9.8.8

Контролювання спрацьовування уловлювачів

1

9.10.2.10.1

Виявлення перевищення швидкості

1

9.10.2.10.2

Контролювання вимкнення перевищення швидкості

3

9.10.2.10.3

Контролювання натягу каната під час перевищення швидкості

3

9.10.4.4

Контролювання натягу в канаті безпеки

3

10.4.3.3

Контролювання повернення буферів з витягнутого положення в нормальне

3

10.5.2.2 b)

Контролювання напруги в пристрої зміни положення кабіни у випадку прямої дії ліфта (кінцевий вимикач)

1

10.5.2.3 b)

Контролювання напруги в пристрої зміни положення кабіни у випадку непрямої дії ліфта (кінцевий вимикач)

1

10.5.3.1

Кінцевий вимикач

1

11.2.1 с)

Контролювання замикання дверей кабіни

2

12.13

Контролювання ослаблення каната або ланцюга

2



Кінець таблиці А.1

Пункт

Пристрої перевіряння

РЕБ

13.4.2

Керування ввідним пристроєм за допомогою засобу переривання контактором електроланцюга

2

14.2.1.2 а) 2)

Контролювання вирівнювання, повторного вирівнювання і сповзання

2

14.2.1.2 а) 3)

Контролювання напруги в пристрої зміни положення кабіни (вирівнювання, повторного вирівнювання і сповзання)

2

14.2.1.3 с)

Пристрій зупинення з операцією ревізії

2

14.2.1.4 b)

Обмеження руху кабіни за допомогою стикування

2

14.2.1.4 і)

Пристрій зупинення з операцією стикування

2

14.2.2.1 f)

Пристрій зупинення на приводі ліфта

2

14.2.2.1 g)

Пристрій зупинення на панелі(-ях) аварійного зупинення і випробовування

2

Примітка. Нумерація пунктів змінена відповідно до зміни EN 81-2:1998/А2:2004. Ця примітка може бути видалена, якщо версія EN 81-2 буде однакового змісту.



Таблиця А.2 — Електричні пристрої безпеки, що потребують класифікації функцій безпеки у разі їхнього використання в з’єднанні з програмувальними електронними системами (ПЕСЗБЛ)

Пункт

Пристрої перевіряння

РЕБ

9.9.8

Контролювання дії затискного пристрою

1

9.11.9

Контролювання заниженого положення посадкового пристрою

1

9.11.10

Контролювання повернення в нормальне витягиуте положення буферів з енергорозсіюванням, який використовують у з'єднанні з запобіжним пристроєм

3

14.2.1.3

Вимикач режиму ревізії

3

14.2.1.4 g)

Положення контакту безпеки, що працює від ключа, з операцією стикування

2



Примітка. Класифікація в згаданих вище таблицях А1 і А2 застосовна тільки тоді, коли програмовані електронні системи (ПЕСЗБЛ) у використанні. Ця класифікація не є класифікацією ризику для контактів безпеки або ланцюгів безпеки, але класифікації до визначання рівня цілісності безпеки для ПЕСЗБЛ використовувані у відповідному електричному пристрої безпеки».

7 ЗМІНИ В ДОДАТКУ F

Заголовок розділу F.6 викласти в новій редакції:

«F.6 Ланцюги безпеки, що містять електронні компоненти та (або) програмувальні електронні системи (ПЕСЗБЛ)

До F.6.1 (загальні положення) ввести новий пункт:

«F.6.1.1 Ланцюги безпеки, що містять електронні компоненти» зі змістом F.6.1.

Доповнити новим F.6.1.2 в редакції:

«F.6.1.2 Ланцюги безпеки, на програмувальних електронних системах

F.6.1.1 доповнити наступним:

  1. документи і описи, що відносяться до норм, перерахованих у таблиці 8;

  2. загальний опис застосованого програмного забезпечення (наприклад, правила програмування, мова, компілятор, модулі);

  3. опис функцій, зокрема взаємодії архітектури і програмного забезпечення;

  4. опис блоків, модулів, даних, перемінних і інтерфейсів;

  5. перелік програмного забезпечення».

F.6.3.3 викласти в редакції:

«F.6.3.3 Функційне і безпечне випробовування ПЕСЗБЛ



Додатково до перевіряння заходів, зазначених у таблицях 7—12, потрібно затверджувати таке:

  1. конструкцію програмного забезпечення і кодування: перевіряння кодів усіх операторів, використовуючи методи, як наприклад формальні обговорення проекту, FAGAN, тестові випадки тощо;

  2. програмне забезпечення і перевіряння апаратів: перевіряння на відповідність усіх заходів згідно з таблицями 7 і 8 і вибраних заходів з таблиці М.1 через використання, наприклад перевіряння пошкодження (заснований на EN 61508-2 і EN 61508-7)».

8 ДОДАТОК М

Новий додаток М викласти в редакції:

«ДОДАТОК М

(довідковий)

Опис можливих заходів

У цій таблиці подано описи можливих заходів безпеки, якщо необхідно виконувати вимоги 14.1.2.6:

Таблиця М.1 — Опис можливих заходів щодо контролювання пошкоджень

Компоненти і функції

заходу

Опис заходів


М 1.1

Одноканальна структура з автотестом

Опис:

Хоча структура складається із одного каналу, мають бути забезпечені резервні вихідні маршрути для гарантії безпечного від’єднання. Через інтервали часу, які можуть залежати від типу застосування, блоки системи ПЕСЗБЛ підлягають автотестуванню (циклічному). Ці тести (наприклад тести процесора або пам’яті) призначені для виявляння прихованих збоїв, які не залежать від потоку даних.

Виявлені пошкодження мають призвести до переведення системи в безпечний стан

Структура

М 1.2

Одноканальна структура з автотестом і моніторингом

Опис:

Одноканальна структура з автотестом і моніторингом складається із окремих блоків моніторинга устатковання, що отримує незалежно від виду застосування періодичні дані тесту від системи, яка може бути результатом автотесту. У випадку невірних даних система переходить в безпечний стан.

Потрібні щонайменше два шляхи для від’єднання, так щоб від’єднання виходило від самого процесора або від монітора


М 1.3

Два або більше каналів з порівнянням

Опис:

Двоканальна конструкція, що відноситься до безпеки, складається із двох незалежних, без зворотного зв’язку функційних блоків. Це дає можливість виконання певних функцій, що працюють незалежно в кожному каналі. Для двоканального ПЕСЗБЛ, призначеного тільки для функції одного пристрою безпеки, конструкція каналів може бути однаковою у відношенні апаратури і програмного забезпечення. У випадку двоканального ПЕСЗБЛ, використовуваного для комплексних рішень (наприклад, комбінація декількох функцій безпеки), коли процеси і умови не є визначені перевіряння, слід розглядати різницю в апаратурі і програмному забезпеченні.

Структура охоплює функцію, яка порівнює внутрішні сигнали (наприклад, порівняння шин) та (або) вихідні сигнали, що відносяться до функцій безпеки, щоб покращити виявлення пошкоджень.

Потрібно щонайменше два шляхи для від'єднання, так щоб від'єднання виходило від самих каналів або від компаратора. Це порівняння також є залежним від визначених пошкоджень


М 2.1

Устатковання коригування пошкоджень Опис:

Процесори

М 2.2

Автотест за допомогою програмного забезпечення

Опис:

Усі функції процесора, які використані в безпечному сполученні з тестами компонентів, треба тестувати циклічно.

Компоненти і функції

заходу

Опис заходів


М 2.3

М 2.4

Автотест програмного забезпечення, підтримуваний устаткуванням

Опис:

Для виявляння пошкоджень використовують спеціальні апаратні засоби, які підтримують функції авто тестування. Наприклад, блок моніторингу, який контролює періодичний вихід визначених бітових форм

Компаратор для двоканальних структур

Опис:



1 компаратор - 2

Процесори

М 2.5

Два канали з компаратором устаткування:

а) сигнали обох процесорів порівнюють, використовуючи апаратуру циклічно або постійно. Компаратор може бути зовнішньо тестованим блоком або мати конструкцію пристрою з авто моніторингом чи

в) сигнали обох каналів порівнюють за допомогою процесора. Компаратор може бути зовнішньо тестованим блоком або мати конструкцію пристрою з авто моніторингом

Взаємне порівнювання двох каналів

Опис:



І 1 1 компаратор компаратор [ 2 |



Використовують два резервні процесори, які взаємно обмінюються даними, що відносяться до безпеки. Порівняння даних проводиться обома блоками

Незмінні діапазони пам'яті (ROM, EPROM

М 3.1

М 3.2

М 3.3

М 3.4

Блокова процедура безпеки з резервуванням одного слова (наприклад, «підпис» через ROM за шириною одного слова)

Опис:

У цьому тесті зміст ROM стискається визначеним алгоритмом до одного слова у пам’яті. Цей алгоритм, наприклад, перевіряння циклічного резервування (CRC), може здій­снюватися за допомогою устатковання або програмного забезпечення

Економія слів за допомогою багатобітного резервування (наприклад, змінений код Хеммінга)

Опис:

Кожне слово у пам’яті продовжується на декількох резервних бітах для вироблення коду Хеммінга з відстанню Хеммінга не менше 4. Кожний раз, коли слово зчитується, за допомогою резервних бітів можливо визначити, чи була помилка. Якщо виявлена різниця, система переходить у безпечний стан

Процедура блокової безпеки з дублюванням блока

Опис:

Місце для адреси оснащене двома пам’ятями. Перша пам’ять працює звичайним способом. Друга пам'ять містить ту саму інформацію і доступ до неї, паралельний першій. Виходи зрівнюються і, якщо є різниця, припускається наявність збою. Для виявлення деяких видів бітових помилок дані потрібно вводити в одну з пам'ятей інверсійно і знову інверсуватися під час зчитування. Вміст обох ділянок пам’яті зрівнюється циклічно за допомогою програми

Процедура блокової безпеки з багатослівним резервуванням

Опис:

Ця процедура розраховує підпис за допомогою алгоритму CRC, але отримана величина має розмір у два слова. Подовжений підпис вводять у пам'ять, розраховують знову і зрівнюють, як у разі варіанту з одним словом. Якщо виходить різниця, виво­диться повідомлення про помилку

Компоненти і функції

заходу

Опис заходів

Незмінні діапазони пам'яті (ROM, EPROM

М 3.5

Однобітове резервування з економією слів (наприклад, моніторинг ROM з бітом контролювання парності)

Опис:

Кожне слово в пам’яті подовжується на один біт («паритетний» біт), який доповнює кожне слово до парної або непарної кількості логічних цифр 1. Парність слів даних перевіряють кожний раз під час зчитування. Якщо виявляється невірна кількість одиниць, виводиться повідомлення про помилку. Вибір парного або непарного паритету проводиться так, щоб була можливість визначити невірний код. Невірним кодом є одне зі слів — одне складається із нулів, друге складається із одиниць — яке є найбільше несприятливим під час пошкодження. Контролювання парності можна також використовувати для виявляння пошкоджень під час адресації, коли парність підраховується для зв’язування даних слова і його адреси

Перемінні діапазони пам’яті

М 4.1 М

4.2 М 4.3

Перевіряння на статичний і динамічний дефекти за допомогою шаблону тестування, наприклад, «маршрут» тестування RAM

Опис:

Діапазон пам'яті, який потрібно тестувати, ініціалізується однорідним бітовим потоком. Потім перше вічко інвертується, а інша ділянка пам’яті перевіряється, щоб забезпечити вірність фону. Після цього перше вічко знову інвертується для повернення до її початкового значення і весь процес повторюється. Наступний запуск «моделі блукливого біта» проводиться з інверсованим призначенням фону. Під час отримання різниці система переходить у безпечний стан

Процедура блокової безпеки з дублюванням блока, наприклад, дублювання RAM з порівнянням через устатковання або програмне забезпечення

Опис:

Місце для адреси оснащено двома пам'ятями. Перша пам’ять працює звичайним способом. Друга пам'ять містить ту саму інформацію і доступ до неї паралельний першій. Виходи зрівнюються і, якщо є різниця, припускається наявність збою. Для виявляння деяких видів бітових помилок дані мають вводитися в одну з пам’ятей інверсійно і знову інверсуватися під час зчитування. Вміст обох ділянок пам’яті порівнюється циклічно за допомогою програми

Інспекція для перевіряння статичних і динамічних збоїв, наприклад, «GALPAT»

Опис:

a) RAM тестує «GALPAT»: Інверсний елемент записується у стандартну пам’ять і потім усі вічка, що залишились, інспектуються для забезпечення вірності їх вмісту. Після всіх спроб доступу для зчитування в одне з вічок, що залишились, інверсійно описане вічко також інспектується і зчитується. Цей процес повторюється для всіх вічок. Наступний запуск проводиться з інверсованим призначенням. Під час отри­мання різниці припускається збій; або

в) Прозоре тестування «GALPAT»: На початку тесту формується «підпис» за допомогою програмного забезпечення або також і устатковання залежно від вмісту діапазону пам’яті, що має бути тестованим, потім це зберігається у реєстрі; це відповідає призначенню пам’яті у тесті GALPAT. Вміст записується у тестоване вічко інверсійним способом і інспектується вміст решти вічок. Оскільки вміст решти вічок невідомий, його перевіряють не індивідуально, а знову за допомогою формування «підпису». Після цієї першої операції з першим вічком друга операція проводиться з цим вічком із вмістом, який було інверсовано декілька разів — вміст є знову достовірним. Так початковий вміст встановлено знову. Усі інші вічка пам’яті тестуються таким самим способом. Пошкодження припускається, коли є