Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Norma Italiana
CEI EN 50129
Data Pubblicazione Edizione
2004-01 Seconda + Ec 1
Classificazione Fascicolo
9-55 7168
Titolo
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di
telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di
sicurezza per il segnalamento
Title
Railway applications - Communication, signalling and processing systems - Safety
related electronic systems for signalling
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
COMITATO
ELETTROTECNICO CNR CONSIGLIO NAZIONALE DELLE RICERCHE • AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA
ITALIANO Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
SOMMARIO
La presente Norma si applica ai sistemi elettronici correlati con la sicurezza (ivi compresi i sottosistemi
e le apparecchiature) per le applicazioni del segnalamento ferroviario.
DESCRITTORI • DESCRIPTORS
Segnalamento • Signalling; Telecomunicazioni • Communication; Sistemi di elaborazione • Processing
systems; Software • Sofware; Sicurezza • Safety; Sistemi di protezione • Protection systems;
Legislativi
INFORMAZIONI EDITORIALI
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
LEGENDA
(IDT) La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT)
CENELEC members are bound to comply with the I Comitati Nazionali membri del CENELEC sono tenu-
CEN/CENELEC Internal Regulations which stipulate ti, in accordo col regolamento interno del CEN/CENE-
the conditions for giving this European Standard the LEC, ad adottare questa Norma Europea, senza alcuna
status of a National Standard without any alteration. modifica, come Norma Nazionale.
Up-to-date lists and bibliographical references con- Gli elenchi aggiornati e i relativi riferimenti di tali Nor-
cerning such National Standards may be obtained on me Nazionali possono essere ottenuti rivolgendosi al
application to the Central Secretariat or to any Segretariato Centrale del CENELEC o agli uffici di
CENELEC member. qualsiasi Comitato Nazionale membro.
This European Standard exists in three official ver- La presente Norma Europea esiste in tre versioni uffi-
sions (English, French, German). ciali (inglese, francese, tedesco).
A version in any other language and notified to the Una traduzione effettuata da un altro Paese membro,
CENELEC Central Secretariat has the same status as sotto la sua responsabilità, nella sua lingua nazionale
the official versions. e notificata al CENELEC, ha la medesima validità.
CENELEC members are the national electrotechnical I membri del CENELEC sono i Comitati Elettrotecnici
committees of: Austria, Belgium, Cyprus, Czech Repu- Nazionali dei seguenti Paesi: Austria, Belgio, Cipro,
blic, Denmark, Estonia, Finland, France, Germany, Danimarca, Estonia, Finlandia, Francia, Germania,
Greece, Hungary, Iceland, Ireland, Italy, Latvia, Li- Grecia, Irlanda, Islanda, Italia, Lettonia, Lituania,
thuanian, Luxembourg, Malta, Netherlands, Norway, Lussemburgo, Malta, Norvegia, Olanda, Portogallo,
Portugal, Poland, Slovakia, Slovenia, Spain, Sweden, Polonia, Regno Unito, Repubblica Ceca, Slovacchia,
Switzerland and United Kingdom. Slovenia, Spagna, Svezia, Svizzera e Ungheria.
© CENELEC Copyright reserved to all CENELEC members. I diritti di riproduzione di questa Norma Europea sono riservati esclu-
sivamente ai membri nazionali del CENELEC.
C E N E L E C
Comitato Europeo di Normalizzazione Elettrotecnica Secrétariat Central: Comité Européen de Normalisation Electrotechnique
European Committee for Electrotechnical Standardization rue de Stassart 35, B - 1050 Bruxelles Europäisches Komitee für Elektrotechnische Normung
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
CONTENTS INDICE
Rif. Topic Argomento Pag.
INTRODUCTION INTRODUZIONE 1
ANNEX/ALLEGATO
A SAFETY INTEGRITY LEVELS LIVELLI DI INTEGRITÀ DELLA SICUREZZA 36
ANNEX/ALLEGATO
B DETAILED TECHNICAL REQUIREMENTS REQUISITI TECNICI DETTAGLIATI 58
ANNEX/ALLEGATO
C IDENTIFICATION OF HARDWARE COMPONENT FAILURE IDENTIFICAZIONE DEI MODI DI MALFUNZIONAMENTO
MODES DEI COMPONENTI HARDWARE 77
ANNEX/ALLEGATO
D SUPPLEMENTARY TECHNICAL INFORMATION INFORMAZIONI TECNICHE SUPPLEMENTARI 102
ANNEX/ALLEGATO
E TECHNIQUES AND MEASURES FOR TECNICHE E MISURE DA METTERE IN ATTO NEI
SAFETY-RELATED ELECTRONIC SYSTEMS FOR SISTEMI ELETTRONICI DI SEGNALAMENTO
SIGNALLING FOR THE AVOIDANCE OF SYSTEMATIC CORRELATI CON LA SICUREZZA PER EVITARE
FAULTS AND THE CONTROL OF RANDOM AND GUASTI SISTEMATICI E CONTROLLARE I GUASTI
SYSTEMATIC FAULTS SISTEMATICI E CASUALI 115
ANNEX/ALLEGATO
6 BIBLIOGRAPHY BIBLIOGRAFIA 128
NORMA TECNICA
CEI EN 50129:2004-01
Pagina iv
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
FOREWORD PREFAZIONE
This European Standard was prepared by La Presente Norma Europea è stata preparata dal
SC 9XA, Communication, signalling and SC 9XA, Communication, signalling and process-
processing systems, of Technical Committee ing systems, del Comitato Tecnico CENELEC
CENELEC TC 9X, Electrical and electronic appli- TC 9X, Electrical and electronic applications for
cations for railways. railways.
The text of the draft was submitted to the for- Il testo del progetto è stato sottoposto al voto for-
mal vote and was approved by CENELEC as male ed è stato approvato dal CENELEC come
EN 50129 on 2002/12/01. Norma Europea EN 50129 in data 01/12/2002.
This European Standard supersedes La presente Norma Europea sostituisce la
ENV 50129:1998. ENV 50129:1998.
This European Standard was prepared under a La presente Norma Europea è stata preparata su
mandate given to CENELEC by the European mandato accordato al CENELEC dalla Commissio-
Commission and the European Free Trade Asso- ne Europea e dall’Associazione Europea per il Li-
ciation and supports the essential requirements bero Scambio (EFTA) e considera i requisiti essen-
of Directive 96/48/EC. ziali della Direttiva 96/48/CE.
The following dates were fixed: Sono state fissate le date seguenti:
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
latest date by which the EN has to be imple- data ultima entro la quale la EN deve essere
mented at national level by publication of recepita a livello nazionale mediante pubbli-
an identical national standard or by en- cazione di una Norma nazionale identica o
dorsement mediante adozione
(dop) 2003/12/01 (dop) 01/12/2003
latest date by which the national standards data ultima entro la quale le Norme nazio-
conflicting with the EN have to be with- nali contrastanti con la EN devono essere ri-
drawn tirate
(dow) 2005/12/01 (dow) 01/12/2005
Annexes designated “normative” are part of the Gli Allegati indicati come “normativi” sono parte
body of the standard. integrante della Norma.
Annexes designated “informative” are given for Gli Allegati indicati come “informativi” sono dati
information only. solo per informazione.
In this standard, Annexes A, B and C are nor- Nella presente Norma, gli Allegati A, B e C
mative and Annexes D and E are informative. sono normativi e gli Allegati D e E sono infor-
mativi.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina v
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina vi
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ERRATA CORRIGE 1
Pag. 88 tabella C3 b) Trasformatore, riga “Cortocircuito o riduzione dell’isolamento tra avvolgimenti” è stata
omessa erroneamente:
Aprile 2007
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
INTRODUCTION INTRODUZIONE
This document is the first European Standard Il presente documento è la prima Norma europea
defining requirements for the acceptance and che definisce i requisiti per l’accettazione e per
approval of safety-related electronic systems in l’approvazione dei sistemi elettronici correlati con
the railway signalling field. Until now only la sicurezza nel settore del segnalamento ferrovia-
some differing national recommendations and rio. Fino ad ora esistevano su questo argomento
general advice of the UIC (International Union solamente varie raccomandazioni nazionali e di-
of Railways) on this topic were in existence. verse avvertenze generali provenienti dall’UIC.
Safety-related electronic systems for signalling I sistemi elettronici correlati con la sicurezza per il
include hardware and software aspects. To in- segnalamento includono aspetti hardware e softwa-
stall complete safety-related systems, both parts re. Per installare sistemi completi correlati con la si-
within the whole life-cycle of the system have curezza, entrambi gli aspetti devono essere presi in
to be taken into account. The requirements for considerazione per l’intero ciclo di vita del sistema. I
safety-related hardware and for the overall sys- requisiti che riguardano l’hardware correlato con la
tem are defined in this standard. Other require- sicurezza ed il sistema globale sono definiti nella
ments are defined in associated CENELEC presente Norma. Gli altri requisiti sono definiti nelle
standards. altre norme CENELEC collegate.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The aim of European railway authorities and Eu- Lo scopo delle imprese ferroviarie europee e
ropean railway industry is to develop compatible dell’industria ferroviaria europea è di sviluppare
railway systems based on common standards. sistemi ferroviari compatibili basati su delle nor-
Therefore cross-acceptance of Safety Approvals me comuni. Di conseguenza diventa necessario
for sub-systems and equipment by the different realizzare un’accettazione reciproca delle appro-
national railway authorities is necessary. This vazioni della sicurezza dei sottosistemi e apparec-
document is the common European base for chiature da parte delle varie Autorità Ferroviaria
safety acceptance and approval of electronic sys- nazionali. Il presente documento è il riferimento
tems for railway signalling applications. europeo comune per l’accettazione e per l’appro-
vazione della sicurezza dei sistemi elettronici per
le applicazioni del segnalamento ferroviario.
Cross-acceptance is aimed at generic approval, L’accettazione reciproca ha come scopo un’approva-
not specific applications. Public procurement zione della applicazione generica e non delle appli-
within the European Community concerning cazioni specifiche. In futuro gli approvvigionamenti
safety-related electronic systems for railway sig- pubblici all’interno della Comunità Europea nel set-
nalling applications will in future refer to this tore dei sistemi elettronici per applicazioni di segna-
standard when it becomes an EN. lamento ferroviario faranno riferimento alla presente
Norma quando diventerà una EN.
The standard consists of the main part (Clause 1 La presente Norma comprende un corpo princi-
to Clause 5) and Annexes A, B, C, D and E. The pale (articoli da 1 a 5) e gli allegati A, B, C, D e E.
requirements defined in the main part of the Le prescrizioni definite nel corpo principale della
standard and in Annexes A, B and C are norma- norma e negli allegati A, B e C sono normativi,
tive, whilst Annexes D and E are informative. mentre gli allegati D e E sono informativi.
This standard is in line with, and uses relevant sec- La presente Norma è in conformità con, e utilizza le
tions of EN 50126: “Railway applications: The Spec- sezioni applicabili della EN 50126 “Applicazioni fer-
ification and Demonstration of Dependability - Re- roviarie: La specificazione e dimostrazione di fida-
liability, Availability, Maintainability and Safety tezza - affidabilità, disponibilità, manutenibilità e si-
(RAMS)”. This standard and EN 50126 are based on curezza (RAMS)”. La presente Norma e la EN 50126
the system life-cycle and are in line with sono basate sul ciclo di vita del sistema e sono coe-
EN 61508-1, which is replaced by the set of renti con la EN 61508-1, che è stata sostituita dall’in-
EN 50126/EN 50128/EN 50129, as far as Railway sieme delle EN 50126/EN 50128/EN 50129, in modo
Communication, Signalling and Processing Systems da comprendere i sistemi ferroviari di segnalamento,
are involved. Meeting the requirements in these di telecomunicazione e di elaborazione. Il rispetto
standards is sufficient to ensure that further compli- delle prescrizioni di queste norme è sufficiente a ga-
ance to EN 61508-1 need not be evaluated. rantire che non è necessaria una ulteriore valutazio-
ne di conformità alla EN 61508-1.
Because this standard is concerned with the ev- Poiché la presente Norma riguarda le prove da for-
idence to be presented for the acceptance of nire per l’accettazione di sistemi correlati con la si-
safety-related systems, it specifies those life-cy- curezza, essa specifica quelle attività del ciclo di vita
cle activities which shall be completed before che devono essere terminate prima della fase di ac-
the acceptance stage, followed by additional cettazione, seguite dalle pianificate attività aggiunti-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 2 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
practicable, this standard should be applied to della presente Norma). Tuttavia, laddove è ragio-
modifications and extensions to existing sys- nevolmente possibile, questa norma dovrebbe es-
tems, sub-systems and equipment. sere applicata alle modifiche e alle estensioni di
sistemi, sottosistemi e apparecchiature esistenti.
This standard is primarily applicable to sys- La presente Norma è applicabile specialmente ai si-
tems/sub-systems/equipment which have been stemi/sottosistemi/apparecchiature che sono stati
specifically designed and manufactured for rail- specificatamente progettati e realizzati per applica-
way signalling applications. It should also be zioni di segnalamento ferroviario. Si raccomanda
applied, as far as reasonably practicable, to gen- inoltre di applicarla, laddove è ragionevolmente
eral-purpose or industrial equipment (e.g.: possibile, alle apparecchiature generiche o indu-
power supplies, modems, etc.), which is pro- striali (ad esempio: alimentazione, modems, ecc.)
cured for use as part of a safety-related signal- che sono utilizzati come parte di un sistema di se-
ling system. As a minimum, evidence shall be gnalamento ferroviario correlato con la sicurezza. In
provided in such cases to demonstrate: tali casi è necessario,come minimo, portare prove
che dimostrino:
either that the equipment is not relied on for o che la sicurezza non è affidata all’apparec-
safety, chiatura
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
or that the equipment can be relied on for o che le funzioni correlate con la sicurezza
those functions which relate to safety. possono essere affidate all’apparecchiatura.
This standard is applicable to the functional La presente Norma è applicabile alla sicurezza
safety of railway signalling systems. It is not in- funzionale dei sistemi di segnalamento ferrovia-
tended to deal with the occupational health and rio. Non è destinata a trattare gli aspetti della salu-
safety of personnel; this subject is covered by te dei lavoratori e la sicurezza del personale; que-
other standards. sti aspetti vengono coperti da altre norme.
Fig. 1 Scope of the main CENELEC railway application Campo di applicazione delle principali norme CENELEC
standards per applicazioni ferroviarie
Sistema ferroviario
completo
Total Railway System
Sistema di segnalamento
ferroviario completo
Complete Railway
Signalling System
EN 50159
-1 e_and -2
EN 50126
(Comunicazione)
(Communication) (RAMS)
Sottosistema individuale
Individual Sub-System EN 50128 EN 50129
(Software) (Sicurezza di
(Software) sistema)
(System Safety)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 3 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI
This European Standard incorporates, by dated La presente Norma include, tramite riferimenti datati
or undated reference, provisions from other o non datati, disposizioni provenienti da altre Pub-
publications. These normative references are blicazioni. Questi riferimenti normativi sono citati
cited at the appropriate places in the text and nel testo, in appropriata posizione, e qui di seguito
the publications are listed hereafter. For dated sono elencate le Pubblicazioni. In caso di riferimenti
references, subsequent amendments to or revi- datati, le successive modifiche o revisioni di ciascu-
sions of any of these publications apply to this na di queste pubblicazioni si applicano alla presente
European Standard only when incorporated in Norma Europea solo quando introdotte in essa da
it by amendment or revision. For undated refer- una modifica o revisione. In caso di riferimenti non
ences the latest edition of the publication re- datati, si applica l’ultima edizione della Pubblicazio-
ferred to applies (including amendments). ne indicata (modifiche incluse).
Note/Nota Additional informative references are included in Bibliography. La bibliografia contiene ulteriori riferimenti informativi.
Serie_Series tromagnetica 9
Railway applications – Electromagnetic compatibility
EN 50124-1 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - Coordinamento 9-65/1
degli isolamenti – Parte 1: Requisiti base - Distanze in aria e distanze superficiali
per tutta l’apparecchiatura elettrica ed elettronica
Railway applications – Insulation coordination – Part 1: Basic requirements - Clearances
and creepage distances for all electrical and electronic equipment
EN 50124-2 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - Coordinamento 9-65/2
degli isolamenti – Parte 2: Sovratensioni e relative protezioni
Railway applications – Insulation coordination – Part 2: Overvoltages and related
protection
EN 50125-1 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Condizioni am- 9-60
bientali per gli equipaggiamenti - Parte 1: Equipaggiamenti nel materiale rotabile
Railway applications – Environmental conditions for equipment – Part 1: Equipment on
board rolling stock
EN 50125-3 Railway applications – Environmental conditions for equipment – Part 3: Equipment for —
signalling and communications
EN 50126 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - La specificazio- 9-58
ne e la dimostrazione di Affidabilità, Disponibilità, Manutenibilità e Sicurezza
(RAMS)
Railway applications – The specification and demonstration of Reliability, Availability,
Maintainability and Safety (RAMS)
EN 50128 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-72
municazione, segnalamento ed elaborazione - Software per sistemi ferroviari di
comando e di protezione
Railway applications – Communication, signalling and processing systems – Software for
railway control and protection systems
EN 50155 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Equipaggiamenti 9-30
elettronici utilizzati sul materiale rotabile
Railway applications – Electronic equipment used on rolling stock
EN 50159-1 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-66/1
municazione, segnalamento ed elaborazione - Parte 1: Comunicazioni di sicurez-
za in sistemi di trasmissione di tipo chiuso
Railway applications – Communication, signalling and processing systems - Part 1:
Safety-related communication in closed transmission systems
EN 50159-2 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-66-2
municazione, segnalamento ed elaborazione - Parte 2: Comunicazioni di sicurez-
za in sistemi di trasmissione di tipo aperto
Railway applications – Communication, signalling and processing systems - Part 2: Safety
related communication in open transmission systems
EN 61508-1 Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili 65-74
per applicazioni di sicurezza - Parte 1: Requisiti generali
Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 1: General requirements
(IEC 61508-1)
IEC 60664 Insulation coordination for equipment within low-voltage systems —
Serie_Series
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 4 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3 DEFINITIONS AND ABBREVIATIONS DEFINIZIONI ED ABBREVIAZIONI
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 5 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ble design solutions which have the required accettabili che hanno il Livello di Integrità della
safety integrity. Sicurezza richiesto.
A deviation from the intended design which Deviazione dalla progettazione preventivata capa-
could result in unintended system behaviour or ce di dare luogo ad un comportamento non pre-
failure. visto del sistema o ad un malfunzionamento.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 6 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.24 Human error Errore umano
A human action (mistake), which can result in Azione umana (errore), che può avere per risulta-
unintended system behaviour/failure. to un comportamento indesiderato del sistema
/un malfunzionamento.
Freedom from any mechanism which can affect Assenza di ogni meccanismo che possa influenza-
the correct operation of more than one sys- re il corretto funzionamento di più sistemi /sotto-
tem/sub-system/equipment as a result of ran- sistemi/apparecchiature in seguito a malfunziona-
dom failures. menti casuali.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 7 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.36 Quality Qualità
A user perception of the attributes of a product. Percezione degli attributi di un prodotto da parte
dell’utilizzatore.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 8 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.50 Safety integrity Integrità della sicurezza
The ability of a safety-related system to achieve Attitudine di un sistema correlato con la sicurezza di
its required safety functions under all the stated compiere le sue funzioni di sicurezza in tutte le con-
conditions within a stated operational environ- dizioni specificate, all’interno di un ambiente operati-
ment and within a stated period of time. vo specificato ed entro un definito periodo di tempo.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 9 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.63 Systematic failure integrity Integrità dei malfunzionamenti sistematici
The degree to which a system is free from uniden- Misura con la quale un sistema è esente da errori
tified hazardous errors and the causes thereof. pericolosi non identificati e dalle relative cause.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 10 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.2.17 IRSE Institution of Railway Signal IRSE Istituzione degli Ingegneri di Segnala-
Engineers mento Ferroviario
3.2.18 ISO International Standards Or- ISO Organizzazione Internazionale di Nor-
ganisation malizzazione
3.2.19 RAMS reliability, availability, main- RAMS Affidabilità, Disponibilità, Manutenibi-
tainability and safety lità, Sicurezza (RAMS)
3.2.20 SCR silicon controlled rectifier SCR Raddrizzatori controllati al silicio
3.2.21 SDR Safe down rate SDR Tasso di riduzione della sicureza
3.2.22 SDT Safe down time SDT Tempo di riduzione della sicurezza
3.2.23 SIL Safety Integrity Level SIL Livello di Integrità della Sicurezza
3.2.24 SW software SW Software
3.2.25 THR tolerable hazard rate THR Tasso Tollerabile di situazioni Pericolose
3.2.26 UIC International Union of Rail- UIC Unione internazionale delle ferrovie
ways (Union Internationale des Chemins de fer
3.2.27 VDR voltage-dependent resistor VDR resistore variabile con la tensione
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Clause 5 of this European Standard requires L’Articolo 5 della presente Norma europea ri-
that a systematic, documented approach be tak- chiede che un approccio sistematico e documen-
en to: tato sia adottato per:
evidence of quality management, la prova della gestione della qualità.
evidence of safety management, la prova della gestione della sicurezza.
evidence of functional and technical safety, la prova della sicurezza funzionale e tecnica.
safety acceptance and approval. l’accettazione e l’approvazione della sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 11 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The structure of this standard is summarised in La struttura della presente Norma è riassunta in
Figure 2. Fig. 2.
EN 50129
5.1
5.1 5.2
5.2 5.3
5.3 5.4
5.4 5.5
5.5
Normativa
Allegato A Allegato B Normative
Annex A Annex B
B.1
B.1 B.2
B.2 B.3
B.3 B.4
B.4 B.5
B.5 B.6
B.6
Allegato C
Annex C
Riferimenti
bibliografici Allegato D Allegato E Informativo
Reference Annex D Annex E Informative
bibliography
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 12 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
All of these conditions shall be satisfied, at Tutte queste condizioni devono essere soddisfatte, ai
equipment, sub-system and system levels, be- livelli di apparecchiatura, di sottosistema e di sistema,
fore the safety-related system can be accepted prima che un sistema correlato con la sicurezza possa
as adequately safe. essere accettato come sufficientemente sicuro.
The documentary evidence that these condi- La prova documentale che queste condizioni sono
tions have been satisfied shall be included in a state soddisfatte deve fare parte di un documento
structured safety justification document, known strutturato di giustificazione della sicurezza, chia-
as the Safety Case. The Safety Case forms part mato Istruttoria per la Sicurezza. L’Istruttoria per la
of the overall documentary evidence to be sub- Sicurezza fa parte della prova documentale globale
mitted to the relevant safety authority in order da sottoporre alla competente Autorità di Sicurez-
to obtain safety approval for a generic product, za, per ottenere l’approvazione della sicurezza per
a class of application or a specific application. un prodotto generico, una classe di applicazioni
For an explanation of the safety approval proc- oppure una applicazione specifica. Per una spiega-
ess, see 5.5 of this standard. zione del processo di approvazione della sicurez-
za, vedere il punto 5.5. della presente Norma.
The Safety Case contains the documented safety L’Istruttoria per la Sicurezza contiene la prova do-
evidence for the system/sub-system/equipment, cumentata di sicurezza per il sistema/sottosiste-
and shall be structured as follows: ma/apparecchiatura e deve essere strutturata nel
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
modo seguente:
Part 1 Definition of System (or sub-sys- Parte 1 Definizione del sistema (o del sotto-
tem/equipment) sistema/apparecchiatura)
This shall precisely define or reference the sys- Questa parte deve definire in maniera precisa, op-
tem/sub-system/equipment to which the Safety pure referenziare, il sistema/sottosistema/apparec-
Case refers, including version numbers and chiatura che corrisponde all’Istruttoria per la Sicurez-
modification status of all requirements, design za, comprendendo i numeri della versione e lo stato
and application documentation. delle modifiche di tutta la documentazione sui re-
quisiti, la progettazione e l’applicazione.
Part 2 Quality Management Report Parte 2 Relazione di gestione della qualità
This shall contain the evidence of quality man- Questa parte deve contenere la prova della gestio-
agement, as specified in 5.2 of this standard. ne della qualità, come specificato nel punto 5.2
della presente Norma.
Part 3 Safety Management Report Parte 3 Relazione di gestione della sicurezza
This shall contain the evidence of safety man- Questa parte deve contenere la prova della gestio-
agement, as specified in 5.3 of this standard. ne della sicurezza, come specificato nel punto 5.3
della presente Norma.
Part 4 Technical Safety Report Parte 4 Relazione sulla Sicurezza Tecnica
This shall contain the evidence of functional Questa parte deve contenere la prova della sicu-
and technical Safety, as specified in 5.4 of this rezza funzionale e tecnica, come specificato nel
standard. punto 5.4 della presente Norma.
Part 5 Related Safety Cases Parte 5 Istruttorie per la Sicurezza collegate
This shall contain references to the Safety Cases Questa parte deve contenere i riferimenti delle
of any sub-systems or equipment on which the Istruttorie per la Sicurezza di tutti i sottosistemi o
main Safety Case depends. apparecchiature dalle quali dipende l’Istruttoria
principale.
It shall also demonstrate that all the safety-related Essa deve inoltre dimostrare che tutte le condizio-
application conditions specified in each of the re- ni di applicazione correlate con la sicurezza, spe-
lated sub-system/equipment Safety Cases are cificate in ciascuna delle Istruttorie di Sicurezza
collegate di sottosistemi/apparecchiature, sono
either fulfilled in the main Safety Case, o soddisfatte nell’Istruttoria principale per la
Sicurezza,
or carried forward into the safety-related o riportate nelle condizioni di applicazione
application conditions of the main correlate con la sicurezza dell’Istruttoria
Safety Case. principale per la Sicurezza.
Part 6 Conclusion Parte 6 Conclusione
This shall summarise the evidence presented in Questa parte deve riassumere le prove presentate
the previous parts of the Safety Case, and argue nelle parti precedenti dell’Istruttoria per la Sicurezza,
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 13 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
that the relevant system/sub-system/equipment e giustificare che il sistema/il sottosistema/l’apparec-
is adequately safe, subject to compliance with chiatura sono adeguatamente sicuri e sono conformi
the specified application conditions. alle condizioni applicative specificate.
The structure of the Safety Case is illustrated in La struttura dell’Istruttoria per la Sicurezza è illu-
Figure 3. strata in Fig. 3.
Large volumes of detailed evidence and sup- Non è necessario includere molte prove e docu-
porting documentation need not be included in menti dettagliati nell’Istruttoria per la Sicurezza e
the Safety Case and in its parts, provided pre- nelle sue varie parti, a condizione che vengano
cise references are given to such documents forniti precisi riferimenti a tali documenti e a con-
and provided the base concepts used and the dizione che i concetti di base utilizzati e gli ap-
approaches taken are clearly specified. procci adottati siano chiaramente specificati.
Parte 6: Conclusioni
Part 6: Conclusion
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ISTRUTTORIA PER
LA SICUREZZA
SAFETY CASE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 14 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.2 Evidence of quality management Prova della gestione della qualità
The first condition for safety acceptance that La prima condizione che deve essere rispettata
shall be satisfied is that the quality of the sys- per l’accettazione della sicurezza è che la qualità
tem, sub-system or equipment has been, and del sistema, del sottosistema o dell’apparecchia-
shall continue to be, controlled by an effective tura sia stata e continuerà ad essere controllata
quality management system throughout its per tutto il ciclo di vita tramite un sistema di ge-
life-cycle. Documentary evidence to demon- stione della qualità efficace. Per dimostrare que-
strate this shall be provided in the Quality Man- sto, la prova documentale deve essere fornita nel-
agement Report, which forms Part 2 of the Safe- la relazione di gestione della qualità, che forma la
ty Case. Parte 2 dell’Istruttoria per la Sicurezza.
The purpose of the quality management system Lo scopo del sistema di gestione della qualità è di
is to minimise the incidence of human errors at minimizzare l’incidenza degli errori umani duran-
each stage in the life-cycle, and thus to reduce te ogni fase del ciclo di vita, e di ridurre il rischio
the risk of systematic faults in the system, di guasti sistematici nel sistema, nel sottosistema
sub-system or equipment. o nell’apparecchiatura.
The quality management system shall be applica- Il sistema di gestione della qualità deve essere ap-
ble throughout the system/sub-system/equipment plicabile per l’intero ciclo di vita del sistema /sot-
life-cycle, as defined in EN 50126. An example of a tosistema o apparecchiatura, come stabilito nella
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
system life-cycle diagram (from EN 50126) is repro- EN 50126. Un esempio del diagramma del ciclo di
duced as Figure 4 of this standard. vita di un sistema (proveniente dalla EN 50126) è
riprodotto in Fig. 4 della presente Norma.
Note/Nota Examples of aspects which should be controlled by the quali- Esempi degli aspetti che dovrebbero essere controllati per mez-
ty management system and included in the Quality Man- zo della gestione della qualità ed inclusi nella Relazione di Ge-
agement Report: stione della Qualità:
organisational structure; struttura dell’organizzazione;
quality planning and procedures; pianificazione della qualità e procedure;
specification of requirements; specifica dei requisiti;
design control; controllo della progettazione;
design verification and reviews; verifica della progettazione e revisioni;
application engineering; ingegnerizzazione;
procurement and manufacture; approvvigionamento e fabbricazione;
product identification and traceability; identificazione del prodotto e tracciabilità;
handling and storage; immagazzinamento e stoccaggio;
inspection and testing; ispezione e prove;
non-conformance and corrective action; non conformità ed azioni correttive;
packaging and delivery; imballaggio e consegna;
installation and commissioning; installazione e messa in servizio;
operation and maintenance; esercizio e manutenzione;
quality monitoring and feedback; sorveglianza della qualità e ritorni di esperienza;
documentation and records; documentazione e registrazioni;
configuration management/change control; gestione della configurazione / controllo delle modifiche;
personnel competency and training; competenza del personale e formazione;
quality audits and follow-up; audits di qualità e le loro conseguenze;
decommissioning and disposal. ritiro dall’esercizio e dismissione.
Compliance with the requirements for quality La conformità con i requisiti per la gestione della
management is mandatory for Safety Integrity qualità è obbligatoria per i Livelli di Integrità della
Levels 1 to 4 inclusive, (see Annex A for expla- Sicurezza da 1 a 4 compreso (vedi Allegato A per
nation of Safety Integrity Levels). However, the le spiegazioni sui livelli di Integrità della Sicurez-
depth of the evidence presented and the extent za). Comunque il livello di dettaglio delle prove
of the supporting documentation should be ap- presentate e la copertura della documentazione di
propriate to the Safety Integrity Level of the sys- supporto dovrebbero essere appropriati al Livello
tem/sub-system/equipment under scrutiny (see di Integrità della Sicurezza del sistema/sottosiste-
Table E.1 and Table E.8 for guidance on evi- ma o apparecchiatura esaminati (vedi Tab. E.1 e
dence required for each Safety Integrity Level). Tab. E.8 per una guida sulle prove richieste per
The requirements for Safety Integrity Level 0 ogni Livello di Integrità della Sicurezza). I requisiti
(non-safety-related) are outside the scope of per il Livello 0 di Integrità della Sicurezza (non
this safety standard. correlato con la sicurezza) sono fuori del campo
di applicazione della presente Norma di sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 15 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. 4 Example of system life-cycle (from EN 50126)
Note/Nota The phase at which a modification enters the life-cycle will
be dependent upon both the system being modified and the
specific mollification under consideration.
1
Concept
2
System Definition and
Application Conditions
3
Risk Analysis
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
4
System Requirements
5
Apportionment of
System Requirements
6
Design and Implementation
7
Manufacture
8
Installation
9
System Validation (including
Safety Acceptance and
Commissioning)
System Acceptance
10
12 11 13
Performance Monitoring Operation and Maintenance Modification and Retrofit
14 Re-apply Lifecycle
Decommissioning and Disposal (See note)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 16 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio del ciclo di vita del sistema (dalla EN 50126)
La fase nella quale una modifica viene introdotta nel ciclo di
vita dipende sia dal sistema modificato che dalla particolare
modifica considerata.
Concezione
1
2
Definizione del sistema e con-
dizioni di applicazione
3
Analisi del rischio
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Progettazione e 6
realizzazione
Costruzione 7
Installazione
8
9
Validazione del sistema
(inclusa l’approvazione della si-
curezza e la messa in servizio)
12 11 13
Esercizio e manutenzione
Controllo delle prestazioni Modifiche e revisioni
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 17 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3 Evidence of safety management Prove della gestione della sicurezza
ance with all elements of the safety manage- mità con tutti gli elementi del processo di gestio-
ment process throughout the life-cycle shall be ne della sicurezza attraverso il ciclo di vita deve
provided in the Safety Management Report, essere fornita nella relazione di gestione della si-
which forms Part 3 of the Safety Case. Large curezza, che forma la Parte 3 dell’Istruttoria per la
volumes of detailed evidence and supporting Sicurezza. Non è necessario includere una grande
documentation need not be included, provided quantità di prove dettagliate e di documentazioni
precise references are given to such documents. di supporto, a condizione che vengano forniti
precisi riferimenti per tali documentazioni.
The use of this safety management process is L’utilizzazione di questo processo di gestione del-
mandatory for Safety Integrity Levels 1 to 4 in- la sicurezza è obbligatoria per i Livelli di Integrità
clusive (see Annex A for explanation of Safety della Sicurezza da 1 a 4 incluso (vedi Allegato A
Integrity Levels). However, the depth of the evi- per la spiegazione dei Livelli di Integrità della Si-
dence presented and the extent of the support- curezza). Il dettaglio delle prove presentate e la
ing documentation should be appropriate to the copertura della documentazione di supporto do-
Safety Integrity Level of the system/sub-sys- vrebbero essere comunque appropriate al Livello
tem/equipment under scrutiny. The require- di Integrità della Sicurezza del sistema/sottosiste-
ments for Safety Integrity Level 0 (non-safety-re- ma/apparecchiatura in esame. I requisiti per il Li-
lated) are outside the scope of this safety vello 0 di Integrità della Sicurezza (non correlato
standard. con la sicurezza) sono fuori del campo di applica-
zione della presente Norma di sicurezza.
In all cases the hazard analysis and risk assess- In tutti i casi, le analisi delle situazioni pericolose
ment processes defined in EN 50126 are neces- ed i processi di valutazione dei rischi definiti nella
sary, in order to identify the required level of EN 50126 sono necessari per definire il livello ri-
safety integrity for each particular situation. This chiesto di integrità della sicurezza per ogni situa-
includes those cases where the analysis and as- zione particolare. Sono inclusi quei casi per i qua-
sessment reveal that a Safety Integrity Level of li l’analisi e la valutazione mostrano che può
zero may be assigned; however, once this con- essere assegnato il Livello di Integrità della Sicu-
clusion has been reached (i.e. that the situation rezza pari a zero; comunque, una volta che que-
is non-safety-related), and provided it remains sta conclusione è stata raggiunta (cioè che la si-
at level zero, this safety standard ceases to be tuazione non ha correlazioni con la sicurezza) e a
applicable. condizione che si resti al livello 0, la presente
Norma di sicurezza non è più applicabile.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 18 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
“top-down” phase followed by a “bottom-up” possono essere viste come una fase “discendente” se-
phase, (i.e. a “V”-diagram), an example of guita da una “ascendente” (cioè un diagramma a
which is shown in Figure 5. “V”), un esempio del quale è indicato nella Fig. 5.
Fig. 5 Example of design and validation portion of system Esempio della parte progettazione e validazione del
life-cycle ciclo di vita del sistema
SPECIFICA DEI
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
REQUISITI DI SICUREZZA
SAFETY REQUIREMENTS
SPECIFICATION
REQUISITI FUNZIONALI VALIDAZIONE DELLE PROVE
DI SICUREZZA FUNZIONALI DI SICUREZZA DEL
SAFETY FUNCTIONAL SISTEMA
REQUIREMENTS FUNCTIONAL SAFETY TEST VALIDATION
REQUISITI D’INTEGRITÀ
DELLA SICUREZZA
SAFETY INTEGRITY
REQUIREMENTS
PROGETTAZIONE VALIDAZIONE
HARDWARE HARDWARE
HARDWARE DESIGN HARDWARE
VALIDATION
PROGETTAZIONE VALIDAZIONE
SOFTWARE SOFTWARE
SOFTWARE SOFTWARE
DESIGN VALIDATION
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 19 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
carried out in accordance with recognised
standards.
An appropriate degree of independence shall
be provided between different roles, as shown
in Figure 6. See also Table E.3, for guidance on
the safety organisation required for each Safety
Integrity Level.
PM
ASSR
DI VER, VAL
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
SIL 3 OR
AND 4
PM
ASSR
DI VER VAL
SIL 1
AND 2 ASSR
DI VER, VAL
SIL 0 ASSR*
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 20 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
propriati tipi di formazione, devono essere fatte
conformemente a norme riconosciute.
Deve essere attuato un grado di indipendenza ap-
propriato tra i diversi ruoli, come illustrato nella
Fig. 6. Si veda anche la Tab. E.3 per le indicazioni
sull’organizzazione della sicurezza richiesta per
ogni Livello di Integrità della Sicurezza.
Strutturazione dell’indipendenza
PM
ASSR
DI VER, VAL
SIL 3:
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
OR
PM
ASSR
DI VER VAL
SIL 0 ASSR*
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 21 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3.4 Safety plan Piano della Sicurezza
A Safety Plan shall be drawn up at the start of Un Piano della Sicurezza deve essere stabilito
the life-cycle. This plan shall identify the safety all’inizio del ciclo di vita, Questo piano deve
management structure, safety-related activities identificare la struttura per la gestione della sicu-
and approval mile-stones throughout the rezza, le attività correlate con la sicurezza e i mo-
life-cycle, and shall include the requirements for menti di approvazione durante il ciclo di vita,
review of the Safety Plan at appropriate inter- deve contenere i requisiti per la revisione del Pia-
vals. The Safety Plan shall be updated and re- no della Sicurezza con una periodicità appropria-
viewed if subsequent alterations or additions ta. Il Piano della Sicurezza deve essere aggiornato
are made to the original system/sub-sys- e rivisto se modifiche successive o aggiunte ven-
tem/equipment. If any such change is made, gono fatte al sistema/sottosistema/ apparecchiatu-
the effect on safety shall be assessed, starting at ra d’origine. Se questi cambiamenti dovessero es-
the appropriate point in the life-cycle. See Ta- sere effettuati, gli effetti sulla sicurezza dovranno
ble E.1 for guidance on Safety Plans for each essere valutati, partendo dal punto appropriato
Safety Integrity Level. del ciclo di vita. Si veda la Tab. E1, per le indica-
zioni relative ai Piani di Sicurezza per ogni Livello
di Integrità della Sicurezza.
The Safety Plan shall deal with all aspects of the Il Piano di assicurazione della Sicurezza deve trat-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
as explained in EN 50126. Some information come spiegato nella EN 50126. Alcune informa-
concerning Safety Integrity Levels for railway zioni sui Livelli di Integrità della Sicurezza per i si-
electronic systems is contained in Annex A. stemi elettronici ferroviari sono contenute nell’Al-
legato A.
Note/Nota The Safety Requirements Specification may be included in La Specifica dei Requisiti di Sicurezza può essere inclusa nella
the system/sub-system/equipment Functional Requirements Specifica dei Requisiti Funzionali del sistema /sottosistema /ap-
Specification or may be written as a separate document. See parecchiatura oppure può essere scritta in un documento a
Table E.2, for guidance on System Requirements Specifica- parte. Si veda la Tab. E.2 per le indicazioni relative alle specifi-
tions for each Safety Integrity Level. che dei requisiti del sistema per ogni Livello di Integrità della
Sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 22 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3.7 System/sub-system/equipment design Progettazione del sistema/sottosistema/apparecchiatura
This phase of the life-cycle shall create a design Questa fase del ciclo di vita deve dar luogo ad una
which fulfils the specified operational and safety progettazione che soddisfi i requisiti di operativi di
requirements. A top-down, structured design sicurezza specificati. Una metodologia strutturata di
methodology shall be used, with rigorously con- progettazione discendente deve essere utilizzata
trolled and reviewed documentation. In particular, insieme ad una documentazione rigorosamente
the relationship between hardware and software, controllata e revisionata. In particolare, le relazioni
as represented by the Software Requirements tra hardware e software, come sono rappresentate
Specification and software/hardware integration, dalla Specifica dei requisiti del Software e dall’inte-
shall be strictly managed, and the standard grazione software/hardware, devono essere gestite
EN 50128 shall be adhered to. Table E.7 gives in maniera rigorosa e devono concordare con la
guidance on design and development of sys- EN 50128. La Tab. E.7 fornisce indicazioni relative
tem/sub-system/equipment for each Safety Integ- alla progettazione ed allo sviluppo di un siste-
rity Level. ma/sottosistema/apparecchiatura per ogni Livello
di Integrità della Sicurezza.
ate stages in the life-cycle. Such reviews shall essere fatte revisioni di sicurezza. Queste revisioni
be specified in the Safety Plan, and their results devono essere specificate nel Piano della Sicurez-
fully documented. Any alteration or extension za ed i loro risultati devono essere interamente
to the system, sub-system or equipment shall documentati. Anche ogni modifica o ampliamento
also be subject to review. del sistema, sottosistema o apparecchiatura devo-
no essere soggetti alla revisione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 23 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3.10 Safety justification Giustificazione della sicurezza
The evidence that the system/sub-sys- L’evidenza che il sistema/sottosistema/apparecchia-
tem/equipment meets the defined conditions tura corrisponde alle condizioni definite per l’accet-
for safety acceptance shall be presented in a tazione di sicurezza deve essere presentata in un
structured safety justification document documento strutturato di giustificazione della sicu-
known as the Safety Case, as explained rezza denominato Istruttoria per la Sicurezza, come
in 5.1 of this standard. spiegato al punto 5.1 della presente Norma.
systems and safety monitoring defined in the to le procedure, i sistemi di supporto ed il monito-
Safety Plan and in Section 5 of the Technical raggio della sicurezza definiti nel Piano della Sicu-
Safety Report (part of the Safety Case) shall be rezza e nella Parte 5 della Relazione sulla Sicurezza
adhered to. Tecnica (parte dell’Istruttoria per la Sicurezza).
During the operational life of a system, change Durante la vita operativa di un sistema, è possibile
requests may be raised for a variety of reasons, che vengano richieste delle modifiche per varie ra-
not all of which will be safety-related. Each gioni, non tutte correlate con la sicurezza. L’impatto
change request shall be assessed for its impact sulla sicurezza di ogni richiesta di modifica deve es-
on safety, by reference to the relevant portion sere valutato facendo riferimento alla parte corri-
of the safety documentation. Where a change spondente della documentazione di sicurezza. Nel
request results in a modification which could af- caso che una richiesta di modifica dia luogo ad una
fect the safety of the system, or associated sys- modifica che potrebbe influire sulla sicurezza del si-
tems, or the environment, the appropriate por- stema, o dei sistemi associati, o dell’ambiente, deve
tion of the safety life-cycle shall be repeated to essere ripetuta la parte appropriata del ciclo di vita
ensure that the implemented modification does della sicurezza per garantire che la modifica intro-
not unacceptably reduce the level of safety. Ta- dotta non riduca in modo inaccettabile il livello di
ble E.10 gives guidance on Application, Opera- sicurezza. La Tab. E.10 fornisce delle indicazioni
tion and Maintenance for each Safety Integrity sull’applicazione, l’esercizio e la manutenzione per
Level. ogni Livello di Integrità della Sicurezza.
5.4 Evidence of functional and technical safety Prova della sicurezza funzionale e tecnica
In addition to the evidence of quality and safety Oltre alla prova della gestione della qualità e della
management, described in 5.2 and 5.3 of this sicurezza descritte nei punti 5.2 e 5.3 della presente
standard, a third condition shall be satisfied be- Norma, una terza condizione deve essere soddisfat-
fore a system/sub-system/equipment can be ac- ta prima che un sistema, un sottosistema o una ap-
cepted as adequately safe for its intended appli- parecchiatura possano essere accettati come ade-
cation. This consists of technical evidence for guatamente sicuri per l’uso che si intende farne.
the safety of the design, which shall be docu- Essa consiste in una prova tecnica della sicurezza
mented in the Technical Safety Report. This della progettazione. che deve essere documentata
document forms Part 4 of the Safety Case for nella Relazione sulla Sicurezza Tecnica. Questo do-
the system/sub-system/equipment, as explained cumento costituisce la Parte 4 dell’Istruttoria per la
in 5.1 of this standard. Sicurezza del sistema/sottosistema/apparecchiatura,
come spiegato al punto 5.1 della presente Norma.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 24 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The Technical Safety Report is mandatory for La Relazione sulla Sicurezza Tecnica è obbligatoria
Safety Integrity Levels 1 to 4 inclusive (see An- per i Livelli di Integrità della Sicurezza da 1 a 4 com-
nex A for explanation of Safety Integrity Lev- preso (vedi Allegato A per la spiegazione dei Livelli
els). However, the depth of the information and di Integrità della Sicurezza). Comunque il dettaglio
the extent of the supporting documentation dell’informazione e la copertura della documenta-
should be appropriate to the Safety Integrity zione di supporto dovrebbero essere appropriati ri-
Level of the system/sub-system/equipment un- spetto al Livello di Integrità della Sicurezza del siste-
der scrutiny. The requirements for Safety Integ- ma/sottosistema/apparecchiatura sotto esame. I
rity Level 0 (non-safety-related) are outside the requisiti per il Livello 0 di Integrità della Sicurezza
scope of this safety standard. (non correlato con la sicurezza) sono al di fuori del
campo di applicazione della presente Norma per la
sicurezza.
The Technical Safety Report shall explain the La Relazione sulla Sicurezza Tecnica deve spiegare i
technical principles which assure the safety of principi tecnici che garantiscono la sicurezza della
the design, including (or giving references to) progettazione, comprendendo (o fornendo i riferi-
all supporting evidence (for example, design menti per) tutte le prove di supporto (ad esempio, i
principles and calculations, test specifications principi di progettazione ed i calcoli, le specifiche
and results, and safety analyses). delle prove ed i risultati, e le analisi di sicurezza).
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The Technical Safety Report shall be arranged La Relazione sulla Sicurezza Tecnica deve essere
under the following headings: organizzata secondo le sottoindicate intestazioni:
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 25 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
2.3 Fulfilment of System Requirements Specifi- 2.3 Soddisfacimento della Specifica dei Requisiti
cation (see B.2.3); del Sistema (vedi B.2.3);
2.4 Fulfilment of Safety Requirements Specifi- 2.4 Soddisfacimento della Specifica dei Requisiti
cation (see B.2.4); della Sicurezza (vedi B.2.4);
2.5 Assurance of correct hardware functionality 2.5 Assicurazione del corretto funzionamento
(see B.2.5); dell’hardware (vedi B.2.5);
2.6 Assurance of correct software functionality 2.6 Assicurazione del corretto funzionamento del
(see B.2.6). software (vedi B.2.6).
ard. This section shall demonstrate which tech- Norma. Questa parte deve dimostrare quali sono
nical measures have been taken to reduce the le misure tecniche adottate per ridurre il rischio
consequent risk to an acceptable level. conseguente ad un livello accettabile.
This section shall also include demonstration Questa parte deve anche includere la dimostra-
that faults in any system/sub-system/equipment zione che i guasti di ogni sistema/sottosiste-
having a Safety Integrity Level lower than that ma/apparecchiatura con un Livello di Integrità
of the overall system, including Level 0, cannot della Sicurezza inferiore a quella del sistema glo-
reduce the safety of the overall system. bale, compreso il Livello 0, non possono ridurre
la sicurezza del sistema globale.
The following headings shall be used in this I seguenti argomenti, per i quali al punto B.3 ven-
section, for which more detailed requirements gono forniti requisiti più dettagliati, devono essere
are contained in B.3. Guidance is also given in contenuti in questa parte. Vengono inoltre fornite
Table E.5 and Table E.6. indicazioni nella Tab. E.5 e nella Tab. E.6.
3.1 Effects of single faults (see B.3.1); 3.1 Effetti dei guasti singoli (vedi B.3.1);
3.2 Independence of items (see B.3.2); 3.2 Indipendenza delle unità (vedi B.3.2);
3.3 Detection of single faults (see B.3.3); 3.3 Rilevamento dei guasti singoli (vedi B.3.3);
3.4 Action following detection (including re- 3.4 Azioni dopo il rilevamento (compreso il mante-
tention of safe state) (see B.3.4); nimento in uno stato di sicurezza) (vedi B.3.4);
3.5 Effects of multiple faults (see B.3.5); 3.5 Effetti dei guasti multipli (vedi B.3.5);
3.6 Defence against systematic faults (see 3.6 Protezione contro i guasti sistematici (vedi
B.3.6). B.3.6).
The Safety Case is therefore valid only within the L’Istruttoria per la Sicurezza ha valore unicamente
specified range of external influences, as defined entro il limite specificato per le influenze esterne
in the System Requirements Specification. Safety is così come definito nelle Specifiche dei Requisiti
not assured outside these limits, unless additional del Sistema. Fuori da questi limiti, la sicurezza
special measures are provided. non è garantita, a meno che non vengano fornite
misure specifiche supplementari.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 26 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The methods used to withstand the specified I metodi utilizzati per sopportare le influenze
external influences shall be fully explained and esterne specificate devono essere spiegati e giu-
justified. stificati completamente.
More detailed requirements are contained in B.4. Requisiti più dettagliati sono contenuti in B.4.
This section shall contain evidence to demon- Questa parte deve contenere la prova per dimo-
strate successful completion, under operational strare il completamento con successo delle prove
conditions, of the Safety Qualification Tests. di Qualifica della Sicurezza nelle condizioni ope-
These are explained in B.6. rative. Queste vengono spiegate in B.6.
The structure of the Technical Safety Report is La struttura della Relazione sulla Sicurezza Tecni-
illustrated in Figure 7. ca è illustrato in Fig. 7.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 27 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. 7 Structure of Technical Safety Report Struttura della Relazione sulla Sicurezza Tecnica
RELAZIONE SULLA
SICUREZZA
TECNICA
Technical
Safety
Report
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 28 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
These three conditions have been explained in Queste tre condizioni vengono spiegate ai punti
5.2, 5.3 and 5.4 of this standard. 5.2, 5.3 e 5.4 della presente Norma.
The evidence of quality management, safety Le prove della gestione della qualità, della gestione
management and functional/technical safety della sicurezza e della sicurezza funzionale/tecnica
shall be included in the Safety Case, as shown devono fare parte dell’Istruttoria per la Sicurezza,
in 5.1 and Figure 3. come indicato al punto 5.1 e nella Fig. 3.
Three different categories of Safety Case can be Si possono considerare tre tipi diversi di Istrutto-
considered: ria per la Sicurezza:
Generic product Safety Case (independ- Istruttoria per la Sicurezza per i prodotti
ent of application) generici (indipendenti dall’applicazione)
A generic product can be re-used for differ- Un prodotto generico può essere utilizzato
ent independent applications; per diverse applicazioni indipendenti.
Generic application Safety Case (for a Istruttoria per la Sicurezza per un’applicazio-
class of application) ne generica (per una classe di applicazione)
A generic application can be re-used for a Un’applicazione generica può essere riutilizzata
class/type of application with common per una classe o un tipo di applicazione con ana-
functions; loghe funzioni.
Specific application Safety Case (for a Istruttoria per la Sicurezza per un’applica-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
It is essential to demonstrate for each “specific” È essenziale dimostrare per ogni applicazione
application that the environmental conditions “specifica” che le condizioni ambientali ed il con-
and context of use are compatible with the “ge- testo di utilizzazione sono compatibili con quelli
neric” application conditions (see 5.5.4). dell’applicazione “generica” (vedi 5.5.4).
In all three categories, the structure of the Safe- In tutte le tre categorie, la struttura dell’Istruttoria
ty Case and the procedure for obtaining Safety per la Sicurezza e la procedura per ottenere l’ap-
approval are basically the same. However, there provazione della sicurezza sono essenzialmente le
is an additional factor for specific applications: stesse. Tuttavia per le applicazioni specifiche c’è
in this category, separate Safety approval is un elemento aggiuntivo: per questa categoria oc-
needed for the application design of the system corre una approvazione separata della sicurezza
and for its physical implementation (e.g., manu- per la progettazione dell’applicazione del sistema
facture, installation, test, and facilities for opera- e per la sua realizzazione fisica (esempio: fabbri-
tion and maintenance). For this reason, the cazione, installazione, prove e supporti per l’eser-
Safety Case for specific applications shall be di- cizio e la manutenzione). È per questo motivo
vided into two portions: che l’Istruttoria per la Sicurezza per le applicazio-
ni specifiche deve essere divisa in due parti:
the Application Design Safety Case: this l’Istruttoria per la Sicurezza per la progettazio-
shall contain the safety evidence for the the- ne dell’applicazione: deve contenere la prova
oretical design of the specific application; della sicurezza della progettazione teorica
dell’applicazione specifica;
the physical implementation Safety Case: l’Istruttoria per la Sicurezza della realizzazione
this shall contain the safety evidence for the fisica: deve contenere la prova della sicurezza
physical implementation of the specific ap- della realizzazione fisica dell’applicazione
plication. specifica
Both portions shall be structured as shown Le due parti devono essere organizzate come de-
in 5.1 and Figure 3. scritto al punto 5.1 e nella Fig. 3.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 29 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
software) has been designed to meet its speci- state svolte dall’incaricato della valutazione della si-
fied requirements, and possibly specify some curezza, per determinare come il sistema, il sottosi-
additional conditions for the operation of the stema o l’apparecchiatura (hardware e software) è
system/sub-system/equipment. The depth of stato progettato per rispondere ai suoi requisiti spe-
the safety assessment, and the degree of inde- cificati, e definire eventualmente alcune condizioni
pendence with which it is carried out, are based supplementari per l’esercizio del sistema/ sottosiste-
on the results of the risk classification, as ex- ma/ apparecchiatura. Il grado di approfondimento
plained in EN 50126. Specific tests may be re- della valutazione di sicurezza ed il grado di indipen-
quired by the safety assessor in order to in- denza con il quale è stata fatta, sono basati sui risul-
crease confidence. tati della classificazione dei rischi, come spiegato
nella EN 50126. Prove specifiche possono essere ri-
chieste dall’incaricato della valutazione della sicurez-
za al fine di aumentare l’attendibilità.
The overall documentary evidence shall consist of La prova documentale complessiva deve com-
prendere
the System (or sub-system/equipment) la Specifica dei Requisiti del Sistema (o
Requirements Specification, sottosistema/apparecchiatura)
the Safety Requirements Specification, la Specifica dei Requisiti della Sicurezza,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Provided all the conditions for safety accept- Stabilito che tutte le condizioni di accettazione della
ance have been satisfied, as demonstrated by sicurezza sono state soddisfatte, come dimostrato
the Safety Case, and subject to the results of the dall’Istruttoria per la Sicurezza, e conseguentemente
independent safety assessment, the sys- ai risultati della valutazione indipendente della sicu-
tem/sub-system/equipment may be granted rezza, può essere assegnata l’approvazione di sicu-
safety approval by the relevant safety authority. rezza per il sistema/sottosistema/apparecchiatura da
Approval may be subject to the fulfilment of ad- parte dell’Autorità di Sicurezza competente. Un’ap-
ditional conditions (temporary or permanent) provazione può essere soggetta al soddisfacimento
imposed by the safety assessor. di condizioni supplementari (temporanee o perma-
nenti) imposte dall’incaricato della valutazione di si-
curezza.
For a generic product (i.e. independent of ap- Per un prodotto generico (cioè indipendente
plication), and for a generic application (i.e. dall’applicazione) e per un’applicazione generica
class of application), it should be possible for (cioè classe di applicazione) dovrebbe essere
safety approval granted by one safety authority possibile che l’approvazione della sicurezza data
to be accepted by other safety authorities (i.e.: da un’Autorità di Sicurezza possa essere accettata
cross-acceptance). This is not considered possi- dalle altre Autorità di Sicurezza (cioè accettazione
ble for specific applications. reciproca). Questo non viene considerato possibi-
le per le applicazioni specifiche.
The safety approval process, for all three cate- Il processo di approvazione della sicurezza, per le
gories of Safety Case, is illustrated in Figure 8. tre categorie di Istruttoria per la Sicurezza è illu-
strato nella Fig. 8.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 30 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 31 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. 8 Safety acceptance and approval process
SPECIFIC APPLICATION
SAFETY CASE
GENERIC
GENERIC PRODUCT
APPLICATION
SAFETY CASE
SAFETY CASE
APPLICATION PHYSICAL
DESIGN IMPLEMENTATION
Part 1 - - - Part 1 - - -
Part 2 - - - Part 2 - - -
Part 3 - - - Part 3 - - - Part 1 - - - Part 1 - - -
Part 4 - - - Part 4 - - - Part 2 - - - Part 2 - - -
Part 5 - - - Part 5 - - - Part 3 - - - Part 3 - - -
Part 6 - - - Part 6 - - - Part 4 - - - Part 4 - - -
Part 5 - - - Part 5 - - -
Part 6 - - - Part 6 - - -
PRODUCT APPLICATION
SAFETY SAFETY
ACCEPTANCE ACCEPTANCE OVERALL SAFETY ACCEPTANCE
CROSS- CROSS-
ACCEPTANCE ACCEPTANCE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 32 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Processo di approvazione e di accettazione della
sicurezza
Parte 1 - - - Parte 1 - - -
Parte 2 - - - Parte 2 - - -
Parte 3 - - - Parte 3 - - - Parte 1 - - - Parte 1 - - -
Parte 4 - - - Parte 4 - - - Parte 2 - - - Parte 2 - - -
Parte 5 - - - Parte 5 - - - Parte 3 - - - Parte 3 - - -
Parte 6 - - - Parte 6 - - - Parte 4 - - - Parte 4 - - -
Parte 5 - - - Parte 5 - - -
Parte 6 - - - Parte 6 - - -
ACCETTAZIONE ACCETTAZIONE
DELLA SICUREZZA DELLA SICUREZZA ACCETTAZIONE DELLA SICUREZZA
DEL PRODOTTO DELL’APPLICAZIONE COMPLESSIVA
ACCETTAZIONE ACCETTAZIONE
INCROCIATA INCROCIATA
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 33 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.5.3 After safety approval Dopo l’approvazione della sicurezza
After a system/sub-system/equipment has re- Dopo che un sistema/sottosistema/apparecchiatu-
ceived safety approval, any subsequent modifi- ra ha ricevuto l’approvazione di sicurezza, ogni
cation shall be controlled using the same quali- modifica ulteriore deve essere controllata utiliz-
ty management, safety management and zando la stessa gestione della qualità, della sicu-
functional/technical safety criteria as would be rezza e gli stessi criteri di sicurezza funziona-
used for a new design. All relevant documenta- le/tecnica che sarebbero utilizzati per una nuova
tion, including the Safety Case, shall be updated progettazione. Tutta la documentazione relativa,
or supplemented by additional documentation, ivi compresa l’Istruttoria per la Sicurezza, deve es-
and the modified design shall be submitted for sere aggiornata o completata da una documenta-
approval. zione supplementare, e la progettazione modifica-
ta deve essere sottoposta ad approvazione.
Once an installed system/sub-system/equip- Dopo che un sistema/sottosistema/apparecchiatura
ment has been commissioned, appropriate pro- installati sono stati attivati devono essere utilizzate
cedures, support systems and safety monitoring, procedure appropriate, sistemi di supporto ed il
as defined in the Safety Plan and in Section 5 of monitoraggio della sicurezza, come definito nel
the Technical Safety Report (part of the Safety Piano della Sicurezza e nella Parte 5 della Relazio-
Case), shall be used to ensure continued safe ne sulla Sicurezza Tecnica (Parte dell’Istruttoria per
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
operation throughout its working life, including la Sicurezza), per garantire un esercizio sicuro e
operation, maintenance, alteration, extension continuo durante tutta la loro vita attiva, compren-
and eventual decommissioning. These activities dente esercizio, manutenzione, modifiche, amplia-
shall be controlled using the same quality man- menti ed eventuale disattivazione. Queste attività
agement, safety management and technical devono essere controllate utilizzando la stessa ge-
safety criteria as for the original design. All rele- stione della qualità, gestione della sicurezza e crite-
vant documentation shall be kept up-to-date, ri di sicurezza tecnica della progettazione originale.
including the Safety Case, and any alterations or Tutta la documentazione relativa, compresa l’Istrut-
extensions shall be submitted for approval. toria per la Sicurezza deve essere aggiornata e tutte
le modifiche o ampliamenti devono essere sotto-
poste ad approvazione.
5.5.4 Dependency between safety approvals Dipendenza tra le approvazioni della sicurezza
As mentioned in 5.1 of this standard, the Safety Come menzionato nel punto 5.1 della presente
Case for a system may depend on the Safety Norma, l’Istruttoria per la Sicurezza per un siste-
Cases of other sub-systems or equipment. In ma può dipendere dalle Istruttorie per la Sicurez-
such circumstances, safety approval of the main za di altri sottosistemi o apparecchiature. In tali
system is not possible without previous Safety casi, l’approvazione della sicurezza del sistema
approval of the related sub-systems/equipment. principale non è possibile senza la precedente
approvazione della sicurezza dei sottosistemi/ap-
parecchiature correlate.
If Safety approval has been obtained for a ge- Se è stata ottenuta l’approvazione della sicurezza
neric product, or for a generic application, a per un prodotto generico o per un’applicazione
reference may be made to this in the applica- generica, si può fare riferimento ad essa per l’ap-
tion for Safety approval of a specific applica- provazione della sicurezza per un’applicazione
tion; it is not necessary to repeat the generic ap- specifica; non è necessario ripetere il processo di
proval process for each application. This approvazione generico per ogni applicazione.
dependency between Safety Approvals is illus- Questa dipendenza tra le approvazioni della sicu-
trated in Figure 9. rezza è illustrata nella Fig. 9.
A safety case may be based on demonstration Un’Istruttoria per la Sicurezza può essere basata sul-
that the proposed specific application is techni- la dimostrazione che l’applicazione specifica propo-
cally equivalent to an existing application with sta è tecnicamente equivalente ad un applicazione
specific safety approval. A new safety approval esistente con approvazione specifica della sicurezza.
for this specific application is necessary. Una nuova approvazione della sicurezza per questa
applicazione specifica è necessaria.
It is essential to ensure in such examples of de- È fondamentale accertarsi per questi casi di dipen-
pendency that the Safety-Related Application denza che le condizioni di applicazione correlate
Conditions stated in the Technical Safety Report con la sicurezza, stabilite nella Relazione sulla Sicu-
of each Safety Case are fulfilled in the high- rezza Tecnica di ogni Istruttoria per la Sicurezza sia-
er-level Safety Case, or else are carried forward no state rispettate nell’Istruttoria per la Sicurezza di
into the Safety-Related Application Conditions livello superiore o altrimenti siano state riportate
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 34 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
of the higher-level Safety Case. nelle condizioni di applicazione correlate con la si-
curezza dell’Istruttoria per la Sicurezza di livello su-
periore.
Fig. 9 Examples of dependencies between Safety Cases Esempi di dipendenze tra le Istruttorie per la Sicu-
/Safety Approval rezza /Approvazione della sicurezza
APPLICAZIONI
SISTEMA A SISTEMA B
SPECIFICHE
SYSTEM A SYSTEM B
SPECIFIC
APPLICATIONS
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
SOTTO-SISTEMA 4
SUB-SYSTEM 4
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 35 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
normative
A normativo SAFETY INTEGRITY LEVELS LIVELLI DI INTEGRITÀ DELLA SICUREZZA
Requirements which are related to safety are I Requisiti correlati con la sicurezza vengono ge-
usually called safety requirements. These may neralmente chiamati Requisiti di Sicurezza. Essi
be contained in a separate safety requirements possono essere contenuti in un documento a par-
specification. te chiamato Specifica dei Requisiti di Sicurezza.
Safety requirements may be considered in two I Requisiti di Sicurezza possono essere considerati
parts: in due parti:
safety functional requirements; i requisiti funzionali di Sicurezza;
safety integrity requirements. i requisiti di integrità della Sicurezza.
Safety functional requirements are the actual safe- I requisiti funzionali di sicurezza riguardano le re-
ty-related functions which the system, sub-system ali funzioni correlate con la sicurezza che il siste-
or equipment is required to carry out. ma, sottosistema o apparecchiatura deve svolgere.
Safety integrity requirements define the level of I requisiti di integrità della sicurezza definiscono il
safety integrity required for each safety-related Livello di Integrità della Sicurezza richiesto per
function. ogni funzione correlata con la Sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 36 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.1 Safety requirements and safety integrity Requisiti di sicurezza e integrità della sicurezza
SPECIFICATION
Systematic failure integrity is the non-quantifiable L’integrità per i malfunzionamenti sistematici rap-
part of the safety integrity and relates to hazard- presenta la parte non quantificabile dell’integrità
ous systematic faults (hardware or software). Sys- della sicurezza e corrisponde ai guasti sistematici
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 37 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tematic faults are caused by human errors in the pericolosi (hardware e software). I guasti sistema-
various stages of the system/sub-system/equip- tici sono dovuti a errori umani durante le varie
ment life-cycle. fasi del ciclo di vita del sistema/sottosistema/ap-
parecchiatura.
EXAMPLE specification errors; ESEMPIO errori di specifica;
design errors; errori di progettazione;
manufacturing errors; errori di fabbricazione;
installation errors; errori d’installazione;
operation errors; errori d’esercizio;
maintenance errors; errori di manutenzione;
modification errors. errori di modifiche.
Systematic failure integrity is achieved by means L’integrità della sicurezza per i malfunzionamenti
of the quality management and safety manage- sistematici si ottiene mediante le condizioni di ge-
ment conditions specified in 5.2 and 5.3 of this stione della qualità e della sicurezza specificate ai
standard. punti 5.2 e 5.3 della presente Norma.
Technical defences against systematic faults are Le protezioni tecniche da guasti sistematici sono
included in the technical safety conditions spec- incluse nelle condizioni di sicurezza tecnica spe-
ified in 5.4 of this standard. cificate al 5.4 della presente Norma.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Because it is not possible to assess systematic Poichè non è possibile valutare l’integrità per i
failure integrity by quantitative methods, Safety malfunzionamenti sistematici con dei metodi
Integrity Levels are used to group methods, quantitativi, i Livelli di Integrità della Sicurezza
tools and techniques which, when used effec- vengono utilizzati per raggruppare diversi metodi,
tively, are considered to provide an appropriate strumenti e tecniche che, se usate efficacemente,
level of confidence in the realisation of a system consentono di ottenere un livello appropriato di
to a stated integrity level (see Annex E). confidenza nella realizzazione di un sistema con
un definito livello di integrità (vedi l’Allegato E).
Random failure integrity is that part of the safety L’integrità per i malfunzionamenti casuali è la par-
integrity which relates to hazardous random te dell’integrità della sicurezza relativa ai malfun-
faults, in particular random hardware faults, zionamenti casuali pericolosi, in particolare i mal-
which are the result of the finite reliability of funzionamenti hardware casuali che derivano
hardware components. dall’affidabilità limitata dei componenti hardware.
The achievement of random failure integrity is L’ottenimento dell’integrità per i malfunzionamen-
included within the technical safety conditions ti casuali è incluso nelle condizioni della sicurez-
specified in 5.4 of this standard. za tecnica specificate al 5.4 di questa norma.
A quantified assessment of random failure in- Una valutazione quantificata dell’integrità per i
tegrity shall be carried out, by means of proba- malfunzionamenti casuali deve essere fatta con
bilistic calculations. These are based on known l’aiuto di calcoli probabilistici. Questi si basano su
data for hardware component failure rates and dati noti per i tassi di malfunzionamento dei com-
failure modes, and disclosure times of random ponenti hardware ed i modi di malfunzionamen-
hardware failures. In the case of components to, ed il tempo di riconoscimento dei malfunzio-
with inherent physical properties (see Annex C) namenti casuali. In caso di componenti con
a hazardous failure rate of zero is generally as- proprietà fisiche intrinseche (vedi l’Allegato C), si
sumed, although a residual risk of hazardous suppone generalmente che il tasso di malfunzio-
failure may exist and should be defended namento pericoloso sia uguale a zero, anche se
against as specified in 5.4 and B.3.6 of this un rischio residuo di malfunzionamento pericolo-
standard. so può esistere e dovrebbe essere contrastato
come specificato al 5.4 e al B.3.6 di questa norma.
The allocation of safety integrity requirements L’attribuzione dei requisiti di integrità della sicu-
and of safety integrity levels are described in rezza ed i Livelli di Integrità della Sicurezza sono
A.4 and A.5 respectively. descritti rispettivamente in A4 e A5.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 38 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
A.4 Allocation of safety integrity requirements Attribuzione dei requisiti di integrità della
sicurezza
A methodology to determine safety integrity re- Deve essere sistematicamente applicata una meto-
quirements for railway signalling equipment, dologia per stabilire i requisiti di integrità della si-
taking into account both the operational envi- curezza delle apparecchiature di segnalamento
ronment and the architectural design of the sig- ferroviario, tenendo conto dell’ambiente operati-
nalling system, shall be systematically applied. vo e del progetto architetturale del sistema di se-
gnalamento.
At the heart of this approach is a well defined in- Al centro di quest’approccio c’è un’interfaccia ben
terface between the operational environment and definita tra l’ambiente operativo ed il sistema di
the signalling system. From the safety point of segnalamento. Dal punto di vista della Sicurezza,
view this interface is defined by a list of hazards quest’interfaccia consiste in una lista di situazioni
and associated tolerable hazard rates within the pericolose con associati tassi tollerabili di situazio-
system. It should be noted that the purpose of this ni pericolose all’interno del sistema. Da notare
approach is not to limit co-operation between che lo scopo di questo approccio non è di limita-
suppliers and railways authorities but to clarify re- re la cooperazione tra i fornitori e Autorità Ferro-
sponsibilities and interfaces. viaria, ma di chiarire responsabilità ed interfacce.
From this interface the analysis proceeds as fol- A partire da quest’interfaccia, l’analisi procede
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The global process consists of risk analysis and Il processo globale consiste in un’analisi dei rischi
hazard control, see Figure A.2. The risk analysis e nel controllo delle situazioni pericolose. (vedi
produces tolerable hazard rates which are the Fig. A.2). L’analisi dei rischi consente di definire i
input to the hazard control. tassi tollerabili di situazioni pericolose, che sono i
dati di ingresso per il controllo delle situazioni
pericolose.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 39 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.2 Global process overview
Risk Analysis
Railways Authority’s Responsibility
System Definition
Hazard Identification
Consequence Analysis
Risk Estimation
THR Allocation
H THR
H THR
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
H THR
Causal Analysis
Common Cause Analysis
SIL Allocation
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 40 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Vista d’insieme del processo globale
TÀ PER LA SICUREZZA
Definizione del sistema
Identificazione delle
situazioni pericolose
Analisi delle conseguenze
Valutazione dei rischi
Attribuzione dei THR
H THR
H THR
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
H THR
I
(H) potenziali
TO
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 41 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.3 Example risk analysis process
IDENTIFY
IDENTIFY Accidents
Hazards
System Hazard IDENTIFY Forecast
ANALYSE System Definition Log Near misses Accidents
ESTIMATE
Hazards Rates
IDENTIFY
Safe States
Safety
Requirement Next Step
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Specification
Forecast Individual COMPARE
DETERMINE
Accidents Risk with Target
Individual Risk Tolerable Supplier’s
Individual Risk
Hazard Rates Responsibility
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 42 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio di un processo di analisi dei rischi
IDENTIFICARE
IDENTIFICARE gli incidenti
le H
ANALIZZARE Definizione Registro Elenco
IDENTIFICARE
il sistema del sistema delle H degli incidenti
VALUTARE i mancati incidenti
potenziali
i tassi di accadi-
IDENTIFICARE
mento delle H
gli stati di
sicurezza
Specifica
Passi successivi
delle esigenza di
sicurezza
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Gestione delle
Valutazione dei rischi Attribuzione dei THR Situazioni pericolose
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 43 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The empirical and creative phases of Hazard Le fasi empiriche e creative di identificazione del-
Identification complement one another, increas- le situazioni pericolose si completano l’una con
ing confidence that the potential hazard space l’altra, aumentando l’attendibilità che l’area di po-
has been covered and that all significant haz- tenziale situazione pericolosa è stata coperta e
ards have been identified. che tutte le situazioni pericolose significative sono
state ben identificate.
Note/Nota Methodologies which generate an unrealistically large I metodi che producono un numero irrealisticamente ampio di
number of mostly trivial or imprecisely defined hazards are situazione pericolose, per la maggior parte banali oppure non
wasteful of resource and can lead to a misleading or unpro- precisamente definite sono dispendiosi di risorse e possono por-
ductive risk assessment. With the exception of large under- tare ad una fuorviante o improduttiva valutazione dei rischi.
takings, involving many personnel, activities and equip- All’infuori di grandi imprese, che comportano molto personale,
ment, a large list of hazards extending into the hundreds is attività e apparecchiature, un elenco esteso che comprende
unreasonable and indicative of a poorly designed or con- centinaia di situazioni pericolose è poco sensato e indica uno
ducted study. studio mal concepito o male eseguito.
The hazards depend on the system definition Le situazioni pericolose dipendono dalla definizio-
and in particular the system boundary, which ne del sistema e in particolare dai confini del siste-
allows a hierarchical structuring of hazards with ma, che consente una strutturazione gerarchica
respect to systems and sub-systems. It also delle situazioni pericolose riguardo a sistemi e sot-
means that hazard identification and causal tosistemi. Ciò vuol dire anche che l’identificazione
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
analysis shall be performed repeatedly at sever- delle situazioni pericolose e l’analisi delle cause
al levels of detail during the system develop- devono essere effettuate ripetutamente a più livelli
ment. di dettaglio durante lo sviluppo del sistema.
Figure A.4 shows that the cause of a hazard at La Fig. A.4 mostra che la causa di una situazione
system level may be considered as a hazard at pericolosa a livello di sistema può essere conside-
sub-system level (with respect to the sub-sys- rata come una situazione pericolosa a livello di
tem boundary). Thus this definition enables a sottosistema (con riferimento ai confini del sotto-
structured hierarchical approach to hazard anal- sistema). Questa definizione consente quindi un
ysis and hazard tracking. approccio gerarchico strutturato per l’analisi e per
la tracciabilità delle situazioni pericolose.
Fig. A.4 Definition of hazards with respect to the system Definizione delle situazioni pericolose (H) con riferi-
boundary mento ai confini del sistema
Incidente l
Accident l
Causa
Cause
Confine sistema
Confine del sottosistema System boundary
Subsystem boundary
Causa Conseguenze
Cause Consequences
To further ensure that risk assessment effort is Per accertarsi meglio che lo sforzo di valutazione
focused upon the most significant hazards, the del rischio si concentri sulle situazioni pericolose
hazards should, once identified, be ordered in più significative, le situazioni pericolose, una vol-
terms of their perceived risk level. ta identificate, dovrebbero essere classificate in
termini di loro livello di rischio percepito.
All identified hazards and other pertinent infor- Tutte le situazioni pericolose identificate e ogni
mation shall be recorded in a Hazard Log. altra informazione pertinente deve essere registra-
ta nel Registro delle situazioni pericolose.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 44 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
A.4.1.2 Consequences analysis, risk estimation and allocation Analisi delle conseguenze, stima dei rischi, attribuzione
of tolerable hazards rates del tasso di accadimento delle situazioni pericolose
tollerabile
It is the responsibility of the railway authority L’Autorità Ferroviaria ha la responsabilità di:
to analyse the consequences, i.e. the losses, analizzare le conseguenze, cioè le perdite,
to define the risk tolerability criteria, definire i criteri di tollerabilità del rischio,
to derive the tolerable hazard rates, and dedurre i tassi di accadimento delle situazioni
pericolose tollerabili, e
to ensure that the resulting risk is tolerable accertarsi che il rischio che ne risulta è tollera-
(with respect to the appropriate risk tolera- bile (riguardo agli appropriati criteri di tollera-
bility criteria). bilità del rischio).
The only requirement is that the resulting toler- L’unico requisito è che i tassi tollerabili di accadi-
able hazard rates shall be derived taking into mento risultanti delle situazioni pericolose devono
account the risk tolerability criteria. Risk tolera- essere dedotti tenendo conto dei criteri di tollerabili-
bility criteria are not defined by this standard, tà del rischio. I criteri di tollerabilità del rischio non
but depend on national or European legislative sono definiti da questa norma, ma dipendono dai
requirements. requisiti legislativi nazionali ed europei.
The analysis methods shall either: I metodi di analisi dovranno,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
estimate the resulting (individual) risk ex- stimare esplicitamente il rischio (individuale)
plicitly, or ottenuto, oppure
derive the tolerable hazard rates from a dedurre i tassi tollerabili di accadimento delle
comparison with the performance of exist- situazioni pericolose paragonandoli con le
ing systems or acknowledged rules of tech- prestazioni di sistemi esistenti o con regole
nology, either by statistical or analytical tecnologiche riconosciute con metodi statistici
methods, or o analitici, oppure
derive the tolerable hazard rates from alter- dedurre i tassi tollerabili di accadimento delle
native qualitative approaches, if as a result situazioni pericolose da approcci qualitativi
they define a list of hazards and corre- alternativi, se come risultato essi definiscono
sponding THR. una lista di situazioni pericolose e i corrispon-
denti THR.
It is important to note that this approach gives È importante rilevare che quest’approccio dà alle
the railway authorities the freedom to define Autorità Ferroviaria la libertà di definire le situazio-
the hazards and corresponding THRs at any lev- ni pericolose ed i THR corrispondenti ad ogni livel-
el, according to their particular needs. While lo, secondo le loro particolari esigenze. Mentre una
one railway authority may set very general, Autorità Ferroviaria può fissare obiettivi molto ge-
high-level targets, another may set very detailed nerali di alto livello, un’altra può fissare obiettivi
targets at the level of safety functions. molto dettagliati a livello di funzioni di sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 45 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tion) to meet the safety requirements; luzione tecnica) per rispettare i requisiti di Si-
curezza;
determine the safety integrity requirements determinare i requisiti d’integrità della sicu-
for the sub-systems; rezza per i sottosistemi;
complete the safety requirements specifica- completare la specifica dei requisiti di sicurez-
tion; za;
analyse the system/sub-system to meet the analizzare il sistema/sottosistema per rispetta-
requirements; re i requisiti;
identify potential new hazards arising out of identificare le potenziali nuove situazioni pe-
the system/sub-system design through the ricolose che emergono dalla progettazione
design and verification processes, and either del sistema/sottosistema, durante i processi di
ensure the new potential hazards are covered progettazione e di verifica e o assicurare che
by the existing functionality or, if the new po- le nuove situazioni potenzialmente pericolose
tential hazards require extra functionality or siano coperte dalle funzionalità esistenti, op-
mitigation outside the system/sub-system, pure, se le nuove situazioni potenzialmente
transfer the potential hazards back to risk pericolose richiedono delle funzionalità o del-
analysis for further treatment; le mitigazioni supplementari esterne al siste-
ma/sottosistema, riportare le potenziali situa-
zioni pericolose all’analisi dei rischi per un
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 46 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tioned leading to failure rates for the equip- stemi vengono ulteriormente ripartiti portando al
ment, but on this physical or implementation tasso di malfunzionamento per le apparecchiature,
level the SIL remains unchanged. Consequently ma a questo livello fisico o realizzativo il SIL rimane
also the software SIL defined by EN 50128 immutato. Di conseguenza, anche il SIL del software
would be the same as the sub-system SIL ex- definito dalla EN 50128 dovrebbe essere identico a
cept in the case of the exceptions described in quello del SIL di sottosistema, salvo nel caso delle
EN 50128. eccezioni descritte nella EN 50128.
The apportionment process may be performed Il processo di ripartizione può essere effettuato
by any method which allows a suitable repre- secondo un qualsiasi metodo che consente una
sentation of the combination logic, e. g. reliabil- rappresentazione appropriata della logica combi-
ity block diagrams, fault trees, binary decision natoria, ad esempio il metodo del diagramma di
diagrams, Markov models etc. In any case par- affidabilità, alberi dei guasti, tavole di verità, mo-
ticular care shall be taken when independence delli di Markov, ecc. In tutti i casi, si deve stare
of items is required. While in the first phase of particolarmente attenti quando viene richiesta
the causal analysis functional independence is l’indipendenza degli elementi. Mentre nella prima
required (i. e. the failure of functions shall be fase dell’analisi delle cause è richiesta l’indipen-
independent with respect to systematic and ran- denza funzionale (cioè i malfunzionamenti delle
dom faults), physical independence is sufficient funzioni devono essere indipendenti rispetto a
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
in the second phase (i. e. the failure of sub-sys- guasti sistematici o casuali), nella seconda fase è
tems shall be independent with respect to ran- sufficiente l’Indipendenza fisica (cioè i malfunzio-
dom faults). Assumptions made in the causal namenti dei sottosistemi devono essere indipen-
analysis shall be checked and may lead to safe- denti rispetto a guasti casuali). Le ipotesi fatte
ty-related application rules for the implementa- nell’analisi delle cause devono essere verificate e
tion. possono condurre a regole di applicazione corre-
late con la sicurezza per la realizzazione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 47 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.5 Example hazard control process
From Risk
Analysis
List of
hazards
and THR
....
warnings
System
independence
architecture
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
....
Determine THR SIL and THR
SIL table and SIL for subsystems
physical,
functional,
process
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 48 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio di processo di controllo di una situazione
pericolosa (H)
Risultati
delle analisi
del rischio
Elenco delle
H e THR
R OGNI PERICO
PE
LO
Undetected failure Undetetced failure Undetected failure
of power supply of road-side of LC controller
warnings
Late or no switch-in Undetectedfailure Undetetcedfailure Undetectedfailure 1E-7 1E-7 1E-7
LCsetbackto
Controllo delle
of power supply of road-side of LC controler
normal position
Architettura
....
warnings
1E-7 1E-7 1E-7 1E-7
PER A
OGN EM
I S OTTOSIST
....
Tabella dei Determinazione SIL e THR per
SIL dei THR e dei i sottosistemi
SIL
SIL e FR (tasso
Ripartizione dei
di malfunziona-
tassi di accadimen-
mento) degli
to delle H sugli
elementi
elementi
Indipendenza fisica
L’indipendenza fisica è una necessità assoluta per
rendere credibili i calcoli sugli alberi dei guasti con
porte logiche AND per gli effetti casuali. Quindi per
assumere l’indipendenza sarebbe necessaria in tutti i
casi un’analisi del malfunzionamento di modo co-
mune (CCF – Common Cause Failure).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 49 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Some (informative) chapters, under which con- Alcuni capitoli (informativi) dove possono essere
ditions for physical independence may be as- assunte le condizioni per l’indipendenza fisica
sumed, can be found in D.2 and D.3. A possono essere trovati in D2 e in D3. Un paragra-
sub-chapter of the safety case also deals explic- fo dell’Istruttoria per la Sicurezza tratta esplicita-
itly with independence of items. mente dell’indipendenza tra elementi.
Note/Nota Taking a brief look at two repairable items, which are usual- Se si considerano due oggetti riparabili, definiti generalmente
ly defined by their failure and repair rates, and a closer look dal loro tasso di malfunzionamento e dal loro tasso di ripara-
at AND combinations a different interpretation of the repair zione, e se si osservano più da vicino le combinazioni di AND
rates (or equivalent repair times) is necessary. Usually after logico, è necessaria un’interpretazione diversa dei tassi di ri-
a fault within an item has appeared, at least two things have parazione (o dei tempi di riparazione corrispondenti). Di soli-
to happen in order to get the item working again: to, dopo che si è verificato un guasto ad un oggetto, devono
succedere almeno due cose prima che l’oggetto possa funzio-
nare di nuovo:
the fault has to be detected and negated (this means a il guasto deve essere rilevato e negato (ciò significa che
safe state has to be entered); deve essere stato introdotto uno stato sicuro);
the item has to be repaired and restored. l’oggetto deve essere riparato e ripristinato.
With repair and restore time we mean the logistic time for Per tempo di riparazione e di ripristino si intendono i tempi lo-
repair after detection, actual repair time (fault finding, re- gistici per la riparazione dopo il rilevamento, il tempo reale di
pair, exchange, check) and time to restore equipment into riparazione (localizzazione del guasto, riparazione, sostitu-
operation. While in a reliability context usually the detection zione, verifica) ed il tempo per rimettere l’apparecchiatura in
time is neglected, this time becomes important in the safety servizio. Mentre nel contesto dell’affidabilità il tempo di rileva-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
context. Safety-critical applications may not rely on self-tests mento viene generalmente trascurato, questo tempo diventa
or similar measures, but the detection and negation has to importante nel contesto della sicurezza. Le applicazioni criti-
be performed independently of the item. Sufficient failure che di sicurezza non possono basarsi su autotests o metodolo-
detection and negation mechanisms should be demonstrat- gie simili, ma il rilevamento e la negazione devono essere rea-
ed in the safety case. lizzate indipendentemente dall’elemento. Nell’Istruttoria per la
Sicurezza dovrebbero essere dimostrati sufficienti meccanismi
di rilevamento e di negazione dei malfunzionamenti.
In a safety context generally the actual repair and restore Generalmente, in un contesto di Sicurezza, il tempo reale di ri-
time can be neglected, if other control measures are taken parazione e di ripristino possono essere trascurati se altre me-
during this period. In this case the repair rate from reliabili- todologie di controllo vengono prese durante quel periodo. In
ty analysis can be interpreted as the detection and negation tal caso, il tasso di riparazione dell’analisi di affidabilità può
time, here defined as safe down time (SDT) or equivalent essere interpretato come tempo per il rilevamento e per la nega-
safe down rate (SDR). zione, qui definito come tempo di riduzione della sicurezza
(SDT) o equivalente tasso di riduzione della sicurezza (SDR).
Fig. A.6 Interpretation of failure and repair times Interpretazione dei tempi di malfunzionamento e di
riparazione
Negazione
Negation
Modelling the composition of two independent items in an Modellizzando con una porta logica AND la composizione di due
AND-gate the following basic formula for the (asymptotic) oggetti indipendenti, nell’ipotesi che i tassi siano costanti del tem-
tolerable hazard and detection rates for highly available sys- po, può essere utilizzata la formula di base riportata qui di segui-
tems can be used, assuming that the rates are constant over to per i tassi (asintotici) di accadimento e di rilevamento di situa-
time: zioni di pericolo tollerabili per sistemi ad alta disponibilità:
FRA FRB
THRS ≈ × × ( SDRA + SDRB ) SDRS ≈ SDRA + SDRB (A.1)
SDRA SDRB
where the FR′s stand for potential hazardous Failure Rates. dove FR rappresenta il tasso di malfunzionamento pericoloso po-
tenziale.
If periodic testing times are used as detection times, then Se i tempi di prova periodici sono utilizzati come tempi di rileva-
(A.1) may be used with mean test times: mento, allora si può utilizzare (A.1):
T/2 + negation time = SDT = 1/SDR. T/2 + tempo di negazione = SDT = 1/SDR
come tempo medio di prova.
This means that in order to use AND combinations properly Questo significa che per impiegare correttamente combinazioni
each item shall have an independent failure detection and di AND logico, ogni oggetto deve essere fornito di un meccanismo
shut-down mechanism. If an item does not have such mech- indipendente di rilevamento dei malfunzionamenti e di arresto.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 50 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
anism, then according to B.3.3 of this standard the installed Se un oggetto non dispone di questo meccanismo, allora, come
lifetime of the item has to be taken into account. descritto al punto B.3.3 di questa norma, deve essere preso in con-
siderazione il tempo di vita dell’oggetto installato.
Another aspect, which has to be taken into account in the La disponibilità del sistema è un altro aspetto che deve essere preso
design, and in fact limits the free choice of parameters is the in considerazione per la progettazione e che limita di fatto la libe-
availability of the system. ra scelta dei parametri.
EXAMPLE Taking two identical items with a MTBF of 10000 ESEMPIO Se si considerano due apparecchiature identiche con
hours and a mean detection time of 1 hour (ignor- un MTBF di 10000 ore ed un tempo medio di rileva-
ing negation time), then the resulting failure rate mento di 1 ora (ignorando il tempo di negazione), al-
for the parallel system (AND combination in fail- lora il tasso di malfunzionamento che ne deriva per il
ure logic) is 2×10-8 per hour. f one item has a sistema formato dalle due apparecchiature in parallelo
mean detection time of 1000 hours (e. g. detection (combinazione AND logico dei malfunzionamenti)
by maintenance), then the result is only 10–5 per vale 2×10-8 per ora. Se una delle apparecchiature ha
hour, which is only a factor of 10 better than the un tempo medio di rilevamento di 1000 ore (es: il rile-
MTBF of a single item. If the mean detection time vamento da parte della manutenzione) allora il risulta-
for one item would be its lifetime, then the gain to vale soltanto 10–5 per ora, il che corrisponde ad un
would become even more marginal. miglioramento di appena un fattore 10 del MTBF di
una apparecchiatura semplice. Se il tempo medio di
rilevamento di un malfunzionamento di una apparec-
chiatura corrisponde al suo tempo di vita allora il gua-
dagno diventa ancora più marginale.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Physical independence is the lowest level of in- L’indipendenza fisica è il livello di indipendenza
dependence, typically at component level. If più basso, tipicamente al livello dei componenti.
physical independence is assured then random Se l’indipendenza fisica è garantita, allora i requi-
integrity requirements may be apportioned to siti di integrità casuali possono essere ripartiti al
the next lower level. livello più basso successivo.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 51 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.7 Treatment of functional independence by FTA Trattamento dell’indipendenza funzionale tramite
analisi dell’albero dei malfunzionamenti
Pericolo
Hazard
Guasti che
conducono al
malfunziona- Guasti che con-
mento della ducono al mal-
funzione A CCF funzionamento Malfunziona-
Faults leading to della funzione B mento di causa
Function A Faults leading to comune
failure Function B failure Common cause
Malfunziona- Malfunziona- failure
meno della mento della
Funzione A Funzione B
Function A failure Function B failure
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
A.4.3 Identification and treatment of new hazards arising Identificazione e trattamento delle nuove situazioni
from design pericolose che si manifestano con la progettazione
Realisation of a signalling system is likely to La realizzazione di un sistema di segnalamento
lead to unforeseen or undesirable properties può eventualmente portare a proprietà impreviste
with a potential to cause harm to people, in o non desiderate con la possibilità di provocare
particular if the system or technology is new. danni alle persone, in particolare se il sistema o la
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 52 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
New hazards may arise because of several as- tecnologia sono nuovi. Nuove situazioni pericolo-
pects: se possono derivare da vari motivi:
new technology has a great potential for la nuova tecnologia ha una grande possibilità
new hazards (lack of experience); di nuove situazioni pericolose (per mancanza
di esperienza);
emergence of hidden hazards in the exist- l’apparizione di situazioni pericolose nascoste
ing railway system due to the introduction per il sistema ferroviario esistente, a causa
of a new technology (e.g. analogue to digit- dell’introduzione di una nuova tecnologia (ad
al technology); esempio: passaggio dall’analogico al digitale);
new design hazard due to a lack of ade- la situazione pericolosa per un nuovo proget-
quate/proper specification; to dovuta alla mancanza di una Specificazione
adeguata/corretta;
special operation modes in an existing rail- i modi di esercizio specifici di un sistema fer-
way system may not fit well and may create roviario esistente possono non adattarsi bene
new hazards for the operators, maintainers e possono creare nuove situazioni di pericolo
or other members of the staff, public, etc.; per gli operatori, per gli addetti alla manuten-
zione o altri dipendenti, per il pubblico;
design errors may create new hazards but gli errori di progettazione possono creare nuove
they can often be related to the already situazioni pericolose, ma spesso essi possono
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
These aspects may give rise to hazardous cir- Questi aspetti possono dare origine a circostanze
cumstances and states which require the same e stati pericolosi che esigono lo stesso trattamento
systematic treatment as applied to the already sistematico di quello applicato alle situazioni peri-
identified hazards. colose già individuate.
The process for identification, processing and Il processo per l’identificazione, elaborazione ed
treatment of new hazards arising from the de- il trattamento delle nuove situazioni pericolose
sign or application of a system is essentially messe in evidenza durante la progettazione o du-
identical to the risk analysis phase. Once identi- rante l’esercizio di un sistema è praticamente
fied, system level hazards with a potential to af- identico alla fase di analisi del rischio. Una volta
fect overall system performance or cause harm identificate, le situazioni pericolose a livello del
to people shall be declared by the supplier to sistema capaci di influenzare le prestazioni com-
the railway authority. Depending on the per- plessive del sistema o provocare danni alle perso-
ceived risks, these would require qualitative or ne, devono essere dichiarate dal fornitore all’Au-
quantitative assessment, with a view to forecast torità Ferroviaria. Secondo i rischi percepiti, essa
and agree an appropriate tolerable rate (THR) può esigere per ciascuno una valutazione qualita-
for each. tiva o quantitativa, con un parere per prevedere e
concordare un appropriato tasso tollerabile di ac-
cadimento (THR).
Note/Nota Then it is possible to proceed in at least two different ways: Si potrà allora procedere secondo almeno due vie diverse:
it is possible to relate the new hazard to an identified è possibile collegare la nuova situazione pericolosa con
one: in this case the supplier should make sure that the una già identificata: in quel caso il fornitore dovrebbe ac-
resulting HR of the combination of these two hazards is certarsi che l’HR risultante dovuto alla combinazione di
still compliant with the THR that has been fixed by the queste due situazioni pericolose sia ancora conformee con
railway authority. The hazard log and the safety case il THR che era stato fissato dall’Autorità Ferroviaria. Il regi-
should trace this hazard; stro delle Situazioni pericolose e l’Istruttoria per la Sicurez-
za dovrebbero tracciare questa situazione pericolosa;
the new hazard has nothing to do with any of the iden- la nuova situazione pericolosa non ha nessuna relazione
tified ones: in this case the supplier should contact the con quelle già identificate: in quel caso il fornitore do-
railway authority to give him all the information he vrebbe contattare l’Autorità Ferroviaria per fornirgli tutte
has analysed about the hazard (causes, consequences, le informazioni che ha analizzato relativamente alle si-
risk, …). The railway authority should then decide tuazioni pericolose (cause, conseguenze, rischi...). L’Au-
whether this new hazard could be accepted or not: torità Ferroviaria dovrebbe quindi decidere se questa
nuova situazione pericolosa può essere accettata o no:
if not, the supplier should re-design his prod- in caso di mancata accettazione, allora il fornitore do-
uct/system if it is possible. If not, then additional vrebbe ri-progettare, se possibile, il suo prodotto/sistema.
protection measures should be implemented in or- Se non fosse possibile, vanno applicate delle misure di
der to keep the hazard and associated risk at an protezione complementare per limitare la situazione pe-
acceptable level; ricolosa ed il rischio associato ad un livello accettabile.
if yes, then the railway authority is in charge of in caso di accettazione, l’Autorità Ferroviaria è in-
defining the THR of this new hazard and the sup- caricata di definire il THR della nuova situazione
plier should provide a design compliant with this pericolosa e il fornitore dovrebbe presentare un pro-
requirement; getto conforme con questo requisito;
for both cases, once a conclusion has been in entrambe i casi, appena è stata presa una decisio-
reached concerning this hazard, everything ne su tale situazione pericolosa, dovrà essere tutto
should be recorded in the hazard log and the safe- registrato nel Registro delle situazioni pericolose e
ty case. nell’Istruttoria per la Sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 53 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The THRs shall be derived for each new hazard Per ogni nuova situazione pericolosa devono es-
and these will lead to updated requirements. sere dedotti i THR, e ciò portera ad un aggiorna-
mento dei requisiti.
quences during the risk analysis phase of the seguenze potenziali, durante la fase di analisi dei
system life-cycle, as described A.4.1. This activi- rischi del ciclo di vita del sistema come descritto
ty results (top-down) in tolerable hazard rates al punto A.4.1. Da questa attività (discendente)
for each hazard. Nevertheless a supplier may deriva il tasso tollerabile di accadimento di situa-
start development of generic products in a bot- zioni pericolose per ogni situazione pericolosa.
tom-up fashion and may even achieve safety Tuttavia, un fornitore può incominciare lo svilup-
approval for a generic product safety case po di prodotti generici in modo ascendente e può
(without the results of any risk analysis being persino ottenere un’approvazione di sicurezza per
available), but in the end he shall ensure that un’Istruttoria per la Sicurezza dei prodotti generici
the required tolerable hazard rates (application (senza che siano disponibili risultati di alcuna
safety case) are fulfilled. The railway authority analisi di rischio), ma alla fine deve garantire che
and/or the safety authority shall determine the i richiesti tassi tollerabili di accadimento di situa-
base line for this process. zioni pericolose (Istruttoria per la Sicurezza
dell’applicazione) siano rispettati. L’Autorità Fer-
roviaria e/o l’Autorità di Sicurezza devono deter-
minare le direttive di base per questo processo.
During the next phases, the system require- Le fasi di requisiti del sistema e di allocazione dei
ments and apportionment of system require- requisiti di sistema, i tassi tollerabili di accadimen-
ments phases, the tolerable hazard rates are ap- to di situazioni pericolose vengono distribuiti ri-
portioned to system functions and sub-systems, spettivamente, durante le fasi successive, nelle
respectively. funzioni del sistema e nei sottosistemi.
Each of these functions shall have a qualitative Ognuna di queste funzioni deve avere associato ad
safety target and a quantitative target attached essa un obiettivo qualitativo di sicurezza e un obiet-
to them. The qualitative target shall be in the tivo quantitativo. L’obiettivo qualitativo deve essere
form of a Safety Integrity Level, and shall cover espresso sotto forma di un Livello di Integrità della
systematic failure integrity. The quantitative tar- Sicurezza e deve coprire l’integrità nei confronti dei
get shall be in the form of a numerical failure malfunzionamenti sistematici. L’obiettivo quantitati-
rate, and shall cover random failure integrity. vo deve essere espresso sotto forma di un tasso di
malfunzionamento numerico e deve coprire l’inte-
grità dei malfunzionamenti casuali.
Safety-related functions within a system are im- Le funzioni di sicurezza all’interno di un sistema
plemented by sub-systems. Safety Integrity Lev- sono realizzate tramite sottosistemi. I Livelli di In-
els are allocated to safety-related functions and tegrità della Sicurezza sono attribuiti alle funzioni
consequently the sub-systems implementing di sicurezza e quindi ai sottosistemi che realizza-
these functions, but no further. The Safety In- no tali funzioni, ma non oltre. Il Livello di Integri-
tegrity Level for the equipment which is part of tà della Sicurezza per una apparecchiatura che è
a sub-system, is the same as for the sub-system, parte di un sottosistema è lo stesso di quello del
unless functional independence can be demon- sottosistema, a meno che non si possa dimostrare
strated between equipments within sub-sys- l’indipendenza funzionale tra le apparecchiature
tems. all’interno del sottosistema.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 54 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
It is important to recognise that achievement of È importante sottolineare che il raggiungimento di
a specified Safety Integrity Level requires com- un Livello di Integrità della Sicurezza specificato
pliance with all of the factors in Figure A.8, richiede la conformità con tutti i fattori presentati
namely nella Fig. A.8, e cioè:
quality management conditions, le condizioni della gestione della qualità,
safety management conditions, le condizioni della gestione della Sicurezza,
technical safety conditions, le condizioni della sicurezza tecnica,
quantified safety targets. gli obiettivi quantificati della Sicurezza.
tors in Figure A.8 need to be fulfilled in order to siano stati raggiunti. Tutti i fattori indicati nella
achieve the specified safety integrity. Fig. A.8 devono essere soddisfatti per raggiungere
l’integrità della sicurezza specificata.
It is also important to understand that, whilst È anche importante capire che, mentre gli obietti-
the quantified safety targets in Figure A.8 are vi di sicurezza quantificati della Fig. A.8 sono
those required in order to achieve the railway quelli richiesti allo scopo di realizzare le presta-
safety performance as described in the next zioni della sicurezza ferroviaria così come descrit-
paragraphs, it shall not be assumed that the tar- to nei seguenti paragrafi, non si deve pensare che
get for a particular safety function can necessar- l’obiettivo relativo ad una funzione di sicurezza
ily be achieved by a single sub-system or equip- particolare possa essere necessariamente raggiun-
ment. Where necessary the required safety to da un solo sottosistema o apparecchiatura.
target shall be achieved by combination of Quando è necessario, l’obiettivo di sicurezza ri-
functions, sub-systems or equipment, as ex- chiesto deve essere realizzato tramite la combina-
plained in this annex. zione delle funzioni, sottosistemi o apparecchiatu-
re, come spiegato in questo allegato.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 55 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.8 Relationship between SILs and techniques Legami tra i SIL e le tecniche
Integrità di Integrità di
malfunzionanti malfunzionamenti
sistematici aleatori
Systematic Failure
Integrity Random Failure
SIL Integrity FR
SIL 4
SIL 1
A.5.2 Relationship between SIL and safety targets Legami tra i SIL e gli obiettivi della Sicurezza
This standard is based on the assumption that Questa norma è basata sull’ipotesi che la sicurezza è
safety relies both on adequate measures to realizzata contemporaneamente dall’utilizzo delle mi-
avoid or tolerate faults (as safeguards against sure appropriate per evitare o tollerare guasti (come
systematic failure) and on adequate measures to protezione contro i malfunzionamenti sistematici) e
control random failures. Measures against both da misure adeguate per controllare i malfunziona-
causes of failure should be balanced in order to menti casuali. Le misure contro entrambe le cause di
achieve the optimum safety performance of a malfunzionamento dovrebbero essere equilibrate per
system. To achieve this the concept of Safety In- raggiungere le prestazioni di sicurezza ottimali di un
tegrity Levels (SIL) is used. SILs are used as a sistema. A questo scopo si utilizza il concetto di Livel-
means of matching the qualitative approaches li di Integrità della Sicurezza (SIL). I SIL vengono usati
(to avoid systematic failures) with the quantita- come mezzo per abbinare gli approcci qualitativi
tive approach (to control random failures), as it (per evitare i malfunzionamenti sistematici) con l’ap-
is not feasible to quantify systematic failures. proccio quantitativo (per controllare i malfunziona-
menti casuali), poiché una quantificazione dei mal-
funzionamenti sistematici non è possibile.
Like in many other standards this balance is ex- Come in molte altre norme, quest’equilibrio viene
pressed in a table, which consists of a list of espresso in una tabella che è formata da un elen-
Safety Integrity Levels 0, 1, 2, 3, 4 and a list of co dei Livelli di Integrità della Sicurezza 0, 1, 2, 3,
corresponding intervals or bands for tolerable 4 e da un elenco di intervalli o bande corrispon-
hazard rates I0, ..., I4. denti per i tassi tollerabili delle situazioni perico-
lose I0, ..., I4
The SIL table is applicable to safety-related La tabella dei SIL è applicabile per le funzioni di
functions or sub-systems implementing one or sicurezza e per i sottosistemi che realizzano una o
more of these functions. Having followed the più di queste funzioni. Dopo aver seguito le mi-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 56 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
measures and methods required for SIL x there sure ed i metodi richiesti per il SIL x, non c’è più
is no requirement to consider the systematic alcun bisogno di tenere conto dei malfunziona-
failures when demonstrating the THR is menti sistematici per dimostrate che il THR viene
achieved. ottenuto.
The SIL table identifies the required SIL for the La tabella dei SIL identifica il livello di SIL richiesto
safety-related function from the THR. Thus if per la funzione di sicurezza a partire dal THR. Quin-
the THR for a function F has been derived by a di se il THR per una funzione F è stato dedotto con
quantitative method the required SIL shall be un metodo quantitativo, il SIL richiesto deve essere
determined by the use of the following table: determinato con l’aiuto della seguente tabella:
A function having quantitative requirements Una funzione i cui i requisiti quantitativi sono più
more demanding than 10– 9× h–1 shall be treated restrittivi di 10– 9× h–1 deve essere trattata in uno
in one of the following ways: dei seguenti modi:
if it is possible to divide the function into se è possibile scomporre la funzione in sotto-
functionally independent sub-functions, the funzioni indipendenti dal punto di vista fun-
THR can be split between those sub-func- zionale, il THR può essere ripartito tra quelle
tions and a SIL assigned to each sub-func- sottofunzioni e ad ogni sottofunzione può es-
tion; sere assegnato un SIL;
if the function cannot be divided, the meas- se la funzione non può essere scomposta, le
ures and methods required for SIL 4 shall, misure ed i metodi richiesti per il SIL 4 devo-
at least, be fulfilled and the function shall no, come minimo, essere applicati e la funzio-
be used in combination with other technical ne deve essere utilizzata in combinazione con
or operational measures in order to achieve altre misure tecniche e operative per raggiun-
the necessary THR. gere il THR necessario.
Note/Nota In contrast to other standards the SIL table in this standard A differenza di altre norme, la tavola SIL di questa norma
has only one column for frequencies (formerly called high contiene solo una colonna per le frequenze (precedentemente
demand or continuous mode) and does not have a column chiamati forte richiesta o modo continuo) e non ha una colon-
for failure probabilities on demand (formerly called de- na per le probabilità di malfunzionamento su richiesta (prece-
mand mode). The reasons to restrict to one mode are: dentemente chiamati modi su richiesta). Le ragioni della re-
strizione ad un solo modo sono:
less ambiguity in determination of SIL, meno ambiguità per la determinazione dei SIL,
all demand mode systems can be modelled as continu- tutti i sistemi il cui modo di funzionamento è su richiesta
ous mode systems, possono essere modellizzati come dei sistemi con modo di
funzionamento continuo,
continuous control and command signalling systems il sistemi di comando e controllo del segnalamento con
are clearly the majority in modern railway signalling modo di funzionamento continuo rappresentano ovvia-
applications. mente la maggior parte della Applicazioni ferroviarie mo-
derne.
The SIL table has been constructed taking into La tabella SIL è stata elaborata tenendo conto del-
account EN 61508-1. la EN 61508-1.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 57 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
normative
B normativo DETAILED TECHNICAL REQUIREMENTS REQUISITI TECNICI DETTAGLIATI
la sicurezza
Section 6 Safety Qualification tests Parte 6 Prove di Qualifica della Sicurezza
Each of these has been briefly considered in 5.4 Ognuna di queste parti é stata brevemente trattata
of this standard. More detailed requirements for al punto 5.4 della presente Norma. Requisiti più
Section 2 to Section 6 of the Technical Safety dettagliati relativi alle parti da 2 a 6 della Relazio-
Report are contained in B.2 to B.6. ne sulla Sicurezza Tecnica sono contenuti nei
punti da B.2 a B.6.
The Technical Safety Report is mandatory for La Relazione sulla Sicurezza Tecnica é obbligatoria
Safety Integrity Levels 1 to 4 inclusive (see An- per tutti i Livelli di Integrità della Sicurezza da 1 a 4
nex A for explanation of Safety Integrity Lev- (vedi l’Allegato A per una spiegazione dei Livelli di
els). However, the depth of the information and Integrità della Sicurezza). Il grado di approfondi-
the extent of the supporting documentation mento dell’informazione e l’estensione della docu-
should be appropriate to the Safety Integrity mentazione di supporto dovrebbe essere appro-
Level of the system/sub-system/equipment un- priata al Livello di Integrità della Sicurezza del
der scrutiny. The requirements for Safety Integ- sistema/sottosistema/apparecchiatura in esame. I
rity Level 0 (non-safety-related) are outside the requisiti per il Livello di Integrità della Sicurezza 0
scope of this safety standard. (non correlato con la sicurezza) non rientrano nel
campo di applicazione della presente Norma di si-
curezza.
The structure of the Technical Safety Report is La struttura della Relazione sulla Sicurezza Tecni-
illustrated in Figure 7 of this standard. ca é illustrato nella Fig. 7 di questa norma.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 58 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.2.2 Definition of interfaces Definizione delle interfacce
b) Configuration b) Configurazione
This shall describe the processes carried out In questo comma devono essere descritte le
by engineering personnel to configure the procedure utilizzate dal personale tecnico per
system/sub-system/equipment to a specific configurare il sistema/sottosistema/apparecchia-
railway or application. tura per una specifica applicazione ferroviaria.
EXAMPLE software parametering; ESEMPIO impostazione dei parametri del software;
hard wiring; cablaggio dell’hardware;
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
c) Maintenance c) Manutenzione
This shall describe the interface mecha- Questo comma deve contenere una descrizio-
nisms, including the use of any ancillary ne dei meccanismi di interfacciamento, com-
equipment, which will be used by mainte- preso l’impiego di ogni apparecchiatura colle-
nance personnel in the course of perform- gata che sarà utilizzata dal personale addetto
ing the various levels of maintenance. alla manutenzione nell’esecuzione delle varie
fasi di manutenzione.
More detailed information is contained in Informazioni più dettagliate sono fornite nel
B.5.2. punto B.5.2.
b) External b) Esterne
This shall define the functional and physical Questo comma deve contenere una definizione
interfaces between the system/sub-sys- delle interfacce funzionali e fisiche tra le unità
tem/equipment and external items. esterne del sistema/sottosistema/apparecchiatura.
EXAMPLE sensors; ESEMPIO sensori;
actuators; attuatori;
communication links; collegamenti di comunicazione;
test and monitoring provisions; apparecchi di prova e di controllo;
expansion facilities. strutture d’estensione.
B.2.3 Fulfilment of system requirements specification Rispetto della specifica dei requisiti del sistema
This shall demonstrate how the operational Questo paragrafo deve illustrare il modo in cui i re-
functional requirements specified in the sys- quisiti funzionali di utilizzazione indicati nella Speci-
tem/sub-system/equipment requirements speci- fica dei requisiti del sistema/sottosistema/apparec-
fication are fulfilled by the design. All relevant chiatura sono rispettati nella progettazione. Devono
evidence shall be included (or referenced). essere incluse tutte le relative prove (o i riferimenti).
EXAMPLE design principles and calculations; ESEMPIO principi e calcoli di progettazione;
test specifications and results; specifiche e risultati delle prove.
validation. validazione
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 59 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.2.4 Fulfilment of safety requirements specification Rispetto della specifica dei requisiti della sicurezza
This shall demonstrate how the specified safety Questo paragrafo deve illustrare il modo in cui i
functional requirements are fulfilled by the de- requisiti funzionali di sicurezza specificati sono ri-
sign. All relevant evidence shall be included (or spettati nella progettazione. Devono essere inclu-
referenced). se tutte le relative prove (o i riferimenti).
EXAMPLE design principles and calculations; ESEMPIO principi e calcoli di progettazione;
test specifications and results; specifiche delle prove e risultati;
safety analyses and results. analisi di sicurezza e risultati.
B.2.5 Assurance of correct hardware functionality Assicurazione del corretto funzionamento dello
hardware
This shall describe the system/sub-sys- Questo paragrafo deve descrivere l’architettura
tem/equipment hardware architecture, and ex- hardware del sistema/sottosistema/apparecchiatu-
plain how the design achieves the required in- ra, ed illustrare come la progettazione realizza
tegrity, as laid down by the requirements l’Integrità richiesta, come previsto dalla Specifica
specification and any relevant standards, in re- dei requisiti e da ogni norma applicabile, riguardo
spect of: a:
reliability, l’affidabilità,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
availability, la disponibilità,
maintainability, la manutenibilità
safety. la sicurezza.
B.2.6 Assurance of correct software functionality Assicurazione del corretto funzionamento del
software
The requirements of EN 50128 shall be com- Devono essere rispettati i requisiti della EN 50128.
plied with.
All documentation required by EN 50128 shall Questa parte deve contenere, o fare riferimento a
be included or referenced in this section, partic- tutta la documentazione richiesta dalla EN 50128,
ularly the Software Validation Report and the in particolare la Relazione di validazione del sof-
Software Assessment Report. tware e la Relazione di valutazione del software.
In addition, the interaction between hardware Inoltre, deve essere spiegata l’interazione tra
and software shall be explained. l’hardware e il software.
Note/Nota Some particular topics which should receive attention in- Alcuni particolari aspetti ai quali si dovrebbe prestare atten-
clude: zione riguardano:
dependence between hardware and software, rapporto di dipendenza tra hardware e software,
sequence of interaction, sequenza dell’interazione,
response times, tempi di risposta,
self test routines, programmi di autoverifica,
health monitoring, controllo dello stato generale,
data acquisition techniques, tecniche di acquisizione dei dati,
graceful degradation, degrado progressivo,
negation methods. metodi di negazione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 60 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.3.1 Effects of single faults Effetti dei guasti singoli
(See also guidance in Table E.4) (Vedi anche le informazioni della Tab. E.4)
It is necessary to ensure that the sys- È necessario accertarsi che il sistema/sottosiste-
tem/sub-system/equipment meets its THR in ma/apparecchiatura rispetti il suo THR (tasso di
the event of single random fault. It is necessary accadimento accettabile delle situazioni pericolo-
to ensure that SIL 3 and SIL 4 systems remain se) in caso di guasto casuale singolo. È necessario
safe in the event of any kind of single random accertarsi che i sistemi dei livelli SIL 3 e SIL 4 ri-
hardware fault which is recognised as possible. mangano in condizioni di sicurezza in presenza di
Faults whose effects have been demonstrated to qualunque guasto casuale singolo dell’hardware
be negligible may be ignored. This principle, ritenuto possibile. I guasti i cui effetti si sono di-
which is known as fail-safety, can be achieved mostrati trascurabili possono essere ignorati. Que-
in several different ways: sto principio, noto come sicurezza intrinseca, può
essere realizzato in vari modi:
1) composite fail-safety 1) sicurezza composita
With this technique, each safety-related Con questa tecnica, ogni funzione correlata con
function is performed by at least two items. la sicurezza è svolta da almeno due unità.
Each of these items shall be independent Ognuna di queste unità deve essere indipen-
from all others, to avoid common-cause fail- dente da tutte le altre, per evitare malfunziona-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ures. Non-restrictive activities are allowed menti di modo comune. Le attività non restritti-
to progress only if the necessary number of ve sono autorizzate a procedere unicamente
items agree. A hazardous fault in one item quando un sufficiente numero di unità concor-
shall be detected and negated in sufficient da. Un guasto pericoloso in una delle unità
time to avoid a co-incident fault in a second deve essere individuato e messo in stato negato
item. in un tempo sufficientemente breve da evitare
l’insorgere di un guasto simile in un’altra unità.
2) reactive fail-safety 2) sicurezza reattiva
This technique allows a safety-related func- Questa tecnica consente a una funzione correla-
tion to be performed by a single item, pro- ta con la sicurezza di essere svolta da una unità
vided its safe operation is assured by rapid singola, a condizione che il suo corretto funzio-
detection and negation of any hazardous namento sia assicurato da un rapido sistema di
fault (for example, by encoding, by multiple rilevamento e di negazione di ogni guasto peri-
computation and comparison, or by contin- coloso (per esempio, tramite codifica, elabora-
ual testing). Although only one item per- zione multipla e comparazione, oppure tramite
forms the actual safety-related function, the prove continue). Anche se la funzione correlata
checking/testing/detection function shall be con la sicurezza è svolta da una sola unità, la
regarded as a second item, which shall be funzione di controllo/prova/rilevamento deve
independent to avoid common-cause fail- essere considerata come una seconda unità, che
ures. deve essere indipendente in modo da evitare
malfunzionamenti di modo comune.
3) inherent fail-safety 3) sicurezza intrinseca
This technique allows a safety-related func- Questa tecnica consente a una funzione correlata
tion to be performed by a single item, pro- con la sicurezza di essere svolta da una sola uni-
vided all the credible failure modes of the tà, a condizione che tutti i modi di malfunziona-
item are non-hazardous. Any failure mode mento verosimili dell’unità siano non pericolosi.
which is claimed to be incredible (for ex- Ogni modo di malfunzionamento dichiarato non
ample, because of inherent physical proper- verosimile (per esempio, in virtù delle intrinse-
ties) shall be justified using the procedure che proprietà fisiche), deve essere giustificato
defined in Annex C. Inherent fail-safety may utilizzando la procedura definita nell’Allegato C.
also be used for certain functions within È consentito l’uso della sicurezza intrinseca per
Composite and Reactive fail-safe systems, alcune funzioni nei sistemi a sicurezza reattiva e
for example to ensure independence be- composita, per esempio, per assicurare l’indipen-
tween items, or to enforce shut-down if a denza tra unità oppure per forzare l’arresto in
hazardous fault is detected. caso di rilevamento di un guasto pericoloso.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 61 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
in Annex C. re in considerazione nell’analisi deve avvenire in
base alle procedure definite nell’Allegato C.
Note/Nota A top-down failure analysis method should be used, such as Dovrebbe essere impiegato un metodo di analisi dei malfunziona-
Fault Tree Analysis (FTA). This should be supported, if neces- menti di tipo discendente, come l’analisi ad albero dei guasti (FTA
sary, by a bottom-up method such as Failure Modes and Ef- - Fault Tree Analysis). Questo dovrebbe essere sussidiato, se neces-
fects Analysis (FMEA). See also guidance given in Table E.6. sario, da un metodo di tipo ascendente quale l’Analisi dei modi di
malfunzionamento e dei loro effetti (FMEA – Failure Mode Effects
Analysis). Vedi anche le informazioni della Tab. E.6.
Failure analyses shall be qualitative, and quanti- Le analisi dei malfunzionamenti devono essere
tative where credible data is available. Random qualitative, e quantitative se sono disponibili dati
hardware failure rates, or probabilities of com- credibili. Il tasso di malfunzionamento casuale
ponent failure, should be based on field data if dell‘hardware, o la probabilità di malfunziona-
possible. Apportionment of an overall compo- mento di un componente, dovrebbero essere fon-
nent failure rate between its failure modes shall dati, se possibile, sui dati del campo. La ripartizio-
be justified in the analysis. ne del tasso globale di malfunzionamento di un
componente tra i suoi vari modi di malfunziona-
mento deve essere giustificata nell’analisi.
In systems containing more than one item Nei sistemi composti da più di una unità il cui con-
whose simultaneous malfunction could be haz- temporaneo malfunzionamento può essere perico-
ardous, independence between items is a man- loso, l’indipendenza tra le unità è una pre-condizio-
datory precondition for safety concerning single ne obbligatoria per la sicurezza relativa ai guasti
faults. Appropriate rules or guidelines shall be singoli. Per garantire tale indipendenza, devono es-
fulfilled to ensure this independence. The sere rispettate le regole o le direttive appropriate. Le
measures taken shall be effective for the whole misure adottate devono essere efficaci per l’intero
life-cycle of the system. In addition, the sys- ciclo di vita del sistema. Inoltre, il progetto del siste-
tem/sub-system design shall be arranged to ma/sottosistema deve essere organizzato in modo
minimise potentially hazardous consequences da ridurre al minimo le conseguenze potenzialmen-
of loss-of-independence caused by, for exam- te pericolose di una perdita dell’indipendenza pro-
ple, a systematic design fault, if it could exist. vocata, ad esempio, da un guasto sistematico della
progettazione, se esistesse.
The various types of influence in a system con- I vari tipi d’influenza in un sistema costituito, per
sisting of, for example, two operating items are esempio, da due unità funzionali sono illustrati
represented in Figure B.1. This figure may be nella Fig. B.1. Le indicazioni di questa figura pos-
extended to systems consisting of more than sono essere estese ai sistemi costituiti da più di
two operating items. due unità funzionali.
Where safety is reliant on the clearance and Quando la sicurezza dipende dalle distanze d’isola-
creepage distances, the minimum clearance and mento superficiali e in aria, i valori minimi delle di-
creepage distances shall be defined according stanze d’isolamento superficiali e in aria devono es-
to the application requirements (including ma- sere definiti coerentemente con i requisiti
terial, technology, implementation, environ- dell’applicazione (comprendendo materiali, tecnolo-
mental and operation conditions, failures and gia, realizzazione, condizioni di esercizio e ambien-
temporary overvoltages). tali, malfunzionamenti e sovratensioni temporanee).
Independence could be lost by several types of La perdita d’indipendenza potrebbe essere causa-
influences, as explained under the following ta da tipi diversi d’influenze, come illustrato nei
headings: seguenti paragrafi:
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 62 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Measures shall be taken to avoid non-intention- Devono essere adottate le misure per evitare qua-
al physical internal influences. lunque influenza fisica interna involontaria.
Notes/Note: 2 D.2 contains a range of measures for the achievement 2 Il punto D.2 contiene un elenco di misure che consentono
of physical internal independence (protection against di ottenere l’indipendenza fisica interna (protezione dal-
influences of Type A). le influenze di tipo A).
of physical independence between items. guenza la perdita dell’indipendenza fisica tra le unità.
Notes/Note: 4 These could be due to, for example, 4 Queste influenze possono essere dovute per esempio a:
environmental stresses such as EMI, ESD, climatic, sollecitazioni ambientali quali EMI (interferenze
chanical and chemical, elettromagnetiche), ESD (scariche elettrostatiche),
climatiche, meccaniche e chimiche.
the power supply, and l’alimentazione, e
the external inputs and outputs. gli ingressi e le uscite esterni.
Measures shall be taken to avoid non-intention- Devono essere adottate le misure per evitare qua-
al physical external influences. B.4 contains re- lunque influenza fisica esterna involontaria. Il
quirements for external influences which shall punto B.4 contiene requisiti relativi alle influenze
be considered. esterne che devono essere considerate.
Notes/Note: 5 D.3 contains a range of measures for the achievement 5 Il punto D.3 comprende un elenco di metodologie che
of physical external independence (protection against consentono di ottenere l’indipendenza fisica esterna (pro-
influences of Type C). tezione dalle influenze del tipo C).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 63 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. B.1 Influences affecting the independence of items
= NON-INTENTIONAL CONNECTION
(possibly caused by a fault)
= INDEPENDENCE
(if specified measures are met to avoid non-intentional
influences and connections)
= FRONT CONTACT
(normally-open contact)
= TWO FRONT CONTACTS
(used symbolically as an AND for two independent
non-restrictive activities)
C1
C2 D
C3
ITEM X ITEM Y
B A
C3 D C3 D
OUTPUT
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 64 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Influenze che condizionano l’indipendenza delle unità
COLLEGAMENTO INVOLONTARIO
(può essere causato da un guasto)
INDIPENDENZA
(se sono messe in atto misure specifiche per
evitare influenze e collegamenti involontari)
CONTATTO DI FUNZIONAMENTO
(contatto normalmente aperto)
CONTATTO DI FUNZIONAMENTO DOPPIO
(impiegato simbolicamente come un AND per
due attività non restrittive indipendenti
D
INFLUENZA FUNZIONALE ESTERNA
(involontaria, attraverso un collegamento esterno)
C1
C2 D
C3
ENTITÀ X A
ENTITÀ Y
B A
C3 D C3 D
USCITA
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 65 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.3.3 Detection of single faults Rilevamento di guasti singoli
(See also guidance given in Table E.4) (Vedi anche le informazioni della Tab. E.4)
A first fault (single fault) which could be haz- Un primo guasto (guasto singolo), che può essere
ardous, either alone or if combined with a sec- pericoloso o da solo o combinato con un secon-
ond fault, shall be detected and a safe state en- do guasto, deve essere rilevato e deve essere for-
forced (i.e.: negated) in a time sufficiently short zato uno stato sicuro (cioè negato) entro tempi
to fulfil the specified quantified safety target. sufficientemente brevi per rispettare l’obiettivo di
Demonstration of this shall be achieved by a sicurezza quantificato specificato. La dimostrazio-
combination of Failure Modes and Effects Anal- ne di ciò deve essere realizzata per mezzo di una
ysis (FMEA) and quantified assessment of Ran- combinazione di una analisi dei modi di malfun-
dom Failure Integrity (see A.3). zionamento e dei loro effetti (FMEA) e di una va-
lutazione quantificata dell’integrità del malfunzio-
namento casuale (vedi il punto A.3).
In the case of Composite fail-safety, this re- Nel caso della sicurezza composita, questo requi-
quirement means that a first fault shall be de- sito significa che un primo guasto deve essere ri-
tected, and a safe state enforced, in a time suffi- levato, e lo stato di sicurezza forzato, in tempi
ciently short to ensure that the risk of a second sufficientemente rapidi da assicurare che il rischio
fault occurring during the detection-plus-nega- di un secondo guasto nel periodo di rilevamento
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tion time is smaller than the specified probabil- e di negazione sia minore dell’obiettivo di proba-
istic target. bilità specificato.
In the case of Reactive fail-safety, this require- Nel caso della sicurezza reattiva, questo requisito
ment means that the maximum total time taken significa che il tempo totale massimo richiesto dal
for detection-plus-negation shall not exceed the processo di rilevamento e negazione non deve
specified limit for the duration of a transient, superare il limite specificato della durata di una
potentially-hazardous, condition. condizione transitoria potenzialmente pericolosa.
These requirements for Composite and Reactive Tali requisiti relativi alla sicurezza reattiva e com-
fail-safety are illustrated in Figure B.2. posita sono illustrati nella Fig. B.2.
The techniques used to achieve detection and Le tecniche impiegate per ottenere il rilevamento e la
negation of identified faults within the permit- negazione dei guasti individuati entro i tempi am-
ted time shall be shown, including supporting messi devono essere mostrate includendo i calcoli a
calculations. The sources of basic failure rate supporto. Devono essere indicate le fonti dei dati
data used in the calculations (for example, fondamentali relativi ai tassi di malfunzionamento uti-
hardware component failure rates) shall be lizzati per i calcoli (per esempio, tasso di malfunzio-
identified, and the method of quantitative anal- namento dei componenti hardware) e deve essere
ysis clearly explained. chiaramente spiegato il metodo di analisi quantitativa
usato.
Notes/Note: 1 The fault detection time is the test interval in the case of 1 Il tempo di rilevamento dei guasti è l’intervallo di prova nel
detection by the equipment itself, or the maintenance caso di un rilevamento da parte del sistema stesso, oppure
interval in the case of detection by staff. In the extreme l’intervallo di manutenzione nel caso di un rilevamento da
case it is the installed lifetime of the system. In the case parte del personale. Nel caso estremo, si tratta del tempo di
of equipment in storage, it is the interval between peri- vita installata del sistema. Nel caso di una apparecchiatura
odic testing by maintenance personnel. in deposito, si tratta dell’intervallo tra due verifiche periodi-
che effettuate dal personale di manutenzione.
2 An example of an approach to fulfilment of these re- 2 Un esempio di procedura per il rispetto di questi requisiti è
quirements is contained in D.4. contenuto nel punto D.4.
B.3.4 Action following detection (including retention of Azione successiva al rilevamento (incluso il
safe state) mantenimento in uno stato di sicurezza)
(See also guidance in Table E.4) (Vedi anche le informazioni della Tab. E.4)
After detection of a first fault, the sys- In seguito al rilevamento di un primo guasto, il si-
tem/sub-system/equipment shall enter, or con- stema/sottosistema/apparecchiatura deve passare
tinue in, a safe state. The safe state is generally o rimanere in uno stato di sicurezza. Lo stato di
(but not necessarily) more restrictive. The safe sicurezza è in genere (ma non necessariamente)
state shall be reached in a time sufficiently short più restrittivo. Lo stato di sicurezza deve essere
that the combined detection-plus-negation time raggiunto in un tempo sufficientemente breve che
fulfils the specified safety target. il tempo combinato di rilevamento e negazione ri-
spetti l’obiettivo di sicurezza specificato.
Note/Nota The negation time is usually the time taken for the relevant Il tempo di negazione è normalmente il tempo impiegato dalla
part of the system to be shut down, either automatically or by parte interessata del sistema per porsi in stato di arresto sia au-
human action. tomaticamente sia con intervento umano.
These requirements are illustrated in Figure B.2. Questi requisiti sono illustrati nella Fig. B.2.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 66 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
After detection of a first fault, and having en- Dopo l’individuazione di un primo guasto, e l’in-
tered the safe state, further faults shall not can- troduzione dello stato di sicurezza, ulteriori guasti
cel out the safe state. Cancellation of a restric- non devono annullare lo stato sicuro. L’annulla-
tive safe state shall occur only in a controlled mento di uno stato restrittivo sicuro deve avvenire
manner, as part of a corrective procedure. solamente in un modo controllato, come parte di
una procedura correttiva.
The system/sub-system/equipment shall remain in Il sistema/sottosistema/apparecchiatura deve ri-
a safe state if further faults occur during permissi- manere in uno stato sicuro se, a seguito di un pri-
ble delay-times-to-repair after occurrence of a first mo guasto, durante i tempi di ritardo ammissibili
fault. Permissible delay-times-to-repair shall be per la riparazione si verificassero ulteriori guasti. I
sufficiently short to fulfil the specified safety tar- tempi di ritardo ammissibili per la riparazione de-
get. vono essere sufficientemente brevi da rispettare
l’obiettivo di sicurezza specificato.
or if combined with a further fault, shall be de- mente sia in combinazione con altri ulteriori gua-
tected and a safe state enforced (i.e.: negated) sti, deve essere rilevato e uno stato sicuro forzato,
in a time sufficiently short to fulfil the specified (cioè negato) in un tempo sufficientemente breve
safety target. A suitable method, for example per rispettare l’obiettivo di sicurezza specificato.
Fault Tree Analysis (FTA), shall be used to dem- Un metodo adeguato, per esempio l’analisi ad al-
onstrate the effects of multiple faults. The tech- bero dei guasti (FTA), deve essere impiegato per
niques used to achieve detection-plus-negation la dimostrazione degli effetti dei guasti multipli.
of multiple faults within the permitted time shall Le tecniche impiegate per il rilevamento e la ne-
be shown, including supporting calculations. gazione dei guasti multipli nei tempi consentiti
devono essere mostrate includendo i calcoli a
supporto.
Note/Nota An example of an approach to fulfilment of these require- Un esempio di soluzione per il rispetto di questi requisiti è con-
ments is contained in D.5. tenuto nel punto D.5.
A Common-Cause Failure (CCF) analysis shall Deve essere effettuata un’analisi di malfunziona-
be carried out, to provide assurance that a mul- mento di modo comune (CCF), per assicurare che
tiple fault could only occur by means of a com- un guasto multiplo possa intervenire solo per
bination of random single faults, and not as the mezzo di una combinazione di guasti singoli ca-
result of a common-cause fault. suali, e non come risultato di un guasto di modo
comune.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 67 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. B.2 Detection and negation of single faults
COMPOSITE FAIL-SAFETY
FUNCTION A
FAULT DETECTION
NEGATION
FUNCTION A
& OUTPUT
FUNCTION B
FUNCTION B
FAULT DETECTION
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
FUNCTION A
The probability of
DETECTION a 1st fault, combined with
the probability of a
FUNCTION B 2nd fault occurring
OUTPUT
during the 1st fault
SAFE
detection-plus-negation
T time T, shall be less than
STATE
the specified probabilistic
target.
FIRST DETECTION NEGATION SECOND
FAULT OF FIRST SWITCHES FAULT
OCCURS FAULT OFF OCCURS
IN A IN A OUTPUT IN B
REACTIVE FAIL-SAFETY
FUNCTION A
FAULT DETECTION
NEGATION
FUNCTION A OUTPUT
FUNCTION A
Detection-plus-negation
DETECTION time T, after a fault in A,
shall not exceed the
specified limit for the
duration of a transient,
OUTPUT potentially - hazardous
output.
SAFE
T
STATE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 68 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Rilevamento e negazione di guasti singoli
RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE B
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
FUNZIONE A
RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE A
NEGAZIONE
FUNZIONE A USCITA
FUNZIONE A
Il tempo T di rilevamento e
RILEVAMENTO negazione dopo il verificarsi di
un guasto in A, non deve su-
perare i limiti specificati della
durata di una uscita transitoria
USCITA
potenzialmente pericolosa
STATO DI
T SICUREZZA
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 69 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.4 Operation with external influences Esercizio in presenza di influenze esterne
(Section 4 of the Technical Safety Report) (Parte 4 della Relazione sulla Sicurezza Tecnica)
This section concerns the ability of the sys- Questo paragrafo tratta della capacità di un siste-
tem/sub-system/equipment to operate correctly ma/sottosistema/apparecchiatura di funzionare
and safely when subjected to specified external correttamente ed in sicurezza quando è sottopo-
influences. “Correct operation” includes fulfil- sto a specificate influenze esterne. “Corretto fun-
ment of both operational and safety require- zionamento” comprende il rispetto dei requisiti
ments. sia funzionali che di sicurezza.
As far as reasonably practicable, safety-related Per quanto ragionevolmente realizzabile, i sistemi
systems should be designed to remain safe even correlati con la sicurezza dovrebbero essere pro-
if subjected to external influences outside the gettati per rimanere sicuri anche se sono sottopo-
specified limits. sti a influenze esterne al di là dei limiti specificati.
The influences which shall be considered are Le influenze da prendere in considerazione sono
listed in B.4.1 to B.4.7 below. The values for elencate nei successivi punti da B.4.1 a B.4.7. Devo-
different conditions listed in EN 50125-1 and no essere rispettati i valori per le varie condizioni
EN 50125-3 shall be complied with. elencate nelle norme EN 50125-1 e EN 50125-3.
Consideration shall be given to the effects of Considerazione devono essere fatte sugli effetti
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.4.4 Electrical conditions (not on vehicles) Condizioni elettriche (non sui veicoli)
It shall be ensured that under the specified elec- È necessario accertarsi che nelle condizioni am-
trical environmental conditions, safety to the re- bientali elettriche specificate, sia realizzata la sicu-
quired European standards is achieved. rezza in conformità con le norme europee.
Note/Nota The values quoted in EN 50121-4 and EN 50124-1 should be Dovrebbero essere impiegati come base di riferimento i valori
used as a basis. indicati nelle EN 50121-4 e EN 50124-1.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 70 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.4.6 Protection against unauthorised access Protezione contro l’accesso non autorizzato
1) Definition of access levels 1) Definizione dei livelli di accesso
The access level defines who has access, Il livello di accesso determina chi ha il diritto
reason for access and how access is d’accesso, il motivo dell’accesso e il modo in
achieved, thereby guarding against unau- cui l’accesso viene effettuato, assicurando così
thorised access. For each of the particular protezione contro l’accesso non autorizzato.
operations below, persons performing these Per ognuna delle specifiche operazioni sotto
functions will require to meet certain crite- indicate, il personale che esegue tali funzioni
ria, which shall be defined in respect of: deve soddisfare una serie di criteri che devo-
no essere definiti in termini di:
skill discipline, settore di competenza,
skill level, livello di competenza,
equipment-specific training. formazione su apparecchiature specifiche.
2) Protection 2) Protezione
With respect to the above access levels, this Tenendo in considerazione i livelli d’accesso
section shall define how protection is to be sopra indicati, questo paragrafo deve definire
achieved. il modo in cui si ottiene la protezione.
The protective measures should guard Le misure di protezione dovrebbero proibire
against access which is l’accesso
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The kinds of pollutants and their concentration should be I tipi di inquinanti e la loro concentrazione dovrebbero essere
defined in the specification: definiti nella specifica:
for outdoor equipment: per apparecchiature da esterno:
frost; gelo;
rapid temperature change; rapido cambiamento della temperatura;
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 71 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
chemical influences such as: influenze chimiche quali:
oil products; petrolio o derivati,
organic elements; sostanze organiche,
weed killers; diserbanti
excessive heating from, for example, fire or solar radiation; eccessivo calore dovuto, per esempio, al fuoco o ai raggi
solari;
action/entry of plants, insects or animals; azione o presenza di vegetazione, insetti o animali;
accumulation of dirt and dust (conductive and/or accumulo di polvere e di sporcizia (conduttrice o no);
non-conductive);
more extreme temperature limits in some countries. limiti estremi di temperatura in alcuni paesi.
Some specific topics which shall be included Alcuni aspetti specifici che devono essere consi-
are listed in B.5.1 to B.5.3 below. derati sono indicati nei punti da B.5.1. a B.5.3. se-
guenti.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 72 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
2) System build 2) Costruzione del sistema
This documentation shall detail how Questa documentazione deve dettagliare come
sub-systems and equipment are built into a sono costruiti i sottosistemi e le apparecchiature
particular signalling system. in un determinato sistema di segnalamento.
EXAMPLE version control settings; ESEMPIO selezioni di controllo della versione;
application control settings; selezioni di controllo dell’applicazione;
interface settings; selezioni delle interfacce;
initialisation settings; selezioni per l’inizializzazione;
maintenance control settings; selezioni di controllo della manutenzione;
manufacturing and production testing; prove di costruzione e di produzione;
system test routines; procedure di prova del sistema;
installation, testing and commissioning. installazione, prove e messa in funzione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 73 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
c) changeover c) commutazione
If the equipment, or the system/sub-sys- Se l’apparecchiatura, oppure il sistema/sot-
tem in which it is configured, has a fa- tosistema nel quale essa è configurata, di-
cility to change over to either a cold or spone di una funzione di commutazione
hot standby system/sub-system, then che gli consenta di passare ad un siste-
the conditions defined in a) and b) shall ma/sottosistema in riserva calda o fredda, le
be re-stated for this changeover routine. condizioni definite nei punti a) e b) devono
The reaction of the equipment to the essere ristabilite per questo programma di
changing of failed modules shall also be commutazione. Deve essere chiaramente
clearly defined. definita la reazione dell’apparecchiatura alla
sostituzione di eventuali moduli danneggiati.
d) shut-down d) arresto
When a system, sub-system or item of Devono essere definite tutte le condizioni
equipment is shut down intentionally applicabili quando un sistema/sottosiste-
for a configuration change or de-com- ma/apparecchiatura viene arrestato volonta-
missioning, or unintentionally via a riamente per un cambiamento della configu-
power failure, then all relevant condi- razione o per essere ritirato dal servizio,
tions shall be defined. oppure involontariamente in seguito ad un
guasto dell’alimentazione.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 74 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
for the actual circumstances encountered during curezza rimangano valide rispetto alle condizioni
in-service use. realmente riscontrate nel corso dell’esercizio.
Note/Nota This should include, for example, Si dovrebbe includere, per esempio
the monitoring of safety-related performance and com- il controllo delle prestazioni correlate con la sicurezza e il
parison with the predicted performance, confronto con le prestazioni previste,
the monitoring and assessment of failure reports to de- il controllo e la valutazione dei rapporti sui malfunziona-
tect failure trends or possible hazardous failures which menti, allo scopo di individuare gli andamenti dei mal-
can be corrected, thereby improving safety and reliabil- funzionamenti o eventuali malfunzionamenti pericolosi
ity, che possano essere corretti, consentendo così di migliora-
re la sicurezza e l’affidabilità,
investigation of incident and accident reports to identi- l’analisi dei rapporti sugli incidenti e sugli eventi imprevisti,
fy any changes required to improve the safety perform- al fine di identificare ogni modifica necessaria per migliora-
ance of the system. re la prestazione del sistema sul Piano della Sicurezza.
duction of replacement systems whilst the rail- la possibilità di un’eventuale introduzione gradua-
way continues in operation. le di sistemi sostitutivi mentre il sistema ferrovia-
rio continua a funzionare.
Appropriate warnings and instructions concern- Devono essere inclusi anche adeguati avvertimen-
ing final disposal of equipment after decommis- ti e istruzioni relative alla dismissione definitiva
sioning shall also be included. delle apparecchiature dopo il ritiro dal servizio.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 75 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Safety Qualification Tests, as defined, shall be Le prove di Qualifica della Sicurezza, definiti sopra,
completed before commencing operation with devono essere portati a termine prima dell’inizio
full responsibility for safety. dell’esercizio con totale responsabilità per la sicu-
rezza.
A record shall be established which explains Deve essere previsto un sistema di registrazione
when the system is put into service, with or per spiegare che il sistema è immesso in servizio,
without passengers, with or without precau- con o senza passeggeri, con o senza precauzioni,
tions, and what is the authorisation level ob- e quale sia il livello d’autorizzazione ottenuto in
tained at each stage (provisional or final Safety ogni fase (approvazione provvisoria oppure defi-
Approval). nitiva della sicurezza).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 76 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
normative
C normativo IDENTIFICATION OF HARDWARE COMPONENT IDENTIFICAZIONE DEI MODI DI
FAILURE MODES MALFUNZIONAMENTO DEI COMPONENTI
HARDWARE
The information in the tables may be modified, Le informazioni fornite in queste tabelle possono
as explained in C.2 and C.5, if adequate justifi- subire modifiche, come spiegato nei punti C.2 e
cation is provided for such variations. C.5, a condizione che sia fornita adeguata giustifi-
cazione per tali modifiche.
C.3 Procedure for integrated circuits (including Procedura per i circuiti integrati (compresi i
microprocessors) microprocessori)
Designs which employ integrated circuits re- I sistemi che impiegano circuiti integrati richiedono
quire special treatment, since it can be difficult un trattamento speciale dato che può essere difficile
to predict all the credible failure modes that the predire tutti i modi di malfunzionamento verosimili
device may possess. This is particularly true for che tali componenti potrebbero possedere. Questo è
programmable devices, since the failure modes vero in particolare per i componenti programmabili,
that may be observed at the boundary of the dato che i modi di malfunzionamento che possono
device are application specific. essere osservati ai morsetti del componente sono
specifici dell’applicazione.
It is recommended that the hazardous failure Si raccomanda che i modi di malfunzionamento
modes be identified in a top-down manner for pericolosi siano identificati con un’analisi “discen-
the specific application, using a technique such dente” per le applicazioni specifiche impiegando
as Fault Tree Analysis. (An alternative would be tecniche quali l’Analisi ad albero dei guasti (FTA).
to use a bottom-up approach such as Failure (Un’alternativa potrebbe essere costituita dall’im-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 77 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Modes and Effects Analysis, but this method is piego di un approccio “ascendente” come l’Anali-
time-consuming and it is possible that certain si dei modi di malfunzionamento e dei loro effet-
hazardous failure modes could be missed). ti, ma questo metodo è lungo ed è possibile che
alcunimodi di malfunzionamento pericolosi ven-
gano trascurati).
As assessment and justification shall then be Dovranno essere poi fatte una valutazione e giustifi-
made, to show that for each identified hazard- cazione al fine di dimostrare che per ogni modo di
ous failure mode: malfunzionamento pericoloso identificato:
either a) the failure mode cannot credibly o a) il modo di malfunzionamento non può ra-
occur, due to the internal software gionevolmente verificarsi, grazie all’architet-
architecture or data structure, tura interna del software oppure alla struttu-
ra dei dati,
or b) the failure mode will be externally o b) il modo di malfunzionamento sarà rilevato
detected and a safe state imposed esternamente e sarà imposto uno stato sicu-
within the required time. In this case, ro nei tempi richiesti. In questo caso, deve
quantitative analysis shall be per- essere effettuata un’analisi quantitativa per
formed to justify the design, and a giustificare il progetto, e deve essere adotta-
pessimistic view shall be taken to un punto di vista pessimistico per cui si
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
whereby the hazardous failure modes assume di adottare per i modi di malfunzio-
are assumed to take the full compo- namento pericolosi, il tasso di malfunziona-
nent failure rate. mento dell’intero componente.
Note/Nota Some items, such as “intelligent” sensors, employ embedded Alcuni componenti, come i sensori “intelligenti”, utilizzano
microprocessors. Such items should be assessed using the microprocessori dedeicati. Tali componenti dovrebbero essere
same methods as outlined above for integrated circuits. valutati utilizzando gli stessi metodi già descritti sopra per i
circuiti integrati.
C.4 Procedure for components with inherent Procedura per i componenti con proprietà
physical properties fisiche intrinseche
If the technique of Inherent Fail-Safety is used Se si ricorre alla tecnica della sicurezza intrinseca
(see B.3.1), full justification shall be provided (vedi B.3.1), per ognuno dei modi di malfunzio-
for any component failure mode which is con- namento del componente ritenuti inverosimili
sidered to be incredible. This justification shall deve essere fornita una giustificazione completa.
include, but not necessarily be limited to, the Questa giustificazione deve includere i seguenti
following topics: punti, ma non necessariamente limitarsi ad essi:
theoretical explanation of inherent physical spiegazione teorica delle proprietà fisiche in-
properties; trinseche;
evidence of compliance with recognised prova della conformità rispetto a riconosciute
quality standards; norme di qualità;
explanation of special construction of com- spiegazione della speciale costruzione dei
ponents; componenti;
explanation of special mounting arrangements spiegazione delle disposizioni di montaggio
or other precautions for the component; particolari o altre precauzioni per il compo-
nente;
evidence that the failure mode will not oc- prova del fatto che il modo di malfunziona-
cur as a result of component ratings being mento non può verificarsi come risultato del
exceeded (for example, because of fault or superamento degli indici del componente
overload conditions); (per esempio, a causa di un guasto o di con-
dizioni di sovraccarico);
results of tests to demonstrate fail-safe be- risultati di prove che dimostrino il comporta-
haviour of component under adverse condi- mento di “sicurezza intrinseca” del compo-
tions (by means of physical tests, technical nente in condizioni sfavorevoli (tramite prove
justifications, or simulation); fisiche, giustificazioni tecniche o simulazioni);
evidence of previous experience of reliance prova di precedenti esperienze di dipendenza
on the component for inherent fail-safety. dal componente per la sicurezza intrinseca.
If satisfactory justification is provided, the rele- Se sono fornite giustificazioni soddisfacenti, i modi di
vant component failure modes may be exclud- malfunzionamento del corrispondente componente
ed from the safety analysis. possono essere esclusi dall’analisi della sicurezza.
It is not necessary to repeat the justification if it Non è necessario ripetere la giustificazione se
has already been provided in the past; it is suffi- questa è già stata presentata in passato; è suffi-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 78 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
cient to make reference to the previous justifica- ciente fare riferimento al precedente rapporto di
tion report. However, if this justification in- giustificazione. Ciò nonostante, se questa giustifi-
cludes particular conditions (for example, cazione comprende condizioni particolari (per
special mounting arrangements or means for esempio speciali disposizioni per il montaggio
prevention of overload), the fulfilment of these oppure modi per evitare i sovraccarichi), il soddi-
conditions shall be included in the Safety Case. sfacimento di queste condizioni deve essere in-
cluso nell’Istruttoria per la Sicurezza.
Previous experience indicates that some partic- L’esperienza precedente mostra che una giustifica-
ular component failure modes are more likely zione di non verosimiglianza è più probabile per al-
to be capable of justification as incredible; these cuni particolari modi di malfunzionamento dei com-
failure modes are indicated by (*) in Tables C.1 ponenti. Questi modi di malfunzionamento sono
to C.16, together with relevant guidance notes indicati con un asterisco (*) nelle tabelle da C.1 a
in C.6 and C.7. Other component failure modes C.16, con un riferimento alle note esplicative dei
are much less likely to be capable of justifica- punti C.6 e C.7. La giustificazione di non verosimi-
tion as incredible. Note that justification shall be glianza degli altri modi di malfunzionamento è con-
provided for all failure modes which are consid- siderata molto meno probabile. C’è da notare che
ered to be incredible, including those which are devono essere fornite le giustificazioni per tutti i
indicated in the tables. modi di malfunzionamento considerati inverosimili,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
C.5 General notes concerning component failure Note generali sui modi di malfunzionamento dei
modes componenti
1) Tables C.1 to C.16 contain lists of credible 1) Le tabelle da C.1 a C.16 contengono l’elenco
failure modes of hardware components. dei modi di malfunzionamento dei compo-
nenti hardware ritenuti verosimili.
2) The failure modes are as manifested at the 2) I modi di malfunzionamento sono quelli che si
boundary of the components, and not the manifestano ai morsetti dei componenti e non
internal physical causes of the failures. le cause fisiche interne dei malfunzionamenti.
3) All listed failure modes could be intermit- 3) Tutti i modi di malfunzionamento elencati
tent. possono essere intermittenti.
4) Intermittent failures are caused by environ- 4) I malfunzionamenti intermittenti possono es-
mental influences such as temperature vari- sere causati dalle influenze dell’ambiente,
ation or mechanical stress (see relevant en- quali le variazioni della temperatura e le solle-
vironmental standards). Therefore the citazioni meccaniche (vedi le corrispondenti
frequency of intermittent failures will be in norme ambientali). Pertanto la frequenza dei
accordance with these reasons. malfunzionamenti intermittenti sarà in rappor-
to con queste cause.
5) Variations within the tolerances of a compo- 5) Le variazioni entro le tolleranze indicate nelle
nent’s published specification are not con- specifiche pubblicate per i componenti non
sidered to be failures. sono da considerare come malfunzionamenti.
6) It is assumed that components are operated 6) Si presuppone che i componenti siano utiliz-
within their published environmental limits. zati entro i loro limiti ambientali pubblicati.
7) It is assumed that components are operated 7) Si presuppone che i componenti siano utiliz-
within their published electrical ratings. zati entro le loro tarature elettriche pubblica-
te.
8) External short-circuit or leakage between ter- 8) I cortocircuitati esterni o le dispersioni tra i col-
minals of a component is not considered to legamenti di un componente non sono conside-
be a component failure. For suitable creepage rati malfunzionamenti del componente. (Per le
and clearance distances refer to Note 10). adeguate distanze d’isolamento superficiali e in
aria, fare riferimento alla nota 10).
9) External short-circuit or leakage between dif- 9) I cortocircuitati esterni o le dispersioni tra di-
ferent components is not considered to be a versi componenti non sono considerati mal-
component failure. For suitable creepage and funzionamenti del componente. (Per le ade-
clearance distances refer to Note 10). Stable guate distanze d’isolamento superficiali e in
mounting and/or special fastening will be aria, fare riferimento alla nota 10). Un montag-
necessary if environmental conditions could gio stabile e/o un bloccamento speciale sono
change the position of a component. necessari se le condizioni ambientali possono
modificare la posizione del componente.
10) Where safety is reliant on clearance and 10) Quando la sicurezza dipende dalle distanze
creepage distances, the minimum clearance d’isolamento superficiali e in aria, i loro valori
and creepage distances shall be defined ac- minimi devono essere definiti in coerenza con i
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 79 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
cording to the application requirements (in- requisiti dell’applicazione (incluso materiali,
cluding material, technology, implementation, tecnologia, realizzazione, condizioni d’eserci-
environmental and operating conditions, fail- zio e ambientali, condizioni di malfunziona-
ure conditions and temporary overvoltages). mento e sovratensioni temporanee). Per deter-
EN 50124-1 or IEC 60664 shall be used to de- minare i requisiti minimi fondati sull’isolamento
termine minimum requirements based on rafforzato, devono essere usate le norme
re-inforced insulation. These requirements EN50124-1 o IEC 60664. Questi requisiti devono
shall be accepted or further strengthened or essere accettati, oppure ulteriormente rafforzati
complemented by the Railway Authority. oppure completati dall’Autorità Ferroviaria.
C.6 Additional general notes, concerning Note generali addizionali sui componenti con
components with inherent physical properties proprietà fisiche intrinseche
1) The procedure and conditions for justifica- 1) La procedura e le condizioni necessarie per la
tion of any component failure mode as in- giustificazione di ognuno dei modi di malfun-
credible are contained in C.4. zionamento considerati non verosimili sono
indicate al punto C.4.
2) Failure modes indicated by (*) in Tables C.1 to 2) I modi di malfunzionamento segnalati da un
C.16 are those which are more likely to be ca- asterisco (*) nelle tabelle da C.1 a C.16 sono
pable of being justified as incredible. quelli la cui giustificazione come non verosi-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
C.7 Specific notes concerning components with Note specifiche sui componenti con proprietà
inherent physical properties fisiche intrinseche
The following notes provide guidance concern- Le seguenti note forniscono consigli sulle possibi-
ing possible justification of the failure modes li giustificazioni dei modi di malfunzionamento
identified by (*) in Tables C.1 to C.16 as incred- segnalati da un asterisco (*) nelle tabelle da C.1 a
ible. C.16 considerati come non verosimili.
10) The body shall have no hollows. 10) Il corpo del componente non deve presentare
fori.
Clearance and creepage distances between Le distanze d’isolamento superficiali e in aria
the caps/connection wires at each end of the tra i fili di collegamento ad ognuna delle estre-
component shall at least fulfil the require- mità del componente deve almeno soddisfare i
ments of EN 50124-1, in accordance with its requisiti della EN 50124-1, conformemente ai
requirements for re-inforced insulation. requisiti dell’isolamento rafforzato.
The winding of a wire-wound resistor shall L’avvolgimento di una resistenza a filo avvolto
have only one layer. deve avere un solo strato.
The component shall be coated with cement Il componente deve essere rivestito di cemen-
or enamel. to oppure di smalto.
Short-circuit between turns of a wire-wound Deve essere evitato il cortocircuitato tra le spi-
resistor shall be avoided by coating of the re di una resistenza a filo avvolto rivestendo il
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 80 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
wire, and/or by physical separation of the filo e/o separando fisicamente le spire.
turns.
The body shall be constructed of material Lo strato deve essere fabbricato in materiale
which is non-conductive, even at the highest non conduttore anche alle più elevate tempe-
temperature (including fault conditions). rature (comprese quelle delle condizioni di
guasto).
The coating shall be non-conductive, even at Il rivestimento non deve essere conduttore
the highest temperature (including fault con- anche alle temperature più elevate (comprese
ditions). quelle delle condizioni di guasto).
The resistance shall be limited to the lowest La resistenza deve essere limitata al valore più
possible value (for example, no greater than basso possibile (per esempio, non superiore
10 kΩ). ai 10 kΩ).
11) The 4-terminal resistor shall be constructed in 11) Le resistenze a quattro uscite devono essere
such a way that, if a fault causing interruption concepite in modo tale che, se accade un gua-
of the resistance material occurs, this fault sto che causa l’interruzione del materiale resisti-
would also cause interruption of at least one vo, questo guasto provochi anche l’interruzione
of the four connecting terminals. di almeno uno dei quattro collegamenti d’uscita.
The circuitry external to the resistor shall dis- I circuiti esterni alla resistenza devono ricono-
close the interruption of the terminal(s) in a scere con sicurezza l’interruzione del/dei colle-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
POSSIBLE ROTTURA
A D
(guasto)
POSSIBLE “CRACK”
(FAULT)
R
SUBSTRATO CERAMICO
CERAMIC SUBSTRATE
B C
A B C D
12) Two terminals shall be connected independ- 12) Due morsetti devono essere collegati indipen-
ently to each side of the component. dentemente su ogni lato del componente.
13) The formula to calculate capacitance of a sim- 13) La formula per calcolare la capacità di un con-
ple parallel-plate capacitor is: densatore ad armature parallele semplici è:
A
C = ε0 ⋅ εr ⋅
d
where dove
A = common area of plates, A = superfice comune delle armature,
d = distance between plates, d = distanza tra le armature,
ε0 = permittivity of free space, ε0 = permittività del vuoto,
εr = relative permittivity (dielectric constant). εr = permittività relativa (costante dielettrica).
Justification of the failure mode as incredible La giustificazione del modo di malfunziona-
requires demonstration that none of these pa- mento considerato non verosimile richiede la
rameters can significantly change. dimostrazione che nessuno di questi parame-
tri possa cambiare in misura significativa.
Electrolytic capacitors are not suitable for ex- I condensatori elettrolitici non si possono
clusion from this failure mode. considerare esclusi da questo modo di mal-
funzionamento.
14) The capacitor shall be designed and con- 14) Per le applicazioni ad alta tensione, i condensa-
structed for high-voltage application in rela- tori devono essere progettati e realizzati in fun-
tion to the maximum possible operating volt- zione della più elevata tensione possibile di fun-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 81 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
age (including fault conditions). It shall have zionamento (compresa quella delle condizioni
Class-Y specification, and self-healing proper- di guasto). Essi devono avere la classe Y delle
ties at the working source impedance and specifiche, proprietà di auto-cicatrizzazione
over the working voltage range. all’impedenza di lavoro d’origine ed oltre l’inter-
vallo della tensione di lavoro.
15) There shall be only one layer of turns, sepa- 15) Ci deve essere un solo strato di fili, separato da
rated by means of grooves in the insulated scanalature nel supporto isolato, oppure il filo
body, or the wire shall have re-inforced insu- deve avere un isolamento rafforzato.
lation.
The turns shall be securely fastened. Le spire devono essere fissate saldamente.
16) Clearance and creepage distances shall fulfil 16) Le distanze di isolamento superficiali e in aria
at least the requirements for re-inforced insu- devono rispondere almeno ai requisiti della
lation of EN 50124-1. EN 50124-1.
All windings and connections shall be secure- Tutti gli avvolgimenti e i collegamenti devono
ly fastened. essere fissati saldamente.
Power dissipation shall be limited sufficiently La potenza dissipata deve essere sufficiente-
to prevent internal carbonisation (including mente limitata al fine di evitare la carbonizzazio-
fault conditions). ne interna (incluse le condizioni di guasto).
17) The magnetic core shall be constructed such 17) Il nucleo magnetico deve essere realizzato in
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
that no significant change in reluctance of the maniera tale che non possano intervenire cam-
magnetic path can occur. biamenti significativi della riluttanza del circuito
magnetico.
18) The transfer ratio depends upon the number of 18) Il rapporto di trasferimento dipende dal numero
turns on each winding, and on the integrity of di giri di ogni avvolgimento e dall’integrità
the magnetic coupling. Therefore it is neces- dell’accoppiamento magnetico. Pertanto è ne-
sary for Notes 15), 16) and 17) to be fulfilled. cessario che siano rispettate le condizioni delle
Note 15), 16) e 17).
19) The transductance and the DC threshold volt- 19) La trasduttanza e la soglia di tensione della cor-
age depend upon the properties of the mag- rente continua, dipendono dalle proprietà del
netic core material. Therefore it is necessary materiale del nucleo magnetico. Pertanto, è ne-
to demonstrate that these magnetic properties cessario dimostrare che tali proprietà magnetiche
cannot significantly change. non possano cambiare in misura significativa.
Transductance and DC threshold voltage also La trasduttanza, e la soglia di tensione a corrente
depend on the number of turns on each continua, dipendono anche dal numero di spire
winding, and on the integrity of the magnetic in ogni avvolgimento e dall’integrità dell’accop-
coupling. Therefore it is also necessary for piamento magnetico. Quindi è anche necessario
Notes 15), 16) and 17) to be fulfilled. che siano rispettate le note 15), 16) e 17).
The output from a transductor is related to the Il valore dell’uscita da un trasduttore è funzione
number of ampère-turns in the control wind- del numero di amper-spire dell’avvolgimento di
ing. It is necessary to demonstrate that, in controllo. Si deve dimostrare che, insieme all’as-
conjunction with the associated drive circuit- sociato circuito di comando, non possa verificarsi
ry, no credible failure modes of the control nessun modo verosimile di malfunzionamento
winding can cause an increase in the number dell’avvolgimento di controllo possa causare l’au-
of ampère-turns. mento del numero di ampere-spire.
20) All parts of the relay or switch mechanism 20) Tutte le parti del relé o del meccanismo di com-
shall be robustly constructed and securely fas- mutazione devono essere costruite in modo ro-
tened, including busto ed essere fissate saldamente, compresi:
the operating mechanism, l’equipaggiamento,
the contact system, il sistema dei contatti
the magnetic circuit (if any), il circuito magnetico (se ve ne sono),
the coil(s) (if any). la/le bobina/e (se ve ne sono).
Clearance and creepage distances shall fulfil Le distanze d’isolamento superficiali e in aria de-
at least the requirements for re-inforced insu- vono rispondere almeno ai requisiti relativi
lation of EN 50124-1. all’isolamento rafforzato della EN 50124-1.
21) Contact materials shall be chosen which are 21) I materiali dei contatti devono essere scelti in
not capable of being welded. modo che non possano incollarsi.
The risk of welding shall be further reduced I rischi di incollamento devono essere ulterior-
by appropriate mechanical design and con- mente ridotti tramite una progettazione meccani-
struction of the contacts. ca e una tecnica di fabbricazione dei contatti ap-
propriate.
The maximum current shall be limited, to Il valore massimo di corrente deve essere limita-
ensure that the temperature of the contacts to, in modo da assicurare che la temperatura dei
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 82 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
does not reach a value at which welding contatti non raggiunga un valore al quale potreb-
could occur. be verificarsi il loro incollaggio.
22) Stability of the relay’s characteristics shall be 22) La stabilità delle caratteristiche del relé deve esse-
ensured by careful attention to the following re assicurata con particolare attenzione ai se-
factors: guenti fattori:
magnetic characteristics: caratteristiche magnetiche:
choice of magnetic material; scelta del materiale magnetico;
provision of a stop device to avoid impiego di un dispositivo per evitare la
permanent magnetisation of the mag- magnetizzazione permanente del circui-
netic circuit (core); to magnetico (nucleo);
protection against external magnetic protezione contro i campi magnetici
fields; esterni;
electrical characteristics: caratteristiche elettriche:
choice and quality of the wire and in- scelta e qualità del filo e dell’isolamen-
sulation; to;
quality of winding of the coil; qualità dell’avvolgimento della bobina;
quality of terminations; qualità delle terminazioni;
mechanical characteristics: caratteristiche meccaniche:
choice and quality of materials; scelta e qualità dei materiali;
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 83 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
of a photo-diode or transistor, are dependent tica di un fotodiodo o di un fototransistore, di-
on pendono da
doping levels, i livelli di drogaggio,
thickness of the junction(s), lo spessore della/e giunzione/i,
life-time of charge carriers. la durata di vita dei portatori di cariche.
These parameters should remain constant, Questi parametri dovrebbero rimanere costanti,
with the exception of the charge carriers’ fatta eccezione per la durata di vita dei portatori
life-time, which can only decrease with di cariche che può solo diminuire con il tempo.
time. Therefore the amplification/sensitivity Di conseguenza, l’amplificazione o la sensibilità
should remain constant, or possibly de- dovrebbero rimanere costanti o possono diminu-
crease, but not increase (has to be justified ire, ma non possono aumentare (da giustificare
for each application). per ogni applicazione).
A small possibility exists of an increase in Esiste una ridotta possibilità di incremento
amplification caused by pollution affecting dell’amplificazione causata dall’inquinamento
surface doping. This can be avoided by che può influenzare il drogaggio di superficie.
high-quality manufacture and packaging of Ciò può essere evitato con un’elevata qualità di
the component. Also this effect is only sig- fabbricazione e di impacchettamento del compo-
nificant for very low bias currents, which nente. Anche questo effetto è significativo solo
shall therefore be avoided when designing per i valori di corrente di polarizzazione molto ri-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 84 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
30) Clearance and creepage distances shall fulfil 30) Le distanze di isolamento superficiali e in aria
at least the requirements for re-inforced insu- devono rispondere almeno ai requisiti della
lation of EN 50124-1. EN 50124-1, relativa al rafforzamento dell’iso-
lamento.
31) The input and output drive/coupling ele- 31) Gli elementi di accoppiamento/comando de-
ments shall be securely fastened. gli ingressi e delle uscite devono essere fissati
saldamente.
The component shall be robustly constructed. Il componente deve essere costruito in modo ro-
busto.
The resonator(s) shall be constructed and Il o i risonatori devono essere costruiti e montati
mounted so as to prevent change of their in modo da evitare qualunque cambiamento del-
effective dimensions. le loro effettive dimensioni.
The resonator(s) shall be constructed of a Il o i risonatori devono essere costruiti in un ma-
material whose dimensions are not signifi- teriale le cui dimensioni non siano significativa-
cantly altered by changes of temperature. mente alterate da cambiamenti di temperatura.
The material of the resonator(s) shall be sta- Il materiale del o dei risonatori deve essere stabi-
bilised by temperature cycling and/or lizzato tramite un ciclo termico e/o un pre-eserci-
pre-operation for a sufficient time. zio per un sufficiente periodo di tempo.
The material of the resonator(s) shall not be Il materiale del o dei risonatori non deve essere
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 85 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The electrical connection to the screen shall Il collegamento elettrico dello schermo deve es-
be robust and securely fastened. sere robusto e fissato saldamente.
39) Sufficiently robust insulation shall be provid- 39) Deve essere assicurato l’impiego di un isolamen-
ed. to sufficientemente robusto.
Clearance and creepage distances shall fulfil Le distanze d’isolamento superficiali e in aria
at least the requirements for re-inforced in- devono rispondere almeno ai requisiti della
sulation of EN 50124-1. EN 50124-1, relativa al rafforzamento dell’iso-
lamento.
Protection shall be provided against exces- Deve essere realizzata una protezione contro ec-
sive physical damage. cessivi danni fisici.
Protection shall be provided against electri- Deve essere realizzata una protezione contro i
cally conductive foreign bodies. corpi estranei conduttori di elettricità.
40) The fuse and its holder shall be physically 40) Il fusibile e il suo supporto devono essere fisica-
constructed and mounted so as to prevent the mente realizzati e montati in modo da evitare il
occurrence of a parallel short-circuit. verificarsi di un cortocircuitato parallelo.
Means shall be provided to prevent the use Devono essere adottate misure per evitare l’uso
of an incorrectly rated fuse. di un fusibile erroneamente valutato.
Means shall be provided to prevent the use Devono essere adottate misure per evitare l’uso
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Interruzione
Interruption
Cortocircuitato (*) Nota_Note 10
Short-circuit
Aumento del valore di resistenza
Increase of resistance value
Riduzione del valore di resistenza (*) Nota_ Note 10
Decrease of resistance value
Cortocircuitato al contenitore
Short-circuit to case
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 86 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.2 Capacitors Condensatori
a) All kinds of capacitor and adjustable ca- a) Tutti i tipi di condensatori e condensatori
pacitor (excluding 4-terminal capacitor) regolabili (esclusi i condensatori a 4 ter-
minali)
Interruzione
Interruptioni
Cortocircuitato (*) Nota_Note 14
Short-circuit
Aumento della capacità (*) Nota_Note 13
Increase of capacitance
Riduzione della capacità (*) Nota_Note 13
Decrease of capacitance
Riduzione della resistenza parallela (*) Nota_Note 14
Decrease of parallel resistance
Aumento della resistenza seriale
Increase of series resistance
Cortocircuitato al contenitore
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Short-circuit to case
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 87 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.3 Electromagnetic components Componenti elettromagnetici
a) Inductor a) Induttanze
Interruzione dell’avvolgimento
Interruption of winding
Cortocircuito dell’avvolgimento
Short-circuit of winding
tra spire
(*) Nota_Note 15
between turns
tra strati
(*) Nota_Note 16
between layers
dell’intero avvolgimento
(*) Nota_Note 16
whole winding
Cortocircuito o riduzione dell’isolamento tra l’avvolgimento e il supporto
(*) Nota_Note 16
Short-circuit or decrease of insulation between winding and body
Aumento della resistenza dell’avvolgimento
Increase of resistance of winding
Aumento dell’induttanza
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
(*) Nota_Note 17
Increase of inductance
Riduzione dell’induttanza (*) Nota_Note 17
Decrease of inductance
b) Transformer b) Trasformatore
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 88 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.3 Electromagnetic components (continued) Componenti elettromagnetici (segue)
c) Transductor (saturable reactor or mag- c) Trasduttore (reattore saturabile o amplifi-
netic amplifier) catore magnetico)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 89 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.3 Electromagnetic components (continued) Componenti elettromagnetici (segue)
d) Relay d) Relè
(*) Nota_Note 20
between contact and contact
tra contatto e supporto
(*) Nota_Note 20
between contact and case
Incollaggio dei contatti
(*) Nota_Note 21
Welding of contacts
Aumento della resistenza dei contatti
Increase of contact resistance
Rimbalzo del contatto
Contact chatter
Aumento della corrente di eccitazione
Increase of pick-up current
Riduzione della corrente di eccitazione (*) Nota_Note 22
Decrease of pick-up current
Aumento della corrente diseccitazione
Increase of drop-away current
Riduzione della corrente di diseccitazione (*) Nota_Note 22
Decrease of drop-away current
Modifica del rapporto corrente di eccitazione/corrente di diseccitazione (*) Nota_Note 22
Change of pick-up to drop-away ratio
Aumento del tempo di eccitazione
Increase of pick-up time
Riduzione del tempo di eccitazione (*) Nota_Note 22
Decrease of pick-up time
Aumento del tempo di diseccitazione (*) Nota_Note 22
Increase of drop-away time
Riduzione del tempo di diseccitazione (*) Nota_Note 22
Decrease of drop-away time
Il relé non si eccita
Relay does not pick up
Il relé non si diseccita (*) Nota_Note 22
Relay does not drop away
Chiusura simultanea dei contatti anteriori e dei contatti posteriori (transitorio o
permanente) (*) Nota_Note 22
Closure of any front contact at the same time as any back contact (transient or continuous)
Mancata corrispondenza tra contatti anteriori
Non-correspondence between front contacts
Mancata corrispondenza tra contatti posteriori
Non-correspondence between back contacts
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 90 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.4 Diodes Diodi
a) Normal diode (power, signal, switch- a) Diodo normale (di potenza, di segnala-
ing) mento, di commutazione)
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della corrente inversa
Increase of reverse current
Riduzione della tensione inversa di rottura (breakdown)
Decrease of reverse breakdown voltage
Aumento della tensione in stato di conduzione
Increase of conducting-state voltage
Riduzione della tensione in stato di conduzione
Decrease of conducting-state voltage
Aumento della tensione di soglia (*) Nota_Note 23
Increase of threshold voltage
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di Zener (*) Nota_Note 24
Increase of Zener voltage
Riduzione della tensione di Zener (* Nota_Note 24
Decrease of Zener voltage
Modifica del valore della resistenza differenziale
Change of differential resistance
Aumento della corrente inversa
Increase of reverse current
Aumento della tensione in stato di conduzione diretta
Increase of forward conducting-state voltage
Riduzione della tensione in stato di conduzione diretta
Decrease of forward conducting-state voltage
Aumento della tensione di soglia di conduzione diretta (*) Nota_Note 23
Increase of forward threshold voltage
Riduzione della tensione di soglia di conduzione diretta (*) Nota_Note 23
Decrease of forward threshold voltage
Cortocircuito al contenitore conduttore
Short-circuit to conductive case
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 91 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.5 Transistors Transistori
a) Bipolar transistor a) Transistore bipolare
Interruzione
Interruption
dell’emettitore (E)
of emitter (E)
e/o della base (B)
and/or base (B)
e/o del collettore (C)
and/or collector (C)
Cortocircuito
Short circuit
tra E e B
between E and B
tra B e C
between B and C
tra E e C
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
between E and C
tra E e B e C
between E and B and C
Cortocircuito tra due terminali e interruzione del terzo terminale
Short-circuit between two connections and interruption of the third connection
Cortocircuito tra il rivestimento e E o B o C
Short-circuit between casing and E or B or C
Aumento del guadagno in c.c. e/o in c.a. (*) Nota_Note 25
Increase of d.c. and/or a.c. amplification
Riduzione del guadagno in c.c. e/o in c.a.
Decrease of d.c. and/or a.c. amplification
Aumento della tensione base-emettitore in stato di conduzione
Increase of base-emitter conducting-state voltage
Riduzione della tensione base-emettitore in stato di conduzione
Decrease of base-emitter conducting-state voltage
Aumento della tensione di soglia VBE (*) Nota_Note 23
Increase of threshold voltage VBE
Riduzione della tensione di soglia VBE (*) Nota_Note 23
Decrease of threshold voltage VBE
Riduzione della tensione di rottura (breakdown) VEB oppure VCB oppure VCE
Decrease of break-down voltage VEB or VCB or VCE
Cambiamento del tempo di salita, del tempo di discesa, del tempo di conduzione
e del tempo di interdizione
Change of rise time, fall time, turn-on time, turn-off time
Aumento della corrente di dispersione ICB, IEB, ICE
Increase of leakage current ICB, IEB, ICE
Cambiamento della tensione di saturazione VCE
Change of saturation voltage VCE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 92 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.5 Transistor (continued) Transistore (segue)
b) Field-effect transistor (FET) b) Transistore a effetto di campo (FET)
Interruzione
Interruption
del Gate (G)
of gate (G)
e/o del Source (S)
and/or source (S)
e/o del Drain (D)
and/or drain (D)
Cortocircuito
Short-circuit
tra S e D
between S and D
tra G e D
between G and D
tra S e G
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
between S and G
tra S e G
between S and G
tra S e G e D
between S and G and D
Cortocircuito tra due terminali e interruzione con il terzo terminale
Short-circuit between two connections and interruption of the third connection
Cortocircuito tra il contenitore ed S oppure G oppure D
Short-circuit between casing and S or G or D
Aumento della trasconduttanza diretta (*) Nota_Note 25
Increase of forward transconductance
Riduzione della trasconduttanza diretta
Decrease of forward transconductance
Aumento della tensione di soglia del gate
Increase of gate threshold voltage
Riduzione della tensione di soglia del gate
Decrease of gate threshold voltage
Riduzione
Decrease
della tensione di rottura (breakdown) tra drain e source
of drain-source break-down voltage
delle tensioni massime specificate gate-source e drain-gate
of gate-source and drain-gate maximum rated voltages
Modifica del tempo di conduzione e del tempo interdizione della conduzione
Change of turn-on-time and turn-off time
Aumento della corrente di dispersione IGS, IDS, IGD
Increase of leakage current IGS, IDS, IGD
Modifica del valore statico della resistenza drain/source nello stato di accesso
Change of static drain to source on-state resistance
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 93 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.6 Controlled rectifiers Raddrizzatori controllati
a) Silicon - controlled rectifier (SCR) (thyr- a) Raddrizzatori controllati al silicio (SCR)
istor) (tiristore)
Interruzione
Interruption
del Gate (G
of gate (G)
e/o dell’anodo (A)
and/or anode (A)
e/o del catodo (C)
and/or cathode (C)
Cortocircuito
Short-circuit
tra G e C
between G and C
tra G e A
between G and A
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tra A e C
between A and C
tra A e G e C
between A and G and C
Cortocircuito tra due terminali e interruzione del terzo terminale
Short-circuit between two connections and interruption of the third connection
Cortocircuito tra il contenitore ed A oppure G oppure C
Short-circuit between casing and A or G or C
Modifica della corrente di mantenimento
Change of holding current
Modifica della corrente d’innesco del gate e/o della tensione di innesco del gate
Change of gate trigger current and/or of gate trigger voltage
Riduzione
Decrease
della tensione diretta di blocco anodo-catodo
of anode-cathode forward blocking voltage
della tensione inversa di blocco anodo-catodo
of anode-cathode reverse blocking voltage
della tensione massima inversa del gate specificata
of reverse gate maximum rated voltage
Modifica del tempo di conduzione e del tempo di interdizione
Change of turn-on time and turn-off time
Aumento delle correnti di dispersione IAC, IGC, IGA
Increase of leakage current IAC, IGC, IGA
Modifica della tensione statica diretta di conduzione
Change of forward static on-voltage
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 94 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.6 Controlled rectifiers (continued) Raddrizzatori controllati (segue)
b) Bidirectional thyristor (triac) b) Tiristore bidirezionale (triac)
Interruzione
Interruption
del Gate (G)
of gate (G)
e/o della MT1 (primo terminale con circolazione di corrente)
and/or of MT1 (first current-carrying terminal)
e/o della MT2 (secondo terminale con circolazione di corrente)
and/or of MT2 (second current-carrying terminal)
Cortocircuito
Short-circuit
tra G e MT1
between G and MT1
tra G e MT2
between G and MT2
tra MT1 e MT2
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 95 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.7 Surge Suppressors Soppressori di sovratensione impulsiva
a) Voltage-dependent resistor (VDR) a) Resistenza variabile con la tensione
(varistor) (VDR) (varistore)
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di blocco
Increase of clamp voltage
Riduzione della tensione di blocco
Decrease of clamp voltage
Aumento della corrente di dispersione
Increase of leakage current
Interruzione
Interruption
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Cortocircuito
Short-circuit
Aumento della tensione di rottura (breakdown) (*) Nota_Note 24
Increase of breakdown voltage
Riduzione della tensione di rottura (breakdown) (*) Nota_Note 24
Decrease of breakdown voltage
Aumento della corrente di dispersione
Increase of leakage current
Cortocircuito al contenitore conduttore
Short-circuit to conductive case
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di rottura (breakdown)
Increase of breakdown voltage
Riduzione della tensione di rottura (breakdown)
Decrease of breakdown voltage
Aumento della corrente di dispersione
Increase of leakage current
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di rottura (breakdown)
Increase of breakdown voltage
Riduzione de la tensione di rottura (breakdown)
Decrease of breakdown voltage
Aumento della corrente di dispersione
Increase of leakage current
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 96 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.8 Opto-electronic components Componenti optoelettronici
a) Photo diode a) Fotodiodo
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della sensibilità luminosa (*) Nota_Note 25
Increase of light sensitivity
Riduzione della sensibilità luminosa
Decrease of light sensitivity
Aumento della corrente di dispersione
Increase of leakage current
Interruzione
Interruption
Cortocircuito
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Short-circuit
Aumento della sensibilità luminosa (*) Nota_Note 25
Increase of light sensitivity
Riduzione della sensibilità luminosa
Decrease of light sensitivity
Aumento della corrente di dispersione
Increase of leakage current
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento dell’emissione luminosa (a corrente costante) (*) Nota_Note 26
Increase of light emission (at constant current)
Riduzione dell’emissione luminosa (a corrente costante)
Decrease of light emission (at constant current)
Aumento della corrente di dispersione
Increase of leakage current
Aumento della tensione di soglia (*) Nota_Note 23
Increase of threshold voltage
Riduzione della tensione di soglia (*) Nota_Note 23
Decrease of threshold voltage
Emissione di luce al di sotto della tensione di soglia (*) Nota_Note 26
Light emission below threshold voltage
Emissione di luce in polarità inversa (*) Nota_Note 27
Light emission with reverse polarity
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 97 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
d) Optocoupler and self-contained fibre-op- d) Isolatore ottico e sistema a fibre ottiche
tic system (see Note 28) indipendente (vedi Nota 28)
Interruzione
Interruption
Cortocircuito
Short-circuit
Modifica della frequenza di risonanza
Change of resonant frequency
Riduzione del fattore Q
Decrease of Q-factor
Cortocircuito al contenitore conduttive
Short-circuit to conductive case
Interruzione
Interruption
Cortocircuito o riduzione della resistenza d’isolamento
Short-circuit or decrease of insulation resistance
tra ingresso e uscita
(*) Note_Notes 30
between input and output
tra ingresso o uscita ed il contenitore
(*) Note_Notes 30
between input or output and case
Modifica della frequenza di risonanza (*) Note_Notes 31
Change of resonant frequency
Aumento del rapporto di trasferimento (*) Note_Notes 32 e_and 33
Increase of transfer ratio
Riduzione del rapporto di trasferimento
Decrease of transfer ratio
Aumento del fattore Q (*) Note_Notes 33
Increase of Q-factor
Riduzione del fattore Q (*) Note_Notes 31 e_and 34
Decrease of Q-factor
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 98 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.10 Interconnection assemblies Assemblaggi di collegamento
a) Printed-circuit board a) Circuito stampato
b) Connector b) Connettore
Interruzione di
Interruption of
uno o più contatti
one or more contacts
schermo
shield
Cortocircuito o riduzione della resistenza d’isolamento
Short-circuit or decrease of insulation resistance
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Interruzione
Interruption
Aumento della resistenza
Increase of resistance
Interruzione
Interruption
Aumento dell’attenuazione
Increase of attenuation
Interruzione
Interruption
Aumento dell’attenuazione
Increase of attenuation
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 99 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.11 Fuses Fusibili
Interruzione
Interruption
Cortocircuito parallelo (*) Nota_Note 40
Parallel short-circuit
Aumento del valore della corrente di rottura (*) Nota_Note 40
Increase of rupture current
Aumento del tempo di rottura (*) Nota_Note 40
Increase of rupture time
Riconnessione dopo una rottura (*) Nota_Note 40
Reconnection after rupture
Interruzione
Interruption
Cortocircuito
Short-circuit
Riduzione dell’intensità luminosa
Decrease of light intensity
Cortocircuito al contenitore conduttore
Short-circuit to conductive case
Interruzione
Interruption
Cortocircuito
Short-circuit
di un elemento
of individual cell
di più elementi
of multiple cells
dell’intera batteria
of whole battery
Riduzione della f.e.m.
Decrease of e.m.f.
Aumento della resistenza interna
Increase of internal resistance
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 100 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. C.15 Transducers/sensors (not including those with in- Trasduttori/captatori (non includendo quelli dotati di
ternal electronic circuitry) un circuito elettronico integrato)
Interruzione
Interruption
Cortocircuito
Short-circuit
Uscita troppo alta
Output too high
Uscita troppo bassa
Output too low
Tempo di risposta troppo lungo
Time response too long
Cortocircuito al contenitore conduttore
Short-circuit to conductive case
c) Microprocessors c) Microprocessori
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 101 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
informative
D informativo SUPPLEMENTARY TECHNICAL INFORMATION INFORMAZIONI TECNICHE SUPPLEMENTARI
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 102 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ciently low to avoid cross-talk, even in cientemente bassa da impedire il fenome-
the event of faults; no della diafonia, anche in caso di guasto.
b) if different lines on the same board b) se più linee sulla stessa scheda richiedono
need to be protected against cross-talk una protezione contro i fenomeni di dia-
occurring between them, the necessary fonia che si verificano tra di esse, la di-
separation distance depends on the stanza di separazione necessaria dipende
used technology, the coupling length dalla tecnologia utilizzata, dalla lunghezza
and the coupling mechanism. This dis- di accoppiamento e dal meccanismo di
tance should be demonstrated for the accoppiamento. Questa distanza dovreb-
normal operational mode by theoreti- be essere dimostrata, per il modo di nor-
cal calculations and/or by practical male esercizio, con calcoli teorici e/o con
measurements; misure pratiche.
c) if necessary to avoid coupling in the c) se è necessario evitare gli accoppiamenti
event of faults, additional measures (for in caso di guasto, è opportuno adottare
example, shielding or doubling of dis- misure supplementari (per esempio,
tance) should be taken. Effectiveness schermando, o raddoppiando la distanza
should be demonstrated by theoretical d’isolamento). L’efficacia dovrebbe esse-
calculations and/or by practical meas- re dimostrata sulla base di calcoli teorici
urements. e/o con misure pratiche.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 103 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
D.3 Achievement of physical external independence Ottenimento dell’indipendenza fisica esterna
(Protection against influences of type C, as referred to in (Protezione dalle influenze del Tipo C, come indicato al
B.3.2) punto B.3.2)
The following measures provide physical exter- Le seguenti misure assicurano l’indipendenza fisi-
nal independence: ca esterna:
1) measures should be taken to avoid non-in- 1) si dovrebbero adottare misure atte ad evitare ef-
tentional effects by EMI/ESD disturbing cor- fetti involontari dovuti ad interferenze elettro-
rect operation, in accordance with magnetiche (EMI) oppure a scariche elettrostati-
EN 50121-4; che (ESD) che perturbano il normale esercizio,
in conformità con la EN 50121-4;
2) the specified climatic conditions should 2) le condizioni climatiche indicate dovrebbero
normally be complied with. Measures normalmente essere osservate. Dovrebbero
should be taken to minimise the risk of the essere adottate misure per ridurre al minimo il
system being operated outside its specified rischio di un esercizio del sistema al di fuori
climatic conditions; delle sue condizioni climatiche specificate;
3) measures to avoid non-intentional effects 3) misure per evitare effetti involontari prodotti
by mechanical stresses disturbing the cor- da sollecitazioni meccaniche che perturbino il
rect operation: normale esercizio:
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
a) measures should be taken to ensure relia- a) si dovrebbero adottare misure per assicura-
ble correct operation in spite of mechani- re un esercizio affidabile e corretto, anche
cal stress-conditions agreed between the in presenza di condizioni di sollecitazioni
railway authority and supplier; meccaniche, concordate tra l’Autorità Ferro-
viaria e il fornitore;
b) protection should be compliant with b) la protezione deve essere conforme alle
EN 50125-1 and/or EN 50125-3 as ap- norme EN 50125-1 e/o EN 50125-3, a se-
propriate; conda dei casi;
4) measures should be taken to ensure reliable 4) dovrebbero essere adottate misure per assicu-
correct operation in spite of chemical rare un esercizio affidabile, anche in presenza
stress-conditions agreed between the rail- di condizioni di sollecitazione chimica con-
way authority and supplier; cordate tra l’Autorità Ferroviaria e il fornitore;
5) measures should be taken to avoid non-in- 5) dovrebbero essere adottate misure per evitare
tentional operation under non-permitted la messa in funzione involontaria, con tensio-
power-supply voltages (protection of sup- ni d’alimentazione non permesse (protezione
ply-voltages): delle tensioni d’alimentazione):
a) non-permitted supply voltages (outside a) le tensioni di alimentazione non permesse
data-sheet values for supplied sys- (al di fuori dei valori indicati sulle schede
tems/equipments/components) should tecniche relative ai sistemi, alle apparecchia-
be disclosed by voltage-monitoring trig- ture o ai componenti alimentati) dovrebbe-
gering a safe state before hazardous sit- ro essere individuate da un dispositivo di
uations are possible; controllo della tensione elettrica, che provo-
chi uno stato di sicurezza prima che possa-
no verificarsi situazioni di pericolo;
b) voltage-monitoring should operate cor- b) il dispositivo di controllo della tensione elet-
rectly for the whole life-cycle. Volt- trica dovrebbe poter funzionare corretta-
age-monitoring redundancy may be mente per tutta la durata del ciclo di vita. Se
necessary if disclosure of voltage-moni- l’individuazione dei guasti da parte del di-
toring faults is not possible; spositivo di controllo della tensione non è
possibile, può essere necessaria una ridon-
danza del dispositivo di controllo della ten-
sione;
6) measures should be taken to avoid non-in- 6) si dovrebbero adottare misure per evitare gli
tentional hazardous effects caused by exter- effetti pericolosi involontari dovuti a tensioni
nal voltages across input and output ports esterne tra i morsetti d’ingresso e di uscita,
disturbing the correct operation (protection che disturbano il normale funzionamento
of external interfaces): (protezione delle interfacce esterne):
a) worst-case external voltages should be a) dovrebbero essere ipotizzate le tensioni
assumed (process-voltages and all pos- esterne del caso più sfavorevole (tensioni di
sible EMI-induced voltages on cables funzionamento e ogni tensione possibile in-
and lines); dotta da interferenze elettromagnetiche sui
cavi e sulle linee);
b) clearances between live parts and ex- b) le distanze d’isolamento tra le parti sotto
posed conductive parts/earth/circuits tensione e le parti /la terra /i circuiti condut-
whose correct operation needs to be tori esposti, il cui corretto funzionamento ri-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 104 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
protected should be dimensioned ac- chiede una protezione, dovrebbero essere
cording to surge voltages specified in dimensionate in base alle sovratensioni im-
EN 50124-1; pulsive specificate dalla EN 50124-1;
c) creepage distances between live parts c) le distanze d’isolamento superficiale tra le
and exposed conductive parts/earth/cir- parti sotto tensione e le parti /la terra /i cir-
cuits whose correct operation needs to cuiti conduttori esposti, il cui corretto funzio-
be protected should be dimensioned namento richiede una protezione, dovrebbe-
according to EN 50124-1 and according ro essere dimensionate conformemente alle
to maximum rated r.m.s. voltages dur- prescrizioni della EN 50124-1 e conforme-
ing operation; mente ai livelli massimi di tensioni efficaci
nel corso del funzionamento;
d) for dimensioning insulation, the larger d) per quanto riguarda il dimensionamento
distance (clearance or creepage dis- dell’isolamento, è decisiva la distanza mag-
tance) is decisive. giore (distanza d’isolamento superficiale e in
aria).
Notes/Note: 1 The information for the following paragraphs 1-6 is de- 1 Le informazioni dei seguenti paragrafi da 1 a 6 sono de-
rived from CENELEC paper CLC/SC9XA(SEC)114 “Cal- dotte dal documento CENELEC CLC/SC9XA(SEC)114 “Cal-
culation with Mü 8004 formulas”. coli con le formule Mü 8004”.
1) Depending on the sum “a” of the failure 1) In base alla somma “a” dei tassi di malfunziona-
rates of the items whose simultaneous mal- mento delle unità il cui malfunzionamento con-
functioning could be hazardous, the detec- temporaneo può provocare una situazione peri-
tion-plus-negation time tsf of single faults in colosa, il tempo di rilevamento e di negazione
the respective items should not exceed the tsf dei guasti singoli nelle rispettive unità non
value: dovrebbe superare il seguente valore:
k
t sf ≤
1000 × a
k = 1 for a 2 out of 2 system; k = 1 per un sistema “2 su 2”;
k = 0,5 for a 2 out of 3 system. k = 0,5 per un sistema “2 su 3”.
2) The failure rates mentioned in paragraph 1) 2) I tassi di malfunzionamento indicati nel para-
above are to be determined as a function of grafo 1) precedente devono essere determina-
the stress profile dependent on the environ- ti in funzione del profilo delle sollecitazioni
mental conditions during operation. The che dipende dalle condizioni ambientali du-
stress profile depends on the application. A rante il funzionamento. Il profilo delle solleci-
simplified stress profile may be taken as a tazioni dipende dall’applicazione. È possibile
basis if this has an unfavourable effect on prendere come base di riferimento un profilo
the failure rate. delle sollecitazioni semplificato, se questo
profilo esercita un effetto sfavorevole sui tassi
di malfunzionamento.
3) If within a system, sub-system or equipment 3) Se in un sistema, sottosistema o apparecchia-
comprising several items not all combina- tura composta da più unità, le combinazioni
tions of two failed items would be hazard- di due unità in malfunzionamento non fosse-
ous, the fault detection time may be deter- ro tutte pericolose, il tempo di rilevamento
mined separately for the various dei guasti può essere stabilito separatamente
combinations. If, in this case, different fault per le varie combinazioni. Se in tal caso esi-
detection times result for one item, the stono diversi tempi di rilevamento dei guasti
shortest time is decisive. per una stessa unità, è decisivo il tempo di ri-
levamento più breve.
4) Periodic tests for faults in all items should 4) per individuare i guasti dovrebbero essere ef-
be implemented. The tests should be repre- fettuate su tutte le unità prove periodiche. Le
sentative for all credible faults affecting the prove dovrebbero essere rappresentative di
correct operation, and should be finished tutti i guasti verosimili che possono influire
within a time < tsf. sul corretto funzionamento, e dovrebbero es-
sere ultimate in un tempo < tsf.
Detection of faults in large-scale integrated L’individuazione dei guasti nei circuiti integra-
circuits should be compliant with Table D.1. ti a larga scala dovrebbe essere conforme alle
indicazioni della Tab. D.1.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 105 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5) If a fault-free 2-out-of-n system (n = 2 or 3) 5) Se si interrompe l’alimentazione elettrica di
is disconnected from the power supply, the un sistema “2 su n” (n = 2 o 3), esente da
fault detection may be interrupted. The du- guasti, l’individuazione dei guasti potrebbe
ration of such a service interruption should essere interrotta. La durata di una tale interru-
not exceed the 400-fold value of the fault zione del servizio non dovrebbe superare di
detection time which is permissible accord- 400 volte il valore consentito secondo il pre-
ing to paragraph 1) above. cedente par. 1) per il tempo d’individuazione
dei guasti.
Notes/Note: 2 This is based on the assumption that the 2 Questa regola si fonda sul fatto che l’affidabilità dei
reliability of electronic components is 20 componenti elettronici è 20 volte superiore quando
times better when the equipment is not l’apparecchiatura non è alimentata.
powered.
6) In the case of the fault detection being in- 6) Nel caso in cui il rilevamento dei guasti è in-
terrupted for a longer time than permissible terrotto per una durata superiore a quella am-
according to paragraph 5) above, the sys- missibile secondo il precedente paragrafo 5),
tem/sub-system/equipment may only be il sistema, il sottosistema, o l’apparecchiatura
put into operation again after having been può essere messo di nuovo in servizio solo
checked for multiple faults. dopo che è stato controllato per i guasti mul-
tipli.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Notes/Note: 3 The information for the following para- 3 Le informazioni dei seguenti paragrafi da 7 a 10 sono
graphs 7-10 is derived from Italian Railway dedotte dal documento “Norma tecnica delle ferrovie
Technical Standard for Safety Electronic italiane per i sistemi elettronici di sicurezza (IS 353)”.
Systems (IS 353). This IS 353 complies with Questo documento è conforme alle raccomandazioni
ORE A155.3 recommendation. del documento ORE A 155.3.
7) When the safety-related function is per- 7) Quando la funzione correlata con la sicurezza
formed by a single item the disclosure time è svolta da un’unica unità, il tempo di rileva-
of a wrong side failure tsf is the maximum mento di un malfunzionamento pericoloso tsf
total time to detect and react in a safe way è pari al tempo massimo totale di rilevamento
to a single fault. The disclosure time shall e di reazione in modo sicuro per un guasto
not exceed the specified limit for the dura- singolo. Il tempo di rilevamento non deve su-
tion of any hazardous condition. In order to perare i limiti specificati per la durata di ogni
avoid any hazardous condition this duration condizione pericolosa. Per evitare il verificarsi
must be less than the required response di condizioni pericolose, tale durata deve es-
time of the equipment to be controlled (by sere inferiore al tempo di risposta dell’appa-
means of the single item system). recchiatura che deve essere controllata (per
mezzo del sistema di singola unità).
8) The response time depends on the kind of 8) Il tempo di risposta dipende dal tipo d’appa-
the equipment to be controlled and there- recchiatura da controllare, e quindi dipende
fore it is application dependent. dall’applicazione.
For example the tsf could assume the fol- Per esempio, il tempo tsf potrebbe assumere il
lowing values: valore seguente:
tsf < 100 ms, if the equipment to be con- tsf < 100 ms, se l’apparecchiatura oggetto
trolled is a signalling relay. del controllo è un relé di se-
gnalamento.
9) During the time tsf the first safety related 9) Nel tempo tsf deve essere individuato il primo
failure must be detected and it must trigger malfunzionamento contrario alla sicurezza ed
a safety reaction. esso deve provocare una reazione di sicurezza.
10) Periodic tests for faults should be imple- 10) Nel caso di un’unica unità, si dovrebbero effet-
mented in the single item case. The tests tuare prove periodiche per i guasti. Le prove
should be representative for all faults affect- dovrebbero essere rappresentative di tutti i mal-
ing the correct operation, and should finish funzionamenti che possono influenzare il rego-
within a time < tsf. lare funzionamento, e dovrebbero essere com-
pletate entro un tempo < tsf.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 106 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
D.5 Example of a method for multiple-fault analysis Esempio di un metodo d’analisi dei guasti
(As referred to in B.3.5) multipli (Come indicato al punto B.3.5)
Note/Nota The information for the following paragraphs 1-2 is derived Le informazioni dei seguenti paragrafi 1 e 2 sono dedotte dal
from CENELEC paper CLC/SC9XA(sec)114 “Calculation with documento CENELEC CLC/SC9XA(SEC)114 “Calcoli con le for-
Mü 8004 formulas”. mule del Mü 8004”.
1) Double fault which could be hazardous if 1) Guasto doppio che può essere pericoloso se
combined with a third fault. combinato con un terzo guasto.
a) If the timely detection-plus-negation of a) Se in una unità l’individuazione di un
a fault in one item is impossible or un- guasto e la sua negazione non sono pos-
suitable, the chance occurrence of a fur- sibili nei tempi previsti, oppure se sono
ther fault in a second item should be inadeguati, è opportuno tener conto della
taken into account. probabilità che si verifichi un altro guasto
in una seconda unità.
b) It is necessary that simultaneous faults b) Guasti che si producono contemporanea-
in two items are non-hazardous. This mente in due unità non devono essere
means that at least three independent pericolosi. Ciò significa che sono necessa-
items are necessary. They are connect- rie almeno tre unità indipendenti. Esse
ed such that only the malfunction of devono essere collegate in modo tale che
three items could be hazardous, as in a una situazione pericolosa possa verificarsi
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
2
t df ≤
a
d) The failure rates mentioned in c) should d) I tassi di malfunzionamento menzionati nel
be determined as a function of the paragrafo c) dovrebbero essere determinati
stress profile dependent on the environ- in funzione del profilo delle sollecitazioni
mental conditions during operation. che dipende dalle condizioni ambientali du-
The stress profile depends on the appli- rante l’esercizio. Il profilo delle sollecitazio-
cation. A simplified stress profile may ni dipende dall’applicazione. Si può utilizza-
be taken as a basis if this has an unfa- re come base di riferimento un profilo delle
vourable effect on the failure rate. sollecitazioni semplificato, se questo profi-
lo esercita un effetto sfavorevole sul tasso di
malfunzionamento.
e) If within a system, sub-system or equip- e) Se in un sistema, sottosistema o apparec-
ment comprising several items not all chiatura comprendenti più unità, non tut-
combinations of three failed items te le combinazioni delle tre unità malfun-
would be hazardous, the fault detection zionanti sono pericolose, il tempo
time may be determined separately for d’individuazione dei guasti può essere de-
the various combinations. If, in this terminato separatamente per le diverse
case, different fault detection times re- combinazioni. Se, in tal caso, risultano
sult for two items, the shortest time is tempi di individuazione dei guasti diffe-
decisive. renti per due unità, si deve scegliere il
tempo più breve.
2) Triple fault which could be hazardous if 2) Guasto triplo che può provocare una situazio-
combined with a fourth fault. ne pericolosa se in combinazione con un
quarto guasto.
a) If the timely detection-plus-negation of a) Se il rilevamento e la negazione di un
a double fault in two items is impossi- guasto doppio in due unità non sono pos-
ble or unsuitable, the chance occur- sibili nei tempi previsti, oppure se sono
rence of a further fault in a third item inadeguate, si deve tener conto della pos-
should be taken into account. sibilità che si verifichi un altro guasto in
una terza unità.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 107 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
b) It is necessary that simultaneous faults b) Guasti che si verificano contemporanea-
in three items be non-hazardous. This mente in tre unità non devono essere pe-
means that at least four independent ricolosi. Ciò significa che sono necessarie
items are necessary. They are connect- almeno quattro unità indipendenti. Esse
ed such that only the malfunction of devono essere collegate in modo tale che
four items could be hazardous, as in a 4 solo un malfunzionamento delle quattro
out of 4-system. unità potrebbe costituire una situazione
pericolosa, come avviene in un sistema “4
su 4”.
c) Measures for detection of triple faults, c) Non sono richieste misure d’individuazio-
over and above the operational data ne dei guasti tripli oltre al flusso di dati
flow and the tests during maintenance, operativo ed alle prove durante la manu-
are not required if the failure rate “a” tenzione, se il tasso di malfunzionamento
does not exceed the value: “a” non supera il seguente valore:
a ≤ 2 × 10–4 h–1
d) The failure rate “a” is the sum of the d) Il tasso di malfunzionamento “a” è pari
failure rates of those items whose simul- alla somma dei tassi di malfunzionamento
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 108 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 109 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. D.1 Example of a fault analysis method
START
At least NO
2 independent
items?
A single fault
could be
hazardous
A single fault
is non-hazardous
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
reactive NO
fail safety
NO ?
2 out of 2 ?
YES
YES NO
3 out of 3 ?
Conditions in
annex D.5(1) and
Conditions in
D.5(3) need to be
annex D.5(2) and
fulfilled
D.5(3) need to be
fulfilled
Are these
NO
conditions
fulfilled?
YES Reject
Accept
END
END
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 110 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio di un metodo d’analisi dei guasti
INIZIO
Almeno 2 entità NO
indipendenti?
Un guasto
semplice
può essere
Un guasto pericoloso
semplice non
è pericoloso
Sicurezza NO
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
reattiva ?
2 su 2 ? NO
SI
SI NO
3 su 3 ?
Devono essere
soddisfatte le con- Devono essere
dizioni del punto soddisfatte le con-
D.5 (1) e D.5 (3) dizioni del punto
D.5 (2) e D.5 (3)
Queste
condizioni sono NO
soddisfatte?
Respinto
SI
Accettato
FINE
FINE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 111 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. D.1 Examples of measures to detect faults in Esempi di misure per rilevare guasti nei circuiti inte-
large-scale integrated circuits by means of period- grati su larga scala tramite una prova periodica
ic on-line testing, with comparison (SW or HW), in on-line, con comparazione (SW oppure HW), in un
a 2-out-of-n system sistema “2 su n”
(Application-independent detection of a first (Deve essere assunto il rilevamento indipendente
fault before a second fault is to be assumed.) dall’applicazione del primo guasto prima del se-
condo).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 112 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 113 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Continua_Continued
rizzo/i o del/dei segnale/i Writing/reading/comparing test with all combinations of data bits
di controllo. mentioned in 1.1.
Any wrong content(s) after
reading or writing, and any Verificare se tutte le celle sono indirizzabili (per esempio, ca-
wrong decoding of address(es) ricando una determinata combinazione di bit di dati in una
or control signal(s). cella e leggendo/comparando tutte le altre celle del circuito
integrato in questione). Ripetere la stessa operazione carican-
do la combinazione rovesciata dei bit di dati nella stessa cel-
la. Tutte queste verifiche devono essere ripetute per la cella
successiva, allo stesso modo, e così via, fino a che tutte le
celle contenute in tutti i circuiti integrati della RAM sono uti-
lizzate.
Test whether all cells are addressable (e.g. by loading a particular
combination of data bits into one cell and reading/comparing all
other cells of the concerned chip). The same once more by loading the
inverted particular combination of data bits into the same cell. All
this to be repeated for the next cell in the same manner, and so on
until all cells in all RAM chips are used.
L’ultima prova descritta consente anche di individuare in-
fluenze da parte di ogni bit su ogni altro bit nello stesso cir-
cuito della RAM. Questa prova può essere distribuita su di-
versi periodi di verifica on-line.
The last described test also detects influences from each bit to each
other bit in the same RAM circuit. This test may be distributed over
several on- line test periods.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 114 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
informative
E informativo TECHNIQUES AND MEASURES FOR TECNICHE E MISURE DA METTERE IN ATTO NEI
SAFETY-RELATED ELECTRONIC SYSTEMS SISTEMI ELETTRONICI DI SEGNALAMENTO
FOR SIGNALLING FOR THE AVOIDANCE OF CORRELATI CON LA SICUREZZA PER EVITARE
SYSTEMATIC FAULTS AND THE CONTROL OF GUASTI SISTEMATICI E CONTROLLARE I
RANDOM AND SYSTEMATIC FAULTS GUASTI SISTEMATICI E CASUALI
Safety Integrity Levels (SIL) are defined at func- I Livelli d’integrità della sicurezza (SIL) sono defi-
tional level for the sub-systems implementing the niti al livello funzionale per i sottosistemi che rea-
functionality. This annex relates architectures, lizzano la funzionalità. Il presente allegato precisa
techniques and measures to avoid systematic le architetture, le tecniche e le metodologie per
faults and control random and systematic faults to evitare i guasti sistematici e controllare i guasti ca-
the different Safety Integrity Levels 1-4. suali e sistematici ai diversi Livelli d’integrità della
sicurezza (SIL) da 1 a 4.
Therefore the following tables describe the vari- Di conseguenza, le seguenti tabelle descrivono le
ous techniques/measures against the 4 SILs. differenti tecniche e metodologie da impiegare
per i quattro SIL.
It is not possible to list all individual causes of È impossibile elencare tutte le singole cause dei
systematic faults during the life-cycle phases, guasti sistematici durante le fasi del ciclo di vita,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
because systematic faults have different effects dato che i guasti sistematici hanno effetti diversi
in the different life-cycle phases and measures nelle varie fasi del ciclo di vita e le misure da ap-
are dependent on the application. A quantita- plicare dipendono dall’applicazione. Un’analisi
tive analysis for the avoidance of faults is there- quantitativa per evitare i guasti sistematici non è
fore not possible. quindi possibile.
According to the system life-cycle and the safety Conformemente al ciclo di vita del sistema ed al
management process described in EN 50126 processo di gestione della sicurezza descritto nel-
and referred to in 5.3 of this standard a number la EN 50126 e riportato nel punto 5.3 della pre-
of activities shall be performed at each life-cycle sente Norma, deve essere realizzato un certo nu-
phase. As described in the safety management mero di attività in ogni fase del ciclo di vita.
process the purpose of the process is to reduce Come descritto nel processo di gestione della si-
further the incidence of safety related human curezza, lo scopo di questo processo è di ridurre
errors throughout the life-cycle and thus mini- ulteriormente l’incidenza degli errori umani corre-
mise the residual risk of safety related systemat- lati con la sicurezza nel corso dell’intero ciclo di
ic faults. This includes verification and quality vita e quindi di ridurre al minimo il rischio resi-
assurance processes. The requirements for this duo di guasti sistematici correlati con la sicurezza.
process are listed in I requisiti di questo processo sono elencati nella:
Table E.1: Safety planning and quality assur- Tabella E.1: Attività di assicurazione della quali-
ance activities (referred to in 5.2 tà e di pianificazione della sicurezza
and 5.3.4). (fare riferimento ai punti 5.2 e 5.3.4).
the results shall be documented in the System i risultati devono essere documentati nella Specifi-
Requirements Specification, which shall take ac- ca dei Requisiti del Sistema, che deve tener conto
count of the techniques/measures in delle tecniche/metodologie della
Table E.2: System requirements specification Tabella E.2: Specifica dei Requisiti del Sistema
(referred to in 5.3.6). (fare riferimento al punto 5.3.6)
During the preparation of a Safety Plan the safe- Durante l’elaborazione del Piano della Sicurezza,
ty management structure shall be identified. deve essere identificata la struttura della gestione
Supporting information is given in: della sicurezza. Informazioni sono fornite nella:
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 115 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Table E.3: Safety organisation (referred to in Tabella E.3: Organizzazione della sicurezza (fare
5.3.3). riferimento al punto 5.3.3)
During the life-cycle phase design and imple- Nel corso della fase di progettazione e di realizza-
mentation (phase 6) the system architecture de- zione del ciclo di vita (fase 6), la descrizione
scription shall be documented with considera- dell’architettura del sistema deve essere docu-
tion to: mentata tenendo in considerazione la
Table E.4: Architecture of system/sub-sys- Tabella E.4: Architettura del sistema/sottosiste-
tem/equipment (referred to in 5.4). ma/apparecchiatura (fare riferimento
al punto 5.4)
For the avoidance and control of faults caused by: Per evitare e controllare i guasti provocati da:
any residual design faults, ogni residuo guasto di progettazione,
environmental conditions, le condizioni ambientali,
misuse or operating mistakes, gli errori di utilizzazione o di esercizio,
any residual faults in the software, ogni residuo guasto nel software,
human factors, i fattori umani
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
According to the design features the analysis of In conformità con le caratteristiche progettuali,
effects of faults has to identify RAM and safety l’analisi degli effetti dei guasti deve identificare i
constraints on hardware and software using vincoli RAM e di sicurezza su hardware e softwa-
RAMS analysis and the failure modes in An- re impiegando le analisi RAMS e i modi di mal-
nex C. funzionamento dell’Allegato C.
Methods to identify and evaluate the effects of Metodi per identificare e valutare gli effetti dei
faults are given in guasti sono forniti nella
Table E.6: Failure and hazard analysis methods Tabella E.6: Metodi di analisi delle situazioni pe-
(referred to in 5.4). ricolose e dei malfunzionamenti (fa-
re riferimento al punto 5.4)
Whatever the design method is, it shall have the Qualunque sia il metodo di progettazione, esso
following features: deve possedere le seguenti caratteristiche:
clear and precise documentation; chiara e precisa documentazione;
clear and precise expression of functionality; chiara e precisa indicazione delle funzionalità;
transparency, modularity and traceability; trasparenza, modularità e tracciabilità;
technological and time-related information; informazioni tecnologiche e correlate con il
tempo;
testability during verification and validation. testabilità durante la verifica e la validazione.
The intended design shall be documented with Il progetto deve essere documentato facendo rife-
reference to rimento alla
Table E.8: Design phase documentation (re- Tabella E.8: Documentazione della fase di proget-
ferred to in 5.2). tazione (fare riferimento al punto 5.2)
and validated against the techniques/measures in e validato rispetto alle tecniche/metodologie della
Table E.9: Verification and validation of the Tabella E.9: Verifica e validazione della progetta-
system and product design (referred zione del prodotto e del sistema (fare
to in 5.3.9). riferimento al punto 5.3.9).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 116 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Using the Hazard Log, a validation test report Sulla base del Registro delle situazioni pericolose,
shall be established including: deve essere redatto un Rapporto di prova di vali-
dazione che includa:
the version of the test specification used, la versione delle specifiche di prova utilizzate,
the version of element (HW and SW) used, la versione degli elementi hardware e softwa-
re utilizzati (HW e SW),
the tools and equipment used, gli strumenti e le attrezzature utilizzate,
the result of each test, i risultati di ogni prova,
any discrepancy between expected and ac- ogni differenza tra i risultati previsti e i risulta-
tual results, ti effettivi,
the analysis made and the decision taken in le analisi effettuate e le decisioni prese in
the case of discrepancy. caso di constatazione di differenze.
Table E.10: Application, operation and mainte- Tabella E.10: Applicazione, esercizio e manuten-
nance (referred to in 5.3.12 and zione (fare riferimento ai punti
5.4). 5.3.12 e 5.4)
With each technique or measure in these tables Per ogni tecnica o metodologia indicata in queste
there is a recommendation for each Safety In- tabelle, c’è una raccomandazione per ogni Livello
tegrity Level (SIL) 1 to 4. di Integrità della Sicurezza (SIL da 1 a 4).
“HR” This symbol means that the measure or “HR” Questo simbolo significa che la metodolo-
technique is Highly Recommended for gia o tecnica è Altamente Raccomandata
this safety integrity level. If this tech- per questo Livello di Integrità della Sicurez-
nique or measure is not used the ration- za. Se questa tecnica o metodologia non è
ale behind not using it shall be detailed. impiegata le ragioni relative del non uso
devono essere spiegate.
“R” This symbol means that the measure or “R” Questo simbolo significa la metodologia o
technique is Recommended for this safe- tecnica è Raccomandata per questo Livello
ty integrity level. di Integrità della Sicurezza.
“-” This symbol means that the technique or “-” Questo simbolo significa che l’uso della
measure has no recommendation for or tecnica o metodologia non è né raccoman-
against being used. data né sconsigliata.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 117 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.1 Safety planning and quality assurance activities Attività di assicurazione della qualità e di pianifica-
(referred to in 5.2 and 5.3.4) zione della sicurezza (fare riferimento ai punti 5.2 e 5.3.4)
safety plan
5 Revisione del Piano della HR
Sicurezza dopo ogni fase
per la sicurezza del ciclo di
vita
Review of the safety plan after
each safety life-cycle phase
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 118 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.2 System requirements specification (referred to in 5.3.6) Specifica dei requisiti del sistema (fare riferimento al
punto 5.3.6)
Structured Specification sotto-mansioni, descrizione delle in- lizzi i metodi formalizzati, i con-
terfacce trolli automatici di congruenza,
manual hierarchical separation into sub- con raffinamento fino al livello
tasks, description of the interfaces funzionale
hierarchical separation using for-
malised methods, automatic consist-
ency checks, refinement down to
functional level
4 Metodi formali o se- R: assistiti da computer
mi-formali computer-aided
Formal or semiformal
methods
5 Strumenti di specifica R: strumenti senza R: procedure orientate sui modelli
assistiti da computer preferenza per con suddivisione gerarchica, de-
Computer aided specifica- uno specifico scrizione di tutti gli oggetti e delle
tion tools metodo di pro- loro relazioni, banca dati comune,
gettazione controllo automatico della con-
tools without gruenza
preference for model oriented procedures with hier-
one particular archical subdivision, description of
design method all objects and their relationship,
common data base, automatic con-
sistency check
6 Liste di controllo R: liste di controllo elaborati per tutte le R: liste di controllo elaborati per
Checklists fasi di sicurezza, del ciclo di vita, tutte le fasi del ciclo di vita della
concentrandosi sulle principali istan- sicurezza
ze di sicurezza prepared detailed checklists for all
prepared checklists for all safety life-cycle safety life-cycle phases
phases, concentration on the main safety
issues
7 Registro delle situazioni HR: registro delle situazioni pericolose da realizzare e mantenere aggiornato per
pericolose tutta la durata del ciclo di vita del sistema
Hazard Log Hazard Log to be established and maintained throughout the system life-cycle
8 Ispezione delle specifi- R HR
che
Inspection of the specifica-
tion
Nota_e Devono essere impiegate liste di controllo o strumenti di specificazione assistite da computer insieme ad altri metodi, dato che abi-
tualmente vi è indicato quello che deve essere fatto (per non dimenticare niente), ma non possono garantire la qualità di quello che
viene effettivamente ottenuto.
Checklists or computer aided specification tools shall be used with another method since they usually state what to do (in order not to forget some-
thing), but cannot guarantee the quality of what is actually achieved.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 119 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.3 Safety organisation (referred to in 5.3.3) Organizzazione della sicurezza (fare riferimento al punto
5.3.3)
Staff involved in safety activities shall be competent to perform those activities (see 5.3.3).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 120 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.5 Design features (referred to in 5.4) Caratteristiche di progettazione (fare riferimento al pun-
to 5.4)
all hazardous failure modes to be either de- EN 50124-1, Requisiti per l’iso-
tected and negated or demonstrated to be in- lamento rafforzato)
herently safe such as a result of inherent all hazardous failure modes to be ei-
physical properties (See Annex C). ther detected and negated or demon-
EN 50124-1 requirements for basic insula- strated to be inherently safe such as a
tion result of inherent physical properties
(see Annex C). EN 50124-1 require-
ments for reinforced insulation
4 Protezione contro i R: modello a bloc- R: modello di gua- HR: modello del malfunzionamento
guasti singoli dei cir- chi di guasto sto a corrente permanente e transitorio a livello
cuiti integrati per la stuck-at fault model continua di entità (esempi per il malfun-
tecnologia a compo- DC-fault model zionamento dei circuiti integrati
nenti elettronici digi- sono forniti nella Tab. D.1)
tali (B.3.1, C.3) permanent and transient malfunc-
Protection against single tion model on item level (examples
fault for integrated cir- for malfunctions of integrated cir-
cuits for digital electron- cuits are defined in Table D.1)
ic technology (B.3.1,
C.3)
5 Indipendenza fisica R: le distanze di isolamento dovrebbero esse- H: le distanze di isolamento do-
in un’architettura re- re dimensionate almeno in conformità con vrebbero essere dimensionate
lazionata con la sicu- la EN 50124-1 (isolamento di base) ai valori rinforzati in conformità
rezza (B.3.2 tipo A e insulation distances should be dimensioned con la EN 50124-1 (isolamento
C) at least according to EN 50124-1 (basic insu- rafforzato)
Physical independence lation) insulation distances should be di-
within the safety-related mensioned to the reinforced value
architecture (B.3.2 type A according to EN 50124-1 (rein-
and C) forced insulation)
6 Individuazione dei R: rivelati per mez- R: Il tempo d’indivi- HR: il tempo d’individuazione e nega-
guasti singoli (B.3.3) zo delle deviazio- duazione e di zione di un guasto singolo, che
Detection of single faults ni rispetto al nor- negazione di un dipende dall’obiettivo della sicu-
(B.3.3) male esercizio guasto singolo, rezza, deve essere nei margini de-
revealed by devia- che dipende finiti dall’obiettivo di sicurezza.
tion from normal dall’obiettivo del- dependent on the safety target the
operation la sicurezza, do- time for detection-plus-negation of
vrebbe essere a single fault should be within the
nei margini defi- safety target
niti dall’obiettivo
di sicurezza
dependent on the
safety target the
time for detection
-plus- negation of
a single fault
should be within
the safety target
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 121 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 122 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ˇ Continua_Continued
Tab. E.6 Failure and hazard analysis methods (referred to in 5.4) Metodi di analisi delle situazioni pericolose e dei
malfunzionamenti (fare riferimento al punto 5.4)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 123 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.7 Design and development of system/sub-system/equip- Progettazione e sviluppo di un sistema/sottosiste-
ment (referred to in 5.3.7) ma/apparecchiatura (fare riferimento al punto 5.3.7)
Tab. E.8 Design phase documentation (referred to in 5.2) Documentazione della fase di progettazione (fare rife-
rimento al punto 5.2)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 124 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.9 Verification and validation of the system and product Verifica e validazione della progettazione del prodot-
design (referred to in 5.3.9) to e del sistema (fare riferimento al punto 5.3.9)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 125 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 126 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Tab. E.10 Application, operation and maintenance Applicazione, esercizio e manutenzione (fare riferimen-
(referred to in 5.3.12 and 5.4) to ai punti 5.3.12 e 5.4)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 127 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
BIBLIOGRAPHY BIBLIOGRAFIA
The following documents were consulted dur- Nell’elaborazione della presente Norma sono stati
ing the preparation of this standard (in addition consultati i seguenti documenti (a complemento
to the normative references listed in Clause 2). dei riferimenti normativi indicati al punto 2).
HD 485 S1:1987 Tecniche di analisi dell'affidabilità dei sistemi – Procedura di analisi dei modi
d'avaria e dei loro effetti (FMEA) (IEC 60812:1985)
Analysis techniques for system reliability - Procedure for failure mode and effects
analysis (FMEA) (IEC 60812:1985)
HD 617 S1:1992 Analisi ad albero dei guasti (FTA) (IEC 61025:1990)
Fault tree analysis (FTA) (IEC 61025:1990)
CLC/SC9XA(SEC)114 Calcoli con le formule del Mü8004, Agosto 1994
Calculation with Mü8004 formulas, August 1994
ISO 9001:1994 Sistemi qualità – Modello per l’assicurazione della qualità nella progettazione,
sviluppo, produzione, installazione e prestazioni associate
Quality Systems – Model for quality assurance in design, development, production,
installation and servicing
R009-004 Applicazioni ferroviarie – Assegnazione sistematica dei requisiti d'integrità
della sicurezza (Rapporto CENELEC)
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fine Documento
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 128 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 129 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
La presente Norma è stata compilata dal Comitato Elettrotecnico Italiano
e beneficia del riconoscimento di cui alla legge 1º Marzo 1968, n. 186.
Editore CEI, Comitato Elettrotecnico Italiano, Milano - Stampa in proprio
Autorizzazione del Tribunale di Milano N. 4093 del 24 luglio 1956
Responsabile: Ing. A. Alberici
9 – Trazione
CEI EN 50155 (CEI 9-30) CEI EN 50125-2 (CEI 9-77)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Equipaggiamenti elettronici utilizzati sul materiale rotabile Condizioni ambientali per gli equipaggiamenti Parte 2: Impian-
ti elettrici fissi
CEI EN 50121-1 (CEI 9-35/1)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane
Compatibilità elettromagnetica Parte 1: Generalità
CEI EN 50121-2 (CEI 9-35/2)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Compatibilità elettromagnetica Parte 2: Emissione dell’intero
sistema ferroviario verso l’ambiente esterno
CEI EN 50121-3-1 (CEI 9-35/3-1)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
143,00
NORMA TECNICA Sede del Punto di Vendita e di Consultazione
CEI EN 50129:2004-01 20134 Milano - Via Saccardo, 9
Totale Pagine 136+Ec1 tel. 02/21006.1 • fax 02/21006.222
http://www.ceiuni.it
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA e-mail: cei@ceiuni.it
in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano