Mit dem Aufkommen von Entwicklungen wie Cyber-Security oder Künstliche Intelligenz wird das Thema Maschinensicherheit für Hersteller in Zukunft noch größere Herausforderungen mit sich bringen. (Bild: Adobe Stock / jittawit.21)
In Deutschland gilt seit 2009 die EG-Maschinenrichtlinie 2006/42/EG. Die Branche hat gute Erfahrungen gemacht und kennt sich damit aus. Warum kommt jetzt eine Neufassung durch die EU?
Torsten Gast: Der Hauptgrund war die Meinung der EU-Kommission, dass die aktuelle Maschinenrichtlinie nicht alle technologischen Fortschritte, die wir in letzter Zeit hatten – Stichworte KI und Cyber Security – ausreichend berücksichtigt.
Die Erkenntnis kam ja ein bisschen überraschend ...
Gast: Ja, lange Zeit schien es Konsens, dass die Richtlinie nicht überarbeitet werden müsse, weil sie technologieunabhängig sei. Deswegen hat man nicht mit dem Rundumschlag gerechnet, der dann von der EU-Kommission kam.
... ist der Leiter des Competence Center Services bei Phoenix Contact. Er verfügt über mehr als 20 Jahre Erfahrung im Bereich der Maschinensicherheit und der Industrial Security.
Am 15. Dezember 2022 haben sich EU-Kommission, EU-Rat und EU-Parlament – der sogenannte Trilog – grundsätzlich auf die EU-Maschinenverordnung geeinigt, wie geht es denn jetzt weiter?
Gast: Der „Ausschuss der Ständigen Vertreter der EU-Mitgliedstaaten“ hat in seiner Sitzung am 25. Januar 2023 dem im Trilog beschlossenen Text zugestimmt. Damit steht nur noch die endgültige Verabschiedung durch das EU-Parlament aus. Damit wird bis spätestens Ostern gerechnet. Dann kann der Text im EU-Amtsblatt veröffentlicht werden.
EU-Maschinenverordnung im EU-Amtsblatt veröffentlicht
Die neue EU-Maschinenverordnung 2023/1230 ist am 29. Juni 2023 Im Europäischen #Amtsblatt L 165/2023 veröffentlicht worden. Die Verordnung trägt das Datum des 14. Juni und gilt somit entsprechend der Übergangsfrist von 42 Monaten ab dem 14. Januar 2027. Einzelne Artikel der Verordnungen treten allerdings schon früher in Kraft. Die deutschsprachige Version der EU-Maschinenverordnung gibt es hier zum Download.
Dann beginnt die Frist, bis die EU-Maschinenverordnung in Kraft tritt. Wie lange wird das sein?
Gast: Der finale Rechtstext ist noch nicht öffentlich zugänglich, deswegen ist alles, was man dazu jetzt sagen kann, noch mit einem kleinen Unsicherheitsfaktor belegt. Aber allgemein wird mit 42 Monaten Übergangsfrist gerechnet.
Welche wesentlichen Veränderungen kommen denn auf die Maschinenhersteller in Deutschland zu?
Gast: Der Hauptpunkt ist nach meiner Ansicht, dass sie sich in Zukunft nicht mehr nur mit Safety, sondern auch mit Security, also dem Schutz vor Manipulation der Sicherheitseinrichtungen, beschäftigen müssen. Dabei kommen dann die harmonisierten Normen wie die finale Fassung der ISO 13849, die dieses Jahr veröffentlicht wird, und die IEC 62061 zum Tragen. Beide Normen werden auf die OT-Security Norm IEC 62443 referenzieren. Die EU-Maschinenverordnung selbst sagt nur, dass es einen Schutz vor Manipulation in dieser Beziehung gibt, der eingehalten werden muss, aber ohne konkrete Ausführungshinweise.
Wo liegt denn in Sachen Industrial-Security das große Problem für die Maschinenhersteller?
Gast: Deren Maschinen müssen laut dem entsprechenden Kapitel im Anhang III der EU-Maschinenverordnung den „Anforderungen genügen“. Aber was genau sind die Anforderungen an die Maschine in ihrem späteren Einsatzszenario? Bei Safety weiß der Maschinenbauer das durch seine Risikobeurteilung. Bei Security braucht er diese Informationen/ Vorgaben durch seinen Kunden bzw. mit dem Betreiber, der ihm sagt, was dieser in Kontext zu seiner Gesamtanlage benötigt. Industrial-Security ist kein Insel-Denken. Eine einzelne Komponente reicht nicht aus, die Umsetzung der Anforderungen muss ganzheitlich und übergreifend erfolgen.
Und wie stellt der Maschinenhersteller sicher, dass seine Maschine Security bleibt?
Gast: Da wird es sicher noch viel Diskussionsbedarf geben. Aber grundsätzlich ist es so: Wenn der Hersteller seine CE-Konformität ausgestellt hat, dann gilt diese quasi nur für den Tag des Inverkehrbringens. Am „nächsten Tag“ muss schon der Betreiber dafür sorgen, dass in Bezug auf Safety, der Stand der Technik erhalten bleibt. Dafür gibt es die Betriebssicherheitsverordnung. Bei der Security wird es so ähnlich sein: Stand heute ist die Maschine secure, Stand morgen ist der Betreiber dafür verantwortlich.
Dann ist ein Maschinenhersteller für die Security Anforderungen nicht alleine verantwortlich?
Gast: Wenn sich im Nachhinein herausstellt, dass der Betreiber in der Software einige schwere Fehler übersehen hat, kann er noch für 10 Jahre verantwortlich gemacht werden, wenn es etwa dadurch zu einem erfolgreichen Cyber-Angriff kam – und ihm ein Fehlverhalten nachweisbar ist.
Womit wir beim Thema Updates wären...
Gast: Genau! Gerade beim Thema Security muss sich der Hersteller Gedanken zum Thema Update-Service oder Patch Management machen. Das ist z. B. auch eine Anforderung der Norm IEC 62443, die beschreibt die Notwendigkeit von regelmäßigen Updates. Die Durchführung liegt dann wieder beim Betreiber, aber der Hersteller muss die Möglichkeit ja erst einmal implementieren.
Viele Komponenten einer Maschine oder Anlage werden ja zugeliefert.
Gast: Ja, der Maschinenhersteller muss mit den Zulieferern in Kontakt gehen und herausfinden, wie sich deren Komponenten im Kontext seiner Maschinen updaten lassen.
Was sind denn weitere wichtige Veränderungen durch die Verordnung?
Gast: Die Definition von „gefährlichen Maschinen“ wird bestimmt noch für viele Diskussionen sorgen. Da gab es kurzfristig noch einmal eine Wendung, sodass für bestimmte Maschinen-Gruppen doch nicht wieder eine Baumusterprüfung vorgeschrieben sein wird – man weiß aber noch nicht genau, für welche Maschinen genau.
Im Gespräch waren Maschinen, bei denen Safety-Funktionen auf KI basieren ...
Gast: ... ja, und Bolzenschussgeräte. Scheinbar gibt es ein paar Länder in der EU, wo das ein echtes Problem ist. Man weiß aber noch nicht, ob das final so bleibt.
Maschinenbau-Gipfel Talk: Torsten Gast (Phoenix Contact) zur neuen Maschinenverordnung
Des Weiteren gibt es künftig das Thema der delegierten Rechtsakte, die es auch schon in anderen EU-Richtlinien gibt. Was verbirgt sich dahinter?
Gast: Die EU-Kommission kann festlegen, dass eine harmonisierte Norm aus ihrer Sicht nicht vollständig die Gesundheits- und Schutzziele der Verordnung einhält.
Über eine technische Spezifikation kann sie die harmonisierte Norm dann ergänzen. Allerdings ist uns noch nicht klar, wer solch eine technische Spezifikation überhaupt schreiben soll. Weiterhin kann die EU-Kommission über den sogenannten „delegated act“ Änderungen im zukünftigen Anhang I vornehmen, in dem die gefährlichen Maschinen gelistet sind. Also neue Maschinentypen definieren oder gelistete herausnehmen.
Eine zusätzliche Herausforderung für den Maschinenhersteller?
Gast: Ja. Auf jeden Fall. Er muss sich ständig informieren, ob sich für ihn durch solche delegierten Rechtsakte Veränderungen ergeben haben und woher er diese Informationen überhaupt bekommt. Zum Beispiel darüber, ob seine Konstruktion nun als gefährliche Maschine gilt und eine Baumusterprüfung notwendig wird.
Das Thema digitale Betriebsanleitung ist sicherlich auch ein interessanter und guter und wichtiger Punkt. Spötter behaupten ja, dass in Zukunft 800 Seiten Papier einfach durch 800 Seiten PDF ersetzt werden – oder steckt das mehr drin?
Gast: Ich denke schon, dass es hier in Zukunft cleverere Lösungen geben wird. Man wird sich ansehen müssen, wie man dem Betreiber die vorgeschriebenen Informationen bestmöglich zur Verfügung stellen möchte.
Bieten Visualisierungen mit Augmented oder Virtual Reality hier neue Chancen?
Gast: Definitiv. Man könnte damit einen Benutzer virtuell durch die Maschine führen und ihm je nach Situation die notwendigen Informationen zukommen lassen. Oder mit monokularen Datenbrillen die digitalen Informationen der Maschine vor einem Auge des Benutzers anzeigen lassen.
Welche Ratschläge würden Sie Maschinenhersteller in Bezug auf die kommende EU-Maschinenverordnung geben?
Gast: Ich glaube, der wichtigste Rat ist, sich so bald wie möglich mit der Thematik zu befassen und sich konkret zu informieren.
Das heißt konkret?
Gast: Zum Beispiel seine Mitarbeiter für das Thema zu sensibilisieren. Herauszufinden, woher man die notwendigen Informationen bekommt und zu analysieren, wie weit man denn von den Veränderungen betroffen ist.
Auch wenn ab Veröffentlichung im EU-Amtsblatt noch 42 Monate Übergangsfrist vor uns liegen?
Gast: 42 Monate hören sich nach viel Zeit an. Aber erfahrungsgemäß kommen immer andere Sachen dazwischen, ob das jetzt eine Pandemie, eine Lieferkettenkrise oder positiv gesehen ein massiver Auftragsboom ist. Man schiebt es immer wieder auf und plötzlich stellt man fest: Oje, in zwei Wochen gilt die neue EU-Verordnung.