Sammenligning av lovkrav: Maskindirektivet vs. Maskinforordningen
1.2.1 Et styresystems sikkerhet og pålitelighet
Endringer
Maskinforordningen innfører flere nye og skjerpede krav til styringssystemer, med særlig fokus på cybersikkerhet, sporbarhet og programvarens rolle for sikkerheten. Styringssystemer skal nå være motstandsdyktige mot både utilsiktet og tilsiktet påvirkning, inkludert ondsinnede angrep. Det innføres krav om at grensene for sikkerhetsfunksjonene skal fastsettes og ikke kunne endres på en måte som medfører risiko.
Videre tilkommer krav om logging og lagring av sikkerhetsrelaterte hendelser og programvareendringer for å muliggjøre etterkontroll. For maskiner med selvutviklende atferd eller autonomi stilles det dessuten særlige krav om at deres handlinger skal begrenses, kunne overvåkes og ved behov korrigeres for å opprettholde sikkerheten.
- Nytt krav: "det, når så er hensiktsmessig med hensyn til omstendighetene og risikoene, tåler de tiltenkte driftsbelastningene og tilsiktet og utilsiktet ytre påvirkning, herunder rimelig forutsebare ondsinnede forsøk fra tredjepart som fører til risikofylte situasjoner,"
- Nytt krav: "grensene for sikkerhetsfunksjonene skal fastsettes som en del av risikovurderingen som utføres av produsenten, og ingen endringer er tillatt i innstillingene eller reglene som er generert av maskinen eller det relaterte produktet eller av operatørene, inkludert under maskinens eller det relaterte produktets læringsfase, dersom slike endringer kan føre til risikofylte situasjoner,"
- Nytt krav: "sporingsloggen over de opplysningene som genereres i forbindelse med et inngrep og de versjonene av sikkerhetsprogramvare som er lastet opp etter at maskinen eller det relaterte produktet er sluppet ut på markedet eller tatt i bruk, er aktivert i fem år etter opplasting, utelukkende for å, på begrunnet anmodning fra en kompetent nasjonal myndighet, vise at maskinen eller det relaterte produktet er i samsvar med dette vedlegget,"
- Nytt krav: "Styringssystemer for maskiner eller relaterte produkter med helt eller delvis selvutviklende atferd eller logikk som er konstruert for å fungere med varierende grad av autonomi skal konstrueres og produseres på en slik måte at"
- Nytt krav: "maskinen eller det relaterte produktet ikke utfører handlinger utover dens fastsatte arbeidsoppgave og bevegelsesområde,"
- Nytt krav: "registrering av opplysninger om den sikkerhetsrelaterte beslutningsprosessen for sikkerhetssystemer basert på programvare som sikrer sikkerhetsfunksjoner, inkludert sikkerhetskomponenter, etter at maskinen eller det relaterte produktet er sluppet ut på markedet eller tatt i bruk, er mulig og at slike opplysninger lagres i ett år etter innsamlingen, utelukkende for å vise at maskinen eller det relaterte produktet er i samsvar med dette vedlegget på begrunnet anmodning fra en kompetent nasjonal myndighet,"
- Nytt krav: "det alltid er mulig å korrigere maskinen eller det relaterte produktet for å opprettholde dens iboende sikkerhet."
- Nytt krav: "Endringer i innstillingene eller reglene, generert av maskinen eller det relaterte produktet eller av operatører, også under maskinens eller det relaterte produktets læringsfase, skal forhindres dersom slike endringer kan føre til risikofylte situasjoner."
- Krav endres: "For trådløs styring skal det foretas et automatisk stopp når korrekte styringssignaler ikke når frem, inkludert kommunikasjonsbrudd." erstattes med "Når det gjelder trådløs styring, må en feil i kommunikasjonen eller forbindelsen, eller en feilaktig tilkobling, ikke føre til en risikofylt situasjon."
Forslag til tiltak
- Sørg for at styresystemet er analysert også med hensyn til tilsiktet påvirkning (f.eks. manipulasjon, cyberangrep)
- Verifiser at styresystemet er robust mot både utilsiktet og tilsiktet ytre påvirkning, inkludert kommunikasjon og nettverk
- Sørg for at grenser for alle sikkerhetsfunksjoner er definert og dokumentert i risikovurderingen
- Kontroller at disse grensene ikke kan endres av operatør, system eller læringsfunksjoner på en måte som kan skape risiko
- Verifiser at endringer i parametere, innstillinger og regler som påvirker sikkerhet, er beskyttet (f.eks. tilgangsstyring, låsing, validering)
- Sørg for at endringer under en eventuell læringsfase ikke kan føre til risikofylte situasjoner
- Sørg for at systemer for logging (sporbarhet) finnes og er aktivert
- Verifiser at logger inneholder:
- inngrep i systemet
- endringer i sikkerhetsprogramvare
- versjonshåndtering
- Kontroller at logger lagres i minst 5 år og kan fremlegges ved forespørsel fra myndighet
- Hvis maskinen har selvutviklende atferd eller autonomi:
- Verifiser at maskinen ikke kan utføre handlinger utenfor definert arbeidsoppgave og bevegelsesområde
- Sørg for at beslutninger som påvirker sikkerhetsfunksjoner registreres og lagres (minst 1 år)
- Kontroller at det finnes mulighet til å korrigere eller tilbakestille systemet for å opprettholde sikkerheten
- Sørg for at styresystemet hindrer uautoriserte endringer av sikkerhetskritiske innstillinger (inkl. fra operatører)
- Verifiser at dette gjelder også under drift, service og eventuelle adaptive funksjoner
- For trådløs styring:
- Kontroller at alle typer kommunikasjonsfeil (bortfall, forstyrrelse, feilaktig tilkobling) håndteres slik at ingen risiko oppstår
- Verifiser at systemet går til sikkert tilstand ved kommunikasjonsproblemer (ikke bare stopp, men en risikofri situasjon)
Maskindirektivets lovtekst
1.2.1 Et styringssystems sikkerhet og pålitelighet
Et styringssystem skal være konstruert og fremstilt slik at farlige situasjoner ikke skal kunne oppstå. Framfor alt skal det være konstruert og fremstilt slik at
— det kan tåle tiltenkte belastninger under drift og ytre påvirkninger,
— feil i styringssystemets maskinvare eller programvare ikke fører til farlige situasjoner,
— feil i styringssystemets logikk ikke fører til farlige situasjoner,
— rimelig forutsebare menneskelige feil under betjening ikke fører til farlige situasjoner.
Særlig oppmerksomhet skal vies følgende punkter:
— Maskinen må ikke starte uventet.
— Maskinens parametere må ikke endres på ukontrollert måte; dersom en endring kan gi opphav til farlige situasjoner.
— Maskinen må ikke hindres fra å stoppe når stoppkommandoen allerede er gitt.
— Ingen bevegelig del av maskinen eller del som holdes av maskinen må falle eller slynges ut.
— Automatisk eller manuelt stopp av bevegelige deler av enhver art skal kunne utføres uhindret.
— Beskyttelsesanordningene skal fortsette å være fullt ut effektive eller utløse stoppkommando.
— De sikkerhetsrelaterte delene av styringssystemet skal fungere sammenhengende for en hel gruppe
av maskiner og/eller delvis fullførte maskiner.
For trådløs styring skal det utføres automatisk stopp når korrekte styresignaler ikke mottas, inkludert kommunikasjonsbrudd.
Les mer
Maskinforordningens lovtekst
1.2.1 Et styrsystems sikkerhet og pålitelighet
Et styrsystem skal være konstruert og fremstilt slik at farlige situasjoner ikke kan oppstå.
Et styrsystem skal være konstruert og fremstilt på en slik måte at
a) det, når det er hensiktsmessig med tanke på omstendighetene og risikoene, tåler de tiltenkte driftsbelastningene samt tilsiktet og utilsiktet ytre påvirkning, herunder rimelig forutsigbare ondsinnede forsøk fra tredjeparter som fører til farlige situasjoner,
b) feil i styrsystemets maskinvare eller programvare ikke fører til farlige situasjoner,
c) feil i styrsystemets logikk ikke fører til farlige situasjoner,
d) grensene for sikkerhetsfunksjonene skal fastsettes som en del av risikovurderingen som utføres av produsenten, og ingen endringer er tillatt i innstillingene eller reglene som er generert av maskinen eller det tilknyttede produktet eller av operatørene, herunder under maskinens eller det tilknyttede produktets læringsfase, dersom slike endringer kan føre til farlige situasjoner,
e) rimelig forutsigbare menneskelige feil under bruk ikke fører til farlige situasjoner,
f) sporingsloggen over de data som genereres i forbindelse med et inngrep og de versjonene av sikkerhetsprogramvare som er lastet opp etter at maskinen eller det tilknyttede produktet er sluppet på markedet eller tatt i bruk, skal være aktiv i fem år etter opplastingen, utelukkende for å kunne vise, på begrunnet anmodning fra en kompetent nasjonal myndighet, at maskinen eller det tilknyttede produktet er i samsvar med dette vedlegget,
Styrsystem for maskiner eller tilknyttede produkter med helt eller delvis selvutviklende atferd eller logikk som er konstruert for å fungere med varierende grad av autonomi, skal konstrueres og fremstilles slik at
a) maskinen eller det tilknyttede produktet ikke utfører handlinger utover dens fastsatte arbeidsoppgave og bevegelsesområde,
b) registrering av opplysninger om den sikkerhetsrelaterte beslutningsprosessen for programvarebaserte sikkerhetssystemer som sikrer sikkerhetsfunksjoner, herunder sikkerhetskomponenter, etter at maskinen eller det tilknyttede produktet er sluppet på markedet eller tatt i bruk, er mulig, og at slike opplysninger lagres i ett år etter innsamlingen, utelukkende for å vise at maskinen eller det tilknyttede produktet er i samsvar med dette vedlegget på begrunnet anmodning fra en kompetent nasjonal myndighet,
c) det alltid er mulig å korrigere maskinen eller det tilknyttede produktet for å opprettholde dens iboende sikkerhet.
Særlig oppmerksomhet skal vies følgende punkter:
a) Maskinen eller det tilknyttede produktet må ikke starte uventet.
b) Maskinens eller det tilknyttede produktets parametere må ikke endres på en ukontrollert måte dersom en slik endring kan gi opphav til farlige situasjoner.
c) Endringer i innstillingene eller reglene, generert av maskinen eller det tilknyttede produktet eller av operatører, også under maskinens eller det tilknyttede produktets læringsfase, skal forhindres dersom slike endringer kan føre til farlige situasjoner.
d) Maskinen eller det tilknyttede produktet må ikke hindres i å stoppe dersom stoppkommandoen allerede er gitt.
e) Ingen bevegelig del av maskinen eller det tilknyttede produktet, eller del som holdes av den, må falle eller slynges ut.
f) Automatisk eller manuelt stopp av bevegelige deler av enhver type skal kunne skje uten hindringer.
g) Verneinnretningene skal fortsatt være fullt effektive eller utløse stoppkommando.
h) De sikkerhetsrelaterte delene av styrsystemet skal fungere sammenhengende for en hel gruppe maskiner eller tilknyttede produkter eller delvis fullførte maskiner, eller en kombinasjon av disse.
Når det gjelder trådløs styring, må en feil i kommunikasjonen eller tilkoblingen, eller en feilaktig tilkobling, ikke føre til en farlig situasjon.
Les mer
Har du några frågor? Kontakta oss