FA103924 ISSN 0335-3931

norme européenne NF EN 81-2/A1

Février 2006

Indice de classement : P 82-310/A1

ICS : 91.140.90

Règles de sécurité pour la construction

et l'installation des ascenseurs
Partie 2 : Ascenseurs hydrauliques

E : Safety rules for the construction and installation of lifts — Part 2: Hydraulic lifts
D : Sicherheitsregeln für die Konstruktion und den Einbau von Aufzügen —
Teil 2: Hydraulisch betriebene Personen- und Lastenaufzüge
© AFNOR 2006 — Tous droits réservés

Amendement A1
à la norme homologuée NF EN 81-2 de novembre 1998, homologué
par décision du Directeur Général d'AFNOR le 20 janvier 2006 pour prendre effet
le 20 février 2006.

Correspondance L'amendement A1:2005 à la Norme européenne EN 81-2:1998 a le statut d'une

norme française.

Analyse Le présent document couvre les aspects qu’il est nécessaire de prendre en considé-
ration lorsque des systèmes électroniques programmables (PESSRAL) sont utilisés
pour réaliser des fonctions de sécurité électriques dans le domaine d’application
de l’EN 81-2:1998 et EN 81-2/A2:2004.

Descripteurs Thésaurus International Technique : ascenseur, monte-charge, matériel hydrauli-

que, règle de construction, règle de sécurité, prévention des accidents, installation
électrique, composant électronique, logiciel, dispositif de commande, système de
commande, appareil de surveillance, fiabilité, sûreté de fonctionnement, danger,
défaillance, essai de conformité, certification.

Modifications

Corrections

Éditée et diffusée par l’Association Française de Normalisation (AFNOR) — 11, rue Francis de Pressensé — 93571 La Plaine Saint-Denis Cedex
Tél. : + 33 (0)1 41 62 80 00 — Fax : + 33 (0)1 49 17 90 00 — www.afnor.fr

© AFNOR 2006 AFNOR 2006 1er tirage 2006-02-F

Ascenseurs et monte-charge AFNOR P82A

Membres de la commission de normalisation

Président : M BOURGOUIN
Secrétariat : MME MICHELET — AFNOR

M ACHINO OLEODYNE SA
M AUBRY ARC
M BAUER SECURITE CONSEIL EXPERTISES SCE
M BIANCHINI KONE ELEVATORS
M BIBOLLET APPAVE — APAVE PARISIENNE
MME BLANC ICF — IMMOBILIERE DES CHEMINS DE FER
MR BLEAS KONE ASCENSEURS
M BOURGOUIN PREFECTURE DE POLICE
M BOUTILLIER JBT SARL
M BRION SNCF
M BURBAUD SDIS
M CADEAU FEDERATION DES ASCENSEURS
M CASANOVA DGE / DARQSI / SQUALPI
M CLUSAZ UNION SOCIALE POUR L HABITAT
M CONSTANTIN COFNA
M CORNEILLE UTE
M CORNU THENARD CNAB
M COTE RATP
M DE MAS LATRIE OTIS
MME DI COSTANZO HABITAT & TERRITOIRES CONSEIL — AGENCE IDF
M DORE ETB
M DUPAYS FELLER INDUSTRIES LORRAINE
M DURAND CONSULTEC
M DUSSART APAVE GROUPE
MME DUSSAUGEY CISMA
M ESPINOSA ELTRON
M EVRARD CNAMTS
M FAYOL THYSSENKRUPP ELEVATOR MANUFACTURING
M FERRIER-CANA COFNA
MR FEUILLARD SECA — SOC ETUDES CONSTRUCTION ASCENSEURS
M FRILOUX FRANCE ELEVATEURS SA
M GENAIN DGCCRF
M GEORGES ANPA C/O ILEX
M GROSMANN CRAM ILE DE FRANCE
M HANRIOT WITTUR SARL
M HAON COFEX
M HAUTESSERRES SODIMAS SA
M HENRION FRANCOIS-PIERRE HENRION
M HERNANDEZ ASCAUDIT
M HOUGUET SCHINDLER SA
MME HUBERT EUROGIP
M JANIN DTT — DION TRANSPORTS TERRESTRES
M KLEIN ASCIER
M KOEHL RATP
CDT KOLB DION DEFENSE & SECURITE CIVILES
 —3— NF EN 81-2/A1:2006

M LAMALLE OTIS
MME LARRIBET DGE / SIMAP
M LE LANDAIS ASCENSEUR CONTROLE CONSEIL — A2C
M LE ROUX UNM
M LE ROYER CONSULTEC
M LEGAULT SFA KONE — DPT ASCENSEURS SOULIER
M LEVASSEUR DGUHC
M LUCQUIAUD RATP
M MACHABERT SFA KONE — DPT ASCENSEURS SOULIER
M MARTIN BUREAU VERITAS
M MARY AUTINOR
M MENIGAULT BN ACIER
M MEUNIER SFA KONE
M MILI SECURITE CONSEIL EXPERTISES SCE
M MIQUEROL RATP
MR MISPLON SARL ALFORT ELEVATEUR
M MOISAN ETNA FAPEL
M MONTALTI CRAM SUD-EST
M MORLIER ERMHES
M MURCIANO DGUHC
M NOEL SCHINDLER SA
M PANIER S2EA
M PAULOS CABINET GERARD RABEC
M PELLET SLYCMA SA
MME RENDU DRT — DION RELATIONS TRAVAIL
MLLE ROUXEL DRT — DION RELATIONS TRAVAIL
M SAITTA CNAMTS
M SANTAROSSA OCTE ASCENSEURS
M SEHKI DRT — DION RELATIONS TRAVAIL
M TAILLANDIER NTC
MR TRUCCO GESTION IMMOBILIERE J. TRUCCO
MME TUSSIOT ALPHALEV SARL
M VANDENBUSSCHE ETS HENRI PEIGNEN SA
M VAZ DE MATOS BRIGADE SAPEURS POMPIERS PARIS
CDT WAECKERLI BRIGADE SAPEURS POMPIERS PARIS

Avant-propos national

Références aux normes françaises

La correspondance entre les normes mentionnées à l'article «Références normatives» et les normes françaises
identiques est la suivante :
EN 61508-1 : NF EN 61508-1 (indice de classement : C 46-061)
EN 61508-2 : NF EN 61508-2 (indice de classement : C 46-062)
EN 61508-3 : NF EN 61508-3 (indice de classement : C 46-063)
EN 61508-4 : NF EN 61508-4 (indice de classement : C 46-064)
EN 61508-5 : NF EN 61508-5 (indice de classement : C 46-065)
EN 61508-7 : NF EN 61508-7 (indice de classement : C 46-067)
NORME EUROPÉENNE EN 81-2:1998/A1
EUROPÄISCHE NORM
EUROPEAN STANDARD Novembre 2005

ICS : 91.140.90

Version française

Règles de sécurité pour la construction et l'installation des ascenseurs —

Partie 2 : Ascenseurs hydrauliques

Sicherheitsregeln für die Konstruktion Safety rules for the construction

und den Einbau von Aufzügen — and installation of lifts —
Teil 2: Hydraulisch betriebene Personen- Part 2: Hydraulic lifts
und Lastenaufzüge

Le présent amendement A1 modifie la Norme européenne EN 81-2:1998.

Il a été adopté par le CEN le 13 mai 2005.

Les membres du CEN sont tenus de se soumettre au Règlement Intérieur du CEN/CENELEC qui définit les
conditions dans lesquelles doit être attribué, sans modification, le statut de norme nationale à la norme
européenne.

Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être obtenues
auprès du Secrétariat Central ou auprès des membres du CEN.

Le présent amendement existe en trois versions officielles (allemand, anglais, français). Une version faite dans
une autre langue par traduction sous la responsabilité d'un membre du CEN dans sa langue nationale, et notifiée
au Secrétariat Central, a le même statut que les versions officielles.

Les membres du CEN sont les organismes nationaux de normalisation des pays suivants : Allemagne, Autriche,
Belgique, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie,
Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Royaume-Uni,
Slovaquie, Slovénie, Suède et Suisse.

CEN
COMITÉ EUROPÉEN DE NORMALISATION

Europäisches Komitee für Normung

European Committee for Standardization

Secrétariat Central : rue de Stassart 36, B-1050 Bruxelles

© CEN 2005 Tous droits d’exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde
entier aux membres nationaux du CEN.
Réf. n° EN 81-2:1998/A1:2005 F
Page 2
EN 81-2:1998/A1:2005

Sommaire
Page

Avant-propos ...................................................................................................................................................... 3

1 Modifications de l’Article 0 .............................................................................................................. 4

2 Modifications de l’Article 2 .............................................................................................................. 4

3 Modifications de l’Article 3 .............................................................................................................. 4

4 Modifications de l’Article 14 ............................................................................................................ 5

5 Modifications de l’Article 16 .......................................................................................................... 11

6 Modifications de l’Annexe A .......................................................................................................... 11

7 Modifications de l’Annexe F .......................................................................................................... 13

8 Nouvelle Annexe M ......................................................................................................................... 14

Annexe ZA (informative) Relation entre la présente norme européenne et les exigences essentielles
de la Directive UE 95/16/CE ......................................................................................................... 19
 Page 3
EN 81-2:1998/A1:2005

Avant-propos

Le présent document (EN 81-2:1998/A1:2005) a été élaboré par le Comité Technique CEN/TC 10 «Ascenseurs,
escaliers mécaniques et trottoirs roulants», dont le secrétariat est tenu par AFNOR.
Cet amendement à la Norme européenne EN 81-2:1998 devra recevoir le statut de norme nationale, soit par publi-
cation d'un texte identique, soit par entérinement, au plus tard en mai 2006, et toutes les normes nationales en
contradiction devront être retirées au plus tard en mai 2006.
Le présent document a été élaboré dans le cadre d'un mandat donné au CEN par la Commission Européenne et
l'Association Européenne de Libre Échange et vient à l'appui des exigences essentielles de la (de) Directive(s) UE.
Pour la relation avec la (les) Directive(s) UE, voir l'Annexe ZA, informative, qui fait partie intégrante du présent
document.
L’édition de 1998 de la norme EN 81-2, dans 14.1.2.1.1 b) 3) et l’Annexe H prévoit l’utilisation de composants
électroniques dans les circuits de sécurité et donne des prescriptions pour le matériel. Cet amendement étend
leur utilisation pour autoriser l’incorporation de logiciel (systèmes électroniques programmables — PESSRAL).
Cet amendement A1 couvre les aspects qu’il est nécessaire de prendre en considération lorsque des systèmes
électroniques programmables (PESSRAL) sont utilisés pour réaliser des fonctions de sécurité électriques dans le
domaine d’application de l’EN 81-2:1998 et EN 81-2:1998/A2:2004.
Cet amendement A1 couvre les précautions additionnelles nécessaires en remplaçant les textes existants
concernés de l’EN 81-2:1998 ou en ajoutant de nouvelles prescriptions comme indiqué.
NOTE La rédaction et la présentation du texte amendé ont été adaptées pour correspondre à la présentation
de EN 81-2:1998.

Selon le Règlement Intérieur du CEN/CENELEC, les instituts de normalisation nationaux des pays suivants sont
tenus de mettre cette Norme européenne en application : Allemagne, Autriche, Belgique, Chypre, Danemark,
Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Lituanie, Luxembourg,
Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Royaume-Uni, Slovaquie, Slovénie, Suède
et Suisse.
Page 4
EN 81-2:1998/A1:2005

1 Modifications de l’Article 0
Un nouveau paragraphe 0.2.6 doit être ajouté comme suit :

«0.2.6 L’analyse de risque, la terminologie et les solutions techniques ont été étudiées en tenant compte des
méthodes de la série de normes EN 61508. Ceci a conduit à une nécessaire classification des fonctions de sécu-
rité réalisables par des PESSRAL.»
Le paragraphe 0.3.5 doit être modifié comme suit :

«0.3.5 Les prescriptions de la présente norme européenne en ce qui concerne les dispositifs électriques de
sécurité sont telles que l'éventualité d'une défaillance d'un dispositif électrique de sécurité (voir 14.1.2.1.1 b))
conforme à toutes les prescriptions de la présente norme européenne n'est pas prise en considération.»

2 Modifications de l’Article 2
L’article 2 doit être complété comme suit :

«EN 61508-1:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 1 : Prescriptions générales (CEI 61508-1:1998 + corrigendum 1999).

EN 61508-2:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 2 : Prescriptions pour les systèmes électriques/électroniques/électroniques program-
mables relatifs à la sécurité (CEI 61508-2:2000).

EN 61508-3:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sûreté — Partie 3 : Prescriptions concernant les logiciels (CEI 61508-3:1998 + corrigendum 1999).

EN 61508-4:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 4 : Définitions et abréviations (CEI 61508-4:1998 + corrigendum 1999).

EN 61508-5:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 5 : Exemples de méthodes de détermination des niveaux d'intégrité de sécurité
(CEI 61508-5:1998 + corrigendum 1999).

EN 61508-7:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 7 : Présentation de techniques et mesures (CEI 61508-7:2000).»

3 Modifications de l’Article 3
L’article 3 doit être complété comme suit :

«système électronique programmable dans les applications liées à la sécurité des ascenseurs (PESSRAL)
(programmable electronic system in safety related applications for lifts (PESSRAL))
(programmierbares elektronisches System in sicherheitstechnisch relevanten Anwendungen für Aufzüge
(PESSRAL))
système de commande, de protection ou de surveillance, basé sur un ou plusieurs dispositif(s) électronique(s)
programmable(s), incluant tous les éléments du système tels qu’alimentation, capteurs et autres dispositifs
d’entrée, autoroutes de données et autres voies de communication et actionneurs ou autres dispositifs de sortie,
utilisé dans les applications relatives à la sécurité des ascenseurs telles que mentionnées dans les Tableaux A.1
et A.2

temps de réaction système

(system reaction time)
(Systemreaktionszeit)
somme des deux valeurs suivantes :
a) délai entre l’apparition d’une défaillance dans le PESSRAL et l’initiation de l’action correspondante sur
l’ascenseur ;
b) délai nécessaire pour que l’ascenseur réponde à l’action, conservant un état sûr.
 Page 5
EN 81-2:1998/A1:2005

niveau d’intégrité de sécurité (SIL)

(safety integrity level)
(Sicherheits-Integritätlevel)
niveau discret permettant de spécifier les prescriptions concernant l’intégrité de sécurité des fonctions de sécurité
à allouer au PESSRAL
NOTE Dans la présente norme européenne, SIL 1 possède le plus bas degré d’intégrité et SIL 3 possède le plus haut.

4 Modifications de l’Article 14
L’article 14.1.2.1.1 b) doit être complété comme suit :
« 4) soit des systèmes électroniques programmables répondant à 14.1.2.6.»
Un nouvel article 14.1.2.6 doit être ajouté comme suit :

«14.1.2.6 Systèmes électroniques programmables dans les applications liées à la sécurité des
ascenseurs (PESSRAL)
Les Tableaux A.1 et A.2 donnent le niveau d’intégrité de sécurité de chaque dispositif électrique de sécurité.
Les systèmes électroniques programmables conçus selon 14.1.2.6 répondent aux prescriptions de 14.1.2.3.2.
Les prescriptions minimales concernant les fonctions de sécurité communes à tous les SILs sont mentionnées
dans les Tableaux 7, 8 et 9. De plus, les mesures spécifiques requises pour les SILs 1, 2 et 3 sont listées respec-
tivement dans les Tableaux 10, 11 et 12.
NOTE Les paragraphes de l’EN 61508-7:2001 mentionnés dans les Tableaux 7 à 12 font référence aux prescriptions
de l’EN 61508-2:2001 et de l’EN 61508-3:2001.

Pour éviter des modifications non sûres, des mesures doivent être prises pour empêcher tout accès non autorisé
au programme de code et aux données liées à la sécurité du PESSRAL, par exemple en utilisant une EPROM,
un code d’accès, etc.
Si un PESSRAL et un système non lié à la sécurité partagent le même matériel, les prescriptions pour les
PESSRAL doivent être appliquées à l’ensemble.
Si un PESSRAL et un système non lié à la sécurité partagent la même carte de circuit imprimé, les prescriptions
de 13.2.2.3 s’appliquent pour la séparation entre les deux systèmes.»
Les tableaux suivants sont ajoutés :

Tableau 7 — Mesures communes pour éviter et détecter les défaillances — Conception matérielle

Référence
N° Objet Mesure
EN 61508-7:2001

1 Unité Utilisation d’un chien de garde. A.9

de traitement

2 Sélection Utilisation de composants uniquement dans les limites

des composants de leurs spécifications.

3 Unités d’entrée-sortie État défini et sûr lors d’une défaillance d’alimentation

et interfaces, ou d’une ré-initialisation.
y compris les liaisons
de communication

4 Alimentation État de coupure défini et sûr en cas de surtension ou de sous-tension. A.8.2

5 Zones de mémoire N’utiliser que des mémoires à semi-conducteurs.

des variables

(à suivre)
Page 6
EN 81-2:1998/A1:2005

Tableau 7 — Mesures communes pour éviter et détecter les défaillances — Conception matérielle (fin)
(suite)

Référence
N° Objet Mesure
EN 61508-7:2001

6 Zones de mémoire Test de lecture/écriture de la mémoire des variables durant la procédure

des variables d’initialisation.

7 Zones de mémoire Accès à distance uniquement aux données informatives

des variables (par exemple statistiques).

8 Zones de mémoire Pas de possibilité de modifier le programme, ni automatiquement

des constantes par le système, ni par une intervention à distance.

9 Zones de mémoire Test de la mémoire programme et de la mémoire des données invariantes A.4.2
des constantes durant la procédure d’initialisation par une méthode au moins équivalente
à la somme de contrôle.

Tableau 8 — Mesures communes pour éviter et détecter les défaillances — Conception logicielle

Référence
N° Objet Mesure
EN 61508-7:2001

1 Structure Structure du programme (c.-à-d. modularité, traitement des données, B.3.4/C.2.1

définition des interfaces) conforme aux règles de l’art (voir EN 61508-3). C.2.9/C.2.7

2 Procédure Durant la procédure d’initialisation, l’ascenseur doit être maintenu

d’initialisation un dans état sûr.

3 Interruptions Usage limité des interruptions. Utilisation d’interruptions imbriquées C.2.6.5

uniquement si toutes les séquences possibles d’interruptions
sont prédictibles.

4 Interruptions Pas de réarmement de chien de garde par une procédure d’interruption, A.9.4
excepté en combinaison avec d’autres conditions de séquence
du programme.

5 Mise hors tension Pas de procédure de mise hors tension, telle que la sauvegarde
de données, pour les fonctions relatives à la sécurité.

6 Gestion mémoire Gestionnaire de pile par le matériel et/ou le logiciel avec procédure C.2.6.4/C.5.4
de réaction appropriée.

7 Programme Boucles d’itérations inférieures au temps de réaction système,

par exemple en limitant le nombre d’itérations ou en contrôlant
la durée d’exécution.

8 Programme Vérification du décalage des pointeurs de tableaux, si cette vérification C.2.6.6

ne fait par partie intégrante du langage de programmation utilisé.

9 Programme Traitement défini des exceptions (par exemple division par zéro,
débordement, vérification des bornes des variables, etc.)
qui force le système dans un état défini et sûr.

10 Programme Pas de programmation récursive, excepté dans des librairies standard C.2.6.7
soigneusement testées, dans des systèmes d’exploitation approuvés
ou dans des compilateurs de langages de haut niveau.
Pour ces exceptions, des piles séparées pour des tâches séparées
doivent être allouées et contrôlées par un gestionnaire de mémoire.

11 Programme Documentation de l’interface des librairies de programmation

et du système d’exploitation au moins aussi complètes que
pour le programme utilisateur lui-même.

(à suivre)
 Page 7
EN 81-2:1998/A1:2005

Tableau 8 — Mesures communes pour éviter et détecter les défaillances — Conception logicielle (suite)
(fin)

Référence
N° Objet Mesure
EN 61508-7:2001

12 Programme Vérification de vraisemblance des données relatives aux fonctions C.2.5/C.3.1

de sécurité, par exemple combinaisons d’entrées, étendue du champ
des entrées, données internes.

13 Programme Si un mode de fonctionnement peut être invoqué pour des besoins EN 61508-1:2001,
d’essai ou de validation, le fonctionnement normal de l’ascenseur 7.7.2.1
ne doit pas être possible tant que ce mode ne s’est pas terminé.

14 Système Atteindre un état sûr, en tenant compte du temps de réaction système, A.7/A.9
de communication dans un système de communication, par exemple bus système,
(externe et interne) intervenant dans des fonctions de sécurité, en cas de perte
de communication ou de défaillance de l’un des éléments.

15 Bus système Pas de reconfiguration du bus système du processeur, excepté durant C.3.13
la procédure d’initialisation.
NOTE Un rafraîchissement périodique du bus système du processeur
n’est pas considéré comme une reconfiguration.

16 Manipulation Pas de reconfiguration des lignes d’entrées-sorties, excepté durant C.3.13

des entrées-sorties la procédure d’initialisation.
NOTE Un rafraîchissement périodique des registres de configuration
des entrées-sorties n’est pas considéré comme une reconfiguration.

Tableau 9 — Mesures communes pour la conception et la mise en œuvre

Référence
N° Mesure
EN 61508-7:2001

1 Évaluation des aspects fonctionnels, d’environnement et d’interfaçage de l’application. A.14/B.1

2 Spécification des exigences y compris des exigences de sécurité. B.2.1

3 Revue de toutes les spécifications. B.2.6

4 Documentation de conception prescrite par F.6.1 et, en supplément :

— description des fonctions, y compris l’architecture système et l’interaction entre matériel
et logiciel ;
— documentation logicielle incluant la description des fonctions et de l’organigramme C.5.9
du programme.

5 Rapports de revue de conception. B.3.7/B.3.8, C.5.16

6 Vérification de la fiabilité utilisant une méthode telle que l’analyse des modes de défaillance, B.6.6
de leurs effets et de leur criticité (AMDEC).

7 Spécification des essais du fabricant, rapports des essais du fabricant et rapports d’essais B.6.1
sur site.

8 Document d’utilisation y compris les limites de l’usage prévu. B.4.1

9 Répétition et mise à jour des mesures mentionnées ci-dessus si le produit est modifié. C.5.23

10 Mise en place d’un contrôle des versions du matériel et du logiciel et de leur compatibilité. C.5.24
Page 8
EN 81-2:1998/A1:2005

Tableau 10 — Mesures additionnelles pour le niveau d’intégrité de sécurité SIL 1

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe M

Structure La structure doit être telle que Structure mono-canal M 1.1 A.3.1
toute défaillance aléatoire unique avec auto-test, ou
soit détectée et que le système
soit placé dans un état sûr. Deux canaux ou plus M 1.3 A.2.5
avec comparaison.

Unités Des défaillances de l’unité de traitement Correction de défaillance matérielle, M 2.1 A.3.4
de traitement qui peuvent conduire à des résultats ou
incorrects, doivent être détectées.
Si une telle défaillance peut conduire auto-test par logiciel, ou M 2.2 A.3.1
à une situation dangereuse, le système
doit être placé dans un état sûr. comparateur pour une structure M 2.4 A.1.3
à deux canaux, ou

comparaison mutuelle par logiciel M 2.5 A.3.5

pour une structure à 2 canaux.

Zones Une modification incorrecte Les mesures suivantes se réfèrent

de mémoire des informations, c.-à-d. toutes uniquement à une structure
des constantes les défaillances mono-bit ou di-bits mono-canal :
et certaines défaillance de 3 bits
et multi-bits doivent être détectées Redondance mono-bit M 3.5 A.5.5
au plus tard avant le prochain (bit de parité), ou
déplacement de l’ascenseur.
Vérification de bloc M 3.1 A.4.3
avec redondance d’un mot.

Zones Les défaillances globales Les mesures suivantes se réfèrent

de mémoire durant l’adressage, l’écriture, uniquement à une structure
des variables la mémorisation et la lecture, ainsi que mono-canal :
toutes les défaillances mono-bit ou di-bits
et certaines défaillance de 3 bits Sauvegarde par mots M 3.2 A.5.6
et multi-bits doivent être détectées avec redondance multi-bits, ou
au plus tard avant le prochain
déplacement de l’ascenseur.
Vérification par motifs de bits M 4.1 A.5.2
contre les défauts statiques
ou dynamiques.

Unités d’entrée-sortie Les défaillances statiques et la diaphonie Code de sécurité, ou M 5.4 A.6.2
et interfaces des lignes d’entrées-sorties ainsi que
y compris les liaisons les défaillances aléatoires Trame de test. M 5.5 A.6.1
de communication ou systématiques dans le flux
de données, doivent être détectées
au plus tard avant le prochain
déplacement de l’ascenseur.

Horloge Les défaillances dans la production Chien de garde avec base M 6.1 A.9.4
du signal d’horloge de l’unité de temps séparée, ou
de traitement telles que modification
de la fréquence ou disparition, Surveillance mutuelle. M 6.2
doivent être détectées au plus tard
avant le prochain déplacement
de l’ascenseur.

Déroulement Un mauvais déroulement du programme Combinaison d’une surveillance M 7.1 A.9.4

du programme et un temps d’exécution inapproprié temporelle et logique
des fonctions relatives à la sécurité du déroulement du programme.
doivent être détectés au plus tard
avant le prochain déplacement
de l’ascenseur.

NOTE L’ascenseur doit être maintenu dans un état sûr en cas de défaillance.
 Page 9
EN 81-2:1998/A1:2005

Tableau 11 — Mesures additionnelles pour le niveau d’intégrité de sécurité SIL 2

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe M

Structure La structure doit être telle que toute Structure mono-canal avec auto-test M 1.2 A.3.3
défaillance aléatoire unique soit détectée et surveillance, ou
en tenant compte du temps de réaction
système et que le système soit placé Deux canaux ou plus M 1.3 A.2.5
dans un état sûr. avec comparaison.

Unités Des défaillances de l’unité de traitement Correction de défaillance M 2.1 A.3.4

de traitement qui peuvent conduire à des résultats matérielle, et
incorrects, doivent être détectées
en tenant compte du temps de réaction Auto-test logiciel assisté par matériel M 2.3 A.3.3
système. pour une structure mono-canal, ou
Si une telle défaillance peut conduire
à une situation dangereuse, le système Comparateur pour une structure M 2.4 A.1.3
doit être placé dans un état sûr. à deux canaux, ou

Comparaison mutuelle par logiciel M 2.5 A.3.5

pour une structure à deux canaux.

Zones de mémoire Une modification incorrecte Les mesures suivantes se réfèrent

des constantes des informations, c.-à-d. uniquement à une structure
toutes les défaillances mono-bit mono-canal :
ou di-bits et certaines défaillance
de 3 bits et multi-bits doivent être Vérification de bloc M 3.1 A.4.3
détectées en tenant compte avec redondance d’un mot, ou
du temps de réaction système.
Sauvegarde par mots M 3.2 A.5.6
avec redondance multi-bits.

Zones de mémoire Les défaillances globales Les mesures suivantes

des variables durant l’adressage, l’écriture, se réfèrent uniquement
la mémorisation et la lecture, à une structure mono-canal :
ainsi que toutes les défaillances mono-bit
ou di-bits et certaines défaillance Sauvegarde par mots M 3.2 A.5.6
de 3 bits et multi-bits doivent être avec redondance multi-bits, ou
détectées en tenant compte du temps
de réaction système.
vérification par motif de bits M 4.1 A.5.2
contre les défauts statiques
ou dynamiques.

Unités d’entrée-sortie Les défaillances statiques et la diaphonie Code de sécurité, ou M 5.4 A.6.2
et interfaces des lignes d’entrées-sorties ainsi que
y compris les liaisons les défaillances aléatoires Trame de test. M 5.5 A.6.1
de communication ou systématiques dans le flux
de données, doivent être détectées
en tenant compte du temps de réaction
système.

Horloge Les défaillances dans la production Chien de garde avec base M 6.1 A.9.4
du signal d’horloge de l’unité de temps séparée, ou
de traitement telles que modification
de la fréquence ou disparition, Surveillance mutuelle. M 6.2
doivent être détectées en tenant compte
du temps de réaction système.

Déroulement Un mauvais déroulement du programme Combinaison d’une surveillance M 7.1 A.9.4

du programme et un temps d’exécution inapproprié temporelle et logique
des fonctions relatives à la sécurité du déroulement du programme.
doivent être détectés en tenant compte
du temps de réaction système.

NOTE L’ascenseur doit être maintenu dans un état sûr en cas de défaillance.
Page 10
EN 81-2:1998/A1:2005

Tableau 12 — Mesures additionnelles pour le niveau d’intégrité de sécurité SIL 3

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe M

Structure La structure doit être telle que Deux canaux ou plus M 1.3 A.2.5
toute défaillance aléatoire unique avec comparaison.
soit détectée en tenant compte du temps
de réaction système et que le système
soit mis dans un état sûr.

Unités Des défaillances de l’unité de traitement Comparateur pour une structure M 2.4 A.1.3
de traitement qui peuvent conduire à des résultats à 2 canaux, ou
incorrects, doivent être détectées
en tenant compte du temps de réaction Comparaison mutuelle par logiciel M 2.5 A.3.5
système. pour une structure à 2 canaux.
Si une telle défaillance peut conduire
à une situation dangereuse, le système
doit être mis dans un état sûr.

Zones de mémoire Une modification incorrecte Procédure de vérification de bloc M 3.3 A.4.5
des constantes des informations, c.-à-d. avec réplication de bloc, ou
toutes les défaillances mono-bit
ou multi-bits doivent être détectées Vérification de bloc M 3.4 A.4.4
en tenant compte du temps de réaction avec redondance multi-mots.
système.

Zones de mémoire Les défaillances globales Procédure de sauvegarde de bloc M 4.2 A.5.7
des variables durant l’adressage, l’écriture, avec réplication de bloc, ou
la mémorisation et la lecture,
ainsi que les défaillances de bits Vérification de type «GALPAT». M 4.3 A.5.3
statiques et les couplages dynamiques
doivent être détectées en tenant compte
du temps de réaction système.

Unités d’entrée-sortie Les défaillances statiques et la diaphonie Entrée multi-canaux parallèles et M 5.1 A.6.5
et interfaces des lignes d’entrées-sorties ainsi que
y compris les liaisons les défaillances aléatoires sortie multi-canaux parallèles, ou M 5.3 A.6.3
de communication ou systématiques dans le flux
de données, doivent être détectées
Relecture des sorties, ou M 5.2 A.6.4
en tenant compte du temps de réaction
système.
Code de sécurité, ou M 5.4 A.6.2

Trame de test. M 5.5 A.6.1

Horloge Les défaillances dans la production Chien de garde avec base de temps M 6.1 A.9.4
du signal d’horloge de l’unité séparée, ou
de traitement telles que modification
de la fréquence ou disparition, Surveillance mutuelle. M 6.2
doivent être détectées en tenant
compte du temps de réaction
système.

Déroulement Un mauvais déroulement du programme Combinaison d’une surveillance M 7.1 A.9.4

du programme et un temps d’exécution inapproprié temporelle et logique
des fonctions relatives à la sécurité du déroulement du programme.
doivent être détectés en tenant compte
du temps de réaction système.

NOTE L’ascenseur doit être maintenu dans un état sûr en cas de défaillance.
 Page 11
EN 81-2:1998/A1:2005

5 Modifications de l’Article 16
Le paragraphe 16.3.3.1 de EN 81-2 doit être amendé par un second paragraphe qui se lit comme suit :
«Lorsque la vérification fonctionnelle des dispositifs de sécurité mentionnés dans les Tableaux A.1 et A.2 n’est
pas possible durant le fonctionnement normal de l’ascenseur, des informations doivent être données dans le
manuel d’instructions pour permettre la réalisation de cette vérification.»

6 Modifications de l’Annexe A
L’Annexe A doit être remplacée par les Tableaux A.1 et A.2 et se lire comme suit :

«Annexe A (normative)

Tableau A.1 — Liste des dispositifs électriques de sécurité

Paragraphe Dispositifs concernés SIL

5.2.2.2.2 Contrôle de la fermeture des portes de visite et de secours et des portillons de visite 2

5.7.2.5 a) Dispositif d'arrêt en cuvette 2

6.4.3.1 b) Contrôle de la position inactive du dispositif mécanique 3

6.4.3.3 e) Contrôle de la fermeture des portes de visite et des portillons de visite dans la cabine 2

6.4.4.1 e) Contrôle de l’ouverture par emploi d’une clef, d’une porte donnant accès à la cuvette 2

6.4.4.1 f) Contrôle de la position inactive du dispositif mécanique 3

6.4.4.1 g) Contrôle de la position active du dispositif mécanique 3

6.4.5.4 a) Contrôle de la position totalement rétractée de la plate-forme rétractable 3

6.4.5.5 b) Contrôle de la position totalement rétractée des butées amovibles 3

6.4.5.5 c) Contrôle de la position totalement étendue des butées amovibles 3

6.4.7.1 e) Contrôle de la fermeture de la porte d’accès (vers une zone de travail située à l’intérieur 2
de la gaine)

6.4.7.2 e) Contrôle de la fermeture de la porte d’accès (depuis une zone de travail située à l’extérieur 2
de la gaine)

6.7.1.5 Dispositif d'arrêt dans le local de poulies 1

7.7.3.1 Contrôle du verrouillage des portes palières

— portes palières automatiques selon 7.7.4.2 ; 2
— portes palières manuelles 3

7.7.4.1 Contrôle de la fermeture des portes palières 3

7.7.6.2 Contrôle de la fermeture des vantaux sans verrou 3

(à suivre)
Page 12
EN 81-2:1998/A1:2005

Tableau A.1 — Liste des dispositifs électriques de sécurité (suite)

(fin)

Paragraphe Dispositifs concernés SIL

8.9.2 Contrôle de la fermeture de la porte de cabine 3

8.12.4.2 Contrôle du verrouillage de la trappe de secours et de la porte de secours en cabine 2

8.15 b) Dispositif d'arrêt sur le toit de cabine 3

9.3.3 Contrôle de l'allongement relatif anormal d'un câble ou d'une chaîne dans le cas de deux chaînes 1
ou deux câbles de suspension

9.8.8 Contrôle de l'enclenchement du parachute 1

9.10.2.10.1 Détection de la survitesse 1

9.10.2.10.2 Contrôle du retour en position normale du limiteur de vitesse 3

9.10.2.10.3 Contrôle de la tension du câble de limiteur de vitesse 3

9.10.4.4 Contrôle de la tension du câble de sécurité 3

10.4.3.3 Contrôle du retour en position détendue normale des amortisseurs 3

10.5.2.2 b) Contrôle de la tension de l'organe de transmission de la position de la cabine 1

(dispositif hors course de sécurité)

10.5.2.3 b) Contrôle de la tension de l'organe de transmission de la position de la cabine 1

dans le cas d’ascenseur à action indirecte (dispositif hors course de sécurité)

10.5.3.1 Dispositifs hors course de sécurité 1

11.2.1 c) Contrôle du verrouillage de la porte de cabine 2

12.13 Contrôle du mou des câbles ou des chaînes 2

13.4.2 Contrôle des interrupteurs principaux aux moyens de contacteurs disjoncteurs 2

14.2.1.2 a) 2) Contrôle du nivelage, de l'isonivelage et de l'anti-dérive 2

14.2.1.2 a) 3) Contrôle de la tension de l'organe de transmission de la position de la cabine 2

(nivelage et isonivelage)

14.2.1.3 c) Dispositif d'arrêt en manœuvre d'inspection 3

14.2.1.4 b) Limitation de la course de la cabine en manœuvre de mise à quai 2

14.2.1.4 i) Dispositif d'arrêt en manœuvre de mise à quai 2

14.2.2.1 f) Dispositif d'arrêt auprès de la machine 2

14.2.2.1 g) Dispositif d'arrêt auprès du(des) tableau(x) pour les opérations de secours et d’essais 2

NOTE La numérotation des articles modifiés par l’EN 81-2:1998/A2:2004 a été prise en compte. Cette note pourra être
supprimé lors de l’établissement de la version consolidée.
 Page 13
EN 81-2:1998/A1:2005

Tableau A.2 — Dispositifs électriques de sécurité nécessitant une classification de la fonction de sécurité
lorsqu’ils sont utilisés en conjonction avec des systèmes électroniques programmables (PESSRAL)

Paragraphe Dispositifs concernés SIL

9.9.8 Contrôle du fonctionnement du dispositif de blocage 1

9.11.9 Contrôle de rétraction des taquets 1

9.11.10 Contrôle du retour en position détendue normale des amortisseurs à dissipation d'énergie 3
utilisés pour les taquets

14.2.1.3 Commutateur de manœuvre d'inspection 3

14.2.1.4 g) Contact de sécurité à clé pour la manœuvre de mise à quai 2

NOTE La classification dans les Tableaux A.1 et A.2 ci-dessus s’applique uniquement lorsque des PESSRAL sont
utilisés. Cette classification n’est pas une classification de risque pour les contacts de sécurité ou les circuits de sécurité,
mais une classification qui définit le niveau d’intégrité de sécurité des PESSRAL lorsqu’ils sont utilisés dans les dispositifs
électriques de sécurité correspondants.

7 Modifications de l’Annexe F
Le titre du F.6 doit se lire comme suit :

«F.6 Circuits de sécurité contenant des composants électroniques et/ou des

systèmes électroniques programmables (PESSRAL)»
Le texte existant du F.6.1 (Dispositions générales) doit être subdivisé comme suit :

«F.6.1.1 Circuits de sécurité contenant des composants électroniques» avec le texte du F.6.1 précédent
Un nouveau F.6.1.2 doit être ajouté et se lire :

«F.6.1.2 Circuits de sécurité fondé sur des systèmes électroniques programmables

En complément du F.6.1.1, la documentation suivante doit être fournie :
a) documents et descriptions concernant les mesures citées dans le Tableau 8 ;
b) description générale du logiciel utilisé (par exemple règles de programmation, langage, compilateur, modules) ;
c) description des fonctions incluant l’architecture logicielle et les interactions matériel/logiciel ;
d) description des blocs, modules, données, variables et interfaces ;
e) listage du logiciel.»
Un nouveau F.6.3.3 doit être ajouté comme suit :

«F.6.3.3 Essais des fonctionnalités et de la sécurité des PESSRAL

En plus de la vérification des mesures définies dans les Tableaux 6 à 8, les points suivants doivent être validés :
a) conception et codage du logiciel : examiner toutes les instructions du programme en utilisant des méthodes
telles que la revue formelle de conception, FAGAN, test de cas, etc. ;
b) examen du matériel et du logiciel : vérifier toutes les mesures des Tableaux 6 et 7 et les mesures choisies,
par exemple issues du Tableau O.1, en utilisant, par exemple, des tests d’insertion d’anomalie (fondés sur
EN 61508-2 et EN 61508-7).»
Page 14
EN 81-2:1998/A1:2005

8 Nouvelle Annexe M
Une nouvelle Annexe M doit être ajoutée comme suit :

«Annexe M (informative)
Description de mesures possibles

Le tableau suivant contient la description de mesures possibles qui sont considérées comme utiles pour satisfaire
aux prescriptions de 14.1.2.6 :

Tableau M.1 — Description de mesures de détection de défaillance possibles

Composants et fonctions Mesure N° Description des mesures

Structure M 1.1 Structure mono-canal avec auto-test

Description :

Même si la structure consiste en un canal unique, des voies de sorties

redondantes doivent être fournies pour garantir un arrêt sûr. Des auto-tests
(cycliques) sont appliqués à la sous-unité du PESSRAL à des intervalles
de temps qui dépendent de l’application. Ces tests (ex. test de l’unité
de traitement ou tests mémoire) sont conçus pour détecter les défaillances
latentes qui sont indépendantes du flux de données.

La détection d’une défaillance doit conduire le système à un état sûr.

M 1.2 Structure mono-canal avec auto-test et surveillance

Description :

Une structure mono-canal avec auto-test et surveillance consiste

en une unité matérielle de surveillance séparée qui, indépendamment
de l’application, reçoit périodiquement des données de test du système
qui peuvent résulter de la procédure d’auto-test. En cas de données
incorrectes, le système doit être placé dans un état sûr.

Au moins deux voies d’arrêt sont nécessaires, de sorte que l’arrêt puisse être
provoqué par l’unité de traitement elle-même ou par l’unité de surveillance.

M 1.3 Deux canaux ou plus avec comparaison

Description :

Une conception à deux canaux relative à la sécurité consiste en deux unités

indépendantes sans rétroaction. Ceci permet aux fonctions spécifiées
d’être réalisées indépendamment dans chaque canal. Pour un PESSRAL
à deux canaux, exclusivement conçu pour la fonction d'un dispositif
de sécurité, la conception des canaux doit être identique en termes
de matériel et de logiciel. Dans le cas d'un PESSRAL à deux canaux,
utilisé pour des solutions complexes (ex. combinaisons de plusieurs fonctions
de sécurité) et où les processus ou les conditions ne sont pas totalement
vérifiables, la dissemblance du matériel et du logiciel devrait être envisagée.

La structure comporte une fonction qui compare les signaux internes

(ex. comparaison des bus) et/ou les signaux de sortie relatifs aux fonctions
de sécurité, de manière à aider la détection de défaillance.

Au moins deux voies d’arrêt sont nécessaires, de sorte que l’arrêt puisse être
provoqué par les canaux eux-mêmes ou par le comparateur. Le comparateur
lui-même doit aussi être l’objet de la détection de défaillance.

(à suivre)
 Page 15
EN 81-2:1998/A1:2005

Tableau M.1 — Description de mesures de détection de défaillance possibles (suite)

Composants et fonctions Mesure N° Description des mesures

Unités de traitement M 2.1 Correction de défaillance matérielle

Description :

De telles unités peuvent être réalisées en utilisant des techniques spéciales

de détection ou de correction de défaillance. Ces techniques sont connues
pour des structures simples.

M 2.2 Auto-test par logiciel

Description :

Toutes les fonctions de l’unité de traitement qui sont utilisées

dans l’application relative à la sécurité doivent être testées de manière
cyclique.

M 2.3 Auto-test logiciel assisté par matériel

Description :

Un moyen matériel spécial est utilisé pour la détection de défaillance

et assiste l’auto-test. Par exemple, une unité de surveillance contrôle la sortie
périodique de certains motifs de bits.

M 2.4 Comparateur pour structures à 2 canaux

Description :

Deux canaux avec comparateur matériel :

a) Les signaux des deux unités de traitement sont comparés de manière

cyclique ou continuellement en utilisant une unité matérielle.
Le comparateur peut être une unité testée extérieurement ou conçu
comme un dispositif auto-surveillé ou

b) les signaux des deux canaux sont comparés en utilisant une unité
de traitement. Le comparateur peut être une unité testée extérieurement
ou conçu comme un dispositif auto-surveillé.

M 2.5 Comparaison mutuelle de 2 canaux

Description :

Deux unités de traitement redondantes sont utilisées et s’échangent

les données relatives à la sécurité. Une comparaison des données
est réalisée par chaque unité.

(à suivre)
Page 16
EN 81-2:1998/A1:2005

Tableau M.1 — Description de mesures de détection de défaillance possibles (suite)

Composants et fonctions Mesure N° Description des mesures

Zones de mémoire des constantes M 3.1 Procédure de vérification de bloc avec redondance d’un mot
(ROM, EPROM...) (ex. formation de signature de la ROM avec une largeur
d’un mot mémoire unique)

Description :

Dans ce test, le contenu de la ROM est compressé par un algorithme

jusqu’au moins un mot mémoire. L’algorithme, par exemple
test de redondance cyclique (cyclic redundancy check –CRC-)
peut être appliqué par matériel ou logiciel.

M 3.2 Sauvegarde de mot avec redondance multi-bits

(ex. code de hamming modifié)

Description :

Chaque mot de la mémoire est étendu de plusieurs bits pour produire un code
de hamming modifié avec une distance de hamming d’au moins 4.
À chaque lecture d’un mot on peut déterminer si une corruption de bit
a eu lieu en testant les bits redondants. Si une différence est détectée,
le système doit être placé dans un état sûr.

M 3.3 Procédure de vérification de bloc avec réplication de bloc

Description :

L’espace d’adressage est équipé de deux mémoires. La première mémoire

est utilisée normalement. La seconde mémoire contient les mêmes
informations et on y accède en parallèle à la première. Les sorties
sont comparées et toute différence détectée est considérée comme
une défaillance. De manière à détecter certains types d’erreur de bits,
les données doivent être stockées sous forme complémentée dans l’une
des mémoires et complémentées une nouvelle fois lors de la lecture.
Dans la procédure logicielle, le contenu des deux zones de mémoire
est comparé de manière cyclique par programme.

M 3.4 Procédure de vérification de bloc avec redondance multi-mots

Description :

Cette procédure calcule une signature en utilisant un algorithme de contrôle

de redondance cyclique (CRC), mais le résultat a une taille d’au moins
deux mots. La signature étendue est stockée, recalculée et comparée
comme dans le cas d’un mot unique. Un message de défaillance
est émis en cas de différence.

Zones de mémoire des constantes M 3.5 Sauvegarde de mot avec redondance mono-bit
(ROM, EPROM...) (ex. vérification de ROM avec bit de parité)

Description :

Chaque mot de la mémoire est étendu d’un bit (bit «de parité») qui complète
chaque mot d’un nombre pair ou impair de 1 logiques. La parité du mot
de donnée est vérifiée à chaque lecture. Si un nombre erroné de 1
est détecté, un message de défaillance est émis. La parité ou l’imparité
doit être choisie de telle sorte que celui des mots zéro (ne comportant
que des 0) ou un (ne comportant que des 1) qui est le plus défavorable en cas
de défaillance, ne soit pas un code valide. La parité peut aussi être
utilisée pour détecter un défaut d’adressage, lorsque la parité est calculée
pour la concaténation d’un mot de donnée et de son adresse.

(à suivre)
 Page 17
EN 81-2:1998/A1:2005

Tableau M.1 — Description de mesures de détection de défaillance possibles (suite)

Composants et fonctions Mesure N° Description des mesures

Zones de mémoire des variables M 4.1 Vérification par motif de test contre les défauts statiques
ou dynamiques, ex. test RAM par «bit errant»

Description :

La zone de mémoire à tester est initialisée avec un champ de bits uniforme.

La première cellule est alors complémentée et la zone de mémoire restante
est parcourue pour s’assurer que l’arrière plan est correct. Après cela,
la première cellule est de nouveau complémentée pour retrouver
sa valeur initiale et l’ensemble du processus est répété pour les suivantes.
Ce test du «bit errant» est répété avec un remplissage initial inverse.
Si une différence survient, le système doit être placé dans un état sûr.

M 4.2 Procédure de sauvegarde de bloc avec réplication de bloc,

ex. double RAM avec comparaison matérielle ou logicielle

Description :

L’espace d’adressage est équipé de deux mémoires. La première mémoire

est utilisée normalement. La seconde mémoire contient les mêmes
informations et on y accède en parallèle à la première. Les sorties
sont comparées et toute différence détectée est considérée
comme une défaillance. De manière à détecter certains types d’erreur de bits,
les données doivent être stockées sous forme complémentée dans l’une
des mémoires et complémentées une nouvelle fois lors de la lecture.
Dans la procédure logicielle, le contenu des deux zones de mémoire
est comparé de manière cyclique par programme.

Zones de mémoire des variables M 4.3 Examen pour détecter les erreurs statiques et dynamiques,
ex. «GALPAT»

Description :

a) Test RAM «galpat» : un élément complémenté est écrit dans la mémoire

standard prédéfinie et toutes les autres cellules sont examinées
pour s’assurer que leur contenu est correct. Après chaque accès
en lecture à l’une des cellules restantes, le contenu de la cellule
complémentée décrite est lu lui aussi. Ce processus est répété
pour chaque cellule. Le test est répété avec un remplissage initial
inverse. Toute différence est considérée comme une défaillance ; ou

b) Test «galpat» transparent : au début du test, une «signature» est formée

par logiciel ou matériel en fonction de la zone de mémoire à tester
et cette signature est stockée dans un registre ; cette signature
correspond à l’initialisation de la mémoire dans le test «galpat».
La signature complémentée est alors stockée dans la cellule à tester
et le contenu des cellules restantes est examiné. Le contenu de la cellule
à tester est lu, lui aussi, après chaque accès en lecture aux cellules
restantes. Comme le contenu des cellules restantes est inconnu,
leur contenu n’est pas examiné individuellement, mais utilisé pour former
une nouvelle fois une signature. Après ce premier test pour la première
cellule on réalise un second test avec un contenu complémenté,
ce qui permet de retrouver le contenu initial. Toutes les autres
cellules sont testées de la même manière. Toute différence
est considérée comme une défaillance.

(à suivre)
Page 18
EN 81-2:1998/A1:2005

Tableau M.1 — Description de mesures de détection de défaillance possibles (suite)

(fin)

Composants et fonctions Mesure N° Description des mesures

Unités d’entrée-sortie et interfaces M 5.1 Entrée multi-canaux parallèles

Description :

Il s’agit d’une comparaison, liée au flux de données, d’entrées indépendantes

respectant une tolérance définie (valeur temporelle).

M 5.2 Relecture de sortie (sortie surveillée)

Description :

Il s’agit d’une comparaison, liée au flux de données, de sorties et d’entrées

indépendantes respectant une tolérance définie (valeur temporelle).
La défaillance peut ne pas toujours correspondre à la sortie défectueuse.

M 5.3 Sortie multi-canaux parallèles

Description :

Il s’agit d’une redondance des sorties liée au flux de données.

La détection de défaillance résulte directement du processus technique
ou de comparateurs externes.

Unités d’entrée-sortie et interfaces M 5.4 Code de sécurité

Description :

Cette procédure protège les informations d’entrée et de sortie vis-à-vis

de défaillances simultanées ou systématiques. Elle fournit une détection
de défaillance dépendant du flux de données des unités d’entrée-sortie
avec redondance des informations et/ou redondance temporelle.

M 5.5 Trame de test (modèle)

Description :

Il s’agit d’un test cyclique des entrées et des sorties, indépendant du flux
de données, réalisé à l’aide de Trame de test définis pour comparer
les signaux observés aux signaux attendus. Le motif de test, le motif reçu
et l’évaluation du motif doivent être indépendants l’un de l’autre. On suppose
que tous les motifs d’entrée possibles sont testés.

Horloge M 6.1 Chien de garde avec base de temps séparée

Description :

Temporisation matérielle avec base de temps séparée réarmée

par le fonctionnement correct du programme.

M 6.2 Surveillance mutuelle

Description :

Temporisation matérielle avec base de temps séparée réarmée

par le fonctionnement correct du programme de l’autre processeur.

Déroulement du programme M 7.1 Combinaison d’une surveillance temporelle et d’une surveillance

logique du déroulement du programme

Description :

Une temporisation contrôlant le déroulement du programme est réarmée

uniquement si le séquencement des sections du programme est exécuté
correctement.
 Page 19
EN 81-2:1998/A1:2005

Annexe ZA
(informative)
Relation entre la présente norme européenne
et les exigences essentielles de la Directive UE 95/16/CE

Init numérotation des tableaux d’annexe [N]!!!

Init numérotation des figures d’annexe [A]!!!
Init numérotation des équations d’annexe [A]!!!

La présente Norme européenne a été élaborée dans le cadre d’un mandat donné au CEN par la Commission
européenne afin d'offrir un moyen de se conformer aux exigences essentielles de la Directive Nouvelle approche
relative aux ascenseurs 95/16/CE.
Une fois la présente norme citée au Journal officiel des Communautés européennes (JOCE) au titre de ladite
Directive et dès sa reprise en norme nationale dans au moins un État membre, la conformité aux articles normatifs
de cette norme confère, dans les limites du domaine d’application de la norme, présomption de conformité aux
exigences essentielles applicables de ladite Directive et de la réglementation AELE associée.

AVERTISSEMENT D'autres exigences et d'autres Directives UE peuvent être applicables au(x) produit(s)
relevant du domaine d'application de la présente norme.