Vergleich der rechtlichen Anforderungen: Maschinenrichtlinie vs. Maschinenverordnung
1.2.1 Sicherheit und Zuverlässigkeit eines Steuerungssystems
Änderungen
Die Maschinenverordnung führt mehrere neue und verschärfte Anforderungen an Steuerungssysteme ein, mit besonderem Fokus auf Cybersicherheit, Rückverfolgbarkeit und der Rolle von Software für die Sicherheit. Steuerungssysteme müssen nun sowohl gegen unbeabsichtigte als auch gegen vorsätzliche Einwirkungen widerstandsfähig sein, einschließlich böswilliger Angriffe. Es werden Anforderungen eingeführt, wonach die Grenzen der Sicherheitsfunktionen festgelegt werden müssen und nicht so geändert werden dürfen, dass dadurch ein Risiko entsteht.
Ferner kommen Anforderungen an die Protokollierung und Speicherung sicherheitsrelevanter Ereignisse und Softwareänderungen hinzu, um eine nachträgliche Überprüfung zu ermöglichen. Für Maschinen mit selbstentwickelndem Verhalten oder Autonomie gelten darüber hinaus besondere Anforderungen, wonach ihre Handlungen begrenzt, überwachbar und bei Bedarf korrigierbar sein müssen, um die Sicherheit aufrechtzuerhalten.
- Neue Anforderung: "sie müssen, soweit unter Berücksichtigung der Umstände und Risiken angemessen, den vorgesehenen Betriebsbelastungen sowie vorsätzlichen und unbeabsichtigten äußeren Einwirkungen standhalten, einschließlich vernünftigerweise vorhersehbarer böswilliger Versuche Dritter, die zu Gefahrensituationen führen,"
- Neue Anforderung: "die Grenzen der Sicherheitsfunktionen werden im Rahmen der vom Hersteller durchgeführten Risikobeurteilung festgelegt, und Änderungen an den vom Hersteller oder dem Betreiber erzeugten Einstellungen oder Regeln sind unzulässig, einschließlich während der Lernphase der Maschine oder des betreffenden Produkts, sofern solche Änderungen zu Gefahrensituationen führen können,"
- Neue Anforderung: "das Rückverfolgbarkeitsprotokoll über die im Zusammenhang mit einem Eingriff erzeugten Daten und die Versionen der Sicherheitssoftware, die nach dem Inverkehrbringen oder der Inbetriebnahme der Maschine oder des betreffenden Produkts hochgeladen wurden, ist fünf Jahre nach dem Hochladen aktiv, ausschließlich um auf begründetes Ersuchen einer zuständigen nationalen Behörde nachzuweisen, dass die Maschine oder das betreffende Produkt diesem Anhang entspricht,"
- Neue Anforderung: "Steuerungssysteme für Maschinen oder damit verbundene Produkte mit ganz oder teilweise selbstentwickelndem Verhalten oder selbstentwickelnder Logik, die dafür ausgelegt sind, mit unterschiedlichem Maß an Autonomie zu arbeiten, sind so zu entwerfen und herzustellen, dass"
- Neue Anforderung: "die Maschine oder das betreffende Produkt keine Handlungen außerhalb ihrer festgelegten Arbeitsaufgabe und ihres Bewegungsraums ausführt,"
- Neue Anforderung: "die Aufzeichnung von Daten über den sicherheitsbezogenen Entscheidungsprozess von softwarebasierten Sicherheitssystemen, die Sicherheitsfunktionen einschließlich Sicherheitsbauteilen sicherstellen, nach dem Inverkehrbringen oder der Inbetriebnahme der Maschine oder des betreffenden Produkts möglich ist und dass solche Daten ein Jahr nach der Erfassung gespeichert werden, ausschließlich um auf begründetes Ersuchen einer zuständigen nationalen Behörde nachzuweisen, dass die Maschine oder das betreffende Produkt diesem Anhang entspricht,"
- Neue Anforderung: "es stets möglich ist, die Maschine oder das betreffende Produkt zu korrigieren, um ihre inhärente Sicherheit aufrechtzuerhalten."
- Neue Anforderung: "Änderungen an den von der Maschine oder dem betreffenden Produkt oder von Bedienern erzeugten Einstellungen oder Regeln sind auch während der Lernphase der Maschine oder des betreffenden Produkts zu verhindern, sofern solche Änderungen zu Gefahrensituationen führen können."
- Geänderte Anforderung: "Bei drahtloser Steuerung ist ein automatischer Stopp auszulösen, wenn korrekte Steuersignale nicht ankommen, einschließlich Kommunikationsausfall." wird ersetzt durch "Im Fall der drahtlosen Steuerung darf ein Kommunikations- oder Verbindungsfehler oder eine fehlerhafte Verbindung nicht zu einer Gefahrensituation führen."
Vorschlag für Maßnahmen
- Stellen Sie sicher, dass das Steuerungssystem auch im Hinblick auf vorsätzliche Beeinflussung analysiert wurde (z. B. Manipulation, Cyberangriffe)
- Verifizieren Sie, dass das Steuerungssystem sowohl gegen unbeabsichtigte als auch vorsätzliche externe Einwirkungen robust ist, einschließlich Kommunikation und Netzwerke
- Stellen Sie sicher, dass die Grenzen aller Sicherheitsfunktionen in der Risikobeurteilung definiert und dokumentiert sind
- Prüfen Sie, dass diese Grenzen weder vom Bediener, vom System noch von Lernfunktionen in einer Weise geändert werden können, die ein Risiko erzeugen könnte
- Verifizieren Sie, dass Änderungen an Parametern, Einstellungen und Regeln, die die Sicherheit beeinflussen, geschützt sind (z. B. Berechtigungssteuerung, Sperrung, Validierung)
- Stellen Sie sicher, dass Änderungen während einer eventuellen Lernphase nicht zu gefährlichen Situationen führen können
- Stellen Sie sicher, dass Logging-Systeme (Nachverfolgbarkeit) vorhanden und aktiviert sind
- Verifizieren Sie, dass die Protokolle enthalten:
- Eingriffe in das System
- Änderungen an Sicherheitssoftware
- Versionsverwaltung
- Prüfen Sie, dass die Protokolle mindestens 5 Jahre lang aufbewahrt werden und auf behördliche Anfrage bereitgestellt werden können
- Falls die Maschine ein selbstlernendes Verhalten oder Autonomie aufweist:
- Verifizieren Sie, dass die Maschine keine Maßnahmen außerhalb der definierten Arbeitsaufgabe und des Bewegungsbereichs ausführen kann
- Stellen Sie sicher, dass Entscheidungen, die Sicherheitsfunktionen beeinflussen, aufgezeichnet und gespeichert werden (mindestens 1 Jahr)
- Prüfen Sie, dass die Möglichkeit besteht, das System zu korrigieren oder zurückzusetzen, um die Sicherheit aufrechtzuerhalten
- Stellen Sie sicher, dass das Steuerungssystem unzulässige Änderungen sicherheitskritischer Einstellungen verhindert (einschl. durch Bediener)
- Verifizieren Sie, dass dies auch während des Betriebs, der Wartung und etwaiger adaptiver Funktionen gilt
- Für drahtlose Steuerung:
- Prüfen Sie, dass alle Arten von Kommunikationsfehlern (Ausfall, Störung, fehlerhafte Verbindung) so behandelt werden, dass kein Risiko entsteht
- Verifizieren Sie, dass das System bei Kommunikationsproblemen in einen sicheren Zustand übergeht (nicht nur Stillstand, sondern eine risikofreie Situation)
Rechtstext der Maschinenrichtlinie
1.2.1 Sicherheit und Zuverlässigkeit eines Steuerungssystems
Ein Steuerungssystem muss so konstruiert und gefertigt sein, dass gefährliche Situationen nicht auftreten können. Vor allem muss es so konstruiert und gefertigt sein, dass
— es den vorgesehenen Beanspruchungen während des Betriebs und äußeren Einwirkungen standhalten kann,
— Fehler in der Hardware oder Software des Steuerungssystems nicht zu gefährlichen Situationen führen,
— Fehler in der Logik des Steuerungssystems nicht zu gefährlichen Situationen führen,
— vernünftigerweise vorhersehbare menschliche Fehler bei der Bedienung nicht zu gefährlichen Situationen führen.
Besondere Aufmerksamkeit ist den folgenden Punkten zu widmen:
— Die Maschine darf nicht unerwartet anlaufen.
— Die Parameter der Maschine dürfen nicht auf unkontrollierte Weise geändert werden, wenn eine Änderung zu gefährlichen Situationen führen kann.
— Die Maschine darf nicht am Stillsetzen gehindert werden, wenn der Stoppbefehl bereits erteilt worden ist.
— Kein bewegliches Teil der Maschine oder von der Maschine gehaltenes Teil darf herabfallen oder ausgeworfen werden.
— Das automatische oder manuelle Stillsetzen beweglicher Teile jeder Art muss ohne Behinderung möglich sein.
— Die Schutzeinrichtungen müssen weiterhin voll wirksam bleiben oder einen Stoppbefehl auslösen.
— Die sicherheitsbezogenen Teile des Steuerungssystems müssen für eine gesamte Gruppe von Maschinen und/oder unvollständigen Maschinen kohärent funktionieren.
Bei drahtloser Steuerung muss ein automatischer Stopp erfolgen, wenn korrekte Steuersignale nicht ankommen, einschließlich Kommunikationsausfall.
Erfahren Sie mehr
Rechtstext der Maschinenverordnung
1.2.1 Sicherheit und Zuverlässigkeit eines Steuerungssystems
Ein Steuerungssystem muss so konstruiert und gefertigt sein, dass gefährliche Situationen nicht entstehen können.
Ein Steuerungssystem muss so konstruiert und gefertigt sein, dass
a) es, soweit dies unter Berücksichtigung der Umstände und Risiken angemessen ist, den vorgesehenen Betriebsbelastungen sowie beabsichtigten und unbeabsichtigten äußeren Einwirkungen standhält, einschließlich vernünftigerweise vorhersehbarer böswilliger Eingriffe Dritter, die zu gefährlichen Situationen führen,
b) Fehler in der Hardware oder Software des Steuerungssystems nicht zu gefährlichen Situationen führen,
c) Fehler in der Logik des Steuerungssystems nicht zu gefährlichen Situationen führen,
d) die Grenzen der Sicherheitsfunktionen als Teil der vom Hersteller durchgeführten Risikobewertung festgelegt werden und Änderungen an den von der Maschine oder dem zugehörigen Produkt oder von den Bedienern erzeugten Einstellungen oder Regeln nicht zulässig sind, einschließlich während der Lernphase der Maschine oder des zugehörigen Produkts, sofern solche Änderungen zu gefährlichen Situationen führen können,
e) vernünftigerweise vorhersehbare menschliche Bedienungsfehler nicht zu gefährlichen Situationen führen,
f) das Protokoll der bei einem Eingriff erzeugten Daten sowie die Versionen der Sicherheitssoftware, die nach dem Inverkehrbringen oder der Inbetriebnahme der Maschine oder des zugehörigen Produkts hochgeladen wurden, fünf Jahre nach dem Hochladen aktiviert bleibt, ausschließlich um auf begründete Anfrage einer zuständigen nationalen Behörde nachzuweisen, dass die Maschine oder das zugehörige Produkt dieser Anlage entspricht,
Steuerungssysteme von Maschinen oder zugehörigen Produkten mit ganz oder teilweise selbstentwickelndem Verhalten oder selbstentwickelnder Logik, die für den Betrieb mit unterschiedlichem Grad an Autonomie ausgelegt sind, müssen so konstruiert und gefertigt sein, dass
a) die Maschine oder das zugehörige Produkt keine Handlungen außerhalb ihrer festgelegten Arbeitsaufgabe und ihres Bewegungsraums ausführt,
b) die Erfassung von Daten über den sicherheitsbezogenen Entscheidungsprozess für softwarebasierte Sicherheitssysteme, die Sicherheitsfunktionen einschließlich Sicherheitskomponenten gewährleisten, nach dem Inverkehrbringen oder der Inbetriebnahme der Maschine oder des zugehörigen Produkts möglich ist und diese Daten ein Jahr nach der Erfassung gespeichert werden, ausschließlich zum Nachweis der Konformität der Maschine oder des zugehörigen Produkts mit dieser Anlage auf begründete Anfrage einer zuständigen nationalen Behörde,
c) es jederzeit möglich ist, die Maschine oder das zugehörige Produkt so zu korrigieren, dass ihre inhärente Sicherheit erhalten bleibt.
Besondere Aufmerksamkeit ist den folgenden Punkten zu widmen:
a) Die Maschine oder das zugehörige Produkt darf nicht unerwartet anlaufen.
b) Die Parameter der Maschine oder des zugehörigen Produkts dürfen nicht unkontrolliert verändert werden, wenn eine solche Änderung gefährliche Situationen hervorrufen kann.
c) Änderungen der von der Maschine oder dem zugehörigen Produkt oder von den Bedienern erzeugten Einstellungen oder Regeln, auch während der Lernphase der Maschine oder des zugehörigen Produkts, sind zu verhindern, wenn solche Änderungen zu gefährlichen Situationen führen können.
d) Die Maschine oder das zugehörige Produkt darf nicht daran gehindert werden, anzuhalten, wenn der Stoppbefehl bereits gegeben wurde.
e) Kein bewegliches Teil der Maschine oder des zugehörigen Produkts oder von ihr gehaltene Teile dürfen herabfallen oder ausgeworfen werden.
f) Das automatische oder manuelle Anhalten beweglicher Teile jeder Art muss ohne Behinderung möglich sein.
g) Die Schutzeinrichtungen müssen weiterhin voll wirksam bleiben oder einen Stoppbefehl auslösen.
h) Die sicherheitsbezogenen Teile des Steuerungssystems müssen für eine gesamte Gruppe von Maschinen oder zugehörigen Produkten oder unvollständigen Maschinen oder eine Kombination daraus kohärent funktionieren.
Bei drahtloser Steuerung darf ein Fehler in der Kommunikation oder Verbindung oder eine fehlerhafte Verbindung nicht zu einer gefährlichen Situation führen.
Erfahren Sie mehr
Har du några frågor? Kontakta oss