Porównanie wymogów prawnych: dyrektywa maszynowa a rozporządzenie maszynowe
1.2.1 Bezpieczeństwo i niezawodność układu sterowania
Zmiany
Rozporządzenie w sprawie maszyn wprowadza szereg nowych i zaostrzonych wymagań dotyczących układów sterowania, ze szczególnym uwzględnieniem cyberbezpieczeństwa, identyfikowalności oraz roli oprogramowania w bezpieczeństwie. Układy sterowania muszą być teraz odporne zarówno na niezamierzone, jak i zamierzone oddziaływanie, w tym na złośliwe ataki. Wprowadza się wymaganie, aby granice funkcji bezpieczeństwa były określone i nie mogły być zmieniane w sposób prowadzący do sytuacji zagrożenia.
Ponadto pojawiają się wymagania dotyczące rejestrowania i przechowywania zdarzeń związanych z bezpieczeństwem oraz zmian w oprogramowaniu, aby umożliwić kontrolę następczą. W przypadku maszyn o zachowaniu samouczącym się lub autonomii ustanawia się również szczególne wymagania, zgodnie z którymi ich działania muszą być ograniczone, możliwe do monitorowania oraz — w razie potrzeby — korygowane w celu utrzymania bezpieczeństwa.
- Nowe wymaganie: "to, w stosownych przypadkach z uwzględnieniem okoliczności i ryzyk, wytrzymuje zamierzone obciążenia eksploatacyjne oraz zamierzone i niezamierzone oddziaływania zewnętrzne, w tym racjonalnie przewidywalne złośliwe próby osób trzecich prowadzące do sytuacji zagrożenia,"
- Nowe wymaganie: "granice funkcji bezpieczeństwa ustala się jako element oceny ryzyka przeprowadzanej przez producenta, a wszelkie zmiany ustawień lub reguł wygenerowanych przez maszynę lub powiązany produkt albo przez operatorów są niedozwolone, w tym w trakcie fazy uczenia się maszyny lub powiązanego produktu, jeżeli takie zmiany mogą prowadzić do sytuacji zagrożenia,"
- Nowe wymaganie: "dziennik śledzenia danych generowanych w związku z interwencją oraz wersji oprogramowania bezpieczeństwa załadowanych po wprowadzeniu maszyny lub powiązanego produktu do obrotu lub oddaniu do użytku jest aktywowany przez pięć lat po załadowaniu, wyłącznie w celu wykazania, na uzasadniony wniosek właściwego organu krajowego, że maszyna lub powiązany produkt jest zgodny z niniejszym załącznikiem,"
- Nowe wymaganie: "układy sterowania maszyn lub powiązanych produktów o całkowicie lub częściowo samouczącym się zachowaniu lub logice, zaprojektowane do działania z różnym stopniem autonomii, powinny być projektowane i wytwarzane w taki sposób, aby"
- Nowe wymaganie: "maszyna lub powiązany produkt nie wykonuje czynności wykraczających poza jej określone zadanie robocze i przestrzeń ruchu,"
- Nowe wymaganie: "rejestrowanie danych dotyczących procesu decyzyjnego związanego z bezpieczeństwem w systemach bezpieczeństwa opartych na oprogramowaniu, zapewniających funkcje bezpieczeństwa, w tym komponenty bezpieczeństwa, po wprowadzeniu maszyny lub powiązanego produktu do obrotu lub oddaniu do użytku jest możliwe, a takie dane są przechowywane przez okres jednego roku po ich zebraniu, wyłącznie w celu wykazania, na uzasadniony wniosek właściwego organu krajowego, że maszyna lub powiązany produkt jest zgodny z niniejszym załącznikiem,"
- Nowe wymaganie: "zawsze możliwa jest korekta maszyny lub powiązanego produktu w celu utrzymania jego bezpieczeństwa inherentnego."
- Nowe wymaganie: "Zmiany ustawień lub reguł, generowanych przez maszynę lub powiązany produkt albo przez operatorów, również w trakcie fazy uczenia się maszyny lub powiązanego produktu, muszą być uniemożliwione, jeżeli takie zmiany mogą prowadzić do sytuacji zagrożenia."
- Wymaganie zmienia się: "Dla zdalnego sterowania bezprzewodowego należy wykonać automatyczne zatrzymanie, gdy prawidłowe sygnały sterujące nie docierają, w tym w przypadku utraty łączności." zostaje zastąpione przez "W przypadku sterowania bezprzewodowego błąd komunikacji lub połączenia albo nieprawidłowe połączenie nie może prowadzić do sytuacji zagrożenia."
Propozycje działań
- Zapewnić, że układ sterowania został przeanalizowany również pod kątem oddziaływania celowego (np. manipulacji, cyberataków)
- Zweryfikować, że układ sterowania jest odporny zarówno na niezamierzone, jak i celowe oddziaływania zewnętrzne, w tym komunikację i sieć
- Zapewnić, że granice wszystkich funkcji bezpieczeństwa są zdefiniowane i udokumentowane w ocenie ryzyka
- Sprawdzić, że granic tych nie można zmienić przez operatora, system ani funkcje uczenia w sposób mogący stworzyć ryzyko
- Zweryfikować, że zmiany parametrów, nastaw i reguł wpływających na bezpieczeństwo są chronione (np. kontrola uprawnień, blokada, walidacja)
- Zapewnić, że zmiany podczas ewentualnej fazy uczenia nie mogą prowadzić do sytuacji niebezpiecznych
- Zapewnić, że systemy rejestracji (identyfikowalność) istnieją i są aktywne
- Zweryfikować, że logi zawierają:
- interwencje w systemie
- zmiany w oprogramowaniu bezpieczeństwa
- zarządzanie wersjami
- Sprawdzić, że logi są przechowywane przez co najmniej 5 lat i mogą zostać udostępnione na żądanie organu
- Jeżeli maszyna wykazuje zachowanie samouczenia się lub autonomię:
- Zweryfikować, że maszyna nie może wykonywać działań poza zdefiniowanym zadaniem roboczym i obszarem ruchu
- Zapewnić, że decyzje wpływające na funkcje bezpieczeństwa są rejestrowane i przechowywane (co najmniej 1 rok)
- Sprawdzić, że istnieje możliwość korekty lub przywrócenia systemu w celu zachowania bezpieczeństwa
- Zapewnić, że układ sterowania uniemożliwia nieuprawnione zmiany ustawień krytycznych dla bezpieczeństwa (w tym ze strony operatorów)
- Zweryfikować, że dotyczy to również podczas eksploatacji, serwisu i ewentualnych funkcji adaptacyjnych
- W przypadku sterowania bezprzewodowego:
- Sprawdzić, że wszelkie rodzaje błędów komunikacji (utrata łączności, zakłócenia, nieprawidłowe połączenie) są obsługiwane tak, aby nie powstało ryzyko
- Zweryfikować, że system przechodzi do stanu bezpiecznego w przypadku problemów komunikacyjnych (nie tylko zatrzymanie, lecz sytuacja wolna od ryzyka)
Tekst prawny dyrektywy maszynowej
1.2.1 Bezpieczeństwo i niezawodność układu sterowania
Układ sterowania powinien być zaprojektowany i wykonany tak, aby nie mogły powstawać sytuacje niebezpieczne. W szczególności powinien być zaprojektowany i wykonany tak, aby
— mógł wytrzymać przewidziane obciążenia podczas eksploatacji oraz wpływy zewnętrzne,
— awarie sprzętu lub oprogramowania układu sterowania nie prowadziły do sytuacji niebezpiecznych,
— błędy logiki układu sterowania nie prowadziły do sytuacji niebezpiecznych,
— dające się racjonalnie przewidzieć błędy ludzkie podczas obsługi nie prowadziły do sytuacji niebezpiecznych.
Szczególną uwagę należy zwrócić na następujące punkty:
— Maszyna nie może uruchomić się niespodziewanie.
— Parametry maszyny nie mogą być zmieniane w sposób niekontrolowany; jeżeli zmiana może prowadzić do sytuacji niebezpiecznych.
— Maszyny nie może być uniemożliwione zatrzymanie, jeśli polecenie zatrzymania zostało już wydane.
— Żadna ruchoma część maszyny ani element utrzymywany przez maszynę nie może spaść ani zostać wyrzucony.
— Automatyczne lub ręczne zatrzymanie ruchomych części dowolnego rodzaju powinno być możliwe bez przeszkód.
— Urządzenia ochronne powinny nadal pozostawać w pełni skuteczne albo generować polecenie zatrzymania.
— Części układu sterowania związane z bezpieczeństwem powinny działać w sposób spójny dla całej grupy maszyn i/lub częściowo ukończonych maszyn.
W przypadku sterowania bezprzewodowego należy wykonać automatyczne zatrzymanie, gdy prawidłowe sygnały sterujące nie docierają, w tym w przypadku utraty łączności.
Czytaj więcej
Tekst prawny rozporządzenia w sprawie maszyn
1.2.1 Bezpieczeństwo i niezawodność układu sterowania
Układ sterowania powinien być zaprojektowany i wykonany tak, aby nie mogły powstawać sytuacje stwarzające zagrożenie.
Układ sterowania powinien być zaprojektowany i wykonany w taki sposób, aby
a) w stosownych przypadkach, z uwzględnieniem okoliczności i ryzyka, wytrzymywał przewidziane obciążenia eksploatacyjne oraz zamierzone i niezamierzone oddziaływania zewnętrzne, w tym racjonalnie przewidywalne złośliwe próby osób trzecich prowadzące do sytuacji stwarzających zagrożenie,
b) awarie sprzętu lub oprogramowania układu sterowania nie prowadziły do sytuacji stwarzających zagrożenie,
c) błędy w logice układu sterowania nie prowadziły do sytuacji stwarzających zagrożenie,
d) granice funkcji bezpieczeństwa powinny być ustalane jako część oceny ryzyka przeprowadzanej przez producenta, a żadne zmiany ustawień lub reguł generowanych przez maszynę lub powiązany produkt albo przez operatorów nie są dozwolone, w tym w fazie uczenia maszyny lub powiązanego produktu, jeżeli takie zmiany mogą prowadzić do sytuacji stwarzających zagrożenie,
e) racjonalnie przewidywalne błędy ludzkie podczas obsługi nie prowadziły do sytuacji stwarzających zagrożenie,
f) dziennik śledzenia danych generowanych w związku z ingerencją oraz wersje oprogramowania bezpieczeństwa wgrane po wprowadzeniu maszyny lub powiązanego produktu do obrotu lub oddaniu do użytku są aktywowane przez pięć lat od chwili wgrania, wyłącznie w celu wykazania, na uzasadniony wniosek właściwego organu krajowego, że maszyna lub powiązany produkt jest zgodny z niniejszym załącznikiem,
Układy sterowania maszyn lub powiązanych produktów o zachowaniu lub logice w pełni lub częściowo samouczącej się, zaprojektowane do działania z różnym stopniem autonomii, powinny być zaprojektowane i wykonane w taki sposób, aby
a) maszyna lub powiązany produkt nie wykonywały działań wykraczających poza określone zadanie robocze i przestrzeń ruchu,
b) możliwe było rejestrowanie danych dotyczących procesu decyzyjnego związanego z bezpieczeństwem dla systemów bezpieczeństwa opartych na oprogramowaniu zapewniających funkcje bezpieczeństwa, w tym komponentów bezpieczeństwa, po wprowadzeniu maszyny lub powiązanego produktu do obrotu lub oddaniu do użytku, a takie dane były przechowywane przez jeden rok od ich zebrania, wyłącznie w celu wykazania, na uzasadniony wniosek właściwego organu krajowego, że maszyna lub powiązany produkt jest zgodny z niniejszym załącznikiem,
c) zawsze było możliwe skorygowanie maszyny lub powiązanego produktu w celu zachowania jego bezpieczeństwa inherentnego.
Szczególną uwagę należy zwrócić na następujące punkty:
a) Maszyna lub powiązany produkt nie mogą uruchamiać się niespodziewanie.
b) Parametry maszyny lub powiązanego produktu nie mogą być zmieniane w sposób niekontrolowany, jeżeli taka zmiana może prowadzić do sytuacji stwarzających zagrożenie.
c) Należy uniemożliwić zmiany ustawień lub reguł generowanych przez maszynę lub powiązany produkt albo przez operatorów, także w fazie uczenia maszyny lub powiązanego produktu, jeżeli takie zmiany mogą prowadzić do sytuacji stwarzających zagrożenie.
d) Nie wolno uniemożliwiać zatrzymania maszyny lub powiązanego produktu, jeżeli komenda zatrzymania została już wydana.
e) Żaden ruchomy element maszyny lub powiązanego produktu ani utrzymywany przez nią element nie może spaść ani zostać wyrzucony.
f) Automatyczne lub ręczne zatrzymanie wszelkich ruchomych części dowolnego rodzaju powinno być możliwe bez przeszkód.
g) Urządzenia ochronne powinny nadal być w pełni skuteczne albo wywoływać komendę zatrzymania.
h) Części układu sterowania związane z bezpieczeństwem powinny działać spójnie dla całej grupy maszyn lub powiązanych produktów albo maszyn nieukończonych, lub ich kombinacji.
W odniesieniu do sterowania bezprzewodowego błąd w komunikacji lub połączeniu albo nieprawidłowe połączenie nie może prowadzić do sytuacji stwarzającej zagrożenie.
Czytaj więcej
Har du några frågor? Kontakta oss