Okolo témy Nariadenie o strojových zariadeniach 2023/1230 sa rýchlo uchytil pohodlný skrat: vraj je to nové pravidlo pre AI v strojoch. Znie to moderne. Lenže je to nepresné a v praxi aj nebezpečne zjednodušené. Nariadenie o strojových zariadeniach 2023/1230 nerieši každé AI, ktoré sa objaví vo výrobe. Nerobí z každého analytického algoritmu, prediktívnej údržby, výpočtu OEE ani odporúčania procesných nastavení automaticky súčasť posudzovania zhody stroja. Ak taký systém beží vedľa stroja a neplní bezpečnostnú funkciu, samotná nálepka AI z neho ešte neurobí bezpečnostný komponent.
Jadro problému je inde. Nariadenie sa pýta, či konkrétne riešenie vplýva na bezpečnosť stroja a človeka. Preto sa AI objavuje iba v presnom technickom kontexte. Ak bezpečnostný komponent alebo systém zabudovaný v stroji vykazuje úplne alebo čiastočne samomeniace sa správanie, využíva strojové učenie a zároveň zabezpečuje bezpečnostnú funkciu, vtedy je téma na stole naplno. Nie preto, že je to módne. Preto, že to môže niekoho zraniť.
A to je väčšia zmena, než sa na prvý pohľad zdá. Moderný stroj už nie je len mechanika, pohon, kryt a elektrická skriňa. Je to systém, ktorého bezpečnosť môže závisieť od softvéru, dát, programovej logiky, komunikácie, vzdialeného prístupu, aktualizácií, konfigurácie a odolnosti voči digitálnemu zásahu. Práve tu sa láme chlieb pre výrobcu aj integrátora.
Nariadenie o strojových zariadeniach 2023/1230 nie je predpis o AI
Začať otázkou, či má stroj AI, je zlý štart. Samotné slovo AI nehovorí o bezpečnosti stroja vôbec nič. Systém môže analyzovať dáta z linky, predpovedať poruchy, počítať OEE alebo odporúčať parametre procesu a pritom sa vôbec nedotýkať bezpečnostnej funkcie. V takom prípade sa z neho nestáva bezpečnostný komponent len preto, že marketing rád používa tri písmená.
Správna otázka znie inak: môže tento systém, funkcia, spojenie alebo zmena ovplyvniť správanie stroja tak, že sa človek dostane do nebezpečnej situácie? To už nie je otázka z prezentácie o digitalizácii. To je čisté posúdenie rizika.
Nepýtajte sa, či má stroj AI. Pýtajte sa, kto alebo čo môže zmeniť jeho správanie
Presne tu má ISO 12100 stále kľúčovú hodnotu. Posúdenie rizika nezačína zoznamom ochranných opatrení. Začína obmedzeniami stroja: na čo je určený, ako sa má používať, aké nesprávne použitie možno rozumne predvídať, v akom prostredí pracuje, kto ho obsluhuje a v ktorých fázach životného cyklu sa môže vyskytnúť nebezpečná situácia. Až potom dávajú zmysel úvahy o softvéri, dátach a kybernetickej bezpečnosti.
Keď niekto zmení program PLC
Predstavte si stroj so vzdialeným servisným prístupom. Niekto zneužije zraniteľnosť, slabé konto alebo chybnú konfiguráciu a nahrá upravený program do PLC. Na pohľad je všetko rovnaké. Kryty sú na mieste. Núdzové zastavenie je stále červené. CE je na štítku. V dokumentácii ležia vyhlásenia od komponentov. Lenže stroj sa už môže správať inak.
Môže sa zmeniť sekvencia pohybov. Môže sa predĺžiť čas zastavenia. Môže sa zmeniť podmienka opätovného spustenia. Môže sa oslabiť reakcia na otvorenie krytu. Môže zmiznúť kontrola, ktorá predtým držala riziko na uzde. V tej chvíli veta, že išlo len o IT incident, nestačí. Ak výsledkom môže byť pohyb v nesprávnom okamihu, chýbajúce zastavenie alebo neočakávaný reštart, je to problém bezpečnosti stroja.
A čo SCADA?
Záleží na tom, čo SCADA naozaj robí. Ak iba číta dáta, riziko môže byť obmedzené. Stále to treba overiť, ale samotné sledovanie procesu ešte nemusí meniť bezpečnosť stroja. Lenže ak SCADA mení receptúry, parametre, pracovné režimy, povolenia, poradie cyklu alebo podmienky reštartu, už sa nebavíme o monitoringu. Bavíme sa o externom vplyve na správanie stroja.
A keď sa správanie stroja mení zvonka, musí sa to dostať do posúdenia rizika. Bodka. Nepomôže veta, že SCADA je na strane zákazníka. Ak vie meniť správanie stroja, zasahuje do bezpečnosti.
Relokácia nie je vždy len logistika
Presun stroja do iného závodu tiež nemusí byť nevinná formalita. Ak bol stroj navrhnutý pre konkrétne prostredie a neskôr sa presunie tam, kde platia iné podmienky, menia sa obmedzenia stroja. Môže ísť o seizmické zaťaženie, agresívnejšie prostredie, inú organizáciu pracoviska alebo inú interakciu obsluhy so strojom. Samotný presun ešte automaticky neznamená podstatnú zmenu. Ale ak nové podmienky vytvárajú nové nebezpečné situácie, staré posúdenie rizika už realitu nevystihuje.
Čo naozaj mení Nariadenie o strojových zariadeniach 2023/1230
Treba to povedať narovinu: nové pravidlá nevymýšľajú posúdenie rizika od nuly. Obmedzenia stroja, určené použitie, rozumne predvídateľné nesprávne použitie, technická dokumentácia, návod na použitie či hierarchia ochranných opatrení tu boli už v režime, ktorý stál na smernici 2006/42/ES. Zmena je inde. To, čo sa kedysi bralo ako doplnok, už dnes nemožno odsunúť bokom.
Softvér. Dáta. Riadiaca logika. Digitálne bezpečnostné funkcie. Vzdialené spúšťanie. Autonómne funkcie. Aktualizácie. Odolnosť riadiacich systémov voči zámerným zásahom tretích osôb. Moderný stroj sa hodnotí ako celok, nie ako mechanika s prilepenou informatikou.
1. Stroj môže byť takmer hotový, ale bez kľúčového softvéru nie je hotový vôbec
Veľmi praktická zmena: za stroj sa môže považovať aj zostava, ktorá síce spĺňa definíciu stroja, ale ešte nemá nainštalovaný softvér určený pre konkrétne použitie predpokladané výrobcom. To má priamy dôsledok. Už sa nedá predstierať, že softvér je niečo úplne externé. Ak bez neho stroj nevykoná určenú funkciu, musí byť zahrnutý do posudzovania zhody. Inak dokumentácia opisuje maketu, nie reálne zariadenie.
2. Bezpečnostný komponent môže byť aj digitálny
Toto mení myslenie v mnohých firmách. Bezpečnostný komponent nemusí byť len fyzická súčiastka. Môže byť aj digitálny vrátane softvéru. Ak softvér plní bezpečnostnú funkciu, nie je to len program automatizéra. Je to prvok bezpečnosti. A zrazu prichádzajú nepríjemné otázky: kto ho dodal, aká verzia je nasadená, kto má prístup, ako sa riadia zmeny, či sa zásahy zaznamenávajú a či aktualizácia nemôže zmeniť bezpečnostnú funkciu.
Veľa spoločností nespadne na technike. Spadne na tom, že ich technická dokumentácia nevie ukázať spojenie medzi rozhodnutiami v softvéri a posúdením rizika.
3. Kybernetická bezpečnosť už nie je vedľajšia poznámka
Kybernetická bezpečnosť neznamená, že sa z výrobcu stroja stáva poskytovateľ bezpečnostných operačných centier. O to nejde. Ide o to, že ak náhodné alebo úmyselné poškodenie, zmena dát, zásah do softvéru, zmena konfigurácie alebo externý vplyv môžu viesť k nebezpečnej situácii, je to už téma bezpečnosti stroja.
To je tvrdý posun. Nestačí napísať, že vzdialený prístup je chránený heslom. Treba vedieť ukázať, či vzdialený prístup môže zasiahnuť do funkcií dôležitých pre bezpečnosť. Ak áno, musia byť popísané riziká aj opatrenia. Ak nie, musí byť zrejmé prečo. Rovnako dôležité je určiť a chrániť softvér a dáta relevantné pre zhodu a zabezpečiť, aby zásahy do softvéru alebo konfigurácie zanechali stopu.
4. Technická dokumentácia už nesmie byť skladom náhodných súborov
Technická dokumentácia musí ukázať myslenie výrobcu. Nie len to, že niekde existujú výkresy a skúšobné protokoly. Musí z nej vyplývať, ktoré základné požiadavky na ochranu zdravia a bezpečnosť sa uplatňujú, aké nebezpečenstvá boli identifikované, aké opatrenia boli prijaté, ktoré normy boli použité a aké zvyškové riziká ostávajú.
Pri strojoch, kde bezpečnosť závisí od softvéru, senzorov, vzdialeného riadenia alebo autonómnych funkcií, sa navyše nedá vyhnúť hlbšiemu popisu programovej logiky, vlastností systému, jeho obmedzení, použitých dát a procesov overovania a validácie. Inak povedané: technická dokumentácia už nemá byť archív. Má to byť dôkaz.
5. Príloha I rozdeľuje rizikovejšie kategórie na časť A a časť B
To nie je kozmetika. Časť B je v mnohom blízka známemu svetu rizikovejších strojov, kde môže za určitých podmienok prichádzať do úvahy vnútorná kontrola výroby, ak boli použité relevantné harmonizované normy alebo spoločné špecifikácie. Časť A je tvrdšia.
Práve sem patria aj bezpečnostné komponenty s úplne alebo čiastočne samomeniacim sa správaním využívajúcim strojové učenie, ak zabezpečujú bezpečnostnú funkciu, a tiež stroje, ktoré takéto systémy obsahujú, pokiaľ ide o tieto systémy. Tu je AI skutočne dôležité. Nie preto, že je v stroji. Preto, že priamo nesie bezpečnostnú funkciu.
6. Návod na použitie a EÚ vyhlásenie o zhode môžu byť digitálne, ale nie ledabolo
Digitálna forma dokumentácie je dobrá správa. Lenže nie je to voľná jazda. Návod na použitie musí byť dostupný spôsobom uvedeným na stroji, výrobku, obale alebo sprievodnom dokumente. Musí sa dať stiahnuť, uložiť a vytlačiť. A musí zostať dostupný na internete počas predpokladaného životného cyklu stroja a najmenej 10 rokov po uvedení na trh alebo do prevádzky.
Rovnaká logika platí aj pre EÚ vyhlásenie o zhode. To môže byť sprístupnené cez internetovú adresu alebo strojovo čitateľný kód, ale dostupnosť musí byť zabezpečená dlhodobo. Jeden zabudnutý odkaz na firemnom webe nestačí. Digitalizácia tu neruší povinnosti. Vytvára nové organizačné povinnosti.
7. Importér a distribútor už nehrajú rolu komparzu
Nový režim presnejšie rozdeľuje povinnosti hospodárskych subjektov. Importér má preveriť, či výrobca vykonal správny postup posudzovania zhody, či existuje technická dokumentácia, či je na stroji označenie CE, či sú priložené požadované dokumenty a či sú uvedené identifikačné a kontaktné údaje. Distribútor tiež nemôže len presúvať krabice. Pred sprístupnením stroja na trhu musí skontrolovať aspoň základné formálne prvky vrátane označenia CE, dokumentov a zrozumiteľnosti informácií pre používateľa.
Ak importér alebo distribútor uvedie výrobok pod vlastným menom alebo ho upraví spôsobom, ktorý môže ovplyvniť zhodu, môže sa dostať do pozície s povinnosťami výrobcu. A to už nie je administratíva. To je zodpovednosť.
8. Autonómne stroje prestávajú byť exotikou
Pri autonómnych mobilných strojoch už nestačí riešiť kolesá, brzdy a výstražný signál. Dôležité je, kto alebo čo rozhoduje o pohybe, ako stroj deteguje osoby a prekážky, čo sa stane pri strate komunikácie, ako je vymedzený pracovný priestor a akú reálnu kontrolu má dozorujúca osoba. V takomto prípade sa bezpečnosť presúva hlbšie do logiky rozhodovania, senzoriky a dohľadu.
9. CRA je ďalšia vrstva, nie náhrada za posúdenie rizika stroja
Na trhu sa často miešajú dve témy, ktoré treba držať oddelene. Nariadenie o strojových zariadeniach 2023/1230 rieši bezpečnosť strojov, súvisiacich výrobkov a neúplných strojových zariadení. Kybernetická bezpečnosť ho zaujíma vtedy, keď ovplyvňuje bezpečnosť stroja. CRA rieši kybernetickú odolnosť výrobkov s digitálnymi prvkami a má vlastnú logiku požiadaviek.
To nie je to isté. Komponent môže mať svoje povinnosti podľa CRA. IEC 62443 môže veľmi pomôcť pri usporiadaní kybernetickej bezpečnosti v automatizácii. Ale odpoveď na otázku, či konkrétny digitálny prvok mení riziko konkrétneho stroja v konkrétnom prostredí, stále stojí na ISO 12100.
Dokumentácia po Nariadení o strojových zariadeniach 2023/1230: tu firmy padajú
Niektoré zmeny vyzerajú nudne. O to sú nebezpečnejšie. Po 20. januári 2027 už nebude stačiť starý vzor dokumentov s novým číslom právneho aktu v hlavičke. Ak firma nechá staré formulácie, staré odkazy na režim podľa smernice 2006/42/ES, starú logiku príloh a starý prístup k softvéru, neprezradí len formálnu chybu. Prezradí, že neaktualizovala proces zhody.
To je rozdiel medzi firmou, ktorá rozumie CE, a firmou, ktorá len prepisuje šablóny.
EÚ vyhlásenie o zhode nemá byť alibi
Veľa starších vyhlásení vyzeralo jednoducho: názov stroja, výrobca, právny akt, podpis, dátum. Niekedy zopár noriem, často bez jasného vzťahu k reálnym rizikám. Takto to už nestačí. V praxi musí byť z EÚ vyhlásenia o zhode zrejmé, akými harmonizovanými normami, spoločnými špecifikáciami alebo inými technickými špecifikáciami výrobca preukazuje splnenie požiadaviek. Ak sa norma použila len čiastočne, treba jasne uviesť v akom rozsahu.
Samotná veta, že stroj je v zhode s nariadením, nič nedokazuje. Nariadenie stanovuje požiadavky. Výrobca musí vedieť ukázať cestu, ktorou ich splnil.
Modul posudzovania zhody musí byť zrejmý
Druhý praktický bod: z dokumentácie aj z vyhlásenia musí byť zrozumiteľné, aký postup alebo modul bol použitý. Ak výrobok nespadá do prílohy I, typicky prichádza do úvahy vnútorná kontrola výroby, teda modul A. Ak však spadá do prílohy I časť A alebo časť B, treba správne aplikovať požiadavky článku 25 a vybrať vhodnú cestu. V praxi to môže byť modul B + C, modul H, modul G alebo modul A tam, kde je to prípustné.
Ak dokumenty neukazujú zvolený modul, hneď vzniká otázka, či výrobca vôbec správne prešiel procesom posudzovania zhody.
Splnomocnený zástupca nie je bleskozvod
Ďalší detail, na ktorom sa pozná stará šablóna: slepé prenášanie polí a formulácií z minulosti. To, že v dokumente figuruje splnomocnený zástupca, ešte neznamená, že niekto prevzal zodpovednosť za návrh stroja, posúdenie rizika alebo vypracovanie technickej dokumentácie. Splnomocnený zástupca môže konať v rozsahu poverenia. Nevyrieši však slabú dokumentáciu, nevhodne zvolený modul ani ignorovaný softvér.
EÚ vyhlásenie o zabudovaní nie je len nový názov súboru
Pri neúplnom strojovom zariadení sa nesmie pokračovať podľa zotrvačnosti. Potrebné je EÚ vyhlásenie o zabudovaní, ktoré musí zodpovedať novému režimu a jasne uvádzať, ktoré základné požiadavky na ochranu zdravia a bezpečnosť boli uplatnené a splnené. Ak dodávateľ stále posiela dokument, ktorý vyzerá ako starý formulár vytiahnutý zo zásuvky po rokoch, je to varovný signál. Nie kvôli názvu súboru. Kvôli kvalite celého reťazca zhody.
Najhoršia aktualizácia? Vymeniť hlavičku a nechať starý proces
Najväčšia chyba pri prechode na nové pravidlá je myslieť si, že stačí kozmetika. Nestačí. Správna aktualizácia znamená prejsť celý proces od začiatku:
- určiť, či ide o stroj, súvisiaci výrobok alebo neúplné strojové zariadenie,
- stanoviť obmedzenia stroja,
- vykonať posúdenie rizika,
- určiť uplatniteľné základné požiadavky,
- skontrolovať prílohu I časť A a časť B,
- zvoliť správny modul posudzovania zhody,
- správne popísať účasť notifikovanej osoby, ak je potrebná,
- preukázateľne previazať normy a technické špecifikácie s konkrétnymi rizikami,
- zahrnúť softvér, dáta, komunikáciu a vzdialený prístup tam, kde ovplyvňujú bezpečnosť,
- zosúladiť technickú dokumentáciu, návod na použitie, EÚ vyhlásenie o zhode a v prípade potreby EÚ vyhlásenie o zabudovaní.
Toto je skutočný test pripravenosti. Nie to, či ste prepísali číslo právneho aktu v pätičke dokumentu.
Záver: nepozerajte sa na nálepky, pozerajte sa na správanie stroja
Najpraktickejšia lekcia je jednoduchá. Nepýtajte sa, či má stroj AI. Nepýtajte sa, či je pripojený do siete len kvôli zberu dát. Nepredpokladajte, že CE na komponentoch vyrieši bezpečnosť celej zostavy. Pýtajte sa, čo môže zmeniť správanie stroja, za akých okolností a s akým dôsledkom pre človeka.
Práve preto je Nariadenie o strojových zariadeniach 2023/1230 dôležité. Nie preto, že prinieslo módne slová. Preto, že donútilo trh priznať realitu: bezpečnosť stroja dnes často stojí aj na softvéri, dátach, komunikácii a kybernetickej odolnosti. Kto to zoberie vážne, ten si uprace posudzovanie zhody. Kto nie, tomu dokumentácia skôr či neskôr spadne na hlavu.