Sei sulla pagina 1di 138

N O R M A I T A L I A N A CEI

Norma Italiana

CEI EN 50129
Data Pubblicazione Edizione
2004-01 Seconda + Ec 1
Classificazione Fascicolo
9-55 7168
Titolo
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di
telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di
sicurezza per il segnalamento

Title
Railway applications - Communication, signalling and processing systems - Safety
related electronic systems for signalling
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

APPARECCHIATURE ELETTRICHE PER SISTEMI DI ENERGIA E PER TRAZIONE

NORMA TECNICA

COMITATO
ELETTROTECNICO CNR CONSIGLIO NAZIONALE DELLE RICERCHE • AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA
ITALIANO Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
SOMMARIO
La presente Norma si applica ai sistemi elettronici correlati con la sicurezza (ivi compresi i sottosistemi
e le apparecchiature) per le applicazioni del segnalamento ferroviario.

DESCRITTORI • DESCRIPTORS
Segnalamento • Signalling; Telecomunicazioni • Communication; Sistemi di elaborazione • Processing
systems; Software • Sofware; Sicurezza • Safety; Sistemi di protezione • Protection systems;

COLLEGAMENTI/RELAZIONI TRA DOCUMENTI


Nazionali

Europei (IDT) EN 50129:2003-02;


Internazionali

Legislativi

INFORMAZIONI EDITORIALI
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Norma Italiana CEI EN 50129 Pubblicazione Norma Tecnica Carattere Doc.

Stato Edizione In vigore Data validità 2004-3-1 Ambito validità Internazionale


Varianti Nessuna
Ed. Prec. Fasc. 5569E: 2000-04

Comitato Tecnico 9-Trazione


Approvata dal Presidente del CEI in Data 2003-12-12
CENELEC in Data 2002-12-1
Sottoposta a inchiesta pubblica come Documento originale Chiusa in data 2002-8-30

Gruppo Abb. 3 Sezioni Abb. B


ICS 93.100;
CDU

LEGENDA
(IDT) La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT)

© CEI - Milano 2004. Riproduzione vietata.


Tutti i diritti sono riservati. Nessuna parte del presente Documento può essere riprodotta o diffusa con un mezzo qualsiasi senza il consenso scritto del CEI.
Le Norme CEI sono revisionate, quando necessario, con la pubblicazione sia di nuove edizioni sia di varianti.
È importante pertanto che gli utenti delle stesse si accertino di essere in possesso dell’ultima edizione o variante.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Europäische Norm • Norme Européenne • European Standard • Norma Europea
EN 50129

Sostituisce la Norma ENV 50129 (1998)

Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di


telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di
sicurezza per il segnalamento

Railway applications - Communication, signalling and processing systems - Safety


related electronic systems for signalling
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Applications ferroviaires - Systèmes de signalisation, de télécommunications et de


traitement - Systèmes électroniques de sécurité pour la signalisation

Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und


Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für
Signaltechnik

CENELEC members are bound to comply with the I Comitati Nazionali membri del CENELEC sono tenu-
CEN/CENELEC Internal Regulations which stipulate ti, in accordo col regolamento interno del CEN/CENE-
the conditions for giving this European Standard the LEC, ad adottare questa Norma Europea, senza alcuna
status of a National Standard without any alteration. modifica, come Norma Nazionale.
Up-to-date lists and bibliographical references con- Gli elenchi aggiornati e i relativi riferimenti di tali Nor-
cerning such National Standards may be obtained on me Nazionali possono essere ottenuti rivolgendosi al
application to the Central Secretariat or to any Segretariato Centrale del CENELEC o agli uffici di
CENELEC member. qualsiasi Comitato Nazionale membro.
This European Standard exists in three official ver- La presente Norma Europea esiste in tre versioni uffi-
sions (English, French, German). ciali (inglese, francese, tedesco).
A version in any other language and notified to the Una traduzione effettuata da un altro Paese membro,
CENELEC Central Secretariat has the same status as sotto la sua responsabilità, nella sua lingua nazionale
the official versions. e notificata al CENELEC, ha la medesima validità.
CENELEC members are the national electrotechnical I membri del CENELEC sono i Comitati Elettrotecnici
committees of: Austria, Belgium, Cyprus, Czech Repu- Nazionali dei seguenti Paesi: Austria, Belgio, Cipro,
blic, Denmark, Estonia, Finland, France, Germany, Danimarca, Estonia, Finlandia, Francia, Germania,
Greece, Hungary, Iceland, Ireland, Italy, Latvia, Li- Grecia, Irlanda, Islanda, Italia, Lettonia, Lituania,
thuanian, Luxembourg, Malta, Netherlands, Norway, Lussemburgo, Malta, Norvegia, Olanda, Portogallo,
Portugal, Poland, Slovakia, Slovenia, Spain, Sweden, Polonia, Regno Unito, Repubblica Ceca, Slovacchia,
Switzerland and United Kingdom. Slovenia, Spagna, Svezia, Svizzera e Ungheria.

© CENELEC Copyright reserved to all CENELEC members. I diritti di riproduzione di questa Norma Europea sono riservati esclu-
sivamente ai membri nazionali del CENELEC.

C E N E L E C
Comitato Europeo di Normalizzazione Elettrotecnica Secrétariat Central: Comité Européen de Normalisation Electrotechnique
European Committee for Electrotechnical Standardization rue de Stassart 35, B - 1050 Bruxelles Europäisches Komitee für Elektrotechnische Normung
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
CONTENTS INDICE
Rif. Topic Argomento Pag.

INTRODUCTION INTRODUZIONE 1

1 SCOPE CAMPO DI APPLICAZIONE 2

2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI 4

3 DEFINITIONS AND ABBREVIATIONS DEFINIZIONI ED ABBREVIAZIONI 5


3.1 Definitions ........................................................................................ Definizioni .......................................................................................... 5
3.2 Abbreviations .................................................................................. Abbreviazioni ................................................................................. 10

4 OVERALL FRAMEWORK OF STRUTTURA COMPLESSIVA DELLA


THIS STANDARD PRESENTE NORMA 11

5 CONDITIONS FOR SAFETY ACCEPTANCE AND CONDIZIONI PER L’ACCETTAZIONE E L’APPROVAZIONE


Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

APPROVAL DELLA SICUREZZA 12


5.1 The Safety Case .............................................................................. L’istruttoria per la Sicurezza .................................................... 12
5.2 Evidence of quality management ......................................... Prova della gestione della qualità ........................................ 15
5.3 Evidence of safety management ............................................ Prove della gestione della sicurezza .................................. 18
5.4 Evidence of functional and technical safety .................... Prova della sicurezza funzionale e tecnica ..................... 24
5.5 Safety acceptance and approval ............................................ Accettazione e approvazione della sicurezza ................ 28

ANNEX/ALLEGATO
A SAFETY INTEGRITY LEVELS LIVELLI DI INTEGRITÀ DELLA SICUREZZA 36

ANNEX/ALLEGATO
B DETAILED TECHNICAL REQUIREMENTS REQUISITI TECNICI DETTAGLIATI 58

ANNEX/ALLEGATO
C IDENTIFICATION OF HARDWARE COMPONENT FAILURE IDENTIFICAZIONE DEI MODI DI MALFUNZIONAMENTO
MODES DEI COMPONENTI HARDWARE 77

ANNEX/ALLEGATO
D SUPPLEMENTARY TECHNICAL INFORMATION INFORMAZIONI TECNICHE SUPPLEMENTARI 102

ANNEX/ALLEGATO
E TECHNIQUES AND MEASURES FOR TECNICHE E MISURE DA METTERE IN ATTO NEI
SAFETY-RELATED ELECTRONIC SYSTEMS FOR SISTEMI ELETTRONICI DI SEGNALAMENTO
SIGNALLING FOR THE AVOIDANCE OF SYSTEMATIC CORRELATI CON LA SICUREZZA PER EVITARE
FAULTS AND THE CONTROL OF RANDOM AND GUASTI SISTEMATICI E CONTROLLARE I GUASTI
SYSTEMATIC FAULTS SISTEMATICI E CASUALI 115

ANNEX/ALLEGATO
6 BIBLIOGRAPHY BIBLIOGRAFIA 128

NORMA TECNICA
CEI EN 50129:2004-01
Pagina iv
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
FOREWORD PREFAZIONE
This European Standard was prepared by La Presente Norma Europea è stata preparata dal
SC 9XA, Communication, signalling and SC 9XA, Communication, signalling and process-
processing systems, of Technical Committee ing systems, del Comitato Tecnico CENELEC
CENELEC TC 9X, Electrical and electronic appli- TC 9X, Electrical and electronic applications for
cations for railways. railways.
The text of the draft was submitted to the for- Il testo del progetto è stato sottoposto al voto for-
mal vote and was approved by CENELEC as male ed è stato approvato dal CENELEC come
EN 50129 on 2002/12/01. Norma Europea EN 50129 in data 01/12/2002.
This European Standard supersedes La presente Norma Europea sostituisce la
ENV 50129:1998. ENV 50129:1998.
This European Standard was prepared under a La presente Norma Europea è stata preparata su
mandate given to CENELEC by the European mandato accordato al CENELEC dalla Commissio-
Commission and the European Free Trade Asso- ne Europea e dall’Associazione Europea per il Li-
ciation and supports the essential requirements bero Scambio (EFTA) e considera i requisiti essen-
of Directive 96/48/EC. ziali della Direttiva 96/48/CE.
The following dates were fixed: Sono state fissate le date seguenti:
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

 latest date by which the EN has to be imple-  data ultima entro la quale la EN deve essere
mented at national level by publication of recepita a livello nazionale mediante pubbli-
an identical national standard or by en- cazione di una Norma nazionale identica o
dorsement mediante adozione
(dop) 2003/12/01 (dop) 01/12/2003
 latest date by which the national standards  data ultima entro la quale le Norme nazio-
conflicting with the EN have to be with- nali contrastanti con la EN devono essere ri-
drawn tirate
(dow) 2005/12/01 (dow) 01/12/2005

Annexes designated “normative” are part of the Gli Allegati indicati come “normativi” sono parte
body of the standard. integrante della Norma.
Annexes designated “informative” are given for Gli Allegati indicati come “informativi” sono dati
information only. solo per informazione.
In this standard, Annexes A, B and C are nor- Nella presente Norma, gli Allegati A, B e C
mative and Annexes D and E are informative. sono normativi e gli Allegati D e E sono infor-
mativi.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina v
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

NORMA TECNICA
CEI EN 50129:2004-01
Pagina vi
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ERRATA CORRIGE 1

NORMA CEI EN 50129 (CEI 9-55)


Seconda Edizione: 2004-01 (fasc. 7168)

Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di


telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di sicurezza per il
segnalamento
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Pag. 88 tabella C3 b) Trasformatore, riga “Cortocircuito o riduzione dell’isolamento tra avvolgimenti” è stata
omessa erroneamente:

(*) Nota_Note 16.

Aprile 2007

Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
INTRODUCTION INTRODUZIONE

This document is the first European Standard Il presente documento è la prima Norma europea
defining requirements for the acceptance and che definisce i requisiti per l’accettazione e per
approval of safety-related electronic systems in l’approvazione dei sistemi elettronici correlati con
the railway signalling field. Until now only la sicurezza nel settore del segnalamento ferrovia-
some differing national recommendations and rio. Fino ad ora esistevano su questo argomento
general advice of the UIC (International Union solamente varie raccomandazioni nazionali e di-
of Railways) on this topic were in existence. verse avvertenze generali provenienti dall’UIC.
Safety-related electronic systems for signalling I sistemi elettronici correlati con la sicurezza per il
include hardware and software aspects. To in- segnalamento includono aspetti hardware e softwa-
stall complete safety-related systems, both parts re. Per installare sistemi completi correlati con la si-
within the whole life-cycle of the system have curezza, entrambi gli aspetti devono essere presi in
to be taken into account. The requirements for considerazione per l’intero ciclo di vita del sistema. I
safety-related hardware and for the overall sys- requisiti che riguardano l’hardware correlato con la
tem are defined in this standard. Other require- sicurezza ed il sistema globale sono definiti nella
ments are defined in associated CENELEC presente Norma. Gli altri requisiti sono definiti nelle
standards. altre norme CENELEC collegate.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

The aim of European railway authorities and Eu- Lo scopo delle imprese ferroviarie europee e
ropean railway industry is to develop compatible dell’industria ferroviaria europea è di sviluppare
railway systems based on common standards. sistemi ferroviari compatibili basati su delle nor-
Therefore cross-acceptance of Safety Approvals me comuni. Di conseguenza diventa necessario
for sub-systems and equipment by the different realizzare un’accettazione reciproca delle appro-
national railway authorities is necessary. This vazioni della sicurezza dei sottosistemi e apparec-
document is the common European base for chiature da parte delle varie Autorità Ferroviaria
safety acceptance and approval of electronic sys- nazionali. Il presente documento è il riferimento
tems for railway signalling applications. europeo comune per l’accettazione e per l’appro-
vazione della sicurezza dei sistemi elettronici per
le applicazioni del segnalamento ferroviario.
Cross-acceptance is aimed at generic approval, L’accettazione reciproca ha come scopo un’approva-
not specific applications. Public procurement zione della applicazione generica e non delle appli-
within the European Community concerning cazioni specifiche. In futuro gli approvvigionamenti
safety-related electronic systems for railway sig- pubblici all’interno della Comunità Europea nel set-
nalling applications will in future refer to this tore dei sistemi elettronici per applicazioni di segna-
standard when it becomes an EN. lamento ferroviario faranno riferimento alla presente
Norma quando diventerà una EN.
The standard consists of the main part (Clause 1 La presente Norma comprende un corpo princi-
to Clause 5) and Annexes A, B, C, D and E. The pale (articoli da 1 a 5) e gli allegati A, B, C, D e E.
requirements defined in the main part of the Le prescrizioni definite nel corpo principale della
standard and in Annexes A, B and C are norma- norma e negli allegati A, B e C sono normativi,
tive, whilst Annexes D and E are informative. mentre gli allegati D e E sono informativi.
This standard is in line with, and uses relevant sec- La presente Norma è in conformità con, e utilizza le
tions of EN 50126: “Railway applications: The Spec- sezioni applicabili della EN 50126 “Applicazioni fer-
ification and Demonstration of Dependability - Re- roviarie: La specificazione e dimostrazione di fida-
liability, Availability, Maintainability and Safety tezza - affidabilità, disponibilità, manutenibilità e si-
(RAMS)”. This standard and EN 50126 are based on curezza (RAMS)”. La presente Norma e la EN 50126
the system life-cycle and are in line with sono basate sul ciclo di vita del sistema e sono coe-
EN 61508-1, which is replaced by the set of renti con la EN 61508-1, che è stata sostituita dall’in-
EN 50126/EN 50128/EN 50129, as far as Railway sieme delle EN 50126/EN 50128/EN 50129, in modo
Communication, Signalling and Processing Systems da comprendere i sistemi ferroviari di segnalamento,
are involved. Meeting the requirements in these di telecomunicazione e di elaborazione. Il rispetto
standards is sufficient to ensure that further compli- delle prescrizioni di queste norme è sufficiente a ga-
ance to EN 61508-1 need not be evaluated. rantire che non è necessaria una ulteriore valutazio-
ne di conformità alla EN 61508-1.
Because this standard is concerned with the ev- Poiché la presente Norma riguarda le prove da for-
idence to be presented for the acceptance of nire per l’accettazione di sistemi correlati con la si-
safety-related systems, it specifies those life-cy- curezza, essa specifica quelle attività del ciclo di vita
cle activities which shall be completed before che devono essere terminate prima della fase di ac-
the acceptance stage, followed by additional cettazione, seguite dalle pianificate attività aggiunti-

CEI EN 50129:2004-01 NORMA TECNICA


136 CEI EN 50129:2004-01
Pagina 1 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
planned activities to be carried out after the ac- ve che sono da effettuare dopo la fase di accettazio-
ceptance stage. Safety justification for the whole ne. Viene richiesta quindi la giustificazione sulla
of the life-cycle is therefore required. sicurezza per l’intero ciclo di vita.
This standard is concerned with what evidence La presente Norma precisa quali prove devono
is to be presented. Except where considered essere presentate. A meno che non sia considera-
appropriate, it does not specify who should car- to opportuno, essa non specifica chi dovrebbe re-
ry out the necessary work, since this may vary alizzare questo lavoro, poiché questo può variare
in different circumstances. nelle diverse circostanze.
For safety-related systems which include pro- Per i sistemi correlati con la sicurezza, che com-
grammable electronics, additional conditions for prendono l’elettronica programmabile, le condi-
the software are defined in EN 50128. zioni supplementari per il software vengono defi-
nite nella EN 50128.
Additional requirements for safety-related data I requisiti supplementari per la trasmissione dei
communication are defined in EN 50159-1 and dati in sicurezza sono definiti nelle EN 50159-1 e
EN 50159-2. EN 50159-2.

1 SCOPE CAMPO DI APPLICAZIONE


Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

This standard is applicable to safety-related La presente Norma è applicabile ai sistemi elettro-


electronic systems (including sub-systems and nici correlati con la sicurezza (ivi compresi i sotto-
equipment) for railway signalling applications. sistemi e le apparecchiature) per le applicazioni
del segnalamento ferroviario.
The scope of this standard, and its relationship Il campo di applicazione della presente Norma e
with other CENELEC standards, are shown in le sue relazioni con le altre norme CENELEC sono
Figure 1. illustrati nella Fig. 1.
This standard is intended to apply to all safe- La presente Norma è proposta per essere applica-
ty-related railway signalling systems/sub-sys- ta a tutti i sistemi/sottosistemi/apparecchiature di
tem/equipment. However, the hazard analysis segnalamento ferroviario correlati con la sicurez-
and risk assessment processes defined in za. Comunque, allo scopo di identificare ogni re-
EN 50126 and this standard are necessary for quisito di sicurezza per tutti i sistemi/sottosiste-
all railway signalling systems/sub-sys- mi/apparecchiature di segnalamento ferroviario
tems/equipment, in order to identify any safety correlati con la sicurezza, sono necessari i proces-
requirements. If analysis reveals that no safety si di analisi delle situazioni pericolose e di valuta-
requirements exist (i.e.: that the situation is zione dei rischi definiti nella EN 50126 ed in que-
non-safety-related), and provided the conclu- sta norma. Se l’analisi indica che non esiste alcun
sion is not revised as a consequence of later requisito di sicurezza (cioè che la situazione non
changes, this safety standard ceases to be ap- è correlata con la sicurezza) e a condizione che
plicable. tale conclusione non viene rivista in seguito ad
ulteriori cambiamenti, la presente Norma non è
più applicabile.
This standard applies to the specification, de- La presente Norma è applicabile alle fasi di specifi-
sign, construction, installation, acceptance, op- cazione, progettazione, realizzazione, installazione,
eration, maintenance and modification/exten- accettazione, esercizio, manutenzione e modifi-
sion phases of complete signalling systems, and ca/estensione di sistemi completi di segnalamento,
also to individual sub-systems and equipment ed anche di sottosistemi e apparecchiature apparte-
within the complete system. Annex C includes nenti al sistema. L’Allegato C comprende le proce-
procedures relating to electronic hardware com- dure che riguardano i componenti elettronici hard-
ponents. ware.
This standard applies to generic sub-systems and La presente Norma è applicabile ai sottosistemi e
equipment (both application-independent and alle apparecchiature generiche (sia indipendenti
those intended for a particular class of applica- dall’applicazione che proposti per una particolare
tion), and also to systems/sub-systems/equip- classe di applicazione) ed anche ai sistemi/sotto-
ment for specific applications. sistemi/apparecchiature per applicazioni specifi-
che.
This standard is not applicable to existing sys- La presente Norma non è applicabile ai sistemi/sot-
tems/sub-systems/equipment (i.e. those which tosistemi/apparecchiature generiche esistenti (cioè
had already been accepted prior to the creation a quelli che sono già stati accettati prima della defi-
of this standard). However, as far as reasonably nizione

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 2 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
practicable, this standard should be applied to della presente Norma). Tuttavia, laddove è ragio-
modifications and extensions to existing sys- nevolmente possibile, questa norma dovrebbe es-
tems, sub-systems and equipment. sere applicata alle modifiche e alle estensioni di
sistemi, sottosistemi e apparecchiature esistenti.
This standard is primarily applicable to sys- La presente Norma è applicabile specialmente ai si-
tems/sub-systems/equipment which have been stemi/sottosistemi/apparecchiature che sono stati
specifically designed and manufactured for rail- specificatamente progettati e realizzati per applica-
way signalling applications. It should also be zioni di segnalamento ferroviario. Si raccomanda
applied, as far as reasonably practicable, to gen- inoltre di applicarla, laddove è ragionevolmente
eral-purpose or industrial equipment (e.g.: possibile, alle apparecchiature generiche o indu-
power supplies, modems, etc.), which is pro- striali (ad esempio: alimentazione, modems, ecc.)
cured for use as part of a safety-related signal- che sono utilizzati come parte di un sistema di se-
ling system. As a minimum, evidence shall be gnalamento ferroviario correlato con la sicurezza. In
provided in such cases to demonstrate: tali casi è necessario,come minimo, portare prove
che dimostrino:

either that the equipment is not relied on for o che la sicurezza non è affidata all’apparec-
safety, chiatura
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

or that the equipment can be relied on for o che le funzioni correlate con la sicurezza
those functions which relate to safety. possono essere affidate all’apparecchiatura.

This standard is applicable to the functional La presente Norma è applicabile alla sicurezza
safety of railway signalling systems. It is not in- funzionale dei sistemi di segnalamento ferrovia-
tended to deal with the occupational health and rio. Non è destinata a trattare gli aspetti della salu-
safety of personnel; this subject is covered by te dei lavoratori e la sicurezza del personale; que-
other standards. sti aspetti vengono coperti da altre norme.

Fig. 1 Scope of the main CENELEC railway application Campo di applicazione delle principali norme CENELEC
standards per applicazioni ferroviarie

Sistema ferroviario
completo
Total Railway System

Sistema di segnalamento
ferroviario completo
Complete Railway
Signalling System

EN 50159
-1 e_and -2
EN 50126
(Comunicazione)
(Communication) (RAMS)
Sottosistema individuale
Individual Sub-System EN 50128 EN 50129
(Software) (Sicurezza di
(Software) sistema)
(System Safety)

Parte individuale dell’impianto


Individual Item of Equipment

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 3 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI

This European Standard incorporates, by dated La presente Norma include, tramite riferimenti datati
or undated reference, provisions from other o non datati, disposizioni provenienti da altre Pub-
publications. These normative references are blicazioni. Questi riferimenti normativi sono citati
cited at the appropriate places in the text and nel testo, in appropriata posizione, e qui di seguito
the publications are listed hereafter. For dated sono elencate le Pubblicazioni. In caso di riferimenti
references, subsequent amendments to or revi- datati, le successive modifiche o revisioni di ciascu-
sions of any of these publications apply to this na di queste pubblicazioni si applicano alla presente
European Standard only when incorporated in Norma Europea solo quando introdotte in essa da
it by amendment or revision. For undated refer- una modifica o revisione. In caso di riferimenti non
ences the latest edition of the publication re- datati, si applica l’ultima edizione della Pubblicazio-
ferred to applies (including amendments). ne indicata (modifiche incluse).
Note/Nota Additional informative references are included in Bibliography. La bibliografia contiene ulteriori riferimenti informativi.

Pubblicazione Titolo Norma CEI


Publication Title CEI Standard
EN 50121 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane Compatibilità elet- Vedere CT
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Serie_Series tromagnetica 9
Railway applications – Electromagnetic compatibility
EN 50124-1 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - Coordinamento 9-65/1
degli isolamenti – Parte 1: Requisiti base - Distanze in aria e distanze superficiali
per tutta l’apparecchiatura elettrica ed elettronica
Railway applications – Insulation coordination – Part 1: Basic requirements - Clearances
and creepage distances for all electrical and electronic equipment
EN 50124-2 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - Coordinamento 9-65/2
degli isolamenti – Parte 2: Sovratensioni e relative protezioni
Railway applications – Insulation coordination – Part 2: Overvoltages and related
protection
EN 50125-1 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Condizioni am- 9-60
bientali per gli equipaggiamenti - Parte 1: Equipaggiamenti nel materiale rotabile
Railway applications – Environmental conditions for equipment – Part 1: Equipment on
board rolling stock
EN 50125-3 Railway applications – Environmental conditions for equipment – Part 3: Equipment for —
signalling and communications
EN 50126 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - La specificazio- 9-58
ne e la dimostrazione di Affidabilità, Disponibilità, Manutenibilità e Sicurezza
(RAMS)
Railway applications – The specification and demonstration of Reliability, Availability,
Maintainability and Safety (RAMS)
EN 50128 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-72
municazione, segnalamento ed elaborazione - Software per sistemi ferroviari di
comando e di protezione
Railway applications – Communication, signalling and processing systems – Software for
railway control and protection systems
EN 50155 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Equipaggiamenti 9-30
elettronici utilizzati sul materiale rotabile
Railway applications – Electronic equipment used on rolling stock
EN 50159-1 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-66/1
municazione, segnalamento ed elaborazione - Parte 1: Comunicazioni di sicurez-
za in sistemi di trasmissione di tipo chiuso
Railway applications – Communication, signalling and processing systems - Part 1:
Safety-related communication in closed transmission systems
EN 50159-2 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-66-2
municazione, segnalamento ed elaborazione - Parte 2: Comunicazioni di sicurez-
za in sistemi di trasmissione di tipo aperto
Railway applications – Communication, signalling and processing systems - Part 2: Safety
related communication in open transmission systems
EN 61508-1 Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili 65-74
per applicazioni di sicurezza - Parte 1: Requisiti generali
Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 1: General requirements
(IEC 61508-1)
IEC 60664 Insulation coordination for equipment within low-voltage systems —
Serie_Series

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 4 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3 DEFINITIONS AND ABBREVIATIONS DEFINIZIONI ED ABBREVIAZIONI

3.1 Definitions Definizioni


For the purposes of this standard, the following Per le esigenze della presente Norma valgono le
definitions apply: seguenti definizioni:

3.1.1 Accident Incidente


An unintended event or series of events that re- Avvenimento o serie di avvenimenti inattesi che
sults in death, injury, loss of a system or service, provocano morti, feriti, la perdita di un sistema
or environmental damage. oppure di un servizio, oppure danni all’ambiente.

3.1.2 Assessment Valutazione


The process of analysis to determine whether the Processo di analisi per determinare se l’autorità di
design authority and the validator have achieved a progettazione ed il validatore hanno realizzato un
product that meets the specified requirements and prodotto che corrisponde ai requisiti specificati e
to form a judgement as to whether the product is per costituire un giudizio sull’adeguatezza del
fit for its intended purpose. prodotto per l’uso stabilito per esso.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

3.1.3 Authorisation Autorizzazione


The formal permission to use a product within Permesso formale per utilizzare un prodotto nei
specified application constraints. limiti dell’applicazione specificata.

3.1.4 Availability Disponibilità


The ability of a product to be in a state to per- Capacità di un prodotto di essere in condizione di
form a required function under given condi- eseguire una funzione richiesta nelle condizioni im-
tions at a given instant of time or over a given poste ad un determinato istante oppure durante un
time interval assuming that the required exter- determinato intervallo di tempo, supponendo che si-
nal resources are provided. ano state fornite le risorse esterne necessarie.

3.1.5 Can Può (è possible ..)


Is possible. Indica che l’azione del verbo associato è possibile

3.1.6 Causal analysis Analisi delle cause


Analysis of the reasons how and why a particu- Analisi delle modalità e motivazioni che possono
lar hazard may come into existence. dare origine ad una particolare situazione di pericolo.

3.1.7 Common-cause failure Malfunzionamento di modo comune


Failure common to items which are intended to Malfunzionamento comune per elementi che è
be independent. previsto siano indipendenti.

3.1.8 Consequence analysis Analisi delle conseguenze


Analysis of events which are likely to happen Analisi degli eventi che è probabile accadano
after a hazard has occurred. dopo che si è verificata una situazione pericolosa.

3.1.9 Configuration Configurazione


The structuring and interconnection of the hard- Strutturazione ed interconnessione tra l’hardware
ware and software of a system for its intended ed il software di un sistema per una sua applica-
application. zione designata.

3.1.10 Cross-acceptance Accettazione reciproca


The status achieved by a product that has been Condizione raggiunta da un prodotto che è stato ac-
accepted by one authority to the relevant Europe- cettato da un’autorità secondo le norme europee in
an Standards and is acceptable to other authorities vigore e che è accettabile da parte delle altre autori-
without the necessity for further assessment. tà senza richiedere una ulteriore valutazione.

3.1.11 Design Progettazione


The activity applied in order to analyse and Attività svolta per analizzare e per trasformare i
transform specified requirements into accepta- requisiti specificati in soluzioni di progettazione

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 5 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ble design solutions which have the required accettabili che hanno il Livello di Integrità della
safety integrity. Sicurezza richiesto.

3.1.12 Design authority Autorità di progettazione


The body responsible for the formulation of a Entità responsabile della formulazione delle scelte
design solution to fulfil the specified require- di progettazione per soddisfare i requisiti specifi-
ments and for overseeing the subsequent devel- cati e della supervisione degli ulteriori sviluppi e
opment and setting-to-work of a system in its dell’avviamento di un sistema nel suo ambiente
intended environment. designato.

3.1.13 Diversity Diversità


A means of achieving all or part of the specified Mezzo che consente di soddisfare totalmente o in
requirements in more than one independent parte i requisiti specificati, in più modi indipen-
and dissimilar manner. denti e diversi.

3.1.14 Equipment Apparecchiatura


A functional physical item. Unità fisica funzionale.

3.1.15 Error Errore


Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

A deviation from the intended design which Deviazione dalla progettazione preventivata capa-
could result in unintended system behaviour or ce di dare luogo ad un comportamento non pre-
failure. visto del sistema o ad un malfunzionamento.

3.1.16 Fail-safe In sicurezza (fail-safe)


A concept which is incorporated into the design Concetto incluso nella progettazione di un pro-
of a product such that, in the event of a failure, dotto, in modo che, nell’eventualità di un guasto,
it enters or remains in a safe state. esso entri o rimanga in uno stato di sicurezza.

3.1.17 Failure Malfunzionamento


A deviation from the specified performance of a Deviazione di un sistema rispetto alle prestazioni
system. A failure is the consequence of a fault specificate. Un malfunzionamento è la conse-
or error in the system. guenza di un guasto o di un errore nel sistema.

3.1.18 Fault Guasto


An abnormal condition that could lead to an er- Condizione anomala capace di provocare un er-
ror in a system. A fault can be random or sys- rore nel sistema. Un guasto può essere casuale o
tematic. sistematico.

3.1.19 Fault detection time Tempo di rilevazione di un guasto


Time span which begins at the instant when a Intervallo di tempo che inizia nel momento in cui
fault occurs and ends when the existence of the avviene un guasto e che finisce quando il guasto
fault is detected. è stato rilevato.

3.1.20 Function Funzione


A mode of action or activity by which a product Una modalità dell’azione od attività tramite la
fulfils its purpose. quale un prodotto soddisfa le sue finalità.

3.1.21 Hazard Situazione pericolosa (hazard)


A condition that could lead to an accident. Condizione che potrebbe portare ad un incidente.

3.1.22 Hazard analysis Analisi delle situazioni pericolose


The process of identifying hazards and analys- Processo di identificazione delle situazioni pericolo-
ing their causes, and the derivation of require- se e di analisi delle loro cause, e deduzione di re-
ments to limit the likelihood and consequences quisiti per limitare la probabilità e le conseguenze
of hazards to a tolerable level. della situazione pericolosa ad un livello accettabile.

3.1.23 Hazard log Registro delle situazioni pericolose


The document in which all safety management Documento nel quale tutte le attività di gestione
activities, hazards identified, decisions made della sicurezza, le situazioni pericolose identifica-
and solutions adopted, are recorded or refer- te, le decisioni prese e le soluzioni adottate ven-
enced. gono registrate o referenziate.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 6 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.24 Human error Errore umano
A human action (mistake), which can result in Azione umana (errore), che può avere per risulta-
unintended system behaviour/failure. to un comportamento indesiderato del sistema
/un malfunzionamento.

3.1.25 Implementation Attuazione


The activity applied in order to transform the Attività che ha il fine di trasformare i progetti spe-
specified designs into their physical realisation cificati nella loro realizzazione fisica.

3.1.26 Independence (functional) Indipendenza (funzionale)


Freedom from any mechanism which can affect Assenza di ogni meccanismo che può influenzare
the correct operation of more than one function il corretto funzionamento di più funzioni in segui-
as a result of either systematic or random failure. to ad un malfunzionamento casuale o sistematico.

3.1.27 Independence (human) Indipendenza (delle persone)


Freedom from involvement in the same intellec- Assenza di coinvolgimento nella stessa area intel-
tual, commercial and/or management entity. lettuale, commerciale e/o gestionale.

3.1.28 Independence (physical) Indipendenza (fisica)


Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Freedom from any mechanism which can affect Assenza di ogni meccanismo che possa influenza-
the correct operation of more than one sys- re il corretto funzionamento di più sistemi /sotto-
tem/sub-system/equipment as a result of ran- sistemi/apparecchiature in seguito a malfunziona-
dom failures. menti casuali.

3.1.29 Individual risk Rischio individuale


A risk which is related to a single individual only. Rischio che è relazionato ad un solo individuo.

3.1.30 Maintainability Manutenibilità


The probability that a given active maintenance Probabilità che per una data unità, utilizzata in
action, for an item under given conditions of condizioni di impiego stabilite, possa essere svol-
use can be carried out within a stated time in- ta, durante un intervallo di tempo stabilito, una
terval when the maintenance is performed un- data azione di manutenzione attiva, attuata secon-
der stated conditions and using stated proce- do condizioni stabilite e con l’impiego delle pro-
dures and resources. cedure e dei mezzi prescritti.

3.1.31 Maintenance Manutenzione


The combination of all technical and adminis- Combinazione di tutte le azioni tecniche ed orga-
trative actions, including supervision actions, in- nizzative, comprese le operazioni di sorveglianza,
tended to retain an item in, or restore it to, a destinate a mantenere oppure a riportare una uni-
state in which it can perform its required func- tà nella condizione che le consente di svolgere la
tion. funzione ad essa richiesta.

3.1.32 May Potrebbe (è permesso ..)


Is permissible. Indica che l’azione del verbo associato è permes-
sa, ammissibile

3.1.33 Negation Negazione


Enforcement of a safe state following detection Imposizione di uno stato sicuro a seguito del rile-
of a hazardous fault. vamento di un guasto pericoloso.

3.1.34 Negation time Tempo di negazione


Time span which begins when the existence of Intervallo di tempo che inizia nel momento in cui
a fault is detected and ends when a safe state is l’esistenza di un guasto è rilevata e che finisce
enforced. quando lo stato di sicurezza è stato imposto.

3.1.35 Product Prodotto


A collection of elements, interconnected to form a Insieme di elementi legati tra di loro per formare
system/sub-system/equipment, in a manner which un sistema/sottosistema/apparecchiatura in modo
meets the specified requirements. che rispettino i requisiti specificati.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 7 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.36 Quality Qualità
A user perception of the attributes of a product. Percezione degli attributi di un prodotto da parte
dell’utilizzatore.

3.1.37 Railway authority Autorità Ferroviaria


The body with the overall accountability to a Organismo con la completa responsabilità, verso
safety authority for operating a safe railway sys- l’Autorità di Sicurezza, della gestione di un siste-
tem. ma ferroviario in sicurezza.

3.1.38 Random failure integrity Integrità dei malfunzionamenti casuali


The degree to which a system is free from haz- Misura con la quale un sistema è esente da guasti
ardous random faults. casuali pericolosi.

3.1.39 Random fault Guasto casuale


Unpredictable occurrence of a fault. Accadimento imprevedibile di un guasto.

3.1.40 Redundancy Ridondanza


The provision of one or more additional meas- Presenza di una o più misure addizionali, solitamen-
ures, usually identical, to provide fault tolerance. te identiche, per ottenere la tolleranza ai guasti.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

3.1.41 Reliability Affidabilità


The ability of an item to perform a required Capacità di un’unità di compiere una funzione ri-
function under given conditions for a given pe- chiesta, in condizioni stabilite e per un determina-
riod of time. to periodo di tempo.

3.1.42 Repair Riparazione


Measures for re-establishing the required state of Provvedimenti destinati a riportare un sistema/sotto-
a system/sub-system/equipment after a fault/fail- sistema/apparecchiatura allo stato richiesto dopo un
ure. guasto/malfunzionamento.

3.1.43 Risk Rischio


The combination of the frequency, or probabili- Combinazione della frequenza o della probabilità
ty, and the consequence of a specified hazard- e delle conseguenze di un evento pericoloso spe-
ous event. cificato.

3.1.44 Safe state Stato sicuro


A condition which continues to preserve safety. Stato che continua a garantire la sicurezza.

3.1.45 Safety Sicurezza


Freedom from unacceptable levels of risk of Assenza di livelli intollerabili di rischio di danno.
harm.

3.1.46 Safety acceptance Accettazione della sicurezza


The safety status given to a product by the final Stato di sicurezza conferito ad un prodotto
user. dall’utilizzatore finale.

3.1.47 Safety approval Approvazione della sicurezza


The safety status given to a product by the req- Stato di sicurezza conferito ad un prodotto dall’auto-
uisite authority when the product has fulfilled a rità competente quando il prodotto ha raggiunto un
set of pre-determined conditions. insieme di condizioni predeterminate.

3.1.48 Safety authority Autorità di Sicurezza


The body responsible for delivering the authori- Entità responsabile di fornire l’autorizzazione per
sation for the operation of the safety related la messa in servizio di un sistema correlato con la
system. sicurezza.

3.1.49 Safety case Istruttoria per la Sicurezza


The documented demonstration that the product Dimostrazione documentata che il prodotto corri-
complies with the specified safety requirements. sponde ai requisiti di sicurezza specificati.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 8 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.50 Safety integrity Integrità della sicurezza
The ability of a safety-related system to achieve Attitudine di un sistema correlato con la sicurezza di
its required safety functions under all the stated compiere le sue funzioni di sicurezza in tutte le con-
conditions within a stated operational environ- dizioni specificate, all’interno di un ambiente operati-
ment and within a stated period of time. vo specificato ed entro un definito periodo di tempo.

3.1.51 Safety Integrity Level Livello di Integrità della Sicurezza


A number which indicates the required degree of Numero che indica il richiesto grado di attendibi-
confidence that a system will meet its specified lità che un sistema realizzerà le sue funzioni di si-
safety functions with respect to systematic failures. curezza, tenendo conto dei suoi malfunzionamen-
ti sistematici.

3.1.52 Safety life-cycle Ciclo di vita sicurezza


The additional series of activities carried out in Insieme aggiuntivo di attività svolte in parallelo
conjunction with the system life-cycle for safe- del ciclo di vita del sistema per i sistemi correlati
ty-related systems. con la sicurezza.

3.1.53 Safety management Gestione della sicurezza


The management structure which ensures that Struttura di gestione che garantisce che il proces-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

the safety process is properly implemented. so di sicurezza viene correttamente attuato.

3.1.54 Safety plan Piano di sicurezza


The implementation details of how the safety Dettagli della attuazione che indicano il modo in
requirements of the project will be achieved. cui i requisiti di sicurezza del progetto saranno
raggiunti.

3.1.55 Safety process Processo di sicurezza


The series of procedures that are followed to Insieme delle procedure da seguire per consentire
enable all safety requirements of a product to l’identificazione e la soddisfazione di tutti i requi-
be identified and met. siti di sicurezza di un prodotto.

3.1.56 Safety-related Correlato con la sicurezza


Carries responsibility for safety. Porta responsabilità per la sicurezza.

3.1.57 Shall Deve (è obbligatorio ..)


Is mandatory. Indica che l’azione del verbo associato èobbliga-
toria.

3.1.58 Should Dovrebbe (è raccomandato ..)


Is recommended. Indica che l’azione del verbo associato è racco-
mandata.

3.1.59 Signalling system Sistema di segnalamento


Particular kind of system used on a railway to Tipo particolare di sistema utilizzato nelle ferrovie
control and protect the operation of trains. per controllare e proteggere l’esercizio dei treni.

3.1.60 Stress profile Profilo delle sollecitazioni


The degree and number of external influences Livello e numero delle influenze esterne che un
which a product can withstand whilst perform- sistema è in grado di sopportare, mentre compie
ing its required functionality. la sua richiesta funzionalità.

3.1.61 Sub-system Sottosistema


A portion of a system which fulfils a specialised Parte di un sistema che realizza una funzione spe-
function. cializzata.

3.1.62 System Sistema


A set of sub-systems which interact according to Insieme di sottosistemi che interagiscono confor-
a design. memente ad un progetto.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 9 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.1.63 Systematic failure integrity Integrità dei malfunzionamenti sistematici
The degree to which a system is free from uniden- Misura con la quale un sistema è esente da errori
tified hazardous errors and the causes thereof. pericolosi non identificati e dalle relative cause.

3.1.64 Systematic fault Guasto sistematico


An inherent fault in the specification, design, Guasto intrinseco nella specificazione, progettazione,
construction, installation, operation or mainte- fabbricazione, installazione, esercizio e manutenzio-
nance of a system, sub-system or equipment. ne di un sistema, sottosistema o apparecchiatura.

3.1.65 System life-cycle Ciclo di vita del sistema


The series of activities occurring during a peri- Insieme di attività che intervengono durante il pe-
od of time that starts when a system is con- riodo che incomincia quando il sistema è conce-
ceived and ends at decommissioning when the pito e che finisce al momento in cui non è più di-
system is no longer available for use. sponibile all’impiego.

3.1.66 Technical safety report Relazione sulla sicurezza tecnica


Documented technical evidence for the safety of Prova tecnica documentata per la sicurezza della
the design of a system/sub-system/equipment. progettazione di un sistema, sottosistema o appa-
recchiatura.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

3.1.67 Validation Validazione


The activity applied in order to demonstrate, by Attività svolta per dimostrare, tramite prove ed
test and analysis, that the product meets in all analisi, che il prodotto soddisfa integralmente i
respects its specified requirements. suoi requisiti specificati.

3.1.68 Verification Verifica


The activity of determination, by analysis and test, at Attività per la determinazione, tramite analisi e
each phase of the life-cycle, that the requirements prove, ad ogni fase del ciclo di vita, che i requisiti
of the phase under consideration meet the output della fase in esame soddisfano le risultanza della
of the previous phase and that the output of the fase precedente e che le risultanze della fase in
phase under consideration fulfils its requirements. esame ne soddisfino i requisiti.

3.2 Abbreviations Abbreviazioni


For the purposes of this standard, the following Per le esigenze della presente Norma, si usano le
abbreviations apply: seguenti abbreviazioni:
3.2.1 AC alternating current C.A. corrente alternata
3.2.2 ATP Automatic Train Protection ATP protezione automatica del treno
3.2.3 CENELEC European Committee for Elec- CENELEC Comitato Europeo di Normalizzazione
trotechnical Standardisation Elettrotecnica
3.2.4 CCF common-cause failure CCF malfunzionamento di modo comune
(common-cause failure)
3.2.5 DC direct current C.C. corrente continua
3.2.6 EMC electromagnetic compatibility EMC compatibilità elettromagnetica
3.2.7 EMI electromagnetic interference EMI interferenza elettromagnetica
3.2.8 EN European Standard EN Norma Europea
(Europäische Norm)
3.2.9 ESD electrostatic discharge ESD scarica elettrostatica
3.2.10 FET field effect transistor FET transistor ad effetto di campo
3.2.11 FMEA Failure Modes and Effects FMEA analisi dei modi di malfunzionamento
Analysis e dei loro effetti
3.2.12 FR Failure rate FR Tasso di malfunzionamento
3.2.13 FTA Fault Tree Analysis FTA Analisi dell’albero dei guasti
3.2.14 H Hazard H Situazione pericolosa
3.2.15 HW Hardware HW Hardware
3.2.16 IEC International Electrotechni- IEC Comitato Elettrotecnico Internazionale
cal Commission

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 10 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
3.2.17 IRSE Institution of Railway Signal IRSE Istituzione degli Ingegneri di Segnala-
Engineers mento Ferroviario
3.2.18 ISO International Standards Or- ISO Organizzazione Internazionale di Nor-
ganisation malizzazione
3.2.19 RAMS reliability, availability, main- RAMS Affidabilità, Disponibilità, Manutenibi-
tainability and safety lità, Sicurezza (RAMS)
3.2.20 SCR silicon controlled rectifier SCR Raddrizzatori controllati al silicio
3.2.21 SDR Safe down rate SDR Tasso di riduzione della sicureza
3.2.22 SDT Safe down time SDT Tempo di riduzione della sicurezza
3.2.23 SIL Safety Integrity Level SIL Livello di Integrità della Sicurezza
3.2.24 SW software SW Software
3.2.25 THR tolerable hazard rate THR Tasso Tollerabile di situazioni Pericolose
3.2.26 UIC International Union of Rail- UIC Unione internazionale delle ferrovie
ways (Union Internationale des Chemins de fer
3.2.27 VDR voltage-dependent resistor VDR resistore variabile con la tensione
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

4 OVERALL FRAMEWORK OF THIS STANDARD STRUTTURA COMPLESSIVA DELLA PRESENTE


NORMA

Clause 5 of this European Standard requires L’Articolo 5 della presente Norma europea ri-
that a systematic, documented approach be tak- chiede che un approccio sistematico e documen-
en to: tato sia adottato per:
 evidence of quality management,  la prova della gestione della qualità.
 evidence of safety management,  la prova della gestione della sicurezza.
 evidence of functional and technical safety,  la prova della sicurezza funzionale e tecnica.
 safety acceptance and approval.  l’accettazione e l’approvazione della sicurezza.

Annex A (normative) defines the interpreta- L’Allegato A (normativo) definisce l’interpreta-


tion and use of Safety zione e l’utilizzazione
Integrity Levels. dei Livelli di Integrità
della Sicurezza
Annex B (normative) contains detailed tech- L’Allegato B (normativo) contiene i requisiti tec-
nical requirements for nici dettagliati per siste-
safety-related sys- mi/sottosistemi/appa-
tems/sub-sys- recchiature correlati
tems/equipment. con la sicurezza.
Annex C (normative) contains procedures L’Allegato C (normativo) contiene procedure
and information for ed informazioni per
identifying the credible identificare i modi re-
failure modes of hard- alistici di malfunzio-
ware components. namento delle com-
ponenti hardware.
Annex D (informative) contains supplementa- L’Allegato D (informativo) contiene informazio-
ry technical informa- ni tecniche supple-
tion. mentari.
Annex E (informative) contains tables of tech- L’Allegato E (informativo) contiene tabelle di
niques/measures to be tecniche/metodolo-
used for various levels gie da utilizzare per i
of safety integrity. vari livelli di Integrità
della Sicurezza.
Bibliography contains references to La Bibliografia contiene i riferimenti ai
documents that have documenti che sono
been consulted during stati consultati durante
the preparation of this la preparazione della
standard. presente Norma.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 11 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The structure of this standard is summarised in La struttura della presente Norma è riassunta in
Figure 2. Fig. 2.

Fig. 2 Structure of EN 50129 Struttura della EN50129

EN 50129

Articolo 1 Articolo 2 Articolo 3 Articolo 4 Articolo 5


Clause 1 Clause 2 Clause 3 Clause 4 Clause 5
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

5.1
5.1 5.2
5.2 5.3
5.3 5.4
5.4 5.5
5.5

Normativa
Allegato A Allegato B Normative
Annex A Annex B

B.1
B.1 B.2
B.2 B.3
B.3 B.4
B.4 B.5
B.5 B.6
B.6

Allegato C
Annex C

Riferimenti
bibliografici Allegato D Allegato E Informativo
Reference Annex D Annex E Informative
bibliography

5 CONDITIONS FOR SAFETY ACCEPTANCE AND CONDIZIONI PER L’ACCETTAZIONE E


APPROVAL L’APPROVAZIONE DELLA SICUREZZA

5.1 The Safety Case L’istruttoria per la Sicurezza


This standard defines the conditions that shall La presente Norma definisce le condizioni da rispet-
be satisfied in order that a safety-related elec- tare perché un sistema/sottosistema/apparecchiatura
tronic railway system/sub-system/equipment elettronica ferroviaria correlati con la sicurezza pos-
can be accepted as adequately safe for its in- sano essere accettati come sufficientemente sicuri
tended application. per la loro definita applicazione.
The conditions for safety acceptance are pre- Le condizioni per l’accettazione della sicurezza
sented in this standard under three headings, sono riportate nella presente Norma sotto tre tito-
namely: li, cioè:
 5.2 Evidence of quality management,  5.2 Prove della gestione della qualità,
 5.3 Evidence of safety management,  5.3 Prove della gestione della sicurezza,
 5.4 Evidence of functional and technical  5.4 Prova della sicurezza funzionale e tecnica.
safety.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 12 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
All of these conditions shall be satisfied, at Tutte queste condizioni devono essere soddisfatte, ai
equipment, sub-system and system levels, be- livelli di apparecchiatura, di sottosistema e di sistema,
fore the safety-related system can be accepted prima che un sistema correlato con la sicurezza possa
as adequately safe. essere accettato come sufficientemente sicuro.
The documentary evidence that these condi- La prova documentale che queste condizioni sono
tions have been satisfied shall be included in a state soddisfatte deve fare parte di un documento
structured safety justification document, known strutturato di giustificazione della sicurezza, chia-
as the Safety Case. The Safety Case forms part mato Istruttoria per la Sicurezza. L’Istruttoria per la
of the overall documentary evidence to be sub- Sicurezza fa parte della prova documentale globale
mitted to the relevant safety authority in order da sottoporre alla competente Autorità di Sicurez-
to obtain safety approval for a generic product, za, per ottenere l’approvazione della sicurezza per
a class of application or a specific application. un prodotto generico, una classe di applicazioni
For an explanation of the safety approval proc- oppure una applicazione specifica. Per una spiega-
ess, see 5.5 of this standard. zione del processo di approvazione della sicurez-
za, vedere il punto 5.5. della presente Norma.
The Safety Case contains the documented safety L’Istruttoria per la Sicurezza contiene la prova do-
evidence for the system/sub-system/equipment, cumentata di sicurezza per il sistema/sottosiste-
and shall be structured as follows: ma/apparecchiatura e deve essere strutturata nel
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

modo seguente:
Part 1 Definition of System (or sub-sys- Parte 1 Definizione del sistema (o del sotto-
tem/equipment) sistema/apparecchiatura)
This shall precisely define or reference the sys- Questa parte deve definire in maniera precisa, op-
tem/sub-system/equipment to which the Safety pure referenziare, il sistema/sottosistema/apparec-
Case refers, including version numbers and chiatura che corrisponde all’Istruttoria per la Sicurez-
modification status of all requirements, design za, comprendendo i numeri della versione e lo stato
and application documentation. delle modifiche di tutta la documentazione sui re-
quisiti, la progettazione e l’applicazione.
Part 2 Quality Management Report Parte 2 Relazione di gestione della qualità
This shall contain the evidence of quality man- Questa parte deve contenere la prova della gestio-
agement, as specified in 5.2 of this standard. ne della qualità, come specificato nel punto 5.2
della presente Norma.
Part 3 Safety Management Report Parte 3 Relazione di gestione della sicurezza
This shall contain the evidence of safety man- Questa parte deve contenere la prova della gestio-
agement, as specified in 5.3 of this standard. ne della sicurezza, come specificato nel punto 5.3
della presente Norma.
Part 4 Technical Safety Report Parte 4 Relazione sulla Sicurezza Tecnica
This shall contain the evidence of functional Questa parte deve contenere la prova della sicu-
and technical Safety, as specified in 5.4 of this rezza funzionale e tecnica, come specificato nel
standard. punto 5.4 della presente Norma.
Part 5 Related Safety Cases Parte 5 Istruttorie per la Sicurezza collegate
This shall contain references to the Safety Cases Questa parte deve contenere i riferimenti delle
of any sub-systems or equipment on which the Istruttorie per la Sicurezza di tutti i sottosistemi o
main Safety Case depends. apparecchiature dalle quali dipende l’Istruttoria
principale.
It shall also demonstrate that all the safety-related Essa deve inoltre dimostrare che tutte le condizio-
application conditions specified in each of the re- ni di applicazione correlate con la sicurezza, spe-
lated sub-system/equipment Safety Cases are cificate in ciascuna delle Istruttorie di Sicurezza
collegate di sottosistemi/apparecchiature, sono
either fulfilled in the main Safety Case, o soddisfatte nell’Istruttoria principale per la
Sicurezza,
or carried forward into the safety-related o riportate nelle condizioni di applicazione
application conditions of the main correlate con la sicurezza dell’Istruttoria
Safety Case. principale per la Sicurezza.
Part 6 Conclusion Parte 6 Conclusione
This shall summarise the evidence presented in Questa parte deve riassumere le prove presentate
the previous parts of the Safety Case, and argue nelle parti precedenti dell’Istruttoria per la Sicurezza,

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 13 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
that the relevant system/sub-system/equipment e giustificare che il sistema/il sottosistema/l’apparec-
is adequately safe, subject to compliance with chiatura sono adeguatamente sicuri e sono conformi
the specified application conditions. alle condizioni applicative specificate.
The structure of the Safety Case is illustrated in La struttura dell’Istruttoria per la Sicurezza è illu-
Figure 3. strata in Fig. 3.
Large volumes of detailed evidence and sup- Non è necessario includere molte prove e docu-
porting documentation need not be included in menti dettagliati nell’Istruttoria per la Sicurezza e
the Safety Case and in its parts, provided pre- nelle sue varie parti, a condizione che vengano
cise references are given to such documents forniti precisi riferimenti a tali documenti e a con-
and provided the base concepts used and the dizione che i concetti di base utilizzati e gli ap-
approaches taken are clearly specified. procci adottati siano chiaramente specificati.

Fig. 3 Structure of Safety Case Struttura dell’Istruttoria per la Sicurezza

Parte 6: Conclusioni
Part 6: Conclusion
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Parte 5: Istruttorie per la sicurezza


collegate
Part 5: Related
Safety Cases

Parte 4: Relazione sulla Sicurezza


Tecnica
Part 4: Technical
Safety Report

Parte 3: Relazione di gestione del-


la sicurezza
Part 3: Safety
Management Report

Parte 2: Relazione di gestione del-


la qualita
Part 2: Quality
Management Report

Parte 1: Definizione del sistema


Part 1: Definition of System

ISTRUTTORIA PER
LA SICUREZZA
SAFETY CASE

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 14 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.2 Evidence of quality management Prova della gestione della qualità
The first condition for safety acceptance that La prima condizione che deve essere rispettata
shall be satisfied is that the quality of the sys- per l’accettazione della sicurezza è che la qualità
tem, sub-system or equipment has been, and del sistema, del sottosistema o dell’apparecchia-
shall continue to be, controlled by an effective tura sia stata e continuerà ad essere controllata
quality management system throughout its per tutto il ciclo di vita tramite un sistema di ge-
life-cycle. Documentary evidence to demon- stione della qualità efficace. Per dimostrare que-
strate this shall be provided in the Quality Man- sto, la prova documentale deve essere fornita nel-
agement Report, which forms Part 2 of the Safe- la relazione di gestione della qualità, che forma la
ty Case. Parte 2 dell’Istruttoria per la Sicurezza.
The purpose of the quality management system Lo scopo del sistema di gestione della qualità è di
is to minimise the incidence of human errors at minimizzare l’incidenza degli errori umani duran-
each stage in the life-cycle, and thus to reduce te ogni fase del ciclo di vita, e di ridurre il rischio
the risk of systematic faults in the system, di guasti sistematici nel sistema, nel sottosistema
sub-system or equipment. o nell’apparecchiatura.
The quality management system shall be applica- Il sistema di gestione della qualità deve essere ap-
ble throughout the system/sub-system/equipment plicabile per l’intero ciclo di vita del sistema /sot-
life-cycle, as defined in EN 50126. An example of a tosistema o apparecchiatura, come stabilito nella
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

system life-cycle diagram (from EN 50126) is repro- EN 50126. Un esempio del diagramma del ciclo di
duced as Figure 4 of this standard. vita di un sistema (proveniente dalla EN 50126) è
riprodotto in Fig. 4 della presente Norma.
Note/Nota Examples of aspects which should be controlled by the quali- Esempi degli aspetti che dovrebbero essere controllati per mez-
ty management system and included in the Quality Man- zo della gestione della qualità ed inclusi nella Relazione di Ge-
agement Report: stione della Qualità:
 organisational structure;  struttura dell’organizzazione;
 quality planning and procedures;  pianificazione della qualità e procedure;
 specification of requirements;  specifica dei requisiti;
 design control;  controllo della progettazione;
 design verification and reviews;  verifica della progettazione e revisioni;
 application engineering;  ingegnerizzazione;
 procurement and manufacture;  approvvigionamento e fabbricazione;
 product identification and traceability;  identificazione del prodotto e tracciabilità;
 handling and storage;  immagazzinamento e stoccaggio;
 inspection and testing;  ispezione e prove;
 non-conformance and corrective action;  non conformità ed azioni correttive;
 packaging and delivery;  imballaggio e consegna;
 installation and commissioning;  installazione e messa in servizio;
 operation and maintenance;  esercizio e manutenzione;
 quality monitoring and feedback;  sorveglianza della qualità e ritorni di esperienza;
 documentation and records;  documentazione e registrazioni;
 configuration management/change control;  gestione della configurazione / controllo delle modifiche;
 personnel competency and training;  competenza del personale e formazione;
 quality audits and follow-up;  audits di qualità e le loro conseguenze;
 decommissioning and disposal.  ritiro dall’esercizio e dismissione.

Compliance with the requirements for quality La conformità con i requisiti per la gestione della
management is mandatory for Safety Integrity qualità è obbligatoria per i Livelli di Integrità della
Levels 1 to 4 inclusive, (see Annex A for expla- Sicurezza da 1 a 4 compreso (vedi Allegato A per
nation of Safety Integrity Levels). However, the le spiegazioni sui livelli di Integrità della Sicurez-
depth of the evidence presented and the extent za). Comunque il livello di dettaglio delle prove
of the supporting documentation should be ap- presentate e la copertura della documentazione di
propriate to the Safety Integrity Level of the sys- supporto dovrebbero essere appropriati al Livello
tem/sub-system/equipment under scrutiny (see di Integrità della Sicurezza del sistema/sottosiste-
Table E.1 and Table E.8 for guidance on evi- ma o apparecchiatura esaminati (vedi Tab. E.1 e
dence required for each Safety Integrity Level). Tab. E.8 per una guida sulle prove richieste per
The requirements for Safety Integrity Level 0 ogni Livello di Integrità della Sicurezza). I requisiti
(non-safety-related) are outside the scope of per il Livello 0 di Integrità della Sicurezza (non
this safety standard. correlato con la sicurezza) sono fuori del campo
di applicazione della presente Norma di sicurezza.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 15 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. 4 Example of system life-cycle (from EN 50126)
Note/Nota The phase at which a modification enters the life-cycle will
be dependent upon both the system being modified and the
specific mollification under consideration.

1
Concept

2
System Definition and
Application Conditions

3
Risk Analysis
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

4
System Requirements

5
Apportionment of
System Requirements

6
Design and Implementation

7
Manufacture

8
Installation

9
System Validation (including
Safety Acceptance and
Commissioning)

System Acceptance
10

12 11 13
Performance Monitoring Operation and Maintenance Modification and Retrofit

14 Re-apply Lifecycle
Decommissioning and Disposal (See note)

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 16 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio del ciclo di vita del sistema (dalla EN 50126)
La fase nella quale una modifica viene introdotta nel ciclo di
vita dipende sia dal sistema modificato che dalla particolare
modifica considerata.

Concezione
1

2
Definizione del sistema e con-
dizioni di applicazione

3
Analisi del rischio
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Requisiti del sistema 4

Ripartizione dei requisiti del 5


sistema

Progettazione e 6
realizzazione

Costruzione 7

Installazione
8

9
Validazione del sistema
(inclusa l’approvazione della si-
curezza e la messa in servizio)

Accettazione del sistema 10

12 11 13
Esercizio e manutenzione
Controllo delle prestazioni Modifiche e revisioni

14 Riapplicare il ciclo di vita


Ritiro dal servizio e
dismissione (vedi nota)

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 17 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3 Evidence of safety management Prove della gestione della sicurezza

5.3.1 Introduction Introduzione


The second condition for safety acceptance La seconda condizione che deve essere soddisfatta
which shall be satisfied is that the safety of the per l’accettazione della sicurezza, è che la sicurezza
system, sub-system or equipment has been, and del sistema, del sottosistema o dell’apparecchiatura è
shall continue to be, managed by means of an stata e deve continuare ad essere gestita tramite un
effective safety management process, which efficace processo di gestione della sicurezza, che do-
should be consistent with the management vrebbe essere omogeneo con il processo di gestione
process for RAMS described in EN 50126. The delle RAMS descritto nella EN 50126. L’obiettivo di
purpose of this process is to further reduce the questo processo è di ridurre ulteriormente l’incidenza
incidence of safety-related human errors degli errori umani correlati con la sicurezza nell’arco
throughout the life-cycle, and thus minimise the del ciclo di vita e quindi di minimizzare il rischio resi-
residual risk of safety-related systematic faults. duo di guasti sistematici correlati con la sicurezza. Gli
The elements of the safety management process elementi del processo di gestione della sicurezza
are briefly summarised in 5.3.2 to 5.3.13 below. sono brevemente riassunti dal punto 5.3.2 al punto
5.3.13 successivi.
Documentary evidence to demonstrate compli- La prova documentale per dimostrare la confor-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

ance with all elements of the safety manage- mità con tutti gli elementi del processo di gestio-
ment process throughout the life-cycle shall be ne della sicurezza attraverso il ciclo di vita deve
provided in the Safety Management Report, essere fornita nella relazione di gestione della si-
which forms Part 3 of the Safety Case. Large curezza, che forma la Parte 3 dell’Istruttoria per la
volumes of detailed evidence and supporting Sicurezza. Non è necessario includere una grande
documentation need not be included, provided quantità di prove dettagliate e di documentazioni
precise references are given to such documents. di supporto, a condizione che vengano forniti
precisi riferimenti per tali documentazioni.
The use of this safety management process is L’utilizzazione di questo processo di gestione del-
mandatory for Safety Integrity Levels 1 to 4 in- la sicurezza è obbligatoria per i Livelli di Integrità
clusive (see Annex A for explanation of Safety della Sicurezza da 1 a 4 incluso (vedi Allegato A
Integrity Levels). However, the depth of the evi- per la spiegazione dei Livelli di Integrità della Si-
dence presented and the extent of the support- curezza). Il dettaglio delle prove presentate e la
ing documentation should be appropriate to the copertura della documentazione di supporto do-
Safety Integrity Level of the system/sub-sys- vrebbero essere comunque appropriate al Livello
tem/equipment under scrutiny. The require- di Integrità della Sicurezza del sistema/sottosiste-
ments for Safety Integrity Level 0 (non-safety-re- ma/apparecchiatura in esame. I requisiti per il Li-
lated) are outside the scope of this safety vello 0 di Integrità della Sicurezza (non correlato
standard. con la sicurezza) sono fuori del campo di applica-
zione della presente Norma di sicurezza.
In all cases the hazard analysis and risk assess- In tutti i casi, le analisi delle situazioni pericolose
ment processes defined in EN 50126 are neces- ed i processi di valutazione dei rischi definiti nella
sary, in order to identify the required level of EN 50126 sono necessari per definire il livello ri-
safety integrity for each particular situation. This chiesto di integrità della sicurezza per ogni situa-
includes those cases where the analysis and as- zione particolare. Sono inclusi quei casi per i qua-
sessment reveal that a Safety Integrity Level of li l’analisi e la valutazione mostrano che può
zero may be assigned; however, once this con- essere assegnato il Livello di Integrità della Sicu-
clusion has been reached (i.e. that the situation rezza pari a zero; comunque, una volta che que-
is non-safety-related), and provided it remains sta conclusione è stata raggiunta (cioè che la si-
at level zero, this safety standard ceases to be tuazione non ha correlazioni con la sicurezza) e a
applicable. condizione che si resti al livello 0, la presente
Norma di sicurezza non è più applicabile.

5.3.2 Safety life-cycle Ciclo di vita della sicurezza


The safety management process shall consist of Il processo di gestione della sicurezza deve compren-
a number of phases and activities, which are dere un numero di fasi e di attività che sono collega-
linked to form the safety life-cycle; this should te in modo da formare il ciclo di vita della sicurezza;
be consistent with the system life-cycle defined questo dovrebbe essere consistente con il ciclo di
in EN 50126, which is reproduced as Figure 4 of vita del sistema definito nella EN 50126, riprodotto
this standard. The design and validation part of nella Fig. 4 della presente Norma. Le fasi di progetta-
the system life-cycle can be viewed as a zione e di validazione del ciclo di vita del sistema

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 18 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
“top-down” phase followed by a “bottom-up” possono essere viste come una fase “discendente” se-
phase, (i.e. a “V”-diagram), an example of guita da una “ascendente” (cioè un diagramma a
which is shown in Figure 5. “V”), un esempio del quale è indicato nella Fig. 5.

Fig. 5 Example of design and validation portion of system Esempio della parte progettazione e validazione del
life-cycle ciclo di vita del sistema

PIANO E PROGRAMMA DELLE


PROVE
SPECIFICA DEI REQUISITI DEL TEST PLAN/SCHEDULE VALIDAZIONE DELLE PROVE
SISTEMA
DI SISTEMA
SYSTEM REQUIREMENTS
SYSTEM TEST VALIDATION
SPECIFICATION

ANALISI DELLE SITUAZIONI PERICO-


LOSE E VALUTAZIONE DEI RISCHI
HAZARD ANALISIS AND RISK
ASSESSMENT

SPECIFICA DEI
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

REQUISITI DI SICUREZZA
SAFETY REQUIREMENTS
SPECIFICATION
REQUISITI FUNZIONALI VALIDAZIONE DELLE PROVE
DI SICUREZZA FUNZIONALI DI SICUREZZA DEL
SAFETY FUNCTIONAL SISTEMA
REQUIREMENTS FUNCTIONAL SAFETY TEST VALIDATION
REQUISITI D’INTEGRITÀ
DELLA SICUREZZA
SAFETY INTEGRITY
REQUIREMENTS

INTEGRITÀ DEI MALFUN- RELAZIONE DI GESTIONE DELLA QUALITÀ


ZIONAMENTI SISTEMATICI RELAZIONE DI GESTIONE DELLA SICUREZZA
SYSTEMATIC FAILURE INTEGRITY QUALITY MANAGEMENT REPORT
SAFETY MANAGEMENT REPORT
INTEGRITÀ DEI MALFUN-
RELAZIONE SULLA SICUREZZA TECNICA
ZIONAMENTI ALEATORI TECHNICAL SAFETY REPORT
RANDOM FAILURE INTEGRITY

PROGETTAZIONE DELL’AR- PROVE DI INTEGRAZIONE


CHITETTURA DEL SISTEMA E DI INSTALLAZIONE
SYSTEM ARCHITECTURE DESIGN INTEGRATION AND
INSTALLATION TEST

PROGETTAZIONE VALIDAZIONE
HARDWARE HARDWARE
HARDWARE DESIGN HARDWARE
VALIDATION

PROGETTAZIONE VALIDAZIONE
SOFTWARE SOFTWARE
SOFTWARE SOFTWARE
DESIGN VALIDATION

5.3.3 Safety organisation Organizzazione della sicurezza


The safety management process shall be imple- Il processo di gestione della sicurezza deve essere
mented under the control of an appropriate applicato sotto il controllo di un organizzazione di
safety organisation, using competent personnel sicurezza appropriata, utilizzando personale com-
assigned to specific roles. Assessment and doc- petente al quale si affidano ruoli specifici. La valuta-
umentation of personnel competence, including zione e la documentazione relative alla competenza
technical knowledge, qualifications, relevant del personale, comprendente le conoscenze tecni-
experience and appropriate training, shall be che, le qualifiche, l’appropriata esperienza e gli ap-

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 19 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
carried out in accordance with recognised
standards.
An appropriate degree of independence shall
be provided between different roles, as shown
in Figure 6. See also Table E.3, for guidance on
the safety organisation required for each Safety
Integrity Level.

Fig. 6 Arrangements for independence

PM
ASSR

DI VER, VAL
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

SIL 3 OR
AND 4

PM
ASSR

DI VER VAL

SIL 1
AND 2 ASSR
DI VER, VAL

SIL 0 ASSR*

DI, VER, VAL

Legend: PM = Project Manager


DI = Designer/Implementer
VER = Verifier
VAL = Validator
ASSR = Assessor

= Can be the same person

= Can be the same organisation

* = For SIL 0, an assessor is necessary


only if the safety of the overall
system could be affected

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 20 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
propriati tipi di formazione, devono essere fatte
conformemente a norme riconosciute.
Deve essere attuato un grado di indipendenza ap-
propriato tra i diversi ruoli, come illustrato nella
Fig. 6. Si veda anche la Tab. E.3 per le indicazioni
sull’organizzazione della sicurezza richiesta per
ogni Livello di Integrità della Sicurezza.

Strutturazione dell’indipendenza

PM
ASSR

DI VER, VAL

SIL 3:
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

OR

PM
ASSR

DI VER VAL

SIL 1a: ASSR


DI VER, VAL

SIL 0 ASSR*

DI, VER, VAL

Legenda: PM = Gestore del progetto (Project Manager)


DI = Progettista/Realizzatore
VER = Verificatore
VAL = Validatore
ASSR = Valutatore

= Può essere la stessa persona

= Può essere la stessa organizzazione

* = Per il SIL 0, un valutatore (ASSR) è ne-


cessario solo se la sicurezza del siste-
ma complessivo può essere influenzata

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 21 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3.4 Safety plan Piano della Sicurezza
A Safety Plan shall be drawn up at the start of Un Piano della Sicurezza deve essere stabilito
the life-cycle. This plan shall identify the safety all’inizio del ciclo di vita, Questo piano deve
management structure, safety-related activities identificare la struttura per la gestione della sicu-
and approval mile-stones throughout the rezza, le attività correlate con la sicurezza e i mo-
life-cycle, and shall include the requirements for menti di approvazione durante il ciclo di vita,
review of the Safety Plan at appropriate inter- deve contenere i requisiti per la revisione del Pia-
vals. The Safety Plan shall be updated and re- no della Sicurezza con una periodicità appropria-
viewed if subsequent alterations or additions ta. Il Piano della Sicurezza deve essere aggiornato
are made to the original system/sub-sys- e rivisto se modifiche successive o aggiunte ven-
tem/equipment. If any such change is made, gono fatte al sistema/sottosistema/ apparecchiatu-
the effect on safety shall be assessed, starting at ra d’origine. Se questi cambiamenti dovessero es-
the appropriate point in the life-cycle. See Ta- sere effettuati, gli effetti sulla sicurezza dovranno
ble E.1 for guidance on Safety Plans for each essere valutati, partendo dal punto appropriato
Safety Integrity Level. del ciclo di vita. Si veda la Tab. E1, per le indica-
zioni relative ai Piani di Sicurezza per ogni Livello
di Integrità della Sicurezza.
The Safety Plan shall deal with all aspects of the Il Piano di assicurazione della Sicurezza deve trat-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

system/sub-system/equipment, including both tare tutti gli aspetti del sistema/sottosistema/appa-


hardware and software. EN 50128 shall be refer- recchiatura, sia a livello hardware che software.
enced for Software aspects. Per quello che riguarda il software deve fare rife-
rimento alla EN 50128.
The Safety Plan should include a Safety Case Il Piano della Sicurezza dovrebbe comprendere
Plan, which identifies the intended structure un Piano di Istruttoria per la Sicurezza che identi-
and principal components of the final Safety fica la struttura prevista e le componenti principa-
Case. li dell’Istruttoria finale per la Sicurezza.

5.3.5 Hazard log Registro delle situazioni pericolose


A Hazard Log shall be created and maintained Un registro delle situazioni pericoloso deve essere
throughout the safety life-cycle, as explained in creato e aggiornato durante il ciclo di vita della sicu-
EN 50126. It shall include a list of identified rezza, come indicato nella EN 50126. Deve contenere
hazards, together with associated risk classifica- una lista di situazioni pericolose identificate, con la
tion and risk control information for each haz- classifica dei rischi associati e l’informazione di con-
ard. The Hazard Log shall be updated if any trollo dei rischi per ogni situazione pericolosa. Il regi-
modification or alteration is made to the system, stro delle situazioni pericolose deve essere aggiornato
sub-system or equipment. ogni volta che c’è stata un’evoluzione oppure una
modifica nel sistema, sottosistema o apparecchiatura.

5.3.6 Safety requirements specification Specifica dei requisiti di sicurezza


The specific safety requirements for each sys- I requisiti di sicurezza specifici per ogni siste-
tem/sub-system/equipment, including safety func- ma/sottosistema/apparecchiatura, comprese le
tions and safety integrity, shall be identified and funzioni di sicurezza e l’integrità della sicurezza
documented in the Safety Requirements Specifica- devono essere identificate e documentate nella
tion. This shall be achieved by means of: Specifica dei Requisiti di Sicurezza. Questo deve
essere ottenuto per mezzo di:
 Hazard Identification and Analysis,  una identificazione ed una analisi delle situa-
zioni pericolose,
 Risk Assessment and Classification,  una valutazione e classificazione dei rischi,
 allocation of Safety Integrity Levels,  una allocazione dei Livelli di Integrità della Si-
curezza,

as explained in EN 50126. Some information come spiegato nella EN 50126. Alcune informa-
concerning Safety Integrity Levels for railway zioni sui Livelli di Integrità della Sicurezza per i si-
electronic systems is contained in Annex A. stemi elettronici ferroviari sono contenute nell’Al-
legato A.
Note/Nota The Safety Requirements Specification may be included in La Specifica dei Requisiti di Sicurezza può essere inclusa nella
the system/sub-system/equipment Functional Requirements Specifica dei Requisiti Funzionali del sistema /sottosistema /ap-
Specification or may be written as a separate document. See parecchiatura oppure può essere scritta in un documento a
Table E.2, for guidance on System Requirements Specifica- parte. Si veda la Tab. E.2 per le indicazioni relative alle specifi-
tions for each Safety Integrity Level. che dei requisiti del sistema per ogni Livello di Integrità della
Sicurezza.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 22 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3.7 System/sub-system/equipment design Progettazione del sistema/sottosistema/apparecchiatura
This phase of the life-cycle shall create a design Questa fase del ciclo di vita deve dar luogo ad una
which fulfils the specified operational and safety progettazione che soddisfi i requisiti di operativi di
requirements. A top-down, structured design sicurezza specificati. Una metodologia strutturata di
methodology shall be used, with rigorously con- progettazione discendente deve essere utilizzata
trolled and reviewed documentation. In particular, insieme ad una documentazione rigorosamente
the relationship between hardware and software, controllata e revisionata. In particolare, le relazioni
as represented by the Software Requirements tra hardware e software, come sono rappresentate
Specification and software/hardware integration, dalla Specifica dei requisiti del Software e dall’inte-
shall be strictly managed, and the standard grazione software/hardware, devono essere gestite
EN 50128 shall be adhered to. Table E.7 gives in maniera rigorosa e devono concordare con la
guidance on design and development of sys- EN 50128. La Tab. E.7 fornisce indicazioni relative
tem/sub-system/equipment for each Safety Integ- alla progettazione ed allo sviluppo di un siste-
rity Level. ma/sottosistema/apparecchiatura per ogni Livello
di Integrità della Sicurezza.

5.3.8 Safety reviews Revisioni di sicurezza


Safety reviews shall be carried out at appropri- In appropriati momenti del ciclo di vita devono
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

ate stages in the life-cycle. Such reviews shall essere fatte revisioni di sicurezza. Queste revisioni
be specified in the Safety Plan, and their results devono essere specificate nel Piano della Sicurez-
fully documented. Any alteration or extension za ed i loro risultati devono essere interamente
to the system, sub-system or equipment shall documentati. Anche ogni modifica o ampliamento
also be subject to review. del sistema, sottosistema o apparecchiatura devo-
no essere soggetti alla revisione.

5.3.9 Safety verification and validation Verifica e validazione di sicurezza


The Safety Plan shall include or reference plans Il Piano della Sicurezza deve comprendere o far rife-
for verifying that each phase of the life-cycle rimento ai piani per verificare che ogni fase del ciclo
satisfies the specific safety requirements identi- di vita soddisfi a specifici requisiti di sicurezza iden-
fied in the previous phase, and for validating tificati nella fase precedente, consentendo di valida-
the completed system/sub-system/equipment re il sistema/sottosistema/apparecchiatura completa-
against its original Safety Requirements Specifi- to/a rispetto alle originarie Specifiche dei Requisiti
cation. di Sicurezza.
These activities shall be carried out and fully Queste attività devono essere realizzate e completa-
documented, including appropriate testing and mente documentate, includendo appropriate prove
safety analyses. They shall be repeated as ap- ed analisi di sicurezza. Esse devono essere adegua-
propriate in the event of any subsequent modi- tamente ripetute in occasione di ciascuna successiva
fication or addition to the system/sub-sys- modifica o ampliamento del sistema/sottosiste-
tem/equipment. ma/apparecchiatura.
The degree of independence necessary for the Il grado di indipendenza necessario per l’incaricato
verifier and the validator shall be in accordance della verifica e l’incaricato della validazione deve
with the Safety Integrity Level of the sys- essere in accordo con il Livello di Integrità della Si-
tem/sub-system/equipment under scrutiny. This curezza del sistema/sottosistema/apparecchiatura
is shown in Figure 6. Table E.9 gives guidance sotto esame. Questo è illustrato nella Fig. 6. La
on verification and validation techniques/meas- Tab. E.9 fornisce delle indicazioni sulle tecni-
ures for each Safety Integrity Level. che/metodologie di verifica e di validazione per
ogni Livello di Integrità della Sicurezza.
At the discretion of the safety authority, the as- A discrezione dell’Autorità di Sicurezza l’incarica-
sessor may be part of the supplier’s organisation to della valutazione può appartenere all’organiz-
or of the customer’s organisation but, in such zazione del fornitore o del committente, ma in tali
cases, the assessor shall: casi l’incaricato della valutazione deve:
 be authorised by the safety authority,  essere autorizzato dall’Autorità di Sicurezza
 be totally independent from the project  essere totalmente indipendente dal gruppo di
team, progetto
 report directly to the safety authority.  rendere conto direttamente all’Autorità di Si-
curezza.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 23 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.3.10 Safety justification Giustificazione della sicurezza
The evidence that the system/sub-sys- L’evidenza che il sistema/sottosistema/apparecchia-
tem/equipment meets the defined conditions tura corrisponde alle condizioni definite per l’accet-
for safety acceptance shall be presented in a tazione di sicurezza deve essere presentata in un
structured safety justification document documento strutturato di giustificazione della sicu-
known as the Safety Case, as explained rezza denominato Istruttoria per la Sicurezza, come
in 5.1 of this standard. spiegato al punto 5.1 della presente Norma.

5.3.11 System/sub-system/equipment handover Consegna del sistema/sottosistema/apparecchiatura


Prior to handover of the system/sub-sys- Prima di consegnare il sistema/sottosistema/apparec-
tem/equipment to a railway authority, the con- chiatura all’impresa ferroviaria, le condizioni di accet-
ditions for safety acceptance and safety approv- tazione e di approvazione della sicurezza definite al
al defined in 5.5 shall be satisfied, including punto 5.5 devono essere state soddisfatte, compresa
submission of the Safety Case and the Safety As- la presentazione dell’Istruttoria per la Sicurezza e del-
sessment Report. la relazione di Valutazione della Sicurezza.

5.3.12 Operation and maintenance Esercizio e manutenzione


Following handover, the procedures, support Dopo la consegna devono essere prese a riferimen-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

systems and safety monitoring defined in the to le procedure, i sistemi di supporto ed il monito-
Safety Plan and in Section 5 of the Technical raggio della sicurezza definiti nel Piano della Sicu-
Safety Report (part of the Safety Case) shall be rezza e nella Parte 5 della Relazione sulla Sicurezza
adhered to. Tecnica (parte dell’Istruttoria per la Sicurezza).
During the operational life of a system, change Durante la vita operativa di un sistema, è possibile
requests may be raised for a variety of reasons, che vengano richieste delle modifiche per varie ra-
not all of which will be safety-related. Each gioni, non tutte correlate con la sicurezza. L’impatto
change request shall be assessed for its impact sulla sicurezza di ogni richiesta di modifica deve es-
on safety, by reference to the relevant portion sere valutato facendo riferimento alla parte corri-
of the safety documentation. Where a change spondente della documentazione di sicurezza. Nel
request results in a modification which could af- caso che una richiesta di modifica dia luogo ad una
fect the safety of the system, or associated sys- modifica che potrebbe influire sulla sicurezza del si-
tems, or the environment, the appropriate por- stema, o dei sistemi associati, o dell’ambiente, deve
tion of the safety life-cycle shall be repeated to essere ripetuta la parte appropriata del ciclo di vita
ensure that the implemented modification does della sicurezza per garantire che la modifica intro-
not unacceptably reduce the level of safety. Ta- dotta non riduca in modo inaccettabile il livello di
ble E.10 gives guidance on Application, Opera- sicurezza. La Tab. E.10 fornisce delle indicazioni
tion and Maintenance for each Safety Integrity sull’applicazione, l’esercizio e la manutenzione per
Level. ogni Livello di Integrità della Sicurezza.

5.3.13 Decommissioning and disposal Ritiro dal servizio e dismissione


At the end of the operational life of a system, its Alla fine della vita operativa del sistema, il suo ri-
decommissioning and disposal shall be carried tiro dal servizio e la sua dismissione devono esse-
out in accordance with the measures defined in re realizzati in conformità con le misure definite
the Safety Plan and in Section 5 of the Technical nel Piano della Sicurezza e nella Parte 5 della Re-
Safety Report (part of the Safety Case). lazione sulla Sicurezza Tecnica (parte dell’Istrutto-
ria per la Sicurezza).

5.4 Evidence of functional and technical safety Prova della sicurezza funzionale e tecnica
In addition to the evidence of quality and safety Oltre alla prova della gestione della qualità e della
management, described in 5.2 and 5.3 of this sicurezza descritte nei punti 5.2 e 5.3 della presente
standard, a third condition shall be satisfied be- Norma, una terza condizione deve essere soddisfat-
fore a system/sub-system/equipment can be ac- ta prima che un sistema, un sottosistema o una ap-
cepted as adequately safe for its intended appli- parecchiatura possano essere accettati come ade-
cation. This consists of technical evidence for guatamente sicuri per l’uso che si intende farne.
the safety of the design, which shall be docu- Essa consiste in una prova tecnica della sicurezza
mented in the Technical Safety Report. This della progettazione. che deve essere documentata
document forms Part 4 of the Safety Case for nella Relazione sulla Sicurezza Tecnica. Questo do-
the system/sub-system/equipment, as explained cumento costituisce la Parte 4 dell’Istruttoria per la
in 5.1 of this standard. Sicurezza del sistema/sottosistema/apparecchiatura,
come spiegato al punto 5.1 della presente Norma.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 24 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The Technical Safety Report is mandatory for La Relazione sulla Sicurezza Tecnica è obbligatoria
Safety Integrity Levels 1 to 4 inclusive (see An- per i Livelli di Integrità della Sicurezza da 1 a 4 com-
nex A for explanation of Safety Integrity Lev- preso (vedi Allegato A per la spiegazione dei Livelli
els). However, the depth of the information and di Integrità della Sicurezza). Comunque il dettaglio
the extent of the supporting documentation dell’informazione e la copertura della documenta-
should be appropriate to the Safety Integrity zione di supporto dovrebbero essere appropriati ri-
Level of the system/sub-system/equipment un- spetto al Livello di Integrità della Sicurezza del siste-
der scrutiny. The requirements for Safety Integ- ma/sottosistema/apparecchiatura sotto esame. I
rity Level 0 (non-safety-related) are outside the requisiti per il Livello 0 di Integrità della Sicurezza
scope of this safety standard. (non correlato con la sicurezza) sono al di fuori del
campo di applicazione della presente Norma per la
sicurezza.
The Technical Safety Report shall explain the La Relazione sulla Sicurezza Tecnica deve spiegare i
technical principles which assure the safety of principi tecnici che garantiscono la sicurezza della
the design, including (or giving references to) progettazione, comprendendo (o fornendo i riferi-
all supporting evidence (for example, design menti per) tutte le prove di supporto (ad esempio, i
principles and calculations, test specifications principi di progettazione ed i calcoli, le specifiche
and results, and safety analyses). delle prove ed i risultati, e le analisi di sicurezza).
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

The Technical Safety Report shall be arranged La Relazione sulla Sicurezza Tecnica deve essere
under the following headings: organizzata secondo le sottoindicate intestazioni:

Section 1 Introduction Parte 1 Introduzione


This section shall provide an overview descrip- Questa parte deve fornire una descrizione com-
tion of the design, including a summary of the plessiva della progettazione, compresa anche una
technical safety principles that are relied on for sintesi dei principi di sicurezza tecnica sui quali si
safety and the extent to which the sys- basa la sicurezza, ed il grado di sicurezza richiesto
tem/sub-system/equipment is claimed to be al sistema/sottosistema/apparecchiatura in accor-
safe in accordance with this standard. do con la presente Norma.
This section shall also indicate the standards Questa parte deve anche indicare le norme (e la
(and their issues) used as the basis for the tech- loro edizione) utilizzate come base per la sicurez-
nical safety of the design. In the case of modifi- za tecnica della progettazione. Nel caso di modifi-
cations or additions to equipment already in che o di aggiunte su apparecchiature già in servi-
service, or in standard production, or at a com- zio o in produzione standard, oppure alla fine
pleted stage of development, then, as an excep- della fase di sviluppo, si possono usare eccezio-
tion, the issues of standards used for the origi- nalmente come basi le edizioni delle norme utiliz-
nal design may be used as a basis, these already zate per la progettazione originaria, essendo già
having been accepted in the approval of the state accettate per l’approvazione dell’apparec-
original equipment. This may be applied only chiatura d’origine. Ciò può essere attuato solo se,
if, by taking into consideration the latest issues considerando le ultime edizioni delle norme, do-
of the standards, further modifications to the ex- vessero essere richiede modifiche supplementari
isting equipment would be required, or unjusti- all’apparecchiatura esistente oppure se si dovesse
fiably high costs for the change would be in- incorrere in un costo elevato non giustificato. De-
curred. Reasons justifying use of this statement vono essere forniti i motivi che giustifichino l’utiz-
shall be given. zazione di tali affermazioni.

Section 2 Assurance of correct functional Parte 2 Assicurazione di un esercizio funzio-


operation nale corretto
This section shall contain all the evidence nec- Questa parte deve contenere tutte le prove neces-
essary to demonstrate correct operation of the sarie per la dimostrazione di un esercizio corretto
system/sub-system/equipment under fault-free del sistema/sottosistema/apparecchiatura in con-
normal conditions (that is, with no faults in ex- dizioni normali di assenza guasto (cioè con nes-
istence), in accordance with the specified oper- sun guasto in atto) in accordo con i requisiti di
ational and safety requirements. utilizzazione e di sicurezza specificati.
The following aspects shall be included, for which Si devono trattare i seguenti aspetti, per i quali
more detailed requirements are contained in B.2: vengono forniti dei requisiti dettagliati in B.2:
2.1 System architecture description (see B.2.1 2.1 Descrizione dell’architettura del sistema (vedi
and Table E.4); B.2.1 e Tab. E.4);
2.2 Definition of interfaces (see B.2.2); 2.2 Definizione delle interfacce (vedi B.2.2);

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 25 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
2.3 Fulfilment of System Requirements Specifi- 2.3 Soddisfacimento della Specifica dei Requisiti
cation (see B.2.3); del Sistema (vedi B.2.3);
2.4 Fulfilment of Safety Requirements Specifi- 2.4 Soddisfacimento della Specifica dei Requisiti
cation (see B.2.4); della Sicurezza (vedi B.2.4);
2.5 Assurance of correct hardware functionality 2.5 Assicurazione del corretto funzionamento
(see B.2.5); dell’hardware (vedi B.2.5);
2.6 Assurance of correct software functionality 2.6 Assicurazione del corretto funzionamento del
(see B.2.6). software (vedi B.2.6).

Section 3 Effects of faults Parte 3 Effetti dei guasti


This section shall demonstrate that the sys- Questa parte deve dimostrare che il sistema /sot-
tem/sub-system/equipment continues to meet tosistema/apparecchiatura continua a rispettare i
its specified safety requirements, including the suoi specificati requisiti di sicurezza, compresi gli
quantified safety target, in the event of random obiettivi quantificati della sicurezza, in caso di ac-
hardware faults. cadimento di guasti hardware casuali.
In addition, a systematic fault could still exist, Inoltre può sempre esistere un guasto sistematico,
despite the quality and safety management malgrado il processo di gestione della qualità e
processes defined in 5.2 and 5.3 of this stand- della sicurezza definito al 5.2 e 5.3 della presente
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

ard. This section shall demonstrate which tech- Norma. Questa parte deve dimostrare quali sono
nical measures have been taken to reduce the le misure tecniche adottate per ridurre il rischio
consequent risk to an acceptable level. conseguente ad un livello accettabile.
This section shall also include demonstration Questa parte deve anche includere la dimostra-
that faults in any system/sub-system/equipment zione che i guasti di ogni sistema/sottosiste-
having a Safety Integrity Level lower than that ma/apparecchiatura con un Livello di Integrità
of the overall system, including Level 0, cannot della Sicurezza inferiore a quella del sistema glo-
reduce the safety of the overall system. bale, compreso il Livello 0, non possono ridurre
la sicurezza del sistema globale.
The following headings shall be used in this I seguenti argomenti, per i quali al punto B.3 ven-
section, for which more detailed requirements gono forniti requisiti più dettagliati, devono essere
are contained in B.3. Guidance is also given in contenuti in questa parte. Vengono inoltre fornite
Table E.5 and Table E.6. indicazioni nella Tab. E.5 e nella Tab. E.6.
3.1 Effects of single faults (see B.3.1); 3.1 Effetti dei guasti singoli (vedi B.3.1);
3.2 Independence of items (see B.3.2); 3.2 Indipendenza delle unità (vedi B.3.2);
3.3 Detection of single faults (see B.3.3); 3.3 Rilevamento dei guasti singoli (vedi B.3.3);
3.4 Action following detection (including re- 3.4 Azioni dopo il rilevamento (compreso il mante-
tention of safe state) (see B.3.4); nimento in uno stato di sicurezza) (vedi B.3.4);
3.5 Effects of multiple faults (see B.3.5); 3.5 Effetti dei guasti multipli (vedi B.3.5);
3.6 Defence against systematic faults (see 3.6 Protezione contro i guasti sistematici (vedi
B.3.6). B.3.6).

Section 4 Operation with external influ- Parte 4 Esercizio in presenza di influenze


ences esterne
This section shall demonstrate that when sub- Questa parte deve dimostrare che il sistema/sotto-
jected to the external influences defined in the sistema/apparecchiatura, quando esposto alle in-
System Requirements Specification, the sys- fluenze esterne definite nelle Specifiche dei requi-
tem/sub-system/equipment siti del Sistema
 continues to fulfil its specified operational  continua a soddisfare i requisiti di esercizio
requirements, specificati
 continues to fulfil its specified safety re-  continua a soddisfare i requisiti di sicurezza
quirements (including fault conditions). specificati (condizioni di guasto incluse).

The Safety Case is therefore valid only within the L’Istruttoria per la Sicurezza ha valore unicamente
specified range of external influences, as defined entro il limite specificato per le influenze esterne
in the System Requirements Specification. Safety is così come definito nelle Specifiche dei Requisiti
not assured outside these limits, unless additional del Sistema. Fuori da questi limiti, la sicurezza
special measures are provided. non è garantita, a meno che non vengano fornite
misure specifiche supplementari.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 26 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The methods used to withstand the specified I metodi utilizzati per sopportare le influenze
external influences shall be fully explained and esterne specificate devono essere spiegati e giu-
justified. stificati completamente.
More detailed requirements are contained in B.4. Requisiti più dettagliati sono contenuti in B.4.

Section 5 Safety-related application condi- Parte 5 Condizioni di utilizzazione correlate


tions con la sicurezza
This section shall specify (or reference) the rules, Questa parte deve specificare (o fornirne i riferi-
conditions and constraints which shall be ob- menti per) le regole, condizioni e vincoli che devo-
served in the application of the system/sub-sys- no essere osservati durante l’utilizzo del sistema/sot-
tem/equipment. This shall include the application tosistema/apparecchiatura. Deve comprendere le
conditions contained in the Safety Case of any re- condizioni di utilizzo contenute nell’Istruttoria per la
lated sub-system or equipment. Sicurezza di ogni sottosistema o apparecchiatura as-
sociata.
More detailed requirements are contained in B.5. Requisiti più dettagliati sono contenuti in B.5. In-
Guidance is also given in Table E.10. dicazioni vengono anche fornite nella Tab. E.10.

Section 6 Safety Qualification Tests Parte 6 Prove di Qualifica della Sicurezza


Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

This section shall contain evidence to demon- Questa parte deve contenere la prova per dimo-
strate successful completion, under operational strare il completamento con successo delle prove
conditions, of the Safety Qualification Tests. di Qualifica della Sicurezza nelle condizioni ope-
These are explained in B.6. rative. Queste vengono spiegate in B.6.
The structure of the Technical Safety Report is La struttura della Relazione sulla Sicurezza Tecni-
illustrated in Figure 7. ca è illustrato in Fig. 7.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 27 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. 7 Structure of Technical Safety Report Struttura della Relazione sulla Sicurezza Tecnica

Parte 6: Qualifica della sicurezza


Section 6: Safety Qualification
Tests

Parte 5: Condizioni d'utilizzazione


correlate con la sicurezza
Section 5: Safety-related applica-
tion conditions
Parte 4: Esercizio in presenza d'in-
fluenze esterne
Section 4: Operation with external
influences
Parte 3: Effetti dei guasti
Section 3: Effects of faults
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Parte 2: Assicurazione del corret-


to esercizio
Section 2: Assurance of correct op-
eration
Parte 1: Introduzione
Section 1: Introduction

RELAZIONE SULLA
SICUREZZA
TECNICA
Technical
Safety
Report

5.5 Safety acceptance and approval Accettazione e approvazione della sicurezza


This subclause defines the safety acceptance Questo paragrafo definisce il processo di accetta-
and approval process for safety-related elec- zione e di approvazione della sicurezza per i si-
tronic system/sub-system/equipment. Except stemi/sottosistemi/apparecchiature elettroniche
where considered appropriate, it does not spec- correlate con la sicurezza. Ad eccezione di quan-
ify who should carry out the work at each do viene considerato opportuno, non specifica
stage, since this may vary in different circum- chi dovrebbe realizzare il lavoro ad ogni fase poi-
stances. ché può variare nelle diverse circostanze.

5.5.1 Introduction Introduzione


As explained in 5.1, three conditions shall be Conformemente alle spiegazioni fornite al 5.1, tre
satisfied before a safety-related electronic rail- condizioni devono essere soddisfatte prima che
way system/sub-system/equipment can be ac- un sistema, sottosistema o apparecchiatura elet-
cepted as adequately safe for its intended appli- tronica ferroviaria possa essere considerato ade-
cation: guatamente sicuro per il suo impiego previsto:
 evidence of quality management;  prova della gestione della qualità,
 evidence of safety management;  prova della gestione della sicurezza,
 evidence of functional and technical safety.  prova della sicurezza tecnica e funzionale.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 28 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
These three conditions have been explained in Queste tre condizioni vengono spiegate ai punti
5.2, 5.3 and 5.4 of this standard. 5.2, 5.3 e 5.4 della presente Norma.
The evidence of quality management, safety Le prove della gestione della qualità, della gestione
management and functional/technical safety della sicurezza e della sicurezza funzionale/tecnica
shall be included in the Safety Case, as shown devono fare parte dell’Istruttoria per la Sicurezza,
in 5.1 and Figure 3. come indicato al punto 5.1 e nella Fig. 3.
Three different categories of Safety Case can be Si possono considerare tre tipi diversi di Istrutto-
considered: ria per la Sicurezza:
 Generic product Safety Case (independ-  Istruttoria per la Sicurezza per i prodotti
ent of application) generici (indipendenti dall’applicazione)
A generic product can be re-used for differ- Un prodotto generico può essere utilizzato
ent independent applications; per diverse applicazioni indipendenti.
 Generic application Safety Case (for a  Istruttoria per la Sicurezza per un’applicazio-
class of application) ne generica (per una classe di applicazione)
A generic application can be re-used for a Un’applicazione generica può essere riutilizzata
class/type of application with common per una classe o un tipo di applicazione con ana-
functions; loghe funzioni.
 Specific application Safety Case (for a  Istruttoria per la Sicurezza per un’applica-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

specific application) zione specifica (per un’applicazione specifica)


A specific application is used for only one Un’applicazione specifica è utilizzata per una
particular installation. sola particolare realizzazione.

It is essential to demonstrate for each “specific” È essenziale dimostrare per ogni applicazione
application that the environmental conditions “specifica” che le condizioni ambientali ed il con-
and context of use are compatible with the “ge- testo di utilizzazione sono compatibili con quelli
neric” application conditions (see 5.5.4). dell’applicazione “generica” (vedi 5.5.4).
In all three categories, the structure of the Safe- In tutte le tre categorie, la struttura dell’Istruttoria
ty Case and the procedure for obtaining Safety per la Sicurezza e la procedura per ottenere l’ap-
approval are basically the same. However, there provazione della sicurezza sono essenzialmente le
is an additional factor for specific applications: stesse. Tuttavia per le applicazioni specifiche c’è
in this category, separate Safety approval is un elemento aggiuntivo: per questa categoria oc-
needed for the application design of the system corre una approvazione separata della sicurezza
and for its physical implementation (e.g., manu- per la progettazione dell’applicazione del sistema
facture, installation, test, and facilities for opera- e per la sua realizzazione fisica (esempio: fabbri-
tion and maintenance). For this reason, the cazione, installazione, prove e supporti per l’eser-
Safety Case for specific applications shall be di- cizio e la manutenzione). È per questo motivo
vided into two portions: che l’Istruttoria per la Sicurezza per le applicazio-
ni specifiche deve essere divisa in due parti:
 the Application Design Safety Case: this  l’Istruttoria per la Sicurezza per la progettazio-
shall contain the safety evidence for the the- ne dell’applicazione: deve contenere la prova
oretical design of the specific application; della sicurezza della progettazione teorica
dell’applicazione specifica;
 the physical implementation Safety Case:  l’Istruttoria per la Sicurezza della realizzazione
this shall contain the safety evidence for the fisica: deve contenere la prova della sicurezza
physical implementation of the specific ap- della realizzazione fisica dell’applicazione
plication. specifica

Both portions shall be structured as shown Le due parti devono essere organizzate come de-
in 5.1 and Figure 3. scritto al punto 5.1 e nella Fig. 3.

5.5.2 Safety approval process Processo di approvazione della sicurezza


Before an application for Safety approval can Prima che un’applicazione possa essere considerata
be considered, an independent safety assess- per l’approvazione della sicurezza, deve essere rea-
ment of the system/sub-system/equipment and lizzata una valutazione indipendente della sicurezza
its Safety Case shall be carried out, to provide del sistema/sottosistema/apparecchiatura e deve es-
additional assurance that the necessary level of sere portata a termine la sua Istruttoria per la Sicu-
safety has been achieved. Its results should be rezza, per ottenere una assicurazione supplementa-
presented in a Safety Assessment Report. The re che il necessario livello di sicurezza è stato
report should explain the activities carried out raggiunto. I suoi risultati dovrebbero essere presen-
by the safety assessor to determine how the sys- tati in una Relazione di Valutazione della Sicurezza.
tem/sub-system/equipment, (hardware and La relazione dovrebbe spiegare le attività che sono

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 29 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
software) has been designed to meet its speci- state svolte dall’incaricato della valutazione della si-
fied requirements, and possibly specify some curezza, per determinare come il sistema, il sottosi-
additional conditions for the operation of the stema o l’apparecchiatura (hardware e software) è
system/sub-system/equipment. The depth of stato progettato per rispondere ai suoi requisiti spe-
the safety assessment, and the degree of inde- cificati, e definire eventualmente alcune condizioni
pendence with which it is carried out, are based supplementari per l’esercizio del sistema/ sottosiste-
on the results of the risk classification, as ex- ma/ apparecchiatura. Il grado di approfondimento
plained in EN 50126. Specific tests may be re- della valutazione di sicurezza ed il grado di indipen-
quired by the safety assessor in order to in- denza con il quale è stata fatta, sono basati sui risul-
crease confidence. tati della classificazione dei rischi, come spiegato
nella EN 50126. Prove specifiche possono essere ri-
chieste dall’incaricato della valutazione della sicurez-
za al fine di aumentare l’attendibilità.
The overall documentary evidence shall consist of La prova documentale complessiva deve com-
prendere
 the System (or sub-system/equipment)  la Specifica dei Requisiti del Sistema (o
Requirements Specification, sottosistema/apparecchiatura)
the Safety Requirements Specification, la Specifica dei Requisiti della Sicurezza,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

 

 the Safety Case, including  l’Istruttoria per la Sicurezza, includendo


Part 1: Definition of System/Sub-sys- Parte 1: Definizione del sistema/sottosiste-
tem/Equipment, ma/apparecchiatura,
Part 2: Quality Management Report (evi- Parte 2: Relazione sulla gestione della qualità
dence of Quality Management), (prova della gestione della qualità),
Part 3: Safety Management Report (evi- Parte 3: Relazione sulla gestione della sicu-
dence of Safety Management), rezza (prova della gestione della si-
curezza),
Part 4: Technical Safety Report (evidence of Parte 4: Relazione sulla Sicurezza Tecnica (pro-
Functional/Technical Safety), va della sicurezza funzionale/tecnica),
Part 5: Related Safety Cases (if applicable), Parte 5: Istruttorie per la Sicurezza correlate
(se necessario)
Part 6: Conclusion, Parte 6: Conclusione,
 the Safety Assessment Report.  la relazione di Valutazione della Sicurezza

Provided all the conditions for safety accept- Stabilito che tutte le condizioni di accettazione della
ance have been satisfied, as demonstrated by sicurezza sono state soddisfatte, come dimostrato
the Safety Case, and subject to the results of the dall’Istruttoria per la Sicurezza, e conseguentemente
independent safety assessment, the sys- ai risultati della valutazione indipendente della sicu-
tem/sub-system/equipment may be granted rezza, può essere assegnata l’approvazione di sicu-
safety approval by the relevant safety authority. rezza per il sistema/sottosistema/apparecchiatura da
Approval may be subject to the fulfilment of ad- parte dell’Autorità di Sicurezza competente. Un’ap-
ditional conditions (temporary or permanent) provazione può essere soggetta al soddisfacimento
imposed by the safety assessor. di condizioni supplementari (temporanee o perma-
nenti) imposte dall’incaricato della valutazione di si-
curezza.
For a generic product (i.e. independent of ap- Per un prodotto generico (cioè indipendente
plication), and for a generic application (i.e. dall’applicazione) e per un’applicazione generica
class of application), it should be possible for (cioè classe di applicazione) dovrebbe essere
safety approval granted by one safety authority possibile che l’approvazione della sicurezza data
to be accepted by other safety authorities (i.e.: da un’Autorità di Sicurezza possa essere accettata
cross-acceptance). This is not considered possi- dalle altre Autorità di Sicurezza (cioè accettazione
ble for specific applications. reciproca). Questo non viene considerato possibi-
le per le applicazioni specifiche.
The safety approval process, for all three cate- Il processo di approvazione della sicurezza, per le
gories of Safety Case, is illustrated in Figure 8. tre categorie di Istruttoria per la Sicurezza è illu-
strato nella Fig. 8.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 30 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

– BLANK PAGE – – PAGINA BIANCA –

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 31 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. 8 Safety acceptance and approval process

GENERIC PRODUCT GENERIC APPLICATION SPECIFIC


(Independent of Application) (Class of Application) APPLICATION

SYSTEM (SS/E) SYSTEM (SS/E) SYSTEM (SS/E)


REQUIREMENTS REQUIREMENTS REQUIREMENTS
SPECIFICATION SPECIFICATION SPECIFICATION

SAFETY SAFETY SAFETY


REQUIREMENTS REQUIREMENTS REQUIREMENTS
SPECIFICATION SPECIFICATION SPECIFICATION
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

SPECIFIC APPLICATION
SAFETY CASE
GENERIC
GENERIC PRODUCT
APPLICATION
SAFETY CASE
SAFETY CASE
APPLICATION PHYSICAL
DESIGN IMPLEMENTATION

Part 1 - - - Part 1 - - -
Part 2 - - - Part 2 - - -
Part 3 - - - Part 3 - - - Part 1 - - - Part 1 - - -
Part 4 - - - Part 4 - - - Part 2 - - - Part 2 - - -
Part 5 - - - Part 5 - - - Part 3 - - - Part 3 - - -
Part 6 - - - Part 6 - - - Part 4 - - - Part 4 - - -
Part 5 - - - Part 5 - - -
Part 6 - - - Part 6 - - -

SAFETY SAFETY SAFETY SAFETY


ASSESSMENT ASSESSMENT ASSESSMENT ASSESSMENT
REPORT REPORT REPORT REPORT

PRODUCT APPLICATION DESIGN IMPLEMENTATION


SAFETY SAFETY SAFETY SAFETY
APPROVAL APPROVAL APPROVAL APPROVAL

PRODUCT APPLICATION
SAFETY SAFETY
ACCEPTANCE ACCEPTANCE OVERALL SAFETY ACCEPTANCE

CROSS- CROSS-
ACCEPTANCE ACCEPTANCE

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 32 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Processo di approvazione e di accettazione della
sicurezza

PRODOTTO GENERICO APPLICAZIONE GENERICA APPLICAZIONE SPECIFICA


(Indipendente dall’Applicazione (Classe d’applicazione)

SPECIFICA DEI REQUISITI SPECIFICA DEI REQUISI- SPECIFICA DEI REQUISI-


DEL SISTEMA TI DEL SISTEMA TI DEL SISTEMA
(SOTTO-SISTEMA (SOTTO-SISTEMA (SOTTO-SISTEMA
APPARECCHIATURA) APPARECCHIATURA) APPARECCHIATURA)

SPECIFICA DEI SPECIFICA DEI


SPECIFICA DEI REQUI-
REQUISITI DELLA REQUISITI DELLA
SITI DELLA SICUREZZA
SICUREZZA SICUREZZA
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

ISTRUTTORIA DELLA SICUREZZA


DELL’APPLICAZIONE SPECIFICA
ISTRUTTORIA ISTRUTTORIA DELLA
DELLA SICUREZZA SICUREZZA
DEL PRODOTTO DELL’APPLICAZIONE
GENERICA
PROGETTAZIONE REALIZZAZIONE FISICA
DELL’APPLICAZIONE

Parte 1 - - - Parte 1 - - -
Parte 2 - - - Parte 2 - - -
Parte 3 - - - Parte 3 - - - Parte 1 - - - Parte 1 - - -
Parte 4 - - - Parte 4 - - - Parte 2 - - - Parte 2 - - -
Parte 5 - - - Parte 5 - - - Parte 3 - - - Parte 3 - - -
Parte 6 - - - Parte 6 - - - Parte 4 - - - Parte 4 - - -
Parte 5 - - - Parte 5 - - -
Parte 6 - - - Parte 6 - - -

RELAZIONE DI RELAZIONE DI RELAZIONE DI


RELAZIONE DI
VALUTAZIONE DELLA VALUTAZIONE VALUTAZIONE
VALUTAZIONE DELLA
SICUREZZA DELLA SICUREZZA DELLA SICUREZZA
SICUREZZA

APPROVAZIONE APPROVAZIONE APPROVAZIONE


APPROVAZIONE DELLA SICUREZZA
DELLA SICUREZZA DELLA SICUREZZA
DELLA SICUREZZA DELLA PROGETTA-
DEL PRODOTTO DELLA REALIZZAZIONE
DELL’APPLICAZIONE ZIONE

ACCETTAZIONE ACCETTAZIONE
DELLA SICUREZZA DELLA SICUREZZA ACCETTAZIONE DELLA SICUREZZA
DEL PRODOTTO DELL’APPLICAZIONE COMPLESSIVA

ACCETTAZIONE ACCETTAZIONE
INCROCIATA INCROCIATA

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 33 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
5.5.3 After safety approval Dopo l’approvazione della sicurezza
After a system/sub-system/equipment has re- Dopo che un sistema/sottosistema/apparecchiatu-
ceived safety approval, any subsequent modifi- ra ha ricevuto l’approvazione di sicurezza, ogni
cation shall be controlled using the same quali- modifica ulteriore deve essere controllata utiliz-
ty management, safety management and zando la stessa gestione della qualità, della sicu-
functional/technical safety criteria as would be rezza e gli stessi criteri di sicurezza funziona-
used for a new design. All relevant documenta- le/tecnica che sarebbero utilizzati per una nuova
tion, including the Safety Case, shall be updated progettazione. Tutta la documentazione relativa,
or supplemented by additional documentation, ivi compresa l’Istruttoria per la Sicurezza, deve es-
and the modified design shall be submitted for sere aggiornata o completata da una documenta-
approval. zione supplementare, e la progettazione modifica-
ta deve essere sottoposta ad approvazione.
Once an installed system/sub-system/equip- Dopo che un sistema/sottosistema/apparecchiatura
ment has been commissioned, appropriate pro- installati sono stati attivati devono essere utilizzate
cedures, support systems and safety monitoring, procedure appropriate, sistemi di supporto ed il
as defined in the Safety Plan and in Section 5 of monitoraggio della sicurezza, come definito nel
the Technical Safety Report (part of the Safety Piano della Sicurezza e nella Parte 5 della Relazio-
Case), shall be used to ensure continued safe ne sulla Sicurezza Tecnica (Parte dell’Istruttoria per
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

operation throughout its working life, including la Sicurezza), per garantire un esercizio sicuro e
operation, maintenance, alteration, extension continuo durante tutta la loro vita attiva, compren-
and eventual decommissioning. These activities dente esercizio, manutenzione, modifiche, amplia-
shall be controlled using the same quality man- menti ed eventuale disattivazione. Queste attività
agement, safety management and technical devono essere controllate utilizzando la stessa ge-
safety criteria as for the original design. All rele- stione della qualità, gestione della sicurezza e crite-
vant documentation shall be kept up-to-date, ri di sicurezza tecnica della progettazione originale.
including the Safety Case, and any alterations or Tutta la documentazione relativa, compresa l’Istrut-
extensions shall be submitted for approval. toria per la Sicurezza deve essere aggiornata e tutte
le modifiche o ampliamenti devono essere sotto-
poste ad approvazione.

5.5.4 Dependency between safety approvals Dipendenza tra le approvazioni della sicurezza
As mentioned in 5.1 of this standard, the Safety Come menzionato nel punto 5.1 della presente
Case for a system may depend on the Safety Norma, l’Istruttoria per la Sicurezza per un siste-
Cases of other sub-systems or equipment. In ma può dipendere dalle Istruttorie per la Sicurez-
such circumstances, safety approval of the main za di altri sottosistemi o apparecchiature. In tali
system is not possible without previous Safety casi, l’approvazione della sicurezza del sistema
approval of the related sub-systems/equipment. principale non è possibile senza la precedente
approvazione della sicurezza dei sottosistemi/ap-
parecchiature correlate.
If Safety approval has been obtained for a ge- Se è stata ottenuta l’approvazione della sicurezza
neric product, or for a generic application, a per un prodotto generico o per un’applicazione
reference may be made to this in the applica- generica, si può fare riferimento ad essa per l’ap-
tion for Safety approval of a specific applica- provazione della sicurezza per un’applicazione
tion; it is not necessary to repeat the generic ap- specifica; non è necessario ripetere il processo di
proval process for each application. This approvazione generico per ogni applicazione.
dependency between Safety Approvals is illus- Questa dipendenza tra le approvazioni della sicu-
trated in Figure 9. rezza è illustrata nella Fig. 9.
A safety case may be based on demonstration Un’Istruttoria per la Sicurezza può essere basata sul-
that the proposed specific application is techni- la dimostrazione che l’applicazione specifica propo-
cally equivalent to an existing application with sta è tecnicamente equivalente ad un applicazione
specific safety approval. A new safety approval esistente con approvazione specifica della sicurezza.
for this specific application is necessary. Una nuova approvazione della sicurezza per questa
applicazione specifica è necessaria.
It is essential to ensure in such examples of de- È fondamentale accertarsi per questi casi di dipen-
pendency that the Safety-Related Application denza che le condizioni di applicazione correlate
Conditions stated in the Technical Safety Report con la sicurezza, stabilite nella Relazione sulla Sicu-
of each Safety Case are fulfilled in the high- rezza Tecnica di ogni Istruttoria per la Sicurezza sia-
er-level Safety Case, or else are carried forward no state rispettate nell’Istruttoria per la Sicurezza di
into the Safety-Related Application Conditions livello superiore o altrimenti siano state riportate

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 34 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
of the higher-level Safety Case. nelle condizioni di applicazione correlate con la si-
curezza dell’Istruttoria per la Sicurezza di livello su-
periore.

Fig. 9 Examples of dependencies between Safety Cases Esempi di dipendenze tra le Istruttorie per la Sicu-
/Safety Approval rezza /Approvazione della sicurezza

APPLICAZIONI
SISTEMA A SISTEMA B
SPECIFICHE
SYSTEM A SYSTEM B
SPECIFIC
APPLICATIONS
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

SOTTO-SISTEMA 1 SOTTO-SISTEMA 2 SOTTO-SISTEMA 3


SUB-SYSTEM 1 SUB-SYSTEM 2 SUB-SYSTEM 3
APPLICAZIONI
GENERICHE
GENERIC
APPLICATIONS

SOTTO-SISTEMA 4
SUB-SYSTEM 4

APPARECCHIA- APPARECCHIA- PRODOTTI


APPARECCHIA-
TURA TURA GENERICI
TURA
EQUIPMENT GENERIC
EQUIPMENT EQUIPMENT
PRODUCTS
(a) (b) (c)

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 35 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
normative
A normativo SAFETY INTEGRITY LEVELS LIVELLI DI INTEGRITÀ DELLA SICUREZZA

A.1 Introduction Introduzione


This annex gives details for the derivation, allo- Il presente allegato fornisce i dettagli per dedurre,
cation and implementation of safety require- attribuire e mettere in atto i requisiti di sicurezza e
ments and safety integrity and the use of Safety di integrità della sicurezza e l’uso dei Livelli di In-
Integrity Levels in safety-related systems for rail- tegrità della Sicurezza per i sistemi per Applica-
way application. zioni ferroviarie correlati con la sicurezza.
The tolerable hazard rates (THR) in the form of I tassi tollerabili di accadimento per le situazioni
quantified safety targets for each particular rail- di pericolo (THR), nella forma di obiettivi di sicu-
way application are the responsibility of the rel- rezza quantificati per ogni particolare applicazio-
evant railway authority, and are not defined by ne ferroviaria, sono responsabilità dell’Autorità
this standard. Ferroviaria competente e non vengono definiti in
questa norma.
The safety management process is defined in Il processo di gestione della sicurezza viene defi-
EN 50126. nito nella EN 50126.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

A.2 Safety requirements Requisiti di sicurezza


The system requirements specification (or La specifica dei requisiti del sistema (o sottosiste-
sub-system/equipment as appropriate) may be ma o apparecchiatura a seconda dei casi) può es-
considered in two parts (see Figure A.1): sere considerata in due parti (vedi Fig. A.1):
 requirements which are not related to safety  i requisiti non correlati con la sicurezza (com-
(including operational functional require- presi i requisiti funzionali operativi);
ments);
 requirements which are related to safety.  i requisiti correlati con la Sicurezza.

Requirements which are related to safety are I Requisiti correlati con la sicurezza vengono ge-
usually called safety requirements. These may neralmente chiamati Requisiti di Sicurezza. Essi
be contained in a separate safety requirements possono essere contenuti in un documento a par-
specification. te chiamato Specifica dei Requisiti di Sicurezza.
Safety requirements may be considered in two I Requisiti di Sicurezza possono essere considerati
parts: in due parti:
 safety functional requirements;  i requisiti funzionali di Sicurezza;
 safety integrity requirements.  i requisiti di integrità della Sicurezza.

Safety functional requirements are the actual safe- I requisiti funzionali di sicurezza riguardano le re-
ty-related functions which the system, sub-system ali funzioni correlate con la sicurezza che il siste-
or equipment is required to carry out. ma, sottosistema o apparecchiatura deve svolgere.
Safety integrity requirements define the level of I requisiti di integrità della sicurezza definiscono il
safety integrity required for each safety-related Livello di Integrità della Sicurezza richiesto per
function. ogni funzione correlata con la Sicurezza.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 36 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.1 Safety requirements and safety integrity Requisiti di sicurezza e integrità della sicurezza

SPECIFICA DEI REQUISITI


DEL SISTEMA
SYSTEM REQUIREMENTS
SPECIFICATION

REQUISITI NON REQUISITI


CONNESSI ALLA SICUREZZA DI SICUREZZA
NON-SAFETY SAFETY
REQUIREMENTS REQUIREMENTS

SPECIFICA DEI REQUISITI


DI SICUREZZA
SAFETY REQUIREMENTS
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

SPECIFICATION

REQUISITI DI INTEGRITÀ REQUISITI FUNZIONALI


DELLA SICUREZZA DI SICUREZZA
SAFETY INTEGRITY
SAFETY
REQUIREMENTS
FUNCTIONAL
REQUIREMENTS

INTEGRITÀ RISPETTO AI INTEGRITÀ RISPETTO AI


MALFUNZIONAMENTI MALFUNZIONAMENTI
SISTEMATICI ALEATORI
SYSTEMATIC FAILURE RANDOM FAILURE
INTEGRITY INTEGRITY

A.3 Safety integrity Integrità della sicurezza


Safety integrity relates to the ability of a safe- L’integrità della sicurezza caratterizza l’attitudine
ty-related system to achieve its required safety di un sistema correlato con la sicurezza a svolgere
functions. The higher the safety integrity, the le sue richieste funzioni di sicurezza. Più è alta
lower the likelihood that it will fail to carry out l’integrità della sicurezza, e meno si deve temere
the required safety functions. che il sistema non svolga le sue funzioni di sicu-
rezza richieste.
Safety integrity comprises two parts (see Fig- L’integrità della sicurezza comprende due parti
ure A.1): (vedi Fig. A.1):
 systematic failure integrity;  L’integrità dei malfunzionamenti sistematici
 random failure integrity.  L’integrità dei malfunzionamenti casuali.
It is necessary to satisfy both the systematic and Se deve essere raggiunta una adeguata integrità
the random failure integrity requirements if ade- della sicurezza, è necessario rispettare i requisiti
quate safety integrity is to be achieved. di integrità sia dei malfunzionamenti sistematici
che dei malfunzionamenti casuali
Note/Nota Failures caused by environmental conditions (e.g.: EMC, Nei malfunzionamenti sistematici o casuali, dovrebbero essere in-
temperature, vibration, etc.) should be included within sys- clusi a secondo dei casi, i malfunzionamenti causati dalle condi-
tematic and random failure integrity as appropriate. zioni ambientali (ad esempio EMC, temperatura, vibrazioni ecc.)

Systematic failure integrity is the non-quantifiable L’integrità per i malfunzionamenti sistematici rap-
part of the safety integrity and relates to hazard- presenta la parte non quantificabile dell’integrità
ous systematic faults (hardware or software). Sys- della sicurezza e corrisponde ai guasti sistematici

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 37 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tematic faults are caused by human errors in the pericolosi (hardware e software). I guasti sistema-
various stages of the system/sub-system/equip- tici sono dovuti a errori umani durante le varie
ment life-cycle. fasi del ciclo di vita del sistema/sottosistema/ap-
parecchiatura.
EXAMPLE  specification errors; ESEMPIO  errori di specifica;
 design errors;  errori di progettazione;
 manufacturing errors;  errori di fabbricazione;
 installation errors;  errori d’installazione;
 operation errors;  errori d’esercizio;
 maintenance errors;  errori di manutenzione;
 modification errors.  errori di modifiche.

Systematic failure integrity is achieved by means L’integrità della sicurezza per i malfunzionamenti
of the quality management and safety manage- sistematici si ottiene mediante le condizioni di ge-
ment conditions specified in 5.2 and 5.3 of this stione della qualità e della sicurezza specificate ai
standard. punti 5.2 e 5.3 della presente Norma.
Technical defences against systematic faults are Le protezioni tecniche da guasti sistematici sono
included in the technical safety conditions spec- incluse nelle condizioni di sicurezza tecnica spe-
ified in 5.4 of this standard. cificate al 5.4 della presente Norma.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Because it is not possible to assess systematic Poichè non è possibile valutare l’integrità per i
failure integrity by quantitative methods, Safety malfunzionamenti sistematici con dei metodi
Integrity Levels are used to group methods, quantitativi, i Livelli di Integrità della Sicurezza
tools and techniques which, when used effec- vengono utilizzati per raggruppare diversi metodi,
tively, are considered to provide an appropriate strumenti e tecniche che, se usate efficacemente,
level of confidence in the realisation of a system consentono di ottenere un livello appropriato di
to a stated integrity level (see Annex E). confidenza nella realizzazione di un sistema con
un definito livello di integrità (vedi l’Allegato E).
Random failure integrity is that part of the safety L’integrità per i malfunzionamenti casuali è la par-
integrity which relates to hazardous random te dell’integrità della sicurezza relativa ai malfun-
faults, in particular random hardware faults, zionamenti casuali pericolosi, in particolare i mal-
which are the result of the finite reliability of funzionamenti hardware casuali che derivano
hardware components. dall’affidabilità limitata dei componenti hardware.
The achievement of random failure integrity is L’ottenimento dell’integrità per i malfunzionamen-
included within the technical safety conditions ti casuali è incluso nelle condizioni della sicurez-
specified in 5.4 of this standard. za tecnica specificate al 5.4 di questa norma.
A quantified assessment of random failure in- Una valutazione quantificata dell’integrità per i
tegrity shall be carried out, by means of proba- malfunzionamenti casuali deve essere fatta con
bilistic calculations. These are based on known l’aiuto di calcoli probabilistici. Questi si basano su
data for hardware component failure rates and dati noti per i tassi di malfunzionamento dei com-
failure modes, and disclosure times of random ponenti hardware ed i modi di malfunzionamen-
hardware failures. In the case of components to, ed il tempo di riconoscimento dei malfunzio-
with inherent physical properties (see Annex C) namenti casuali. In caso di componenti con
a hazardous failure rate of zero is generally as- proprietà fisiche intrinseche (vedi l’Allegato C), si
sumed, although a residual risk of hazardous suppone generalmente che il tasso di malfunzio-
failure may exist and should be defended namento pericoloso sia uguale a zero, anche se
against as specified in 5.4 and B.3.6 of this un rischio residuo di malfunzionamento pericolo-
standard. so può esistere e dovrebbe essere contrastato
come specificato al 5.4 e al B.3.6 di questa norma.
The allocation of safety integrity requirements L’attribuzione dei requisiti di integrità della sicu-
and of safety integrity levels are described in rezza ed i Livelli di Integrità della Sicurezza sono
A.4 and A.5 respectively. descritti rispettivamente in A4 e A5.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 38 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
A.4 Allocation of safety integrity requirements Attribuzione dei requisiti di integrità della
sicurezza
A methodology to determine safety integrity re- Deve essere sistematicamente applicata una meto-
quirements for railway signalling equipment, dologia per stabilire i requisiti di integrità della si-
taking into account both the operational envi- curezza delle apparecchiature di segnalamento
ronment and the architectural design of the sig- ferroviario, tenendo conto dell’ambiente operati-
nalling system, shall be systematically applied. vo e del progetto architetturale del sistema di se-
gnalamento.
At the heart of this approach is a well defined in- Al centro di quest’approccio c’è un’interfaccia ben
terface between the operational environment and definita tra l’ambiente operativo ed il sistema di
the signalling system. From the safety point of segnalamento. Dal punto di vista della Sicurezza,
view this interface is defined by a list of hazards quest’interfaccia consiste in una lista di situazioni
and associated tolerable hazard rates within the pericolose con associati tassi tollerabili di situazio-
system. It should be noted that the purpose of this ni pericolose all’interno del sistema. Da notare
approach is not to limit co-operation between che lo scopo di questo approccio non è di limita-
suppliers and railways authorities but to clarify re- re la cooperazione tra i fornitori e Autorità Ferro-
sponsibilities and interfaces. viaria, ma di chiarire responsabilità ed interfacce.
From this interface the analysis proceeds as fol- A partire da quest’interfaccia, l’analisi procede
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

lows: come segue:


 bottom-up analysis leads to the identifica-  analisi ascendente condotta per l’identificazio-
tion of the possible consequences of the ne delle possibili conseguenze delle situazio-
hazards and the related risks; and ni pericolose e dei rischi collegati; e
 top-down analysis leads to the identification  analisi discendente condotta per l’identifica-
of the causes of the hazards. zione delle cause delle situazioni pericolose.

The global process consists of risk analysis and Il processo globale consiste in un’analisi dei rischi
hazard control, see Figure A.2. The risk analysis e nel controllo delle situazioni pericolose. (vedi
produces tolerable hazard rates which are the Fig. A.2). L’analisi dei rischi consente di definire i
input to the hazard control. tassi tollerabili di situazioni pericolose, che sono i
dati di ingresso per il controllo delle situazioni
pericolose.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 39 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.2 Global process overview

Risk Analysis
Railways Authority’s Responsibility
System Definition
Hazard Identification
Consequence Analysis
Risk Estimation
THR Allocation

H THR
H THR
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

H THR

Potential new hazards

Causal Analysis
Common Cause Analysis
SIL Allocation

Hazard Control Supplier’s Responsibility

It is important to note that the THR is a target


measure with respect to both systematic and
random failure integrity. It is accepted that only
with respect to random failure integrity it will
be possible to quantify. Qualitative measures
and judgements will be necessary to justify that
the systematic integrity requirements are met.
This is mainly covered by the SIL (and the
measures derived from the SIL).

The safety authority shall approve both, the risk


analysis and the hazard control.

Note/Nota In some cases, these steps are not completely independent.


The hazard control can lead to system changes which offer
more safety performance. The overlapping arrows in Fig-
ure A.2 show this. Hence, in these cases the global process is
iterative.

A.4.1 Risk analysis


Figure A.3 gives an example of a risk analysis
process. The following subclauses explain the
phase in more detail.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 40 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Vista d’insieme del processo globale

Analisi dei rischi


Responsabilità dell’operatore ferroviario

TÀ PER LA SICUREZZA
Definizione del sistema
Identificazione delle
situazioni pericolose
Analisi delle conseguenze
Valutazione dei rischi
Attribuzione dei THR

H THR
H THR
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

H THR
I

Nuove Situazioni pericolose


R

(H) potenziali
TO

Analisi delle cause


U

Analisi delle cause comuni


A

Attribuzione dei SIL

Gestione delle Situazioni pericolose (H) Responsabilità del fornitore

È importante rilevare che il THR è la misura


dell’obiettivo che tiene conto dell’integrità sia per
i malfunzionamenti casuali che per i malfunziona-
menti sistematici. È accettato che unicamente l’in-
tegrità per i malfunzionamenti casuali è quantifi-
cabile. Provvedimenti e valutazioni qualitative
saranno necessarie per giustificare che requisiti di
integrità per i malfunzionamenti sistematici sono
soddisfatti. Questo è essenzialmente coperto dal
SIL (e dai provvedimenti da essi derivati).
L’Autorità di Sicurezza deve approvare entrambi,
l’analisi dei rischi e il controllo delle situazioni pe-
ricolose.
In alcuni casi, queste due fasi non sono completamente indi-
pendenti. Il controllo delle situazioni pericolose può portare a
modifiche del sistema che migliorano le sue prestazioni di Si-
curezza. La sovrapposizione delle frecce in Fig. A.2 mostra
questo. In tali casi il processo globale è iterativo.

Analisi dei rischi


La Fig. A.3 dà un esempio del processo di analisi
dei rischi. I paragrafi seguenti ne descrivono più
in dettaglio le fasi.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 41 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.3 Example risk analysis process

IDENTIFY
IDENTIFY Accidents
Hazards
System Hazard IDENTIFY Forecast
ANALYSE System Definition Log Near misses Accidents
ESTIMATE
Hazards Rates
IDENTIFY
Safe States

System Definition Hazard Identification Consequence Analysis

Safety
Requirement Next Step
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Specification
Forecast Individual COMPARE
DETERMINE
Accidents Risk with Target
Individual Risk Tolerable Supplier’s
Individual Risk
Hazard Rates Responsibility

Risk Estimation THR Allocation Hazard Control

Legende: What you do What you get

A.4.1.1 System definition and hazard identification

It is the responsibility of the railway authority


 to define the system (independent of the
technical realisation),
 to identify the hazards relevant to the sys-
tem.

Hazard identification involves systematic analysis


of a product, process, system or an undertaking to
determine those adverse conditions (hazards)
which may arise throughout the life-cycle. Such
adverse conditions may have the potential for hu-
man injury or damage to the environment.

Systematic identification of hazards generally in-


volves two phases:
 an empirical phase (exploiting past experi-
ence, e. g. checklists);
 a creative phase (proactive forecasting, e. g.
brain-storming, structured what-if studies).

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 42 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio di un processo di analisi dei rischi

IDENTIFICARE
IDENTIFICARE gli incidenti
le H
ANALIZZARE Definizione Registro Elenco
IDENTIFICARE
il sistema del sistema delle H degli incidenti
VALUTARE i mancati incidenti
potenziali
i tassi di accadi-
IDENTIFICARE
mento delle H
gli stati di
sicurezza

Definizione del sistema Identificazione delle Situazioni peri-


colose (H) Analisi delle conseguenze

Specifica
Passi successivi
delle esigenza di
sicurezza
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Elenco DETERMINARE CONFRONTARE


degli incidenti Rischio indi-
il rischio con rischio
potenziali viduale individuale Responsabiltà
individuale THR
prefissato del fornitore

Gestione delle
Valutazione dei rischi Attribuzione dei THR Situazioni pericolose

Legenda: attività risultato

Definizione del sistema e identificazione delle situazioni


pericolose
L’Autorità Ferroviaria ha la responsabilità di:
 definire il sistema (indipendentemente dalla
realizzazione tecnica),
 identificare le situazioni pericolose relative al
sistema.

L’identificazione delle situazioni pericolose com-


porta l’analisi sistematica di un prodotto, proces-
so, sistema oppure una attività per determinare le
condizioni sfavorevoli (situazioni di pericolo) che
potrebbero verificarsi nel corso del ciclo di vita.
Tali condizioni sfavorevoli possono potenzial-
mente provocare il ferimento delle persone o
danni all’ambiente.
L’identificazione sistematica delle situazioni peri-
colose implica generalmente due fasi:
 una fase empirica (sfruttando l’ esperienza
passata; ad esempio liste di controllo);
 una fase creativa (di previsione proattiva, ad
esempio: brain-storming (idee raccolte con in-
contri di gruppi di esperti), studi strutturati
what-if (cosa accade se).

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 43 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The empirical and creative phases of Hazard Le fasi empiriche e creative di identificazione del-
Identification complement one another, increas- le situazioni pericolose si completano l’una con
ing confidence that the potential hazard space l’altra, aumentando l’attendibilità che l’area di po-
has been covered and that all significant haz- tenziale situazione pericolosa è stata coperta e
ards have been identified. che tutte le situazioni pericolose significative sono
state ben identificate.
Note/Nota Methodologies which generate an unrealistically large I metodi che producono un numero irrealisticamente ampio di
number of mostly trivial or imprecisely defined hazards are situazione pericolose, per la maggior parte banali oppure non
wasteful of resource and can lead to a misleading or unpro- precisamente definite sono dispendiosi di risorse e possono por-
ductive risk assessment. With the exception of large under- tare ad una fuorviante o improduttiva valutazione dei rischi.
takings, involving many personnel, activities and equip- All’infuori di grandi imprese, che comportano molto personale,
ment, a large list of hazards extending into the hundreds is attività e apparecchiature, un elenco esteso che comprende
unreasonable and indicative of a poorly designed or con- centinaia di situazioni pericolose è poco sensato e indica uno
ducted study. studio mal concepito o male eseguito.

The hazards depend on the system definition Le situazioni pericolose dipendono dalla definizio-
and in particular the system boundary, which ne del sistema e in particolare dai confini del siste-
allows a hierarchical structuring of hazards with ma, che consente una strutturazione gerarchica
respect to systems and sub-systems. It also delle situazioni pericolose riguardo a sistemi e sot-
means that hazard identification and causal tosistemi. Ciò vuol dire anche che l’identificazione
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

analysis shall be performed repeatedly at sever- delle situazioni pericolose e l’analisi delle cause
al levels of detail during the system develop- devono essere effettuate ripetutamente a più livelli
ment. di dettaglio durante lo sviluppo del sistema.
Figure A.4 shows that the cause of a hazard at La Fig. A.4 mostra che la causa di una situazione
system level may be considered as a hazard at pericolosa a livello di sistema può essere conside-
sub-system level (with respect to the sub-sys- rata come una situazione pericolosa a livello di
tem boundary). Thus this definition enables a sottosistema (con riferimento ai confini del sotto-
structured hierarchical approach to hazard anal- sistema). Questa definizione consente quindi un
ysis and hazard tracking. approccio gerarchico strutturato per l’analisi e per
la tracciabilità delle situazioni pericolose.

Fig. A.4 Definition of hazards with respect to the system Definizione delle situazioni pericolose (H) con riferi-
boundary mento ai confini del sistema

Causa (livello di sistema => Pericolo (livello sistema)


pericolo (livello sottosistema) Hazard (system level) Incidente k
Cause (system level) => hazard Accident k
(subsystem Level)

Incidente l
Accident l
Causa
Cause
Confine sistema
Confine del sottosistema System boundary
Subsystem boundary

Causa Conseguenze
Cause Consequences

To further ensure that risk assessment effort is Per accertarsi meglio che lo sforzo di valutazione
focused upon the most significant hazards, the del rischio si concentri sulle situazioni pericolose
hazards should, once identified, be ordered in più significative, le situazioni pericolose, una vol-
terms of their perceived risk level. ta identificate, dovrebbero essere classificate in
termini di loro livello di rischio percepito.
All identified hazards and other pertinent infor- Tutte le situazioni pericolose identificate e ogni
mation shall be recorded in a Hazard Log. altra informazione pertinente deve essere registra-
ta nel Registro delle situazioni pericolose.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 44 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
A.4.1.2 Consequences analysis, risk estimation and allocation Analisi delle conseguenze, stima dei rischi, attribuzione
of tolerable hazards rates del tasso di accadimento delle situazioni pericolose
tollerabile
It is the responsibility of the railway authority L’Autorità Ferroviaria ha la responsabilità di:
 to analyse the consequences, i.e. the losses,  analizzare le conseguenze, cioè le perdite,
 to define the risk tolerability criteria,  definire i criteri di tollerabilità del rischio,
 to derive the tolerable hazard rates, and  dedurre i tassi di accadimento delle situazioni
pericolose tollerabili, e
 to ensure that the resulting risk is tolerable  accertarsi che il rischio che ne risulta è tollera-
(with respect to the appropriate risk tolera- bile (riguardo agli appropriati criteri di tollera-
bility criteria). bilità del rischio).

The only requirement is that the resulting toler- L’unico requisito è che i tassi tollerabili di accadi-
able hazard rates shall be derived taking into mento risultanti delle situazioni pericolose devono
account the risk tolerability criteria. Risk tolera- essere dedotti tenendo conto dei criteri di tollerabili-
bility criteria are not defined by this standard, tà del rischio. I criteri di tollerabilità del rischio non
but depend on national or European legislative sono definiti da questa norma, ma dipendono dai
requirements. requisiti legislativi nazionali ed europei.
The analysis methods shall either: I metodi di analisi dovranno,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

 estimate the resulting (individual) risk ex-  stimare esplicitamente il rischio (individuale)
plicitly, or ottenuto, oppure
 derive the tolerable hazard rates from a  dedurre i tassi tollerabili di accadimento delle
comparison with the performance of exist- situazioni pericolose paragonandoli con le
ing systems or acknowledged rules of tech- prestazioni di sistemi esistenti o con regole
nology, either by statistical or analytical tecnologiche riconosciute con metodi statistici
methods, or o analitici, oppure
 derive the tolerable hazard rates from alter-  dedurre i tassi tollerabili di accadimento delle
native qualitative approaches, if as a result situazioni pericolose da approcci qualitativi
they define a list of hazards and corre- alternativi, se come risultato essi definiscono
sponding THR. una lista di situazioni pericolose e i corrispon-
denti THR.

It is important to note that this approach gives È importante rilevare che quest’approccio dà alle
the railway authorities the freedom to define Autorità Ferroviaria la libertà di definire le situazio-
the hazards and corresponding THRs at any lev- ni pericolose ed i THR corrispondenti ad ogni livel-
el, according to their particular needs. While lo, secondo le loro particolari esigenze. Mentre una
one railway authority may set very general, Autorità Ferroviaria può fissare obiettivi molto ge-
high-level targets, another may set very detailed nerali di alto livello, un’altra può fissare obiettivi
targets at the level of safety functions. molto dettagliati a livello di funzioni di sicurezza.

A.4.2 Hazard control Controllo delle situazioni pericolose


Hazard control covers the management of the Il controllo delle situazioni pericolose riguarda la
implementation of the required THRs and asso- gestione della realizzazione dei THR richiesti e
ciated safety functions. delle associate funzioni di sicurezza.
If no THRs are provided then either the supplier Se i THR non sono disponibili, o il fornitore dovrà
will provide these along with the system pro- fornirli insieme con la proposta del sistema all’Au-
posal to the Railway Authority or the Railway torità Ferroviaria, oppure l’Autorità Ferroviaria ed
Authority and the supplier will work together to il fornitore lavoreranno insieme per definire i re-
define the requirements. quisiti.
Hazard Control consists of performing Causal Il controllo delle situazioni pericolose consiste nel
Analysis followed by a number of activities realizzare un’analisi delle cause seguita da un cer-
which can be summarised as follows: to numero di attività che si possono riassumere
come segue:
 in the case of no defined THRs, define the  nel caso in cui i THR non sono definiti, biso-
safety assumptions and system functions re- gna definire le ipotesi di sicurezza e le funzio-
lated to the defined hazards; ni del sistema correlate con le situazioni peri-
colose definite;
 in the case of defined THRs, define the sys-  nel caso in cui i THR sono definiti, bisogna
tem architecture and allocate system func- definire l’architettura del sistema e allocare le
tions within the architecture (technical solu- funzioni del sistema dentro l’architettura (so-

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 45 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tion) to meet the safety requirements; luzione tecnica) per rispettare i requisiti di Si-
curezza;
 determine the safety integrity requirements  determinare i requisiti d’integrità della sicu-
for the sub-systems; rezza per i sottosistemi;
 complete the safety requirements specifica-  completare la specifica dei requisiti di sicurez-
tion; za;
 analyse the system/sub-system to meet the  analizzare il sistema/sottosistema per rispetta-
requirements; re i requisiti;
 identify potential new hazards arising out of  identificare le potenziali nuove situazioni pe-
the system/sub-system design through the ricolose che emergono dalla progettazione
design and verification processes, and either del sistema/sottosistema, durante i processi di
ensure the new potential hazards are covered progettazione e di verifica e o assicurare che
by the existing functionality or, if the new po- le nuove situazioni potenzialmente pericolose
tential hazards require extra functionality or siano coperte dalle funzionalità esistenti, op-
mitigation outside the system/sub-system, pure, se le nuove situazioni potenzialmente
transfer the potential hazards back to risk pericolose richiedono delle funzionalità o del-
analysis for further treatment; le mitigazioni supplementari esterne al siste-
ma/sottosistema, riportare le potenziali situa-
zioni pericolose all’analisi dei rischi per un
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

ulteriore trattamento complementare;


 to determine the reliability requirements for  determinare i requisiti di affidabilità per l’ap-
the equipment. parecchiatura.
The hazard control process is depicted in Fig- Il processo di controllo delle situazioni pericolose
ure A.5. è rappresentato nella Fig. A.5.
Note/Nota A well-structured Hazard Control contains relevant parts of Un controllo delle situazioni pericolose ben strutturato contiene
a Technical Safety Report implicitly. In this case, it is suffi- implicitamente parti rilevanti di una Relazione sulla Sicurezza
cient to reference in the Technical Safety Report to the Haz- Tecnica. In questo caso è sufficiente nella Relazione sulla Sicu-
ard Control. rezza Tecnica. fare riferimento al controllo delle situazioni peri-
colose.

A.4.2.1 Causal analysis Analisi delle cause


Causal analysis constitutes two key stages: L’analisi delle cause è composta da due tappe
fondamentali:
In a first phase of the causal analysis the tolera- In una prima fase dell’analisi delle cause il tasso tol-
ble hazard rate for each hazard is apportioned lerabile di accadimento di situazioni pericolose è
to a functional level (system functions). The tol- stato suddiviso per ogni situazione pericolosa ad un
erable hazard rate for a function is then translat- livello funzionale (funzioni del sistema). Il tasso di
ed to a SIL using the SIL table. Safety Integrity accadimento accettabile di una situazione pericolo-
Levels (SIL) are defined at this functional level sa per una funzione viene quindi tradotto in un SIL
for the sub-systems implementing the function- usando la tabella dei SIL. I Livelli di Integrità della
ality. Sicurezza (SIL) sono definiti a questo livello funzio-
nale per i sottosistemi che realizzano la funzionalità.
If the railway authority has already defined the Se, per quel che riguarda le funzioni di Sicurezza,
hazards and THRs with respect to safety func- l’Autorità Ferroviaria ha già definito le situazioni
tions, then the first phase of causal analysis is pericolose ed i loro THR, allora la prima fase di
void and SILs can be immediately allocated analisi delle cause è vuota ed i SIL basati sui richie-
based on the required THRs. sti THR possono essere immediatamente attribuiti.
A sub-system, i. e. the combination of equip- Un sottosistema, cioè la combinazione di più ap-
ment, may implement a number of safety-relat- parecchiature, può realizzare più funzioni di Sicu-
ed functions, each of which could require dif- rezza, ognuna delle quali potrebbe necessitare di
ferent Safety Integrity Levels. Where this is the un diverso Livello di Integrità della Sicurezza. Se è
case, the sub-system shall satisfy all the re- questo il caso, il sotto-sistema deve soddisfare tut-
quired SIL levels. This can be obtained if each ti i livelli di SIL richiesti. Questo può essere otte-
function meets the highest SIL or if demonstra- nuto se ogni funzione rispetta il livello più alto di
tion of independence can be provided. In both SIL o se può essere fornita dimostrazione dell’in-
cases a common cause failure analysis shall be dipendenza. In entrambi i casi, deve essere effet-
performed. tuata un’analisi dei malfunzionamenti di modo co-
mune.
In a second phase of the causal analysis the In una seconda fase dell’analisi delle cause, i tassi di
hazard rates for sub-systems are further appor- accadimento delle situazioni pericolose per sottosi-

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 46 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
tioned leading to failure rates for the equip- stemi vengono ulteriormente ripartiti portando al
ment, but on this physical or implementation tasso di malfunzionamento per le apparecchiature,
level the SIL remains unchanged. Consequently ma a questo livello fisico o realizzativo il SIL rimane
also the software SIL defined by EN 50128 immutato. Di conseguenza, anche il SIL del software
would be the same as the sub-system SIL ex- definito dalla EN 50128 dovrebbe essere identico a
cept in the case of the exceptions described in quello del SIL di sottosistema, salvo nel caso delle
EN 50128. eccezioni descritte nella EN 50128.
The apportionment process may be performed Il processo di ripartizione può essere effettuato
by any method which allows a suitable repre- secondo un qualsiasi metodo che consente una
sentation of the combination logic, e. g. reliabil- rappresentazione appropriata della logica combi-
ity block diagrams, fault trees, binary decision natoria, ad esempio il metodo del diagramma di
diagrams, Markov models etc. In any case par- affidabilità, alberi dei guasti, tavole di verità, mo-
ticular care shall be taken when independence delli di Markov, ecc. In tutti i casi, si deve stare
of items is required. While in the first phase of particolarmente attenti quando viene richiesta
the causal analysis functional independence is l’indipendenza degli elementi. Mentre nella prima
required (i. e. the failure of functions shall be fase dell’analisi delle cause è richiesta l’indipen-
independent with respect to systematic and ran- denza funzionale (cioè i malfunzionamenti delle
dom faults), physical independence is sufficient funzioni devono essere indipendenti rispetto a
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

in the second phase (i. e. the failure of sub-sys- guasti sistematici o casuali), nella seconda fase è
tems shall be independent with respect to ran- sufficiente l’Indipendenza fisica (cioè i malfunzio-
dom faults). Assumptions made in the causal namenti dei sottosistemi devono essere indipen-
analysis shall be checked and may lead to safe- denti rispetto a guasti casuali). Le ipotesi fatte
ty-related application rules for the implementa- nell’analisi delle cause devono essere verificate e
tion. possono condurre a regole di applicazione corre-
late con la sicurezza per la realizzazione.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 47 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.5 Example hazard control process

From Risk
Analysis

List of
hazards
and THR

Undetected failure Undetetced failure Undetected failure


of power supply of road-side of LC controller
warnings
Late or no switch-in Undetectedfailure Undetetcedfailure Undetectedfailure 1E-7 1E-7 1E-7
of power supply of road-side of LC controler LCsetbackto
normal position

....
warnings

Check 1E-7 1E-7 1E-7 1E-7

System
independence
architecture
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Undetected failure Undetected

assumptions Undetectedfailure Undetected


of light signals
7E-6
failure of barriers
7E-6
Undetectedfailure Undetected
ofswitch-in failute of distant of light signals failure of barriers
function signal
1E-7 7E-6 7E-6

....
Determine THR SIL and THR
SIL table and SIL for subsystems

Apportion SIL and FR


hazard rates to for
elements elements

A.4.2.2 Common cause failure (CCF) analysis


Particular care has to be practised when inde-
pendence claims (logical AND combinations)
are used. It has to be ensured that sufficient

 physical,
 functional,
 process

independence exists between sub-systems or sys-


tem functions (see B.3.2 and B.3.6). If independ-
ence cannot be demonstrated completely then the
common cause failures have to be modelled at an
appropriate level of detail. Additionally it shall be
demonstrated that the safety-relevant application
rules immediately implied by the use of AND
combinations are fulfilled and checked.

A.4.2.2.1 Physical independence


Physical independence is an absolute necessity
in order to make credible fault tree calculations
with AND gate for random effects. Thus in any
case a common cause failure (CCF) analysis
would be necessary to assume independence.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 48 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Esempio di processo di controllo di una situazione
pericolosa (H)

Risultati
delle analisi
del rischio

Elenco delle
H e THR

R OGNI PERICO
PE

LO
Undetected failure Undetetced failure Undetected failure
of power supply of road-side of LC controller
warnings
Late or no switch-in Undetectedfailure Undetetcedfailure Undetectedfailure 1E-7 1E-7 1E-7
LCsetbackto

Controllo delle
of power supply of road-side of LC controler
normal position
Architettura
....
warnings
1E-7 1E-7 1E-7 1E-7

ipotesi del sistema


Undetected failure Undetected

d’indipendenza of light signals


7E-6
failure of barriers
7E-6
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Undetectedfailure Undetected Undetectedfailure Undetected


ofswitch-in failute of distant of light signals failure of barriers
function signal
1E-7 7E-6 7E-6

PER A
OGN EM
I S OTTOSIST
....
Tabella dei Determinazione SIL e THR per
SIL dei THR e dei i sottosistemi
SIL

SIL e FR (tasso
Ripartizione dei
di malfunziona-
tassi di accadimen-
mento) degli
to delle H sugli
elementi
elementi

Analisi dei Malfunzionamenti di Modo Comune


Deve essere fatta particole attenzione quando
sono utilizzate dichiarazioni di indipendenza
(combinazioni di AND logico). Deve essere assi-
curato che esista una sufficiente indipendenza
 fisica,
 funzionale,
 di processo

tra sottosistemi o funzioni del sistema (vedi B.3.2


e B.3.6). Se l’indipendenza non può essere dimo-
strata completamente allora i malfunzionamenti di
modo comune devono essere modellizzati ad un
livello di dettaglio appropriato. Inoltre deve esse-
re dimostrato che le appropriate regole di sicurez-
za direttamente legate all’uso di combinazioni di
AND logico sono rispettate e verificate.

Indipendenza fisica
L’indipendenza fisica è una necessità assoluta per
rendere credibili i calcoli sugli alberi dei guasti con
porte logiche AND per gli effetti casuali. Quindi per
assumere l’indipendenza sarebbe necessaria in tutti i
casi un’analisi del malfunzionamento di modo co-
mune (CCF – Common Cause Failure).

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 49 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Some (informative) chapters, under which con- Alcuni capitoli (informativi) dove possono essere
ditions for physical independence may be as- assunte le condizioni per l’indipendenza fisica
sumed, can be found in D.2 and D.3. A possono essere trovati in D2 e in D3. Un paragra-
sub-chapter of the safety case also deals explic- fo dell’Istruttoria per la Sicurezza tratta esplicita-
itly with independence of items. mente dell’indipendenza tra elementi.
Note/Nota Taking a brief look at two repairable items, which are usual- Se si considerano due oggetti riparabili, definiti generalmente
ly defined by their failure and repair rates, and a closer look dal loro tasso di malfunzionamento e dal loro tasso di ripara-
at AND combinations a different interpretation of the repair zione, e se si osservano più da vicino le combinazioni di AND
rates (or equivalent repair times) is necessary. Usually after logico, è necessaria un’interpretazione diversa dei tassi di ri-
a fault within an item has appeared, at least two things have parazione (o dei tempi di riparazione corrispondenti). Di soli-
to happen in order to get the item working again: to, dopo che si è verificato un guasto ad un oggetto, devono
succedere almeno due cose prima che l’oggetto possa funzio-
nare di nuovo:
 the fault has to be detected and negated (this means a  il guasto deve essere rilevato e negato (ciò significa che
safe state has to be entered); deve essere stato introdotto uno stato sicuro);
 the item has to be repaired and restored.  l’oggetto deve essere riparato e ripristinato.
With repair and restore time we mean the logistic time for Per tempo di riparazione e di ripristino si intendono i tempi lo-
repair after detection, actual repair time (fault finding, re- gistici per la riparazione dopo il rilevamento, il tempo reale di
pair, exchange, check) and time to restore equipment into riparazione (localizzazione del guasto, riparazione, sostitu-
operation. While in a reliability context usually the detection zione, verifica) ed il tempo per rimettere l’apparecchiatura in
time is neglected, this time becomes important in the safety servizio. Mentre nel contesto dell’affidabilità il tempo di rileva-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

context. Safety-critical applications may not rely on self-tests mento viene generalmente trascurato, questo tempo diventa
or similar measures, but the detection and negation has to importante nel contesto della sicurezza. Le applicazioni criti-
be performed independently of the item. Sufficient failure che di sicurezza non possono basarsi su autotests o metodolo-
detection and negation mechanisms should be demonstrat- gie simili, ma il rilevamento e la negazione devono essere rea-
ed in the safety case. lizzate indipendentemente dall’elemento. Nell’Istruttoria per la
Sicurezza dovrebbero essere dimostrati sufficienti meccanismi
di rilevamento e di negazione dei malfunzionamenti.
In a safety context generally the actual repair and restore Generalmente, in un contesto di Sicurezza, il tempo reale di ri-
time can be neglected, if other control measures are taken parazione e di ripristino possono essere trascurati se altre me-
during this period. In this case the repair rate from reliabili- todologie di controllo vengono prese durante quel periodo. In
ty analysis can be interpreted as the detection and negation tal caso, il tasso di riparazione dell’analisi di affidabilità può
time, here defined as safe down time (SDT) or equivalent essere interpretato come tempo per il rilevamento e per la nega-
safe down rate (SDR). zione, qui definito come tempo di riduzione della sicurezza
(SDT) o equivalente tasso di riduzione della sicurezza (SDR).

Fig. A.6 Interpretation of failure and repair times Interpretazione dei tempi di malfunzionamento e di
riparazione

Guasto Rilevamento Ripristino


Fault Detection Restore

Negazione
Negation

Modelling the composition of two independent items in an Modellizzando con una porta logica AND la composizione di due
AND-gate the following basic formula for the (asymptotic) oggetti indipendenti, nell’ipotesi che i tassi siano costanti del tem-
tolerable hazard and detection rates for highly available sys- po, può essere utilizzata la formula di base riportata qui di segui-
tems can be used, assuming that the rates are constant over to per i tassi (asintotici) di accadimento e di rilevamento di situa-
time: zioni di pericolo tollerabili per sistemi ad alta disponibilità:

FRA FRB
THRS ≈ × × ( SDRA + SDRB ) SDRS ≈ SDRA + SDRB (A.1)
SDRA SDRB

where the FR′s stand for potential hazardous Failure Rates. dove FR rappresenta il tasso di malfunzionamento pericoloso po-
tenziale.
If periodic testing times are used as detection times, then Se i tempi di prova periodici sono utilizzati come tempi di rileva-
(A.1) may be used with mean test times: mento, allora si può utilizzare (A.1):
T/2 + negation time = SDT = 1/SDR. T/2 + tempo di negazione = SDT = 1/SDR
come tempo medio di prova.
This means that in order to use AND combinations properly Questo significa che per impiegare correttamente combinazioni
each item shall have an independent failure detection and di AND logico, ogni oggetto deve essere fornito di un meccanismo
shut-down mechanism. If an item does not have such mech- indipendente di rilevamento dei malfunzionamenti e di arresto.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 50 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
anism, then according to B.3.3 of this standard the installed Se un oggetto non dispone di questo meccanismo, allora, come
lifetime of the item has to be taken into account. descritto al punto B.3.3 di questa norma, deve essere preso in con-
siderazione il tempo di vita dell’oggetto installato.
Another aspect, which has to be taken into account in the La disponibilità del sistema è un altro aspetto che deve essere preso
design, and in fact limits the free choice of parameters is the in considerazione per la progettazione e che limita di fatto la libe-
availability of the system. ra scelta dei parametri.
EXAMPLE Taking two identical items with a MTBF of 10000 ESEMPIO Se si considerano due apparecchiature identiche con
hours and a mean detection time of 1 hour (ignor- un MTBF di 10000 ore ed un tempo medio di rileva-
ing negation time), then the resulting failure rate mento di 1 ora (ignorando il tempo di negazione), al-
for the parallel system (AND combination in fail- lora il tasso di malfunzionamento che ne deriva per il
ure logic) is 2×10-8 per hour. f one item has a sistema formato dalle due apparecchiature in parallelo
mean detection time of 1000 hours (e. g. detection (combinazione AND logico dei malfunzionamenti)
by maintenance), then the result is only 10–5 per vale 2×10-8 per ora. Se una delle apparecchiature ha
hour, which is only a factor of 10 better than the un tempo medio di rilevamento di 1000 ore (es: il rile-
MTBF of a single item. If the mean detection time vamento da parte della manutenzione) allora il risulta-
for one item would be its lifetime, then the gain to vale soltanto 10–5 per ora, il che corrisponde ad un
would become even more marginal. miglioramento di appena un fattore 10 del MTBF di
una apparecchiatura semplice. Se il tempo medio di
rilevamento di un malfunzionamento di una apparec-
chiatura corrisponde al suo tempo di vita allora il gua-
dagno diventa ancora più marginale.
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

Physical independence is the lowest level of in- L’indipendenza fisica è il livello di indipendenza
dependence, typically at component level. If più basso, tipicamente al livello dei componenti.
physical independence is assured then random Se l’indipendenza fisica è garantita, allora i requi-
integrity requirements may be apportioned to siti di integrità casuali possono essere ripartiti al
the next lower level. livello più basso successivo.

A.4.2.2.2 Functional independence Indipendenza funzionale


Functional independence implies, that there are L’indipendenza funzionale implica che non ci sia-
neither systematic nor random faults, which cause no né guasti sistematici né casuali per i quali un
a set of functions to fail simultaneously. Thus on gruppo di funzioni fallisce simultaneamente.
this level again a CCF analysis would be necessary Quindi anche a questo livello sarebbe necessaria
in order to show that the functions are independ- l’analisi CCF (Malfunzionamento di modo comu-
ent. In this standard this is called independence ne) per dimostrare che le funzioni sono indipen-
with respect to functional influences. Random and denti. In questa norma questa viene chiamata in-
systematic integrity requirements may be appor- dipendenza riguardo alle influenze funzionali. I
tioned to the next lower level only if functional in- requisiti di integrità casuali e sistematici possono
dependence is assured. essere ripartiti al livello di scomposizione inferio-
re soltanto a condizione che l’indipendenza fun-
zionale sia garantita.
When applying fault tree analysis to system Quando si effettua l’analisi dell’albero dei guasti del-
functions, say A and B, which is the main case le funzioni, diciamo A e B, di un sistema, che è il
in the safety integrity requirements apportion- caso principale nel processo di ripartizione dei re-
ment process, it shall be taken into account that quisiti di integrità della sicurezza, si deve considera-
using AND gates creates immediately the fol- re che l’utilizzo della porta AND logico implica im-
lowing safety-relevant application rules: mediatamente le seguenti regole di sicurezza:
 the implementations of A and B shall be  le realizzazioni di A e di B devono essere fisi-
physically independent; camente indipendente
 the safe down times defined by detection  devono essere valutati ed ottenuti i tempi di
and negation times for each item shall be riduzione della sicurezza definiti dalla somma
estimated and achieved. dei tempi di rilevamento e di negazione per
ogni elemento.
Note/Nota In general, functions are not independent but can be further In genere, le funzioni non sono indipendenti, ma possono es-
subdivided in independent sub-functions and sub-functions sere scomposte in sottofunzioni indipendenti e in sottofunzio-
affected by CCF. Figure A.7 shows a generic treatment of ni affette da malfunzionamenti di modo comune (CCF). La
CCF by FTA. Fig. A.7 mostra un trattamento generico di CCF per mezzo
della FTA (analisi dell’albero dei malfunzionamenti).

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 51 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.7 Treatment of functional independence by FTA Trattamento dell’indipendenza funzionale tramite
analisi dell’albero dei malfunzionamenti

Pericolo
Hazard

Guasti che
conducono al
malfunziona- Guasti che con-
mento della ducono al mal-
funzione A CCF funzionamento Malfunziona-
Faults leading to della funzione B mento di causa
Function A Faults leading to comune
failure Function B failure Common cause
Malfunziona- Malfunziona- failure
meno della mento della
Funzione A Funzione B
Function A failure Function B failure
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

A.4.2.2.3 Process independence Indipendenza del processo


Products and systems generally emerge as a re- I prodotti ed i sistemi sono generalmente il frutto
sult of activities inherent in the early life-cycle di attività relative ai primi processi del ciclo di vi-
processes. These broadly comprise concept, re- ta. Essenzialmente essi comprendono le fasi di
quirements specification, system design, sys- concezione, di specifica dei requisiti, di progetta-
tem development, verification and validation zione del sistema, di sviluppo del sistema, di veri-
phases which have a significant influence on fica e validazione che hanno un’influenza signifi-
the properties of the end product. It is generally cativa sulle proprietà del prodotto finale. Si
agreed that higher degrees of criticality of a ammette generalmente, che più i gradi di criticità
product or system in its environment of applica- sono alti per un prodotto o un sistema nel suo
tion demand more robust and systematic life-cy- ambiente di applicazione, e più i processi del ci-
cle processes. In addition, since systematic er- clo di vita devono essere robusti e metodici. Inol-
rors inherently arise during these life-cycle tre, siccome la manifestazione di errori sistematici
processes, a degree of independence is often è inerente a questi processi del ciclo di vita, un
desirable. grado di indipendenza è spesso auspicabile.
In a manner similar to functional and physical In maniera simile ai principi di indipendenza fun-
counterparts, independence and diversity in hu- zionale e fisica, si considera che l’indipendenza e
man resource and life-cycle processes are la diversificazione del personale e dei processi
deemed to contribute to higher overall safety del ciclo di vita contribuiscono ad un’integrità
integrity for products and systems. Higher SIL complessiva della sicurezza più alta per i prodotti
requirements would therefore call for higher ed i sistemi. Requisiti di SIL più alti richiedono an-
degrees of process and human resource inde- che gradi di indipendenza più alti per il processo
pendence to ensure systematic errors are avoid- ed il personale per garantire che gli errori siste-
ed or minimised. matici siano evitati o minimizzati.
The development processes should fulfil the re- I processi di sviluppo dovrebbero soddisfare i SIL ri-
quired SIL and ensure that there is sufficient or- chiesti e garantire che ci sia una sufficiente indipen-
ganisational and personal independence be- denza dell’organizzazione e del personale tra i grup-
tween the development teams in order to pi di sviluppo, allo scopo di minimizzare gli errori
further minimise systematic errors. For guidance sistematici. Per le indicazioni relative alla emissione
according software issues see EN 50128. dei software riferirsi alla EN 50128.

A.4.3 Identification and treatment of new hazards arising Identificazione e trattamento delle nuove situazioni
from design pericolose che si manifestano con la progettazione
Realisation of a signalling system is likely to La realizzazione di un sistema di segnalamento
lead to unforeseen or undesirable properties può eventualmente portare a proprietà impreviste
with a potential to cause harm to people, in o non desiderate con la possibilità di provocare
particular if the system or technology is new. danni alle persone, in particolare se il sistema o la

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 52 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
New hazards may arise because of several as- tecnologia sono nuovi. Nuove situazioni pericolo-
pects: se possono derivare da vari motivi:
 new technology has a great potential for  la nuova tecnologia ha una grande possibilità
new hazards (lack of experience); di nuove situazioni pericolose (per mancanza
di esperienza);
 emergence of hidden hazards in the exist-  l’apparizione di situazioni pericolose nascoste
ing railway system due to the introduction per il sistema ferroviario esistente, a causa
of a new technology (e.g. analogue to digit- dell’introduzione di una nuova tecnologia (ad
al technology); esempio: passaggio dall’analogico al digitale);
 new design hazard due to a lack of ade-  la situazione pericolosa per un nuovo proget-
quate/proper specification; to dovuta alla mancanza di una Specificazione
adeguata/corretta;
 special operation modes in an existing rail-  i modi di esercizio specifici di un sistema fer-
way system may not fit well and may create roviario esistente possono non adattarsi bene
new hazards for the operators, maintainers e possono creare nuove situazioni di pericolo
or other members of the staff, public, etc.; per gli operatori, per gli addetti alla manuten-
zione o altri dipendenti, per il pubblico;
 design errors may create new hazards but  gli errori di progettazione possono creare nuove
they can often be related to the already situazioni pericolose, ma spesso essi possono
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

identified ones. essere collegati a quelle già identificate.

These aspects may give rise to hazardous cir- Questi aspetti possono dare origine a circostanze
cumstances and states which require the same e stati pericolosi che esigono lo stesso trattamento
systematic treatment as applied to the already sistematico di quello applicato alle situazioni peri-
identified hazards. colose già individuate.
The process for identification, processing and Il processo per l’identificazione, elaborazione ed
treatment of new hazards arising from the de- il trattamento delle nuove situazioni pericolose
sign or application of a system is essentially messe in evidenza durante la progettazione o du-
identical to the risk analysis phase. Once identi- rante l’esercizio di un sistema è praticamente
fied, system level hazards with a potential to af- identico alla fase di analisi del rischio. Una volta
fect overall system performance or cause harm identificate, le situazioni pericolose a livello del
to people shall be declared by the supplier to sistema capaci di influenzare le prestazioni com-
the railway authority. Depending on the per- plessive del sistema o provocare danni alle perso-
ceived risks, these would require qualitative or ne, devono essere dichiarate dal fornitore all’Au-
quantitative assessment, with a view to forecast torità Ferroviaria. Secondo i rischi percepiti, essa
and agree an appropriate tolerable rate (THR) può esigere per ciascuno una valutazione qualita-
for each. tiva o quantitativa, con un parere per prevedere e
concordare un appropriato tasso tollerabile di ac-
cadimento (THR).
Note/Nota Then it is possible to proceed in at least two different ways: Si potrà allora procedere secondo almeno due vie diverse:
 it is possible to relate the new hazard to an identified  è possibile collegare la nuova situazione pericolosa con
one: in this case the supplier should make sure that the una già identificata: in quel caso il fornitore dovrebbe ac-
resulting HR of the combination of these two hazards is certarsi che l’HR risultante dovuto alla combinazione di
still compliant with the THR that has been fixed by the queste due situazioni pericolose sia ancora conformee con
railway authority. The hazard log and the safety case il THR che era stato fissato dall’Autorità Ferroviaria. Il regi-
should trace this hazard; stro delle Situazioni pericolose e l’Istruttoria per la Sicurez-
za dovrebbero tracciare questa situazione pericolosa;
 the new hazard has nothing to do with any of the iden-  la nuova situazione pericolosa non ha nessuna relazione
tified ones: in this case the supplier should contact the con quelle già identificate: in quel caso il fornitore do-
railway authority to give him all the information he vrebbe contattare l’Autorità Ferroviaria per fornirgli tutte
has analysed about the hazard (causes, consequences, le informazioni che ha analizzato relativamente alle si-
risk, …). The railway authority should then decide tuazioni pericolose (cause, conseguenze, rischi...). L’Au-
whether this new hazard could be accepted or not: torità Ferroviaria dovrebbe quindi decidere se questa
nuova situazione pericolosa può essere accettata o no:
 if not, the supplier should re-design his prod-  in caso di mancata accettazione, allora il fornitore do-
uct/system if it is possible. If not, then additional vrebbe ri-progettare, se possibile, il suo prodotto/sistema.
protection measures should be implemented in or- Se non fosse possibile, vanno applicate delle misure di
der to keep the hazard and associated risk at an protezione complementare per limitare la situazione pe-
acceptable level; ricolosa ed il rischio associato ad un livello accettabile.
 if yes, then the railway authority is in charge of  in caso di accettazione, l’Autorità Ferroviaria è in-
defining the THR of this new hazard and the sup- caricata di definire il THR della nuova situazione
plier should provide a design compliant with this pericolosa e il fornitore dovrebbe presentare un pro-
requirement; getto conforme con questo requisito;
 for both cases, once a conclusion has been  in entrambe i casi, appena è stata presa una decisio-
reached concerning this hazard, everything ne su tale situazione pericolosa, dovrà essere tutto
should be recorded in the hazard log and the safe- registrato nel Registro delle situazioni pericolose e
ty case. nell’Istruttoria per la Sicurezza.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 53 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
The THRs shall be derived for each new hazard Per ogni nuova situazione pericolosa devono es-
and these will lead to updated requirements. sere dedotti i THR, e ciò portera ad un aggiorna-
mento dei requisiti.

A.5 Safety Integrity Levels Livelli di Integrità della Sicurezza

A.5.1 General aspects Aspetti generali


Safety integrity is specified as one of four dis- L’integrità della sicurezza è specificata come uno
crete levels. Level 4 has the highest level of di 4 livelli discreti. Il livello 4 corrisponde al Livel-
safety integrity; level 1 has the lowest. Level 0 is lo di Integrità della Sicurezza più alto, il livello 1
used to indicate that there are no safety require- corrisponde al livello più basso. Il livello 0 viene
ments. A SIL should address qualitative appreci- usato per indicare che non ci sono requisiti di Si-
ation of factors such as quality and safety man- curezza. Un SIL dovrebbe indirizzare apprezza-
agement and technical safety conditions. menti qualitativi di fattori come la gestione della
qualità e della sicurezza, e le condizioni tecniche
della Sicurezza.
Hazards related to a system are identified and Le situazioni pericolose legate ad un sistema sono
assessed with regard to their potential conse- identificate e valutate in funzione delle loro con-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

quences during the risk analysis phase of the seguenze potenziali, durante la fase di analisi dei
system life-cycle, as described A.4.1. This activi- rischi del ciclo di vita del sistema come descritto
ty results (top-down) in tolerable hazard rates al punto A.4.1. Da questa attività (discendente)
for each hazard. Nevertheless a supplier may deriva il tasso tollerabile di accadimento di situa-
start development of generic products in a bot- zioni pericolose per ogni situazione pericolosa.
tom-up fashion and may even achieve safety Tuttavia, un fornitore può incominciare lo svilup-
approval for a generic product safety case po di prodotti generici in modo ascendente e può
(without the results of any risk analysis being persino ottenere un’approvazione di sicurezza per
available), but in the end he shall ensure that un’Istruttoria per la Sicurezza dei prodotti generici
the required tolerable hazard rates (application (senza che siano disponibili risultati di alcuna
safety case) are fulfilled. The railway authority analisi di rischio), ma alla fine deve garantire che
and/or the safety authority shall determine the i richiesti tassi tollerabili di accadimento di situa-
base line for this process. zioni pericolose (Istruttoria per la Sicurezza
dell’applicazione) siano rispettati. L’Autorità Fer-
roviaria e/o l’Autorità di Sicurezza devono deter-
minare le direttive di base per questo processo.
During the next phases, the system require- Le fasi di requisiti del sistema e di allocazione dei
ments and apportionment of system require- requisiti di sistema, i tassi tollerabili di accadimen-
ments phases, the tolerable hazard rates are ap- to di situazioni pericolose vengono distribuiti ri-
portioned to system functions and sub-systems, spettivamente, durante le fasi successive, nelle
respectively. funzioni del sistema e nei sottosistemi.
Each of these functions shall have a qualitative Ognuna di queste funzioni deve avere associato ad
safety target and a quantitative target attached essa un obiettivo qualitativo di sicurezza e un obiet-
to them. The qualitative target shall be in the tivo quantitativo. L’obiettivo qualitativo deve essere
form of a Safety Integrity Level, and shall cover espresso sotto forma di un Livello di Integrità della
systematic failure integrity. The quantitative tar- Sicurezza e deve coprire l’integrità nei confronti dei
get shall be in the form of a numerical failure malfunzionamenti sistematici. L’obiettivo quantitati-
rate, and shall cover random failure integrity. vo deve essere espresso sotto forma di un tasso di
malfunzionamento numerico e deve coprire l’inte-
grità dei malfunzionamenti casuali.
Safety-related functions within a system are im- Le funzioni di sicurezza all’interno di un sistema
plemented by sub-systems. Safety Integrity Lev- sono realizzate tramite sottosistemi. I Livelli di In-
els are allocated to safety-related functions and tegrità della Sicurezza sono attribuiti alle funzioni
consequently the sub-systems implementing di sicurezza e quindi ai sottosistemi che realizza-
these functions, but no further. The Safety In- no tali funzioni, ma non oltre. Il Livello di Integri-
tegrity Level for the equipment which is part of tà della Sicurezza per una apparecchiatura che è
a sub-system, is the same as for the sub-system, parte di un sottosistema è lo stesso di quello del
unless functional independence can be demon- sottosistema, a meno che non si possa dimostrare
strated between equipments within sub-sys- l’indipendenza funzionale tra le apparecchiature
tems. all’interno del sottosistema.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 54 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
It is important to recognise that achievement of È importante sottolineare che il raggiungimento di
a specified Safety Integrity Level requires com- un Livello di Integrità della Sicurezza specificato
pliance with all of the factors in Figure A.8, richiede la conformità con tutti i fattori presentati
namely nella Fig. A.8, e cioè:
 quality management conditions,  le condizioni della gestione della qualità,
 safety management conditions,  le condizioni della gestione della Sicurezza,
 technical safety conditions,  le condizioni della sicurezza tecnica,
 quantified safety targets.  gli obiettivi quantificati della Sicurezza.

Fulfilment of a particular quantified safety target Raggiungere un particolare obiettivo di Sicurezza


does not, by itself, mean that the corresponding quantificato non significa di per sè che il Livello di
Safety Integrity Level has been achieved. Simi- Integrità della Sicurezza corrispondente è stato rag-
larly, fulfilment of the quality management, giunto. Allo stesso modo, il rispetto della gestione
safety management and technical safety condi- della qualità, della gestione della sicurezza e delle
tions associated with a particular Safety Integrity condizioni della sicurezza tecnica associati ad un
Level does not mean that the corresponding particolare Livello di Integrità della Sicurezza non
quantified safety target, or the Safety Integrity significa che l’obiettivo di sicurezza quantificato o
Level itself, have been achieved. All of the fac- il Livello di Integrità della Sicurezza corrispondente
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

tors in Figure A.8 need to be fulfilled in order to siano stati raggiunti. Tutti i fattori indicati nella
achieve the specified safety integrity. Fig. A.8 devono essere soddisfatti per raggiungere
l’integrità della sicurezza specificata.
It is also important to understand that, whilst È anche importante capire che, mentre gli obietti-
the quantified safety targets in Figure A.8 are vi di sicurezza quantificati della Fig. A.8 sono
those required in order to achieve the railway quelli richiesti allo scopo di realizzare le presta-
safety performance as described in the next zioni della sicurezza ferroviaria così come descrit-
paragraphs, it shall not be assumed that the tar- to nei seguenti paragrafi, non si deve pensare che
get for a particular safety function can necessar- l’obiettivo relativo ad una funzione di sicurezza
ily be achieved by a single sub-system or equip- particolare possa essere necessariamente raggiun-
ment. Where necessary the required safety to da un solo sottosistema o apparecchiatura.
target shall be achieved by combination of Quando è necessario, l’obiettivo di sicurezza ri-
functions, sub-systems or equipment, as ex- chiesto deve essere realizzato tramite la combina-
plained in this annex. zione delle funzioni, sottosistemi o apparecchiatu-
re, come spiegato in questo allegato.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 55 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. A.8 Relationship between SILs and techniques Legami tra i SIL e le tecniche

Integrità della sicurezza


Safety Integrity

Integrità di Integrità di
malfunzionanti malfunzionamenti
sistematici aleatori
Systematic Failure
Integrity Random Failure
SIL Integrity FR

Condizioni di Condizioni di Condizioni di si- Obiettivi quantitati-


gestione della gestione della curezza tecnica vi della sicurezza
qualità sicurezza Technical Quantified Safety
Quality Safety safety
management management conditions Targets
conditions conditions
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

SIL 4

Insieme adeguato di metodi e


SIL 3 strumenti classificati secondo il
SIL
(vedi Allegato E e Tab. A.1)
Adequate set of methods and tools
SIL 2 ranked according the SIL
(see Annex E and Table A.1)

SIL 1

SIL 0 Nessun requisito particolare


No specific requirements

A.5.2 Relationship between SIL and safety targets Legami tra i SIL e gli obiettivi della Sicurezza
This standard is based on the assumption that Questa norma è basata sull’ipotesi che la sicurezza è
safety relies both on adequate measures to realizzata contemporaneamente dall’utilizzo delle mi-
avoid or tolerate faults (as safeguards against sure appropriate per evitare o tollerare guasti (come
systematic failure) and on adequate measures to protezione contro i malfunzionamenti sistematici) e
control random failures. Measures against both da misure adeguate per controllare i malfunziona-
causes of failure should be balanced in order to menti casuali. Le misure contro entrambe le cause di
achieve the optimum safety performance of a malfunzionamento dovrebbero essere equilibrate per
system. To achieve this the concept of Safety In- raggiungere le prestazioni di sicurezza ottimali di un
tegrity Levels (SIL) is used. SILs are used as a sistema. A questo scopo si utilizza il concetto di Livel-
means of matching the qualitative approaches li di Integrità della Sicurezza (SIL). I SIL vengono usati
(to avoid systematic failures) with the quantita- come mezzo per abbinare gli approcci qualitativi
tive approach (to control random failures), as it (per evitare i malfunzionamenti sistematici) con l’ap-
is not feasible to quantify systematic failures. proccio quantitativo (per controllare i malfunziona-
menti casuali), poiché una quantificazione dei mal-
funzionamenti sistematici non è possibile.
Like in many other standards this balance is ex- Come in molte altre norme, quest’equilibrio viene
pressed in a table, which consists of a list of espresso in una tabella che è formata da un elen-
Safety Integrity Levels 0, 1, 2, 3, 4 and a list of co dei Livelli di Integrità della Sicurezza 0, 1, 2, 3,
corresponding intervals or bands for tolerable 4 e da un elenco di intervalli o bande corrispon-
hazard rates I0, ..., I4. denti per i tassi tollerabili delle situazioni perico-
lose I0, ..., I4
The SIL table is applicable to safety-related La tabella dei SIL è applicabile per le funzioni di
functions or sub-systems implementing one or sicurezza e per i sottosistemi che realizzano una o
more of these functions. Having followed the più di queste funzioni. Dopo aver seguito le mi-

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 56 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
measures and methods required for SIL x there sure ed i metodi richiesti per il SIL x, non c’è più
is no requirement to consider the systematic alcun bisogno di tenere conto dei malfunziona-
failures when demonstrating the THR is menti sistematici per dimostrate che il THR viene
achieved. ottenuto.
The SIL table identifies the required SIL for the La tabella dei SIL identifica il livello di SIL richiesto
safety-related function from the THR. Thus if per la funzione di sicurezza a partire dal THR. Quin-
the THR for a function F has been derived by a di se il THR per una funzione F è stato dedotto con
quantitative method the required SIL shall be un metodo quantitativo, il SIL richiesto deve essere
determined by the use of the following table: determinato con l’aiuto della seguente tabella:

Tab. A.1 SIL-table Tavola dei SIL

Tasso di Pericolo Tollerabile (THR) Livello di Integrità della Sicurezza


per ora e funzione Safety integrity level
Tolerable Hazard Rate (THR)
per hour and function
10–9 ≤ THR < 10–8 4
10–8 ≤ THR < 10–7 3
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

10–7 ≤ THR < 10–6 2


10–6 ≤ THR < 10–5 1

A function having quantitative requirements Una funzione i cui i requisiti quantitativi sono più
more demanding than 10– 9× h–1 shall be treated restrittivi di 10– 9× h–1 deve essere trattata in uno
in one of the following ways: dei seguenti modi:
 if it is possible to divide the function into  se è possibile scomporre la funzione in sotto-
functionally independent sub-functions, the funzioni indipendenti dal punto di vista fun-
THR can be split between those sub-func- zionale, il THR può essere ripartito tra quelle
tions and a SIL assigned to each sub-func- sottofunzioni e ad ogni sottofunzione può es-
tion; sere assegnato un SIL;
 if the function cannot be divided, the meas-  se la funzione non può essere scomposta, le
ures and methods required for SIL 4 shall, misure ed i metodi richiesti per il SIL 4 devo-
at least, be fulfilled and the function shall no, come minimo, essere applicati e la funzio-
be used in combination with other technical ne deve essere utilizzata in combinazione con
or operational measures in order to achieve altre misure tecniche e operative per raggiun-
the necessary THR. gere il THR necessario.
Note/Nota In contrast to other standards the SIL table in this standard A differenza di altre norme, la tavola SIL di questa norma
has only one column for frequencies (formerly called high contiene solo una colonna per le frequenze (precedentemente
demand or continuous mode) and does not have a column chiamati forte richiesta o modo continuo) e non ha una colon-
for failure probabilities on demand (formerly called de- na per le probabilità di malfunzionamento su richiesta (prece-
mand mode). The reasons to restrict to one mode are: dentemente chiamati modi su richiesta). Le ragioni della re-
strizione ad un solo modo sono:
 less ambiguity in determination of SIL,  meno ambiguità per la determinazione dei SIL,
 all demand mode systems can be modelled as continu-  tutti i sistemi il cui modo di funzionamento è su richiesta
ous mode systems, possono essere modellizzati come dei sistemi con modo di
funzionamento continuo,
 continuous control and command signalling systems  il sistemi di comando e controllo del segnalamento con
are clearly the majority in modern railway signalling modo di funzionamento continuo rappresentano ovvia-
applications. mente la maggior parte della Applicazioni ferroviarie mo-
derne.

The SIL table has been constructed taking into La tabella SIL è stata elaborata tenendo conto del-
account EN 61508-1. la EN 61508-1.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 57 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
normative
B normativo DETAILED TECHNICAL REQUIREMENTS REQUISITI TECNICI DETTAGLIATI

B.1 Introduction Introduzione


As explained in 5.4 of this standard, technical Come spiegato al punto 5.4 della presente Norma,
evidence for the safety of the system/sub-sys- nella Relazione sulla Sicurezza Tecnica (che costi-
tem/equipment design shall be presented in the tuisce la Parte 4 dell’Istruttoria per la Sicurezza)
Technical Safety Report (which forms Part 4 of deve essere presentata la prova tecnica per la si-
the Safety Case). The report shall be arranged curezza della progettazione del sistema/sottosiste-
under the following headings: ma/apparecchiatura. La relazione deve essere arti-
colata in base alla seguente struttura:
Section 1 Introduction Parte 1 Introduzione
Section 2 Assurance of correct functional oper- Parte 2 Assicurazione di un esercizio funzionale
ation corretto
Section 3 Effects of faults Parte 3 Effetti dei guasti
Section 4 Operation with external influences Parte 4 Esercizio in presenza di influenze esterne
Section 5 Safety-related application conditions Parte 5 Condizioni di utilizzazione correlate con
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

la sicurezza
Section 6 Safety Qualification tests Parte 6 Prove di Qualifica della Sicurezza

Each of these has been briefly considered in 5.4 Ognuna di queste parti é stata brevemente trattata
of this standard. More detailed requirements for al punto 5.4 della presente Norma. Requisiti più
Section 2 to Section 6 of the Technical Safety dettagliati relativi alle parti da 2 a 6 della Relazio-
Report are contained in B.2 to B.6. ne sulla Sicurezza Tecnica sono contenuti nei
punti da B.2 a B.6.
The Technical Safety Report is mandatory for La Relazione sulla Sicurezza Tecnica é obbligatoria
Safety Integrity Levels 1 to 4 inclusive (see An- per tutti i Livelli di Integrità della Sicurezza da 1 a 4
nex A for explanation of Safety Integrity Lev- (vedi l’Allegato A per una spiegazione dei Livelli di
els). However, the depth of the information and Integrità della Sicurezza). Il grado di approfondi-
the extent of the supporting documentation mento dell’informazione e l’estensione della docu-
should be appropriate to the Safety Integrity mentazione di supporto dovrebbe essere appro-
Level of the system/sub-system/equipment un- priata al Livello di Integrità della Sicurezza del
der scrutiny. The requirements for Safety Integ- sistema/sottosistema/apparecchiatura in esame. I
rity Level 0 (non-safety-related) are outside the requisiti per il Livello di Integrità della Sicurezza 0
scope of this safety standard. (non correlato con la sicurezza) non rientrano nel
campo di applicazione della presente Norma di si-
curezza.
The structure of the Technical Safety Report is La struttura della Relazione sulla Sicurezza Tecni-
illustrated in Figure 7 of this standard. ca é illustrato nella Fig. 7 di questa norma.

B.2 Assurance of correct functional operation Assicurazione di un esercizio funzionale corretto


(Section 2 of the Technical Safety Report) (Parte 2 della Relazione sulla Sicurezza Tecnica)
This section concerns correct operation of the Questo paragrafo riguarda il corretto esercizio del
system/sub-system/equipment under fault-free sistema/sottosistema/apparecchiatura in assenza
conditions (that is, with no faults in existence), di guasti (vale a dire, senza guasti in atto), in con-
in accordance with the specified operational formità con i requisiti di utilizzazione e di sicurez-
and safety requirements. za specificati.
Some particular aspects are considered below, Alcuni specifici aspetti sono trattati, di seguito ap-
using the headings from 5.4. plicando la struttura del punto 5.4.

B.2.1 System architecture description Descrizione dell’architettura del sistema


This shall contain a general description of the Questo paragrafo deve contenere una descrizione
system/sub-system/equipment design, in suffi- generale del progetto del sistema/sottosistema/ap-
cient depth to convey a clear understanding of parecchiatura che sia sufficientemente approfondi-
the principles and techniques which it uses. ta da consentire una chiara comprensione dei prin-
cipi e delle tecniche utilizzate.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 58 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.2.2 Definition of interfaces Definizione delle interfacce

B.2.2.1 Man-machine interfaces Interfacce uomo - macchina


a) Operator a) Operatore
This shall describe the mechanisms by In questo comma devono essere descritti i
which the system/sub-system/equipment meccanismi in base ai quali il sistema/sottosi-
will be operated by operating and engineer- stema/apparecchiatura sarà gestito dal perso-
ing personnel. nale operativo e dal personale tecnico.
EXAMPLE  under normal conditions; ESEMPIO  in condizioni normali;
 in response to alarms;  in risposta ad eventuali allarmi;
 by use of “help” routines.  applicando procedure “di ausilio”.

b) Configuration b) Configurazione
This shall describe the processes carried out In questo comma devono essere descritte le
by engineering personnel to configure the procedure utilizzate dal personale tecnico per
system/sub-system/equipment to a specific configurare il sistema/sottosistema/apparecchia-
railway or application. tura per una specifica applicazione ferroviaria.
EXAMPLE  software parametering; ESEMPIO  impostazione dei parametri del software;
 hard wiring;  cablaggio dell’hardware;
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

 installation techniques;  tecniche d’installazione;


 procedures.  procedure.

c) Maintenance c) Manutenzione
This shall describe the interface mecha- Questo comma deve contenere una descrizio-
nisms, including the use of any ancillary ne dei meccanismi di interfacciamento, com-
equipment, which will be used by mainte- preso l’impiego di ogni apparecchiatura colle-
nance personnel in the course of perform- gata che sarà utilizzata dal personale addetto
ing the various levels of maintenance. alla manutenzione nell’esecuzione delle varie
fasi di manutenzione.
More detailed information is contained in Informazioni più dettagliate sono fornite nel
B.5.2. punto B.5.2.

B.2.2.2 System interfaces Interfacce del sistema


a) Internal a) Interne
This shall define the functional and physical Questo comma deve contenere una definizio-
interfaces between items internal to the sys- ne delle interfacce funzionali e fisiche tra le
tem/sub-system/equipment. unità interne del sistema/sottosistema/appa-
recchiatura.
EXAMPLE  electrically clean and dirty areas; ESEMPIO  zone elettricamente neutre o inquinate;
 internal bus structures;  strutture interne di bus;
 communication links;  collegamenti di comunicazione;
 functional monitoring and correction;  controllo e rettifica funzionale;
 diagnostic and health monitoring.  diagnostica e controllo dello stato generale.

b) External b) Esterne
This shall define the functional and physical Questo comma deve contenere una definizione
interfaces between the system/sub-sys- delle interfacce funzionali e fisiche tra le unità
tem/equipment and external items. esterne del sistema/sottosistema/apparecchiatura.
EXAMPLE  sensors; ESEMPIO  sensori;
 actuators;  attuatori;
 communication links;  collegamenti di comunicazione;
 test and monitoring provisions;  apparecchi di prova e di controllo;
 expansion facilities.  strutture d’estensione.

B.2.3 Fulfilment of system requirements specification Rispetto della specifica dei requisiti del sistema
This shall demonstrate how the operational Questo paragrafo deve illustrare il modo in cui i re-
functional requirements specified in the sys- quisiti funzionali di utilizzazione indicati nella Speci-
tem/sub-system/equipment requirements speci- fica dei requisiti del sistema/sottosistema/apparec-
fication are fulfilled by the design. All relevant chiatura sono rispettati nella progettazione. Devono
evidence shall be included (or referenced). essere incluse tutte le relative prove (o i riferimenti).
EXAMPLE  design principles and calculations; ESEMPIO  principi e calcoli di progettazione;
 test specifications and results;  specifiche e risultati delle prove.
 validation.  validazione

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 59 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.2.4 Fulfilment of safety requirements specification Rispetto della specifica dei requisiti della sicurezza
This shall demonstrate how the specified safety Questo paragrafo deve illustrare il modo in cui i
functional requirements are fulfilled by the de- requisiti funzionali di sicurezza specificati sono ri-
sign. All relevant evidence shall be included (or spettati nella progettazione. Devono essere inclu-
referenced). se tutte le relative prove (o i riferimenti).
EXAMPLE  design principles and calculations; ESEMPIO  principi e calcoli di progettazione;
 test specifications and results;  specifiche delle prove e risultati;
 safety analyses and results.  analisi di sicurezza e risultati.

B.2.5 Assurance of correct hardware functionality Assicurazione del corretto funzionamento dello
hardware
This shall describe the system/sub-sys- Questo paragrafo deve descrivere l’architettura
tem/equipment hardware architecture, and ex- hardware del sistema/sottosistema/apparecchiatu-
plain how the design achieves the required in- ra, ed illustrare come la progettazione realizza
tegrity, as laid down by the requirements l’Integrità richiesta, come previsto dalla Specifica
specification and any relevant standards, in re- dei requisiti e da ogni norma applicabile, riguardo
spect of: a:
 reliability,  l’affidabilità,
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

 availability,  la disponibilità,
 maintainability,  la manutenibilità
 safety.  la sicurezza.

Consideration of safety may be limited to Le considerazioni di sicurezza possono essere li-


fault-free conditions, because effects of faults mitate alle condizioni di assenza di guasto, poiché
are dealt with elsewhere (see B.3). gli effetti dei guasti sono trattati altrove (vedi B.3).

B.2.6 Assurance of correct software functionality Assicurazione del corretto funzionamento del
software
The requirements of EN 50128 shall be com- Devono essere rispettati i requisiti della EN 50128.
plied with.
All documentation required by EN 50128 shall Questa parte deve contenere, o fare riferimento a
be included or referenced in this section, partic- tutta la documentazione richiesta dalla EN 50128,
ularly the Software Validation Report and the in particolare la Relazione di validazione del sof-
Software Assessment Report. tware e la Relazione di valutazione del software.
In addition, the interaction between hardware Inoltre, deve essere spiegata l’interazione tra
and software shall be explained. l’hardware e il software.
Note/Nota Some particular topics which should receive attention in- Alcuni particolari aspetti ai quali si dovrebbe prestare atten-
clude: zione riguardano:
 dependence between hardware and software,  rapporto di dipendenza tra hardware e software,
 sequence of interaction,  sequenza dell’interazione,
 response times,  tempi di risposta,
 self test routines,  programmi di autoverifica,
 health monitoring,  controllo dello stato generale,
 data acquisition techniques,  tecniche di acquisizione dei dati,
 graceful degradation,  degrado progressivo,
 negation methods.  metodi di negazione.

B.3 Effects of faults Effetti dei guasti


(Section 3 of the Technical Safety Report) (Parte 3 della Relazione sulla Sicurezza Tecnica)
This section concerns the ability of the sys- Questo paragrafo rigurda la capacità del siste-
tem/sub-system/equipment to continue to meet ma/sottosistema/apparecchiatura di mantenere il
its specified safety requirements in the event of rispetto dei suoi specificati requisiti di sicurezza in
random hardware faults and, as far as reasona- caso di guasti casuali dell’hardware e, per quanto
bly practicable, systematic faults. possibile, di guasti sistematici.
Particular aspects which shall be considered are Nei punti da B.3.1 a B.3.6 seguenti, sono detta-
detailed in B.3.1 to B.3.6 below, using the head- gliati, applicando la struttura del punto 5.4, speci-
ings from 5.4. fici aspetti che devono essere tenuti in considera-
zione.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 60 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.3.1 Effects of single faults Effetti dei guasti singoli
(See also guidance in Table E.4) (Vedi anche le informazioni della Tab. E.4)
It is necessary to ensure that the sys- È necessario accertarsi che il sistema/sottosiste-
tem/sub-system/equipment meets its THR in ma/apparecchiatura rispetti il suo THR (tasso di
the event of single random fault. It is necessary accadimento accettabile delle situazioni pericolo-
to ensure that SIL 3 and SIL 4 systems remain se) in caso di guasto casuale singolo. È necessario
safe in the event of any kind of single random accertarsi che i sistemi dei livelli SIL 3 e SIL 4 ri-
hardware fault which is recognised as possible. mangano in condizioni di sicurezza in presenza di
Faults whose effects have been demonstrated to qualunque guasto casuale singolo dell’hardware
be negligible may be ignored. This principle, ritenuto possibile. I guasti i cui effetti si sono di-
which is known as fail-safety, can be achieved mostrati trascurabili possono essere ignorati. Que-
in several different ways: sto principio, noto come sicurezza intrinseca, può
essere realizzato in vari modi:
1) composite fail-safety 1) sicurezza composita
With this technique, each safety-related Con questa tecnica, ogni funzione correlata con
function is performed by at least two items. la sicurezza è svolta da almeno due unità.
Each of these items shall be independent Ognuna di queste unità deve essere indipen-
from all others, to avoid common-cause fail- dente da tutte le altre, per evitare malfunziona-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

ures. Non-restrictive activities are allowed menti di modo comune. Le attività non restritti-
to progress only if the necessary number of ve sono autorizzate a procedere unicamente
items agree. A hazardous fault in one item quando un sufficiente numero di unità concor-
shall be detected and negated in sufficient da. Un guasto pericoloso in una delle unità
time to avoid a co-incident fault in a second deve essere individuato e messo in stato negato
item. in un tempo sufficientemente breve da evitare
l’insorgere di un guasto simile in un’altra unità.
2) reactive fail-safety 2) sicurezza reattiva
This technique allows a safety-related func- Questa tecnica consente a una funzione correla-
tion to be performed by a single item, pro- ta con la sicurezza di essere svolta da una unità
vided its safe operation is assured by rapid singola, a condizione che il suo corretto funzio-
detection and negation of any hazardous namento sia assicurato da un rapido sistema di
fault (for example, by encoding, by multiple rilevamento e di negazione di ogni guasto peri-
computation and comparison, or by contin- coloso (per esempio, tramite codifica, elabora-
ual testing). Although only one item per- zione multipla e comparazione, oppure tramite
forms the actual safety-related function, the prove continue). Anche se la funzione correlata
checking/testing/detection function shall be con la sicurezza è svolta da una sola unità, la
regarded as a second item, which shall be funzione di controllo/prova/rilevamento deve
independent to avoid common-cause fail- essere considerata come una seconda unità, che
ures. deve essere indipendente in modo da evitare
malfunzionamenti di modo comune.
3) inherent fail-safety 3) sicurezza intrinseca
This technique allows a safety-related func- Questa tecnica consente a una funzione correlata
tion to be performed by a single item, pro- con la sicurezza di essere svolta da una sola uni-
vided all the credible failure modes of the tà, a condizione che tutti i modi di malfunziona-
item are non-hazardous. Any failure mode mento verosimili dell’unità siano non pericolosi.
which is claimed to be incredible (for ex- Ogni modo di malfunzionamento dichiarato non
ample, because of inherent physical proper- verosimile (per esempio, in virtù delle intrinse-
ties) shall be justified using the procedure che proprietà fisiche), deve essere giustificato
defined in Annex C. Inherent fail-safety may utilizzando la procedura definita nell’Allegato C.
also be used for certain functions within È consentito l’uso della sicurezza intrinseca per
Composite and Reactive fail-safe systems, alcune funzioni nei sistemi a sicurezza reattiva e
for example to ensure independence be- composita, per esempio, per assicurare l’indipen-
tween items, or to enforce shut-down if a denza tra unità oppure per forzare l’arresto in
hazardous fault is detected. caso di rilevamento di un guasto pericoloso.

Whichever technique or combination of tech- Qualunque sia la tecnica o la combinazione di


niques is used, assurance that no single ran- tecniche impiegate, l’assicurazione che nessun
dom hardware component failure mode is haz- singolo modo di malfunzionamento casuale di un
ardous shall be demonstrated using appropriate componente dell‘hardware è pericoloso deve es-
structured analysis methods. The component sere dimostrata utilizzando gli appropriati metodi
failure modes to be considered in the analysis di analisi strutturata. L’identificazione dei modi di
shall be identified using the procedures defined malfunzionamento di un componente da prende-

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 61 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
in Annex C. re in considerazione nell’analisi deve avvenire in
base alle procedure definite nell’Allegato C.
Note/Nota A top-down failure analysis method should be used, such as Dovrebbe essere impiegato un metodo di analisi dei malfunziona-
Fault Tree Analysis (FTA). This should be supported, if neces- menti di tipo discendente, come l’analisi ad albero dei guasti (FTA
sary, by a bottom-up method such as Failure Modes and Ef- - Fault Tree Analysis). Questo dovrebbe essere sussidiato, se neces-
fects Analysis (FMEA). See also guidance given in Table E.6. sario, da un metodo di tipo ascendente quale l’Analisi dei modi di
malfunzionamento e dei loro effetti (FMEA – Failure Mode Effects
Analysis). Vedi anche le informazioni della Tab. E.6.

Failure analyses shall be qualitative, and quanti- Le analisi dei malfunzionamenti devono essere
tative where credible data is available. Random qualitative, e quantitative se sono disponibili dati
hardware failure rates, or probabilities of com- credibili. Il tasso di malfunzionamento casuale
ponent failure, should be based on field data if dell‘hardware, o la probabilità di malfunziona-
possible. Apportionment of an overall compo- mento di un componente, dovrebbero essere fon-
nent failure rate between its failure modes shall dati, se possibile, sui dati del campo. La ripartizio-
be justified in the analysis. ne del tasso globale di malfunzionamento di un
componente tra i suoi vari modi di malfunziona-
mento deve essere giustificata nell’analisi.

B.3.2 Independence of items Indipendenza delle unità


Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

In systems containing more than one item Nei sistemi composti da più di una unità il cui con-
whose simultaneous malfunction could be haz- temporaneo malfunzionamento può essere perico-
ardous, independence between items is a man- loso, l’indipendenza tra le unità è una pre-condizio-
datory precondition for safety concerning single ne obbligatoria per la sicurezza relativa ai guasti
faults. Appropriate rules or guidelines shall be singoli. Per garantire tale indipendenza, devono es-
fulfilled to ensure this independence. The sere rispettate le regole o le direttive appropriate. Le
measures taken shall be effective for the whole misure adottate devono essere efficaci per l’intero
life-cycle of the system. In addition, the sys- ciclo di vita del sistema. Inoltre, il progetto del siste-
tem/sub-system design shall be arranged to ma/sottosistema deve essere organizzato in modo
minimise potentially hazardous consequences da ridurre al minimo le conseguenze potenzialmen-
of loss-of-independence caused by, for exam- te pericolose di una perdita dell’indipendenza pro-
ple, a systematic design fault, if it could exist. vocata, ad esempio, da un guasto sistematico della
progettazione, se esistesse.
The various types of influence in a system con- I vari tipi d’influenza in un sistema costituito, per
sisting of, for example, two operating items are esempio, da due unità funzionali sono illustrati
represented in Figure B.1. This figure may be nella Fig. B.1. Le indicazioni di questa figura pos-
extended to systems consisting of more than sono essere estese ai sistemi costituiti da più di
two operating items. due unità funzionali.
Where safety is reliant on the clearance and Quando la sicurezza dipende dalle distanze d’isola-
creepage distances, the minimum clearance and mento superficiali e in aria, i valori minimi delle di-
creepage distances shall be defined according stanze d’isolamento superficiali e in aria devono es-
to the application requirements (including ma- sere definiti coerentemente con i requisiti
terial, technology, implementation, environ- dell’applicazione (comprendendo materiali, tecnolo-
mental and operation conditions, failures and gia, realizzazione, condizioni di esercizio e ambien-
temporary overvoltages). tali, malfunzionamenti e sovratensioni temporanee).
Independence could be lost by several types of La perdita d’indipendenza potrebbe essere causa-
influences, as explained under the following ta da tipi diversi d’influenze, come illustrato nei
headings: seguenti paragrafi:

Type A Physical internal influences Tipo A Influenze fisiche interne


If no physical connection exists between inter- Se non esistono collegamenti fisici tra le unità in-
nal items of a system, there are neither physical terne di un sistema, non sussistono né influenze
nor functional influences. Therefore, internal in- fisiche, né influenze funzionali. Di conseguenza,
dependence is achieved. l’indipendenza interna è raggiunta.
Notes/Note: 1 A physical connection is any medium between items, 1 Per collegamento fisico, si intende qualsiasi tipo di colle-
for example: gamento tra le unità, per esempio:
 galvanic connection;  collegamento galvanico;
 electromagnetic coupling.  accoppiamento elettromagnetico.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 62 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Measures shall be taken to avoid non-intention- Devono essere adottate le misure per evitare qua-
al physical internal influences. lunque influenza fisica interna involontaria.
Notes/Note: 2 D.2 contains a range of measures for the achievement 2 Il punto D.2 contiene un elenco di misure che consentono
of physical internal independence (protection against di ottenere l’indipendenza fisica interna (protezione dal-
influences of Type A). le influenze di tipo A).

Type B Functional internal influences Tipo B Influenze funzionali interne


A functional influence between items is based Un’influenza funzionale interna si basa su di un
on a physical connection. Measures shall be collegamento fisico. Devono essere adottate le
taken to avoid functional internal influences. misure per evitare influenze funzionali interne.
This shall be achieved by means of functional Questo deve essere realizzato per mezzo dell’in-
internal independence (protection against influ- dipendenza funzionale interna (protezione dalle
ences of Type B). influenze di tipo B).
Notes/Note: 3 A functional internal influence would allow faulty in- 3 Un’influenza funzionale interna è quella a causa della
formation in one item to influence another item in a quale un’informazione errata proveniente da una unità
hazardous manner. può influenzare un’altra unità in maniera pericolosa.

Type C Physical external influences Tipo C Influenze fisiche esterne


A physical external influence could cause a loss Un’influenza fisica esterna può avere come conse-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

of physical independence between items. guenza la perdita dell’indipendenza fisica tra le unità.
Notes/Note: 4 These could be due to, for example, 4 Queste influenze possono essere dovute per esempio a:
 environmental stresses such as EMI, ESD, climatic,  sollecitazioni ambientali quali EMI (interferenze
chanical and chemical, elettromagnetiche), ESD (scariche elettrostatiche),
climatiche, meccaniche e chimiche.
 the power supply, and  l’alimentazione, e
 the external inputs and outputs.  gli ingressi e le uscite esterni.

Measures shall be taken to avoid non-intention- Devono essere adottate le misure per evitare qua-
al physical external influences. B.4 contains re- lunque influenza fisica esterna involontaria. Il
quirements for external influences which shall punto B.4 contiene requisiti relativi alle influenze
be considered. esterne che devono essere considerate.
Notes/Note: 5 D.3 contains a range of measures for the achievement 5 Il punto D.3 comprende un elenco di metodologie che
of physical external independence (protection against consentono di ottenere l’indipendenza fisica esterna (pro-
influences of Type C). tezione dalle influenze del tipo C).

Type D Functional external influences Tipo D Influenze funzionali esterne


A functional external influence could cause a Un’influenza funzionale esterna può avere come
loss of functional independence between items. conseguenza la perdita dell’indipendenza funzio-
Measures shall be taken to avoid functional ex- nale tra le unità. Devono essere adottate le misure
ternal influences. This shall be achieved by atte a evitare qualsiasi influenza funzionale ester-
means of functional external independence na. Questo deve essere realizzato per mezzo
(protection against influences of Type D). dell’indipendenza funzionale esterna (protezione
dalle influenze del tipo D).
Notes/Note: 6 A functional external influence would allow faulty 6 Un’influenza funzionale esterna è quella a causa della
information from an external source to influence the quale un’informazione errata proveniente da una fonte
system in a hazardous manner. esterna può influenzare il sistema in modo pericoloso.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 63 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. B.1 Influences affecting the independence of items

Legend: = INTENTIONAL CONNECTION

= NON-INTENTIONAL CONNECTION
(possibly caused by a fault)

= INDEPENDENCE
(if specified measures are met to avoid non-intentional
influences and connections)

= FRONT CONTACT
(normally-open contact)
= TWO FRONT CONTACTS
(used symbolically as an AND for two independent
non-restrictive activities)

PHYSICAL INTERNAL INFLUENCE


A (non-intentional)
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

FUNCTIONAL INTERNAL INFLUENCE


B (non-intentional, using intentional connection)

EXTERNAL ENVIRONMENTAL INFLUENCE (EMI,- - - )


(non-intentional)
C1

EXTERNAL INFLUENCE BY POWER SUPPLY


(non-intentional, using intentional connection)
C2

EXTERNAL INFLUENCE ACROSS INPUT/OUTPUT


(PROCESS WORKING VOLTAGES, EMI - INDUCED VOLTAGES)
C3 (non-intentional, using intentional connection)

FUNCTIONAL EXTERNAL INFLUENCE


D (non-intentional, using external connection)

C1

C2 D

C3

ITEM X ITEM Y

B A

C3 D C3 D

OUTPUT

"AND" condition for the non-restrictive state of the output

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 64 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Influenze che condizionano l’indipendenza delle unità

Legenda COLLEGAMENTO INTENZIONALE

COLLEGAMENTO INVOLONTARIO
(può essere causato da un guasto)
INDIPENDENZA
(se sono messe in atto misure specifiche per
evitare influenze e collegamenti involontari)
CONTATTO DI FUNZIONAMENTO
(contatto normalmente aperto)
CONTATTO DI FUNZIONAMENTO DOPPIO
(impiegato simbolicamente come un AND per
due attività non restrittive indipendenti

INFLUENZA FISICA INTERNA


A
(involontaria)
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

INFLUENZA FUNZIONALE INTERNA


B
(involontaria, attraverso un collegamento intenzionale)

INFLUENZA ESTERNA DOVUTA ALL’AMBIENTE (EMI, ...)


C1
(involontaria)

INFLUENZA ESTERNA DOVUTA ALL’ALIMENTAZIONE


C2 (involontaria, attraverso un collegamento intenzionale)

INFLUENZA ESTERNA ATTRAVERSO GLI INGRESSI/USCITE


C3 (TENSIONI DI FUNZIONAMENTO NORMALE, TENSIONI, EMI, TENSIONI
INDOTTE) (involontaria, attraverso un collegamento intenzionale)

D
INFLUENZA FUNZIONALE ESTERNA
(involontaria, attraverso un collegamento esterno)

C1

C2 D

C3

ENTITÀ X A
ENTITÀ Y

B A

C3 D C3 D

USCITA

condizione “AND” per uno stato non restrittivo dell’uscita

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 65 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.3.3 Detection of single faults Rilevamento di guasti singoli
(See also guidance given in Table E.4) (Vedi anche le informazioni della Tab. E.4)
A first fault (single fault) which could be haz- Un primo guasto (guasto singolo), che può essere
ardous, either alone or if combined with a sec- pericoloso o da solo o combinato con un secon-
ond fault, shall be detected and a safe state en- do guasto, deve essere rilevato e deve essere for-
forced (i.e.: negated) in a time sufficiently short zato uno stato sicuro (cioè negato) entro tempi
to fulfil the specified quantified safety target. sufficientemente brevi per rispettare l’obiettivo di
Demonstration of this shall be achieved by a sicurezza quantificato specificato. La dimostrazio-
combination of Failure Modes and Effects Anal- ne di ciò deve essere realizzata per mezzo di una
ysis (FMEA) and quantified assessment of Ran- combinazione di una analisi dei modi di malfun-
dom Failure Integrity (see A.3). zionamento e dei loro effetti (FMEA) e di una va-
lutazione quantificata dell’integrità del malfunzio-
namento casuale (vedi il punto A.3).
In the case of Composite fail-safety, this re- Nel caso della sicurezza composita, questo requi-
quirement means that a first fault shall be de- sito significa che un primo guasto deve essere ri-
tected, and a safe state enforced, in a time suffi- levato, e lo stato di sicurezza forzato, in tempi
ciently short to ensure that the risk of a second sufficientemente rapidi da assicurare che il rischio
fault occurring during the detection-plus-nega- di un secondo guasto nel periodo di rilevamento
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

tion time is smaller than the specified probabil- e di negazione sia minore dell’obiettivo di proba-
istic target. bilità specificato.
In the case of Reactive fail-safety, this require- Nel caso della sicurezza reattiva, questo requisito
ment means that the maximum total time taken significa che il tempo totale massimo richiesto dal
for detection-plus-negation shall not exceed the processo di rilevamento e negazione non deve
specified limit for the duration of a transient, superare il limite specificato della durata di una
potentially-hazardous, condition. condizione transitoria potenzialmente pericolosa.
These requirements for Composite and Reactive Tali requisiti relativi alla sicurezza reattiva e com-
fail-safety are illustrated in Figure B.2. posita sono illustrati nella Fig. B.2.
The techniques used to achieve detection and Le tecniche impiegate per ottenere il rilevamento e la
negation of identified faults within the permit- negazione dei guasti individuati entro i tempi am-
ted time shall be shown, including supporting messi devono essere mostrate includendo i calcoli a
calculations. The sources of basic failure rate supporto. Devono essere indicate le fonti dei dati
data used in the calculations (for example, fondamentali relativi ai tassi di malfunzionamento uti-
hardware component failure rates) shall be lizzati per i calcoli (per esempio, tasso di malfunzio-
identified, and the method of quantitative anal- namento dei componenti hardware) e deve essere
ysis clearly explained. chiaramente spiegato il metodo di analisi quantitativa
usato.
Notes/Note: 1 The fault detection time is the test interval in the case of 1 Il tempo di rilevamento dei guasti è l’intervallo di prova nel
detection by the equipment itself, or the maintenance caso di un rilevamento da parte del sistema stesso, oppure
interval in the case of detection by staff. In the extreme l’intervallo di manutenzione nel caso di un rilevamento da
case it is the installed lifetime of the system. In the case parte del personale. Nel caso estremo, si tratta del tempo di
of equipment in storage, it is the interval between peri- vita installata del sistema. Nel caso di una apparecchiatura
odic testing by maintenance personnel. in deposito, si tratta dell’intervallo tra due verifiche periodi-
che effettuate dal personale di manutenzione.
2 An example of an approach to fulfilment of these re- 2 Un esempio di procedura per il rispetto di questi requisiti è
quirements is contained in D.4. contenuto nel punto D.4.

B.3.4 Action following detection (including retention of Azione successiva al rilevamento (incluso il
safe state) mantenimento in uno stato di sicurezza)
(See also guidance in Table E.4) (Vedi anche le informazioni della Tab. E.4)
After detection of a first fault, the sys- In seguito al rilevamento di un primo guasto, il si-
tem/sub-system/equipment shall enter, or con- stema/sottosistema/apparecchiatura deve passare
tinue in, a safe state. The safe state is generally o rimanere in uno stato di sicurezza. Lo stato di
(but not necessarily) more restrictive. The safe sicurezza è in genere (ma non necessariamente)
state shall be reached in a time sufficiently short più restrittivo. Lo stato di sicurezza deve essere
that the combined detection-plus-negation time raggiunto in un tempo sufficientemente breve che
fulfils the specified safety target. il tempo combinato di rilevamento e negazione ri-
spetti l’obiettivo di sicurezza specificato.
Note/Nota The negation time is usually the time taken for the relevant Il tempo di negazione è normalmente il tempo impiegato dalla
part of the system to be shut down, either automatically or by parte interessata del sistema per porsi in stato di arresto sia au-
human action. tomaticamente sia con intervento umano.

These requirements are illustrated in Figure B.2. Questi requisiti sono illustrati nella Fig. B.2.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 66 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
After detection of a first fault, and having en- Dopo l’individuazione di un primo guasto, e l’in-
tered the safe state, further faults shall not can- troduzione dello stato di sicurezza, ulteriori guasti
cel out the safe state. Cancellation of a restric- non devono annullare lo stato sicuro. L’annulla-
tive safe state shall occur only in a controlled mento di uno stato restrittivo sicuro deve avvenire
manner, as part of a corrective procedure. solamente in un modo controllato, come parte di
una procedura correttiva.
The system/sub-system/equipment shall remain in Il sistema/sottosistema/apparecchiatura deve ri-
a safe state if further faults occur during permissi- manere in uno stato sicuro se, a seguito di un pri-
ble delay-times-to-repair after occurrence of a first mo guasto, durante i tempi di ritardo ammissibili
fault. Permissible delay-times-to-repair shall be per la riparazione si verificassero ulteriori guasti. I
sufficiently short to fulfil the specified safety tar- tempi di ritardo ammissibili per la riparazione de-
get. vono essere sufficientemente brevi da rispettare
l’obiettivo di sicurezza specificato.

B.3.5 Effects of multiple faults Effetti di guasti multipli


(See also guidance given in Table E.4) (Vedi anche le informazioni della Tab. E.4)
A multiple fault (for example, a double or triple Un guasto multiplo (per esempio, doppio o tri-
fault) which could be hazardous, either directly plo) che può costituire un pericolo, sia diretta-
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

or if combined with a further fault, shall be de- mente sia in combinazione con altri ulteriori gua-
tected and a safe state enforced (i.e.: negated) sti, deve essere rilevato e uno stato sicuro forzato,
in a time sufficiently short to fulfil the specified (cioè negato) in un tempo sufficientemente breve
safety target. A suitable method, for example per rispettare l’obiettivo di sicurezza specificato.
Fault Tree Analysis (FTA), shall be used to dem- Un metodo adeguato, per esempio l’analisi ad al-
onstrate the effects of multiple faults. The tech- bero dei guasti (FTA), deve essere impiegato per
niques used to achieve detection-plus-negation la dimostrazione degli effetti dei guasti multipli.
of multiple faults within the permitted time shall Le tecniche impiegate per il rilevamento e la ne-
be shown, including supporting calculations. gazione dei guasti multipli nei tempi consentiti
devono essere mostrate includendo i calcoli a
supporto.
Note/Nota An example of an approach to fulfilment of these require- Un esempio di soluzione per il rispetto di questi requisiti è con-
ments is contained in D.5. tenuto nel punto D.5.

A Common-Cause Failure (CCF) analysis shall Deve essere effettuata un’analisi di malfunziona-
be carried out, to provide assurance that a mul- mento di modo comune (CCF), per assicurare che
tiple fault could only occur by means of a com- un guasto multiplo possa intervenire solo per
bination of random single faults, and not as the mezzo di una combinazione di guasti singoli ca-
result of a common-cause fault. suali, e non come risultato di un guasto di modo
comune.

B.3.6 Defence against systematic faults Protezione contro i guasti sistematici


In addition to the quality and safety manage- Oltre alle tecniche di gestione della qualità e della
ment techniques which are used to minimise sicurezza, impiegate per ridurre al minimo la pro-
the probability of human error (see 5.2 and 5.3 babilità di un errore umano (vedi i punti 5.2 e 5.3
of this standard), technical measures shall be della presente norma), devono essere adottate an-
taken such that if a hazardous systematic fault che misure tecniche in modo che se un guasto si-
should exist it would, as far as reasonably prac- stematico pericoloso dovesse esistere gli sarebbe
ticable, be prevented from creating an unac- impedito di provocare, per quanto ragionevol-
ceptable risk. mente possibile, un rischio inaccettabile.
EXAMPLE The architecture of the overall system could be ESEMPIO L’architettura dell’intero sistema potrebbe essere
configured such that, even in the event of a configurata in modo tale che, anche in caso di
hazardous failure of a sub-system or item of malfunzionamento pericoloso del sottosistema o di
equipment which has been designed to be safe, un elemento di apparecchiatura progettati per es-
an accident would still be unlikely to occur. sere sicuri, sarebbe comunque improbabile l’acca-
dere di un incidente.

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 67 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Fig. B.2 Detection and negation of single faults

COMPOSITE FAIL-SAFETY

FUNCTION A
FAULT DETECTION

NEGATION
FUNCTION A
& OUTPUT
FUNCTION B

FUNCTION B
FAULT DETECTION
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

FUNCTION A

The probability of
DETECTION a 1st fault, combined with
the probability of a
FUNCTION B 2nd fault occurring
OUTPUT
during the 1st fault
SAFE
detection-plus-negation
T time T, shall be less than
STATE
the specified probabilistic
target.
FIRST DETECTION NEGATION SECOND
FAULT OF FIRST SWITCHES FAULT
OCCURS FAULT OFF OCCURS
IN A IN A OUTPUT IN B

REACTIVE FAIL-SAFETY

FUNCTION A
FAULT DETECTION
NEGATION

FUNCTION A OUTPUT

FUNCTION A
Detection-plus-negation
DETECTION time T, after a fault in A,
shall not exceed the
specified limit for the
duration of a transient,
OUTPUT potentially - hazardous
output.
SAFE
T
STATE

FAULT DETECTION NEGATION


OCCURS OF FAULT SWITCHES
IN A IN A OFF OUTPUT

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 68 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
Rilevamento e negazione di guasti singoli

SICUREZZA INTRINSECA COMPOSITA


RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE A
NEGAZIONE
FUNZIONE A
& USCITA
FUNZIONE B

RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE B
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

FUNZIONE A

RILEVAMENTO La probabilità di accadimento di


un primo guasto combinata con la
FUNZIONE B probabilità di accadimento di un
secondo guasto durante il tempo
USCITA T di rilevamento e negazione del
T STATO DI primo guasto, deve essere inferio-
SICUREZZA re all’obiettivo probabilistico speci-
ficato.
UN PRIMO RILEVAMEN- LA NEGA- UN SECONDO
GUASTO SI TO DEL PRI- ZIONE MET- GUASTO SI
VERIFICA IN A MO GUA- TE L’USCITA VERIFICA IN B
STO IN A IN STATO
OFF

SICUREZZA INTRINSECA REATTIVA

RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE A
NEGAZIONE

FUNZIONE A USCITA

FUNZIONE A
Il tempo T di rilevamento e
RILEVAMENTO negazione dopo il verificarsi di
un guasto in A, non deve su-
perare i limiti specificati della
durata di una uscita transitoria
USCITA
potenzialmente pericolosa

STATO DI
T SICUREZZA

UN GUASTO RILEVAMENTO LA NEGAZIONE


SI VERIFICA DEL PRIMO METTE L’USCITA
IN A GUASTO IN A IN STATO OFF

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 69 di 130
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
B.4 Operation with external influences Esercizio in presenza di influenze esterne
(Section 4 of the Technical Safety Report) (Parte 4 della Relazione sulla Sicurezza Tecnica)
This section concerns the ability of the sys- Questo paragrafo tratta della capacità di un siste-
tem/sub-system/equipment to operate correctly ma/sottosistema/apparecchiatura di funzionare
and safely when subjected to specified external correttamente ed in sicurezza quando è sottopo-
influences. “Correct operation” includes fulfil- sto a specificate influenze esterne. “Corretto fun-
ment of both operational and safety require- zionamento” comprende il rispetto dei requisiti
ments. sia funzionali che di sicurezza.
As far as reasonab