feat(cra): MaschinenVO-Gefährdungs-Ableitung + Cyber-Safety-Brücke

3-Tier-MaschinenVO-Verdict (direkt / sicherheitsrelevant / nicht relevant) aus
Personengefährdungs-Signal: eine Komponente ist keine Maschine, aber wenn ihre
Funktion bei Fehler ODER Manipulation Personen gefaehrden kann (Bewegung, Laser/
Auge, Kraft, Temperatur, elektrisch), ist sie sicherheitsrelevant — Pflicht
trifft den Maschinenbauer, Zulieferer liefert Nachweise, und ein Cyber-Angriff
kann die Sicherheitsfunktion aushebeln (Cyber-Safety-Bruecke). OWIS-mit-Laser
landet so korrekt als 'sicherheitsrelevante Komponente'. Engine + /readiness
additiv; Frontend: Gefährdungs-Frage + -Typen, MaschinenVO-Ergebnisblock.
Presets aktualisiert (OWIS: Laser+Bewegung, Zwick: Bewegung). 22 Tests gruen.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

backend-compliance/compliance/services/cra_applicability.py

@@ -105,3 +105,65 @@ def maturity(provided_evidence_keys) -> dict:
     total = len(EVIDENCE_ITEMS)
     pct = round(100.0 * len(present) / total) if total else 0
     return {"pct": pct, "present": present, "missing": missing, "total": total}
+
+
+# --- Machinery Regulation (2023/1230) applicability — person-safety axis ---
+# A bare control component is not "machinery" itself, but if its function can
+# endanger persons (movement, laser, stored energy …) it is safety-relevant: the
+# duty hits the machine builder, the component maker supplies evidence, and a
+# cyber compromise can defeat a safety function (the CRA × MaschinenVO bridge).
+HAZARD_TYPES = [
+    {"key": "movement_crush", "label": "Bewegung / Quetschen"},
+    {"key": "laser_radiation", "label": "Laser / Strahlung (Auge)"},
+    {"key": "force_energy", "label": "Kraft / gespeicherte Energie"},
+    {"key": "temperature", "label": "Temperatur / Hitze"},
+    {"key": "electrical", "label": "Elektrische Gefährdung"},
+]
+_HAZARD_KEYS = {h["key"]: h["label"] for h in HAZARD_TYPES}
+
+MV_DIREKT = "direkt"
+MV_SICHERHEITSRELEVANT = "sicherheitsrelevant"
+MV_NICHT = "nicht_relevant"
+_MV_LABEL = {
+    MV_DIREKT: "Maschinenverordnung direkt betroffen",
+    MV_SICHERHEITSRELEVANT: "Sicherheitsrelevante Komponente (indirekt)",
+    MV_NICHT: "Maschinenverordnung nicht relevant",
+}
+
+
+def compute_machinery_verdict(
+    producer_type: str = "",
+    is_machinery: bool = False,
+    safety_relevant: bool = False,
+    hazard_types=None,
+    is_safety_component: bool = False,
+) -> dict:
+    """3-tier Machinery-Regulation verdict + cyber→safety bridge flag.
+    `safety_relevant`: can the function endanger persons on fault OR manipulation?"""
+    hazards = [{"key": k, "label": _HAZARD_KEYS[k]} for k in (hazard_types or []) if k in _HAZARD_KEYS]
+    direct = bool(is_machinery) or producer_type == MACHINE_INTEGRATOR or bool(is_safety_component)
+    reasons: list = []
+    if direct:
+        tier = MV_DIREKT
+        reasons.append("Maschine/Anlage bzw. Sicherheitsbauteil → MaschinenVO-Pflichten direkt.")
+    elif safety_relevant or hazards:
+        tier = MV_SICHERHEITSRELEVANT
+        reasons.append("Komponente, deren Funktion bei Fehler oder Manipulation Personen gefährden kann.")
+        reasons.append("MaschinenVO-Pflicht trifft den Maschinenbauer; als Zulieferer liefern Sie Sicherheits-/Cyber-Nachweise zu.")
+    else:
+        tier = MV_NICHT
+        reasons.append("Keine Personengefährdung erkennbar.")
+
+    bridge = tier in (MV_DIREKT, MV_SICHERHEITSRELEVANT)
+    if bridge:
+        reasons.append(
+            "Cyber-trifft-Safety: Ein Angriff auf die Steuerung kann eine Sicherheitsfunktion aushebeln "
+            "(Geschwindigkeit/Position/Verriegelung) → Personenschaden."
+        )
+    return {
+        "tier": tier,
+        "label": _MV_LABEL[tier],
+        "hazards": hazards,
+        "cyber_safety_bridge": bridge,
+        "reasons": reasons,
+    }