feat(knowledge): 4 machinery-safety implementation playbook drafts (Reasoning delegation)
Fulfils the board delegation Reasoning -> IACE (line 45): expert FIRST DRAFTS for the 4 MaschinenVO capabilities the Reference-Suite playbook dashboard lists as "content missing": machine_safety_risk_assessment (ISO 12100), mechanical_safety_and_guards (ISO 14120/14119/13850/13849), operating_instructions_and_safety_information (ISO 12100 6.4 / IEC 82079), protection_against_corruption_of_safety_functions (MaschVO Annex III 1.1.9 = the CRA<->MaschinenVO cyber-safety bridge). Schema per knowledge/implementation_playbooks/README.md. status: draft (expert draft, non-normative). Includes the optional canonical_action verb-formulation (capability-is- a-verb experiment). New files only -> non-runtime, no deploy, conflict-free ride-along. Capability ids unchanged (Execution registry contract). Owner verifies + integrates. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
This commit is contained in:
Benjamin Admin
+64
@@ -0,0 +1,64 @@
|
||||
# Implementation Playbook — curated KNOWLEDGE (the "wie komme ich dort hin?" layer), not runtime code.
|
||||
# Capability: machine_safety_risk_assessment. Expert FIRST DRAFT (machinery-safety domain, IACE session)
|
||||
# — a machine-safety engineer would validate this; it is NOT a normative requirement. The renderer
|
||||
# (compliance/playbook) assembles it into the journey.
|
||||
|
||||
id: PB-machine_safety_risk_assessment-v1
|
||||
capability_id: machine_safety_risk_assessment
|
||||
status: draft # draft -> reviewed -> validated -> proven
|
||||
version: 1
|
||||
|
||||
title: "Maschinen-Risikobeurteilung nach ISO 12100 durchführen"
|
||||
canonical_action: "Maschinenrisiken systematisch beurteilen" # Verb+Objekt (capability-is-a-verb-Experiment)
|
||||
|
||||
why: >
|
||||
Die Maschinenverordnung (EU) 2023/1230 verlangt vor dem Inverkehrbringen eine Risikobeurteilung über
|
||||
den GESAMTEN Lebenszyklus der Maschine (Transport, Montage, Inbetriebnahme, bestimmungsgemäßer Betrieb,
|
||||
Reinigung, Wartung, Störungsbeseitigung, Demontage, Entsorgung). Sie ist die Grundlage, aus der sich
|
||||
ALLE weiteren Schutzmaßnahmen und die Technische Dokumentation (Anhang IV) ableiten. ISO 12100 ist die
|
||||
harmonisierte Methodik und verschafft Vermutungswirkung. Ohne dokumentierte Risikobeurteilung ist die
|
||||
Auswahl von Schutzeinrichtungen, Not-Halt und Restrisiko-Hinweisen nicht begründbar.
|
||||
|
||||
tools:
|
||||
- "ISO 12100 (Risikobeurteilung + Risikominderung, Grundnorm)"
|
||||
- "ISO/TR 14121-2 (praktische Beispiele für die Methodik)"
|
||||
- "Gefährdungslisten ISO 12100 Anhang B (mechanisch, elektrisch, thermisch, Lärm, Vibration, Strahlung, Werkstoff, Ergonomie)"
|
||||
- "Sistema (DGUV, PLr-/PL-Ermittlung für Schutzfunktionen)"
|
||||
- "Risikograph-/Risikomatrix-Vorlagen (S x F x P bzw. S x E)"
|
||||
|
||||
process_steps:
|
||||
- title: "Grenzen der Maschine festlegen"
|
||||
detail: "Verwendungs-, räumliche, zeitliche und Lebenszyklusgrenzen; bestimmungsgemäße Verwendung UND vernünftigerweise vorhersehbare Fehlanwendung."
|
||||
- title: "Gefährdungen identifizieren"
|
||||
detail: "Systematisch je Lebensphase und je Bereich anhand der ISO-12100-Anhang-B-Liste — nichts überspringen (gerade Wartung/Reinigung wird oft vergessen)."
|
||||
- title: "Risiko einschätzen"
|
||||
detail: "Je Gefährdung Schadensschwere x Eintrittswahrscheinlichkeit (Häufigkeit/Aufenthaltsdauer, Möglichkeit zur Vermeidung) bestimmen."
|
||||
- title: "Risiko bewerten"
|
||||
detail: "Entscheiden, ob Risikominderung erforderlich ist (akzeptables Restrisiko erreicht?)."
|
||||
- title: "3-Stufen-Methode anwenden (in dieser Reihenfolge)"
|
||||
detail: "1. inhärent sichere Konstruktion -> 2. technische Schutzmaßnahmen/ergänzende Schutzeinrichtungen -> 3. Benutzerinformation. Maßnahmen NICHT in Stufe 3 verlagern, was in Stufe 1/2 lösbar ist."
|
||||
- title: "Iterieren"
|
||||
detail: "Nach jeder Maßnahme Risiko neu bewerten; prüfen, ob neue Gefährdungen entstanden sind (z. B. eine Schutzhaube erzeugt eine Quetschstelle)."
|
||||
- title: "Restrisiko dokumentieren"
|
||||
detail: "Verbleibende Restrisiken festhalten und an die Betriebsanleitung übergeben (Schnittstelle zu operating_instructions_and_safety_information)."
|
||||
|
||||
expected_evidence:
|
||||
- "Risikobeurteilungsbericht über alle Lebensphasen (datiert, versioniert)"
|
||||
- "Gefährdungsliste mit Risikoeinschätzung je Gefährdung"
|
||||
- "Zuordnung Gefährdung -> gewählte Maßnahme -> verbleibendes Restrisiko"
|
||||
- "Liste der Restrisiken (Eingang in die Betriebsanleitung)"
|
||||
|
||||
typical_controls: # INDIKATIV — echte Control-Zuordnung kommt aus der Execution-Schicht
|
||||
- "machine_risk_assessment_record"
|
||||
- "three_step_risk_reduction"
|
||||
|
||||
how_others_do_it: >
|
||||
Verbreitete Praxis: Risikobeurteilung strikt nach ISO 12100 strukturieren, mit ISO/TR 14121-2 als
|
||||
Beispiel-Steinbruch, und die ermittelten Schutzfunktionen über Sistema auf den erforderlichen
|
||||
Performance Level (PLr) rechnen. Der Bericht wird unmittelbar Teil der Technischen Dokumentation
|
||||
(Anhang IV) und wird bei jeder wesentlichen Veränderung der Maschine erneut gefahren.
|
||||
|
||||
disclaimer: >
|
||||
Kuratiertes Experten-Wissen (Erstentwurf, Maschinensicherheit), KEINE normative Anforderung. Werkzeug-
|
||||
und Schrittempfehlungen sind Beispiele bewährter Praxis, kein Pflichtkatalog. Review durch eine:n
|
||||
Maschinensicherheits-Expert:in ausstehend (status: draft).
|
||||
+69
@@ -0,0 +1,69 @@
|
||||
# Implementation Playbook — curated KNOWLEDGE (the "wie komme ich dort hin?" layer), not runtime code.
|
||||
# Capability: mechanical_safety_and_guards. Expert FIRST DRAFT (machinery-safety domain, IACE session).
|
||||
# NOT a normative requirement. Renderer = compliance/playbook.
|
||||
|
||||
id: PB-mechanical_safety_and_guards-v1
|
||||
capability_id: mechanical_safety_and_guards
|
||||
status: draft # draft -> reviewed -> validated -> proven
|
||||
version: 1
|
||||
|
||||
title: "Schutzeinrichtungen, Not-Halt und sichere Steuerung auslegen"
|
||||
canonical_action: "Gefahrstellen wirksam absichern" # Verb+Objekt (capability-is-a-verb-Experiment)
|
||||
|
||||
why: >
|
||||
Die grundlegenden Sicherheits- und Gesundheitsschutzanforderungen der Maschinenverordnung (Anhang III)
|
||||
verlangen Schutz vor mechanischen Gefährdungen (Quetschen, Scheren, Schneiden, Einziehen, Stoß),
|
||||
funktionssichere Not-Halt-Einrichtungen, Schutz gegen unerwarteten Anlauf und Standsicherheit. Aus der
|
||||
Risikobeurteilung (machine_safety_risk_assessment) ergibt sich, WO und mit WELCHER Zuverlässigkeit
|
||||
(Performance Level / SIL) abgesichert werden muss. Trennende und nichttrennende Schutzeinrichtungen
|
||||
setzen die zweite Stufe der 3-Stufen-Methode um.
|
||||
|
||||
tools:
|
||||
- "ISO 14120 (trennende Schutzeinrichtungen — Gestaltung)"
|
||||
- "ISO 14119 (Verriegelungseinrichtungen mit/ohne Zuhaltung)"
|
||||
- "ISO 13850 (Not-Halt-Funktion, Stopp-Kategorie 0/1)"
|
||||
- "ISO 13857 (Sicherheitsabstände gegen Erreichen von Gefahrstellen)"
|
||||
- "ISO 13849-1/-2 (sicherheitsbezogene Steuerungsteile, PL + Validierung)"
|
||||
- "IEC 62061 (funktionale Sicherheit von Steuerungen, SIL)"
|
||||
- "ISO 14118 (Vermeidung von unerwartetem Anlauf / LOTO)"
|
||||
|
||||
process_steps:
|
||||
- title: "Gefahrstellen übernehmen"
|
||||
detail: "Aus der Risikobeurteilung die mechanischen Gefahrstellen + erforderlichen PLr/SIL je Schutzfunktion übernehmen."
|
||||
- title: "Schutzeinrichtung wählen"
|
||||
detail: "Feststehend trennend, wo im Betrieb kein Zugang nötig ist; beweglich trennend, wo regelmäßiger Zugang erforderlich ist; ergänzend nichttrennend (z. B. Lichtgitter), wo Materialfluss offen bleibt."
|
||||
- title: "Bewegliche Schutzeinrichtungen verriegeln"
|
||||
detail: "Nach ISO 14119 Verriegelung (mit Zuhaltung, wenn Nachlauf gefährlich ist); manipulationsarme Auslegung beachten."
|
||||
- title: "Sicherheitsabstände einhalten"
|
||||
detail: "Nach ISO 13857 Reichweiten nach oben/über/um Schutzeinrichtungen sicherstellen."
|
||||
- title: "Not-Halt vorsehen"
|
||||
detail: "ISO 13850: gut erreichbare Not-Halt-Befehlsgeräte, Stopp-Kategorie 0 oder 1, Rückstellung nur bewusst; Not-Halt ist ERGÄNZEND, ersetzt keine trennende Schutzeinrichtung."
|
||||
- title: "Sichere Steuerung auslegen"
|
||||
detail: "Sicherheitsbezogene Steuerungsteile auf den erforderlichen PL (ISO 13849-1) bzw. SIL (IEC 62061) bringen; Architektur, MTTFd, DC, CCF nachweisen (Sistema)."
|
||||
- title: "Unerwarteten Anlauf verhindern"
|
||||
detail: "ISO 14118 / sichere Energietrennung (LOTO) für Wartung und Störungsbeseitigung (Schnittstelle zur Wartungs-Lebensphase)."
|
||||
- title: "Validieren"
|
||||
detail: "Schutzfunktionen nach ISO 13849-2 verifizieren/validieren (Funktionstest + Nachweis)."
|
||||
|
||||
expected_evidence:
|
||||
- "Schutzkonzept (welche Gefahrstelle -> welche Schutzeinrichtung)"
|
||||
- "PL-/SIL-Nachweis je Schutzfunktion (z. B. Sistema-Report)"
|
||||
- "Funktionstest-Protokoll Not-Halt + Verriegelungen"
|
||||
- "Validierungsbericht der Schutzeinrichtungen (ISO 13849-2)"
|
||||
|
||||
typical_controls: # INDIKATIV — echte Control-Zuordnung kommt aus der Execution-Schicht
|
||||
- "guard_design"
|
||||
- "interlock_function"
|
||||
- "emergency_stop_function"
|
||||
- "safe_control_system"
|
||||
|
||||
how_others_do_it: >
|
||||
Verbreitete Praxis: feststehende Verkleidungen überall dort, wo kein betrieblicher Zugang nötig ist;
|
||||
verriegelte bewegliche Schutztüren mit Zuhaltung an Stellen mit Nachlauf; der erforderliche Performance
|
||||
Level wird per Risikograph bestimmt und mit Sistema nachgewiesen. Not-Halt wird als ergänzende, nicht
|
||||
als primäre Maßnahme eingeplant. Validierung erfolgt dokumentiert vor der Konformitätserklärung.
|
||||
|
||||
disclaimer: >
|
||||
Kuratiertes Experten-Wissen (Erstentwurf, Maschinensicherheit), KEINE normative Anforderung.
|
||||
Werkzeug- und Schrittempfehlungen sind Beispiele bewährter Praxis, kein Pflichtkatalog. Review durch
|
||||
eine:n Maschinensicherheits-Expert:in ausstehend (status: draft).
|
||||
+63
@@ -0,0 +1,63 @@
|
||||
# Implementation Playbook — curated KNOWLEDGE (the "wie komme ich dort hin?" layer), not runtime code.
|
||||
# Capability: operating_instructions_and_safety_information. Expert FIRST DRAFT (machinery-safety domain,
|
||||
# IACE session). NOT a normative requirement. Renderer = compliance/playbook.
|
||||
|
||||
id: PB-operating_instructions_and_safety_information-v1
|
||||
capability_id: operating_instructions_and_safety_information
|
||||
status: draft # draft -> reviewed -> validated -> proven
|
||||
version: 1
|
||||
|
||||
title: "Betriebsanleitung und Sicherheitsinformationen erstellen"
|
||||
canonical_action: "Sicherheitsinformationen bereitstellen" # Verb+Objekt (capability-is-a-verb-Experiment)
|
||||
|
||||
why: >
|
||||
Information für die Benutzung ist die DRITTE Stufe der 3-Stufen-Methode (ISO 12100 6.4): Sie trägt das
|
||||
Restrisiko, das durch Konstruktion und technische Schutzmaßnahmen nicht beseitigt werden konnte. Die
|
||||
Maschinenverordnung (Anhang III 1.7) verlangt eine Betriebsanleitung in der/den Sprache(n) des
|
||||
Verwenderlandes; die Verordnung erlaubt nun unter Bedingungen auch die digitale Bereitstellung. Eine
|
||||
vollständige, verständliche Anleitung ist Voraussetzung für die Konformität — fehlende oder
|
||||
unverständliche Sicherheitsinformationen sind ein häufiger Mangel bei der Marktüberwachung.
|
||||
|
||||
tools:
|
||||
- "ISO 12100 6.4 (Information für die Benutzung)"
|
||||
- "ISO 20607 (Betriebsanleitung — allgemeine Gestaltungsgrundsätze für Maschinensicherheit)"
|
||||
- "IEC/IEEE 82079-1 (Erstellung von Nutzungsinformationen)"
|
||||
- "ANSI Z535.6 / ISO 3864 (Sicherheits- und Warnhinweise, Signalwörter)"
|
||||
- "Structured-Authoring-Werkzeuge (z. B. DITA) für Mehrsprachigkeit/Versionierung"
|
||||
|
||||
process_steps:
|
||||
- title: "Restrisiken übernehmen"
|
||||
detail: "Die Restrisikoliste aus der Risikobeurteilung (machine_safety_risk_assessment) ist der verbindliche Eingang — jedes Restrisiko braucht eine Information/Warnung."
|
||||
- title: "Zielgruppen und Lebensphasen abdecken"
|
||||
detail: "Transport, Montage, Inbetriebnahme, Bedienung, Reinigung, Wartung, Störungsbeseitigung, Demontage/Entsorgung — je mit benötigter Qualifikation."
|
||||
- title: "Warnhinweise strukturieren"
|
||||
detail: "Einheitlich Signalwort (Gefahr/Warnung/Vorsicht) + Art der Gefahr + Folge + Vermeidung (ANSI Z535/ISO 3864)."
|
||||
- title: "Verwendung abgrenzen"
|
||||
detail: "Bestimmungsgemäße Verwendung UND vernünftigerweise vorhersehbare Fehlanwendung beschreiben."
|
||||
- title: "Sprache sicherstellen"
|
||||
detail: "In der/den Amtssprache(n) des Verwenderlandes; Übersetzungen als Übersetzung kennzeichnen."
|
||||
- title: "Format und Bereitstellung festlegen"
|
||||
detail: "Papier oder — nach den Bedingungen der Maschinenverordnung — digital; Sicherheitsinformationen müssen auffindbar und über die Lebensdauer verfügbar bleiben; auf Verlangen Papierfassung."
|
||||
- title: "Versionieren"
|
||||
detail: "Anleitung an Maschinenversion koppeln; bei wesentlicher Veränderung aktualisieren."
|
||||
|
||||
expected_evidence:
|
||||
- "Betriebsanleitung je Maschine und Sprache (datiert, versioniert)"
|
||||
- "Warnhinweis-Konzept (Signalwörter, Piktogramme)"
|
||||
- "Matrix Restrisiko -> zugehörige Information/Warnung (Rückverfolgbarkeit zur Risikobeurteilung)"
|
||||
- "Nachweis der Bereitstellungsform (digital + Papier-auf-Verlangen)"
|
||||
|
||||
typical_controls: # INDIKATIV — echte Control-Zuordnung kommt aus der Execution-Schicht
|
||||
- "safety_information_provision"
|
||||
- "residual_risk_communication"
|
||||
|
||||
how_others_do_it: >
|
||||
Verbreitete Praxis: strukturierte Redaktion nach IEC/IEEE 82079-1 und ISO 20607, Warnhinweise nach
|
||||
ANSI Z535/ISO 3864, und eine durchgängige Verknüpfung jedes Restrisikos aus der Risikobeurteilung mit
|
||||
einer konkreten Information. Digitale Anleitungen werden über stabile URLs/QR bereitgestellt, mit
|
||||
Papierfassung auf Verlangen, und mit der ausgelieferten Maschinenversion verknüpft.
|
||||
|
||||
disclaimer: >
|
||||
Kuratiertes Experten-Wissen (Erstentwurf, Maschinensicherheit), KEINE normative Anforderung.
|
||||
Werkzeug- und Schrittempfehlungen sind Beispiele bewährter Praxis, kein Pflichtkatalog. Review durch
|
||||
eine:n Technische-Redaktion-/Maschinensicherheits-Expert:in ausstehend (status: draft).
|
||||
+71
@@ -0,0 +1,71 @@
|
||||
# Implementation Playbook — curated KNOWLEDGE (the "wie komme ich dort hin?" layer), not runtime code.
|
||||
# Capability: protection_against_corruption_of_safety_functions. Expert FIRST DRAFT (machinery-safety +
|
||||
# cyber-safety bridge, IACE session). NOT a normative requirement. Renderer = compliance/playbook.
|
||||
#
|
||||
# CONVERGENCE NOTE: this capability is the CRA <-> MaschinenVO bridge. The same integrity + access
|
||||
# controls that satisfy the CRA (software integrity, signed updates, access control) also satisfy
|
||||
# Machinery Regulation Annex III 1.1.9. The renderer supplies closes_regulations/leverage from
|
||||
# covers_targets — one playbook, two regulations.
|
||||
|
||||
id: PB-protection_against_corruption_of_safety_functions-v1
|
||||
capability_id: protection_against_corruption_of_safety_functions
|
||||
status: draft # draft -> reviewed -> validated -> proven
|
||||
version: 1
|
||||
|
||||
title: "Sicherheitsfunktionen gegen (Software-)Korruption und Manipulation schützen"
|
||||
canonical_action: "Sicherheitsfunktionen gegen Manipulation schützen" # Verb+Objekt (capability-is-a-verb)
|
||||
|
||||
why: >
|
||||
Maschinenverordnung Anhang III 1.1.9 verlangt, dass Hard- und Software sowie Daten, die für die
|
||||
Sicherheit kritisch sind, gegen ZUFÄLLIGE und BEABSICHTIGTE Korruption geschützt werden. Eine
|
||||
manipulierte oder fehlerhaft veränderte Sicherheitsfunktion (z. B. überbrückte Verriegelung,
|
||||
verstellter Sicherheitsparameter, untergeschobenes Steuerungs-Update) wird unmittelbar zu einer
|
||||
physischen Sicherheitsgefährdung. Genau hier treffen sich Maschinensicherheit und Cybersecurity:
|
||||
dieselben Integritäts- und Zugriffsmaßnahmen, die der Cyber Resilience Act fordert, erfüllen auch
|
||||
diese Maschinenpflicht (Konvergenz / Cyber-Safety-Brücke).
|
||||
|
||||
tools:
|
||||
- "IEC 62443 (industrielle Kommunikationsnetze / IACS-Security)"
|
||||
- "IEC 61508 / ISO 13849 / IEC 62061 (funktionale Sicherheit der Steuerung)"
|
||||
- "Code- und Update-Signierung (Secure Boot, signierte Firmware)"
|
||||
- "Hardware-Vertrauensanker (TPM/Secure Element) für Integritätsprüfung"
|
||||
- "Rollen-/Zugriffskonzept für sicherheitsrelevante Parameter (keine Default-Passwörter)"
|
||||
|
||||
process_steps:
|
||||
- title: "Sicherheitskritische Elemente identifizieren"
|
||||
detail: "Welche Soft-/Hardware und welche Parameter/Daten tragen eine Sicherheitsfunktion? (Eingang aus der Risikobeurteilung + sicherer Steuerung.)"
|
||||
- title: "Integrität schützen"
|
||||
detail: "Signierte Firmware/Updates, Prüfsummen, sichere Bootkette; Veränderung sicherheitsrelevanten Codes nur mit verifizierter Signatur."
|
||||
- title: "Zugriff kontrollieren"
|
||||
detail: "Authentisierung für das Verstellen von Sicherheitsparametern; Rollentrennung; keine ab Werk gesetzten Standardpasswörter (secure-by-default)."
|
||||
- title: "Safety und Standardsteuerung trennen"
|
||||
detail: "Sicherheitsbezogene Steuerungsteile von der allgemeinen Steuerung entkoppeln, damit eine Kompromittierung der Standardseite die Safety-Funktion nicht aushebelt."
|
||||
- title: "Manipulation erkennen -> sicherer Zustand"
|
||||
detail: "Bei erkannter Integritätsverletzung definiert in den sicheren Zustand übergehen (fail-safe), nicht still weiterlaufen."
|
||||
- title: "Updates sicher verteilen"
|
||||
detail: "Sicherheitsrelevante Updates nur signiert und verifiziert einspielen (Schnittstelle zu sicheren Update-Capabilities des CRA)."
|
||||
- title: "Sicherheitsrelevante Eingriffe protokollieren"
|
||||
detail: "Änderungen an Sicherheitsparametern/-software nachvollziehbar loggen (Audit-Trail)."
|
||||
|
||||
expected_evidence:
|
||||
- "Konzept Integritätsschutz sicherheitskritischer Soft-/Hardware"
|
||||
- "Nachweis Code-/Update-Signierung (Schlüsselverwaltung, Verifikation)"
|
||||
- "Zugriffskontroll-/Rollenkonzept für Sicherheitsparameter"
|
||||
- "Testprotokoll: Manipulationsversuch -> definierter sicherer Zustand"
|
||||
|
||||
typical_controls: # INDIKATIV — echte Control-Zuordnung kommt aus der Execution-Schicht
|
||||
- "safety_function_integrity"
|
||||
- "secure_update_distribution"
|
||||
- "access_control_safety_parameters"
|
||||
|
||||
how_others_do_it: >
|
||||
Verbreitete Praxis: die CRA-Maßnahmen (signierte Updates, Secure Boot, Integritätsprüfung,
|
||||
Zugriffskontrolle ohne Default-Passwörter) werden EINMAL umgesetzt und decken zugleich
|
||||
Maschinenverordnung Anhang III 1.1.9 ab — eine Maßnahme, zwei Regelwerke. Die Sicherheitssteuerung
|
||||
wird nach IEC 62443 segmentiert, und bei Integritätsverletzung geht die Maschine kontrolliert in den
|
||||
sicheren Zustand statt weiterzulaufen.
|
||||
|
||||
disclaimer: >
|
||||
Kuratiertes Experten-Wissen (Erstentwurf, Maschinensicherheit + Cyber-Safety), KEINE normative
|
||||
Anforderung. Werkzeug- und Schrittempfehlungen sind Beispiele bewährter Praxis, kein Pflichtkatalog.
|
||||
Review durch Product-Security- + Funktionale-Sicherheit-Expert:innen ausstehend (status: draft).
|
||||
Reference in New Issue
Block a user