkommer, herunder ved kommunikationssvigt.
Læs mere
Maskinforordningens lovtekst
1.2.1 Et styresystems sikkerhed og pålidelighed
Et styresystem skal være konstrueret og fremstillet, så risikofyldte situationer ikke kan opstå.
Et styresystem skal være konstrueret og fremstillet på en sådan måde, at
a) det, når det er relevant under hensyntagen til omstændighederne og risiciene, kan modstå de tilsigtede driftsbelastninger samt tilsigtet og utilsigtet ekstern påvirkning, herunder rimeligt forudseelige ondsindede forsøg fra tredjemand, der kan føre til risikofyldte situationer,
b) fejl i styresystemets hardware eller software ikke fører til risikofyldte situationer,
c) fejl i styresystemets logik ikke fører til risikofyldte situationer,
d) grænserne for sikkerhedsfunktionerne skal fastlægges som en del af den risikovurdering, der udføres af fabrikanten, og ingen ændringer må foretages i de indstillinger eller regler, der er genereret af maskinen eller det relaterede produkt eller af operatørerne, herunder under maskinens eller det relaterede produkts læringsfase, hvis sådanne ændringer kan føre til risikofyldte situationer,
e) rimeligt forudseelige menneskelige fejl under betjeningen ikke fører til risikofyldte situationer,
f) sporingsloggen over de data, der genereres i forbindelse med et indgreb, og de versioner af sikkerhedssoftware, der er uploadet efter, at maskinen eller det relaterede produkt er bragt i omsætning eller taget i brug, er aktiveret i fem år efter uploaden, udelukkende for på begrundet anmodning fra en kompetent national myndighed at påvise, at maskinen eller det relaterede produkt er i overensstemmelse med dette bilag,
Styresystemer til maskiner eller relaterede produkter med helt eller delvist selvudviklende adfærd eller logik, der er konstrueret til at fungere med varierende grad af autonomi, skal konstrueres og fremstilles på en sådan måde, at
a) maskinen eller det relaterede produkt ikke udfører handlinger ud over dets fastlagte arbejdsopgave og bevægelsesområde,
b) registrering af data om den sikkerhedsrelaterede beslutningsproces for softwarebaserede sikkerhedssystemer, der sikrer sikkerhedsfunktioner, herunder sikkerhedskomponenter, efter at maskinen eller det relaterede produkt er bragt i omsætning eller taget i brug, er mulig, og at sådanne data lagres i et år efter indsamlingen, udelukkende for på begrundet anmodning fra en kompetent national myndighed at påvise, at maskinen eller det relaterede produkt er i overensstemmelse med dette bilag,
c) det altid er muligt at korrigere maskinen eller det relaterede produkt for at bevare dets iboende sikkerhed.
Der skal især lægges vægt på følgende punkter:
a) Maskinen eller det relaterede produkt må ikke starte uventet.
b) Parametrene for maskinen eller det relaterede produkt må ikke ændres på ukontrolleret vis, hvis en sådan ændring kan give anledning til risikofyldte situationer.
c) Ændringer af indstillingerne eller reglerne, genereret af maskinen eller det relaterede produkt eller af operatører, også under maskinens eller det relaterede produkts læringsfase, skal forhindres, hvis sådanne ændringer kan føre til risikofyldte situationer.
d) Maskinen eller det relaterede produkt må ikke hindres i at standse, hvis stopkommandoen allerede er givet.
e) Ingen bevægelig del af maskinen eller det relaterede produkt eller en del, der holdes af den, må falde ned eller slynges ud.
f) Automatisk eller manuel standsning af bevægelige dele af enhver art skal kunne ske uden hindringer.
g) Beskyttelsesanordningerne skal fortsat være fuldt effektive eller udløse stopkommando.
h) De sikkerhedsrelaterede dele af styresystemet skal fungere sammenhængende for en hel gruppe af maskiner eller relaterede produkter eller delvist færdiggjorte maskiner, eller en kombination heraf.
Når det gælder trådløs styring, må en fejl i kommunikationen eller forbindelsen eller en forkert forbindelse ikke føre til en risikofyldt situation.
Læs mere
Har du några frågor? Kontakta oss