Comparaison des exigences légales : directive Machines vs règlement Machines
1.2.1 La sécurité et la fiabilité d’un système de commande
Modifications
Le règlement sur les machines introduit plusieurs nouvelles exigences renforcées en matière de systèmes de commande, avec un accent particulier sur la cybersécurité, la traçabilité et le rôle du logiciel dans la sécurité. Les systèmes de commande doivent désormais être résilients face aux influences involontaires comme intentionnelles, y compris aux attaques malveillantes. Des exigences sont introduites pour que les limites des fonctions de sécurité soient définies et ne puissent pas être modifiées d'une manière entraînant un risque.
Par ailleurs, des exigences sont ajoutées en matière de journalisation et de conservation des événements liés à la sécurité et des modifications logicielles afin de permettre une vérification a posteriori. Pour les machines présentant un comportement auto-évolutif ou une autonomie, des exigences particulières sont également imposées afin que leurs actions soient limitées, puissent être surveillées et, le cas échéant, corrigées pour maintenir la sécurité.
- Nouvelle exigence : "lorsque cela est approprié au regard des circonstances et des risques, il résiste aux charges d'exploitation prévues ainsi qu'aux influences extérieures intentionnelles et non intentionnelles, y compris aux tentatives malveillantes raisonnablement prévisibles de tiers conduisant à des situations dangereuses,"
- Nouvelle exigence : "les limites des fonctions de sécurité sont définies dans le cadre de l'évaluation des risques réalisée par le fabricant, et aucune modification des paramètres ou des règles générés par la machine ou le produit associé, ou par les opérateurs, n'est autorisée, y compris pendant la phase d'apprentissage de la machine ou du produit associé, si de telles modifications peuvent conduire à des situations dangereuses,"
- Nouvelle exigence : "le journal de traçabilité des données générées dans le cadre d'une intervention et des versions du logiciel de sécurité téléchargées après la mise sur le marché ou la mise en service de la machine ou du produit associé reste activé pendant cinq ans après le téléchargement, exclusivement afin de démontrer, sur demande motivée d'une autorité nationale compétente, que la machine ou le produit associé est conforme à cette annexe,"
- Nouvelle exigence : "les systèmes de commande des machines ou des produits associés présentant un comportement ou une logique entièrement ou partiellement auto-évolutifs et conçus pour fonctionner avec différents degrés d'autonomie doivent être conçus et fabriqués de telle sorte que"
- Nouvelle exigence : "la machine ou le produit associé n'exécute pas d'actions au-delà de sa tâche définie et de son espace de mouvement,"
- Nouvelle exigence : "l'enregistrement des données relatives au processus décisionnel lié à la sécurité pour les systèmes de sécurité basés sur logiciel assurant des fonctions de sécurité, y compris les composants de sécurité, après la mise sur le marché ou la mise en service de la machine ou du produit associé est possible et que ces données sont conservées pendant un an après leur collecte, exclusivement afin de démontrer, sur demande motivée d'une autorité nationale compétente, que la machine ou le produit associé est conforme à cette annexe,"
- Nouvelle exigence : "qu'il est toujours possible de corriger la machine ou le produit associé afin de maintenir sa sécurité intrinsèque."
- Nouvelle exigence : "Les modifications des paramètres ou des règles, générés par la machine ou le produit associé ou par les opérateurs, y compris pendant la phase d'apprentissage de la machine ou du produit associé, doivent être empêchées si de telles modifications peuvent conduire à des situations dangereuses."
- Exigence modifiée : "Pour la commande sans fil, un arrêt automatique doit être effectué lorsque les signaux de commande corrects ne parviennent pas, y compris en cas de perte de communication." est remplacée par "En ce qui concerne la commande sans fil, une défaillance de la communication ou de la connexion, ou une connexion incorrecte, ne doit pas conduire à une situation dangereuse."
Mesures proposées
- S’assurer que le système de commande est analysé également au regard des influences intentionnelles (p. ex. manipulation, cyberattaque)
- Vérifier que le système de commande est robuste face aux influences externes involontaires comme intentionnelles, y compris les communications et le réseau
- S’assurer que les limites de toutes les fonctions de sécurité sont définies et documentées dans l’évaluation des risques
- Vérifier que ces limites ne peuvent pas être modifiées par l’opérateur, le système ou des fonctions d’apprentissage d’une manière susceptible de créer un risque
- Vérifier que les modifications des paramètres, réglages et règles ayant une incidence sur la sécurité sont protégées (p. ex. contrôle des habilitations, verrouillage, validation)
- S’assurer que les modifications pendant une éventuelle phase d’apprentissage ne peuvent pas conduire à des situations dangereuses
- S’assurer que des systèmes de journalisation (traçabilité) existent et sont activés
- Vérifier que les journaux contiennent :
- les interventions sur le système
- les modifications du logiciel de sécurité
- la gestion des versions
- Vérifier que les journaux sont conservés pendant au moins 5 ans et peuvent être fournis à la demande des autorités
- Si la machine présente un comportement auto-apprenant ou une autonomie :
- Vérifier que la machine ne peut pas exécuter d’actions en dehors de la tâche définie et de la zone de mouvement définie
- S’assurer que les décisions ayant une incidence sur les fonctions de sécurité sont enregistrées et conservées (au moins 1 an)
- Vérifier qu’il existe une possibilité de corriger ou de restaurer le système afin de maintenir la sécurité
- S’assurer que le système de commande empêche les modifications non autorisées des paramètres critiques pour la sécurité (y compris par les opérateurs)
- Vérifier que cela s’applique également en exploitation, en maintenance et pour d’éventuelles fonctions adaptatives
- Pour la commande sans fil :
- Vérifier que tous les types de défaillances de communication (perte, perturbation, connexion incorrecte) sont gérés de manière à ce qu’aucun risque ne survienne
- Vérifier que le système passe dans un état sûr en cas de problème de communication (pas uniquement un arrêt, mais une situation sans risque)
Texte législatif de la directive Machines
1.2.1 Sécurité et fiabilité d’un système de commande
Un système de commande doit être conçu et construit de manière à empêcher l’apparition de situations dangereuses. En particulier, il doit être conçu et construit de manière à ce que
— il puisse résister aux contraintes prévues pendant le fonctionnement ainsi qu’aux influences extérieures,
— une défaillance du matériel ou du logiciel du système de commande ne conduise pas à des situations dangereuses,
— une défaillance de la logique du système de commande ne conduise pas à des situations dangereuses,
— des erreurs humaines raisonnablement prévisibles lors de l’utilisation ne conduisent pas à des situations dangereuses.
Une attention particulière doit être portée aux points suivants :
— La machine ne doit pas se mettre en marche de façon intempestive.
— Les paramètres de la machine ne doivent pas être modifiés de manière incontrôlée ; lorsqu’une telle modification peut entraîner des situations dangereuses.
— La machine ne doit pas être empêchée de s’arrêter si l’ordre d’arrêt a déjà été donné.
— Aucune partie mobile de la machine ou aucune pièce retenue par la machine ne doit tomber ou être éjectée.
— L’arrêt des éléments mobiles, qu’il soit automatique ou manuel, doit pouvoir être obtenu sans entrave.
— Les dispositifs de protection doivent demeurer pleinement efficaces ou déclencher un ordre d’arrêt.
— Les parties liées à la sécurité du système de commande doivent fonctionner de manière cohérente pour l’ensemble d’un groupe de machines et/ou de quasi-machines.
Pour la commande sans fil, un arrêt automatique doit être effectué lorsque les signaux de commande corrects ne sont pas reçus, y compris en cas de perte de communication.
En savoir plus
Texte juridique du règlement sur les machines
1.2.1 La sécurité et la fiabilité d’un système de commande
Un système de commande doit être conçu et fabriqué de manière à ce que des situations dangereuses ne puissent pas se produire.
Un système de commande doit être conçu et fabriqué de manière telle que
a) il supporte, le cas échéant au regard des circonstances et des risques, les contraintes de fonctionnement prévues ainsi que les influences externes intentionnelles et involontaires, y compris les tentatives malveillantes raisonnablement prévisibles de tiers conduisant à des situations dangereuses,
b) les défauts du matériel ou du logiciel du système de commande ne conduisent pas à des situations dangereuses,
c) les défaillances de la logique du système de commande ne conduisent pas à des situations dangereuses,
d) les limites des fonctions de sécurité soient définies dans le cadre de l’évaluation des risques effectuée par le fabricant, et qu’aucune modification ne soit autorisée aux réglages ou règles générés par la machine ou le produit associé, ni par les opérateurs, y compris pendant la phase d’apprentissage de la machine ou du produit associé, lorsque ces modifications peuvent conduire à des situations dangereuses,
e) les erreurs humaines raisonnablement prévisibles lors de l’utilisation ne conduisent pas à des situations dangereuses,
f) le journal de traçabilité des données générées dans le cadre d’une intervention et des versions du logiciel de sécurité téléchargées après la mise sur le marché ou la mise en service de la machine ou du produit associé soit activé pendant cinq ans après le téléchargement, exclusivement pour démontrer, à la demande motivée d’une autorité nationale compétente, que la machine ou le produit associé est conforme à la présente annexe,
Les systèmes de commande des machines ou des produits associés à comportement ou logique entièrement ou partiellement auto-évolutifs, conçus pour fonctionner avec un degré variable d’autonomie, doivent être conçus et fabriqués de manière à ce que
a) la machine ou le produit associé n’exécute aucune action au-delà de sa tâche définie et de son espace de mouvement,
b) l’enregistrement des données relatives au processus décisionnel lié à la sécurité pour les systèmes de sécurité fondés sur un logiciel assurant des fonctions de sécurité, y compris les composants de sécurité, soit possible après la mise sur le marché ou la mise en service de la machine ou du produit associé, et que ces données soient conservées pendant un an après leur collecte, exclusivement pour démontrer, à la demande motivée d’une autorité nationale compétente, que la machine ou le produit associé est conforme à la présente annexe,
c) il soit toujours possible de corriger la machine ou le produit associé afin de préserver sa sécurité intrinsèque.
Une attention particulière doit être portée aux points suivants :
a) La machine ou le produit associé ne doit pas démarrer inopinément.
b) Les paramètres de la machine ou du produit associé ne doivent pas être modifiés de manière non contrôlée si une telle modification peut donner lieu à des situations dangereuses.
c) Les modifications des réglages ou des règles, générés par la machine ou le produit associé ou par les opérateurs, y compris pendant la phase d’apprentissage de la machine ou du produit associé, doivent être empêchées si de telles modifications peuvent conduire à des situations dangereuses.
d) La machine ou le produit associé ne doit pas être empêché de s’arrêter si l’ordre d’arrêt a déjà été donné.
e) Aucune partie mobile de la machine ou du produit associé, ni aucune pièce qu’il maintient, ne doit tomber ou être éjectée.
f) L’arrêt automatique ou manuel de toutes pièces mobiles, quel qu’en soit le type, doit pouvoir intervenir sans obstacle.
g) Les dispositifs de protection doivent continuer à être pleinement efficaces ou déclencher un ordre d’arrêt.
h) Les parties du système de commande liées à la sécurité doivent fonctionner de manière cohérente pour un ensemble complet de machines ou de produits associés, ou de machines partiellement achevées, ou une combinaison de ceux-ci.
En ce qui concerne la commande sans fil, un défaut de communication ou de connexion, ou une connexion incorrecte, ne doit pas conduire à une situation dangereuse.
En savoir plus
Har du några frågor? Kontakta oss