Robotique : plus de réglementation pour plus de sécurité
Temps de lecture : 6 min
Les évolutions réglementaires et législatives, qui prennent en compte les avancées technologiques, visent à limiter les risques, notamment en termes de sécurité et de cybersécurité. Un récent règlement européen change sensiblement la donne, tant pour les fabricants que pour les utilisateurs. Décryptage.
L’essor de la robotisation en milieu industriel pose inévitablement la question de la sûreté, et donc de la réglementation. A l’échelle européenne, les directives machines 2006/42/CE, basse tension 2014/35/UE, celle sur la compatibilité électromagnétique 2014/30/CE et le règlement sur les machines 2023/1230, pour ne citer que les textes les plus importants, établissent un cadre réglementaire déjà très fourni qui s’applique à tous les systèmes robotisés, du moins ceux fabriqués après la publication de ces textes qui ne sont pas rétroactifs.
« Si elle peut paraître contraignante, cette réglementation est indispensable et les industriels eux-mêmes qui utilisent ces machines la demandent pour pouvoir limiter clairement les responsabilités de chacun », rappelle Max Deleruelle, responsable technique d’affaires au CETIM (Centre technique des industries mécaniques).
Modification substantielle
Le nouveau texte réglementaire sur les machines 2023/1230, qui remplace la directive 2006/42/CE, sera directement applicable sur toute nouvelle machine sans période de transition. L’une des nouveautés porte sur la notion de modification substantielle (matérielle ou logicielle) apportée à une machine en service.
« La nouvelle réglementation tient compte du fait que les machines en service sont fréquemment modifiées par l’utilisateur final. Ces modifications peuvent créer un nouveau danger ou augmenter un risque existant qui n’a pas été pris en compte par le fabricant. C’est pourquoi la réglementation précise désormais que toute personne qui apporte une modification substantielle à une machine en service doit être considérée comme un fabricant », décrypte Max Deleruelle.
« La réglementation est indispensable, les industriels eux-mêmes la demandent pour limiter les responsabilités de chacun. »
En conséquence, l’utilisateur sera désormais soumis à l’obligation qui incombe au fabricant, à savoir évaluer la conformité de l’équipement à toutes les directives ou règlements concernés et refaire le marquage CE qui l’atteste.
Or, relève Max Deleruelle, « en tant que producteur, l’utilisateur final n’a généralement pas les compétences pour réaliser ce travail de revalidation des fonctions de sécurité de la machine modifiée. Il doit pour cela s’adresser à un expert, un prestataire comme Actemium ou le fabricant de la machine. Mais in fine, l’utilisateur final reste responsable pénalement de tout éventuel accident ».
Les opérations de réparation ou d’entretien qui n’affectent pas la conformité de la machine sont toutefois exclues de ce cas de figure.
Corruption des données
L’autre évolution majeure du règlement sur les machines 2023/1230 concerne la cybersécurité. Dans la mesure où la machine répond à la définition de « produit comportant des éléments numériques » avec transmission de données, de nouvelles exigences en matière de sécurité s’appliqueront.
« Cela implique de prendre des mesures contre la corruption des données qui pourrait créer des situations dangereuses et d’assurer également la traçabilité de chaque intervention », souligne le responsable technique d’affaires du CETIM.
Qu’il s’agisse de corruption accidentelle ou de corruption intentionnelle liée à une cyberattaque, le fabricant devra désormais prendre en compte les tentatives malveillantes raisonnablement prévisibles conduisant à une situation dangereuse.
« Autrement dit, dans le cas de ce type de corruptions, si les machines de l’industriel sont bloquées et que cela génère une perte d’activité, il peut se retourner juridiquement contre le fabricant pour ne pas lui avoir donné les moyens de mettre en place les bonnes pratiques de cybersécurité adaptées à la machine », précise Max Deleruelle.
Ces nouvelles exigences doivent permettre à l’utilisateur final, lors de l’achat d’une nouvelle machine, de se conformer à la nouvelle réglementation européenne sur la cyber-résilience (Cyber Resilience Act) qui oblige, d’ici 2026, le fabricant de composants à informer l’intégrateur sur les incidents et attaques possibles et, d’ici 2027, l’intégrateur à informer pendant cinq ans l’utilisateur final et les autorités. Si nécessaire, l’intégrateur devra réaliser les modifications matérielles ou logicielles requises.
« A noter que la prochaine révision de la norme ISO 10218 sur les robots inclura la cybersécurité. Cela nécessitera une évaluation de la sécurité et, si nécessaire, la mise en place de mesures spécifiques pour soutenir la cybersécurité », ajoute Max Deleruelle.
Enfin, la nouvelle réglementation traitera également de l’IA et prendra en compte les composants autoévolutifs assurant les fonctions de sécurité. « Ainsi, il peut y avoir une IA assurant une fonction de reconnaissance de personne ou de détection d’actions interdites, par exemple tendre le bras vers le robot, qui provoquerait l’arrêt en sécurité du robot. Dans ce cas, il faudra certifier l’IA par un tiers », note Max Deleruelle. Précisons que l’impact du règlement « Al Act », qui sera applicable en 2027, reste encore suspendu au travail d’interprétation en cours.
17/10/2024