工業機器人與協作型機器人是否為 CRA 重要產品?
摘要
本指南以一個虛構的協作型機器人 (cobot) 釋出版本為例,從分類、產品邊界、風險評估、軟體物料清單 (SBOM)、釋出簽核、漏洞通報到經濟營運者交接全程說明。同樣的結構適用於 6 軸機械手臂、協作型工作單元,或與選配視覺及艦隊雲服務一起銷售的機器人控制器。
- 標準路線是規劃預設值。 工業機器人與協作型機器人目前並未列入 CRA 重要 (Important) 或關鍵 (Critical) 產品清單。如果防火牆、網路管理或防竄改控制器功能在產品中占主導地位,應將其視為獨立的分類判斷。
- 從邊界備忘錄起步。 明確列出變體:手臂硬體、控制器機櫃、教導器、現場匯流排選項、程式設計執行環境、艦隊或雲端連接器、預定用途、隨附的數位元件、支援期間,以及路線選擇的理由。
- 資安與安全自 2027 年起匯合。 ISO 10218-1:2025 在影響機器人安全的範圍內加入資安要求,機械法規 (Machinery Regulation) 自 2027 年 1 月 20 日起適用。CRA 檔案與安全 (safety) 案例在這些點共用證據。
- 支援期間需要可信的結束日期。 除非預期使用時間更短,支援期間至少為五年。機器人在工廠中常運作更久,因此檔案應明訂製造商能夠交付的支援視窗,並在購買前揭露結束日期。
- 漏洞處理是營運模式。 釋出檔案應寫明:誰接收漏洞警示、誰核准維護視窗、誰可回滾更新,以及殘留通告如何維持可見。
- 交接即是證據。 製造商持有產品檔案;當工作單元以系統整合商名義出貨時,整合商持有完工工作單元檔案;營運者執行工作單元。每一次移交皆應留存書面紀錄,而非以非正式方式推給客戶。
如何分類工業機器人或協作型機器人釋出版本?
從銷售方案 (offer) 出發,而非從手臂硬體出發。同一支 6 軸手臂以零組件方式賣給系統整合商,與作為完整協作型工作單元賣給小型工坊,在 CRA 下是不同的產品。路線取決於:買方為什麼付費、隨附哪一款控制器與教導器,以及製造商是否同時提供艦隊雲、安全配置與 OTA 更新通道。
上方圖示承載路線選擇。下方矩陣承載邊界備忘錄:一旦變體確定,這些就是製造商針對該變體應能填入的證據列。
零組件銷售;工作單元由整合商建構。
手臂、控制器、教導器、程式設計執行環境、現場匯流排選項、簽章更新、漏洞處理流程,以及面向整合商的操作手冊。
工程站寫入授權、復原插槽、現場匯流排堆疊曝險、供應元件通告監看、汰役時憑證輪替。
力限協作手臂、開箱即用的安全配置、視覺選項、艦隊雲。
手臂、控制器、教導器、安全配置、視覺感測器、程式設計執行環境、艦隊雲連接器與 OTA 服務。
協作運轉模式(速度與距離監測或功率與力限制)、共享工作區操作員角色、艦隊雲授權、教導器帳號、簽章安全韌體路徑。
於包裝產線或製程機台內,以整合商的 CE 標章轉售。
機器人製造商保留手臂、控制器、教導器與所出貨軟體在自己的檔案中。完工機器掛在整合商 CE 標章下,自有另一份檔案。
供應元件通告(即時作業系統 (RT OS)、現場匯流排堆疊、視覺模組)、供應商符合性聲明對齊、整合階段服務曝險、與機器製造商的支援視窗對齊。
選路工具是寫邊界備忘錄之前的輔助,不是替代品。備忘錄仍需明確列出:手臂型號、負載與作業範圍、控制器機櫃、教導器、程式設計環境、安全配置範圍、艦隊雲、OTA 服務與預定用途。針對完整協作型工作單元,請列出買方仰賴的協作運轉模式:速度與距離監測、功率與力限制、引導示教或安全評等監視停止。
接著檢視是否有另一項列名功能才是產品的真正核心。CRA 是以產品的核心功能是否符合列名類別來判定「重要」;單純嵌入一個控制器並不足以把機器人推進重要類別。如果銷售方案的本質其實是防火牆閘道、VPN 設備、網路管理系統、SIEM 連接器,或以防竄改晶片為核心建構的強化型控制器,請先就該核心功能進行分類,並把手臂視為周邊裝置。
零組件銷售不要硬套到完整工作單元的類別。賣給系統整合商的機器人手臂,仍然是含數位元件的產品,仍需具備安全設計證據、更新通道、漏洞處理流程、支援期間聲明,以及面向整合商的書面說明。路線維持標準路線;責任則與整合商分擔。
分類備忘錄應回答四個問題:
- 本次釋出是以機器人手臂、完整協作型工作單元,或嵌入另一台機器內的機器人形式銷售?
- 機器人的運動是否為產品的核心功能,或另一項列名功能(防火牆、VPN、網路管理、安全相關微控制器)才是真正的主角?
- 為了預期功能提供了哪些數位元件:手臂韌體、安全配置、教導器、程式設計環境、OTA 服務、艦隊雲與漏洞處理流程?
- 哪些系統不在製造商的銷售方案之內:客戶的工作單元邏輯、客戶安全 PLC、廠區網路、第三方視覺軟體、客戶 MES 或 SCADA?
機器人產品邊界內應包含哪些項目?
對機器人製造商而言,合規邊界很少只有手臂本身。它應隨上市產品以及預期動作與安全功能所需的數位元件而設定。
通常屬於機器人製造商邊界內:手臂韌體、關節控制器韌體、控制器機櫃作業環境、安全控制器韌體、教導器、程式設計環境、OTA 服務與漏洞處理流程。
通常屬於邊界外,除非製造商把它們作為銷售方案的一部分一起賣:客戶工作單元邏輯、客戶撰寫的安全配置、廠區網路、第三方末端工具、第三方視覺軟體、客戶 MES 或 SCADA,以及客戶安全 PLC。
當這些元件由整合商或終端使用者提供時,無須留存。若機器人製造商把工作單元控制器、安全 PLC 或 MES 連接器作為銷售方案的一部分,則每一項可能各自是一項產品,自有獨立的邊界檔案。
資安韌性設計檔.元件清單.漏洞處理流程.揭露政策.安全更新機制
納入公開的單一聯絡窗口、預設安全測試證據、簽章更新驗證、降級拒絕結果,以及支援期間長度的理由。
零組件盡職調查紀錄.供應商符合性聲明.供應商資安通告
機器人製造商仍需為關節驅動晶片的選擇負責。若某顆控制器晶片、安全微控制器或安全元件本身即為含數位元件的產品,其供應商符合性聲明與通告可作為製造商盡職調查的支援,而非替代。
元件清單對新出現的漏洞進行監看;漏洞處理流程進行分流;免費安全更新隨修補釋出並附通告,封裝方式應讓廠房能在維護視窗內驗證安裝,不致破壞機台時序或安全案例。
遭積極利用的漏洞需具備:24 小時內早期警告、72 小時內漏洞通報,以及矯正或緩解措施可用後 14 天內提交最終報告的整備。重大資安事件依類似的 24 小時與 72 小時時程,並在一個月內提交最終事件報告。第 14 條的通報義務自 2026 年 9 月 11 日起適用,早於 2027 年 12 月 11 日的全面適用日(第 71 條第 2 項)。
得知漏洞或事件後,應通知受影響的整合商與終端使用者;必要時通知所有使用者。內容應包含使用者可採行的緩解或矯正措施,並清楚標示哪些步驟需在維護視窗中執行。
應採用哪一種適合性評估路線?
工業機器人與協作型機器人目前並未列入 CRA 重要 (Important) 或關鍵 (Critical) 產品清單,因此標準路線是規劃預設值。製造商可選擇內部控制、歐盟型式檢驗加生產一致性、完整品質保證,或適用的歐洲資通安全認證方案。此選擇沒有附加條件;對預設產品而言,不存在「調和標準先決條件」。
「標準完全適用」的條件屬於重要產品的退守機制,不適用於預設路線。倘若未來更新將機器人或協作型機器人子產品納入清單,且既有標準或方案未涵蓋相關基本要求,製造商需就缺漏領域改採第三方評估路線。今日清單並未納入機器人,因此此退守機制是備援計畫,而非規劃路線。
機械法規 2023/1230 自 2027 年 1 月 20 日起適用,其中包含與資安證據重疊的安全要求,特別是防止竄改與控制系統可靠性。將資安韌性檔案與機械安全檔案視為同一份產品檔的兩條主軸,而非兩個獨立的合規專案。機器上的 CE 標章同時指向這兩項法規。
機器人檔案中應放入哪些架構檢查點?
機器人釋出檔案應依實際機台而設,而非套用通用的 OT 檢核清單。賣給整合商的獨立手臂、賣給中小企業的力限協作工作單元、嵌入包裝產線的機器人,以及含視覺的潔淨室機器人,可以共用一份分類討論,但所需的工程紀錄各不相同。
- 運動授權路徑。 列出所有可變更運動、參數或安全配置的路徑:教導器、工程站、廠商雲、廠商服務通道、USB 傳輸、來自工作單元控制器的現場匯流排,以及任何遠端協助通道。
- 本地曝險。 在試車與每次更新後,掃描控制器上可達的服務。釋出檔案應呈現哪些服務可達、哪些需要驗證,以及哪些預設關閉。
- 客戶系統。 客戶工作單元邏輯、客戶安全 PLC、廠區網路、第三方視覺軟體、MES 或 SCADA,除非由製造商銷售,否則皆視為機器人製造商產品之外。
- 更新授權。 將更新授權視為雙向交換:控制器查詢或接收更新中繼資料,更新服務針對該控制器變體與安全韌體版本回傳簽章韌體封裝。簽章更新、降級拒絕、機台影響、復原與回滾紀錄皆應與釋出版本一同留存。
- 供應商輸入。 為伺服微控制器、編碼器、安全微控制器、現場匯流排堆疊、視覺模組、即時作業系統與程式設計執行環境,各自指派負責人、版本、通告監看與釋出決定。
- 服務存取。 服務通道、診斷與遠端協助連線不應變成第二條運動授權路徑。保留通道關閉、遮蔽與稽核樣本紀錄。
- 上市後迴圈。 漏洞通報、重大事件、供應商通告與場域故障應更新威脅清單、殘留風險紀錄、釋出檔案與下一個釋出閘門。
下方的工作單元圖刻意比範例更廣。請在縮減至實際出貨變體前,把它當作產品家族邊界檢查工具:6 軸手臂、協作型機器人、潔淨室變體、堆棧變體,以及與末端工具一起銷售的機器人,各需不同的證據集合。
符合此佈局的真實 OEM 控制器包括 ABB OmniCore、KUKA KR C5 (KSS) 與運行 iiQKA.OS 的 KUKA 控制器、FANUC R-30iB Plus、Yaskawa YRC1000、Universal Robots PolyScope X。上述分工在所有產品上都共用:製造商產品檔涵蓋手臂、控制器與裝置端軟體邊界;客戶工作單元邏輯、廠區 LAN 與客戶自有工具則在邊界外,除非製造商也銷售該層。
如何建立機器人風險評估?
請把這個範例當作理解所需深度的依據,而非可直接貼入釋出檔案的文字。機器人製造商仍需針對自家的手臂、關節驅動、控制器、安全控制器、教導器、程式設計執行環境、艦隊雲、供應商、銷售主張、支援期間與釋出流程進行評估。
我們要評估的是哪一個產品?
範例產品(非真實裝置):ExampleCo CR-12,12 公斤負載、1300 公釐作業範圍的 6 軸鉸接式工業機器人手臂,附選配力限協作模式。出貨內容包含手臂、一台控制器機櫃、一支教導器、選配 2D 視覺感測器、一套程式設計環境、簽章 OTA 更新與製造商艦隊雲連接器。銷售對象為中小製造業的完整工作單元,並以零組件方式賣給系統整合商作為更大機台之用。
本範例的產品邊界包含:手臂、關節驅動、控制器機櫃、安全控制器、教導器、程式設計執行環境、OTA 服務、廠商雲連接器、漏洞通報窗口與支援結束揭露。不包含:客戶工作單元邏輯、客戶安全 PLC、廠區網路、第三方 MES 或 SCADA、第三方末端工具、圍籬與光柵安裝,以及任何 AGV 或 AMR 底盤。
本產品供受訓的操作員與整合商於室內工業環境使用。不適用於醫療或外科機器人、服務型機器人、教育型機器人,或任何消費性用途。
寫威脅表前,先測試三條通常會驅動機器人風險評估的路徑:程式載入與教導器授權、安全與資安的邊界,以及整合商交接。下列圖示把這個範例轉成工程問題,而非通用威脅清單。
擁有權與程式載入是兩項分開的檢查。即使控制器具備簽章更新,若維護後服務通道仍未關閉,或客戶轉手後舊工程站仍能寫入,仍可能失敗。
圍籬工業機器人與協作型機器人的攻擊面有何不同?
本頁將兩者歸入同一個 CRA 類別,因為兩者本質相同:在資安韌性層面屬於工業機器人,而非智慧家庭產品。但風險樣貌不同,威脅清單應反映這項差異。
| 攻擊面 | 圍籬工業機器人 | 力限協作型機器人 |
|---|---|---|
| 人員接近 | 由光柵、圍籬、掃描器或互鎖排除 | 持續接近;力限運動、速度與距離監測、引導示教與安全評等監視停止構成其安全案例 |
| 教導器存取 | 工作單元上鎖;教導器由維護人員在圍籬內使用 | 共享工作區;教導器由操作員在機器人旁使用,通常採每位操作員角色及較短登出時間 |
| 視覺輸入 | 多為選配並用於檢測;單一節點 | 常為安全必要(距離監測);多支攝影機,校正資料是安全案例所仰賴 |
| 工程站路徑 | 廠房工程站在試車與少數維護時位於 OT 段 | 工程站可能放在操作員辦公室,甚至公司管理的筆電上;此路徑使用更頻繁 |
| 遠端遙控 | 在傳統圍籬工作單元中罕見;遠端協助為限時的維護 | 在部分協作型機器人產品線中日漸普及(遠端操作員協助、離線編程),授權路徑更廣 |
| 最可能的威脅行為者 | 維護視窗中具實體存取權的工程或服務內部人員 | 操作員誤用合併受入侵的遠端工程站;視覺輸入欺騙是協作型機器人特有的可信路徑 |
| 誤用後的復位 | 通常為鑰匙鎖模式切換與防護重設 | 常為教導器上的軟體角色切換;資安審查必須確認角色切換確實會撤除授權 |
對範例 ExampleCo CR-12 而言,圍籬配置強調工程站授權、復原插槽完整性與汰役時憑證輪替。協作型配置則把視覺輸入驗證、校正資料完整性、距離監測竄改測試與每位操作員的教導器角色儲存當作一等公民。
我們要保護的是哪些資產?
風險評估從資產起步,因為機器人的威脅並非單一面向。失去運動完整性、安全配置遭破壞、工程通道遭接管,三者所需的控制與釋出紀錄都不同。
| 資產 | 為什麼重要 | 位置 |
|---|---|---|
| 運動程式與參數 | 完整性失效可能改變軌跡、速度、負載上限或工作範圍 | 控制器程式儲存區、工程專案、備份 |
| 安全配置 | 設定工作範圍上限、速度上限、力上限與停止類別;竄改即構成危險情境 | 安全控制器記憶體、簽章配置封裝 |
| 韌體與開機鏈 | 更新若遭破壞,可能在運作十五年的控制器上長期殘存 | 啟動載入器、A 與 B 韌體插槽、簽章服務 |
| 工程憑證 | 賦予程式載入與韌體寫入授權 | 工程站、控制器使用者儲存區、教導器帳號 |
| 校正與座標資料 | 數值錯誤會悄然位移工具中心點,影響成品 | 控制器儲存、整合商備份 |
| 艦隊雲憑證 | 將機櫃連到製造商更新服務與遠端協助 | 機櫃金鑰庫、雲連接器 |
| 診斷與服務封裝 | 含程式名稱、網路名稱、憑證與崩潰紀錄 | 控制器記錄檔、支援入口、內部服務工具 |
| 使用者操作說明與支援日期 | 影響安全試車、更新預期與支援結束處理 | 紙本與網頁手冊、支援清單 |
主要的信任邊界在哪裡?
本範例中製造商至少應建模五個環境。重點不是把每條線都畫出來,而是要區分出攻擊者機會會改變的位置:機櫃內部、教導器連線、廠區網路、製造商後端,以及工程站。
| 環境 | 預期保護 | 為什麼會改變機率 |
|---|---|---|
| 機櫃內部 | 實體存取限於維護,但有服務媒介、除錯墊與復原插槽 | 遠端機率較低,但若金鑰可被取出則後果較重 |
| 教導器連線 | 接線至機櫃,但每位操作員都會接觸教導器 | 一般作業時本地存取可行;預設憑證是常見破口 |
| 廠區網路 | 與工作單元控制器、MES、OPC UA 用戶端與工程站共用 | 遭入侵的同網成員可攻擊探索、OPC UA 或遠端協助通道 |
| 製造商後端 | 對外提供服務,並由整套已安裝群分享 | 後端的一個錯誤可從一座工廠擴散到許多座 |
| 工程站 | 在試車期間插入 OT 段的 Windows 或 Linux 筆電,預載離線編程軟體 | 多由公司管理;公開研究中最常見的入侵點之一 |
安全堆疊與資安堆疊並非同一個專案。它們會在特定點共用證據;檔案要說明清楚每一條條款由誰負責。
應先評估哪些威脅?
本範例先列出十四項產品專屬威脅。重點不在於窮舉,而是展示製造商應能展現的可追溯深度。
| 編號 | 威脅情境 | 受影響資產 | 進入點 |
|---|---|---|---|
| R1 | 工程站未驗證操作員即推送程式 | 運動程式 | 工程埠 |
| R2 | 復原插槽接受較舊或未簽章的韌體封裝 | 韌體完整性 | 復原模式 |
| R3 | 教導器接受弱密碼或預設密碼,且跨操作員仍維持登入 | 工程憑證 | 教導器 |
| R4 | 預設 OPC UA 端點在廠區 LAN 上以匿名方式回應 | 校正與座標資料 | 廠區網路 |
| R5 | 安全配置可在未簽章封裝或無帶外確認下載入 | 安全配置 | 安全控制器 |
| R6 | 來自製造商雲的服務通道在維護結束後仍開啟 | 艦隊雲憑證 | 遠端協助 |
| R7 | 校正資料在儲存中遭更動,工具中心點悄然位移 | 校正 | 控制器儲存 |
| R8 | 精心構造的 EtherCAT 或現場匯流排訊框造成運動 CPU 故障或週期逾時 | 運動可用性 | 現場匯流排 |
| R9 | USB 備份或復原映像未經操作員稽核即可套用 | 韌體完整性 | 服務媒介 |
| R10 | 診斷封裝匯出程式名稱、憑證或網路識別碼 | 服務資料 | 支援入口 |
| R11 | 即時作業系統、現場匯流排堆疊或視覺模組中的漏洞在支援期間未被偵測 | 韌體元件 | 供應商通告缺口 |
| R12 | 客戶轉手後,操作員角色綁定仍存在,舊工程站繼續寫入控制器 | 工程憑證 | 汰役缺口 |
| R13 | 程式設計執行環境解析器因畸形專案檔案而當機或執行不安全內容 | 工具完整性 | 專案匯入 |
| R14 | 整合商把手臂與符合性聲明缺漏或過期的第三方安全 PLC 組合 | 供應商符合性 | 工作單元交接 |
接著單獨檢視整合商交接:對於組成的工作單元,誰算製造商?哪些紀錄必須隨之移交?
擁有手臂、控制器、安全控制器、教導器、程式設計執行環境、簽章更新與艦隊雲。證據:出貨產品檔案加上漏洞處理流程。
將手臂與安全、視覺、治具及工作單元邏輯組合。當工作單元以整合商名義出貨時,整合商即成為工作單元製造商。證據:工作單元層級邊界備忘錄與零組件盡職調查。
執行工作單元,在維護視窗中套用更新,回報問題。並非製造商。證據:已套用通告紀錄與汰役紀錄。
進口商或經銷商以自有品牌銷售機器人,或對其進行實質修改,即承擔該銷售方案的製造商義務。其他轉售者僅在修改達實質程度時才跨越此線,例如更換更新通道、韌體識別、艦隊雲或預定用途。請記錄觸發事由及產品檔案中隨修改釋出移交的部分。
初步風險應如何排序?
採用釋出閘門位階,讓每一項風險不致都拿到同一種裁定:
| 閘門裁定 | 在本範例風險登錄表中的意義 |
|---|---|
| 阻擋釋出 | 未實作並測試控制前,產品不得出貨。 |
| 除非以書面說明否則阻擋 | 僅在補償性控制、限制或變體專屬理由經書面寫出並核准後,方可釋出。 |
| 帶監看出貨 | 殘留風險可保留,但檔案需指名監看訊號與負責人。 |
| 移轉至指引 | 製造商保留整合商或營運者操作說明,因為條件取決於客戶工作單元。 |
| 接受 | 殘留風險對本範例足夠低,理由保留於檔案中。 |
| 編號 | 機率 | 影響 | 閘門裁定 | 理由 |
|---|---|---|---|---|
| R1 | 高 | 高 | 阻擋釋出 | 工程寫入是機器人控制的核心 |
| R2 | 低 | 嚴重 | 阻擋釋出 | 更新繞行會破壞日後所有韌體修補 |
| R3 | 高 | 高 | 阻擋釋出 | 共用教導器是最常見的操作員介面破口 |
| R4 | 中 | 高 | 阻擋釋出 | 真實工作單元中 OPC UA 組態錯誤被廣泛回報 |
| R5 | 低 | 嚴重 | 阻擋釋出 | 安全配置是控制器上最嚴格的寫入授權 |
| R6 | 中 | 高 | 除非以書面說明否則阻擋 | 服務通道有其用途,但需明確限時與關閉 |
| R7 | 中 | 高 | 阻擋釋出 | 工具中心點悄然位移可能造成廢品或更嚴重後果 |
| R8 | 中 | 中 | 除非以書面說明否則阻擋 | 即時匯流排壓力應受測;部分故障只在生產中才顯現 |
| R9 | 中 | 中 | 除非以書面說明否則阻擋 | USB 移轉屬正常;變動的是稽核紀錄 |
| R10 | 中 | 中 | 帶監看出貨 | 支援封裝有其必要;遮蔽與同意是控制 |
| R11 | 中 | 高 | 帶監看出貨 | 長支援視窗中可預期會出現供應商漏洞 |
| R12 | 中 | 高 | 阻擋釋出 | 工業設備之移轉或轉售為可預見情況 |
| R13 | 低 | 高 | 除非以書面說明否則阻擋 | 專案檔解析器處理不可信內容 |
| R14 | 中 | 中 | 移轉至指引 | 工作單元層級符合性主張由整合商擁有;製造商提供零組件證據 |
哪些設計控制能改變風險樣貌?
控制表應可追溯回 R 編號,但不應讀來像通用安全開發檢核表。對每一項控制,製造商應能對該釋出版本展示證明該控制存在的測試、設計註記或營運紀錄。
| 威脅 | 設計控制 | 製造商應留存的證據 |
|---|---|---|
| R1、R3 | 經驗證的工程連線、每位操作員專屬的教導器帳號、不共用預設憑證、限時自動登出 | 驗證測試、教導器存取矩陣、未驗證寫入的反向測試 |
| R2、R9 | 安全開機、簽章韌體、單調版本計數器、降級拒絕、USB 稽核 | 開機鏈證據、更新驗證紀錄、USB 匯入稽核樣本 |
| R4 | 預設啟用的 OPC UA 安全設定檔、經驗證的端點、憑證信任清單、試車後服務清查 | 試車後服務掃描、OPC UA 配置測試 |
| R5 | 簽章安全配置、每一資安相關變更皆與安全工程師聯合審視、安全韌體更新採帶外確認 | 安全配置簽核、安全韌體降級拒絕測試 |
| R6 | 限時服務通道、在教導器明確啟用、通道狀態可見、憑證輪替 | 通道關閉測試、遠端協助稽核紀錄 |
| R7 | 校正資料完整性檢查、與整合商基線定期比對、未授權變更告警 | 校正完整性測試、漂移告警樣本 |
| R8 | 現場匯流排模糊測試、看門狗復原、畸形訊框紀錄 | 現場匯流排模糊報告、看門狗復原測試 |
| R10 | 診斷封裝最小化、遮蔽、上傳前的操作員同意、保留上限 | 診斷結構描述、遮蔽測試、支援工作流紀錄 |
| R11 | 元件清單含即時作業系統、現場匯流排堆疊、視覺模組與運動 CPU 的指定負責人;通告監看與分流 | 元件登錄、通告紀錄、分流決定 |
| R12 | 汰役抹除、艦隊雲解綁、轉手時憑證輪替、二手控制器檢核表 | 汰役檢核表、雲解綁稽核、抹除驗證 |
| R13 | 專案檔解析器強化、畸形專案測試語料、程式設計執行環境沙箱化 | 解析器模糊報告、匯入回歸測試 |
| R14 | 面向整合商的手冊附供應商證據對照、交接時聯合盡職調查紀錄、通告回路至整合商 | 交接備忘錄、整合商通告紀錄 |
套用控制後仍存的殘留風險?
套用控制後,製造商應重跑評估,而非把威脅標為完成。本範例中,供應商漏洞路徑、整合商交接與長產品壽命,在支援期間仍須持續管理。殘留風險可被接受的前提,是製造商可證明:監看、分流、簽章更新交付、整合商通知與矯正措施流程確實在運作。
| 殘留領域 | 仍存的原因 | 營運證據 |
|---|---|---|
| 長產品壽命 | 機器人可運作十五年以上;供應元件在整段期間都會出現漏洞 | 元件通告監看、支援視窗聲明、支援結束揭露 |
| 客戶工作單元邏輯 | 整合商撰寫的運動程式或工作單元安全配置不歸製造商擁有 | 邊界備忘錄、安全程式設計指引、面向整合商的手冊 |
| 修補時程 | 廠房需要維護視窗與驗證;部分修補無法立即套用 | 含機台影響註記的資安通告、緩解指引、回滾路徑 |
| 實體服務存取 | 機櫃、教導器與工程站於維護期間仍可實體存取 | 服務模式限制、稽核樣本、除錯鎖證據 |
艦隊雲通告應如何路由?
上方的風險評估針對單一機器人機櫃。通告路由則跨上百台。當製造商艦隊雲服務多家整合商與多個營運場域時,問題不是「雲端是否安全」,而是「24 小時漏洞警示觸發時,整個鏈條中誰會聽見?誰核准每個場域的更新視窗?」
| 艦隊拓樸 | 介於製造商與終端使用者之間的角色 | 對製造商釋出檔案的影響 |
|---|---|---|
| 單一場域營運者,直接來自製造商 | 製造商 → 營運者 | 製造商通告直達營運者的維護團隊;使用者通知義務由單一通道滿足 |
| 多場域營運者,集中廠房工程 | 製造商 → 營運者總部 → 各場域工程團隊 | 製造商通告路由至營運者總部聯絡人;由營運者決定哪些場域接受更新、在哪個維護視窗。釋出檔案應記錄營運者總部聯絡人,避免通告卡在單一場域信箱 |
| 跨多家營運者的 OEM 管理艦隊 | 製造商 → 機器人 OEM 運作 → 各終端營運者 | 製造商將通告推播給 OEM 艦隊運作團隊。OEM 再向其營運者基礎重新廣播,附場域層級的機台影響註記。製造商仍需要連到受影響使用者的途徑;OEM 是下游通道,而非替代 |
| 整合商管理的艦隊(系統整合商為其中小企業客戶基礎運行艦隊雲) | 製造商 → 整合商 → 中小企業終端使用者 | 製造商通告路由至每一家在此控制器上運行艦隊的整合商。以自有品牌出貨的整合商承擔該組合工作單元的製造商義務;製造商通告進入整合商自有的漏洞處理流程 |
| 艦隊的艦隊(製造商雲與 OEM、整合商雲聯邦) | 製造商艦隊 ↔ OEM 艦隊 ↔ 整合商艦隊 ↔ 終端營運者 | 以書面定義哪一條通告鏈為合約所訂、哪一條為 CRA 所訂。CRA 路徑涵蓋法規通報與使用者通知;合約路徑加上機台影響註記、維護視窗協商與回滾協調。釋出檔案應寫明兩者 |
釋出紀錄。 一份艦隊雲路由地圖,針對連接器清單上的每位整合商與營運者,列出 24 小時漏洞警示的聯絡人、維護視窗擁有者、回滾權責與仍開啟的殘留通告。沒有這份地圖,期限會跑向沒有收件人的位址。
釋出前要過哪些驗證閘門?
避免使用籠統的「已完成資安審查」閘門。請採用一份釋出閘門清單,對每一項可能停止機器人出貨的決定,記載失效模式、設計控制與證明文物。
- G1首用聲明與交接阻擋釋出
- 失效
整合商試車時未輪替共用原廠憑證。
- 控制
每台裝置金鑰、強制輪替、教導器帳號綁定。
- 證明
試車紀錄與教導器存取矩陣。
- 失效
- G2試車後曝險服務阻擋釋出
- 失效
匿名 OPC UA、FTP、VNC 或網管介面在廠區 LAN 上可達。
- 控制
服務最小化、預設啟用經驗證的 OPC UA。
- 證明
試車後服務掃描。
- 失效
- G3運動與安全授權阻擋釋出
- 失效
教導器、工程站或服務通道在無稽核下變更安全配置。
- 控制
經驗證的連線、簽章安全配置、帶外確認。
- 證明
授權路徑矩陣與安全配置簽核。
- 失效
- G4更新與復原路徑阻擋釋出
- 失效
復原插槽接受未簽章或較舊封裝,使更新變成惡意軟體通道。
- 控制
安全開機、簽章更新、單調計數器、降級拒絕。
- 證明
降級失敗測試結果。
- 失效
- G5供應商堆疊帶監看出貨
- 失效
即時作業系統、EtherCAT 堆疊或視覺模組於支援視窗中爆出漏洞。
- 控制
含指名負責人的元件清單、通告監看、後移植整備。
- 證明
受影響元件的分流決定。
- 失效
- G6汰役與轉售除非以書面說明否則阻擋
- 失效
移轉的控制器仍留有舊角色綁定、雲端帳號或既存程式。
- 控制
抹除、艦隊雲解綁、憑證輪替、二手控制器檢核表。
- 證明
抹除與雲解綁驗證。
- 失效
機器人從概念到支援由誰負責?
主導責任會隨機器人從產品定義走向上線支援而轉移。請使用此鏈道,在產品變動的每一階段指派一位負責人、一份維護中的紀錄與一個審視閘門。
在架構工作前凍結邊界,在實作前凍結設計意圖,在驗證前凍結候選版本,在釋出前凍結決定,並在支援期間使釋出版本持續運作。新進通報、供應商通告、事件結果與回歸結果,會重啟下一份邊界備忘錄、威脅清單與元件登錄。
檔案中應放哪些證據紀錄?
檔案應讓審查者能從產品識別一路追到資安控制。下列每一列應指向一份維護中的紀錄,而非一堆散落的截圖。
| 證據領域 | 工業機器人或協作型機器人需擷取的內容 |
|---|---|
| 產品識別 | 手臂型號、負載、作業範圍、控制器機櫃、教導器、韌體分支、程式設計執行環境版本、現場匯流排選項、硬體版次 |
| 預定用途 | 賣給整合商的零組件、完整協作型工作單元、潔淨室變體、堆棧變體或其他工業用途 |
| 資安韌性設計檔 | 運動授權路徑、安全配置授權、艦隊雲曝險、廠區 LAN 曝險、威脅清單與處理計畫 |
| 元件清單 | 運動 CPU、即時作業系統、EtherCAT 從站堆疊、安全微控制器、編碼器協定、閘極驅動器、視覺模組、程式設計執行環境程式庫 |
| 預設安全 | 不共用預設憑證、簽章更新、降級拒絕、預設啟用 OPC UA 安全設定檔、試車後服務清單 |
| 更新機制 | 簽章韌體、復原插槽、機台影響註記、客戶維護視窗指引、回滾決定 |
| 漏洞處理 | 揭露政策、單一聯絡窗口、分流工作流、元件通告監看與整合商通知路由 |
| 使用者操作說明 | 安全試車、角色儲存設定、更新設定、汰役與支援結束揭露 |
| 可追溯性與聯絡資訊 | 型號、批次或序號資訊、製造商聯絡資料、支援期間結束日期,以及一個非僅為自動機器人的漏洞通報聯絡窗口 |
機器人 SBOM 中應放入什麼?
CRA 要求一份機器可讀的 SBOM,識別產品的元件並至少涵蓋頂層相依,但目前尚未指定固定格式。在執委會 (Commission) 補充細節前,機器人製造商通常選擇 CycloneDX 或 SPDX。SBOM 機制的跨產品細節置於專門的 SBOM 指南;本節聚焦機器人專屬的樹狀結構。
機器人釋出版本通常出貨多項各有更新週期的數位元件,而非單一二進位檔。兩種實作模式皆能滿足 CRA 最低要求:一份產品層級的 SBOM,含分元件區段(運動 CPU、安全控制器、即時作業系統與教導器韌體各版本皆釘住),或對每一出貨的數位元件各自維護一份 SBOM,每次釋出時更新。兩種模式皆可接受,前提是 SBOM 為機器可讀且涵蓋頂層相依。
SBOM 紀錄: 一份以 CycloneDX 或 SPDX 製作的機器可讀 SBOM,至少涵蓋頂層相依。建議的機器人製造商模式:產品層級單一 SBOM 含分元件區段,或對每一出貨數位元件各維護一份 SBOM 並於釋出時更新。可在建置系統能夠產生時補上更深層的傳遞相依。將 SBOM 與元件通告監看紀錄(證據對照中的「元件清單」列)相互配對,審查者方能看出已知漏洞落在哪一個程式庫,哪一次釋出將其關閉。
釋出簽核要檢查什麼?
機器人在投放歐盟市場前,簽核應結清下方 SVG 標示為 Q1 至 Q4 的同四份紀錄夾。完整檔案清單在上方的證據對照中;本表只列出四個會阻止釋出的問題。
| 資料夾 | 釋出問題 | 機器人專屬的證據指引 |
|---|---|---|
| Q1 分類理由備忘錄 | 為什麼這個產品被如此分類? | 預定用途、銷售場景、隨附數位元件、零組件方案對完整工作單元的路線,以及所選的標準路線做法 |
| Q2 出貨元件清單 | 產品實際內容為何? | 手臂、控制器、教導器、安全控制器、程式設計執行環境、OTA 服務、艦隊雲連接器以及排除在外的客戶工作單元系統 |
| Q3 預設安全測試組 | 預設情況下保護了什麼?將以何方式安全更新? | 不共用預設憑證、簽章更新、降級拒絕、OPC UA 安全設定檔、試車後服務清單、上鎖除錯埠、復原插槽、機台影響註記與維護視窗建議 |
| Q4 漏洞處理流程 | 出貨後將如何處理漏洞與重大事件? | 公開聯絡窗口、揭露政策、分流工作流、元件通告監看、整合商通告路由、24 小時與 72 小時通知整備,以及最終報告證據 |
釋出簽核資料夾 Q1 至 Q4
- Q1 分類理由備忘錄。 為什麼這個產品被如此分類?預定用途、銷售場景、隨附數位元件,以及所選的標準路線做法。
- Q2 出貨元件清單。 產品實際內容為何?手臂、控制器、教導器、安全控制器、程式設計執行環境、OTA 服務、艦隊雲連接器以及排除在外的客戶工作單元系統。
- Q3 預設安全測試組。 預設情況下保護了什麼?將如何更新?不共用預設憑證、簽章更新、降級拒絕、OPC UA 安全設定檔、試車後服務清單與維護視窗指引。
- Q4 漏洞處理流程。 將如何處理漏洞與重大事件?公開聯絡窗口、揭露政策、分流工作流、元件通告監看,以及對警示、通報與最終報告的整備。
釋出前檢查(簽核前桌面上應齊備):
- 每份資料夾釘住該釋出版本對應的確切韌體分支與供應元件基線。
- 已指名負責人並具備 24 小時與 72 小時通知整備。
- 預設安全測試組涵蓋每台裝置憑證與 OPC UA 安全設定檔。
簽核閘門: 若任一紀錄缺漏,即不予簽核釋出。
符合性聲明紀錄: 範本與必填欄位請參照主要的 歐盟符合性聲明指南。針對機器人釋出,產品識別應釘住手臂、控制器機櫃、教導器、韌體分支、隨附選項與支援期間參考。若同一聲明同時涵蓋機械法規,請在聲明中標示該路線,並使機器人技術檔案與機械安全檔案保持對齊。
機器人如何交接給進口商、經銷商、整合商與營運者?
釋出檔案應讓機器人製造商交付給進口商、經銷商、作為製造商的整合商與終端使用者的交接可被測試。對機器人與協作型機器人而言,弱點通常不在 CE 標章本身,而在出貨、手冊、艦隊雲、OTA 服務與整合商交接是否仍與所評估的釋出版本一致。
經濟營運者交接:角色、側欄檢查、鄰近法規
- 01 製造商。 擁有釋出包裹:聲明、CE、檔案索引、支援視窗與漏洞聯絡窗口。
- 02 進口商(上市前驗收)。 驗證包裹、CE、檔案索引、支援日期與漏洞聯絡窗口。若包裹、可追溯性、教導器憑證模型、艦隊雲帳號或更新通道有疑慮,暫停出貨。
- 03 經銷商(可見盡職)。 上架時的 CE、隨附書面說明、營運者可追溯、支援與更新聲明。若高估支援、隱藏營運者、與聲明不符或於已知問題後仍持續銷售,暫停上架。
- 04 整合商(機械製造商)。 將手臂與安全、視覺與工作單元邏輯組合。當工作單元以整合商名義出貨時,整合商即成為工作單元製造商。釋出前需備妥工作單元層級邊界備忘錄與零組件盡職調查。
- 05 營運者(廠房地面的終端使用者)。 接收通告、在維護視窗中套用更新、回報問題。並非製造商。
側欄檢查 A.授權代表委任為任意性質與非歐盟通報。 授權代表委任為任意性質,並非非歐盟義務。未設代表的非歐盟製造商,依通報端點瀑布順序挑選被指定為協調者的 CSIRT。
側欄檢查 B.新製造商觸發條件。 進口商或經銷商以自有名稱或商標將機器人投放市場,或對其進行實質修改,即就該銷售方案成為製造商。其他第三方僅在其變更達實質程度時跨越此線,且僅就受影響部分適用,除非整體產品的資安一併改變。
鄰近法規(各為獨立評估):機械法規 2023/1230 自 2027 年 1 月 20 日起、ISO 10218-1:2025 安全案例、針對關鍵基礎設施營運者的 NIS2、針對 AI 驅動應用的 AI Act。
下列各欄是精簡版:何時驗證、何時暫停、何時需要重新進行角色分析。跨產品的角色觸發細節(製造商、進口商、經銷商、授權代表、開源軟體管家)置於 CRA 適用對象指南。
進口商驗收
驗證聲明、CE 管控、檔案索引、支援期間聲明、漏洞聯絡窗口、進口商識別與目的地語言手冊。若包裹、可追溯性、教導器憑證模型、艦隊雲帳號或更新通道有疑慮,暫停。
經銷商盡職
查驗上架可見的 CE、隨附書面說明、營運者可追溯、上架頁面的支援與更新聲明。若銷售方案隱藏營運者、高估支援、與聲明不符或於已知問題後仍持續銷售,暫停。
作為機械製造商的整合商
將手臂與安全、視覺及工作單元邏輯組合的整合商,當工作單元以整合商名義出貨時,即成為機械製造商,並就所整合的元件執行盡職調查。機器人製造商仍是手臂、控制器與所出貨軟體的零組件製造商。
自有品牌的進口商或經銷商
進口商或經銷商以自有名稱或商標將機器人投放歐盟市場,即就該銷售方案成為製造商。若進口商或經銷商對已上市機器人進行實質修改,亦同:品牌韌體、新教導器識別、新艦隊雲、新更新通道、新安全配置或新預定用途。製造商產品檔不會以非正式承諾的方式被繼承。
實質修改後的其他轉售者
非製造商、非進口商、非經銷商的當事人,僅當其於提供前對機器人進行實質修改,才會成為製造商。該角色適用於受影響部分;若該變更影響整體產品的資安,則適用於整體產品。將新更新路徑、變更的預定用途或替換的資安邊界視為一次新的角色判定。
授權代表與非歐盟通報
製造商可以書面委任授權代表,此為選擇而非非歐盟義務。通報端點的選擇由另一項事實觸發:未於歐盟設有主要營業所。處於該位置的製造商依 CRA 中的瀑布順序:授權代表、進口商、經銷商、最大使用者基礎。未委任代表的非歐盟製造商,由進口商起算。
鄰近法規檢查
機械法規 2023/1230(自 2027 年 1 月 20 日起)與 ISO 10218-1:2025 涵蓋安全案例。若營運者為關鍵基礎設施實體,則適用 NIS2。視覺或 AI 應用適用 AI Act。各法規皆為獨立評估。
常見問題
工業機器人與協作型機器人在 CRA 下屬於重要或關鍵嗎?
工業機器人與協作型機器人並未列入 CRA 重要產品清單或關鍵產品清單。規劃預設值為標準路線。僅當清單中某項功能在銷售方案中占主導時才會改判為重要,例如以防火牆閘道、網路管理系統或以防竄改微控制器為核心的強化型控制器為主的機器人銷售方案。沒有任何機器人類別會自動觸發關鍵路線。
分類紀錄: 一份針對該手臂與控制器變體的單頁備忘錄,列出預定用途、隨附數位元件與路線理由。
6 軸機器人手臂需要公告機構嗎?
預設產品不需要。機器人與協作型機器人今日不在重要產品清單,因此符合性路線走預設做法;製造商可在內部控制、歐盟型式檢驗加 C 模組、完整品質保證或適用的歐洲資通安全認證方案之間選擇。公告機構僅在製造商實際選用的模組中介入:內部控制完全自辦,其餘模組則涉及公告機構。「標準完全適用」這項先決條件屬於 Class I 退守機制,僅當未來更新將機器人或協作型機器人子產品納入清單時才會適用。
符合性路線紀錄: 一份短備忘錄,列出所選做法、所依的標準、任何缺漏與理由;若重要產品清單日後修訂納入機器人子產品,備忘錄須記載 Class I 條件式退守機制是否適用於缺漏領域。
機械法規是否已涵蓋資安面向?
機械法規 2023/1230 自 2027 年 1 月 20 日起適用,含與安全相關的機械資安要求,包含防止竄改與安全控制可靠性。CRA 則是其上的資安韌性層:涵蓋更廣的資安態勢、漏洞處理流程與支援期間義務。把安全檔案與資安檔案視為同一份產品檔的兩條主軸,而非兩個獨立的合規專案。
重檢觸發: 任何與安全相關的韌體、安全配置模型或更新通道變動,會同時重啟兩條主軸。
當整合商建構工作單元時,CRA 下誰是製造商?
機器人製造商仍是手臂、控制器、安全控制器與所出貨軟體的製造商。整合商在機械法規下成為組成工作單元的機械製造商。當工作單元以整合商名義投放市場時,整合商也可能就整合產品在資安韌性意義上成為製造商,並需對每一整合元件執行盡職調查。兩個角色可以並存於同一筆出貨。
邊界紀錄: 一份書面交接備忘錄,列出哪一份文物隨工作單元移交,哪一份留在機器人製造商。
給中小企業工坊使用的協作型機器人,與圍籬機器人屬於同一類別嗎?
類別相同:在資安韌性層面上屬於工業機器人,而非智慧家庭產品。風險樣貌不同,因為與人協作的力限協作型機器人更倚賴安全評等的力、速度與距離監測,使安全與資安的重疊更緊密。釋出檔案應反映此重疊,而非改變類別。
風險評估紀錄: 一條協作型機器人專屬條目,列出協作運轉模式與可能使其失效的資安事件。
若機器人出貨時附帶視覺、AI 或遠端遙控呢?
隨附的視覺系統或 AI 模組屬於隨附的數位元件,留在產品邊界內。若製造商提供遠端遙控,亦同屬邊界內,並需具備明確授權、限時與稽核。以 AI 為基礎的應用可能落入另一套法規;不要把這些評估壓縮為一個。
邊界紀錄: 列出每一隨附元件、其負責人、更新路徑與被排除的對應項目。
雲端艦隊管理會改變產品邊界嗎?
雲端艦隊管理本身不改變路線。若製造商提供艦隊雲,且控制器在沒有它的情況下無法執行某項功能,則應將該雲視為邊界、證據與風險評估的一部分。分類仍依控制器的核心功能而定。
邊界紀錄: 一份雲相依地圖,列出哪些艦隊服務隨機器人提供、若沒有它哪些功能失效、它處理什麼資料,以及哪些系統不在製造商銷售方案之內。
機器人 CRA 風險評估應包含什麼?
從產品邊界起步,而非法定標籤。針對完整協作型機器人,應包含手臂、控制器機櫃、教導器、安全控制器、程式設計執行環境、艦隊雲連接器、OTA 服務、漏洞聯絡窗口與汰役路徑。接著列出資產、信任邊界、威脅、機率、影響、初步決定、控制、證據與殘留風險。
風險評估紀錄: 資產清單、信任邊界地圖、威脅清單、初步決定、處理計畫、殘留風險理由,以及每一項上市後訊號的指名負責人。
機器人的威脅模型應該多具體?
具體到工程師能加以測試的程度。「未授權運動」太籠統。較佳條目應接近:「教導器仍處登入狀態,使操作員可載入超出安全配置所設工作範圍上限的程式。」這指向了資產、進入點、攻擊者機會、控制與測試證據。
測試文物: 每一條條目對應一張威脅單,連結至教導器、艦隊雲、更新、現場匯流排、校正、支援匯出或汰役測試,證明該控制有效。
機器人哪些風險應先評估?
從可改變運動或安全配置的路徑起:教導器授權、工程站寫入授權、簽章更新、復原插槽、安全韌體路徑、OPC UA 曝險與服務通道。這些是釋出前最可能改變設計的路徑。
釋出檢查: 釋出前檢核表,涵蓋運動授權、安全配置授權、曝險服務、供應商通告監看、汰役與整合商交接。
機器人風險條目的好例子是?
範例:「R2:復原插槽接受未簽章或較舊韌體封裝。」初步機率可能低,但影響嚴重,因為破損的復原路徑可能在多年內危及整個機群。控制為安全開機、簽章復原映像、單調版本檢查、回滾政策與降級拒絕測試。證據為開機鏈設計、更新驗證紀錄與附於釋出紀錄的降級失敗測試。
測試文物: 該確切韌體建置版本的開機鏈設計註記、簽章更新驗證紀錄、降級拒絕測試與復原插槽測試結果。
何時應更新風險評估?
每當釋出狀態以影響信任的方式變動時就要更新:新教導器帳號模型、新現場匯流排選項、艦隊雲變動、安全韌體變動、程式設計執行環境變動、新視覺模組、除錯埠行為變動或新汰役路徑。若變更重新打開某條授權路徑,僅靠釋出註記並不夠。較早的日期在此尤為重要:通報義務自 2026 年 9 月 11 日起適用,儘管 CRA 其餘部分要到 2027 年 12 月 11 日才全面生效。評估、揭露政策與指名的單一聯絡窗口應在通報期限開始計算之前就已運作。
重檢觸發: 任何對授權、更新、曝險服務、供應元件或汰役的變動,都會重啟邊界與風險評估。
機器人製造商應建立的第一份證據是什麼?
從一份針對該變體的簡短分類與邊界備忘錄起步:手臂型號、負載、作業範圍、控制器機櫃、教導器、現場匯流排選項、程式設計執行環境、艦隊雲連接器、預定用途與被排除的客戶系統。備忘錄應列出路線理由與支援視窗。
分類紀錄: 一份單頁備忘錄,可被風險評估、符合性路線選擇、檔案索引、進口商包裹與支援期間聲明共同引用。
若釋出後發現漏洞該怎麼辦?
CRA 要求製造商在產品或支援流程不符合時立即採取矯正措施,並在適當情形下撤回或召回產品。實務上,檔案需具備通報順序的整備:遭積極利用漏洞的 24 小時早期警告、72 小時漏洞通報、矯正或緩解措施可用後的最終報告,以及使用者通知。對機器人而言,矯正措施通常是附機台影響註記與維護視窗建議的簽章韌體更新;召回則保留給控制器無法在現場安全更新的情況。
召回紀錄: 一份矯正措施註記,列出受影響的序號、控制器韌體分支、整合商與經銷商、緩解步驟、簽章更新文物、使用者通告文字,以及 CSIRT 通報參考。