EN 50129:2018
(Main)Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling
Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling
This document is applicable to safety-related electronic systems (including subsystems and equipment) for railway signalling applications. This document applies to generic systems (i.e. generic products or systems defining a class of applications), as well as to systems for specific applications. The scope of this document, and its relationship with other CENELEC standards, are shown in Figure 1. This document is applicable only to the functional safety of systems. It is not intended to deal with other aspects of safety such as the occupational health and safety of personnel. While functional safety of systems clearly can have an impact on the safety of personnel, there are other aspects of system design which can also affect occupational health and safety and which are not covered by this document. This document applies to all the phases of the life cycle of a safety-related electronic system, focusing in particular on phases from 5 (architecture and apportionment of system requirements) to 10 (system acceptance) as defined in EN 50126-1:2017. Requirements for systems which are not related to safety are outside the scope of this document. This document is not applicable to existing systems, subsystems or equipment which had already been accepted prior to the creation of this document. However, so far as reasonably practicable, it should be applied to modifications and extensions to existing systems, subsystems and equipment. This document is primarily applicable to systems, subsystems or equipment which have been specifically designed and manufactured for railway signalling applications. It should also be applied, so far as reasonably practicable, to general-purpose or industrial equipment (e.g. power supplies, display screens or other commercial off the shelf items), which is procured for use as part of a safety-related electronic system. As a minimum, evidence should be provided in such cases (more information is given in 6.2) to demonstrate either - that the equipment is not relied on for safety, or - that the equipment can be relied on for those functions which relate to safety. This document is aimed at railway duty holders, railway suppliers, and assessors as well as at safety authorities, although it does not define an approval process to be applied by the safety authorities.
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsbezogene elektronische Systeme für Signaltechnik
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de traitement - Systèmes électroniques de sécurité pour la signalisation
La présente Norme européenne est applicable aux systèmes électroniques relatifs à la sécurité (en incluant les sous-systèmes et les équipements) pour des applications de signalisation ferroviaire. La présente Norme européenne s'applique aux systèmes génériques (c'est-à-dire aux produits ou systèmes génériques qui définissent une classe d'applications), ainsi qu'aux systèmes destinés à des applications spécifiques. Le domaine d'application de la présente Norme européenne, ainsi que ses relations avec les autres normes du CENELEC, sont représentés dans la Figure 1. La présente Norme européenne est applicable uniquement à la sécurité fonctionnelle des systèmes. Elle n'est pas destinée à traiter d'autres aspects de la sécurité tels que la santé des travailleurs et la sécurité du personnel. Si la sécurité fonctionnelle des systèmes peut avoir un impact sur la sécurité du personnel, la santé et la sécurité des travailleurs peuvent également être affectées par d'autres aspects de la conception du système qui ne sont pas couverts par la présente Norme européenne. La présente Norme européenne s'applique à toutes les phases du cycle de vie d'un système électronique relatif à la sécurité, et en particulier aux phases 5 (architecture et allocation des exigences du système) à 10 (acceptation du système) telles que définies dans l'EN 50126 (toutes parties). Les exigences applicables aux systèmes n'ayant pas trait à la sécurité ne relèvent pas du domaine d'application de la présente Norme européenne. La présente Norme européenne n'est pas applicable aux systèmes, sous-systèmes ou équipements existants (c'est-à-dire ceux qui ont déjà été acceptés avant l'élaboration de la présente Norme européenne). Toutefois, dans la mesure où cela est raisonnablement possible, elle doit être appliquée à des modifications et à des extensions des systèmes, sous-systèmes et équipements existants. La présente Norme européenne est plutôt applicable aux systèmes, sous-systèmes ou équipements qui ont été spécialement conçus et fabriqués pour des applications de signalisation ferroviaire. Il convient également de l'appliquer, dans la limite du raisonnable, aux équipements généraux ou industriels (par exemple : alimentations, écrans d'affichage ou autres articles disponibles dans le commerce) qui sont utilisés comme partie d'un système électronique relatif à la sécurité. Dans de tels cas, il convient au minimum d'apporter la preuve que : - la sécurité ne repose pas sur cet équipement ; ou - que les fonctions en relation avec la sécurité peuvent reposer sur cet équipement. La présente Norme européenne s'adresse aux responsables d'exploitation ferroviaire, aux fournisseurs de matériel ferroviaire et aux chargés d'évaluations ainsi qu'aux autorités de tutelle, bien qu'elle ne définisse pas un processus d'approbation applicable par les autorités de tutelle. (...)
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-varnostni elektronski sistemi
Ta evropski standard se uporablja za varnostne elektronske sisteme (vključno s podsistemi in opremo) v železniških signalnih napravah.
Ta evropski standard se uporablja za generične sisteme (tj. generične izdelke ali sisteme, ki določajo razred uporabe), pa tudi za sisteme za posebno uporabo.
Področje uporabe tega evropskega standarda in njegova povezava z drugimi standardi CENELEC sta prikazana na sliki 1.
Ta evropski standard se uporablja samo za funkcionalno varnost sistemov. Ni namenjen obravnavi drugih vidikov varnosti, kot so zdravje in varnost osebja. Funkcionalna varnost sistemov sicer lahko vpliva na varnost osebja, vendar lahko na zdravje in varnost pri delu vplivajo tudi drugi vidiki zasnove sistema, ki niso zajeti v tem evropskem standardu.
Ta evropski standard se uporablja za vse faze življenjskega cikla varnostnega elektronskega sistema in se osredotoča zlasti na faze od 5 (struktura in porazdelitev sistemskih zahtev) do 10 (sprejem sistema), kot določa standard EN 50126 (vsi deli).
Zahteve za sisteme, ki niso povezane z varnostjo, ne spadajo na področje uporabe tega evropskega standarda.
Ta evropski standard se ne uporablja za obstoječe sisteme, podsisteme ali opremo (npr. tiste, ki so bili sprejeti že pred uvedbo tega evropskega standarda). Vendar naj bi se, kolikor je to razumno izvedljivo, uporabljal za spremembe in razširitve obstoječih sistemov, podsistemov ter opreme.
Ta evropski standard se uporablja predvsem za sisteme, podsisteme ali opremo, ki je bila posebej zasnovana in izdelana za uporabo v železniški signalizaciji. Uporabljal naj bi se tudi, kolikor je to razumno izvedljivo, za splošno ali industrijsko opremo (npr. električne napajalnike, prikazovalnike ali druge komercialne artikle), ki se dobavlja za uporabo kot del varnostnega elektronskega sistema. V takšnih primerih naj bi predložili najmanj dokazila, da:
– ne gre za varnostno opremo; ali
– se je mogoče zanesti na opremo pri funkcijah, ki se nanašajo na varnost.
Ta evropski standard je namenjen nosilcem dolžnosti in dobaviteljem v železniškem prometu ter ocenjevalcem in varnostnim organom, čeprav ne določa postopka odobritve, ki ga morajo izvajati varnostni organi.
(...)
General Information
Relations
Standards Content (Sample)
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-varnostni elektronski sistemiBahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für SignaltechnikApplications ferroviaires - Systèmes de signalisation, de télécommunications et de traitement - Systèmes électroniques de sécurité pour la signalisationRailway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling45.020Železniška tehnika na splošnoRailway engineering in general35.240.60Uporabniške rešitve IT v prometuIT applications in transportICS:Ta slovenski standard je istoveten z:EN 50129:2018SIST EN 50129:2019en01-februar-2019SIST EN 50129:2019SLOVENSKI
STANDARDSIST-TP CLC/TR 50506-1:2007SIST-TP CLC/TR 50506-2:2010SIST EN 50129:2003SIST-TP CLC/TR 50451:20071DGRPHãþD
EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM
EN 50129
November 2018 ICS 93.100
Supersedes
CLC/TR 50451:2007, CLC/TR 50506-1:2007, CLC/TR 50506-2:2009, EN 50129:2003
English Version
Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de traitement - Systèmes électroniques de sécurité pour la signalisation
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik This European Standard was approved by CENELEC on 2018-06-07. CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to any CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation under the responsibility of a CENELEC member into its own language and notified to the CEN-CENELEC Management Centre has the same status as the official versions. CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia, Cyprus, the Czech Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and the United Kingdom. European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique Europäisches Komitee für Elektrotechnische Normung CEN-CENELEC Management Centre: Rue de la Science 23,
B-1040 Brussels © 2018 CENELEC All rights of exploitation in any form and by any means reserved worldwide for CENELEC Members.
Ref. No. EN 50129:2018 E SIST EN 50129:2019
Contents Page European foreword .5 Introduction .7 1 Scope .8 2 Normative references .9 3 Terms, definitions and abbreviations .10 3.1 Terms and definitions .10 3.2 Abbreviations .20 4 Overall framework of this standard .21 5 Requirements for developing safety-related electronic systems .22 5.1 Introduction .22 5.2 The quality management process .23 5.3 The safety management process .26 6 Requirements for elements following different life cycles .36 6.1 Introduction .36 6.2 Use of pre-existing items .36 6.3 Safety-related tools for electronic systems .39 6.4 Physical security and IT-Security .41 7 The Safety Case: structure and content .42 7.1 The Safety Case structure .42 7.2 The Technical Safety Report .44 7.3 Generic and Specific Safety Cases .55 7.4 Provisions for the Specific Application Safety Case .55 7.5 Dependencies between Safety Cases .56 8 System safety acceptance and subsequent phases .57 8.1 System safety acceptance process .57 8.2 Operation, maintenance and performance monitoring .61 8.3 Modification and retrofit .61 8.4 Decommissioning and disposal .61 Annex A (normative)
Safety Integrity Levels .62 A.1 Introduction .62 A.2 Safety requirements .62 A.3 Safety integrity .63 A.4 Determination of safety integrity requirements .64 A.4.1 General .64 A.4.2 Risk Assessment .65 A.4.3 Hazard Control.67 SIST EN 50129:2019
A.4.4 Identification and treatment of new hazards arising from design .72 A.5 Allocation of SILs .73 A.5.1 General aspects .73 A.5.2 Relationship between SIL and associated TFFR .74 Annex B (normative)
Management of faults for safety-related functions .77 B.1 Introduction .77 B.2 General concepts .78 B.2.1 Detection and negation times .78 B.2.2 Composition of two independent items.79 B.3 Effects of faults .80 B.3.1 Effects of single faults .80 B.3.2 Influences between items .81 B.3.3 Detection of single faults .87 B.3.4 Action following detection (retention of safe state) .90 B.3.5 Effects of multiple faults .92 B.3.6 Defence against systematic faults .95 Annex C (normative)
Identification of hardware component failure modes .96 C.1 Introduction .96 C.2 General procedure .96 C.3 Procedure for integrated circuits .96 C.4 Procedure for components with inherent physical properties .97 C.5 General provisions concerning component failure modes .97 Annex D (informative)
Example of THR/TFFR/FR apportionment and SIL allocation .117 Annex E (normative)
Techniques and measures
for the avoidance of systematic faults
and the control of random and systematic faults .119 E.1 Introduction .119 E.2 Tables of techniques and measures .121 Annex F (informative)
Guidance on User Programmable Integrated Circuits .130 F.1 Introduction .130 F.1.1 Purpose .130 F.1.2 Terminology and context .131 F.2 UPIC life cycle .132 F.2.1 Organization, roles, responsibilities and personnel competencies .134 F.2.2 UPIC Requirements .134 F.2.3 UPIC Architecture and Design .135 F.2.4 Logic Component Design .136 F.2.5 Logic Component Coding .136 F.2.6 Logic Component Verification .136 SIST EN 50129:2019
F.2.7 UPIC Physical Implementation .136 F.2.8 UPIC Integration .136 F.2.9 UPIC Validation .136 F.2.10 Requirements for use of pre-existing logic components .136 F.3 Detailed technical requirements for UPIC .136 F.3.1 Guidance on safety architecture .136 F.3.2 Protection against random faults – architectural principles .137 F.3.3 Protection against systematic faults – (techniques/measures) .137 Annex G (informative)
Changes at this document compared to EN 50129:2003 .147 Annex ZZ (informative)
Relationship between this document and the Essential Requirements of EU Directive 2008/57/EC .151 Bibliography .153 SIST EN 50129:2019
European foreword This document (EN 50129:2018) has been prepared by CLC/SC 9XA “Communication, signalling and processing systems” of CLC/TC 9X “Electrical and electronic applications for railways”. The following dates are fixed: • latest date by which this document has to be implemented at national level by publication of an identical national standard or by endorsement (dop) 2019-05-23 • latest date by which the national standards conflicting with this document have to be withdrawn (dow) 2021-11-23 This document supersedes EN 50129:2003. CLC/TR 50451:2007, CLC/TR 50506-1:2007 and CLC/TR 50506-2:2009 are withdrawn by the time the present Publication is published. The significant technical changes with respect to EN 50129:2003 are the following: — A better alignment with the life cycle phases described in EN 50126-1:2017 has been made; — Clause 5 describes the requirements that apply to the development of safety-related electronic systems (until phase 9 of the life cycle), — Clause 8 focuses on the requirements for safety acceptance and approval of safety-related electronic systems and subsequent phases; — Requirements and guidance have been added in Clause 6 on the following topics: — reuse of pre-existing systems, — safety-related tools, — impact of IT security threats on functional safety, — specific application safety cases; — Requirements for the structure and content of the safety case are now defined in a dedicated Clause 7; — Annex A has been aligned with EN 50126-2:2017 for the specification and allocation of safety integrity requirements; — The content of former Annex D has been merged with Annex B, and has been changed from informative to normative; — The status of the Annex E has been changed from informative to normative; — An Annex F has been added as an informative annex on User Programmable Integrated Circuits. A more detailed comparison of changes between EN 50129:2003 and this document can be found in Annex G. Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. CENELEC shall not be held responsible for identifying any or all such patent rights. This document has been prepared under a mandate given to CENELEC by the European Commission and the European Free Trade Association, and supports essential requirements of EU Directive(s). SIST EN 50129:2019
For the relationship with EU Directive(s) see informative Annex ZZ, which is an integral part of this document. The structure of this document is described in Clause 4. This document is intended to be used in conjunction with EN 50126-1:2017, “Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process”, EN 50126-2:2017, “Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety”, and EN 50128:2011, “Railway applications — Communication, signalling and processing systems — Software for railway control and protection systems”. This document has been prepared under the Mandate M/483 given to CENELEC by the European Commission and the Commission Implementing Regulation (EU) No 402/2013 of 30 April 2013 on the common safety method (CSM) for risk evaluation and assessment and repealing Regulation (EC) No 352/2009 (with the subsequent amendment, Commission Implementing Regulation (EU) No 2015/1136 of 13 July 2015). SIST EN 50129:2019
Introduction This document defines requirements for the acceptance of safety-related electronic systems in the railway signalling field. The aim of European railway duty holders and of European railway industry is to develop compatible railway systems based on common standards. Therefore cross-acceptance of Safety Approvals for systems, subsystems or equipment by the different national railway duty holders is necessary. This document is the common European base for safety acceptance of electronic systems for railway signalling applications. Cross-acceptance is aimed at the acceptance of generic products or generic applications that can be used for a number of different specific applications, and not at the acceptance of any single specific application. Public procurement within the European Community concerning safety-related electronic systems for railway signalling applications will refer to this document. This document is concerned with the evidence to be presented for the acceptance of safety-related systems. However, it specifies not only those life cycle activities which need to be completed before the acceptance stage, but also the additional planned activities to be carried out afterwards. In this way, safety justification will cover the whole life cycle. This document is concerned with what evidence is to be presented. Except where considered appropriate, it does not specify who carries out the necessary work, since this can vary in different circumstances. Safety-related electronic systems for signalling include hardware and software aspects. To develop complete safety-related systems, both aspects need to be taken into account throughout the whole life cycle of the system. The requirements for the overall safety-related electronic system and for its hardware aspects are defined in this document. Other requirements are defined in associated CENELEC standards: for safety-related systems which include software, see EN 50128; for safety-related data communication, see EN 50159. This document consists of Clauses 1 to 8, which form the main part, and Annexes A, B, C, D, E, F, G and ZZ. The requirements defined in the main part of this document and in Annexes A, B, C and E are normative, whilst Annexes D, F, G and ZZ are informative. This document is in line with, and uses relevant sections of: — EN 50126-1:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process, — EN 50126-2:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety. This document is based on the system life cycle described in EN 50126-1, EN 50126-2 and is in line with the EN 61508 series. EN 50126-1, EN 50126-2, EN 50128, EN 50129 comprise the railway sector equivalent of the EN 61508 series so far as Railway Communication, Signalling and Processing Systems are concerned. When compliance with these documents has been demonstrated, further evaluation of compliance with the EN 61508 series is not required. SIST EN 50129:2019
1 Scope This document is applicable to safety-related electronic systems (including subsystems and equipment) for railway signalling applications. This document applies to generic systems (i.e. generic products or systems defining a class of applications), as well as to systems for specific applications. The scope of this document, and its relationship with other CENELEC standards, are shown in Figure 1. This document is applicable only to the functional safety of systems. It is not intended to deal with other aspects of safety such as the occupational health and safety of personnel. While functional safety of systems clearly can have an impact on the safety of personnel, there are other aspects of system design which can also affect occupational health and safety and which are not covered by this document. This document applies to all the phases of the life cycle of a safety-related electronic system, focusing in particular on phases from 5 (architecture and apportionment of system requirements) to 10 (system acceptance) as defined in EN 50126-1:2017. Requirements for systems which are not related to safety are outside the scope of this document. This document is not applicable to existing systems, subsystems or equipment which had already been accepted prior to the creation of this document. However, so far as reasonably practicable, it should be applied to modifications and extensions to existing systems, subsystems and equipment. This document is primarily applicable to systems, subsystems or equipment which have been specifically designed and manufactured for railway signalling applications. It should also be applied, so far as reasonably practicable, to general-purpose or industrial equipment (e.g. power supplies, display screens or other commercial off the shelf items), which is procured for use as part of a safety-related electronic system. As a minimum, evidence should be provided in such cases (more information is given in 6.2) to demonstrate either – that the equipment is not relied on for safety, or – that the equipment can be relied on for those functions which relate to safety. This document is aimed at railway duty holders, railway suppliers, and assessors as well as at safety authorities, although it does not define an approval process to be applied by the safety authorities. SIST EN 50129:2019
Figure 1 — Scope of the main CENELEC railway application standards 2 Normative references The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. EN 50124-1, Railway applications — Insulation coordination — Part 1: Basic requirements — Clearances and creepage distances for all electrical and electronic equipment EN 50125-1, Railway applications — Environmental conditions for equipment — Part 1: Rolling stock and on-board equipment EN 50125-3, Railway applications — Environmental conditions for equipment — Part 3: Equipment for signalling and telecommunications EN 50126-1:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process EN 50126-2:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety EN 50128, Railway applications — Communication, signalling and processing systems — Software for railway control and protection systems EN 60664-1, Insulation coordination for equipment within low-voltage systems — Part 1: Principles, requirements and tests (IEC 60664-1) SIST EN 50129:2019
3 Terms, definitions and abbreviations 3.1 Terms and definitions For the purposes of this document, the following terms and definitions apply. ISO and IEC maintain terminological databases for use in standardization at the following addresses:
• IEC Electropedia: available at http://www.electropedia.org/ • ISO Online browsing platform: available at http://www.iso.org/obp 3.1.1 accident unintended event or series of events that results in death, injury, loss of a system or service, or environmental damage [SOURCE: IEC 60050-821:2017, 821-12-02] 3.1.2 basic integrity integrity attribute for safety-related functions with a TFFR higher than (less demanding) 10−5 h−1 or for non-safety-related functions Note 1 to entry: In this document Basic Integrity requirements relate only to safety-related functions. If a non-safety-related function has been given basic-integrity requirements on the basis of the process described in EN 50126-2:2017, no additional requirements are defined in this document. [SOURCE: EN 50126-1:2017, 3.7, modified – The note 1 to entry has been added.] 3.1.3 causal analysis analysis of the reasons how and why a particular hazard can come into existence [SOURCE: IEC 60050-821:2017, 821-12-07] 3.1.4 common-cause failures failures of multiple items, which would otherwise be considered independent of one another, resulting from a single cause [SOURCE: IEC 60050-192:2015, 192-03-18] 3.1.5 configuration structuring and interconnection of the hardware and software of a system for its intended application [SOURCE: IEC 60050-821:2017, 821-12-12] 3.1.6 consequence analysis analysis of events which are likely to happen after a hazard has occurred [SOURCE: IEC 60050-821:2017, 821-12-14] SIST EN 50129:2019
3.1.7 cross-acceptance status achieved by a product that has been accepted by one authority to the relevant standards and is acceptable to other authorities without the necessity for further assessment [SOURCE: IEC 60050-821:2017, 821-12-15] 3.1.8 design activity applied in order to analyse and transform specified requirements into acceptable solutions [SOURCE: IEC 60050-821:2017, 821-12-16, modified – The end of the definition “design solutions which have the required safety integrity level” has been replaced by “solutions”.] 3.1.9 diversity existence of two or more different ways or means of achieving a specified objective Note 1 to entry: Diversity is specifically provided as a defence against common cause failure. It can be achieved by providing systems that are physically different from each other or by functional diversity, where similar systems achieve the specified objective in different ways. [SOURCE: IEC 60050-395:2014, 395-07-115] 3.1.10 DC fault model fault category that includes the following failure modes: stuck-at faults, stuck-open, open or high impedance outputs as well as short circuits between signal lines, and for integrated circuits, short circuit between any two connections (pins) SIST EN 50129:2019
3.1.11 electronic component hardware component electronic device that cannot be taken apart without destruction or impairment of its intended use EXAMPLE: Resistors, capacitors, diodes, integrated circuits, hybrids, application specific integrated circuits, wound components and relays. [SOURCE: IEC 60050-904:2014, 904-01-09, modified – “hardware component” has been added as a synonym.] 3.1.12 equipment single apparatus or set of devices or apparatuses, or the set of main devices of an installation, or all devices necessary to perform a specific task Note 1 to entry: Examples of equipment are a power transformer, the equipment of a substation, measuring equipment. [SOURCE: IEC 60050-151:2001, 151-11-25] 3.1.13 error discrepancy between a computed, observed or measured value or condition and the true, specified or theoretically correct value or condition Note 1 to entry: An error can be caused by a faulty item, e.g. a computing error made by faulty computer equipment. Note 2 to entry: A human error can be seen as a human action or inaction that can produce an unintended result. [SOURCE: IEC 60050-192:2015, 192-03-02] 3.1.14 fail-safe able to enter or remain in a safe state in the event of a failure [SOURCE: IEC 60050-821:2017, 821-01-10] 3.1.15 failure, loss of ability to perform as required Note 1 to entry: Qualifiers, such as catastrophic, critical, major, minor, marginal and insignificant, may be used to categorize failures according to the severity of consequences, the choice and definitions of severity criteria depending upon the field of application. Note 2 to entry: Qualifiers, such as misuse, mishandling and weakness, may be used to categorize failures according to the cause of failure. Note 3 to entry: “Failure” is an event, as distinguished from “fault”, which is a state. [SOURCE: IEC 60050-821:2017, 821-11-19, modified – The note 3 to entry has been added.] SIST EN 50129:2019
3.1.16 failure rate limit of the ratio of the conditional probability that the instant of time, T, of a failure of a product falls within a given time interval (t, t + ûtF and the duration of this interval, ût, when ût tends towards zero, given that the item is in an up state at the start of the time interval Note 1 to entry: For applications where distance travelled or number of cycles of operation is more relevant than time then the unit of time can be replaced by the unit of distance or cycles, as appropriate. Note 2 to entry: The term “failure rate” is often used in the sense of “mean failure rate” defined in IEV 192-05-07. [SOURCE: IEC 60050-821:2017, 821-12-21] 3.1.17 fault, abnormal condition that could lead to an error in a system Note 1 to entry: A fault can be random or systematic. [SOURCE: IEC 60050-821:2017, 821-11-20] 3.1.18 fault detection time time interval between failure and detection of the resulting fault [SOURCE: IEC 60050-192:2015, 192-07-11] 3.1.19 function, specified action or activity which can be performed by technical means and/or human beings and has a defined output in response to a defined input Note 1 to entry: A function can be specified or described without reference to the physical means of achieving it. [SOURCE: IEC 60050-821:2017, 821-12-25, modified — The specific use “of a product” and the definition have been made more general, the note 1 to entry has been added.] 3.1.20 functional safety part of the overall safety that depends on functional and physical units operating correctly in response to their inputs [SOURCE: IEC 60050-351, 351-57-06] 3.1.21 hazard, condition that could lead to an accident Note 1 to entry: The equivalent definition in IEC 60050-903:2013, 903–01–02 refers to “harm” that, with respect to “accident”, does not include loss of system or service. 3.1.22 hazard analysis process of identifying hazards and analysing their causes, and the derivation of requirements to limit the likelihood and consequences of hazards to a tolerable level [SOURCE: IEC 60050-821:2017, 821-11-23] SIST EN 50129:2019
3.1.23 hazard log document in which hazards identified, decisions made, solutions adopted, and their implementation status are recorded or referenced [SOURCE: IEC 60050-821:2017, 821-12-27] 3.1.24 implementation activity applied in order to transform the specified designs into their realization [SOURCE: IEC 60050-821:2017, 821-12-29, modified: "physical" has been removed as adjective of "realization".] 3.1.25 independence of roles freedom from involvement in the same intellectual, commercial and/or management entity 3.1.26 independent safety assessment process to determine whether the system/product meets the specified safety requirements and to form a judgement as to whether the product is fit for its intended purpose in relation to safety [SOURCE: EN 50126-1:2017, 3.33, modified – The note 1 to entry has been omitted.] 3.1.27 maintenance combination of all technical and management actions intended to retain an item in, or restore it to, a state in which it can perform as required Note 1 to entry: Management is assumed to include supervision activities. [SOURCE: IEC 60050-192:2015, 192-06-01] 3.1.28 negation enforcement of a safe state following detection of a hazardous fault [SOURCE: IEC 60050-821:2017, 821-12-38] 3.1.29 negation time time interval which begins when the existence of a fault is detected and ends when a safe state is enforced [SOURCE: IEC 60050-821:2017, 821-12-39] 3.1.30 pre-existing item item that already exists and that was not developed specifically for the current project 3.1.31 product, collection of elements, interconnected to form a system, a subsystem or an equipment, in a manner which meets the specified requirements SIST EN 50129:2019
[SOURCE: IEC 60050-821:2017, 821-12-40, modified — The specific use "in signalling" has been made more general with "in railway".] 3.1.32 railway duty holder body with the overall accountability for operating a railway system within the legal framework 3.1.33 random failure integrity degree to which a system is free from hazardous random faults Note 1 to entry: This definition can be read as "integrity from failures due to random faults". [SOURCE: IEC 60050-821:2017, 821-12-45, modified – The note 1 to entry has been added.] 3.1.34 random fault unpredictable occurrence of a fault [SOURCE: IEC 60050-821:2017, 821-12-46] 3.1.35 redundancy, provision of more than one means for performing a function [SOURCE: IEC 60050-192: 2015, 192-10-02] 3.1.36 reliability, ability to perform as required, without failure, for a given time interval, under given conditions Note 1 to entry: The time interval duration can be expressed in units appropriate to the item concerned, e.g. calendar time, operating cycles, distance run etc., and the units should always be clearly stated. Note 2 to entry: Given conditions include aspects that affect reliability, such as: mode of operation, stress levels, environmental conditions, and maintenance. Note 3 to entry: Reliability can be quantified using measures defined in Section 192-05, Reliability related concepts: measures. [SOURCE: IEC 60050-192:2015, 192-01-24] 3.1.37 repair direct action taken to effect restoration Note 1 to entry: Repair includes fault localization (SOURCE: IEC 60050-192:2015, 192-06-19), fault diagnosis (SOURCE: IEC 60050-192:2015, 192-06-20); fault correction (SOURCE: IEC 60050-192:2015, 192-06-21); and function checkout (SOURCE: IEC 60050-192:2015, 192-06-22). [SOURCE: IEC 60050-192:2015, 192-06-14] 3.1.38 risk combination of the probability of occurrence of accident and the severity of that accident SIST EN 50129:2019
Note 1 to entry: The equivalent definition in IEC 60050-351:2013, 351-57-03 refers to "harm" that, with respect to "accident", does not include loss of system or service. [SOURCE: IEC 60050-351:2013, 351-57-03, modified — "harm" has been replaced with "accident" and the note 1 to entry has been added.] 3.1.39 safe state condition which continues to preserve safety [SOURCE: IEC 60050-821:2017, 821-12-49] 3.1.40 safety freedom from unacceptable risk [SOURCE: IEC 60050-903:2013, 903-01-19] 3.1.41 safety acceptance safety status given to a product by the final user [SOURCE: IEC 60050-821:2017, 821-12-50] 3.1.42 safety approval safety status given to a product by the requisite authority when the product has fulfilled a set of pre-determined conditions [SOURCE: IEC 60050-821:2017, 821-12-51] 3.1.43 safety authority body responsible for delivering the authorization for the operation of the safety-related system [SOURCE: IEC 60050-821:2017, 821-12-52] 3.1.44 safety case documented demonstration that the product (e.g. a system, subsystem or equipment) complies with the specified safety requirements [SOURCE: IEC 60050-821:2017, 821-12-53] 3.1.45 safety integrity ability of a safety-related system to achieve its required safety functions under all the stated conditions within a stated operational environment and within a stated duration [SOURCE: IEC 60050-821:2017, 821-12-54] 3.1.46 safety integrity level one of a number of defined discrete levels for specifying the safety integrity requirements of safety-related functions to be allocated to the safety-related systems SIST EN 50129:2019
[SOURCE: EN 50126−1:2017, 3.70, modified – The notes to entry have been removed.] 3.1.47 safety life cycle additional series of activities carried out in conjunction with the system life cycle for safety-related systems [SOURCE: IEC 60050-821:2017, 821-12-55] 3.1.48 safety plan documented set of time scheduled activities, resources and events serving to implement the organization, responsibilities, procedures, activities, capabilities and resources that together ensure that an item will satisfy given safety requirements relevant to a given contract or project [SOURCE: IEC 60050-821:2017, 821-12-57] 3.1.49 safety process series of procedures that are followed to enable all safety requirements of a product to be identified and met [SOURCE: IEC 60050-821:2017, 821-12-58] 3.1.50 safety-related carries responsibility for safety [SOURCE: IEC 60050-821:2017, 821-01-73] 3.1.51 signalling system system to ensure the safe movement of trains Note 1 to entry: For the purposes of this document, railway signalling applications encompass all systems which control and protect train movements by conveying instructions or warnings to trains or trackside systems. Where a signalling system includes subsystems or equipment on board of the train, this document is intended to apply up to the interface with the braking system, traction control system or other relevant train systems. [SOURCE: IEC 60050-821:2017, 821-01-03, modified — The end of the definition "by means of one or more of the following: lineside indications, wayside/onboard data exchange, indications given in the driver's cab" has been omitted and the note 1 to entry has been added.] 3.1.52 stress profile degree and number of external influences which a system can withstand whilst performing its required functionality [SOURCE: IEC 60050-821:2017, 821-12-65] 3.1.53 subsystem part of a system, which is itself a system [SOURCE: IEC 60050-192:2015, 192-01-04] SIST EN 50129:2019
3.1.54 system set of interrelated elements considered in a defined context as a whole and separated from their environment [SOURCE: IEC 60050-351:2013, 351-42-08, modified — The Notes to entry have been omitted.] 3.1.55 system life cycle activities occurring during a given time interval that starts when a system is conceived and ends when the system is no longer available for use, is decommissioned and is disposed of [SOURCE: IEC 60050-821:2017, 821-12-66] 3.1.56 systematic failure integrity degree to which a system is free from hazardous systematic faults Note 1 to entry: This definition can be read as "integrity from failures due to systematic faults", in analogy with source IEC 60050-821:2017, 821-12-46, where "random" is replaced by "systematic" [SOURCE: IEC 60050-821:2017, 821-12-68, modified — "unidentified hazardous errors and the causes thereof" has been replaced with "hazardous systematic faults" and the note 1 to entry has been added.] 3.1.57 systematic fault, inherent fault in the specification, design, construction, installation, operation or maintenance of a system, subsystem or equipment [SOURCE: IEC 60050-821:2017, 821-12-69]
3.1.58 technical safety report documented technical evidence for the safety of the design of a system, subsystem or equipment Note 1 to entry: The technical safety report is part of the safety case. [SOURCE: IEC 60050-821:2017, 821-12-70, modified – The note 1 to entry has been added.] 3.1.59 validation confirmation, through the provision of objective evidence, that the requirements for a specific intended use or application have been fulfilled Note 1 to entry: The term "validated" is used to designate the corresponding status. Note 2 to entry: The use conditions for validation can be real or simulated. Note 3 to entry: In design and development, validation concerns the process of examining an item to determine conformity with user needs. Note 4 to entry: Validation is normally performed during the final stage of development, under defined operating conditions, although it can also be performed in earlier stages. Note 5 to entry: Multiple validations can be carried out if there are different intended uses. SIST EN 50129:2019
[SOURCE: IEC 60050-192:2015, 192-01-18] 3.1.60 verification confirmation, through the provision of objective evidence, that specified requirements have been fulfilled Note 1 to entry: The term "verified" is used to designate the corresponding status. Note 2 to entry: Design verification is the application of tests and appraisals to assess conformity of a design to the specified requirement. Note 3 to entry: Verification is conducted at various stages of development, examining the system and its constituents to determine conformity to the requirements specified at the beginning of that stage. [SOURCE: IEC 60050-192:2015, 192-01-17, modified — The note 3 to entry has been modified, "In the case of software," has been deleted and "software and its constituents" has been replaced by "system and its constituents".] SIST EN 50129:2019
3.2 Abbreviations For the purposes of this document, the following abbreviations apply: CCF Common Cause Failure COTS Commercial Off The Shelf DES Designer DT Down Time, TD + TN + TR EMC ElectroMagnetic Compatibility EMI ElectroMagnetic Interference ESD ElectroStatic Discharge FFR Functional Failure Rate FMEA Failure Modes and Effects Analysis
FR Failure Rate FTA Fault Tree Analysis HAZOP HAZard and OPerability study
HW Hardware GASC Generic Application Safety Case GPSC Generic Product Safety Case IP Intellectual Property ISA Independent Safety Assessor MTBF Mean Time Between Failure PC Programmable Component PM Project Manager RAMS Reliability, Availability, Maintainability and Safety SASC Specific Application Safety Case SDR Safe Down Rate, inverse of SDT SDT Safe Down Time, TD + TN SIL Safety Integrity Level SW Software SRAC Safety-Related Application Condition TFFR Tolerable Functional (unsafe) Failure Rate THR Tolerable Hazard Rate TD Detection time, interval between failure and fault detection TN Negation time, interval between fault detection and fault negation TR Repair time, interval between fault negation and fault repair UIC International Union of Railways UPIC User Programmable Integrated Circuit VAL Validator SIST EN 50129:2019
VER Verifier 4 Overall framework of this document Clause 5 of this document describes requirements for a systematic, documented approach to: — quality management, — safety management, — functional and technical safety. Clause 6 describes requirements for supporting elements such as: — reuse of pre-existing items, — safety-related tools for electronic systems, — physical security and IT-security. Clause 7 describes the safety case including: — the general structure, — the technical safety report, — guidance for specific application safety cases and for dependencies between safety cases. Clause
...
SLOVENSKI STANDARD
01-februar-2019
Nadomešča:
SIST EN 50129:2003
SIST-TP CLC/TR 50451:2007
SIST-TP CLC/TR 50506-1:2007
SIST-TP CLC/TR 50506-2:2010
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-
varnostni elektronski sistemi
Railway applications - Communication, signalling and processing systems - Safety
related electronic systems for signalling
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für
Signaltechnik
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de
traitement - Systèmes électroniques de sécurité pour la signalisation
Ta slovenski standard je istoveten z: EN 50129:2018
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
prometu
45.020 Železniška tehnika na Railway engineering in
splošno general
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
NORME EUROPÉENNE
EN 50129
EUROPÄISCHE NORM
EUROPEAN STANDARD
Novembre 2018
ICS 93.100 Annule et remplace les CLC/TR 50451:2007,
CLC/TR 50506-1:2007, CLC/TR 50506-2:2009 et
EN 50129:2003
Version française
Applications ferroviaires — Systèmes de signalisation, de
télécommunications et de traitement — Systèmes électroniques
de sécurité pour la signalisation
Bahnanwendungen — Telekommunikationstechnik, Railway applications — Communication, signalling and
Signaltechnik und Datenverarbeitungssysteme — processing systems — Safety related electronic systems
Sicherheitsrelevante elektronische Systeme für for signalling
Signaltechnik
La présente Norme européenne a été approuvée par le CENELEC le 2018-06-07. Les membres du CENELEC sont tenus de se soumettre
au règlement intérieur du CEN/CENELEC qui définit les conditions dans lesquelles doit être attribué, sans modification, le statut de norme
nationale à la Norme Européenne.
Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être obtenues auprès du centre de
gestion du CEN-CENELEC ou auprès des membres du CENELEC.
La présente Norme européenne existe en trois versions officielles (allemand, anglais, français). Une version dans une autre langue faite
par traduction sous la responsabilité d'un membre du CENELEC dans sa langue nationale, et notifiée au centre de gestion du CEN-
CENELEC, a le même statut que les versions officielles.
Les membres du CENELEC sont les comités électrotechniques nationaux des pays suivants: Allemagne, Ancienne République yougoslave
de Macédoine, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande,
Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Royaume-
Uni, Serbie, Slovaquie, Slovénie, Suède, Suisse et Turquie.
Comité Européen de Normalisation Électrotechnique
Europäisches Komitee für Elektrotechnische Normung
European Committee for Electrotechnical Standardization
Centre de gestion du CEN-CENELEC: Rue de la Science 23, B-1040 Brussels
© 2018 CENELEC Tous droits d'exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde entier aux
membres du CENELEC.
Réf. No. EN 50129:2018 F
Sommaire Page
Avant-propos européen .4
Introduction .6
1 Domaine d'application .7
2 Références normatives .8
3 Termes, définitions et abréviations .9
3.1 Termes et définitions .9
3.2 Abréviations .18
4 Cadre général du présent document .19
5 Exigences relatives au développement de systèmes électroniques relatifs à la sécurité .21
5.1 Introduction.21
5.2 Processus de gestion de la qualité .21
5.3 Processus de gestion de la sécurité .24
6 Exigences relatives aux éléments suivant différents cycles de vie .36
6.1 Introduction.36
6.2 Utilisation des éléments préexistants .36
6.3 Outils relatifs à la sécurité pour les systèmes électroniques.38
6.4 Sécurité physique et sécurité informatique .41
7 Dossier de sécurité : plan et contenu .42
7.1 Plan du Dossier de sécurité .42
7.2 Rapport de sécurité technique .44
7.3 Dossiers de sécurité génériques et spécifiques .56
7.4 Dispositions relatives au Dossier de sécurité pour une application spécifique (SASC) .56
7.5 Dépendances entre les dossiers de sécurité .58
8 Acceptation de la sécurité du système et phases suivantes .58
8.1 Processus d'acceptation de la sécurité du système .58
8.2 Suivi de l'exploitation, de la maintenance et des performances .62
8.3 Modification et réadaptation .62
8.4 Retrait du service et dépose .62
Annexe A (normative) Niveaux d'intégrité de la sécurité .63
A.1 Introduction .63
A.2 Exigences de sécurité .63
A.3 Intégrité de sécurité .64
A.4 Détermination des exigences d'intégrité de la sécurité .65
A.4.1 Généralités .65
A.4.2 Appréciation du risque.66
A.4.3 Maîtrise des situations dangereuses .69
A.4.4 Identification et traitement des nouvelles situations dangereuses apparaissant au cours de la
conception .74
A.5 Allocation de SIL .75
Annexe B (normative) Gestion des pannes des fonctions relatives à la sécurité .78
B.1 Introduction .78
B.2 Concepts généraux .79
B.2.1 Temps de détection et de passivation .79
B.2.2 Composition de deux entités indépendantes .80
B.3 Effets des pannes .81
B.3.1 Effets des pannes simples .81
B.3.2 Influences entre éléments .83
B.3.3 Détection de pannes simples .88
B.3.4 Action suivant la détection (maintien dans un état sûr) .90
B.3.5 Effets des pannes multiples .92
B.3.6 Protections contre les pannes systématiques .96
Annexe C (normative) Identification des modes de défaillance des composants matériels .97
C.1 Introduction .97
C.2 Procédure générale .97
C.3 Procédure pour les circuits intégrés .97
C.4 Procédure pour les composants avec propriétés physiques intrinsèques .98
C.5 Dispositions générales concernant les modes de défaillance des composants .99
Annexe D (informative) Exemple de décomposition des THR/TFFR/FR et d'allocation des SIL. .117
Annexe E (normative) Techniques et mesures pour éviter les pannes systématiques et contrôler les pannes
systématiques et aléatoires .119
E.1 Introduction .119
E.2 Tableaux des techniques et mesures .121
Annexe F (informative) Recommandations relatives aux circuits intégrés programmables par l'utilisateur130
F.1 Introduction .130
F.2 Cycle de vie de l'UPIC .132
F.3 Exigences techniques détaillées applicables à un UPIC .138
F.3.1 Recommandations relatives à l'architecture de la sécurité .138
F.3.2 Protection contre les pannes aléatoires — principes architecturaux .138
F.3.3 Protection contre les pannes systématiques — techniques/mesures .139
Annexe G (informative) Modifications apportées au présent document par rapport à l'EN 50129:2003 .150
Annexe ZZ (informative) Relation entre la présente Norme européenne et les exigences essentielles
concernées de la Directive UE 2008/57/CE [2008 JO L191] .154
Bibliographie .156
Avant-propos européen
Le présent document (EN 50129:2018) a été préparé par le CLC/SC 9XA, « Systèmes de signalisation de
télécommunications et de traitement », du CLC/TC 9X, « Applications électriques et électroniques dans le
domaine ferroviaire ».
Les dates suivantes sont fixées :
• date limite à laquelle ce document doit (dop) 2019-05-23
être mis en application au niveau
national par publication d'une norme
nationale identique ou par entérinement
• date limite à laquelle les normes (dow) 2021-11-23
nationales en contradiction avec ce
document doivent être annulées
Le présent document remplace l'EN 50129:2003.
A la date de publication du présent document, les normes CLC/TR 50451:2007, CLC/TR 50506-1:2007 et
CLC/TR 50506-2:2009 ont été annulées.
Les principales modifications techniques effectuées par rapport à l'EN 50129:2003 sont les suivantes :
— le document a été aligné avec les phases du cycle de vie décrites dans l'EN 50126-1:2017 ;
— l'Article 5 décrit les exigences applicables au développement de systèmes électroniques relatifs à
la sécurité (jusqu'à la phase 9 du cycle de vie) ;
— l'Article 8 se concentre sur les exigences applicables à l'acceptation et à l'approbation de la
sécurité des systèmes électroniques relatifs à la sécurité, ainsi que sur les phases suivantes ;
— des exigences et des recommandations ont été ajoutées à l'Article 6 concernant les sujets suivants :
— réutilisation de systèmes préexistants ;
— outils relatifs à la sécurité ;
— impact des menaces de sécurité informatique sur la sécurité fonctionnelle ;
— dossiers de sécurité pour une application spécifique ;
— les exigences relatives à la structure et au contenu du dossier de sécurité sont maintenant définies
dans un Article 7 dédié ;
— l'Annexe A a été alignée avec l'EN 50126-2:2017 pour la spécification et l'allocation des exigences
d'intégrité de la sécurité ;
— le contenu de l'ancienne Annexe D a été fusionné avec celui de l'Annexe B et l'annexe est passée du
statut informatif à normatif ;
— l'Annexe E est passée du statut informatif à normatif ;
— une Annexe F informative a été ajoutée concernant les circuits intégrés programmables par
l'utilisateur.
Une comparaison détaillée des modifications entre l'EN 50129:2003 et le présent document est fournie à
l'Annexe G.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. Le CENELEC ne saurait être tenu pour
responsable de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
Le présent document a été élaboré dans le cadre d'un mandat confié au CENELEC par la Commission
européenne et l'Association européenne de libre-échange et vient à l'appui des exigences essentielles de la
ou des directives UE.
Pour la relation avec la (les) directive(s) UE, voir l'Annexe ZZ informative, qui fait partie intégrante du
présent document.
Le plan du présent document est décrit à l'Article 4.
Le présent document est destiné à être utilisé conjointement avec l'EN 50126-1:2017, « Applications
ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité et de la
sécurité (FDMS) — Partie 1 : Processus FMDS générique », l'EN 50126-2:2017, « Applications
ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité et de la
sécurité (FDMS) — Partie 2 : Approche systématique pour la sécurité » et l'EN 50128:2011, « Applications
ferroviaires — Systèmes de signalisation, de télécommunication et de traitement — Logiciels pour
systèmes de commande et de protection ferroviaire ».
Le présent document a été élaboré dans le cadre du mandat M/483 confié au CENELEC par la
Commission européenne et du Règlement d'exécution (UE) n° 402/2013 de la Commission du 30 avril 2013
concernant la méthode de sécurité commune relative à l'évaluation et à l'appréciation des risques et
abrogeant le Règlement (CE) n° 352/2009 (y compris son amendement ultérieur, le Règlement
d'exécution (UE) n° 2015/1136 du 13 juillet 2015).
Introduction
Le présent document définit les exigences pour l'acceptation des systèmes électroniques relatifs à la
sécurité dans le domaine de la signalisation ferroviaire.
Le but des responsables d'exploitation ferroviaire européens et de l'industrie ferroviaire européenne est de
développer des systèmes ferroviaires compatibles basés sur des normes communes. En conséquence, il
est nécessaire de réaliser l'acceptation réciproque des approbations de sécurité pour des systèmes, sous-
systèmes ou équipements par les différents responsables d'exploitation ferroviaire nationaux. Le présent
document est le référentiel européen commun pour l'acceptation de la sécurité des systèmes électroniques
pour des applications de signalisation ferroviaire.
L'acceptation réciproque désigne l'acceptation de produits et d'applications génériques pouvant être utilisés
pour un grand nombre d'applications spécifiques, et pas seulement l'acceptation d'une seule application
spécifique. L'approvisionnement public à l'intérieur de la Communauté Européenne concernant les
systèmes électroniques relatifs à la sécurité pour des applications de signalisation ferroviaire font référence
au présent document.
Le présent document concerne les preuves à fournir pour l'acceptation de systèmes relatifs à la sécurité.
Toutefois, il spécifie non seulement les activités du cycle de vie qui doivent être terminées avant la phase
d'acceptation, mais également les activités planifiées supplémentaires à réaliser après. De cette manière,
la justification de la sécurité couvre l'ensemble du cycle de vie.
Le présent document précise quelles sont les preuves qui doivent être établies. Sauf si cela est considéré
comme opportun, il ne spécifie pas qui réalise le travail nécessaire, ceci pouvant varier en fonction des
circonstances.
Les systèmes électroniques relatifs à la sécurité pour la signalisation incluent les aspects matériels et
logiciels. Pour développer des systèmes relatifs à la sécurité complets, ces deux aspects doivent être pris
en compte tout au long du cycle de vie du système. Les exigences concernant le système électronique
global relatif à la sécurité et ses aspects matériels sont définies dans le présent document. D'autres
exigences sont définies dans les normes du CENELEC associées : pour les systèmes relatifs à la sécurité
comportant des logiciels, se reporter à l'EN 50128 ; pour la transmission des données de sécurité, se
reporter à l'EN 50159.
Le présent document se compose des Articles 1 à 8 qui forment le corps principal, ainsi que des
Annexes A, B, C, D, E, F, G et ZZ. Les exigences définies dans le corps principal du présent document et
dans les Annexes A, B, C et E sont normatives, tandis que les Annexes D, F, G et ZZ sont informatives.
Le présent document est cohérent avec les documents suivants et reprend les articles applicables des
documents suivants :
— EN 50126-1:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 1: Processus FDMS générique ;
— EN 50126-2:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 2 : Approche systématique pour la
sécurité.
Le présent document est basé sur le cycle de vie système décrit dans l'EN 50126-1 et l'EN 50126-2, et est
conforme à la série EN 61508. Les normes EN 50126-1, EN 50126-2, EN 50128 et EN 50129 comprennent
la série EN 61508 équivalente pour le secteur ferroviaire, qui couvre les systèmes ferroviaires de
signalisation, de télécommunication et de traitement. Sous réserve que la conformité avec ces documents
ait été démontrée, il n'est pas nécessaire de procéder à une plus ample évaluation de la conformité avec la
série EN 61508.
1 Domaine d'application
Le présent document est applicable aux systèmes électroniques relatifs à la sécurité (en incluant les sous-
systèmes et les équipements) pour des applications de signalisation ferroviaire.
Le présent document s'applique aux systèmes génériques (c'est-à-dire aux produits ou systèmes
génériques qui définissent une classe d'applications), ainsi qu'aux systèmes destinés à des applications
spécifiques.
La Figure 1 représente le domaine d'application du présent document, ainsi que ses relations avec les
autres normes CENELEC.
Le présent document est applicable uniquement à la sécurité fonctionnelle des systèmes. Elle n'est pas
destinée à traiter d'autres aspects de la sécurité tels que la santé des travailleurs et la sécurité du
personnel. Si la sécurité fonctionnelle des systèmes peut avoir un impact sur la sécurité du personnel, la
santé et la sécurité des travailleurs peuvent également être affectées par d'autres aspects de la conception
du système qui ne sont pas couverts par le présent document.
Le présent document s'applique à toutes les phases du cycle de vie d'un système électronique relatif à la
sécurité, et en particulier aux phases 5 (architecture et allocation des exigences du système) à 10
(acceptation du système) définies dans l'EN 50126-1:2017.
Les exigences applicables aux systèmes n'ayant pas trait à la sécurité ne relèvent pas du domaine
d'application du présent document.
Le présent document n'est pas applicable aux systèmes, sous-systèmes ou équipements existants (c'est-à-
dire ceux qui ont déjà été acceptés avant l'élaboration du présent document). Toutefois, dans la mesure où
cela est raisonnablement possible, il convient de l'appliquer aux modifications et extensions des systèmes,
sous-systèmes et équipements existants.
Le présent document est plutôt applicable aux systèmes, sous-systèmes ou équipements qui ont été
spécialement conçus et fabriqués pour des applications de signalisation ferroviaire. Il convient également
de l'appliquer, dans la limite du raisonnable, aux équipements généraux ou industriels (par exemple :
alimentations, écrans d'affichage ou autres articles disponibles dans le commerce) qui sont utilisés comme
partie d'un système électronique relatif à la sécurité. Dans de tels cas (des informations supplémentaires
sont données en 6.2), il convient au minimum d'apporter la preuve que :
– la sécurité ne repose pas sur cet équipement ; ou que
– les fonctions en relation avec la sécurité peuvent reposer sur cet équipement.
Le présent document s'adresse aux responsables d'exploitation ferroviaire, aux fournisseurs de matériel
ferroviaire et aux chargés d'évaluations ainsi qu'aux autorités de tutelle, bien qu'elle ne définisse pas un
processus d'approbation applicable par les autorités de tutelle.
Figure 1 — Domaine d'application des normes ferroviaires du CENELEC
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
EN 50124-1, Applications ferroviaires — Coordination de l'isolement — Partie 1 : Prescriptions
fondamentales — Distances d'isolement dans l'air et lignes de fuite pour tout matériel électrique et
électronique
EN 50125-1, Applications ferroviaires — Conditions d'environnement pour le matériel — Partie 1 :
Equipement embarqué du matériel roulant
EN 50125-3, Applications ferroviaires — Conditions d'environnement pour le matériel — Partie 3 :
Equipement pour la signalisation et les télécommunications
EN 50126-1:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 1: Processus FDMS générique
EN 50126-2:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 2 : Processus FDMS générique
EN 50128, Applications ferroviaires — Systèmes de signalisation, de télécommunication et de
traitement — Logiciels pour systèmes de commande et de protection ferroviaire
EN 60664-1, Coordination de l'isolement des matériels dans les systèmes (réseaux) à basse
tension — Partie 1 : Principes, prescriptions et essais (IEC 60664-1)
3 Termes, définitions et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
• IEC Electropedia : disponible à l'adresse http://www.electropedia.org/
• ISO Online browsing platform : disponible à l'adresse http://www.iso.org/obp
3.1.1
accident
évènement ou série d'évènements inattendus conduisant au décès, à des blessures, à la perte d'un
système ou d'un service, ou à des dommages sur l'environnement
[SOURCE : IEC 60050-821:2017, 821-12-02]
3.1.2
intégrité de base
attribut d'intégrité pour des fonctions relatives à la sécurité avec un TFFR plus élevé que (moins exigeant)
-5 -1
10 [h ] ou pour des fonctions non relatives à la sécurité
Note 1 à l'article : Dans le présent document, les exigences d'intégrité de base se rapportent uniquement aux
fonctions relatives à la sécurité. Si des exigences d'intégrité de base ont été imposées à une fonction non liée à la
sécurité sur la base du processus décrit dans l'EN 50126-2:2017, aucune exigence supplémentaire n'est définie dans
le présent document.
[SOURCE : EN 50126-1:2017, 3.7, modifiée – La Note 1 à l'article a été ajoutée.]
3.1.3
analyse des causes
analyse des raisons à l'origine d'une situation dangereuse
[SOURCE : IEC 60050-821:2017, 821-12-07]
3.1.4
défaillances de cause commune
défaillances de différentes entités, qui résultent d'une cause unique, mais auraient pu être considérées
comme indépendantes
[SOURCE : IEC 60050-192:2015, 192-03-18]
3.1.5
configuration
structuration et relations entre le matériel et le logiciel d'un système pour une application attendue
[SOURCE : IEC 60050-821:2017, 821-12-12]
3.1.6
analyse des conséquences
analyse des évènements susceptibles de survenir après l'occurrence d'un danger
[SOURCE : IEC 60050-821:2017, 821-12-14]
3.1.7
acceptation réciproque
état atteint par un produit qui a été accepté par une autorité selon les normes en vigueur et qui est
acceptable par les autres autorités sans nécessité de nouvelle évaluation
[SOURCE : IEC 60050-821:2017, 821-12-15]
3.1.8
conception
activité menée afin d'analyser et de transformer les exigences spécifiées en solutions acceptables
[SOURCE : IEC 60050-821:2017, 821-12-16, modifiée – La fin de la définition « solutions de conceptions
acceptables ayant le niveau d'intégrité de la sécurité requis » a été remplacée par « solutions
acceptables ».]
3.1.9
diversité
existence de deux manières ou moyens différents ou plus pour atteindre un objectif déterminé
Note 1 à l'article : La diversité est faite spécifiquement pour assurer une protection contre les défaillances de cause
commune. On peut la réaliser en fournissant des systèmes physiquement différents les uns des autres ou via une
diversité fonctionnelle, grâce à laquelle des systèmes similaires atteignent l'objectif visé de manières différentes.
[SOURCE : IEC 60050-395:2014, 395-07-115]
3.1.10
modèle de panne CC
catégorie d'anomalie qui inclut les modes de défaillance suivants : blocage, blocage ouvert, sorties ouvertes
ou haute impédance ainsi que les courts-circuits entre les lignes de signaux et, pour les circuits intégrés,
les courts-circuits entre deux connecteurs (broches)
3.1.11
composant électronique
composant matériel
dispositif électronique qui ne peut pas être démonté sans le détruire ou nuire à son utilisation prévue
EXEMPLE : Résistances, condensateurs, diodes, circuits intégrés, hybrides, circuits intégrés spécifiques,
composants enroulés et relais.
[SOURCE : IEC 60050-904:2014, 904-01-09, modifiée – « composant matériel » a été ajouté en tant que
synonyme.]
3.1.12
équipement
appareil unique ou ensemble de dispositifs ou appareils, ou ensemble des dispositifs principaux d'une
installation, ou ensemble des dispositifs nécessaires à l'accomplissement d'une tâche particulière
Note 1 à l'article : Des exemples d'équipement ou de matériel sont un transformateur de puissance, l'équipement
d'une sous-station, un équipement de mesure.
[SOURCE : IEC 60050-151:2001, 151-11-25]
3.1.13
erreur
écart entre une valeur ou condition calculée, observée ou mesurée et la valeur ou condition vraie, spécifiée
ou théoriquement correcte
Note 1 à l'article : Une erreur peut être causée par un élément défaillant, comme une erreur de calcul commise par un
matériel informatique défaillant.
Note 2 à l'article : Une erreur humaine peut être considérée comme une action ou inaction de l'homme susceptible de
produire un résultat inattendu.
[SOURCE : IEC 60050-192:2015, 192-03-02]
3.1.14
de sécurité
capable d'entrer ou de rester dans un état sûr dans l'éventualité d'une défaillance
[SOURCE : IEC 60050-821:2017, 821-01-10]
3.1.15
défaillance,
perte de l'aptitude à fonctionner tel que requis
Note 1 à l'article : Des qualificatifs tels que catastrophique, critique, majeur, mineur, marginal et non significative
peuvent être utilisés pour classer les défaillances en fonction de la gravité des conséquences, selon des critères de
gravité dont le choix et les définitions dépendent du domaine d'application.
Note 2 à l'article : Des compléments tels que « par mauvais emploi », « par fausse manœuvre » et « par fragilité »
peuvent être utilisés pour classer les défaillances selon leur cause.
Note 3 à l'article : La « défaillance » est un évènement qui se distingue du « défaut », qui est un état.
[SOURCE : IEC 60050-821:2017, 821-11-19, modifiée – La Note 3 à l'article a été ajoutée.]
3.1.16
taux de défaillance
limite du quotient de la probabilité conditionnelle pour que l'instant T d'une défaillance d'un produit soit
compris dans un intervalle de temps donné (t, t + Δt) par la durée Δt de l'intervalle de temps lorsque Δt tend
vers zéro, en supposant que l'entité soit en état de disponibilité au début de l'intervalle de temps
Note 1 à l'article : Pour les applications où la distance parcourue ou le nombre de cycles d'exploitation est mieux
adaptée que le temps, l'unité de temps peut être remplacée par l'unité de distance ou le nombre de cycles, suivant le
cas.
Note 2 à l'article : Le terme « taux de défaillance » est souvent utilisé dans le sens de « taux moyen de défaillance »
dont la définition est donnée dans l'IEV 192-05-07.
[SOURCE : IEC 60050-821:2017, 821-12-21]
3.1.17
faute,
condition anormale qui pourrait conduire à une erreur dans un système
Note 1 à l'article : Une faute peut être aléatoire ou systématique.
[SOURCE : IEC 60050-821:2017, 821-11-20]
3.1.18
temps de détection de panne
intervalle de temps entre une défaillance et la détection de la panne qui en résulte
[SOURCE : IEC 60050-192:2015, 192-07-11]
3.1.19
fonction,
action ou activité spécifiée pouvant être exécutée par des moyens techniques et/ou des êtres humains et
ayant une sortie définie en réponse à une entrée définie
Note 1 à l'article : Une fonction peut être spécifiée ou décrite sans référence aux moyens physiques utilisés pour
l'exécuter.
[SOURCE : IEC 60050-821:2017, 821-12-25, modifiée — L'utilisation spécifique d'un « produit » et la
définition ont été rendues plus générales, la Note 1 à l'article a été ajoutée.]
3.1.20
sécurité fonctionnelle
partie de la sécurité générale qui dépend des unités fonctionnelles et physiques fonctionnant correctement
en réponse à leurs entrées
[SOURCE : IEC 60050-351, 351-57-06]
3.1.21
danger
condition pouvant conduire à un accident
Note 1 à l'article : La définition équivalente donnée dans l'IEC 60050-903:2013, 903-01-02 emploie « dommage » qui,
par rapport à « accident », n'inclut pas la perte d'un système ou d'un service.
3.1.22
analyse des dangers
analyse des situations dangereuses
processus d'identification des dangers et d'analyse de leurs causes, ainsi que la dérivation des exigences
pour limiter la probabilité d'occurrence et les conséquences des phénomènes dangereux à un niveau
tolérable
[SOURCE : IEC 60050-821:2017, 821-11-23]
3.1.23
registre des dangers
document dans lequel tous les dangers identifiés, les décisions prises et les solutions adoptées et leur état
de mise en œuvre sont enregistrés ou référencés
[SOURCE : IEC 60050-821:2017, 821-12-27]
3.1.24
réalisation
activité consistant à transformer les spécifications de conceptions en leur réalisation
[SOURCE : IEC 60050-821:2017, 821-12-29, modifiée : l'adjectif « physique » a été supprimé pour qualifier
« réalisation ».]
3.1.25
indépendance des rôles
non-appartenance à une même entité intellectuelle, commerciale et/ou de direction
3.1.26
évaluation indépendante de la sécurité
processus visant à déterminer si le système/produit satisfait aux exigences de sécurité spécifiées et visant
à formuler un jugement sur le fait que le produit répond à l'objectif attendu en matière de sécurité
[SOURCE : EN 50126-1:2017, 3.33, modifiée – La Note 1 à l'article a été retirée.]
3.1.27
maintenance
combinaison de toutes les actions techniques et de gestion destinées à maintenir ou à remettre une entité
dans un état lui permettant de fonctionner tel que requis
Note 1 à l'article : La gestion inclut par hypothèse les activités de supervision.
[SOURCE : IEC 60050-192:2015, 192-06-01]
3.1.28
passivation
forçage dans un état sûr suite à la détection d'une panne dangereuse
[SOURCE : IEC 60050-821:2017, 821-12-38]
3.1.29
temps de passivation
intervalle de temps qui commence au moment où l'existence d'une panne est détectée et qui se termine
lorsque l'état sûr a été atteint
[SOURCE : IEC 60050-821:2017, 821-12-39]
3.1.30
élément préexistant
élément qui existe déjà et n'a pas été développé spécifiquement pour le projet en cours
3.1.31
produit
ensemble d'éléments, liés entre eux pour former un système, un sous-système ou un équipement, et de
manière à remplir les exigences spécifiées
[SOURCE : IEC 60050-821:2017, 821-12-40, modifiée — L'utilisation spécifique de « en signalisation » a
été rendue plus générale avec « dans le ferroviaire ».]
3.1.32
responsable d'exploitation ferroviaire
organisme répondant de l'exploitation d'un système ferroviaire dans le cadre juridique
3.1.33
intégrité de défaillances aléatoires
degré avec lequel un système est exempt de pannes aléatoires dangereuses
Note 1 à l'article : La présente définition peut être interprétée avec le sens suivant : « absence de défaillances dues à
des pannes aléatoires ».
[SOURCE : IEC 60050-821:2017, 821-12-45, modifiée – La Note 1 à l'article a été ajoutée.]
3.1.34
panne aléatoire
survenue imprévisible d'une panne
[SOURCE : IEC 60050-821:2017, 821-12-46]
3.1.35
redondance,
existence de plusieurs moyens d'accomplir une fonction
[SOURCE : IEC 60050-192: 2015, 192-10-02]
3.1.36
fiabilité,
aptitude à fonctionner tel que requis sans défaillance, pendant un intervalle de temps donné et dans des
conditions données
Note 1 à l'article : La durée de l’intervalle de temps peut être exprimée en unités appropriées à l’entité concernée, par
exemple, temps calendaire, cycles de fonctionnement, distance parcourue, etc. Il convient de toujours énoncer
clairement les unités.
Note 2 à l'article : Les conditions données incluent les aspects ayant un impact sur la fiabilité, tels que : le mode de
fonctionnement, les niveaux de contrainte, les conditions environnementales et la maintenance.
Note 3 à l'article : La fiabilité peut être quantifiée à l'aide de mesures définies dans la Section 192-05, Concepts liés à
la fiabilité: mesures.
[SOURCE : IEC 60050-192:2015, 192-01-24]
3.1.37
réparation
opération directe réalisée pour procéder à un rétablissement
Note 1 à l'article : Une réparation inclut la localisation de panne (SOURCE : IEC 60050-192:2015, 192-06-19), le
diagnostic de panne (SOURCE : IEC 60050-192:2015, 192-06-20) ; la correction de panne (SOURCE :
IEC 60050-192:2015, 192-06-21) ; et l'essai de fonctionnement (SOURCE : IEC 60050-192:2015, 192-06-22).
[SOURCE : IEC 60050-192:2015, 192-06-14]
3.1.38
risque
combinaison de la probabilité de l'occurrence d'un accident et de la gravité de cet accident
Note 1 à l'article : La définition équivalente donnée dans l'IEC 60050-351:2013, 351-57-03 emploie « dommage » qui,
par rapport à « accident », n'inclut pas la perte d'un système ou d'un service.
[SOURCE : IEC 60050-351:2013, 351-57-03, modifiée — « dommage » a été remplacé par « accident » et
la Note 1 à l'article a été ajoutée.]
3.1.39
état sûr
état qui continue d'assurer la sécurité
[SOURCE : IEC 60050-821:2017, 821-12-49]
3.1.40
sécurité
absence de risque inacceptable
[SOURCE : IEC 60050-903:2013, 903-01-19]
3.1.41
acceptation de la sécurité
état de sécurité donné à un produit par l'utilisateur final
[SOURCE : IEC 60050-821:2017, 821-12-50]
3.1.42
approbation de la sécurité
état de sécurité donné à un produit par l'autorité saisie lorsque le produit a rempli un ensemble de
conditions prédéterminées
[SOURCE : IEC 60050-821:2017, 821-12-51]
3.1.43
autorité de tutelle
organisme chargé de délivrer l'autorisation de mise en service d'un système relatif à la sécurité
[SOURCE : IEC 60050-821:2017, 821-12-52]
3.1.44
dossier de sécurité
démonstration documentée que le produit (par exemple, un système, un sous-système ou un équipement)
satisfait aux exigences de sécurité spécifiées
[SOURCE : IEC 60050-821:2017, 821-12-53]
3.1.45
intégrité de la sécurité
aptitude d'un système relatif à la sécurité à remplir ses fonctions de sécurité requises dans toutes les
conditions spécifiées, au sein d'un environnement opérationnel spécifié et pendant une durée donnée
[SOURCE : IEC 60050-821:2017, 821-12-54]
3.1.46
niveau d'intégrité de sécurité
un des niveaux discrets définis pour spécifier les exigences d'intégrité de sécurité des fonctions de sécurité
allouées aux systèmes de sécurité
[SOURCE : EN 50126−1:2017, 3.70, modifiée – Les Notes à l'article ont été retirées.]
3.1.47
cycle de vie sécurité
ensemble supplémentaire d'activités menées en parallèle du cycle de vie système pour des systèmes
relatifs à la sécurité
[SOURCE : IEC 60050-821:2017, 821-12-55]
3.1.48
plan de sécurité
plan d'assurance sécurité
ensemble d'activités, de moyens et d'éléments, s'appuyant sur des documents et planifiés selon un
calendrier, destinés à mettre en œuvre l'organisation, les responsabilités, les procédures, les activités, les
capacités et les moyens qui concourent à assurer qu'une entité satisfera aux exigences de sécurité
relatives à un contrat ou à un projet particulier
[SOURCE : IEC 60050-821:2017, 821-12-57]
3.1.49
processus d'assurance sécurité
ensemble de procédures à suivre pour permettre l'identification et la satisfaction de toutes les exigences de
sécurité d'un produit
[SOURCE : IEC 60050-821:2017, 821-12-58]
3.1.50
de sécurité
porte la responsabilité de la sécurité
[SOURCE : IEC 60050-821:2017, 821-01-73]
3.1.51
système de signalisation
système assurant la sécurité du mouvement des trains
Note 1 à l'article : Pour les besoins du présent document, les applications de signalisation ferroviaire englobent tous
les systèmes chargés de contrôler et de protéger les mouvements des trains en communiquant des instructions ou
des avertissements aux trains ou aux systèmes au sol. Lorsqu'un système de signalisation inclut des sous-systèmes
ou équipements à bord du train, le présent document a vocation à s'appliquer jusqu'à l'interface avec le système de
freinage, le système d'antipatinage ou d'autres systèmes pertinents du train.
[SOURCE : IEC 60050-821:2017, 821-01-03, modifiée — La fin de la définition « par un ou plusieurs des
moyens suivants : indications latérales à la voie, échanges de données sol/bord, indications données en
cabine de conduite » a été retirée et la Note 1 à l'article a été ajoutée.]
3.1.52
profil des contraintes
degré et nombre d'influences externes qu'un système est en mesure de supporter, alors qu'il remplit sa
fonction requise
[SOURCE : IEC 60050-821:2017, 821-12-65]
3.1.53
sous-système
partie d'un système, qui est elle-même un système
[SOURCE : IEC 60050-192:2015, 192-01-04]
3.1.54
système
ensemble d'éléments reliés entre eux, considéré comme un tout dans un contexte défini et séparé de son
environnement
[SOURCE : IEC 60050-351:2013, 351-42-08, modifiée — Les Notes à l'article ont été retirées.]
3.1.55
cycle de vie du système
activités réalisées au cours d'un intervalle de temps donné qui commence lors de la conception du système
et qui se termine lors de sa réforme, de sa mise hors service et de son démantèlement
[SOURCE : IEC 60050-821:2017, 821-12-66]
3.1.56
intégrité de défaillances systématiques
degré pour lequel un système est exempt de pannes systématiques dangereuses
Note 1 à l'article : La présente définition peut être interprétée avec le sens suivant : « absence de défaillances dues à
des pannes systématiques », en analogie avec la source IEC 60050-821:2017, 821-12-46, où « aléatoire » est
remplacé par « systémati
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.