SIST EN 50126-2:2018
(Main)Railway Applications - The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) - Part 2: Systems Approach to Safety
Railway Applications - The Specification and Demonstration of Reliability, Availability, Maintainability and Safety (RAMS) - Part 2: Systems Approach to Safety
Part 2 of EN 50126
* considers the safety-related generic aspects of the RAMS life-cycle. The guidance in this part is still applicable in the application of specific standards;
* defines methods and tools which are independent of the actual technology of the systems and subsystems;
* provides:
- the user of the standard with the understanding of the system approach to safety which is a key concept of EN 50126;
- methods to derive the safety requirements and their safety integrity requirements for the system and to apportion them to the subsystems;
- methods to derive the safety integrity levels (SIL) for the safety related electronic functions. Note that this standard does not allow the allocation of safety integrity levels to non-electronic functions.
* provides guidance and methods for the following areas:
- system life-cycles;
- systems safety assurance;
- risk assessment process;
- risk management process;
- application of risk acceptance principles and criteria;
- safety integrity concept.
* provides the user with the methods to assure safety with respect to the system under consideration and its interactions;
* provides guidance about the definition of the system under consideration, including identification of the interfaces and the interactions of this system with its subsystems or other systems, in order to conduct the risk analysis;
* addresses railway specifics;
* does not define:
- RAMS targets targets, quantities, requirements or solutions for specific railway applications;
- rules or processes pertaining to the certification of railway products against the requirements of this standard;
- an approval process by the safety authority.
* does not specify requirements for ensuring system security.
This part 2 of EN 50126 is applicable
* to all systems under consideration - as regards safety - within the entire railway system and the stakeholders involved;
* to the specification and demonstration of safety for all railway applications and at all levels of such an application, as appropriate, from complete railway systems to major systems and to individual and combined sub-systems and components within these major systems, including those containing software; in particular:
- to new systems;
- to new systems integrated into existing systems accepted prior to the creation of this standard, but only to the extent and insofar as the new system with the new functionality is being integrated. It is otherwise not applicable to any unmodified aspects of the existing system;
- as far as reasonably practicable, to modifications and extensions of existing systems accepted prior to the creation of this standard, but only to the extent and insofar as existing systems are being modified. it is otherwise not applicable to any unmodified aspect of the existing system;
- at all relevant phases of the life-cycle of an application;
- for use by railway duty holders and the railway suppliers.
It is not required to apply this standard to existing systems including those systems already compliant with any version of former EN 50126, which remain unmodified. Railway applications mean Command, Control & Signalling, Rolling Stock and Fixed Installations.
Bahnanwendungen - Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und Sicherheit (RAMS) - Teil 2: Systembezogene Sicherheitsmethodik
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité et de la sécurité (FDMS) - Partie 2: Approche systématique pour la sécurité
La présente Partie 2 de l'EN 50126 :
- prend en considération les aspects génériques relatifs à la sécurité du cycle de vie FDMS ;
- définit les méthodes et les outils qui sont indépendants de la technologie des systèmes et sous systèmes ;
- fournit :
- une présentation de l'approche systématique pour la sécurité, un concept clé de l'EN 50126 ;
- les méthodes pour déterminer les exigences de sécurité et leurs exigences d'intégrité de sécurité concernant le système et pour les allouer aux différents sous-systèmes ;
- les méthodes pour déterminer les niveaux d'intégrité de sécurité (SIL) pour les fonctions électroniques relatives à la sécurité. La présente norme ne permet pas l'allocation de niveaux d'intégrité de sécurité aux fonctions non électroniques.
- fournit des lignes directrices et des méthodes concernant :
- le processus de sécurité ;
- la démonstration et l'acceptation de la sécurité ;
- l'organisation et l'indépendance des rôles ;
- l'appréciation du risque ;
- la spécification des exigences de sécurité ;
- l'allocation des exigences de sécurité fonctionnelle ;
- la conception et la réalisation.
- fournit à l'utilisateur les méthodes permettant d'assurer la sécurité à l'égard du système en cours d'examen et de ses interactions ;
- fournit des lignes directrices sur la définition du système en cours d'examen, y compris l'identification des interfaces et interactions du système avec ses sous-systèmes ou d'autres systèmes afin de réaliser l'analyse du risque ;
- ne définit pas :
- les objectifs de FDMS ni les grandeurs, les exigences ou les solutions pour des applications ferroviaires spécifiques ;
- les règles ou les processus de certification des produits ferroviaires vis-à-vis des exigences de la présente norme ;
- un processus d'homologation par l'autorité de tutelle en matière de sécurité.
La présente Partie 2 de l'EN 50126 s'applique aux domaines d'application ferroviaire, à savoir Contrôle commande et Signalisation, Matériel Roulant et Installations Fixes, et spécifiquement :
- à la spécification et à la démonstration des exigences de sécurité pour toute application ferroviaire et à tout niveau d'une telle application, selon le cas, allant des systèmes ferroviaires complets aux grands systèmes et aux sous-systèmes et équipements (individuels et combinés) de ces grands systèmes, y compris ceux qui comportent des logiciels. Elle est notamment applicable :
- aux nouveaux systèmes ;
- aux nouveaux systèmes intégrés dans des systèmes préexistants acceptés, mais seulement dans la mesure où, et dans la façon dont le nouveau système comprenant la nouvelle fonctionnalité y est intégré. Elle n'est sinon pas applicable aux parties inchangées du système existant ;
- dans toute la mesure du possible, aux modifications et extensions des systèmes préexistants qui ont été acceptés avant la création de la présente norme, mais seulement dans la mesure où et si les systèmes existants ont été modifiés. Elle n'est sinon pas applicable aux parties inchangées du système existant ;
- à toutes les phases concernées du cycle de vie d'une application donnée ;
- à l'utilisation des sociétés d'exploitation ferroviaire et des industries ferroviaires.
Il n'est pas nécessaire d'appliquer la présente norme aux systèmes existants qui ne sont pas modifiés, y compris ceux déjà conformes à toute version antérieure de l'EN 50126.
Le processus défini par la présente Norme européenne part du principe que les sociétés d'exploitation et les industries ferroviaires ont développé au niveau de l'entreprise des politiques de Qualité, Performances et Sécurité. L'approche définie dans la présente norme est en accord avec l'application des exigences de management de la qualité de l'EN ISO 9001.
Železniške naprave - Specifikacija in prikaz zanesljivosti, razpoložljivosti, vzdrževalnosti in varnosti (RAMS) - 2. del: Sistemski pristop k varnosti
2. del standarda EN 50126:
* obravnava splošne varnostne vidike življenjskega cikla RAMS. Vodilo v tem delu se še vedno uporablja za določene standarde;
* določa metode in orodja, ki so neodvisni od dejanske tehnologije sistemov in podsistemov;
* podaja:
– uporabniku standarda pojasnila sistemskega pristopa k varnosti, kar je ključni koncept standarda EN 50126;
– metode za izpeljavo varnostnih zahtev in zahtev glede varnostne celovitosti sistema ter za njihovo porazdelitev med podsisteme;
– metode za izpeljavo stopnje varnostne celovitosti (SIL) za elektronske funkcije, povezane z varnostjo. Upoštevajte, da ta standard ne dovoljuje dodeljevanja stopnje varnostne celovitosti neelektronskim funkcijam;
* podaja smernice in metode za naslednja področja:
– življenjski cikli sistema;
– zagotavljanje varnosti sistema;
– proces ocene tveganja;
– proces upravljanja tveganja;
– uporaba načel in meril sprejemljivosti tveganja;
– koncept varnostne celovitosti;
* uporabniku zagotavlja metode za zagotavljanje varnosti v povezavi z obravnavanim sistemom in njegovimi medsebojnimi vplivi;
* podaja smernice glede opredelitve obravnavanega sistema, vključno z identifikacijo vmesnikov in interakcij tega sistema z njegovimi podsistemi ali drugimi sistemi za izvedbo analize tveganja;
* obravnava posebnosti železniških naprav;
* ne določa:
– ciljev, količin, zahtev ali rešitev RAMS za določene železniške naprave;
– pravil ali procesov, ki se nanašajo na certificiranje železniških proizvodov na podlagi zahtev tega standarda;
– procesa odobritve organa za varnost;
* ne določa zahtev za zagotavljanje varnosti sistema.
2. del standarda EN 50126 se uporablja za:
* vse obravnavane sisteme (v povezavi z varnostjo) v okviru celotnega železniškega sistema in vpletenih interesnih strani;
* specifikacijo in prikaz varnosti za vse uporabe železniških naprav in na vseh ravneh take uporabe, kot je ustrezno, od celotnih železniških sistemov do večjih sistemov in posameznih ter združenih podsistemov in komponent v teh večjih sistemih, vključno s tistimi, ki vsebujejo programsko opremo; še zlasti:
– pri novih sistemih;
– pri novih sistemih, ki so vgrajeni v obstoječe sisteme, sprejete pred nastankom tega standarda, vendar le v obsegu in v kolikor gre za vgradnjo novega sistema z novo funkcionalnostjo. V nasprotnem primeru se ne uporablja za noben nespremenjen vidik obstoječega sistema;
– v kolikor je smiselno, pri spremembah in razširitvah obstoječih sistemov, sprejetih pred nastankom tega standarda, vendar le v obsegu in v kolikor gre za spremembo obstoječih sistemov. V nasprotnem primeru se ne uporablja za noben nespremenjen vidik obstoječega sistema;
– vse ustrezne faze življenjskega cikla uporabe;
– za uporabo s strani nosilcev dolžnosti in dobaviteljev v železniškem prometu.
Uporaba tega standarda ni zahtevana za obstoječe sisteme, vključno s sistemi, ki so že v skladu s katero koli različico prejšnjega standarda EN 50126, ki ostanejo nespremenjeni. Izraz »železniške naprave« zajema upravljanje, vodenje, signaliziranje, vozna sredstva in nepremične naprave.
General Information
Relations
Buy Standard
Standards Content (Sample)
SLOVENSKI STANDARD
SIST EN 50126-2:2018
01-januar-2018
1DGRPHãþD
SIST-TP CLC/TR 50126-2:2007
Železniške naprave - Specifikacija in prikaz zanesljivosti, razpoložljivosti,
vzdrževalnosti in varnosti (RAMS) - 2. del: Sistemski pristop k varnosti
Railway Applications - The Specification and Demonstration of Reliability, Availability,
Maintainability and Safety (RAMS) - Part 2: Systems Approach to Safety
Bahnanwendungen - Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit und Sicherheit (RAMS) - Teil 2: Systembezogene Sicherheitsmethodik
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la disponibilité,
de la maintenabilité et de la sécurité (FDMS) - Partie 2: Approche systématique pour la
sécurité
Ta slovenski standard je istoveten z: EN 50126-2:2017
ICS:
03.120.01 Kakovost na splošno Quality in general
45.020 Železniška tehnika na Railway engineering in
splošno general
SIST EN 50126-2:2018 en
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
SIST EN 50126-2:2018
---------------------- Page: 2 ----------------------
SIST EN 50126-2:2018
EUROPEAN STANDARD EN 50126-2
NORME EUROPÉENNE
EUROPÄISCHE NORM
October 2017
ICS 45.020 Supersedes CLC/TR 50126-2:2007
English Version
Railway Applications - The Specification and Demonstration of
Reliability, Availability, Maintainability and Safety (RAMS) - Part
2: Systems Approach to Safety
Applications ferroviaires - Spécification et démonstration de Bahnanwendungen - Spezifikation und Nachweis von
la fiabilité, de la disponibilité, de la maintenabilité et de la Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und
sécurité (FDMS) - Partie 2: Approche systématique pour la Sicherheit (RAMS) - Teil 2: Systembezogene
sécurité Sicherheitsmethodik
This European Standard was approved by CENELEC on 2017-07-03. CENELEC members are bound to comply with the CEN/CENELEC
Internal Regulations which stipulate the conditions for giving this European Standard the status of a national standard without any alteration.
Up-to-date lists and bibliographical references concerning such national standards may be obtained on application to the CEN-CENELEC
Management Centre or to any CENELEC member.
This European Standard exists in three official versions (English, French, German). A version in any other language made by translation
under the responsibility of a CENELEC member into its own language and notified to the CEN-CENELEC Management Centre has the
same status as the official versions.
CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia, Cyprus, the Czech Republic,
Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia,
Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania, Serbia, Slovakia, Slovenia, Spain, Sweden,
Switzerland, Turkey and the United Kingdom.
European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
CEN-CENELEC Management Centre: Avenue Marnix 17, B-1000 Brussels
© 2017 CENELEC All rights of exploitation in any form and by any means reserved worldwide for CENELEC Members.
Ref. No. EN 50126-2:2017 E
---------------------- Page: 3 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
Contents Page
European foreword . 5
Introduction . 6
1 Scope . 7
2 Normative references. 8
3 Terms and definitions . 8
4 Abbreviations . 8
5 Safety process . 9
5.1 Risk assessment and hazard control . 9
5.2 A. Risk assessment . 10
5.2.1 General . 10
5.2.2 Conducting risk assessment . 11
5.3 B. Outcome of the risk assessment . 11
5.4 C. Hazard control . 11
5.5 D. Revision of risk assessment . 12
5.6 Responsibilities . 13
6 Safety demonstration and acceptance . 13
6.1 Introduction . 13
6.2 Safety demonstration and safety acceptance process . 13
6.3 Responsibility in managing the Safety Case . 17
6.4 Modifications after safety acceptance . 17
6.5 Dependencies between Safety Cases . 17
6.6 Relationship between safety cases and system architecture . 18
7 Organisation and Independence of Roles . 19
7.1 General . 19
7.2 Early phases of the lifecycle (phases 1 to 4) . 19
7.3 Later phases of the lifecycle (starting from phase 5) . 20
7.4 Personnel Competence. 21
8 Risk assessment . 22
8.1 Introduction . 22
8.2 Risk Analysis . 22
8.2.1 General . 22
8.2.2 The risk model . 22
8.2.3 Techniques for the consequence analysis . 24
8.2.4 Expert Judgement . 25
8.3 Risk acceptance principles and risk evaluation . 25
8.3.1 Use of Code of Practice . 25
8.3.2 Use of a reference system . 26
8.3.3 Use of Explicit Risk Estimation. 27
8.4 Application of explicit risk estimation . 28
8.4.1 Quantitative approach . 28
8.4.2 Variability using quantitative risk estimates . 30
8.4.3 Qualitative and semi-quantitative approaches . 31
2
---------------------- Page: 4 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
9 Specification of System Safety Requirements . 32
9.1 General . 32
9.2 Safety requirements . 32
9.3 Categorization of Safety Requirements . 32
9.3.1 General . 32
9.3.2 Functional safety requirements . 33
9.3.3 Technical safety requirements . 34
9.3.4 Contextual safety requirements . 34
10 Apportionment of functional Safety Integrity requirements . 35
10.1 Deriving and apportioning system safety requirements . 35
10.2 Functional safety integrity for electronic systems . 35
10.2.1 Deriving functional safety requirements for electronic systems. 35
10.2.2 Apportioning safety requirements . 35
10.2.3 Safety Integrity Factors . 38
10.2.4 Functional safety integrity and random failures . 38
10.2.5 Systematic aspect of functional safety integrity . 38
10.2.6 Balanced requirements controlling random and systematic failures . 38
10.2.7 The SIL table . 39
10.2.8 SIL allocation . 40
10.2.9 Apportionment of TFFR after SIL allocation . 40
10.2.10 Demonstration of quantified targets . 40
10.2.11 Requirements for Basic Integrity . 41
10.2.12 Prevention of misuse of SILs . 42
10.3 Safety Integrity for non-electronic systems – Application of CoP . 42
11 Design and implementation . 43
11.1 Introduction . 43
11.2 Causal analysis . 43
11.3 Hazard identification (refinement) . 44
11.4 Common cause analysis . 44
Annex A (informative) ALARP, GAME, MEM . 46
A.1 ALARP, GAME, MEM as methods to define risk acceptance criteria . 46
A.2 ALARP (As Low As Reasonably Practicable) . 47
A.2.1 General . 47
A.2.2 Tolerability and ALARP . 48
A.3 Globalement Au Moins Equivalent (GAME) principle . 48
A.3.1 Principle . 48
A.3.2 Using GAME . 49
A.3.2.1 General . 49
A.3.2.2 Basic principles . 49
A.3.2.3 Using GAME to construct a qualitative safety argument . 49
A.3.2.4 GAME using quantitative risk targets . 49
A.4 Minimum Endogenous Mortality MEM . 50
Annex B (informative) Using failure and accident statistics to derive a THR . 52
Annex C (informative) Guidance on SIL Allocation . 53
Annex D (informative) Safety target apportionment methods . 55
D.1 Analysis of the system and methods . 55
3
---------------------- Page: 5 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
D.2 Example of qualitative apportionment method . 55
D.2.1 General . 55
D.2.2 Example of qualitative method for barrier efficiency . 56
D.3 Example of quantitative apportionment method . 58
D.3.1 Introduction . 58
D.3.2 Functions with independent failure detection and negation mechanisms . 59
D.3.3 Function and independent barrier acting as failure detection and negation
mechanism . 61
D.3.4 Apportionment of a probability safety target . 62
D.3.5 Apportionment of a “per hour” safety target . 62
Annex E (informative) Common mistakes in quantification . 64
E.1 Common misuses . 64
E.2 Mixing failure rates with probabilities . 64
E.3 Using formulas out of their range of applicability . 65
Annex F (informative) Techniques / methods for safety analysis . 66
Annex G (informative) Key system safety roles and responsibilities. 69
Annex ZZ (informative) Relationship between this European Standard and the Essential
Requirements of EU Directive 2008/57/EC . 73
Bibliography . 77
4
---------------------- Page: 6 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
European foreword
This document (EN 50126-2:2017) has been prepared by CLC/TC 9X "Electrical and electronic applications
for railways".
The following dates are fixed:
• latest date by which this document has (dop) 2018-07-03
to be implemented at national level by
publication of an identical national
standard or by endorsement
• latest date by which the national (dow) 2020-07-03
standards conflicting with this document
have to be withdrawn
This document supersedes CLC/TR 50126-2:2007.
The former edition of CLC/TR 50126-2:2007 is made obsolete by the new editions EN 50126-1:2017 and
EN 50126-2:2017; the reason is that the scope of the present part was modified compared to the
superseded edition.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. CENELEC shall not be held responsible for identifying any or all such patent rights.
EN 50126 "Railway applications – The specification and demonstration of Reliability, Availability,
Maintainability and Safety (RAMS)" consists of the following parts:
– Part 1: Generic RAMS process;
– Part 2: System approach to safety.
This document has been prepared under a mandate given to CENELEC by the European Commission and
the European Free Trade Association, and supports essential requirements of EU Directive(s).
For the relationship with EU Directive(s) see informative Annex ZZ, which is an integral part of this
document.
5
---------------------- Page: 7 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
Introduction
EN 50126-1:1999 was aiming at introducing the application of a systematic RAMS management process
in the railway sector. Through the application of this standard and the experiences gained over the last
years, the need for revision and restructuring became apparent with a need to deliver a systematic and
coherent approach to RAMS applicable to all the railway application fields Command, Control and
Signalling, Rolling Stock and Fixed Installations.
The revision work improved the coherency and consistency of the standards, the concept of safety
management and the practical usage of EN 50126 and took into consideration the existing and related
Technical Reports as well.
This European Standard provides railway duty holders and the railway suppliers, throughout the European
Union, with a process which will enable the implementation of a consistent approach to the management
of reliability, availability, maintainability and safety, denoted by the acronym RAMS.
Processes for the specification and demonstration of RAMS requirements are cornerstones of this
standard. This European Standard promotes a common understanding and approach to the management
of RAMS.
EN 50126 forms part of the railway sector specific application of IEC 61508. Meeting the requirements in
this European Standard together with the requirements of other suitable standards is sufficient to ensure
that additional compliance to IEC 61508 does not need to be demonstrated.
With regard to safety, EN 50126-1 provides a Safety Management Process which is supported by guidance
and methods described in EN 50126-2.
EN 50126-1 and EN 50126-2 are independent from the technology used. As far as safety is concerned,
EN 50126 takes the perspective of safety with a functional approach.
The application of this standard should be adapted to the specific requirements for the system under
consideration.
This European Standard can be applied systematically by the railway duty holders and railway suppliers,
throughout all phases of the life-cycle of a railway application, to develop railway specific RAMS
requirements and to achieve compliance with these requirements. The systems-level approach developed
by this European Standard facilitates assessment of the RAMS interactions between elements of railway
applications even if they are of complex nature.
This European Standard promotes co-operation between the stakeholders of Railways in the achievement
of an optimal combination of RAMS and cost for railway applications. Adoption of this European Standard
will support the principles of the European Single Market and facilitate European railway inter-operability.
1)
In accordance with CENELEC editing rules , mandatory requirements in this standard are indicated with
the modal verb “shall”. Where justifiable, the standard permits process tailoring.
Specific guidance on the application of this standard for Safety aspects is provided in EN 50126-2.
EN 50126-2 provides various methods for use in the safety management process. Where a particular
method is selected for the system under consideration, the mandatory requirements of this method are by
consequence mandatory for the safety management of the system under consideration.
This European Standard consists of the main part (Clause 1 to Clause 11) and Annexes A, B, C, D, E, F,
G and ZZ. The requirements defined in the main part of the standard are normative, whilst Annexes are
informative.
—————————
1) CEN/CENELEC Internal Regulations Part 3: Rules for the structure and drafting of CEN/CENELEC Publications
(2017-02), Annex H.
6
---------------------- Page: 8 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
1 Scope
This part 2 of EN 50126
• considers the safety-related generic aspects of the RAMS life-cycle;
• defines methods and tools which are independent of the actual technology of the systems and
subsystems;
• provides:
– the user of the standard with the understanding of the system approach to safety which is a key
concept of EN 50126;
– methods to derive the safety requirements and their safety integrity requirements for the system
and to apportion them to the subsystems;
– methods to derive the safety integrity levels (SIL) for the safety-related electronic functions.
NOTE This standard does not allow the allocation of safety integrity levels to non-electronic functions.
• provides guidance and methods for the following areas:
– safety process;
– safety demonstration and acceptance;
– organisation and independence of roles;
– risk assessment;
– specification of safety requirements;
– apportionment of functional safety requirements;
– design and implementation.
• provides the user of this standard with the methods to assure safety with respect to the system under
consideration and its interactions;
• provides guidance about the definition of the system under consideration, including identification of the
interfaces and the interactions of this system with its subsystems or other systems, in order to conduct
the risk analysis;
• does not define:
– RAMS targets, quantities, requirements or solutions for specific railway applications;
– rules or processes pertaining to the certification of railway products against the requirements of
this standard;
– an approval process by the safety authority.
This part 2 of EN 50126 is applicable to railway applications fields, namely Command, Control and
Signalling, Rolling Stock and Fixed Installations, and specifically:
• to the specification and demonstration of safety for all railway applications and at all levels of such an
application, as appropriate, from complete railway systems to major systems and to individual and
7
---------------------- Page: 9 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
combined sub-systems and components within these major systems, including those containing
software, in particular:
– to new systems;
– to new systems integrated into existing systems already accepted, but only to the extent and
insofar as the new system with the new functionality is being integrated. It is otherwise not
applicable to any unmodified aspects of the existing system;
– as far as reasonably practicable, to modifications and extensions of existing systems accepted
prior to the creation of this standard, but only to the extent and insofar as existing systems are
being modified. It is otherwise not applicable to any unmodified aspect of the existing system;
• at all relevant phases of the life-cycle of an application;
• for use by railway duty holders and the railway suppliers.
It is not required to apply this standard to existing systems which remain unmodified, including those
systems already compliant with any former version of EN 50126.
The process defined by this European Standard assumes that railway duty holders and railway suppliers
have business-level policies addressing Quality, Performance and Safety. The approach defined in this
standard is consistent with the application of quality management requirements contained within EN
ISO 9001.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are
indispensable for its application. For dated references, only the edition cited applies. For undated
references, the latest edition of the referenced document (including any amendments) applies.
EN 50126-1:2017, Railway Applications — The Specification and Demonstration of Reliability, Availability,
Maintainability and Safety (RAMS) — Part 1: Generic RAMS Process
3 Terms and definitions
For the purposes of this document, the terms and definitions given in EN 50126-1 apply.
4 Abbreviations
ALARP As Low As Reasonable Practicable
CBA Cost Benefit Analysis
CCF Common Cause Failure (Analysis)
CoP Code of Practice
COTS Commercial Off-The-Shelf
DRA Differential Risk Aversion
ERE Explicit Risk Estimation
EMC Electromagnetic compatibility
ETA Event Tree Analysis
FMECA Failure Mode Effect & Criticality Analysis
FTA Fault Tree Analysis
GA Generic Application
GASC Generic Application Safety Case
8
---------------------- Page: 10 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
GP Generic Product
GPSC Generic Product Safety Case
GAME Globalement Au Moins Equivalent
HAZOP Hazard and Operability study
IM Infrastructure Manager
LRU Line Replaceable Unit
MEM Minimum Endogenous Mortality
RAC Risk Acceptance Criterion
RAMS Reliability, Availability, Maintainability, Safety
RAP Risk Acceptance Principle
RBD Reliability Block Diagram
RRA Rapid Ranking Analysis
RU Railway Undertaking
SA Specific Application
SASC Specific Application Safety Case
SDR Safe Down Rate
SDT Safe Down Time
SIL Safety Integrity Level
SRAC Safety-Related Application Conditions
TFFR Tolerable Functional Failure Rate
THR Tolerable Hazard Rate
5 Safety process
5.1 Risk assessment and hazard control
In this sub-clause, the Hourglass Model is introduced: it offers a simplified approach that, although not
containing all aspects implied in the life-cycle model, helps to clarify some issues.
The Hourglass Model provides an overview of the major safety-related activities that are needed to ensure
an acceptable safety level for a technical system, including the corresponding responsibility areas.
Technical system means a product or an assembly of products including the design, implementation and
support documentation. The development of a technical system starts with its requirements specification
and ends with its acceptance. The design of relevant interfaces considering interactions with human
operators and their behaviour is considered, while human operators themselves and their actions are not
included in a technical system. Both the maintenance process (described in the maintenance manuals) and
the operation are specified but are not considered parts of the technical system itself. They can be restricted
by “application conditions”.
The purpose of this model is to highlight the separation between risk analysis as part of risk assessment
(at the railway system level) from hazard analysis as part of hazard control (at the level of the system under
consideration).
This enhances co-operation between the relevant stakeholders, clarifying responsibilities and interfaces
and has the advantages of reducing complexity and facilitating modularization.
The Hourglass Model describes two main aspects:
• risk assessment, deriving safety requirements for operational and technical issues (including
maintenance), and
9
---------------------- Page: 11 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (E)
• hazard control, satisfying given functional safety requirements coming from upper levels by
determining and analysing causes and designing and implementing control measures.
Risk Assessment
Note: during each
Railway Duty Holder‘s
project
A
System Definition
responsibility
Risk Analysis, including:
• Hazard Identification
• Consequence Analysis
• Selection of RAP
Risk Evaluation
B
System Requirements Specification
List of identified hazards with
Note. During each
associated safety measures
project,
D
Safety Requirements: responsibilities are
• Additional
clarified
• Selected Codes of Practice
hazards
unambiguously in
• Objectives from ERE
• Application
order to avoid
• Reference systems specifications
Conditions
gaps or undesired
overlaps
C
Hazard Analysis
• Causal Analysis
• Hazard Identification
(refinement)
• Common Cause Analysis
Demonstration of Compliance
Supplier’s
responsibility
Hazard Control
Figure 1 — The Hourglass Model
NOTE Part A (Risk Assessment) is associated with phases 1 to 3 in the life-cycle as depicted in Figure 4 in
EN 50126-1:2017. Part B corresponds to phase 4 and part C to phases 5 to 9. Part D shows the “feedback of
subsequent hazard identification into risk analysis” (see Figure 4 in EN 50126-1:2017).
5.2 A. Risk assessment
5.2.1 General
Risk assessment is performed at the railway system level.
It relies on a System Definition and includes Risk analysis and Risk evaluation.
It defines the high level syste
...
SLOVENSKI STANDARD
SIST EN 50126-2:2018
01-januar-2018
Nadomešča:
SIST-TP CLC/TR 50126-2:2007
Železniške naprave - Specifikacija in prikaz zanesljivosti, razpoložljivosti,
vzdrževalnosti in varnosti (RAMS) - 2. del: Sistemski pristop k varnosti
Railway Applications - The Specification and Demonstration of Reliability, Availability,
Maintainability and Safety (RAMS) - Part 2: Systems Approach to Safety
Bahnanwendungen - Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit und Sicherheit (RAMS) - Teil 2: Systembezogene Sicherheitsmethodik
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la disponibilité,
de la maintenabilité et de la sécurité (FDMS) - Partie 2: Approche systématique pour la
sécurité
Ta slovenski standard je istoveten z: EN 50126-2:2017
ICS:
03.120.01 Kakovost na splošno Quality in general
45.020 Železniška tehnika na Railway engineering in
splošno general
SIST EN 50126-2:2018 en,fr
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
SIST EN 50126-2:2018
---------------------- Page: 2 ----------------------
SIST EN 50126-2:2018
EN 50126-2
NORME EUROPÉENNE
EUROPÄISCHE NORM
EUROPEAN STANDARD
Octobre 2017
ICS 45.020 Remplace CLC/TR 50126-2:2007
Version française
Applications ferroviaires - Spécification et démonstration de la
fiabilité, de la disponibilité, de la maintenabilité et de la sécurité
(FDMS) - Partie 2: Approche systématique pour la sécurité
Bahnanwendungen - Spezifikation und Nachweis von Railway Applications - The Specification and Demonstration
Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und of Reliability, Availability, Maintainability and Safety (RAMS)
Sicherheit (RAMS) - Teil 2: Systembezogene - Part 2: Systems Approach to Safety
Sicherheitsmethodik
La présente Norme Européenne a été adoptée par le CENELEC le 2017-07-03. Les membres du CENELEC sont tenus de se soumettre au
Règlement Intérieur du CEN/CENELEC, qui définit les conditions dans lesquelles doit être attribué, sans modification, le statut de norme
nationale à cette Norme Européenne.
Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être obtenues auprès du CEN-
CENELEC Management Centre ou auprès des membres du CENELEC.
La présente Norme Européenne existe en trois versions officielles (allemand, anglais, français). Une version dans une autre langue faite par
traduction sous la responsabilité d'un membre du CENELEC dans sa langue nationale, et notifiée au CEN-CENELEC Management Centre,
a le même statut que les versions officielles.
Les membres du CENELEC sont les comités électrotechniques nationaux des pays suivants: Allemagne, Ancienne République yougoslave
de Macédoine, Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande,
Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal, République de Serbie, République Tchèque,
Roumanie, Royaume-Uni, Slovaquie, Slovénie, Suède, Suisse et Turquie.
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
European Committee for Electrotechnical Standardization
CEN-CENELEC Management Centre: Avenue Marnix 17, B-1000 Bruxelles
© 2017 CENELEC Tous droits d'exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde entier aux
membres du CENELEC.
Réf. n° EN 50126-2:2017 F
---------------------- Page: 3 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
Sommaire
Page
Avant-propos européen .5
Introduction .6
1 Domaine d'application .7
2 Références normatives .8
3 Termes et définitions .8
4 Abréviations .9
5 Processus de sécurité . 10
5.1 Appréciation du risque et maîtrise des situations dangereuses . 10
5.2 A. Appréciation du risque . 11
5.2.1 Généralités . 11
5.2.2 Réalisation de l'appréciation du risque . 12
5.3 B. Résultats de l'appréciation du risque . 12
5.4 C. Maîtrise des situations dangereuses . 12
5.5 D. Révision de l'appréciation du risque . 14
5.6 Responsabilités . 14
6 Démonstration et acceptation de la sécurité . 14
6.1 Introduction . 14
6.2 Processus de démonstration et d'acceptation de la sécurité . 15
6.3 Responsabilité de gestion du dossier de sécurité . 18
6.4 Modifications après l'acceptation de la sécurité . 18
6.5 Dépendances entre les dossiers de sécurité . 18
6.6 Relation entre les dossiers de sécurité et l'architecture système . 19
7 Organisation et indépendance des rôles . 20
7.1 Généralités . 20
7.2 Phases précoces du cycle de vie (phases 1 à 4) . 21
7.3 Phases ultérieures du cycle de vie (à partir de la phase 5) . 22
7.4 Compétences du personnel . 23
8 Appréciation du risque . 24
8.1 Introduction . 24
8.2 Analyse du risque . 24
8.2.1 Généralités . 24
8.2.2 Modèle de risque. 24
8.2.3 Techniques d'analyse des conséquences . 27
8.2.4 Expertise . 27
8.3 Principes d'acceptation du risque et évaluation du risque . 28
8.3.1 Utilisation du code de bonne pratique . 28
8.3.2 Utilisation d'un système de référence . 29
8.3.3 Utilisation de l'estimation du risque explicite . 29
8.4 Application de l'estimation du risque explicite . 31
8.4.1 Approche quantitative . 31
8.4.2 Variabilité sur la base des estimations du risque quantitatives . 34
8.4.3 Approches qualitatives et semi-quantitatives . 36
9 Spécification des exigences de sécurité du système . 36
9.1 Généralités . 36
9.2 Exigences de sécurité . 36
9.3 Classification des exigences de sécurité . 37
9.3.1 Généralités . 37
2
---------------------- Page: 4 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
9.3.2 Exigences de sécurité fonctionnelle . 37
9.3.3 Exigences de sécurité technique . 38
9.3.4 Exigences de sécurité contextuelle . 39
10 Allocation des exigences d'intégrité de sécurité fonctionnelle . 39
10.1 Détermination et allocation des exigences de sécurité du système . 39
10.2 Intégrité de sécurité fonctionnelle des systèmes électroniques. 40
10.2.1 Détermination des exigences de sécurité fonctionnelle des systèmes électroniques . 40
10.2.2 Allocation des exigences de sécurité . 40
10.2.3 Facteurs d'intégrité de sécurité . 43
10.2.4 Intégrité de sécurité fonctionnelle et défaillances aléatoires . 43
10.2.5 Aspect systématique de l'intégrité de sécurité fonctionnelle . 44
10.2.6 Equilibre des exigences contrôlant les défaillances aléatoires et systématiques . 44
10.2.7 Tableau des SIL . 45
10.2.8 Allocation des SIL . 46
10.2.9 Allocation du TFFR après affectation des SIL . 46
10.2.10 Démonstration des objectifs quantifiés . 46
10.2.11 Exigences d'intégrité de base . 47
10.2.12 Prévention de la mauvaise utilisation des SIL . 48
10.3 Intégrité de sécurité des systèmes non électroniques — Application d'un code de bonne
pratique. 48
11 Conception et réalisation. 50
11.1 Introduction . 50
11.2 Analyse des causes . 50
11.3 Identification dangers (affinage) . 51
11.4 Analyse des causes communes . 51
Annexe A (informative) Présentation des principes ALARP, GAME et MEM . 53
A.1 Utilisation des méthodes ALARP, GAME et MEM pour définir les critères d'acceptation du
risque . 53
A.2 Principe ALARP (aussi bas que cela est raisonnablement possible) . 54
A.2.1 Généralités . 54
A.2.2 Acceptabilité et ALARP . 55
A.3 Principe GAME (globalement au moins équivalent) . 55
A.3.1 Principe. 55
A.3.2 Utilisation du principe GAME . 56
A.4 Principe MEM (mortalité endogène minimale). 57
Annexe B (informative) Utilisation des statistiques de défaillances et d'accidents pour
déterminer un THR . 59
Annexe C (informative) Lignes directrices relatives à l'allocation des SIL . 61
Annexe D (informative) Méthodes d'allocation des objectifs de sécurité . 63
D.1 Analyse du système et des méthodes . 63
D.2 Exemple de méthode d'allocation qualitative . 63
D.2.1 Généralités . 63
D.2.2 Exemple de méthode qualitative pour l'efficience de la barrière . 64
D.3 Exemple de méthode d'allocation quantitative . 66
D.3.1 Introduction . 66
D.3.2 Fonctions avec mécanismes indépendants de détection et de passivation des
défaillances . 68
D.3.3 Fonction et barrière indépendante faisant office de mécanisme de détection et de
passivation des défaillances . 69
D.3.4 Allocation d'un objectif de sécurité de probabilité . 71
D.3.5 Allocation d'un objectif de sécurité « par heure » . 71
Annexe E (informative) Erreurs courantes de quantification . 73
E.1 Cas courants de mauvaise utilisation . 73
E.2 Confusion entre taux et probabilités de défaillance . 73
E.3 Utilisation des formules hors de leur plage d'applicabilité . 74
Annexe F (informative) Techniques/méthodes d'analyse de sécurité . 75
3
---------------------- Page: 5 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
Annexe G (informative) Rôles et responsabilités essentielles de la sécurité du système . 78
Annexe ZZ (informative) Relation entre la présente Norme européenne et les exigences
essentielles concernées de la Directive européenne 2008/57/CE . 83
Bibliographie . 87
4
---------------------- Page: 6 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
Avant-propos européen
Le présent document (EN 50126-2:2017) a été élaboré par le Comité Technique CLC/TC 9X « Applications
électriques et électroniques dans le domaine ferroviaire ».
Les dates suivantes sont fixées :
• date limite à laquelle ce document doit être mis (dop) 2018-07-03
en application au niveau national par publication
d'une norme nationale identique ou par
entérinement
• date limite à laquelle les normes nationales en (dow) 2020-07-03
contradiction avec ce document doivent être
annulées
Le présent document remplace le CLC/TR 50126-2:2007.
La précédente édition du CLC/TR 50126-2:2007 est rendue obsolète par les nouvelles éditions EN 50126-
1:2017 et EN 50126-2:2017 ; la raison en est que le domaine d’application de la présente partie a été
modifiée comparée à la version remplacée.
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits
attachés à des brevets. Le CENELEC ne saurai(en)t être tenu(s) pour responsable(s) de ne pas avoir identifié
tout ou partie de tels droits attachés à des brevets.
L'EN 50126 « Applications ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la
maintenabilité et de la sécurité (FDMS) » comprend les parties suivantes :
— Partie 1 : Processus FDMS générique ;
— Partie 2 : Approche systématique pour la sécurité.
Le présent document a été préparé dans le cadre d'un mandat confié au CENELEC par la Commission
européenne et l'Association européenne de libre-échange et couvre les exigences essentielles de la (des)
directive(s) UE.
Pour la relation avec la (les) Directive(s) UE, voir l'Annexe ZZ, informative, qui fait partie intégrante du présent
document.
5
---------------------- Page: 7 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
Introduction
L'EN 50126-1:1999 visait à introduire l'application d'un processus systématique de management de la FDMS
dans le domaine ferroviaire. L'application de cette norme et l'expérience acquise au cours de ces dernières
années ont révélé la nécessité de mettre en œuvre une démarche de révision et de restructuration avec la
volonté d'établir une approche systématique et cohérente de la FDMS, applicable à tous les domaines
d'application ferroviaire : Contrôle-commande et Signalisation, Matériel Roulant et installations Fixes.
Le travail de révision a permis d'améliorer la cohérence et l'homogénéité de la norme, du concept de
management de la sécurité et de la mise en application de l'EN 50126 en tenant également compte des
Rapports techniques associés existants.
La présente Norme européenne fournit aux sociétés d'exploitation ferroviaire et aux industries ferroviaires de
l'ensemble de l'Union européenne un processus permettant de mettre en œuvre une démarche cohérente de
management de la fiabilité, de la disponibilité, de la maintenabilité et de la sécurité, désignée par l'acronyme
FDMS.
Les processus relatifs à la spécification et à la démonstration des exigences de FDMS sont les pierres
angulaires de la présente norme. La présente Norme européenne encourage une vision et une démarche
communes de management de la FDMS.
L'EN 50126 représente une partie de l'application spécifique au domaine ferroviaire de l'IEC 61508. La
satisfaction aux exigences de la présente Norme européenne ainsi qu'aux exigences d'autres normes
pertinentes suffit ; il n'est pas nécessaire de démontrer en plus la conformité à l'IEC 61508.
En ce qui concerne la sécurité, l’EN 50126-1 fournit un processus de management de la sécurité étayé par les
lignes directrices et les méthodes décrites dans l’EN 50126-2.
L’EN 50126-1 et l’EN 50126-2 ne sont pas liés à la technologie utilisée. En ce qui concerne la sécurité,
l'EN 50126 adopte la perspective de la sécurité avec une approche fonctionnelle.
Il convient d'adapter l'application de la présente norme aux exigences spécifiques pour le système en cours
d'examen.
La présente Norme européenne peut être systématiquement appliquée par les sociétés d'exploitation et les
industries ferroviaires tout au long des phases du cycle de vie d'une application ferroviaire afin de développer
des exigences de FDMS spécifiques au domaine ferroviaire et de satisfaire à ces exigences. L'approche
système définie par la présente Norme européenne facilite l'appréciation des interactions relatives à la FDMS
entre les éléments des applications ferroviaires, même si elles sont complexes.
La présente Norme européenne promeut la synergie entre les parties prenantes du domaine ferroviaire afin
de parvenir au meilleur compromis entre les performances de FDMS et les coûts des applications ferroviaires.
L'adoption de la présente Norme européenne s'inscrit dans le cadre du Marché unique européen et facilite
l'interopérabilité du réseau ferroviaire européen.
1)
Conformément aux règles de rédaction du CENELEC , les exigences à caractère obligatoire stipulées dans
la présente norme sont indiquées par la forme verbale « doit ». Sous réserve de justification, la norme
autorise l'adaptation des processus.
Des lignes directrices spécifiques à l'application de la présente norme en matière de sécurité sont données
dans l’EN 50126-2. L’EN 50126-2 spécifie différentes méthodes à utiliser dans le cadre du processus de
management de la sécurité. Lorsqu'une méthode particulière est retenue pour le système en cours d'examen,
les exigences obligatoires pour cette méthode sont par voie de conséquence obligatoires pour le
management de la sécurité du système en cours d'examen.
1) CEN/CENELEC « Règlement intérieur — Partie 3 : Règles de structure et de rédaction des publications
CEN/CENELEC (2017-02), Annexe H ».
6
---------------------- Page: 8 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
La présente Norme européenne comprend un corps principal (Articles 1 à 11) et les Annexes A, B, C, D, E, F,
G et ZZ. Les exigences définies dans le corps principal de la norme sont normatives, tandis que les annexes
sont informatives.
1 Domaine d'application
La présente Partie 2 de l'EN 50126 :
• prend en considération les aspects génériques relatifs à la sécurité du cycle de vie FDMS ;
• définit les méthodes et les outils qui sont indépendants de la technologie des systèmes et
sous-systèmes ;
• fournit :
une présentation de l'approche systématique pour la sécurité, un concept clé de l'EN 50126 ;
les méthodes pour déterminer les exigences de sécurité et leurs exigences d'intégrité de sécurité
concernant le système et pour les allouer aux différents sous-systèmes ;
les méthodes pour déterminer les niveaux d'intégrité de sécurité (SIL) pour les fonctions
électroniques relatives à la sécurité.
NOTE La présente norme ne permet pas l'allocation de niveaux d'intégrité de sécurité aux fonctions non électroniques.
• fournit des lignes directrices et des méthodes concernant :
le processus de sécurité ;
la démonstration et l'acceptation de la sécurité ;
l'organisation et l'indépendance des rôles ;
l'appréciation du risque ;
la spécification des exigences de sécurité ;
l'allocation des exigences de sécurité fonctionnelle ;
la conception et la réalisation.
• fournit à l'utilisateur de la présente norme les méthodes permettant d'assurer la sécurité à l'égard du
système en cours d'examen et de ses interactions ;
• fournit des lignes directrices sur la définition du système en cours d'examen, y compris l'identification des
interfaces et interactions du système avec ses sous-systèmes ou d'autres systèmes afin de réaliser
l'analyse du risque ;
• ne définit pas :
les objectifs de FDMS ni les grandeurs, les exigences ou les solutions pour des applications
ferroviaires spécifiques ;
les règles ou les processus de certification des produits ferroviaires vis-à-vis des exigences de la
présente norme ;
un processus d'homologation par l'autorité de tutelle en matière de sécurité.
7
---------------------- Page: 9 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
La présente Partie 2 de l'EN 50126 s'applique aux domaines d'application ferroviaire, à savoir
Contrôle-commande et Signalisation, Matériel Roulant et Installations Fixes, et spécifiquement :
• à la spécification et à la démonstration des exigences de sécurité pour toute application ferroviaire et à
tout niveau d'une telle application, selon le cas, allant des systèmes ferroviaires complets aux grands
systèmes et aux sous-systèmes et équipements (individuels et combinés) de ces grands systèmes, y
compris ceux qui comportent des logiciels. Elle est notamment applicable :
aux nouveaux systèmes ;
aux nouveaux systèmes intégrés dans des systèmes préexistants acceptés, mais seulement dans la
mesure où, et dans la façon dont le nouveau système comprenant la nouvelle fonctionnalité y est
intégré. Elle n'est sinon pas applicable aux parties inchangées du système existant ;
dans toute la mesure du possible, aux modifications et extensions des systèmes préexistants qui ont
été acceptés avant la création de la présente norme, mais seulement dans la mesure où et si les
systèmes existants ont été modifiés. Elle n'est sinon pas applicable aux parties inchangées du
système existant ;
• à toutes les phases concernées du cycle de vie d'une application donnée ;
• à l'utilisation des sociétés d'exploitation ferroviaire et des industries ferroviaires.
Il n'est pas nécessaire d'appliquer la présente norme aux systèmes existants qui ne sont pas modifiés, y
compris ceux déjà conformes à toute version antérieure de l'EN 50126.
Le processus défini par la présente Norme européenne part du principe que les sociétés d'exploitation et les
industries ferroviaires ont développé au niveau de l'entreprise des politiques de Qualité, Performances et
Sécurité. L'approche définie dans la présente norme est en accord avec l'application des exigences de
management de la qualité de l'EN ISO 9001.
2 Références normatives
Les documents suivants sont cités en référence de manière normative, en intégralité ou en partie, dans le
présent document et sont indispensables pour son application. Pour les références datées, seule l'édition
citée s'applique. Pour les références non datées, la dernière édition du document de référence s'applique (y
compris les éventuels amendements).
EN 50126-1:2017, Applications ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité,
de la maintenabilité et de la sécurité (FDMS) — Partie 1: Processus FDMS générique
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans le EN 501261 ainsi que les
suivants s'appliquent.
8
---------------------- Page: 10 ----------------------
SIST EN 50126-2:2018
EN 50126-2:2017 (F)
4 Abréviations
ALARP (As Low As Reasonable Practicable) Aussi bas que cela est raisonnablement possible
ACA Analyse coûts - avantages
CCF (Comm
...
SLOVENSKI STANDARD
oSIST prEN 50126-2:2015
01-november-2015
Železniške naprave - Specifikacija in prikaz zanesljivosti, razpoložljivosti,
vzdrževalnosti in varnosti (RAMS) - 2. del: Sistemski pristop k varnosti
Railway Applications - The Specification and Demonstration of Reliability, Availability,
Maintainability and Safety (RAMS) - Part 2: Systems Approach to Safety
Bahnanwendungen - Spezifikation und Nachweis von Zuverlässigkeit, Verfügbarkeit,
Instandhaltbarkeit und Sicherheit (RAMS) - Teil 2: Systembezogene Sicherheitsmethodik
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la disponibilité,
de la maintenabilité et de la sécurité (FDMS) - Partie 2: Approche systématique pour la
sécurité
Ta slovenski standard je istoveten z: prEN 50126-2:2015
ICS:
45.020 Železniška tehnika na Railway engineering in
splošno general
oSIST prEN 50126-2:2015 en,fr,de
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.
---------------------- Page: 1 ----------------------
oSIST prEN 50126-2:2015
---------------------- Page: 2 ----------------------
oSIST prEN 50126-2:2015
EUROPEAN STANDARD DRAFT
prEN 50126-2
NORME EUROPÉENNE
EUROPÄISCHE NORM
August 2015
ICS 45.020 Will supersede CLC/TR 50126-2:2007
English Version
Railway Applications - The Specification and Demonstration of
Reliability, Availability, Maintainability and Safety (RAMS) - Part
2: Systems Approach to Safety
Applications ferroviaires - Spécification et démonstration de Bahnanwendungen - Spezifikation und Nachweis von
la fiabilité, de la disponibilité, de la maintenabilité et de la Zuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit und
sécurité (FDMS) - Partie 2: Approche systématique pour la Sicherheit (RAMS) - Teil 2: Systembezogene
sécurité Sicherheitsmethodik
This draft European Standard is submitted to CENELEC members for enquiry.
Deadline for CENELEC: 2015-12-04.
It has been drawn up by CLC/TC 9X.
If this draft becomes a European Standard, CENELEC members are bound to comply with the CEN/CENELEC Internal Regulations which
stipulate the conditions for giving this European Standard the status of a national standard without any alteration.
This draft European Standard was established by CENELEC in three official versions (English, French, German).
A version in any other language made by translation under the responsibility of a CENELEC member into its own language and notified to
the CEN-CENELEC Management Centre has the same status as the official versions.
CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia, Cyprus, the Czech Republic,
Denmark, Estonia, Finland, Former Yugoslav Republic of Macedonia, France, Germany, Greece, Hungary, Iceland, Ireland, Italy, Latvia,
Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland,
Turkey and the United Kingdom.
Recipients of this draft are invited to submit, with their comments, notification of any relevant patent rights of which they are aware and to
provide supporting documentation.
Warning : This document is not a European Standard. It is distributed for review and comments. It is subject to change without notice and
shall not be referred to as a European Standard.
European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
CEN-CENELEC Management Centre: Avenue Marnix 17, B-1000 Brussels
© 2015 CENELEC All rights of exploitation in any form and by any means reserved worldwide for CENELEC Members.
Project: 60237 Ref. No. prEN 50126-2:2015 E
---------------------- Page: 3 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
1 Contents Page
2 Foreword . 5
3 Introduction . 6
4 1 Scope . 7
5 2 Normative references. 8
6 3 Terms and definitions . 8
7 4 Abbreviations . 8
8 5 Guidance on Safety process . 8
9 5.1 Risk Assessment and Hazard Control . 8
10 5.2 A. Risk Assessment . 9
11 5.2.1 General . 9
12 5.2.2 Gaining and sharing system knowledge . 10
13 5.2.3 Conducting risk assessment . 10
14 5.3 B. Outcome of the risk assessment . 10
15 5.4 C. Hazard control . 10
16 5.5 D. Revision of Risk Assessment . 11
17 5.6 Responsibilities . 12
18 6 Guidance on Safety Demonstration and Acceptance . 12
19 6.1 Introduction . 12
20 6.2 Safety acceptance process . 12
21 6.3 Modifications after safety acceptance . 14
22 6.4 Dependencies between Safety Cases . 15
23 6.5 Relationship between safety cases and system architecture . 15
24 7 Guidance on Organisation and Independence of Roles . 16
25 7.1 General . 16
26 7.2 Early phases of the lifecycle (Phases 1 - 4) . 16
27 7.3 Later phases of the lifecycle (starting from Phase 5) . 17
28 7.4 Personnel Competence. 19
29 8 Guidance for Risk Assessment . 20
30 8.1 Introduction . 20
31 8.2 Risk Analysis . 20
32 8.2.1 General . 20
33 8.2.2 The risk model . 20
34 8.2.3 Techniques for the consequence analysis . 22
35 8.2.4 Expert Judgement . 22
36 8.2.5 Use of Code of Practice . 23
37 8.2.6 Use of a similar system as reference . 24
38 8.2.7 Explicit Risk Estimation . 25
39 8.3 Guideline to the explicit risk estimation . 25
40 8.3.1 Quantitative approach . 25
41 8.3.2 Uncertainty in worst case risk estimates . 28
42 8.3.2.2 “Worst possible scenario” . 28
43 8.3.2.3 “Reasonable estimates” . 29
2
---------------------- Page: 4 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
44 8.3.2.4 “Reasonable worst case” . 29
45 8.3.3 Qualitative and semi-quantitative approaches . 29
46 8.4 Safety Integrity Concept . 29
47 9 Guidance on Specification of System Safety Requirements . 31
48 9.1 General . 31
49 9.2 Safety requirements . 31
50 9.3 Non-safety requirements . 31
51 9.4 Categorization of Safety Requirements . 31
52 9.4.2 Functional safety requirements . 32
53 9.4.3 Technical safety requirements . 32
54 9.4.4 Contextual safety requirements . 32
55 10 Guidance on Apportionment of functional Safety Integrity Requirements . 34
56 10.1 Deriving and apportioning system safety requirements . 34
57 10.2 Functional safety integrity for electronic systems . 34
58 10.2.1 Deriving functional safety requirements for electronic systems . 34
59 10.2.2 Apportioning safety requirements . 34
60 10.2.3 Safety Integrity Concept. 36
61 10.2.4 Random aspects of functional safety integrity . 37
62 10.2.5 Systematic aspect of functional safety integrity . 37
63 10.2.6 Combination of random and systematic aspects . 37
64 10.2.7 The SIL table . 38
65 10.2.8 SIL allocation . 39
66 10.2.9 Apportionment of TFFR . 39
67 10.2.10 Demonstration of quantified targets . 39
68 10.2.11 Requirements for Basic Integrity . 39
69 10.2.12 Prevention of misuse of SILs and warnings . 40
70 10.3 Safety Integrity for non-electronic systems – Guidance on application of CoP. 41
71 11 Guidance on Design and implementation . 42
72 11.1 Introduction . 42
73 11.2 Causal analysis . 42
74 11.3 Identification and treatment of additional hazards arising from design. 42
75 11.4 Functional Safety principles . 43
76 11.4.1 Functional composition . 43
77 11.4.2 Common cause analysis . 43
78 Annex A (intentionally left blank) . 45
79 Annex B (informative) ALARP, GAME, MEM . 46
80 Annex C (informative) Using failure and accident statistics to derive a THR . 53
81 Annex D (informative) Guidance on SIL Allocation . 54
82 Annex E (informative) Apportionment methods . 56
83 E.1 Analysis of the system and methods . 56
84 E.2 Example of qualitative apportionment method . 56
85 E.3 Example of quantitative apportionment method . 57
86 E.3.1 Functions with independent failure detection and negation mechanisms . 58
87 E.3.2 Function and independent Barrier acting as failure detection and negation
88 mechanism . 61
89 E.3.1.1 Apportionment of a probability safety target . 63
90 E.3.1.2 Apportionment of a “per hour” safety target . 63
91 Annex F (informative) Safety Target Quantification Methods . 65
3
---------------------- Page: 5 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
92 F.1 Safety Target Quantification . 66
93 F.2 Example of quantitative methods . 66
94 F.2.1 Validity of the safety target quantification . 66
95 F.2.2 Example of quantitative verification with Fault Tree . 67
96 F.2.3 Formulas for safety target evaluation . 67
97 F.3 Example of qualitative method (assessment of barriers availability) . 68
98 Annex G (informative) Common mistakes in quantification . 71
99 G.1 Mixing failure rates with probabilities . 71
100 G.2 Using formulas out of their range of applicability . 71
101 Annex H (informative) Techniques / methods for safety analysis . 72
102 Annex I (informative) Key System Safety Roles and Responsibilities . 74
103 Bibliography . 79
104
105
106 Table 1 – Examples of hazards . 22
107 Table 2 – SIL quantitative and qualitative measures . 38
108 Table B.1 – overview of ALARP, GAME, MEM . 46
109 Table B.2 – Example of simple qualitative risk matrix for use within an ALARP framework . 48
110 Table B.3 – Example of semi-quantitative risk matrix for use within an ALARP framework . 49
111
4
---------------------- Page: 6 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
112 European foreword
113 This document (prEN 50126-2:2015) has been prepared by CLC/TC 9X "Electrical and electronic
114 applications for railways".
115
116 This document is currently submitted to the Enquiry.
117
118 The following dates are proposed:
119
(doa) dor + 6 months
• latest date by which the existence of
this document has to be announced
at national level
(dop) dor + 12 months
• latest date by which this document has to be
implemented at national level by publication
of an identical national standard or by
endorsement
(dow) dor + 36 months
• latest date by which the national standards
conflicting with this document have to (to be confirmed or
modified when voting)
be withdrawn
120
121 This document will supersede CLC/TR 50126-2:2007.
122
123 EN 50126 "Railway applications – The specification and demonstration of Reliability, Availability,
124 Maintainability and Safety (RAMS)" consists of the following parts:
125 – Part 1: Generic RAMS process;
126 – Part 2: Systems approach to safety;
127
5
---------------------- Page: 7 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
128 Introduction
129 EN 50126-1:1999 was aimed at introduce the application of a systematic RAMS management
130 process in the railway sector. Through the application of these standards and the experiences
131 gained over the last years, the need for revision and restructuring became apparent with a need
132 to deliver a systematic and coherent approach to RAMS applicable to all the railway application
133 fields Signalling, Rolling Stock and Electric power supply for Railways (Fixed Installations).
134 The revision work improved the coherency and consistency of the standards, the concept of
135 safety management and the practical usage of EN 50126 and took into consideration the existing
136 and related Technical Reports as well.
137 This European Standard provides railway duty holders and the railway suppliers, throughout the
138 European Union, with a process which will enable the implementation of a consistent approach to
139 the management of reliability, availability, maintainability and safety, denoted by the acronym
140 RAMS.
141 Processes for the specification and demonstration of RAMS requirements are cornerstones of
142 this standard. This European Standard promotes a common understanding and approach to the
143 management of RAMS.
144 EN 50126 is the railway sector specific application of IEC 61508. Meeting the requirements in
145 this European Standard is sufficient to ensure that additional compliance to IEC 61508 does not
146 need to be demonstrated.
147 With regard to safety EN 50126-1 provides a Safety Management Process which is supported by
148 guidance and methods described in EN 50126-2.
149 EN 50126-1 and EN 50126-2 are independent from the technology used. As far as safety is
150 concerned, EN 50126 takes the perspective of functional safety. This does not exclude other
151 aspects of safety. However, these are not the focus.
152 The application of this standard should be adapted to the specific requirements of the system
153 under consideration.
154 This European Standard can be applied systematically by the railway duty holders and railway
155 suppliers, throughout all phases of the life-cycle of a railway application, to develop railway
156 specific RAMS requirements and to achieve compliance with these requirements. The systems-
157 level approach developed by this European Standard facilitates assessment of the RAMS
158 interactions between elements of railway applications even if they are of complex nature.
159 This European Standard promotes co-operation between the stakeholders of Railways in the
160 achievement of an optimal combination of RAMS and cost for railway applications. Adoption of
161 this European Standard will support the principles of the European Single Market and facilitate
162 European railway inter-operability.
163 The process defined by this European Standard assumes that railway duty holders and railway
164 suppliers have business-level policies addressing Quality, Performance and Safety. The
165 approach defined in this standard is consistent with the application of quality management
166 requirements contained within the ISO 9001.
1)
167 In accordance with CENELEC editing rules , mandatory requirements in this standard are
168 indicated with the modal verb “shall”. Where justifiable, the standard permits process tailoring.
169 Specific guidance on the application of this standard for Safety aspects is provided in
170 EN 50126-2. EN 50126-2 provides various methods for use in the safety management process.
171 Where a particular method is selected for the system under consideration, the mandatory
172 requirements of this method are by consequence mandatory for the safety management of the
173 system under consideration.
—————————
1) CENELEC “Internal Regulations Part 3: Rules for the structure and drafting of CEN/CENELEC Publications (2009-
08), Annex H
6
---------------------- Page: 8 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
174 1 Scope
175 This part 2 of EN 50126
176 • considers RAMS, understood as reliability, availability, maintainability and safety and their
177 interaction;
178 • considers the generic aspects of the RAMS life-cycle. The guidance in this part is still
179 applicable in the application of specific standards;
180 • defines:
181 – a process, based on the system life-cycle and tasks within it, for managing RAMS;
182 – a systematic process, tailorable to the type and size of system under consideration, for
183 specifying requirements for RAMS and demonstrating that these requirements are
184 achieved;
185 • addresses railway specifics;
186 • enables conflicts between RAMS elements to be controlled and managed effectively;
187 • does not define:
188 – RAMS targets, quantities, requirements or solutions for specific railway applications;
189 – rules or processes pertaining to the certification of railway products against the
190 requirements of this standard;
191 – an approval process by the safety authority;
192 • does not specify requirements for ensuring system security.
193
194 This part 2 of EN 50126 is applicable
195 • to the specification and demonstration of RAMS for all railway applications and at all levels
196 of such an application, as appropriate, from complete railway systems to major systems and
197 to individual and combined sub-systems and components within these major systems,
198 including those containing software; in particular:
199 – to new systems;
200 – to new systems integrated into existing systems accepted prior to the creation of this
201 standard, but only to the extent and insofar as the new system with the new
202 functionality is being integrated. It is otherwise not applicable to any unmodified
203 aspects of the existing system;
204 – as far as reasonably practicable, to modifications and extensions of existing systems
205 accepted prior to the creation of this standard, but only to the extent and insofar as
206 existing systems are being modified. It is otherwise not applicable to any unmodified
207 aspect of the existing system;
208 • at all relevant phases of the life-cycle of an application;
209 • for use by railway duty holders and the railway suppliers.
210 It is not required to apply this standard to existing systems including those systems already
211 compliant with any version of former EN 50126, which remain unmodified. Railway applications
212 means Command, Control & Signalling, Rolling Stock and Fixed Installations.
213 Processes for the specification and demonstration of RAMS requirements are cornerstones of
214 this standard. This European Standard promotes a common understanding and approach to the
215 management of RAMS.
216 The process defined by this European Standard assumes that railway duty holders and railway
217 suppliers have business-level policies addressing Quality, Performance and Safety. The
218 approach defined in this standard is consistent with the application of quality management
219 requirements contained within the EN ISO 9001.
7
---------------------- Page: 9 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
220 2 Normative references
221 The following documents, in whole or in part, are normatively referenced in this document and
222 are indispensable for its application. For dated references, only the edition cited applies. For
223 undated references, the latest edition of the referenced document (including any amendments)
224 applies.
225 prEN 50126-1:2015, Railway applications – The Specification and Demonstration of Reliability,
226 Availability, Maintainability and Safety (RAMS) – Part 1: Generic RAMS process
227 3 Terms and definitions
228 For the purposes of this document, the terms and definitions given in prEN 50126-1:2015 apply.
229 4 Abbreviations
230 ALARP As Low As Reasonable Practicable
231 CBA Cost Benefit Analysis
232 CCF Common Cause Failure (Analysis)
233 CoP Code of Practice
234 DRA Differential Risk Aversion
235 ERE Explicit Risk Estimation
236 EMC Electromagnetic compatibility
237 ETA Event Tree Analysis
238 FMECA Failure Mode Effect & Criticality Analysis
239 FTA Fault Tree Analysis
240 GA, GASC Generic Application, Generic Application Safety Case
241 GP, GPSC Generic Product, Generic Product Safety Case
242 GAME Globalement Au Moins Equivalent
243 HAZOP Hazard and Operability study
244 ISA Independent Safety Assessment
245 MEM Minimum Endogenous Mortality
246 RAC Risk Acceptance Criterion
247 RAMS Reliability, Availability, Maintainability, Safety
248 RBD Reliability Block Diagram
249 RRA Rapid Ranking Analysis
250 SA, SASC Specific Application, Specific Application Safety Case
251 SDR Safe Down Rate
252 SDT Safe Down Time
253 SIL Safety Integrity Level
254 SRAC Safety-related Application Conditions
255 TFFR Tolerable Functional unsafe Failure Rate
256 THR Tolerable Hazard Rate
257 VPF Value of Preventing a Fatality
258 5 Guidance on Safety process
259 5.1 Risk Assessment and Hazard Control
260 In this subclause, the so-called Hourglass Model is introduced: it offers a simplified approach
261 that although not containing all aspects implied in the life-cycle model helps to clarify some
262 issues.
8
---------------------- Page: 10 ----------------------
oSIST prEN 50126-2:2015
prEN 50126-2:2015 (E)
263 The Hourglass Model provides an overview of the major safety-related activities that are needed
264 to ensure an acceptable safety level for a technical system, including the corresponding
265 responsibility areas.
266 Technical system means a product or an assembly of products including the design,
267 implementation and support documentation. The development of a technical system starts with
268 its requirements specification and ends with its acceptance. The design of relevant interfaces
269 with human behaviour is considered, while human operators and their actions are not included in
270 a technical system. Both the maintenance process (described in the maintenance manuals) and
271 the operation are specified but are not considered parts of the technical system itself. They can
272 be restricted in “application conditions”.
273 The purpose of this model is to highlight the separation between risk analysis (at the railway
274 system level) from hazard analysis (at the level of the system under consideration).
275 This enhances co-operation between the relevant stakeholders, clarifying responsibilities and
276 interfaces and has the advantages of reducing complexity and facilitating modularization.
277 The Hourglass Model describes two main aspects:
278 • “risk assessment”, i.e. deriving high-level safety requirements for operational and technical
279 issues (including maintenance), and
280 • “hazard control”, i.e. design and implementation of the safety-related system under
281 consideration by determining and analysing causes internal to the system and implementing
282 control measures on the basis of the given safety requirements.
Risk Assessment
Railway Duty Holder‘s
A
System Definition
responsibility
Risk Analysis, including:
• Hazard Identification
• Consequence Analysis
• Selection of RAC
Risk Evaluation
B
System Requirement Specification
Identified Hazards
Note: during each
D
Safety Requirements: project
• Additional
responsibilities have
•
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.