À volta do Regulamento de Máquinas 2023/1230 nasceu um atalho cómodo: “é o regulamento da AI nas máquinas”. Soa moderno. Soa simples. E está errado como ponto de partida. O regulamento não transforma qualquer sistema com AI num tema automático de conformidade da máquina. Se um software só analisa dados da linha, prevê falhas, calcula OEE ou sugere parâmetros de processo sem realizar uma função de segurança, o rótulo AI não o converte, por magia, num componente de segurança. A pergunta séria é outra: esse sistema, essa ligação, essa atualização ou essa configuração pode alterar o comportamento da máquina de forma a criar uma situação perigosa para pessoas? É aqui que o tema começa. E é aqui que muita documentação ainda falha.
O ponto forte do novo quadro não é “regular AI”. É deixar claro, de uma vez, que a segurança da máquina já não acaba na mecânica, nos acionamentos, nos resguardos e no quadro elétrico. Hoje, a segurança pode depender de software, dados, lógica de comando, comunicação, acesso remoto, atualizações, parametrização e cibersegurança. Quem fabrica ou integra máquinas e continua a tratar isso como assunto “só de IT” está a correr atrás do problema — e, em alguns casos, a empurrá-lo para cima do operador.
Regulamento de Máquinas 2023/1230: não é uma lei geral sobre AI
Convém separar o ruído da parte técnica. O Regulamento de Máquinas 2023/1230 não é um diploma sobre qualquer AI usada na fábrica. Não diz que um algoritmo de manutenção preditiva, um sistema de visão para análise de qualidade ou um motor de otimização de processo passa automaticamente a fazer parte da avaliação de conformidade da máquina.
O regulamento entra a sério quando a aprendizagem automática ou outro comportamento parcialmente ou totalmente autoevolutivo influencia uma função de segurança. Aí muda tudo. Já não estamos a falar de apoio à produção. Estamos a falar de segurança da máquina. E isso tem consequências na classificação do produto, na avaliação de conformidade, na documentação técnica e, em certos casos, na necessidade de envolver uma unidade notificada.
Em resumo: não pergunte “a máquina tem AI?”. Pergunte antes “a AI, o software, os dados ou a comunicação podem alterar a segurança da máquina?”. É uma diferença pequena na frase. É gigantesca na prática.
Não pergunte se há AI. Pergunte quem pode mudar o comportamento da máquina
Este é o teste que separa marketing de engenharia. A segurança não se decide pelo nome da tecnologia. Decide-se pelo efeito no comportamento da máquina, nas condições de utilização e na interação com as pessoas.
Alguém altera o programa do PLC
Imagine uma máquina com acesso remoto para assistência. Um terceiro explora uma vulnerabilidade, uma má configuração ou credenciais fracas e carrega uma nova versão do programa para o PLC. À primeira vista, nada mudou: os resguardos continuam montados, a paragem de emergência continua no sítio, as declarações dos componentes continuam arquivadas, a chapa parece impecável.
Só que o comportamento pode já ser outro. Pode mudar a sequência de movimentos. Pode aumentar o tempo de paragem. Pode mudar a velocidade. Pode alterar a condição de rearranque. Pode mudar a reação à abertura de um resguardo. Pode desaparecer uma limitação que antes reduzia o risco.
Nesse momento, chamar-lhe “incidente informático” é pouco. Se o efeito puder conduzir a uma situação perigosa ou a um acontecimento perigoso, então isso entra diretamente na avaliação de riscos da máquina.
E se o SCADA também escrever, e não apenas ler?
Se o SCADA só monitoriza variáveis, o impacto pode ser reduzido. Ainda assim, é preciso verificar. Mas se o SCADA puder alterar receitas, parâmetros, modos de trabalho, permissões, sequência de ciclo ou condições de rearranque, então já não estamos a falar de mera visualização. Estamos a falar de influência externa sobre o comportamento da máquina.
E isso obriga a regressar ao início: aos limites da máquina. Porque uma máquina concebida como posto autónomo passa a operar noutro contexto quando é integrada num sistema superior. Passa a ter outras dependências, outras origens de comando, outras falhas possíveis e outras formas de surpreender o operador.
Dizer “o SCADA é do cliente” não resolve nada. Se influencia o comportamento, entra na avaliação de riscos.
Relocalização não é só logística
Mudar uma máquina de instalação também pode mudar o risco. Não automaticamente, mas pode. Uma máquina dimensionada e avaliada para um ambiente industrial estável pode ser transferida para um local com novas solicitações ambientais, novos modos de operação, nova disposição de acessos ou até novas ações externas, como vibração, temperatura extrema ou condições sísmicas relevantes.
A pergunta certa não é “foi a mesma máquina para outro sítio?”. A pergunta certa é: continua a ser a mesma máquina dentro dos mesmos limites da máquina, da mesma utilização prevista e do mesmo uso indevido razoavelmente previsível? Se a resposta for não, a documentação antiga pode estar a descrever uma realidade que já não existe.
Porque a ISO 12100 ficou ainda mais importante
Há um erro recorrente: achar que, com o novo regulamento, a ISO 12100 perde centralidade porque agora “o problema é software”. É precisamente o contrário. A ISO 12100 fica ainda mais importante porque fornece a estrutura lógica que evita avaliações de riscos superficiais.
É ali que se organizam os limites da máquina, a utilização prevista, o uso indevido razoavelmente previsível, as fases do ciclo de vida, as tarefas dos operadores, o perigo, a situação perigosa, o acontecimento perigoso, as medidas de proteção e o risco residual.
Sem esta espinha dorsal, a conversa sobre software e cibersegurança descamba depressa para listas soltas de controlos, firewalls, palavras-passe e redes separadas. Isso pode ser útil. Mas não substitui a pergunta principal: de que forma concreta é que uma falha, alteração, perda de comunicação, erro de dados ou interferência externa pode levar pessoas a uma situação perigosa?
Só depois dessa lógica estar montada faz sentido acrescentar a camada de cibersegurança, por exemplo com apoio da IEC 62443, e analisar a relação com o CRA para produtos com elementos digitais. O CRA pode reforçar a robustez do componente digital. Mas não faz a avaliação de riscos da máquina por si.
O que muda com o Regulamento de Máquinas 2023/1230
A base não foi reinventada do zero. A Diretiva Máquinas 2006/42/CE já exigia avaliação de riscos, documentação técnica, instruções e declaração de conformidade. A mudança real é outra: o novo regulamento traz para o centro do palco aspetos que antes muitas empresas tratavam como acessórios.
1. A máquina pode existir antes de receber o software específico
Na definição de máquina, entra também um conjunto que cumpre a definição, mas que ainda não tem instalado o software destinado à aplicação específica prevista pelo fabricante. Isto parece detalhe. Não é. Acaba com a fantasia de que o software decisivo para o funcionamento é “externo à máquina”.
Se a máquina só cumpre a sua função depois de receber esse software, então esse software faz parte daquilo que determina o comportamento, a função e a segurança. Se não entrou na avaliação de conformidade, a documentação descreve uma máquina teórica, não a máquina real que o utilizador vai pôr a trabalhar.
2. O componente de segurança pode ser digital
Outra mudança que parece discreta, mas pesa muito: o componente de segurança pode ser físico ou digital, incluindo software. Isto muda o jogo para quem ainda pensa que a segurança da máquina mora apenas em relés, barreiras fotoelétricas, fechaduras, válvulas ou botões.
Se o software executa uma função de segurança, já não é “só o programa do automatista”. Passa a ser parte da arquitetura de segurança. E, a partir daí, aparecem perguntas incômodas e inevitáveis: quem o forneceu, que versão está instalada, quem pode alterá-lo, como é controlada a mudança, existe registo, a atualização pode afetar a função de segurança, e a documentação técnica consegue demonstrar conformidade?
Muita empresa não vai tropeçar por falta de competência em automação. Vai tropeçar porque não consegue mostrar, de forma rastreável, a ligação entre decisões de software, avaliação de riscos e medidas de proteção.
3. Cibersegurança entra na segurança da máquina
Aqui é preciso precisão. O regulamento não transforma um fabricante de máquinas numa empresa de serviços de cibersegurança. Não exige que todos montem um SOC ou passem a vender pentests. O que faz é mais objetivo e mais duro: se uma alteração acidental ou intencional, uma manipulação de dados, uma modificação de software ou uma ligação externa puder conduzir a uma situação perigosa, então isso é um tema de segurança da máquina.
Na prática, isto significa que o fabricante e o integrador têm de identificar o software e os dados relevantes para a conformidade, protegê-los adequadamente, controlar intervenções e deixar rasto quando houver alterações. E significa também que os sistemas de comando têm de ser concebidos para resistir não só a falhas, mas também a tentativas razoavelmente previsíveis de terceiros mal-intencionados conduzirem a um acontecimento perigoso.
Escrever na documentação “a cibersegurança foi considerada” não chega. É preciso mostrar onde pode haver impacto na segurança da máquina e que medidas de proteção foram adotadas.
4. A documentação técnica deixa de ser um arquivo morto
A documentação técnica não pode continuar a ser uma pasta com desenhos, manuais, declarações de componentes e uma matriz de risco feita para cumprir calendário. Tem de mostrar o raciocínio do fabricante: quais os requisitos aplicáveis, que perigos foram identificados, que medidas de proteção foram implementadas, que normas foram usadas, qual o risco residual e, quando relevante, como software, sensores, dados, comando remoto ou autonomia influenciam a segurança.
Em casos adequados, isto pode implicar descrever a lógica de programação ou outros elementos do software relacionado com a segurança na medida necessária para demonstrar conformidade. Não é exposição gratuita de propriedade intelectual. É prova técnica de que a segurança não foi deixada à sorte.
5. O anexo I tem duas portas de entrada: parte A e parte B
Quem conhecia a lógica antiga do anexo IV da Diretiva Máquinas 2006/42/CE tem de atualizar a cabeça. No novo regime, o anexo I divide categorias de máquinas e produtos relacionados em parte A e parte B. E isto não é mera mudança de número.
A parte A é mais exigente. Inclui, entre outras categorias, componentes de segurança com comportamento total ou parcialmente autoevolutivo por aprendizagem automática que asseguram funções de segurança, e máquinas com esses sistemas incorporados, na medida desses sistemas. Aqui, a conversa sobre AI deixa de ser superficial. Deixa de ser “a máquina usa AI?”. Passa a ser “a aprendizagem automática assegura a função de segurança?”.
A parte B mantém uma lógica mais próxima do mercado já conhecido, mas a via de avaliação depende de fatores concretos, incluindo a utilização de normas harmonizadas ou especificações comuns que cubram os requisitos relevantes.
Traduzindo para a prática: antes de emitir uma declaração UE de conformidade, é preciso perceber se o produto cai no anexo I, em que parte cai e qual o módulo de avaliação de conformidade aplicável. Em função disso, pode estar em causa o módulo A, o módulo B + C, o módulo G ou o módulo H.
6. Instruções e declarações podem ser digitais, mas não de qualquer maneira
Sim, o regulamento admite documentos digitais. Boa notícia? Sim. Licença para improvisar? Não. As instruções em formato digital têm de ser disponibilizadas de forma claramente indicada, têm de poder ser descarregadas, guardadas e impressas, e têm de permanecer acessíveis em linha durante o ciclo de vida previsível da máquina e, no mínimo, durante 10 anos após a colocação no mercado ou a entrada em serviço.
O mesmo raciocínio vale para a declaração UE de conformidade, que pode ser disponibilizada por endereço eletrónico ou código legível por máquina. Mas “está num PDF algures no site” não é um processo. É um risco organizacional à espera de explodir.
7. Importador e distribuidor deixam de ser figurantes
O novo quadro também aperta as obrigações dos operadores económicos. O importador tem de verificar, entre outros pontos, se o fabricante executou o procedimento adequado de avaliação de conformidade, se a documentação técnica existe, se a máquina tem marcação CE e se os documentos obrigatórios a acompanham.
O distribuidor também não pode limitar-se a movimentar caixas. Antes de disponibilizar a máquina no mercado, tem de verificar a marcação CE, a declaração UE de conformidade, as instruções e os dados do fabricante e do importador.
E há um ponto que muita gente subestima: se importador ou distribuidor colocarem o produto no mercado sob o seu próprio nome ou fizerem modificações capazes de afetar a conformidade, podem entrar no papel de fabricante. E aí a responsabilidade muda de patamar.
8. A máquina móvel autónoma já não é exceção exótica
O regulamento trata de forma mais explícita a máquina móvel autónoma, a figura do supervisor e as funções de supervisão. Isto importa porque o risco, aqui, não se resume a “há uma máquina a circular”. O problema técnico é outro: quem decide o movimento, com que sensores, com que regras, com que limites de área, o que acontece quando falha a comunicação, como a máquina reage a pessoas e obstáculos, e que visibilidade real tem o supervisor sobre a situação.
Numa máquina deste tipo, avaliar só rodas, travão e aviso sonoro é ficar na superfície. A análise tem de entrar na lógica de decisão, nos sensores, nas limitações do sistema e no papel humano dentro do sistema.
Regulamento de Máquinas 2023/1230: a armadilha das “pequenas formalidades”
Há mudanças que parecem menores e que, na prática, denunciam logo se a empresa atualizou o processo ou apenas mexeu no cabeçalho dos modelos. Depois de 20 de janeiro de 2027, continuar a emitir uma declaração CE de conformidade com referência à Diretiva Máquinas 2006/42/CE para produtos já abrangidos pelo novo regime não será um erro cosmético. Será sinal claro de processo desatualizado.
Agora fala-se em declaração UE de conformidade e, no caso da quase-máquina, em declaração UE de incorporação. A marcação continua CE. Este ponto é básico e, ainda assim, vai apanhar muita empresa desprevenida.
Há mais. A nova declaração UE de conformidade não deve limitar-se a dizer “o produto cumpre o regulamento”. Deve indicar as normas harmonizadas, as especificações comuns ou outras especificações técnicas usadas para demonstrar conformidade. Se uma norma foi aplicada só em parte, convém indicar que partes foram efetivamente usadas. E deve também revelar o módulo de avaliação de conformidade seguido.
Isto é um golpe duro na documentação preguiçosa, feita com copiar-colar e listas de normas colocadas “porque ficam bem”. O regulamento pede rasto técnico: qual foi o caminho escolhido para demonstrar conformidade e porquê.
Outro detalhe importante: o campo antigo relativo à pessoa autorizada a preparar a documentação técnica, presente na lógica da Diretiva Máquinas 2006/42/CE, não deve ser transportado mecanicamente para o novo modelo. E atenção para não confundir isso com o representante autorizado. O representante autorizado pode existir, mediante mandato escrito, mas não substitui o fabricante na conceção da máquina, na avaliação de riscos nem na responsabilidade essencial pela conformidade.
No caso da quase-máquina, a declaração UE de incorporação também não é uma simples mudança de nome de ficheiro. Continua a não ser uma declaração final para máquina completa. Continua a ter de apoiar a integração correta na máquina final. E, se vier escrita com lógica documental antiga, o fabricante da máquina final deve desconfiar — com razão.
CRA, IEC 62443 e segurança da máquina: cada coisa no seu lugar
Outro erro comum é misturar tudo. O Regulamento de Máquinas 2023/1230 trata da segurança de máquinas, produtos relacionados e quase-máquinas. O CRA trata de requisitos de ciber-resiliência para produtos com elementos digitais. A IEC 62443 ajuda a estruturar a cibersegurança de sistemas de automação e controlo industrial. São camadas complementares, não substitutas.
Um componente digital pode estar bem tratado à luz do CRA e, ainda assim, criar novo risco quando é integrado numa máquina concreta, numa arquitetura concreta, numa rede concreta e num contexto operacional concreto. É por isso que a ISO 12100 continua a ser a ferramenta principal para responder à pergunta que realmente interessa: isto altera o risco da máquina ou não?
Conclusão: o pior erro é atualizar o documento final e deixar o processo velho
A grande mudança não está numa palavra trocada nem num novo número de regulamento. Está na exigência de olhar para a máquina como um sistema técnico, digital e organizacional. Um sistema cujo comportamento pode ser afetado por software, dados, parametrização, comunicação, atualizações, acesso remoto e autonomia.
Por isso, a pior estratégia na transição é a mais tentadora: trocar “CE” por “UE”, mudar a referência legal, atualizar a data e seguir em frente como se nada tivesse mudado. Isso não chega.
O trabalho sério passa por rever a classificação do produto, confirmar os limites da máquina, refazer a avaliação de riscos quando o contexto mudou, identificar software e dados relevantes para a conformidade, verificar o anexo I, escolher corretamente o módulo de avaliação, atualizar a documentação técnica, rever instruções e emitir a declaração certa para o produto certo.
Em linguagem simples: não pergunte se a máquina tem AI. Pergunte quem, o quê e de que forma pode mudar o comportamento da máquina. Se essa resposta não estiver clara, a conformidade também não está.