FA103925 ISSN 0335-3931

norme européenne NF EN 81-1/A1

Mars 2006

Indice de classement : P 82-210/A1

ICS : 91.140.90

Règles de sécurité pour la construction

et l'installation des ascenseurs
Partie 1 : Ascenseurs électriques

E : Safety rules for the construction and installation of lifts — Part 1: Electric lifts
D : Sicherheitsregeln für die Konstruktion und den Einbau von Aufzügen —
Teil 1: Elektrisch betriebene Personen- und Lastenaufzüge
© AFNOR 2006 — Tous droits réservés

Amendement A1
à la norme homologuée NF EN 81-1 de novembre 1998, homologué par décision
du Directeur Général d'AFNOR le 20 février 2006 pour prendre effet
le 20 mars 2006.

Correspondance L'amendement A1:2005 à la Norme européenne EN 81-1:1998 a le statut d'une

norme française.

Analyse Cet amendement couvre les aspects qu’il est nécessaire de prendre en considéra-
tion lorsque des systèmes électroniques programmables (PERSSAL) sont utilisés
pour réaliser des fonctions de sécurité électriques dans le domaine d’application
de l’EN 81-1:1998 et l’EN 81-1:1998/A2:2004.

Descripteurs Thésaurus International Technique : ascenseur, monte-charge, matériel électri-

que, règle de construction, règle de sécurité, prévention des accidents, installation
électrique, composant électronique, logiciel, dispositif de commande, système de
commande, appareil de surveillance, sûreté de fonctionnement, fiabilité, danger,
défaillance, classification, essai de conformité, assurance de qualité, certification.

Modifications

Corrections

Éditée et diffusée par l’Association Française de Normalisation (AFNOR) — 11, rue Francis de Pressensé — 93571 La Plaine Saint-Denis Cedex
Tél. : + 33 (0)1 41 62 80 00 — Fax : + 33 (0)1 49 17 90 00 — www.afnor.fr

© AFNOR 2006 AFNOR 2006 1er tirage 2006-03-F

Ascenseurs et monte-charge AFNOR P82A

Membres de la commission de normalisation

Président : M BOURGOUIN
Secrétariat : MME MICHELET — AFNOR

M ACHINO OLEODYNE SA
M AUBRY ARC
M BAUER SECURITE CONSEIL EXPERTISES SCE
M BIANCHINI KONE ELEVATORS
M BIBOLLET APPAVE — APAVE PARISIENNE
MME BLANC ICF — IMMOBILIERE DES CHEMINS DE FER
M BLEAS KONE ASCENSEURS
M BOURGOUIN PREFECTURE DE POLICE
M BOUTILLIER JBT SARL
M BRION SNCF
M BURBAUD SDIS
M CADEAU FEDERATION DES ASCENSEURS
M CASANOVA DGE / DARQSI / SQUALPI
M CLUSAZ UNION SOCIALE POUR L’HABITAT
M CONSTANTIN COFNA
M CORNEILLE UTE
M CORNU THENARD CNAB
M COTE RATP
M DE MAS LATRIE OTIS
MME DI COSTANZO HABITAT & TERRITOIRES CONSEIL — AGENCE IDF
M DORE ETB
M DUPAYS FELLER INDUSTRIES LORRAINE
M DURAND CONSULTEC
M DUSSART APAVE GROUPE
MME DUSSAUGEY CISMA
M ESPINOSA ELTRON
M EVRARD CNAMTS
M FAYOL THYSSENKRUPP ELEVATOR MANUFACTURING
M FERRIER-CANA COFNA
M FEUILLARD SECA — SOC ETUDES CONSTRUCTION ASCENSEURS
M FRILOUX FRANCE ELEVATEURS SA
M GENAIN DGCCRF
M GEORGES ANPA C/O ILEX
M GROSMANN CRAM ILE DE FRANCE
M HANRIOT WITTUR SARL
M HAON COFEX
M HAUTESSERRES SODIMAS SA
M HENRION FRANCOIS-PIERRE HENRION
M HERNANDEZ ASCAUDIT
M HOUGUET SCHINDLER SA
MME HUBERT EUROGIP
M JANIN DTT — DION TRANSPORTS TERRESTRES
M KLEIN ASCIER
M KOEHL RATP
CDT KOLB DION DEFENSE & SECURITE CIVILES
 —3— NF EN 81-1/A1:2006

M LAMALLE OTIS
MME LARRIBET DGE / SIMAP
M LE LANDAIS ASCENSEUR CONTROLE CONSEIL — A2C
M LE ROUX UNM
M LE ROYER CONSULTEC
M LEGAULT SFA KONE — DPT ASCENSEURS SOULIER
M LEVASSEUR DGUHC
M LUCQUIAUD RATP
M MACHABERT SFA KONE — DPT ASCENSEURS SOULIER
M MARTIN BUREAU VERITAS
M MARY AUTINOR
M MEUNIER SFA KONE
M MILI SECURITE CONSEIL EXPERTISES SCE
M MIQUEROL RATP
M MISPLON SARL ALFORT ELEVATEUR
M MOISAN ETNA FAPEL
M MONTALTI CRAM SUD-EST
M MORLIER ERMHES
M MURCIANO DGUHC
M NOEL SCHINDLER SA
M PANIER S2EA
M PAULOS CABINET GERARD RABEC
M PELLET SLYCMA SA
MME RENDU DRT — DION RELATIONS TRAVAIL
MLLE ROUXEL DRT — DION RELATIONS TRAVAIL
M SAITTA CNAMTS
M SANTAROSSA OCTE ASCENSEURS
M SEHKI DRT — DION RELATIONS TRAVAIL
M TAILLANDIER NTC
M TRUCCO GESTION IMMOBILIERE J. TRUCCO
MME TUSSIOT ALPHALEV SARL
M VANDENBUSSCHE ETS HENRI PEIGNEN SA
M VAZ DE MATOS BRIGADE SAPEURS POMPIERS PARIS
CDT WAECKERLI BRIGADE SAPEURS POMPIERS PARIS

Avant-propos national

Références aux normes françaises

La correspondance entre les normes mentionnées à l'article «Références normatives» et les normes françaises
identiques est la suivante :
EN 61508-1 : NF EN 61508-1 (indice classement : C 46-061)
EN 61508-2 : NF EN 61508-2 (indice classement : C 46-062)
EN 61508-3 : NF EN 61508-3 (indice classement : C 46-063)
EN 61508-4 : NF EN 61508-4 (indice classement : C 46-064)
EN 61508-5 : NF EN 61508-5 (indice classement : C 46-065)
EN 61508-7 : NF EN 61508-7 (indice classement : C 46-067)
NORME EUROPÉENNE EN 81-1:1998/A1
EUROPÄISCHE NORM
EUROPEAN STANDARD Novembre 2005

ICS : 91.140.90

Version française

Règles de sécurité pour la construction et l'installation des ascenseurs —

Partie 1 : Ascenseurs électriques

Sicherheitsregeln für die Konstruktion Safety rules for the construction and installation of lifts —
und den Einbau von Aufzügen — Part 1: Electric lifts
Teil 1: Elektrisch betriebene Personen-
und Lastenaufzüge

Le présent amendement A1 modifie la Norme européenne EN 81-1:1998.

Il a été adopté par le CEN le 13 mai 2005.

Les membres du CEN sont tenus de se soumettre au Règlement Intérieur du CEN/CENELEC qui définit les
conditions dans lesquelles doit être attribué, sans modification, le statut de norme nationale à la norme
européenne.

Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être obtenues
auprès du Secrétariat Central ou auprès des membres du CEN.

Le présent amendement existe en trois versions officielles (allemand, anglais, français). Une version faite dans
une autre langue par traduction sous la responsabilité d'un membre du CEN dans sa langue nationale, et notifiée
au Secrétariat Central, a le même statut que les versions officielles.

Les membres du CEN sont les organismes nationaux de normalisation des pays suivants : Allemagne, Autriche,
Belgique, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie,
Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Royaume-Uni,
Slovaquie, Slovénie, Suède et Suisse.

CEN
COMITÉ EUROPÉEN DE NORMALISATION

Europäisches Komitee für Normung

European Committee for Standardization

Secrétariat Central : rue de Stassart 36, B-1050 Bruxelles

© CEN 2005 Tous droits d’exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde
entier aux membres nationaux du CEN.
Réf. n° EN 81-1:1998/A1:2005 F
Page 2
EN 81-1:1998/A1:2005

Sommaire
Page

Avant-propos ...................................................................................................................................................... 3

1 Modifications de l’Article 0 .............................................................................................................. 4

2 Modifications de l’Article 2 .............................................................................................................. 4

3 Modifications de l’Article 3 .............................................................................................................. 4

4 Modifications de l’Article 14 ............................................................................................................ 5

5 Modifications de l’Article 16 .......................................................................................................... 12

6 Modifications de l’Annexe A .......................................................................................................... 12

7 Modifications de l’Annexe F .......................................................................................................... 14

8 Nouvelle Annexe P .......................................................................................................................... 14

Annexe ZA (informative) Relation entre la présente norme européenne et les exigences essentielles
de la Directive UE 95/16/CE ......................................................................................................... 20
 Page 3
EN 81-1:1998/A1:2005

Avant-propos

Le présent document (EN 81-1:1998/A1:2005) a été élaboré par le Comité Technique CEN/TC 10 «Ascenseurs,
escaliers mécaniques et trottoirs roulants», dont le secrétariat est tenu par AFNOR.
Cet amendement à la Norme européenne EN 81-1:1998 devra recevoir le statut de norme nationale, soit par publi-
cation d'un texte identique, soit par entérinement, au plus tard en mai 2006, et toutes les normes nationales en
contradiction devront être retirées au plus tard en mai 2006.
Le présent document a été élaboré dans le cadre d'un mandat donné au CEN par la Commission Européenne et
l'Association Européenne de Libre Échange et vient à l'appui des exigences essentielles de la (de) Directive(s) UE.
Pour la relation avec la (les) Directive(s) UE, voir l'Annexe ZA, informative, qui fait partie intégrante du présent
document.
L’édition de 1998 de la norme EN 81-1, dans 14.1.2.1.1 b) 3) et l’Annexe H prévoit l’utilisation de composants élec-
troniques dans les circuits de sécurité et donne des prescriptions pour le matériel. Cet amendement étend leur
utilisation pour autoriser l’incorporation de logiciel (systèmes électroniques programmables — PESSRAL).
Cet amendement A1 couvre les aspects qu’il est nécessaire de prendre en considération lorsque des systèmes
électroniques programmables (PESSRAL) sont utilisés pour réaliser des fonctions de sécurité électriques dans le
domaine d’application de l’EN 81-1:1998 et l’EN 81-1:1998/A2:2004.
Cet amendement A1 couvre les précautions additionnelles nécessaires en remplaçant les textes existants
concernés de l’EN 81-1:1998 ou en ajoutant de nouvelles prescriptions comme indiqué.
NOTE La rédaction et la présentation du texte amendé ont été adaptées pour correspondre à la présentation de
l’EN 81-1:1998.

Selon le Règlement Intérieur du CEN/CENELEC, les instituts de normalisation nationaux des pays suivants sont
tenus de mettre cette Norme européenne en application : Allemagne, Autriche, Belgique, Chypre, Danemark,
Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Islande, Italie, Lettonie, Lituanie, Luxembourg,
Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Royaume-Uni, Slovaquie, Slovénie, Suède
et Suisse.
Page 4
EN 81-1:1998/A1:2005

1 Modifications de l’Article 0
Un nouveau paragraphe 0.2.6 doit être ajouté comme suit :

«0.2.6 L’analyse de risque, la terminologie et les solutions techniques ont été étudiées en tenant compte des
méthodes de la série de normes EN 61508. Ceci a conduit à une nécessaire classification des fonctions de sécu-
rité réalisables par des PESSRAL.»
Le paragraphe 0.3.5 doit être modifié comme suit :

«0.3.5 Les prescriptions de la présente norme européenne en ce qui concerne les dispositifs électriques de
sécurité sont telles que l'éventualité d'une défaillance d'un dispositif électrique de sécurité (voir 14.1.2.1.1 b))
conforme à toutes les prescriptions de la présente norme européenne n'est pas prise en considération.»

2 Modifications de l’Article 2
L’article 2 doit être complété comme suit :

«EN 61508-1:2001 Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 1 : Prescriptions générales (CEI 61508-1:1998 + corrigendum 1999).

EN 61508-2:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 2 : Prescriptions pour les systèmes électriques/électroniques/électroniques program-
mables relatifs à la sécurité (CEI 61508-2:2000).

EN 61508-3:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 3 : Prescriptions concernant les logiciels (CEI 61508-3:1998 + corrigendum 1999).

EN 61508-4:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 4 : Définitions et abréviations (CEI 61508-4:1998 + corrigendum 1999).

EN 61508-5:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 5 : Exemples de méthodes de détermination des niveaux d'intégrité de sécurité
(CEI 61508-5:1998 + corrigendum 1999).

EN 61508-7:2001, Sécurité fonctionnelle des systèmes électriques/électroniques/électroniques programmables

relatifs à la sécurité — Partie 7 : Présentation de techniques et mesures (CEI 61508-7:2000)».

3 Modifications de l’Article 3
Le chapitre 3 doit être complété comme suit :

«système électronique programmable dans les applications liées à la sécurité des ascenseurs (PESSRAL)
(programmable electronic system in safety related applications for lifts (PESSRAL))
(programmierbares elektronisches System in sicherheitstechnisch relevanten Anwendungen für Aufzüge
(PESSRAL))
système de commande, de protection ou de surveillance, basé sur un ou plusieurs dispositif(s) électronique(s)
programmable(s), incluant tous les éléments du système tels qu’alimentation, capteurs et autres dispositifs
d’entrée, autoroutes de données et autres voies de communication et actionneurs ou autres dispositifs de sortie,
utilisé dans les applications relatives à la sécurité des ascenseurs telles que mentionnées dans les Tableaux A.1
et A.2

temps de réaction système

(system reaction time)
(Systemreaktionszeit)
somme des deux valeurs suivantes :
a) délai entre l’apparition d’une défaillance dans le PESSRAL et l’initiation de l’action correspondante sur
l’ascenseur ;
b) délai nécessaire pour que l’ascenseur réponde à l’action, conservant un état sûr.
 Page 5
EN 81-1:1998/A1:2005

niveau d’intégrité de sécurité (SIL)

(safety integrity level)
(Sicherheits-Integritätlevel)
niveau discret permettant de spécifier les prescriptions concernant l’intégrité de sécurité des fonctions de sécurité
à allouer au PESSRAL
NOTE Dans la présente norme européenne, SIL 1 possède le plus bas degré d’intégrité et SIL 3 possède le plus haut.

4 Modifications de l’Article 14
L’article 14.1.2.1.1 b) doit être complété comme suit :
« 4) soit des systèmes électroniques programmables répondant à 14.1.2.6.»
Un nouvel article 14.1.2.6 doit être ajouté comme suit :

«14.1.2.6 Systèmes électroniques programmables dans les applications liées à la sécurité des ascenseurs
(PESSRAL)
Les Tableaux A.1 et A.2 donnent le niveau d’intégrité de sécurité de chaque dispositif électrique de sécurité.
Les systèmes électroniques programmables conçus selon 14.1.2.6 répondent aux prescriptions de 14.1.2.3.2.
Les prescriptions minimales concernant les fonctions de sécurité communes à tous les SILs sont mentionnées
dans les Tableaux 6, 7 et 8. De plus, les mesures spécifiques requises pour les SIL 1, 2 et 3 sont mentionnées
respectivement dans les Tableaux 9, 10 et 11.
NOTE Les paragraphes de l’EN 61508-7:2001 mentionnés dans les Tableaux 6 à 11 font référence aux prescriptions
de l’EN 61508-2:2001 et de l’EN 61508-3:2001.

Pour éviter des modifications non sûres, des mesures doivent être prises pour empêcher tout accès non autorisé
au programme de code et aux données liées à la sécurité du PESSRAL, par exemple en utilisant une EPROM,
un code d’accès, etc.
Si un PESSRAL et un système non lié à la sécurité partagent le même matériel, les prescriptions pour les
PESSRAL doivent être appliquées à l’ensemble.
Si un PESSRAL et un système non lié à la sécurité partagent la même carte de circuit imprimé, les prescriptions
de 13.2.2.3 s’appliquent pour la séparation entre les deux systèmes.»
Les tableaux suivants doivent être ajoutés :
Page 6
EN 81-1:1998/A1:2005

Tableau 6 — Mesures communes pour éviter et détecter les défaillances —

Conception matérielle

Référence
N° Objet Mesure
EN 61508-7:2001

1 Unité de traitement Utilisation d’un chien de garde. A.9

2 Sélection des composants Utilisation de composants uniquement dans les limites

de leurs spécifications.

3 Unités d’entrée-sortie État défini et sûr lors d’une défaillance d’alimentation

et interfaces, y compris les ou d’une ré-initialisation.
liaisons de communication

4 Alimentation État de coupure défini et sûr en cas de surtension A.8.2

ou de sous-tension.

5 Zones de mémoire N’utiliser que des mémoires à semi-conducteurs.

des variables

6 Zones de mémoire Test de lecture/écriture de la mémoire des variables

des variables durant la procédure d’initialisation.

7 Zones de mémoire Accès à distance uniquement aux données informatives

des variables (par exemple statistiques).

8 Zones de mémoire Pas de possibilité de modifier le programme, ni automatiquement

des constantes par le système, ni par une intervention à distance.

9 Zones de mémoire Test de la mémoire programme et de la mémoire des données A.4.2

des constantes invariantes durant la procédure d’initialisation par une méthode
au moins équivalente à la somme de contrôle.

Tableau 7 — Mesures communes pour éviter et détecter les défaillances —

Conception logicielle

Référence
N° Objet Mesure
EN 61508-7:2001

1 Structure Structure du programme (c.-à-d. modularité, traitement B.3.4/C.2.1

des données, définition des interfaces) conforme aux règles C.2.9/C.2.7
de l’art (voir EN 61508-3).

2 Procédure d’initialisation Durant la procédure d’initialisation, l’ascenseur doit être maintenu

dans un état sûr.

3 Interruptions Usage limité des interruptions. Utilisation d’interruptions C.2.6.5

imbriquées uniquement si toutes les séquences possibles
d’interruptions sont prédictibles.

4 Interruptions Pas de réarmement de chien de garde par une procédure A.9.4

d’interruption, excepté en combinaison avec d’autres conditions
de séquence du programme.

5 Mise hors tension Pas de procédure de mise hors tension, telle que la sauvegarde
de données, pour les fonctions relatives à la sécurité.

6 Gestion mémoire Gestionnaire de pile par le matériel et/ou le logiciel avec procédure C.2.6.4/C.5.4
de réaction appropriée.

(à suivre)
 Page 7
EN 81-1:1998/A1:2005

Tableau 7 — Mesures communes pour éviter et détecter les défaillances —

Conception logicielle (fin)

Référence
N° Objet Mesure
EN 61508-7:2001

7 Programme Boucles d’itérations inférieures au temps de réaction système,

par exemple en limitant le nombre d’itérations ou en contrôlant
la durée d’exécution.

8 Programme Vérification du décalage des pointeurs de tableaux, C.2.6.6

si cette vérification ne fait par partie intégrante du langage
de programmation utilisé.

9 Programme Traitement défini des exceptions (par exemple division par zéro,
débordement, vérification des bornes des variables, etc.) qui force
le système dans un état défini et sûr.

10 Programme Pas de programmation récursive, excepté dans des librairies C.2.6.7

standard soigneusement testées, dans des systèmes d’exploitation
approuvés ou dans des compilateurs de langages de haut niveau.
Pour ces exceptions, des piles séparées pour des tâches séparées
doivent être allouées et contrôlées par un gestionnaire de mémoire.

11 Programme Documentation de l’interface des librairies de programmation

et du système d’exploitation au moins aussi complètes que pour
le programme utilisateur lui-même.

12 Programme Vérification de vraisemblance des données relatives aux fonctions C.2.5/C.3.1

de sécurité, par exemple combinaisons d’entrées, étendue
du champ des entrées, données internes.

13 Programme Si un mode de fonctionnement peut être invoqué pour des besoins EN 61508-1:2001,
d’essai ou de validation, le fonctionnement normal de l’ascenseur 7.7.2.1
ne doit pas être possible tant que ce mode ne s’est pas terminé.

14 Système Atteindre un état sûr, en tenant compte du temps de réaction A.7/A.9

de communication système, dans un système de communication, par exemple bus
(externe et interne) système, intervenant dans des fonctions de sécurité, en cas
de perte de communication ou de défaillance de l’un des éléments.

15 Bus système Pas de reconfiguration du bus système du processeur, excepté C.3.13

durant la procédure d’initialisation.
NOTE Un rafraîchissement périodique du bus système
du processeur n’est pas considéré comme une reconfiguration.

16 Manipulation Pas de reconfiguration des lignes d’entrées-sorties, excepté durant C.3.13

des entrées-sorties la procédure d’initialisation.
NOTE Un rafraîchissement périodique des registres
de configuration des entrées-sorties n’est pas considéré
comme une reconfiguration.
Page 8
EN 81-1:1998/A1:2005

Tableau 8 — Mesures communes pour la conception et la mise en œuvre

Référence
N° Mesure
EN 61508-7:2001

1 Évaluation des aspects fonctionnels, d’environnement et d’interfaçage de l’application. A.14/B.1

2 Spécification des exigences y compris des exigences de sécurité. B.2.1

3 Revue de toutes les spécifications. B.2.6

4 Documentation de conception prescrite par F.6.1 et, en supplément :

— description des fonctions, y compris l’architecture système et l’interaction entre matériel
et logiciel ;
— documentation logicielle incluant la description des fonctions et de l’organigramme
du programme. C.5.9

5 Rapports de revue de conception. B.3.7/B.3.8,

C.5.16

6 Vérification de la fiabilité utilisant une méthode telle que l’analyse des modes de défaillance, B.6.6
de leurs effets et de leur criticité (AMDEC).

7 Spécification des essais du fabricant, rapports des essais du fabricant et rapports d’essais sur site. B.6.1

8 Document d’utilisation y compris les limites de l’usage prévu. B.4.1

9 Répétition et mise à jour des mesures mentionnées ci-dessus si le produit est modifié. C.5.23

10 Mise en place d’un contrôle des versions du matériel et du logiciel et de leur compatibilité. C.5.24

Tableau 9 — Mesures spécifiques pour le niveau d’intégrité de sécurité SIL 1

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe P

La structure doit être telle Structure mono-canal M 1.1 A.3.1

que toute défaillance aléatoire avec auto-test, ou
Structure unique soit détectée et que
le système soit placé dans Deux canaux ou plus M 1.3 A.2.5
un état sûr. avec comparaison.

Des défaillances de l’unité de Correction de défaillance M 2.1 A.3.4

traitement qui peuvent conduire matérielle, ou
à des résultats incorrects,
doivent être détectées.

Si une telle défaillance auto-test par logiciel, ou M 2.2 A.3.1

Unités
peut conduire à une situation
de traitement
dangereuse, le système doit comparateur pour une structure M 2.4 A.1.3
être placé dans un état sûr. à deux canaux, ou

comparaison mutuelle par M 2.5 A.3.5

logiciel pour une structure
à 2 canaux.

(à suivre)
 Page 9
EN 81-1:1998/A1:2005

Tableau 9 — Mesures spécifiques pour le niveau d’intégrité de sécurité SIL 1 (fin)

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe P

Une modification incorrecte Les mesures suivantes

des informations, c.-à-d. toutes se réfèrent uniquement
les défaillances mono-bit ou à une structure mono-canal :
Zones di-bits et certaines défaillances
de mémoire de 3 bits et multi-bits doivent être Redondance mono-bit M 3.5 A.5.5
des constantes détectées au plus tard avant (bit de parité), ou
le prochain déplacement
de l’ascenseur. Vérification de bloc avec M 3.1 A.4.3
redondance d’un mot.

Les défaillances globales durant Les mesures suivantes

l’adressage, l’écriture, la se réfèrent uniquement
mémorisation et la lecture, ainsi à une structure mono-canal :
que toutes les défaillances
Zones
mono-bit ou di-bits et certaines Sauvegarde par mots avec M 3.2 A.5.6
de mémoire
défaillances de 3 bits et multi-bits redondance multi-bits, ou
des variables
doivent être détectées au plus
tard avant le prochain Vérification par motifs de bits M 4.1 A.5.2
déplacement de l’ascenseur. contre les défauts statiques
ou dynamiques.

Les défaillances statiques Code de sécurité, ou M 5.4 A.6.2

Unités et la diaphonie des lignes
d’entrée-sortie d’entrées-sorties ainsi que Trame de test. M 5.5 A.6.1
et interfaces les défaillances aléatoires
y compris ou systématiques dans le flux de
les liaisons de données, doivent être détectées
communication au plus tard avant le prochain
déplacement de l’ascenseur.

Les défaillances dans Chien de garde avec base M 6.1 A.9.4

la production du signal d’horloge de temps séparée, ou
de l’unité de traitement telles que
modification de la fréquence Surveillance mutuelle. M 6.2
Horloge
ou disparition, doivent être
détectées au plus tard avant
le prochain déplacement
de l’ascenseur.

Un mauvais déroulement Combinaison d’une surveillance M 7.1 A.9.4

du programme et un temps temporelle et logique du
d’exécution inapproprié des déroulement du programme.
Déroulement
fonctions relatives à la sécurité
du programme
doivent être détectés au plus tard
avant le prochain déplacement
de l’ascenseur.

NOTE L’ascenseur doit être maintenu dans un état sûr en cas de défaillance.
Page 10
EN 81-1:1998/A1:2005

Tableau 10 — Mesures additionnelles pour le niveau d’intégrité de sécurité SIL 2

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe P

La structure doit être telle que toute Structure mono-canal avec auto-test M 1.2 A.3.3
défaillance aléatoire unique soit et surveillance, ou
Structure détectée en tenant compte du temps
de réaction système et que le Deux canaux ou plus M 1.3 A.2.5
système soit placé dans un état sûr. avec comparaison.

Des défaillances de l’unité Correction de défaillance matérielle, M 2.1 A.3.4

de traitement qui peuvent conduire et
à des résultats incorrects, doivent
être détectées en tenant compte
du temps de réaction système.

Unités Si une telle défaillance peut conduire Auto-test logiciel assisté par matériel M 2.3 A.3.3
de traitement à une situation dangereuse, pour une structure mono-canal, ou
le système doit être placé
dans un état sûr. Comparateur pour une structure M 2.4 A.1.3
à 2 canaux, ou

Comparaison mutuelle par logiciel M 2.5 A.3.5

pour une structure à 2 canaux.

Une modification incorrecte Les mesures suivantes se réfèrent

des informations, c.-à-d. toutes uniquement à une structure
les défaillances mono-bit ou di-bits mono-canal :
Zones et certaines défaillances de 3 bits
de mémoire et multi-bits doivent être détectées Vérification de bloc avec redondance M 3.1 A.4.3
des constantes en tenant compte du temps d’un mot, ou
de réaction système.
Sauvegarde par mots avec M 3.2 A.5.6
redondance multi-bits.

Les défaillances globales Les mesures suivantes

durant l’adressage, l’écriture,
la mémorisation et la lecture, ainsi
Zones que toutes les défaillances mono-bit
de mémoire ou di-bits et certaines défaillances
des variables de 3 bits et multi-bits doivent être
détectées en tenant compte
du temps de réaction système.
se réfèrent uniquement
à une structure mono-canal :
Sauvegarde par mots avec M 3.2 A.5.6
redondance multi-bits, ou
Vérification par motif de bits contre M 4.1 A.5.2
les défauts statiques ou dynamiques.

Les défaillances statiques Code de sécurité, ou M 5.4 A.6.2

Unités
et la diaphonie des lignes d’entrées-
d’entrée-sortie
sorties ainsi que les défaillances Trame de test. M 5.5 A.6.1
et interfaces
aléatoires ou systématiques
y compris
dans le flux de données, doivent
les liaisons de
être détectées en tenant compte
communication
du temps de réaction système.

Les défaillances dans la production Chien de garde avec base M 6.1 A.9.4
du signal d’horloge de l’unité de temps séparée, ou
de traitement telles que modification
Horloge de la fréquence ou disparition, Surveillance mutuelle. M 6.2
doivent être détectées en tenant
compte du temps de réaction
système.

Un mauvais déroulement du Combinaison d’une surveillance M 7.1 A.9.4

programme et un temps d’exécution temporelle et logique du déroulement
Déroulement inapproprié des fonctions relatives du programme.
du programme à la sécurité doivent être détectés
en tenant compte du temps
de réaction système.

NOTE L’ascenseur doit être maintenu dans un état sûr en cas de défaillance.
 Page 11
EN 81-1:1998/A1:2005

Tableau 11 — Mesures spécifiques pour le niveau d’intégrité de sécurité SIL 3

Voir N°
Composants Référence
Exigences Mesures dans
et fonctions EN 61508-7:2001
l’Annexe P

La structure doit être telle que toute Deux canaux ou plus M 1.3 A.2.5
défaillance aléatoire unique soit avec comparaison.
Structure détectée en tenant compte du temps
de réaction système et que le
système soit mis dans un état sûr.

Des défaillances de l’unité Comparateur pour une structure M 2.4 A.1.3

de traitement qui peuvent conduire à 2 canaux, ou
à des résultats incorrects, doivent
être détectées en tenant compte
Unités du temps de réaction système.
de traitement
Si une telle défaillance peut conduire Comparaison mutuelle par logiciel M 2.5 A.3.5
à une situation dangereuse, pour une structure à 2 canaux.
le système doit être mis dans un état
sûr.

Une modification incorrecte Procédure de vérification de bloc M 3.3 A.4.5

des informations, c.-à-d. toutes avec réplication de bloc, ou
Zones
les défaillances mono-bit ou multi-
de mémoire
bits doivent être détectées en tenant Vérification de bloc avec redondance M 3.4 A.4.4
des constantes
compte du temps de réaction multi-mots.
système.

Les défaillances globales Procédure de sauvegarde de bloc M 4.2 A.5.7

durant l’adressage, l’écriture, avec réplication de bloc, ou
Zones la mémorisation et la lecture, ainsi
de mémoire que les défaillances de bits statiques Vérification de type «GALPAT». M 4.3 A.5.3
des variables et les couplages dynamiques doivent
être détectées en tenant compte
du temps de réaction système.

Les défaillances statiques Entrée multi-canaux parallèles et M 5.1 A.6.5

et la diaphonie des lignes d’entrées-
Unités sorties ainsi que les défaillances sortie multi-canaux parallèles, ou M 5.3 A.6.3
d’entrée-sortie aléatoires ou systématiques
et interfaces dans le flux de données, doivent
Relecture des sorties, ou M 5.2 A.6.4
y compris être détectées en tenant compte
les liaisons de du temps de réaction système.
communication Code de sécurité, ou M 5.4 A.6.2

Trame de test. M 5.5 A.6.1

Les défaillances dans la production Chien de garde avec base de temps M 6.1 A.9.4
du signal d’horloge de l’unité séparée, ou
de traitement telles que modification
Horloge de la fréquence ou disparition, Surveillance mutuelle. M 6.2
doivent être détectées en tenant
compte du temps de réaction
système.

Un mauvais déroulement du Combinaison d’une surveillance M 7.1 A.9.4

programme et un temps d’exécution temporelle et logique du déroulement
Déroulement inapproprié des fonctions relatives du programme.
du programme à la sécurité doivent être détectés
en tenant compte du temps
de réaction système.

NOTE L’ascenseur doit être maintenu dans un état sûr en cas de défaillance.
Page 12
EN 81-1:1998/A1:2005

5 Modifications de l’Article 16
L’article 16.3.3.1 de EN 81-1 doit être amendé par un second paragraphe qui se lit comme suit :
«Lorsque la vérification fonctionnelle des dispositifs de sécurité mentionnés dans les Tableaux A.1 et A.2 n’est
pas possible durant le fonctionnement normal de l’ascenseur, des informations doivent être données dans le
manuel d’instructions pour permettre la réalisation de cette vérification».

6 Modifications de l’Annexe A
L’Annexe A doit être remplacée par les Tableaux A.1 et A.2 et se lire comme suit :

«Annexe A (normative)
Tableau A.1 — Liste des dispositifs électriques de sécurité

Paragraphe Dispositifs concernés SIL

5.2.2.2.2 Contrôle de la fermeture des portes de visite et de secours et des portillons de visite 2

5.7.3.4 a) Dispositif d'arrêt en cuvette 2

6.4.3.1 b) Contrôle de la position inactive du dispositif mécanique 3

6.4.3.3 e) Contrôle de la fermeture des portes de visite et des portillons de visite dans la cabine 2

6.4.4.1 e) Contrôle de l’ouverture par emploi d’une clef, d’une porte donnant accès à la cuvette 2

6.4.4.1 f) Contrôle de la position inactive du dispositif mécanique 3

6.4.4.1 g) Contrôle de la position active du dispositif mécanique 3

6.4.5.4 a) Contrôle de la position totalement rétractée de la plate-forme rétractable 3

6.4.5.5 b) Contrôle de la position totalement rétractée des butées amovibles 3

6.4.5.5 c) Contrôle de la position totalement étendue des butées amovibles 3

6.4.7.1 e) Contrôle de la fermeture de la porte d’accès 2

6.4.7.2 e) Contrôle de la fermeture de la porte d’accès 2

6.7.1.5 Dispositif d'arrêt dans le local de poulies 1

Contrôle du verrouillage des portes palières

7.7.3.1 — portes palières automatiques selon 7.7.4.2 2

— portes palières manuelles 3

7.7.4.1 Contrôle de la fermeture des portes palières 3

7.7.6.2 Contrôle de la fermeture des vantaux sans verrou 3

8.9.2 Contrôle de la fermeture de la porte de cabine 3

8.12.4.2 Contrôle du verrouillage de la trappe de secours et de la porte de secours en cabine 2

8.15 b) Dispositif d'arrêt sur le toit de cabine 3

9.5.3 Contrôle de l'allongement relatif anormal d'un câble ou d'une chaîne dans le cas de 1
deux chaînes ou deux câbles de suspension

9.6.1 e) Contrôle de la tension des câbles de compensation 3

9.6.2 Contrôle du dispositif anti-rebond 3

9.8.8 Contrôle de l'enclenchement du parachute 1

(à suivre)
 Page 13
EN 81-1:1998/A1:2005

Tableau A.1 — Liste des dispositifs électriques de sécurité (fin)

Paragraphe Dispositifs concernés SIL

9.9.11.1 Détection de la survitesse ne commandant pas le dispositif de protection contre 1

la vitesse excessive de la cabine en montée

9.9.11.1 Détection de la survitesse commandant le dispositif de protection contre la vitesse 2

excessive de la cabine en montée

9.9.11.2 Contrôle du retour en position normale du limiteur de vitesse 3

9.9.11.3 Contrôle de la tension du câble de limiteur de vitesse 3

9.10.5 Contrôle du dispositif de protection contre la vitesse excessive de la cabine en montée 1

10.4.3.4 Contrôle du retour en position détendue normale des amortisseurs 3

10.5.2.3 b) Contrôle de la tension de l'organe de transmission de la position de la cabine 1

(dispositif hors course de sécurité)

10.5.3.1 b) 2) Dispositifs hors course de sécurité pour ascenseur à adhérence 1

11.2.1 c) Contrôle du verrouillage de la porte de cabine 2

12.5.1.1 Contrôle de la position du volant amovible de dépannage 1

12.8.4 c) Contrôle de la tension de l'organe de transmission de la position de la cabine 2

(dispositif de contrôle du ralentissement)

12.8.5 Contrôle du ralentissement dans le cas d'amortisseurs à course réduite 2

12.9 Contrôle du mou des câbles ou des chaînes pour ascenseur à treuil attelé 2

13.4.2 Contrôle des interrupteurs principaux aux moyens de contacteurs disjoncteurs 2

14.2.1.2 a) 2) Contrôle du nivelage, de l'isonivelage et de l'anti-dérive 2

14.2.1.2 a) 3) Contrôle de la tension de l'organe de transmission de la position de la cabine 2

(nivelage et isonivelage)

14.2.1.3 c) Dispositif d'arrêt en manœuvre d'inspection 3

14.2.1.5 b) Limitation de la course de la cabine en manœuvre de mise à quai 2

14.2.1.5 i ) Dispositif d'arrêt en manœuvre de mise à quai 2

14.2.2.1 f) Dispositif d'arrêt auprès de la machine 2

14.2.2.1 g) Dispositif d'arrêt auprès du (des) tableau(x) pour les opérations de secours et d’essais 2

NOTE La numérotation des articles modifiés par l’EN 81-1:1998/A2:2004 a été prise en compte. Cette note pourra
être supprimée lors de l’établissement de la version consolidée.

Tableau A.2 — Dispositifs électriques de sécurité nécessitant une classification

de la fonction de sécurité lorsqu’ils sont utilisés en conjonction
avec des systèmes électroniques programmables (PESSRAL)

Paragraphe Dispositifs concernés SIL

14.2.1.3 Commutateur de manœuvre d'inspection 3

14.2.1.4 Commutateur de manœuvre électrique de rappel 3

14.2.1.5.g)3) Contact de sécurité à clé pour la manœuvre de mise à quai 2

NOTE La classification dans les Tableaux A.1 et A.2 ci-dessus s’applique uniquement lorsque des PESSRAL sont
utilisés. Cette classification n’est pas une classification de risque pour les contacts de sécurité ou les circuits de sécurité,
mais une classification qui définit le niveau d’intégrité de sécurité des PESSRAL lorsqu’ils sont utilisés dans les dispositifs
électriques de sécurité correspondants.
Page 14
EN 81-1:1998/A1:2005

7 Modifications de l’Annexe F
Le titre du F.6 doit se lire comme suit :

«F.6 Circuits de sécurité contenant des composants électroniques et/ou des systèmes
électroniques programmables (PESSRAL)»
Le texte existant du F.6.1 (Dispositions générales) doit être subdivisé comme suit :

«F.6.1.1 Circuits de sécurité contenant des composants électroniques» avec le texte du F.6.1 précédent
Un nouveau F.6.1.2 doit être ajouté et se lire :

«F.6.1.2 Circuits de sécurité fondé sur des systèmes électroniques programmables

En complément du F.6.1.1, la documentation suivante doit être fournie :
a) documents et descriptions concernant les mesures citées dans le Tableau 8 ;
b) description générale du logiciel utilisé (par exemple règles de programmation, langage, compilateur, modules) ;
c) description des fonctions incluant l’architecture logicielle et les interactions matériel/logiciel ;
d) description des blocs, modules, données, variables et interfaces ;
e) listage du logiciel».
Un nouveau F.6.3.3 doit être ajouté comme suit :

«F.6.3.3 Essais des fonctionnalités et de la sécurité des PESSRAL

En plus de la vérification des mesures définies dans les Tableaux 6 à 11, les points suivants doivent être validés :
a) conception et codage du logiciel : examiner toutes les instructions du programme en utilisant des méthodes
telles que la revue formelle de conception, FAGAN, test de cas, etc. ;
b) examen du matériel et du logiciel : vérifier toutes les mesures des Tableaux 6 et 7 et les mesures choisies, par
exemple issues du Tableau P.1, en utilisant, par exemple, des tests d’insertion d’anomalie (fondés sur
EN 61508-2 et EN 61508-7).»

8 Nouvelle Annexe P
Une nouvelle Annexe P doit être ajoutée comme suit :

«ANNEXE P (informative)
Description de mesures possibles
Le tableau suivant contient la description de mesures possibles qui sont considérées comme utiles pour satisfaire
aux prescriptions de 14.1.2.6 :
 Page 15
EN 81-1:1998/A1:2005

Tableau P.1 — Description de mesures de détection de défaillance possibles

Composants et fonctions Mesure N° Description des mesures

Structure M 1.1 Structure mono-canal avec auto-test

Description :

Même si la structure consiste en un canal unique, des voies de sorties

redondantes doivent être fournies pour garantir un arrêt sûr.
Des auto-tests (cycliques) sont appliqués à la sous-unité du PESSRAL
à des intervalles de temps qui dépendent de l’application. Ces tests
(ex. test de l’unité de traitement ou tests mémoire) sont conçus pour
détecter les défaillances latentes qui sont indépendantes du flux
de données.

La détection d’une défaillance doit conduire le système à un état sûr.

M 1.2 Structure mono-canal avec auto-test et surveillance

Description :

Une structure mono-canal avec auto-test et surveillance consiste

en une unité matérielle de surveillance séparée qui, indépendamment
de l’application, reçoit périodiquement des données de test du système
qui peuvent résulter de la procédure d’auto-test. En cas de données
incorrectes, le système doit être placé dans un état sûr.

Au moins deux voies d’arrêt sont nécessaires, de sorte que l’arrêt

puisse être provoqué par l’unité de traitement elle-même ou par l’unité
de surveillance.

M 1.3 Deux canaux ou plus avec comparaison

Description :

Une conception à deux canaux relative à la sécurité consiste

en deux unités indépendantes sans rétroaction. Ceci permet
aux fonctions spécifiées d’être réalisées indépendamment dans
chaque canal. Pour un PESSRAL à deux canaux, exclusivement conçu
pour la fonction d'un dispositif de sécurité, la conception des canaux
doit être identique en termes de matériel et de logiciel. Dans le cas
d'un PESSRAL à deux canaux, utilisé pour des solutions complexes
(ex. combinaisons de plusieurs fonctions de sécurité) et où
les processus ou les conditions ne sont pas totalement vérifiables,
la dissemblance du matériel et du logiciel devrait être envisagée.

La structure comporte une fonction qui compare les signaux internes

(ex. comparaison des bus) et/ou les signaux de sortie relatifs aux
fonctions de sécurité, de manière à aider la détection de défaillance.

Au moins deux voies d’arrêt sont nécessaires, de sorte que l’arrêt

puisse être provoqué par les canaux eux-mêmes ou par
le comparateur. Le comparateur lui-même doit aussi être l’objet
de la détection de défaillance.

Unités de traitement M 2.1 Correction de défaillance matérielle

Description :

De telles unités peuvent être réalisées en utilisant des techniques

spéciales de détection ou de correction de défaillance. Ces techniques
sont connues pour des structures simples.

(à suivre)
Page 16
EN 81-1:1998/A1:2005

(suite)
Tableau P.1 — Description de mesures de détection de défaillance possibles (fin)

Composants et fonctions Mesure N° Description des mesures

M 2.2 Auto-test par logiciel

Description :

Toutes les fonctions de l’unité de traitement qui sont utilisées dans

l’application relative à la sécurité doivent être testées de manière
cyclique.

Ces tests peuvent être combinés avec le test de composants,

par exemple mémoires, entrées-sorties, etc.

M 2.3 Auto-test logiciel assisté par matériel

Description :

Un moyen matériel spécial est utilisé pour la détection de défaillance

et assiste l’auto-test. Par exemple, une unité de surveillance contrôle
la sortie périodique de certains motifs de bits.

M 2.4 Comparateur pour structures à 2 canaux

Description :

Deux canaux avec comparateur matériel :

a) les signaux des deux unités de traitement sont comparés de manière

cyclique ou continuellement en utilisant une unité matérielle.
Le comparateur peut être une unité testée extérieurement ou conçu
comme un dispositif auto-surveillé ou

b) les signaux des deux canaux sont comparés en utilisant une unité
de traitement. Le comparateur peut être une unité testée
extérieurement ou conçu comme un dispositif auto-surveillé.

M 2.5 Comparaison mutuelle de 2 canaux

Description :

Deux unités de traitement redondantes sont utilisées et s’échangent les

données relatives à la sécurité. Une comparaison des données est
réalisée par chaque unité.

Zones de mémoire M 3.1 Procédure de vérification de bloc avec redondance d’un mot
des constantes (ex. formation de signature de la ROM avec une largeur d’un mot
(ROM, EPROM...) mémoire unique)

Description :

Dans ce test, le contenu de la ROM est compressé par un algorithme

jusqu’au moins un mot mémoire. L’algorithme, par exemple test de
redondance cyclique (cyclic redundancy check –CRC-) peut être
appliqué par matériel ou logiciel.

(à suivre)
 Page 17
EN 81-1:1998/A1:2005

Tableau P.1 — Description de mesures de détection de défaillance possibles (fin)

(suite)

Composants et fonctions Mesure N° Description des mesures

M 3.2 Sauvegarde de mot avec redondance multi-bits

(ex. code de hamming modifié)

Description :

Chaque mot de la mémoire est étendu de plusieurs bits pour produire

un code de hamming modifié avec une distance de hamming
d’au moins 4. À chaque lecture d’un mot on peut déterminer
si une corruption de bit a eu lieu en testant les bits redondants.
Si une différence est détectée, le système doit être placé dans
un état sûr.

M 3.3 Procédure de vérification de bloc avec réplication de bloc

Description :

L’espace d’adressage est équipé de deux mémoires. La première

mémoire est utilisée normalement. La seconde mémoire contient
les mêmes informations et on y accède en parallèle à la première.
Les sorties sont comparées et toute différence détectée est considérée
comme une défaillance. De manière à détecter certains types d’erreur
de bits, les données doivent être stockées sous forme complémentée
dans l’une des mémoires et complémentées une nouvelle fois lors
de la lecture. Dans la procédure logicielle, le contenu des deux zones
de mémoire est comparé de manière cyclique par programme.

M 3.4 Procédure de vérification de bloc avec redondance multi-mots

Description :

Cette procédure calcule une signature en utilisant un algorithme

de contrôle de redondance cyclique (CRC), mais le résultat a une taille
d’au moins deux mots. La signature étendue est stockée, recalculée
et comparée comme dans le cas d’un mot unique. Un message
de défaillance est émis en cas de différence.

M 3.5 Sauvegarde de mot avec redondance mono-bit

(ex. vérification de ROM avec bit de parité)

Description :

Chaque mot de la mémoire est étendu d’un bit (bit «de parité»)
qui complète chaque mot d’un nombre pair ou impair de 1 logiques.
La parité du mot de donnée est vérifiée à chaque lecture. Si un nombre
erroné de 1 est détecté, un message de défaillance est émis. La parité
ou l’imparité doit être choisie de telle sorte que celui des mots zéro
(ne comportant que des 0) ou un (ne comportant que des 1) qui est
le plus défavorable en cas de défaillance, ne soit pas un code valide.
La parité peut aussi être utilisée pour détecter un défaut d’adressage,
lorsque la parité est calculée pour la concaténation d’un mot de donnée
et de son adresse.

(à suivre)
Page 18
EN 81-1:1998/A1:2005

(suite)
Tableau P.1 — Description de mesures de détection de défaillance possibles (fin)

Composants et fonctions Mesure N° Description des mesures

Zones de mémoire M 4.1 Vérification par motif de test contre les défauts statiques
des variables ou dynamiques, ex. test RAM par «bit errant»

Description :

La zone de mémoire à tester est initialisée avec un champ de bits

uniforme. La première cellule est alors complémentée et la zone
de mémoire restante est parcourue pour s’assurer que l’arrière plan est
correct. Après cela, la première cellule est de nouveau complémentée
pour retrouver sa valeur initiale et l’ensemble du processus est répété
pour les suivantes. Ce test du «bit errant» est répété avec un
remplissage initial inverse. Si une différence survient, le système
doit être placé dans un état sûr.

M 4.2 Procédure de sauvegarde de bloc avec réplication de bloc,

ex. double RAM avec comparaison matérielle ou logicielle.

Description :

L’espace d’adressage est équipé de deux mémoires. La première

mémoire est utilisée normalement. La seconde mémoire contient
les mêmes informations et on y accède en parallèle à la première.
Les sorties sont comparées et toute différence détectée est considérée
comme une défaillance. De manière à détecter certains types d’erreur
de bits, les données doivent être stockées sous forme complémentée
dans l’une des mémoires et complémentées une nouvelle fois lors
de la lecture. Dans la procédure logicielle, le contenu des deux zones
de mémoire est comparé de manière cyclique par programme.

M 4.3 Examen pour détecter les erreurs statiques et dynamiques,

ex. «GALPAT»

Description :

a) Test RAM «galpat» : un élément complémenté est écrit dans

la mémoire standard prédéfinie et toutes les autres cellules sont
examinées pour s’assurer que leur contenu est correct. Après chaque
accès en lecture à l’une des cellules restantes, le contenu de la cellule
complémentée décrite est lu lui aussi. Ce processus est répété pour
chaque cellule. Le test est répété avec un remplissage initial inverse.
Toute différence est considérée comme une défaillance ; ou

b) Test «galpat» transparent : au début du test, une «signature» est

formée par logiciel ou matériel en fonction de la zone de mémoire
à tester et cette signature est stockée dans un registre ; cette signature
correspond à l’initialisation de la mémoire dans le test «galpat».
La signature complémentée est alors stockée dans la cellule à tester et
le contenu des cellules restantes est examiné. Le contenu de la cellule
à tester est lu, lui aussi, après chaque accès en lecture aux cellules
restantes. Comme le contenu des cellules restantes est inconnu, leur
contenu n’est pas examiné individuellement, mais utilisé pour former
une nouvelle fois une signature. Après ce premier test pour la première
cellule on réalise un second test avec un contenu complémenté, ce qui
permet de retrouver le contenu initial. Toutes les autres cellules sont
testées de la même manière. Toute différence est considérée comme
une défaillance.

(à suivre)
 Page 19
EN 81-1:1998/A1:2005

Tableau P.1 — Description de mesures de détection de défaillance possibles (fin)

Composants et fonctions Mesure N° Description des mesures

Unités d’entrée-sortie M 5.1 Entrée multi-canaux parallèles

et interfaces
Description :

Il s’agit d’une comparaison, liée au flux de données, d’entrées

indépendantes respectant une tolérance définie (valeur temporelle).

M 5.2 Relecture de sortie (sortie surveillée)

Description :

Il s’agit d’une comparaison, liée au flux de données, de sorties

et d’entrées indépendantes respectant une tolérance définie
(valeur temporelle). La défaillance peut ne pas toujours correspondre
à la sortie défectueuse.

M 5.3 Sortie multi-canaux parallèles

Description :

Il s’agit d’une redondance des sorties liée au flux de données.

La détection de défaillance résulte directement du processus technique
ou de comparateurs externes.

M 5.4 Code de sécurité

Description :

Cette procédure protège les informations d’entrée et de sortie

vis-à-vis de défaillances simultanées ou systématiques. Elle fournit
une détection de défaillance dépendant du flux de données des unités
d’entrée-sortie avec redondance des informations et/ou redondance
temporelle.

M 5.5 Trame de test (modèle)

Description :

Il s’agit d’un test cyclique des entrées et des sorties, indépendant

du flux de données, réalisé à l’aide de Trame de test définis pour
comparer les signaux observés aux signaux attendus. Le motif de test,
le motif reçu et l’évaluation du motif doivent être indépendants l’un de
l’autre. On suppose que tous les motifs d’entrée possibles sont testés.

Horloge M 6.1 Chien de garde avec base de temps séparée

Description :

Temporisation matérielle avec base de temps séparée réarmée

par le fonctionnement correct du programme.

M 6.2 Surveillance mutuelle

Description :

Temporisation matérielle avec base de temps séparée réarmée

par le fonctionnement correct du programme de l’autre processeur.

Déroulement du programme M 7.1 Combinaison d’une surveillance temporelle et d’une surveillance

logique du déroulement du programme

Description :

Une temporisation contrôlant le déroulement du programme est

réarmée uniquement si le séquencement des sections du programme
est exécuté correctement.
Page 20
EN 81-1:1998/A1:2005

Annexe ZA
(informative)
Relation entre la présente norme européenne et les exigences essentielles
de la Directive UE 95/16/CE

Init numérotation des tableaux d’annexe [Q]!!!

Init numérotation des figures d’annexe [A]!!!
Init numérotation des équations d’annexe [A]!!!

La présente Norme européenne a été élaborée dans le cadre d’un mandat donné au CEN par la Commission
européenne afin d'offrir un moyen de se conformer aux exigences essentielles de la Directive Nouvelle approche
relative aux ascenseurs 95/16/CE.
Une fois la présente norme citée au Journal officiel des Communautés européennes (JOCE) au titre de ladite
Directive et dès sa reprise en norme nationale dans au moins un État membre, la conformité aux articles normatifs
de cette norme confère, dans les limites du domaine d’application de la norme, présomption de conformité aux
exigences essentielles applicables de ladite Directive et de la réglementation AELE associée.
AVERTISSEMENT : D'autres exigences et d'autres Directives UE peuvent être applicables au(x) produit(s)
relevant du domaine d'application de la présente norme.