Är industrirobotar och kobotar viktiga produkter enligt CRA?

Sammanfattning

Den här guiden följer en fiktiv kobotutgåva från klassificering genom produktavgränsning, riskbedömning, SBOM, utgåvegodkännande, sårbarhetsrapportering och överlämning mellan ekonomiska aktörer. Samma struktur fungerar för en 6-axlad arm, en kollaborativ cell eller en robotstyrenhet som säljs med tillvalstjänster för bildgivare och flottmoln.

  • Standardvägen är planeringsantagandet. Industrirobotar och kobotar finns inte med på CRA:s listor över viktiga eller kritiska produkter idag. Hantera erbjudanden där brandvägg, nätverkshantering eller manipuleringsskyddad styrenhet dominerar som separata klassificeringsbeslut.
  • Börja med avgränsningsmemot. Namnge den exakta varianten: armens hårdvara, styrskåp, operatörspanel, fältbussalternativ, programmeringsmiljö, flott- eller molnanslutning, avsedd användning, levererade digitala element, supportperiod och motivering för vägval.
  • Cyber och säkerhet möts från 2027. ISO 10218-1:2025 lägger till cybersäkerhetskrav där de påverkar robotsäkerheten, och maskinförordningen tillämpas från den 20 januari 2027. CRA-dossiret och säkerhetsfallet delar bevisning vid dessa punkter.
  • Supporten behöver ett trovärdigt slutdatum. Supportperioden är minst fem år om inte den förväntade användningstiden är kortare. Robotar går ofta mycket längre i fabriker, så dossiret bör namnge ett supportfönster som tillverkaren kan leverera och avslöja slutdatumet före köp.
  • Sårbarhetshantering är en driftmodell. Utgåvedossiret bör namnge vem som tar emot sårbarhetsvarningar, vem som godkänner underhållsfönster, vem som kan rulla tillbaka en uppdatering och hur kvarstående råd hålls synliga.
  • Överlämning är bevisning. Tillverkaren håller produktdossiret; integratören håller dossiret för den färdiga cellen när den levereras under integratörens namn; operatören kör cellen. Varje överlämning dokumenteras, inte tryckt informellt på kunden.

Hur klassificerar du en utgåva av en industrirobot eller kobot?

Börja med erbjudandet, inte armens hårdvara. En 6-axlad arm som säljs till en systemintegratör och samma arm som säljs som en komplett kobotcell till en liten verkstad är olika CRA-produkter. Vägen beror på vad köparen betalar för, vilken styrenhet och operatörspanel som följer med, och om tillverkaren också levererar flottmolnet, säkerhetskonfigurationen och OTA-uppdateringsvägen.

Illustrerat klassificeringsvägsbeslut för en industrirobot eller kobot. En toppfråga 'Vad betalar köparen för?' förgrenar sig i tre illustrerade vägar. Gren A: en 6-axlad arm som säljs till en systemintegratör följer standardvägen som komponentdossier. Gren B (markerad): en komplett kobotcell som säljs till SMF med kraftbegränsad arm, säkerhetskonfiguration, bildgivartillval, flottmoln och signerade uppdateringar följer standardvägen med det fullständiga tillverkardossiret. Gren C: en robotarm som är inbyggd i en färdig maskin som säljs under integratörens CE-märke använder två dossier med en integratörsledd utgåva. En fotnot påminner läsaren om att standardvägen är planeringsantagandet och bara flyttar till viktig när en listad delproduktfunktion dominerar erbjudandet.
Första vägvalet är erbjudandetypen: komponentarm, komplett cobotcell eller robot i en integratörsledd maskin.

Figuren ovan bär vägvalet. Matrisen nedan bär avgränsningsmemot: när en variant är vald är detta de bevisningsrader som tillverkaren bör kunna fylla i för den specifika varianten.

Bevisningsrader per variant för avgränsningsmemot För varje variant: dossiravgränsningen, fokus i riskbedömningen och överlämningsnoteringen som tillverkaren bör kunna skriva på en rad.
Variant Tillverkardossirets avgränsning Fokus i riskbedömning Överlämningsnotering
6-axlad robotarm till en systemintegratör

Komponentförsäljning; integratören bygger cellen.

Arm, styrenhet, operatörspanel, programmeringsmiljö, fältbussalternativ, signerade uppdateringar, process för sårbarhetshantering och integratörsriktad manual.

Programmeringsstationens skrivrätt, återställningsplats, exponering av fältbusstacken, övervakning av leverantörskomponentråd, byte av inloggningsuppgifter vid avveckling.

Komponenttillsynsregistret går vidare till integratören. Integratören äger säkerhetskonfigurationen på cellnivå och cell-CE-märket.
Kobot såld som en komplett cell till en SMF

Kraftbegränsad kollaborativ arm, körklar säkerhetskonfiguration, bildgivartillval, flottmoln.

Arm, styrenhet, operatörspanel, säkerhetskonfiguration, bildgivarsensor, programmeringsmiljö, anslutning till flottmoln och OTA-tjänst.

Kollaborativt driftläge (hastighets- och separationsövervakning eller kraft- och hastighetsbegränsning), operatörsroll i delad arbetsyta, behörighet i flottmolnet, konton på operatörspanelen, signerad väg för säkerhetsfirmware.

Tillverkaren bär fullt ansvar under supportperioden. Bindning av operatörsroll, avbindning från flottmoln och avvecklingschecklista följer med cellen.
Robotarm integrerad i en färdig maskin

Återförsäljs under integratörens CE-märke inuti en förpackningslinje eller processmaskin.

Robottillverkaren behåller armen, styrenheten, operatörspanelen och den medlevererade programvaran i sitt eget dossier. Den färdiga maskinen har ett eget dossier under integratörens CE-märke.

Råd från komponentleverantörer (RT-operativsystem, fältbusstack, bildgivarmodul), efterlevnad av leverantörsförsäkran, exponering av tjänster vid integration, matchning av supportfönster med maskintillverkaren.

Integratören blir maskintillverkare för den färdiga maskinen och driver sin egen hotlista, sårbarhetshanteringsprocess och försäkran om överensstämmelse. Robottillverkaren förblir komponenttillverkare för armen.
För varje robotvariant behöver tillverkarens dossier en tydlig avgränsning, riskfokus och överlämningsnotering.

Använd hjälpmedlet för vägval före du skriver avgränsningsmemot, inte som ersättning. Memot behöver fortfarande den exakta armmodellen, last och räckvidd, styrskåpet, operatörspanelen, programmeringsmiljön, säkerhetskonfigurationens omfattning, flottmolnet, OTA-tjänsten och den avsedda användningen. För en komplett kobotcell, namnge det kollaborativa driftläge som köparen förlitar sig på: hastighets- och separationsövervakning, kraft- och hastighetsbegränsning, handguidning eller säkerhetsklassad övervakad stopp.

Kontrollera sedan om en annan listad funktion gör det verkliga arbetet. CRA behandlar en produkt som viktig när dess kärnfunktion motsvarar en listad kategori; att bädda in en styrenhet flyttar inte i sig en robot till en viktig kategori. Om erbjudandet i huvudsak är en brandväggsgateway, en VPN-utrustning, ett nätverkshanteringssystem, en SIEM-koppling eller en härdad styrenhet byggd kring ett manipuleringsskyddat chip, klassificera den kärnfunktionen först och behandla armen som ett tillbehör.

För komponentförsäljning, tvinga inte in den i kategorin komplett cell. En robotarm som säljs till en systemintegratör är fortfarande en produkt med digitala element och behöver fortfarande bevisning för säker utformning, en uppdateringsväg, en process för sårbarhetshantering, ett uttalande om supportperiod och integratörsriktad dokumentation. Vägen förblir standard; ansvaret delas med integratören.

Klassificeringsmemot bör besvara fyra frågor:

  1. Säljs utgåvan som en robotarm, en komplett kobotcell eller en robot integrerad inuti en annan maskin?
  2. Är robotrörelse produktens kärnfunktion, eller är det en annan listad funktion (brandvägg, VPN, nätverkshantering, säkerhetsrelaterad mikrokontroller) som gör det verkliga arbetet?
  3. Vilka digitala element levereras för den avsedda funktionen: armens firmware, säkerhetskonfiguration, operatörspanel, programmeringsmiljö, OTA-tjänst, flottmoln och process för sårbarhetshantering?
  4. Vilka system ligger utanför tillverkarens erbjudande: kundens celllogik, kundens säkerhets-PLC, fabriksnätverk, tredjepartsprogram för bildgivare, kundens MES eller SCADA?

Vad hör hemma inom robotproduktens avgränsning?

För en robottillverkare är efterlevnadsavgränsningen sällan bara armen. Den bör följa produkten som släpps ut på marknaden och de digitala element som behövs för den avsedda rörelse- och säkerhetsfunktionen.

Hantera dessa som normalt inom robottillverkarens avgränsning: armens firmware, ledstyrenhetens firmware, styrskåpets driftmiljö, säkerhetsstyrenhetens firmware, operatörspanel, programmeringsmiljö, OTA-tjänst och process för sårbarhetshantering.

Hantera dessa som normalt utanför om inte tillverkaren säljer dem som del av erbjudandet: kundens celllogik, kundskriven säkerhetskonfiguration, fabriksnätverk, tredjepartsverktyg på armen, tredjepartsprogram för bildgivare, kundens MES eller SCADA och kundens säkerhets-PLC.

En industrirobot eller kobot enligt CRA Separera den levererade roboten, medlevererad programvara och skyldigheter under supportperioden från kundens cell, fabriksnätverk och operatörsarbetsflöde.
Mer integration
Kundens cell Det som integratör och operatör bygger runt roboten
Celllogik Kundens säkerhets-PLC Fabriksnätverk MES eller SCADA Transportband och fixturer
Bevisning

Ingen när dessa element kommer från integratören eller slutanvändaren. Om robottillverkaren också säljer cellstyrenheten, säkerhets-PLC:n eller MES-anslutningen som del av sitt erbjudande kan vart och ett vara en separat produkt med eget avgränsningsdossier.

Tillverkarlevererad avgränsning
Levererad produkt Roboten som du levererar
Arm och leder Verktygsfläns Styrskåp Säkerhetsstyrenhet Operatörspanel Fältbussalternativ
Bevisning

Produktdossier · EU-försäkran om överensstämmelse · CE-märkning · Uttalande om supportperiod · Användarinstruktioner · Bedömning av överensstämmelse

Innehas av robottillverkaren i tio år efter att roboten släppts ut på marknaden, eller under supportperioden, beroende på vilket som är längst. Bevisning för funktionssäkerhet (ISO 10218-1:2025 och ISO 10218-2, ISO 13849, IEC 61508) stannar i samma dossier så att säkerhetsfallet och cyberresiliensfallet kan granskas tillsammans.

Programvara på enheten Programvara som körs på roboten
Rörelse-firmware Säkerhets-firmware Realtids-OS Fältbusstack OPC UA-server Programmeringsmiljö Uppdateringsagent
Bevisning

Designdossier för cyberresiliens · Komponentförteckning · Process för sårbarhetshantering · Redovisningspolicy · Säker uppdateringsmekanism

Inkludera den publicerade enskilda kontaktpunkten, bevisning för säkra standardinställningar, verifiering av signerade uppdateringar, resultat av nedgraderingsavslag och motiveringen för supportperioden.

Chipnivå Inuti lederna och skåpet
Servo-MCU FPGA eller SoC EtherCAT-slav Säkerhets-MCU Absolutgivare Gate-driver Rörelse-CPU
Bevisning

Komponenttillsynsregister · Leverantörens försäkran · Säkerhetsråd från leverantör

Robottillverkaren förblir ansvarig för valet av ledmotorns chip. Där ett styrchip, en säkerhetsmikrokontroller eller ett säkert element själv är en produkt med digitala element, stöder leverantörens försäkran och råd tillverkarens tillsyn snarare än ersätter den.

Efter att roboten levererats
Levande produkt Det som fortsätter efter leverans
Komponentövervakning Sårbarhetshantering Kostnadsfria säkerhetsuppdateringar Rapporteringsberedskap Integratörsmeddelanden Korrigerande åtgärd
Bevisning

Komponentförteckningen övervakas mot nya sårbarheter; sårbarhetshanteringsprocessen triagerar fynden; kostnadsfria säkerhetsuppdateringar rullar ut korrigeringar med råd, paketerade så att en fabrik kan validera dem inom ett underhållsfönster utan att bryta maskintiming eller säkerhetsfallet.

Aktivt utnyttjade sårbarheter kräver beredskap för en tidig varning inom 24 timmar, en sårbarhetsnotifiering inom 72 timmar och en slutrapport inom 14 dagar efter att en korrigerande eller dämpande åtgärd finns tillgänglig. Allvarliga säkerhetsincidenter följer ett liknande spår med 24 timmar och 72 timmar, och en slutgiltig incidentrapport inom en månad. Skyldigheterna att rapportera enligt artikel 14 gäller från den 11 september 2026, före den allmänna tillämpningsdagen den 11 december 2027 (artikel 71(2)).

Efter att ha fått kännedom om endera, informera berörda integratörer och slutanvändare och, där det är lämpligt, alla användare om sårbarheten eller incidenten. Inkludera de dämpande eller korrigerande åtgärder som användarna kan vidta där så är nödvändigt, med ett tydligt uttalande om vilka steg som kräver ett underhållsfönster.

Robottillverkaren äger den levererade armen, styrenheten, säkerhetsstyrenheten, programvaran på enheten, komponenttillsyn och arbete under supportperioden. Kundens celllogik, kundens säkerhets-PLC, fabriksnätverk och MES eller SCADA stannar utanför om inte samma tillverkare säljer dem som del av erbjudandet.

Vilken väg för bedömning av överensstämmelse gäller?

01 Standardprodukter: förfaranden enligt standardvägen är tillgängliga

Industrirobotar och kobotar finns inte med på CRA:s listor över viktiga eller kritiska produkter idag, så standardvägen är planeringsantagandet. Tillverkaren kan välja intern kontroll, EU-typkontroll plus tillverkningsöverensstämmelse, fullständig kvalitetssäkring eller en tillämplig europeisk cybersäkerhetscertifieringsordning. Valet är ovillkorligt; det finns inget förkrav på harmoniserade standarder för standardprodukter.

02 Den villkorade vägen för klass I aktiveras bara om CRA-listan ändras

Villkoret "standarder tillämpas fullständigt" tillhör reservvägen för viktiga produkter, inte standardvägen. Om en framtida uppdatering lade till en robot- eller kobotunderprodukt på listan, och de tillgängliga standarderna eller ordningarna inte täckte de relevanta väsentliga kraven, skulle tillverkaren behöva en tredjepartsbedömning för det område som saknas. Listan inkluderar inte robotar idag, så reservvägen är reservplanen, inte planeringsvägen.

03 Förbered en granskning över regelverksgränser

Maskinförordningen 2023/1230 tillämpas från den 20 januari 2027 och innehåller säkerhetskrav som överlappar med cyberbevisning, särskilt skydd mot manipulering och styrsystemens tillförlitlighet. Hantera cyberresiliensdossiret och maskinsäkerhetsdossiret som två trådar av samma produktmapp, inte två separata efterlevnadsprojekt. CE-märket på maskinen hänvisar till båda förordningarna.

Vilka arkitekturkontrollpunkter hör hemma i robotdossiret?

Utgåvedossiret för roboten bör följa den faktiska maskinen, inte en generell OT-checklista. En fristående arm som säljs till en integratör, en kraftbegränsad kobotcell som säljs till en SMF, en robot inbyggd i en förpackningslinje och en robot för renrum med bildgivare kan dela en klassdiskussion samtidigt som de behöver olika tekniska register.

  1. Rörelsebehörighetsväg. Identifiera varje väg som kan ändra rörelse, parametrar eller säkerhetskonfiguration: operatörspanel, programmeringsstation, leverantörens moln, leverantörens servicetunnel, USB-överföring, fältbuss från cellstyrenheten och eventuell kanal för fjärrassistans.
  2. Lokal exponering. Efter idrifttagning och efter varje uppdatering, skanna styrenheten efter åtkomliga tjänster. Utgåvedossiret bör visa vilka tjänster som är åtkomliga, vilka som kräver autentisering och vilka som är avstängda som standard.
  3. Kundsystem. Behandla kundens celllogik, kundens säkerhets-PLC, fabriksnätverk, tredjepartsprogram för bildgivare och MES eller SCADA som utanför robottillverkarens produkt om inte tillverkaren säljer det lagret.
  4. Uppdateringsbehörighet. Behandla uppdateringsbehörighet som ett tvåvägsutbyte: styrenheten kontrollerar eller tar emot uppdateringsmetadata, och uppdateringstjänsten returnerar ett signerat firmwarepaket för den exakta styrenhetsvarianten och säkerhetsfirmware-revisionen. Behåll register över signerade uppdateringar, nedgraderingsavslag, maskinpåverkan, återställning och rollback med utgåvan.
  5. Leverantörsindata. Ge servo-MCU, givare, säkerhets-MCU, fältbusstack, bildgivarmodul, RT-operativsystem och programmeringsmiljö en namngiven ägare, version, övervakning av råd och utgåvebeslut.
  6. Supportåtkomst. Servicetunnlar, diagnostik och fjärrassistanssessioner bör inte bli en andra rörelsebehörighetsväg. Behåll register över tunnelavstängning, redaktion och granskningsstickprov.
  7. Loop efter marknadsplacering. Sårbarhetsrapporter, allvarliga incidenter, leverantörsråd och fältfel bör uppdatera hotlistan, registret över kvarstående risk, utgåvedossiret och nästa utgåvegrindbeslut.

Celldiagrammet nedan är avsiktligt bredare än det utarbetade exemplet. Använd det som en gränskontroll för produktfamiljen innan du smalnar av dossiret till den exakta levererade varianten: en 6-axlad arm, en kobot, en variant för renrum, en variant för palletering, och en robot som säljs tillsammans med ett verktyg behöver olika bevisning.

Referensarkitekturdiagram över en industrirobotcell. En streckad rektangel markerar tillverkarens produktdossieravgränsning till vänster, vilken innehåller den 6-axlade armen med leder och verktyg, styrskåpet med rörelse-CPU, säkerhetsstyrenhet, A- och B-firmwareplatser, fältbuss och servicemedia, samt operatörspanelen och anslutningen till flottmolnet. Kundplatsen till höger innehåller programmeringsstationen, fabriks-LAN med cell-PLC, MES och OPC UA, det tillverkarlevererade flottmolnet och en kundägd panel som dokumenteras vid integratörsöverlämningen. Pilar markerar sju flöden: F1 rörelse, F2 avkänning, F3 operatörspanel, F4 programladdning (dragen ovanför panelen), F5 fabrik, F6 moln och F7 service. En förklaring beskriver interna kontra gränsöverskridande flöden och vilka register som hör hemma i tillverkarens produktdossier.
Arkitekturkartan kopplar varje flöde till den levererade produktavgränsningen: rörelse, avkänning, panelbehörighet, programladdning, fabrikstrafik, molnuppdateringar och servicemedia.

Verkliga OEM-styrenheter som passar denna layout inkluderar ABB OmniCore, KUKA KR C5 (KSS) och KUKA-styrenheter som kör iiQKA.OS, FANUC R-30iB Plus, Yaskawa YRC1000 och Universal Robots PolyScope X. Uppdelningen ovan delas av dem alla: tillverkarens produktdossier håller armen, styrenheten och programvaruavgränsningen på enheten; kundens celllogik, fabriks-LAN och kundägda verktyg stannar utanför om inte tillverkaren också säljer det lagret.

Hur bygger du robotens riskbedömning?

Använd detta exempel för att förstå det förväntade djupet, inte som text att klistra in i en utgåvedossier. En robottillverkare behöver fortfarande köra bedömningen mot sin egen arm, ledmotorer, styrenhet, säkerhetsstyrenhet, operatörspanel, programmeringsmiljö, flottmoln, leverantörer, säljpåståenden, supportperiod och utgåveprocess.

Vilken produkt bedömer vi?

Illustrativt exempelprodukt, inte en verklig enhet: ExampleCo CR-12, en 6-axlad ledad industrirobotarm med 12 kg last och 1300 mm räckvidd, med ett valfritt kraftbegränsat kollaborativt läge. Den levereras med armen, ett styrskåp, en operatörspanel, en valfri 2D-bildgivarsensor, en programmeringsmiljö, signerade OTA-uppdateringar och en anslutning till tillverkarens flottmoln. Den säljs till små och medelstora tillverkare som en komplett cell, och till systemintegratörer som komponent för större maskiner.

Produktavgränsningen för detta exempel inkluderar armen, ledmotorerna, styrskåpet, säkerhetsstyrenheten, operatörspanelen, programmeringsmiljön, OTA-tjänsten, leverantörens molnanslutning, kontakten för sårbarhetsrapportering och redovisningen av supportens slut. Den inkluderar inte kundens celllogik, kundens säkerhets-PLC, fabriksnätverk, tredjepartens MES eller SCADA, tredjepartsverktyg på armen, installation av staket och ljusridå, eller någon AGV- eller AMR-bas.

Produkten är avsedd för inomhus industriell användning av utbildade operatörer och integratörer. Den är inte avsedd för medicinsk eller kirurgisk robotteknik, servicerobotar, utbildningsrobotar eller någon konsumentanvändning.

Innan du skriver hottabellen, testa de tre vägar som vanligtvis driver robotens riskbedömning: programladdning och panelbehörighet, gränsen mellan säkerhet och cyber, och integratörsöverlämningen. Dessa diagram förvandlar det utarbetade exemplet till tekniska frågor i stället för en generell hotlista.

Illustrerad livscykel för en industrirobot från fabriksprovisionering genom integratörens idrifttagning, ägarens produktion, omflashning eller nytt program och avveckling. Varje steg namnger vad aktören ändrar och det test som bevisar att fel aktör inte kan ändra rörelsebehörighet. Ett bottenfält listar fem negativa fall som måste klara överlämningen.
Produktdossierregister: de fem stegregistren plus de fem negativa testresultaten N1–N5 utgör tillverkarens tidslinje för behörighetsändringar. Behåll dem i produktdossiret så att en granskare kan se vem som höll rörelse- eller säkerhetsbehörighet vid varje övergång.
Varje livscykelsteg ska visa vem som har rörelsebehörighet och vilket test som blockerar en osäker skrivning.

Ägarskap är en separat kontroll från programladdning. En styrenhet kan ha signerade uppdateringar och ändå misslyckas om en servicetunnel förblir öppen efter underhåll, eller om en gammal programmeringsstation fortsätter skriva till den efter en kundöverföring.

Hur skiljer sig attackytan hos en inhägnad industrirobot från en kobots?

Sidan behandlar båda under samma CRA-kategori eftersom de är det: en industrirobot under cyberresilienslagret, inte en smart hem-produkt. Riskprofilen är dock olika, och hotlistan bör återspegla det.

Attackyta Inhägnad industrirobot Kraftbegränsad kobot
Närhet till människor Utesluten av ljusridå, staket, skanner eller säkerhetslås Kontinuerlig; kraftbegränsad rörelse, hastighets- och separationsövervakning, handguidning och säkerhetsklassad övervakad stopp är säkerhetsfallet
Åtkomst till panel Låst cellåtkomst; panelen används av underhållspersonal inuti den inhägnade zonen Delad arbetsyta; panelen används av operatörer bredvid roboten, vanligen med en roll per operatör och en snabbare utloggningspolicy
Bildgivarindata Ofta valfri och används för inspektion; en punkt Ofta krävd för säkerhet (separationsövervakning); flera kameror med kalibreringsdata som säkerhetsfallet är beroende av
Programmeringsstationens väg Fabrikens programmeringsstation inuti OT-banan under idrifttagning och sällsynt underhåll Programmeringsstationen kan sitta på operatörens kontor eller till och med på en företagshanterad laptop; vägen används oftare
Fjärrteleoperation Sällsynt i äldre inhägnade celler; sessioner för fjärrassistans är tidsbegränsat underhåll Allt vanligare i vissa kobotserier (fjärroperatörsstöd, programmering utanför plats); behörighetsvägen är bredare
Mest sannolik hotaktör Tekniker eller serviceintern person med fysisk åtkomst under ett underhållsfönster Operatörsmissbruk i kombination med en komprometterad fjärrprogrammeringsstation; spoofing av bildgivarindata är en trovärdig kobot-specifik väg
Återställning vid missbruk Vanligtvis en nyckellåst lägesomkopplare och en skyddad återställning Ofta en mjukvarurollsändring på panelen; cybergranskningen måste bekräfta att rollsändringen verkligen släpper behörigheten

För den utarbetade ExampleCo CR-12 betonar den inhägnade konfigurationen programmeringsstationens behörighet, återställningsplatsens integritet och byte av inloggningsuppgifter vid avveckling. Kobotkonfigurationen lägger till autentisering av bildgivarindata, kalibreringsdataintegritet, manipuleringstestning av separationsövervakning och en panelens rollagring per operatör som förstaklassiga frågor.

Vilka tillgångar skyddar vi?

Börja riskbedömningen med tillgångar eftersom robothot inte alla handlar om samma sak. En förlust av rörelseintegritet, en kompromettering av säkerhetskonfigurationen och ett övertagande av programmeringskanalen behöver olika kontroller och olika utgåveregister.

Tillgång Varför den spelar roll Var den finns
Rörelseprogram och parametrar Integritetsfel kan ändra banor, hastigheter, lastgränser eller arbetsytegränser Styrenhetens programlager, programmeringsprojekt, säkerhetskopia
Säkerhetskonfiguration Sätter arbetsytegränser, hastighetsgränser, kraftgränser och stoppkategorier; manipulering skapar en farlig situation Säkerhetsstyrenhetens minne, signerat konfigurationspaket
Firmware och uppstartkedja Uppdateringskompromettering kan kvarstå på en styrenhet som körs i femton år Bootloader, A- och B-firmwareplatser, signeringstjänst
Programmeringsuppgifter Ger behörighet att läsa in program och skriva firmware Programmeringsstation, styrenhetens användarlager, panelkonton
Kalibrerings- och ramdata Felaktiga värden förskjuter tyst verktygsmittpunkten och tillverkade delar Styrenhetens lagring, integratörens säkerhetskopia
Flottmolnsuppgifter Ansluter skåpet till tillverkarens uppdateringstjänst och fjärrassistans Skåpets nyckellager, molnanslutning
Diagnostik- och servicepaket Avslöjar programnamn, nätverksnamn, certifikat och kraschspår Styrenhetens loggar, supportportal, intern serviceverktygsuppsättning
Användarinstruktioner och supportdatum Driver säker idrifttagning, uppdateringsförväntningar och hantering av supportens slut Manual, webbmanual, supportlistning

Var är de huvudsakliga förtroendegränserna?

För detta exempel bör tillverkaren modellera minst fem miljöer. Poängen är inte att rita varje tråd; den är att separera platser där angriparens möjlighet ändras: inuti skåpet, på panellänken, på fabriksnätverket, i tillverkarens backend och på programmeringsstationen.

Miljö Förväntat skydd Varför det ändrar sannolikheten
Inuti skåpet Fysisk åtkomst är begränsad till underhåll, men servicemedia, debug-block och återställningsplatser finns Lägre fjärrsannolikhet, högre konsekvens om nycklar är extraherbara
Panellänk Trådbunden in i skåpet, men panelen hanteras av varje operatör Lokal åtkomst är trolig under normalt arbete; standardinloggningsuppgifter är en vanlig brist
Fabriksnätverk Delat med cellstyrenheter, MES, OPC UA-konsumenter och programmeringsstationer En komprometterad peer kan attackera upptäckt, OPC UA eller kanaler för fjärrassistans
Tillverkarens backend Internetexponerad och delad över den installerade flottan Ett misstag i backenden skalar från en fabrik till många
Programmeringsstation Windows- eller Linux-laptop med offline programmeringsprogramvara, ansluten till OT-banan under idrifttagning Ofta företagshanterad; en av de vanligaste ingångspunkterna i publicerad forskning

Säkerhetsstacken och cyberstacken är inte samma projekt. De delar bevisning vid specifika punkter; dossiret måste vara tydligt om vem som äger vilken klausul.

ISO 10218-1:2025 bevisningskarta: fem kategorier där säkerhet och cyber överlapparFem bevisningskategorier som tillverkaren bör kunna producera för en robot som följer ISO 10218-1:2025. Klausulnummer är preliminära tills den licensierade standarden granskats.
Bevisningskategori
Säkerhetstråd
Cybertråd
Delat överlappningsregister
Godkännande av säkerhetskonfiguration
Funktionssäkerhetsingenjör skriver under säkerhetskonfigurationspaketet och beräkningen av PL eller SIL
Produktsäkerhetsingenjör granskar behörighetsvägen som används för att läsa in paketet (autentisering, bekräftelse utanför bandet, förvar av signeringsnyckeln)
Gemensamma granskningsprotokoll plus inläst pakethash registrerade i utgåveregistret
Granskning av säkerhets-firmwareuppdatering
Kör om säkerhetsfallet mot den nya firmwaren; bekräftar att timing, felhantering och PL- eller SIL-mål bevaras
Verifierar signaturen på paketet, nedgraderingsavslag, monoton versionsräknare och beteende för återställningsplatsen
Gemensam godkännandesignatur på utgåvebiljetten innan uppdateringen går in i OTA-kanalen
Validering av lägesändring (manuell, kollaborativ, höghastighet)
Validerar varje läge mot säkerhetsfallet: arbetsytegränser, hastighetsgränser, kraftgränser, kollaborativ övervakning
Testar att en angripare inte kan växla lägen via panel, programmeringsstation, flottmoln eller fältbuss utan den dokumenterade behörigheten
Testmatris för lägesövergångar som listar behörighetsvägen och säkerhetsutfallet för varje övergång
Cybergranskning av stoppfunktion (kat 0, kat 1, kat 2)
Bekräftar att varje stoppkategori uppfyller sitt PL- eller SIL-mål och att stoppkedjan löses ut under representativa fel
Bekräftar att en cybermanipulering (osignerad firmware, parameterskrivning, åtkomst till debug-port, missformad fältbussram) inte kan fördröja eller maskera ett stopp
Felinjektionsregister som visar att stoppkedjan fortfarande löses ut under representativa cyberförsök
Autentisering av separationsövervakning (kobot-specifik)
Validerar zoner för hastighets- och separationsövervakning, kameraplacering, gränser för övervakad stopp och kraftbegränsningsmål
Autentiserar varje bildgivarindata, verifierar kameraflödets integritet, skyddar kalibreringsdata, går säkert vid förlorad anslutning eller återspelat flöde
Kobottestpaket som omfattar en spoofad kamera, en tappad bildgivarbildruta och en återspelad kalibrering; säkerhetsutfall registreras per fall
Avgränsningsgrind: ett utgåvegodkännande måste visa att säkerhetstråden och cybertråden har granskat samma ändring. Ett register för signerad uppdatering räcker inte om säkerhetsfallet inte har sett den nya firmwaren. Klausulnummer enligt ISO 10218-1:2025 läggs till när den licensierade standardtexten granskats; till dess är kategorierna stabila och registreringsformatet är leveransen.
De gemensamma bevisningskategorierna visar var säkerhetsfallet och CRA:s cyberresiliensdossier måste granska samma robotändring.

Vilka hot bör utvärderas först?

Detta exempel börjar med fjorton produktspecifika hot. Poängen är inte att vara uttömmande; den är att visa den nivå av spårbarhet som en tillverkare bör kunna försvara.

ID Hotscenario Tillgång i riskzonen Ingångspunkt
R1 Programmeringsstationen tryckte ett program utan att autentisera operatören Rörelseprogram Programmeringsport
R2 Återställningsplatsen accepterar ett äldre eller osignerat firmwarepaket Firmwareintegritet Återställningsläge
R3 Panelen accepterar ett svagt eller standardlösenord och förblir inloggad mellan operatörer Programmeringsuppgifter Panel
R4 Standard-OPC UA-slutpunkt svarar anonymt på fabriks-LAN Kalibrerings- och ramdata Fabriksnätverk
R5 Säkerhetskonfiguration kan läsas in utan signerat paket eller bekräftelse utanför bandet Säkerhetskonfiguration Säkerhetsstyrenhet
R6 Servicetunnel från tillverkarens moln förblir öppen efter en underhållssession Flottmolnsuppgifter Fjärrassistans
R7 Kalibreringsdata ändras i lagring och verktygsmittpunkten förskjuts tyst Kalibrering Styrenhetens lagring
R8 En tillverkad EtherCAT- eller fältbussram orsakar fel i rörelse-CPU eller överskridande av cykeltid Rörelsetillgänglighet Fältbuss
R9 USB-säkerhetskopia eller återställningsbild kan tillämpas utan operatörsgranskning Firmwareintegritet Servicemedia
R10 Diagnostikpaket exporterar programnamn, certifikat eller nätverksidentifierare Servicedata Supportportal
R11 En sårbarhet i RT-operativsystemet, fältbusstacken eller bildgivarmodulen upptäcks inte under supportperioden Firmwarekomponenter Lucka i leverantörsråd
R12 Bindning av operatörsroll överlever en kundöverföring och den gamla programmeringsstationen fortsätter skriva till styrenheten Programmeringsuppgifter Avvecklingslucka
R13 Programmeringsmiljöns parser kraschar eller utför osäkert innehåll från en missformad projektfil Verktygsintegritet Projektimport
R14 En integratör kombinerar armen med en tredjeparts säkerhets-PLC vars försäkran saknas eller är inaktuell Leverantörsförsäkran Cellöverlämning

Titta sedan på integratörsöverlämningen separat. Vem räknas som tillverkare för den resulterande cellen, och vilka register måste följa med den.

Robottillverkare, cellintegratör och slutanvändare enligt CRAVarje roll har sin egen bevisningsavgränsning; cellintegratören kan bli tillverkare för en ny kombinerad produkt.
RobottillverkareKomponenttillverkare

Äger armen, styrenheten, säkerhetsstyrenheten, operatörspanelen, programmeringsmiljön, signerade uppdateringar och flottmolnet. Bevisning: dossier för levererad produkt plus sårbarhetshanteringsprocess.

CellintegratörMaskintillverkare

Kombinerar armen med säkerhet, bildgivare, fixturer och celllogik. Där cellen levereras under integratörens namn blir integratören cellens tillverkare. Bevisning: avgränsningsmemo på cellnivå och komponenttillsyn.

SlutanvändareOperatör och mottagare

Kör cellen, tillämpar uppdateringar i underhållsfönster, rapporterar problem tillbaka. Inte tillverkare. Bevisning: logg över tillämpade råd och avvecklingsregister.

Importör, distributör eller annan återförsäljareMöjlig ny tillverkare

En importör eller distributör som säljer roboten under sitt eget varumärke, eller väsentligt modifierar den, tar på sig tillverkarens skyldigheter för det erbjudandet. Andra återförsäljare överskrider den linjen bara när deras ändring är väsentlig, till exempel att byta uppdateringskanal, firmwareidentitet, flottmoln eller avsedd användning. Registrera utlösaren och vilken del av produktdossiret som följer med den modifierade utgåvan.

Överlämningsgrind: tillverkare och integratör bör skriftligen komma överens om vilken supportskyldighet som levereras av vem, och vilken artefakt som följer med cellen.
När en integratör bygger den färdiga cellen ska filen visa vem som blir tillverkare och vilken bevisning som följer med cellen.

Hur bör de inledande riskerna rangordnas?

Använd en stege för utgåvegrindar så att varje risk inte får samma beslut:

Grindbeslut Innebörd i exempelregistret
Blockera utgåva Produkten bör inte levereras förrän kontrollen är genomförd och testad.
Blockera om inte dokumenterad Utgåva får ske endast om en kompenserande kontroll, begränsning eller variantspecifik motivering skrivs och godkänns.
Leverera med övervakning Kvarstående risk kan finnas, men dossiret måste namnge övervakningssignalen och ägaren.
Överför till vägledning Tillverkaren behåller instruktioner till integratör eller operatör eftersom villkoret beror på kundens cell.
Acceptera Den kvarstående risken är låg nog för detta exempel, med motiveringen kvar i dossiret.
ID Sannolikhet Påverkan Grindbeslut Varför
R1 Hög Hög Blockera utgåva Programmeringsskrivningar är centrala för robotstyrning
R2 Låg Allvarlig Blockera utgåva Uppdateringsförbikoppling undergräver varje framtida firmwarekorrigering
R3 Hög Hög Blockera utgåva En delad panel är den vanligaste operatörsytan
R4 Medel Hög Blockera utgåva OPC UA-felkonfiguration rapporteras ofta i verkliga celler
R5 Låg Allvarlig Blockera utgåva Säkerhetskonfiguration är den strängaste skrivbehörigheten på styrenheten
R6 Medel Hög Blockera om inte dokumenterad Servicetunnlar är användbara men behöver uttrycklig tidsbegränsning och avstängning
R7 Medel Hög Blockera utgåva Tyst förskjutning av verktygsmittpunkten kan ge kassation eller värre
R8 Medel Medel Blockera om inte dokumenterad Realtidsbussbelastning bör testas; vissa fel visar sig bara i produktion
R9 Medel Medel Blockera om inte dokumenterad USB-överföring är normal; granskningsregistret är det som ändras
R10 Medel Medel Leverera med övervakning Supportpaket behövs; redaktion och samtycke är kontrollerna
R11 Medel Hög Leverera med övervakning Leverantörssårbarheter förväntas under ett långt supportfönster
R12 Medel Hög Blockera utgåva Överförings- eller återförsäljningsvägar är förutsebara för industriutrustning
R13 Låg Hög Blockera om inte dokumenterad Projektfilsparsrar bearbetar opålitligt innehåll
R14 Medel Medel Överför till vägledning Integratören äger försäkran på cellnivå; tillverkaren levererar komponentbevisning

Vilka designkontroller ändrar riskbilden?

Kontrollistan bör vara spårbar tillbaka till R-ID:n, men den bör inte läsas som en generell checklista för säker utveckling. För varje kontroll bör tillverkaren kunna visa testet, designanteckningen eller driftregistret som bevisar att kontrollen finns för just denna utgåva.

Hot Designkontroll Bevisning som tillverkaren bör behålla
R1, R3 Autentiserade programmeringssessioner, panelkonton per operatör, ingen delad standarduppgift, tidsbegränsad automatisk utloggning Autentiseringstest, åtkomstmatris för panel, negativa test för icke-autentiserade skrivningar
R2, R9 Säker uppstart, signerad firmware, monoton versionsräknare, nedgraderingsavslag, USB-granskning Bevisning för uppstartkedja, logg för uppdateringsverifiering, granskningsstickprov för USB-import
R4 OPC UA-säkerhetsprofil som standard, autentiserade slutpunkter, certifikatförtroendelista, tjänsteinventering efter idrifttagning Tjänsteskanning efter idrifttagning, OPC UA-konfigurationstest
R5 Signerad säkerhetskonfiguration, gemensam granskning med säkerhetsingenjör vid varje cyberrelevant ändring, bekräftelse utanför bandet för säkerhets-firmwareuppdateringar Godkännande av säkerhetskonfiguration, nedgraderingsavslagstest för säkerhets-firmware
R6 Tidsbegränsade servicetunnlar, uttrycklig aktivering på panelen, synlig tunnelstatus, byte av inloggningsuppgifter Tunnelavstängningstest, granskningslogg för fjärrassistans
R7 Integritetskontroll av kalibreringsdata, periodisk jämförelse med integratörens baslinje, larm vid otillåten ändring Kalibreringsintegritetstest, drifvarningsstickprov
R8 Fuzztestning av fältbuss, watchdog-återställning, loggning av missformade ramar Rapport för fältbussfuzzning, watchdog-återställningstest
R10 Minimering av diagnostikpaket, redaktion, operatörssamtycke före uppladdning, lagringsgräns Diagnostikschema, redaktionstest, supportarbetsflödesregister
R11 Komponentförteckning med namngivna ägare för RT-operativsystem, fältbusstack, bildgivarmodul och rörelse-CPU; rådövervakning och triage Komponentregister, rådregister, triagebeslut
R12 Avvecklingsradering, avbindning från flottmoln, byte av inloggningsuppgifter vid överföring, checklista för renoverad styrenhet Avvecklingschecklista, granskning av molnavbindning, raderingsverifiering
R13 Härdning av projektfilsparser, testkorpus med missformade projekt, sandlådning av programmeringsmiljön Parsfuzzingsrapport, regressionstester för import
R14 Integratörsriktad manual med karta över leverantörsbevisning, gemensamt tillsynsregister vid överlämning, rådroutning tillbaka till integratören Överlämningsmemo, integratörens rådregister

Vilken kvarstående risk återstår efter kontroller?

Efter kontroller bör tillverkaren köra om bedömningen i stället för att markera hot som klara. I detta exempel förblir leverantörssårbarhetsvägen, integratörsöverlämningen och den långa produktlivslängden aktivt hanterade under supportperioden. Den kvarstående risken är acceptabel endast om tillverkaren kan visa att processer för övervakning, triage, leverans av signerade uppdateringar, integratörsmeddelande och korrigerande åtgärd faktiskt fungerar.

Kvarstående område Varför den finns kvar Driftsbevisning
Lång produktlivslängd En robot kan köras i femton år eller längre; leverantörskomponenter kommer att få sårbarheter under hela tiden Övervakning av komponentråd, uttalande om supportfönster, redovisning av supportens slut
Kundens celllogik Tillverkaren äger inte integratörsskrivna rörelseprogram eller cellens säkerhetskonfiguration Avgränsningsmemo, vägledning för säker programmering, integratörsriktad manual
Patchtiming Fabriker behöver underhållsfönster och validering; vissa korrigeringar kan inte tillämpas omedelbart Säkerhetsråd med maskinpåverkansnotering, vägledning för dämpning, rollback-väg
Fysisk serviceåtkomst Skåp, paneler och programmeringsstationer förblir fysiskt åtkomliga under underhåll Begränsningar i serviceläge, granskningsstickprov, bevisning för debug-lås

Hur bör råd från flottmolnet routas?

Riskbedömningen ovan körs på ett robotskåp. Rådroutningen körs över hundratals. När tillverkarens flottmoln betjänar flera integratörer och flera operatörsplatser är frågan inte "är molnet säkert" utan "när en 24-timmars sårbarhetsvarning utlöses, vem i kedjan hör det och vem godkänner uppdateringsfönstret för varje plats".

Flotttopologi Vem sitter mellan tillverkaren och slutanvändaren Vad ändras för tillverkarens utgåvedossier
Operatör med en plats, direkt från tillverkaren Tillverkare → operatör Tillverkarens råd går direkt till operatörens underhållsteam; användarmeddelandeskyldigheten uppfylls via en kanal
Operatör med flera platser, central fabrikstekniker Tillverkare → operatörens HK → platsens tekniker Tillverkarens råd går till operatörens HK-kontakt; operatören bestämmer vilka platser som accepterar uppdateringen och i vilket underhållsfönster. Utgåvedossiret bör registrera HK-kontakten så att rådet inte fastnar i en enskild platsbrevlåda
OEM-hanterad flotta över många operatörer Tillverkare → robotens OEM-drift → slutoperatörer Tillverkaren skickar rådet till OEM:ens flottdriftsteam. OEM:en sänder sedan vidare till sin operatörsbas med platsspecifika maskinpåverkansnoteringar. Tillverkaren behöver fortfarande en väg till påverkade användare; OEM:en är en nedströmskanal, inte en ersättning
Integratörshanterad flotta (systemintegratör driver flottmolnet för en SMF-kundbas) Tillverkare → integratör → SMF-slutanvändare Tillverkarens råd går till varje integratör som driver en flotta ovanpå denna styrenhet. Integratörer som levererar under eget varumärke tar på sig tillverkarskyldigheter för den integrerade cellen; tillverkarens råd matas in i integratörens egen sårbarhetshanteringsprocess
Flotta av flottor (tillverkarens moln federerar med OEM- och integratörsmoln) Tillverkarens flotta ↔ OEM-flotta ↔ integratörsflotta ↔ slutoperatör Definiera skriftligen vilken rådkedja som är avtalsenlig och vilken som är CRA-mandaterad. CRA-vägen täcker föreskriven rapportering och användarmeddelande; den avtalsenliga vägen lägger till maskinpåverkansnoteringar, förhandling av underhållsfönster och rollback-samordning. Utgåvedossiret bör namnge båda

Utgåveregister. En routingskarta för flottmolnet som för varje integratör och operatör på anslutningslistan namnger kontakten för 24-timmars sårbarhetsvarningar, ägaren av underhållsfönstret, rollback-behörigheten och kvarstående råd som fortfarande är öppna. Utan denna karta löper deadlinen mot en saknad mottagare.

Vilka valideringsgrindar körs före utgåva?

Undvik en generell "säkerhetsgranskad" grind. Använd en inventering av utgåvegrindar med felläge, designkontroll och bevisartefakt för varje beslut som kan stoppa robotleveransen.

Robotens utgåvegrindar och avslutningsregister Sex beslut som en tillverkare bör kunna stänga före godkännande, var och en med en namngiven bevisartefakt.
  1. G1Förstaanvändningspåstående och överlämningBlockera utgåva
    • Fel

      Delade fabriksuppgifter roteras inte vid integratörens idrifttagning.

    • Kontroll

      Nyckel per enhet, tvingad rotation, bindning till panelkonto.

    • Bevis

      Idrifttagningsregister och åtkomstmatris för panel.

  2. G2Exponerade tjänster efter idrifttagningBlockera utgåva
    • Fel

      Anonym OPC UA, FTP, VNC eller webbadmin nås på fabriks-LAN.

    • Kontroll

      Tjänsteminimering och autentiserad OPC UA som standard.

    • Bevis

      Tjänsteskanning efter idrifttagning.

  3. G3Rörelse- och säkerhetsbehörighetBlockera utgåva
    • Fel

      En panel, programmeringsstation eller servicetunnel ändrar säkerhetskonfiguration utan granskning.

    • Kontroll

      Autentiserade sessioner, signerad säkerhetskonfiguration, bekräftelse utanför bandet.

    • Bevis

      Behörighetsvägsmatris och godkännande av säkerhetskonfiguration.

  4. G4Uppdaterings- och återställningsvägBlockera utgåva
    • Fel

      Återställningsplatsen accepterar ett osignerat eller äldre paket och uppdateringar blir en kanal för skadlig kod.

    • Kontroll

      Säker uppstart, signerade uppdateringar, monoton räknare, nedgraderingsavslag.

    • Bevis

      Resultat av misslyckad nedgradering.

  5. G5LeverantörsstackLeverera med övervakning
    • Fel

      En sårbarhet i RT-OS, EtherCAT-stacken eller bildgivarmodulen landar under supportfönstret.

    • Kontroll

      Komponentförteckning med namngiven ägare, rådövervakning, beredskap för backport.

    • Bevis

      Triagebeslut för påverkad komponent.

  6. G6Avveckling och återförsäljningBlockera om inte dokumenterad
    • Fel

      En överförd styrenhet behåller en gammal rollbindning, ett molnkonto eller ett lagrat program.

    • Kontroll

      Radering, avbindning från flottmoln, byte av inloggningsuppgifter, checklista för renoverad styrenhet.

    • Bevis

      Verifiering av radering och molnavbindning.

Blockera utgåvaBlockera om inte dokumenteradLeverera med övervakning
Robotspecifika utgåvegrindar visar vad som kan stoppa leveransen och vilket register som stänger varje grind.

Vem äger robotutvecklingen från koncept till support?

Ledägarskapet skiftar när roboten rör sig från produktdefinition till levande support. Använd denna räls för att tilldela en ledare, ett underhållet register och en granskningsgrind vid varje steg medan produkten ändras.

Illustrerad ägarskapsräls för en utgåva av en industrirobot. Diagrammet visar sex steg från koncept genom support längs en kontinuerlig utvecklingsräls, med ledägare, underhållet register och granskningsgrind för varje steg. Frysmarkörer sitter mellan stegen: frys avgränsning, frys design, frys kandidat, frys beslut, fortsätt drift. En streckad återkopplingsloop går tillbaka från support till koncept och signalerar att sårbarhetsrapporter, leverantörsråd och incidentutfall öppnar nästa avgränsningsmemo, hotlista och komponentregister.
Ägarskapsregel: detta är en ledkedja, inte en fullständig ansvarsmatris. Varje ledare äger det underhållna registret medan roboten ändras; supportfynd loopar tillbaka till nästa avgränsningsmemo för varianten och hotlista.
Ägarkedjan pekar ut registerägare, stängningsgrind och granskningssignal vid varje byggsteg.

Frys avgränsningen före arkitekturarbetet, frys designintentionen före implementering, frys kandidaten före verifiering, frys beslutet före utgåva, och håll utgåvan i drift genom supportperioden. Inkommande rapporter, leverantörsråd, incidentutfall och regressionsresultat öppnar nästa avgränsningsmemo, hotlista och komponentregister.

Vilka bevisningsregister hör hemma i dossiret?

Dossiret bör låta en granskare följa robotbeslutet från produktidentitet till säkerhetskontroller. Varje rad nedan bör peka till ett underhållet register, inte till en mapp med osammanhängande skärmbilder.

Bevisningsområde Vad som ska fångas för en industrirobot eller kobot
Produktidentitet Armmodell, last, räckvidd, styrskåp, operatörspanel, firmwaregrenar, programmeringsmiljöns version, fältbussalternativ, hårdvarurevisioner
Avsett syfte Komponentförsäljning till integratörer, komplett kobotcell, variant för renrum, variant för palletering eller annan industriell användning
Designdossier för cyberresiliens Rörelsebehörighetsvägar, säkerhetskonfigurationens behörighet, flottmolnets exponering, fabriks-LAN-exponering, hotlista och behandlingsplan
Komponentförteckning Rörelse-CPU, RT-operativsystem, EtherCAT-slavstack, säkerhetsmikrokontroller, givarprotokoll, gate-driver, bildgivarmodul, programmeringsmiljöns bibliotek
Säkra standardinställningar Ingen delad standarduppgift, signerade uppdateringar, nedgraderingsavslag, OPC UA-säkerhetsprofil som standard, tjänsteinventering efter idrifttagning
Uppdateringsmekanism Signerad firmware, återställningsplats, maskinpåverkansnotering, vägledning för kundens underhållsfönster, rollback-beslut
Sårbarhetshantering Redovisningspolicy, enskild kontaktpunkt, triagearbetsflöde, övervakning av komponentråd och routning av integratörsmeddelanden
Användarinstruktioner Säker idrifttagning, uppsättning av rollagring, uppdateringsinställningar, avveckling och redovisning av supportens slut
Spårbarhet och kontakt Typ-, parti- eller serieinformation, tillverkarkontaktuppgifter, supportperiodens slutdatum och en enskild kontakt för sårbarhetsrapportering som inte enbart är en automatiserad bot

Vad ingår i en SBOM för robotar?

CRA kräver en maskinläsbar SBOM som identifierar produktens komponenter och täcker minst beroenden på toppnivå, men namnger inte ett fast format än. Tills kommissionen specificerar mer detalj väljer robottillverkare normalt CycloneDX eller SPDX. Detaljerna om SBOM-mekanik över produkter finns i den dedikerade SBOM-guiden; detta avsnitt täcker robotspecifika trädet.

En robotutgåva levererar vanligtvis flera digitala element med separata uppdateringscykler, inte en binärfil. Två implementeringsmönster uppfyller CRA:s minimum: en SBOM på produktnivå med elementseparerade sektioner (varje rörelse-CPU, säkerhetsstyrenhet, RT-OS och paneliometernyverversion fastlåst), eller en SBOM per levererat digitalt element som uppdateras vid varje utgåva. Båda mönstren är godtagbara så länge SBOM:en är maskinläsbar och beroenden på toppnivå täcks.

Ett vänster-till-höger rotat träddiagram över programvarulistan för en robotutgåva. Rotnoden till vänster är robotutgåvan som helhet. Åtta böjda grenar sträcker sig åt höger till de åtta digitala elementen på toppnivå som ingår i en robot: rörelse-CPU-firmware, säkerhetsstyrenhetens firmware, realtidsoperativsystem, fältbusstack, bildgivarmodulens SDK och körtid, programmeringsmiljöns bibliotek, panelens firmware och anslutning till flottmoln. För varje gren listas typiska komponenter som löv, och en högerställd märkning anger identifierarschemat (PURL, CPE, leverantörs-ID, signatur eller bygghash) som används för att versionsfastlåsa elementet. En fotnot upprepar CRA:s minimum: beroenden på toppnivå i ett vanligt använt, maskinläsbart format som CycloneDX eller SPDX.
Robotens komponentinventering ska täcka varje digitalt element på toppnivå, dess typiska innehåll och bevisningen för versionslåsning.

SBOM-register: en maskinläsbar SBOM i CycloneDX eller SPDX som täcker minst beroenden på toppnivå. Rekommenderade mönster för robottillverkare: en SBOM på produktnivå med elementseparerade sektioner, eller en SBOM per levererat digitalt element som uppdateras vid varje utgåva. Djupare transitiva beroenden rekommenderas där byggsystemet kan producera dem. Para SBOM:en med övervakningsregistret för komponentråd (bevisningskartans rad "Komponentförteckning") så att en granskare kan se vilket bibliotek en känd sårbarhet landar i och vilken utgåva som stänger den.

Vad kontrollerar utgåvegodkännandet?

Innan roboten släpps på EU-marknaden bör godkännandet stänga samma fyra registermappar som SVG:n nedan namnger Q1 till Q4. Den fullständiga dossierinventeringen finns i bevisningskartan ovan; denna tabell är bara de fyra utgåvespärrade frågorna.

Mapp Utgåvefråga Robotspecifik bevisningspekare
Q1 Klassificeringsmotiveringsmemo Varför är denna produkt klassificerad som den är? Avsedd användning, säljkontext, levererade digitala element, väg för integratör kontra komplett cell och vald procedur enligt standardvägen
Q2 Inventering av levererade element Vad är produkten exakt? Arm, styrenhet, operatörspanel, säkerhetsstyrenhet, programmeringsmiljö, OTA-tjänst, anslutning till flottmoln och uteslutna kundcellsystem
Q3 Testpaket för säkra standardinställningar Vad är säkrat som standard och hur uppdateras det säkert? Ingen delad standarduppgift, signerade uppdateringar, nedgraderingsavslag, OPC UA-säkerhetsprofil, tjänsteinventering efter idrifttagning, låsta debug-portar, återställningsplats, maskinpåverkansnotering och förslag på underhållsfönster
Q4 Sårbarhetshanteringsprocess Hur kommer sårbarheter och allvarliga incidenter att hanteras efter leverans? Offentlig kontakt, redovisningspolicy, triagearbetsflöde, övervakning av komponentråd, integratörens rådroutning, beredskap för 24-timmars och 72-timmars meddelanden, plus bevisning för slutrapport
Illustrerad utgåvegodkännandescen. Fyra registermappar ligger på granskningsskrivbordet, märkta Q1 till Q4. Q1 är klassificeringsmotiveringsmemot, Q2 är inventeringen av levererade element, Q3 är testpaketet för säkra standardinställningar och Q4 är sårbarhetshanteringsprocessen. Pilar från varje mapp konvergerar mot ett utgåvegodkännandesigill på skrivbordets högra sida, markerat med en bock. En anteckning under skrivbordet listar förgodkända kontroller: mappar fastlåsta till firmwaregren och leverantörsbaslinje, en namngiven ägare med beredskap för 24h och 72h, och ett testpaket för säkra standardinställningar som täcker inloggningsuppgifter per enhet och OPC UA-säkerhetsprofilen. En fotbanner upprepar godkännandegrinden: om ett register saknas på skrivbordet levereras inte utgåvan.
Godkännandegrind: om ett register saknas är utgåvan inte godkänd.
Vid godkännande ska tillverkaren kunna peka på fyra register: klassificeringsgrund, inventering av levererade element, secure-defaulttester och sårbarhetshantering.

Utgåvegodkännandemappar Q1 till Q4

  1. Q1 Klassificeringsmotiveringsmemo. Varför är denna produkt klassificerad som den är? Avsedd användning, säljkontext, levererade digitala element och vald procedur enligt standardvägen.
  2. Q2 Inventering av levererade element. Vad är produkten exakt? Arm, styrenhet, operatörspanel, säkerhetsstyrenhet, programmeringsmiljö, OTA-tjänst, anslutning till flottmoln och uteslutna kundcellsystem.
  3. Q3 Testpaket för säkra standardinställningar. Vad är säkrat som standard och hur uppdateras det? Ingen delad standarduppgift, signerade uppdateringar, nedgraderingsavslag, OPC UA-säkerhetsprofil, tjänsteinventering efter idrifttagning och vägledning för underhållsfönster.
  4. Q4 Sårbarhetshanteringsprocess. Hur hanteras sårbarheter och allvarliga incidenter? Offentlig kontakt, redovisningspolicy, triagearbetsflöde, övervakning av komponentråd och rapporteringsberedskap för varningar, meddelanden och slutrapporter.

Förgodkända kontroller (på skrivbordet före godkännande):

  • Varje mapp är fastlåst till den exakta firmwaregrenen och leverantörskomponentbaslinjen för utgåvan.
  • En namngiven ägare finns på plats med beredskap för 24-timmars och 72-timmars meddelanden.
  • Testpaketet för säkra standardinställningar täcker inloggningsuppgifter per enhet och OPC UA-säkerhetsprofilen.

Godkännandegrind: om ett register saknas är utgåvan inte godkänd.

Försäkran-register: använd huvudguiden för EU-försäkran om överensstämmelse för mallen och obligatoriska fält. För en robotutgåva bör produktidentiteten fastlåsa armen, styrskåpet, operatörspanelen, firmwaregrenen, levererade tillval och referensen till supportperioden. Om samma försäkran också täcker maskinlagstiftning, namnge den vägen i försäkran och håll robotens tekniska dossier och maskinsäkerhetsdossiret samstämmiga.

Hur lämnas roboten över till importör, distributör, integratör och operatör?

Utgåvedossiret bör göra överlämningen från robottillverkare till importör, distributör, integratör-som-tillverkare och slutanvändare testbar. För robotar och kobotar är den svaga punkten vanligtvis inte CE-märket ensamt; det är om leveransen, manualen, flottmolnet, OTA-tjänsten och integratörsöverlämningen fortfarande matchar den bedömda utgåvan.

Illustrerad överlämning mellan ekonomiska aktörer för en utgåva av en industrirobot. Tillverkarens utgåvepaket färdas längs en horisontell flödesräls genom importörens förmarknadsacceptans, distributörens synliga tillsyn, integratör som maskintillverkare för cellen, och operatören på fabriksgolvet. En rad för stoppvillkor under namnger de fall som pausar leverans eller listning. Två sidokontroller sitter längst ned: Sidokontroll A förklarar att mandatet för auktoriserad representant är valfritt och att tillverkare utan etablering i unionen väljer rapporteringsslutpunkten via kaskaden AR, importör, distributör och högsta användarbas; Sidokontroll B förklarar att importörer eller distributörer under eget varumärke och väsentliga modifierare kan bli tillverkare för den påverkade utgåvan. En fotnot listar angränsande regelverk (maskinförordningen 2023/1230, ISO 10218-1:2025, NIS2, AI-förordningen) som separata bedömningar.
Överlämningsgrind: flytta inte roboten från leverans till listning när paketet, spårbarheten, supportuttalandet, flottmolnet, uppdateringskanalen, rollidentiteten eller en känd sårbarhet är i konflikt med den bedömda utgåvan.
Överlämningskartan visar vem som äger varje kontroll före försäljning och vad som stoppar roboten i varje roll.

Överlämning mellan ekonomiska aktörer: roller, sidokontroller, angränsande regelverk

  1. 01 Tillverkare. Äger utgåvepaketet: försäkran, CE, dossierindex, supportfönster och sårbarhetskontakt.
  2. 02 Importör (förmarknadsacceptans). Verifierar paket, CE, dossierindex, supportdatum och sårbarhetskontakt. Pausa leverans om paket, spårbarhet, panelens inloggningsmodell, flottmolnskonto eller uppdateringskanal är tveksam.
  3. 03 Distributör (synlig tillsyn). Listnings-CE, medlevererade dokument, operatörsspårbarhet, support- och uppdateringsuttalanden. Pausa listning om den överstatar support, döljer operatörer, motsäger försäkran eller fortsätter sälja efter ett känt problem.
  4. 04 Integratör (maskintillverkare). Kombinerar armen med säkerhet, bildgivare och celllogik. Där cellen levereras under integratörens namn blir integratören cellens tillverkare. Avgränsningsmemo på cellnivå och komponenttillsyn krävs före utgåva.
  5. 05 Operatör (slutanvändare på golvet). Tar emot råd, tillämpar uppdateringar i underhållsfönster, rapporterar problem tillbaka. Inte tillverkare.

Sidokontroll A · Valfritt AR-mandat och rapportering utanför EU. Mandatet för auktoriserad representant är valfritt, inte en skyldighet utanför EU. Tillverkare utanför EU utan representant använder kaskaden för rapporteringsslutpunkter för att välja den CSIRT som utsetts till samordnare.

Sidokontroll B · Utlösare för ny tillverkare. En importör eller distributör som släpper roboten under sitt eget namn eller varumärke, eller som väsentligt modifierar den, blir tillverkare för det erbjudandet. Andra parter överskrider den linjen bara när deras ändring är väsentlig, och då endast för den påverkade delen om inte hela produktens cybersäkerhet ändras.

Angränsande regelverk (var och en är en separat bedömning): maskinförordningen 2023/1230 från den 20 januari 2027, ISO 10218-1:2025 säkerhetsfall, NIS2 för operatörer av kritisk infrastruktur, AI-förordningen för AI-drivna tillämpningar.

Raderna nedan är den korta versionen: vad som ska verifieras, när det ska pausas, när roboten behöver en ny rollanalys. Detaljerna om utlösare för roller över produkter (tillverkare, importör, distributör, auktoriserad representant, förvaltare av öppen källkod) finns i Vem måste följa CRA.

Importörens acceptans

Verifiera försäkran, CE-kontroll, dossierindex, uttalande om supportperiod, sårbarhetskontakt, importörsidentitet och manual på destinationens språk. Pausa om paket, spårbarhet, panelens inloggningsmodell, flottmolnskonto eller uppdateringskanal är tveksam.

Distributörens tillsyn

Kontrollera synlig CE, medlevererade dokument, operatörsspårbarhet, support- och uppdateringsuttalanden på listningen. Pausa om erbjudandet döljer operatörer, överstatar support, motsäger försäkran eller fortsätter sälja efter ett känt problem.

Integratör som maskintillverkare

En integratör som kombinerar armen med säkerhet, bildgivare och celllogik blir maskintillverkare när cellen levereras under integratörens namn. Integratören utövar då komponenttillsyn. Robottillverkaren förblir komponenttillverkare för armen, styrenheten och den levererade programvaran.

Importör eller distributör under eget varumärke

En importör eller distributör som släpper roboten på unionsmarknaden under sitt eget namn eller varumärke blir tillverkare för det erbjudandet. Detsamma gäller när en importör eller distributör utför en väsentlig modifiering av en robot som redan släppts på marknaden: märkesfirmware, en ny panelidentitet, ett nytt flottmoln, en ny uppdateringskanal, en ny säkerhetskonfiguration eller ett nytt avsett syfte. Tillverkarens produktdossier ärvs inte som ett informellt löfte.

Annan återförsäljare efter väsentlig modifiering

En part som inte är tillverkare, importör eller distributör blir tillverkare endast när den väsentligt modifierar roboten innan den tillhandahålls. Rollen gäller den påverkade delen, eller hela produkten om ändringen påverkar cybersäkerheten som helhet. Behandla en ny uppdateringsväg, ändrad avsedd användning eller ersatt säkerhetsgräns som en ny rollkontroll.

Auktoriserad representant och rapportering utanför EU

En tillverkare får utse en auktoriserad representant genom skriftligt mandat; det är ett val, inte en skyldighet utanför EU. Val av rapporteringsslutpunkt utlöses av ett annat förhållande: ingen huvudsaklig etablering i unionen. En tillverkare i den situationen använder kaskaden i CRA: auktoriserad representant, importör, distributör och därefter den största användarbasen. En tillverkare utanför EU som inte utsett en representant börjar vid importörssteget.

Kontroll av angränsande regelverk

Maskinförordningen 2023/1230 (från den 20 januari 2027) och ISO 10218-1:2025 täcker säkerhetsfallet. NIS2 gäller om operatören är en enhet för kritisk infrastruktur. AI-förordningen gäller bildgivar- eller AI-tillämpningar. Varje regelverk är en separat bedömning.

Vanliga frågor

Är industrirobotar och kobotar viktiga eller kritiska enligt CRA?

Industrirobotar och kobotar finns inte med på CRA:s lista över viktiga produkter eller listan över kritiska produkter. Planeringsantagandet är standardvägen. Vägen flyttar bara till viktig om en listad funktion dominerar erbjudandet, till exempel en robot som främst säljs som en brandväggsgateway, ett nätverkshanteringssystem eller en härdad styrenhet byggd kring en manipuleringsskyddad mikrokontroller. Det finns ingen robotkategori som automatiskt tvingar fram den kritiska vägen.

Klassificeringsregister: ett enradsmemo för den exakta arm- och styrenhetsvarianten som namnger den avsedda användningen, levererade digitala element och motiveringen för vägval.

Behöver en 6-axlad robotarm ett anmält organ?

Inte för en standardprodukt. Robotar och kobotar finns inte på listan över viktiga produkter idag, så vägen för bedömning av överensstämmelse löper genom standardproceduren och tillverkaren väljer mellan intern kontroll, EU-typkontroll plus modul C, fullständig kvalitetssäkring eller en tillämplig europeisk cybersäkerhetscertifieringsordning. Ett anmält organ är endast involverat i de moduler som tillverkaren faktiskt väljer: intern kontroll är helt internt arbete, medan de andra modulerna involverar ett anmält organ. Förkravet "standarder tillämpas fullständigt" tillhör reservvägen för klass I och skulle bara gälla om en framtida uppdatering lade till en robot- eller kobotunderprodukt på listan.

Vägvalsregister: ett kort memo som namnger den valda proceduren, de standarder som man stödjer sig på, eventuella luckor och motiveringen; om listan över viktiga produkter någonsin ändras för att inkludera en robotunderprodukt registrerar memot huruvida den villkorade reservvägen för klass I gäller för det område som saknas.

Täcker maskinförordningen redan cybersidan?

Maskinförordningen 2023/1230 tillämpas från den 20 januari 2027 och bär säkerhetsrelaterade cybersäkerhetskrav för maskiner, inklusive skydd mot manipulering och tillförlitlighet i säkerhetsstyrning. CRA är cyberresilienslagret ovanpå: den täcker den bredare säkerhetsställningen, sårbarhetshanteringsprocessen och skyldigheten under supportperioden. Hantera säkerhetsdossiret och cyberdossiret som två trådar av samma produktmapp, inte två separata efterlevnadsprojekt.

Återkontrollutlösare: varje ändring av säkerhetsrelevant firmware, modellen för säkerhetskonfiguration eller uppdateringskanalen öppnar båda trådarna.

Vem är tillverkare enligt CRA när en integratör bygger cellen?

Robottillverkaren förblir tillverkare för armen, styrenheten, säkerhetsstyrenheten och den levererade programvaran. Integratören blir maskintillverkare enligt maskinförordningen för den resulterande cellen. När cellen släpps på marknaden som en produkt under integratörens namn kan integratören också bli tillverkare för cyberresiliensändamål för den kombinerade produkten och måste utöva tillsyn över varje integrerad komponent. Båda rollerna kan samexistera i samma leverans.

Avgränsningsregister: ett skriftligt överlämningsmemo som namnger vilken artefakt som följer med cellen och vilken som stannar hos robottillverkaren.

Faller en kobot för SMF-verkstäder i samma kategori som en inhägnad robot?

Kategorin är densamma: en industrirobot under cyberresilienslagret, inte en smart hem-produkt. Riskprofilen skiljer sig eftersom en kraftbegränsad kobot som samverkar med människor förlitar sig mer på säkerhetsklassad kraft-, hastighets- och separationsövervakning, vilket gör överlappningen mellan säkerhet och cyber tätare. Utgåvedossiret bör återspegla den överlappningen, inte byta kategori.

Riskbedömningsregister: en kobot-specifik post som namnger det kollaborativa driftläget och de cyberhändelser som kan slå ut det.

Vad händer om roboten levereras med bildgivare, AI eller fjärrteleoperation?

Ett medföljande bildgivarsystem eller AI-modul är ett levererat digitalt element och stannar inom produktavgränsningen. Fjärrteleoperation, om den levereras av tillverkaren, ligger också innanför avgränsningen och behöver uttrycklig behörighet, tidsbegränsning och granskning. En AI-baserad tillämpning kan också falla under ett separat regelverk; slå inte ihop dessa bedömningar till en.

Avgränsningsregister: namnge varje medföljande element, dess ägare, dess uppdateringsväg och dess uteslutna motsvarigheter.

Ändrar molnflotthantering produktavgränsningen?

Molnflotthantering ändrar inte i sig vägen. Om tillverkaren levererar flottmolnet och styrenheten inte skulle utföra en funktion utan det, behandla det molnet som del av avgränsningen, bevisningen och riskbedömningen. Klassificeringen följer fortfarande styrenhetens kärnfunktion.

Avgränsningsregister: en molnberoendekarta som visar vilka flotttjänster som levereras med roboten, vilka funktioner som inte fungerar utan dem, vilka data de bearbetar och vilka system som ligger utanför tillverkarens erbjudande.

Vad bör en CRA-riskbedömning för en robot innehålla?

Börja med produktavgränsningen, inte den juridiska etiketten. För en komplett kobot, inkludera armen, styrskåpet, operatörspanelen, säkerhetsstyrenheten, programmeringsmiljön, anslutning till flottmoln, OTA-tjänst, sårbarhetskontakt och avvecklingsväg. Lista sedan tillgångarna, förtroendegränserna, hoten, sannolikheten, påverkan, det inledande beslutet, kontrollerna, bevisningen och den kvarstående risken.

Riskbedömningsregister: tillgångsinventering, karta över förtroendegränser, hotlista, inledande beslut, behandlingsplan, motivering för kvarstående risk och namngiven ägare för varje signal efter marknadsplacering.

Hur specifik bör hotmodellen vara för en robot?

Specifik nog för att en ingenjör ska kunna testa den. "Otillåten rörelse" är för vagt. En användbar post är närmare: "En panel som lämnas inloggad låter en operatör läsa in ett program som överskrider de arbetsytegränser som säkerhetskonfigurationen sätter." Det pekar på tillgången, ingångspunkten, angriparens möjlighet, kontrollen och testbevisningen.

Testartefakt: en hotbiljett per post, kopplad till panelens, flottmolnets, uppdateringens, fältbussens, kalibreringens, supportexportens eller avvecklingens test som bevisar att kontrollen fungerar.

Vilka robotrisker bör bedömas först?

Börja med de vägar som kan ändra rörelse eller säkerhetskonfigurationen: panelens behörighet, programmeringsstationens skrivrätt, signerade uppdateringar, återställningsplatsen, säkerhets-firmwarevägen, OPC UA-exponering och servicetunneln. Det är de vägar som med största sannolikhet ändrar designen före utgåva.

Utgåvekontroll: en checklista före utgåva som täcker rörelsebehörighet, säkerhetskonfigurationens behörighet, exponerade tjänster, övervakning av leverantörsråd, avveckling och integratörsöverlämning.

Vad är ett bra exempel på en robotriskpost?

Exempel: "R2: återställningsplatsen accepterar osignerade eller äldre firmwarepaket." Inledande sannolikhet kan vara låg, men påverkan är allvarlig eftersom en bruten återställningsväg kan kompromettera flottan i många år. Kontrollen är säker uppstart, signerade återställningsbilder, monotona versionskontroller, rollback-policy och nedgraderingsavslagstest. Bevisningen är designdokument för uppstartkedjan, verifieringsloggar för uppdateringar och ett misslyckat nedgraderingstest kopplat till utgåveregistret.

Testartefakt: designanteckning för uppstartkedja, verifieringslogg för signerad uppdatering, avvisat nedgraderingstest och resultat för återställningsplats för den exakta firmware-versionen.

När bör riskbedömningen uppdateras?

Uppdatera den när den släppta statusen ändras på ett sätt som påverkar förtroendet: en ny modell för panelkonton, ett nytt fältbussalternativ, en ändring i flottmolnet, en ändring i säkerhets-firmware, en ändring i programmeringsmiljön, en ny bildgivarmodul, en ändring i debug-portens beteende eller en ny avvecklingsväg. En utgåvenotering räcker inte om ändringen öppnar en behörighetsväg. Det tidigare datumet spelar roll här: rapporteringsskyldigheter gäller från den 11 september 2026 även om resten av CRA bara träder i full kraft den 11 december 2027. Bedömningen, redovisningspolicyn och den namngivna enskilda kontaktpunkten bör vara i drift innan rapporteringsdeadlinerna börjar löpa.

Återkontrollutlösare: varje ändring av behörighet, uppdatering, exponerade tjänster, leverantörskomponenter eller avveckling öppnar avgränsningen och riskbedömningen.

Vilket är det första bevisobjektet en robottillverkare bör skapa?

Börja med ett kort klassificerings- och avgränsningsmemo för den exakta varianten: armmodell, last, räckvidd, styrskåp, operatörspanel, fältbussalternativ, programmeringsmiljö, anslutning till flottmoln, avsedd användning och uteslutna kundsystem. Memot bör namnge motiveringen för vägvalet och supportfönstret.

Klassificeringsregister: ett enradsmemo som riskbedömningen, valet av vägväg, dossierindex, importörpaket och uttalandet om supportperioden alla kan hänvisa till.

Vad händer om en sårbarhet upptäcks efter utgåva?

CRA kräver att tillverkaren omedelbart vidtar korrigerande åtgärder när produkten eller de stödjande processerna inte är i överensstämmelse, och att dra tillbaka eller återkalla produkten där det är lämpligt. Operativt behöver dossiret beredskap för rapporteringssekvensen: en tidig varning inom 24 timmar för en aktivt utnyttjad sårbarhet, en sårbarhetsnotifiering inom 72 timmar, en slutrapport när den korrigerande eller dämpande åtgärden finns tillgänglig och användarmeddelande. För en robot är den korrigerande åtgärden vanligen en signerad firmwareuppdatering med en maskinpåverkansnotering och ett förslag på underhållsfönster; ett återkallande är reserverat för fall där styrenheten inte säkert kan uppdateras i fält.

Återkallelseregister: en notering om korrigerande åtgärd som namnger berörda serienummer, styrenhetens firmwaregrenar, integratörer och distributörer, dämpningssteg, den signerade uppdateringsartefakten, användarrådets text och CSIRT-meddelandereferens.

Nästa steg

Förvandla det utarbetade exemplet till fem utgåveåtgärder för den exakta robot- eller kobotvarianten.

  1. Bestäm vägen för denna utgåva. Bekräfta om erbjudandet är en komponentförsäljning till integratörer, en komplett kobotcell till SMF eller en arm inbyggd i en färdig maskin som säljs under ett annat namn. Använd produkthubben som en korskontroll, inte som ersättning för det robotspecifika memot.
  2. Skriv klassificerings- och avgränsningsmemot. Namnge säljpåståendet, avsedd användning, levererad arm och styrenhet, operatörspanel, programmeringsmiljö, flottmoln, uppdateringsväg, väg för sårbarhetshantering, supportperiod och uteslutna kundsystem.
  3. Publicera uttalandet om supportperiod. Håll det köparriktade supportperioddatumet samstämmigt med manualen, uppdateringsplanen, antaganden om komponentstöd, redovisning av supportens slut och utgåvedossiret. En maskinlivslängd på femton år förlänger inte i sig CRA-supportfönstret; dossiret bör vara ärligt om vad tillverkaren kan leverera.
  4. Inventera vad som levereras. Fastlås armens hårdvarurevision, styrenhetens firmwaregren, säkerhets-firmware-revisionen, panelens firmware, programmeringsmiljöns version, byggnumret för flottmolnsanslutningen, fältbussalternativen och de leverantörsindata som hör till den bedömda utgåvan.
  5. Håll utgåvedossiret levande efter lansering. Tilldela ägare för sårbarhetsmottagning, övervakning av leverantörsråd, leverans av säkerhetsuppdateringar, integratörsmeddelande, granskning av kvarstående risk och nästa ändring som kan öppna klassificerings- eller avgränsningsbeslutet.
← CRA-produktguider