欧盟新《机械法规》（EU 2023/1230）将于2027年1月20日全面取代沿用近20年的机械指令（2006/42/EC）。在一堆变化里，有一条很容易被传统机械企业忽略，但后果很严重：新法规首次将网络安全纳入机械安全的强制性要求。

具体来说，附件III第1.1.9条（防止篡改）和第1.2.1条a）及f）（控制系统安全）明确要求——机械的网络连接不得引入新的危险，安全相关的硬件、软件和数据必须受到保护。

法规写了要求，但没有写怎么做。为了把这些要求变成可操作的技术规范，CENELEC（欧洲电工标准化委员会）TC 44X工作组正在制定一项协调标准——prEN 50742:2025《机械安全——防止篡改的保护》（Safety of machinery — Protection against corruption）。

一旦正式发布并列入欧盟官方公报，遵循该标准的机械将自动获得CE标志的合规推定（presumption of conformity）。换句话说，EN 50742 很可能成为出口欧盟机械企业在网络安全维度上最直接的合规路径。

这篇文章帮你把这个标准彻底拆开看一遍。

先搞清楚一个概念："corruption"？

标准的英文全称里有一个词"corruption"，这不是通常意义上的"腐败"或"损坏"，而是一个专业术语，指的是对机械安全相关数据的意外或非法修改，从而可能导致危险情况。

标准起草者在文本中明确了一个核心理念，我觉得这句话值得单独拿出来说：

脆弱性本身不创造新的危险。它们能做的是削弱或绕过已有的风险降低措施。

这句话定义了整个标准的边界——EN 50742 不是一个通用的IT安全标准，它不关心你的机械是否会被拿来挖矿或者泄露商业数据。它只关心一件事：有没有人能通过数字手段（无论是意外操作还是恶意攻击）篡改机械的安全功能，从而导致人身伤害。

正因如此，标准明确规定：是否可能成为攻击目标的概率，不应作为威胁评估的相关因素。这个立场很值得注意——它意味着你不能用"我们这个行业谁会来黑一台包装机"来回避合规义务。

适用范围：比你想的宽

EN 50742 适用于所有含有数字化元素（PLC、HMI、变频器、传感器、网络接口等）的机械，只要这些元素可能影响机械的安全性。覆盖全生命周期：开发、制造、调试、运行、维护、停用。

标准里对"连接"的定义非常广泛。以太网、WiFi、现场总线（PROFINET、EtherNet/IP）这些不用说，USB接口、SD卡槽、串口、电源线（电力线通信）、云服务接口、甚至临时带到现场的服务笔记本电脑，统统算在内。

不适用的情况有两种：标准发布前已安装的机械，以及完全不具备任何连接可能性的纯机械设备——标准原文举的例子是"一台完全没有任何连接可能性的简单钻床"。

时间线

这个标准目前还处于草案阶段（prEN），各国标准机构的公示日期略有差异：BSI（英国）的公示日期是2025年12月5日，截止2026年1月28日；奥地利标准机构的公示日期是2026年1月15日，截止2月15日；CENELEC层面的投票截止日为2026年2月27日。

关于正式发布时间，IBF（International Buyer Forum）的分析认为最早可能在2026年3月，但考虑到草案直到2026年初才公布，更可能在2026年底正式发布。

无论如何，2027年1月20日新机械法规全面生效这个硬节点是不会变的。

两条路径：方法A和方法B

EN 50742 的一个务实设计是提供了两条可选的合规路径。

方法A（对应标准的第5章和第7章）是标准自己定义的一套完整要求，涵盖认证（Authentication）、授权（Authorization）、完整性（Integrity）、日志记录（Logging）、密码学（Cryptography）和真实性（Authenticity）六个维度。适合尚未建立IEC 62443体系的企业，要求比较直观，可以直接对照执行。

方法B（对应第6章和第8章）则直接对接IEC 62443系列标准——具体引用了EN IEC 62443-4-1（安全产品开发生命周期）、EN IEC 62443-3-3（系统安全要求）和EN IEC 62443-4-2（组件安全要求）。标准以表格形式明确列出了机械系统和机械组件分别需要满足的IEC 62443安全要求子集，不需要企业自己去猜"62443里这么多条款，哪些跟机械安全有关"。

两种方法选其一即可。如果企业已经有IEC 62443的认证基础或实施经验，方法B可以复用已有工作；如果从零开始，方法A的门槛更低，理解成本也更小。

SRSL：一个全新的安全分级概念

EN 50742 引入了一个叫SRSL（Safety-Related Security Level，安全相关安全等级）的概念，分四级。这个概念的设计意图是把安全保护要求与实际威胁水平挂钩，而不是一刀切。

SRSL0用于完全隔离的安全系统，没有任何外部接口，不需要额外的安全措施。SRSL1对应低攻击潜力场景，要求基本的认证、授权和启动时的完整性校验。SRSL2对应中等攻击潜力，增加了定期完整性验证和安装时的密码学签名验证。SRSL3是最高级别，适用于连接不受信任网络（比如互联网）的场景，要求唯一认证、运行期间的密码学完整性验证和安全启动。

那怎么确定一个安全功能应该适用哪个SRSL？标准附录B给出了一套量化方法，核心公式是：

AP = (EL × WoO) + AC

三个参数分别是：

• EL（暴露级别），从EL0到EL4共五级，对应不同的攻击面。EL0是设备内部（比如锁定柜里PLC的背板），分值为0；EL1是物理接口（比如柜体边缘的USB口），分值2；EL2是本地OT网络（工业以太网、现场总线），分值5；EL3是工厂IT/OT边界网络，分值16；EL4是直接连接互联网，分值24。分值跳跃很大，这反映了攻击面扩大带来的风险是非线性增长的。

• WoO（机会窗口），反映攻击者实际能接触设备的时间有多长。非常受限的场景（比如设备处于持续监控下）乘数为0.6，无限开放的场景乘数为1。

• AC（攻击者能力），从训练有素的黑客（值=1）到脚本小子（值=4）。注意这里的逻辑是反直觉的——能力越高，数值越低。原因是标准假设高技能攻击者更少见，但一旦出现，威胁更大，所以在公式里它是一个加法项而非乘法项。

举个具体例子：一台工厂里的成型-填充机，安全PLC通过工业以太网（EL2=5）连接标准PLC，维护访问适度受限（WoO=0.8），假设最低技能的攻击者（AC=4），那么AP = (5 × 0.8) + 4 = 8，落在AP1区间（5.1-10，低攻击潜力）。如果安全功能的危害严重性为"高/不可逆"，查映射表得到SRSL1。

这套方法的好处是把主观判断变成了可量化、可审计的过程。

至少五年日志保存时限

EN 50742 对日志记录的要求非常具体，这可能是对传统机械企业冲击最大的一条。

标准要求所有安全相关的干预行为——包括安全配置参数的变更、SRESW（安全相关嵌入式软件）和SRASW（安全相关应用软件）的更新或修改、可能产生危险的HMI参数化、以及安全说明显示软件的变更——必须由机械自动记录。注意是"自动"，不能依赖人工操作。

每条日志至少要包含：干预类型指示、时间关联手段（时间戳、启动计数或运行计数器）、以及日志文件本身被删除的记录。

追踪日志的保存期限是至少五年，从机械投入使用时起启用。日志必须防篡改，删除操作仅允许通过授权程序进行。如果使用二进制格式存储，必须提供格式文档，确保任何人都可以编写转换器使日志可读。

当数字证据收集不具合理可行性时（比如某些极简控制器确实没有足够的存储和计算资源），标准允许使用物理证据作为替代，比如防篡改封签。

对于很多传统机械企业来说，产品架构里根本没有预留日志存储和管理的空间。这不是一个可以后期打补丁解决的问题，需要在产品设计阶段就纳入考虑。

和CRA是什么关系？

这是被问得最多的问题之一。简单说：两者都需要满足，但关注的问题不同。

面对同一台联网的工业机械，机械法规（通过EN 50742）问的是：有人能通过数字手段干扰你的机器，导致人身事故吗？CRA问的是：你的产品在整个生命周期内数字化安全吗？

一台机器完全可以满足机械法规的网络安全要求（安全功能没有被篡改的风险），但仍然不符合CRA的要求（比如没有建立漏洞管理流程、没有提供安全更新机制）。CRA序言第53条把这一点说得很明确：机械制造商必须同时满足两项法规的要求。

时间线上也有一个需要注意的差异：

也就是说，CRA的漏洞报告义务比机械法规的全面生效日期还早了4个月。如果你的产品同时受两部法规约束，2026年9月就是第一个硬性节点。

好消息是，如果企业采用EN 50742方法B（对接IEC 62443），很多工作可以与CRA合规共享。IEC 62443-4-1本身就包含了漏洞管理、安全更新等CRA关注的流程要求，不需要重复建设。

对中国出口企业意味着什么

在和一些国内机械制造商交流的时候，我听到最多的两句话是："我们是做机械的，不懂网络安全"，以及"我们只有一个固件工程师，他也不会做威胁建模"。

我理解这种反应，但现实是——根据新机械法规的定义，出口欧盟的整机，只要包含任何数字化元素（控制器、变频器、嵌入式电子等），都需要纳入评估。纯机械件、无任何电控的设备不在适用范围内。"不懂"和"没人"都不再是理由，除非你准备放弃欧洲市场。

从实际影响来看，几个问题需要尽早考虑：

• 产品架构层面，日志存储能力、安全启动机制、软件完整性验证等功能需要在硬件和固件设计阶段就预留。这些不是靠后期改软件能解决的，尤其是对于成本敏感的标准化产品线，留到最后改架构的代价远比提前规划高得多。

• 供应链层面，如果你的机械使用了第三方的安全PLC、变频器或传感器，你需要确认这些组件供应商能提供相应的安全能力声明。EN 50742方法B中的表4明确列出了机械组件需要满足的IEC 62443-4-2安全要求子集，这些要求最终会沿着供应链向上传导——你的合规问题，迟早会变成你供应商的合规问题。

• 认证和文档层面，威胁评估报告、SRSL确定记录、安全环境定义文档、使用信息中的安全说明——这些都是CE技术文档的必要组成部分。合规不仅仅是产品本身做到了，还需要能证明你做到了。对于习惯了"产品能用就行"的团队来说，这个文档化要求本身就是一道坎。

• 组织能力层面，传统的机械设计团队通常不具备网络安全评估能力。无论是内部培养还是借助外部资源，这个能力缺口需要尽早填补。等到客户或认证机构问你"你的威胁评估是谁做的"再去找人，时间上大概率来不及。

最后

EN 50742 本质上是在回应一个已经发生的现实：今天的机械不再是纯粹的机电产品，它们联网、运行软件、远程维护、接入云平台。当安全功能依赖于软件和数据的完整性时，网络安全就不再是一个可选项，而是功能安全的前提条件。

标准目前还在草案阶段，最终版本可能会有调整。但核心框架——两种合规路径、SRSL分级、日志保存、威胁评估方法论——大概率不会有方向性的改变。2027年1月离现在看起来还有距离，但产品设计周期、供应链协调和认证流程叠加起来，留给企业的准备窗口其实并不宽裕。

本文基于 prEN 50742:2025 草案编写，最终标准内容以正式发布版本为准。