Robótica: aumenta la normativa para aumentar la seguridad

Las evoluciones de los reglamentos y leyes, que contemplan los avances tecnológicos, tienen como objetivo limitar los riesgos, en especial en materia de seguridad y ciberseguridad. Un reciente reglamento europeo traerá consigo importantes cambios, tanto para los fabricantes como para los usuarios. Lo explicamos en este artículo.

El auge de la robotización en el ámbito industrial plantea inevitablemente la cuestión de la seguridad y, por tanto, de la normativa. A escala europea, la directiva relativa a las máquinas 2006/42/CE, la de baja tensión 2014/35/UE y la de compatibilidad electromagnética 2014/30/CE, y el reglamento 2023/1230, relativo a las máquinas, por citar solo los textos más importantes, establecen un marco normativo ya muy exhaustivo que se aplica a todos los sistemas robotizados, al menos a los fabricados tras la publicación de estos textos, que no tienen efectos retroactivos.

“Aunque pueda parecer restrictiva, esta normativa es indispensable y los mismos industriales que utilizan estas máquinas la demandan para poder delimitar claramente las responsabilidades de cada cual”, recuerda Max Deleruelle, responsable técnico de proyectos en el CETIM (Centro Técnico de las Industrias Mecánicas en Francia).

Modificación sustancial

El nuevo texto reglamentario relativo a las máquinas, 2023/1230, que sustituye a la directiva 2006/42/CE, será directamente aplicable a todas las máquinas nuevas sin período de transición. Una de las novedades afecta al concepto de modificación sustancial (de hardware o de software) efectuada en una máquina en servicio.

“La nueva normativa tiene en cuenta el hecho de que las máquinas en servicio en muchos casos son objeto de modificaciones por parte del usuario final. Dichas modificaciones pueden crear un nuevo peligro o aumentar un riesgo existente que no haya tenido en cuenta el fabricante. Por este motivo, la normativa precisa a partir de ahora que cualquier persona que efectúe una modificación sustancial en una máquina en servicio debe considerarse un fabricante”, explica Max Deleruelle.

Por consiguiente, el usuario queda a partir de ahora afectado por la obligación que ya afectaba al fabricante de evaluar la conformidad del equipo con todas las directivas o reglamentos pertinentes y volver a obtener el marcado CE que lo certifique.

“La normativa es indispensable y los industriales mismo la demandan para poder delimitar claramente las responsabilidades de cada cual”

“Sin embargo, como productor, el usuario no cuenta generalmente con las competencias necesarias para realizar este trabajo de revalidación de las funciones de seguridad de la máquina modificada”, señala Max Deleruelle. Para ello debe dirigirse a un experto, una empresa de servicios como Actemium o el fabricante de la máquina. “Pero, en cualquier caso, la responsabilidad penal de cualquier posible accidente recae sobre el usuario final”.

En todo caso, las operaciones de reparación o mantenimiento que no afecten a la conformidad de la máquina quedan excluidas de este supuesto.

Corrupción de datos

La otra gran evolución del reglamento relativo a las máquinas 2023/1230 afecta a la ciberseguridad. En la medida en que la máquina responda a la definición de “producto que incluye elementos digitales” con transmisión de datos, se aplicarán nuevas exigencias en materia de seguridad.

“Esto implica tomar medidas contra la corrupción de datos, que podría provocar situaciones peligrosas, así como garantizar la trazabilidad de cada intervención”, subraya el responsable técnico de proyectos del CETIM.

Ya se trate de corrupción accidental o intencionada relacionada con un ciberataque, el fabricante deberá a partir de ahora tener en cuenta las tentativas maliciosas razonablemente previsibles que conduzcan a una situación de peligro.

“En otras palabras, en el caso de que se produzcan este tipo de corrupciones, si las máquinas del industrial están bloqueadas y eso genera una pérdida de actividad, puede volverse jurídicamente en contra del fabricante por no haberle proporcionado los recursos para establecer buenas prácticas de ciberseguridad adaptadas a la máquina”, precisa Max Deleruelle.

Estas nuevas exigencias deben permitir que, cuando el usuario final compre una nueva máquina, se pueda ajustar a la nueva normativa europea sobre ciberresiliencia (Cyber Resilience Act), que obliga al fabricante de componentes, de aquí a 2026, a informar al integrador sobre los posibles incidentes y ataques, y asimismo obliga al integrador, de aquí a 2027, a informar durante cinco años al usuario final y las autoridades. En caso necesario, el integrador deberá realizar las modificaciones exigidas en el hardware o el software.

“Cabe señalar que la próxima revisión de la norma ISO 10218 sobre robots incluirá la ciberseguridad. Esto requerirá una evaluación de la seguridad y, en caso necesario, el establecimiento de medidas específicas de apoyo a la ciberseguridad”, añade Max Deleruelle.

Por último, la nueva normativa tratará asimismo sobre la IA y contemplará los componentes autoevolutivos que se encargan de las funciones de seguridad. “Así, puede haber una IA que realice una función de reconocimiento de personas o de detección de acciones prohibidas, como, por ejemplo, tender el brazo hacia el robot, que provocaría la parada de este por motivos de seguridad. En ese caso, la IA deberá ser certificada por un tercero”, apunta Max Deleruelle. Hay que precisar que el impacto del reglamento “Al Act”, que será aplicable en 2027, está aún pendiente del trabajo de interpretación actualmente en curso.

17/10/2024