Door: Bert Stap (IVOB) - 19 september 2025 |
De zomer en vakanties zijn voorbij. De meeste van ons zijn alweer druk met de dagelijkse werkzaamheden. Daarom is het tijd voor de publicatie van het 4e artikel in een serie van 6 artikelen over de nieuwe Machineverordening 2023/1230. Deze keer een onderwerp waarin ik moet beginnen met het feit dat ik op de beide onderwerpen absoluut geen specialist ben. Toch kan ik wel aangeven hoe in de nieuwe Machineverordening 2023/1230 “Cyber Security” en “Toepassing AI” (Artificiële intelligentie _ kunstmatige intelligentie) de aandacht vragen van de machinebouwer. Eigenlijk kunnen we eenvoudig stellen dat in de Machineverordening 2023/1230 daar veel aandacht aan besteed wordt. Omdat ik specialist machineveiligheid ben wil ik vooral op de machineveiligheid inzomen. Kort gezegd staat er dat bij zowel de “Cyber Security” als de “Toepassing AI” het erom gaat dat ze gedurende de levensduur van de machine geen negatieve invloed mogen hebben op de veiligheid van de machine. Maar ook dat bij het opstellen van een risicoanalyse met deze beide onderwerpen rekening gehouden moet worden. M.a.w. heeft men veiligheidsmaatregelen geïmplementeerd om risico’s door “Cyber Security” als de “Toepassing AI” te voor komen.
Ik kan over artificiële intelligentie (AI) van alles gaan zeggen maar dat doe ik niet. Waarschijnlijk zijn er zat lezers die daarover meer weten dan ik. Wil ik mij dus geen buil aan vallen. Cyber Security is natuurlijk een totaal ander verhaal omdat we daar allemaal (ook privé) mee te maken kunnen krijgen. Regelmatig lezen we over bedrijven/instanties die gehackt zijn. Vorig jaar was de hack van de Nederlandse politie in het nieuws. Bleek bij nader onderzoek van de AIVD en de MIVD een actie van een niet eerder ontdekte Russische hackgroep. In januari was de TU Eindhoven in het nieuws omdat een hacker dagenlang ongemerkt toegang had gehad tot het computernetwerk. Gevolg onderwijs aan de TU studenten lag een week stil. Misschien is het onze angst dat wij ook een keer het slachtoffer worden? In de media kunnen we lezen dat vooral ouderen daar bang voor zijn.
Waar wordt er dan in de nieuwe Machineverordening 2023/1230 gesproken over de veiligheid i.v.m. de cyber criminaliteit? En in welk verband?
Overweging 25: Andere risico’s die verband houden met nieuwe digitale technologieën zijn risico’s die worden veroorzaakt door kwaadwillige acties van derden die van invloed zijn op de veiligheid van producten die binnen het toepassingsgebied van deze verordening vallen. Fabrikanten zouden in dit verband verplicht moeten worden evenredige maatregelen te nemen die beperkt zijn tot de bescherming van de veiligheid van het product dat binnen het toepassingsgebied van deze verordening valt. Dit laat de toepassing van andere, specifiek voor de aanpak van cyberbeveiligingsaspecten bedoelde rechtshandelingen van de Unie op de producten die binnen het toepassingsgebied van deze verordening vallen, onverlet.
Overweging 51: Om de risico’s die voortvloeien uit kwaadwillige acties van derden die van invloed zijn op de veiligheid van producten die binnen het toepassingsgebied van deze verordening vallen, aan te pakken, moet deze verordening essentiële gezondheids- en veiligheidseisen bevatten waarvoor in passende mate een vermoeden van conformiteit kan gelden als gevolg van een conformiteitscertificaat dat of conformiteitsverklaring die is afgegeven in het kader van een desbetreffende certificeringsregeling voor cyberbeveiliging die overeenkomstig Verordening (EU) 2019/881 van het Europees Parlement en de Raad ( 15 ) is vastgesteld.
Artikel 20 lid 9: Machines en verwante producten die zijn gecertificeerd of waarvoor een conformiteitsverklaring is afgegeven in het kader van een overeenkomstig Verordening (EU) 2019/881 vastgestelde cyberbeveiligingscertificeringsregeling waarvan de referenties in het Publicatieblad van de Europese Unie zijn bekendgemaakt, worden geacht in overeenstemming te zijn met de essentiële gezondheids- en veiligheidseisen van bijlage III, punten 1.1.9 en 1.2.1, wat betreft de bescherming tegen corruptie en de veiligheid en betrouwbaarheid van controlesystemen, voor zover die eisen onder het cyberbeveiligingscertificaat, de conformiteitsverklaring of delen daarvan vallen.
In artikel 20 lid 9 van de Machineverordening 2023/1230 wordt verwezen naar de essentiële gezondheids- en veiligheidseisen 1.1.9 en 1.2.1. van de Bijlage III.
Eis 1.1.9. Bescherming tegen corruptie
De machine of het verwante product moet zodanig ontworpen en gebouwd zijn dat de verbinding ervan met een ander apparaat, via een functie van het aangesloten apparaat zelf of via een apparaat op afstand dat communiceert met de machine of het verwante product, niet tot een gevaarlijke situatie leidt.
Een hardwarecomponent die een signaal of gegevens uitzendt die relevant zijn voor aansluiting op of toegang tot software die van essentieel belang is voor de overeenstemming van de machine of het verwante product met de relevante essentiële veiligheids- en gezondheidseisen, moet zodanig ontworpen zijn dat deze afdoende beschermd is tegen al dan niet opzettelijke corruptie. De machine of het verwante product moet bewijzen verzamelen van al dan niet rechtmatige ingrepen in de bovenvermelde hardwarecomponent indien deze relevant zijn voor de aansluiting op of de toegang tot software die van essentieel belang is voor de overeenstemming van de machine of het verwante product.
Software en gegevens die van cruciaal belang zijn voor de overeenstemming van de machine of het verwante product met de relevante essentiële gezondheids- en veiligheidseisen, moeten als zodanig herkenbaar zijn en afdoende beveiligd worden tegen al dan niet opzettelijke corruptie.
De machine of het verwante product moet de in zich geïnstalleerde software die nodig is om veilig te functioneren identificeren en deze informatie te allen tijde in een gemakkelijk toegankelijke vorm kunnen verstrekken. De machine of het verwante product moet bewijzen van al dan niet rechtmatige ingrepen in en wijzigingen van de in de machine of het verwante product of een configuratie ervan geïnstalleerde software verzamelen.
Eis 1.2.1. Veiligheid en betrouwbaarheid van de besturingssystemen
De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat er geen gevaarlijke situaties ontstaan. De besturingssystemen moeten zodanig ontworpen en gebouwd zijn dat:
Als we deze eisen omzetten in normale taal dan betekent dit dat de besturing van de machine(s) zo beveiligd moet zijn dat deze niet door een kwaadwillende poging “onveilig” kan worden of dat er sprake is van verlies van veiligheid”. Daarnaast moet de machine (lees besturing) eventuele onrechtmatige wijzigingen van de (veiligheid) software verzamelen.
Tegenwoordig hebben veel 24 uurs bedrijven de mogelijkheid dat besturingsmedewerkers kunnen “inbellen” om te helpen om bepaalde storingen op te lossen. Machineleveranciers hebben soms ook de mogelijkheid “in te bellen op een door hen geleverde machine” om storingen te verhelpen. Hier zal dus sprake moeten zijn van afdoende veiligheidsprotocollen om te voorkomen dat anderen, die geen goede bedoelingen hebben, dit ook kunnen. Dus in normale bewoordingen: voor dit op afstand “inbellen” moeten er zeer goede veiligheidschecks zijn.
Daarnaast staat er in de artikelen dat de besturing van de machine in staat moet zijn om “al dan niet rechtmatige ingrepen in en wijzigingen van de in de machine of het verwante product of een configuratie ervan geïnstalleerde software te verzamelen”. Bij een rondvraag bij verschillende bedrijvenhoorde ik dat sommige bedrijven werken met een softwareversie beheerprogramma waarmee regelmatig de actuele machinesoftware vergeleken wordt met de geregistreerde versie. Een goede “tool” om oneigenlijke aanpassingen van derden te signaleren. Alleen is dan de vraag hoe vaak we deze vergelijking/controle uitvoeren. Tussen de vergelijkingen/controles door kan er dus van alles gebeurd zijn. Mooiste zou zijn als de machinebesturing zelf hiertoe in staat zou zijn. Zeker bij grote installaties en machines. Maar dat is waarschijnlijk nog toekomstmuziek. Al geeft de firma Siemens aan daar druk mee bezig te zijn. Belangrijker is nog om zo min mogelijk “open te staan” voor buiten. Als er dan toch vanaf afstand “ingebeld” moet kunnen worden i.v.m. een storing, zorg er dan voor dat dit gedaan wordt met veiligheidsprotocollen. Bijvoorbeeld door een beveiligde registratie van de personen die kunnen inbellen en wijzigingen kunnen aanbrengen. Het inbellen met speciale persoonlijke codes zou hier misschien ook een goede oplossing zijn. Of inbellen en het systeem terug laten bellen. Maar ja, of we het volledig waterdicht kunnen krijgen is dan nog de vraag. Het beste is om dit inbellen zoveel mogelijk te beperken en het nooit mogelijk te maken dat de veiligheidssoftware vanaf afstand gewijzigd kan worden. Moeten we daar iets in wijzigen dan, dan alleen op de fabriek bij de machine. Bij gevaarlijke processen waar sprake is van allerlei veiligheden met sensoren en kleppen is dit ook belangrijk. Omdat processen ook uit de hand kunnen gaan lopen en allerlei reacties kunnen geven die grote gevolgen kunnen hebben. Hier is mijn advies “sta bij dit soort installaties niet open voor buiten”, zorg dat alles qua software en veiligheidssoftware alleen op de locatie gewijzigd kan worden.
Eén ding is zeker. Goed dat er extra aandacht gevraagd wordt voor de beveiliging tegen cyber security. Want we hebben allerlei nutsvoorzieningen, ziekenhuizen, alarmnummers, andere diensten waar we allemaal van afhankelijk zijn. We moeten er toch niet aan denken dat deze systemen gehackt zouden worden.
Een ander belangrijk punt is de het gebruik van Artificiële intelligentie. Men spreekt in de nieuwe Machineverordening 2023/1230 over “Machines met voorziene volledig of gedeeltelijk evoluerend gedrag of volledig of gedeeltelijk evoluerende logica. Hoe moeten we dit zien? We kennen op dit moment al de machine learning (ML). Dit is een vorm van kunstmatige intelligentie die zich richt op het bouwen van systemen die zelfstandig leren en zich verbeteren (evolueren) naarmate ze meer gegevens (data) verzamelen. Kunstmatige intelligentie is een bredere term die naar systemen of machines verwijst die menselijke intelligentie nabootsen. Ook al worden machine learning en AI vaak in één adem genoemd en worden de termen soms door elkaar gebruikt, ze betekenen niet hetzelfde. Bij de machines zal machine learning in de toekomst een grote invloed hebben om bewerkingsprogramma’s of logistieke bewegingen te optimaliseren. Maar dit betekent ook dat op basis van de verzamelde data de besturing zelfstandig de softwareprogramma’s gaan aanpassen. Meer efficiency, kostenbesparing en te zorgen voor een constante of verbeteren van de kwaliteit en processen. Klinkt goed. Wie wil dat niet?
Daarom wordt er in de Machineverordening 2023/1230 gesproken over volledig of gedeeltelijk evoluerend gedrag of evoluerende logica. Zo kunnen bijvoorbeeld robots, AGV’s en AMR’s door machine learning zelfstandig leren en zich aanpassen aan steeds veranderende omstandigheden. Daar waar voorheen programmeurs nodig waren om deze efficiënter te laten werken kan dat nu door ML of AI zelfstandig worden gedaan. Maar wat voor gevolgen kan dit hebben als we dit ook op het gebied van de veiligheid van de machine toestaan? In mijn optiek desastreus. In de veiligheidssoftware moet dit in mijn optiek dan ook niet mogelijk zijn. Want toepassing van Artificiële intelligentie mag ook niet leiden tot veiligheidsverlies.
Dus fabrikant zorg ervoor dat het veiligheidssysteem en de veiligheidssoftware volledig los staan van de normale besturing en software. Dit zou ook een goede manier zijn om met de cyber security om te gaan.
Maar Artificiële intelligentie kan ook breder ingezet gaan worden. Bijvoorbeeld voor engineeringsdoeleinden, het opstellen van een risicoanalyse, het tekenen van E-, P- en H-schema’s, het schrijven van of het vereenvoudigen van een besturingsprogramma en het opstellen van die vervelende en verplichte gebruiksaanwijzing. Zal voor veel engineers als muziek in de oren klinken. Maar ook hierbij wil ik een kanttekening plaatsen. AI kan een hulpmiddel zijn. Maar vergeet nooit dat je als machinebouwer zelf voldoende kennis moet hebben van machineveiligheid om te kunnen beoordelen dat de machine veilig is en blijft. Want uiteindelijk ben jij verantwoordelijk en niet AI.
De laatste tijd zie ik ook regelmatig artikelen die waarschijnlijk geschreven zijn met behulp van AI. Ook op mijn vakgebied. Bij sommige artikelen krijg ik kromme tenen omdat er geen sprake is van overeenstemming met de Machinerichtlijn 2006/42/EG of de Machineverordening 2023/1230. Het is daarom goed om ons te realiseren dat AI altijd kans geeft op misinformatie. Gebruik daarom AI daar waar het nuttig is. Maar voor andere doeleinden, waar specifieke vakkennis voor nodig is, zou ik zeggen wees zeer terughoudend.
Eén ding weet ik zeker. Over cyber security en AI is absoluut nog niet het laatste woord gezegd. Er zal vast ook een gids uitgegeven gaan worden, waarin net als bij de Machinerichtlijn 2006/42/EG meer uitleg van de Machineverordening 2023/1230 zal komen. Daarnaast zullen we in de toekomst meer duidelijkheid krijgen over de mogelijkheden en gevaren c.q. bedreigingen. Laten we voorlopig maar heel voorzichtig zijn en alle mogelijkheden die er zijn gebruiken om in ieder geval de veiligheid van de machine zo goed mogelijk te borgen.
(*) Artikelreeks:
– Artikel 1: De nieuwe machineverordening 2023/1230, ga er mee aan de slag!
– Artikel 2: Machine, veiligheidscomponenten en de niet voltooide machine
– Artikel 3: Machineverordening 2023/1230 is duidelijker over het “aanpassen van machines”!
IndustrieVandaag is een onafhankelijk platform met het laatste nieuws van vandaag over de procesindustrie, industrial processing, productie industrie, maakindustrie en elektronica industrie.
Neem contact met ons op:
Tel +31 (0)23 737 07 63
Email via contactpagina
