SIST EN 50159:2010
(Main)Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems
Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems
This European Standard is applicable to safety-related electronic systems using for digital communication purposes a transmission system which was not necessarily designed for safety-related applications and which is
– under the control of the designer and fixed during the lifetime, or
– partly unknown or not fixed, however unauthorised access can be excluded, or
– not under the control of the designer, and also unauthorised access has to be considered.
Both safety-related equipment and non safety-related equipment can be connected to the transmission system. This standard gives the basic requirements needed to achieve safety-related communication between safety-related equipment connected to the transmission system. This European Standard is applicable to the safety requirement specification of the safety-related equipment connected to the transmission system, in order to obtain the allocated safety integrity
requirements. Safety requirements are generally implemented in the safety-related equipment, designed according to EN 50129. In certain cases these requirements may be implemented in other equipment of the transmission system, as long as there is control by safety measures to meet the allocated safety integrity requirements. The safety requirement specification is a precondition of the safety case of a safety-related electronic system for which the required evidence is defined in EN 50129. Evidence of safety management and quality management has to be taken from EN 50129. The communication-related requirements for evidence of functional and technical safety are the subject of this standard. This European Standard is not applicable to existing systems, which had already been accepted prior to the release of this standard.
This European Standard does not specify
– the transmission system,
– equipment connected to the transmission system,
– solutions (e.g. for interoperability),
– which kind of data are safety-related and which are not.
A safety-related equipment connected through an open transmission system can be subjected to many different IT security threats, against which an overall program has to be defined, encompassing management, technical and operational aspects. In this European Standard however, as far as IT security is concerned, only intentional attacks by means of messages to safety-related applications are considered. This European Standard does not cover general IT security issues and in particular it does not cover IT security issues concerning
– ensuring confidentiality of safety-related information,
– preventing overloading of the transmission system.
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in Übertragungssystemen
Applications ferroviaires - Systèmes de signalisation, de télécommunication et de traitement - Communication de sécurité sur des systèmes de transmission
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna komunikacija v prenosnih sistemih
Ta evropski standard velja za varnostne elektronske sisteme, ki za potrebe digitalne komunikacije uporabljajo prenosni sistem, ki ni bil nujno načrtovan za varnostno uporabo in ki:
- je pod nadzorom načrtovalca in pritrjen med življenjsko dobo ali
- je delno neznan in ne pritrjen, čeprav je lahko nedovoljen dostop izključen,
- ni pod nadzorom načrtovalca in nedovoljen dostop se prav tako mora obravnavati.
Varnostna oprema kot tudi oprema, ki ni varnostna, je lahko povezana s prenosnim sistemom. Ta standard podaja osnovne zahteve, potrebne za dosego varnostne komunikacije med varnostno opremo, povezano s prenosnim sistemom. Ta evropski standard velja za specifikacijo varnostne zahteve varnostne opreme, povezane z prenosnim sistemom, za pridobitev dodeljenih celovitih varnostnih zahtev. Varnostne zahteve se na splošno izvajajo pri varnostni opremi, načrtovani v skladu z EN 50129. V določenih primerih se lahko te zahteve izvajajo pri drugi opremi sistema prenosa, dokler je prisoten nadzor v obliki varnostnih ukrepov, da se dosežejo dodeljene celovite varnostne zahteve. Specifikacija zahtev o varnosti je predpogoj za varnostni primer elektronskega varnostnega sistema, za katerega se zahteva dokazilo, določeno v EN 50129. Dokazilo upravljanja varnosti in upravljanja kakovosti je potrebno privzeti iz EN 50129. Zahteve, povezane s komunikacijo za dokazilo o delovni in tehnični varnosti, so predmet tega standarda. Ta evropski standard ne velja za obstoječe sisteme, ki so že bili sprejeti pred objavo tega standarda.
Ta evropski standard ne določa
- prenosnega sistema,
- opremo, povezano z prenosnim sistemom,
- rešitev (npr. medobratovalnost),
- kateri načini podatkov so varnostni in kateri niso.
Varnostna oprema, povezana skozi odprt prenosni sistem, je lahko izpostavljena veliko različnim IT varnostnim grožnjam, proti katerim je potrebno določiti celovit program, ki obsega upravljanje ter tehnične in delovne vidike. Vendar se v tem evropskem standardu, kar se tiče IT varnosti, štejejo samo namenski napadi z načinom pošiljanja sporočil varnostnim aplikacijam. Ta evropski standard ne zajema splošnih IT varnostnih vprašanj in zlasti ne zajema IT varnostna vprašanja v zvezi z:
- zagotovitvijo zaupnosti informacij, povezanih z varnostjo,
- preprečevanjem preobremenitve prenosnega sistema.
General Information
Relations
Standards Content (Sample)
SLOVENSKI STANDARD
SIST EN 50159:2010
01-november-2010
1DGRPHãþD
SIST EN 50159-1:2002
SIST EN 50159-2:2002
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna
komunikacija v prenosnih sistemih
Railway applications - Communication, signalling and processing systems - Safety-
related communication in transmission systems
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in
Übertragungssystemen
Applications ferroviaires - Systèmes de signalisation, de télécommunication et de
traitement - Communication de sécurité sur des systèmes de transmission
Ta slovenski standard je istoveten z: EN 50159:2010
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
transportu in trgovini and trade
45.020 Železniška tehnika na Railway engineering in
splošno general
SIST EN 50159:2010 en,fr,de
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
SIST EN 50159:2010
---------------------- Page: 2 ----------------------
SIST EN 50159:2010
EUROPEAN STANDARD
EN 50159
NORME EUROPÉENNE
September 2010
EUROPÄISCHE NORM
ICS 35.240.60; 45.020 Supersedes EN 50159-1:2001, EN 50159-2:2001
English version
Railway applications -
Communication, signalling and processing systems -
Safety-related communication in transmission systems
Applications ferroviaires - Bahnanwendungen -
Systèmes de signalisation, Telekommunikationstechnik,
de télécommunication et de traitement - Signaltechnik und
Communication de sécurité sur Datenverarbeitungssysteme -
des systèmes de transmission Sicherheitsrelevante Kommunikation
in Übertragungssystemen
This European Standard was approved by CENELEC on 2010-09-01. CENELEC members are bound to
comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European
Standard the status of a national standard without any alteration.
Up-to-date lists and bibliographical references concerning such national standards may be obtained on
application to the Central Secretariat or to any CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other
language made by translation under the responsibility of a CENELEC member into its own language and
notified to the Central Secretariat has the same status as the official versions.
CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia,
Cyprus, the Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland,
Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania,
Slovakia, Slovenia, Spain, Sweden, Switzerland and the United Kingdom.
CENELEC
European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
Management Centre: Avenue Marnix 17, B - 1000 Brussels
© 2010 CENELEC - All rights of exploitation in any form and by any means reserved worldwide for CENELEC members.
Ref. No. EN 50159:2010 E
---------------------- Page: 3 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 2 –
Foreword
This European Standard was prepared by SC 9XA, Communication, signalling and processing systems, of
Technical Committee CENELEC TC 9X, Electrical and electronic applications for railways. It was
submitted to the formal vote and was approved by CENELEC as EN 50159 on 2010-09-01.
This document supersedes EN 50159-1:2001 and EN 50159-2:2001.
The contents of both standards have been merged; the informative Annex E gives a mapping between these
previous editions and the present document.
This European Standard is closely related to EN 50129:2003.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. CEN and CENELEC shall not be held responsible for identifying any or all such patent rights.
The following dates were fixed:
– latest date by which the EN has to be implemented
at national level by publication of an identical
national standard or by endorsement (dop) 2011-09-01
– latest date by which the national standards conflicting
with the EN have to be withdrawn (dow) 2013-09-01
This draft European Standard has been prepared under a mandate given to CENELEC by the European
Commission and the European Free Trade Association and covers essential requirements of
EC Directives 96/48/EC (HSR), recast by EC Directives 2008/57/EC (RAIL). See Annex ZZ.
__________
---------------------- Page: 4 ----------------------
SIST EN 50159:2010
– 3 – EN 50159:2010
Contents
Introduction . 5
1 Scope . 6
2 Normative references . 7
3 Terms, definitions and abbreviations . 7
3.1 Terms and definitions . 7
3.2 Abbreviations . 12
4 Reference architecture . 13
5 Threats to the transmission system . 16
6 Classification of transmission systems . 17
6.1 General . 17
6.2 General aspects of classification . 17
6.3 Criteria for the classification of transmission systems . 17
6.4 Relationship between transmission systems and the threats . 18
7 Requirements for defences . 18
7.1 Preface . 18
7.2 General requirements . 19
7.3 Specific defences . 20
7.4 Applicability of defences . 26
Annex A (informative) Threats on open transmission systems . 28
A.1 System view . 28
A.2 Derivation of the basic message errors . 29
A.3 Threats. 30
A.4 A possible approach for building a safety case . 31
A.5 Conclusions . 35
Annex B (informative) Categories of transmission systems . 37
B.1 Categories of transmission systems . 37
B.2 Relationship between the category of transmission systems and threats . 39
Annex C (informative) Guideline for defences . 40
C.1 Applications of time stamps . 40
C.2 Choice and use of safety codes and cryptographic techniques. 41
C.3 Safety code . 46
C.4 Length of safety code . 49
C.5 Communication between safety-related and non safety-related applications. 51
Annex D (informative) Guidelines for use of the standard. 53
D.1 Procedure . 53
D.2 Example . 54
Annex E (informative) Mapping from previous standards . 59
Annex ZZ (informative) Coverage of Essential Requirements of EC Directives . 62
Bibliography . 63
---------------------- Page: 5 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 4 –
Figures
Figure 1 – Reference architecture for safety-related communication . 15
Figure 2 – Cyclic transmission of messages . 21
Figure 3 – Bi-directional transmission of messages . 22
Figure A.1 – Hazard tree . 29
Figure A.2 – Causes of threats . 32
Figure C.1 – Classification of the safety-related communication system . 42
Figure C.2 – Model of message representation within the transmission system (Type A0, A1) . 43
Figure C.3 – Use of a separate access protection layer . 44
Figure C.4 – Model of message representation within the transmission system (Type B0) . 45
Figure C.5 – Model of message representation within the transmission system (Type B1) . 46
Figure C.6 – Basic error model . 49
Figure C.7 – Communication between non safety-related and safety-related applications . 52
Figure D.1 – Fault tree for the hazard “accident” . 55
Figure D.2 – Fault tree for case 1 . 56
Figure D.3 – Fault tree for case 2 . 58
Tables
Table 1 – Threats/Defences matrix . 26
Table A.1 – Relationship between hazardous events and threats . 36
Table B.1 – Categories of transmission systems . 38
Table B.2 – Threat/Category relationship . 39
Table C.1 – Assessment of the safety encoding mechanisms . 48
Table E.1 – Mapping from EN 50159-1:2001 into EN 50159:201X . 60
Table E.2 – Mapping from EN 50159-2:2001 into EN 50159:201X . 61
---------------------- Page: 6 ----------------------
SIST EN 50159:2010
– 5 – EN 50159:2010
Introduction
If a safety-related electronic system involves the transfer of information between different locations, the
transmission system then forms an integral part of the safety-related system and it shall be shown that the
end to end communication is safe in accordance with EN 50129.
The transmission system considered in this standard, which serves the transfer of information between
different locations, has in general no particular preconditions to satisfy. It is from the safety point of view
not trusted, or not fully trusted.
The standard is dedicated to the requirements to be taken into account for the communication of safety-
related information over such transmission systems.
Although the RAM aspects are not considered in this standard it is recommended to keep in mind that
they are a major aspect of the global safety.
The safety requirements depend on the characteristics of the transmission system. In order to reduce the
complexity of the approach to demonstrate the safety of the system, transmission systems have been
classified into three categories:
– Category 1 consists of systems which are under the control of the designer and fixed during their
lifetime;
– Category 2 consists of systems which are partly unknown or not fixed, however unauthorised access
can be excluded;
– Category 3 consists of systems which are not under the control of the designer, and where
unauthorised access has to be considered.
The first category was covered by EN 50159-1:2001, the others by EN 50159-2:2001.
When safety-related communication systems, which have been approved according to the previous
standards, are subject of maintenance and/or extensions, the informative Annex E can be used for
traceability purposes of (sub)clauses of this standard with the (sub)clauses of the former series.
---------------------- Page: 7 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 6 –
1 Scope
This European Standard is applicable to safety-related electronic systems using for digital communication
purposes a transmission system which was not necessarily designed for safety-related applications and
which is
– under the control of the designer and fixed during the lifetime, or
– partly unknown or not fixed, however unauthorised access can be excluded, or
– not under the control of the designer, and also unauthorised access has to be considered.
Both safety-related equipment and non safety-related equipment can be connected to the transmission
system.
This standard gives the basic requirements needed to achieve safety-related communication between
safety-related equipment connected to the transmission system.
This European Standard is applicable to the safety requirement specification of the safety-related
equipment connected to the transmission system, in order to obtain the allocated safety integrity
requirements.
Safety requirements are generally implemented in the safety-related equipment, designed according to
EN 50129. In certain cases these requirements may be implemented in other equipment of the
transmission system, as long as there is control by safety measures to meet the allocated safety integrity
requirements.
The safety requirement specification is a precondition of the safety case of a safety-related electronic
system for which the required evidence is defined in EN 50129. Evidence of safety management and
quality management has to be taken from EN 50129. The communication-related requirements for
evidence of functional and technical safety are the subject of this standard.
This European Standard is not applicable to existing systems, which had already been accepted prior to
the release of this standard.
This European Standard does not specify
– the transmission system,
– equipment connected to the transmission system,
– solutions (e.g. for interoperability),
– which kind of data are safety-related and which are not.
A safety-related equipment connected through an open transmission system can be subjected to many
different IT security threats, against which an overall program has to be defined, encompassing
management, technical and operational aspects.
In this European Standard however, as far as IT security is concerned, only intentional attacks by means
of messages to safety-related applications are considered.
This European Standard does not cover general IT security issues and in particular it does not cover IT
security issues concerning
– ensuring confidentiality of safety-related information,
– preventing overloading of the transmission system.
---------------------- Page: 8 ----------------------
SIST EN 50159:2010
– 7 – EN 50159:2010
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
CLC/TR / EN 50126 series, Railway applications – The specification and demonstration of Reliability,
Availability, Maintainability and Safety (RAMS)
EN 50129:2003, Railway applications – Communication, signalling and processing systems – Safety
related electronic systems for signalling
3 Terms, definitions and abbreviations
3.1 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1.1
absolute time stamp
time stamp referenced to a global time which is common for a group of entities using a transmission
system
3.1.2
access protection
processes designed to prevent unauthorised access to read or to alter information, either within user
safety-related systems or within the transmission system
3.1.3
additional data
data which is not of any use to the ultimate user processes, but is used for control, availability, and safety
purposes
3.1.4
authentic message
message in which information is known to have originated from the stated source
3.1.5
authenticity
state in which information is valid and known to have originated from the stated source
3.1.6
closed transmission system
fixed number or fixed maximum number of participants linked by a transmission system with well known
and fixed properties, and where the risk of unauthorised access is considered negligible
3.1.7
communication
transfer of information between applications
3.1.8
confidentiality
property that information is not made available to unauthorised entities
3.1.9
corrupted message
type of message error in which a data corruption occurs
---------------------- Page: 9 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 8 –
3.1.10
cryptographic techniques
producing output data, calculated by an algorithm using input data and a key as a parameter
NOTE By knowing the output data, it is impossible within a reasonable time to calculate the input data without knowledge of the
key. It is also impossible within a reasonable time to derive the key from the output data, even if the input data are known.
3.1.11
cyclic redundancy check
cyclic code, used to protect messages from the influence of data corruption
3.1.12
data
part of a message which represents some information (see also user data, additional data, redundant
data)
3.1.13
data corruption
alteration of data
3.1.14
defence
measure incorporated in the design of a safety-related communication system to counter particular threats
3.1.15
delayed message
type of message error in which a message is received at a time later than intended
3.1.16
deleted message
type of message error in which a message is removed from the message stream
3.1.17
double time stamp
case when two entities exchange and compare their time stamps. In this case the time stamps in the
entities are independent of each other
3.1.18
error
deviation from the intended design which could result in unintended system behaviour or failure
3.1.19
failure
deviation from the specified performance of a system
NOTE A failure is the consequence of a fault or an error in the system.
3.1.20
fault
abnormal condition that could lead to an error in a system
NOTE A fault can be random or systematic.
3.1.21
feedback message
response from a receiver to the sender, via a return channel
3.1.22
hacker
person trying deliberately to bypass access protection
---------------------- Page: 10 ----------------------
SIST EN 50159:2010
– 9 – EN 50159:2010
3.1.23
hazard
condition that can lead to an accident
3.1.24
hazard analysis
process of identifying hazards and analysing their causes, and the derivation of requirements to limit the
likelihood and consequences of hazards to an acceptable level
3.1.25
implicit data
additional data that is not transmitted but is known to the sender and receiver
3.1.26
information
representation of the state or events of a process, in a form understood by the process
3.1.27
inserted message
type of message error in which an additional message is implanted in the message stream
3.1.28
integrity
state in which information is complete and not altered
3.1.29
manipulation detection code
function of the whole message without secret key
NOTE In contrast to a MAC there is no secret key involved. By the whole message is meant also any implicit data of the message
which is not sent to the transmission system. The MDC is often based on a hash function.
3.1.30
masqueraded message
type of inserted message in which a non-authentic message is designed to appear to be authentic
3.1.31
message
information which is transmitted from a sender (data source) to one or more receivers (data sink)
3.1.32
message authentication code
cryptographic function of the whole message and a secret or public key
NOTE By the whole message is meant also any implicit data of the message which is not sent to the transmission system.
3.1.33
message enciphering
transformation of bits by using a cryptographic technique within a message, in accordance with an
algorithm controlled by keys, to render casual reading of data more difficult. Does not provide protection
against data corruption
3.1.34
message errors
set of all possible message failure modes which can lead to potentially dangerous situations, or to
reduction in system availability. There can be a number of causes of each type of error
3.1.35
message integrity
message in which information is complete and not altered
---------------------- Page: 11 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 10 –
3.1.36
message stream
ordered set of messages
3.1.37
non cryptographic safety code
redundant data based on non-cryptographic functions included in a safety-related message to permit data
corruption to be detected by the safety-related transmission function
3.1.38
open transmission system
transmission system with an unknown number of participants, having unknown, variable and non-trusted
properties, used for unknown telecommunication services and having the potential for unauthorised
access
3.1.39
random failure
failure that occurs randomly in time
3.1.40
redundancy check
type of check that a predefined relationship exists between redundant data and user data within a
message, to prove message integrity
3.1.41
redundant data
additional data, derived, by a safety-related transmission function, from the user data
3.1.42
relative time stamp
time stamp referenced to the local clock of an entity. In general there is no relationship to clocks of other
entities
3.1.43
repeated message
type of message error in which a single message is received more than once
3.1.44
re-sequenced message
type of message error in which the order of messages in the message stream is changed
3.1.45
safe fall back state
safe state of a safety-related equipment or system as a deviation from the fault-free state and as a result
of a safety reaction leading to a reduced functionality of safety-related functions, possibly also of non
safety-related functions
3.1.46
safety
freedom from unacceptable levels of risk
3.1.47
safety case
documented demonstration that the product complies with the specified safety requirements
3.1.48
safety code
redundant data included in a safety-related message to permit data corruptions to be detected by the
safety-related transmission function
---------------------- Page: 12 ----------------------
SIST EN 50159:2010
– 11 – EN 50159:2010
3.1.49
safety integrity level
number which indicates the required degree of confidence that a system will meet its specified safety
functions with respect to systematic failures
3.1.50
safety reaction
safety-related protection taken by the safety process in response to an event (such as a failure of the
transmission system), which may lead to a safe fall back state of the equipment
3.1.51
safety-related
carries responsibility for safety
3.1.52
safety-related transmission function
function incorporated in the safety-related equipment to ensure authenticity, integrity, timeliness and
sequence of data
3.1.53
sequence number
additional data field containing a number that changes in a predefined way from message to message
3.1.54
source and destination identifier
identifier which is assigned to each entity. This identifier can be a name, number or arbitrary bit pattern.
This identifier will be used for the safety-related communication. Usually the identifier is added to the user
data
3.1.55
systematic failure
failure that occurs repeatedly under some particular combination of inputs, or under some particular
environmental condition
3.1.56
threat
potential violation of safety
3.1.57
time stamp
information concerning time of transmission attached to a message by the sender
3.1.58
timeliness
state in which information is available at the right time according to requirements
3.1.59
transmission code
redundant information, added to the safety and non safety message of the non-trusted transmission
system in order to ensure the integrity of the message during transmission
3.1.60
transmission system
service used by the application to communicate message streams between a number of participants, who
may be sources or sinks of information
3.1.61
trusted
which has properties used as evidence to support the safety demonstration
---------------------- Page: 13 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 12 –
3.1.62
unauthorised access
situation in which user information or information within the transmission system is accessed and/or
changed by unauthorised persons or hackers
3.1.63
user data
data which represents the states or events of a user process, without any additional data. In case of
communication between safety-related equipment, the user data contains safety-related data
3.1.64
valid message
message whose form meets in all respects the specified user requirements
3.1.65
validity
state of meeting in all respects the specified user requirements
3.2 Abbreviations
For the purpose of this document, the following abbreviations apply.
BCH Bose, Ray-Chaudhuri, Hocquenghem Code
B.M.E. Basic Message Errors
BSC Binary Symmetric Channel
CAN Controller Area Network
CRC Cyclic Redundancy Check
EC European Community
ECB Electronic CodeBook mode
EMI Electromagnetic Interference
FTA Fault Tree Analysis
GPRS General Packet Radio Service
GSM-R Global System for Mobile communication – Railways
H.E. Hazardous Events
HW Hardware
IT Information Technology
LAN Local Area Network
MAC Message Authentification Code
MDC Manipulation Detection code
MD4, MD5 Message Digest algorithms
M.H. Main Hazard
MTBF Mean Time Between Failures
MVB Multi-purpose Vehicle Bus
PROFIBUS Process Field Bus
QSC q-nary symmetric channel
RAMS Reliability, Availability, Maintainability and Safety
SIL Safety Integrity Level
SR Safety Related
---------------------- Page: 14 ----------------------
SIST EN 50159:2010
– 13 – EN 50159:2010
SRS Safety Requirements Specifications
SW Software
TX Transmission
UTC Universal Coordinated Time
WAN Wide Area Network
Wi-Fi Wireless Fidelity
4 Reference architecture
This European Standard defines the safety requirements for the safe communication between safety-
related equipment via a transmission system, which can
...
SLOVENSKI STANDARD
SIST EN 50159:2010
01-november-2010
Nadomešča:
SIST EN 50159-1:2002
SIST EN 50159-2:2002
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna
komunikacija v prenosnih sistemih
Railway applications - Communication, signalling and processing systems - Safety-
related communication in transmission systems
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in
Übertragungssystemen
Applications ferroviaires - Systèmes de signalisation, de télécommunication et de
traitement - Communication de sécurité sur des systèmes de transmission
Ta slovenski standard je istoveten z: EN 50159:2010
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
prometu
45.020 Železniška tehnika na Railway engineering in
splošno general
SIST EN 50159:2010 en,fr
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
SIST EN 50159:2010
---------------------- Page: 2 ----------------------
SIST EN 50159:2010
NORME EUROPÉENNE
EN 50159
EUROPÄISCHE NORM
Septembre 2010
EUROPEAN STANDARD
ICS 35.240.60; 45.020 Remplace EN 50159-1:2001, EN 50159-2:2001
Version française
Applications ferroviaires -
Systèmes de signalisation, de télécommunication et de traitement -
Communication de sécurité sur des systèmes de transmission
Bahnanwendungen - Railway applications -
Telekommunikationstechnik, Communication, signalling
Signaltechnik und and processing systems -
Datenverarbeitungssysteme - Safety-related communication
Sicherheitsrelevante Kommunikation in transmission systems
in Übertragungssystemen
La présente Norme Européenne a été adoptée par le CENELEC le 2010-09-01. Les membres du CENELEC
sont tenus de se soumettre au Règlement Intérieur du CEN/CENELEC qui définit les conditions dans lesquelles
doit être attribué, sans modification, le statut de norme nationale à la Norme Européenne.
Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être
obtenues auprès du Secrétariat Central ou auprès des membres du CENELEC.
La présente Norme Européenne existe en trois versions officielles (allemand, anglais, français). Une version
dans une autre langue faite par traduction sous la responsabilité d'un membre du CENELEC dans sa langue
nationale, et notifiée au Secrétariat Central, a le même statut que les versions officielles.
Les membres du CENELEC sont les comités électrotechniques nationaux des pays suivants: Allemagne,
Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie,
Irlande, Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal,
République Tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie, Suède et Suisse.
CENELEC
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
European Committee for Electrotechnical Standardization
Management Centre: Avenue Marnix 17, B - 1000 Bruxelles
© 2010 CENELEC - Tous droits d'exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde entier aux
membres du CENELEC.
Ref. n° EN 50159:2010 F
---------------------- Page: 3 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 2 –
Avant-propos
La présente Norme Européenne a été préparée par le SC 9XA, Systèmes de signalisation de
télécommunications et de traitement, du comité technique CENELEC TC 9X, Applications électriques et
électroniques dans le domaine ferroviaire. Elle a été soumise au vote formel et a été acceptée par le
CENELEC comme EN 50159 le 2010-09-01.
Ce document annule et remplace l'EN 50159-1:2001 et l'EN 50159-2:2001.
Le contenu de ces deux normes a été fusionné; l'Annexe E, informative, fournit un tableau de
correspondances entre ces précédentes éditions et le présent document.
La présente Norme Européenne est étroitement liée à l'EN 50129:2003.
Les dates suivantes ont été fixées:
– date limite à laquelle l'EN doit être mise en application
au niveau national par publication d'une norme
nationale identique ou par entérinement (dop) 2011-09-01
– date limite à laquelle les normes nationales
(dow) 2013-09-01
conflictuelles doivent être annulées
Le présent projet de Norme Européenne a été préparé dans le cadre d’un mandat confié au CENELEC par la
Commission Européenne et l’Association Européenne de Libre Echange et couvre les exigences essentielles
de la Directive 96/48/CE (HSR) reprise par la Directive 2008/57/CE (RAIL). Voir l’Annexe ZZ.
__________
---------------------- Page: 4 ----------------------
SIST EN 50159:2010
– 3 – EN 50159:2010
Sommaire
Introduction . 5
1 Domaine d'application . 6
2 Références normatives. 7
3 Termes, définitions et abréviations . 7
3.1 Termes et définitions . 7
3.2 Abréviations . 12
4 Architecture de référence . 13
5 Menaces sur le système de transmission . 16
6 Classification des systèmes de transmission . 17
6.1 Généralités. 17
6.2 Aspects généraux de la classification . 17
6.3 Critères de classification des systèmes de transmission . 18
6.4 Relation entre les systèmes de transmission et les menaces . 18
7 Exigences relatives aux protections . 19
7.1 Préliminaire . 19
7.2 Exigences générales . 20
7.3 Défenses spécifiques . 21
7.4 Applicabilité des défenses . 27
Annexe A (informative) Menaces sur les systèmes de transmission ouverts . 28
A.1 Vue système . 28
A.2 Déduction des erreurs de message de base . 29
A.3 Menaces . 30
A.4 Une approche possible pour élaborer le dossier de sécurité . 31
A.5 Conclusions . 35
Annexe B (informative) Classes de systèmes de transmission . 37
B.1 Classes de systèmes de transmission . 37
B.2 Relation entre la classe du système de transmission et les menaces . 39
Annexe C (informative) Lignes directrices relatives aux défenses . 40
C.1 Applications de la datation . 40
C.2 Choix et utilisation des codes de sécurité et des techniques cryptographiques . 41
C.3 Code de sécurité . 46
C.4 Longueur du code de sécurité . 49
C.5 Communication entre applications de sécurité et applications non liées à la sécurité . 52
Annexe D (informative) Lignes directrices relatives à l'utilisation de la norme . 54
D.1 Procédure . 54
D.2 Exemple . 55
Annexe E (informative) Correspondance avec les normes précédentes . 59
Annexe ZZ (informative) Couvertures des Exigences Essentielles des Directives CE . 62
Bibliographie . 63
---------------------- Page: 5 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 4 –
Figures
Figure 1 – Architecture de référence d'une communication de sécurité .15
Figure 2 – Transmission cyclique de messages .22
Figure 3 – Transmission bidirectionnelle de messages .22
Figure A.1 – Arbre des dangers .29
Figure A.2 – Causes de menaces .32
Figure C.1 – Classification des systèmes de communication de sécurité .42
Figure C.2 – Modèle de représentation de message dans un système de transmission (type A0, A1) .43
Figure C.3 – Utilisation d’une couche de protection d’accès séparée .44
Figure C.4 – Modèle de représentation de message dans un système de transmission (type B0) .45
Figure C.5 – Modèle de représentation de message dans un système de transmission (type B1) .46
Figure C.6 – Modèle d'erreur de base .49
Figure C.7 – Communication entre des applications non liées à la sécurité et des applications de sécurité .53
Figure D.1 – Arbre des défaillances pour le danger « accident » .56
Figure D.2 – Arbre des défaillances pour le cas 1 .57
Figure D.3 – Arbre des défaillances pour le cas 2 .58
Tableaux
Tableau 1 – Matrice menaces/défenses .27
Tableau A.1 – Relations entre événements dangereux et menaces .36
Tableau B.1 – Classes de systèmes de transmission .38
Tableau B.2 – Relation menace/classe .39
Tableau C.1 – Evaluation des mécanismes d'encodage de sécurité .48
Tableau E.1 – Correspondance entre la EN 50159-1:2001 et la EN 50159:201X .60
Tableau E.2 – Correspondance entre la EN 50159-2:2001 et la EN 50159:201X .61
---------------------- Page: 6 ----------------------
SIST EN 50159:2010
– 5 – EN 50159:2010
Introduction
Si un système électronique de sécurité implique un transfert d'informations entre des emplacements
différents, le système de transmission fait alors partie intégrante du système de sécurité et il doit être
démontré que la communication de bout en bout est sûre, conformément à la EN 50129.
Le système de transmission traité dans la présente norme, destiné au transfert d'informations entre des
emplacements différents, n'a pas en général à satisfaire de conditions préliminaires particulières. Du point de
vue de la sécurité, il n'est pas, ou pas complètement, sécurisé.
La présente norme traite des exigences à prendre en compte pour la communication d'informations relatives
à la sécurité par l'intermédiaire de tels systèmes de transmission.
Bien que les aspects FMD ne soient pas considérés dans la présente norme, il est recommandé de garder à
l'esprit qu'ils sont un aspect majeur dans la sécurité globale.
Les exigences de sécurité dépendent des caractéristiques du système de transmission. Afin de simplifier la
démonstration de la sécurité du système, les systèmes de transmission ont été répartis en trois classes:
– la classe 1 comprend les systèmes qui sont sous le contrôle du concepteur et qui sont fixes pendant
leur durée de vie;
– la classe 2 comprend les systèmes qui sont partiellement inconnues ou non fixés, mais pour lesquels un
accès non autorisé peut être exclu;
– la classe 3 comprend les systèmes qui ne sont pas sous le contrôle du concepteur, et pour lesquels un
accès non autorisé doit être envisagé.
La classe 1 a été traitée par la EN 50159-1:2001 et les deux autres par la EN 50159-2:2001.
Lorsque des systèmes de communication de sécurité, approuvés selon les normes précédentes, font l'objet
de mesures de maintenance et/ou d'extensions, l'Annexe E, informative, peut être utilisée pour établir la
correspondance des articles (paragraphes) de la présente norme avec les articles (paragraphes) de la série
de normes précédente.
---------------------- Page: 7 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 6 –
1 Domaine d'application
La présente Norme Européenne s'applique aux systèmes électroniques de sécurité utilisant, à des fins de
communication numérique, un système de transmission qui n'a pas été nécessairement conçu pour des
applications de sécurité et qui, selon le cas,
– est sous le contrôle du concepteur et est fixe pendant sa durée de vie,
– est partiellement inconnu ou non fixé, mais pour lequel un accès non autorisé peut être exclu,
– n'est pas sous le contrôle du concepteur, et un accès non autorisé est également à envisager.
Les équipements connectés au système de transmission peuvent être des équipements de sécurité ou non.
La présente norme indique les exigences de base nécessaires pour obtenir une communication de sécurité
entre les équipements de sécurité connectés au système de transmission.
La présente Norme Européenne s’applique à la spécification des exigences de sécurité des équipements de
sécurité connectés au système de transmission, afin d’atteindre le niveau d’intégrité de sécurité alloué.
Les exigences de sécurité sont généralement mises en œuvre dans les équipements de sécurité conçus
selon la EN 50129. Dans certains cas, ces exigences peuvent être mises en œuvre dans d'autres
équipements du système de transmission, pourvu qu'un contrôle soit assuré par des mesures de sécurité
afin d'atteindre le niveau d'intégrité de sécurité alloué.
La spécification d'exigences de sécurité est une condition préalable au dossier de sécurité d’un système
électronique de sécurité dont les caractéristiques de la preuve sont définies dans la EN 50129. Cette
dernière définit également la preuve de la gestion de la sécurité et la preuve de la gestion de la qualité. Les
exigences de communication spécifiées dans le but d'établir la sécurité fonctionnelle et technique sont
traitées dans la présente norme.
La présente Norme Européenne ne s'applique pas aux systèmes existants ayant déjà été acceptés avant la
parution de la présente norme.
La présente Norme Européenne ne spécifie pas
– le système de transmission,
– les équipements connectés au système de transmission,
– les solutions (destinées par exemple à l'interopérabilité),
– les types de données liés à la sécurité et les types de données non liés à la sécurité.
Un équipement de sécurité connecté par un système de transmission ouvert peut faire l'objet d'un grand
nombre de menaces relatives à la sécurité informatique contre lesquelles un programme global, couvrant
des aspects techniques, opérationnels et de gestion, doit être défini.
Cependant, en ce qui concerne la sécurité informatique, la présente Norme Européenne traite uniquement
des attaques intentionnelles effectuées au moyen de messages adressés aux applications de sécurité.
La présente Norme Européenne ne couvre pas les aspects de sécurité informatique généraux et, en
particulier, elle n'aborde pas les aspects de sécurité informatique visant à
– garantir la confidentialité des informations de sécurité,
– empêcher la surcharge du système de transmission.
---------------------- Page: 8 ----------------------
SIST EN 50159:2010
– 7 – EN 50159:2010
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence (y compris les éventuels amendements) s'applique.
CLC/TR / EN 50126 (série), Applications ferroviaires – Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS)
EN 50129:2003, Applications ferroviaires – Systèmes de signalisation, de télécommunications et de
traitement – Systèmes électroniques de sécurité pour la signalisation
3 Termes, définitions et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et les définitions suivants s'appliquent.
3.1.1
date absolue
date référencée par rapport à un temps global, commun à un groupe d’entités utilisant un système de
transmission
3.1.2
protection d’accès
processus conçu pour empêcher un accès non autorisé de lire ou de modifier de l’information, soit dans les
systèmes de sécurité utilisateur, soit dans le système de transmission
3.1.3
données additionnelles
données inutiles pour les processus utilisateur finals, mais utilisées à des fins de contrôle, de disponibilité et
de sécurité
3.1.4
message authentique
message dont l’information est reconnue provenir de la source indiquée
3.1.5
authenticité
état dans lequel une information est valide et réputée avoir été générée par la source déclarée
3.1.6
système de transmission fermé
nombre fixe ou nombre maximum fixe d'éléments reliés par un système de transmission dont les propriétés
sont bien connues et fixées et où le risque d'accès non autorisé est considéré comme négligeable
3.1.7
communication
transfert d’informations entre applications
3.1.8
confidentialité
propriété de non mise à disposition de l'information à des entités non autorisées
3.1.9
message corrompu
type d’erreur de message dans lequel se produit une corruption des données
---------------------- Page: 9 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 8 –
3.1.10
techniques cryptographiques
produisent des données de sortie calculées au moyen d’un algorithme utilisant les données d’entrée et une
clé comme paramètre
NOTE Si les données de sortie sont connues, le calcul des données d’entrée dans un délai raisonnable est impossible sans connaître
la clé. La déduction de la clé des données de sortie dans un délai raisonnable est également impossible, même si les données
d’entrée sont connues.
3.1.11
contrôle de redondance cyclique
code cyclique utilisé pour protéger les messages de l’influence des corruptions de données
3.1.12
données
partie d’un message qui représente de l’information (voir aussi « données utilisateur », « données
additionnelles », « données redondantes »)
3.1.13
corruption de données
altération de données
3.1.14
défense
mesure introduite dans la conception d’un système de communications de sécurité pour contrer des
menaces particulières
3.1.15
message retardé
type d’erreur de message dans lequel un message est reçu plus tard que prévu
3.1.16
message supprimé
type d’erreur de message dans lequel un message est retiré d’un flux de messages
3.1.17
date double
cas où deux entités échangent et comparent leurs dates. Dans ce cas, les dates des entités sont
indépendantes les unes des autres
3.1.18
erreur
écart par rapport à la conception prévue, qui pourrait se traduire par un comportement non prévu du système
ou par une défaillance
3.1.19
défaillance
écart d’un système par rapport aux performances spécifiées
NOTE Une défaillance est la conséquence d’une panne ou d’une erreur dans le système.
3.1.20
panne
état anormal pouvant conduire à une erreur dans un système
NOTE Une panne peut être aléatoire ou systématique.
3.1.21
message en retour
réponse d’un récepteur à l’émetteur, via un canal de transmission en retour
3.1.22
pirate informatique
personne tentant délibérément de contourner une protection d’accès
---------------------- Page: 10 ----------------------
SIST EN 50159:2010
– 9 – EN 50159:2010
3.1.23
danger
condition pouvant conduire à un accident
3.1.24
analyse des dangers
processus d’identification des dangers et d'analyse de leurs causes, ainsi que des écarts par rapport aux
exigences pour limiter la probabilité d'occurrence et les conséquences des dangers à un niveau acceptable
3.1.25
données implicites
données additionnelles non transmises, mais connues de l’émetteur et du récepteur
3.1.26
information
représentation de l’état ou des événements d’un processus, dans une forme compréhensible par le
processus
3.1.27
message inséré
type d’erreur de message dans lequel un message est ajouté dans le flux de messages
3.1.28
intégrité
état dans lequel une information est complète et non altérée
3.1.29
code de détection de manipulation
fonction concernant l'ensemble du message sans clé secrète
NOTE Par opposition au MAC, aucune clé secrète n'est impliquée. Par « ensemble du message », on comprend également toute
donnée implicite du message qui n’est pas envoyée au système de transmission. Le MDC est souvent basé sur une fonction de
brouillage.
3.1.30
mascarade de message
insertion d’un message non authentique, déguisé pour passer pour authentique
3.1.31
message
information transmise par un émetteur (source de données) à un ou plusieurs récepteurs (collecteur de
données)
3.1.32
code d’authentification de message
fonction cryptographique de l'ensemble du message et d’une clé secrète ou publique
NOTE Par « ensemble du message », on comprend également toute donnée implicite du message qui n’est pas envoyée au système
de transmission
3.1.33
cryptage de message
transformation de bits en appliquant une technique cryptographique à un message, suivant un algorithme
piloté par clés, afin de rendre plus difficile une lecture fortuite des données. Ne protège pas contre la
corruption des données
3.1.34
erreurs de message
ensemble de tous les modes de défaillance de message possibles, pouvant conduire à des situations
potentiellement dangereuses ou à une réduction de la disponibilité du système. Plusieurs causes peuvent
être associées à un type d’erreur donné
---------------------- Page: 11 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 10 –
3.1.35
intégrité du message
message dans lequel l’information est complète et non altérée
3.1.36
flux de messages
suite ordonnée de messages
3.1.37
code de sécurité non cryptographique
données redondantes, basées sur des fonctions non cryptographiques, incluses dans un message de
sécurité, afin de rendre possible la détection de la corruption des données par une fonction de transmission
de sécurité
3.1.38
système de transmission ouvert
système de transmission à un nombre d’utilisateurs inconnu, ayant des propriétés non connues, variables et
non sécurisées, utilisé pour des services de télécommunication inconnus et pour lequel il existe un risque
d’accès non autorisé
3.1.39
défaillance aléatoire
défaillance qui se produit aléatoirement dans le temps
3.1.40
contrôle de redondance
type de contrôle de l'existence d'une relation prédéfinie entre des données redondantes et des données
utilisateur au sein d’un message, pour prouver l'intégrité du message
3.1.41
données redondantes
données additionnelles dérivées des données utilisateur par une fonction de transmission de sécurité
3.1.42
date relative
date référencée par rapport à l’horloge locale d’une entité. En général, il n’y a pas de relation avec les
horloges des autres entités
3.1.43
message répété
type d’erreur de message dans lequel un message unique est reçu plus d’une fois
3.1.44
message reséquencé
type d’erreur de message dans lequel l’ordre des messages est modifié dans le flux de messages
3.1.45
état de secours sûr
état sûr d'un équipement ou d'un système de sécurité, déviant par rapport à un état non défaillant et résultant
d'une réaction de protection conduisant à une fonctionnalité réduite des fonctions de sécurité, voire des
fonctions non liées à la sécurité
3.1.46
sécurité
absence de niveaux de risque inacceptables
3.1.47
dossier de sécurité
démonstration documentée que le produit répond aux exigences de sécurité spécifiées
---------------------- Page: 12 ----------------------
SIST EN 50159:2010
– 11 – EN 50159:2010
3.1.48
code de sécurité
données redondantes incluses dans un message de sécurité afin de détecter les corruptions de données par
une fonction de transmission de sécurité
3.1.49
niveau d’intégrité de la sécurité
nombre qui indique le degré de confiance requis pour qu'un système remplisse ses fonctions de sécurité eu
égard à ses défaillances systématiques
3.1.50
réaction de protection
action qui peut être prise par le processus de sécurité en réponse à un événement (comme une défaillance
du système de transmission), pouvant conduire à un état de secours sûr de l'équipement
3.1.51
de sécurité
qui est responsable de la sécurité
3.1.52
fonction de transmission de sécurité
fonction intégrée dans l’équipement de sécurité pour garantir l’authenticité, l’intégrité, la ponctualité et la
séquence des données
3.1.53
numéro de séquence
champ de données additionnel contenant un nombre qui varie d’une manière prédéfinie de message à
message
3.1.54
identificateur de source et de destination
identificateur assigné à chaque entité. Il peut s’agir d’un nom, d’un nombre ou d’une configuration binaire
arbitraire. L’identificateur est utilisé pour une communication de sécurité. Il est habituellement ajouté aux
données utilisateurs
3.1.55
défaillance systématique
défaillance d’occurrence répétitive moyennant des combinaisons particulières d’entrées ou des conditions
particulières d’environnement
3.1.56
menace
violation potentielle de sécurité
3.1.57
datation
information concernant le moment de la transmission, attachée à un message par l’émetteur
3.1.58
ponctualité
état correspondant à une mise à disposition de l’information au bon moment, conformément aux
spécifications
3.1.59
code de transmission
information redondante, ajoutée au message de sécurité ou non du système de transmission non sécurisé,
pour assurer l'intégrité du message pendant la transmission
---------------------- Page: 13 ----------------------
SIST EN 50159:2010
EN 50159:2010 – 12 –
3.1.60
système de transmission
service utilisé par une application pour transmettre des flux de messages entre un nombre de participants,
qui peuvent être des sources ou des collecteurs d'information
3.1.61
sécurisé
élément dont les propriétés sont utilisées pour faire la preuve de la sécurité
3.1.62
accès non autorisé
situation dans laquelle des personnes non autorisées ou des pirates informatiques ont accès à et/ou
modifient des informations utilisateur ou des informations dans le système de transmission
3.1.63
données utilisateur
données représentant les états ou événem
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.