-
Die Erfindung betrifft ein System zur Fernwartung oder Diagnose einer computergesteuerten computergestützten Bearbeitungsmaschine, mit einer mit Steuerungssoftware versehenen Maschinensteuerung, einer maschinenseitigen Firewall und mindestens einem Ausgang für die Schaltung einer Maschinenfunktion, wobei zwischen der maschinenseitigen Firewall und einem Service-Rechner ein Datenkanal für einen kontrollierten Datentransfer aufgebaut und in Abhängigkeit vom Aufbau des Datenkanals die Maschinenfunktion über den Ausgang geschaltet wird Um Wartung, Fehlerdiagnose, Software-Aktualisierung oder eine Reparatur von computergesteuerten Maschinen per Fernzugriff zu ermöglichen, ist eine Datenverbindung zwischen der Maschinensteuerung und einem entfernten Service-Rechner erforderlich. Derartige Datenverbindungen sind grundsätzlich für absichtliche oder versehentliche Manipulationen anfällig. Vor allem dann, wenn die Datenverbindung nicht innerhalb eines abgesicherten, internen Datennetzes erfolgt, wie etwa einem firmeninternen Intranet, sondern über ein öffentliches Datennetz, wie beispielsweise dem Internet, sind besondere Sicherheitsvorkehrungen zum Schutz vor unbefugtem Eingriff erforderlich. Aber auch bei berechtigten und geplanten Eingriffen, wie etwa zwecks Wartung oder Software-Aktualisierungen, kann der Bearbeitungsmaschine versehentlich von außen über die Datenverbindung eine falsche und schädliche Veränderung aufgeprägt werden.
-
Dies gilt insbesondere für die Fernwartung von CNC-gesteuerten, thermischen Bearbeitungsmaschinen, wie etwa laser-, plasma- oder flammenbasierten Brennschneidmaschinen. Hier besteht nicht nur die Gefahr einer fehlerhaften Wartung durch das Bedienpersonal, sondern über die Maschinensteuerung kann auf energiereiche Heiz- und Lichtquellen (wie Plasmabrenner, Autogenbrenner oder Laser) zugegriffen und es können Gasströme ein- und ausgeschaltet werden. Ein derartiger Fernzugriff birgt somit ein großes Gefahrenpotential und ist gemäß der europäischen Norm EN 954 (Teil 1) über die Sicherheit von Maschinen und Maschinensteuerungen daher vorzugsweise ”sicherheitsgerichtet” zu gestalten. Die sicherheitsgerichtete Ausgestaltung des Fernzugriffs erfordert besondere Sicherheitsvorkehrungen, beispielsweise zusätzliche Absicherungen durch redundante Ausführungsvorschriften und selbstüberwachende Systeme.
-
Stand der Technik
-
Auf dem Gebiet der Fernwartung und Diagnose von computergesteuerten Bearbeitungsmaschinen, wie etwa Brennschneidmaschinen, ist bisher ein Datenübertragungssystem gebräuchlich, bei dem die Maschinensteuerung der Bearbeitungsmaschine einen maschinenseitigen Rechner und eine Software umfasst, der ein elektronischer Schutzwall (eine so genannte Firewall) zugeordnet ist. Beim Aufbau eines sogenannten VPN-Datenkanals zwischen dieser Firewall und einer weiteren Firewall auf Seite des Service-Rechners können von diesem aus Befehle und Abfragen über den VPN-Datenkanal erfolgen, die beispielsweise eine Maschinenfunktion oder einen Zustand der Bearbeitungsmaschine verändern oder abfragen.
-
Technische Aufgabenstellung
-
Diese Ausgestaltung des Fernzugriffs vermindert die Gefahr eines Eingriffs durch unbefugte Benutzer. Dennoch sind das System und die Prozedur nicht sicherheitsgerichtet, denn sie bieten keinen Schutz vor Fehlbedienungen oder vor Fehlfunktionen durch ein Software-Update während oder infolge des Fernzugriffs. So kann es während des Wartungsprozesses durch unvorhergesehene und ungewollte Fehlfunktionen der Maschine oder durch Installation und Ausführung fehlerhafter Software zu Fehlwartungen mit Gefahr für die Gesundheit des Bedienpersonals und Schäden an der Bearbeitungsmaschine kommen.
-
Eine sicherheitsgerichtete Auslegung des bekannten Fernzugriffsystems wäre auch mit anlagentechnischen und verfahrenstechnischen Mehraufwand, wie etwa Schaffung erhöhter Sicherheit durch telefonische Anweisungen und Rückfragen kaum realisierbar.
-
Der Erfindung liegt die Aufgabe zugrunde, ein System zur Fernwartung oder zur Diagnose einer computergesteuerten Bearbeitungsmaschine anzugeben, das eine einfachere Ausgestaltung eines sicherheitsgerichteten Zugriffs auf die Bearbeitungsmaschine und deren Maschinensteuerung ohne hohen anlagentechnischen und verfahrenstechnischen Aufwand ermöglicht.
-
Allgemeine Beschreibung der Erfindung
-
Diese Aufgabe wird ausgehend von einem System der eingangs genannten Gattung erfindungsgemäß dadurch gelöst, dass die maschinenseitige Firewall als Hardware-Komponente ausgebildet und mit einem Hardware-Ausgang versehen ist, der zur Schaltung der Maschinenfunktion dient.
-
Beim erfindungsgemäßen System zur Fernwartung ist diejenige Firewall, die der Maschinensteuerung zugeordnet ist, nicht als softwaregestützte Firewall, sondern als Hardware-Komponente ausgebildet, die dadurch gekennzeichnet ist, dass sie über einen Hardware-Ausgang verfügt. Dieser ist mit der Bearbeitungsmaschine oder mit der Maschinensteuerung verbunden und über diesen Hardware-Ausgang können ein oder mehrere ausgewählte Maschinenfunktionen oder -zustände, wie etwa das Ein- oder Ausschalten, ausgeführt werden.
-
Die Ansteuerung über den Hardware-Ausgang der maschinenseitigen Firewall erlaubt es, die Bearbeitungsmaschine unmittelbar nach dem Zustandekommen einer von außen kommenden oder nach außen abgehenden Datenverbindung in einen sicheren Zustand zu versetzen. Dabei handelt es sich beispielsweise um eine vollständige Abschaltung der Maschine, um ein Umschalten in den Hand- oder Einrichtbetrieb oder um das Einschalten eines Alarmzustandes zum Signalisieren erhöhter Vorsicht. Insbesondere können dabei die elektrischen Teile der Maschine und die Prozessgase abgeschaltet werden. Dieses Schalten der Maschine in den sicheren Zustand ist der eigentlichen Maschinensteuerung vorgeschaltet und somit deren Einwirkung entzogen. Eine möglicherweise schädliche Software der Maschinensteuerung oder ein fehlerhaftes Update dieser Software wirkt sich daher nicht unmittelbar – das heißt, während der Fernwartung – aus, sondern es ergibt sich die Möglichkeit einer Überprüfung, bevor die computergesteuerte Bearbeitungsmaschine wieder in ihren Automatikbetrieb versetzt wird.
-
Die ansonsten mögliche Kommunikation zwischen der maschinenseitigen Firewall und der Maschinensteuerung – in beiden Richtungen – kann somit zum Zweck der Wartung und Diagnose (im Folgen auch insgesamt als „Zugriff oder „Fernzugriff” bezeichnet) entfallen. Dadurch wird mit großer Sicherheit verhindert, dass die Bearbeitungsmaschine – sei es absichtlich oder versehentlich – kommunikationsbedingte Fehlfunktionen ausführt, die Menschen gefährden und zu Zeit- und Materialverlusten führen können.
-
Darüber hinaus ergibt sich auch eine höhere Verlässlichkeit der Datenübertragung im Hinblick auf die Autorisierung des Zugriffs auf die Bearbeitungsmaschine. Die ansonsten erforderliche Deutung der Maschinensteuerungs-Software, ob eine ordnungsgemäße und autorisierte Datenleitung zwischen der maschinenseitigen Firewall und dem Service-Rechner vorhanden ist, entfällt dabei ebenso wie die ständige Zustandsanfrage dahingehend, ob die Datenleitung noch besteht. Denn diese Informationen sind auch auf der maschinenseitigen Firewall sowieso vorhanden oder abrufbar, und zwar ohne vorgeschaltete Deutung durch die – möglicherweise manipulierte oder fehlerhafte – Software.
-
Aufgrund des Wegfalls der erwähnten Kommunikation zwischen maschinenseitiger Firewall und Maschinensteuerung ergibt sich zudem ein schnellerer Zugriff vom Service-Rechner auf die Maschinensteuerung.
-
Der mindestens eine Hardware-Ausgang beim erfindungsgemäßen System ermöglicht somit eine sicherheitsgerichtete Auslegung des Zugriffs auf die Maschinensteuerung (gemäß der Vorschrift „Sicherheit von Maschinen und Maschinensteuerungen"; EN 954 (Teil 1)) und zwar auf einfachere Weise als dies beim bisherigen Einsatz von softwaregesteuerten Ausgängen der Fall ist.
-
Es hat sich bewährt, wenn die Hardware-Komponente als Firewall ausgebildet ist, die den Datentransfer analysiert.
-
Die Hardware-Komponente stellt in dem Fall nicht nur den Hardware-Ausgang zur Schaltung der Maschinenfunktion bereit, sondern sie dient auch als Firewall zur Analyse eines Datenstroms in Bezug auf dessen Stichhaltigkeit und der Autorisierung des Datenzugriffs.
-
Der Datenkanal kann über das Internet oder über ein firmeninternes Intranet aufgebaut werden. Vorzugsweise ist der Datenkanal ein VPN-Kanal.
-
Ein VPN-Kanal ist ein zwischen maschinenseitiger Firewall und Service-Rechner aufgebauter Datentunnel, der eine weitgehend sichere Kommunikation ermöglicht.
-
Weiterhin hat es sich als günstig erwiesen, wenn der Hardware-Ausgang über eine Software angesprochen wird, die auf der maschinenseitigen Firewall als Firmware implementiert ist.
-
Eine als so genannte „Firmware” ausgestaltete Software ist im Auslieferungszustand fest installiert und wird nie oder nur unter besonderen Sicherheitsvorkehrungen verändert. Die Implementierung einer Software als „Firmware” vermindert daher die Gefahr einer Manipulation der Software. Die als ”Firmware” vorgegebene Software auf der maschinenseitigen Firewall zur Ansteuerung des zusätzlichen Hardware-Ausgangs vermindert daher die Gefahr durch versehentliche Veränderung oder absichtliche Manipulation, beispielsweise durch Viren.
-
Weiterhin hat es sich als vorteilhaft erwiesen, wenn der Hardware-Ausgang unter einer, unter mehreren oder allen der folgenden Bedingungen geschaltet wird:
- (a) der Datenkanal ist offen,
- (b) es erfolgt eine Kommunikation zu einem vorgegebenen Rechner mit vorgegebener Zieladresse,
- (c) es erfolgt eine Kommunikation über einen vorgegebenen Port der Firewall,
- (d) es erfolgt eine Kommunikation über ein vorgegebenes Protokoll.
-
Das erfindungsgemäße System kann eine oder mehrere der vorgegebenen Bedingungen prüfen und schaltet den Hardware-Ausgang nur unter der Bedingung frei, dass alle Bedingungen (a) bis (d) erfüllt sind oder mindestens eine davon. Je höher die Sicherheitsanforderungen sind, umso strenger ist die Erfüllung der Bedingungen zu beachten.
-
Bei einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Systems ist der maschinenseitigen Firewall ein Zielsystem zugeordnet, das mehrere, jeweils eine Zieladresse aufweisende Rechner umfasst, die jeweils über den Datenkanal erreichbar sind, wobei die Hardware-Ausgänge in Abhängigkeit von der Zieladresse zu dem Zielrechner geschaltet wird.
-
Diese Ausgestaltung des erfindungsgemäßen Systems ermöglicht eine flexible Zuweisung von einem der mehreren Hardware-Ausgänge der maschinenseitigen Firewall zu einem von mehreren Rechnern des Zielsystems, wobei der betreffende Zielrechner eine bestimmte Funktion der Maschine ausführt.
-
Dabei weist die maschinenseitige Firewall vorzugsweise mehrere Hardware-Ausgänge auf. Somit kann für eine bestimmte oder jede wichtige Maschinenfunktion ein eigener Hardware-Ausgang auf der maschinenseitigen Firewall vorgesehen sein. Als Beispiel hierfür sei ein ”Voice-over-IP”-Rechner (VoIP) genannt, der über einen eigenen VoIP-Hardware-Ausgang auf der maschinenseitige Firewall auf der Service-Seite angesprochen werden kann, woraufhin über den VoIP-Ausgang der Firewall ein Gerät auf der Maschinenseite eingeschaltet wird.
-
In dem Zusammenhang hat sich außerdem als vorteilhaft erwiesen, wenn die Hardware-Komponente mit einem sicherheitsgerichteten Datenbus versehen ist.
-
Über den Datenbus können gleichzeitig mehrere spezifische Aktionen ausgeführt werden.
-
Im einfachsten Fall ist der Hardware-Ausgang ein digitaler Ausgang.
-
Es hat sich bewährt, wenn eine vorangegangene oder gleichzeitige Schaltung eines VoIP-Hardware-Ausgangs als Zusatzbedingung für die Schaltung der Maschinenfunktion dient.
-
Die über den VoIP-Hardware-Ausgang eröffnete Kommunikationsmöglichkeit zwischen Serviceseite und Bedienpersonal der Bearbeitungsmaschine erhöht die Sicherheit und Verlässlichkeit des Fernzugriffs. Die Bereitschaft des VoIP-Hardware-Rechners auf der Maschinenseite kann beispielsweise durch eine Lampe oder einen Lautsprecher auf der Serviceseite signalisiert werden.
-
Weiterhin hat es sich als vorteilhaft erwiesen, wenn ein Auslöser zum Aufbau des Datenkanals als ein an der maschinenseitigen Firewall vorgesehener elektronischer Schlüssel ausgebildet, oder ein in der maschinenseitigen Firewall ausgelöster Schaltvorgang ist.
-
Bei dem elektronischen Schlüssel handelt es sich beispielsweise um einen sogenannten e-Token oder um ein anderes elektronisches Gerät, das einen elektronischen Schlüssel darstellt. Alternativ dazu kann ein Schalter vorgesehen sein, der nach Betätigung einen Schaltvorgang in der maschinenseitigen Firewall auslöst, der den Datenkanal öffnet. In beiden Fällen wird eine ungewollte softwaregesteuerte Auslösung zum Aufbau des Datenkanals verhindert. Der durch das Setzen des elektronischen Schlüssels aufgebaute Datenkanal kann dabei unmittelbar die Schaltung der Maschinenfunktion zur Einstellung des sicheren Betriebszustands auslösen. Dadurch, dass der elektronische Schlüssel von der – weniger manipulierbaren – Firewall identifiziert wird und nicht von der maschinenseitig installierten Software, wird die Sicherheit des Systems und des Zugriffs zusätzlich erhöht.
-
Bei einer besonders bevorzugten Ausführungsform des erfindungsgemäßen Systems ist vorgesehen, dass die maschinenseitige Firewall auf einer Hauptplatine eines maschinenseitigen Rechners implementiert ist, der mehrere Prozessoren aufweist, von denen einer der maschinenseitige Firewall ausschließlich zugeordnet ist, und über den die Firewall) alleinigen Zugriff auf den Hardware-Ausgang hat.
-
Das Betriebssystem des maschinenseitigen Rechners ist geeignet, mehrere Prozessoren anzusprechen, wie etwa die Kerne bei Dual-Core oder Quad-Core-Rechnern. Die maschinenseitige Firewall ist auf dem Motherboard eines mit der Maschinensteuerung verbundenen maschineneseitigen Rechners implementiert. Die Unabhängigkeit der Firewall und der Schaltung des Hardware-Ausgangs vom übrigen Rechner wird dadurch gewährleistet, dass der Firewall ein eigener Prozessorkern oder ein anderer unabhängiger Prozessor ausschließlich zugeordnet ist. Dieser ist somit von den übrigen Prozessoren insoweit entkoppelt, als nur dieser Prozessor die maschinenseitige Firewall und deren Ausgang bzw. deren Ausgänge ansprechen kann. Ein besonderer Vorteil dieser Ausführungsform liegt darin, dass als maschinenseitiger Rechner ein Standard-PC eingesetzt werden und eine externe oder als Steckkarte ausgeführte maschinenseitige Firewall entfallen kann.
-
Ausführungsbeispiel
-
Die Erfindung wird nachfolgend anhand eines Ausführungsbeispiels und einer Zeichnung näher erläutert. In schematischer Darstellung zeigt
-
1 den prinzipiellen Aufbau eines Systems gemäß der Erfindung zur Wartung oder Diagnose einer entfernten Brennschneidmaschine.
-
Das in 1 dargestellte System dient zur Fernkommunikation zwischen einem Service-Rechner 2 und einer Brennschneidmaschine, um auf dieser per Fernzugriff eine Wartung, Fehlerdiagnose, Software-Aktualisierung und gegebenenfalls eine Reparatur durchzuführen.
-
Das System umfasst serviceseitig den Service-Rechner 2, eine dem Service-Rechner 2 zugeordnete und als Steckkarte dargestellte Service-Firewall 3 sowie einen VoIP-Rechner 15, sowie auf Seite der zu wartenden Maschine ein Server-Netzwerk 6, eine weitere, maschinenseitige Firewall 5 sowie die computergesteuerte Brennschneidmaschine 10, die eine Maschinenelektronik 1, und einen mit der Maschinenelektronik 1 verbundenen maschinenseitigen Rechner 4 umfasst. Die Gesamtheit der der Brennschneidmaschine 10 zuzuordnenden Bauteile ist in 1 als Inhalt eines gestrichelten Rechtecks angedeutet.
-
Auf dem maschinenseitigen Rechner 4 ist eine Maschinen-Bediensoftware für die Bedienung und Steuerung der Maschinensteuerung 1 installiert sowie eine Software, die einen Fernzugriff auf die Maschinensteuerung 1 ermöglicht. Der maschinenseitige Rechner 4 ist durch die maschinenseitige Firewall 5, die ebenfalls in Form einer Einsteckkarte dargestellt ist, nach außen geschützt.
-
Der maschinenseitige Rechner 4 ist Teil eines Netzwerks, angedeutet durch das Server-Netzwerk 6, an dem noch weitere Rechner installiert sein können.
-
Der Service-Rechner 2 ist über die beiden Firewalls 3; 5 und das Server-Netzwerk 6 mit dem maschinenseitigen Rechner 4 mittels eines VPN-Datenkanals 7 verbunden, der zwecks Fernzugriff über das Internet 14 als Punkt-zu-Punkt-Verbindung zwischen den Firewalls 3, 5 ausgeführt ist und mittels der eine Fernwarteverbindung vom Servicerechner 2 auf den maschinenseitigen Rechner 4 oder direkt auf die Maschinensteuerung 1 hergestellt wird.
-
Aus Sicherheitsgründen ist der Fernzugriff nur möglich, wenn auf beiden Rechnern 2, 4 ein so genannter e-Token 8 eingesteckt ist, der zur Identifizierung dient.
-
Zur Initialisierung des Fernzugriffs richtet der Service-Rechner 2 eine Anfrage an den Client-Computer 4 und wartet darauf, dass der Maschinenbetreiber den entsprechenden e-Token 8 einsetzt und so die Brennschneidmaschine 1 für den Fernzugriff freischaltet. Alternativ ist es auch möglich, dass der Servicemitarbeiter telefonisch beim Maschinenbetreiber um die Freischaltung bittet. Sobald durch Einsetzen des e-Tokens 8 der Fernzugriff freigeschaltet ist, wird die VPN-Verbindung über das Internat 14 hergestellt. Im Unterschied zu den bekannten Systemen zur Fernwartung verfügt die maschinenseitige Firewall 5 über mehrere Hardware-Ausgänge 11, 12, 13, denen unterschiedliche Funktionen der Maschinensteuerung zugeordnet sind, darunter ein weiterer (nicht dargestellter) ”Voice-over-IP-Rechner”, mittels dem eine Lampe eingeschaltet wird, der die Bereitschaft des VoIP-Rechners auf der Service-Seite signalisiert. Diese Firewall-Ausgänge 11, 12, 13 sind über ein Bussystem 9 mit der Maschinensteuerung 1 verbunden.
-
Die maschinenseitige Firewall 5 schaltet die Hardware-Ausgänge 11, 12, 13 nur unter der Bedingung frei, dass der VPN-Datenkanal 7 offen ist, dass eine Kommunikation mit dem Service-Rechner 2, der durch seine Zieladresse Identifizierbar ist über einen vorgegebenen Port der maschinenseitigen Firewall 5 und über ein vorgegebenes Protokoll erfolgt. Diese Prüfung wird von einer Software ausgeführt, die auf der maschinenseitigen Firewall 5 als „Firmware” implementiert ist.
-
Der Service-Rechner 2 kann insoweit per Fernwartung auf die Brennschneidmaschine 10 beziehungsweise auf die Maschinensteuerung 1 zugreifen; er kann jedoch nicht die Hardware-Ausgänge 11, 12, 13 und die diesen Ausgängen zwangsläufig zugeordneten Funktionen oder Zustände setzen. Diese Funktionen und Zustände sind der unmittelbaren Einwirkung des Service-Rechners entzogen und werden automatisch gesetzt. Die auf der maschinenseitigen Firewall 5 installierte Software überwacht den Datentransfer und setzt die vorgegebenen Ausgänge (11, 12 und/oder 13) und die damit verbundenen Funktionen und Zustände der Maschinensteuerung 1 in Abhängigkeit vom Datenstrom, der Zieladresse oder des angesprochenen Ports, wie oben beschrieben.
-
Besonders wichtig ist dabei das Setzen desjenigen Hardwareausgangs (11; 12 oder 13), der die Brennschneidmaschine 10 vor dem serviceseitigen Zugriff auf die Maschinensteuerung 1 zwangsweise und unabweislich in einen gesicherten Zustand versetzt. Dies bedeutet im Ausführungsbeispiel, dass nach dem Zustandekommen einer von außen kommenden Datenverbindung die elektrischen Teile 1 der Brennschneidmaschine 10 und die Prozessgase abgeschaltet werden. Dieses Schalten der Brennschneidmaschine 10 in den sicheren Zustand ist der eigentlichen Maschinensteuerung 1 vorgeschaltet und somit deren Einwirkung entzogen.
-
Bei einer alternativen Ausführungsform des Systems ist vorgesehen, dass der e-Token 8 anstelle am maschinenseitigen Rechner 4 direkt an der Hardware-Firewall 5 eingesteckt wird, wie in 1 durch gestrichelte Darstellung angedeutet. Dies ermöglicht eine unmittelbare Identifizierung ohne Umweg über den (möglicherweise manipulierten) maschinenseitigen Rechner 4, was die Sicherheit des Zugriffs zusätzlich erhöht.
-
Dadurch ergeben sich beim erfindungsgemäßen System ein schneller Zugriff und insbesondere eine höhere Sicherheit der Datenübertragung und eine einfachere sicherheitsgerichtete Auslegung des Fernzugriffs.
-
Bei einer alternativen (nicht dargestellten) Ausführungsform des erfindungsgemäßen Systems ist die maschinenseitige Firewall 5 kein externes Bauteil oder eine Einsteckkarte, sondern sie ist unmittelbar auf der Hauptplatine des maschinenseitigen Rechners 4 implementiert und somit Teil dieses Rechners 4. Um auch in dem Fall sicherzustellen, dass das Betriebssystem des möglicherweise infizierten oder auf andere Weise absichtlich oder unabsichtlich fehlgesteuerten maschinenenseitigen Rechners 4 oder des Service-Rechners 2 auf die Hardwareausgänge (11, 12, 13) der maschinenenseitigen Firewall zugreifen kann, ist hierbei folgendes ergänzend vorgesehen:
Der maschinenseitige Rechner 4 verfügt über zwei Prozessorkerne (Dual-Core-Prozessor), wobei das Betriebssystem so ausgelegt ist, dass einer der beiden Prozessorkerne ausschließlich für den Zugriff und die Schaltung der sicherheitsgerichteten Hardwareausgänge (11, 12, 13) der Hardware-Firewall vorgesehen ist.
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Nicht-Patentliteratur
-
- Norm EN 954 (Teil 1) [0002]
- „Sicherheit von Maschinen und Maschinensteuerungen”; EN 954 (Teil 1) [0013]