Vergelijking van wettelijke vereisten: de Machinerichtlijn versus de Machineverordening
1.2.1 De veiligheid en betrouwbaarheid van een besturingssysteem
Wijzigingen
De machinerverordening introduceert verschillende nieuwe en aangescherpte eisen voor besturingssystemen, met bijzondere aandacht voor cyberbeveiliging, traceerbaarheid en de rol van software voor de veiligheid. Besturingssystemen moeten nu bestand zijn tegen zowel onopzettelijke als opzettelijke invloeden, inclusief kwaadaardige aanvallen. Er worden eisen ingevoerd dat de grenzen van veiligheidsfuncties moeten worden vastgesteld en niet op een wijze mogen worden gewijzigd die tot een risico leidt.
Voorts komen er eisen bij voor logging en opslag van veiligheidsgerelateerde gebeurtenissen en softwarewijzigingen om nacontrole mogelijk te maken. Voor machines met zelfontwikkelend gedrag of autonomie worden bovendien specifieke eisen gesteld: hun handelingen moeten worden beperkt, controleerbaar zijn en, waar nodig, corrigeerbaar om de veiligheid te waarborgen.
- Nieuwe eis: "zij, waar passend gelet op de omstandigheden en de risico’s, bestand zijn tegen de beoogde bedrijfsbelastingen en tegen opzettelijke en onopzettelijke externe invloeden, met inbegrip van redelijkerwijs voorzienbare kwaadwillige pogingen van derden die tot gevaarlijke situaties leiden,"
- Nieuwe eis: "de grenzen van de veiligheidsfuncties worden vastgesteld als onderdeel van de risicobeoordeling die door de fabrikant wordt uitgevoerd, en geen wijzigingen zijn toegestaan in de instellingen of regels die door de machine of het betreffende product of door de operatoren zijn gegenereerd, met inbegrip van tijdens de leerfase van de machine of het betreffende product, indien dergelijke wijzigingen tot gevaarlijke situaties kunnen leiden,"
- Nieuwe eis: "het logboek voor de traceerbaarheid van de gegevens die worden gegenereerd in verband met een ingreep en van de versies van veiligheidssoftware die zijn geüpload nadat de machine of het betreffende product in de handel is gebracht of in gebruik is genomen, is gedurende vijf jaar na het uploaden geactiveerd, uitsluitend om op gemotiveerd verzoek van een bevoegde nationale autoriteit aan te tonen dat de machine of het betreffende product aan deze bijlage voldoet,"
- Nieuwe eis: "besturingssystemen voor machines of verwante producten met geheel of gedeeltelijk zelfontwikkelend gedrag of logica, die zijn ontworpen om te functioneren met een wisselende mate van autonomie, zodanig moeten worden ontworpen en vervaardigd dat"
- Nieuwe eis: "de machine of het betreffende product geen handelingen verricht die verder gaan dan de vastgestelde taak en werkruimte,"
- Nieuwe eis: "registratie van gegevens over het veiligheidsgerelateerde besluitvormingsproces van op software gebaseerde veiligheidssystemen die veiligheidsfuncties waarborgen, met inbegrip van veiligheidscomponenten, nadat de machine of het betreffende product in de handel is gebracht of in gebruik is genomen, mogelijk is en dat dergelijke gegevens één jaar na de verzameling worden opgeslagen, uitsluitend om op gemotiveerd verzoek van een bevoegde nationale autoriteit aan te tonen dat de machine of het betreffende product aan deze bijlage voldoet,"
- Nieuwe eis: "het altijd mogelijk is de machine of het betreffende product te corrigeren om de inherente veiligheid te behouden."
- Nieuwe eis: "wijzigingen in de instellingen of regels, gegenereerd door de machine of het betreffende product of door operatoren, ook tijdens de leerfase van de machine of het betreffende product, moeten worden voorkomen, indien dergelijke wijzigingen tot gevaarlijke situaties kunnen leiden."
- Eis gewijzigd: "Voor draadloze besturing moet automatisch worden gestopt wanneer correcte stuursignalen niet worden ontvangen, met inbegrip van communicatieverlies." wordt vervangen door "Met betrekking tot draadloze besturing mag een fout in de communicatie of verbinding, of een onjuiste verbinding, niet tot een gevaarlijke situatie leiden."
Voorstellen voor maatregelen
- Zorg ervoor dat het besturingssysteem ook is geanalyseerd met betrekking tot opzettelijke beïnvloeding (bijv. manipulatie, cyberaanvallen)
- Verifieer dat het besturingssysteem robuust is tegen zowel onbedoelde als opzettelijke externe invloeden, inclusief communicatie en netwerk
- Zorg ervoor dat de grenzen van alle veiligheidsfuncties zijn gedefinieerd en gedocumenteerd in de risicobeoordeling
- Controleer dat deze grenzen niet kunnen worden gewijzigd door de operator, het systeem of leerfuncties op een wijze die risico kan veroorzaken
- Verifieer dat wijzigingen in parameters, instellingen en regels die de veiligheid beïnvloeden, zijn beschermd (bijv. toegangsbeheer, vergrendeling, validatie)
- Zorg ervoor dat wijzigingen tijdens een eventuele leerfase niet kunnen leiden tot risicovolle situaties
- Zorg ervoor dat logging- en traceerbaarheidssystemen aanwezig en geactiveerd zijn
- Verifieer dat logboeken bevatten:
- ingrepen in het systeem
- wijzigingen in veiligheidssoftware
- versiebeheer
- Controleer dat logboeken ten minste 5 jaar worden bewaard en op verzoek van de bevoegde autoriteit kunnen worden verstrekt
- Indien de machine zelflerend gedrag of autonomie vertoont:
- Verifieer dat de machine geen handelingen kan uitvoeren buiten de gedefinieerde taak en het bewegingsbereik
- Zorg ervoor dat beslissingen die veiligheidsfuncties beïnvloeden worden geregistreerd en opgeslagen (minimaal 1 jaar)
- Controleer dat er de mogelijkheid bestaat om het systeem te corrigeren of te herstellen om de veiligheid te handhaven
- Zorg ervoor dat het besturingssysteem ongeoorloofde wijzigingen van veiligheidskritische instellingen voorkomt (incl. door operators)
- Verifieer dat dit ook geldt tijdens bedrijf, onderhoud en eventuele adaptieve functies
- Voor draadloze besturing:
- Controleer dat alle soorten communicatiefouten (uitval, storing, onjuiste aansluiting) zodanig worden afgehandeld dat er geen risico ontstaat
- Verifieer dat het systeem bij communicatieproblemen naar een veilige toestand overgaat (niet alleen stoppen, maar een risicovrije situatie)
Wettekst van de Machinerichtlijn
1.2.1 Veiligheid en betrouwbaarheid van een besturingssysteem
Een besturingssysteem moet zodanig zijn ontworpen en vervaardigd dat gevaarlijke situaties niet kunnen ontstaan. Het moet met name zodanig zijn ontworpen en vervaardigd dat
— het de beoogde belastingen tijdens bedrijf en externe invloeden kan weerstaan,
— fouten in de hardware of software van het besturingssysteem niet leiden tot gevaarlijke situaties,
— fouten in de logica van het besturingssysteem niet leiden tot gevaarlijke situaties,
— redelijkerwijs voorzienbare menselijke fouten bij de bediening niet leiden tot gevaarlijke situaties.
Bijzondere aandacht moet worden besteed aan de volgende punten:
— De machine mag niet onverwacht starten.
— De parameters van de machine mogen niet op een ongecontroleerde wijze worden gewijzigd; wanneer een wijziging gevaarlijke situaties kan veroorzaken.
— De machine mag niet worden verhinderd te stoppen indien het stopcommando reeds is gegeven.
— Geen enkel beweeglijk onderdeel van de machine of door de machine vastgehouden deel mag vallen of worden weggeslingerd.
— Automatisch of handmatig stoppen van bewegende delen van welke aard dan ook moet zonder belemmering mogelijk zijn.
— De beveiligingsinrichtingen moeten volledig doeltreffend blijven of een stopcommando activeren.
— De veiligheidsgerelateerde delen van het besturingssysteem moeten op samenhangende wijze functioneren voor een gehele groep
van machines en/of deels voltooide machines.
Voor draadloze besturing moet een automatische stop worden uitgevoerd wanneer de juiste stuursignalen niet worden ontvangen, inclusief bij communicatieverlies.
Lees meer
Wettekst van de machineverordening
1.2.1 De veiligheid en betrouwbaarheid van een besturingssysteem
Een besturingssysteem moet zodanig worden ontworpen en vervaardigd dat gevaarlijke situaties niet kunnen ontstaan.
Een besturingssysteem moet zodanig worden ontworpen en vervaardigd dat
a) het, wanneer passend gelet op de omstandigheden en de risico's, bestand is tegen de beoogde bedrijfsbelastingen en tegen opzettelijke en onopzettelijke externe invloeden, met inbegrip van redelijkerwijs voorzienbare kwaadwillige pogingen van derden die tot gevaarlijke situaties leiden,
b) storingen in de hardware of software van het besturingssysteem niet tot gevaarlijke situaties leiden,
c) fouten in de logica van het besturingssysteem niet tot gevaarlijke situaties leiden,
d) de grenzen van de veiligheidsfuncties worden vastgesteld als onderdeel van de risicobeoordeling die door de fabrikant wordt uitgevoerd, en dat wijzigingen in de instellingen of regels die door de machine of het gerelateerde product of door de bedieners zijn gegenereerd niet zijn toegestaan, met inbegrip van tijdens de leerfase van de machine of het gerelateerde product, indien dergelijke wijzigingen tot gevaarlijke situaties kunnen leiden,
e) redelijkerwijs voorzienbare menselijke fouten tijdens het gebruik niet tot gevaarlijke situaties leiden,
f) het traceerlogboek van de gegevens die worden gegenereerd in verband met een ingreep en van de versies van veiligheidssoftware die zijn geüpload nadat de machine of het gerelateerde product in de handel is gebracht of in gebruik is genomen, gedurende vijf jaar na het uploaden actief blijft, uitsluitend om op een gemotiveerd verzoek van een bevoegde nationale autoriteit aan te tonen dat de machine of het gerelateerde product aan deze bijlage voldoet,
Besturingssystemen voor machines of gerelateerde producten met volledig of gedeeltelijk zelfontwikkelend gedrag of zelfontwikkelende logica die zijn ontworpen om met een variërende mate van autonomie te functioneren, moeten zodanig worden ontworpen en vervaardigd dat
a) de machine of het gerelateerde product geen handelingen verricht buiten de vastgestelde werkopdracht en bewegingsruimte,
b) registratie van gegevens over het veiligheidsgerelateerde besluitvormingsproces voor op software gebaseerde beveiligingssystemen die veiligheidsfuncties waarborgen, met inbegrip van veiligheidscomponenten, nadat de machine of het gerelateerde product in de handel is gebracht of in gebruik is genomen, mogelijk is en dat dergelijke gegevens gedurende één jaar na de verzameling worden opgeslagen, uitsluitend om op een gemotiveerd verzoek van een bevoegde nationale autoriteit aan te tonen dat de machine of het gerelateerde product aan deze bijlage voldoet,
c) het te allen tijde mogelijk is de machine of het gerelateerde product te corrigeren om de inherente veiligheid ervan te behouden.
Bijzondere aandacht moet worden besteed aan de volgende punten:
a) De machine of het gerelateerde product mag niet onverwacht starten.
b) De parameters van de machine of het gerelateerde product mogen niet op ongecontroleerde wijze worden gewijzigd, indien een dergelijke wijziging tot gevaarlijke situaties kan leiden.
c) Wijzigingen in de instellingen of regels, gegenereerd door de machine of het gerelateerde product of door bedieners, ook tijdens de leerfase van de machine of het gerelateerde product, moeten worden voorkomen indien dergelijke wijzigingen tot gevaarlijke situaties kunnen leiden.
d) De machine of het gerelateerde product mag niet worden belet om te stoppen wanneer het stopcommando reeds is gegeven.
e) Geen enkel bewegend onderdeel van de machine of het gerelateerde product, of onderdeel dat door de machine of het gerelateerde product wordt vastgehouden, mag vallen of worden uitgeworpen.
f) Automatisch of handmatig stoppen van bewegende delen van welke aard ook moet zonder hinder kunnen plaatsvinden.
g) De beveiligingsvoorzieningen moeten volledig doeltreffend blijven of een stopcommando activeren.
h) De veiligheidsgerelateerde delen van het besturingssysteem moeten op samenhangende wijze functioneren voor een volledige groep machines of gerelateerde producten of gedeeltelijk voltooide machines, of een combinatie daarvan.
Met betrekking tot draadloze besturing mag een storing in de communicatie of verbinding, of een onjuiste verbinding, niet tot een gevaarlijke situatie leiden.
Lees meer
Har du några frågor? Kontakta oss