Risques liés à l'utilisation de logiciels et d'éléments électroniques dans les dispositifs de sécurité des ascenseurs

Avec les progrès de la technologie, les développements des logiciels et de l'électronique affectent également les ascenseurs, car les systèmes de contrôle traitent plus de données en moins de temps et deviennent "plus intelligents". De plus, bien que des mesures suffisantes soient développées pour les risques mécaniques (chute, rupture, brûlure, etc.), les évaluations des risques logiciels n'étant pas exhaustives, la prise de mesures préventives pour assurer la sécurité liée aux logiciels et aux éléments électroniques reste un enjeu en développement.

Toutes les protections nécessaires pour assurer la sécurité sont contrôlées par des logiciels et des dispositifs électroniques. Le logiciel est utilisé pour toutes les parties d'un ascenseur, y compris la surveillance des composants de sécurité avec un contact électrique, la communication continue de la position de l'ascenseur, la synchronisation du fonctionnement des freins moteur et la surveillance si la porte de la cabine est fermée.

Grâce aux logiciels et aux éléments électroniques, les ascenseurs sont devenus plus légers. Par exemple, la technologie Controller Area Network (CAN) rend le câblage compliqué et les cartes électroniques inutiles, tandis que les variateurs Safe Torque Off (STO) éliminent le contrôle du moteur avec des contacteurs et utilisent des capteurs de chaleur, de proximité et photoélectriques pour se passer de relais mécaniques. et divers interrupteurs mécaniques.

Les méthodes de sécurité fonctionnelle utilisées dans de nombreuses industries, notamment dans l'industrie automobile, ont remplacé les éléments de protection mécaniques utilisés pour les ascenseurs et sont connues sous le nom de PESSRAL (Programmable Electronic Systems in Safety Related Applications for Lifts). Par définition, PESSRAL est le système qui fournit l'un des dispositifs de sécurité électrique répertoriés dans la norme EN 81-20 Annexe A1 avec un système composé d'un ou plusieurs éléments électroniques programmables. Dans ce cas, toutes les parties du système, telles que les capteurs, les autoroutes de données et les modules intégrés, sont incluses dans PESSRAL. Les dispositifs de sécurité énumérés à l'annexe A1 (dispositif de verrouillage de la porte palière, limiteur de vitesse, contact tampon, etc.) peuvent être installés plusieurs fois. En plus des contacts de sécurité conventionnels, des capteurs et des cartes électroniques qui traitent les données et les convertissent en commandes peuvent être utilisés. Par exemple, des interrupteurs de fin de course peuvent être installés en utilisant des contacts de sécurité, un en haut et un en bas, et la position de la cabine peut être mesurée par le contrôleur, qui traite les données en continu provenant de l'encodeur et du système d'information du puits . Dans le second cas, le contact de sécurité n'utilisant pas de levier mécanique pour maintenir les contacts, il apporte une économie de matière. De plus, lorsque PESSRAL est utilisé, l'ensemble du système est considéré comme un composant de sécurité. Par conséquent, l'ascenseur ne peut pas être mis sur le marché sans obtenir un certificat d'examen UE de type d'un organisme notifié. De plus, PESSRAL ne s'écarte pas des normes. PESSRAL est une innovation importante, car elle conduit au développement de mécanismes électroniques qui fonctionnent comme des pièces d'ascenseur standard.  

Lorsqu'un logiciel est utilisé dans des composants de sécurité, il introduit des risques qui ne sont pas couverts par la norme ou dont il n'est pas nécessaire de vérifier qu'ils sont éliminés. L'un des risques est que le contenu du logiciel n'est ni visible ni examinable. À mesure que l'utilisation de logiciels et d'électronique augmente, le contrôleur devient plus important en termes de sécurité. Par exemple, alors que de simples contacts électriques déconnectent l'alimentation du moteur en ouvrant mécaniquement le circuit, lorsqu'un logiciel est utilisé, le module de commande doit activer une série de commandes pour déconnecter l'alimentation du moteur. Ces composants électroniques et le logiciel doivent répondre à la norme de niveau de sécurité définie appelée "SIL" - "Safety Integrity Level" - qui détermine essentiellement la tolérance de fréquence d'erreur du système. De plus, bien que la norme exige de tester la fonctionnalité des composants de sécurité, elle ne nécessite pas de test de contenu. Les mises à jour logicielles que nous voyons actuellement dans nos ordinateurs, voitures, smartphones et réfrigérateurs intelligents sont désormais disponibles dans les ascenseurs. Un logiciel mis à jour est un nouveau logiciel et indique que des modifications ont été apportées au système et vérifiées par NOBO. Selon la directive, dans les inspections de produits du module C que les NOBO effectuent sur les composants de sécurité, les modifications apportées à toute partie du composant de sécurité obligent NOBO à suspendre la certification. Bien que les fabricants mondiaux apportent souvent des modifications au logiciel, les systèmes PESSRAL certifiés par l'UE sont toujours utilisés. Cela signifie qu'il n'est pas possible de savoir si le composant de sécurité mis à jour est toujours "sûr" ou non. Il ne sera pas surprenant que de nouvelles dispositions soient ajoutées à la norme à l'avenir.

Un autre problème est l'intervention extérieure. Les systèmes de surveillance et d'intervention, qui assurent la surveillance à distance et la maintenance prédictive des ascenseurs, permettent essentiellement d'accéder aux systèmes de contrôle. Toute intervention externe protège le logiciel - qui se complique et utilise parfois des systèmes d'exploitation basés sur Linux - contre les virus, mais c'est quelque chose d'ignoré. Les systèmes de contrôle détectent une intervention extérieure et s'arrêtent. Cependant, le contournement des systèmes de sécurité est un risque possible. Étant donné que les systèmes intelligents des bâtiments de haute sécurité sont fréquemment surveillés de l'extérieur, des scripts nuisibles tels que les chevaux de Troie peuvent exploiter les vulnérabilités des circuits de sécurité.

Un autre défaut des pièces du système liées à la sécurité qui est mécaniquement éliminé par le logiciel est les instructions dans les guides de maintenance. Par exemple, le plus grand risque pour les interrupteurs de fin de course qui sont désélectionnés en utilisant PESSRAL peut être l'étirement des câbles de contrepoids. Selon la norme, les interrupteurs de fin de course doivent être activés avant que le contrepoids ou la cabine n'entre en contact avec les tampons. Un système qui active le fin de course en calculant la position de la cabine est calibré lors du réglage initial en tenant compte de la position du contrepoids. Cependant, en raison de l'allongement de la corde, le contrepoids entre en contact avec le tampon à la longue. Bien que la norme EN 13015 exige un guide de maintenance pour les composants de sécurité, il existe des défauts en tenant compte des instructions des autres parties qui peuvent avoir un impact indirect sur les composants de sécurité. Par conséquent, il porte un risque si le fabricant n'exige pas une procédure de maintenance contrôlée par un organisme notifié pour éliminer les risques liés aux composants de sécurité logiciels.

Les logiciels et l'électronique assurent le développement des ascenseurs et de tous les autres domaines de notre vie. Cependant, les risques de cette progression rapide ne sont pas encore totalement maîtrisés. La famille de normes EN 81, qui garantit une installation sûre des ascenseurs, devrait apporter de nouvelles dispositions et des responsabilités supplémentaires pour le fabricant. Par exemple, certaines informations (version, nom, etc.) sur le logiciel doivent être visibles et contrôlables. Dans tous les cas, le nombre de risques définis au chapitre 4 devrait être augmenté et l'évaluation des risques devrait être élargie pour gérer les technologies actuelles.