EN 50129 En-It

N O R M A I T A L I A N A CEI
Norma Italiana
CEI EN 50129
Data Pubblicazione Edizione
2004-01 Seconda + Ec 1
Classificazione Fascicolo
9-55 7168
Titolo
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di
telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di
sicurezza per il segnalamento
Title
Railway applications - Communication, signalling and processing systems - Safety
related electronic systems for signalling
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
APPARECCHIATURE ELETTRICHE PER SISTEMI DI ENERGIA E PER TRAZIONE
NORMA TECNICA
COMITATO
ELETTROTECNICO CNR CONSIGLIO NAZIONALE DELLE RICERCHE • AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA
ITALIANO Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano
SOMMARIO
La presente Norma si applica ai sistemi elettronici correlati con la sicurezza (ivi compresi i sottosistemi
e le apparecchiature) per le applicazioni del segnalamento ferroviario.
DESCRITTORI • DESCRIPTORS
Segnalamento • Signalling; Telecomunicazioni • Communication; Sistemi di elaborazione • Processing
systems; Software • Sofware; Sicurezza • Safety; Sistemi di protezione • Protection systems;
COLLEGAMENTI/RELAZIONI TRA DOCUMENTI

Nazionali
Europei (IDT) EN 50129:2003-02;

Internazionali
Legislativi
INFORMAZIONI EDITORIALI
Norma Italiana CEI EN 50129 Pubblicazione Norma Tecnica Carattere Doc.
Stato Edizione In vigore Data validità 2004-3-1 Ambito validità Internazionale

Varianti Nessuna
Ed. Prec. Fasc. 5569E: 2000-04
Comitato Tecnico 9-Trazione

Approvata dal Presidente del CEI in Data 2003-12-12
CENELEC in Data 2002-12-1
Sottoposta a inchiesta pubblica come Documento originale Chiusa in data 2002-8-30
Gruppo Abb. 3 Sezioni Abb. B

ICS 93.100;
CDU
LEGENDA
(IDT) La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT)
© CEI - Milano 2004. Riproduzione vietata.

Tutti i diritti sono riservati. Nessuna parte del presente Documento può essere riprodotta o diffusa con un mezzo qualsiasi senza il consenso scritto del CEI.
Le Norme CEI sono revisionate, quando necessario, con la pubblicazione sia di nuove edizioni sia di varianti.
È importante pertanto che gli utenti delle stesse si accertino di essere in possesso dell’ultima edizione o variante.
Europäische Norm • Norme Européenne • European Standard • Norma Europea
EN 50129
Sostituisce la Norma ENV 50129 (1998)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di

telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di
sicurezza per il segnalamento
Railway applications - Communication, signalling and processing systems - Safety

related electronic systems for signalling
Applications ferroviaires - Systèmes de signalisation, de télécommunications et de

traitement - Systèmes électroniques de sécurité pour la signalisation
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und

Datenverarbeitungssysteme - Sicherheitsrelevante elektronische Systeme für
Signaltechnik
CENELEC members are bound to comply with the I Comitati Nazionali membri del CENELEC sono tenu-
CEN/CENELEC Internal Regulations which stipulate ti, in accordo col regolamento interno del CEN/CENE-
the conditions for giving this European Standard the LEC, ad adottare questa Norma Europea, senza alcuna
status of a National Standard without any alteration. modifica, come Norma Nazionale.
Up-to-date lists and bibliographical references con- Gli elenchi aggiornati e i relativi riferimenti di tali Nor-
cerning such National Standards may be obtained on me Nazionali possono essere ottenuti rivolgendosi al
application to the Central Secretariat or to any Segretariato Centrale del CENELEC o agli uffici di
CENELEC member. qualsiasi Comitato Nazionale membro.
This European Standard exists in three official ver- La presente Norma Europea esiste in tre versioni uffi-
sions (English, French, German). ciali (inglese, francese, tedesco).
A version in any other language and notified to the Una traduzione effettuata da un altro Paese membro,
CENELEC Central Secretariat has the same status as sotto la sua responsabilità, nella sua lingua nazionale
the official versions. e notificata al CENELEC, ha la medesima validità.
CENELEC members are the national electrotechnical I membri del CENELEC sono i Comitati Elettrotecnici
committees of: Austria, Belgium, Cyprus, Czech Repu- Nazionali dei seguenti Paesi: Austria, Belgio, Cipro,
blic, Denmark, Estonia, Finland, France, Germany, Danimarca, Estonia, Finlandia, Francia, Germania,
Greece, Hungary, Iceland, Ireland, Italy, Latvia, Li- Grecia, Irlanda, Islanda, Italia, Lettonia, Lituania,
thuanian, Luxembourg, Malta, Netherlands, Norway, Lussemburgo, Malta, Norvegia, Olanda, Portogallo,
Portugal, Poland, Slovakia, Slovenia, Spain, Sweden, Polonia, Regno Unito, Repubblica Ceca, Slovacchia,
Switzerland and United Kingdom. Slovenia, Spagna, Svezia, Svizzera e Ungheria.
© CENELEC Copyright reserved to all CENELEC members. I diritti di riproduzione di questa Norma Europea sono riservati esclu-
sivamente ai membri nazionali del CENELEC.
C E N E L E C
Comitato Europeo di Normalizzazione Elettrotecnica Secrétariat Central: Comité Européen de Normalisation Electrotechnique
European Committee for Electrotechnical Standardization rue de Stassart 35, B - 1050 Bruxelles Europäisches Komitee für Elektrotechnische Normung
CONTENTS INDICE
Rif. Topic Argomento Pag.
INTRODUCTION INTRODUZIONE 1
1 SCOPE CAMPO DI APPLICAZIONE 2
2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI 4
3 DEFINITIONS AND ABBREVIATIONS DEFINIZIONI ED ABBREVIAZIONI 5

3.1 Definitions ........................................................................................ Definizioni .......................................................................................... 5
3.2 Abbreviations .................................................................................. Abbreviazioni ................................................................................. 10
4 OVERALL FRAMEWORK OF STRUTTURA COMPLESSIVA DELLA

THIS STANDARD PRESENTE NORMA 11
5 CONDITIONS FOR SAFETY ACCEPTANCE AND CONDIZIONI PER L’ACCETTAZIONE E L’APPROVAZIONE

APPROVAL DELLA SICUREZZA 12

5.1 The Safety Case .............................................................................. L’istruttoria per la Sicurezza .................................................... 12
5.2 Evidence of quality management ......................................... Prova della gestione della qualità ........................................ 15
5.3 Evidence of safety management ............................................ Prove della gestione della sicurezza .................................. 18
5.4 Evidence of functional and technical safety .................... Prova della sicurezza funzionale e tecnica ..................... 24
5.5 Safety acceptance and approval ............................................ Accettazione e approvazione della sicurezza ................ 28
ANNEX/ALLEGATO
A SAFETY INTEGRITY LEVELS LIVELLI DI INTEGRITÀ DELLA SICUREZZA 36
ANNEX/ALLEGATO
B DETAILED TECHNICAL REQUIREMENTS REQUISITI TECNICI DETTAGLIATI 58
ANNEX/ALLEGATO
C IDENTIFICATION OF HARDWARE COMPONENT FAILURE IDENTIFICAZIONE DEI MODI DI MALFUNZIONAMENTO
MODES DEI COMPONENTI HARDWARE 77
ANNEX/ALLEGATO
D SUPPLEMENTARY TECHNICAL INFORMATION INFORMAZIONI TECNICHE SUPPLEMENTARI 102
ANNEX/ALLEGATO
E TECHNIQUES AND MEASURES FOR TECNICHE E MISURE DA METTERE IN ATTO NEI
SAFETY-RELATED ELECTRONIC SYSTEMS FOR SISTEMI ELETTRONICI DI SEGNALAMENTO
SIGNALLING FOR THE AVOIDANCE OF SYSTEMATIC CORRELATI CON LA SICUREZZA PER EVITARE
FAULTS AND THE CONTROL OF RANDOM AND GUASTI SISTEMATICI E CONTROLLARE I GUASTI
SYSTEMATIC FAULTS SISTEMATICI E CASUALI 115
ANNEX/ALLEGATO
6 BIBLIOGRAPHY BIBLIOGRAFIA 128
NORMA TECNICA
CEI EN 50129:2004-01
Pagina iv
FOREWORD PREFAZIONE
This European Standard was prepared by La Presente Norma Europea è stata preparata dal
SC 9XA, Communication, signalling and SC 9XA, Communication, signalling and process-
processing systems, of Technical Committee ing systems, del Comitato Tecnico CENELEC
CENELEC TC 9X, Electrical and electronic appli- TC 9X, Electrical and electronic applications for
cations for railways. railways.
The text of the draft was submitted to the for- Il testo del progetto è stato sottoposto al voto for-
mal vote and was approved by CENELEC as male ed è stato approvato dal CENELEC come
EN 50129 on 2002/12/01. Norma Europea EN 50129 in data 01/12/2002.
This European Standard supersedes La presente Norma Europea sostituisce la
ENV 50129:1998. ENV 50129:1998.
This European Standard was prepared under a La presente Norma Europea è stata preparata su
mandate given to CENELEC by the European mandato accordato al CENELEC dalla Commissio-
Commission and the European Free Trade Asso- ne Europea e dall’Associazione Europea per il Li-
ciation and supports the essential requirements bero Scambio (EFTA) e considera i requisiti essen-
of Directive 96/48/EC. ziali della Direttiva 96/48/CE.
The following dates were fixed: Sono state fissate le date seguenti:
latest date by which the EN has to be imple- data ultima entro la quale la EN deve essere
mented at national level by publication of recepita a livello nazionale mediante pubbli-
an identical national standard or by en- cazione di una Norma nazionale identica o
dorsement mediante adozione
(dop) 2003/12/01 (dop) 01/12/2003
latest date by which the national standards data ultima entro la quale le Norme nazio-
conflicting with the EN have to be with- nali contrastanti con la EN devono essere ri-
drawn tirate
(dow) 2005/12/01 (dow) 01/12/2005
Annexes designated “normative” are part of the Gli Allegati indicati come “normativi” sono parte
body of the standard. integrante della Norma.
Annexes designated “informative” are given for Gli Allegati indicati come “informativi” sono dati
information only. solo per informazione.
In this standard, Annexes A, B and C are nor- Nella presente Norma, gli Allegati A, B e C
mative and Annexes D and E are informative. sono normativi e gli Allegati D e E sono infor-
mativi.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina v
NORMA TECNICA
CEI EN 50129:2004-01
Pagina vi
ERRATA CORRIGE 1
NORMA CEI EN 50129 (CEI 9-55)

Seconda Edizione: 2004-01 (fasc. 7168)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di

telecomunicazione, segnalamento ed elaborazione - Sistemi elettronici di sicurezza per il
segnalamento
Pag. 88 tabella C3 b) Trasformatore, riga “Cortocircuito o riduzione dell’isolamento tra avvolgimenti” è stata
omessa erroneamente:
(*) Nota_Note 16.
Aprile 2007
INTRODUCTION INTRODUZIONE
This document is the first European Standard Il presente documento è la prima Norma europea
defining requirements for the acceptance and che definisce i requisiti per l’accettazione e per
approval of safety-related electronic systems in l’approvazione dei sistemi elettronici correlati con
the railway signalling field. Until now only la sicurezza nel settore del segnalamento ferrovia-
some differing national recommendations and rio. Fino ad ora esistevano su questo argomento
general advice of the UIC (International Union solamente varie raccomandazioni nazionali e di-
of Railways) on this topic were in existence. verse avvertenze generali provenienti dall’UIC.
Safety-related electronic systems for signalling I sistemi elettronici correlati con la sicurezza per il
include hardware and software aspects. To in- segnalamento includono aspetti hardware e softwa-
stall complete safety-related systems, both parts re. Per installare sistemi completi correlati con la si-
within the whole life-cycle of the system have curezza, entrambi gli aspetti devono essere presi in
to be taken into account. The requirements for considerazione per l’intero ciclo di vita del sistema. I
safety-related hardware and for the overall sys- requisiti che riguardano l’hardware correlato con la
tem are defined in this standard. Other require- sicurezza ed il sistema globale sono definiti nella
ments are defined in associated CENELEC presente Norma. Gli altri requisiti sono definiti nelle
standards. altre norme CENELEC collegate.
The aim of European railway authorities and Eu- Lo scopo delle imprese ferroviarie europee e
ropean railway industry is to develop compatible dell’industria ferroviaria europea è di sviluppare
railway systems based on common standards. sistemi ferroviari compatibili basati su delle nor-
Therefore cross-acceptance of Safety Approvals me comuni. Di conseguenza diventa necessario
for sub-systems and equipment by the different realizzare un’accettazione reciproca delle appro-
national railway authorities is necessary. This vazioni della sicurezza dei sottosistemi e apparec-
document is the common European base for chiature da parte delle varie Autorità Ferroviaria
safety acceptance and approval of electronic sys- nazionali. Il presente documento è il riferimento
tems for railway signalling applications. europeo comune per l’accettazione e per l’appro-
vazione della sicurezza dei sistemi elettronici per
le applicazioni del segnalamento ferroviario.
Cross-acceptance is aimed at generic approval, L’accettazione reciproca ha come scopo un’approva-
not specific applications. Public procurement zione della applicazione generica e non delle appli-
within the European Community concerning cazioni specifiche. In futuro gli approvvigionamenti
safety-related electronic systems for railway sig- pubblici all’interno della Comunità Europea nel set-
nalling applications will in future refer to this tore dei sistemi elettronici per applicazioni di segna-
standard when it becomes an EN. lamento ferroviario faranno riferimento alla presente
Norma quando diventerà una EN.
The standard consists of the main part (Clause 1 La presente Norma comprende un corpo princi-
to Clause 5) and Annexes A, B, C, D and E. The pale (articoli da 1 a 5) e gli allegati A, B, C, D e E.
requirements defined in the main part of the Le prescrizioni definite nel corpo principale della
standard and in Annexes A, B and C are norma- norma e negli allegati A, B e C sono normativi,
tive, whilst Annexes D and E are informative. mentre gli allegati D e E sono informativi.
This standard is in line with, and uses relevant sec- La presente Norma è in conformità con, e utilizza le
tions of EN 50126: “Railway applications: The Spec- sezioni applicabili della EN 50126 “Applicazioni fer-
ification and Demonstration of Dependability - Re- roviarie: La specificazione e dimostrazione di fida-
liability, Availability, Maintainability and Safety tezza - affidabilità, disponibilità, manutenibilità e si-
(RAMS)”. This standard and EN 50126 are based on curezza (RAMS)”. La presente Norma e la EN 50126
the system life-cycle and are in line with sono basate sul ciclo di vita del sistema e sono coe-
EN 61508-1, which is replaced by the set of renti con la EN 61508-1, che è stata sostituita dall’in-
EN 50126/EN 50128/EN 50129, as far as Railway sieme delle EN 50126/EN 50128/EN 50129, in modo
Communication, Signalling and Processing Systems da comprendere i sistemi ferroviari di segnalamento,
are involved. Meeting the requirements in these di telecomunicazione e di elaborazione. Il rispetto
standards is sufficient to ensure that further compli- delle prescrizioni di queste norme è sufficiente a ga-
ance to EN 61508-1 need not be evaluated. rantire che non è necessaria una ulteriore valutazio-
ne di conformità alla EN 61508-1.
Because this standard is concerned with the ev- Poiché la presente Norma riguarda le prove da for-
idence to be presented for the acceptance of nire per l’accettazione di sistemi correlati con la si-
safety-related systems, it specifies those life-cy- curezza, essa specifica quelle attività del ciclo di vita
cle activities which shall be completed before che devono essere terminate prima della fase di ac-
the acceptance stage, followed by additional cettazione, seguite dalle pianificate attività aggiunti-
CEI EN 50129:2004-01 NORMA TECNICA

136 CEI EN 50129:2004-01
Pagina 1 di 130
planned activities to be carried out after the ac- ve che sono da effettuare dopo la fase di accettazio-
ceptance stage. Safety justification for the whole ne. Viene richiesta quindi la giustificazione sulla
of the life-cycle is therefore required. sicurezza per l’intero ciclo di vita.
This standard is concerned with what evidence La presente Norma precisa quali prove devono
is to be presented. Except where considered essere presentate. A meno che non sia considera-
appropriate, it does not specify who should car- to opportuno, essa non specifica chi dovrebbe re-
ry out the necessary work, since this may vary alizzare questo lavoro, poiché questo può variare
in different circumstances. nelle diverse circostanze.
For safety-related systems which include pro- Per i sistemi correlati con la sicurezza, che com-
grammable electronics, additional conditions for prendono l’elettronica programmabile, le condi-
the software are defined in EN 50128. zioni supplementari per il software vengono defi-
nite nella EN 50128.
Additional requirements for safety-related data I requisiti supplementari per la trasmissione dei
communication are defined in EN 50159-1 and dati in sicurezza sono definiti nelle EN 50159-1 e
EN 50159-2. EN 50159-2.
1 SCOPE CAMPO DI APPLICAZIONE

This standard is applicable to safety-related La presente Norma è applicabile ai sistemi elettro-

electronic systems (including sub-systems and nici correlati con la sicurezza (ivi compresi i sotto-
equipment) for railway signalling applications. sistemi e le apparecchiature) per le applicazioni
del segnalamento ferroviario.
The scope of this standard, and its relationship Il campo di applicazione della presente Norma e
with other CENELEC standards, are shown in le sue relazioni con le altre norme CENELEC sono
Figure 1. illustrati nella Fig. 1.
This standard is intended to apply to all safe- La presente Norma è proposta per essere applica-
ty-related railway signalling systems/sub-sys- ta a tutti i sistemi/sottosistemi/apparecchiature di
tem/equipment. However, the hazard analysis segnalamento ferroviario correlati con la sicurez-
and risk assessment processes defined in za. Comunque, allo scopo di identificare ogni re-
EN 50126 and this standard are necessary for quisito di sicurezza per tutti i sistemi/sottosiste-
all railway signalling systems/sub-sys- mi/apparecchiature di segnalamento ferroviario
tems/equipment, in order to identify any safety correlati con la sicurezza, sono necessari i proces-
requirements. If analysis reveals that no safety si di analisi delle situazioni pericolose e di valuta-
requirements exist (i.e.: that the situation is zione dei rischi definiti nella EN 50126 ed in que-
non-safety-related), and provided the conclu- sta norma. Se l’analisi indica che non esiste alcun
sion is not revised as a consequence of later requisito di sicurezza (cioè che la situazione non
changes, this safety standard ceases to be ap- è correlata con la sicurezza) e a condizione che
plicable. tale conclusione non viene rivista in seguito ad
ulteriori cambiamenti, la presente Norma non è
più applicabile.
This standard applies to the specification, de- La presente Norma è applicabile alle fasi di specifi-
sign, construction, installation, acceptance, op- cazione, progettazione, realizzazione, installazione,
eration, maintenance and modification/exten- accettazione, esercizio, manutenzione e modifi-
sion phases of complete signalling systems, and ca/estensione di sistemi completi di segnalamento,
also to individual sub-systems and equipment ed anche di sottosistemi e apparecchiature apparte-
within the complete system. Annex C includes nenti al sistema. L’Allegato C comprende le proce-
procedures relating to electronic hardware com- dure che riguardano i componenti elettronici hard-
ponents. ware.
This standard applies to generic sub-systems and La presente Norma è applicabile ai sottosistemi e
equipment (both application-independent and alle apparecchiature generiche (sia indipendenti
those intended for a particular class of applica- dall’applicazione che proposti per una particolare
tion), and also to systems/sub-systems/equip- classe di applicazione) ed anche ai sistemi/sotto-
ment for specific applications. sistemi/apparecchiature per applicazioni specifi-
che.
This standard is not applicable to existing sys- La presente Norma non è applicabile ai sistemi/sot-
tems/sub-systems/equipment (i.e. those which tosistemi/apparecchiature generiche esistenti (cioè
had already been accepted prior to the creation a quelli che sono già stati accettati prima della defi-
of this standard). However, as far as reasonably nizione
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 2 di 130
practicable, this standard should be applied to della presente Norma). Tuttavia, laddove è ragio-
modifications and extensions to existing sys- nevolmente possibile, questa norma dovrebbe es-
tems, sub-systems and equipment. sere applicata alle modifiche e alle estensioni di
sistemi, sottosistemi e apparecchiature esistenti.
This standard is primarily applicable to sys- La presente Norma è applicabile specialmente ai si-
tems/sub-systems/equipment which have been stemi/sottosistemi/apparecchiature che sono stati
specifically designed and manufactured for rail- specificatamente progettati e realizzati per applica-
way signalling applications. It should also be zioni di segnalamento ferroviario. Si raccomanda
applied, as far as reasonably practicable, to gen- inoltre di applicarla, laddove è ragionevolmente
eral-purpose or industrial equipment (e.g.: possibile, alle apparecchiature generiche o indu-
power supplies, modems, etc.), which is pro- striali (ad esempio: alimentazione, modems, ecc.)
cured for use as part of a safety-related signal- che sono utilizzati come parte di un sistema di se-
ling system. As a minimum, evidence shall be gnalamento ferroviario correlato con la sicurezza. In
provided in such cases to demonstrate: tali casi è necessario,come minimo, portare prove
che dimostrino:
either that the equipment is not relied on for o che la sicurezza non è affidata all’apparec-
safety, chiatura
or that the equipment can be relied on for o che le funzioni correlate con la sicurezza
those functions which relate to safety. possono essere affidate all’apparecchiatura.
This standard is applicable to the functional La presente Norma è applicabile alla sicurezza
safety of railway signalling systems. It is not in- funzionale dei sistemi di segnalamento ferrovia-
tended to deal with the occupational health and rio. Non è destinata a trattare gli aspetti della salu-
safety of personnel; this subject is covered by te dei lavoratori e la sicurezza del personale; que-
other standards. sti aspetti vengono coperti da altre norme.
Fig. 1 Scope of the main CENELEC railway application Campo di applicazione delle principali norme CENELEC
standards per applicazioni ferroviarie
Sistema ferroviario
completo
Total Railway System
Sistema di segnalamento
ferroviario completo
Complete Railway
Signalling System
EN 50159
-1 e_and -2
EN 50126
(Comunicazione)
(Communication) (RAMS)
Sottosistema individuale
Individual Sub-System EN 50128 EN 50129
(Software) (Sicurezza di
(Software) sistema)
(System Safety)
Parte individuale dell’impianto

Individual Item of Equipment
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 3 di 130
2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI
This European Standard incorporates, by dated La presente Norma include, tramite riferimenti datati
or undated reference, provisions from other o non datati, disposizioni provenienti da altre Pub-
publications. These normative references are blicazioni. Questi riferimenti normativi sono citati
cited at the appropriate places in the text and nel testo, in appropriata posizione, e qui di seguito
the publications are listed hereafter. For dated sono elencate le Pubblicazioni. In caso di riferimenti
references, subsequent amendments to or revi- datati, le successive modifiche o revisioni di ciascu-
sions of any of these publications apply to this na di queste pubblicazioni si applicano alla presente
European Standard only when incorporated in Norma Europea solo quando introdotte in essa da
it by amendment or revision. For undated refer- una modifica o revisione. In caso di riferimenti non
ences the latest edition of the publication re- datati, si applica l’ultima edizione della Pubblicazio-
ferred to applies (including amendments). ne indicata (modifiche incluse).
Note/Nota Additional informative references are included in Bibliography. La bibliografia contiene ulteriori riferimenti informativi.
Pubblicazione Titolo Norma CEI

Publication Title CEI Standard
EN 50121 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane Compatibilità elet- Vedere CT
Serie_Series tromagnetica 9
Railway applications – Electromagnetic compatibility
EN 50124-1 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - Coordinamento 9-65/1
degli isolamenti – Parte 1: Requisiti base - Distanze in aria e distanze superficiali
per tutta l’apparecchiatura elettrica ed elettronica
Railway applications – Insulation coordination – Part 1: Basic requirements - Clearances
and creepage distances for all electrical and electronic equipment
EN 50124-2 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - Coordinamento 9-65/2
degli isolamenti – Parte 2: Sovratensioni e relative protezioni
Railway applications – Insulation coordination – Part 2: Overvoltages and related
protection
EN 50125-1 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Condizioni am- 9-60
bientali per gli equipaggiamenti - Parte 1: Equipaggiamenti nel materiale rotabile
Railway applications – Environmental conditions for equipment – Part 1: Equipment on
board rolling stock
EN 50125-3 Railway applications – Environmental conditions for equipment – Part 3: Equipment for —
signalling and communications
EN 50126 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - La specificazio- 9-58
ne e la dimostrazione di Affidabilità, Disponibilità, Manutenibilità e Sicurezza
(RAMS)
Railway applications – The specification and demonstration of Reliability, Availability,
Maintainability and Safety (RAMS)
EN 50128 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-72
municazione, segnalamento ed elaborazione - Software per sistemi ferroviari di
comando e di protezione
Railway applications – Communication, signalling and processing systems – Software for
railway control and protection systems
EN 50155 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Equipaggiamenti 9-30
elettronici utilizzati sul materiale rotabile
Railway applications – Electronic equipment used on rolling stock
EN 50159-1 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-66/1
municazione, segnalamento ed elaborazione - Parte 1: Comunicazioni di sicurez-
za in sistemi di trasmissione di tipo chiuso
Railway applications – Communication, signalling and processing systems - Part 1:
Safety-related communication in closed transmission systems
EN 50159-2 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di teleco- 9-66-2
municazione, segnalamento ed elaborazione - Parte 2: Comunicazioni di sicurez-
za in sistemi di trasmissione di tipo aperto
Railway applications – Communication, signalling and processing systems - Part 2: Safety
related communication in open transmission systems
EN 61508-1 Sicurezza funzionale dei sistemi elettrici, elettronici ed elettronici programmabili 65-74
per applicazioni di sicurezza - Parte 1: Requisiti generali
Functional safety of electrical/electronic/programmable electronic safety-related systems -
Part 1: General requirements
(IEC 61508-1)
IEC 60664 Insulation coordination for equipment within low-voltage systems —
Serie_Series
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 4 di 130
3 DEFINITIONS AND ABBREVIATIONS DEFINIZIONI ED ABBREVIAZIONI
3.1 Definitions Definizioni

For the purposes of this standard, the following Per le esigenze della presente Norma valgono le
definitions apply: seguenti definizioni:
3.1.1 Accident Incidente

An unintended event or series of events that re- Avvenimento o serie di avvenimenti inattesi che
sults in death, injury, loss of a system or service, provocano morti, feriti, la perdita di un sistema
or environmental damage. oppure di un servizio, oppure danni all’ambiente.
3.1.2 Assessment Valutazione

The process of analysis to determine whether the Processo di analisi per determinare se l’autorità di
design authority and the validator have achieved a progettazione ed il validatore hanno realizzato un
product that meets the specified requirements and prodotto che corrisponde ai requisiti specificati e
to form a judgement as to whether the product is per costituire un giudizio sull’adeguatezza del
fit for its intended purpose. prodotto per l’uso stabilito per esso.
3.1.3 Authorisation Autorizzazione

The formal permission to use a product within Permesso formale per utilizzare un prodotto nei
specified application constraints. limiti dell’applicazione specificata.
3.1.4 Availability Disponibilità

The ability of a product to be in a state to per- Capacità di un prodotto di essere in condizione di
form a required function under given condi- eseguire una funzione richiesta nelle condizioni im-
tions at a given instant of time or over a given poste ad un determinato istante oppure durante un
time interval assuming that the required exter- determinato intervallo di tempo, supponendo che si-
nal resources are provided. ano state fornite le risorse esterne necessarie.
3.1.5 Can Può (è possible ..)

Is possible. Indica che l’azione del verbo associato è possibile
3.1.6 Causal analysis Analisi delle cause

Analysis of the reasons how and why a particu- Analisi delle modalità e motivazioni che possono
lar hazard may come into existence. dare origine ad una particolare situazione di pericolo.
3.1.7 Common-cause failure Malfunzionamento di modo comune

Failure common to items which are intended to Malfunzionamento comune per elementi che è
be independent. previsto siano indipendenti.
3.1.8 Consequence analysis Analisi delle conseguenze

Analysis of events which are likely to happen Analisi degli eventi che è probabile accadano
after a hazard has occurred. dopo che si è verificata una situazione pericolosa.
3.1.9 Configuration Configurazione

The structuring and interconnection of the hard- Strutturazione ed interconnessione tra l’hardware
ware and software of a system for its intended ed il software di un sistema per una sua applica-
application. zione designata.
3.1.10 Cross-acceptance Accettazione reciproca

The status achieved by a product that has been Condizione raggiunta da un prodotto che è stato ac-
accepted by one authority to the relevant Europe- cettato da un’autorità secondo le norme europee in
an Standards and is acceptable to other authorities vigore e che è accettabile da parte delle altre autori-
without the necessity for further assessment. tà senza richiedere una ulteriore valutazione.
3.1.11 Design Progettazione

The activity applied in order to analyse and Attività svolta per analizzare e per trasformare i
transform specified requirements into accepta- requisiti specificati in soluzioni di progettazione
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 5 di 130
ble design solutions which have the required accettabili che hanno il Livello di Integrità della
safety integrity. Sicurezza richiesto.
3.1.12 Design authority Autorità di progettazione

The body responsible for the formulation of a Entità responsabile della formulazione delle scelte
design solution to fulfil the specified require- di progettazione per soddisfare i requisiti specifi-
ments and for overseeing the subsequent devel- cati e della supervisione degli ulteriori sviluppi e
opment and setting-to-work of a system in its dell’avviamento di un sistema nel suo ambiente
intended environment. designato.
3.1.13 Diversity Diversità

A means of achieving all or part of the specified Mezzo che consente di soddisfare totalmente o in
requirements in more than one independent parte i requisiti specificati, in più modi indipen-
and dissimilar manner. denti e diversi.
3.1.14 Equipment Apparecchiatura

A functional physical item. Unità fisica funzionale.
3.1.15 Error Errore

A deviation from the intended design which Deviazione dalla progettazione preventivata capa-
could result in unintended system behaviour or ce di dare luogo ad un comportamento non pre-
failure. visto del sistema o ad un malfunzionamento.
3.1.16 Fail-safe In sicurezza (fail-safe)

A concept which is incorporated into the design Concetto incluso nella progettazione di un pro-
of a product such that, in the event of a failure, dotto, in modo che, nell’eventualità di un guasto,
it enters or remains in a safe state. esso entri o rimanga in uno stato di sicurezza.
3.1.17 Failure Malfunzionamento

A deviation from the specified performance of a Deviazione di un sistema rispetto alle prestazioni
system. A failure is the consequence of a fault specificate. Un malfunzionamento è la conse-
or error in the system. guenza di un guasto o di un errore nel sistema.
3.1.18 Fault Guasto

An abnormal condition that could lead to an er- Condizione anomala capace di provocare un er-
ror in a system. A fault can be random or sys- rore nel sistema. Un guasto può essere casuale o
tematic. sistematico.
3.1.19 Fault detection time Tempo di rilevazione di un guasto

Time span which begins at the instant when a Intervallo di tempo che inizia nel momento in cui
fault occurs and ends when the existence of the avviene un guasto e che finisce quando il guasto
fault is detected. è stato rilevato.
3.1.20 Function Funzione

A mode of action or activity by which a product Una modalità dell’azione od attività tramite la
fulfils its purpose. quale un prodotto soddisfa le sue finalità.
3.1.21 Hazard Situazione pericolosa (hazard)

A condition that could lead to an accident. Condizione che potrebbe portare ad un incidente.
3.1.22 Hazard analysis Analisi delle situazioni pericolose

The process of identifying hazards and analys- Processo di identificazione delle situazioni pericolo-
ing their causes, and the derivation of require- se e di analisi delle loro cause, e deduzione di re-
ments to limit the likelihood and consequences quisiti per limitare la probabilità e le conseguenze
of hazards to a tolerable level. della situazione pericolosa ad un livello accettabile.
3.1.23 Hazard log Registro delle situazioni pericolose

The document in which all safety management Documento nel quale tutte le attività di gestione
activities, hazards identified, decisions made della sicurezza, le situazioni pericolose identifica-
and solutions adopted, are recorded or refer- te, le decisioni prese e le soluzioni adottate ven-
enced. gono registrate o referenziate.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 6 di 130
3.1.24 Human error Errore umano
A human action (mistake), which can result in Azione umana (errore), che può avere per risulta-
unintended system behaviour/failure. to un comportamento indesiderato del sistema
/un malfunzionamento.
3.1.25 Implementation Attuazione

The activity applied in order to transform the Attività che ha il fine di trasformare i progetti spe-
specified designs into their physical realisation cificati nella loro realizzazione fisica.
3.1.26 Independence (functional) Indipendenza (funzionale)

Freedom from any mechanism which can affect Assenza di ogni meccanismo che può influenzare
the correct operation of more than one function il corretto funzionamento di più funzioni in segui-
as a result of either systematic or random failure. to ad un malfunzionamento casuale o sistematico.
3.1.27 Independence (human) Indipendenza (delle persone)

Freedom from involvement in the same intellec- Assenza di coinvolgimento nella stessa area intel-
tual, commercial and/or management entity. lettuale, commerciale e/o gestionale.
3.1.28 Independence (physical) Indipendenza (fisica)

Freedom from any mechanism which can affect Assenza di ogni meccanismo che possa influenza-
the correct operation of more than one sys- re il corretto funzionamento di più sistemi /sotto-
tem/sub-system/equipment as a result of ran- sistemi/apparecchiature in seguito a malfunziona-
dom failures. menti casuali.
3.1.29 Individual risk Rischio individuale

A risk which is related to a single individual only. Rischio che è relazionato ad un solo individuo.
3.1.30 Maintainability Manutenibilità

The probability that a given active maintenance Probabilità che per una data unità, utilizzata in
action, for an item under given conditions of condizioni di impiego stabilite, possa essere svol-
use can be carried out within a stated time in- ta, durante un intervallo di tempo stabilito, una
terval when the maintenance is performed un- data azione di manutenzione attiva, attuata secon-
der stated conditions and using stated proce- do condizioni stabilite e con l’impiego delle pro-
dures and resources. cedure e dei mezzi prescritti.
3.1.31 Maintenance Manutenzione

The combination of all technical and adminis- Combinazione di tutte le azioni tecniche ed orga-
trative actions, including supervision actions, in- nizzative, comprese le operazioni di sorveglianza,
tended to retain an item in, or restore it to, a destinate a mantenere oppure a riportare una uni-
state in which it can perform its required func- tà nella condizione che le consente di svolgere la
tion. funzione ad essa richiesta.
3.1.32 May Potrebbe (è permesso ..)

Is permissible. Indica che l’azione del verbo associato è permes-
sa, ammissibile
3.1.33 Negation Negazione

Enforcement of a safe state following detection Imposizione di uno stato sicuro a seguito del rile-
of a hazardous fault. vamento di un guasto pericoloso.
3.1.34 Negation time Tempo di negazione

Time span which begins when the existence of Intervallo di tempo che inizia nel momento in cui
a fault is detected and ends when a safe state is l’esistenza di un guasto è rilevata e che finisce
enforced. quando lo stato di sicurezza è stato imposto.
3.1.35 Product Prodotto

A collection of elements, interconnected to form a Insieme di elementi legati tra di loro per formare
system/sub-system/equipment, in a manner which un sistema/sottosistema/apparecchiatura in modo
meets the specified requirements. che rispettino i requisiti specificati.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 7 di 130
3.1.36 Quality Qualità
A user perception of the attributes of a product. Percezione degli attributi di un prodotto da parte
dell’utilizzatore.
3.1.37 Railway authority Autorità Ferroviaria

The body with the overall accountability to a Organismo con la completa responsabilità, verso
safety authority for operating a safe railway sys- l’Autorità di Sicurezza, della gestione di un siste-
tem. ma ferroviario in sicurezza.
3.1.38 Random failure integrity Integrità dei malfunzionamenti casuali

The degree to which a system is free from haz- Misura con la quale un sistema è esente da guasti
ardous random faults. casuali pericolosi.
3.1.39 Random fault Guasto casuale

Unpredictable occurrence of a fault. Accadimento imprevedibile di un guasto.
3.1.40 Redundancy Ridondanza

The provision of one or more additional meas- Presenza di una o più misure addizionali, solitamen-
ures, usually identical, to provide fault tolerance. te identiche, per ottenere la tolleranza ai guasti.
3.1.41 Reliability Affidabilità

The ability of an item to perform a required Capacità di un’unità di compiere una funzione ri-
function under given conditions for a given pe- chiesta, in condizioni stabilite e per un determina-
riod of time. to periodo di tempo.
3.1.42 Repair Riparazione

Measures for re-establishing the required state of Provvedimenti destinati a riportare un sistema/sotto-
a system/sub-system/equipment after a fault/fail- sistema/apparecchiatura allo stato richiesto dopo un
ure. guasto/malfunzionamento.
3.1.43 Risk Rischio

The combination of the frequency, or probabili- Combinazione della frequenza o della probabilità
ty, and the consequence of a specified hazard- e delle conseguenze di un evento pericoloso spe-
ous event. cificato.
3.1.44 Safe state Stato sicuro

A condition which continues to preserve safety. Stato che continua a garantire la sicurezza.
3.1.45 Safety Sicurezza

Freedom from unacceptable levels of risk of Assenza di livelli intollerabili di rischio di danno.
harm.
3.1.46 Safety acceptance Accettazione della sicurezza

The safety status given to a product by the final Stato di sicurezza conferito ad un prodotto
user. dall’utilizzatore finale.
3.1.47 Safety approval Approvazione della sicurezza

The safety status given to a product by the req- Stato di sicurezza conferito ad un prodotto dall’auto-
uisite authority when the product has fulfilled a rità competente quando il prodotto ha raggiunto un
set of pre-determined conditions. insieme di condizioni predeterminate.
3.1.48 Safety authority Autorità di Sicurezza

The body responsible for delivering the authori- Entità responsabile di fornire l’autorizzazione per
sation for the operation of the safety related la messa in servizio di un sistema correlato con la
system. sicurezza.
3.1.49 Safety case Istruttoria per la Sicurezza

The documented demonstration that the product Dimostrazione documentata che il prodotto corri-
complies with the specified safety requirements. sponde ai requisiti di sicurezza specificati.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 8 di 130
3.1.50 Safety integrity Integrità della sicurezza
The ability of a safety-related system to achieve Attitudine di un sistema correlato con la sicurezza di
its required safety functions under all the stated compiere le sue funzioni di sicurezza in tutte le con-
conditions within a stated operational environ- dizioni specificate, all’interno di un ambiente operati-
ment and within a stated period of time. vo specificato ed entro un definito periodo di tempo.
3.1.51 Safety Integrity Level Livello di Integrità della Sicurezza

A number which indicates the required degree of Numero che indica il richiesto grado di attendibi-
confidence that a system will meet its specified lità che un sistema realizzerà le sue funzioni di si-
safety functions with respect to systematic failures. curezza, tenendo conto dei suoi malfunzionamen-
ti sistematici.
3.1.52 Safety life-cycle Ciclo di vita sicurezza

The additional series of activities carried out in Insieme aggiuntivo di attività svolte in parallelo
conjunction with the system life-cycle for safe- del ciclo di vita del sistema per i sistemi correlati
ty-related systems. con la sicurezza.
3.1.53 Safety management Gestione della sicurezza

The management structure which ensures that Struttura di gestione che garantisce che il proces-
the safety process is properly implemented. so di sicurezza viene correttamente attuato.
3.1.54 Safety plan Piano di sicurezza

The implementation details of how the safety Dettagli della attuazione che indicano il modo in
requirements of the project will be achieved. cui i requisiti di sicurezza del progetto saranno
raggiunti.
3.1.55 Safety process Processo di sicurezza

The series of procedures that are followed to Insieme delle procedure da seguire per consentire
enable all safety requirements of a product to l’identificazione e la soddisfazione di tutti i requi-
be identified and met. siti di sicurezza di un prodotto.
3.1.56 Safety-related Correlato con la sicurezza

Carries responsibility for safety. Porta responsabilità per la sicurezza.
3.1.57 Shall Deve (è obbligatorio ..)

Is mandatory. Indica che l’azione del verbo associato èobbliga-
toria.
3.1.58 Should Dovrebbe (è raccomandato ..)

Is recommended. Indica che l’azione del verbo associato è racco-
mandata.
3.1.59 Signalling system Sistema di segnalamento

Particular kind of system used on a railway to Tipo particolare di sistema utilizzato nelle ferrovie
control and protect the operation of trains. per controllare e proteggere l’esercizio dei treni.
3.1.60 Stress profile Profilo delle sollecitazioni

The degree and number of external influences Livello e numero delle influenze esterne che un
which a product can withstand whilst perform- sistema è in grado di sopportare, mentre compie
ing its required functionality. la sua richiesta funzionalità.
3.1.61 Sub-system Sottosistema

A portion of a system which fulfils a specialised Parte di un sistema che realizza una funzione spe-
function. cializzata.
3.1.62 System Sistema

A set of sub-systems which interact according to Insieme di sottosistemi che interagiscono confor-
a design. memente ad un progetto.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 9 di 130
3.1.63 Systematic failure integrity Integrità dei malfunzionamenti sistematici
The degree to which a system is free from uniden- Misura con la quale un sistema è esente da errori
tified hazardous errors and the causes thereof. pericolosi non identificati e dalle relative cause.
3.1.64 Systematic fault Guasto sistematico

An inherent fault in the specification, design, Guasto intrinseco nella specificazione, progettazione,
construction, installation, operation or mainte- fabbricazione, installazione, esercizio e manutenzio-
nance of a system, sub-system or equipment. ne di un sistema, sottosistema o apparecchiatura.
3.1.65 System life-cycle Ciclo di vita del sistema

The series of activities occurring during a peri- Insieme di attività che intervengono durante il pe-
od of time that starts when a system is con- riodo che incomincia quando il sistema è conce-
ceived and ends at decommissioning when the pito e che finisce al momento in cui non è più di-
system is no longer available for use. sponibile all’impiego.
3.1.66 Technical safety report Relazione sulla sicurezza tecnica

Documented technical evidence for the safety of Prova tecnica documentata per la sicurezza della
the design of a system/sub-system/equipment. progettazione di un sistema, sottosistema o appa-
recchiatura.
3.1.67 Validation Validazione

The activity applied in order to demonstrate, by Attività svolta per dimostrare, tramite prove ed
test and analysis, that the product meets in all analisi, che il prodotto soddisfa integralmente i
respects its specified requirements. suoi requisiti specificati.
3.1.68 Verification Verifica

The activity of determination, by analysis and test, at Attività per la determinazione, tramite analisi e
each phase of the life-cycle, that the requirements prove, ad ogni fase del ciclo di vita, che i requisiti
of the phase under consideration meet the output della fase in esame soddisfano le risultanza della
of the previous phase and that the output of the fase precedente e che le risultanze della fase in
phase under consideration fulfils its requirements. esame ne soddisfino i requisiti.
3.2 Abbreviations Abbreviazioni

For the purposes of this standard, the following Per le esigenze della presente Norma, si usano le
abbreviations apply: seguenti abbreviazioni:
3.2.1 AC alternating current C.A. corrente alternata
3.2.2 ATP Automatic Train Protection ATP protezione automatica del treno
3.2.3 CENELEC European Committee for Elec- CENELEC Comitato Europeo di Normalizzazione
trotechnical Standardisation Elettrotecnica
3.2.4 CCF common-cause failure CCF malfunzionamento di modo comune
(common-cause failure)
3.2.5 DC direct current C.C. corrente continua
3.2.6 EMC electromagnetic compatibility EMC compatibilità elettromagnetica
3.2.7 EMI electromagnetic interference EMI interferenza elettromagnetica
3.2.8 EN European Standard EN Norma Europea
(Europäische Norm)
3.2.9 ESD electrostatic discharge ESD scarica elettrostatica
3.2.10 FET field effect transistor FET transistor ad effetto di campo
3.2.11 FMEA Failure Modes and Effects FMEA analisi dei modi di malfunzionamento
Analysis e dei loro effetti
3.2.12 FR Failure rate FR Tasso di malfunzionamento
3.2.13 FTA Fault Tree Analysis FTA Analisi dell’albero dei guasti
3.2.14 H Hazard H Situazione pericolosa
3.2.15 HW Hardware HW Hardware
3.2.16 IEC International Electrotechni- IEC Comitato Elettrotecnico Internazionale
cal Commission
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 10 di 130
3.2.17 IRSE Institution of Railway Signal IRSE Istituzione degli Ingegneri di Segnala-
Engineers mento Ferroviario
3.2.18 ISO International Standards Or- ISO Organizzazione Internazionale di Nor-
ganisation malizzazione
3.2.19 RAMS reliability, availability, main- RAMS Affidabilità, Disponibilità, Manutenibi-
tainability and safety lità, Sicurezza (RAMS)
3.2.20 SCR silicon controlled rectifier SCR Raddrizzatori controllati al silicio
3.2.21 SDR Safe down rate SDR Tasso di riduzione della sicureza
3.2.22 SDT Safe down time SDT Tempo di riduzione della sicurezza
3.2.23 SIL Safety Integrity Level SIL Livello di Integrità della Sicurezza
3.2.24 SW software SW Software
3.2.25 THR tolerable hazard rate THR Tasso Tollerabile di situazioni Pericolose
3.2.26 UIC International Union of Rail- UIC Unione internazionale delle ferrovie
ways (Union Internationale des Chemins de fer
3.2.27 VDR voltage-dependent resistor VDR resistore variabile con la tensione
4 OVERALL FRAMEWORK OF THIS STANDARD STRUTTURA COMPLESSIVA DELLA PRESENTE

NORMA
Clause 5 of this European Standard requires L’Articolo 5 della presente Norma europea ri-
that a systematic, documented approach be tak- chiede che un approccio sistematico e documen-
en to: tato sia adottato per:
evidence of quality management, la prova della gestione della qualità.
evidence of safety management, la prova della gestione della sicurezza.
evidence of functional and technical safety, la prova della sicurezza funzionale e tecnica.
safety acceptance and approval. l’accettazione e l’approvazione della sicurezza.
Annex A (normative) defines the interpreta- L’Allegato A (normativo) definisce l’interpreta-

tion and use of Safety zione e l’utilizzazione
Integrity Levels. dei Livelli di Integrità
della Sicurezza
Annex B (normative) contains detailed tech- L’Allegato B (normativo) contiene i requisiti tec-
nical requirements for nici dettagliati per siste-
safety-related sys- mi/sottosistemi/appa-
tems/sub-sys- recchiature correlati
tems/equipment. con la sicurezza.
Annex C (normative) contains procedures L’Allegato C (normativo) contiene procedure
and information for ed informazioni per
identifying the credible identificare i modi re-
failure modes of hard- alistici di malfunzio-
ware components. namento delle com-
ponenti hardware.
Annex D (informative) contains supplementa- L’Allegato D (informativo) contiene informazio-
ry technical informa- ni tecniche supple-
tion. mentari.
Annex E (informative) contains tables of tech- L’Allegato E (informativo) contiene tabelle di
niques/measures to be tecniche/metodolo-
used for various levels gie da utilizzare per i
of safety integrity. vari livelli di Integrità
della Sicurezza.
Bibliography contains references to La Bibliografia contiene i riferimenti ai
documents that have documenti che sono
been consulted during stati consultati durante
the preparation of this la preparazione della
standard. presente Norma.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 11 di 130
The structure of this standard is summarised in La struttura della presente Norma è riassunta in
Figure 2. Fig. 2.
Fig. 2 Structure of EN 50129 Struttura della EN50129
EN 50129
Articolo 1 Articolo 2 Articolo 3 Articolo 4 Articolo 5

Clause 1 Clause 2 Clause 3 Clause 4 Clause 5
5.1
5.1 5.2
5.2 5.3
5.3 5.4
5.4 5.5
5.5
Normativa
Allegato A Allegato B Normative
Annex A Annex B
B.1
B.1 B.2
B.2 B.3
B.3 B.4
B.4 B.5
B.5 B.6
B.6
Allegato C
Annex C
Riferimenti
bibliografici Allegato D Allegato E Informativo
Reference Annex D Annex E Informative
bibliography
5 CONDITIONS FOR SAFETY ACCEPTANCE AND CONDIZIONI PER L’ACCETTAZIONE E

APPROVAL L’APPROVAZIONE DELLA SICUREZZA
5.1 The Safety Case L’istruttoria per la Sicurezza

This standard defines the conditions that shall La presente Norma definisce le condizioni da rispet-
be satisfied in order that a safety-related elec- tare perché un sistema/sottosistema/apparecchiatura
tronic railway system/sub-system/equipment elettronica ferroviaria correlati con la sicurezza pos-
can be accepted as adequately safe for its in- sano essere accettati come sufficientemente sicuri
tended application. per la loro definita applicazione.
The conditions for safety acceptance are pre- Le condizioni per l’accettazione della sicurezza
sented in this standard under three headings, sono riportate nella presente Norma sotto tre tito-
namely: li, cioè:
5.2 Evidence of quality management, 5.2 Prove della gestione della qualità,
5.3 Evidence of safety management, 5.3 Prove della gestione della sicurezza,
5.4 Evidence of functional and technical 5.4 Prova della sicurezza funzionale e tecnica.
safety.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 12 di 130
All of these conditions shall be satisfied, at Tutte queste condizioni devono essere soddisfatte, ai
equipment, sub-system and system levels, be- livelli di apparecchiatura, di sottosistema e di sistema,
fore the safety-related system can be accepted prima che un sistema correlato con la sicurezza possa
as adequately safe. essere accettato come sufficientemente sicuro.
The documentary evidence that these condi- La prova documentale che queste condizioni sono
tions have been satisfied shall be included in a state soddisfatte deve fare parte di un documento
structured safety justification document, known strutturato di giustificazione della sicurezza, chia-
as the Safety Case. The Safety Case forms part mato Istruttoria per la Sicurezza. L’Istruttoria per la
of the overall documentary evidence to be sub- Sicurezza fa parte della prova documentale globale
mitted to the relevant safety authority in order da sottoporre alla competente Autorità di Sicurez-
to obtain safety approval for a generic product, za, per ottenere l’approvazione della sicurezza per
a class of application or a specific application. un prodotto generico, una classe di applicazioni
For an explanation of the safety approval proc- oppure una applicazione specifica. Per una spiega-
ess, see 5.5 of this standard. zione del processo di approvazione della sicurez-
za, vedere il punto 5.5. della presente Norma.
The Safety Case contains the documented safety L’Istruttoria per la Sicurezza contiene la prova do-
evidence for the system/sub-system/equipment, cumentata di sicurezza per il sistema/sottosiste-
and shall be structured as follows: ma/apparecchiatura e deve essere strutturata nel
modo seguente:
Part 1 Definition of System (or sub-sys- Parte 1 Definizione del sistema (o del sotto-
tem/equipment) sistema/apparecchiatura)
This shall precisely define or reference the sys- Questa parte deve definire in maniera precisa, op-
tem/sub-system/equipment to which the Safety pure referenziare, il sistema/sottosistema/apparec-
Case refers, including version numbers and chiatura che corrisponde all’Istruttoria per la Sicurez-
modification status of all requirements, design za, comprendendo i numeri della versione e lo stato
and application documentation. delle modifiche di tutta la documentazione sui re-
quisiti, la progettazione e l’applicazione.
Part 2 Quality Management Report Parte 2 Relazione di gestione della qualità
This shall contain the evidence of quality man- Questa parte deve contenere la prova della gestio-
agement, as specified in 5.2 of this standard. ne della qualità, come specificato nel punto 5.2
della presente Norma.
Part 3 Safety Management Report Parte 3 Relazione di gestione della sicurezza
This shall contain the evidence of safety man- Questa parte deve contenere la prova della gestio-
agement, as specified in 5.3 of this standard. ne della sicurezza, come specificato nel punto 5.3
della presente Norma.
Part 4 Technical Safety Report Parte 4 Relazione sulla Sicurezza Tecnica
This shall contain the evidence of functional Questa parte deve contenere la prova della sicu-
and technical Safety, as specified in 5.4 of this rezza funzionale e tecnica, come specificato nel
standard. punto 5.4 della presente Norma.
Part 5 Related Safety Cases Parte 5 Istruttorie per la Sicurezza collegate
This shall contain references to the Safety Cases Questa parte deve contenere i riferimenti delle
of any sub-systems or equipment on which the Istruttorie per la Sicurezza di tutti i sottosistemi o
main Safety Case depends. apparecchiature dalle quali dipende l’Istruttoria
principale.
It shall also demonstrate that all the safety-related Essa deve inoltre dimostrare che tutte le condizio-
application conditions specified in each of the re- ni di applicazione correlate con la sicurezza, spe-
lated sub-system/equipment Safety Cases are cificate in ciascuna delle Istruttorie di Sicurezza
collegate di sottosistemi/apparecchiature, sono
either fulfilled in the main Safety Case, o soddisfatte nell’Istruttoria principale per la
Sicurezza,
or carried forward into the safety-related o riportate nelle condizioni di applicazione
application conditions of the main correlate con la sicurezza dell’Istruttoria
Safety Case. principale per la Sicurezza.
Part 6 Conclusion Parte 6 Conclusione
This shall summarise the evidence presented in Questa parte deve riassumere le prove presentate
the previous parts of the Safety Case, and argue nelle parti precedenti dell’Istruttoria per la Sicurezza,
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 13 di 130
that the relevant system/sub-system/equipment e giustificare che il sistema/il sottosistema/l’apparec-
is adequately safe, subject to compliance with chiatura sono adeguatamente sicuri e sono conformi
the specified application conditions. alle condizioni applicative specificate.
The structure of the Safety Case is illustrated in La struttura dell’Istruttoria per la Sicurezza è illu-
Figure 3. strata in Fig. 3.
Large volumes of detailed evidence and sup- Non è necessario includere molte prove e docu-
porting documentation need not be included in menti dettagliati nell’Istruttoria per la Sicurezza e
the Safety Case and in its parts, provided pre- nelle sue varie parti, a condizione che vengano
cise references are given to such documents forniti precisi riferimenti a tali documenti e a con-
and provided the base concepts used and the dizione che i concetti di base utilizzati e gli ap-
approaches taken are clearly specified. procci adottati siano chiaramente specificati.
Fig. 3 Structure of Safety Case Struttura dell’Istruttoria per la Sicurezza
Parte 6: Conclusioni
Part 6: Conclusion
Parte 5: Istruttorie per la sicurezza

collegate
Part 5: Related
Safety Cases
Parte 4: Relazione sulla Sicurezza

Tecnica
Part 4: Technical
Safety Report
Parte 3: Relazione di gestione del-

la sicurezza
Part 3: Safety
Management Report
Parte 2: Relazione di gestione del-

la qualita
Part 2: Quality
Management Report
Parte 1: Definizione del sistema

Part 1: Definition of System
ISTRUTTORIA PER
LA SICUREZZA
SAFETY CASE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 14 di 130
5.2 Evidence of quality management Prova della gestione della qualità
The first condition for safety acceptance that La prima condizione che deve essere rispettata
shall be satisfied is that the quality of the sys- per l’accettazione della sicurezza è che la qualità
tem, sub-system or equipment has been, and del sistema, del sottosistema o dell’apparecchia-
shall continue to be, controlled by an effective tura sia stata e continuerà ad essere controllata
quality management system throughout its per tutto il ciclo di vita tramite un sistema di ge-
life-cycle. Documentary evidence to demon- stione della qualità efficace. Per dimostrare que-
strate this shall be provided in the Quality Man- sto, la prova documentale deve essere fornita nel-
agement Report, which forms Part 2 of the Safe- la relazione di gestione della qualità, che forma la
ty Case. Parte 2 dell’Istruttoria per la Sicurezza.
The purpose of the quality management system Lo scopo del sistema di gestione della qualità è di
is to minimise the incidence of human errors at minimizzare l’incidenza degli errori umani duran-
each stage in the life-cycle, and thus to reduce te ogni fase del ciclo di vita, e di ridurre il rischio
the risk of systematic faults in the system, di guasti sistematici nel sistema, nel sottosistema
sub-system or equipment. o nell’apparecchiatura.
The quality management system shall be applica- Il sistema di gestione della qualità deve essere ap-
ble throughout the system/sub-system/equipment plicabile per l’intero ciclo di vita del sistema /sot-
life-cycle, as defined in EN 50126. An example of a tosistema o apparecchiatura, come stabilito nella
system life-cycle diagram (from EN 50126) is repro- EN 50126. Un esempio del diagramma del ciclo di
duced as Figure 4 of this standard. vita di un sistema (proveniente dalla EN 50126) è
riprodotto in Fig. 4 della presente Norma.
Note/Nota Examples of aspects which should be controlled by the quali- Esempi degli aspetti che dovrebbero essere controllati per mez-
ty management system and included in the Quality Man- zo della gestione della qualità ed inclusi nella Relazione di Ge-
agement Report: stione della Qualità:
organisational structure; struttura dell’organizzazione;
quality planning and procedures; pianificazione della qualità e procedure;
specification of requirements; specifica dei requisiti;
design control; controllo della progettazione;
design verification and reviews; verifica della progettazione e revisioni;
application engineering; ingegnerizzazione;
procurement and manufacture; approvvigionamento e fabbricazione;
product identification and traceability; identificazione del prodotto e tracciabilità;
handling and storage; immagazzinamento e stoccaggio;
inspection and testing; ispezione e prove;
non-conformance and corrective action; non conformità ed azioni correttive;
packaging and delivery; imballaggio e consegna;
installation and commissioning; installazione e messa in servizio;
operation and maintenance; esercizio e manutenzione;
quality monitoring and feedback; sorveglianza della qualità e ritorni di esperienza;
documentation and records; documentazione e registrazioni;
configuration management/change control; gestione della configurazione / controllo delle modifiche;
personnel competency and training; competenza del personale e formazione;
quality audits and follow-up; audits di qualità e le loro conseguenze;
decommissioning and disposal. ritiro dall’esercizio e dismissione.
Compliance with the requirements for quality La conformità con i requisiti per la gestione della
management is mandatory for Safety Integrity qualità è obbligatoria per i Livelli di Integrità della
Levels 1 to 4 inclusive, (see Annex A for expla- Sicurezza da 1 a 4 compreso (vedi Allegato A per
nation of Safety Integrity Levels). However, the le spiegazioni sui livelli di Integrità della Sicurez-
depth of the evidence presented and the extent za). Comunque il livello di dettaglio delle prove
of the supporting documentation should be ap- presentate e la copertura della documentazione di
propriate to the Safety Integrity Level of the sys- supporto dovrebbero essere appropriati al Livello
tem/sub-system/equipment under scrutiny (see di Integrità della Sicurezza del sistema/sottosiste-
Table E.1 and Table E.8 for guidance on evi- ma o apparecchiatura esaminati (vedi Tab. E.1 e
dence required for each Safety Integrity Level). Tab. E.8 per una guida sulle prove richieste per
The requirements for Safety Integrity Level 0 ogni Livello di Integrità della Sicurezza). I requisiti
(non-safety-related) are outside the scope of per il Livello 0 di Integrità della Sicurezza (non
this safety standard. correlato con la sicurezza) sono fuori del campo
di applicazione della presente Norma di sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 15 di 130
Fig. 4 Example of system life-cycle (from EN 50126)
Note/Nota The phase at which a modification enters the life-cycle will
be dependent upon both the system being modified and the
specific mollification under consideration.
1
Concept
2
System Definition and
Application Conditions
3
Risk Analysis
4
System Requirements
5
Apportionment of
System Requirements
6
Design and Implementation
7
Manufacture
8
Installation
9
System Validation (including
Safety Acceptance and
Commissioning)
System Acceptance
10
12 11 13
Performance Monitoring Operation and Maintenance Modification and Retrofit
14 Re-apply Lifecycle
Decommissioning and Disposal (See note)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 16 di 130
Esempio del ciclo di vita del sistema (dalla EN 50126)
La fase nella quale una modifica viene introdotta nel ciclo di
vita dipende sia dal sistema modificato che dalla particolare
modifica considerata.
Concezione
1
2
Definizione del sistema e con-
dizioni di applicazione
3
Analisi del rischio
Requisiti del sistema 4
Ripartizione dei requisiti del 5

sistema
Progettazione e 6
realizzazione
Costruzione 7
Installazione
8
9
Validazione del sistema
(inclusa l’approvazione della si-
curezza e la messa in servizio)
Accettazione del sistema 10
12 11 13
Esercizio e manutenzione
Controllo delle prestazioni Modifiche e revisioni
14 Riapplicare il ciclo di vita

Ritiro dal servizio e
dismissione (vedi nota)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 17 di 130
5.3 Evidence of safety management Prove della gestione della sicurezza
5.3.1 Introduction Introduzione

The second condition for safety acceptance La seconda condizione che deve essere soddisfatta
which shall be satisfied is that the safety of the per l’accettazione della sicurezza, è che la sicurezza
system, sub-system or equipment has been, and del sistema, del sottosistema o dell’apparecchiatura è
shall continue to be, managed by means of an stata e deve continuare ad essere gestita tramite un
effective safety management process, which efficace processo di gestione della sicurezza, che do-
should be consistent with the management vrebbe essere omogeneo con il processo di gestione
process for RAMS described in EN 50126. The delle RAMS descritto nella EN 50126. L’obiettivo di
purpose of this process is to further reduce the questo processo è di ridurre ulteriormente l’incidenza
incidence of safety-related human errors degli errori umani correlati con la sicurezza nell’arco
throughout the life-cycle, and thus minimise the del ciclo di vita e quindi di minimizzare il rischio resi-
residual risk of safety-related systematic faults. duo di guasti sistematici correlati con la sicurezza. Gli
The elements of the safety management process elementi del processo di gestione della sicurezza
are briefly summarised in 5.3.2 to 5.3.13 below. sono brevemente riassunti dal punto 5.3.2 al punto
5.3.13 successivi.
Documentary evidence to demonstrate compli- La prova documentale per dimostrare la confor-
ance with all elements of the safety manage- mità con tutti gli elementi del processo di gestio-
ment process throughout the life-cycle shall be ne della sicurezza attraverso il ciclo di vita deve
provided in the Safety Management Report, essere fornita nella relazione di gestione della si-
which forms Part 3 of the Safety Case. Large curezza, che forma la Parte 3 dell’Istruttoria per la
volumes of detailed evidence and supporting Sicurezza. Non è necessario includere una grande
documentation need not be included, provided quantità di prove dettagliate e di documentazioni
precise references are given to such documents. di supporto, a condizione che vengano forniti
precisi riferimenti per tali documentazioni.
The use of this safety management process is L’utilizzazione di questo processo di gestione del-
mandatory for Safety Integrity Levels 1 to 4 in- la sicurezza è obbligatoria per i Livelli di Integrità
clusive (see Annex A for explanation of Safety della Sicurezza da 1 a 4 incluso (vedi Allegato A
Integrity Levels). However, the depth of the evi- per la spiegazione dei Livelli di Integrità della Si-
dence presented and the extent of the support- curezza). Il dettaglio delle prove presentate e la
ing documentation should be appropriate to the copertura della documentazione di supporto do-
Safety Integrity Level of the system/sub-sys- vrebbero essere comunque appropriate al Livello
tem/equipment under scrutiny. The require- di Integrità della Sicurezza del sistema/sottosiste-
ments for Safety Integrity Level 0 (non-safety-re- ma/apparecchiatura in esame. I requisiti per il Li-
lated) are outside the scope of this safety vello 0 di Integrità della Sicurezza (non correlato
standard. con la sicurezza) sono fuori del campo di applica-
zione della presente Norma di sicurezza.
In all cases the hazard analysis and risk assess- In tutti i casi, le analisi delle situazioni pericolose
ment processes defined in EN 50126 are neces- ed i processi di valutazione dei rischi definiti nella
sary, in order to identify the required level of EN 50126 sono necessari per definire il livello ri-
safety integrity for each particular situation. This chiesto di integrità della sicurezza per ogni situa-
includes those cases where the analysis and as- zione particolare. Sono inclusi quei casi per i qua-
sessment reveal that a Safety Integrity Level of li l’analisi e la valutazione mostrano che può
zero may be assigned; however, once this con- essere assegnato il Livello di Integrità della Sicu-
clusion has been reached (i.e. that the situation rezza pari a zero; comunque, una volta che que-
is non-safety-related), and provided it remains sta conclusione è stata raggiunta (cioè che la si-
at level zero, this safety standard ceases to be tuazione non ha correlazioni con la sicurezza) e a
applicable. condizione che si resti al livello 0, la presente
Norma di sicurezza non è più applicabile.
5.3.2 Safety life-cycle Ciclo di vita della sicurezza

The safety management process shall consist of Il processo di gestione della sicurezza deve compren-
a number of phases and activities, which are dere un numero di fasi e di attività che sono collega-
linked to form the safety life-cycle; this should te in modo da formare il ciclo di vita della sicurezza;
be consistent with the system life-cycle defined questo dovrebbe essere consistente con il ciclo di
in EN 50126, which is reproduced as Figure 4 of vita del sistema definito nella EN 50126, riprodotto
this standard. The design and validation part of nella Fig. 4 della presente Norma. Le fasi di progetta-
the system life-cycle can be viewed as a zione e di validazione del ciclo di vita del sistema
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 18 di 130
“top-down” phase followed by a “bottom-up” possono essere viste come una fase “discendente” se-
phase, (i.e. a “V”-diagram), an example of guita da una “ascendente” (cioè un diagramma a
which is shown in Figure 5. “V”), un esempio del quale è indicato nella Fig. 5.
Fig. 5 Example of design and validation portion of system Esempio della parte progettazione e validazione del
life-cycle ciclo di vita del sistema
PIANO E PROGRAMMA DELLE

PROVE
SPECIFICA DEI REQUISITI DEL TEST PLAN/SCHEDULE VALIDAZIONE DELLE PROVE
SISTEMA
DI SISTEMA
SYSTEM REQUIREMENTS
SYSTEM TEST VALIDATION
SPECIFICATION
ANALISI DELLE SITUAZIONI PERICO-

LOSE E VALUTAZIONE DEI RISCHI
HAZARD ANALISIS AND RISK
ASSESSMENT
SPECIFICA DEI
REQUISITI DI SICUREZZA
SAFETY REQUIREMENTS
SPECIFICATION
REQUISITI FUNZIONALI VALIDAZIONE DELLE PROVE
DI SICUREZZA FUNZIONALI DI SICUREZZA DEL
SAFETY FUNCTIONAL SISTEMA
REQUIREMENTS FUNCTIONAL SAFETY TEST VALIDATION
REQUISITI D’INTEGRITÀ
DELLA SICUREZZA
SAFETY INTEGRITY
REQUIREMENTS
INTEGRITÀ DEI MALFUN- RELAZIONE DI GESTIONE DELLA QUALITÀ

ZIONAMENTI SISTEMATICI RELAZIONE DI GESTIONE DELLA SICUREZZA
SYSTEMATIC FAILURE INTEGRITY QUALITY MANAGEMENT REPORT
SAFETY MANAGEMENT REPORT
INTEGRITÀ DEI MALFUN-
RELAZIONE SULLA SICUREZZA TECNICA
ZIONAMENTI ALEATORI TECHNICAL SAFETY REPORT
RANDOM FAILURE INTEGRITY
PROGETTAZIONE DELL’AR- PROVE DI INTEGRAZIONE

CHITETTURA DEL SISTEMA E DI INSTALLAZIONE
SYSTEM ARCHITECTURE DESIGN INTEGRATION AND
INSTALLATION TEST
PROGETTAZIONE VALIDAZIONE
HARDWARE HARDWARE
HARDWARE DESIGN HARDWARE
VALIDATION
PROGETTAZIONE VALIDAZIONE
SOFTWARE SOFTWARE
SOFTWARE SOFTWARE
DESIGN VALIDATION
5.3.3 Safety organisation Organizzazione della sicurezza

The safety management process shall be imple- Il processo di gestione della sicurezza deve essere
mented under the control of an appropriate applicato sotto il controllo di un organizzazione di
safety organisation, using competent personnel sicurezza appropriata, utilizzando personale com-
assigned to specific roles. Assessment and doc- petente al quale si affidano ruoli specifici. La valuta-
umentation of personnel competence, including zione e la documentazione relative alla competenza
technical knowledge, qualifications, relevant del personale, comprendente le conoscenze tecni-
experience and appropriate training, shall be che, le qualifiche, l’appropriata esperienza e gli ap-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 19 di 130
carried out in accordance with recognised
standards.
An appropriate degree of independence shall
be provided between different roles, as shown
in Figure 6. See also Table E.3, for guidance on
the safety organisation required for each Safety
Integrity Level.
Fig. 6 Arrangements for independence
PM
ASSR
DI VER, VAL
SIL 3 OR
AND 4
PM
ASSR
DI VER VAL
SIL 1
AND 2 ASSR
DI VER, VAL
SIL 0 ASSR*
DI, VER, VAL
Legend: PM = Project Manager

DI = Designer/Implementer
VER = Verifier
VAL = Validator
ASSR = Assessor
= Can be the same person
= Can be the same organisation
* = For SIL 0, an assessor is necessary

only if the safety of the overall
system could be affected
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 20 di 130
propriati tipi di formazione, devono essere fatte
conformemente a norme riconosciute.
Deve essere attuato un grado di indipendenza ap-
propriato tra i diversi ruoli, come illustrato nella
Fig. 6. Si veda anche la Tab. E.3 per le indicazioni
sull’organizzazione della sicurezza richiesta per
ogni Livello di Integrità della Sicurezza.
Strutturazione dell’indipendenza
PM
ASSR
DI VER, VAL
SIL 3:
OR
PM
ASSR
DI VER VAL
SIL 1a: ASSR

DI VER, VAL
SIL 0 ASSR*
DI, VER, VAL
Legenda: PM = Gestore del progetto (Project Manager)

DI = Progettista/Realizzatore
VER = Verificatore
VAL = Validatore
ASSR = Valutatore
= Può essere la stessa persona
= Può essere la stessa organizzazione
* = Per il SIL 0, un valutatore (ASSR) è ne-

cessario solo se la sicurezza del siste-
ma complessivo può essere influenzata
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 21 di 130
5.3.4 Safety plan Piano della Sicurezza
A Safety Plan shall be drawn up at the start of Un Piano della Sicurezza deve essere stabilito
the life-cycle. This plan shall identify the safety all’inizio del ciclo di vita, Questo piano deve
management structure, safety-related activities identificare la struttura per la gestione della sicu-
and approval mile-stones throughout the rezza, le attività correlate con la sicurezza e i mo-
life-cycle, and shall include the requirements for menti di approvazione durante il ciclo di vita,
review of the Safety Plan at appropriate inter- deve contenere i requisiti per la revisione del Pia-
vals. The Safety Plan shall be updated and re- no della Sicurezza con una periodicità appropria-
viewed if subsequent alterations or additions ta. Il Piano della Sicurezza deve essere aggiornato
are made to the original system/sub-sys- e rivisto se modifiche successive o aggiunte ven-
tem/equipment. If any such change is made, gono fatte al sistema/sottosistema/ apparecchiatu-
the effect on safety shall be assessed, starting at ra d’origine. Se questi cambiamenti dovessero es-
the appropriate point in the life-cycle. See Ta- sere effettuati, gli effetti sulla sicurezza dovranno
ble E.1 for guidance on Safety Plans for each essere valutati, partendo dal punto appropriato
Safety Integrity Level. del ciclo di vita. Si veda la Tab. E1, per le indica-
zioni relative ai Piani di Sicurezza per ogni Livello
di Integrità della Sicurezza.
The Safety Plan shall deal with all aspects of the Il Piano di assicurazione della Sicurezza deve trat-
system/sub-system/equipment, including both tare tutti gli aspetti del sistema/sottosistema/appa-

hardware and software. EN 50128 shall be refer- recchiatura, sia a livello hardware che software.
enced for Software aspects. Per quello che riguarda il software deve fare rife-
rimento alla EN 50128.
The Safety Plan should include a Safety Case Il Piano della Sicurezza dovrebbe comprendere
Plan, which identifies the intended structure un Piano di Istruttoria per la Sicurezza che identi-
and principal components of the final Safety fica la struttura prevista e le componenti principa-
Case. li dell’Istruttoria finale per la Sicurezza.
5.3.5 Hazard log Registro delle situazioni pericolose

A Hazard Log shall be created and maintained Un registro delle situazioni pericoloso deve essere
throughout the safety life-cycle, as explained in creato e aggiornato durante il ciclo di vita della sicu-
EN 50126. It shall include a list of identified rezza, come indicato nella EN 50126. Deve contenere
hazards, together with associated risk classifica- una lista di situazioni pericolose identificate, con la
tion and risk control information for each haz- classifica dei rischi associati e l’informazione di con-
ard. The Hazard Log shall be updated if any trollo dei rischi per ogni situazione pericolosa. Il regi-
modification or alteration is made to the system, stro delle situazioni pericolose deve essere aggiornato
sub-system or equipment. ogni volta che c’è stata un’evoluzione oppure una
modifica nel sistema, sottosistema o apparecchiatura.
5.3.6 Safety requirements specification Specifica dei requisiti di sicurezza

The specific safety requirements for each sys- I requisiti di sicurezza specifici per ogni siste-
tem/sub-system/equipment, including safety func- ma/sottosistema/apparecchiatura, comprese le
tions and safety integrity, shall be identified and funzioni di sicurezza e l’integrità della sicurezza
documented in the Safety Requirements Specifica- devono essere identificate e documentate nella
tion. This shall be achieved by means of: Specifica dei Requisiti di Sicurezza. Questo deve
essere ottenuto per mezzo di:
Hazard Identification and Analysis, una identificazione ed una analisi delle situa-
zioni pericolose,
Risk Assessment and Classification, una valutazione e classificazione dei rischi,
allocation of Safety Integrity Levels, una allocazione dei Livelli di Integrità della Si-
curezza,
as explained in EN 50126. Some information come spiegato nella EN 50126. Alcune informa-
concerning Safety Integrity Levels for railway zioni sui Livelli di Integrità della Sicurezza per i si-
electronic systems is contained in Annex A. stemi elettronici ferroviari sono contenute nell’Al-
legato A.
Note/Nota The Safety Requirements Specification may be included in La Specifica dei Requisiti di Sicurezza può essere inclusa nella
the system/sub-system/equipment Functional Requirements Specifica dei Requisiti Funzionali del sistema /sottosistema /ap-
Specification or may be written as a separate document. See parecchiatura oppure può essere scritta in un documento a
Table E.2, for guidance on System Requirements Specifica- parte. Si veda la Tab. E.2 per le indicazioni relative alle specifi-
tions for each Safety Integrity Level. che dei requisiti del sistema per ogni Livello di Integrità della
Sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 22 di 130
5.3.7 System/sub-system/equipment design Progettazione del sistema/sottosistema/apparecchiatura
This phase of the life-cycle shall create a design Questa fase del ciclo di vita deve dar luogo ad una
which fulfils the specified operational and safety progettazione che soddisfi i requisiti di operativi di
requirements. A top-down, structured design sicurezza specificati. Una metodologia strutturata di
methodology shall be used, with rigorously con- progettazione discendente deve essere utilizzata
trolled and reviewed documentation. In particular, insieme ad una documentazione rigorosamente
the relationship between hardware and software, controllata e revisionata. In particolare, le relazioni
as represented by the Software Requirements tra hardware e software, come sono rappresentate
Specification and software/hardware integration, dalla Specifica dei requisiti del Software e dall’inte-
shall be strictly managed, and the standard grazione software/hardware, devono essere gestite
EN 50128 shall be adhered to. Table E.7 gives in maniera rigorosa e devono concordare con la
guidance on design and development of sys- EN 50128. La Tab. E.7 fornisce indicazioni relative
tem/sub-system/equipment for each Safety Integ- alla progettazione ed allo sviluppo di un siste-
rity Level. ma/sottosistema/apparecchiatura per ogni Livello
di Integrità della Sicurezza.
5.3.8 Safety reviews Revisioni di sicurezza

Safety reviews shall be carried out at appropri- In appropriati momenti del ciclo di vita devono
ate stages in the life-cycle. Such reviews shall essere fatte revisioni di sicurezza. Queste revisioni
be specified in the Safety Plan, and their results devono essere specificate nel Piano della Sicurez-
fully documented. Any alteration or extension za ed i loro risultati devono essere interamente
to the system, sub-system or equipment shall documentati. Anche ogni modifica o ampliamento
also be subject to review. del sistema, sottosistema o apparecchiatura devo-
no essere soggetti alla revisione.
5.3.9 Safety verification and validation Verifica e validazione di sicurezza

The Safety Plan shall include or reference plans Il Piano della Sicurezza deve comprendere o far rife-
for verifying that each phase of the life-cycle rimento ai piani per verificare che ogni fase del ciclo
satisfies the specific safety requirements identi- di vita soddisfi a specifici requisiti di sicurezza iden-
fied in the previous phase, and for validating tificati nella fase precedente, consentendo di valida-
the completed system/sub-system/equipment re il sistema/sottosistema/apparecchiatura completa-
against its original Safety Requirements Specifi- to/a rispetto alle originarie Specifiche dei Requisiti
cation. di Sicurezza.
These activities shall be carried out and fully Queste attività devono essere realizzate e completa-
documented, including appropriate testing and mente documentate, includendo appropriate prove
safety analyses. They shall be repeated as ap- ed analisi di sicurezza. Esse devono essere adegua-
propriate in the event of any subsequent modi- tamente ripetute in occasione di ciascuna successiva
fication or addition to the system/sub-sys- modifica o ampliamento del sistema/sottosiste-
tem/equipment. ma/apparecchiatura.
The degree of independence necessary for the Il grado di indipendenza necessario per l’incaricato
verifier and the validator shall be in accordance della verifica e l’incaricato della validazione deve
with the Safety Integrity Level of the sys- essere in accordo con il Livello di Integrità della Si-
tem/sub-system/equipment under scrutiny. This curezza del sistema/sottosistema/apparecchiatura
is shown in Figure 6. Table E.9 gives guidance sotto esame. Questo è illustrato nella Fig. 6. La
on verification and validation techniques/meas- Tab. E.9 fornisce delle indicazioni sulle tecni-
ures for each Safety Integrity Level. che/metodologie di verifica e di validazione per
ogni Livello di Integrità della Sicurezza.
At the discretion of the safety authority, the as- A discrezione dell’Autorità di Sicurezza l’incarica-
sessor may be part of the supplier’s organisation to della valutazione può appartenere all’organiz-
or of the customer’s organisation but, in such zazione del fornitore o del committente, ma in tali
cases, the assessor shall: casi l’incaricato della valutazione deve:
be authorised by the safety authority, essere autorizzato dall’Autorità di Sicurezza
be totally independent from the project essere totalmente indipendente dal gruppo di
team, progetto
report directly to the safety authority. rendere conto direttamente all’Autorità di Si-
curezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 23 di 130
5.3.10 Safety justification Giustificazione della sicurezza
The evidence that the system/sub-sys- L’evidenza che il sistema/sottosistema/apparecchia-
tem/equipment meets the defined conditions tura corrisponde alle condizioni definite per l’accet-
for safety acceptance shall be presented in a tazione di sicurezza deve essere presentata in un
structured safety justification document documento strutturato di giustificazione della sicu-
known as the Safety Case, as explained rezza denominato Istruttoria per la Sicurezza, come
in 5.1 of this standard. spiegato al punto 5.1 della presente Norma.
5.3.11 System/sub-system/equipment handover Consegna del sistema/sottosistema/apparecchiatura

Prior to handover of the system/sub-sys- Prima di consegnare il sistema/sottosistema/apparec-
tem/equipment to a railway authority, the con- chiatura all’impresa ferroviaria, le condizioni di accet-
ditions for safety acceptance and safety approv- tazione e di approvazione della sicurezza definite al
al defined in 5.5 shall be satisfied, including punto 5.5 devono essere state soddisfatte, compresa
submission of the Safety Case and the Safety As- la presentazione dell’Istruttoria per la Sicurezza e del-
sessment Report. la relazione di Valutazione della Sicurezza.
5.3.12 Operation and maintenance Esercizio e manutenzione

Following handover, the procedures, support Dopo la consegna devono essere prese a riferimen-
systems and safety monitoring defined in the to le procedure, i sistemi di supporto ed il monito-
Safety Plan and in Section 5 of the Technical raggio della sicurezza definiti nel Piano della Sicu-
Safety Report (part of the Safety Case) shall be rezza e nella Parte 5 della Relazione sulla Sicurezza
adhered to. Tecnica (parte dell’Istruttoria per la Sicurezza).
During the operational life of a system, change Durante la vita operativa di un sistema, è possibile
requests may be raised for a variety of reasons, che vengano richieste delle modifiche per varie ra-
not all of which will be safety-related. Each gioni, non tutte correlate con la sicurezza. L’impatto
change request shall be assessed for its impact sulla sicurezza di ogni richiesta di modifica deve es-
on safety, by reference to the relevant portion sere valutato facendo riferimento alla parte corri-
of the safety documentation. Where a change spondente della documentazione di sicurezza. Nel
request results in a modification which could af- caso che una richiesta di modifica dia luogo ad una
fect the safety of the system, or associated sys- modifica che potrebbe influire sulla sicurezza del si-
tems, or the environment, the appropriate por- stema, o dei sistemi associati, o dell’ambiente, deve
tion of the safety life-cycle shall be repeated to essere ripetuta la parte appropriata del ciclo di vita
ensure that the implemented modification does della sicurezza per garantire che la modifica intro-
not unacceptably reduce the level of safety. Ta- dotta non riduca in modo inaccettabile il livello di
ble E.10 gives guidance on Application, Opera- sicurezza. La Tab. E.10 fornisce delle indicazioni
tion and Maintenance for each Safety Integrity sull’applicazione, l’esercizio e la manutenzione per
Level. ogni Livello di Integrità della Sicurezza.
5.3.13 Decommissioning and disposal Ritiro dal servizio e dismissione

At the end of the operational life of a system, its Alla fine della vita operativa del sistema, il suo ri-
decommissioning and disposal shall be carried tiro dal servizio e la sua dismissione devono esse-
out in accordance with the measures defined in re realizzati in conformità con le misure definite
the Safety Plan and in Section 5 of the Technical nel Piano della Sicurezza e nella Parte 5 della Re-
Safety Report (part of the Safety Case). lazione sulla Sicurezza Tecnica (parte dell’Istrutto-
ria per la Sicurezza).
5.4 Evidence of functional and technical safety Prova della sicurezza funzionale e tecnica
In addition to the evidence of quality and safety Oltre alla prova della gestione della qualità e della
management, described in 5.2 and 5.3 of this sicurezza descritte nei punti 5.2 e 5.3 della presente
standard, a third condition shall be satisfied be- Norma, una terza condizione deve essere soddisfat-
fore a system/sub-system/equipment can be ac- ta prima che un sistema, un sottosistema o una ap-
cepted as adequately safe for its intended appli- parecchiatura possano essere accettati come ade-
cation. This consists of technical evidence for guatamente sicuri per l’uso che si intende farne.
the safety of the design, which shall be docu- Essa consiste in una prova tecnica della sicurezza
mented in the Technical Safety Report. This della progettazione. che deve essere documentata
document forms Part 4 of the Safety Case for nella Relazione sulla Sicurezza Tecnica. Questo do-
the system/sub-system/equipment, as explained cumento costituisce la Parte 4 dell’Istruttoria per la
in 5.1 of this standard. Sicurezza del sistema/sottosistema/apparecchiatura,
come spiegato al punto 5.1 della presente Norma.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 24 di 130
The Technical Safety Report is mandatory for La Relazione sulla Sicurezza Tecnica è obbligatoria
Safety Integrity Levels 1 to 4 inclusive (see An- per i Livelli di Integrità della Sicurezza da 1 a 4 com-
nex A for explanation of Safety Integrity Lev- preso (vedi Allegato A per la spiegazione dei Livelli
els). However, the depth of the information and di Integrità della Sicurezza). Comunque il dettaglio
the extent of the supporting documentation dell’informazione e la copertura della documenta-
should be appropriate to the Safety Integrity zione di supporto dovrebbero essere appropriati ri-
Level of the system/sub-system/equipment un- spetto al Livello di Integrità della Sicurezza del siste-
der scrutiny. The requirements for Safety Integ- ma/sottosistema/apparecchiatura sotto esame. I
rity Level 0 (non-safety-related) are outside the requisiti per il Livello 0 di Integrità della Sicurezza
scope of this safety standard. (non correlato con la sicurezza) sono al di fuori del
campo di applicazione della presente Norma per la
sicurezza.
The Technical Safety Report shall explain the La Relazione sulla Sicurezza Tecnica deve spiegare i
technical principles which assure the safety of principi tecnici che garantiscono la sicurezza della
the design, including (or giving references to) progettazione, comprendendo (o fornendo i riferi-
all supporting evidence (for example, design menti per) tutte le prove di supporto (ad esempio, i
principles and calculations, test specifications principi di progettazione ed i calcoli, le specifiche
and results, and safety analyses). delle prove ed i risultati, e le analisi di sicurezza).
The Technical Safety Report shall be arranged La Relazione sulla Sicurezza Tecnica deve essere
under the following headings: organizzata secondo le sottoindicate intestazioni:
Section 1 Introduction Parte 1 Introduzione

This section shall provide an overview descrip- Questa parte deve fornire una descrizione com-
tion of the design, including a summary of the plessiva della progettazione, compresa anche una
technical safety principles that are relied on for sintesi dei principi di sicurezza tecnica sui quali si
safety and the extent to which the sys- basa la sicurezza, ed il grado di sicurezza richiesto
tem/sub-system/equipment is claimed to be al sistema/sottosistema/apparecchiatura in accor-
safe in accordance with this standard. do con la presente Norma.
This section shall also indicate the standards Questa parte deve anche indicare le norme (e la
(and their issues) used as the basis for the tech- loro edizione) utilizzate come base per la sicurez-
nical safety of the design. In the case of modifi- za tecnica della progettazione. Nel caso di modifi-
cations or additions to equipment already in che o di aggiunte su apparecchiature già in servi-
service, or in standard production, or at a com- zio o in produzione standard, oppure alla fine
pleted stage of development, then, as an excep- della fase di sviluppo, si possono usare eccezio-
tion, the issues of standards used for the origi- nalmente come basi le edizioni delle norme utiliz-
nal design may be used as a basis, these already zate per la progettazione originaria, essendo già
having been accepted in the approval of the state accettate per l’approvazione dell’apparec-
original equipment. This may be applied only chiatura d’origine. Ciò può essere attuato solo se,
if, by taking into consideration the latest issues considerando le ultime edizioni delle norme, do-
of the standards, further modifications to the ex- vessero essere richiede modifiche supplementari
isting equipment would be required, or unjusti- all’apparecchiatura esistente oppure se si dovesse
fiably high costs for the change would be in- incorrere in un costo elevato non giustificato. De-
curred. Reasons justifying use of this statement vono essere forniti i motivi che giustifichino l’utiz-
shall be given. zazione di tali affermazioni.
Section 2 Assurance of correct functional Parte 2 Assicurazione di un esercizio funzio-

operation nale corretto
This section shall contain all the evidence nec- Questa parte deve contenere tutte le prove neces-
essary to demonstrate correct operation of the sarie per la dimostrazione di un esercizio corretto
system/sub-system/equipment under fault-free del sistema/sottosistema/apparecchiatura in con-
normal conditions (that is, with no faults in ex- dizioni normali di assenza guasto (cioè con nes-
istence), in accordance with the specified oper- sun guasto in atto) in accordo con i requisiti di
ational and safety requirements. utilizzazione e di sicurezza specificati.
The following aspects shall be included, for which Si devono trattare i seguenti aspetti, per i quali
more detailed requirements are contained in B.2: vengono forniti dei requisiti dettagliati in B.2:
2.1 System architecture description (see B.2.1 2.1 Descrizione dell’architettura del sistema (vedi
and Table E.4); B.2.1 e Tab. E.4);
2.2 Definition of interfaces (see B.2.2); 2.2 Definizione delle interfacce (vedi B.2.2);
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 25 di 130
2.3 Fulfilment of System Requirements Specifi- 2.3 Soddisfacimento della Specifica dei Requisiti
cation (see B.2.3); del Sistema (vedi B.2.3);
2.4 Fulfilment of Safety Requirements Specifi- 2.4 Soddisfacimento della Specifica dei Requisiti
cation (see B.2.4); della Sicurezza (vedi B.2.4);
2.5 Assurance of correct hardware functionality 2.5 Assicurazione del corretto funzionamento
(see B.2.5); dell’hardware (vedi B.2.5);
2.6 Assurance of correct software functionality 2.6 Assicurazione del corretto funzionamento del
(see B.2.6). software (vedi B.2.6).
Section 3 Effects of faults Parte 3 Effetti dei guasti

This section shall demonstrate that the sys- Questa parte deve dimostrare che il sistema /sot-
tem/sub-system/equipment continues to meet tosistema/apparecchiatura continua a rispettare i
its specified safety requirements, including the suoi specificati requisiti di sicurezza, compresi gli
quantified safety target, in the event of random obiettivi quantificati della sicurezza, in caso di ac-
hardware faults. cadimento di guasti hardware casuali.
In addition, a systematic fault could still exist, Inoltre può sempre esistere un guasto sistematico,
despite the quality and safety management malgrado il processo di gestione della qualità e
processes defined in 5.2 and 5.3 of this stand- della sicurezza definito al 5.2 e 5.3 della presente
ard. This section shall demonstrate which tech- Norma. Questa parte deve dimostrare quali sono
nical measures have been taken to reduce the le misure tecniche adottate per ridurre il rischio
consequent risk to an acceptable level. conseguente ad un livello accettabile.
This section shall also include demonstration Questa parte deve anche includere la dimostra-
that faults in any system/sub-system/equipment zione che i guasti di ogni sistema/sottosiste-
having a Safety Integrity Level lower than that ma/apparecchiatura con un Livello di Integrità
of the overall system, including Level 0, cannot della Sicurezza inferiore a quella del sistema glo-
reduce the safety of the overall system. bale, compreso il Livello 0, non possono ridurre
la sicurezza del sistema globale.
The following headings shall be used in this I seguenti argomenti, per i quali al punto B.3 ven-
section, for which more detailed requirements gono forniti requisiti più dettagliati, devono essere
are contained in B.3. Guidance is also given in contenuti in questa parte. Vengono inoltre fornite
Table E.5 and Table E.6. indicazioni nella Tab. E.5 e nella Tab. E.6.
3.1 Effects of single faults (see B.3.1); 3.1 Effetti dei guasti singoli (vedi B.3.1);
3.2 Independence of items (see B.3.2); 3.2 Indipendenza delle unità (vedi B.3.2);
3.3 Detection of single faults (see B.3.3); 3.3 Rilevamento dei guasti singoli (vedi B.3.3);
3.4 Action following detection (including re- 3.4 Azioni dopo il rilevamento (compreso il mante-
tention of safe state) (see B.3.4); nimento in uno stato di sicurezza) (vedi B.3.4);
3.5 Effects of multiple faults (see B.3.5); 3.5 Effetti dei guasti multipli (vedi B.3.5);
3.6 Defence against systematic faults (see 3.6 Protezione contro i guasti sistematici (vedi
B.3.6). B.3.6).
Section 4 Operation with external influ- Parte 4 Esercizio in presenza di influenze

ences esterne
This section shall demonstrate that when sub- Questa parte deve dimostrare che il sistema/sotto-
jected to the external influences defined in the sistema/apparecchiatura, quando esposto alle in-
System Requirements Specification, the sys- fluenze esterne definite nelle Specifiche dei requi-
tem/sub-system/equipment siti del Sistema
continues to fulfil its specified operational continua a soddisfare i requisiti di esercizio
requirements, specificati
continues to fulfil its specified safety re- continua a soddisfare i requisiti di sicurezza
quirements (including fault conditions). specificati (condizioni di guasto incluse).
The Safety Case is therefore valid only within the L’Istruttoria per la Sicurezza ha valore unicamente
specified range of external influences, as defined entro il limite specificato per le influenze esterne
in the System Requirements Specification. Safety is così come definito nelle Specifiche dei Requisiti
not assured outside these limits, unless additional del Sistema. Fuori da questi limiti, la sicurezza
special measures are provided. non è garantita, a meno che non vengano fornite
misure specifiche supplementari.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 26 di 130
The methods used to withstand the specified I metodi utilizzati per sopportare le influenze
external influences shall be fully explained and esterne specificate devono essere spiegati e giu-
justified. stificati completamente.
More detailed requirements are contained in B.4. Requisiti più dettagliati sono contenuti in B.4.
Section 5 Safety-related application condi- Parte 5 Condizioni di utilizzazione correlate

tions con la sicurezza
This section shall specify (or reference) the rules, Questa parte deve specificare (o fornirne i riferi-
conditions and constraints which shall be ob- menti per) le regole, condizioni e vincoli che devo-
served in the application of the system/sub-sys- no essere osservati durante l’utilizzo del sistema/sot-
tem/equipment. This shall include the application tosistema/apparecchiatura. Deve comprendere le
conditions contained in the Safety Case of any re- condizioni di utilizzo contenute nell’Istruttoria per la
lated sub-system or equipment. Sicurezza di ogni sottosistema o apparecchiatura as-
sociata.
More detailed requirements are contained in B.5. Requisiti più dettagliati sono contenuti in B.5. In-
Guidance is also given in Table E.10. dicazioni vengono anche fornite nella Tab. E.10.
Section 6 Safety Qualification Tests Parte 6 Prove di Qualifica della Sicurezza

This section shall contain evidence to demon- Questa parte deve contenere la prova per dimo-
strate successful completion, under operational strare il completamento con successo delle prove
conditions, of the Safety Qualification Tests. di Qualifica della Sicurezza nelle condizioni ope-
These are explained in B.6. rative. Queste vengono spiegate in B.6.
The structure of the Technical Safety Report is La struttura della Relazione sulla Sicurezza Tecni-
illustrated in Figure 7. ca è illustrato in Fig. 7.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 27 di 130
Fig. 7 Structure of Technical Safety Report Struttura della Relazione sulla Sicurezza Tecnica
Parte 6: Qualifica della sicurezza

Section 6: Safety Qualification
Tests
Parte 5: Condizioni d'utilizzazione

correlate con la sicurezza
Section 5: Safety-related applica-
tion conditions
Parte 4: Esercizio in presenza d'in-
fluenze esterne
Section 4: Operation with external
influences
Parte 3: Effetti dei guasti
Section 3: Effects of faults
Parte 2: Assicurazione del corret-

to esercizio
Section 2: Assurance of correct op-
eration
Parte 1: Introduzione
Section 1: Introduction
RELAZIONE SULLA
SICUREZZA
TECNICA
Technical
Safety
Report
5.5 Safety acceptance and approval Accettazione e approvazione della sicurezza

This subclause defines the safety acceptance Questo paragrafo definisce il processo di accetta-
and approval process for safety-related elec- zione e di approvazione della sicurezza per i si-
tronic system/sub-system/equipment. Except stemi/sottosistemi/apparecchiature elettroniche
where considered appropriate, it does not spec- correlate con la sicurezza. Ad eccezione di quan-
ify who should carry out the work at each do viene considerato opportuno, non specifica
stage, since this may vary in different circum- chi dovrebbe realizzare il lavoro ad ogni fase poi-
stances. ché può variare nelle diverse circostanze.
5.5.1 Introduction Introduzione

As explained in 5.1, three conditions shall be Conformemente alle spiegazioni fornite al 5.1, tre
satisfied before a safety-related electronic rail- condizioni devono essere soddisfatte prima che
way system/sub-system/equipment can be ac- un sistema, sottosistema o apparecchiatura elet-
cepted as adequately safe for its intended appli- tronica ferroviaria possa essere considerato ade-
cation: guatamente sicuro per il suo impiego previsto:
evidence of quality management; prova della gestione della qualità,
evidence of safety management; prova della gestione della sicurezza,
evidence of functional and technical safety. prova della sicurezza tecnica e funzionale.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 28 di 130
These three conditions have been explained in Queste tre condizioni vengono spiegate ai punti
5.2, 5.3 and 5.4 of this standard. 5.2, 5.3 e 5.4 della presente Norma.
The evidence of quality management, safety Le prove della gestione della qualità, della gestione
management and functional/technical safety della sicurezza e della sicurezza funzionale/tecnica
shall be included in the Safety Case, as shown devono fare parte dell’Istruttoria per la Sicurezza,
in 5.1 and Figure 3. come indicato al punto 5.1 e nella Fig. 3.
Three different categories of Safety Case can be Si possono considerare tre tipi diversi di Istrutto-
considered: ria per la Sicurezza:
Generic product Safety Case (independ- Istruttoria per la Sicurezza per i prodotti
ent of application) generici (indipendenti dall’applicazione)
A generic product can be re-used for differ- Un prodotto generico può essere utilizzato
ent independent applications; per diverse applicazioni indipendenti.
Generic application Safety Case (for a Istruttoria per la Sicurezza per un’applicazio-
class of application) ne generica (per una classe di applicazione)
A generic application can be re-used for a Un’applicazione generica può essere riutilizzata
class/type of application with common per una classe o un tipo di applicazione con ana-
functions; loghe funzioni.
Specific application Safety Case (for a Istruttoria per la Sicurezza per un’applica-
specific application) zione specifica (per un’applicazione specifica)

A specific application is used for only one Un’applicazione specifica è utilizzata per una
particular installation. sola particolare realizzazione.
It is essential to demonstrate for each “specific” È essenziale dimostrare per ogni applicazione
application that the environmental conditions “specifica” che le condizioni ambientali ed il con-
and context of use are compatible with the “ge- testo di utilizzazione sono compatibili con quelli
neric” application conditions (see 5.5.4). dell’applicazione “generica” (vedi 5.5.4).
In all three categories, the structure of the Safe- In tutte le tre categorie, la struttura dell’Istruttoria
ty Case and the procedure for obtaining Safety per la Sicurezza e la procedura per ottenere l’ap-
approval are basically the same. However, there provazione della sicurezza sono essenzialmente le
is an additional factor for specific applications: stesse. Tuttavia per le applicazioni specifiche c’è
in this category, separate Safety approval is un elemento aggiuntivo: per questa categoria oc-
needed for the application design of the system corre una approvazione separata della sicurezza
and for its physical implementation (e.g., manu- per la progettazione dell’applicazione del sistema
facture, installation, test, and facilities for opera- e per la sua realizzazione fisica (esempio: fabbri-
tion and maintenance). For this reason, the cazione, installazione, prove e supporti per l’eser-
Safety Case for specific applications shall be di- cizio e la manutenzione). È per questo motivo
vided into two portions: che l’Istruttoria per la Sicurezza per le applicazio-
ni specifiche deve essere divisa in due parti:
the Application Design Safety Case: this l’Istruttoria per la Sicurezza per la progettazio-
shall contain the safety evidence for the the- ne dell’applicazione: deve contenere la prova
oretical design of the specific application; della sicurezza della progettazione teorica
dell’applicazione specifica;
the physical implementation Safety Case: l’Istruttoria per la Sicurezza della realizzazione
this shall contain the safety evidence for the fisica: deve contenere la prova della sicurezza
physical implementation of the specific ap- della realizzazione fisica dell’applicazione
plication. specifica
Both portions shall be structured as shown Le due parti devono essere organizzate come de-
in 5.1 and Figure 3. scritto al punto 5.1 e nella Fig. 3.
5.5.2 Safety approval process Processo di approvazione della sicurezza

Before an application for Safety approval can Prima che un’applicazione possa essere considerata
be considered, an independent safety assess- per l’approvazione della sicurezza, deve essere rea-
ment of the system/sub-system/equipment and lizzata una valutazione indipendente della sicurezza
its Safety Case shall be carried out, to provide del sistema/sottosistema/apparecchiatura e deve es-
additional assurance that the necessary level of sere portata a termine la sua Istruttoria per la Sicu-
safety has been achieved. Its results should be rezza, per ottenere una assicurazione supplementa-
presented in a Safety Assessment Report. The re che il necessario livello di sicurezza è stato
report should explain the activities carried out raggiunto. I suoi risultati dovrebbero essere presen-
by the safety assessor to determine how the sys- tati in una Relazione di Valutazione della Sicurezza.
tem/sub-system/equipment, (hardware and La relazione dovrebbe spiegare le attività che sono
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 29 di 130
software) has been designed to meet its speci- state svolte dall’incaricato della valutazione della si-
fied requirements, and possibly specify some curezza, per determinare come il sistema, il sottosi-
additional conditions for the operation of the stema o l’apparecchiatura (hardware e software) è
system/sub-system/equipment. The depth of stato progettato per rispondere ai suoi requisiti spe-
the safety assessment, and the degree of inde- cificati, e definire eventualmente alcune condizioni
pendence with which it is carried out, are based supplementari per l’esercizio del sistema/ sottosiste-
on the results of the risk classification, as ex- ma/ apparecchiatura. Il grado di approfondimento
plained in EN 50126. Specific tests may be re- della valutazione di sicurezza ed il grado di indipen-
quired by the safety assessor in order to in- denza con il quale è stata fatta, sono basati sui risul-
crease confidence. tati della classificazione dei rischi, come spiegato
nella EN 50126. Prove specifiche possono essere ri-
chieste dall’incaricato della valutazione della sicurez-
za al fine di aumentare l’attendibilità.
The overall documentary evidence shall consist of La prova documentale complessiva deve com-
prendere
the System (or sub-system/equipment) la Specifica dei Requisiti del Sistema (o
Requirements Specification, sottosistema/apparecchiatura)
the Safety Requirements Specification, la Specifica dei Requisiti della Sicurezza,

the Safety Case, including l’Istruttoria per la Sicurezza, includendo

Part 1: Definition of System/Sub-sys- Parte 1: Definizione del sistema/sottosiste-
tem/Equipment, ma/apparecchiatura,
Part 2: Quality Management Report (evi- Parte 2: Relazione sulla gestione della qualità
dence of Quality Management), (prova della gestione della qualità),
Part 3: Safety Management Report (evi- Parte 3: Relazione sulla gestione della sicu-
dence of Safety Management), rezza (prova della gestione della si-
curezza),
Part 4: Technical Safety Report (evidence of Parte 4: Relazione sulla Sicurezza Tecnica (pro-
Functional/Technical Safety), va della sicurezza funzionale/tecnica),
Part 5: Related Safety Cases (if applicable), Parte 5: Istruttorie per la Sicurezza correlate
(se necessario)
Part 6: Conclusion, Parte 6: Conclusione,
the Safety Assessment Report. la relazione di Valutazione della Sicurezza
Provided all the conditions for safety accept- Stabilito che tutte le condizioni di accettazione della
ance have been satisfied, as demonstrated by sicurezza sono state soddisfatte, come dimostrato
the Safety Case, and subject to the results of the dall’Istruttoria per la Sicurezza, e conseguentemente
independent safety assessment, the sys- ai risultati della valutazione indipendente della sicu-
tem/sub-system/equipment may be granted rezza, può essere assegnata l’approvazione di sicu-
safety approval by the relevant safety authority. rezza per il sistema/sottosistema/apparecchiatura da
Approval may be subject to the fulfilment of ad- parte dell’Autorità di Sicurezza competente. Un’ap-
ditional conditions (temporary or permanent) provazione può essere soggetta al soddisfacimento
imposed by the safety assessor. di condizioni supplementari (temporanee o perma-
nenti) imposte dall’incaricato della valutazione di si-
curezza.
For a generic product (i.e. independent of ap- Per un prodotto generico (cioè indipendente
plication), and for a generic application (i.e. dall’applicazione) e per un’applicazione generica
class of application), it should be possible for (cioè classe di applicazione) dovrebbe essere
safety approval granted by one safety authority possibile che l’approvazione della sicurezza data
to be accepted by other safety authorities (i.e.: da un’Autorità di Sicurezza possa essere accettata
cross-acceptance). This is not considered possi- dalle altre Autorità di Sicurezza (cioè accettazione
ble for specific applications. reciproca). Questo non viene considerato possibi-
le per le applicazioni specifiche.
The safety approval process, for all three cate- Il processo di approvazione della sicurezza, per le
gories of Safety Case, is illustrated in Figure 8. tre categorie di Istruttoria per la Sicurezza è illu-
strato nella Fig. 8.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 30 di 130
– BLANK PAGE – – PAGINA BIANCA –
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 31 di 130
Fig. 8 Safety acceptance and approval process
GENERIC PRODUCT GENERIC APPLICATION SPECIFIC

(Independent of Application) (Class of Application) APPLICATION
SYSTEM (SS/E) SYSTEM (SS/E) SYSTEM (SS/E)

REQUIREMENTS REQUIREMENTS REQUIREMENTS
SPECIFICATION SPECIFICATION SPECIFICATION
SAFETY SAFETY SAFETY

REQUIREMENTS REQUIREMENTS REQUIREMENTS
SPECIFICATION SPECIFICATION SPECIFICATION
SPECIFIC APPLICATION
SAFETY CASE
GENERIC
GENERIC PRODUCT
APPLICATION
SAFETY CASE
SAFETY CASE
APPLICATION PHYSICAL
DESIGN IMPLEMENTATION
Part 1 - - - Part 1 - - -
Part 2 - - - Part 2 - - -
Part 3 - - - Part 3 - - - Part 1 - - - Part 1 - - -
Part 5 - - - Part 5 - - -
Part 6 - - - Part 6 - - -
SAFETY SAFETY SAFETY SAFETY

ASSESSMENT ASSESSMENT ASSESSMENT ASSESSMENT
REPORT REPORT REPORT REPORT
PRODUCT APPLICATION DESIGN IMPLEMENTATION

SAFETY SAFETY SAFETY SAFETY
APPROVAL APPROVAL APPROVAL APPROVAL
PRODUCT APPLICATION
SAFETY SAFETY
ACCEPTANCE ACCEPTANCE OVERALL SAFETY ACCEPTANCE
CROSS- CROSS-
ACCEPTANCE ACCEPTANCE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 32 di 130
Processo di approvazione e di accettazione della
sicurezza
PRODOTTO GENERICO APPLICAZIONE GENERICA APPLICAZIONE SPECIFICA

(Indipendente dall’Applicazione (Classe d’applicazione)
SPECIFICA DEI REQUISITI SPECIFICA DEI REQUISI- SPECIFICA DEI REQUISI-

DEL SISTEMA TI DEL SISTEMA TI DEL SISTEMA
(SOTTO-SISTEMA (SOTTO-SISTEMA (SOTTO-SISTEMA
APPARECCHIATURA) APPARECCHIATURA) APPARECCHIATURA)
SPECIFICA DEI SPECIFICA DEI

SPECIFICA DEI REQUI-
REQUISITI DELLA REQUISITI DELLA
SITI DELLA SICUREZZA
SICUREZZA SICUREZZA
ISTRUTTORIA DELLA SICUREZZA

DELL’APPLICAZIONE SPECIFICA
ISTRUTTORIA ISTRUTTORIA DELLA
DELLA SICUREZZA SICUREZZA
DEL PRODOTTO DELL’APPLICAZIONE
GENERICA
PROGETTAZIONE REALIZZAZIONE FISICA
DELL’APPLICAZIONE
Parte 1 - - - Parte 1 - - -
Parte 2 - - - Parte 2 - - -
Parte 3 - - - Parte 3 - - - Parte 1 - - - Parte 1 - - -
Parte 5 - - - Parte 5 - - -
Parte 6 - - - Parte 6 - - -
RELAZIONE DI RELAZIONE DI RELAZIONE DI

RELAZIONE DI
VALUTAZIONE DELLA VALUTAZIONE VALUTAZIONE
VALUTAZIONE DELLA
SICUREZZA DELLA SICUREZZA DELLA SICUREZZA
SICUREZZA
APPROVAZIONE APPROVAZIONE APPROVAZIONE

APPROVAZIONE DELLA SICUREZZA
DELLA SICUREZZA DELLA SICUREZZA
DELLA SICUREZZA DELLA PROGETTA-
DEL PRODOTTO DELLA REALIZZAZIONE
DELL’APPLICAZIONE ZIONE
ACCETTAZIONE ACCETTAZIONE
DELLA SICUREZZA DELLA SICUREZZA ACCETTAZIONE DELLA SICUREZZA
DEL PRODOTTO DELL’APPLICAZIONE COMPLESSIVA
ACCETTAZIONE ACCETTAZIONE
INCROCIATA INCROCIATA
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 33 di 130
5.5.3 After safety approval Dopo l’approvazione della sicurezza
After a system/sub-system/equipment has re- Dopo che un sistema/sottosistema/apparecchiatu-
ceived safety approval, any subsequent modifi- ra ha ricevuto l’approvazione di sicurezza, ogni
cation shall be controlled using the same quali- modifica ulteriore deve essere controllata utiliz-
ty management, safety management and zando la stessa gestione della qualità, della sicu-
functional/technical safety criteria as would be rezza e gli stessi criteri di sicurezza funziona-
used for a new design. All relevant documentale/tecnica che sarebbero utilizzati per una nuova
tion, including the Safety Case, shall be updated progettazione. Tutta la documentazione relativa,
or supplemented by additional documentation, ivi compresa l’Istruttoria per la Sicurezza, deve es-
and the modified design shall be submitted for sere aggiornata o completata da una documenta-
approval. zione supplementare, e la progettazione modifica-
ta deve essere sottoposta ad approvazione.
Once an installed system/sub-system/equip- Dopo che un sistema/sottosistema/apparecchiatura
ment has been commissioned, appropriate pro- installati sono stati attivati devono essere utilizzate
cedures, support systems and safety monitoring, procedure appropriate, sistemi di supporto ed il
as defined in the Safety Plan and in Section 5 of monitoraggio della sicurezza, come definito nel
the Technical Safety Report (part of the Safety Piano della Sicurezza e nella Parte 5 della Relazio-
Case), shall be used to ensure continued safe ne sulla Sicurezza Tecnica (Parte dell’Istruttoria per
operation throughout its working life, including la Sicurezza), per garantire un esercizio sicuro e
operation, maintenance, alteration, extension continuo durante tutta la loro vita attiva, compren-
and eventual decommissioning. These activities dente esercizio, manutenzione, modifiche, amplia-
shall be controlled using the same quality man- menti ed eventuale disattivazione. Queste attività
agement, safety management and technical devono essere controllate utilizzando la stessa ge-
safety criteria as for the original design. All rele- stione della qualità, gestione della sicurezza e crite-
vant documentation shall be kept up-to-date, ri di sicurezza tecnica della progettazione originale.
including the Safety Case, and any alterations or Tutta la documentazione relativa, compresa l’Istrut-
extensions shall be submitted for approval. toria per la Sicurezza deve essere aggiornata e tutte
le modifiche o ampliamenti devono essere sotto-
poste ad approvazione.
5.5.4 Dependency between safety approvals Dipendenza tra le approvazioni della sicurezza
As mentioned in 5.1 of this standard, the Safety Come menzionato nel punto 5.1 della presente
Case for a system may depend on the Safety Norma, l’Istruttoria per la Sicurezza per un siste-
Cases of other sub-systems or equipment. In ma può dipendere dalle Istruttorie per la Sicurez-
such circumstances, safety approval of the main za di altri sottosistemi o apparecchiature. In tali
system is not possible without previous Safety casi, l’approvazione della sicurezza del sistema
approval of the related sub-systems/equipment. principale non è possibile senza la precedente
approvazione della sicurezza dei sottosistemi/ap-
parecchiature correlate.
If Safety approval has been obtained for a ge- Se è stata ottenuta l’approvazione della sicurezza
neric product, or for a generic application, a per un prodotto generico o per un’applicazione
reference may be made to this in the applica- generica, si può fare riferimento ad essa per l’ap-
tion for Safety approval of a specific applica- provazione della sicurezza per un’applicazione
tion; it is not necessary to repeat the generic ap- specifica; non è necessario ripetere il processo di
proval process for each application. This approvazione generico per ogni applicazione.
dependency between Safety Approvals is illus- Questa dipendenza tra le approvazioni della sicu-
trated in Figure 9. rezza è illustrata nella Fig. 9.
A safety case may be based on demonstration Un’Istruttoria per la Sicurezza può essere basata sul-
that the proposed specific application is techni- la dimostrazione che l’applicazione specifica propo-
cally equivalent to an existing application with sta è tecnicamente equivalente ad un applicazione
specific safety approval. A new safety approval esistente con approvazione specifica della sicurezza.
for this specific application is necessary. Una nuova approvazione della sicurezza per questa
applicazione specifica è necessaria.
It is essential to ensure in such examples of de- È fondamentale accertarsi per questi casi di dipen-
pendency that the Safety-Related Application denza che le condizioni di applicazione correlate
Conditions stated in the Technical Safety Report con la sicurezza, stabilite nella Relazione sulla Sicu-
of each Safety Case are fulfilled in the high- rezza Tecnica di ogni Istruttoria per la Sicurezza sia-
er-level Safety Case, or else are carried forward no state rispettate nell’Istruttoria per la Sicurezza di
into the Safety-Related Application Conditions livello superiore o altrimenti siano state riportate
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 34 di 130
of the higher-level Safety Case. nelle condizioni di applicazione correlate con la si-
curezza dell’Istruttoria per la Sicurezza di livello su-
periore.
Fig. 9 Examples of dependencies between Safety Cases Esempi di dipendenze tra le Istruttorie per la Sicu-
/Safety Approval rezza /Approvazione della sicurezza
APPLICAZIONI
SISTEMA A SISTEMA B
SPECIFICHE
SYSTEM A SYSTEM B
SPECIFIC
APPLICATIONS
SOTTO-SISTEMA 1 SOTTO-SISTEMA 2 SOTTO-SISTEMA 3

SUB-SYSTEM 1 SUB-SYSTEM 2 SUB-SYSTEM 3
APPLICAZIONI
GENERICHE
GENERIC
APPLICATIONS
SOTTO-SISTEMA 4
SUB-SYSTEM 4
APPARECCHIA- APPARECCHIA- PRODOTTI

APPARECCHIA-
TURA TURA GENERICI
TURA
EQUIPMENT GENERIC
EQUIPMENT EQUIPMENT
PRODUCTS
(a) (b) (c)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 35 di 130
ANNEX/ALLEGATO
normative
A normativo SAFETY INTEGRITY LEVELS LIVELLI DI INTEGRITÀ DELLA SICUREZZA
A.1 Introduction Introduzione

This annex gives details for the derivation, allo- Il presente allegato fornisce i dettagli per dedurre,
cation and implementation of safety require- attribuire e mettere in atto i requisiti di sicurezza e
ments and safety integrity and the use of Safety di integrità della sicurezza e l’uso dei Livelli di In-
Integrity Levels in safety-related systems for rail- tegrità della Sicurezza per i sistemi per Applica-
way application. zioni ferroviarie correlati con la sicurezza.
The tolerable hazard rates (THR) in the form of I tassi tollerabili di accadimento per le situazioni
quantified safety targets for each particular rail- di pericolo (THR), nella forma di obiettivi di sicu-
way application are the responsibility of the rel- rezza quantificati per ogni particolare applicazio-
evant railway authority, and are not defined by ne ferroviaria, sono responsabilità dell’Autorità
this standard. Ferroviaria competente e non vengono definiti in
questa norma.
The safety management process is defined in Il processo di gestione della sicurezza viene defi-
EN 50126. nito nella EN 50126.
A.2 Safety requirements Requisiti di sicurezza

The system requirements specification (or La specifica dei requisiti del sistema (o sottosiste-
sub-system/equipment as appropriate) may be ma o apparecchiatura a seconda dei casi) può es-
considered in two parts (see Figure A.1): sere considerata in due parti (vedi Fig. A.1):
requirements which are not related to safety i requisiti non correlati con la sicurezza (com-
(including operational functional require- presi i requisiti funzionali operativi);
ments);
requirements which are related to safety. i requisiti correlati con la Sicurezza.
Requirements which are related to safety are I Requisiti correlati con la sicurezza vengono ge-
usually called safety requirements. These may neralmente chiamati Requisiti di Sicurezza. Essi
be contained in a separate safety requirements possono essere contenuti in un documento a par-
specification. te chiamato Specifica dei Requisiti di Sicurezza.
Safety requirements may be considered in two I Requisiti di Sicurezza possono essere considerati
parts: in due parti:
safety functional requirements; i requisiti funzionali di Sicurezza;
safety integrity requirements. i requisiti di integrità della Sicurezza.
Safety functional requirements are the actual safe- I requisiti funzionali di sicurezza riguardano le re-
ty-related functions which the system, sub-system ali funzioni correlate con la sicurezza che il siste-
or equipment is required to carry out. ma, sottosistema o apparecchiatura deve svolgere.
Safety integrity requirements define the level of I requisiti di integrità della sicurezza definiscono il
safety integrity required for each safety-related Livello di Integrità della Sicurezza richiesto per
function. ogni funzione correlata con la Sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 36 di 130
Fig. A.1 Safety requirements and safety integrity Requisiti di sicurezza e integrità della sicurezza
SPECIFICA DEI REQUISITI

DEL SISTEMA
SYSTEM REQUIREMENTS
SPECIFICATION
REQUISITI NON REQUISITI

CONNESSI ALLA SICUREZZA DI SICUREZZA
NON-SAFETY SAFETY
REQUIREMENTS REQUIREMENTS
SPECIFICA DEI REQUISITI

DI SICUREZZA
SAFETY REQUIREMENTS
SPECIFICATION
REQUISITI DI INTEGRITÀ REQUISITI FUNZIONALI

DELLA SICUREZZA DI SICUREZZA
SAFETY INTEGRITY
SAFETY
REQUIREMENTS
FUNCTIONAL
REQUIREMENTS
INTEGRITÀ RISPETTO AI INTEGRITÀ RISPETTO AI

MALFUNZIONAMENTI MALFUNZIONAMENTI
SISTEMATICI ALEATORI
SYSTEMATIC FAILURE RANDOM FAILURE
INTEGRITY INTEGRITY
A.3 Safety integrity Integrità della sicurezza

Safety integrity relates to the ability of a safe- L’integrità della sicurezza caratterizza l’attitudine
ty-related system to achieve its required safety di un sistema correlato con la sicurezza a svolgere
functions. The higher the safety integrity, the le sue richieste funzioni di sicurezza. Più è alta
lower the likelihood that it will fail to carry out l’integrità della sicurezza, e meno si deve temere
the required safety functions. che il sistema non svolga le sue funzioni di sicu-
rezza richieste.
Safety integrity comprises two parts (see Fig- L’integrità della sicurezza comprende due parti
ure A.1): (vedi Fig. A.1):
systematic failure integrity; L’integrità dei malfunzionamenti sistematici
random failure integrity. L’integrità dei malfunzionamenti casuali.
It is necessary to satisfy both the systematic and Se deve essere raggiunta una adeguata integrità
the random failure integrity requirements if ade- della sicurezza, è necessario rispettare i requisiti
quate safety integrity is to be achieved. di integrità sia dei malfunzionamenti sistematici
che dei malfunzionamenti casuali
Note/Nota Failures caused by environmental conditions (e.g.: EMC, Nei malfunzionamenti sistematici o casuali, dovrebbero essere in-
temperature, vibration, etc.) should be included within sys- clusi a secondo dei casi, i malfunzionamenti causati dalle condi-
tematic and random failure integrity as appropriate. zioni ambientali (ad esempio EMC, temperatura, vibrazioni ecc.)
Systematic failure integrity is the non-quantifiable L’integrità per i malfunzionamenti sistematici rap-
part of the safety integrity and relates to hazard- presenta la parte non quantificabile dell’integrità
ous systematic faults (hardware or software). Sys- della sicurezza e corrisponde ai guasti sistematici
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 37 di 130
tematic faults are caused by human errors in the pericolosi (hardware e software). I guasti sistema-
various stages of the system/sub-system/equip- tici sono dovuti a errori umani durante le varie
ment life-cycle. fasi del ciclo di vita del sistema/sottosistema/ap-
parecchiatura.
EXAMPLE specification errors; ESEMPIO errori di specifica;
design errors; errori di progettazione;
manufacturing errors; errori di fabbricazione;
installation errors; errori d’installazione;
operation errors; errori d’esercizio;
maintenance errors; errori di manutenzione;
modification errors. errori di modifiche.
Systematic failure integrity is achieved by means L’integrità della sicurezza per i malfunzionamenti
of the quality management and safety manage- sistematici si ottiene mediante le condizioni di ge-
ment conditions specified in 5.2 and 5.3 of this stione della qualità e della sicurezza specificate ai
standard. punti 5.2 e 5.3 della presente Norma.
Technical defences against systematic faults are Le protezioni tecniche da guasti sistematici sono
included in the technical safety conditions spec- incluse nelle condizioni di sicurezza tecnica spe-
ified in 5.4 of this standard. cificate al 5.4 della presente Norma.
Because it is not possible to assess systematic Poichè non è possibile valutare l’integrità per i
failure integrity by quantitative methods, Safety malfunzionamenti sistematici con dei metodi
Integrity Levels are used to group methods, quantitativi, i Livelli di Integrità della Sicurezza
tools and techniques which, when used effec- vengono utilizzati per raggruppare diversi metodi,
tively, are considered to provide an appropriate strumenti e tecniche che, se usate efficacemente,
level of confidence in the realisation of a system consentono di ottenere un livello appropriato di
to a stated integrity level (see Annex E). confidenza nella realizzazione di un sistema con
un definito livello di integrità (vedi l’Allegato E).
Random failure integrity is that part of the safety L’integrità per i malfunzionamenti casuali è la par-
integrity which relates to hazardous random te dell’integrità della sicurezza relativa ai malfun-
faults, in particular random hardware faults, zionamenti casuali pericolosi, in particolare i mal-
which are the result of the finite reliability of funzionamenti hardware casuali che derivano
hardware components. dall’affidabilità limitata dei componenti hardware.
The achievement of random failure integrity is L’ottenimento dell’integrità per i malfunzionamen-
included within the technical safety conditions ti casuali è incluso nelle condizioni della sicurez-
specified in 5.4 of this standard. za tecnica specificate al 5.4 di questa norma.
A quantified assessment of random failure in- Una valutazione quantificata dell’integrità per i
tegrity shall be carried out, by means of proba- malfunzionamenti casuali deve essere fatta con
bilistic calculations. These are based on known l’aiuto di calcoli probabilistici. Questi si basano su
data for hardware component failure rates and dati noti per i tassi di malfunzionamento dei com-
failure modes, and disclosure times of random ponenti hardware ed i modi di malfunzionamen-
hardware failures. In the case of components to, ed il tempo di riconoscimento dei malfunzio-
with inherent physical properties (see Annex C) namenti casuali. In caso di componenti con
a hazardous failure rate of zero is generally as- proprietà fisiche intrinseche (vedi l’Allegato C), si
sumed, although a residual risk of hazardous suppone generalmente che il tasso di malfunzio-
failure may exist and should be defended namento pericoloso sia uguale a zero, anche se
against as specified in 5.4 and B.3.6 of this un rischio residuo di malfunzionamento pericolo-
standard. so può esistere e dovrebbe essere contrastato
come specificato al 5.4 e al B.3.6 di questa norma.
The allocation of safety integrity requirements L’attribuzione dei requisiti di integrità della sicu-
and of safety integrity levels are described in rezza ed i Livelli di Integrità della Sicurezza sono
A.4 and A.5 respectively. descritti rispettivamente in A4 e A5.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 38 di 130
A.4 Allocation of safety integrity requirements Attribuzione dei requisiti di integrità della
sicurezza
A methodology to determine safety integrity re- Deve essere sistematicamente applicata una meto-
quirements for railway signalling equipment, dologia per stabilire i requisiti di integrità della si-
taking into account both the operational envi- curezza delle apparecchiature di segnalamento
ronment and the architectural design of the sig- ferroviario, tenendo conto dell’ambiente operati-
nalling system, shall be systematically applied. vo e del progetto architetturale del sistema di se-
gnalamento.
At the heart of this approach is a well defined in- Al centro di quest’approccio c’è un’interfaccia ben
terface between the operational environment and definita tra l’ambiente operativo ed il sistema di
the signalling system. From the safety point of segnalamento. Dal punto di vista della Sicurezza,
view this interface is defined by a list of hazards quest’interfaccia consiste in una lista di situazioni
and associated tolerable hazard rates within the pericolose con associati tassi tollerabili di situazio-
system. It should be noted that the purpose of this ni pericolose all’interno del sistema. Da notare
approach is not to limit co-operation between che lo scopo di questo approccio non è di limita-
suppliers and railways authorities but to clarify re- re la cooperazione tra i fornitori e Autorità Ferro-
sponsibilities and interfaces. viaria, ma di chiarire responsabilità ed interfacce.
From this interface the analysis proceeds as fol- A partire da quest’interfaccia, l’analisi procede
lows: come segue:

bottom-up analysis leads to the identifica- analisi ascendente condotta per l’identificazio-
tion of the possible consequences of the ne delle possibili conseguenze delle situazio-
hazards and the related risks; and ni pericolose e dei rischi collegati; e
top-down analysis leads to the identification analisi discendente condotta per l’identifica-
of the causes of the hazards. zione delle cause delle situazioni pericolose.
The global process consists of risk analysis and Il processo globale consiste in un’analisi dei rischi
hazard control, see Figure A.2. The risk analysis e nel controllo delle situazioni pericolose. (vedi
produces tolerable hazard rates which are the Fig. A.2). L’analisi dei rischi consente di definire i
input to the hazard control. tassi tollerabili di situazioni pericolose, che sono i
dati di ingresso per il controllo delle situazioni
pericolose.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 39 di 130
Fig. A.2 Global process overview
Risk Analysis
Railways Authority’s Responsibility
System Definition
Hazard Identification
Consequence Analysis
Risk Estimation
THR Allocation
H THR
H THR
H THR
Potential new hazards
Causal Analysis
Common Cause Analysis
SIL Allocation
Hazard Control Supplier’s Responsibility
It is important to note that the THR is a target

measure with respect to both systematic and
random failure integrity. It is accepted that only
with respect to random failure integrity it will
be possible to quantify. Qualitative measures
and judgements will be necessary to justify that
the systematic integrity requirements are met.
This is mainly covered by the SIL (and the
measures derived from the SIL).
The safety authority shall approve both, the risk

analysis and the hazard control.
Note/Nota In some cases, these steps are not completely independent.

The hazard control can lead to system changes which offer
more safety performance. The overlapping arrows in Fig-
ure A.2 show this. Hence, in these cases the global process is
iterative.
A.4.1 Risk analysis

Figure A.3 gives an example of a risk analysis
process. The following subclauses explain the
phase in more detail.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 40 di 130
Vista d’insieme del processo globale
Analisi dei rischi

Responsabilità dell’operatore ferroviario
TÀ PER LA SICUREZZA
Definizione del sistema
Identificazione delle
situazioni pericolose
Analisi delle conseguenze
Valutazione dei rischi
Attribuzione dei THR
H THR
H THR
H THR
I
Nuove Situazioni pericolose

R
(H) potenziali
TO
Analisi delle cause

U
Analisi delle cause comuni

A
Attribuzione dei SIL
Gestione delle Situazioni pericolose (H) Responsabilità del fornitore
È importante rilevare che il THR è la misura

dell’obiettivo che tiene conto dell’integrità sia per
i malfunzionamenti casuali che per i malfunziona-
menti sistematici. È accettato che unicamente l’in-
tegrità per i malfunzionamenti casuali è quantifi-
cabile. Provvedimenti e valutazioni qualitative
saranno necessarie per giustificare che requisiti di
integrità per i malfunzionamenti sistematici sono
soddisfatti. Questo è essenzialmente coperto dal
SIL (e dai provvedimenti da essi derivati).
L’Autorità di Sicurezza deve approvare entrambi,
l’analisi dei rischi e il controllo delle situazioni pe-
ricolose.
In alcuni casi, queste due fasi non sono completamente indi-
pendenti. Il controllo delle situazioni pericolose può portare a
modifiche del sistema che migliorano le sue prestazioni di Si-
curezza. La sovrapposizione delle frecce in Fig. A.2 mostra
questo. In tali casi il processo globale è iterativo.
Analisi dei rischi

La Fig. A.3 dà un esempio del processo di analisi
dei rischi. I paragrafi seguenti ne descrivono più
in dettaglio le fasi.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 41 di 130
Fig. A.3 Example risk analysis process
IDENTIFY
IDENTIFY Accidents
Hazards
System Hazard IDENTIFY Forecast
ANALYSE System Definition Log Near misses Accidents
ESTIMATE
Hazards Rates
IDENTIFY
Safe States
System Definition Hazard Identification Consequence Analysis
Safety
Requirement Next Step
Specification
Forecast Individual COMPARE
DETERMINE
Accidents Risk with Target
Individual Risk Tolerable Supplier’s
Individual Risk
Hazard Rates Responsibility
Risk Estimation THR Allocation Hazard Control
Legende: What you do What you get
A.4.1.1 System definition and hazard identification
It is the responsibility of the railway authority

to define the system (independent of the
technical realisation),
to identify the hazards relevant to the sys-
tem.
Hazard identification involves systematic analysis

of a product, process, system or an undertaking to
determine those adverse conditions (hazards)
which may arise throughout the life-cycle. Such
adverse conditions may have the potential for hu-
man injury or damage to the environment.
Systematic identification of hazards generally in-

volves two phases:
an empirical phase (exploiting past experi-
ence, e. g. checklists);
a creative phase (proactive forecasting, e. g.
brain-storming, structured what-if studies).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 42 di 130
Esempio di un processo di analisi dei rischi
IDENTIFICARE
IDENTIFICARE gli incidenti
le H
ANALIZZARE Definizione Registro Elenco
IDENTIFICARE
il sistema del sistema delle H degli incidenti
VALUTARE i mancati incidenti
potenziali
i tassi di accadi-
IDENTIFICARE
mento delle H
gli stati di
sicurezza
Definizione del sistema Identificazione delle Situazioni peri-

colose (H) Analisi delle conseguenze
Specifica
Passi successivi
delle esigenza di
sicurezza
Elenco DETERMINARE CONFRONTARE

degli incidenti Rischio indi-
il rischio con rischio
potenziali viduale individuale Responsabiltà
individuale THR
prefissato del fornitore
Gestione delle
Valutazione dei rischi Attribuzione dei THR Situazioni pericolose
Legenda: attività risultato
Definizione del sistema e identificazione delle situazioni

pericolose
L’Autorità Ferroviaria ha la responsabilità di:
definire il sistema (indipendentemente dalla
realizzazione tecnica),
identificare le situazioni pericolose relative al
sistema.
L’identificazione delle situazioni pericolose com-

porta l’analisi sistematica di un prodotto, proces-
so, sistema oppure una attività per determinare le
condizioni sfavorevoli (situazioni di pericolo) che
potrebbero verificarsi nel corso del ciclo di vita.
Tali condizioni sfavorevoli possono potenzial-
mente provocare il ferimento delle persone o
danni all’ambiente.
L’identificazione sistematica delle situazioni peri-
colose implica generalmente due fasi:
una fase empirica (sfruttando l’ esperienza
passata; ad esempio liste di controllo);
una fase creativa (di previsione proattiva, ad
esempio: brain-storming (idee raccolte con in-
contri di gruppi di esperti), studi strutturati
what-if (cosa accade se).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 43 di 130
The empirical and creative phases of Hazard Le fasi empiriche e creative di identificazione del-
Identification complement one another, increas- le situazioni pericolose si completano l’una con
ing confidence that the potential hazard space l’altra, aumentando l’attendibilità che l’area di po-
has been covered and that all significant haz- tenziale situazione pericolosa è stata coperta e
ards have been identified. che tutte le situazioni pericolose significative sono
state ben identificate.
Note/Nota Methodologies which generate an unrealistically large I metodi che producono un numero irrealisticamente ampio di
number of mostly trivial or imprecisely defined hazards are situazione pericolose, per la maggior parte banali oppure non
wasteful of resource and can lead to a misleading or unpro- precisamente definite sono dispendiosi di risorse e possono por-
ductive risk assessment. With the exception of large under- tare ad una fuorviante o improduttiva valutazione dei rischi.
takings, involving many personnel, activities and equip- All’infuori di grandi imprese, che comportano molto personale,
ment, a large list of hazards extending into the hundreds is attività e apparecchiature, un elenco esteso che comprende
unreasonable and indicative of a poorly designed or con- centinaia di situazioni pericolose è poco sensato e indica uno
ducted study. studio mal concepito o male eseguito.
The hazards depend on the system definition Le situazioni pericolose dipendono dalla definizio-
and in particular the system boundary, which ne del sistema e in particolare dai confini del siste-
allows a hierarchical structuring of hazards with ma, che consente una strutturazione gerarchica
respect to systems and sub-systems. It also delle situazioni pericolose riguardo a sistemi e sot-
means that hazard identification and causal tosistemi. Ciò vuol dire anche che l’identificazione
analysis shall be performed repeatedly at sever- delle situazioni pericolose e l’analisi delle cause
al levels of detail during the system develop- devono essere effettuate ripetutamente a più livelli
ment. di dettaglio durante lo sviluppo del sistema.
Figure A.4 shows that the cause of a hazard at La Fig. A.4 mostra che la causa di una situazione
system level may be considered as a hazard at pericolosa a livello di sistema può essere conside-
sub-system level (with respect to the sub-sys- rata come una situazione pericolosa a livello di
tem boundary). Thus this definition enables a sottosistema (con riferimento ai confini del sotto-
structured hierarchical approach to hazard anal- sistema). Questa definizione consente quindi un
ysis and hazard tracking. approccio gerarchico strutturato per l’analisi e per
la tracciabilità delle situazioni pericolose.
Fig. A.4 Definition of hazards with respect to the system Definizione delle situazioni pericolose (H) con riferi-
boundary mento ai confini del sistema
Causa (livello di sistema => Pericolo (livello sistema)

pericolo (livello sottosistema) Hazard (system level) Incidente k
Cause (system level) => hazard Accident k
(subsystem Level)
Incidente l
Accident l
Causa
Cause
Confine sistema
Confine del sottosistema System boundary
Subsystem boundary
Causa Conseguenze
Cause Consequences
To further ensure that risk assessment effort is Per accertarsi meglio che lo sforzo di valutazione
focused upon the most significant hazards, the del rischio si concentri sulle situazioni pericolose
hazards should, once identified, be ordered in più significative, le situazioni pericolose, una vol-
terms of their perceived risk level. ta identificate, dovrebbero essere classificate in
termini di loro livello di rischio percepito.
All identified hazards and other pertinent infor- Tutte le situazioni pericolose identificate e ogni
mation shall be recorded in a Hazard Log. altra informazione pertinente deve essere registra-
ta nel Registro delle situazioni pericolose.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 44 di 130
A.4.1.2 Consequences analysis, risk estimation and allocation Analisi delle conseguenze, stima dei rischi, attribuzione
of tolerable hazards rates del tasso di accadimento delle situazioni pericolose
tollerabile
It is the responsibility of the railway authority L’Autorità Ferroviaria ha la responsabilità di:
to analyse the consequences, i.e. the losses, analizzare le conseguenze, cioè le perdite,
to define the risk tolerability criteria, definire i criteri di tollerabilità del rischio,
to derive the tolerable hazard rates, and dedurre i tassi di accadimento delle situazioni
pericolose tollerabili, e
to ensure that the resulting risk is tolerable accertarsi che il rischio che ne risulta è tollera-
(with respect to the appropriate risk tolera- bile (riguardo agli appropriati criteri di tollera-
bility criteria). bilità del rischio).
The only requirement is that the resulting toler- L’unico requisito è che i tassi tollerabili di accadi-
able hazard rates shall be derived taking into mento risultanti delle situazioni pericolose devono
account the risk tolerability criteria. Risk tolera- essere dedotti tenendo conto dei criteri di tollerabili-
bility criteria are not defined by this standard, tà del rischio. I criteri di tollerabilità del rischio non
but depend on national or European legislative sono definiti da questa norma, ma dipendono dai
requirements. requisiti legislativi nazionali ed europei.
The analysis methods shall either: I metodi di analisi dovranno,
estimate the resulting (individual) risk ex- stimare esplicitamente il rischio (individuale)
plicitly, or ottenuto, oppure
derive the tolerable hazard rates from a dedurre i tassi tollerabili di accadimento delle
comparison with the performance of exist- situazioni pericolose paragonandoli con le
ing systems or acknowledged rules of tech- prestazioni di sistemi esistenti o con regole
nology, either by statistical or analytical tecnologiche riconosciute con metodi statistici
methods, or o analitici, oppure
derive the tolerable hazard rates from alter- dedurre i tassi tollerabili di accadimento delle
native qualitative approaches, if as a result situazioni pericolose da approcci qualitativi
they define a list of hazards and corre- alternativi, se come risultato essi definiscono
sponding THR. una lista di situazioni pericolose e i corrispon-
denti THR.
It is important to note that this approach gives È importante rilevare che quest’approccio dà alle
the railway authorities the freedom to define Autorità Ferroviaria la libertà di definire le situazio-
the hazards and corresponding THRs at any lev- ni pericolose ed i THR corrispondenti ad ogni livel-
el, according to their particular needs. While lo, secondo le loro particolari esigenze. Mentre una
one railway authority may set very general, Autorità Ferroviaria può fissare obiettivi molto ge-
high-level targets, another may set very detailed nerali di alto livello, un’altra può fissare obiettivi
targets at the level of safety functions. molto dettagliati a livello di funzioni di sicurezza.
A.4.2 Hazard control Controllo delle situazioni pericolose

Hazard control covers the management of the Il controllo delle situazioni pericolose riguarda la
implementation of the required THRs and asso- gestione della realizzazione dei THR richiesti e
ciated safety functions. delle associate funzioni di sicurezza.
If no THRs are provided then either the supplier Se i THR non sono disponibili, o il fornitore dovrà
will provide these along with the system pro- fornirli insieme con la proposta del sistema all’Au-
posal to the Railway Authority or the Railway torità Ferroviaria, oppure l’Autorità Ferroviaria ed
Authority and the supplier will work together to il fornitore lavoreranno insieme per definire i re-
define the requirements. quisiti.
Hazard Control consists of performing Causal Il controllo delle situazioni pericolose consiste nel
Analysis followed by a number of activities realizzare un’analisi delle cause seguita da un cer-
which can be summarised as follows: to numero di attività che si possono riassumere
come segue:
in the case of no defined THRs, define the nel caso in cui i THR non sono definiti, biso-
safety assumptions and system functions re- gna definire le ipotesi di sicurezza e le funzio-
lated to the defined hazards; ni del sistema correlate con le situazioni peri-
colose definite;
in the case of defined THRs, define the sys- nel caso in cui i THR sono definiti, bisogna
tem architecture and allocate system func- definire l’architettura del sistema e allocare le
tions within the architecture (technical solu- funzioni del sistema dentro l’architettura (so-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 45 di 130
tion) to meet the safety requirements; luzione tecnica) per rispettare i requisiti di Si-
curezza;
determine the safety integrity requirements determinare i requisiti d’integrità della sicu-
for the sub-systems; rezza per i sottosistemi;
complete the safety requirements specifica- completare la specifica dei requisiti di sicurez-
tion; za;
analyse the system/sub-system to meet the analizzare il sistema/sottosistema per rispetta-
requirements; re i requisiti;
identify potential new hazards arising out of identificare le potenziali nuove situazioni pe-
the system/sub-system design through the ricolose che emergono dalla progettazione
design and verification processes, and either del sistema/sottosistema, durante i processi di
ensure the new potential hazards are covered progettazione e di verifica e o assicurare che
by the existing functionality or, if the new po- le nuove situazioni potenzialmente pericolose
tential hazards require extra functionality or siano coperte dalle funzionalità esistenti, op-
mitigation outside the system/sub-system, pure, se le nuove situazioni potenzialmente
transfer the potential hazards back to risk pericolose richiedono delle funzionalità o del-
analysis for further treatment; le mitigazioni supplementari esterne al siste-
ma/sottosistema, riportare le potenziali situa-
zioni pericolose all’analisi dei rischi per un
ulteriore trattamento complementare;

to determine the reliability requirements for determinare i requisiti di affidabilità per l’ap-
the equipment. parecchiatura.
The hazard control process is depicted in Fig- Il processo di controllo delle situazioni pericolose
ure A.5. è rappresentato nella Fig. A.5.
Note/Nota A well-structured Hazard Control contains relevant parts of Un controllo delle situazioni pericolose ben strutturato contiene
a Technical Safety Report implicitly. In this case, it is suffi- implicitamente parti rilevanti di una Relazione sulla Sicurezza
cient to reference in the Technical Safety Report to the Haz- Tecnica. In questo caso è sufficiente nella Relazione sulla Sicu-
ard Control. rezza Tecnica. fare riferimento al controllo delle situazioni peri-
colose.
A.4.2.1 Causal analysis Analisi delle cause

Causal analysis constitutes two key stages: L’analisi delle cause è composta da due tappe
fondamentali:
In a first phase of the causal analysis the tolera- In una prima fase dell’analisi delle cause il tasso tol-
ble hazard rate for each hazard is apportioned lerabile di accadimento di situazioni pericolose è
to a functional level (system functions). The tol- stato suddiviso per ogni situazione pericolosa ad un
erable hazard rate for a function is then translat- livello funzionale (funzioni del sistema). Il tasso di
ed to a SIL using the SIL table. Safety Integrity accadimento accettabile di una situazione pericolo-
Levels (SIL) are defined at this functional level sa per una funzione viene quindi tradotto in un SIL
for the sub-systems implementing the function- usando la tabella dei SIL. I Livelli di Integrità della
ality. Sicurezza (SIL) sono definiti a questo livello funzio-
nale per i sottosistemi che realizzano la funzionalità.
If the railway authority has already defined the Se, per quel che riguarda le funzioni di Sicurezza,
hazards and THRs with respect to safety func- l’Autorità Ferroviaria ha già definito le situazioni
tions, then the first phase of causal analysis is pericolose ed i loro THR, allora la prima fase di
void and SILs can be immediately allocated analisi delle cause è vuota ed i SIL basati sui richie-
based on the required THRs. sti THR possono essere immediatamente attribuiti.
A sub-system, i. e. the combination of equip- Un sottosistema, cioè la combinazione di più ap-
ment, may implement a number of safety-relat- parecchiature, può realizzare più funzioni di Sicu-
ed functions, each of which could require dif- rezza, ognuna delle quali potrebbe necessitare di
ferent Safety Integrity Levels. Where this is the un diverso Livello di Integrità della Sicurezza. Se è
case, the sub-system shall satisfy all the re- questo il caso, il sotto-sistema deve soddisfare tut-
quired SIL levels. This can be obtained if each ti i livelli di SIL richiesti. Questo può essere otte-
function meets the highest SIL or if demonstra- nuto se ogni funzione rispetta il livello più alto di
tion of independence can be provided. In both SIL o se può essere fornita dimostrazione dell’in-
cases a common cause failure analysis shall be dipendenza. In entrambi i casi, deve essere effet-
performed. tuata un’analisi dei malfunzionamenti di modo co-
mune.
In a second phase of the causal analysis the In una seconda fase dell’analisi delle cause, i tassi di
hazard rates for sub-systems are further appor- accadimento delle situazioni pericolose per sottosi-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 46 di 130
tioned leading to failure rates for the equip- stemi vengono ulteriormente ripartiti portando al
ment, but on this physical or implementation tasso di malfunzionamento per le apparecchiature,
level the SIL remains unchanged. Consequently ma a questo livello fisico o realizzativo il SIL rimane
also the software SIL defined by EN 50128 immutato. Di conseguenza, anche il SIL del software
would be the same as the sub-system SIL ex- definito dalla EN 50128 dovrebbe essere identico a
cept in the case of the exceptions described in quello del SIL di sottosistema, salvo nel caso delle
EN 50128. eccezioni descritte nella EN 50128.
The apportionment process may be performed Il processo di ripartizione può essere effettuato
by any method which allows a suitable repre- secondo un qualsiasi metodo che consente una
sentation of the combination logic, e. g. reliabil- rappresentazione appropriata della logica combi-
ity block diagrams, fault trees, binary decision natoria, ad esempio il metodo del diagramma di
diagrams, Markov models etc. In any case par- affidabilità, alberi dei guasti, tavole di verità, mo-
ticular care shall be taken when independence delli di Markov, ecc. In tutti i casi, si deve stare
of items is required. While in the first phase of particolarmente attenti quando viene richiesta
the causal analysis functional independence is l’indipendenza degli elementi. Mentre nella prima
required (i. e. the failure of functions shall be fase dell’analisi delle cause è richiesta l’indipen-
independent with respect to systematic and ran- denza funzionale (cioè i malfunzionamenti delle
dom faults), physical independence is sufficient funzioni devono essere indipendenti rispetto a
in the second phase (i. e. the failure of sub-sys- guasti sistematici o casuali), nella seconda fase è
tems shall be independent with respect to ran- sufficiente l’Indipendenza fisica (cioè i malfunzio-
dom faults). Assumptions made in the causal namenti dei sottosistemi devono essere indipen-
analysis shall be checked and may lead to safe- denti rispetto a guasti casuali). Le ipotesi fatte
ty-related application rules for the implementa- nell’analisi delle cause devono essere verificate e
tion. possono condurre a regole di applicazione corre-
late con la sicurezza per la realizzazione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 47 di 130
Fig. A.5 Example hazard control process
From Risk
Analysis
List of
hazards
and THR
Undetected failure Undetetced failure Undetected failure

of power supply of road-side of LC controller
warnings
Late or no switch-in Undetectedfailure Undetetcedfailure Undetectedfailure 1E-7 1E-7 1E-7
of power supply of road-side of LC controler LCsetbackto
normal position
....
warnings
Check 1E-7 1E-7 1E-7 1E-7
System
independence
architecture
Undetected failure Undetected
assumptions Undetectedfailure Undetected

of light signals
7E-6
failure of barriers
7E-6
Undetectedfailure Undetected
ofswitch-in failute of distant of light signals failure of barriers
function signal
1E-7 7E-6 7E-6
....
Determine THR SIL and THR
SIL table and SIL for subsystems
Apportion SIL and FR

hazard rates to for
elements elements
A.4.2.2 Common cause failure (CCF) analysis

Particular care has to be practised when inde-
pendence claims (logical AND combinations)
are used. It has to be ensured that sufficient
physical,
functional,
process
independence exists between sub-systems or sys-

tem functions (see B.3.2 and B.3.6). If independ-
ence cannot be demonstrated completely then the
common cause failures have to be modelled at an
appropriate level of detail. Additionally it shall be
demonstrated that the safety-relevant application
rules immediately implied by the use of AND
combinations are fulfilled and checked.
A.4.2.2.1 Physical independence

Physical independence is an absolute necessity
in order to make credible fault tree calculations
with AND gate for random effects. Thus in any
case a common cause failure (CCF) analysis
would be necessary to assume independence.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 48 di 130
Esempio di processo di controllo di una situazione
pericolosa (H)
Risultati
delle analisi
del rischio
Elenco delle
H e THR
R OGNI PERICO
PE
LO
Undetected failure Undetetced failure Undetected failure
of power supply of road-side of LC controller
warnings
Late or no switch-in Undetectedfailure Undetetcedfailure Undetectedfailure 1E-7 1E-7 1E-7
LCsetbackto
Controllo delle
of power supply of road-side of LC controler
normal position
Architettura
....
warnings
1E-7 1E-7 1E-7 1E-7
ipotesi del sistema

Undetected failure Undetected
d’indipendenza of light signals

7E-6
failure of barriers
7E-6
Undetectedfailure Undetected Undetectedfailure Undetected

ofswitch-in failute of distant of light signals failure of barriers
function signal
1E-7 7E-6 7E-6
PER A
OGN EM
I S OTTOSIST
....
Tabella dei Determinazione SIL e THR per
SIL dei THR e dei i sottosistemi
SIL
SIL e FR (tasso
Ripartizione dei
di malfunziona-
tassi di accadimen-
mento) degli
to delle H sugli
elementi
elementi
Analisi dei Malfunzionamenti di Modo Comune

Deve essere fatta particole attenzione quando
sono utilizzate dichiarazioni di indipendenza
(combinazioni di AND logico). Deve essere assi-
curato che esista una sufficiente indipendenza
fisica,
funzionale,
di processo
tra sottosistemi o funzioni del sistema (vedi B.3.2

e B.3.6). Se l’indipendenza non può essere dimo-
strata completamente allora i malfunzionamenti di
modo comune devono essere modellizzati ad un
livello di dettaglio appropriato. Inoltre deve esse-
re dimostrato che le appropriate regole di sicurez-
za direttamente legate all’uso di combinazioni di
AND logico sono rispettate e verificate.
Indipendenza fisica
L’indipendenza fisica è una necessità assoluta per
rendere credibili i calcoli sugli alberi dei guasti con
porte logiche AND per gli effetti casuali. Quindi per
assumere l’indipendenza sarebbe necessaria in tutti i
casi un’analisi del malfunzionamento di modo co-
mune (CCF – Common Cause Failure).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 49 di 130
Some (informative) chapters, under which con- Alcuni capitoli (informativi) dove possono essere
ditions for physical independence may be as- assunte le condizioni per l’indipendenza fisica
sumed, can be found in D.2 and D.3. A possono essere trovati in D2 e in D3. Un paragra-
sub-chapter of the safety case also deals explic- fo dell’Istruttoria per la Sicurezza tratta esplicita-
itly with independence of items. mente dell’indipendenza tra elementi.
Note/Nota Taking a brief look at two repairable items, which are usual- Se si considerano due oggetti riparabili, definiti generalmente
ly defined by their failure and repair rates, and a closer look dal loro tasso di malfunzionamento e dal loro tasso di ripara-
at AND combinations a different interpretation of the repair zione, e se si osservano più da vicino le combinazioni di AND
rates (or equivalent repair times) is necessary. Usually after logico, è necessaria un’interpretazione diversa dei tassi di ri-
a fault within an item has appeared, at least two things have parazione (o dei tempi di riparazione corrispondenti). Di soli-
to happen in order to get the item working again: to, dopo che si è verificato un guasto ad un oggetto, devono
succedere almeno due cose prima che l’oggetto possa funzio-
nare di nuovo:
the fault has to be detected and negated (this means a il guasto deve essere rilevato e negato (ciò significa che
safe state has to be entered); deve essere stato introdotto uno stato sicuro);
the item has to be repaired and restored. l’oggetto deve essere riparato e ripristinato.
With repair and restore time we mean the logistic time for Per tempo di riparazione e di ripristino si intendono i tempi lo-
repair after detection, actual repair time (fault finding, re- gistici per la riparazione dopo il rilevamento, il tempo reale di
pair, exchange, check) and time to restore equipment into riparazione (localizzazione del guasto, riparazione, sostitu-
operation. While in a reliability context usually the detection zione, verifica) ed il tempo per rimettere l’apparecchiatura in
time is neglected, this time becomes important in the safety servizio. Mentre nel contesto dell’affidabilità il tempo di rileva-
context. Safety-critical applications may not rely on self-tests mento viene generalmente trascurato, questo tempo diventa
or similar measures, but the detection and negation has to importante nel contesto della sicurezza. Le applicazioni criti-
be performed independently of the item. Sufficient failure che di sicurezza non possono basarsi su autotests o metodolo-
detection and negation mechanisms should be demonstrat- gie simili, ma il rilevamento e la negazione devono essere rea-
ed in the safety case. lizzate indipendentemente dall’elemento. Nell’Istruttoria per la
Sicurezza dovrebbero essere dimostrati sufficienti meccanismi
di rilevamento e di negazione dei malfunzionamenti.
In a safety context generally the actual repair and restore Generalmente, in un contesto di Sicurezza, il tempo reale di ri-
time can be neglected, if other control measures are taken parazione e di ripristino possono essere trascurati se altre me-
during this period. In this case the repair rate from reliabili- todologie di controllo vengono prese durante quel periodo. In
ty analysis can be interpreted as the detection and negation tal caso, il tasso di riparazione dell’analisi di affidabilità può
time, here defined as safe down time (SDT) or equivalent essere interpretato come tempo per il rilevamento e per la nega-
safe down rate (SDR). zione, qui definito come tempo di riduzione della sicurezza
(SDT) o equivalente tasso di riduzione della sicurezza (SDR).
Fig. A.6 Interpretation of failure and repair times Interpretazione dei tempi di malfunzionamento e di
riparazione
Guasto Rilevamento Ripristino

Fault Detection Restore
Negazione
Negation
Modelling the composition of two independent items in an Modellizzando con una porta logica AND la composizione di due
AND-gate the following basic formula for the (asymptotic) oggetti indipendenti, nell’ipotesi che i tassi siano costanti del tem-
tolerable hazard and detection rates for highly available sys- po, può essere utilizzata la formula di base riportata qui di segui-
tems can be used, assuming that the rates are constant over to per i tassi (asintotici) di accadimento e di rilevamento di situa-
time: zioni di pericolo tollerabili per sistemi ad alta disponibilità:
FRA FRB
THRS ≈ × × ( SDRA + SDRB ) SDRS ≈ SDRA + SDRB (A.1)
SDRA SDRB
where the FR′s stand for potential hazardous Failure Rates. dove FR rappresenta il tasso di malfunzionamento pericoloso po-
tenziale.
If periodic testing times are used as detection times, then Se i tempi di prova periodici sono utilizzati come tempi di rileva-
(A.1) may be used with mean test times: mento, allora si può utilizzare (A.1):
T/2 + negation time = SDT = 1/SDR. T/2 + tempo di negazione = SDT = 1/SDR
come tempo medio di prova.
This means that in order to use AND combinations properly Questo significa che per impiegare correttamente combinazioni
each item shall have an independent failure detection and di AND logico, ogni oggetto deve essere fornito di un meccanismo
shut-down mechanism. If an item does not have such mech- indipendente di rilevamento dei malfunzionamenti e di arresto.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 50 di 130
anism, then according to B.3.3 of this standard the installed Se un oggetto non dispone di questo meccanismo, allora, come
lifetime of the item has to be taken into account. descritto al punto B.3.3 di questa norma, deve essere preso in con-
siderazione il tempo di vita dell’oggetto installato.
Another aspect, which has to be taken into account in the La disponibilità del sistema è un altro aspetto che deve essere preso
design, and in fact limits the free choice of parameters is the in considerazione per la progettazione e che limita di fatto la libe-
availability of the system. ra scelta dei parametri.
EXAMPLE Taking two identical items with a MTBF of 10000 ESEMPIO Se si considerano due apparecchiature identiche con
hours and a mean detection time of 1 hour (ignor- un MTBF di 10000 ore ed un tempo medio di rileva-
ing negation time), then the resulting failure rate mento di 1 ora (ignorando il tempo di negazione), al-
for the parallel system (AND combination in fail- lora il tasso di malfunzionamento che ne deriva per il
ure logic) is 2×10-8 per hour. f one item has a sistema formato dalle due apparecchiature in parallelo
mean detection time of 1000 hours (e. g. detection (combinazione AND logico dei malfunzionamenti)
by maintenance), then the result is only 10–5 per vale 2×10-8 per ora. Se una delle apparecchiature ha
hour, which is only a factor of 10 better than the un tempo medio di rilevamento di 1000 ore (es: il rile-
MTBF of a single item. If the mean detection time vamento da parte della manutenzione) allora il risulta-
for one item would be its lifetime, then the gain to vale soltanto 10–5 per ora, il che corrisponde ad un
would become even more marginal. miglioramento di appena un fattore 10 del MTBF di
una apparecchiatura semplice. Se il tempo medio di
rilevamento di un malfunzionamento di una apparec-
chiatura corrisponde al suo tempo di vita allora il gua-
dagno diventa ancora più marginale.
Physical independence is the lowest level of in- L’indipendenza fisica è il livello di indipendenza
dependence, typically at component level. If più basso, tipicamente al livello dei componenti.
physical independence is assured then random Se l’indipendenza fisica è garantita, allora i requi-
integrity requirements may be apportioned to siti di integrità casuali possono essere ripartiti al
the next lower level. livello più basso successivo.
A.4.2.2.2 Functional independence Indipendenza funzionale

Functional independence implies, that there are L’indipendenza funzionale implica che non ci sia-
neither systematic nor random faults, which cause no né guasti sistematici né casuali per i quali un
a set of functions to fail simultaneously. Thus on gruppo di funzioni fallisce simultaneamente.
this level again a CCF analysis would be necessary Quindi anche a questo livello sarebbe necessaria
in order to show that the functions are independ- l’analisi CCF (Malfunzionamento di modo comu-
ent. In this standard this is called independence ne) per dimostrare che le funzioni sono indipen-
with respect to functional influences. Random and denti. In questa norma questa viene chiamata in-
systematic integrity requirements may be appor- dipendenza riguardo alle influenze funzionali. I
tioned to the next lower level only if functional in- requisiti di integrità casuali e sistematici possono
dependence is assured. essere ripartiti al livello di scomposizione inferio-
re soltanto a condizione che l’indipendenza fun-
zionale sia garantita.
When applying fault tree analysis to system Quando si effettua l’analisi dell’albero dei guasti del-
functions, say A and B, which is the main case le funzioni, diciamo A e B, di un sistema, che è il
in the safety integrity requirements apportion- caso principale nel processo di ripartizione dei re-
ment process, it shall be taken into account that quisiti di integrità della sicurezza, si deve considera-
using AND gates creates immediately the fol- re che l’utilizzo della porta AND logico implica im-
lowing safety-relevant application rules: mediatamente le seguenti regole di sicurezza:
the implementations of A and B shall be le realizzazioni di A e di B devono essere fisi-
physically independent; camente indipendente
the safe down times defined by detection devono essere valutati ed ottenuti i tempi di
and negation times for each item shall be riduzione della sicurezza definiti dalla somma
estimated and achieved. dei tempi di rilevamento e di negazione per
ogni elemento.
Note/Nota In general, functions are not independent but can be further In genere, le funzioni non sono indipendenti, ma possono es-
subdivided in independent sub-functions and sub-functions sere scomposte in sottofunzioni indipendenti e in sottofunzio-
affected by CCF. Figure A.7 shows a generic treatment of ni affette da malfunzionamenti di modo comune (CCF). La
CCF by FTA. Fig. A.7 mostra un trattamento generico di CCF per mezzo
della FTA (analisi dell’albero dei malfunzionamenti).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 51 di 130
Fig. A.7 Treatment of functional independence by FTA Trattamento dell’indipendenza funzionale tramite
analisi dell’albero dei malfunzionamenti
Pericolo
Hazard
Guasti che
conducono al
malfunziona- Guasti che con-
mento della ducono al mal-
funzione A CCF funzionamento Malfunziona-
Faults leading to della funzione B mento di causa
Function A Faults leading to comune
failure Function B failure Common cause
Malfunziona- Malfunziona- failure
meno della mento della
Funzione A Funzione B
Function A failure Function B failure
A.4.2.2.3 Process independence Indipendenza del processo

Products and systems generally emerge as a re- I prodotti ed i sistemi sono generalmente il frutto
sult of activities inherent in the early life-cycle di attività relative ai primi processi del ciclo di vi-
processes. These broadly comprise concept, re- ta. Essenzialmente essi comprendono le fasi di
quirements specification, system design, sys- concezione, di specifica dei requisiti, di progetta-
tem development, verification and validation zione del sistema, di sviluppo del sistema, di veri-
phases which have a significant influence on fica e validazione che hanno un’influenza signifi-
the properties of the end product. It is generally cativa sulle proprietà del prodotto finale. Si
agreed that higher degrees of criticality of a ammette generalmente, che più i gradi di criticità
product or system in its environment of applica- sono alti per un prodotto o un sistema nel suo
tion demand more robust and systematic life-cy- ambiente di applicazione, e più i processi del ci-
cle processes. In addition, since systematic er- clo di vita devono essere robusti e metodici. Inol-
rors inherently arise during these life-cycle tre, siccome la manifestazione di errori sistematici
processes, a degree of independence is often è inerente a questi processi del ciclo di vita, un
desirable. grado di indipendenza è spesso auspicabile.
In a manner similar to functional and physical In maniera simile ai principi di indipendenza fun-
counterparts, independence and diversity in hu- zionale e fisica, si considera che l’indipendenza e
man resource and life-cycle processes are la diversificazione del personale e dei processi
deemed to contribute to higher overall safety del ciclo di vita contribuiscono ad un’integrità
integrity for products and systems. Higher SIL complessiva della sicurezza più alta per i prodotti
requirements would therefore call for higher ed i sistemi. Requisiti di SIL più alti richiedono an-
degrees of process and human resource inde- che gradi di indipendenza più alti per il processo
pendence to ensure systematic errors are avoided il personale per garantire che gli errori siste-
ed or minimised. matici siano evitati o minimizzati.
The development processes should fulfil the re- I processi di sviluppo dovrebbero soddisfare i SIL ri-
quired SIL and ensure that there is sufficient or- chiesti e garantire che ci sia una sufficiente indipen-
ganisational and personal independence be- denza dell’organizzazione e del personale tra i grup-
tween the development teams in order to pi di sviluppo, allo scopo di minimizzare gli errori
further minimise systematic errors. For guidance sistematici. Per le indicazioni relative alla emissione
according software issues see EN 50128. dei software riferirsi alla EN 50128.
A.4.3 Identification and treatment of new hazards arising Identificazione e trattamento delle nuove situazioni
from design pericolose che si manifestano con la progettazione
Realisation of a signalling system is likely to La realizzazione di un sistema di segnalamento
lead to unforeseen or undesirable properties può eventualmente portare a proprietà impreviste
with a potential to cause harm to people, in o non desiderate con la possibilità di provocare
particular if the system or technology is new. danni alle persone, in particolare se il sistema o la
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 52 di 130
New hazards may arise because of several as- tecnologia sono nuovi. Nuove situazioni pericolo-
pects: se possono derivare da vari motivi:
new technology has a great potential for la nuova tecnologia ha una grande possibilità
new hazards (lack of experience); di nuove situazioni pericolose (per mancanza
di esperienza);
emergence of hidden hazards in the exist- l’apparizione di situazioni pericolose nascoste
ing railway system due to the introduction per il sistema ferroviario esistente, a causa
of a new technology (e.g. analogue to digit- dell’introduzione di una nuova tecnologia (ad
al technology); esempio: passaggio dall’analogico al digitale);
new design hazard due to a lack of ade- la situazione pericolosa per un nuovo proget-
quate/proper specification; to dovuta alla mancanza di una Specificazione
adeguata/corretta;
special operation modes in an existing rail- i modi di esercizio specifici di un sistema fer-
way system may not fit well and may create roviario esistente possono non adattarsi bene
new hazards for the operators, maintainers e possono creare nuove situazioni di pericolo
or other members of the staff, public, etc.; per gli operatori, per gli addetti alla manuten-
zione o altri dipendenti, per il pubblico;
design errors may create new hazards but gli errori di progettazione possono creare nuove
they can often be related to the already situazioni pericolose, ma spesso essi possono
identified ones. essere collegati a quelle già identificate.
These aspects may give rise to hazardous cir- Questi aspetti possono dare origine a circostanze
cumstances and states which require the same e stati pericolosi che esigono lo stesso trattamento
systematic treatment as applied to the already sistematico di quello applicato alle situazioni peri-
identified hazards. colose già individuate.
The process for identification, processing and Il processo per l’identificazione, elaborazione ed
treatment of new hazards arising from the de- il trattamento delle nuove situazioni pericolose
sign or application of a system is essentially messe in evidenza durante la progettazione o du-
identical to the risk analysis phase. Once identi- rante l’esercizio di un sistema è praticamente
fied, system level hazards with a potential to af- identico alla fase di analisi del rischio. Una volta
fect overall system performance or cause harm identificate, le situazioni pericolose a livello del
to people shall be declared by the supplier to sistema capaci di influenzare le prestazioni com-
the railway authority. Depending on the per- plessive del sistema o provocare danni alle perso-
ceived risks, these would require qualitative or ne, devono essere dichiarate dal fornitore all’Au-
quantitative assessment, with a view to forecast torità Ferroviaria. Secondo i rischi percepiti, essa
and agree an appropriate tolerable rate (THR) può esigere per ciascuno una valutazione qualita-
for each. tiva o quantitativa, con un parere per prevedere e
concordare un appropriato tasso tollerabile di ac-
cadimento (THR).
Note/Nota Then it is possible to proceed in at least two different ways: Si potrà allora procedere secondo almeno due vie diverse:
it is possible to relate the new hazard to an identified è possibile collegare la nuova situazione pericolosa con
one: in this case the supplier should make sure that the una già identificata: in quel caso il fornitore dovrebbe ac-
resulting HR of the combination of these two hazards is certarsi che l’HR risultante dovuto alla combinazione di
still compliant with the THR that has been fixed by the queste due situazioni pericolose sia ancora conformee con
railway authority. The hazard log and the safety case il THR che era stato fissato dall’Autorità Ferroviaria. Il regi-
should trace this hazard; stro delle Situazioni pericolose e l’Istruttoria per la Sicurez-
za dovrebbero tracciare questa situazione pericolosa;
the new hazard has nothing to do with any of the iden- la nuova situazione pericolosa non ha nessuna relazione
tified ones: in this case the supplier should contact the con quelle già identificate: in quel caso il fornitore do-
railway authority to give him all the information he vrebbe contattare l’Autorità Ferroviaria per fornirgli tutte
has analysed about the hazard (causes, consequences, le informazioni che ha analizzato relativamente alle si-
risk, …). The railway authority should then decide tuazioni pericolose (cause, conseguenze, rischi...). L’Au-
whether this new hazard could be accepted or not: torità Ferroviaria dovrebbe quindi decidere se questa
nuova situazione pericolosa può essere accettata o no:
if not, the supplier should re-design his prod- in caso di mancata accettazione, allora il fornitore do-
uct/system if it is possible. If not, then additional vrebbe ri-progettare, se possibile, il suo prodotto/sistema.
protection measures should be implemented in or- Se non fosse possibile, vanno applicate delle misure di
der to keep the hazard and associated risk at an protezione complementare per limitare la situazione pe-
acceptable level; ricolosa ed il rischio associato ad un livello accettabile.
if yes, then the railway authority is in charge of in caso di accettazione, l’Autorità Ferroviaria è in-
defining the THR of this new hazard and the sup- caricata di definire il THR della nuova situazione
plier should provide a design compliant with this pericolosa e il fornitore dovrebbe presentare un pro-
requirement; getto conforme con questo requisito;
for both cases, once a conclusion has been in entrambe i casi, appena è stata presa una decisio-
reached concerning this hazard, everything ne su tale situazione pericolosa, dovrà essere tutto
should be recorded in the hazard log and the safe- registrato nel Registro delle situazioni pericolose e
ty case. nell’Istruttoria per la Sicurezza.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 53 di 130
The THRs shall be derived for each new hazard Per ogni nuova situazione pericolosa devono es-
and these will lead to updated requirements. sere dedotti i THR, e ciò portera ad un aggiorna-
mento dei requisiti.
A.5 Safety Integrity Levels Livelli di Integrità della Sicurezza
A.5.1 General aspects Aspetti generali

Safety integrity is specified as one of four dis- L’integrità della sicurezza è specificata come uno
crete levels. Level 4 has the highest level of di 4 livelli discreti. Il livello 4 corrisponde al Livel-
safety integrity; level 1 has the lowest. Level 0 is lo di Integrità della Sicurezza più alto, il livello 1
used to indicate that there are no safety require- corrisponde al livello più basso. Il livello 0 viene
ments. A SIL should address qualitative appreci- usato per indicare che non ci sono requisiti di Si-
ation of factors such as quality and safety man- curezza. Un SIL dovrebbe indirizzare apprezza-
agement and technical safety conditions. menti qualitativi di fattori come la gestione della
qualità e della sicurezza, e le condizioni tecniche
della Sicurezza.
Hazards related to a system are identified and Le situazioni pericolose legate ad un sistema sono
assessed with regard to their potential conse- identificate e valutate in funzione delle loro con-
quences during the risk analysis phase of the seguenze potenziali, durante la fase di analisi dei
system life-cycle, as described A.4.1. This activi- rischi del ciclo di vita del sistema come descritto
ty results (top-down) in tolerable hazard rates al punto A.4.1. Da questa attività (discendente)
for each hazard. Nevertheless a supplier may deriva il tasso tollerabile di accadimento di situa-
start development of generic products in a bot- zioni pericolose per ogni situazione pericolosa.
tom-up fashion and may even achieve safety Tuttavia, un fornitore può incominciare lo svilup-
approval for a generic product safety case po di prodotti generici in modo ascendente e può
(without the results of any risk analysis being persino ottenere un’approvazione di sicurezza per
available), but in the end he shall ensure that un’Istruttoria per la Sicurezza dei prodotti generici
the required tolerable hazard rates (application (senza che siano disponibili risultati di alcuna
safety case) are fulfilled. The railway authority analisi di rischio), ma alla fine deve garantire che
and/or the safety authority shall determine the i richiesti tassi tollerabili di accadimento di situa-
base line for this process. zioni pericolose (Istruttoria per la Sicurezza
dell’applicazione) siano rispettati. L’Autorità Fer-
roviaria e/o l’Autorità di Sicurezza devono deter-
minare le direttive di base per questo processo.
During the next phases, the system require- Le fasi di requisiti del sistema e di allocazione dei
ments and apportionment of system require- requisiti di sistema, i tassi tollerabili di accadimen-
ments phases, the tolerable hazard rates are ap- to di situazioni pericolose vengono distribuiti ri-
portioned to system functions and sub-systems, spettivamente, durante le fasi successive, nelle
respectively. funzioni del sistema e nei sottosistemi.
Each of these functions shall have a qualitative Ognuna di queste funzioni deve avere associato ad
safety target and a quantitative target attached essa un obiettivo qualitativo di sicurezza e un obiet-
to them. The qualitative target shall be in the tivo quantitativo. L’obiettivo qualitativo deve essere
form of a Safety Integrity Level, and shall cover espresso sotto forma di un Livello di Integrità della
systematic failure integrity. The quantitative tar- Sicurezza e deve coprire l’integrità nei confronti dei
get shall be in the form of a numerical failure malfunzionamenti sistematici. L’obiettivo quantitati-
rate, and shall cover random failure integrity. vo deve essere espresso sotto forma di un tasso di
malfunzionamento numerico e deve coprire l’inte-
grità dei malfunzionamenti casuali.
Safety-related functions within a system are im- Le funzioni di sicurezza all’interno di un sistema
plemented by sub-systems. Safety Integrity Lev- sono realizzate tramite sottosistemi. I Livelli di In-
els are allocated to safety-related functions and tegrità della Sicurezza sono attribuiti alle funzioni
consequently the sub-systems implementing di sicurezza e quindi ai sottosistemi che realizza-
these functions, but no further. The Safety In- no tali funzioni, ma non oltre. Il Livello di Integri-
tegrity Level for the equipment which is part of tà della Sicurezza per una apparecchiatura che è
a sub-system, is the same as for the sub-system, parte di un sottosistema è lo stesso di quello del
unless functional independence can be demon- sottosistema, a meno che non si possa dimostrare
strated between equipments within sub-sys- l’indipendenza funzionale tra le apparecchiature
tems. all’interno del sottosistema.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 54 di 130
It is important to recognise that achievement of È importante sottolineare che il raggiungimento di
a specified Safety Integrity Level requires com- un Livello di Integrità della Sicurezza specificato
pliance with all of the factors in Figure A.8, richiede la conformità con tutti i fattori presentati
namely nella Fig. A.8, e cioè:
quality management conditions, le condizioni della gestione della qualità,
safety management conditions, le condizioni della gestione della Sicurezza,
technical safety conditions, le condizioni della sicurezza tecnica,
quantified safety targets. gli obiettivi quantificati della Sicurezza.
Fulfilment of a particular quantified safety target Raggiungere un particolare obiettivo di Sicurezza

does not, by itself, mean that the corresponding quantificato non significa di per sè che il Livello di
Safety Integrity Level has been achieved. Simi- Integrità della Sicurezza corrispondente è stato rag-
larly, fulfilment of the quality management, giunto. Allo stesso modo, il rispetto della gestione
safety management and technical safety condi- della qualità, della gestione della sicurezza e delle
tions associated with a particular Safety Integrity condizioni della sicurezza tecnica associati ad un
Level does not mean that the corresponding particolare Livello di Integrità della Sicurezza non
quantified safety target, or the Safety Integrity significa che l’obiettivo di sicurezza quantificato o
Level itself, have been achieved. All of the fac- il Livello di Integrità della Sicurezza corrispondente
tors in Figure A.8 need to be fulfilled in order to siano stati raggiunti. Tutti i fattori indicati nella
achieve the specified safety integrity. Fig. A.8 devono essere soddisfatti per raggiungere
l’integrità della sicurezza specificata.
It is also important to understand that, whilst È anche importante capire che, mentre gli obietti-
the quantified safety targets in Figure A.8 are vi di sicurezza quantificati della Fig. A.8 sono
those required in order to achieve the railway quelli richiesti allo scopo di realizzare le presta-
safety performance as described in the next zioni della sicurezza ferroviaria così come descrit-
paragraphs, it shall not be assumed that the tar- to nei seguenti paragrafi, non si deve pensare che
get for a particular safety function can necessar- l’obiettivo relativo ad una funzione di sicurezza
ily be achieved by a single sub-system or equip- particolare possa essere necessariamente raggiun-
ment. Where necessary the required safety to da un solo sottosistema o apparecchiatura.
target shall be achieved by combination of Quando è necessario, l’obiettivo di sicurezza ri-
functions, sub-systems or equipment, as ex- chiesto deve essere realizzato tramite la combina-
plained in this annex. zione delle funzioni, sottosistemi o apparecchiatu-
re, come spiegato in questo allegato.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 55 di 130
Fig. A.8 Relationship between SILs and techniques Legami tra i SIL e le tecniche
Integrità della sicurezza

Safety Integrity
Integrità di Integrità di
malfunzionanti malfunzionamenti
sistematici aleatori
Systematic Failure
Integrity Random Failure
SIL Integrity FR
Condizioni di Condizioni di Condizioni di si- Obiettivi quantitati-

gestione della gestione della curezza tecnica vi della sicurezza
qualità sicurezza Technical Quantified Safety
Quality Safety safety
management management conditions Targets
conditions conditions
SIL 4
Insieme adeguato di metodi e

SIL 3 strumenti classificati secondo il
SIL
(vedi Allegato E e Tab. A.1)
Adequate set of methods and tools
SIL 2 ranked according the SIL
(see Annex E and Table A.1)
SIL 1
SIL 0 Nessun requisito particolare

No specific requirements
A.5.2 Relationship between SIL and safety targets Legami tra i SIL e gli obiettivi della Sicurezza
This standard is based on the assumption that Questa norma è basata sull’ipotesi che la sicurezza è
safety relies both on adequate measures to realizzata contemporaneamente dall’utilizzo delle mi-
avoid or tolerate faults (as safeguards against sure appropriate per evitare o tollerare guasti (come
systematic failure) and on adequate measures to protezione contro i malfunzionamenti sistematici) e
control random failures. Measures against both da misure adeguate per controllare i malfunziona-
causes of failure should be balanced in order to menti casuali. Le misure contro entrambe le cause di
achieve the optimum safety performance of a malfunzionamento dovrebbero essere equilibrate per
system. To achieve this the concept of Safety In- raggiungere le prestazioni di sicurezza ottimali di un
tegrity Levels (SIL) is used. SILs are used as a sistema. A questo scopo si utilizza il concetto di Livel-
means of matching the qualitative approaches li di Integrità della Sicurezza (SIL). I SIL vengono usati
(to avoid systematic failures) with the quantita- come mezzo per abbinare gli approcci qualitativi
tive approach (to control random failures), as it (per evitare i malfunzionamenti sistematici) con l’ap-
is not feasible to quantify systematic failures. proccio quantitativo (per controllare i malfunziona-
menti casuali), poiché una quantificazione dei mal-
funzionamenti sistematici non è possibile.
Like in many other standards this balance is ex- Come in molte altre norme, quest’equilibrio viene
pressed in a table, which consists of a list of espresso in una tabella che è formata da un elen-
Safety Integrity Levels 0, 1, 2, 3, 4 and a list of co dei Livelli di Integrità della Sicurezza 0, 1, 2, 3,
corresponding intervals or bands for tolerable 4 e da un elenco di intervalli o bande corrispon-
hazard rates I0, ..., I4. denti per i tassi tollerabili delle situazioni perico-
lose I0, ..., I4
The SIL table is applicable to safety-related La tabella dei SIL è applicabile per le funzioni di
functions or sub-systems implementing one or sicurezza e per i sottosistemi che realizzano una o
more of these functions. Having followed the più di queste funzioni. Dopo aver seguito le mi-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 56 di 130
measures and methods required for SIL x there sure ed i metodi richiesti per il SIL x, non c’è più
is no requirement to consider the systematic alcun bisogno di tenere conto dei malfunziona-
failures when demonstrating the THR is menti sistematici per dimostrate che il THR viene
achieved. ottenuto.
The SIL table identifies the required SIL for the La tabella dei SIL identifica il livello di SIL richiesto
safety-related function from the THR. Thus if per la funzione di sicurezza a partire dal THR. Quin-
the THR for a function F has been derived by a di se il THR per una funzione F è stato dedotto con
quantitative method the required SIL shall be un metodo quantitativo, il SIL richiesto deve essere
determined by the use of the following table: determinato con l’aiuto della seguente tabella:
Tab. A.1 SIL-table Tavola dei SIL
Tasso di Pericolo Tollerabile (THR) Livello di Integrità della Sicurezza

per ora e funzione Safety integrity level
Tolerable Hazard Rate (THR)
per hour and function
10–9 ≤ THR < 10–8 4
10–8 ≤ THR < 10–7 3
10–7 ≤ THR < 10–6 2

10–6 ≤ THR < 10–5 1
A function having quantitative requirements Una funzione i cui i requisiti quantitativi sono più
more demanding than 10– 9× h–1 shall be treated restrittivi di 10– 9× h–1 deve essere trattata in uno
in one of the following ways: dei seguenti modi:
if it is possible to divide the function into se è possibile scomporre la funzione in sotto-
functionally independent sub-functions, the funzioni indipendenti dal punto di vista fun-
THR can be split between those sub-func- zionale, il THR può essere ripartito tra quelle
tions and a SIL assigned to each sub-func- sottofunzioni e ad ogni sottofunzione può es-
tion; sere assegnato un SIL;
if the function cannot be divided, the meas- se la funzione non può essere scomposta, le
ures and methods required for SIL 4 shall, misure ed i metodi richiesti per il SIL 4 devo-
at least, be fulfilled and the function shall no, come minimo, essere applicati e la funzio-
be used in combination with other technical ne deve essere utilizzata in combinazione con
or operational measures in order to achieve altre misure tecniche e operative per raggiun-
the necessary THR. gere il THR necessario.
Note/Nota In contrast to other standards the SIL table in this standard A differenza di altre norme, la tavola SIL di questa norma
has only one column for frequencies (formerly called high contiene solo una colonna per le frequenze (precedentemente
demand or continuous mode) and does not have a column chiamati forte richiesta o modo continuo) e non ha una colon-
for failure probabilities on demand (formerly called de- na per le probabilità di malfunzionamento su richiesta (prece-
mand mode). The reasons to restrict to one mode are: dentemente chiamati modi su richiesta). Le ragioni della re-
strizione ad un solo modo sono:
less ambiguity in determination of SIL, meno ambiguità per la determinazione dei SIL,
all demand mode systems can be modelled as continu- tutti i sistemi il cui modo di funzionamento è su richiesta
ous mode systems, possono essere modellizzati come dei sistemi con modo di
funzionamento continuo,
continuous control and command signalling systems il sistemi di comando e controllo del segnalamento con
are clearly the majority in modern railway signalling modo di funzionamento continuo rappresentano ovvia-
applications. mente la maggior parte della Applicazioni ferroviarie mo-
derne.
The SIL table has been constructed taking into La tabella SIL è stata elaborata tenendo conto del-
account EN 61508-1. la EN 61508-1.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 57 di 130
ANNEX/ALLEGATO
normative
B normativo DETAILED TECHNICAL REQUIREMENTS REQUISITI TECNICI DETTAGLIATI
B.1 Introduction Introduzione

As explained in 5.4 of this standard, technical Come spiegato al punto 5.4 della presente Norma,
evidence for the safety of the system/sub-sys- nella Relazione sulla Sicurezza Tecnica (che costi-
tem/equipment design shall be presented in the tuisce la Parte 4 dell’Istruttoria per la Sicurezza)
Technical Safety Report (which forms Part 4 of deve essere presentata la prova tecnica per la si-
the Safety Case). The report shall be arranged curezza della progettazione del sistema/sottosiste-
under the following headings: ma/apparecchiatura. La relazione deve essere arti-
colata in base alla seguente struttura:
Section 1 Introduction Parte 1 Introduzione
Section 2 Assurance of correct functional oper- Parte 2 Assicurazione di un esercizio funzionale
ation corretto
Section 3 Effects of faults Parte 3 Effetti dei guasti
Section 4 Operation with external influences Parte 4 Esercizio in presenza di influenze esterne
Section 5 Safety-related application conditions Parte 5 Condizioni di utilizzazione correlate con
la sicurezza
Section 6 Safety Qualification tests Parte 6 Prove di Qualifica della Sicurezza
Each of these has been briefly considered in 5.4 Ognuna di queste parti é stata brevemente trattata
of this standard. More detailed requirements for al punto 5.4 della presente Norma. Requisiti più
Section 2 to Section 6 of the Technical Safety dettagliati relativi alle parti da 2 a 6 della Relazio-
Report are contained in B.2 to B.6. ne sulla Sicurezza Tecnica sono contenuti nei
punti da B.2 a B.6.
The Technical Safety Report is mandatory for La Relazione sulla Sicurezza Tecnica é obbligatoria
Safety Integrity Levels 1 to 4 inclusive (see An- per tutti i Livelli di Integrità della Sicurezza da 1 a 4
nex A for explanation of Safety Integrity Lev- (vedi l’Allegato A per una spiegazione dei Livelli di
els). However, the depth of the information and Integrità della Sicurezza). Il grado di approfondi-
the extent of the supporting documentation mento dell’informazione e l’estensione della docu-
should be appropriate to the Safety Integrity mentazione di supporto dovrebbe essere appro-
Level of the system/sub-system/equipment un- priata al Livello di Integrità della Sicurezza del
der scrutiny. The requirements for Safety Integ- sistema/sottosistema/apparecchiatura in esame. I
rity Level 0 (non-safety-related) are outside the requisiti per il Livello di Integrità della Sicurezza 0
scope of this safety standard. (non correlato con la sicurezza) non rientrano nel
campo di applicazione della presente Norma di si-
curezza.
The structure of the Technical Safety Report is La struttura della Relazione sulla Sicurezza Tecni-
illustrated in Figure 7 of this standard. ca é illustrato nella Fig. 7 di questa norma.
B.2 Assurance of correct functional operation Assicurazione di un esercizio funzionale corretto

(Section 2 of the Technical Safety Report) (Parte 2 della Relazione sulla Sicurezza Tecnica)
This section concerns correct operation of the Questo paragrafo riguarda il corretto esercizio del
system/sub-system/equipment under fault-free sistema/sottosistema/apparecchiatura in assenza
conditions (that is, with no faults in existence), di guasti (vale a dire, senza guasti in atto), in con-
in accordance with the specified operational formità con i requisiti di utilizzazione e di sicurez-
and safety requirements. za specificati.
Some particular aspects are considered below, Alcuni specifici aspetti sono trattati, di seguito ap-
using the headings from 5.4. plicando la struttura del punto 5.4.
B.2.1 System architecture description Descrizione dell’architettura del sistema

This shall contain a general description of the Questo paragrafo deve contenere una descrizione
system/sub-system/equipment design, in suffi- generale del progetto del sistema/sottosistema/ap-
cient depth to convey a clear understanding of parecchiatura che sia sufficientemente approfondi-
the principles and techniques which it uses. ta da consentire una chiara comprensione dei prin-
cipi e delle tecniche utilizzate.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 58 di 130
B.2.2 Definition of interfaces Definizione delle interfacce
B.2.2.1 Man-machine interfaces Interfacce uomo - macchina

a) Operator a) Operatore
This shall describe the mechanisms by In questo comma devono essere descritti i
which the system/sub-system/equipment meccanismi in base ai quali il sistema/sottosi-
will be operated by operating and engineer- stema/apparecchiatura sarà gestito dal perso-
ing personnel. nale operativo e dal personale tecnico.
EXAMPLE under normal conditions; ESEMPIO in condizioni normali;
in response to alarms; in risposta ad eventuali allarmi;
by use of “help” routines. applicando procedure “di ausilio”.
b) Configuration b) Configurazione
This shall describe the processes carried out In questo comma devono essere descritte le
by engineering personnel to configure the procedure utilizzate dal personale tecnico per
system/sub-system/equipment to a specific configurare il sistema/sottosistema/apparecchia-
railway or application. tura per una specifica applicazione ferroviaria.
EXAMPLE software parametering; ESEMPIO impostazione dei parametri del software;
hard wiring; cablaggio dell’hardware;
installation techniques; tecniche d’installazione;

procedures. procedure.
c) Maintenance c) Manutenzione
This shall describe the interface mecha- Questo comma deve contenere una descrizio-
nisms, including the use of any ancillary ne dei meccanismi di interfacciamento, com-
equipment, which will be used by mainte- preso l’impiego di ogni apparecchiatura colle-
nance personnel in the course of perform- gata che sarà utilizzata dal personale addetto
ing the various levels of maintenance. alla manutenzione nell’esecuzione delle varie
fasi di manutenzione.
More detailed information is contained in Informazioni più dettagliate sono fornite nel
B.5.2. punto B.5.2.
B.2.2.2 System interfaces Interfacce del sistema

a) Internal a) Interne
This shall define the functional and physical Questo comma deve contenere una definizio-
interfaces between items internal to the sys- ne delle interfacce funzionali e fisiche tra le
tem/sub-system/equipment. unità interne del sistema/sottosistema/appa-
recchiatura.
EXAMPLE electrically clean and dirty areas; ESEMPIO zone elettricamente neutre o inquinate;
internal bus structures; strutture interne di bus;
communication links; collegamenti di comunicazione;
functional monitoring and correction; controllo e rettifica funzionale;
diagnostic and health monitoring. diagnostica e controllo dello stato generale.
b) External b) Esterne
This shall define the functional and physical Questo comma deve contenere una definizione
interfaces between the system/sub-sys- delle interfacce funzionali e fisiche tra le unità
tem/equipment and external items. esterne del sistema/sottosistema/apparecchiatura.
EXAMPLE sensors; ESEMPIO sensori;
actuators; attuatori;
communication links; collegamenti di comunicazione;
test and monitoring provisions; apparecchi di prova e di controllo;
expansion facilities. strutture d’estensione.
B.2.3 Fulfilment of system requirements specification Rispetto della specifica dei requisiti del sistema
This shall demonstrate how the operational Questo paragrafo deve illustrare il modo in cui i re-
functional requirements specified in the sys- quisiti funzionali di utilizzazione indicati nella Speci-
tem/sub-system/equipment requirements specifica dei requisiti del sistema/sottosistema/apparec-
fication are fulfilled by the design. All relevant chiatura sono rispettati nella progettazione. Devono
evidence shall be included (or referenced). essere incluse tutte le relative prove (o i riferimenti).
EXAMPLE design principles and calculations; ESEMPIO principi e calcoli di progettazione;
test specifications and results; specifiche e risultati delle prove.
validation. validazione
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 59 di 130
B.2.4 Fulfilment of safety requirements specification Rispetto della specifica dei requisiti della sicurezza
This shall demonstrate how the specified safety Questo paragrafo deve illustrare il modo in cui i
functional requirements are fulfilled by the de- requisiti funzionali di sicurezza specificati sono ri-
sign. All relevant evidence shall be included (or spettati nella progettazione. Devono essere inclu-
referenced). se tutte le relative prove (o i riferimenti).
EXAMPLE design principles and calculations; ESEMPIO principi e calcoli di progettazione;
test specifications and results; specifiche delle prove e risultati;
safety analyses and results. analisi di sicurezza e risultati.
B.2.5 Assurance of correct hardware functionality Assicurazione del corretto funzionamento dello
hardware
This shall describe the system/sub-sys- Questo paragrafo deve descrivere l’architettura
tem/equipment hardware architecture, and ex- hardware del sistema/sottosistema/apparecchiatu-
plain how the design achieves the required in- ra, ed illustrare come la progettazione realizza
tegrity, as laid down by the requirements l’Integrità richiesta, come previsto dalla Specifica
specification and any relevant standards, in re- dei requisiti e da ogni norma applicabile, riguardo
spect of: a:
reliability, l’affidabilità,
availability, la disponibilità,
maintainability, la manutenibilità
safety. la sicurezza.
Consideration of safety may be limited to Le considerazioni di sicurezza possono essere li-

fault-free conditions, because effects of faults mitate alle condizioni di assenza di guasto, poiché
are dealt with elsewhere (see B.3). gli effetti dei guasti sono trattati altrove (vedi B.3).
B.2.6 Assurance of correct software functionality Assicurazione del corretto funzionamento del
software
The requirements of EN 50128 shall be com- Devono essere rispettati i requisiti della EN 50128.
plied with.
All documentation required by EN 50128 shall Questa parte deve contenere, o fare riferimento a
be included or referenced in this section, partic- tutta la documentazione richiesta dalla EN 50128,
ularly the Software Validation Report and the in particolare la Relazione di validazione del sof-
Software Assessment Report. tware e la Relazione di valutazione del software.
In addition, the interaction between hardware Inoltre, deve essere spiegata l’interazione tra
and software shall be explained. l’hardware e il software.
Note/Nota Some particular topics which should receive attention in- Alcuni particolari aspetti ai quali si dovrebbe prestare atten-
clude: zione riguardano:
dependence between hardware and software, rapporto di dipendenza tra hardware e software,
sequence of interaction, sequenza dell’interazione,
response times, tempi di risposta,
self test routines, programmi di autoverifica,
health monitoring, controllo dello stato generale,
data acquisition techniques, tecniche di acquisizione dei dati,
graceful degradation, degrado progressivo,
negation methods. metodi di negazione.
B.3 Effects of faults Effetti dei guasti

This section concerns the ability of the sys- Questo paragrafo rigurda la capacità del siste-
tem/sub-system/equipment to continue to meet ma/sottosistema/apparecchiatura di mantenere il
its specified safety requirements in the event of rispetto dei suoi specificati requisiti di sicurezza in
random hardware faults and, as far as reasona- caso di guasti casuali dell’hardware e, per quanto
bly practicable, systematic faults. possibile, di guasti sistematici.
Particular aspects which shall be considered are Nei punti da B.3.1 a B.3.6 seguenti, sono detta-
detailed in B.3.1 to B.3.6 below, using the head- gliati, applicando la struttura del punto 5.4, speci-
ings from 5.4. fici aspetti che devono essere tenuti in considera-
zione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 60 di 130
B.3.1 Effects of single faults Effetti dei guasti singoli
(See also guidance in Table E.4) (Vedi anche le informazioni della Tab. E.4)
It is necessary to ensure that the sys- È necessario accertarsi che il sistema/sottosiste-
tem/sub-system/equipment meets its THR in ma/apparecchiatura rispetti il suo THR (tasso di
the event of single random fault. It is necessary accadimento accettabile delle situazioni pericolo-
to ensure that SIL 3 and SIL 4 systems remain se) in caso di guasto casuale singolo. È necessario
safe in the event of any kind of single random accertarsi che i sistemi dei livelli SIL 3 e SIL 4 ri-
hardware fault which is recognised as possible. mangano in condizioni di sicurezza in presenza di
Faults whose effects have been demonstrated to qualunque guasto casuale singolo dell’hardware
be negligible may be ignored. This principle, ritenuto possibile. I guasti i cui effetti si sono di-
which is known as fail-safety, can be achieved mostrati trascurabili possono essere ignorati. Que-
in several different ways: sto principio, noto come sicurezza intrinseca, può
essere realizzato in vari modi:
1) composite fail-safety 1) sicurezza composita
With this technique, each safety-related Con questa tecnica, ogni funzione correlata con
function is performed by at least two items. la sicurezza è svolta da almeno due unità.
Each of these items shall be independent Ognuna di queste unità deve essere indipen-
from all others, to avoid common-cause fail- dente da tutte le altre, per evitare malfunziona-
ures. Non-restrictive activities are allowed menti di modo comune. Le attività non restritti-
to progress only if the necessary number of ve sono autorizzate a procedere unicamente
items agree. A hazardous fault in one item quando un sufficiente numero di unità concor-
shall be detected and negated in sufficient da. Un guasto pericoloso in una delle unità
time to avoid a co-incident fault in a second deve essere individuato e messo in stato negato
item. in un tempo sufficientemente breve da evitare
l’insorgere di un guasto simile in un’altra unità.
2) reactive fail-safety 2) sicurezza reattiva
This technique allows a safety-related func- Questa tecnica consente a una funzione correla-
tion to be performed by a single item, pro- ta con la sicurezza di essere svolta da una unità
vided its safe operation is assured by rapid singola, a condizione che il suo corretto funzio-
detection and negation of any hazardous namento sia assicurato da un rapido sistema di
fault (for example, by encoding, by multiple rilevamento e di negazione di ogni guasto peri-
computation and comparison, or by contin- coloso (per esempio, tramite codifica, elabora-
ual testing). Although only one item per- zione multipla e comparazione, oppure tramite
forms the actual safety-related function, the prove continue). Anche se la funzione correlata
checking/testing/detection function shall be con la sicurezza è svolta da una sola unità, la
regarded as a second item, which shall be funzione di controllo/prova/rilevamento deve
independent to avoid common-cause fail- essere considerata come una seconda unità, che
ures. deve essere indipendente in modo da evitare
malfunzionamenti di modo comune.
3) inherent fail-safety 3) sicurezza intrinseca
This technique allows a safety-related func- Questa tecnica consente a una funzione correlata
tion to be performed by a single item, pro- con la sicurezza di essere svolta da una sola uni-
vided all the credible failure modes of the tà, a condizione che tutti i modi di malfunziona-
item are non-hazardous. Any failure mode mento verosimili dell’unità siano non pericolosi.
which is claimed to be incredible (for ex- Ogni modo di malfunzionamento dichiarato non
ample, because of inherent physical proper- verosimile (per esempio, in virtù delle intrinse-
ties) shall be justified using the procedure che proprietà fisiche), deve essere giustificato
defined in Annex C. Inherent fail-safety may utilizzando la procedura definita nell’Allegato C.
also be used for certain functions within È consentito l’uso della sicurezza intrinseca per
Composite and Reactive fail-safe systems, alcune funzioni nei sistemi a sicurezza reattiva e
for example to ensure independence be- composita, per esempio, per assicurare l’indipen-
tween items, or to enforce shut-down if a denza tra unità oppure per forzare l’arresto in
hazardous fault is detected. caso di rilevamento di un guasto pericoloso.
Whichever technique or combination of tech- Qualunque sia la tecnica o la combinazione di

niques is used, assurance that no single ran- tecniche impiegate, l’assicurazione che nessun
dom hardware component failure mode is haz- singolo modo di malfunzionamento casuale di un
ardous shall be demonstrated using appropriate componente dell‘hardware è pericoloso deve es-
structured analysis methods. The component sere dimostrata utilizzando gli appropriati metodi
failure modes to be considered in the analysis di analisi strutturata. L’identificazione dei modi di
shall be identified using the procedures defined malfunzionamento di un componente da prende-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 61 di 130
in Annex C. re in considerazione nell’analisi deve avvenire in
base alle procedure definite nell’Allegato C.
Note/Nota A top-down failure analysis method should be used, such as Dovrebbe essere impiegato un metodo di analisi dei malfunziona-
Fault Tree Analysis (FTA). This should be supported, if neces- menti di tipo discendente, come l’analisi ad albero dei guasti (FTA
sary, by a bottom-up method such as Failure Modes and Ef- - Fault Tree Analysis). Questo dovrebbe essere sussidiato, se neces-
fects Analysis (FMEA). See also guidance given in Table E.6. sario, da un metodo di tipo ascendente quale l’Analisi dei modi di
malfunzionamento e dei loro effetti (FMEA – Failure Mode Effects
Analysis). Vedi anche le informazioni della Tab. E.6.
Failure analyses shall be qualitative, and quanti- Le analisi dei malfunzionamenti devono essere
tative where credible data is available. Random qualitative, e quantitative se sono disponibili dati
hardware failure rates, or probabilities of com- credibili. Il tasso di malfunzionamento casuale
ponent failure, should be based on field data if dell‘hardware, o la probabilità di malfunziona-
possible. Apportionment of an overall compo- mento di un componente, dovrebbero essere fon-
nent failure rate between its failure modes shall dati, se possibile, sui dati del campo. La ripartizio-
be justified in the analysis. ne del tasso globale di malfunzionamento di un
componente tra i suoi vari modi di malfunziona-
mento deve essere giustificata nell’analisi.
B.3.2 Independence of items Indipendenza delle unità

In systems containing more than one item Nei sistemi composti da più di una unità il cui con-
whose simultaneous malfunction could be haz- temporaneo malfunzionamento può essere perico-
ardous, independence between items is a man- loso, l’indipendenza tra le unità è una pre-condizio-
datory precondition for safety concerning single ne obbligatoria per la sicurezza relativa ai guasti
faults. Appropriate rules or guidelines shall be singoli. Per garantire tale indipendenza, devono es-
fulfilled to ensure this independence. The sere rispettate le regole o le direttive appropriate. Le
measures taken shall be effective for the whole misure adottate devono essere efficaci per l’intero
life-cycle of the system. In addition, the sys- ciclo di vita del sistema. Inoltre, il progetto del siste-
tem/sub-system design shall be arranged to ma/sottosistema deve essere organizzato in modo
minimise potentially hazardous consequences da ridurre al minimo le conseguenze potenzialmen-
of loss-of-independence caused by, for exam- te pericolose di una perdita dell’indipendenza pro-
ple, a systematic design fault, if it could exist. vocata, ad esempio, da un guasto sistematico della
progettazione, se esistesse.
The various types of influence in a system con- I vari tipi d’influenza in un sistema costituito, per
sisting of, for example, two operating items are esempio, da due unità funzionali sono illustrati
represented in Figure B.1. This figure may be nella Fig. B.1. Le indicazioni di questa figura pos-
extended to systems consisting of more than sono essere estese ai sistemi costituiti da più di
two operating items. due unità funzionali.
Where safety is reliant on the clearance and Quando la sicurezza dipende dalle distanze d’isola-
creepage distances, the minimum clearance and mento superficiali e in aria, i valori minimi delle di-
creepage distances shall be defined according stanze d’isolamento superficiali e in aria devono es-
to the application requirements (including ma- sere definiti coerentemente con i requisiti
terial, technology, implementation, environ- dell’applicazione (comprendendo materiali, tecnolo-
mental and operation conditions, failures and gia, realizzazione, condizioni di esercizio e ambien-
temporary overvoltages). tali, malfunzionamenti e sovratensioni temporanee).
Independence could be lost by several types of La perdita d’indipendenza potrebbe essere causa-
influences, as explained under the following ta da tipi diversi d’influenze, come illustrato nei
headings: seguenti paragrafi:
Type A Physical internal influences Tipo A Influenze fisiche interne

If no physical connection exists between inter- Se non esistono collegamenti fisici tra le unità in-
nal items of a system, there are neither physical terne di un sistema, non sussistono né influenze
nor functional influences. Therefore, internal in- fisiche, né influenze funzionali. Di conseguenza,
dependence is achieved. l’indipendenza interna è raggiunta.
Notes/Note: 1 A physical connection is any medium between items, 1 Per collegamento fisico, si intende qualsiasi tipo di colle-
for example: gamento tra le unità, per esempio:
galvanic connection; collegamento galvanico;
electromagnetic coupling. accoppiamento elettromagnetico.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 62 di 130
Measures shall be taken to avoid non-intention- Devono essere adottate le misure per evitare qua-
al physical internal influences. lunque influenza fisica interna involontaria.
Notes/Note: 2 D.2 contains a range of measures for the achievement 2 Il punto D.2 contiene un elenco di misure che consentono
of physical internal independence (protection against di ottenere l’indipendenza fisica interna (protezione dal-
influences of Type A). le influenze di tipo A).
Type B Functional internal influences Tipo B Influenze funzionali interne

A functional influence between items is based Un’influenza funzionale interna si basa su di un
on a physical connection. Measures shall be collegamento fisico. Devono essere adottate le
taken to avoid functional internal influences. misure per evitare influenze funzionali interne.
This shall be achieved by means of functional Questo deve essere realizzato per mezzo dell’in-
internal independence (protection against influ- dipendenza funzionale interna (protezione dalle
ences of Type B). influenze di tipo B).
Notes/Note: 3 A functional internal influence would allow faulty in- 3 Un’influenza funzionale interna è quella a causa della
formation in one item to influence another item in a quale un’informazione errata proveniente da una unità
hazardous manner. può influenzare un’altra unità in maniera pericolosa.
Type C Physical external influences Tipo C Influenze fisiche esterne

A physical external influence could cause a loss Un’influenza fisica esterna può avere come conse-
of physical independence between items. guenza la perdita dell’indipendenza fisica tra le unità.
Notes/Note: 4 These could be due to, for example, 4 Queste influenze possono essere dovute per esempio a:
environmental stresses such as EMI, ESD, climatic, sollecitazioni ambientali quali EMI (interferenze
chanical and chemical, elettromagnetiche), ESD (scariche elettrostatiche),
climatiche, meccaniche e chimiche.
the power supply, and l’alimentazione, e
the external inputs and outputs. gli ingressi e le uscite esterni.
Measures shall be taken to avoid non-intention- Devono essere adottate le misure per evitare qua-
al physical external influences. B.4 contains re- lunque influenza fisica esterna involontaria. Il
quirements for external influences which shall punto B.4 contiene requisiti relativi alle influenze
be considered. esterne che devono essere considerate.
Notes/Note: 5 D.3 contains a range of measures for the achievement 5 Il punto D.3 comprende un elenco di metodologie che
of physical external independence (protection against consentono di ottenere l’indipendenza fisica esterna (pro-
influences of Type C). tezione dalle influenze del tipo C).
Type D Functional external influences Tipo D Influenze funzionali esterne

A functional external influence could cause a Un’influenza funzionale esterna può avere come
loss of functional independence between items. conseguenza la perdita dell’indipendenza funzio-
Measures shall be taken to avoid functional ex- nale tra le unità. Devono essere adottate le misure
ternal influences. This shall be achieved by atte a evitare qualsiasi influenza funzionale ester-
means of functional external independence na. Questo deve essere realizzato per mezzo
(protection against influences of Type D). dell’indipendenza funzionale esterna (protezione
dalle influenze del tipo D).
Notes/Note: 6 A functional external influence would allow faulty 6 Un’influenza funzionale esterna è quella a causa della
information from an external source to influence the quale un’informazione errata proveniente da una fonte
system in a hazardous manner. esterna può influenzare il sistema in modo pericoloso.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 63 di 130
Fig. B.1 Influences affecting the independence of items
Legend: = INTENTIONAL CONNECTION
= NON-INTENTIONAL CONNECTION
(possibly caused by a fault)
= INDEPENDENCE
(if specified measures are met to avoid non-intentional
influences and connections)
= FRONT CONTACT
(normally-open contact)
= TWO FRONT CONTACTS
(used symbolically as an AND for two independent
non-restrictive activities)
PHYSICAL INTERNAL INFLUENCE

A (non-intentional)
FUNCTIONAL INTERNAL INFLUENCE

B (non-intentional, using intentional connection)
EXTERNAL ENVIRONMENTAL INFLUENCE (EMI,- - - )

(non-intentional)
C1
EXTERNAL INFLUENCE BY POWER SUPPLY

(non-intentional, using intentional connection)
C2
EXTERNAL INFLUENCE ACROSS INPUT/OUTPUT

(PROCESS WORKING VOLTAGES, EMI - INDUCED VOLTAGES)
C3 (non-intentional, using intentional connection)
FUNCTIONAL EXTERNAL INFLUENCE

D (non-intentional, using external connection)
C1
C2 D
C3
ITEM X ITEM Y
B A
C3 D C3 D
OUTPUT
"AND" condition for the non-restrictive state of the output
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 64 di 130
Influenze che condizionano l’indipendenza delle unità
Legenda COLLEGAMENTO INTENZIONALE
COLLEGAMENTO INVOLONTARIO
(può essere causato da un guasto)
INDIPENDENZA
(se sono messe in atto misure specifiche per
evitare influenze e collegamenti involontari)
CONTATTO DI FUNZIONAMENTO
(contatto normalmente aperto)
CONTATTO DI FUNZIONAMENTO DOPPIO
(impiegato simbolicamente come un AND per
due attività non restrittive indipendenti
INFLUENZA FISICA INTERNA

A
(involontaria)
INFLUENZA FUNZIONALE INTERNA

B
(involontaria, attraverso un collegamento intenzionale)
INFLUENZA ESTERNA DOVUTA ALL’AMBIENTE (EMI, ...)

C1
(involontaria)
INFLUENZA ESTERNA DOVUTA ALL’ALIMENTAZIONE

C2 (involontaria, attraverso un collegamento intenzionale)
INFLUENZA ESTERNA ATTRAVERSO GLI INGRESSI/USCITE

C3 (TENSIONI DI FUNZIONAMENTO NORMALE, TENSIONI, EMI, TENSIONI
INDOTTE) (involontaria, attraverso un collegamento intenzionale)
D
INFLUENZA FUNZIONALE ESTERNA
(involontaria, attraverso un collegamento esterno)
C1
C2 D
C3
ENTITÀ X A
ENTITÀ Y
B A
C3 D C3 D
USCITA
condizione “AND” per uno stato non restrittivo dell’uscita
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 65 di 130
B.3.3 Detection of single faults Rilevamento di guasti singoli
(See also guidance given in Table E.4) (Vedi anche le informazioni della Tab. E.4)
A first fault (single fault) which could be haz- Un primo guasto (guasto singolo), che può essere
ardous, either alone or if combined with a sec- pericoloso o da solo o combinato con un secon-
ond fault, shall be detected and a safe state en- do guasto, deve essere rilevato e deve essere for-
forced (i.e.: negated) in a time sufficiently short zato uno stato sicuro (cioè negato) entro tempi
to fulfil the specified quantified safety target. sufficientemente brevi per rispettare l’obiettivo di
Demonstration of this shall be achieved by a sicurezza quantificato specificato. La dimostrazio-
combination of Failure Modes and Effects Anal- ne di ciò deve essere realizzata per mezzo di una
ysis (FMEA) and quantified assessment of Ran- combinazione di una analisi dei modi di malfun-
dom Failure Integrity (see A.3). zionamento e dei loro effetti (FMEA) e di una va-
lutazione quantificata dell’integrità del malfunzio-
namento casuale (vedi il punto A.3).
In the case of Composite fail-safety, this re- Nel caso della sicurezza composita, questo requi-
quirement means that a first fault shall be de- sito significa che un primo guasto deve essere ri-
tected, and a safe state enforced, in a time suffi- levato, e lo stato di sicurezza forzato, in tempi
ciently short to ensure that the risk of a second sufficientemente rapidi da assicurare che il rischio
fault occurring during the detection-plus-nega- di un secondo guasto nel periodo di rilevamento
tion time is smaller than the specified probabil- e di negazione sia minore dell’obiettivo di proba-
istic target. bilità specificato.
In the case of Reactive fail-safety, this require- Nel caso della sicurezza reattiva, questo requisito
ment means that the maximum total time taken significa che il tempo totale massimo richiesto dal
for detection-plus-negation shall not exceed the processo di rilevamento e negazione non deve
specified limit for the duration of a transient, superare il limite specificato della durata di una
potentially-hazardous, condition. condizione transitoria potenzialmente pericolosa.
These requirements for Composite and Reactive Tali requisiti relativi alla sicurezza reattiva e com-
fail-safety are illustrated in Figure B.2. posita sono illustrati nella Fig. B.2.
The techniques used to achieve detection and Le tecniche impiegate per ottenere il rilevamento e la
negation of identified faults within the permit- negazione dei guasti individuati entro i tempi am-
ted time shall be shown, including supporting messi devono essere mostrate includendo i calcoli a
calculations. The sources of basic failure rate supporto. Devono essere indicate le fonti dei dati
data used in the calculations (for example, fondamentali relativi ai tassi di malfunzionamento uti-
hardware component failure rates) shall be lizzati per i calcoli (per esempio, tasso di malfunzio-
identified, and the method of quantitative anal- namento dei componenti hardware) e deve essere
ysis clearly explained. chiaramente spiegato il metodo di analisi quantitativa
usato.
Notes/Note: 1 The fault detection time is the test interval in the case of 1 Il tempo di rilevamento dei guasti è l’intervallo di prova nel
detection by the equipment itself, or the maintenance caso di un rilevamento da parte del sistema stesso, oppure
interval in the case of detection by staff. In the extreme l’intervallo di manutenzione nel caso di un rilevamento da
case it is the installed lifetime of the system. In the case parte del personale. Nel caso estremo, si tratta del tempo di
of equipment in storage, it is the interval between peri- vita installata del sistema. Nel caso di una apparecchiatura
odic testing by maintenance personnel. in deposito, si tratta dell’intervallo tra due verifiche periodi-
che effettuate dal personale di manutenzione.
2 An example of an approach to fulfilment of these re- 2 Un esempio di procedura per il rispetto di questi requisiti è
quirements is contained in D.4. contenuto nel punto D.4.
B.3.4 Action following detection (including retention of Azione successiva al rilevamento (incluso il
safe state) mantenimento in uno stato di sicurezza)
(See also guidance in Table E.4) (Vedi anche le informazioni della Tab. E.4)
After detection of a first fault, the sys- In seguito al rilevamento di un primo guasto, il si-
tem/sub-system/equipment shall enter, or con- stema/sottosistema/apparecchiatura deve passare
tinue in, a safe state. The safe state is generally o rimanere in uno stato di sicurezza. Lo stato di
(but not necessarily) more restrictive. The safe sicurezza è in genere (ma non necessariamente)
state shall be reached in a time sufficiently short più restrittivo. Lo stato di sicurezza deve essere
that the combined detection-plus-negation time raggiunto in un tempo sufficientemente breve che
fulfils the specified safety target. il tempo combinato di rilevamento e negazione ri-
spetti l’obiettivo di sicurezza specificato.
Note/Nota The negation time is usually the time taken for the relevant Il tempo di negazione è normalmente il tempo impiegato dalla
part of the system to be shut down, either automatically or by parte interessata del sistema per porsi in stato di arresto sia au-
human action. tomaticamente sia con intervento umano.
These requirements are illustrated in Figure B.2. Questi requisiti sono illustrati nella Fig. B.2.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 66 di 130
After detection of a first fault, and having en- Dopo l’individuazione di un primo guasto, e l’in-
tered the safe state, further faults shall not can- troduzione dello stato di sicurezza, ulteriori guasti
cel out the safe state. Cancellation of a restric- non devono annullare lo stato sicuro. L’annulla-
tive safe state shall occur only in a controlled mento di uno stato restrittivo sicuro deve avvenire
manner, as part of a corrective procedure. solamente in un modo controllato, come parte di
una procedura correttiva.
The system/sub-system/equipment shall remain in Il sistema/sottosistema/apparecchiatura deve ri-
a safe state if further faults occur during permissi- manere in uno stato sicuro se, a seguito di un pri-
ble delay-times-to-repair after occurrence of a first mo guasto, durante i tempi di ritardo ammissibili
fault. Permissible delay-times-to-repair shall be per la riparazione si verificassero ulteriori guasti. I
sufficiently short to fulfil the specified safety tar- tempi di ritardo ammissibili per la riparazione de-
get. vono essere sufficientemente brevi da rispettare
l’obiettivo di sicurezza specificato.
B.3.5 Effects of multiple faults Effetti di guasti multipli

(See also guidance given in Table E.4) (Vedi anche le informazioni della Tab. E.4)
A multiple fault (for example, a double or triple Un guasto multiplo (per esempio, doppio o tri-
fault) which could be hazardous, either directly plo) che può costituire un pericolo, sia diretta-
or if combined with a further fault, shall be de- mente sia in combinazione con altri ulteriori gua-
tected and a safe state enforced (i.e.: negated) sti, deve essere rilevato e uno stato sicuro forzato,
in a time sufficiently short to fulfil the specified (cioè negato) in un tempo sufficientemente breve
safety target. A suitable method, for example per rispettare l’obiettivo di sicurezza specificato.
Fault Tree Analysis (FTA), shall be used to dem- Un metodo adeguato, per esempio l’analisi ad al-
onstrate the effects of multiple faults. The tech- bero dei guasti (FTA), deve essere impiegato per
niques used to achieve detection-plus-negation la dimostrazione degli effetti dei guasti multipli.
of multiple faults within the permitted time shall Le tecniche impiegate per il rilevamento e la ne-
be shown, including supporting calculations. gazione dei guasti multipli nei tempi consentiti
devono essere mostrate includendo i calcoli a
supporto.
Note/Nota An example of an approach to fulfilment of these require- Un esempio di soluzione per il rispetto di questi requisiti è con-
ments is contained in D.5. tenuto nel punto D.5.
A Common-Cause Failure (CCF) analysis shall Deve essere effettuata un’analisi di malfunziona-
be carried out, to provide assurance that a mul- mento di modo comune (CCF), per assicurare che
tiple fault could only occur by means of a com- un guasto multiplo possa intervenire solo per
bination of random single faults, and not as the mezzo di una combinazione di guasti singoli ca-
result of a common-cause fault. suali, e non come risultato di un guasto di modo
comune.
B.3.6 Defence against systematic faults Protezione contro i guasti sistematici

In addition to the quality and safety manage- Oltre alle tecniche di gestione della qualità e della
ment techniques which are used to minimise sicurezza, impiegate per ridurre al minimo la pro-
the probability of human error (see 5.2 and 5.3 babilità di un errore umano (vedi i punti 5.2 e 5.3
of this standard), technical measures shall be della presente norma), devono essere adottate an-
taken such that if a hazardous systematic fault che misure tecniche in modo che se un guasto si-
should exist it would, as far as reasonably prac- stematico pericoloso dovesse esistere gli sarebbe
ticable, be prevented from creating an unac- impedito di provocare, per quanto ragionevol-
ceptable risk. mente possibile, un rischio inaccettabile.
EXAMPLE The architecture of the overall system could be ESEMPIO L’architettura dell’intero sistema potrebbe essere
configured such that, even in the event of a configurata in modo tale che, anche in caso di
hazardous failure of a sub-system or item of malfunzionamento pericoloso del sottosistema o di
equipment which has been designed to be safe, un elemento di apparecchiatura progettati per es-
an accident would still be unlikely to occur. sere sicuri, sarebbe comunque improbabile l’acca-
dere di un incidente.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 67 di 130
Fig. B.2 Detection and negation of single faults
COMPOSITE FAIL-SAFETY
FUNCTION A
FAULT DETECTION
NEGATION
FUNCTION A
& OUTPUT
FUNCTION B
FUNCTION B
FAULT DETECTION
FUNCTION A
The probability of
DETECTION a 1st fault, combined with
the probability of a
FUNCTION B 2nd fault occurring
OUTPUT
during the 1st fault
SAFE
detection-plus-negation
T time T, shall be less than
STATE
the specified probabilistic
target.
FIRST DETECTION NEGATION SECOND
FAULT OF FIRST SWITCHES FAULT
OCCURS FAULT OFF OCCURS
IN A IN A OUTPUT IN B
REACTIVE FAIL-SAFETY
FUNCTION A
FAULT DETECTION
NEGATION
FUNCTION A OUTPUT
FUNCTION A
Detection-plus-negation
DETECTION time T, after a fault in A,
shall not exceed the
specified limit for the
duration of a transient,
OUTPUT potentially - hazardous
output.
SAFE
T
STATE
FAULT DETECTION NEGATION

OCCURS OF FAULT SWITCHES
IN A IN A OFF OUTPUT
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 68 di 130
Rilevamento e negazione di guasti singoli
SICUREZZA INTRINSECA COMPOSITA

RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE A
NEGAZIONE
FUNZIONE A
& USCITA
FUNZIONE B
RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE B
FUNZIONE A
RILEVAMENTO La probabilità di accadimento di

un primo guasto combinata con la
FUNZIONE B probabilità di accadimento di un
secondo guasto durante il tempo
USCITA T di rilevamento e negazione del
T STATO DI primo guasto, deve essere inferio-
SICUREZZA re all’obiettivo probabilistico speci-
ficato.
UN PRIMO RILEVAMEN- LA NEGA- UN SECONDO
GUASTO SI TO DEL PRI- ZIONE MET- GUASTO SI
VERIFICA IN A MO GUA- TE L’USCITA VERIFICA IN B
STO IN A IN STATO
OFF
SICUREZZA INTRINSECA REATTIVA
RILEVAMENTO DEL
GUASTO DELLA
FUNZIONE A
NEGAZIONE
FUNZIONE A USCITA
FUNZIONE A
Il tempo T di rilevamento e
RILEVAMENTO negazione dopo il verificarsi di
un guasto in A, non deve su-
perare i limiti specificati della
durata di una uscita transitoria
USCITA
potenzialmente pericolosa
STATO DI
T SICUREZZA
UN GUASTO RILEVAMENTO LA NEGAZIONE

SI VERIFICA DEL PRIMO METTE L’USCITA
IN A GUASTO IN A IN STATO OFF
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 69 di 130
B.4 Operation with external influences Esercizio in presenza di influenze esterne
This section concerns the ability of the sys- Questo paragrafo tratta della capacità di un siste-
tem/sub-system/equipment to operate correctly ma/sottosistema/apparecchiatura di funzionare
and safely when subjected to specified external correttamente ed in sicurezza quando è sottopo-
influences. “Correct operation” includes fulfil- sto a specificate influenze esterne. “Corretto fun-
ment of both operational and safety require- zionamento” comprende il rispetto dei requisiti
ments. sia funzionali che di sicurezza.
As far as reasonably practicable, safety-related Per quanto ragionevolmente realizzabile, i sistemi
systems should be designed to remain safe even correlati con la sicurezza dovrebbero essere pro-
if subjected to external influences outside the gettati per rimanere sicuri anche se sono sottopo-
specified limits. sti a influenze esterne al di là dei limiti specificati.
The influences which shall be considered are Le influenze da prendere in considerazione sono
listed in B.4.1 to B.4.7 below. The values for elencate nei successivi punti da B.4.1 a B.4.7. Devo-
different conditions listed in EN 50125-1 and no essere rispettati i valori per le varie condizioni
EN 50125-3 shall be complied with. elencate nelle norme EN 50125-1 e EN 50125-3.
Consideration shall be given to the effects of Considerazione devono essere fatte sugli effetti
storage and transportation. dell’immagazinamento e del trasporto.
B.4.1 Climatic conditions Condizioni climatiche

It shall be ensured that under the specified cli- Deve essere assicurato che nelle condizioni am-
matic environmental conditions, which shall be bientali climatiche specificate, che devono essere
taken from EN 50125-3, safety to the required prese dalla EN 50125-3, sia realizzata la sicurezza
European standards is achieved. in conformità con le norme europee.
If the railway authority specifies more severe Se l’Autorità Ferroviaria specifica condizioni più
conditions than the equipment can fulfil the severe di quelle tollerabili dalle apparecchiature,
supplier can, in agreement with the customer, il fornitore avrà la possibilità, in accordo con il
add measures for climatisation. cliente, di aggiungere misure di condizionamento
climatico.
B.4.2 Mechanical conditions Condizioni meccaniche

It shall be ensured that under the specified me- È necessario assicurarsi che nelle condizioni am-
chanical environmental conditions, safety to the bientali meccaniche specificate, sia realizzata la
required European standards is achieved. sicurezza in conformità con le norme europee.
B.4.3 Altitude Altitudine

It shall be ensured that at the actually occurring È necessario accertarsi che la conformità della si-
altitude, safety to the required European stand- curezza con le norme europee in vigore sia realiz-
ards is achieved. zata all’effettiva altitudine di esercizio.
Note/Nota The altitude at which the system/sub-system/equipment is to L’altitudine alla quale il sistema/sottosistema/apparecchiatura
function does not normally exceed 1800 m above sea level. dovrà operare non supera normalmente i 1800 metri sopra al
livello del mare.
B.4.4 Electrical conditions (not on vehicles) Condizioni elettriche (non sui veicoli)
It shall be ensured that under the specified elec- È necessario accertarsi che nelle condizioni am-
trical environmental conditions, safety to the re- bientali elettriche specificate, sia realizzata la sicu-
quired European standards is achieved. rezza in conformità con le norme europee.
Note/Nota The values quoted in EN 50121-4 and EN 50124-1 should be Dovrebbero essere impiegati come base di riferimento i valori
used as a basis. indicati nelle EN 50121-4 e EN 50124-1.
B.4.5 Electrical conditions (on vehicles) Condizioni elettriche (sui veicoli)

It shall be ensured that under the specified elec- È necessario accertarsi che nelle condizioni ambien-
trical environmental conditions on vehicles, tali elettriche specificate sui veicoli, sia realizzata la
safety to the required European standards is sicurezza in conformità con le norme europee.
achieved.
Note/Nota The values quoted in EN 50121-3, EN 50124-1 and Dovrebbero essere impiegati come base di riferimento.i valori
EN 50155 should be used as a basis. indicati nelle EN 50121-3, EN 50124-1 ed EN 50155.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 70 di 130
B.4.6 Protection against unauthorised access Protezione contro l’accesso non autorizzato
1) Definition of access levels 1) Definizione dei livelli di accesso
The access level defines who has access, Il livello di accesso determina chi ha il diritto
reason for access and how access is d’accesso, il motivo dell’accesso e il modo in
achieved, thereby guarding against unau- cui l’accesso viene effettuato, assicurando così
thorised access. For each of the particular protezione contro l’accesso non autorizzato.
operations below, persons performing these Per ognuna delle specifiche operazioni sotto
functions will require to meet certain crite- indicate, il personale che esegue tali funzioni
ria, which shall be defined in respect of: deve soddisfare una serie di criteri che devo-
no essere definiti in termini di:
skill discipline, settore di competenza,
skill level, livello di competenza,
equipment-specific training. formazione su apparecchiature specifiche.
2) Protection 2) Protezione
With respect to the above access levels, this Tenendo in considerazione i livelli d’accesso
section shall define how protection is to be sopra indicati, questo paragrafo deve definire
achieved. il modo in cui si ottiene la protezione.
The protective measures should guard Le misure di protezione dovrebbero proibire
against access which is l’accesso
accidental, by authorised persons, accidentale, da parte del personale auto-

rizzato,
intentional, by unauthorised persons. intenzionale, da parte di personale non
autorizzato.
3) External conditions 3) Condizioni esterne
This shall describe how protection is Il presente paragrafo descrive il modo in cui è
achieved by means additional to the equip- assicurata la protezione con mezzi comple-
ment itself. mentari alle apparecchiature propriamente
dette.
EXAMPLE housing; ESEMPIO alloggiamento;
security; sicurezza;
accessibility. accessibilità.
4) Encapsulation 4) Incapsulazione
This shall describe how protection is In questo paragrafo è descritto il modo in cui
achieved by the actual equipment. la protezione è assicurata dalla apparecchiatu-
ra stessa.
EXAMPLE covers; ESEMPIO coperture;
mounting; montaggio;
seals; giunzioni impermeabili;
coding, electrical; codifica elettrica;
coding, mechanical; codifica meccanica;
firmware. microprogramma.
B.4.7 More severe conditions Condizioni più severe

Where necessary, provision shall be made to Devono essere adottate disposizioni che consen-
deal with additional, more severe, conditions tano di soddisfare eventuali condizioni supple-
specified by the railway authority. mentari più severe indicate dall’Autorità Ferrovia-
ria, laddove ciò sia necessario.
Note/Nota The following are examples of more severe conditions: I seguenti sono esempi di condizioni più severe:
condensation due to rapid variation in ambient tem- formazione di condensa dovuta a rapida variazione del-
peratures of equipment; la temperatura ambiente dell’apparecchiatura;
severe pollution of the air by grave inquinamento dell’aria dovuto a:
dust, polvere,
smoke, fumo,
steam, vapore,
corrosive chemicals, prodotti chimici corrosivi,
salt, sale,
hydrogen sulphide. solfato d’idrogeno.
The kinds of pollutants and their concentration should be I tipi di inquinanti e la loro concentrazione dovrebbero essere
defined in the specification: definiti nella specifica:
for outdoor equipment: per apparecchiature da esterno:
frost; gelo;
rapid temperature change; rapido cambiamento della temperatura;
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 71 di 130
chemical influences such as: influenze chimiche quali:
oil products; petrolio o derivati,
organic elements; sostanze organiche,
weed killers; diserbanti
excessive heating from, for example, fire or solar radiation; eccessivo calore dovuto, per esempio, al fuoco o ai raggi
solari;
action/entry of plants, insects or animals; azione o presenza di vegetazione, insetti o animali;
accumulation of dirt and dust (conductive and/or accumulo di polvere e di sporcizia (conduttrice o no);
non-conductive);
more extreme temperature limits in some countries. limiti estremi di temperatura in alcuni paesi.
B.5 Safety-related application conditions Condizioni di utilizzazione correlate con la

(Section 5 of the Technical Safety Report) sicurezza (Parte 5 della Relazione sulla Sicurezza Tecnica)
This section shall define the rules, conditions In questo paragrafo devono essere definite le rego-
and constraints relevant to functional safety le, le condizioni e i vincoli associati alla sicurezza
which need to be observed in the application of funzionale che è necessario rispettare nell’utilizza-
the system/sub-system/equipment. zione del sistema/sottosistema/apparecchiatura.
General topics which shall be considered in- Devono essere tenuti in considerazione aspetti
clude the following: generali, tra i quali:
configuration of programmable systems to la configurazione dei sistemi programmabili

suit specific applications; per adattarli a specifiche applicazioni;
precautions in manufacturing, installation, le precauzioni nella fabbricazione, installazio-
testing and commissioning; ne, verifica e messa in funzione;
rules and methods for maintenance and le regole e i metodi da adottare per la manu-
fault-finding; tenzione e la ricerca dei guasti;
Instructions for system operation; le istruzioni per l’esercizio del sistema;
safety warnings and precautions; gli allarmi e le precauzione di sicurezza;
electromagnetic compatibility (EMC) pre- le precauzione per la compatibilità elettroma-
cautions (susceptibility and emission); gnetica (EMC) (suscettibilità ed emissione);
information concerning modifications and le informazioni relative alle modifiche ed
eventual de-commissioning; all’eventuale ritiro dall’esercizio;
safety justification of support equipment una dimostrazione della sicurezza degli stru-
and tools, such as test equipment, mainte- menti e delle apparecchiature di supporto,
nance equipment and configuration tools. quali le apparecchiature di prova, le apparec-
chiature di manutenzione e gli strumenti per
la configurazione;
Some specific topics which shall be included Alcuni aspetti specifici che devono essere consi-
are listed in B.5.1 to B.5.3 below. derati sono indicati nei punti da B.5.1. a B.5.3. se-
guenti.
B.5.1 Sub-system/equipment configuration and system Configurazione di un sottosistema/apparecchiatura e

build costruzione del sistema
1) Configuration 1) Configurazione
If a sub-system or equipment is such that it Se un sottosistema o una apparecchiatura richie-
has to be configured for each particular ap- de di essere configurato per ogni singola appli-
plication, then any configuration tools cazione, devono essere definiti tutti gli strumenti
and/or procedures shall be defined. e/o tutte le procedure di configurazione.
EXAMPLE procedural methods; ESEMPIO metodi procedurali;
version control; verifica della versione;
hardware requirements of configura- requisiti hardware del sistema di configura-
tion system; zione;
software details of configuration system; dettagli del software del sistema di configu-
razione;
software maintenance; manutenzione del software;
verification and validation; verifica e validazione;
simulation. simulazione.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 72 di 130
2) System build 2) Costruzione del sistema
This documentation shall detail how Questa documentazione deve dettagliare come
sub-systems and equipment are built into a sono costruiti i sottosistemi e le apparecchiature
particular signalling system. in un determinato sistema di segnalamento.
EXAMPLE version control settings; ESEMPIO selezioni di controllo della versione;
application control settings; selezioni di controllo dell’applicazione;
interface settings; selezioni delle interfacce;
initialisation settings; selezioni per l’inizializzazione;
maintenance control settings; selezioni di controllo della manutenzione;
manufacturing and production testing; prove di costruzione e di produzione;
system test routines; procedure di prova del sistema;
installation, testing and commissioning. installazione, prove e messa in funzione.
3) Change of functionality 3) Cambiamento di funzionalità

If a sub-system or equipment is of sufficient Se un sottosistema o una apparecchiatura è di
generic design that it could be employed in progettazione sufficientemente generica da po-
systems for various applications, then how tersi impiegare in sistemi per applicazioni diver-
it is configured and set-up to meet these dif- se, allora deve essere anche documentato come
ferent applications shall also be document- è configurato e composto per rispondere alle
ed. Any limitations or conditions for safe esigenze delle diverse applicazioni. Deve essere
use shall be fully specified. completamente specificata ogni limitazione o
condizione per un impiego sicuro.
B.5.2 Operation and Maintenance Esercizio e manutenzione

The necessary minimum maintenance to ensure La manutenzione minima necessaria per garantire
continued safe and correct operation of the sys- un esercizio continuativo sicuro e corretto del si-
tem/sub-system/equipment within the speci- stema/sottosistema/apparecchiatura nelle condi-
fied environmental conditions shall be docu- zioni ambientali specificate deve essere documen-
mented in the form of an Operation and tata sotto forma di un Piano di Esercizio e
Maintenance Plan, which shall include the fol- Manutenzione che deve comprendere i seguenti
lowing aspects: punti:
1) operational status 1) stato per l’esercizio
The conditions that exist in each sys- Le condizioni presenti in ogni sistema/sottosi-
tem/sub-system/equipment shall be defined stema/apparecchiatura devono essere definite
to provide operating and maintenance per- in modo da consentire al personale addetto
sonnel with sufficient understanding during alla manutenzione e all’esercizio una suffi-
the following situations: ciente comprensione nelle seguenti situazioni:
a) start-up a) avvio
This shall describe the start-up condi- In questo comma devono essere descritte
tions of the system, sub-system or le condizioni d’avvio del sistema/sottosi-
equipment when power is initially ap- stema/apparecchiatura una volta inserita
plied, or following shut-down due to l’alimentazione, oppure in seguito ad un
power interruption or other cause. arresto dovuto ad interruzione dell’ali-
mentazione o ad altre cause.
Note/Nota This should define, for example, Si dovrebbero definire, per esempio:
default conditions, condizioni implicite,
initialisation period, tempo di inizializzazione,
self checks performed, autoverifiche effettuate,
manual intervention required, intervento manuale richiesto,
condition of outputs, condizioni di uscita,
precautions after an exceptional event, precauzioni successive ad un evento straordina-
such as fire or unauthorised entry. rio, come un incendio oppure un accesso non au-
torizzato.
b) normal operation b) normale funzionamento
Once the system/sub-system/equipment Devono essere definite le condizioni del
has successfully completed initialisa- normale funzionamento, una volta che il
tion, the conditions during normal oper- sistema/sottosistema/apparecchiatura ab-
ation shall be defined. bia completato con successo l’inizializza-
zione.
EXAMPLE cycle times; ESEMPIO tempi di ciclo;
non-data routines; procedure senza dati;
disclosure of faults. riconoscimento dei guasti.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 73 di 130
c) changeover c) commutazione
If the equipment, or the system/sub-sys- Se l’apparecchiatura, oppure il sistema/sot-
tem in which it is configured, has a fa- tosistema nel quale essa è configurata, di-
cility to change over to either a cold or spone di una funzione di commutazione
hot standby system/sub-system, then che gli consenta di passare ad un siste-
the conditions defined in a) and b) shall ma/sottosistema in riserva calda o fredda, le
be re-stated for this changeover routine. condizioni definite nei punti a) e b) devono
The reaction of the equipment to the essere ristabilite per questo programma di
changing of failed modules shall also be commutazione. Deve essere chiaramente
clearly defined. definita la reazione dell’apparecchiatura alla
sostituzione di eventuali moduli danneggiati.
d) shut-down d) arresto
When a system, sub-system or item of Devono essere definite tutte le condizioni
equipment is shut down intentionally applicabili quando un sistema/sottosiste-
for a configuration change or de-comma/apparecchiatura viene arrestato volonta-
missioning, or unintentionally via a riamente per un cambiamento della configu-
power failure, then all relevant condi- razione o per essere ritirato dal servizio,
tions shall be defined. oppure involontariamente in seguito ad un
guasto dell’alimentazione.
EXAMPLE default conditions; ESEMPIO condizioni implicite;

conditions for graceful degradation; condizioni relative a un degrado pro-
gressivo;
safety aspects;
aspetti relativi alla sicurezza;
procedures; procedure;
influences on other connected sys- influenze sugli altri sistemi collegati.
tems.
2) maintenance levels 2) livelli di manutenzione
These shall be defined in respect of Questi devono essere definiti in termini di:
first line maintenance, manutenzione di primo livello,
second line maintenance by customer, manutenzione di secondo livello effettua-
ta dal cliente,
second line maintenance by manufac- manutenzione di secondo livello effettua-
turer. ta dal produttore.
Note/Nota “First line” is preventative maintenance La manutenzione di primo livello è la manutenzione
and fault-finding/repair carried out on preventiva e la ricerca e riparazione sul posto dei
site, with “second line” being preventa- guasti; con secondo livello è indicata la manutenzio-
tive maintenance and possible repair in ne preventiva e la possibile riparazione in laborato-
a workshop environment, that is, off site. rio e non sul posto.
3) periodic maintenance 3) manutenzione periodica
In describing the periodic maintenance re- Nella descrizione della manutenzione periodi-
quired, reference shall be made to all rele- ca richiesta, deve essere fatto riferimento a
vant areas. tutti i settori interessati.
EXAMPLE training; ESEMPIO formazione;
accessibility; accessibilità;
modularity; modularità;
interchangeability; intercambiabilità;
spares provisions; approvvigionamento dei pezzi di ricambio;
storage of spares. immagazinamento dei pezzi di ricambio.
4) maintenance aids 4) assistenza alla manutenzione

For each level of maintenance, the mainte- Per ogni livello di manutenzione, deve essere
nance aids available to personnel shall be indicata l’assistenza disponibile per il perso-
defined. nale addetto alla manutenzione.
Note/Nota These aids should include, for example, Si potrebbero includere queste assistenze, per esempio
fault diagnostics, diagnostica dei guasti,
interpretation of fault messages, interpretazione delle segnalazioni di guasto,
fault correction. correzione dei guasti.
B.5.3 Operational safety monitoring Controllo della sicurezza d’esercizio

During the operation and maintenance phase of Nel corso della fase di esercizio e manutenzione
the system life-cycle, the performance of the del ciclo di vita del sistema, le prestazioni del si-
system/sub-system/equipment shall be moni- stema/sottosistema/apparecchiatura devono esse-
tored to ensure that the features incorporated re tenute sotto controllo per accertarsi che le spe-
into the design, and the assumptions made dur- cifiche funzioni incorporate nel progetto e le
ing the initial safety assessment, remain valid ipotesi avanzate nella valutazione iniziale della si-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 74 di 130
for the actual circumstances encountered during curezza rimangano valide rispetto alle condizioni
in-service use. realmente riscontrate nel corso dell’esercizio.
Note/Nota This should include, for example, Si dovrebbe includere, per esempio
the monitoring of safety-related performance and com- il controllo delle prestazioni correlate con la sicurezza e il
parison with the predicted performance, confronto con le prestazioni previste,
the monitoring and assessment of failure reports to de- il controllo e la valutazione dei rapporti sui malfunziona-
tect failure trends or possible hazardous failures which menti, allo scopo di individuare gli andamenti dei mal-
can be corrected, thereby improving safety and reliabil- funzionamenti o eventuali malfunzionamenti pericolosi
ity, che possano essere corretti, consentendo così di migliora-
re la sicurezza e l’affidabilità,
investigation of incident and accident reports to identi- l’analisi dei rapporti sugli incidenti e sugli eventi imprevisti,
fy any changes required to improve the safety perform- al fine di identificare ogni modifica necessaria per migliora-
ance of the system. re la prestazione del sistema sul Piano della Sicurezza.
B.5.4 Decommissioning and disposal Ritiro dal servizio e dismissione

The technical safety precautions and proce- Dovranno essere documentate le precauzioni e le
dures which will be necessary when the sys- procedure correlate con la sicurezza tecnica che
tem/sub-system/equipment is eventually de- si renderanno necessarie quando il sistema/sotto-
commissioned shall be documented. This shall sistema/apparecchiatura viene eventualmente riti-
include consideration of possible phased intro- rato dal servizio. Queste dovranno comprendere
duction of replacement systems whilst the rail- la possibilità di un’eventuale introduzione gradua-
way continues in operation. le di sistemi sostitutivi mentre il sistema ferrovia-
rio continua a funzionare.
Appropriate warnings and instructions concern- Devono essere inclusi anche adeguati avvertimen-
ing final disposal of equipment after decommis- ti e istruzioni relative alla dismissione definitiva
sioning shall also be included. delle apparecchiature dopo il ritiro dal servizio.
B.6 Safety Qualification Tests Prove di Qualifica della Sicurezza

This section shall contain evidence to demon- Questo paragrafo deve contenere la dimostrazione
strate successful completion of the Safety Quali- che le prove di Qualifica della Sicurezza nelle condi-
fication Tests under operational conditions. zioni di esercizio sono state completate con successo.
The purpose of these tests is Lo scopo di queste prove è di:
to gain increased confidence that the sys- ottenere maggiore fiducia nella capacità del
tem/sub-system/equipment fulfils its speci- sistema/sottosistema/apparecchiatura di ri-
fied operational requirements, spettare i requisiti d’esercizio specificati,
to gain increased confidence that the speci- ottenere maggiore fiducia nel fatto che gli
fied reliability and safety targets have been obiettivi di affidabilità e di sicurezza specifica-
achieved, ti sono stati raggiunti,
to allow systems/sub-systems/equipment to consentire ai sistemi/sottosistemi/apparec-
be put into operational service before final chiature di essere immessi in servizio prima
Safety Approval, subject to provision of ap- dell’approvazione finale della sicurezza, tra-
propriate precautions and monitoring. mite l’attuazione delle adeguate precauzioni e
di un sistema di controllo.
Note/Nota These tests only provide increased confidence and are not Queste prove forniscono solamente una maggiore fiducia e
the unique means for demonstration of safety. non sono i soli mezzi di dimostrazione della sicurezza.
B.6.1 Requirements Requisiti

The extent and duration of the Safety Qualifica- L’estensione e la durata delle prove di Qualifica
tion Tests shall be agreed between the railway della Sicurezza devono essere oggetto di un ac-
authority and the safety authority, and shall be cordo tra l’Autorità Ferroviaria e l’Autorità di Sicu-
justified having regard to the degree of novelty rezza, e devono essere giustificati in base al grado
and complexity associated with the sys- d’innovazione e alla complessità del sistema/sot-
tem/sub-system/equipment. tosistema/apparecchiatura.
Because completion of the Safety Qualification Dato che il completamento delle prove di Qualifica
Tests is contained within the Safety Case, the safe- della Sicurezza fa parte dell’Istruttoria per la Sicurez-
ty of the system is not fully assured during the test za, la sicurezza del sistema non è del tutto assicurata
period. Therefore appropriate precautions, proce- durante il periodo di prova. Di conseguenza, devono
dures and monitoring shall be provided, to ensure essere previste adeguate precauzioni, procedure e
safety of the railway during the test period. controlli per assicurare la sicurezza del sistema ferro-
viario durante il periodo di prova.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 75 di 130
Safety Qualification Tests, as defined, shall be Le prove di Qualifica della Sicurezza, definiti sopra,
completed before commencing operation with devono essere portati a termine prima dell’inizio
full responsibility for safety. dell’esercizio con totale responsabilità per la sicu-
rezza.
A record shall be established which explains Deve essere previsto un sistema di registrazione
when the system is put into service, with or per spiegare che il sistema è immesso in servizio,
without passengers, with or without precau- con o senza passeggeri, con o senza precauzioni,
tions, and what is the authorisation level ob- e quale sia il livello d’autorizzazione ottenuto in
tained at each stage (provisional or final Safety ogni fase (approvazione provvisoria oppure defi-
Approval). nitiva della sicurezza).
B.6.2 Results Risultati

An account of the Safety Qualification Tests, in- In questa parte della Relazione sulla Sicurezza
cluding a full description of the tests carried out Tecnica, deve essere documentato un resoconto
and the results obtained, shall be documented delle prove di Qualifica della Sicurezza, inclusa
in this section of the Technical Safety Report. una descrizione completa delle prove condotte e
dei risultati ottenuti.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 76 di 130
ANNEX/ALLEGATO
normative
C normativo IDENTIFICATION OF HARDWARE COMPONENT IDENTIFICAZIONE DEI MODI DI
FAILURE MODES MALFUNZIONAMENTO DEI COMPONENTI
HARDWARE
C.1 Introduction Introduzione

This annex contains procedures and informa- Questo allegato illustra le procedure e le informa-
tion for identifying the credible failure modes of zioni per l’identificazione dei modi di malfunzio-
hardware components. namento verosimili dei componenti hardware.
Note/Nota The tables of hardware component failure modes included Le tabelle dei modi di malfunzionamento dei componenti
in this annex have been derived from European experience hardware incluse in questo allegato sono state dedotte sia sulla
and also from the following sources listed in Bibliography: base dell’esperienza europea che delle seguenti fonti, indicate
nella Bibliografia:
UIC/ORE Report A155/RP12; Rapporto UIC/ORE A155/RP12;
MIL-HDBK-338-1A; MIL-HDBK-338-1A;
German Federal Railways Mü8004; Mü8004 delle Ferrovie Federali Tedesche;
Reliability Analysis Center Report FMD-91. Rapporto FDM-91 del Centro di Analisi dell’Affidabilità
(RAC).
The information in the tables may be modified, Le informazioni fornite in queste tabelle possono
as explained in C.2 and C.5, if adequate justifi- subire modifiche, come spiegato nei punti C.2 e
cation is provided for such variations. C.5, a condizione che sia fornita adeguata giustifi-
cazione per tali modifiche.
C.2 General procedure Procedura generale

For the purpose of analysing the results of sin- Per effettuare l’analisi delle conseguenze dei gua-
gle faults (see B.3.1), it is necessary to identify sti singoli (vedi B.3.1), è necessario identificare i
the credible failure modes of each hardware modi verosimili di malfunzionamento di ogni
component. componente hardware.
Tables C.1 to C.16 contain lists of hardware Le Tabelle da C.1 a C.16 contengono l’elenco dei
component failure modes which shall be used modi di malfunzionamento dei componenti hardwa-
as the basis for design and analysis, unless justi- re che devono essere utilizzate come base per la pro-
fication is provided for any variation. The gen- gettazione e l’analisi, a meno che sia fornita giustifica-
eral notes in C.5 shall be observed. zione per qualche modifica. Devono essere tenute in
considerazione le note generali del punto C.5.
The lists are not necessarily complete, and any Questi elenchi non sono necessariamente com-
additional failure modes which are considered pleti, e tutti i modi di malfunzionamento aggiunti-
to be credible shall be added to the analysis. In vi che sono considerati verosimili devono essere
such cases, the extra failure modes shall be aggiunti all’analisi. In tali casi, i modi di malfun-
drawn to the attention of the relevant authority, zionamento supplementari devono essere portati
so that the lists can be extended at a future all’attenzione dell’autorità competente, in modo
date, by means of the normal CENELEC proce- che le liste possano essere completate in una data
dure. futura tramite la normale procedura CENELEC.
C.3 Procedure for integrated circuits (including Procedura per i circuiti integrati (compresi i
microprocessors) microprocessori)
Designs which employ integrated circuits re- I sistemi che impiegano circuiti integrati richiedono
quire special treatment, since it can be difficult un trattamento speciale dato che può essere difficile
to predict all the credible failure modes that the predire tutti i modi di malfunzionamento verosimili
device may possess. This is particularly true for che tali componenti potrebbero possedere. Questo è
programmable devices, since the failure modes vero in particolare per i componenti programmabili,
that may be observed at the boundary of the dato che i modi di malfunzionamento che possono
device are application specific. essere osservati ai morsetti del componente sono
specifici dell’applicazione.
It is recommended that the hazardous failure Si raccomanda che i modi di malfunzionamento
modes be identified in a top-down manner for pericolosi siano identificati con un’analisi “discen-
the specific application, using a technique such dente” per le applicazioni specifiche impiegando
as Fault Tree Analysis. (An alternative would be tecniche quali l’Analisi ad albero dei guasti (FTA).
to use a bottom-up approach such as Failure (Un’alternativa potrebbe essere costituita dall’im-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 77 di 130
Modes and Effects Analysis, but this method is piego di un approccio “ascendente” come l’Anali-
time-consuming and it is possible that certain si dei modi di malfunzionamento e dei loro effet-
hazardous failure modes could be missed). ti, ma questo metodo è lungo ed è possibile che
alcunimodi di malfunzionamento pericolosi ven-
gano trascurati).
As assessment and justification shall then be Dovranno essere poi fatte una valutazione e giustifi-
made, to show that for each identified hazard- cazione al fine di dimostrare che per ogni modo di
ous failure mode: malfunzionamento pericoloso identificato:
either a) the failure mode cannot credibly o a) il modo di malfunzionamento non può ra-
occur, due to the internal software gionevolmente verificarsi, grazie all’architet-
architecture or data structure, tura interna del software oppure alla struttu-
ra dei dati,
or b) the failure mode will be externally o b) il modo di malfunzionamento sarà rilevato
detected and a safe state imposed esternamente e sarà imposto uno stato sicu-
within the required time. In this case, ro nei tempi richiesti. In questo caso, deve
quantitative analysis shall be per- essere effettuata un’analisi quantitativa per
formed to justify the design, and a giustificare il progetto, e deve essere adotta-
pessimistic view shall be taken to un punto di vista pessimistico per cui si
whereby the hazardous failure modes assume di adottare per i modi di malfunzio-
are assumed to take the full compo- namento pericolosi, il tasso di malfunziona-
nent failure rate. mento dell’intero componente.
Note/Nota Some items, such as “intelligent” sensors, employ embedded Alcuni componenti, come i sensori “intelligenti”, utilizzano
microprocessors. Such items should be assessed using the microprocessori dedeicati. Tali componenti dovrebbero essere
same methods as outlined above for integrated circuits. valutati utilizzando gli stessi metodi già descritti sopra per i
circuiti integrati.
C.4 Procedure for components with inherent Procedura per i componenti con proprietà
physical properties fisiche intrinseche
If the technique of Inherent Fail-Safety is used Se si ricorre alla tecnica della sicurezza intrinseca
(see B.3.1), full justification shall be provided (vedi B.3.1), per ognuno dei modi di malfunzio-
for any component failure mode which is con- namento del componente ritenuti inverosimili
sidered to be incredible. This justification shall deve essere fornita una giustificazione completa.
include, but not necessarily be limited to, the Questa giustificazione deve includere i seguenti
following topics: punti, ma non necessariamente limitarsi ad essi:
theoretical explanation of inherent physical spiegazione teorica delle proprietà fisiche in-
properties; trinseche;
evidence of compliance with recognised prova della conformità rispetto a riconosciute
quality standards; norme di qualità;
explanation of special construction of com- spiegazione della speciale costruzione dei
ponents; componenti;
explanation of special mounting arrangements spiegazione delle disposizioni di montaggio
or other precautions for the component; particolari o altre precauzioni per il compo-
nente;
evidence that the failure mode will not oc- prova del fatto che il modo di malfunziona-
cur as a result of component ratings being mento non può verificarsi come risultato del
exceeded (for example, because of fault or superamento degli indici del componente
overload conditions); (per esempio, a causa di un guasto o di con-
dizioni di sovraccarico);
results of tests to demonstrate fail-safe be- risultati di prove che dimostrino il comporta-
haviour of component under adverse condi- mento di “sicurezza intrinseca” del compo-
tions (by means of physical tests, technical nente in condizioni sfavorevoli (tramite prove
justifications, or simulation); fisiche, giustificazioni tecniche o simulazioni);
evidence of previous experience of reliance prova di precedenti esperienze di dipendenza
on the component for inherent fail-safety. dal componente per la sicurezza intrinseca.
If satisfactory justification is provided, the rele- Se sono fornite giustificazioni soddisfacenti, i modi di
vant component failure modes may be exclud- malfunzionamento del corrispondente componente
ed from the safety analysis. possono essere esclusi dall’analisi della sicurezza.
It is not necessary to repeat the justification if it Non è necessario ripetere la giustificazione se
has already been provided in the past; it is suffi- questa è già stata presentata in passato; è suffi-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 78 di 130
cient to make reference to the previous justifica- ciente fare riferimento al precedente rapporto di
tion report. However, if this justification in- giustificazione. Ciò nonostante, se questa giustifi-
cludes particular conditions (for example, cazione comprende condizioni particolari (per
special mounting arrangements or means for esempio speciali disposizioni per il montaggio
prevention of overload), the fulfilment of these oppure modi per evitare i sovraccarichi), il soddi-
conditions shall be included in the Safety Case. sfacimento di queste condizioni deve essere in-
cluso nell’Istruttoria per la Sicurezza.
Previous experience indicates that some partic- L’esperienza precedente mostra che una giustifica-
ular component failure modes are more likely zione di non verosimiglianza è più probabile per al-
to be capable of justification as incredible; these cuni particolari modi di malfunzionamento dei com-
failure modes are indicated by (*) in Tables C.1 ponenti. Questi modi di malfunzionamento sono
to C.16, together with relevant guidance notes indicati con un asterisco (*) nelle tabelle da C.1 a
in C.6 and C.7. Other component failure modes C.16, con un riferimento alle note esplicative dei
are much less likely to be capable of justifica- punti C.6 e C.7. La giustificazione di non verosimi-
tion as incredible. Note that justification shall be glianza degli altri modi di malfunzionamento è con-
provided for all failure modes which are consid- siderata molto meno probabile. C’è da notare che
ered to be incredible, including those which are devono essere fornite le giustificazioni per tutti i
indicated in the tables. modi di malfunzionamento considerati inverosimili,
compresi quelli indicati nelle tabelle.
C.5 General notes concerning component failure Note generali sui modi di malfunzionamento dei
modes componenti
1) Tables C.1 to C.16 contain lists of credible 1) Le tabelle da C.1 a C.16 contengono l’elenco
failure modes of hardware components. dei modi di malfunzionamento dei compo-
nenti hardware ritenuti verosimili.
2) The failure modes are as manifested at the 2) I modi di malfunzionamento sono quelli che si
boundary of the components, and not the manifestano ai morsetti dei componenti e non
internal physical causes of the failures. le cause fisiche interne dei malfunzionamenti.
3) All listed failure modes could be intermit- 3) Tutti i modi di malfunzionamento elencati
tent. possono essere intermittenti.
4) Intermittent failures are caused by environ- 4) I malfunzionamenti intermittenti possono es-
mental influences such as temperature vari- sere causati dalle influenze dell’ambiente,
ation or mechanical stress (see relevant en- quali le variazioni della temperatura e le solle-
vironmental standards). Therefore the citazioni meccaniche (vedi le corrispondenti
frequency of intermittent failures will be in norme ambientali). Pertanto la frequenza dei
accordance with these reasons. malfunzionamenti intermittenti sarà in rappor-
to con queste cause.
5) Variations within the tolerances of a compo- 5) Le variazioni entro le tolleranze indicate nelle
nent’s published specification are not con- specifiche pubblicate per i componenti non
sidered to be failures. sono da considerare come malfunzionamenti.
6) It is assumed that components are operated 6) Si presuppone che i componenti siano utiliz-
within their published environmental limits. zati entro i loro limiti ambientali pubblicati.
7) It is assumed that components are operated 7) Si presuppone che i componenti siano utiliz-
within their published electrical ratings. zati entro le loro tarature elettriche pubblica-
te.
8) External short-circuit or leakage between ter- 8) I cortocircuitati esterni o le dispersioni tra i col-
minals of a component is not considered to legamenti di un componente non sono conside-
be a component failure. For suitable creepage rati malfunzionamenti del componente. (Per le
and clearance distances refer to Note 10). adeguate distanze d’isolamento superficiali e in
aria, fare riferimento alla nota 10).
9) External short-circuit or leakage between dif- 9) I cortocircuitati esterni o le dispersioni tra di-
ferent components is not considered to be a versi componenti non sono considerati mal-
component failure. For suitable creepage and funzionamenti del componente. (Per le ade-
clearance distances refer to Note 10). Stable guate distanze d’isolamento superficiali e in
mounting and/or special fastening will be aria, fare riferimento alla nota 10). Un montag-
necessary if environmental conditions could gio stabile e/o un bloccamento speciale sono
change the position of a component. necessari se le condizioni ambientali possono
modificare la posizione del componente.
10) Where safety is reliant on clearance and 10) Quando la sicurezza dipende dalle distanze
creepage distances, the minimum clearance d’isolamento superficiali e in aria, i loro valori
and creepage distances shall be defined ac- minimi devono essere definiti in coerenza con i
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 79 di 130
cording to the application requirements (in- requisiti dell’applicazione (incluso materiali,
cluding material, technology, implementation, tecnologia, realizzazione, condizioni d’eserci-
environmental and operating conditions, fail- zio e ambientali, condizioni di malfunziona-
ure conditions and temporary overvoltages). mento e sovratensioni temporanee). Per deter-
EN 50124-1 or IEC 60664 shall be used to de- minare i requisiti minimi fondati sull’isolamento
termine minimum requirements based on rafforzato, devono essere usate le norme
re-inforced insulation. These requirements EN50124-1 o IEC 60664. Questi requisiti devono
shall be accepted or further strengthened or essere accettati, oppure ulteriormente rafforzati
complemented by the Railway Authority. oppure completati dall’Autorità Ferroviaria.
C.6 Additional general notes, concerning Note generali addizionali sui componenti con
components with inherent physical properties proprietà fisiche intrinseche
1) The procedure and conditions for justifica- 1) La procedura e le condizioni necessarie per la
tion of any component failure mode as in- giustificazione di ognuno dei modi di malfun-
credible are contained in C.4. zionamento considerati non verosimili sono
indicate al punto C.4.
2) Failure modes indicated by (*) in Tables C.1 to 2) I modi di malfunzionamento segnalati da un
C.16 are those which are more likely to be ca- asterisco (*) nelle tabelle da C.1 a C.16 sono
pable of being justified as incredible. quelli la cui giustificazione come non verosi-
mili è la più probabile.

3) “Note xy” following (*) in Tables C.1 to C.16 3) Le “Note xy” che seguono l’asterisco nelle tabel-
refers to guidance notes in C.7 on some fac- le da C.1 a C.16 si riferiscono alle note esplicati-
tors that are relevant to possible justification ve del punto C.7 relative ad alcuni fattori perti-
of the failure mode as incredible. nenti per una possibile giustificazione dei modi
di malfunzionamento come non verosimili.
4) The general notes in C.5 apply also to com- 4) Le note generali del punto C.5 si applicano
ponents with inherent physical properties, anche ai componenti dotati di proprietà fisi-
with the following additions in Notes 5, 6 che intrinseche, con le aggiunte nelle note 5,
and 7 below. 6 e 7 di seguito.
5) In addition to Note 5) in C.5, it is recommend- 5) In aggiunta alla nota 5) nel punto C.5, si do-
ed that some allowance be made for varia- vrebbe tener conto di tutte le variazioni che
tions which exceed the normal tolerances. eccedano le normali tolleranze.
6) In addition to Note 6) in C.5, it is recommend- 6) In aggiunta alla nota 6) del punto C.5, si do-
ed that some allowance be made for excur- vrebbe tener conto delle escursioni al di là
sions beyond the normal environmental limits. dei normali limiti ambientali.
7) In addition to Note 7) in C.5, a margin shall 7) In aggiunta alla nota 7) del punto C.5, deve
be ensured within the published electrical rat- essere assicurato un margine all’interno delle
ings, so that the component is protected from tarature elettriche pubblicate, in modo che il
being overloaded. componente sia protetto dai sovraccarichi.
8) Not used. 8) Non utilizzata.
9) Not used. 9) Non utilizzata.
C.7 Specific notes concerning components with Note specifiche sui componenti con proprietà
inherent physical properties fisiche intrinseche
The following notes provide guidance concern- Le seguenti note forniscono consigli sulle possibi-
ing possible justification of the failure modes li giustificazioni dei modi di malfunzionamento
identified by (*) in Tables C.1 to C.16 as incred- segnalati da un asterisco (*) nelle tabelle da C.1 a
ible. C.16 considerati come non verosimili.
10) The body shall have no hollows. 10) Il corpo del componente non deve presentare
fori.
Clearance and creepage distances between Le distanze d’isolamento superficiali e in aria
the caps/connection wires at each end of the tra i fili di collegamento ad ognuna delle estre-
component shall at least fulfil the require- mità del componente deve almeno soddisfare i
ments of EN 50124-1, in accordance with its requisiti della EN 50124-1, conformemente ai
requirements for re-inforced insulation. requisiti dell’isolamento rafforzato.
The winding of a wire-wound resistor shall L’avvolgimento di una resistenza a filo avvolto
have only one layer. deve avere un solo strato.
The component shall be coated with cement Il componente deve essere rivestito di cemen-
or enamel. to oppure di smalto.
Short-circuit between turns of a wire-wound Deve essere evitato il cortocircuitato tra le spi-
resistor shall be avoided by coating of the re di una resistenza a filo avvolto rivestendo il
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 80 di 130
wire, and/or by physical separation of the filo e/o separando fisicamente le spire.
turns.
The body shall be constructed of material Lo strato deve essere fabbricato in materiale
which is non-conductive, even at the highest non conduttore anche alle più elevate tempe-
temperature (including fault conditions). rature (comprese quelle delle condizioni di
guasto).
The coating shall be non-conductive, even at Il rivestimento non deve essere conduttore
the highest temperature (including fault con- anche alle temperature più elevate (comprese
ditions). quelle delle condizioni di guasto).
The resistance shall be limited to the lowest La resistenza deve essere limitata al valore più
possible value (for example, no greater than basso possibile (per esempio, non superiore
10 kΩ). ai 10 kΩ).
11) The 4-terminal resistor shall be constructed in 11) Le resistenze a quattro uscite devono essere
such a way that, if a fault causing interruption concepite in modo tale che, se accade un gua-
of the resistance material occurs, this fault sto che causa l’interruzione del materiale resisti-
would also cause interruption of at least one vo, questo guasto provochi anche l’interruzione
of the four connecting terminals. di almeno uno dei quattro collegamenti d’uscita.
The circuitry external to the resistor shall dis- I circuiti esterni alla resistenza devono ricono-
close the interruption of the terminal(s) in a scere con sicurezza l’interruzione del/dei colle-
fail-safe manner. gamento/i.

Example of a 4-terminal resistor, using a hy- Esempio di resistenza a quattro uscite che im-
brid thick layer technique: piega una tecnica ibrida a strato spesso:
COLLEGAMENTO MATERIALE RESISTIVO

CONNECTION RESISTANCE MATERIAL
POSSIBLE ROTTURA
A D
(guasto)
POSSIBLE “CRACK”
(FAULT)
R
SUBSTRATO CERAMICO
CERAMIC SUBSTRATE
B C
A B C D
12) Two terminals shall be connected independ- 12) Due morsetti devono essere collegati indipen-
ently to each side of the component. dentemente su ogni lato del componente.
13) The formula to calculate capacitance of a sim- 13) La formula per calcolare la capacità di un con-
ple parallel-plate capacitor is: densatore ad armature parallele semplici è:
A
C = ε0 ⋅ εr ⋅
d
where dove
A = common area of plates, A = superfice comune delle armature,
d = distance between plates, d = distanza tra le armature,
ε0 = permittivity of free space, ε0 = permittività del vuoto,
εr = relative permittivity (dielectric constant). εr = permittività relativa (costante dielettrica).
Justification of the failure mode as incredible La giustificazione del modo di malfunziona-
requires demonstration that none of these pa- mento considerato non verosimile richiede la
rameters can significantly change. dimostrazione che nessuno di questi parame-
tri possa cambiare in misura significativa.
Electrolytic capacitors are not suitable for ex- I condensatori elettrolitici non si possono
clusion from this failure mode. considerare esclusi da questo modo di mal-
funzionamento.
14) The capacitor shall be designed and con- 14) Per le applicazioni ad alta tensione, i condensa-
structed for high-voltage application in rela- tori devono essere progettati e realizzati in fun-
tion to the maximum possible operating volt- zione della più elevata tensione possibile di fun-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 81 di 130
age (including fault conditions). It shall have zionamento (compresa quella delle condizioni
Class-Y specification, and self-healing proper- di guasto). Essi devono avere la classe Y delle
ties at the working source impedance and specifiche, proprietà di auto-cicatrizzazione
over the working voltage range. all’impedenza di lavoro d’origine ed oltre l’inter-
vallo della tensione di lavoro.
15) There shall be only one layer of turns, sepa- 15) Ci deve essere un solo strato di fili, separato da
rated by means of grooves in the insulated scanalature nel supporto isolato, oppure il filo
body, or the wire shall have re-inforced insu- deve avere un isolamento rafforzato.
lation.
The turns shall be securely fastened. Le spire devono essere fissate saldamente.
16) Clearance and creepage distances shall fulfil 16) Le distanze di isolamento superficiali e in aria
at least the requirements for re-inforced insu- devono rispondere almeno ai requisiti della
lation of EN 50124-1. EN 50124-1.
All windings and connections shall be secure- Tutti gli avvolgimenti e i collegamenti devono
ly fastened. essere fissati saldamente.
Power dissipation shall be limited sufficiently La potenza dissipata deve essere sufficiente-
to prevent internal carbonisation (including mente limitata al fine di evitare la carbonizzazio-
fault conditions). ne interna (incluse le condizioni di guasto).
17) The magnetic core shall be constructed such 17) Il nucleo magnetico deve essere realizzato in
that no significant change in reluctance of the maniera tale che non possano intervenire cam-
magnetic path can occur. biamenti significativi della riluttanza del circuito
magnetico.
18) The transfer ratio depends upon the number of 18) Il rapporto di trasferimento dipende dal numero
turns on each winding, and on the integrity of di giri di ogni avvolgimento e dall’integrità
the magnetic coupling. Therefore it is neces- dell’accoppiamento magnetico. Pertanto è ne-
sary for Notes 15), 16) and 17) to be fulfilled. cessario che siano rispettate le condizioni delle
Note 15), 16) e 17).
19) The transductance and the DC threshold volt- 19) La trasduttanza e la soglia di tensione della cor-
age depend upon the properties of the mag- rente continua, dipendono dalle proprietà del
netic core material. Therefore it is necessary materiale del nucleo magnetico. Pertanto, è ne-
to demonstrate that these magnetic properties cessario dimostrare che tali proprietà magnetiche
cannot significantly change. non possano cambiare in misura significativa.
Transductance and DC threshold voltage also La trasduttanza, e la soglia di tensione a corrente
depend on the number of turns on each continua, dipendono anche dal numero di spire
winding, and on the integrity of the magnetic in ogni avvolgimento e dall’integrità dell’accop-
coupling. Therefore it is also necessary for piamento magnetico. Quindi è anche necessario
Notes 15), 16) and 17) to be fulfilled. che siano rispettate le note 15), 16) e 17).
The output from a transductor is related to the Il valore dell’uscita da un trasduttore è funzione
number of ampère-turns in the control wind- del numero di amper-spire dell’avvolgimento di
ing. It is necessary to demonstrate that, in controllo. Si deve dimostrare che, insieme all’as-
conjunction with the associated drive circuit- sociato circuito di comando, non possa verificarsi
ry, no credible failure modes of the control nessun modo verosimile di malfunzionamento
winding can cause an increase in the number dell’avvolgimento di controllo possa causare l’au-
of ampère-turns. mento del numero di ampere-spire.
20) All parts of the relay or switch mechanism 20) Tutte le parti del relé o del meccanismo di com-
shall be robustly constructed and securely fas- mutazione devono essere costruite in modo ro-
tened, including busto ed essere fissate saldamente, compresi:
the operating mechanism, l’equipaggiamento,
the contact system, il sistema dei contatti
the magnetic circuit (if any), il circuito magnetico (se ve ne sono),
the coil(s) (if any). la/le bobina/e (se ve ne sono).
Clearance and creepage distances shall fulfil Le distanze d’isolamento superficiali e in aria de-
at least the requirements for re-inforced insu- vono rispondere almeno ai requisiti relativi
lation of EN 50124-1. all’isolamento rafforzato della EN 50124-1.
21) Contact materials shall be chosen which are 21) I materiali dei contatti devono essere scelti in
not capable of being welded. modo che non possano incollarsi.
The risk of welding shall be further reduced I rischi di incollamento devono essere ulterior-
by appropriate mechanical design and con- mente ridotti tramite una progettazione meccani-
struction of the contacts. ca e una tecnica di fabbricazione dei contatti ap-
propriate.
The maximum current shall be limited, to Il valore massimo di corrente deve essere limita-
ensure that the temperature of the contacts to, in modo da assicurare che la temperatura dei
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 82 di 130
does not reach a value at which welding contatti non raggiunga un valore al quale potreb-
could occur. be verificarsi il loro incollaggio.
22) Stability of the relay’s characteristics shall be 22) La stabilità delle caratteristiche del relé deve esse-
ensured by careful attention to the following re assicurata con particolare attenzione ai se-
factors: guenti fattori:
magnetic characteristics: caratteristiche magnetiche:
choice of magnetic material; scelta del materiale magnetico;
provision of a stop device to avoid impiego di un dispositivo per evitare la
permanent magnetisation of the mag- magnetizzazione permanente del circui-
netic circuit (core); to magnetico (nucleo);
protection against external magnetic protezione contro i campi magnetici
fields; esterni;
electrical characteristics: caratteristiche elettriche:
choice and quality of the wire and in- scelta e qualità del filo e dell’isolamen-
sulation; to;
quality of winding of the coil; qualità dell’avvolgimento della bobina;
quality of terminations; qualità delle terminazioni;
mechanical characteristics: caratteristiche meccaniche:
choice and quality of materials; scelta e qualità dei materiali;
secure fastening of all parts; fissaggio sicuro di tutte le parti;

secure retention of all safety-related sicura tenuta di tutte le regolazioni cor-
adjustments; relate con la sicurezza;
provision of adequate return force, adeguata dotazione di una forza di ri-
using gravity (supplemented, if neces- chiamo, che utilizzi la gravità (integrata,
sary, by springs and/or by elasticity of se necessario, da una molla e/o lamella
blades); elastica);
design and construction of the operat- progettazione e realizzazione dell’equi-
ing mechanism such that it cannot be- paggiamento tali da escludere la possi-
come jammed. bilità che si blocchi.
23) The threshold voltage of a p-n junction, such 23) La tensione di soglia di una giunzione p-n, come
as a diode or a transistor base-emitter junc- quella di un diodo oppure della giunzione ba-
tion, is a function of se-emettitore di un transistore, è funzione della
minority and majority charge-carrier densità dei portatori di cariche maggiori-
densities, tarie e minoritarie,
boltzmann’s constant (k), della costante di Boltzmann (k),
electron charge (e), della carica dell’elettrone (e),
temperature (K). della temperatura (K).
Therefore the threshold voltage is depend- Di conseguenza, la tensione di soglia dipende
ent on non-variable characteristics of the dalle caratteristiche non variabili di una giunzio-
p-n junction, and should be constant for a ne p-n, e dovrebbe essere costante per una de-
given temperature. terminata temperatura.
24) The breakdown voltage is determined by one 24) La tensione di rottura (breakdown) è determinata
of two possible mechanisms: Zener break- da uno dei due seguenti possibili meccanismi:
down or avalanche breakdown. Both of these rottura a effetto Zener oppure rottura a valanga.
are dependent on non-variable physical char- Entrambi dipendono dalle caratteristiche fisiche
acteristics of the diode, so the breakdown non variabili del diodo, quindi la tensione di rot-
voltage should be constant for a given tem- tura (breakdown) dovrebbe essere considerata
perature. costante per una determinata temperatura.
Care shall be taken to avoid components Deve essere dedicata particolare attenzione per
which consist internally of two or more di- evitare componenti che abbiano all’interno due o
odes connected in series. più diodi collegati in serie.
Note that conduction at voltages above and Da notare che è possibile la conduzione a una
below the breakdown voltage may be pos- tensione superiore o inferiore alla tensione di rot-
sible, due to shunt or series resistance, but tura (breakdown), dovuta alla presenza di resi-
the differential (slope) resistance in such stenze in parallelo o in serie, ma la resistenza dif-
cases would be higher than for the case of ferenziale in tali casi sarebbe maggiore che per il
breakdown conduction. caso di conduzione di rottura.
25) The amplification (or gain, or transconduct- 25) L’amplificazione (oppure il guadagno o la trans-
ance) of a transistor, and the optical sensitivity conduttanza) di un transistore, e la sensibilità ot-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 83 di 130
of a photo-diode or transistor, are dependent tica di un fotodiodo o di un fototransistore, di-
on pendono da
doping levels, i livelli di drogaggio,
thickness of the junction(s), lo spessore della/e giunzione/i,
life-time of charge carriers. la durata di vita dei portatori di cariche.
These parameters should remain constant, Questi parametri dovrebbero rimanere costanti,
with the exception of the charge carriers’ fatta eccezione per la durata di vita dei portatori
life-time, which can only decrease with di cariche che può solo diminuire con il tempo.
time. Therefore the amplification/sensitivity Di conseguenza, l’amplificazione o la sensibilità
should remain constant, or possibly de- dovrebbero rimanere costanti o possono diminu-
crease, but not increase (has to be justified ire, ma non possono aumentare (da giustificare
for each application). per ogni applicazione).
A small possibility exists of an increase in Esiste una ridotta possibilità di incremento
amplification caused by pollution affecting dell’amplificazione causata dall’inquinamento
surface doping. This can be avoided by che può influenzare il drogaggio di superficie.
high-quality manufacture and packaging of Ciò può essere evitato con un’elevata qualità di
the component. Also this effect is only sig- fabbricazione e di impacchettamento del compo-
nificant for very low bias currents, which nente. Anche questo effetto è significativo solo
shall therefore be avoided when designing per i valori di corrente di polarizzazione molto ri-
circuits. dotti, che quindi devono essere evitati nella pro-

gettazione dei circuiti elettronici.
26) Light emission is a physical property related 26) L’emissione di luce è una proprietà fisica relativa
to recombination of electrons and holes when alla ricombinazione degli elettroni e delle lacune
current flows in a forward-biased p-n junc- quando la corrente circola attraverso una giun-
tion. zione p-n direttamente polarizzata.
The rate of recombination is a function of Il livello di ricombinazione dipende dalla corren-
the forward current, and therefore the light te diretta, e quindi la luce emessa non dovrebbe
emission should not increase at constant aumentare a corrente costante.
current.
Below the threshold voltage there is no sig- Al di sotto della tensione di soglia non circola
nificant current flow and therefore no light una corrente significativa e quindi non c’è emis-
emission. sione di luce.
27) If the p-n junction is reverse biased, there will 27) Se un collegamento p-n è polarizzato in senso in-
be no significant current flow below the verso, non circola nessuna corrente significativa
breakdown voltage and therefore no light al di sotto della tensione di rottura (breakdown)
emission. e quindi non si ha emissione di luce.
Above the breakdown voltage, the mecha- Al di sopra della tensione di rottura (breakdown),
nism that allows current to flow is different il meccanismo che consente alla corrente di cir-
to that for forward bias and should not re- colare è diverso da quello per la polarizzazione
sult in emission of light. diretta, e non dovrebbe risultarne emissione di
luce.
28) For optocouplers and self-contained fibre-op- 28) Per gli accoppiatori ottici e i sistemi a fibra ottica
tic systems, the failure modes of each element indipendente, devono essere presi in considera-
shall be considered, i.e. zione i modi di malfunzionamento di ciascuno
degli elementi, cioè:
light-emitting transmitter, l’emettitore di luce,
optical medium, il supporto ottico,
photo-sensitive receiver. il recettore fotosensibile.
lation of EN 50124-1. EN 50124-1 relativi al rafforzamento dell’isola-
mento.
The construction of the components shall La costruzione dei componenti deve essere robu-
be robust and stable. sta e stabile.
Power dissipation in the component shall La potenza dissipata nel componente deve es-
be limited sufficiently to prevent internal sere sufficientemente limitata in modo da evi-
carbonisation (including fault conditions). tare la carbonizzazione interna (comprese le
condizioni di guasto).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 84 di 130
lation of EN 50124-1. EN 50124-1, relativa al rafforzamento dell’iso-
lamento.
31) The input and output drive/coupling ele- 31) Gli elementi di accoppiamento/comando de-
ments shall be securely fastened. gli ingressi e delle uscite devono essere fissati
saldamente.
The component shall be robustly constructed. Il componente deve essere costruito in modo ro-
busto.
The resonator(s) shall be constructed and Il o i risonatori devono essere costruiti e montati
mounted so as to prevent change of their in modo da evitare qualunque cambiamento del-
effective dimensions. le loro effettive dimensioni.
The resonator(s) shall be constructed of a Il o i risonatori devono essere costruiti in un ma-
material whose dimensions are not signifi- teriale le cui dimensioni non siano significativa-
cantly altered by changes of temperature. mente alterate da cambiamenti di temperatura.
The material of the resonator(s) shall be sta- Il materiale del o dei risonatori deve essere stabi-
bilised by temperature cycling and/or lizzato tramite un ciclo termico e/o un pre-eserci-
pre-operation for a sufficient time. zio per un sufficiente periodo di tempo.
The material of the resonator(s) shall not be Il materiale del o dei risonatori non deve essere
over-stressed, even under fault conditions. sovraccaricato, neanche in condizioni di guasto.

In particular the limit of elasticity shall not In particolare, non devono essere superati i limiti
be exceeded. d’elasticità.
32) The transfer ratio is a function of the efficien- 32) Il rapporto di trasferimento dipende dall’effi-
cy of the drive/coupling elements and the cacia degli elementi di comando/accoppia-
Q-factor of the filter. mento e dal fattore Q del filtro.
The drive/coupling elements shall be de- Gli elementi di comando/accoppiamento devono
signed and constructed so as to prevent any essere concepiti e realizzati in modo tale che la
significant increase in their efficiency. loro efficienza non possa aumentare significativa-
mente.
33) The resonator(s) shall be constructed and 33) Il o i risonatori devono essere costruiti e mon-
mounted to obtain the maximum possible tati in modo da ottenere il più elevato fattore
Q-factor, so that no subsequent improvement Q possibile, in modo che non possa verificar-
can occur. si un successivo aumento.
34) The resonator(s) shall be constructed and 34) Il o i risonatori devono essere costruiti e mon-
mounted so as to prevent the occurrence of tati in modo da evitare smorzamenti per qua-
damping by any mechanism. lunque meccanismo.
35) The insulating material shall be stable. 35) Il materiale d’isolamento deve essere stabile.
Clearance and creepage distances shall fulfil Le distanze di isolamento superficiali e in aria
at least the requirements for re-inforced in- devono rispondere almeno ai requisiti della
sulation of EN 50124-1. EN 50124-1, relativa al rafforzamento dell’iso-
lamento.
36) The connector shall be robustly constructed. 36) Il connettore deve essere costruito in modo
robusto.
All parts of the connector shall be securely Tutte le parti del connettore devono essere fissa-
fastened. te saldamente.
37) Incorrect orientation of the connector, or in- 37) L’errato posizionamento del connettore o il
sertion into the wrong socket, shall be pre- suo inserimento in una sede sbagliata deve
vented by means of, for example, mechanical essere evitato tramite, per esempio, la proget-
design or mechanical pin-coding. tazione meccanica o una codifica meccanica.
Alternatively, the effects of incorrect inser- Alternativamente, gli effetti di un errato inseri-
tion shall be rendered non-hazardous by mento devono essere resi non pericolosi tramite,
means of, for example, electrical coding of per esempio, una codifica elettrica degli spinotti
connector pins or allocation of unique ad- del connettore o l’assegnazione di indirizzi/iden-
dresses/identities. tificazioni uniche.
The risk shall be further reduced by means I rischi devono essere ulteriormente ridotti trami-
of warning labels and training of personnel. te etichette di segnalazione e la formazione del
personale.
38) The screen shall be robustly constructed and 38) Lo schermo deve essere costruito in modo robu-
protected from excessive physical damage. sto ed essere protetto da eccessivi danni fisici.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 85 di 130
The electrical connection to the screen shall Il collegamento elettrico dello schermo deve es-
be robust and securely fastened. sere robusto e fissato saldamente.
39) Sufficiently robust insulation shall be provid- 39) Deve essere assicurato l’impiego di un isolamen-
ed. to sufficientemente robusto.
Clearance and creepage distances shall fulfil Le distanze d’isolamento superficiali e in aria
at least the requirements for re-inforced in- devono rispondere almeno ai requisiti della
sulation of EN 50124-1. EN 50124-1, relativa al rafforzamento dell’iso-
lamento.
Protection shall be provided against exces- Deve essere realizzata una protezione contro ec-
sive physical damage. cessivi danni fisici.
Protection shall be provided against electri- Deve essere realizzata una protezione contro i
cally conductive foreign bodies. corpi estranei conduttori di elettricità.
40) The fuse and its holder shall be physically 40) Il fusibile e il suo supporto devono essere fisica-
constructed and mounted so as to prevent the mente realizzati e montati in modo da evitare il
occurrence of a parallel short-circuit. verificarsi di un cortocircuitato parallelo.
Means shall be provided to prevent the use Devono essere adottate misure per evitare l’uso
of an incorrectly rated fuse. di un fusibile erroneamente valutato.
Means shall be provided to prevent the use Devono essere adottate misure per evitare l’uso
of a fuse with self-resetting or self-healing di un fusibile dotato di capacità di autorigenera-

capability. zione e di reinizializzazione.
Tab. C.1 Resistors Resistenze

a) All kinds of resistor and adjustable re- a) Tutti i tipi di resistenze e di resistenze rego-
sistor (excluding 4-terminal resistor) labili (escluse le resistenze a quattro uscite)
Interruzione
Interruption
Cortocircuitato (*) Nota_Note 10
Short-circuit
Aumento del valore di resistenza
Increase of resistance value
Riduzione del valore di resistenza (*) Nota_ Note 10
Decrease of resistance value
Cortocircuitato al contenitore
Short-circuit to case
b) Four-terminal resistor b) Resistenze a 4 terminali
Interruzione di ogni terminale

Interruption of each terminal
Interruzione del materiale della resistenza (*) Nota_Note 11
Interruption of resistance material
Short-circuit
Aumento del valore della resistenza di ogni terminale
Increase of resistance value of each terminal
Riduzione del valore della resistenza (* Nota_Note 10
Decrease of resistance value
Cortocircuitato tra due terminali dello stesso lato (*) Nota_Note 12
Short-circuit between two terminals of same side
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 86 di 130
Tab. C.2 Capacitors Condensatori
a) All kinds of capacitor and adjustable ca- a) Tutti i tipi di condensatori e condensatori
pacitor (excluding 4-terminal capacitor) regolabili (esclusi i condensatori a 4 ter-
minali)
Interruzione
Interruptioni
Short-circuit
Aumento della capacità (*) Nota_Note 13
Increase of capacitance
Riduzione della capacità (*) Nota_Note 13
Decrease of capacitance
Riduzione della resistenza parallela (*) Nota_Note 14
Decrease of parallel resistance
Aumento della resistenza seriale
Increase of series resistance
b) Four-terminal capacitor b) Condensatori a 4 terminali
Interruzione di ogni terminale

Interruption of each terminal
Cortocircuitato
Short-circuit
Aumento della capacità (*) Nota_Note 13
Increase of capacitance
Riduzione della capacità (*) Nota_Note 13
Decrease of capacitance
Riduzione della resistenza parallela (*) Nota_Note 14
Decrease of parallel resistance
Aumento della resistenza seriale
Increase of series resistance
Cortocircuitato tra due terminali sullo stesso lato (*) Nota_Note 12
Short-circuit between two terminals of same side
Cortocircuito al contenitore
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 87 di 130
Tab. C.3 Electromagnetic components Componenti elettromagnetici
a) Inductor a) Induttanze
Interruzione dell’avvolgimento
Interruption of winding
Cortocircuito dell’avvolgimento
Short-circuit of winding
tra spire
(*) Nota_Note 15
between turns
tra strati
(*) Nota_Note 16
between layers
dell’intero avvolgimento
(*) Nota_Note 16
whole winding
Cortocircuito o riduzione dell’isolamento tra l’avvolgimento e il supporto
(*) Nota_Note 16
Short-circuit or decrease of insulation between winding and body
Aumento della resistenza dell’avvolgimento
Increase of resistance of winding
Aumento dell’induttanza
(*) Nota_Note 17
Increase of inductance
Riduzione dell’induttanza (*) Nota_Note 17
Decrease of inductance
b) Transformer b) Trasformatore
Interruzione di ogni avvolgimento

Interruption of any winding
Cortocircuito di ogni avvolgimento
Short-circuit of any winding
tra spire
(*) Nota_Note 15
between turns
tra strati
(*) Nota_Note 16
between layers
di tutto l’avvolgimento
(*) Nota_Note 16
whole winding
Cortocircuito o riduzione dell’isolamento tra avvolgimenti
Short-circuit or decrease of insulation between windings
Cortocircuito o riduzione dell’isolamento tra ogni avvolgimento e il supporto (*) Nota_Note 16
Short-circuit or decrease of insulation between any winding and body
Aumento della resistenza di ogni avvolgimento
Increase of resistance of any winding
Aumento dell’induttanza di ogni avvolgimento (*) Nota_Note 17
Increase of inductance of any winding
Riduzione dell’induttanza di ogni avvolgimento (*) Nota_Note 17
Decrease of inductance of any winding
Modifica del rapporto di trasformazione (*) Nota_Note 18
Change of transfer ratio
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 88 di 130
Tab. C.3 Electromagnetic components (continued) Componenti elettromagnetici (segue)
c) Transductor (saturable reactor or mag- c) Trasduttore (reattore saturabile o amplifi-
netic amplifier) catore magnetico)
Interruzione di ogni avvolgimento

Interruption of any winding
Cortocircuito dell’avvolgimento in c.c.
Short-circuit of d.c. winding
Cortocircuito dell’avvolgimento in c.a.
Short-circuit of a.c. winding
tra spire
(*) Nota_Note 15
between turns
tra strati
(*) Nota_Note 16
between layers
dell’intero avvolgimento
(*) Nota_Note 16
whole winding
Cortocircuito o riduzione dell’isolamento
Short-circuit or decrease of insulation resistance
tra gli avvolgimenti in c.c. e in c.a

(*) Nota_Note 16
between d.c. and a.c. windings
tra ogni avvolgimento e il supporto
(*) Nota_Note 16
between any winding and body
Aumento dell’induttanza dell’avvolgimento in c.a.
(*) Nota_Note 17
Increase of inductance of a.c. winding
Riduzione dell’induttanza dell’avvolgimento in c.a. (*) Nota_Note 17
Decrease of inductance of a.c. winding
Aumento della trasduttanza (*) Nota_Note 19
Increase of transductance
Riduzione della trasduttanza
Decrease of transductance
Aumento del valore di tensione di soglia in c.c.
Increase of d.c. threshold voltage
Riduzione del valore di tensione di soglia in c.c. (*) Nota_Note 19
Decrease of d.c. threshold voltage
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 89 di 130
Tab. C.3 Electromagnetic components (continued) Componenti elettromagnetici (segue)
d) Relay d) Relè
Interruzione di ogni bobina

Interruption of any coil
Interruzione di ogni contatto
Interruption of any contact
Cortocircuito o riduzione della resistenza dell’isolamento
attraverso i contatti aperti
(*) Nota_Note 20
across open contacts
tra bobina e bobina
(*) Nota_Note 16
between coil and coil
tra bobina e contatto
(*) Nota_Note 20
between coil and contact
tra bobina e supporto
(*) Nota_Note 16
between coil and case
tra contatto e contatto
(*) Nota_Note 20
between contact and contact
tra contatto e supporto
(*) Nota_Note 20
between contact and case
Incollaggio dei contatti
(*) Nota_Note 21
Welding of contacts
Aumento della resistenza dei contatti
Increase of contact resistance
Rimbalzo del contatto
Contact chatter
Aumento della corrente di eccitazione
Increase of pick-up current
Riduzione della corrente di eccitazione (*) Nota_Note 22
Decrease of pick-up current
Aumento della corrente diseccitazione
Increase of drop-away current
Riduzione della corrente di diseccitazione (*) Nota_Note 22
Decrease of drop-away current
Modifica del rapporto corrente di eccitazione/corrente di diseccitazione (*) Nota_Note 22
Change of pick-up to drop-away ratio
Aumento del tempo di eccitazione
Increase of pick-up time
Riduzione del tempo di eccitazione (*) Nota_Note 22
Decrease of pick-up time
Aumento del tempo di diseccitazione (*) Nota_Note 22
Increase of drop-away time
Riduzione del tempo di diseccitazione (*) Nota_Note 22
Decrease of drop-away time
Il relé non si eccita
Relay does not pick up
Il relé non si diseccita (*) Nota_Note 22
Relay does not drop away
Chiusura simultanea dei contatti anteriori e dei contatti posteriori (transitorio o
permanente) (*) Nota_Note 22
Closure of any front contact at the same time as any back contact (transient or continuous)
Mancata corrispondenza tra contatti anteriori
Non-correspondence between front contacts
Mancata corrispondenza tra contatti posteriori
Non-correspondence between back contacts
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 90 di 130
Tab. C.4 Diodes Diodi
a) Normal diode (power, signal, switch- a) Diodo normale (di potenza, di segnala-
ing) mento, di commutazione)
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della corrente inversa
Increase of reverse current
Riduzione della tensione inversa di rottura (breakdown)
Decrease of reverse breakdown voltage
Aumento della tensione in stato di conduzione
Increase of conducting-state voltage
Riduzione della tensione in stato di conduzione
Decrease of conducting-state voltage
Aumento della tensione di soglia (*) Nota_Note 23
Increase of threshold voltage
Riduzione della tensione di soglia (*) Nota_Note 23

Decrease of threshold voltage
Cortocircuito al contenitore conduttore
Short-circuit to conductive case
b) Zener diode b) Diodo Zener
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di Zener (*) Nota_Note 24
Increase of Zener voltage
Riduzione della tensione di Zener (* Nota_Note 24
Decrease of Zener voltage
Modifica del valore della resistenza differenziale
Change of differential resistance
Aumento della corrente inversa
Increase of reverse current
Aumento della tensione in stato di conduzione diretta
Increase of forward conducting-state voltage
Riduzione della tensione in stato di conduzione diretta
Decrease of forward conducting-state voltage
Aumento della tensione di soglia di conduzione diretta (*) Nota_Note 23
Increase of forward threshold voltage
Riduzione della tensione di soglia di conduzione diretta (*) Nota_Note 23
Decrease of forward threshold voltage
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 91 di 130
Tab. C.5 Transistors Transistori
a) Bipolar transistor a) Transistore bipolare
Interruzione
Interruption
dell’emettitore (E)
of emitter (E)
e/o della base (B)
and/or base (B)
e/o del collettore (C)
and/or collector (C)
Cortocircuito
Short circuit
tra E e B
between E and B
tra B e C
between B and C
tra E e C
between E and C
tra E e B e C
between E and B and C
Cortocircuito tra due terminali e interruzione del terzo terminale
Short-circuit between two connections and interruption of the third connection
Cortocircuito tra il rivestimento e E o B o C
Short-circuit between casing and E or B or C
Aumento del guadagno in c.c. e/o in c.a. (*) Nota_Note 25
Increase of d.c. and/or a.c. amplification
Riduzione del guadagno in c.c. e/o in c.a.
Decrease of d.c. and/or a.c. amplification
Aumento della tensione base-emettitore in stato di conduzione
Increase of base-emitter conducting-state voltage
Riduzione della tensione base-emettitore in stato di conduzione
Decrease of base-emitter conducting-state voltage
Aumento della tensione di soglia VBE (*) Nota_Note 23
Increase of threshold voltage VBE
Riduzione della tensione di soglia VBE (*) Nota_Note 23
Decrease of threshold voltage VBE
Riduzione della tensione di rottura (breakdown) VEB oppure VCB oppure VCE
Decrease of break-down voltage VEB or VCB or VCE
Cambiamento del tempo di salita, del tempo di discesa, del tempo di conduzione
e del tempo di interdizione
Change of rise time, fall time, turn-on time, turn-off time
Aumento della corrente di dispersione ICB, IEB, ICE
Increase of leakage current ICB, IEB, ICE
Cambiamento della tensione di saturazione VCE
Change of saturation voltage VCE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 92 di 130
Tab. C.5 Transistor (continued) Transistore (segue)
b) Field-effect transistor (FET) b) Transistore a effetto di campo (FET)
Interruzione
Interruption
del Gate (G)
of gate (G)
e/o del Source (S)
and/or source (S)
e/o del Drain (D)
and/or drain (D)
Cortocircuito
Short-circuit
tra S e D
between S and D
tra G e D
between G and D
tra S e G
between S and G
tra S e G
between S and G
tra S e G e D
between S and G and D
Cortocircuito tra due terminali e interruzione con il terzo terminale
Cortocircuito tra il contenitore ed S oppure G oppure D
Short-circuit between casing and S or G or D
Aumento della trasconduttanza diretta (*) Nota_Note 25
Increase of forward transconductance
Riduzione della trasconduttanza diretta
Decrease of forward transconductance
Aumento della tensione di soglia del gate
Increase of gate threshold voltage
Riduzione della tensione di soglia del gate
Decrease of gate threshold voltage
Riduzione
Decrease
della tensione di rottura (breakdown) tra drain e source
of drain-source break-down voltage
delle tensioni massime specificate gate-source e drain-gate
of gate-source and drain-gate maximum rated voltages
Modifica del tempo di conduzione e del tempo interdizione della conduzione
Change of turn-on-time and turn-off time
Aumento della corrente di dispersione IGS, IDS, IGD
Increase of leakage current IGS, IDS, IGD
Modifica del valore statico della resistenza drain/source nello stato di accesso
Change of static drain to source on-state resistance
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 93 di 130
Tab. C.6 Controlled rectifiers Raddrizzatori controllati
a) Silicon - controlled rectifier (SCR) (thyr- a) Raddrizzatori controllati al silicio (SCR)
istor) (tiristore)
Interruzione
Interruption
del Gate (G
of gate (G)
e/o dell’anodo (A)
and/or anode (A)
e/o del catodo (C)
and/or cathode (C)
Cortocircuito
Short-circuit
tra G e C
between G and C
tra G e A
between G and A
tra A e C
between A and C
tra A e G e C
between A and G and C
Cortocircuito tra due terminali e interruzione del terzo terminale
Cortocircuito tra il contenitore ed A oppure G oppure C
Short-circuit between casing and A or G or C
Modifica della corrente di mantenimento
Change of holding current
Modifica della corrente d’innesco del gate e/o della tensione di innesco del gate
Change of gate trigger current and/or of gate trigger voltage
Riduzione
Decrease
della tensione diretta di blocco anodo-catodo
of anode-cathode forward blocking voltage
della tensione inversa di blocco anodo-catodo
of anode-cathode reverse blocking voltage
della tensione massima inversa del gate specificata
of reverse gate maximum rated voltage
Modifica del tempo di conduzione e del tempo di interdizione
Change of turn-on time and turn-off time
Aumento delle correnti di dispersione IAC, IGC, IGA
Increase of leakage current IAC, IGC, IGA
Modifica della tensione statica diretta di conduzione
Change of forward static on-voltage
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 94 di 130
Tab. C.6 Controlled rectifiers (continued) Raddrizzatori controllati (segue)
b) Bidirectional thyristor (triac) b) Tiristore bidirezionale (triac)
Interruzione
Interruption
del Gate (G)
of gate (G)
e/o della MT1 (primo terminale con circolazione di corrente)
and/or of MT1 (first current-carrying terminal)
e/o della MT2 (secondo terminale con circolazione di corrente)
and/or of MT2 (second current-carrying terminal)
Cortocircuito
Short-circuit
tra G e MT1
between G and MT1
tra G e MT2
between G and MT2
tra MT1 e MT2
between MT1 and MT2

tra MT1 e G e MT2
between MT1 and G and MT2
Cortocircuito tra due collegamenti e interruzione del terzo collegamento
Cortocircuito tra contenitore ed MT1 oppure G oppure MT2
Short-circuit between casing and MT1 or G or MT2
Modifica della corrente di mantenimento
Change of holding current
Modifica della corrente di innesco del gate e/o della tensione di innesco del gate
Change of gate trigger current and/or of gate trigger voltage
Riduzione della tensione massima nominale di blocco MT1 – MT2 e/o della ten-
sione massima nominale del gate
Decrease of MT1-MT2 maximum rated off-state voltage and/or of gate maximum rated
voltage
Aumento delle correnti di dispersione MT1-MT2, G-MT1, G-MT2
Increase of leakage current MT1-MT2, G-MT1, G-MT2
Modifica della tensione statica di conduzione
Change of static on-voltage
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 95 di 130
Tab. C.7 Surge Suppressors Soppressori di sovratensione impulsiva
a) Voltage-dependent resistor (VDR) a) Resistenza variabile con la tensione
(varistor) (VDR) (varistore)
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di blocco
Increase of clamp voltage
Riduzione della tensione di blocco
Decrease of clamp voltage
Aumento della corrente di dispersione
Increase of leakage current
b) Protective diode (tranzorb) b) Diodo di protezione (tranzorb)
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di rottura (breakdown) (*) Nota_Note 24
Increase of breakdown voltage
Riduzione della tensione di rottura (breakdown) (*) Nota_Note 24
Decrease of breakdown voltage
c) Gas-discharge arrester c) Scaricatori a gas
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di rottura (breakdown)
Riduzione della tensione di rottura (breakdown)
d) Air-gap arrester d) Scaricatori ad aria
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della tensione di rottura (breakdown)
Riduzione de la tensione di rottura (breakdown)
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 96 di 130
Tab. C.8 Opto-electronic components Componenti optoelettronici
a) Photo diode a) Fotodiodo
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della sensibilità luminosa (*) Nota_Note 25
Increase of light sensitivity
Riduzione della sensibilità luminosa
Decrease of light sensitivity
b) Photo transistor b) Fototransistor
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento della sensibilità luminosa (*) Nota_Note 25
Increase of light sensitivity
Riduzione della sensibilità luminosa
Decrease of light sensitivity
c) Light-emitting diode (LED) c) Diodo elettroluminescente (LED)
Interruzione
Interruption
Cortocircuito
Short-circuit
Aumento dell’emissione luminosa (a corrente costante) (*) Nota_Note 26
Increase of light emission (at constant current)
Riduzione dell’emissione luminosa (a corrente costante)
Decrease of light emission (at constant current)
Aumento della tensione di soglia (*) Nota_Note 23
Increase of threshold voltage
Riduzione della tensione di soglia (*) Nota_Note 23
Decrease of threshold voltage
Emissione di luce al di sotto della tensione di soglia (*) Nota_Note 26
Light emission below threshold voltage
Emissione di luce in polarità inversa (*) Nota_Note 27
Light emission with reverse polarity
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 97 di 130
d) Optocoupler and self-contained fibre-op- d) Isolatore ottico e sistema a fibre ottiche
tic system (see Note 28) indipendente (vedi Nota 28)
Emissione di luce in polarità inversa

Light emission with reverse polarity
Cortocircuito o riduzione della resistenza d’isolamento
tra ingresso e uscita
(*) Nota_Note 29
between input and output
tra sistemi adiacenti nella stessa cassa
(*) Nota_Note 29
between adjacent systems in the same case
Cortocircuito al contenitore
Short-circuit to casing
Modifica dei tempi di commutazione
Change of switching time
Aumento del rapporto di trasferimento di corrente (*) Note_Notes 25 e_and 26
Increase of current transfer ratio
Riduzione del rapporto di trasferimento di corrente
Decrease of current transfer ratio
Tab. C.9 Filters Filtri

a) Crystal a) Cristallo di quarzo
Interruzione
Interruption
Cortocircuito
Short-circuit
Modifica della frequenza di risonanza
Change of resonant frequency
Riduzione del fattore Q
Decrease of Q-factor
Cortocircuito al contenitore conduttive
b) Mechanical resonator (turning fork/reed/ b) Risonatore meccanico (diapason/lamel-

pendulum) la/pendolo)
Interruzione
Interruption
tra ingresso e uscita
(*) Note_Notes 30
between input and output
tra ingresso o uscita ed il contenitore
(*) Note_Notes 30
between input or output and case
Modifica della frequenza di risonanza (*) Note_Notes 31
Change of resonant frequency
Aumento del rapporto di trasferimento (*) Note_Notes 32 e_and 33
Increase of transfer ratio
Riduzione del rapporto di trasferimento
Decrease of transfer ratio
Aumento del fattore Q (*) Note_Notes 33
Increase of Q-factor
Riduzione del fattore Q (*) Note_Notes 31 e_and 34
Decrease of Q-factor
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 98 di 130
Tab. C.10 Interconnection assemblies Assemblaggi di collegamento
a) Printed-circuit board a) Circuito stampato
Interruzione o aumento della resistenza di una o più piste

Interruption or increase of resistance in one or more lines
Cortocircuito o riduzione dell’isolamento tra due diverse piste (*) Nota_Note35
Short-circuit or decrease of insulation between two different lines
b) Connector b) Connettore
Interruzione di
Interruption of
uno o più contatti
one or more contacts
schermo
shield
tra contatto e contatto

(*) Note_Notes 35 e_and 36
tra contatto e guscio
(*) Note_Notes 35 e_and 36
between contact and shell
Errato posizionamento meccanico (*) Nota_Note 37
Wrong mechanical position
c) Cable and wire c) Cavi e fili
Interruzione o aumento della resistenza di uno o più fili

Interruption or increase of resistance in one or more wires
Interruzione o aumento della resistenza dello schermo (*) Nota_Note 38
Interruption or increase of resistance of screen
tra due o più fili
(*) Nota_Note 39
between wire and wire, or more than one wire
tra uno o più fili e lo schermo
(*) Nota_Note 39
between wire or wires and screen
tra uno o più fili o lo schermo e le parti conduttrici esterne
(*) Nota_Note 39
between wire or wires or screen and external conductive parts
Interruzioni e cortocircuitati multipli (*) Nota_Note 39
Multiple interruptions and short-circuits
d) Connection - soldered, welded, wrapped, d) Collegamento - saldato, incollato, arrotola-

crimped, clipped, screwed to, pressato/agganciato a molletta, avvitato
Interruzione
Interruption
Aumento della resistenza
Increase of resistance
e) Fibre-optic cable e) Cavo a fibra ottica
Interruzione
Interruption
Aumento dell’attenuazione
Increase of attenuation
f) Fibre-optic connector f) Connettore a fibra ottica
Interruzione
Interruption
Aumento dell’attenuazione
Increase of attenuation
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 99 di 130
Tab. C.11 Fuses Fusibili
Interruzione
Interruption
Cortocircuito parallelo (*) Nota_Note 40
Parallel short-circuit
Aumento del valore della corrente di rottura (*) Nota_Note 40
Increase of rupture current
Aumento del tempo di rottura (*) Nota_Note 40
Increase of rupture time
Riconnessione dopo una rottura (*) Nota_Note 40
Reconnection after rupture
Tab. C.12 Switches and push/pull buttons Interruttori e pulsanti
Interruzione di ogni contatto

Interruption of any contact

attraverso i contatti aperti
(*) Nota_Note 20
across open contacts
tra contatti
(*) Nota_Note 20
tra contatto e contenitore
(*) Nota_Note 20
between contact and case
Incollaggio dei contatti (*) Nota_Note 21
Welding of contacts
Aumento della resistenza dei contatti
Increase of contact resistance
Dispositivo bloccato nella posizione attuale
Device jammed in current state
Rimbalzo del contatto
Contact chatter
Tab. C.13 Lamps Lampade
Interruzione
Interruption
Cortocircuito
Short-circuit
Riduzione dell’intensità luminosa
Decrease of light intensity
Tab. C.14 Batteries Batterie
Interruzione
Interruption
Cortocircuito
Short-circuit
di un elemento
of individual cell
di più elementi
of multiple cells
dell’intera batteria
of whole battery
Riduzione della f.e.m.
Decrease of e.m.f.
Aumento della resistenza interna
Increase of internal resistance
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 100 di 130
Tab. C.15 Transducers/sensors (not including those with in- Trasduttori/captatori (non includendo quelli dotati di
ternal electronic circuitry) un circuito elettronico integrato)
Interruzione
Interruption
Cortocircuito
Short-circuit
Uscita troppo alta
Output too high
Uscita troppo bassa
Output too low
Tempo di risposta troppo lungo
Time response too long
Tab. C.16 Integrated circuits Circuiti integrati

a) Analogue devices a) Circuiti analogici
Malfunzionamento funzionale: vedi C.3

Functional malfunction: see C.3
b) Digital devices b) Circuiti digitali

c) Microprocessors c) Microprocessori

NORMA TECNICA
CEI EN 50129:2004-01
Pagina 101 di 130
ANNEX/ALLEGATO
informative
D informativo SUPPLEMENTARY TECHNICAL INFORMATION INFORMAZIONI TECNICHE SUPPLEMENTARI
D.1 Introduction Introduzione

This annex provides examples and guidance to Questo allegato presenta esempi e consigli per in-
supplement the technical requirements con- tegrare i requisiti tecnici del punto 5.4 e dell’Alle-
tained in 5.4 and Annex B of this standard. The gato B della presente Norma. I requisiti indicati
given requirements are only valid for SIL 3 or sono validi esclusivamente per il SIL 3 oppure per
SIL 4. il SIL 4.
D.2 Achievement of physical internal independence Ottenimento dell’indipendenza fisica interna

(Protection against influences of Type A, as referred to in (Protezione dalle influenze del Tipo A, come indicato al
B.3.2) punto B.3.2)
D.2.1 Primary independence Indipendenza primaria

The following measures provide “primary inde- Le seguenti misure consentono di ottenere una
pendence” between two items whose simulta- “indipendenza primaria” tra due unità il cui mal-
neous malfunction could be hazardous: funzionamento contemporaneo può dar luogo a

una situazione pericolosa:
1) measures to avoid non-intentional gal- 1) misure volte ad evitare i collegamenti gal-
vanic connections (protection of internal vanici involontari (protezione dell’isola-
galvanic insulation) mento galvanico interno)
a) Insulation between lines on the same a) Isolamento tra le piste di uno stesso strato
layer of a printed-circuit board. di scheda di circuito stampato.
Insulation distances (creepage distances Le distanze d’isolamento (distanze d’isola-
and clearances) should be dimensioned mento superficiali e in aria) dovrebbero
at least according to the requirements essere dimensionate almeno in conformi-
for re-inforced insulation of EN 50124-1. tà alle raccomandazioni sul rafforzamento
dell’isolamento della EN 50124-1.
b) Insulation between lines on different lay- b) Isolamento tra le piste situate su strati di-
ers of a multilayer printed-circuit board. versi di una scheda stampata a più strati.
c) Insulation between insulated wires in c) Isolamento tra i fili isolati di uno stesso
the same cable. cavo.
d) Insulation between insulated windings d) Isolamento tra gli avvolgimenti isolati
in the same transformer. all’interno dello stesso trasformatore:
Maximum temperature inside transform- La temperatura massima all’interno dei
ers should be limited (including fault trasformatori deve essere limitata (anche
conditions), to avoid carbonisation. in caso di guasti), allo scopo di evitare la
carbonizzazione.
e) Insulation between insulated items in- e) Isolamento tra unità isolate all’interno di
side an opto-coupler. un accoppiatore ottico.
Maximum temperature inside opto-cou- Si raccomanda di limitare la temperatura
plers should be limited (including fault massima all’interno degli accoppiatori ot-
conditions), to avoid carbonisation. tico-elettronici (anche in caso di guasti),
allo scopo di evitare la carbonizzazione.
2) measures to avoid non-intentional ef- 2) misure volte a evitare gli effetti involonta-
fects via intentional connections (pro- ri provocati dai collegamenti previsti
tection of internal interfaces) (protezione delle interfacce interne)
Interfaces should be protected by means of Le interfacce dovrebbero essere protette tra-
devices with inherent properties. mite dispositivi dotati di proprietà intrinseche.
3) measures to avoid non-intentional ef- 3) misure volte a evitare gli effetti involontari
fects via electromagnetic coupling provocati da un accoppiamento elettroma-
(protection against internal cross-talk) gnetico (protezione contro la diafonia interna)
Cross-talk between electronic networks La diafonia tra reti elettroniche digitali do-
should be prevented as follows: vrebbe essere evitata nei seguenti modi:
a) if different items are on the same print- a) se sulla stessa scheda di circuito stampato
ed-circuit board, they should be sup- si trovano più unità, è preferibile alimen-
plied by different power-supply net- tarle con reti d’alimentazione separate. Se
works. If not, then the impedance of questo non avviene, è opportuno che
the ground network should be suffi- l’impedenza del circuito di terra sia suffi-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 102 di 130
ciently low to avoid cross-talk, even in cientemente bassa da impedire il fenome-
the event of faults; no della diafonia, anche in caso di guasto.
b) if different lines on the same board b) se più linee sulla stessa scheda richiedono
need to be protected against cross-talk una protezione contro i fenomeni di dia-
occurring between them, the necessary fonia che si verificano tra di esse, la di-
separation distance depends on the stanza di separazione necessaria dipende
used technology, the coupling length dalla tecnologia utilizzata, dalla lunghezza
and the coupling mechanism. This dis- di accoppiamento e dal meccanismo di
tance should be demonstrated for the accoppiamento. Questa distanza dovreb-
normal operational mode by theoreti- be essere dimostrata, per il modo di nor-
cal calculations and/or by practical male esercizio, con calcoli teorici e/o con
measurements; misure pratiche.
c) if necessary to avoid coupling in the c) se è necessario evitare gli accoppiamenti
event of faults, additional measures (for in caso di guasto, è opportuno adottare
example, shielding or doubling of dis- misure supplementari (per esempio,
tance) should be taken. Effectiveness schermando, o raddoppiando la distanza
should be demonstrated by theoretical d’isolamento). L’efficacia dovrebbe esse-
calculations and/or by practical meas- re dimostrata sulla base di calcoli teorici
urements. e/o con misure pratiche.
D.2.2 Secondary independence Indipendenza secondaria

The following measures provide “secondary in- Le misure seguenti assicurano una “indipendenza
dependence” between two items whose simul- secondaria” tra due unità il cui malfunzionamento
taneous malfunction could not be hazardous: contemporaneo non può dar luogo a una situa-
zione pericolosa.
1) each item in a n-out-of-m system may con- 1) ogni unità di un sistema “n su m” può essere
sist of a number of independent items; composta da un certo numero di unità indi-
pendenti;
2) independence of two items whose simulta- 2) l’indipendenza delle due unità il cui malfun-
neous malfunction could be hazardous is zionamento contemporaneo può provocare
achieved as written in D.2.1 (primary inde- una situazione pericolosa si ottiene in confor-
pendence). These items will be referred to mità con il punto D.2.1 (indipendenza di pri-
as “main items”. Each main item can have mo livello). Queste unità saranno designate
one or more so called “additional items” come “unità principali”. Ogni unità principale
checking the main item; può avere una o più “unità supplementari”
che servono a controllarla;
3) the degree of independence between a 3) il grado di indipendenza tra un’unità principa-
main item and an additional item may be le e un’unità supplementare può essere infe-
less than written in D.2.1 and is called “sec- riore a quanto scritto nel punto D.2.1. ed è
ondary independence”; chiamata “indipendenza secondaria”;
4) main items are independent from additional 4) le unità principali sono indipendenti da quel-
items if all possible first-fault-effected influ- le supplementari, se tutte le influenze tra di
ences between them are detected before they esse dovute ad un primo guasto sono indivi-
can become hazardous through further faults; duate prima che possano diventare pericolose
tramite altri guasti;
5) the following simplifications to D.2.1 are al- 5) per l’indipendenza secondaria, sono consenti-
lowed for secondary independence: te le seguenti semplificazioni del punto D.2.1:
insulation distances (creepage distances e distanze d’isolamento (distanze superficia-
and clearances) should be dimensioned li e in aria) dovrebbero essere dimensionate
at least according to the requirements for almeno secondo i requisiti per l’isolamento
basic insulation of EN 50124-1; di base della EN 50124-1;
protecting devices do not require inher- non sono necessarie proprietà intrinseche
ent properties. (Only a second fault per i dispositivi di protezione. (Solo un
may be able to inhibit the independ- secondo guasto può essere in grado di
ence between a main item and an addi- impedire l’indipendenza tra un’unità prin-
tional item); cipale e un’unità supplementare);
at least the power-supply network for come descritto in questo paragrafo do-
the voltage-monitoring (additional item) vrebbero come minimo essere separare la
should be separated from the pow- rete di alimentazione del sistema di con-
er-supply network for the monitored trollo della tensione (unità aggiuntiva)
main item as written in this paragraph. dalla rete di alimentazione dell’unità prin-
cipale controllata.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 103 di 130
D.3 Achievement of physical external independence Ottenimento dell’indipendenza fisica esterna
(Protection against influences of type C, as referred to in (Protezione dalle influenze del Tipo C, come indicato al
B.3.2) punto B.3.2)
The following measures provide physical exter- Le seguenti misure assicurano l’indipendenza fisi-
nal independence: ca esterna:
1) measures should be taken to avoid non-in- 1) si dovrebbero adottare misure atte ad evitare ef-
tentional effects by EMI/ESD disturbing cor- fetti involontari dovuti ad interferenze elettro-
rect operation, in accordance with magnetiche (EMI) oppure a scariche elettrostati-
EN 50121-4; che (ESD) che perturbano il normale esercizio,
in conformità con la EN 50121-4;
2) the specified climatic conditions should 2) le condizioni climatiche indicate dovrebbero
normally be complied with. Measures normalmente essere osservate. Dovrebbero
should be taken to minimise the risk of the essere adottate misure per ridurre al minimo il
system being operated outside its specified rischio di un esercizio del sistema al di fuori
climatic conditions; delle sue condizioni climatiche specificate;
3) measures to avoid non-intentional effects 3) misure per evitare effetti involontari prodotti
by mechanical stresses disturbing the cor- da sollecitazioni meccaniche che perturbino il
rect operation: normale esercizio:
a) measures should be taken to ensure relia- a) si dovrebbero adottare misure per assicura-
ble correct operation in spite of mechani- re un esercizio affidabile e corretto, anche
cal stress-conditions agreed between the in presenza di condizioni di sollecitazioni
railway authority and supplier; meccaniche, concordate tra l’Autorità Ferro-
viaria e il fornitore;
b) protection should be compliant with b) la protezione deve essere conforme alle
EN 50125-1 and/or EN 50125-3 as ap- norme EN 50125-1 e/o EN 50125-3, a se-
propriate; conda dei casi;
4) measures should be taken to ensure reliable 4) dovrebbero essere adottate misure per assicu-
correct operation in spite of chemical rare un esercizio affidabile, anche in presenza
stress-conditions agreed between the rail- di condizioni di sollecitazione chimica con-
way authority and supplier; cordate tra l’Autorità Ferroviaria e il fornitore;
5) measures should be taken to avoid non-in- 5) dovrebbero essere adottate misure per evitare
tentional operation under non-permitted la messa in funzione involontaria, con tensio-
power-supply voltages (protection of sup- ni d’alimentazione non permesse (protezione
ply-voltages): delle tensioni d’alimentazione):
a) non-permitted supply voltages (outside a) le tensioni di alimentazione non permesse
data-sheet values for supplied sys- (al di fuori dei valori indicati sulle schede
tems/equipments/components) should tecniche relative ai sistemi, alle apparecchia-
be disclosed by voltage-monitoring trig- ture o ai componenti alimentati) dovrebbe-
gering a safe state before hazardous sit- ro essere individuate da un dispositivo di
uations are possible; controllo della tensione elettrica, che provo-
chi uno stato di sicurezza prima che possa-
no verificarsi situazioni di pericolo;
b) voltage-monitoring should operate cor- b) il dispositivo di controllo della tensione elet-
rectly for the whole life-cycle. Volt- trica dovrebbe poter funzionare corretta-
age-monitoring redundancy may be mente per tutta la durata del ciclo di vita. Se
necessary if disclosure of voltage-moni- l’individuazione dei guasti da parte del di-
toring faults is not possible; spositivo di controllo della tensione non è
possibile, può essere necessaria una ridon-
danza del dispositivo di controllo della ten-
sione;
6) measures should be taken to avoid non-in- 6) si dovrebbero adottare misure per evitare gli
tentional hazardous effects caused by exter- effetti pericolosi involontari dovuti a tensioni
nal voltages across input and output ports esterne tra i morsetti d’ingresso e di uscita,
disturbing the correct operation (protection che disturbano il normale funzionamento
of external interfaces): (protezione delle interfacce esterne):
a) worst-case external voltages should be a) dovrebbero essere ipotizzate le tensioni
assumed (process-voltages and all pos- esterne del caso più sfavorevole (tensioni di
sible EMI-induced voltages on cables funzionamento e ogni tensione possibile in-
and lines); dotta da interferenze elettromagnetiche sui
cavi e sulle linee);
b) clearances between live parts and ex- b) le distanze d’isolamento tra le parti sotto
posed conductive parts/earth/circuits tensione e le parti /la terra /i circuiti condut-
whose correct operation needs to be tori esposti, il cui corretto funzionamento ri-
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 104 di 130
protected should be dimensioned ac- chiede una protezione, dovrebbero essere
cording to surge voltages specified in dimensionate in base alle sovratensioni im-
EN 50124-1; pulsive specificate dalla EN 50124-1;
c) creepage distances between live parts c) le distanze d’isolamento superficiale tra le
and exposed conductive parts/earth/cir- parti sotto tensione e le parti /la terra /i cir-
cuits whose correct operation needs to cuiti conduttori esposti, il cui corretto funzio-
be protected should be dimensioned namento richiede una protezione, dovrebbe-
according to EN 50124-1 and according ro essere dimensionate conformemente alle
to maximum rated r.m.s. voltages dur- prescrizioni della EN 50124-1 e conforme-
ing operation; mente ai livelli massimi di tensioni efficaci
nel corso del funzionamento;
d) for dimensioning insulation, the larger d) per quanto riguarda il dimensionamento
distance (clearance or creepage dis- dell’isolamento, è decisiva la distanza mag-
tance) is decisive. giore (distanza d’isolamento superficiale e in
aria).
D.4 Example of a method for single-fault analysis Esempio di metodo di individuazione di un

(As referred to in B.3.3 of this standard) guasto singolo (Come indicato al punto B.3.3)
Notes/Note: 1 The information for the following paragraphs 1-6 is de- 1 Le informazioni dei seguenti paragrafi da 1 a 6 sono de-
rived from CENELEC paper CLC/SC9XA(SEC)114 “Cal- dotte dal documento CENELEC CLC/SC9XA(SEC)114 “Cal-
culation with Mü 8004 formulas”. coli con le formule Mü 8004”.
1) Depending on the sum “a” of the failure 1) In base alla somma “a” dei tassi di malfunziona-
rates of the items whose simultaneous mal- mento delle unità il cui malfunzionamento con-
functioning could be hazardous, the detec- temporaneo può provocare una situazione peri-
tion-plus-negation time tsf of single faults in colosa, il tempo di rilevamento e di negazione
the respective items should not exceed the tsf dei guasti singoli nelle rispettive unità non
value: dovrebbe superare il seguente valore:
k
t sf ≤
1000 × a
k = 1 for a 2 out of 2 system; k = 1 per un sistema “2 su 2”;
k = 0,5 for a 2 out of 3 system. k = 0,5 per un sistema “2 su 3”.
2) The failure rates mentioned in paragraph 1) 2) I tassi di malfunzionamento indicati nel para-
above are to be determined as a function of grafo 1) precedente devono essere determina-
the stress profile dependent on the environ- ti in funzione del profilo delle sollecitazioni
mental conditions during operation. The che dipende dalle condizioni ambientali du-
stress profile depends on the application. A rante il funzionamento. Il profilo delle solleci-
simplified stress profile may be taken as a tazioni dipende dall’applicazione. È possibile
basis if this has an unfavourable effect on prendere come base di riferimento un profilo
the failure rate. delle sollecitazioni semplificato, se questo
profilo esercita un effetto sfavorevole sui tassi
di malfunzionamento.
3) If within a system, sub-system or equipment 3) Se in un sistema, sottosistema o apparecchia-
comprising several items not all combina- tura composta da più unità, le combinazioni
tions of two failed items would be hazard- di due unità in malfunzionamento non fosse-
ous, the fault detection time may be deter- ro tutte pericolose, il tempo di rilevamento
mined separately for the various dei guasti può essere stabilito separatamente
combinations. If, in this case, different fault per le varie combinazioni. Se in tal caso esi-
detection times result for one item, the stono diversi tempi di rilevamento dei guasti
shortest time is decisive. per una stessa unità, è decisivo il tempo di ri-
levamento più breve.
4) Periodic tests for faults in all items should 4) per individuare i guasti dovrebbero essere ef-
be implemented. The tests should be repre- fettuate su tutte le unità prove periodiche. Le
sentative for all credible faults affecting the prove dovrebbero essere rappresentative di
correct operation, and should be finished tutti i guasti verosimili che possono influire
within a time < tsf. sul corretto funzionamento, e dovrebbero es-
sere ultimate in un tempo < tsf.
Detection of faults in large-scale integrated L’individuazione dei guasti nei circuiti integra-
circuits should be compliant with Table D.1. ti a larga scala dovrebbe essere conforme alle
indicazioni della Tab. D.1.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 105 di 130
5) If a fault-free 2-out-of-n system (n = 2 or 3) 5) Se si interrompe l’alimentazione elettrica di
is disconnected from the power supply, the un sistema “2 su n” (n = 2 o 3), esente da
fault detection may be interrupted. The du- guasti, l’individuazione dei guasti potrebbe
ration of such a service interruption should essere interrotta. La durata di una tale interru-
not exceed the 400-fold value of the fault zione del servizio non dovrebbe superare di
detection time which is permissible accord- 400 volte il valore consentito secondo il pre-
ing to paragraph 1) above. cedente par. 1) per il tempo d’individuazione
dei guasti.
Notes/Note: 2 This is based on the assumption that the 2 Questa regola si fonda sul fatto che l’affidabilità dei
reliability of electronic components is 20 componenti elettronici è 20 volte superiore quando
times better when the equipment is not l’apparecchiatura non è alimentata.
powered.
6) In the case of the fault detection being in- 6) Nel caso in cui il rilevamento dei guasti è in-
terrupted for a longer time than permissible terrotto per una durata superiore a quella am-
according to paragraph 5) above, the sys- missibile secondo il precedente paragrafo 5),
tem/sub-system/equipment may only be il sistema, il sottosistema, o l’apparecchiatura
put into operation again after having been può essere messo di nuovo in servizio solo
checked for multiple faults. dopo che è stato controllato per i guasti mul-
tipli.
Notes/Note: 3 The information for the following para- 3 Le informazioni dei seguenti paragrafi da 7 a 10 sono
graphs 7-10 is derived from Italian Railway dedotte dal documento “Norma tecnica delle ferrovie
Technical Standard for Safety Electronic italiane per i sistemi elettronici di sicurezza (IS 353)”.
Systems (IS 353). This IS 353 complies with Questo documento è conforme alle raccomandazioni
ORE A155.3 recommendation. del documento ORE A 155.3.
7) When the safety-related function is per- 7) Quando la funzione correlata con la sicurezza
formed by a single item the disclosure time è svolta da un’unica unità, il tempo di rileva-
of a wrong side failure tsf is the maximum mento di un malfunzionamento pericoloso tsf
total time to detect and react in a safe way è pari al tempo massimo totale di rilevamento
to a single fault. The disclosure time shall e di reazione in modo sicuro per un guasto
not exceed the specified limit for the dura- singolo. Il tempo di rilevamento non deve su-
tion of any hazardous condition. In order to perare i limiti specificati per la durata di ogni
avoid any hazardous condition this duration condizione pericolosa. Per evitare il verificarsi
must be less than the required response di condizioni pericolose, tale durata deve es-
time of the equipment to be controlled (by sere inferiore al tempo di risposta dell’appa-
means of the single item system). recchiatura che deve essere controllata (per
mezzo del sistema di singola unità).
8) The response time depends on the kind of 8) Il tempo di risposta dipende dal tipo d’appa-
the equipment to be controlled and there- recchiatura da controllare, e quindi dipende
fore it is application dependent. dall’applicazione.
For example the tsf could assume the fol- Per esempio, il tempo tsf potrebbe assumere il
lowing values: valore seguente:
tsf < 100 ms, if the equipment to be con- tsf < 100 ms, se l’apparecchiatura oggetto
trolled is a signalling relay. del controllo è un relé di se-
gnalamento.
9) During the time tsf the first safety related 9) Nel tempo tsf deve essere individuato il primo
failure must be detected and it must trigger malfunzionamento contrario alla sicurezza ed
a safety reaction. esso deve provocare una reazione di sicurezza.
10) Periodic tests for faults should be imple- 10) Nel caso di un’unica unità, si dovrebbero effet-
mented in the single item case. The tests tuare prove periodiche per i guasti. Le prove
should be representative for all faults affect- dovrebbero essere rappresentative di tutti i mal-
ing the correct operation, and should finish funzionamenti che possono influenzare il rego-
within a time < tsf. lare funzionamento, e dovrebbero essere com-
pletate entro un tempo < tsf.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 106 di 130
D.5 Example of a method for multiple-fault analysis Esempio di un metodo d’analisi dei guasti
(As referred to in B.3.5) multipli (Come indicato al punto B.3.5)
Note/Nota The information for the following paragraphs 1-2 is derived Le informazioni dei seguenti paragrafi 1 e 2 sono dedotte dal
from CENELEC paper CLC/SC9XA(sec)114 “Calculation with documento CENELEC CLC/SC9XA(SEC)114 “Calcoli con le for-
Mü 8004 formulas”. mule del Mü 8004”.
1) Double fault which could be hazardous if 1) Guasto doppio che può essere pericoloso se
combined with a third fault. combinato con un terzo guasto.
a) If the timely detection-plus-negation of a) Se in una unità l’individuazione di un
a fault in one item is impossible or un- guasto e la sua negazione non sono pos-
suitable, the chance occurrence of a fur- sibili nei tempi previsti, oppure se sono
ther fault in a second item should be inadeguati, è opportuno tener conto della
taken into account. probabilità che si verifichi un altro guasto
in una seconda unità.
b) It is necessary that simultaneous faults b) Guasti che si producono contemporanea-
in two items are non-hazardous. This mente in due unità non devono essere
means that at least three independent pericolosi. Ciò significa che sono necessa-
items are necessary. They are connect- rie almeno tre unità indipendenti. Esse
ed such that only the malfunction of devono essere collegate in modo tale che
three items could be hazardous, as in a una situazione pericolosa possa verificarsi
3 out of 3-system. solo in caso di malfunzionamento di tutte

e tre le unità, come avviene in un sistema
“3 su 3”.
c) Depending on the sum “a” of the failure c) In base alla somma “a” dei tassi di mal-
rates of at least three items, whose si- funzionamento di almeno tre unità, il cui
multaneous malfunction could be haz- malfunzionamento contemporaneo può
ardous, the detection-plus-negation creare una situazione pericolosa, è oppor-
time tdf for double faults should not ex- tuno che il tempo di rilevamento e di ne-
ceed the value: gazione tdf, relativo ai guasti doppi, non
sia superiore al seguente valore:
2
t df ≤
a
d) The failure rates mentioned in c) should d) I tassi di malfunzionamento menzionati nel
be determined as a function of the paragrafo c) dovrebbero essere determinati
stress profile dependent on the environ- in funzione del profilo delle sollecitazioni
mental conditions during operation. che dipende dalle condizioni ambientali du-
The stress profile depends on the appli- rante l’esercizio. Il profilo delle sollecitazio-
cation. A simplified stress profile may ni dipende dall’applicazione. Si può utilizza-
be taken as a basis if this has an unfa- re come base di riferimento un profilo delle
vourable effect on the failure rate. sollecitazioni semplificato, se questo profi-
lo esercita un effetto sfavorevole sul tasso di
malfunzionamento.
e) If within a system, sub-system or equip- e) Se in un sistema, sottosistema o apparec-
ment comprising several items not all chiatura comprendenti più unità, non tut-
combinations of three failed items te le combinazioni delle tre unità malfun-
would be hazardous, the fault detection zionanti sono pericolose, il tempo
time may be determined separately for d’individuazione dei guasti può essere de-
the various combinations. If, in this terminato separatamente per le diverse
case, different fault detection times re- combinazioni. Se, in tal caso, risultano
sult for two items, the shortest time is tempi di individuazione dei guasti diffe-
decisive. renti per due unità, si deve scegliere il
tempo più breve.
2) Triple fault which could be hazardous if 2) Guasto triplo che può provocare una situazio-
combined with a fourth fault. ne pericolosa se in combinazione con un
quarto guasto.
a) If the timely detection-plus-negation of a) Se il rilevamento e la negazione di un
a double fault in two items is impossi- guasto doppio in due unità non sono pos-
ble or unsuitable, the chance occur- sibili nei tempi previsti, oppure se sono
rence of a further fault in a third item inadeguate, si deve tener conto della pos-
should be taken into account. sibilità che si verifichi un altro guasto in
una terza unità.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 107 di 130
b) It is necessary that simultaneous faults b) Guasti che si verificano contemporanea-
in three items be non-hazardous. This mente in tre unità non devono essere pe-
means that at least four independent ricolosi. Ciò significa che sono necessarie
items are necessary. They are connect- almeno quattro unità indipendenti. Esse
ed such that only the malfunction of devono essere collegate in modo tale che
four items could be hazardous, as in a 4 solo un malfunzionamento delle quattro
out of 4-system. unità potrebbe costituire una situazione
pericolosa, come avviene in un sistema “4
su 4”.
c) Measures for detection of triple faults, c) Non sono richieste misure d’individuazio-
over and above the operational data ne dei guasti tripli oltre al flusso di dati
flow and the tests during maintenance, operativo ed alle prove durante la manu-
are not required if the failure rate “a” tenzione, se il tasso di malfunzionamento
does not exceed the value: “a” non supera il seguente valore:
a ≤ 2 × 10–4 h–1
d) The failure rate “a” is the sum of the d) Il tasso di malfunzionamento “a” è pari
failure rates of those items whose simul- alla somma dei tassi di malfunzionamento
taneous malfunction could be hazard- delle unità il cui contemporaneo malfun-

ous (quadruple fault). zionamento può provocare una situazione
pericolosa (guasto quadruplo).
3) Coherently with Note 3 of D.4 it must not 3) In conformità con la Nota 3 del punto D.4,
be possible for further failures to cancel out non deve essere possibile che ulteriori mal-
a safe reaction. This could be allowable funzionamenti inibiscano una reazione di si-
only in a controlled manner as part of cor- curezza. Questo dovrebbe essere ammissibile
rective maintenance actions which must be solamente in maniera controllata come parte
executed when the faulty section of the delle operazioni di manutenzione correttiva,
item is off-line. che devono essere eseguite quando la parte
guasta dell’unità è fuori servizio.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 108 di 130
– BLANK PAGE – – PAGINA BIANCA –
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 109 di 130
Fig. D.1 Example of a fault analysis method
START
At least NO
2 independent
items?
A single fault
could be
hazardous
A single fault
is non-hazardous
reactive NO
fail safety
NO ?
2 out of 2 ?
YES
YES NO
3 out of 3 ?
A second fault could be

YES
hazardous Conditions in
Conditions in
4 out of 4 annex D.4
annex C.4
(7-10)
need to be
need to be
A third fault fulfilled
fulfilled
could be
Conditions in annex D.4 hazardous
(1-6) need to be fulfilled A fourth fault
could be
hazardous
Conditions in
annex D.5(1) and
Conditions in
D.5(3) need to be
annex D.5(2) and
fulfilled
D.5(3) need to be
fulfilled
Are these
NO
conditions
fulfilled?
YES Reject
Accept
END
END
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 110 di 130
Esempio di un metodo d’analisi dei guasti
INIZIO
Almeno 2 entità NO
indipendenti?
Un guasto
semplice
può essere
Un guasto pericoloso
semplice non
è pericoloso
Sicurezza NO
reattiva ?
2 su 2 ? NO
SI
SI NO
3 su 3 ?
Un secondo guasto può

essere pericoloso SI Devono esse- Devono es-
re soddisfatte sere soddi-
4 su 4 ?
le condizioni sfatte le con-
Un terzo guasto del punto D.4 dizioni del
può essere (da 7 a 10) punto C.4
Devono essere soddi-
pericoloso
sfatte le condizioni del Un quarto gua-
punto D.4 (1 - 6) sto può essere
pericoloso
Devono essere
soddisfatte le con- Devono essere
dizioni del punto soddisfatte le con-
D.5 (1) e D.5 (3) dizioni del punto
D.5 (2) e D.5 (3)
Queste
condizioni sono NO
soddisfatte?
Respinto
SI
Accettato
FINE
FINE
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 111 di 130
Tab. D.1 Examples of measures to detect faults in Esempi di misure per rilevare guasti nei circuiti inte-
large-scale integrated circuits by means of period- grati su larga scala tramite una prova periodica
ic on-line testing, with comparison (SW or HW), in on-line, con comparazione (SW oppure HW), in un
a 2-out-of-n system sistema “2 su n”
(Application-independent detection of a first (Deve essere assunto il rilevamento indipendente
fault before a second fault is to be assumed.) dall’applicazione del primo guasto prima del se-
condo).
Componente Difetto Misure

Component Malfunction Measures
1 Unità centrale
CPU
1.1 Registro Per esempio, qualsiasi di- Utilizzando tutti i registri (eccetto i registri d’inizializzazione)
Register pendenza rispetto alle in tutte le configurazioni possibili (combinazioni di dati utili);
combinazioni di bit di dati Using all registers (except initialisation registers) in all possible
(guasto sensibile a una patterns (combinations of data bits).
combinazione) Dopo l’inizializzazione di un registro d’inizializzazione (per
Any, for example dependency esempio il registro dei controlli d’interruzione), la corretta
on combinations of data bits funzione inizializzata deve essere verificata.
(pattern -sensitive fault)
After initialising an initialisation register (e.g. interrupt control

register), the correct initialised function needs to be tested.
I registri superiori agli 8 bit possono essere verificati utiliz-
zando tutte le seguenti combinazioni di bit di dati:
Registers greater than 8 bits may be tested by using all following
combinations of data bits:
..5555....H
OAAAA....H
..3333....H
9999....H
0CCCC....H
6666....H
0000....H
0FFFF....H
0F0F0....H
..0F0F....H
In ogni periodo di prova on-line. Sono necessarie supple-
mentari prove on-line, con tutte le combinazioni di dati utili;
tali prove devono essere distribuite su diversi periodi di pro-
va (impiegando, per esempio, un generatore di numeri alea-
tori).
in each on-line test period. Additional on-line tests with all
combinations of data bits are necessary, distributed over several test
periods (using, for example, a random number generator).
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 112 di 130
Continua_Continued

1.2
Decodifica ed Per esempio, ogni decodi- Utilizzare una istruzione di ogni tipo, da verificare con tutte
esecuzione di fica errata o esecuzione er- le combinazioni di dati utili indicate al punto 1.1.
un’istruzione rata, che influenza dei re- Using one instruction of each type, testing with combinations of data
Instruction decod- gistri oppure delle bits mentioned in 1.1.
ing and execution memorie, secondo le com-
Verificare se tutte le istruzioni utili correlate al sistema sono
binazioni di bit di dati di eseguibili, per ogni condizione, sorgente, destinazione e va-
sorgente e/o di destinazio- lore dei bit di indirizzo (compreso il contatore per il pro-
ne. gramma di caricamento).
Any, for example wrong de- Test of whether all usable system-related instructions are executable,
coding or wrong execution af- for all conditions, sources, destinations and values of address bits
fecting registers or memories, (loading program counter included).
dependent on combinations of
Verificare se tutte le istruzioni utili correlate alle interruzioni
data bits at source and/or des-
del sistema sono eseguibili, in funzione delle interruzioni o
tination.
delle condizioni d’interruzione.

Test of whether all usable system-related Interrupt instructions are
executable, dependent on interrupts or interrupt conditions.
Per verificare tutte le istruzioni utili correlate al sistema, è con-
sentito crearle nella RAM e saltare ad esse per l’esecuzione.
To test all usable system-related instructions, it is permissible to
generate them in RAM and to jump to them for execution.
Dopo il cambiamento del contenuto di almeno un registro
relazionato all’esecuzione, si raccomanda di non limitare la
verifica ai contenuti dei registri interessati, ma anche ai con-
tenuti di tutti gli altri registri.
After execution-related changing of the contents of at least one
register, it is recommended to check not only the contents of
concerned registers but also the contents of all other registers.
1.3 Orologio Frequenza errata Se si utilizzano generatori dei tempi indipendenti per ogni
Clock Wrong frequency canale di calcolo, è allora possibile individuare una frequen-
za errata in un canale a mezzo di comparazione.
If independent clock generators are used for each computing
channel, then wrong frequency in one channel can be detected by
comparison.
In caso di guasti multipli, si può rivelare necessario un con-
trollo supplementare delle frequenze.
In cases of multiple faults, additional frequency monitoring may be
necessary.
1.4 Azzeramento Azzeramenti supplementari Se si utilizzano generatori di azzeramento indipendenti per
Reset oppure assenti ogni canale di calcolo, è possibile individuare un azzeramen-
Additional or no reset(s) to errato in un canale a mezzo di comparazione.
If independent reset-generators are used for each computing
channel, then a wrong reset in one channel can be detected by
comparison.
In caso di guasti multipli, può essere necessario un controllo
supplementare del corretto avvio.
In cases of multiple faults, additional correct-start monitoring may be
necessary.
1.5 Alimentazione Errata tensione d’alimenta- Se si utilizzano alimentazioni elettriche indipendenti per ogni
elettrica zione canale di calcolo, è possibile individuare un’errata tensione
Power supply Wrong supply voltage d’alimentazione in un canale a mezzo di comparazione.
If independent power supplies are used for each computing channel,
then a wrong supply voltage in one channel can be detected by
comparison.
In caso di mancata indipendenza, o di guasti multipli, può
essere necessario un controllo supplementare della tensione.
In cases of no independence, or multiple faults, additional voltage
monitoring may be necessary.
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 113 di 130
Continua_Continued

2 Memoria
Memory
2.1 ROM Tutto/i il/i contenuto/i er- Lettura e comparazione di tutti i contenuti.
ROM rato/i e tutte le decodifiche Reading and comparing all contents
errate dell’/degli indiriz-
zo/i o del/dei segnale/i di
controllo.
Any wrong content(s) and
any wrong decoding of
address(es) or control
signals(s).
2.2 RAM Tutto/i il/i contenuto/i er- Lettura e comparazione di tutti i contenuti.
RAM rato/i dopo la lettura o la Reading and comparing all contents.
scrittura, e tutte le codifi- Prova dei bit di scrittura/lettura/comparazione con tutte le
che errate dell’/degli indi- combinazioni di dati menzionate al punto 1.1.
rizzo/i o del/dei segnale/i Writing/reading/comparing test with all combinations of data bits
di controllo. mentioned in 1.1.
Any wrong content(s) after
reading or writing, and any Verificare se tutte le celle sono indirizzabili (per esempio, ca-
wrong decoding of address(es) ricando una determinata combinazione di bit di dati in una
or control signal(s). cella e leggendo/comparando tutte le altre celle del circuito
integrato in questione). Ripetere la stessa operazione carican-
do la combinazione rovesciata dei bit di dati nella stessa cel-
la. Tutte queste verifiche devono essere ripetute per la cella
successiva, allo stesso modo, e così via, fino a che tutte le
celle contenute in tutti i circuiti integrati della RAM sono uti-
lizzate.
Test whether all cells are addressable (e.g. by loading a particular
combination of data bits into one cell and reading/comparing all
other cells of the concerned chip). The same once more by loading the
inverted particular combination of data bits into the same cell. All
this to be repeated for the next cell in the same manner, and so on
until all cells in all RAM chips are used.
L’ultima prova descritta consente anche di individuare in-
fluenze da parte di ogni bit su ogni altro bit nello stesso cir-
cuito della RAM. Questa prova può essere distribuita su di-
versi periodi di verifica on-line.
The last described test also detects influences from each bit to each
other bit in the same RAM circuit. This test may be distributed over
several on- line test periods.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 114 di 130
ANNEX/ALLEGATO
informative
E informativo TECHNIQUES AND MEASURES FOR TECNICHE E MISURE DA METTERE IN ATTO NEI
SAFETY-RELATED ELECTRONIC SYSTEMS SISTEMI ELETTRONICI DI SEGNALAMENTO
FOR SIGNALLING FOR THE AVOIDANCE OF CORRELATI CON LA SICUREZZA PER EVITARE
SYSTEMATIC FAULTS AND THE CONTROL OF GUASTI SISTEMATICI E CONTROLLARE I
RANDOM AND SYSTEMATIC FAULTS GUASTI SISTEMATICI E CASUALI
Safety Integrity Levels (SIL) are defined at func- I Livelli d’integrità della sicurezza (SIL) sono defi-
tional level for the sub-systems implementing the niti al livello funzionale per i sottosistemi che rea-
functionality. This annex relates architectures, lizzano la funzionalità. Il presente allegato precisa
techniques and measures to avoid systematic le architetture, le tecniche e le metodologie per
faults and control random and systematic faults to evitare i guasti sistematici e controllare i guasti ca-
the different Safety Integrity Levels 1-4. suali e sistematici ai diversi Livelli d’integrità della
sicurezza (SIL) da 1 a 4.
Therefore the following tables describe the vari- Di conseguenza, le seguenti tabelle descrivono le
ous techniques/measures against the 4 SILs. differenti tecniche e metodologie da impiegare
per i quattro SIL.
It is not possible to list all individual causes of È impossibile elencare tutte le singole cause dei
systematic faults during the life-cycle phases, guasti sistematici durante le fasi del ciclo di vita,
because systematic faults have different effects dato che i guasti sistematici hanno effetti diversi
in the different life-cycle phases and measures nelle varie fasi del ciclo di vita e le misure da ap-
are dependent on the application. A quantita- plicare dipendono dall’applicazione. Un’analisi
tive analysis for the avoidance of faults is there- quantitativa per evitare i guasti sistematici non è
fore not possible. quindi possibile.
According to the system life-cycle and the safety Conformemente al ciclo di vita del sistema ed al
management process described in EN 50126 processo di gestione della sicurezza descritto nel-
and referred to in 5.3 of this standard a number la EN 50126 e riportato nel punto 5.3 della pre-
of activities shall be performed at each life-cycle sente Norma, deve essere realizzato un certo nu-
phase. As described in the safety management mero di attività in ogni fase del ciclo di vita.
process the purpose of the process is to reduce Come descritto nel processo di gestione della si-
further the incidence of safety related human curezza, lo scopo di questo processo è di ridurre
errors throughout the life-cycle and thus mini- ulteriormente l’incidenza degli errori umani corre-
mise the residual risk of safety related systemat- lati con la sicurezza nel corso dell’intero ciclo di
ic faults. This includes verification and quality vita e quindi di ridurre al minimo il rischio resi-
assurance processes. The requirements for this duo di guasti sistematici correlati con la sicurezza.
process are listed in I requisiti di questo processo sono elencati nella:
Table E.1: Safety planning and quality assur- Tabella E.1: Attività di assicurazione della quali-
ance activities (referred to in 5.2 tà e di pianificazione della sicurezza
and 5.3.4). (fare riferimento ai punti 5.2 e 5.3.4).
Following the phases 1 to 4 described in Seguendo le fasi da 1 a 4 descritte nella EN 50126:

EN 50126:
Phase 1: Concept Fase 1: Concezione
Phase 2: System definition and application Fase 2: Definizione del sistema e condizioni
conditions d’applicazione
Phase 3: Risk analysis Fase 3: Analisi del rischio
Phase 4: System requirements Fase 4: Requisiti del sistema
the results shall be documented in the System i risultati devono essere documentati nella Specifi-
Requirements Specification, which shall take acca dei Requisiti del Sistema, che deve tener conto
count of the techniques/measures in delle tecniche/metodologie della
Table E.2: System requirements specification Tabella E.2: Specifica dei Requisiti del Sistema
(referred to in 5.3.6). (fare riferimento al punto 5.3.6)
During the preparation of a Safety Plan the safe- Durante l’elaborazione del Piano della Sicurezza,
ty management structure shall be identified. deve essere identificata la struttura della gestione
Supporting information is given in: della sicurezza. Informazioni sono fornite nella:
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 115 di 130
Table E.3: Safety organisation (referred to in Tabella E.3: Organizzazione della sicurezza (fare
5.3.3). riferimento al punto 5.3.3)
During the life-cycle phase design and imple- Nel corso della fase di progettazione e di realizza-
mentation (phase 6) the system architecture de- zione del ciclo di vita (fase 6), la descrizione
scription shall be documented with considera- dell’architettura del sistema deve essere docu-
tion to: mentata tenendo in considerazione la
Table E.4: Architecture of system/sub-sys- Tabella E.4: Architettura del sistema/sottosiste-
tem/equipment (referred to in 5.4). ma/apparecchiatura (fare riferimento
al punto 5.4)
For the avoidance and control of faults caused by: Per evitare e controllare i guasti provocati da:
any residual design faults, ogni residuo guasto di progettazione,
environmental conditions, le condizioni ambientali,
misuse or operating mistakes, gli errori di utilizzazione o di esercizio,
any residual faults in the software, ogni residuo guasto nel software,
human factors, i fattori umani
techniques/measures for design features are le tecniche/metodologie per le caratteristiche di

given in progettazione sono indicate nella
Table E.5: Design features (referred to in 5.4). Tabella E.5: Caratteristiche progettuali (fare riferi-
mento al punto 5.4)
According to the design features the analysis of In conformità con le caratteristiche progettuali,
effects of faults has to identify RAM and safety l’analisi degli effetti dei guasti deve identificare i
constraints on hardware and software using vincoli RAM e di sicurezza su hardware e softwa-
RAMS analysis and the failure modes in An- re impiegando le analisi RAMS e i modi di mal-
nex C. funzionamento dell’Allegato C.
Methods to identify and evaluate the effects of Metodi per identificare e valutare gli effetti dei
faults are given in guasti sono forniti nella
Table E.6: Failure and hazard analysis methods Tabella E.6: Metodi di analisi delle situazioni pe-
(referred to in 5.4). ricolose e dei malfunzionamenti (fa-
re riferimento al punto 5.4)
Whatever the design method is, it shall have the Qualunque sia il metodo di progettazione, esso
following features: deve possedere le seguenti caratteristiche:
clear and precise documentation; chiara e precisa documentazione;
clear and precise expression of functionality; chiara e precisa indicazione delle funzionalità;
transparency, modularity and traceability; trasparenza, modularità e tracciabilità;
technological and time-related information; informazioni tecnologiche e correlate con il
tempo;
testability during verification and validation. testabilità durante la verifica e la validazione.
Techniques/measures are given in Tecniche e metodologie sono fornite nella

Table E.7: Design and development of sys- Tabella E.7: Progettazione e sviluppo del sistema
tem/sub-system/equipment (referred /sottosistema/apparecchiatura (fare
to in 5.3.7). riferimento al punto 5.3.7).
The intended design shall be documented with Il progetto deve essere documentato facendo rife-
reference to rimento alla
Table E.8: Design phase documentation (re- Tabella E.8: Documentazione della fase di proget-
ferred to in 5.2). tazione (fare riferimento al punto 5.2)
and validated against the techniques/measures in e validato rispetto alle tecniche/metodologie della
Table E.9: Verification and validation of the Tabella E.9: Verifica e validazione della progetta-
system and product design (referred zione del prodotto e del sistema (fare
to in 5.3.9). riferimento al punto 5.3.9).
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 116 di 130
Using the Hazard Log, a validation test report Sulla base del Registro delle situazioni pericolose,
shall be established including: deve essere redatto un Rapporto di prova di vali-
dazione che includa:
the version of the test specification used, la versione delle specifiche di prova utilizzate,
the version of element (HW and SW) used, la versione degli elementi hardware e softwa-
re utilizzati (HW e SW),
the tools and equipment used, gli strumenti e le attrezzature utilizzate,
the result of each test, i risultati di ogni prova,
any discrepancy between expected and ac- ogni differenza tra i risultati previsti e i risulta-
tual results, ti effettivi,
the analysis made and the decision taken in le analisi effettuate e le decisioni prese in
the case of discrepancy. caso di constatazione di differenze.
The results of the design/development phase I risultati della fase di progettazione/sviluppo e

and of the safety case will lead to application, l’Istruttoria per la Sicurezza devono portare all’ela-
operation and maintenance procedures which borazione di procedure di applicazione, d’esercizio
shall be documented taking into account the e di manutenzione che devono essere documentate
techniques/measures in tenendo conto delle tecniche/metodologie della
Table E.10: Application, operation and mainte- Tabella E.10: Applicazione, esercizio e manuten-
nance (referred to in 5.3.12 and zione (fare riferimento ai punti
5.4). 5.3.12 e 5.4)
With each technique or measure in these tables Per ogni tecnica o metodologia indicata in queste
there is a recommendation for each Safety In- tabelle, c’è una raccomandazione per ogni Livello
tegrity Level (SIL) 1 to 4. di Integrità della Sicurezza (SIL da 1 a 4).
“HR” This symbol means that the measure or “HR” Questo simbolo significa che la metodolo-
technique is Highly Recommended for gia o tecnica è Altamente Raccomandata
this safety integrity level. If this tech- per questo Livello di Integrità della Sicurez-
nique or measure is not used the ration- za. Se questa tecnica o metodologia non è
ale behind not using it shall be detailed. impiegata le ragioni relative del non uso
devono essere spiegate.
“R” This symbol means that the measure or “R” Questo simbolo significa la metodologia o
technique is Recommended for this safe- tecnica è Raccomandata per questo Livello
ty integrity level. di Integrità della Sicurezza.
“-” This symbol means that the technique or “-” Questo simbolo significa che l’uso della
measure has no recommendation for or tecnica o metodologia non è né raccoman-
against being used. data né sconsigliata.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 117 di 130
Tab. E.1 Safety planning and quality assurance activities Attività di assicurazione della qualità e di pianifica-
(referred to in 5.2 and 5.3.4) zione della sicurezza (fare riferimento ai punti 5.2 e 5.3.4)
Tecniche/Misure SIL 1 SIL 2 SIL 3 SIL 4

Techniques/Measures
1 Liste di controllo R: liste di controllo delle attività e dei R: liste di controllo delle attività e
Checklists punti da produrre dei punti da produrre
checklist of activities and items to be pro- checklist of activities and items to
duced be produced
2 Controllo delle mansioni R HR
Audit of tasks
3 Ispezione delle versioni e HR: documenti concordati tra l’Autorità HR: tutti i documenti
della documentazione Ferroviaria/l’Autorità di Sicurezza e all documents
Inspection of issues of docu- l’industria
mentation documents agreed between railway/safe-
ty authority and industry
4 Revisione successiva alla HR
modifica del Piano della Si-
curezza
Review after change in the
safety plan
5 Revisione del Piano della HR
Sicurezza dopo ogni fase
per la sicurezza del ciclo di
vita
Review of the safety plan after
each safety life-cycle phase
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 118 di 130
Tab. E.2 System requirements specification (referred to in 5.3.6) Specifica dei requisiti del sistema (fare riferimento al
punto 5.3.6)

Techniques/Measures
1 Separazione dei sistemi R: interfacce ben definite tra i sistemi cor- HR: interfacce ben definite tra i sistemi
correlati con la sicurezza relati con la sicurezza e i sistemi non correlati con la sicurezza e i siste-
dai sistemi non correlati correlati con la sicurezza (SRS) mi non correlati con la sicurezza
con la sicurezza well defined interfaces between Safety-Re- (SRS) e analisi delle interfacce
Separation of Safety-Relat- lated Systems and Non Safety-Related Sys- well defined interfaces between Safe-
ed Systems from Non Safe- tems (SRS) ty-Related Systems and Non Safe-
ty-Related Systems ty-Related Systems (SRS) and inter-
face analysis
2 Descrizione grafica che HR HR
include, per esempio, i
diagrammi a blocchi
Graphical description in-
cluding for example block
diagrams
3 Specifiche strutturate HR: separazione gerarchica manuale in HR: separazione gerarchica che uti-
Structured Specification sotto-mansioni, descrizione delle in- lizzi i metodi formalizzati, i con-
terfacce trolli automatici di congruenza,
manual hierarchical separation into sub- con raffinamento fino al livello
tasks, description of the interfaces funzionale
hierarchical separation using for-
malised methods, automatic consist-
ency checks, refinement down to
functional level
4 Metodi formali o se- R: assistiti da computer
mi-formali computer-aided
Formal or semiformal
methods
5 Strumenti di specifica R: strumenti senza R: procedure orientate sui modelli
assistiti da computer preferenza per con suddivisione gerarchica, de-
Computer aided specifica- uno specifico scrizione di tutti gli oggetti e delle
tion tools metodo di pro- loro relazioni, banca dati comune,
gettazione controllo automatico della con-
tools without gruenza
preference for model oriented procedures with hier-
one particular archical subdivision, description of
design method all objects and their relationship,
common data base, automatic con-
sistency check
6 Liste di controllo R: liste di controllo elaborati per tutte le R: liste di controllo elaborati per
Checklists fasi di sicurezza, del ciclo di vita, tutte le fasi del ciclo di vita della
concentrandosi sulle principali istan- sicurezza
ze di sicurezza prepared detailed checklists for all
prepared checklists for all safety life-cycle safety life-cycle phases
phases, concentration on the main safety
issues
7 Registro delle situazioni HR: registro delle situazioni pericolose da realizzare e mantenere aggiornato per
pericolose tutta la durata del ciclo di vita del sistema
Hazard Log Hazard Log to be established and maintained throughout the system life-cycle
8 Ispezione delle specifi- R HR
che
Inspection of the specifica-
tion
Nota_e Devono essere impiegate liste di controllo o strumenti di specificazione assistite da computer insieme ad altri metodi, dato che abi-
tualmente vi è indicato quello che deve essere fatto (per non dimenticare niente), ma non possono garantire la qualità di quello che
viene effettivamente ottenuto.
Checklists or computer aided specification tools shall be used with another method since they usually state what to do (in order not to forget some-
thing), but cannot guarantee the quality of what is actually achieved.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 119 di 130
Tab. E.3 Safety organisation (referred to in 5.3.3) Organizzazione della sicurezza (fare riferimento al punto
5.3.3)

Techniques/Measures
1 Formazione del personale HR: formazione iniziale in tutte le attività HR: formazione ricorrente o rego-
dell’organizzazione della si- attinenti la sicurezza lare in tutte le attività attinenti
curezza initial training in all relevant safety ac- alla sicurezza
Training of staff in safety or- tivities repetitive training or regular execut-
ganisation ing in all relevant safety activities
2 Indipendenza dei ruoli vedi Fig. 6: Misure per l’indipendenza
Independence of roles see Figure 6: Arrangement for independence
3 Qualifica del personale HR: istruzione tecnica o esperienza suffi- HR: istruzione tecnica di alto livel-
nell’organizzazione di si- ciente lo o esperienza estesa
curezza technical education or sufficient experi- higher technical education or ex-
Qualification of staff in ence tensive experience
safety organisation
4 (vedi nota)
(see note)
Nota_e Il personale addetto alle attività della sicurezza deve possedere la necessaria competenza per svolgerle al meglio (vedi 5.3.3).
Staff involved in safety activities shall be competent to perform those activities (see 5.3.3).
Tab. E.4 Architecture of system/sub-system/equipment Architettura di un sistema/sottosistema/apparec-

(rferred to in 5.4) chiatura (fare riferimento al punto 5.4)

Techniques/Measures
1 Separazione dei sistemi correlati R R HR HR
con la sicurezza dai sistemi non
correlati con la sicurezza
Separation of safety-related systems
from non safety-related systems
2 Singola struttura elettronica con R R — —
autoverifiche e supervisione
single electronic structure with self
tests and supervision
3 Doppia struttura elettronica R R — —
Dual electronic structure
4 Doppia struttura elettronica fonda- R R HR HR
ta sulla sicurezza composita con
comparazione sicura
Dual electronic structure based on
composite fail-safety with fail-safe
comparison
5 Struttura elettronica fondata sul- R R HR HR
la sicurezza intrinseca
single electronic structure based on
inherent fail-safety
6 Struttura elettronica singola fon- R R HR HR
data sulla sicurezza reattiva
single electronic structure based on
reactive fail-safety
7 Struttura elettronica diversa dotata R R HR HR
di comparazione di sicurezza
Diverse electronic structure with
fail-safe comparison
8 Giustificazione dell’architettura HR HR HR HR
tramite analisi quantitativa dell’af-
fidabilità dell’hardware
Justification of the architecture by a
quantitative reliability analysis of
the hardware
Nota_e Tutte le tecniche indicate nella parte con sfondo grigio sono alternative, vale a dire che R significa che almeno una di queste tecniche
è raccomandata.
All techniques of the grey shaded group are alternatives, i.e. R means that at least one of these techniques is recommended.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 120 di 130
Tab. E.5 Design features (referred to in 5.4) Caratteristiche di progettazione (fare riferimento al pun-
to 5.4)

Techniques/Measures
1 Protezione dagli erro- R: elenco di controllo di plausibilità per HR: lista di controllo pertinente per
ri di esercizio ognuno dei comandi di input ognuno dei comandi di ingresso
Protection against oper- plausibility checks on each input command plausibility checks on each input
ating errors command
2 Protezione contro il R: sono necessarie misure orga-
sabotaggio nizzative addizionali
Protection against sabo- additional organisational measures
tage are necessary
3 Protezione contro i R: tutti i modi di malfunzionamento perico- HR: tutti i modi di malfunzionamen-
guasti singoli dei losi devono essere o individuati e negati, to pericolosi devono essere o
componenti discreti oppure devono essere dimostrati intrinse- individuati e negati, oppure de-
(B.3.1) camente sicuri come risultato delle loro vono essere dimostrati intrinse-
Protection against single intrinseche proprietà fisiche (vedi l’Alle- camente sicuri come risultato
fault for discrete compo- gato C della EN 50124-1, Requisiti per delle loro intrinseche proprietà
nents (B.3.1) l’isolamento di base) fisiche (vedi l’Allegato C della
all hazardous failure modes to be either de- EN 50124-1, Requisiti per l’iso-
tected and negated or demonstrated to be in- lamento rafforzato)
herently safe such as a result of inherent all hazardous failure modes to be ei-
physical properties (See Annex C). ther detected and negated or demon-
EN 50124-1 requirements for basic insula- strated to be inherently safe such as a
tion result of inherent physical properties
(see Annex C). EN 50124-1 require-
ments for reinforced insulation
4 Protezione contro i R: modello a bloc- R: modello di gua- HR: modello del malfunzionamento
guasti singoli dei cir- chi di guasto sto a corrente permanente e transitorio a livello
cuiti integrati per la stuck-at fault model continua di entità (esempi per il malfun-
tecnologia a compo- DC-fault model zionamento dei circuiti integrati
nenti elettronici digi- sono forniti nella Tab. D.1)
tali (B.3.1, C.3) permanent and transient malfunc-
Protection against single tion model on item level (examples
fault for integrated cir- for malfunctions of integrated cir-
cuits for digital electron- cuits are defined in Table D.1)
ic technology (B.3.1,
C.3)
5 Indipendenza fisica R: le distanze di isolamento dovrebbero esse- H: le distanze di isolamento do-
in un’architettura re- re dimensionate almeno in conformità con vrebbero essere dimensionate
lazionata con la sicu- la EN 50124-1 (isolamento di base) ai valori rinforzati in conformità
rezza (B.3.2 tipo A e insulation distances should be dimensioned con la EN 50124-1 (isolamento
C) at least according to EN 50124-1 (basic insu- rafforzato)
Physical independence lation) insulation distances should be di-
within the safety-related mensioned to the reinforced value
architecture (B.3.2 type A according to EN 50124-1 (rein-
and C) forced insulation)
6 Individuazione dei R: rivelati per mez- R: Il tempo d’indivi- HR: il tempo d’individuazione e nega-
guasti singoli (B.3.3) zo delle deviazio- duazione e di zione di un guasto singolo, che
Detection of single faults ni rispetto al nor- negazione di un dipende dall’obiettivo della sicu-
(B.3.3) male esercizio guasto singolo, rezza, deve essere nei margini de-
revealed by devia- che dipende finiti dall’obiettivo di sicurezza.
tion from normal dall’obiettivo del- dependent on the safety target the
operation la sicurezza, do- time for detection-plus-negation of
vrebbe essere a single fault should be within the
nei margini defi- safety target
niti dall’obiettivo
di sicurezza
dependent on the
safety target the
time for detection
-plus- negation of
a single fault
should be within
the safety target
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 121 di 130
Continua_Continued

Techniques/Measures
7 Mantenimento dello R: indicazioni per l’operatore non do- HR: disconnessione automaticamente
stato sicuro (B.3.4) vrebbero essere utilizzate né basate dal processo del sistema o sottosi-
Retention of safe state sulle funzioni relazionate con la sicu- stema, entità difettosa o blocco di
(B.3.4) rezza associate a questo elemento di- tutte le funzioni relazionate con la
fettoso. sicurezza di questa entità, del siste-
indication to the operator the safety-related ma oppure del sottosistema difettosi
functions associated with this faulty item automatically shut down the faulty
should not be used or relied upon item, sub-system or system from the
process or blocking all safety-related
functions of this faulty item, sub-sys-
tem or system
8 Guasti multipli R: rivelati per mez- R: il tempo d’in- HR: il tempo d’individuazione e nega-
(B.3.4) zo delle deviazio- dividuazione e zione dei guasti multipli, che di-
Multiple faults B.3.4) ni rispetto al nor- negazione dei pende dall’obiettivo della sicurez-
male esercizio guasti multipli za, dovrebbe essere nei limiti
revealed by devia- dipende definiti dall’obiettivo di sicurezza.
tion from normal dall’obiettivo dependent on the safety target, the

operation di sicurezza time for detection-plus-negation of a
dependent on multiple fault should be within the
the safety target safety target
the time for de-
tection plus-ne-
gation of a mul-
tiple
9 Individuazione di- R: dovrebbero essere HR: dovrebbero es- HR: dovrebbero essere realizzate prove
namica dei guasti realizzate prove di- sere realizzate dinamiche “on-line” per verificare
Dynamic fault detec- namiche “on-line” prove dinami- il corretto funzionamento del siste-
tion per verificare il che “on-line” ma relazionato con la sicurezza e
corretto funziona- per verificare il automaticamente disconnettere il
mento del sistema corretto funzio- sistema, sottosistema o entità difet-
relazionato con la namento del tosi dal processo o bloccare le fun-
sicurezza e fornire sistema relazio- zioni relazionate con la sicurezza
un’indicazione nato con la si- di questa entità, del sistema o del
all’operatore curezza e for- sottosistema difettosi.
on lie dynamic test- nire on line dynamic testing should be per-
ing should be per- un’indicazione formed to check the proper operation
formed to check the all’operatore of the safety-related system and auto-
proper operation of on line dynamic matically shut down the faulty item,
the safety-related testing should be sub-system or system from the process
system and provide performed to or blocking all safety related functions
an indication to the check the proper of this faulty item, sub-system or sys-
operator operation of the tem
safety-related
system and pro-
vide an indica-
tion to the opera-
tor
10 Monitoraggio delle R: monitoraggio tem- HR: monitoraggio HR: monitoraggio temporale e logico
sequenze del pro- porale o logico temporale o delle sequenze del programma in
gramma delle sequenze del logico delle numerosi punti di controllo nel
Program sequence programma più in- sequenze del programma e disconnessione au-
monitoring dicazioni all’opera- programma tomatica del sistema, sottosistema
tore più indicazio- o dell’entità difettosa del proces-
temporal or logical ni all’operatore so o blocco delle funzioni rela-
monitoring of the temporal or logi- zionate con la sicurezza di questa
program sequence cal monitoring entità, del sistema o del sottosi-
plus indication to of the program stema difettosi.
the operator sequence plus temporal and logical monitoring of
indication to the the program sequence at many check-
operator ing points in the program and auto-
matically shut down the faulty item,
sub-system or system from the process
or blocking all safety related functions
of this faulty item, sub-system or sys-
tem
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 122 di 130
ˇ Continua_Continued

Techniques/Measures
11 Misure contro le interru- HR: misure contro le interruzioni, le HR: misure estese contro le interru-
zioni, le variazioni, le ri- variazioni, le riduzioni di tensio- zioni, le variazioni, le riduzioni
duzioni di tensione e le ne e le sovratensioni di tensione e le sovratensioni
sovratensioni measures against voltage breakdown, extended measures against voltage
Measures against voltage voltage variations, overvoltage, low volt- breakdown, voltage variations, over-
breakdown, voltage varia- age voltage, low voltage
tions, overvoltage, low volt-
age
12 Misure contro l’innalza- HR: sensori di temperatura che rileva- HR: deve essere valutata la necessità di
mento della temperatura no sovratemperature una disconnessione di sicurezza
Measures against tempera- temperature sensor detecting over-tem- it is to be investigated the necessity of a
ture increase perature safety shut down
13 Architettura del software vedi EN 50128 vedi EN 50128
Software architecture see EN 50128 see EN 50128
Tab. E.6 Failure and hazard analysis methods (referred to in 5.4) Metodi di analisi delle situazioni pericolose e dei
malfunzionamenti (fare riferimento al punto 5.4)

Techniques/Measures
1 Analisi preliminare delle HR HR HR HR
situazioni pericolose(a)
Preliminary hazard analysis (a)
2 Analisi ad albero dei gua- R R HR HR
sti
Fault tree analysis
3 Diagrammi di Markov R R HR HR
Markov diagrams
4 FMECA R R HR HR
FMECA
5 HAZOP R R HR HR
HAZOP
6 Diagramma cause-conse- R R HR HR
guenze
Cause-consequence diagrams
7 Albero degli eventi R R R R
Event tree
8 Diagramma a blocchi della R R R R
affidabilità
Reliability block diagram
9 Analisi a zone R R R R
Zonal analysis
10 Analisi delle situazioni pe- R R HR HR
ricolose alle interfacce
Interface hazard analysis
11 Analisi dei malfunziona- R R HR HR
menti di modo comune
Common cause failure analysis
12 Analisi degli eventi storici R R R R
Historical event analysis
(a) Dovrebbe essere presa in considerazione l’Analisi preliminare delle situazioni pericolose (PHA) solamente all’inizio della fase di svi-
luppo. Nella fase di progettazione, è meglio scegliere altri metodi, se sono disponibili informazioni tecniche precise.
PHA should only be considered at the early stages of the development. When precise technical information is available, during the de-
sign, the other methods should be preferred.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 123 di 130
Tab. E.7 Design and development of system/sub-system/equip- Progettazione e sviluppo di un sistema/sottosiste-
ment (referred to in 5.3.7) ma/apparecchiatura (fare riferimento al punto 5.3.7)
Tecniche /Misure SIL 1 SIL 2 SIL 3 SIL 4

Techniques/Measures
1 Progettazione strutturata HR: scomposizione gerarchica della HR: scomposizione gerarchica della
Structured design progettazione progettazione e completa rintrac-
design hierarchically broken down ciabilità della specifica dei requi-
siti compresi i riferimenti tra spe-
cifiche, la progettazione dei
diagrammi dei circuiti e la docu-
mentazione dell’applicazione
design hierarchically broken down
and fully traceable back to require-
ments specification including referenc-
es between specification, design, circuit
diagrams and application documenta-
tion
2 Modularizzazione R: moduli di di- HR: moduli di di- HR: impiego di moduli interamente va-
Materialisation mensioni limita- mensioni li- lidati, facilmente comprensibili e
te, ogni modulo mitate, ogni di dimensioni limitate, ogni modu-
deve essere iso- modulo deve lo deve essere funzionalmente iso-

lato essere isolato lato
modules of limited modules of lim- use of fully validated, easily compre-
size, each module ited size each hensible modules of limited size, each
isolated module isolated module functionally isolated
3 Metodi formali o semi-for- R: assistito da computer
mali computer-aided
Formal or semiformal methods
4 Strumenti di progettazio- R: supporto del R: impiego di strumenti validati o
ne assistiti da computer calcolatore provati nell’uso, sviluppo gene-
Computer aided design tools per progetta- rale assistito da calcolatore
zioni com- use of tools which are proven in use or
plesse validated, general computer-aided de-
computer sup- velopment
port for com-
plex designs
5 Studi ambientali (EMC, R R HR HR
vibrazioni, ecc.)
Environmental studies (EMC,
vibration etc.)
Tab. E.8 Design phase documentation (referred to in 5.2) Documentazione della fase di progettazione (fare rife-
rimento al punto 5.2)

Techniques/Measures
1 Descrizione grafica dei sot- HR HR HR HR
tosistemi
Graphical description of sub-sys-
tems
2 Descrizione delle interfacce HR HR HR HR
Description of interfaces
3 Studi ambientali (EMC, vi- R R HR HR
brazioni)
Environment (EMC, vibrations)
studies
4 Procedura di modifica HR HR HR HR
Modification procedure
5 Manuale di manutenzione HR HR HR HR
Maintenance manual
6 Documentazione di fabbri- HR HR HR HR
cazione
Manufacturing documentation
7 Documentazione dell’appli- HR HR HR HR
cazione
Application Documentation
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 124 di 130
Tab. E.9 Verification and validation of the system and product Verifica e validazione della progettazione del prodot-
design (referred to in 5.3.9) to e del sistema (fare riferimento al punto 5.3.9)

Techniques/Measures
1 Liste di controllo R: preparazione di liste di controllo, R: preparazione di liste di control-
Checklists concentrazione sui principali esiti lo dettagliate
per la sicurezza prepared detailed checklists
prepared checklists, concentration on the
main safety issues
2 Simulazione R R
Simulation
3 Prova funzionale del siste- HR: dovrebbero essere realizzate prove HR: dovrebbero essere realizzate
ma funzionali e revisioni per dimostra- vaste prove funzionali com-
Functional testing of the system re che le caratteristiche specificate prensibili in base a casistiche di
e i requisiti di sicurezza siano stati prova ben definite per dimo-
raggiunti strare che le caratteristiche spe-
functional tests, reviews should be carried cificate e i requisiti della sicu-
out to demonstrate that the specified char- rezza sono stati ottenuti
acteristics and safety requirements have comprehensive functional tests
been achieved should be carried out on the basis of

well defined test cases to demonstrate
the specified characteristics and safe-
ty-requirements are fulfilled
4 Prova funzionale nelle HR: dovrebbero essere effettuate le pro- HR: dovrebbero essere realizzate le
condizioni ambientali ve delle funzioni correlate con la prove delle funzioni correlate
Functional testing under envi- sicurezza e delle altre funzioni, nel- con la sicurezza e delle altre
ronmental conditions le condizioni ambientali specificate funzioni, nelle condizioni am-
the testing of safety-related functions and bientali specificate
other functions under the specified envi- the testing of safety-related functions
ronmental conditions should be carried and other testing under the specified
out environmental conditions should be
carried out
5 Prova dell’immunità ai so- HR: la prova dell’im- HR: la prova dell’immunità ai sovraccarichi dovrebbe
vraccarichi munità ai sovrac- essere effettuata a un livello superiore ai massimi
Surge immunity testing carichi dovrebbe dei valori limite delle reali condizioni d’esercizio
essere effettuata surge immunity should be tested higher/higher limit than
ai valori limite the boundary values of the real operation conditions
delle condizioni
d’esercizio reali
surge immunity
should be tested to
the boundary val-
ues of the real oper-
ational conditions
6 Controllo della documen- HR
tazione
Inspection of documentation
7 Assicurare che le varie HR: indicazione delle precauzioni e
ipotesi di progettazione dei requisiti di fabbricazione, e
non siano state compro- verifica dell’effettivo processo
messe dal processo di fab- di fabbricazione da parte
bricazione dell’organizzazione della sicu-
Ensure design assumptions are rezza
not compromised by manufac- specify manufacturing requirements
turing process and precautions, plus audit of actual
manufacturing process by safety or-
ganisation
8 Supporti di prova R: il progettista dei supporti di prova HR: il progettista dei supporti di
Test facilities dovrebbe essere indipendente dal prova dovrebbe essere indi-
progettista del sistema o del prodotto pendente dal progettista del si-
designer of the test facilities should be in- stema o del prodotto
dependent from the designer of the system designer of the test facilities should be
or product independent from the designer of the
system or product
Continua_Continued
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 125 di 130
Continua_Continued

Techniques/Measures
9 Revisione della progetta- HR: le revisioni dovrebbero essere ef- HR: le revisioni dovrebbero essere
zione fettuate nelle adeguate fasi del ciclo effettuate nelle adeguate fasi
Design review di vita per confermare che le carat- del ciclo di vita per confermare
teristiche specificate e i requisiti che le caratteristiche specificate
della sicurezza sono stati raggiunti e i requisiti della sicurezza
reviews should be carried out at appropri- sono stati raggiunti
ate stages in the life-cycle to confirm that reviews should be carried out at ap-
the specified characteristics and safety re- propriate stages in the life-cycle to
quirements have been achieved confirm that the specified characteris-
tics and safety requirements have
been achieved
10 Assicurare che le varie HR: specificare le precauzioni e i requi- HR: specificare le precauzioni e i
ipotesi di progettazione siti per l’installazione e la manuten- requisiti per l’installazione e la
non siano state compro- zione manutenzione, più verifica de-
messe dal processo d’in- specify installation and maintenance re- gli effettivi processi d’installa-
stallazione e di manuten- quirements and precautions zione e di manutenzione da
zione parte dell’organizzazione della

Ensure design assumptions are sicurezza
not compromised by installation specify installation and maintenance
and maintenance processes requirements and precautions, plus
audit of actual installation and
maintenance processes by safety or-
ganisation
11 Alta confidenza dimostrata R: 10000 ore di esercizio, almeno 1 R: 1 milione di ore di esercizio, al-
dall’uso (opzionale quan- anno d’esperienza con le apparec- meno 2 anni di esperienza con
do non sono disponibili chiature in funzione differenti apparecchiature com-
dimostrazioni precedenti) 10000 hours operation time, at least 1 prendenti le analisi della sicu-
High confidence demonstrated year experience with equipments in oper- rezza, e la documentazione
by use ation dettagliata delle piccole modifi-
(optional where some previous che realizzate durante il perio-
evidence is not available) do di esercizio
1 million hours operation time, at
least 2 years experience with different
equipments including safety analysis,
detailed documentation also of mi-
nor changes during operation time
Nota_e Nella verifica delle attività di una fase, possono essere impiegate liste di controllo, strumenti di specificazione assistiti da calcolato-
re e ispezioni della specificazione.
Checklists, computer aided specification tools and Inspection of the specification can be used in the verification activity of a phase.
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 126 di 130
Tab. E.10 Application, operation and maintenance Applicazione, esercizio e manutenzione (fare riferimen-
(referred to in 5.3.12 and 5.4) to ai punti 5.3.12 e 5.4)

Techniques/Measures
1 Produzione delle applica- R: Tracciabilità, a partire dalla pro- HR: Tracciabilità, a partire dalla pro-
zioni e istruzioni per gettazione, di tutte le istruzioni gettazione, di tutte le istruzioni
l’esercizio per la manuten- per l’esercizio delle applicazioni e per l’esercizio delle applicazioni
zione della manutenzione compreso e della manutenzione compreso
Production of applications oper- l’uso del registro delle situazioni l’uso del registro delle situazioni
ational and maintenance in- pericolose pericolose
structions all operational, application and mainte- all operational, application and main-
nance instructions traceable back to the tenance instructions traceable back to
design including use of hazard log the design including use of hazard log
2 Formazione per l’esecuzio- HR: formazione preliminare di tutti gli HR: formazione preliminare più pe-
ne delle istruzioni d’eserci- addetti all’esercizio e di tutti gli riodico aggiornamento delle co-
zio e di manutenzione (vedi addetti alla manutenzione noscenze di tutti gli addetti
il punto 5.4, parte 5) initial training of all operators and all’esercizio e di tutti gli addetti
Training in the execution of op- maintenance staff alla manutenzione
erational and maintenance in- initial training plus periodic refresher
structions training of all operators and mainte-
(see 5.4, Section 5) nance staff

3 Ergonomia dell’esercizio HR: l’interazione tra il personale e il sistema deve essere la più semplice possi-
Operator friendliness bile, allo scopo di ridurre il rischio di errori umani
the interaction between the person and the system to be as simple as possible, in order to
reduce the risk of human errors
4 Ergonomia della manuten- HR: supporti diagnostici separati, prov- HR: supporti diagnostici portatili, ade-
zione vedimenti per la manutenzione guati, sensibili e semplici devono
Maintenance friendliness correlati con la sicurezza il più ra- essere inclusi negli inevitabili
ramente possibile provvedimenti per la riparazione;
separate diagnosis tools, safety-related provvedimenti per la manutenzio-
maintenance measures as seldom as ne correlati con la sicurezza meno
possible frequenti possibile o completa-
mente non necessari
sufficient, sensible and simply handled
diagnosis tools shall be included for un-
avoidable repairing measures, safety-re-
lated maintenance measures as seldom
as possible or not necessary at all
5 Protezione contro gli erro- R: controlli procedurali di plausibilità HR: controlli procedurali di plausibi-
ri operativi per ognuno dei comandi di input lità per ognuno dei comandi di
Protection against operating er- procedural plausibility checks on each input
rors input command procedural plausibility checks on each
input command
6 Protezione contro il sabo- R: sono necessarie misure organizza-
taggio tive aggiuntive.
Protection against sabotage additional organisational measures
are necessary
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 127 di 130
BIBLIOGRAPHY BIBLIOGRAFIA
The following documents were consulted dur- Nell’elaborazione della presente Norma sono stati
ing the preparation of this standard (in addition consultati i seguenti documenti (a complemento
to the normative references listed in Clause 2). dei riferimenti normativi indicati al punto 2).
HD 485 S1:1987 Tecniche di analisi dell'affidabilità dei sistemi – Procedura di analisi dei modi
d'avaria e dei loro effetti (FMEA) (IEC 60812:1985)
Analysis techniques for system reliability - Procedure for failure mode and effects
analysis (FMEA) (IEC 60812:1985)
HD 617 S1:1992 Analisi ad albero dei guasti (FTA) (IEC 61025:1990)
Fault tree analysis (FTA) (IEC 61025:1990)
CLC/SC9XA(SEC)114 Calcoli con le formule del Mü8004, Agosto 1994
Calculation with Mü8004 formulas, August 1994
ISO 9001:1994 Sistemi qualità – Modello per l’assicurazione della qualità nella progettazione,
sviluppo, produzione, installazione e prestazioni associate
Quality Systems – Model for quality assurance in design, development, production,
installation and servicing
R009-004 Applicazioni ferroviarie – Assegnazione sistematica dei requisiti d'integrità
della sicurezza (Rapporto CENELEC)
Railway applications – Systematic allocation of safety integrity requirements (CENELEC

Report)
UIC/ORE Rapporto A155/RP6 Specifica dei requisiti dei sistemi della sicurezza basati su calcolatori, Settem-
UIC/ORE Report A155/RP6 bre 1985
Computer-based safety systems requirements specification, September 1985
UIC/ORE Rapporto A155/RP7 Progettazione dei sistemi della sicurezza basati su calcolatori, Aprile 1986
UIC/ORE Report A155/RP7 The design of computer-based safety systems, April 1986
Direzione della Sanità e della Sistemi elettronici programmabili nelle applicazioni connesse alla sicurezza –
Sicurezza del Regno Unito (UK Parti 1 e 2, 1987
– Health & Safety Executive) Programmable electronic systems in safety-related applications –
UK Health & Safety Executive Parts 1 and 2, 1987
UIC/ORE Rapporto A155/RP11 Prova della sicurezza dei sistemi di sicurezza basati su calcolatori, Settembre
UIC/ORE Report A155/RP11 1987
Proof-of-Safety of computer-based safety systems, September 1987
UIC/ORE Rapporto A155/RP12 Catalogo delle avarie dei componenti elettronici, Aprile 1988
UIC/ORE Report A155/RP12 Failure catalogue for electronic components, April 1988
MIL-HDBK-338-1A Prontuario di progettazione dell'affidabilità elettronica, Ottobre 1988
Electronic reliability design handbook, October 1988
Ferrovie Federali Tedesche Principi per l’approvazione tecnica delle tecnologie di segnalamento e di tele-
Mü8004 comunicazione, Gennaio 1991
German Federal Railways Mü8004 Principles for the technical approval of signalling and communications technology,
January 1991
Rapporto del centro di analisi Distribuzione dei modi/meccanismi d'avaria, Settembre 1991
dell'affidabilità (RAC) FMD-91 Failure mode/mechanism distributions, September 1991
Reliability Analysis Center Report
FMD-91
IRSE Comitato Tecnico Interna- Validazione dei sistemi di sicurezza dal punto di vista della reciproca accetta-
zionale - Rapporto Numero 1 zione dei sistemi di segnalamento delle ferrovie, Gennaio 1992
IRSE International Technical Safety system validation with regard to cross-acceptance of signalling systems by the
Committee Report No.1 railways, January 1992
Fine Documento
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 128 di 130
NORMA TECNICA
CEI EN 50129:2004-01
Pagina 129 di 130
La presente Norma è stata compilata dal Comitato Elettrotecnico Italiano
e beneficia del riconoscimento di cui alla legge 1º Marzo 1968, n. 186.
Editore CEI, Comitato Elettrotecnico Italiano, Milano - Stampa in proprio
Autorizzazione del Tribunale di Milano N. 4093 del 24 luglio 1956
Responsabile: Ing. A. Alberici
9 – Trazione
CEI EN 50155 (CEI 9-30) CEI EN 50125-2 (CEI 9-77)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Equipaggiamenti elettronici utilizzati sul materiale rotabile Condizioni ambientali per gli equipaggiamenti Parte 2: Impian-
ti elettrici fissi
CEI EN 50121-1 (CEI 9-35/1)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane
Compatibilità elettromagnetica Parte 1: Generalità
CEI EN 50121-2 (CEI 9-35/2)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Compatibilità elettromagnetica Parte 2: Emissione dell’intero
sistema ferroviario verso l’ambiente esterno
CEI EN 50121-3-1 (CEI 9-35/3-1)
Compatibilità elettromagnetica Parte 3-1: Materiale rotabile -

Treno e veicolo completo
CEI EN 50121-3-2 (CEI 9-35/3-2)
Compatibilità elettromagnetica Parte 3-2: Materiale rotabile -
Apparecchiature
CEI EN 50121-4 (CEI 9-35/4)
Compatibilità elettromagnetica Parte 4: Emissione ed immuni-
tà delle apparecchiature di segnalamento e telecomunicazioni
CEI EN 50121-5 (CEI 9-35/5)
Compatibilità elettromagnetica Parte 5: Emissioni ed immuni-
tà di apparecchi e impianti fissi di alimentazione
CEI EN 50126 (CEI 9-58)
Applicazioni ferroviarie, tranviarie, filotranviarie, metropolita-
ne La specificazione e la dimostrazione di Affidabilità, Dispo-
nibilità, Manutenibilità e Sicurezza (RAMS)
CEI EN 50125-1 (CEI 9-60)
Condizioni ambientali per gli equipaggiamenti Parte 1: Equi-
paggiamenti nel materiale rotabile
CEI EN 50124-1 (CEI 9-65/1)
ne - Coordinamento degli isolamenti Parte 1: Requisiti base -
Distanze in aria e distanze superficiali per tutta l’apparecchia-
tura elettrica ed elettronica
CEI EN 50124-2 (CEI 9-65/2)
ne - Coordinamento degli isolamenti Parte 2: Sovratensioni e
relative protezioni
CEI EN 50159-1 (CEI 9-66/1)
Sistemi di telecomunicazione, segnalamento ed elaborazione
Parte 1: Comunicazioni di sicurezza in sistemi di trasmissione
di tipo chiuso
CEI EN 50159-2 (CEI 9-66/2)
Sistemi di telecomunicazione, segnalamento ed elaborazione
Parte 2: Comunicazioni di sicurezza in sistemi di trasmissione
di tipo aperto
CEI EN 50128 (CEI 9-72)
Sistemi di telecomunicazione, segnalamento ed elaborazione -
Software per sistemi ferroviari di comando e di protezione
143,00
NORMA TECNICA Sede del Punto di Vendita e di Consultazione
CEI EN 50129:2004-01 20134 Milano - Via Saccardo, 9
Totale Pagine 136+Ec1 tel. 02/21006.1 • fax 02/21006.222
http://www.ceiuni.it
Copia concessa a ANSALDO S.F. SPA e ANSALDO BREDA e-mail: cei@ceiuni.it
in data 02/10/2007 da CEI-Comitato Elettrotecnico Italiano

EN 50129 En-It

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

EN 50129 En-It

Caricato da

Copyright:

Formati disponibili

N O R M A I T A L I A N A CEI

APPARECCHIATURE ELETTRICHE PER SISTEMI DI ENERGIA E PER TRAZIONE

COLLEGAMENTI/RELAZIONI TRA DOCUMENTI

Europei (IDT) EN 50129:2003-02;

Norma Italiana CEI EN 50129 Pubblicazione Norma Tecnica Carattere Doc.

Stato Edizione In vigore Data validità 2004-3-1 Ambito validità Internazionale

Comitato Tecnico 9-Trazione

Gruppo Abb. 3 Sezioni Abb. B

© CEI - Milano 2004. Riproduzione vietata.

Sostituisce la Norma ENV 50129 (1998)

Applicazioni ferroviarie, tranviarie, ﬁloviarie e metropolitane - Sistemi di

Railway applications - Communication, signalling and processing systems - Safety

Applications ferroviaires - Systèmes de signalisation, de télécommunications et de

Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und

1 SCOPE CAMPO DI APPLICAZIONE 2

2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI 4

3 DEFINITIONS AND ABBREVIATIONS DEFINIZIONI ED ABBREVIAZIONI 5

4 OVERALL FRAMEWORK OF STRUTTURA COMPLESSIVA DELLA

5 CONDITIONS FOR SAFETY ACCEPTANCE AND CONDIZIONI PER L’ACCETTAZIONE E L’APPROVAZIONE

APPROVAL DELLA SICUREZZA 12

NORMA CEI EN 50129 (CEI 9-55)

Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di

(*) Nota_Note 16.

CEI EN 50129:2004-01 NORMA TECNICA

1 SCOPE CAMPO DI APPLICAZIONE

This standard is applicable to safety-related La presente Norma è applicabile ai sistemi elettro-

Parte individuale dell’impianto

Pubblicazione Titolo Norma CEI

3.1 Deﬁnitions Deﬁnizioni

3.1.1 Accident Incidente

3.1.2 Assessment Valutazione

3.1.3 Authorisation Autorizzazione

3.1.4 Availability Disponibilità

3.1.5 Can Può (è possible ..)

3.1.6 Causal analysis Analisi delle cause

3.1.7 Common-cause failure Malfunzionamento di modo comune

3.1.8 Consequence analysis Analisi delle conseguenze

3.1.9 Conﬁguration Conﬁgurazione

3.1.10 Cross-acceptance Accettazione reciproca

3.1.11 Design Progettazione

3.1.12 Design authority Autorità di progettazione

3.1.13 Diversity Diversità

3.1.14 Equipment Apparecchiatura

3.1.15 Error Errore

3.1.16 Fail-safe In sicurezza (fail-safe)

3.1.17 Failure Malfunzionamento

3.1.18 Fault Guasto

3.1.19 Fault detection time Tempo di rilevazione di un guasto

3.1.20 Function Funzione

3.1.21 Hazard Situazione pericolosa (hazard)

3.1.22 Hazard analysis Analisi delle situazioni pericolose

3.1.23 Hazard log Registro delle situazioni pericolose

3.1.25 Implementation Attuazione

3.1.26 Independence (functional) Indipendenza (funzionale)

3.1.27 Independence (human) Indipendenza (delle persone)

3.1.28 Independence (physical) Indipendenza (ﬁsica)

3.1.29 Individual risk Rischio individuale

3.1.30 Maintainability Manutenibilità

3.1.31 Maintenance Manutenzione

3.1.32 May Potrebbe (è permesso ..)

3.1.33 Negation Negazione

3.1.34 Negation time Tempo di negazione

3.1.35 Product Prodotto

3.1.37 Railway authority Autorità Ferroviaria