Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling

This European standard is applicable to safety-related electronic systems (including subsystems and equipment) for railway signalling applications.
This European standard applies to generic systems (i.e. generic products or systems defining a class of applications), as well as to systems for specific applications.
The scope of this European standard, and its relationship with other CENELEC standards, are shown in Figure 1.
This European standard is applicable only to the functional safety of systems. It is not intended to deal with other aspects of safety such as the occupational health and safety of personnel. While functional safety of systems clearly can have an impact on the safety of personnel, there are other aspects of system design which can also affect occupational health and safety and which are not covered by this European standard.
This European standard applies to all the phases of the life-cycle of a safety-related electronic system, focusing in particular on phases from 5 (architecture and apportionment of system requirements) to 10 (system acceptance) as defined in EN 50126 (all parts).
Requirements for systems which are not related to safety are outside the scope of this European Standard.
This European standard is not applicable to existing systems, subsystems or equipment (i.e. those which had already been accepted prior to the creation of this European standard). However, as far as reasonably practicable, it should be applied to modifications and extensions to existing systems, subsystems and equipment.
This European standard is primarily applicable to systems, subsystems or equipment which have been specifically designed and manufactured for railway signalling applications. It should also be applied, as far as reasonably practicable, to general-purpose or industrial equipment (e.g. power supplies, display screens or other commercial off the shelf items), which is procured for use as part of a safety-related electronic system. As a minimum, evidence should be provided in such cases to demonstrate either
-   that the equipment is not relied on for safety, or
-   that the equipment can be relied on for those functions which relate to safety.
This European standard is aimed at railway duty holders, railway suppliers, and assessors as well as at safety authorities, although it does not define an approval process to be applied by the safety authorities.
(...)

Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik

Applications ferroviaires - Systèmes de signalisation, de télécommunications et de traitement - Systèmes électroniques de sécurité pour la signalisation

La présente Norme européenne est applicable aux systèmes électroniques relatifs à la sécurité (en incluant les sous-systèmes et les équipements) pour des applications de signalisation ferroviaire.
La présente Norme européenne s'applique aux systèmes génériques (c'est-à-dire aux produits ou systèmes génériques qui définissent une classe d'applications), ainsi qu'aux systèmes destinés à des applications spécifiques.
Le domaine d'application de la présente Norme européenne, ainsi que ses relations avec les autres normes du CENELEC, sont représentés dans la Figure 1.
La présente Norme européenne est applicable uniquement à la sécurité fonctionnelle des systèmes. Elle n'est pas destinée à traiter d'autres aspects de la sécurité tels que la santé des travailleurs et la sécurité du personnel. Si la sécurité fonctionnelle des systèmes peut avoir un impact sur la sécurité du personnel, la santé et la sécurité des travailleurs peuvent également être affectées par d'autres aspects de la conception du système qui ne sont pas couverts par la présente Norme européenne.
La présente Norme européenne s'applique à toutes les phases du cycle de vie d'un système électronique relatif à la sécurité, et en particulier aux phases 5 (architecture et allocation des exigences du système) à 10 (acceptation du système) telles que définies dans l'EN 50126 (toutes parties).
Les exigences applicables aux systèmes n'ayant pas trait à la sécurité ne relèvent pas du domaine d'application de la présente Norme européenne.
La présente Norme européenne n'est pas applicable aux systèmes, sous-systèmes ou équipements existants (c'est-à-dire ceux qui ont déjà été acceptés avant l'élaboration de la présente Norme européenne). Toutefois, dans la mesure où cela est raisonnablement possible, elle doit être appliquée à des modifications et à des extensions des systèmes, sous-systèmes et équipements existants.
La présente Norme européenne est plutôt applicable aux systèmes, sous-systèmes ou équipements qui ont été spécialement conçus et fabriqués pour des applications de signalisation ferroviaire. Il convient également de l'appliquer, dans la limite du raisonnable, aux équipements généraux ou industriels (par exemple : alimentations, écrans d'affichage ou autres articles disponibles dans le commerce) qui sont utilisés comme partie d'un système électronique relatif à la sécurité. Dans de tels cas, il convient au minimum d'apporter la preuve que :
-   la sécurité ne repose pas sur cet équipement ; ou
-   que les fonctions en relation avec la sécurité peuvent reposer sur cet équipement.
La présente Norme européenne s'adresse aux responsables d'exploitation ferroviaire, aux fournisseurs de matériel ferroviaire et aux chargés d'évaluations ainsi qu'aux autorités de tutelle, bien qu'elle ne définisse pas un processus d'approbation applicable par les autorités de tutelle.
(...)

Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-varnostni elektronski sistemi

Ta evropski standard se uporablja za varnostne elektronske sisteme (vključno s podsistemi in opremo) v železniških signalnih napravah.
Ta evropski standard se uporablja za generične sisteme (tj. generične izdelke ali sisteme, ki določajo razred uporabe), pa tudi za sisteme za posebno uporabo.
Področje uporabe tega evropskega standarda in njegova povezava z drugimi standardi CENELEC sta prikazana na sliki 1.
Ta evropski standard se uporablja samo za funkcionalno varnost sistemov. Ni namenjen obravnavi drugih vidikov varnosti, kot so zdravje in varnost osebja. Funkcionalna varnost sistemov sicer lahko vpliva na varnost osebja, vendar lahko na zdravje in varnost pri delu vplivajo tudi drugi vidiki zasnove sistema, ki niso zajeti v tem evropskem standardu.
Ta evropski standard se uporablja za vse faze življenjskega cikla varnostnega elektronskega sistema in se osredotoča zlasti na faze od 5 (struktura in porazdelitev sistemskih zahtev) do 10 (sprejem sistema), kot določa standard EN 50126 (vsi deli).
Zahteve za sisteme, ki niso povezane z varnostjo, ne spadajo na področje uporabe tega evropskega standarda.
Ta evropski standard se ne uporablja za obstoječe sisteme, podsisteme ali opremo (npr. tiste, ki so bili sprejeti že pred uvedbo tega evropskega standarda). Vendar naj bi se, kolikor je to razumno izvedljivo, uporabljal za spremembe in razširitve obstoječih sistemov, podsistemov ter opreme.
Ta evropski standard se uporablja predvsem za sisteme, podsisteme ali opremo, ki je bila posebej zasnovana in izdelana za uporabo v železniški signalizaciji. Uporabljal naj bi se tudi, kolikor je to razumno izvedljivo, za splošno ali industrijsko opremo (npr. električne napajalnike, prikazovalnike ali druge komercialne artikle), ki se dobavlja za uporabo kot del varnostnega elektronskega sistema. V takšnih primerih naj bi predložili najmanj dokazila, da:
– ne gre za varnostno opremo; ali
– se je mogoče zanesti na opremo pri funkcijah, ki se nanašajo na varnost.
Ta evropski standard je namenjen nosilcem dolžnosti in dobaviteljem v železniškem prometu ter ocenjevalcem in varnostnim organom, čeprav ne določa postopka odobritve, ki ga morajo izvajati varnostni organi.
(...)

General Information

Status
Published
Public Enquiry End Date
09-Feb-2017
Publication Date
07-Jan-2019
Current Stage
6060 - National Implementation/Publication (Adopted Project)
Start Date
19-Dec-2018
Due Date
23-Feb-2019
Completion Date
08-Jan-2019

Relations

Buy Standard

Standard
EN 50129:2019 (EN)
English language
154 pages
sale 10% off
Preview
sale 10% off
Preview
e-Library read for
1 day
Standard
EN 50129:2019 (FR)
French language
157 pages
sale 10% off
Preview
sale 10% off
Preview
e-Library read for
1 day
Draft
prEN 50129:2017
English language
123 pages
sale 10% off
Preview
sale 10% off
Preview
e-Library read for
1 day

Standards Content (Sample)

2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-varnostni elektronski sistemiBahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für SignaltechnikApplications ferroviaires - Systèmes de signalisation, de télécommunications et de traitement - Systèmes électroniques de sécurité pour la signalisationRailway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling45.020Železniška tehnika na splošnoRailway engineering in general35.240.60Uporabniške rešitve IT v prometuIT applications in transportICS:Ta slovenski standard je istoveten z:EN 50129:2018SIST EN 50129:2019en01-februar-2019SIST EN 50129:2019SLOVENSKI
STANDARDSIST-TP CLC/TR 50506-1:2007SIST-TP CLC/TR 50506-2:2010SIST EN 50129:2003SIST-TP CLC/TR 50451:20071DGRPHãþD



SIST EN 50129:2019



EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM
EN 50129
November 2018 ICS 93.100
Supersedes
CLC/TR 50451:2007, CLC/TR 50506-1:2007, CLC/TR 50506-2:2009, EN 50129:2003
English Version
Railway applications - Communication, signalling and processing systems - Safety related electronic systems for signalling
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de traitement - Systèmes électroniques de sécurité pour la signalisation
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für Signaltechnik This European Standard was approved by CENELEC on 2018-06-07. CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European Standard the status of a national standard without any alteration. Up-to-date lists and bibliographical references concerning such national standards may be obtained on application to the CEN-CENELEC Management Centre or to any CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation under the responsibility of a CENELEC member into its own language and notified to the CEN-CENELEC Management Centre has the same status as the official versions. CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia, Cyprus, the Czech Republic, Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey and the United Kingdom. European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique Europäisches Komitee für Elektrotechnische Normung CEN-CENELEC Management Centre: Rue de la Science 23,
B-1040 Brussels © 2018 CENELEC All rights of exploitation in any form and by any means reserved worldwide for CENELEC Members.
Ref. No. EN 50129:2018 E SIST EN 50129:2019



EN 50129:2018
2
Contents Page European foreword .5 Introduction .7 1 Scope .8 2 Normative references .9 3 Terms, definitions and abbreviations .10 3.1 Terms and definitions .10 3.2 Abbreviations .20 4 Overall framework of this standard .21 5 Requirements for developing safety-related electronic systems .22 5.1 Introduction .22 5.2 The quality management process .23 5.3 The safety management process .26 6 Requirements for elements following different life cycles .36 6.1 Introduction .36 6.2 Use of pre-existing items .36 6.3 Safety-related tools for electronic systems .39 6.4 Physical security and IT-Security .41 7 The Safety Case: structure and content .42 7.1 The Safety Case structure .42 7.2 The Technical Safety Report .44 7.3 Generic and Specific Safety Cases .55 7.4 Provisions for the Specific Application Safety Case .55 7.5 Dependencies between Safety Cases .56 8 System safety acceptance and subsequent phases .57 8.1 System safety acceptance process .57 8.2 Operation, maintenance and performance monitoring .61 8.3 Modification and retrofit .61 8.4 Decommissioning and disposal .61 Annex A (normative)
Safety Integrity Levels .62 A.1 Introduction .62 A.2 Safety requirements .62 A.3 Safety integrity .63 A.4 Determination of safety integrity requirements .64 A.4.1 General .64 A.4.2 Risk Assessment .65 A.4.3 Hazard Control.67 SIST EN 50129:2019



EN 50129:2018
3
A.4.4 Identification and treatment of new hazards arising from design .72 A.5 Allocation of SILs .73 A.5.1 General aspects .73 A.5.2 Relationship between SIL and associated TFFR .74 Annex B (normative)
Management of faults for safety-related functions .77 B.1 Introduction .77 B.2 General concepts .78 B.2.1 Detection and negation times .78 B.2.2 Composition of two independent items.79 B.3 Effects of faults .80 B.3.1 Effects of single faults .80 B.3.2 Influences between items .81 B.3.3 Detection of single faults .87 B.3.4 Action following detection (retention of safe state) .90 B.3.5 Effects of multiple faults .92 B.3.6 Defence against systematic faults .95 Annex C (normative)
Identification of hardware component failure modes .96 C.1 Introduction .96 C.2 General procedure .96 C.3 Procedure for integrated circuits .96 C.4 Procedure for components with inherent physical properties .97 C.5 General provisions concerning component failure modes .97 Annex D (informative)
Example of THR/TFFR/FR apportionment and SIL allocation .117 Annex E (normative)
Techniques and measures
for the avoidance of systematic faults
and the control of random and systematic faults .119 E.1 Introduction .119 E.2 Tables of techniques and measures .121 Annex F (informative)
Guidance on User Programmable Integrated Circuits .130 F.1 Introduction .130 F.1.1 Purpose .130 F.1.2 Terminology and context .131 F.2 UPIC life cycle .132 F.2.1 Organization, roles, responsibilities and personnel competencies .134 F.2.2 UPIC Requirements .134 F.2.3 UPIC Architecture and Design .135 F.2.4 Logic Component Design .136 F.2.5 Logic Component Coding .136 F.2.6 Logic Component Verification .136 SIST EN 50129:2019



EN 50129:2018
4
F.2.7 UPIC Physical Implementation .136 F.2.8 UPIC Integration .136 F.2.9 UPIC Validation .136 F.2.10 Requirements for use of pre-existing logic components .136 F.3 Detailed technical requirements for UPIC .136 F.3.1 Guidance on safety architecture .136 F.3.2 Protection against random faults – architectural principles .137 F.3.3 Protection against systematic faults – (techniques/measures) .137 Annex G (informative)
Changes at this document compared to EN 50129:2003 .147 Annex ZZ (informative)
Relationship between this document and the Essential Requirements of EU Directive 2008/57/EC .151 Bibliography .153 SIST EN 50129:2019



EN 50129:2018
5
European foreword This document (EN 50129:2018) has been prepared by CLC/SC 9XA “Communication, signalling and processing systems” of CLC/TC 9X “Electrical and electronic applications for railways”. The following dates are fixed: • latest date by which this document has to be implemented at national level by publication of an identical national standard or by endorsement (dop) 2019-05-23 • latest date by which the national standards conflicting with this document have to be withdrawn (dow) 2021-11-23 This document supersedes EN 50129:2003. CLC/TR 50451:2007, CLC/TR 50506-1:2007 and CLC/TR 50506-2:2009 are withdrawn by the time the present Publication is published. The significant technical changes with respect to EN 50129:2003 are the following: — A better alignment with the life cycle phases described in EN 50126-1:2017 has been made; — Clause 5 describes the requirements that apply to the development of safety-related electronic systems (until phase 9 of the life cycle), — Clause 8 focuses on the requirements for safety acceptance and approval of safety-related electronic systems and subsequent phases; — Requirements and guidance have been added in Clause 6 on the following topics: — reuse of pre-existing systems, — safety-related tools, — impact of IT security threats on functional safety, — specific application safety cases; — Requirements for the structure and content of the safety case are now defined in a dedicated Clause 7; — Annex A has been aligned with EN 50126-2:2017 for the specification and allocation of safety integrity requirements; — The content of former Annex D has been merged with Annex B, and has been changed from informative to normative; — The status of the Annex E has been changed from informative to normative; — An Annex F has been added as an informative annex on User Programmable Integrated Circuits. A more detailed comparison of changes between EN 50129:2003 and this document can be found in Annex G. Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. CENELEC shall not be held responsible for identifying any or all such patent rights. This document has been prepared under a mandate given to CENELEC by the European Commission and the European Free Trade Association, and supports essential requirements of EU Directive(s). SIST EN 50129:2019



EN 50129:2018
6
For the relationship with EU Directive(s) see informative Annex ZZ, which is an integral part of this document. The structure of this document is described in Clause 4. This document is intended to be used in conjunction with EN 50126-1:2017, “Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process”, EN 50126-2:2017, “Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety”, and EN 50128:2011, “Railway applications — Communication, signalling and processing systems — Software for railway control and protection systems”. This document has been prepared under the Mandate M/483 given to CENELEC by the European Commission and the Commission Implementing Regulation (EU) No 402/2013 of 30 April 2013 on the common safety method (CSM) for risk evaluation and assessment and repealing Regulation (EC) No 352/2009 (with the subsequent amendment, Commission Implementing Regulation (EU) No 2015/1136 of 13 July 2015). SIST EN 50129:2019



EN 50129:2018
7
Introduction This document defines requirements for the acceptance of safety-related electronic systems in the railway signalling field. The aim of European railway duty holders and of European railway industry is to develop compatible railway systems based on common standards. Therefore cross-acceptance of Safety Approvals for systems, subsystems or equipment by the different national railway duty holders is necessary. This document is the common European base for safety acceptance of electronic systems for railway signalling applications. Cross-acceptance is aimed at the acceptance of generic products or generic applications that can be used for a number of different specific applications, and not at the acceptance of any single specific application. Public procurement within the European Community concerning safety-related electronic systems for railway signalling applications will refer to this document. This document is concerned with the evidence to be presented for the acceptance of safety-related systems. However, it specifies not only those life cycle activities which need to be completed before the acceptance stage, but also the additional planned activities to be carried out afterwards. In this way, safety justification will cover the whole life cycle. This document is concerned with what evidence is to be presented. Except where considered appropriate, it does not specify who carries out the necessary work, since this can vary in different circumstances. Safety-related electronic systems for signalling include hardware and software aspects. To develop complete safety-related systems, both aspects need to be taken into account throughout the whole life cycle of the system. The requirements for the overall safety-related electronic system and for its hardware aspects are defined in this document. Other requirements are defined in associated CENELEC standards: for safety-related systems which include software, see EN 50128; for safety-related data communication, see EN 50159. This document consists of Clauses 1 to 8, which form the main part, and Annexes A, B, C, D, E, F, G and ZZ. The requirements defined in the main part of this document and in Annexes A, B, C and E are normative, whilst Annexes D, F, G and ZZ are informative. This document is in line with, and uses relevant sections of: — EN 50126-1:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process, — EN 50126-2:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety. This document is based on the system life cycle described in EN 50126-1, EN 50126-2 and is in line with the EN 61508 series. EN 50126-1, EN 50126-2, EN 50128, EN 50129 comprise the railway sector equivalent of the EN 61508 series so far as Railway Communication, Signalling and Processing Systems are concerned. When compliance with these documents has been demonstrated, further evaluation of compliance with the EN 61508 series is not required. SIST EN 50129:2019



EN 50129:2018
8
1 Scope This document is applicable to safety-related electronic systems (including subsystems and equipment) for railway signalling applications. This document applies to generic systems (i.e. generic products or systems defining a class of applications), as well as to systems for specific applications. The scope of this document, and its relationship with other CENELEC standards, are shown in Figure 1. This document is applicable only to the functional safety of systems. It is not intended to deal with other aspects of safety such as the occupational health and safety of personnel. While functional safety of systems clearly can have an impact on the safety of personnel, there are other aspects of system design which can also affect occupational health and safety and which are not covered by this document. This document applies to all the phases of the life cycle of a safety-related electronic system, focusing in particular on phases from 5 (architecture and apportionment of system requirements) to 10 (system acceptance) as defined in EN 50126-1:2017. Requirements for systems which are not related to safety are outside the scope of this document. This document is not applicable to existing systems, subsystems or equipment which had already been accepted prior to the creation of this document. However, so far as reasonably practicable, it should be applied to modifications and extensions to existing systems, subsystems and equipment. This document is primarily applicable to systems, subsystems or equipment which have been specifically designed and manufactured for railway signalling applications. It should also be applied, so far as reasonably practicable, to general-purpose or industrial equipment (e.g. power supplies, display screens or other commercial off the shelf items), which is procured for use as part of a safety-related electronic system. As a minimum, evidence should be provided in such cases (more information is given in 6.2) to demonstrate either – that the equipment is not relied on for safety, or – that the equipment can be relied on for those functions which relate to safety. This document is aimed at railway duty holders, railway suppliers, and assessors as well as at safety authorities, although it does not define an approval process to be applied by the safety authorities. SIST EN 50129:2019



EN 50129:2018
9
Figure 1 — Scope of the main CENELEC railway application standards 2 Normative references The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies. EN 50124-1, Railway applications — Insulation coordination — Part 1: Basic requirements — Clearances and creepage distances for all electrical and electronic equipment EN 50125-1, Railway applications — Environmental conditions for equipment — Part 1: Rolling stock and on-board equipment EN 50125-3, Railway applications — Environmental conditions for equipment — Part 3: Equipment for signalling and telecommunications EN 50126-1:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process EN 50126-2:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety EN 50128, Railway applications — Communication, signalling and processing systems — Software for railway control and protection systems EN 60664-1, Insulation coordination for equipment within low-voltage systems — Part 1: Principles, requirements and tests (IEC 60664-1) SIST EN 50129:2019



EN 50129:2018
10
3 Terms, definitions and abbreviations 3.1 Terms and definitions For the purposes of this document, the following terms and definitions apply. ISO and IEC maintain terminological databases for use in standardization at the following addresses:
• IEC Electropedia: available at http://www.electropedia.org/ • ISO Online browsing platform: available at http://www.iso.org/obp 3.1.1 accident unintended event or series of events that results in death, injury, loss of a system or service, or environmental damage [SOURCE: IEC 60050-821:2017, 821-12-02] 3.1.2 basic integrity integrity attribute for safety-related functions with a TFFR higher than (less demanding) 10−5 h−1 or for non-safety-related functions Note 1 to entry: In this document Basic Integrity requirements relate only to safety-related functions. If a non-safety-related function has been given basic-integrity requirements on the basis of the process described in EN 50126-2:2017, no additional requirements are defined in this document. [SOURCE: EN 50126-1:2017, 3.7, modified – The note 1 to entry has been added.] 3.1.3 causal analysis analysis of the reasons how and why a particular hazard can come into existence [SOURCE: IEC 60050-821:2017, 821-12-07] 3.1.4 common-cause failures failures of multiple items, which would otherwise be considered independent of one another, resulting from a single cause [SOURCE: IEC 60050-192:2015, 192-03-18] 3.1.5 configuration structuring and interconnection of the hardware and software of a system for its intended application [SOURCE: IEC 60050-821:2017, 821-12-12] 3.1.6 consequence analysis analysis of events which are likely to happen after a hazard has occurred [SOURCE: IEC 60050-821:2017, 821-12-14] SIST EN 50129:2019



EN 50129:2018
11
3.1.7 cross-acceptance status achieved by a product that has been accepted by one authority to the relevant standards and is acceptable to other authorities without the necessity for further assessment [SOURCE: IEC 60050-821:2017, 821-12-15] 3.1.8 design activity applied in order to analyse and transform specified requirements into acceptable solutions [SOURCE: IEC 60050-821:2017, 821-12-16, modified – The end of the definition “design solutions which have the required safety integrity level” has been replaced by “solutions”.] 3.1.9 diversity existence of two or more different ways or means of achieving a specified objective Note 1 to entry: Diversity is specifically provided as a defence against common cause failure. It can be achieved by providing systems that are physically different from each other or by functional diversity, where similar systems achieve the specified objective in different ways. [SOURCE: IEC 60050-395:2014, 395-07-115] 3.1.10 DC fault model fault category that includes the following failure modes: stuck-at faults, stuck-open, open or high impedance outputs as well as short circuits between signal lines, and for integrated circuits, short circuit between any two connections (pins) SIST EN 50129:2019



EN 50129:2018
12
3.1.11 electronic component hardware component electronic device that cannot be taken apart without destruction or impairment of its intended use EXAMPLE: Resistors, capacitors, diodes, integrated circuits, hybrids, application specific integrated circuits, wound components and relays. [SOURCE: IEC 60050-904:2014, 904-01-09, modified – “hardware component” has been added as a synonym.] 3.1.12 equipment single apparatus or set of devices or apparatuses, or the set of main devices of an installation, or all devices necessary to perform a specific task Note 1 to entry: Examples of equipment are a power transformer, the equipment of a substation, measuring equipment. [SOURCE: IEC 60050-151:2001, 151-11-25] 3.1.13 error discrepancy between a computed, observed or measured value or condition and the true, specified or theoretically correct value or condition Note 1 to entry: An error can be caused by a faulty item, e.g. a computing error made by faulty computer equipment. Note 2 to entry: A human error can be seen as a human action or inaction that can produce an unintended result. [SOURCE: IEC 60050-192:2015, 192-03-02] 3.1.14 fail-safe able to enter or remain in a safe state in the event of a failure [SOURCE: IEC 60050-821:2017, 821-01-10] 3.1.15 failure, loss of ability to perform as required N
...

SLOVENSKI STANDARD
SIST EN 50129:2019
01-februar-2019
Nadomešča:
SIST EN 50129:2003
SIST-TP CLC/TR 50451:2007
SIST-TP CLC/TR 50506-1:2007
SIST-TP CLC/TR 50506-2:2010
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-
varnostni elektronski sistemi
Railway applications - Communication, signalling and processing systems - Safety
related electronic systems for signalling
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für
Signaltechnik
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de
traitement - Systèmes électroniques de sécurité pour la signalisation
Ta slovenski standard je istoveten z: EN 50129:2018
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
prometu
45.020 Železniška tehnika na Railway engineering in
splošno general
SIST EN 50129:2019 en,fr
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

---------------------- Page: 1 ----------------------
SIST EN 50129:2019

---------------------- Page: 2 ----------------------
SIST EN 50129:2019


NORME EUROPÉENNE
EN 50129

EUROPÄISCHE NORM

EUROPEAN STANDARD
Novembre 2018
ICS 93.100 Annule et remplace les CLC/TR 50451:2007,
CLC/TR 50506-1:2007, CLC/TR 50506-2:2009 et
EN 50129:2003
Version française
Applications ferroviaires — Systèmes de signalisation, de
télécommunications et de traitement — Systèmes électroniques
de sécurité pour la signalisation
Bahnanwendungen — Telekommunikationstechnik, Railway applications — Communication, signalling and
Signaltechnik und Datenverarbeitungssysteme — processing systems — Safety related electronic systems
Sicherheitsrelevante elektronische Systeme für for signalling
Signaltechnik
La présente Norme européenne a été approuvée par le CENELEC le 2018-06-07. Les membres du CENELEC sont tenus de se soumettre
au règlement intérieur du CEN/CENELEC qui définit les conditions dans lesquelles doit être attribué, sans modification, le statut de norme
nationale à la Norme Européenne.
Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être obtenues auprès du centre de
gestion du CEN-CENELEC ou auprès des membres du CENELEC.
La présente Norme européenne existe en trois versions officielles (allemand, anglais, français). Une version dans une autre langue faite
par traduction sous la responsabilité d'un membre du CENELEC dans sa langue nationale, et notifiée au centre de gestion du CEN-
CENELEC, a le même statut que les versions officielles.
Les membres du CENELEC sont les comités électrotechniques nationaux des pays suivants: Allemagne, Ancienne République yougoslave
de Macédoine, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande,
Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Royaume-
Uni, Serbie, Slovaquie, Slovénie, Suède, Suisse et Turquie.


Comité Européen de Normalisation Électrotechnique
Europäisches Komitee für Elektrotechnische Normung
European Committee for Electrotechnical Standardization
Centre de gestion du CEN-CENELEC: Rue de la Science 23, B-1040 Brussels
© 2018 CENELEC Tous droits d'exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde entier aux
membres du CENELEC.
 Réf. No. EN 50129:2018 F

---------------------- Page: 3 ----------------------
SIST EN 50129:2019
EN 50129:2018

Sommaire Page
Avant-propos européen .4
Introduction .6
1 Domaine d'application .7
2 Références normatives .8
3 Termes, définitions et abréviations .9
3.1 Termes et définitions .9
3.2 Abréviations .18
4 Cadre général du présent document .19
5 Exigences relatives au développement de systèmes électroniques relatifs à la sécurité .21
5.1 Introduction.21
5.2 Processus de gestion de la qualité .21
5.3 Processus de gestion de la sécurité .24
6 Exigences relatives aux éléments suivant différents cycles de vie .36
6.1 Introduction.36
6.2 Utilisation des éléments préexistants .36
6.3 Outils relatifs à la sécurité pour les systèmes électroniques.38
6.4 Sécurité physique et sécurité informatique .41
7 Dossier de sécurité : plan et contenu .42
7.1 Plan du Dossier de sécurité .42
7.2 Rapport de sécurité technique .44
7.3 Dossiers de sécurité génériques et spécifiques .56
7.4 Dispositions relatives au Dossier de sécurité pour une application spécifique (SASC) .56
7.5 Dépendances entre les dossiers de sécurité .58
8 Acceptation de la sécurité du système et phases suivantes .58
8.1 Processus d'acceptation de la sécurité du système .58
8.2 Suivi de l'exploitation, de la maintenance et des performances .62
8.3 Modification et réadaptation .62
8.4 Retrait du service et dépose .62
Annexe A (normative) Niveaux d'intégrité de la sécurité .63
A.1 Introduction .63
A.2 Exigences de sécurité .63
A.3 Intégrité de sécurité .64
A.4 Détermination des exigences d'intégrité de la sécurité .65
A.4.1 Généralités .65
A.4.2 Appréciation du risque.66
A.4.3 Maîtrise des situations dangereuses .69
2

---------------------- Page: 4 ----------------------
SIST EN 50129:2019
EN 50129:2018

A.4.4 Identification et traitement des nouvelles situations dangereuses apparaissant au cours de la
conception .74
A.5 Allocation de SIL .75
Annexe B (normative) Gestion des pannes des fonctions relatives à la sécurité .78
B.1 Introduction .78
B.2 Concepts généraux .79
B.2.1 Temps de détection et de passivation .79
B.2.2 Composition de deux entités indépendantes .80
B.3 Effets des pannes .81
B.3.1 Effets des pannes simples .81
B.3.2 Influences entre éléments .83
B.3.3 Détection de pannes simples .88
B.3.4 Action suivant la détection (maintien dans un état sûr) .90
B.3.5 Effets des pannes multiples .92
B.3.6 Protections contre les pannes systématiques .96
Annexe C (normative) Identification des modes de défaillance des composants matériels .97
C.1 Introduction .97
C.2 Procédure générale .97
C.3 Procédure pour les circuits intégrés .97
C.4 Procédure pour les composants avec propriétés physiques intrinsèques .98
C.5 Dispositions générales concernant les modes de défaillance des composants .99
Annexe D (informative) Exemple de décomposition des THR/TFFR/FR et d'allocation des SIL. .117
Annexe E (normative) Techniques et mesures pour éviter les pannes systématiques et contrôler les pannes
systématiques et aléatoires .119
E.1 Introduction .119
E.2 Tableaux des techniques et mesures .121
Annexe F (informative) Recommandations relatives aux circuits intégrés programmables par l'utilisateur130
F.1 Introduction .130
F.2 Cycle de vie de l'UPIC .132
F.3 Exigences techniques détaillées applicables à un UPIC .138
F.3.1 Recommandations relatives à l'architecture de la sécurité .138
F.3.2 Protection contre les pannes aléatoires — principes architecturaux .138
F.3.3 Protection contre les pannes systématiques — techniques/mesures .139
Annexe G (informative) Modifications apportées au présent document par rapport à l'EN 50129:2003 .150
Annexe ZZ (informative) Relation entre la présente Norme européenne et les exigences essentielles
concernées de la Directive UE 2008/57/CE [2008 JO L191] .154
Bibliographie .156

3

---------------------- Page: 5 ----------------------
SIST EN 50129:2019
EN 50129:2018

Avant-propos européen
Le présent document (EN 50129:2018) a été préparé par le CLC/SC 9XA, « Systèmes de signalisation de
télécommunications et de traitement », du CLC/TC 9X, « Applications électriques et électroniques dans le
domaine ferroviaire ».
Les dates suivantes sont fixées :
• date limite à laquelle ce document doit (dop) 2019-05-23
être mis en application au niveau
national par publication d'une norme
nationale identique ou par entérinement
• date limite à laquelle les normes (dow) 2021-11-23
nationales en contradiction avec ce
document doivent être annulées
Le présent document remplace l'EN 50129:2003.
A la date de publication du présent document, les normes CLC/TR 50451:2007, CLC/TR 50506-1:2007 et
CLC/TR 50506-2:2009 ont été annulées.
Les principales modifications techniques effectuées par rapport à l'EN 50129:2003 sont les suivantes :
— le document a été aligné avec les phases du cycle de vie décrites dans l'EN 50126-1:2017 ;
— l'Article 5 décrit les exigences applicables au développement de systèmes électroniques relatifs à
la sécurité (jusqu'à la phase 9 du cycle de vie) ;
— l'Article 8 se concentre sur les exigences applicables à l'acceptation et à l'approbation de la
sécurité des systèmes électroniques relatifs à la sécurité, ainsi que sur les phases suivantes ;
— des exigences et des recommandations ont été ajoutées à l'Article 6 concernant les sujets suivants :
— réutilisation de systèmes préexistants ;
— outils relatifs à la sécurité ;
— impact des menaces de sécurité informatique sur la sécurité fonctionnelle ;
— dossiers de sécurité pour une application spécifique ;
— les exigences relatives à la structure et au contenu du dossier de sécurité sont maintenant définies
dans un Article 7 dédié ;
— l'Annexe A a été alignée avec l'EN 50126-2:2017 pour la spécification et l'allocation des exigences
d'intégrité de la sécurité ;
— le contenu de l'ancienne Annexe D a été fusionné avec celui de l'Annexe B et l'annexe est passée du
statut informatif à normatif ;
— l'Annexe E est passée du statut informatif à normatif ;
— une Annexe F informative a été ajoutée concernant les circuits intégrés programmables par
l'utilisateur.
Une comparaison détaillée des modifications entre l'EN 50129:2003 et le présent document est fournie à
l'Annexe G.
4

---------------------- Page: 6 ----------------------
SIST EN 50129:2019
EN 50129:2018

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. Le CENELEC ne saurait être tenu pour
responsable de ne pas avoir identifié de tels droits de propriété et averti de leur existence.
Le présent document a été élaboré dans le cadre d'un mandat confié au CENELEC par la Commission
européenne et l'Association européenne de libre-échange et vient à l'appui des exigences essentielles de la
ou des directives UE.
Pour la relation avec la (les) directive(s) UE, voir l'Annexe ZZ informative, qui fait partie intégrante du
présent document.
Le plan du présent document est décrit à l'Article 4.
Le présent document est destiné à être utilisé conjointement avec l'EN 50126-1:2017, « Applications
ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité et de la
sécurité (FDMS) — Partie 1 : Processus FMDS générique », l'EN 50126-2:2017, « Applications
ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité et de la
sécurité (FDMS) — Partie 2 : Approche systématique pour la sécurité » et l'EN 50128:2011, « Applications
ferroviaires — Systèmes de signalisation, de télécommunication et de traitement — Logiciels pour
systèmes de commande et de protection ferroviaire ».
Le présent document a été élaboré dans le cadre du mandat M/483 confié au CENELEC par la
Commission européenne et du Règlement d'exécution (UE) n° 402/2013 de la Commission du 30 avril 2013
concernant la méthode de sécurité commune relative à l'évaluation et à l'appréciation des risques et
abrogeant le Règlement (CE) n° 352/2009 (y compris son amendement ultérieur, le Règlement
d'exécution (UE) n° 2015/1136 du 13 juillet 2015).
5

---------------------- Page: 7 ----------------------
SIST EN 50129:2019
EN 50129:2018

Introduction
Le présent document définit les exigences pour l'acceptation des systèmes électroniques relatifs à la
sécurité dans le domaine de la signalisation ferroviaire.
Le but des responsables d'exploitation ferroviaire européens et de l'industrie ferroviaire européenne est de
développer des systèmes ferroviaires compatibles basés sur des normes communes. En conséquence, il
est nécessaire de réaliser l'acceptation réciproque des approbations de sécurité pour des systèmes, sous-
systèmes ou équipements par les différents responsables d'exploitation ferroviaire nationaux. Le présent
document est le référentiel européen commun pour l'acceptation de la sécurité des systèmes électroniques
pour des applications de signalisation ferroviaire.
L'acceptation réciproque désigne l'acceptation de produits et d'applications génériques pouvant être utilisés
pour un grand nombre d'applications spécifiques, et pas seulement l'acceptation d'une seule application
spécifique. L'approvisionnement public à l'intérieur de la Communauté Européenne concernant les
systèmes électroniques relatifs à la sécurité pour des applications de signalisation ferroviaire font référence
au présent document.
Le présent document concerne les preuves à fournir pour l'acceptation de systèmes relatifs à la sécurité.
Toutefois, il spécifie non seulement les activités du cycle de vie qui doivent être terminées avant la phase
d'acceptation, mais également les activités planifiées supplémentaires à réaliser après. De cette manière,
la justification de la sécurité couvre l'ensemble du cycle de vie.
Le présent document précise quelles sont les preuves qui doivent être établies. Sauf si cela est considéré
comme opportun, il ne spécifie pas qui réalise le travail nécessaire, ceci pouvant varier en fonction des
circonstances.
Les systèmes électroniques relatifs à la sécurité pour la signalisation incluent les aspects matériels et
logiciels. Pour développer des systèmes relatifs à la sécurité complets, ces deux aspects doivent être pris
en compte tout au long du cycle de vie du système. Les exigences concernant le système électronique
global relatif à la sécurité et ses aspects matériels sont définies dans le présent document. D'autres
exigences sont définies dans les normes du CENELEC associées : pour les systèmes relatifs à la sécurité
comportant des logiciels, se reporter à l'EN 50128 ; pour la transmission des données de sécurité, se
reporter à l'EN 50159.
Le présent document se compose des Articles 1 à 8 qui forment le corps principal, ainsi que des
Annexes A, B, C, D, E, F, G et ZZ. Les exigences définies dans le corps principal du présent document et
dans les Annexes A, B, C et E sont normatives, tandis que les Annexes D, F, G et ZZ sont informatives.
Le présent document est cohérent avec les documents suivants et reprend les articles applicables des
documents suivants :
— EN 50126-1:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 1: Processus FDMS générique ;
— EN 50126-2:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 2 : Approche systématique pour la
sécurité.
Le présent document est basé sur le cycle de vie système décrit dans l'EN 50126-1 et l'EN 50126-2, et est
conforme à la série EN 61508. Les normes EN 50126-1, EN 50126-2, EN 50128 et EN 50129 comprennent
la série EN 61508 équivalente pour le secteur ferroviaire, qui couvre les systèmes ferroviaires de
signalisation, de télécommunication et de traitement. Sous réserve que la conformité avec ces documents
ait été démontrée, il n'est pas nécessaire de procéder à une plus ample évaluation de la conformité avec la
série EN 61508.
6

---------------------- Page: 8 ----------------------
SIST EN 50129:2019
EN 50129:2018

1 Domaine d'application
Le présent document est applicable aux systèmes électroniques relatifs à la sécurité (en incluant les sous-
systèmes et les équipements) pour des applications de signalisation ferroviaire.
Le présent document s'applique aux systèmes génériques (c'est-à-dire aux produits ou systèmes
génériques qui définissent une classe d'applications), ainsi qu'aux systèmes destinés à des applications
spécifiques.
La Figure 1 représente le domaine d'application du présent document, ainsi que ses relations avec les
autres normes CENELEC.
Le présent document est applicable uniquement à la sécurité fonctionnelle des systèmes. Elle n'est pas
destinée à traiter d'autres aspects de la sécurité tels que la santé des travailleurs et la sécurité du
personnel. Si la sécurité fonctionnelle des systèmes peut avoir un impact sur la sécurité du personnel, la
santé et la sécurité des travailleurs peuvent également être affectées par d'autres aspects de la conception
du système qui ne sont pas couverts par le présent document.
Le présent document s'applique à toutes les phases du cycle de vie d'un système électronique relatif à la
sécurité, et en particulier aux phases 5 (architecture et allocation des exigences du système) à 10
(acceptation du système) définies dans l'EN 50126-1:2017.
Les exigences applicables aux systèmes n'ayant pas trait à la sécurité ne relèvent pas du domaine
d'application du présent document.
Le présent document n'est pas applicable aux systèmes, sous-systèmes ou équipements existants (c'est-à-
dire ceux qui ont déjà été acceptés avant l'élaboration du présent document). Toutefois, dans la mesure où
cela est raisonnablement possible, il convient de l'appliquer aux modifications et extensions des systèmes,
sous-systèmes et équipements existants.
Le présent document est plutôt applicable aux systèmes, sous-systèmes ou équipements qui ont été
spécialement conçus et fabriqués pour des applications de signalisation ferroviaire. Il convient également
de l'appliquer, dans la limite du raisonnable, aux équipements généraux ou industriels (par exemple :
alimentations, écrans d'affichage ou autres articles disponibles dans le commerce) qui sont utilisés comme
partie d'un système électronique relatif à la sécurité. Dans de tels cas (des informations supplémentaires
sont données en 6.2), il convient au minimum d'apporter la preuve que :
– la sécurité ne repose pas sur cet équipement ; ou que
– les fonctions en relation avec la sécurité peuvent reposer sur cet équipement.
Le présent document s'adresse aux responsables d'exploitation ferroviaire, aux fournisseurs de matériel
ferroviaire et aux chargés d'évaluations ainsi qu'aux autorités de tutelle, bien qu'elle ne définisse pas un
processus d'approbation applicable par les autorités de tutelle.
7

---------------------- Page: 9 ----------------------
SIST EN 50129:2019
EN 50129:2018


Figure 1 — Domaine d'application des normes ferroviaires du CENELEC
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l'édition citée s'applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
EN 50124-1, Applications ferroviaires — Coordination de l'isolement — Partie 1 : Prescriptions
fondamentales — Distances d'isolement dans l'air et lignes de fuite pour tout matériel électrique et
électronique
EN 50125-1, Applications ferroviaires — Conditions d'environnement pour le matériel — Partie 1 :
Equipement embarqué du matériel roulant
EN 50125-3, Applications ferroviaires — Conditions d'environnement pour le matériel — Partie 3 :
Equipement pour la signalisation et les télécommunications
EN 50126-1:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 1: Processus FDMS générique
EN 50126-2:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) — Partie 2 : Processus FDMS générique
EN 50128, Applications ferroviaires — Systèmes de signalisation, de télécommunication et de
traitement — Logiciels pour systèmes de commande et de protection ferroviaire
EN 60664-1, Coordination de l'isolement des matériels dans les systèmes (réseaux) à basse
tension — Partie 1 : Principes, prescriptions et essais (IEC 60664-1)
8

---------------------- Page: 10 ----------------------
SIST EN 50129:2019
EN 50129:2018

3 Termes, définitions et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
• IEC Electropedia : disponible à l'adresse http://www.electropedia.org/
• ISO Online browsing platform : disponible à l'adresse http://www.iso.org/obp
3.1.1
accident
évènement ou série d'évènements inattendus conduisant au décès, à des blessures, à la perte d'un
système ou d'un service, ou à des dommages sur l'environnement
[SOURCE : IEC 60050-821:2017, 821-12-02]
3.1.2
intégrité de base
attribut d'intégrité pour des fonctions relatives à la sécurité avec un TFFR plus élevé que (moins exigeant)
-5 -1
10 [h ] ou pour des fonctions non relatives à la sécurité
Note 1 à l'article : Dans le présent document, les exigences d'intégrité de base se rapportent uniquement aux
fonctions relatives à la sécurité. Si des exigences d'intégrité de base ont été imposées à une fonction non liée à la
sécurité sur la base du processus décrit dans l'EN 50126-2:2017, aucune exigence supplémentaire n'est définie dans
le présent document.
[SOURCE : EN 50126-1:2017, 3.7, modifiée – La Note 1 à l'article a été ajoutée.]
3.1.3
analyse des causes
analyse des raisons à l'origine d'une situation dangereuse
[SOURCE : IEC 60050-821:2017, 821-12-07]
3.1.4
défaillances de cause commune
défaillances de différentes entités, qui résultent d'une cause unique, mais auraient pu être considérées
comme indépendantes
[SOURCE : IEC 60050-192:2015, 192-03-18]
3.1.5
configuration
structuration et relations entre le matériel et le logiciel d'un système pour une application attendue
[SOURCE : IEC 60050-821:2017, 821-12-12]
3.1.6
analyse des conséquences
analyse des évènements susceptibles de survenir après l'occurrence d'un danger
[SOURCE : IEC 60050-821:2017, 821-12-14]
9

---------------------- Page: 11 ----------------------
SIST EN 50129:2019
EN 50129:2018

3.1.7
acceptation réciproque
état atteint par un produit qui a été accepté par une autorité selon les normes en vigueur et qui est
acceptable par les autres autorités sans nécessité de nouvelle évaluation
[SOURCE : IEC 60050-821:2017, 821-12-15]
3.1.8
conception
activité menée afin d'analyser et de transformer les exigences spécifiées en solutions acceptables
[SOURCE : IEC 60050-821:2017, 821-12-16, modifiée – La fin de la définition « solutions de conceptions
acceptables ayant le niveau d'intégrité de la sécurité requis » a été remplacée par « solutions
acceptables ».]
3.1.9
diversité
existence de deux manières ou moyens différents ou plus pour atteindre un objectif déterminé
Note 1 à l'article : La diversité est faite spécifiquement pour assurer une protection contre les défaillances de cause
commune. On peut la réaliser en fournissant des systèmes physiquement différents les uns des autres o
...

SLOVENSKI STANDARD
oSIST prEN 50129:2017
01-februar-2017
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Signalno-
varnostni elektronski sistemi
Railway applications - Communication, signalling and processing systems - Safety
related electronic systems for signalling
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für
Signaltechnik
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de
traitement - Systèmes électroniques de sécurité pour la signalisation
Ta slovenski standard je istoveten z: prEN 50129:2016
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
prometu
45.020 Železniška tehnika na Railway engineering in
splošno general
oSIST prEN 50129:2017 en,fr,de
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

---------------------- Page: 1 ----------------------
oSIST prEN 50129:2017

---------------------- Page: 2 ----------------------
oSIST prEN 50129:2017

EUROPEAN STANDARD DRAFT
prEN 50129
NORME EUROPÉENNE

EUROPÄISCHE NORM

December 2016
ICS 93.100 Will supersede EN 50129:2003
English Version
Railway applications - Communication, signalling and processing
systems - Safety related electronic systems for signalling
Applications ferroviaires - Systèmes de signalisation, de Bahnanwendungen - Telekommunikationstechnik,
télécommunications et de traitement - Systèmes Signaltechnik und Datenverarbeitungssysteme -
électroniques de sécurité pour la signalisation Sicherheitsrelevante elektronische Systeme für
Signaltechnik
This draft European Standard is submitted to CENELEC members for enquiry.
Deadline for CENELEC: 2017-02-24.

It has been drawn up by CLC/SC 9XA.

If this draft becomes a European Standard, CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which
stipulate the conditions for giving this European Standard the status of a national standard without any alteration.

This draft European Standard was established by CENELEC in three official versions (English, French, German).
A version in any other language made by translation under the responsibility of a CENELEC member into its own language and notified to
the CEN-CENELEC Management Centre has the same status as the official versions.

CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia, Cyprus, the Czech Republic,
Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia,
Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland,
Turkey and the United Kingdom.

Recipients of this draft are invited to submit, with their comments, notification of any relevant patent rights of which they are aware and to
provide supporting documentation.

Warning : This document is not a European Standard. It is distributed for review and comments. It is subject to change without notice and
shall not be referred to as a European Standard.



European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
CEN-CENELEC Management Centre: Avenue Marnix 17, B-1000 Brussels
© 2016 CENELEC All rights of exploitation in any form and by any means reserved worldwide for CENELEC Members.
Project: 60242 Ref. No. prEN 50129:2016 E

---------------------- Page: 3 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
1 Contents Page
2 European foreword .5
3 Introduction .6
4 1 Scope .7
5 2 Normative references .8
6 3 Terms ,definitions and abbreviations .8
7 3.1 Terms and definitions .8
8 3.2 Abbreviations .15
9 4 Overall framework of this standard .16
10 5 Requirements for developing safety-related electronic systems .18
11 5.1 Introduction .18
12 5.2 The quality management process .18
13 5.3 The safety management process .19
14 6 Requirements for elements external to the lifecycle .29
15 6.1 Introduction .29
16 6.2 Re-use of pre-existing items .29
17 6.3 Safety-related tools for electronic systems .31
18 6.4 Physical security and IT-Security .32
19 7 The Safety Case: structure and content .33
20 7.1 The Safety Case structure .33
21 7.2 The Technical Safety Report .35
22 7.3 Different kind of Safety Cases .42
23 7.4 Provisions for the Specific Application Safety Case .42
24 7.5 Dependencies between Safety Cases .43
25 8 System safety acceptance and subsequent phases .44
26 8.1 System safety acceptance process .44
27 8.2 Operation, maintenance and performance monitoring .47
28 8.3 Modification and retrofit .47
29 8.4 Decommissioning and disposal .47
30 Annex A (normative) Safety Integrity Levels .48
31 A.1 Introduction .48
32 A.2 Safety requirements .48
33 A.3 Safety integrity .49
34 A.4 Determination of safety integrity requirements .49
35 A.4.1 General .49
36 A.4.2 Risk Assessment .51
37 A.4.3 Hazard Control.52
38 A.4.4 Identification and treatment of new hazards arising from design .56
39 A.4.5 An example of THR/TFFR/FR and SIL allocation .57
2

---------------------- Page: 4 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
40 A.5 Assignment of SILs .59
41 A.5.1 General aspects .59
42 A.5.2 Relationship between SIL and associated TFFR .60
43 Annex B (normative) Management of faults for safety-related functions .61
44 B.1 Introduction .61
45 B.2 General concepts .61
46 B.2.1 Detection and negation times .61
47 B.2.2 Composition of two independent items.62
48 B.3 Effects of faults .63
49 B.3.1 Effects of single faults .63
50 B.3.2 Influences between items .64
51 B.3.3 Detection of single faults .68
52 B.3.4 Action following detection (retention of safe state) .69
53 B.3.5 Effects of multiple faults .71
54 B.3.6 Defence against systematic faults .73
55 Annex C (normative) Identification of hardware component failure modes .74
56 C.1 Introduction .74
57 C.2 General procedure .74
58 C.3 Procedure for integrated circuits .74
59 C.4 Procedure for components with inherent physical properties .74
60 C.5 General provisions concerning component failure modes .75
61 Annex D (intentionally left empty) .93
62 Annex E (normative) Techniques and measures for the avoidance of systematic faults and the
63 control of random and systematic faults .94
64 E.1 Introduction .94
65 E.2 Tables of techniques and measures .96
66 Annex F (informative) Guidance on Programmable Components .103
67 F.1 Introduction .103
68 F.1.1 Purpose .103
69 F.1.2 Objectives .103
70 F.1.3 Development context .104
71 F.1.4 Life-cycle issues and documentation .105
72 F.1.5 Organization, roles, responsibilities and personnel competencies .108
73 F.1.6 Programmable Component requirements .108
74 F.1.7 Programmable Component architecture and design .108
75 F.1.8 Logic Component design .109
76 F.1.9 Logic Component coding and testing .109
77 F.1.10 Programmable Component integration testing .109
78 F.1.11 Programmable Component validation .109
79 F.1.12 Requirements for use of pre-existing logic components .109
3

---------------------- Page: 5 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
80 F.2 Detailed technical requirements for Programmable Components .109
81 F.2.1 Guidance on safety architecture .109
82 F.2.2 Protection against random faults – architectural principles .110
83 F.2.3 Protection against systematic faults – (techniques/measures) .110
84 F.2.4 Description of techniques and measures .113
85 Annex G (informative) Changes at this European Standard compared to EN 50129:2003 .118
86 Annex ZZ (informative) Relationship between this European Standard and the Essential
87 Requirements of EU Directive 2008/57/EC .121
88 Bibliography .122
89
4

---------------------- Page: 6 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
90 European foreword
91 This document [prEN 50129:2016] has been prepared by CLC/SC 9XA “Communication, signalling and
92 processing systems” of CLC/TC 9X “Electrical and electronic applications for railways”.
93 This document is currently submitted to the Enquiry.
94 The following dates are proposed:
(doa) dor + 6 months
• latest date by which the existence of this document has
to be announced at national level
• latest date by which this document has to be (dop) dor + 12 months
implemented at national level by publication of an
identical national standard or by endorsement
• latest date by which the national standards conflicting (dow) dor + 36 months
(to be confirmed or
with this document have to be withdrawn
modified when voting)
95 This document will supersede EN 50129:2003.
96 This document has been prepared under a mandate given to CENELEC by the European Commission and
97 the European Free Trade Association, and supports essential requirements of EU Directive(s).
98 For the relationship with EU Directive(s) see informative Annex ZZ, which is an integral part of this
99 document.
100 The structure is of this European standard is described in Clause 4.
101 Comparison of changes between EN 50129:2003 and this draft European Standard can be found in
102 Annex G.
103 This draft European Standard has been prepared under the Mandate M/483 given to CENELEC by the
104 European Commission and the Implementing Regulation (EU) No 402/2013 (with the subsequent
105 amendment, Implementing Regulation (EU) No 2015/1136).
5

---------------------- Page: 7 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
106 Introduction
107 This European Standard should be read in conjunction with prEN 50126-1:2015, "Railway Applications —
108 The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) —
109 Part 1: Generic RAMS Process”, prEN 50126-2:2015, "Railway Applications — The Specification and
110 Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to
111 Safety”, and EN 50128, "Railway applications — Communication, signalling and processing systems —
112 Software for railway control and protection systems".
113 This document defines requirements for the acceptance of safety-related electronic systems in the railway
114 signalling field.
115 The aim of European railway duty holders and European railway industry is to develop compatible railway
116 systems based on common standards. Therefore cross-acceptance of Safety Approvals for systems,
117 subsystems or equipment by the different national railway duty holders is necessary. This document is the
118 common European base for safety acceptance of electronic systems for railway signalling applications.
119 Cross-acceptance is aimed at acceptance of generic products and generic applications, not specific
120 applications. Public procurement within the European Community concerning safety-related electronic
121 systems for railway signalling applications will refer to this European Standard.
122 This European Standard is concerned with the evidence to be presented for the acceptance of safety-
123 related systems. However, it specifies not only those life-cycle activities which need to be completed before
124 the acceptance stage, but also the additional planned activities to be carried out after. This way, safety
125 justification will cover the whole life-cycle.
126 This European Standard is concerned with what evidence is to be presented. Except where considered
127 appropriate, it does not specify who carries out the necessary work, since this can vary in different
128 circumstances.
129 Safety-related electronic systems for signalling include hardware and software aspects. To develop
130 complete safety-related systems, both aspects need to be taken into account throughout the whole life-cycle
131 of the system. The requirements for the overall safety-related electronic system and for its hardware
132 aspects are defined in this standard. Other requirements are defined in associated CENELEC standards:
133 for safety-related systems which include software, see EN 50128; for safety-related data communication,
134 see EN 50159.
135 This European Standard consists of the main part (Clause 1 to Clause 8) and Annexes A, B, C, D, E, F, G
136 and ZZ. The requirements defined in the main part of the standard and in Annexes A, B, C and E are
137 normative, whilst Annexes F, G and ZZ are informative. Annex D is intentionally left empty.
138 In this European Standard provisions are expressed exclusively (according to “Internal Regulations Part 3:
139 Rules for the structure and drafting of CEN-CENELEC Publications”) by means of the following verbal
140 forms:
141 - “shall / shall not” for requirements;
142 - “should / should not” for recommendations;
143 - “may / need not” for permissions;
144 - “can / cannot” for possibilities and capabilities.
145 This European Standard is in line with, and uses relevant sections of:
146 - prEN 50126-1:2015, Railway Applications — The Specification and Demonstration of Reliability,
147 Availability, Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process and
148 - prEN 50126-2:2015, Railway Applications — The Specification and Demonstration of Reliability,
149 Availability, Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety.
150 This European standard is based on the system life-cycle described in the EN 50126 series and is in line
151 with the EN 61508 series. The EN 50126 series/EN 50128/EN 50129 comprise the railway sector equivalent
152 of the EN 61508 series so far as Railway Communication, Signalling and Processing Systems are
153 concerned. When compliance with these European standards has been demonstrated, further evaluation of
154 compliance with the EN 61508 series is not required.
6

---------------------- Page: 8 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
155 1 Scope
156 This European standard is applicable to safety-related electronic systems (including subsystems and
157 equipment) for railway signalling applications.
158 This European standard applies to generic systems (i.e. generic products or systems defining a class of
159 applications), as well as to systems for specific applications.
160 The scope of this European standard, and its relationship with other CENELEC standards, are shown in
161 Figure 1.
162 This European standard is applicable only to the functional safety of systems. It is not intended to deal with
163 other aspects of safety such as the occupational health and safety of personnel. While functional safety of
164 systems clearly can have an impact on the safety of personnel, there are other aspects of system design
165 which can also affect occupational health and safety and which are not covered by this European standard.
166 This European standard applies to all the phases of the life-cycle of a safety-related electronic system,
167 focusing in particular on phases from 5 (architecture and apportionment of system requirements) to 10
168 (system acceptance) as defined in EN 50126 (all parts).
169 Requirements for systems which are not related to safety are outside the scope of this European Standard.
170 This European standard is not applicable to existing systems, subsystems or equipment (i.e. those which
171 had already been accepted prior to the creation of this European standard). However, as far as reasonably
172 practicable, it should be applied to modifications and extensions to existing systems, subsystems and
173 equipment.
174 This European standard is primarily applicable to systems, subsystems or equipment which have been
175 specifically designed and manufactured for railway signalling applications. It should also be applied, as far
176 as reasonably practicable, to general-purpose or industrial equipment (e.g. power supplies, display screens
177 or other commercial off the shelf items), which is procured for use as part of a safety-related electronic
178 system. As a minimum, evidence should be provided in such cases to demonstrate either
179 – that the equipment is not relied on for safety, or
180 – that the equipment can be relied on for those functions which relate to safety.
181 This European standard is aimed at railway duty holders, railway suppliers, and assessors as well as at
182 safety authorities, although it does not define an approval process to be applied by the safety authorities.
Total Railway System
Complete Railway Signalling
System
Individual Subsystem
EN 50159 EN 50128 EN 50129
EN 50126-1/-2
(Communication) (Software) (System Safety)
(RAMS)
Individual Equipment


183
184 Figure 1 – Scope of the main CENELEC railway application standards
7

---------------------- Page: 9 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
185 2 Normative references
186 The following documents, in whole or in part, are normatively referenced in this document and are
187 indispensable for its application. For dated references, only the edition cited applies. For undated
188 references, the latest edition of the referenced document (including any amendments) applies.
189 NOTE Additional informative references are included in the Bibliography.
190 EN 50124-1, Railway applications — Insulation coordination — Part 1: Basic requirements - Clearances and
191 creepage distances for all electrical and electronic equipment
192 EN 50125-1, Railway applications — Environmental conditions for equipment — Part 1: Rolling stock and
193 on-board equipment
194 EN 50125-3, Railway applications — Environmental conditions for equipment — Part 3: Equipment for
195 signalling and telecommunications
196 prEN 50126-1:2015, Railway Applications — The Specification and Demonstration of Reliability, Availability,
197 Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process
198 prEN 50126-2:2015, Railway Applications — The Specification and Demonstration of Reliability, Availability,
199 Maintainability and Safety (RAMS) — Part 2: Systems Approach to Safety
200 CLC/TR 50126-3, Railway applications — The specification and demonstration of Reliability, Availability,
201 Maintainability and Safety (RAMS) — Part 3: Guide to the application of EN 50126-1 for rolling stock RAM
202 EN 50128, Railway applications — Communication, signalling and processing systems — Software for
203 railway control and protection systems
204 EN 60664-1, Insulation coordination for equipment within low-voltage systems - Part 1: Principles,
205 requirements and tests (IEC 60664-1)
206 EN 61508-7:2010, Functional safety of electrical/electronic/programmable electronic safety-related
207 systems — Part 7: Overview of techniques and measures (IEC 61508-7:2010, modified)
208 3 Terms, definitions and abbreviations
209 3.1 Terms and definitions
210 For the purposes of this document, the following terms and definitions apply.
211 3.1.1
212 accident
213 unintended event or series of events that results in death, injury, loss of a system or service, or
214 environmental damage
215 [SOURCE: IEC 60050-821: CDV2015, 821-12-02]
216 3.1.2
217 availability
218 ability of an item to be in a state to perform a required function under given conditions at a given instant of
219 time or over a given time interval
220 [SOURCE: IEC 60050-821: CDV2015, 821-05-82, modified]
221 3.1.3
222 causal analysis
223 analysis of the reasons how and why a particular hazard can come into existence
224 3.1.4
225 common-cause failure
226 failures of different items resulting from the same cause where these failures are not consequences of each
227 other
228 [SOURCE: IEC 60050-821: CDV2015, 821-12-10]
8

---------------------- Page: 10 ----------------------
oSIST prEN 50129:2017
prEN 50129:2016
229 3.1.5
230 configuration
231 structuring and interconnection of the hardware and software of a system for its intended application
232 [SOURCE: IEC 60050-821: CDV2015, 821-12-12]
233 3.1.6
234 consequence analysis
235 analysis of events which are likely to happen after a hazard has occurred
236 [SOURCE: IEC 60050-821: CDV2015, 821-12-14]
237 3.1.7
238 cross-acceptance
239 status achieved by a product that has been accepted by one authority to the relevant standards and is
240 acceptable to other authorities without the necessity for further assessment
241 [SOURCE: IEC 60050-821: CDV2015, 821-12-15]
242 3.1.8
243 design
244 activity applied in order to analyse and transform specified requirements into acceptable solutions
245 [SOURCE: IEC 60050-821: CDV2015, 821-12-16, modified]
246 3.1.9
247 diversity
248 existence of two or more different ways or means of achieving a specified objective
249 Note 1 to entry: Diversity is specifically provided as a defence against common cause failure. It can be achieved by providing
250 systems that are physically different from each other or by functional diversity, where similar systems achieve the specified objective
251 in different ways.
252 [SOURCE: IEC 60050-395:2014, 395-07-115]
253 3.1.10
254 DC fault model
255 fault category that includes the following failure modes: stuck-at faults, stuck-open, open or high impedance
256 outputs as well as short circuits between signal lines, and for integrated circuits, short circuit between any
257 two connections (pins)
258 [SOURCE: EN 61508-2:2010, modified]
259 3.1.11
260 electronic component
261 electronic device that cannot be taken apart without destruction or impairment of its intended use
262 Note 1 to entry: Electronic components are for instance resistors, capacitors, diodes, integrated circuits, hy
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.