Maskinforordningen 2023/1230 bliver ofte kogt ned til en smart, men upræcis sætning: at den "handler om AI i maskiner". Det lyder moderne. Det er bare ikke rigtigt nok til at være brugbart. Forordningen er ikke en generel lov om AI. Den siger ikke, at ethvert AI-system i en fabrik automatisk bliver en del af maskinens CE-proces. En algoritme, der analyserer data fra linjen, forudsiger fejl, beregner OEE eller foreslår procesindstillinger, bliver ikke i sig selv en sikkerhedskomponent, bare fordi nogen kalder den AI.
Det, Maskinforordningen 2023/1230 faktisk spørger om, er langt mere jordnært og langt mere alvorligt: Påvirker løsningen maskinens sikkerhed og menneskets sikkerhed? Hvis svaret er ja, er du inde i forordningens kerne. Hvis svaret er nej, hjælper det ikke at kaste modeord ind i diskussionen.
Det er også her, mange virksomheder starter forkert. De spørger: "Har maskinen AI?" Det er det forkerte spørgsmål. Det rigtige er: "Hvem eller hvad kan ændre maskinens adfærd, så der opstår en faresituation?" Når du stiller det spørgsmål, lander du hurtigt dér, hvor arbejdet faktisk ligger: i risikovurdering efter ISO 12100, i styring af softwareændringer, i fjernadgang, i dataafhængigheder, i kommunikation mellem systemer og i cybersikkerhed, når cybersikkerhed kan blive til maskinsikkerhed.
Maskinforordningen 2023/1230 handler ikke om al AI
AI optræder i forordningen i en konkret teknisk sammenhæng, ikke som en generel etiket. Hvis en sikkerhedskomponent eller et system indbygget i maskinen har helt eller delvist selvændrende adfærd, bruger maskinlæring og udfører en sikkerhedsfunktion, så bliver det alvorligt. Meget alvorligt. Men det er ikke det samme som at sige, at "AI i produktionen" som helhed er reguleret af Maskinforordningen 2023/1230.
Det er en afgørende skelnen. En analysemodel, der kun overvåger ydelse eller vedligehold, er én ting. Et system, der påvirker stop, genstart, adgang til fareområder, hastighed eller andre sikkerhedsrelaterede funktioner, er noget helt andet. Her går grænsen ikke mellem "AI" og "ikke AI". Den går mellem løsninger, der er uden betydning for sikkerheden, og løsninger, der kan skubbe et menneske ind i en faresituation.
Det er derfor, den virkelige ændring i forordningen er bredere end AI. Den nye logik er, at en maskine ikke længere kan forstås som mekanik, drev, afskærmning og eltavle alene. En maskine kan være et teknisk system, hvor sikkerheden afhænger af software, data, styrelogik, netværkskommunikation, fjernadgang, opdateringer, konfiguration og modstandsdygtighed mod digital indgriben.
Det er ikke teori. Det er virkeligheden på moderne anlæg.
Spørg ikke, om maskinen har AI. Spørg, hvad der kan ændre dens adfærd
Når man skærer ind til benet, starter problemet sjældent med et buzzword. Det starter, når maskinens adfærd ændrer sig. Eller når betingelserne for dens anvendelse ændrer sig. Eller når menneskets samspil med maskinen ændrer sig. Det er præcis derfor, en ordentlig risikovurdering ikke begynder med en liste over værn og nødstop. Den begynder med maskinens grænser, tilsigtet anvendelse, med rimelighed forudsigelig fejlanvendelse, livscyklusfaser og de konkrete opgaver, mennesker udfører omkring maskinen.
Et ændret PLC-program er ikke "bare IT"
Forestil dig en maskine med fjernadgang til service. En sårbarhed udnyttes. Eller en konto er svagt beskyttet. Eller nogen uploader ganske enkelt en ændret version af programmet til PLC-styringen.
Ved første blik ser alt normalt ud. Afskærmningerne er der stadig. Nødstopknappen er stadig rød. CE-mærkning findes stadig. Dokumentationen ligger stadig i mappen. Men maskinen kan allerede være en anden maskine set med sikkerhedsbriller.
Bevægelsessekvensen kan være ændret. Stopforsinkelsen kan være anderledes. Hastigheden kan være ændret. Genstartsbetingelsen kan være flyttet. Reaktionen ved åbning af en afskærmning kan være svækket. En kontrol, der tidligere reducerede risiko, kan være væk.
At kalde det en "IT-hændelse" er simpelthen for tyndt. Hvis resultatet kan være uventet bevægelse, manglende stop, utilsigtet genstart eller adgang til et fareområde på det forkerte tidspunkt, så har du en potentiel farlig hændelse i maskinens risikovurdering. Punktum.
Når SCADA ikke kun læser, men også skriver
Det samme gælder SCADA. Hvis SCADA kun læser data, kan risikoen være begrænset. Det skal stadig vurderes, men ren overvågning ændrer ikke nødvendigvis sikkerheden. Men hvis SCADA kan ændre recepter, parametre, driftstilstande, tilladelser, cyklussekvenser eller betingelser for genstart, så taler vi ikke længere om passiv visualisering. Så taler vi om ekstern påvirkning af maskinens adfærd.
Og så skal du tilbage til begyndelsen: maskinens grænser. For maskinen arbejder nu under andre forudsætninger end før integrationen. Den har andre kommandokilder. Andre fejlmuligheder. Andre måder at overraske operatøren på. At sige, at "SCADA ligger på kundens side", fritager ingen for at tage det med i risikovurderingen, hvis systemet kan påvirke sikkerheden.
En flytning kan være mere end logistik
Det samme gælder ved flytning eller relokation. En maskine, der var designet til ét miljø, kan blive sat op i et andet miljø med helt andre belastninger og risici. Det kan være seismiske påvirkninger, temperatur, luftfugtighed, støv, eksplosionsrisiko, pladsforhold, nye materialeflow eller en ny måde at betjene anlægget på.
Flytningen i sig selv er ikke automatisk en væsentlig ændring. Men hvis de nye forhold skaber nye farlige hændelser eller kræver nye beskyttelsesforanstaltninger for stabilitet, styrke eller styring, så er det ikke bare et transportspørgsmål længere. Så skal dokumentationen følge virkeligheden, ikke den gamle adresse.
Det er netop derfor, ISO 12100 bliver vigtigere, ikke mindre vigtig, under det nye regime. Standarden giver stadig det logiske skelet: maskinens grænser, tilsigtet anvendelse, med rimelighed forudsigelig fejlanvendelse, farer, faresituationer, farlige hændelser, risikoreduktion og restrisiko. Først når det skelet er på plads, giver det mening at lægge cybersikkerhed ovenpå, for eksempel med IEC 62443, og derefter afklare forholdet til CRA for produkter med digitale elementer.
Hvad ændrer Maskinforordningen 2023/1230 konkret?
Det er vigtigt at sige det klart: Maskinforordningen 2023/1230 opfinder ikke risikovurdering fra bunden. Krav om dokumentation, instruktioner, vurdering af farer og beskyttelsesforanstaltninger fandtes allerede under maskindirektivet 2006/42/EF. Den virkelige ændring er, at forordningen ikke længere tillader, at software og digitale påvirkninger behandles som et appendix. De er nu en del af hovedhistorien.
1. En maskine kan være næsten klar, men stadig mangle software
Forordningen gør det tydeligt, at en maskine også kan være et samlet system, der opfylder definitionen, men endnu ikke har fået installeret software til den konkrete anvendelse, som producenten har forudset. Det er en praktisk vigtig ændring. Software er ikke længere et pænt ekstra lag uden for selve maskinbegrebet. Hvis maskinens funktion og sikkerhed afhænger af det software, der senere installeres, så skal det indgå i vurderingen af overensstemmelse.
Ellers beskriver dokumentationen en kulisse, ikke den maskine brugeren faktisk tager i drift.
2. En sikkerhedskomponent kan være digital
Det er en af de ændringer, der lyder beskeden, men får store konsekvenser i praksis. En sikkerhedskomponent kan være fysisk eller digital, herunder software. Det er slut med den bekvemme tanke, at maskinsikkerhed kun bor i lysgitre, låse, relæer og knapper.
Hvis software udfører en sikkerhedsfunktion, er det ikke bare "automatiseringskode". Så skal du kunne svare på de spørgsmål, mange helst undgår: Hvem leverede den? Hvilken version er installeret? Hvem kan ændre den? Bliver ændringer logget? Kan en opdatering påvirke sikkerhedsfunktionen? Understøtter den tekniske dokumentation, at løsningen faktisk opfylder kravene?
3. Cybersikkerhed bliver en del af maskinsikkerheden
Her skal man holde tungen lige i munden. Forordningen gør ikke maskinproducenten til en ren cybersikkerhedsleverandør. Den kræver ikke, at enhver maskinbygger pludselig skal opføre sig som et SOC. Men den siger noget meget vigtigt: Hvis utilsigtet eller tilsigtet manipulation, ændring af data, ændring af software eller ekstern påvirkning kan føre til en faresituation, så er det et spørgsmål om maskinsikkerhed.
Det gælder især for styresystemer og beskyttelse mod korruption eller indgreb. Tilslutning til andet udstyr eller til fjernkommunikerende udstyr må ikke føre til en faresituation. Software og data, der er relevante for overensstemmelse, skal identificeres og beskyttes. Indgreb i software og konfiguration skal kunne spores. Og styresystemet skal ikke kun kunne håndtere fejl; det skal også kunne modstå med rimelighed forudsigelige forsøg fra tredjeparter på at fremkalde en faresituation.
Det ændrer mentaliteten. Det er ikke nok at skrive i en specifikation, at fjernadgang er "adgangsbeskyttet". Du skal kunne vise, om fjernadgangen kan påvirke sikkerhedsrelevante funktioner. Hvis ja, skal risiko og foranstaltninger beskrives. Hvis nej, skal det kunne begrundes.
4. Teknisk dokumentation skal vise tankegangen
For mange virksomheder bliver dette det hårdeste punkt. Teknisk dokumentation må ikke længere være en løs samling filer, der ser imponerende ud på en server. Den skal dokumentere producentens ræsonnement.
Det betyder blandt andet en klar beskrivelse af maskinen og dens tilsigtede anvendelse, dokumentation for risikovurdering, en oversigt over de væsentlige sundheds- og sikkerhedskrav, der gælder, beskrivelser af beskyttelsesforanstaltninger, tegninger, diagrammer, beregninger, prøveresultater, instruktioner og dokumentation for produktionskontrol.
Hvor det er relevant, skal dokumentationen også kunne dække programmeringslogik eller kildekode for sikkerhedsrelateret software, beskrive sensorstyrede, fjernstartede eller autonome funktioner og vise systemets egenskaber, kapabiliteter, begrænsninger, datagrundlag samt test- og valideringsprocesser. Kort sagt: Dokumentationen skal vise, hvorfor maskinen er sikker, ikke bare at nogen har skrevet under.
5. Bilag I afløser den gamle logik fra bilag IV
Under maskindirektivet 2006/42/EF kiggede mange automatisk på bilag IV. Under den nye forordning er det bilag I, der er centralt, opdelt i del A og del B. Det er ikke en kosmetisk ændring.
Del A er skarpere. Her findes blandt andet sikkerhedskomponenter med helt eller delvist selvændrende adfærd baseret på maskinlæring, når de udfører en sikkerhedsfunktion, samt maskiner med indbyggede sådanne systemer i relation til de systemer. Her er intern produktionskontrol alene ikke nok. Du skal ind i procedurer med notificeret organ, for eksempel modul B + C, modul G eller modul H.
Del B ligger tættere på det kendte landskab, men også her afhænger vejen af, om de relevante harmoniserede standarder eller fælles specifikationer dækker kravene. Man kan ikke bare gætte sig frem til et modul.
6. Digitale instruktioner og EU-overensstemmelseserklæring er tilladt, men ikke tilfældigt
Ja, instruktioner kan være digitale. Ja, en EU-overensstemmelseserklæring kan også stilles til rådighed digitalt. Men det betyder ikke, at man kan lægge en PDF på et tilfældigt websted og glemme alt om den.
Dokumenterne skal være tilgængelige på en tydeligt angivet måde, kunne downloades, gemmes og udskrives, og de skal være tilgængelige online i maskinens forventede levetid og i mindst 10 år efter markedsføring eller ibrugtagning. Digitalisering fjerner ikke pligter. Den skaber nye organisatoriske pligter.
7. Importører og distributører er ikke længere statister
Forordningen gør forsyningskæden langt mindre komfortabel. Importøren skal kontrollere, om producenten har gennemført den rigtige procedure for vurdering af overensstemmelse, om den tekniske dokumentation er udarbejdet, om CE-mærkning er påført, og om de krævede dokumenter følger med. Distributøren kan heller ikke nøjes med at flytte kasser. Også distributøren skal kontrollere centrale forhold, før maskinen gøres tilgængelig på markedet.
Og hvis importør eller distributør markedsfører produktet under eget navn eller ændrer det på en måde, der kan påvirke overensstemmelsen, kan de lande i producentrollen med de forpligtelser, der følger med.
8. Autonome maskiner er ikke længere et nicheproblem
Autonome mobile maskiner er ikke længere et kuriosum i regelsættet. Når maskinen selv træffer eller medvirker til beslutninger om bevægelse, skal risikovurderingen ned i noget dybere end hjul, bremser og advarselslys. Den skal omfatte detektering af personer og forhindringer, adfærd ved tab af kommunikation, arbejdsområdets grænser, overvågningsfunktioner og den reelle rolle for den person, der overvåger systemet.
Her falder mange i den klassiske fælde: De vurderer det synlige hardware, men ikke beslutningslogikken bag bevægelsen. Det er en farlig forenkling.
9. CRA bliver et ekstra lag, ikke en erstatning
CRA og Maskinforordningen 2023/1230 løser ikke samme problem. CRA retter sig mod produkter med digitale elementer og deres cyberrobusthed. Maskinforordningen 2023/1230 retter sig mod maskinsikkerhed, også når cybersikkerhed kan påvirke sikkerheden.
Et digitalt komponent kan altså være veldokumenteret i sin egen kontekst, men producenten eller integratoren af maskinen skal stadig vurdere, hvad der sker, når det bygges ind i en konkret maskine, i et konkret styresystem, på et konkret netværk og i et konkret driftsmiljø. IEC 62443 kan hjælpe med struktur. CRA kan hjælpe med komponentkrav. Men ISO 12100 er stadig nøglen til at afgøre, om den samlede løsning ændrer maskinens risiko.
Maskinforordningen 2023/1230 ændrer også de "små" formaliteter
Nogle virksomheder kommer til at undervurdere de formelle ændringer. Det vil være en fejl. Efter 20. januar 2027 er det ikke en ligegyldig detalje, hvis man stadig udsteder gamle dokumenter med henvisning til maskindirektivet 2006/42/EF, gammel EF-overensstemmelseserklæring eller gammel logik fra bilag IV. Det er et tydeligt signal om, at processen bag dokumenterne ikke er opdateret.
Det samme gælder delmaskiner. Her taler vi ikke længere om en gammel erklæring, man har kopieret i årevis. Der skal bruges en EU-inkorporeringserklæring, og den skal passe til den nye forordning og den faktiske dokumentation. Hvis leverandøren sender noget, der ligner en støvet skabelon fra en anden tidsalder, bør alarmklokkerne ringe.
EU-overensstemmelseserklæringen skal vise vejen, ikke bare resultatet
Den nye logik er enkel: Det er ikke nok at skrive, at en maskine er i overensstemmelse med forordningen. Erklæringen skal vise, hvordan overensstemmelsen er dokumenteret. Hvis harmoniserede standarder eller fælles specifikationer er anvendt, skal de angives ordentligt. Hvis de kun er anvendt delvist, skal omfanget fremgå. Hvis andre tekniske specifikationer er brugt, skal de også fremgå.
Det er en direkte udfordring til den gamle vane med at liste et par standarder, fordi de ser gode ud. En EU-overensstemmelseserklæring uden et teknisk spor er svag. Og den bliver endnu svagere, hvis den heller ikke angiver, hvilken procedure for vurdering af overensstemmelse der er brugt.
Modulet er ikke pynt
Hvis produktet ikke falder ind under bilag I, vil producenten typisk kunne bruge intern produktionskontrol, altså modul A. Men hvis det er omfattet af bilag I del A eller del B, skal artikel 25 læses ordentligt, og det rigtige modul vælges. Det kan være modul B + C, modul G, modul H eller modul A, hvor det faktisk er tilladt.
Det er præcis her, sjusk afsløres. Hvis virksomheden ikke kan forklare, hvorfor netop dette modul er valgt, er der en reel risiko for, at hele vurderingen af overensstemmelse hviler på antagelser i stedet for på regler.
Hvad bør virksomheder gøre nu?
Vent ikke på sidste øjeblik. En forordning er direkte gældende. Der er ikke noget nationalt sikkerhedsnet, der pludselig redder en uforberedt proces. Det praktiske arbejde bør allerede være i gang.
- Afklar først, om produktet er en maskine, en sikkerhedskomponent eller en delmaskine.
- Fastlæg maskinens grænser præcist: miljø, brugere, driftstilstande, opgaver, interfaces og livscyklus.
- Gennemfør en risikovurdering efter ISO 12100, der faktisk afspejler den virkelige løsning og ikke en gammel standardmodel.
- Kortlæg software, data, fjernadgang, opdateringer, konfigurationer og eksterne systemer som PLC, SCADA og sensornet.
- Vurder, om en digital funktion udfører en sikkerhedsfunktion eller kan påvirke en sikkerhedsfunktion indirekte.
- Indfør styring af versioner, ændringer og sporbarhed for sikkerhedsrelevant software.
- Undersøg, om bilag I del A eller del B er relevant, og om et notificeret organ skal involveres.
- Opdater instruktioner, EU-overensstemmelseserklæring og, hvor relevant, EU-inkorporeringserklæring.
- Sørg for, at digital dokumentation faktisk kan hostes og tilgås i den krævede periode.
- Træn ikke kun compliance-folkene. Træn også salg, service, automation og integration. De træffer ofte de beslutninger, der senere bliver til risici.
Den største fejl er at behandle overgangen som en tekstøvelse: udskift EF med EU, indsæt nyt nummer, og gå videre. Sådan fungerer det ikke. Den rigtige opdatering går hele vejen gennem klassifikation, risikovurdering, modulvalg, teknisk dokumentation, instruktioner, erklæringer og ansvar i forsyningskæden.
Hvis du vil tage én praktisk læring med dig, så lad det være denne: Spørg ikke, om maskinen har AI. Spørg, om software, data, kommunikation, fjernadgang, opdateringer eller integration kan ændre maskinens adfærd på en måde, der skaber en faresituation. Det er dér, Maskinforordningen 2023/1230 rammer. Og det er dér, den gode dokumentation enten står sin prøve eller falder fra hinanden.