Cei en 50159-2 - 2002-01

N O R M A I T A L I A N A CEI
Norma Italiana
CEI EN 50159-2
Data Pubblicazione Edizione
2002-01 Prima
Classificazione Fascicolo
9-66/2 6347
Titolo
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di
telecomunicazione, segnalamento ed elaborazione
Parte 2: Comunicazioni di sicurezza in sistemi di trasmissione di
tipo aperto
Title
Railway applications - Communication, segnalling and processing systems
Part 2: Safety related communication in open transmission systems
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
APPARECCHIATURE ELETTRICHE PER SISTEMI DI ENERGIA E PER TRAZIONE
NORMA TECNICA
COMITATO
ELETTROTECNICO CNR CONSIGLIO NAZIONALE DELLE RICERCHE • AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA
ITALIANO Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
SOMMARIO
La presente Norma tratta le comunicazioni in sicurezza tra equipaggiamenti in sicurezza che usano un
sistema di trasmissione di tipo aperto.
DESCRITTORI • DESCRIPTORS
Trazione • Traction; Segnalamento • Signalling;
COLLEGAMENTI/RELAZIONI TRA DOCUMENTI

Nazionali
Europei (IDT) EN 50159-2:2001-03;

Internazionali
Legislativi
INFORMAZIONI EDITORIALI
Norma Italiana CEI EN 50159-2 Pubblicazione Norma Tecnica Carattere Doc.
Stato Edizione In vigore Data validità 2002-3-1 Ambito validità Europeo

Varianti Nessuna
Ed. Prec. Fasc. Nessuna
Comitato Tecnico 9-Trazione

Approvata dal Presidente del CEI in Data 2002-1-9
CENELEC in Data 2000-1-1
Sottoposta a inchiesta pubblica come Documento originale Chiusa in data 1997-11-30
Gruppo Abb. 3 Sezioni Abb. B

ICS 35.240.60; 45.020;
CDU
LEGENDA
(IDT) La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT)
© CEI - Milano 2002. Riproduzione vietata.

Tutti i diritti sono riservati. Nessuna parte del presente Documento può essere riprodotta o diffusa con un mezzo qualsiasi senza il consenso scritto del CEI.
Le Norme CEI sono revisionate, quando necessario, con la pubblicazione sia di nuove edizioni sia di varianti.
È importante pertanto che gli utenti delle stesse si accertino di essere in possesso dell’ultima edizione o variante.
Europäische Norm • Norme Européenne • European Standard • Norma Europea
EN 50159-2:2001-03
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di

telecomunicazione, segnalamento ed elaborazione
Parte 2: Comunicazioni di sicurezza in sistemi di trasmissione di
tipo aperto
Railway applications - Communication, segnalling and processing systems

Part 2: Safety related communication in open transmission systems
Applications ferroviaires - Systèmes de signalisation, de témécommunication et de

traitement
Partie 2: Communication de sécurité sur des systèmes de transmission
ouverts
Bahnanwendungen - Telekommunikationstechnik, Signal- technik und

Datenverarbeitungssysteme
Teil 2: Sicherheitsrelevante Kommunikation in offenen
Übertragungs-sustemen
CENELEC members are bound to comply with the I Comitati Nazionali membri del CENELEC sono tenu-
CEN/CENELEC Internal Regulations which stipulate ti, in accordo col regolamento interno del CEN/CENE-
the conditions for giving this European Standard the LEC, ad adottare questa Norma Europea, senza alcuna
status of a National Standard without any alteration. modifica, come Norma Nazionale.
Up-to-date lists and bibliographical references con- Gli elenchi aggiornati e i relativi riferimenti di tali Nor-
cerning such National Standards may be obtained on me Nazionali possono essere ottenuti rivolgendosi al
application to the Central Secretariat or to any Segretariato Centrale del CENELEC o agli uffici di
CENELEC member. qualsiasi Comitato Nazionale membro.
This European Standard exists in three official ver- La presente Norma Europea esiste in tre versioni uffi-
sions (English, French, German). ciali (inglese, francese, tedesco).
A version in any other language and notified to the Una traduzione effettuata da un altro Paese membro,
CENELEC Central Secretariat has the same status as sotto la sua responsabilità, nella sua lingua nazionale
the official versions. e notificata al CENELEC, ha la medesima validità.
CENELEC members are the national electrotechnical I membri del CENELEC sono i Comitati Elettrotecnici
committees of: Austria, Belgium, Czech Republic, Nazionali dei seguenti Paesi: Austria, Belgio, Dani-
Denmark, Finland, France, Germany, Greece, Iceland, marca, Finlandia, Francia, Germania, Grecia, Irlanda,
Ireland, Italy, Luxembourg, Netherlands, Norway, Islanda, Italia, Lussemburgo, Norvegia, Olanda, Por-
Portugal, Spain, Sweden, Switzerland and United togallo, Regno Unito, Repubblica Ceca, Spagna,
Kingdom. Svezia e Svizzera.
© CENELEC Copyright reserved to all CENELEC members. I diritti di riproduzione di questa Norma Europea sono riservati esclu-
sivamente ai membri nazionali del CENELEC.
C E N E L E C
Comitato Europeo di Normalizzazione Elettrotecnica Secrétariat Central: Comité Européen de Normalisation Electrotechnique
European Committee for Electrotechnical Standardization rue de Stassart 35, B - 1050 Bruxelles Europäisches Komitee für Elektrotechnische Normung
CONTENTS INDICE
Rif. Topic Argomento Pag.
INTRODUCTION INTRODUZIONE 1
1 SCOPE SCOPO 1
2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI 2
3 DEFINITIONS DEFINIZIONI 3
3.1 Access protection .......................................................................... Protezione di accesso ................................................................... 3
3.2 Authenticity ...................................................................................... Autenticità ........................................................................................... 3
3.3 Authorisation ................................................................................... Autorizzazione .................................................................................. 3
3.4 Check .................................................................................................. Verifica ................................................................................................. 3
3.5 Cryptographic techniques ......................................................... Tecniche crittografiche ................................................................. 3
3.6 Data ..................................................................................................... Dati ......................................................................................................... 4

3.7 Defence .............................................................................................. Difesa .................................................................................................... 5
3.8 Error ..................................................................................................... Errore .................................................................................................... 5
3.9 Failure ................................................................................................. Guasto .................................................................................................. 5
3.10 Fault ..................................................................................................... Guasto .................................................................................................. 6
3.11 Hazard ................................................................................................ Pericolo ................................................................................................ 6
3.12 Information ...................................................................................... Informazione ..................................................................................... 6
3.13 Integrity .............................................................................................. Integrità ................................................................................................ 6
3.14 Message ............................................................................................. Messaggio ........................................................................................... 6
3.15 Process ............................................................................................... Processo ............................................................................................... 7
3.16 Safety ................................................................................................... Sicurezza ............................................................................................. 8
3.17 Transmission system .................................................................... Sistema di trasmissione ................................................................ 8
3.18 Threat .................................................................................................. Minaccia ............................................................................................... 8
3.19 Timeliness ......................................................................................... Tempestività ...................................................................................... 8
3.20 Validity ............................................................................................... Validità ................................................................................................. 8
4 REFERENCE ARCHITECTURE ARCHITETTURA DI RIFERIMENTO 9
5 THREATS TO THE TRANSMISSION SYSTEM MINACCE AL SISTEMA DI TRASMISSIONE 12
6 REQUIREMENTS FOR DEFENCES REQUISITI DELLE DIFESE 12

6.1 Introduction ..................................................................................... Introduzione ................................................................................... 12
6.2 General requirements ................................................................. Requisiti generali .......................................................................... 13
6.3 Specific defences ........................................................................... Difese specifiche .......................................................................... 14
7 APPLICABILITY OF DEFENCES AGAINST THREATS APPLICABILITÀ DELLE DIFESE CONTRO LE MINACCE 20

7.1 Introduction ..................................................................................... Introduzione ................................................................................... 20
7.2 Threats/defences matrix ............................................................ Matrice delle minacce/difese ................................................. 20
7.3 Choice and use of safety code and cryptographic Scelta e uso del codice di sicurezza e delle tecniche
techniques ........................................................................................ crittografiche ................................................................................... 21
ANNEX/ALLEGATO
A GUIDELINE FOR DEFENCES LINEE GUIDA PER LE DIFESE 22
ANNEX/ALLEGATO
B BIBLIOGRAPHY BIBLIOGRAFIA 35
ANNEX/ALLEGATO
C GUIDELINES FOR USE OF THE STANDARD LINEE GUIDA PER L’USO DELLA NORMA 36
ANNEX/ALLEGATO
D THREATS ON OPEN TRANSMISSION SYSTEMS MINACCE NEI SISTEMI DI TRASMISSIONE APERTI 44
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina iv
FOREWORD PREFAZIONE
This European Standard was prepared by SC La presente Norma Europea è stata preparata dal
9XA, Communication, signalling and processing SC 9XA, Communication, signalling and process-
systems, of Technical Committee CENELEC TC ing systems, del Comitato Tecnico CENELEC
9X, Electrical and electronic applications for TC 9X, Electrical and electronic applications for
railways. railways.
The text of the draft was submitted to the for- Il testo del progetto è stato sottoposto a voto for-
mal vote and was approved by CENELEC as male ed è stato approvato dal CENELEC come
EN 50159-2 on 2000/01/01. Norma Europea EN 50159-2 in data 01/01/2000.
The following dates were fixed: Sono state fissate le date seguenti:
latest date by which the EN has to be imple- data ultima entro la quale la EN deve essere
mented at national level by publication of recepita a livello nazionale mediante pubbli-
an identical national standard or by en- cazione di una Norma nazionale identica o
dorsement mediante adozione
(dop) 2001/10/01 (dop) 01/10/2001
latest date by which the national standards data ultima entro la quale le Norme nazio-
conflicting with the EN have to be with- nali contrastanti con la EN devono essere ri-
drawn tirate
(dow) 2003/01/01 (dow) 01/01/2003
Annexes designated “informative” are given for Gli Allegati indicati come “informativi” sono dati
information only. solo per informazione.
In this standard, annexes A, B, C and D are in- Nella presente Norma, gli Allegati A, B, C e D
formative. sono informativi.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina v
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina vi
INTRODUCTION INTRODUZIONE
If a safety-related electronic system involves the Se un sistema elettronico in sicurezza prevede il

transfer of information between different loca- trasferimento di informazioni tra luoghi differenti,
tions, the communication system then forms an il sistema di comunicazione costituisce allora una
integral part of the safety-related system and it parte del sistema in sicurezza e deve essere dimo-
must be shown that the end to end transmission strato che dall’inizio alla fine la trasmissione è si-
is safe in accordance with ENV 50129. cura nel rispetto della ENV 50129.
The safety requirements for a data communica- I requisiti di sicurezza di un sistema di elaborazio-
tion system depend on its characteristics which ne dipendono dalle sue caratteristiche che posso-
can be known or not. In order to reduce the no essere note oppure no. Al fine di ridurre la
complexity of the approach to demonstrate the complessità dell’approccio alla dimostrazione del-
safety of the system two classes of transmission la sicurezza del sistema sono stati considerate due
systems have been considered. The first class classi di sistemi di trasmissione. La prima classe
consists of the ones over which the safety sys- consiste in quelli sui quali il progettista del siste-
tem designer has some degree of control. It is ma ha un certo grado di controllo. È il caso dei si-
the case of the closed transmission systems stemi di trasmissione chiusi, i requisiti di sicurezza
whose safety requirements are defined in dei quali sono definiti nella in EN 50159-1. La se-
EN 50159-1. The second class, named open conda classe, chiamata dei sistemi di trasmissione
transmission system, consists of all the systems aperti, consiste in tutti quei sistemi le cui caratteri-
whose characteristics are unknown or partly stiche sono sconosciute o conosciute parzialmen-
unknown. This standard defines the safety rete. Questa Norma definisce i requisiti di sicurezza
quirements addressed to the transmission orientati alla trasmissione tramite sistemi aperti.
through open transmission systems.
The transmission system, which is considered in Il sistema di trasmissione, che è trattato in questa
this standard, has in general no particular pre- Norma non ha, in generale, particolari presuppo-
conditions to satisfy. It is from the safety point sti da soddisfare. Dal punto di vista della sicurez-
of view not or not fully trusted and is consid- za è, o non è, completamente affidabile ed è con-
ered as a “black box”. siderato come una “scatola nera”.
This standard is closely related to EN 50159-1 La presente Norma è strettamente correlata con la
“Safety-related communication in closed trans- EN 50159-1 “Comunicazioni in sicurezza in siste-
mission systems” and ENV 50129 “Safety related mi di trasmissione chiusi” e con la ENV 50129 “Si-
electronic systems for signalling”. stemi elettronici per segnalamento con riferimen-
to alla sicurezza”.
The standard is dedicated to the requirements La Norma è dedicata ai requisiti che devono esse-
to be taken into account for the transmission of re presi in considerazione per la trasmissione di
safety-related information over open transmis- informazioni in sicurezza con sistemi di trasmis-
sion systems. sione aperti.
Cross-acceptance, aimed at generic approval L’accettazione incrociata, mirata all’approvazione
and not at specific applications, is required in generica e non alle applicazioni specifiche, è ri-
the same way as for ENV 50129 “Safety related chiesta allo stesso modo della ENV 50129 “Sistemi
electronic systems for signalling”. elettronici di segnalamento in sicurezza”.
1 SCOPE SCOPO
This European Standard is applicable to safe- La presente Norma Europea si applica ai sistemi
ty-related electronic systems using an open elettronici in sicurezza che usano per la trasmis-
transmission system for communication purpos- sione un sistema aperto con scopi di comunica-
es. It gives the basic requirements needed, in zione. Questa fornisce i requisiti di base necessari
order to achieve safety-related transmission be- al fine di ottenere una trasmissione in sicurezza
tween safety-related equipment connected to tra equipaggiamenti in sicurezza connessi al siste-
the open transmission system. ma di trasmissione aperto.
This standard is applicable to the safety require- Questa Norma è applicabile alla specifica del re-
ment specification of the safety-related equip- quisito di sicurezza di equipaggiamenti in sicurez-
ment, connected to the open transmission sys- za, connessa al sistema di trasmissione aperto, al
tem, in order to obtain the allocated safety fine di ottenere il livello di integrità di sicurezza
integrity level. attribuito.
CEI EN 50159-2:2002-01 NORMA TECNICA

60 CEI EN 50159-2:2002-01
Pagina 1 di 54
The properties and behaviour of the open trans- Le proprietà e il comportamento del sistema di
mission system are only used for the definition trasmissione aperto sono usate solo per definire
of the performance, but not for safety. There- le prestazioni, ma non la sicurezza. Pertanto, dal
fore from the safety point of view the open punto di vista della sicurezza, il sistema di tra-
transmission system can potentially have any smissione aperto può avere potenzialmente qual-
property, as various transmission ways, storage siasi proprietà, come diverse vie di trasmissione,
of messages, unauthorised access, etc.. The memorizzazione di messaggi, accesso non auto-
safety process shall only rely on properties, rizzato, ecc. Il processo di sicurezza deve fare af-
which are demonstrated in the safety case. fidamento solo su proprietà che sono dimostrate
nel Dossier di sicurezza.
The safety requirement specification is a pre- La specifica del requisito di sicurezza è un pre-
condition of the safety case of a safety-related supposto del Dossier di sicurezza di un sistema
electronic system for which the required evi- elettronico in sicurezza per il quale le evidenze ri-
dences are defined in ENV 50129. Evidence of chieste sono definite nella ENV 50129. L’evidenza
safety management and quality management della gestione della sicurezza e la gestione della
has to be taken from ENV 50129. The commu- qualità devono essere assunte dalla ENV 50129. I
nication related requirements for evidence of requisiti correlati con la comunicazione per l’evi-
functional and technical safety are the subject of denza della sicurezza funzionale e tecnica sono
this standard. l’oggetto di questa Norma.
This standard is not applicable to existing sys- Questa Norma non è applicabile ai sistemi esi-
tems, which had already been accepted prior to stenti che sono già stati accettati prima della emis-
the release of this standard. sione di questa Norma.
This standard does not specify: Questa norma non specifica:
the open transmission system, il sistema di trasmissione aperto,
equipment connected to the open transmis- equipaggiamenti collegati al sistema di tra-
sion system, smissione aperto
solutions (e.g. for interoperability), soluzioni (ad esempio per l’interoperabilità),
which kinds of data are safety-related and quali generi di dati sono in sicurezza e quali
which are not. non lo sono.
2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI
This European Standard incorporates by dated La presente Norma include, tramite riferimenti da-
or undated reference, provisions from other tati o non datati, disposizioni provenienti da altre
publications. These normative references are Pubblicazioni. Questi riferimenti normativi sono
cited at appropriate places in the text and the citati, dove appropriato, nel testo e qui di seguito
publications are listed hereafter. For dated refer- sono elencate le relative Pubblicazioni. In caso di
ences, subsequent amendments to or revisions riferimenti datati, le loro successive modifiche o
of these publications apply to this European revisioni si applicano alla presente Norma solo
Standard only when incorporated in it by quando incluse in essa da una modifica o revisio-
amendment or revision. For undated references ne. In caso di riferimenti non datati, si applica
the latest edition of the publication referred to l’ultima edizione della Pubblicazione indicata
applies.
Pubblicazione Anno Titolo Norma CEI

Publication Year Title CEI Standard
EN 50126 1984 Applicazioni ferroviarie, tranviarie, filotranviarie, metropolitane - La speci- 9-58
ficazione e la dimostrazione di Affidabilità, Disponibilità, Manutenibilità e
Sicurezza (RAMS)
Railway applications - The specification and demonstration of Reliability,
Availability, Maintainability and Safety (RAMS)
EN 50128 2001 Railway applications - Communications, signalling and processing systems - —
Software for railway control and protection systems
ENV 50129 1998 Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi 9-55
elettronici il segnalamento in sicurezza
Railway applications - Safety related electronic systems for signalling
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 2 di 54
3 DEFINITIONS DEFINIZIONI
For the purpose of this standard, the following Per gli intendimenti della presente Norma, si ap-
definitions apply: plicano le seguenti definizioni:
3.1 Access protection Protezione di accesso

Processes designed to prevent unauthorised ac- Processi progettati per impedire accesso non au-
cess to read or to alter information, either with- torizzato a leggere o ad alterare informazioni, o
in user safety-related systems or within the entro sistemi utente in sicurezza o entro il siste-
transmission system. ma di trasmissione.
3.1.1 Hacker Hacker

A person trying deliberately to bypass access Una persona che tenta deliberatamente di supera-
protection. re la protezione d’accesso.
3.2 Authenticity Autenticità

The state in which information is valid and Lo stato nel quale l’informazione è valida ed è
known to have originated from the stated noto che abbia avuto origine dalla sorgente stabi-
source. lita.
3.3 Authorisation Autorizzazione

The formal permission to use a product/service Il permesso formale ad usare un prodotto/servizio
within specified application constraints. entro limiti di applicazione specificati.
3.3.1 Unauthorised access Accesso non autorizzato

A situation in which user information or infor- Una situazione nella quale informazioni utente o
mation within the transmission system is ac- informazioni di un sistema di trasmissione sono
cessed by unauthorised persons or hackers. oggetto di accesso a persone non autorizzate o ad
hackers.
3.3.2 Confidentiality Confidenzialità

The property that information is not made La proprietà dell’informazione di non essere di-
available to unauthorised entities. sponibile per entità non autorizzate.
3.4 Check Verifica

A process to increase assurance about the state Un processo per migliorare la certezza circa lo
of a system. stato di un sistema.
3.4.1 Redundancy check Verifica ridondante

A type of check that a predefined relationship Un tipo di verifica che accerta l’esistenza di una
exists between redundant data and user data relazione predefinita tra dati ridondanti e dati
within a message, to prove message integrity. utente entro un messaggio, per provare l’integrità
del messaggio.
3.5 Cryptographic techniques Tecniche crittografiche

Output data are calculated by an algorithm us- I dati di uscita sono calcolati con un algoritmo
ing input data and a key as a parameter. By che usa i dati d’ingresso e una chiave come para-
knowing the output data, it is impossible within metro. Conoscendo i dati di uscita, è impossibile
a reasonable time to calculate the input data calcolare, entro un tempo ragionevole, i dati d’in-
without knowledge of the key. It is also impos- gresso senza conoscere la chiave. È inoltre impos-
sible within a reasonable time to derive the key sibile desumere, entro un tempo ragionevole, la
from the output data, even if the input data are chiave dai dati di uscita, anche se sono noti i dati
known. d’ingresso.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 3 di 54
3.6 Data Dati
A part of a message which represents some in- Una parte di un messaggio che rappresenta delle
formation. informazioni.
3.6.1 Data corruption Corruzione di dati

The alteration of data. L’alterazione dei dati.
3.6.2 User data Dati utente

Data which represents the states or events of a Dati che rappresentano gli stati o gli eventi di un
user process, without any additional data. In processo utente, senza alcun dato addizionale.
case of communication between safety-related Nel caso di comunicazione tra equipaggiamenti in
equipment, the user data contains safety-related sicurezza, i dati utente contengono dati in sicurez-
data. za.
3.6.3 Additional data Dati addizionali

Data which is not of any use to the ultimate Dati che non sono di alcun utilizzo per il processo
user processes, but is used for control, availabili- utente finale, ma sono usati a scopo di controllo,
ty, and safety purposes. disponibilità, e sicurezza.
3.6.4 Redundant data Dati ridondanti

Additional data, derived, by a safety-related Dati addizionali, derivati, con un processo di tra-
transmission process, from the user data. smissione in sicurezza, dai dati utente.
3.6.4.1 Safety code Codice di sicurezza

Redundant data included in a safety-related Dati ridondanti inseriti in un messaggio in sicu-
message to permit data corruptions to be detect- rezza per consentire di rilevare la corruzione di
ed by the safety-related transmission process. dati dal processo di trasmissione in sicurezza. Può
Suitable encoding techniques may include. comprendere adatte tecniche di codifica.
3.6.4.1.1 Non cryptographic safety code Codice di sicurezza non crittografico

Redundant data based on non cryptographic Dati ridondanti basati su funzioni non crittografi-
functions included in a safety-related message che incluse in un messaggio in sicurezza per con-
to permit data corruptions to be detected by the sentire di rilevare la corruzione di dati dal proces-
safety-related transmission process. so di trasmissione in sicurezza.
3.6.4.1.1.1 Cyclic redundancy check (CRC) Verifica di ridondanza ciclica (CRC)

The CRC is based on cyclic codes, and is used La CRC è basata su codici ciclici, ed è usata per
to protect messages from the influence of data proteggere i messaggi dall’influenza delle corru-
corruptions. zioni di dati.
3.6.4.1.2 Cryptographic safety code Codice di sicurezza crittografico

Redundant data based on cryptographic func- Dati ridondanti basati su funzioni crittografiche
tions included in a safety-related message to incluse in un messaggio in sicurezza per consenti-
permit data corruptions and unauthorised ac- re di rilevare corruzioni di dati e accesso non au-
cess to be detected by the safety-related trans- torizzato nel processo di trasmissione in sicurez-
mission process. za.
3.6.4.1.2.1 Message authentication code (MAC) Codice di autenticazione del messaggio (MAC)
A cryptographic function of the whole message Una funzione crittografica dell’intero messaggio e
and a secret or public key. By the whole mes- una chiave segreta o pubblica. Per intero messag-
sage is meant also any implicit data of the mes- gio si intende anche ogni dato implicito del mes-
sage which is not sent to the transmission sys- saggio che non è inviato al sistema di trasmissio-
tem. ne.
3.6.4.1.2.2 Manipulation detection code (MDC) Codice di rilievo della manipolazione (MDC)
A function of the whole message, but in con- Una funzione dell’intero messaggio, ma in contra-
trast to a MAC there is no secret key involved. sto con il MAC non vi è chiave segreta coinvolta.
By the whole message is meant also any implic- Per intero messaggio si intende anche ogni dato
it data of the message which is not sent to the implicito del messaggio che non è inviato al siste-
transmission system. The MDC is often based ma di trasmissione. L’MDC è spesso basato su una
on a hash function. funzione hash.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 4 di 54
3.6.4.2 Sequence number Numero di sequenza
An additional data field containing a number Un campo di dati addizionali contenenti un nu-
that changes in a predefined way from message mero che cambia in modo predefinito da messag-
to message. gio a messaggio.
3.6.4.3 Time stamp Identificatore di tempo

Information attached to a message by the send- Informazione applicata ad un messaggio dall’emet-
er. titore.
3.6.4.3.1 Relative time stamp Identificatore di tempo relativo

A time stamp referenced to the local clock of an Un identificatore di tempo riferito all’orologio lo-
entity is defined as a relative time stamp. In cale di un’entità è definito come identificatore di
general there is no relationship to clocks of oth- tempo relativo. In generale non vi è alcuna rela-
er entities. zione con orologi di altre entità.
3.6.4.3.2 Absolute time stamp Identificatore di tempo assoluto

A time stamp referenced to a global time which Un identificatore di tempo riferito al tempo uni-
is common for a group of entities using a trans- versale che è comune per un gruppo di entità che
mission network is defined as an absolute time usano una rete di trasmissione è definito come
stamp. identificatore di tempo assoluto.
3.6.4.3.3 Double time stamp Identificatore di tempo doppio

When two entities exchange and compare their Quando due entità scambiano e confrontano i
time stamps, this is called double time stamp. In loro identificatori di tempo, questo è chiamato
this case the time stamps in the entities are in- identificatore di tempo doppio. In questo caso gli
dependent of each other. identificatore di tempo nelle entità sono indipen-
denti tra loro.
3.6.4.4 Source and destination identifier Identificatore di sorgete e di destinazione

An identifier is assigned to each entity. This Ad ogni entità è assegnato un identificatore. Questo
identifier can be a name, number or arbitrary identificatore può essere un nome, un numero o
bit pattern. This identifier will be used for the una tipologia di bit arbitraria. Questo identificatore
safety-related transmission. Usually the identifi- sarà usato per le trasmissioni in sicurezza. Normal-
er is added to the user data. mente l’dentificatore è aggiunto al dato utente.
3.7 Defence Difesa

A measure incorporated in the design of a safe- Un provvedimento inserito nel progetto di un si-
ty communication system to counter particular stema di comunicazione in sicurezza per contra-
threats. stare particolari minacce.
3.8 Error Errore

A deviation from the intended design which Una deviazione da un progetto previsto che po-
could result in unintended system behaviour or trebbe condurre al comportamento non previsto
failure. di un sistema o a un’avaria.
3.9 Failure Guasto

A deviation from the specified performance of a Una deviazione da una prestazione specificata di
system. A failure is the consequence of an fault un sistema. Un avaria è la conseguenza di un
or error in the system. guasto o errore nel sistema.
3.9.1 Random failure Guasto casuale

A failure that occurs randomly in time. Un’avaria che si verifica casualmente nel tempo.
3.9.2 Systematic failure Guasto sistematico

A failure that occurs repeatedly under some Un’avaria che si verifica in modo ripetitivo in al-
particular combination of inputs, or under some cune combinazioni particolari di ingressi, o in
particular environmental condition. qualche particolare condizione ambientale.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 5 di 54
3.10 Fault Guasto
An abnormal condition that could lead to an er- Una condizione anormale che potrebbe condurre
ror in a system. A fault can be random or sys- ad un errore in un sistema. Un guasto può essere
tematic. casuale o sistematico.
3.10.1 Random fault Avaria casuale

The occurrence of a fault based on probability L’accadimento di un guasto basato sulla teoria
theory and previous performance. delle probabilità e su precedente prestazione.
3.10.2 Systematic fault Avaria sistematica

An inherent fault in the specification, design, Un guasto intrinseco nella specifica, progetto, costru-
construction, installation, operation or mainte- zione, installazione, funzionamento o manutenzione
nance of a system, subsystem or equipment. di un sistema, sottosistema o equipaggiamento.
3.11 Hazard Pericolo

A condition that can lead to an accident. Una condizione che può portare ad un incidente.
3.11.1 Hazard analysis Analisi del pericolo

The process of identifying the hazards which a Il processo di identificazione dei pericoli che un
product or its use can cause. prodotto o il suo uso possono causare.
3.12 Information Informazione

A representation of the state or events of a Una rappresentazione di uno stato o eventi di un
process, in a form understood by the process. processo, in una forma compresa dal processo
3.13 Integrity Integrità

The state in which information is complete and Lo stato nel quale l’informazione è completa e
not altered. non alterata.
3.14 Message Messaggio

Information, which is transmitted from a sender Informazione, che è trasmessa da un emettitore
(data source) to one or more receivers (data (sorgente dei dati) a uno o più ricevitori (pozzo
sink). dei dati).
3.14.1 Valid message Messaggio valido

A message whose form meets in all respects the Un messaggio la cui forma soddisfa in tutti gli
specified user requirements. aspetti i requisiti utente specificati.
3.14.2 Message integrity Integrità del messaggio

A message in which information is complete Un messaggio nel quale l’informazione è comple-
and not altered. ta e non alterata.
3.14.3 Authentic message Messaggio autentico

A message in which information is known to Un messaggio nel quale l’informazione è noto
have originated from the stated source. che abbia origine dalla sorgente stabilita.
3.14.4 Message stream Flusso di messaggi

An ordered set of messages. Una serie ordinata di messaggi.
3.14.5 Message enciphering Cifraggio di messaggio

Transformation of bits by using a cryptographic Trasformazione di bit che usa la tecnica crittogra-
technique within a message, in accordance with fica entro un messaggio, in accordo con un algo-
an algorithm controlled by keys, to render casu- ritmo controllato da chiavi, per rendere la lettura
al reading of data more difficult. Does not pro- casuale dei dati più difficile. Non fornisce prote-
vide protection against data corruption. zione nei confronti della corruzione dei dati.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 6 di 54
3.14.6 Feedback message Messaggio di retroazione
A feedback message is defined as a response Un messaggio di retroazione è definito come una
from a receiver to the sender, via a return trans- risposta da un ricevitore a un emettitore, attraver-
mission channel. so un canale di trasmissione di ritorno.
3.14.7 Message handling Operazioni (handling) su messaggio

The processes, outside the direct control of the I processi, al di fuori del diretto controllo
user, which are involved in the transmission of dell’utente, che sono coinvolti nella trasmissione
the message stream between participants. del flusso di messaggi tra partecipanti.
3.14.8 Message errors Errori di messaggio

A set of all possible message failure modes Una serie di tutti i possibili modi di avaria di
which can lead to potentially dangerous situa- messaggio che possono portare ad una situazione
tions, or to reduction in system availability. potenzialmente pericolosa, o alla riduzione della
There may be a number of causes of each type disponibilità di un sistema. Vi possono essere
of error. molte cause per ogni tipo di errore.
3.14.8.1 Repeated message Messaggio ripetuto

A type of message error in which a single mes- Un tipo di errore di messaggio nel quale un singo-
sage is received more than once. lo messaggio può essere ricevuto più di una volta.
3.14.8.2 Deleted message Messaggio cancellato

A type of message error in which a message is Un tipo di errore di messaggio nel quale un mes-
removed from the message stream. saggio è rimosso dal flusso di messaggio.
3.14.8.3 Inserted message Messaggio inserito

A type of message error in which an additional Un tipo di errore di messaggio nel quale un messag-
message is implanted in the message stream. gio addizionale è inserito nel flusso di messaggi.
3.14.8.4 Resequenced message Messaggio risequenziato

A type of message error in which the order of Un tipo di errore di messaggio nel quale l’ordine
messages in the message stream is changed. dei messaggi nel flusso di messaggio è cambiato.
3.14.8.5 Corrupted message Messaggio corrotto

A type of message error in which a data corrup- Un tipo di errore di messaggio nel quale si verifi-
tion occurs. ca una corruzione del dato.
3.14.8.6 Delayed message Messaggio ritardato

A type of message error in which a message is Un tipo di errore di messaggio nel quale un messag-
received at a time later than intended. gio è ricevuto con ritardo rispetto a quanto previsto.
3.14.8.7 Masqueraded message Messaggio mascherato

A type of inserted message in which a non-au- Un tipo di messaggio inserito, nel quale un mes-
thentic message is designed to appear to be au- saggio non autentico è progettato che appaia au-
thentic. tentico.
3.15 Process Processo
3.15.1 User process Processo utente

A process within an application that contributes Un processo, in un’applicazione, che contribuisce di-
directly to the behaviour specified by the user rettamente al comportamento specificato dall’utente
of the system. del sistema.
3.15.2 Transmission process Processo di trasmissione

A process, within an application, that contrib- Un processo, in un’applicazione, che contribuisce
utes only to the transmission of information be- solo alla trasmissione di informazioni tra processi
tween user processes, and not to the user proc- utente, e non ai processi stessi dell’utente.
esses themselves.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 7 di 54
3.15.3 Access protection process Processo di protezione di accesso
A process within a system that contributes only Un processo, in un sistema, che contribuisce solo
to the access protection of information in the alla protezione di accesso dell’informazione nel si-
system, and not to the user processes or trans- stema, e non ai processi utente o ai processi di
mission processes themselves. trasmissione stessi.
3.16 Safety Sicurezza

Freedom from unacceptable levels of risk. Assenza di inaccettabili livelli di rischio.
3.16.1 Safety-related In sicurezza

Carries responsibility for safety. Comporta responsabilità di sicurezza.
3.16.2 Safety integrity level Livello di integrità della sicurezza

A number which indicates the required degree Un numero che indica il grado richiesto di fiducia
of confidence that a system will meet its speci- che un sistema soddisferà le caratteristiche di si-
fied safety features. curezza specificate.
3.16.3 Safety case Dossier di sicurezza

The documented demonstration that the prod- La dimostrazione documentata che il prodotto ri-
uct complies with the specified safety require- spetta i requisiti di sicurezza specificati.
ments.
3.17 Transmission system Sistema di trasmissione

A service used by the application to communi- Un servizio usato dall’applicazione per comunicare
cate message streams between a number of par- flussi di messaggi tra un numero di partecipanti,
ticipants, who may be sources or sinks of infor- che possono essere sorgenti o destinazioni d’infor-
mation. mazione.
3.17.1 Closed transmission system Sistema di trasmissione chiuso

A fixed number or fixed maximum number of Un numero fisso, o un numero fisso massimo, di
participants linked by a transmission system partecipanti collegati da un sistema di trasmissio-
with well known and fixed properties, and ne con proprietà ben conosciute e fisse, e ove il
where the risk of unauthorised access is con- rischio di accesso non autorizzato è considerato
sidered negligible. trascurabile.
3.17.2 Open transmission system Sistema di trasmissione aperto

a transmission system with an unknown Un sistema di trasmissione con un numero di par-
number of participants, having unknown, varia- tecipanti sconosciuto, con proprietà sconosciute,
ble and non-trusted properties, used for un- variabili e non-affidabili, usato per servizi di tele-
known telecommunication services, and for comunicazione non noti, e per il quale il rischio
which the risk of unauthorised access shall be di accesso non autorizzato deve essere valutato.
assessed.
3.18 Threat Minaccia

A potential violation of safety including access Una violazione potenziale della sicurezza com-
protection of a communication system. presa la protezione di accesso di un sistema di co-
municazione.
3.19 Timeliness Tempestività

The state in which information is available at Lo stato nel quale l’informazione è disponibile al
the right time according to requirements. momento giusto in accordo con i requisiti.
3.20 Validity Validità

The state of meeting in all respects the specified lo stato che soddisfa in tutti gli aspetti i requisiti
user requirements. utente specificati.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 8 di 54
4 REFERENCE ARCHITECTURE ARCHITETTURA DI RIFERIMENTO
This reference architecture for a safety-related Questa architettura di riferimento per un sistema
transmission system is based on: in sicurezza è basata su:
The non trusted transmission system, what- Il sistema di trasmissione non affidabile, qual-
ever internal transmission protection mech- siasi meccanismo interno di protezione della
anisms are incorporated. trasmissione sia inserito.
The safety-related transmission functions. Le funzioni di trasmissione in sicurezza.
The safety-related access protection functions. Le funzioni di protezione di accesso in sicurezza.
For the purposes of this standard, the open Per gli intendimenti di questa norma, il sistema di
transmission system is assumed to consist of trasmissione aperto si assume che consista in tutto
everything (hardware, software, transmission quanto (hardware, software, mezzo di trasmissio-
media, etc.) occurring between two or more ne, ecc.) occorre tra due o più equipaggiamenti in
safety-related equipment which are connected sicurezza che sono connessi al sistema di trasmis-
to the transmission system. sione.
The open transmission system can contain Il sistema di trasmissione aperto può contenere in
some or all of the following: parte o tutto quanto segue:
Elements which read, store, process or Elementi che leggono, memorizzano, elabora-
re-transmit data produced and presented by no o ritrasmettono i dati prodotti e presentati
users of the transmission system in accord- dagli utenti del sistema di trasmissione in ac-
ance with a program not known to the user. cordo con un programma non noto all’utente.
The number of the users is generally un- Il numero degli utenti è generalmente scono-
known, safety-related and non safety-relat- sciuto, equipaggiamenti in sicurezza e non ed
ed equipment and equipment which are not equipaggiamenti che non sono correlati con
related to railway applications can be con- le applicazioni ferroviarie possono essere
nected to the open transmission system. connessi al sistema di trasmissione aperto.
Transmission media of any type with transmis- Mezzi di trasmissione di ogni tipo con caratteri-
sion characteristics and susceptibility to exter- stiche di trasmissione e di suscettibilità alle in-
nal influences which are unknown to the user. fluenze esterne che non sono note all’utente.
Network control and management systems Controllo di rete e gestione di sistemi capaci
capable of routing (and dynamically re-rout- di instradare (e reinstradare dinamicamente)
ing) messages via any path made up from messaggi attraverso ogni cammino costituito
one or more than one type of transmission da uno o più tipi di mezzi di trasmissione tra
media between the ends of open transmis- gli estremi di un sistema di trasmissione aper-
sion system, in accordance with a program to, in accordo con un programma non noto
not known to the user. all’utente
The open transmission system may be subject Il sistema di trasmissione aperto può essere sog-
to the following: getto a quanto segue:
Other users of the transmission system, not Altri utenti del sistema di trasmissione, non
known to the control and protection system noti al progettista del sistema di protezione e
designer, sending unknown amounts of in- controllo, che inviano quantità non note di in-
formation, in unknown formats. formazioni, in formati non noti.
User of the transmission system who may Utenti del sistema di trasmissione che posso-
attempt to gain access to data originating no tentare di ottenere accesso a dati che han-
from other users, in order to read it and/or no origine da altri utenti, al fine di leggerli
mimic it without authorisation from the sys- e/o imitarli senza autorizzazione a fare ciò, da
tem manager to do so. parte del gestore del sistema.
Any kind of additional threats to the integri- Ogni genere di ulteriore minaccia all’integrità
ty of the safety-related data. dei dati in sicurezza.
A principle structure of the safety-related system Una struttura di principio di un sistema in sicurez-
using an open transmission system is illustrated za che usa un sistema di trasmissione aperto è il-
in Figure 1. The principle model of a safety-re- lustrata in Fig. 1. Il modello di principio di un
lated message is shown in Figure 2. messaggio in sicurezza è mostrato in Fig. 2.
No safety requirements shall be placed upon Nessuno dei requisiti di sicurezza può ricadere
the non-trusted characteristics of the open sulle caratteristiche non affidabili di un sistema di
transmission system. Safety aspects are covered trasmissione aperto. Gli aspetti di sicurezza sono
by applying safety procedures and safety en- coperti con l’applicazione di procedure di sicu-
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 9 di 54
coding to the safety-related transmission func- rezza e di codifica di sicurezza per le funzioni
tions. della trasmissione in sicurezza.
Fig. 1 Structure of safety-related system using a non

trusted transmission system
Fig. 2 Model of a safety-related message
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 10 di 54
Struttura di un sistema in sicurezza che usa un siste-
ma di trasmissione non affidabile
Equipaggiamento in Equipaggiamento in Equipaggiamento

sicurezza sicurezza non in sicurezza
Processo di Informazione Processo di Informazione Processo di

applicazione applicazione applicazione
in sicurezza non in sicurezza
Processo di trasmissio- Difesa contro gli Processo di

ne in sicurezza errori di trasmis- trasmissione in
sione sicurezza
Sistema di trasmissione
Processo di protezio- Difesa contro Processo di protezio- in sicurezza EN 50159-2
ne di accesso in sicu- accesso non ne di accesso in

rezza autorizzato sicurezza
Messaggio
in sicurezza
Sistema di trasmissione aperto
Modello di messaggio in sicurezza
Dati addizionali del sistema di trasmissione aperto
Protezione di accesso in sicurezza
Protezione di trasmissione
in sicurezza
Dati utente
Messaggio
Informazione in sicurezza
dell’applicazione
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 11 di 54
5 THREATS TO THE TRANSMISSION SYSTEM MINACCE AL SISTEMA DI TRASMISSIONE
Only threats to the transmission systems shall Devono essere considerate solo le minacce ai si-
be considered. Threats to the safety-related stemi di trasmissione. Le minacce ad equipaggia-
equipment shall be considered in accordance menti in sicurezza devono essere considerate in
with ENV 50129. accordo con la ENV 50129.
This standard refers to communications be- Questa norma si riferisce a trasmissioni tra appli-
tween generic applications using a transmission cazioni generiche che usano un sistema di tra-
system whose characteristics are (at least par- smissione le cui caratteristiche sono (almeno par-
tially) unknown. zialmente) sconosciute.
It is therefore necessary to define a main hazard È pertanto necessario definire un pericolo princi-
for safety independently from the functionality pale per la sicurezza indipendentemente dalla fun-
of the particular application and of the charac- zionalità della particolare applicazione e dalla ca-
teristics of the network; the pertinent definition ratteristica della rete; la definizione pertinente è:
is: “Failure to obtain an authentic (and conse- “Avaria che fa ottenere un messaggio autentico (e
quently valid) message at the receiver end”. di conseguenza valido) al terminale del ricevitore”.
With reference to annex D, a set of possible ba- Con riferimento all’Allegato D, è stata dedotta una
sic message errors has been derived. serie di possibili errori di messaggio di base.
The corresponding threats are: Le minacce corrispondenti sono:
repetition, ripetizione,
deletion, cancellazione,
insertion, inserzione,
resequence, nuova sequenza (resequence),
corruption, corruzione,
delay, ritardo,
masquerade. mascheramento.
Meeting the requirements of this standard does Soddisfare i requisiti di questa norma non dà pro-
not give protection against intentional or unin- tezione nei confronti di cattivo uso intenzionale o
tentional misuse coming from authorised sourc- non intenzionale che deriva da sorgenti autorizza-
es. The safety case shall address these aspects. te. Il Dossier di sicurezza deve trattare tali aspetti.
6 REQUIREMENTS FOR DEFENCES REQUISITI DELLE DIFESE
6.1 Introduction Introduzione

Certain techniques have been adopted in data Certe tecniche sono state adottate in passato nei si-
transmission systems (non-safety-related, safe- stemi di trasmissione di dati (non in sicurezza, in si-
ty-related) in the past. These techniques form a curezza) Queste tecniche formano una “libreria” di
“library” of possible methods accessible to the metodi possibili accessibile al progettista del sistema
control and protection system designer, to provide di controllo e protezione, per fornire una protezione
protection against each threat identified above. nei confronti delle minacce sopra identificate.
These techniques that can be seen as logical de- Queste tecniche che possono essere viste come dife-
fences are not a complete set, new techniques se logiche non sono una serie completa, in futuro
may be developed in the future which offer new possono essere sviluppate nuove tecniche che offro-
possibilities to the designer. Such new techniques no nuove possibilità al progettista. Tali nuove tecni-
may be used to provide protection against these che possono essere usate per fornire protezione con-
threats, provided that the coverage of the tech- tro queste minacce, purché la copertura che danno le
niques is well understood and has been analysed. tecniche sia ben compresa e sia stata ben analizzata.
To reduce the risk associated with the threats Per ridurre i rischi associati con le minacce identi-
identified in the preceding section, the follow- ficate nella sezione precedente, devono essere
ing safety services shall be considered and pro- considerati i seguenti servizi di sicurezza e forniti
vided to the extent needed for the application: nella misura richiesta dall’applicazione:
message authenticity, autenticità del messaggio,
message integrity, integrità del messaggio,
message timeliness, tempestività del messaggio,
message sequence. sequenza del messaggio.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 12 di 54
The following set of known defences has been Sono state sottolineate la seguente serie di difese
outlined: note:
a) Sequence number; a) Numero di sequenza;
b) Time stamp; b) Identificatore di tempo;
c) Time-out; c) Time-out;
d) Source and destination identifiers; d) Identificatori di sorgente e di destinazione;
e) Feedback message; e) Messaggio di retroazione;
f) Identification procedure; f) Procedura di identificazione;
g) Safety code; g) Codice di sicurezza;
h) Cryptographic techniques. h) Tecniche crittografiche.
6.2 General requirements Requisiti generali

1) Adequate defences shall be provided 1) Devono essere previste adeguate difese contro
against all identified threats to the safety of tutte le minacce identificate alla sicurezza dei si-
systems using open communication net- stemi che usano reti di sistemi di comunicazio-
works. Any threats which are not to be as- ne aperte. Ogni minaccia che non sia considera-
sumed shall be agreed with the safety au- ta deve essere concordata con l’autorità per la
thority and/or railway authority and shall be sicurezza e/o l’autorità ferroviaria e deve essere
put into the safety-related application con- inserita nelle condizioni dell’applicazione in si-
ditions. Annex D derives a possible list of curezza. L’Allegato D deduce un possibile elen-
threats, to be used as guidance. co di minacce, da usare come guida.
2) Detailed requirements for the defences 2) Requisiti dettagliati per le difese necessarie
needed for the application shall take into per l’applicazione devono tenere in conside-
account: razione:
the level of risk (frequency/consequence) il livello di rischio (frequenza/conseguenza)
identified for each particular threat, and identificato per ogni particolare minaccia, e
the safety integrity level of the data and il livello di integrità di sicurezza del dato
process concerned. e del processo relativo.
Annex A (guidelines for defences) gives L’Allegato A (linee guida per le difese) fornisce
guidance on the selection of currently una guida alla scelta delle tecniche corrente-
known techniques to give defence against mente conosciute per fornire difesa contro mi-
threats. Issues of effectiveness addressed in nacce. I problemi di efficienza trattati in questo
this annex should be carefully considered allegato dovrebbero essere attentamente consi-
when the defence is chosen. derati quando è stata scelta la difesa.
3) The requirements for the defences needed 3) I requisiti per le difese necessarie devono es-
shall be included in the system require- sere inclusi nella specifica dei requisiti del si-
ments specification and in the system safety stema e nella specifica dei requisiti di sicurez-
requirements specification for the applica- za del sistema per l’applicazione, e devono
tion, and shall form input to the “assurance costituire un dato d’ingresso alla parte di “as-
of correct operation” portion of the safety sicurazione di corretto funzionamento” del
case for the application. Dossier di sicurezza per l’applicazione.
4) All defences shall be implemented according 4) Tutte le difese devono essere implementate
to the requirements defined in ENV 50129. secondo i requisiti definiti nella ENV 50129.
This implies that the defences: Questo implica che le difese:
shall be implemented completely within devono essere implementate in modo
the safety-related transmission equip- completo entro l’equipaggiamento di tra-
ment of the system, or smissione in sicurezza del sistema, o
may include access protection measures possono comprendere misure di protezio-
not implemented within the safety-relat- ne d’accesso non implementate entro
ed equipment. In this case, the contin- l’equipaggiamento in sicurezza. In tale ca-
ued correct functioning of the access so, il continuo funzionamento corretto dei
protection processes shall be checked processi di protezione di accesso deve es-
with adequate safety-related techniques sere verificato con tecniche in sicurezza
for the application. adeguate all’applicazione.
5) Mandatory requirements for particular defenc- 5) Nelle sezioni seguenti vengono dati requisiti
es are given in the following sections. They obbligatori per difese particolari. Essi si appli-
apply when the particular defence is used. cano quando è usata una difesa particolare.
6) Other defences than those described in this 6) Possono essere usate difese diverse da quelle
standard may be used, provided that analy- descritte in questa norma, purché l’analisi del-
sis of their effectiveness against threats is in- la loro efficienza contro le minacce sia inserita
cluded in the safety case. nel Dossier di sicurezza.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 13 di 54
7) The safety case, as described in ENV 50129 7) Il Dossier di sicurezza, come descritto nella
shall include: ENV 50129 deve comprendere:
analysis of each defence used in the l’analisi di ogni difesa usata nel sistema di
safety transmission system, trasmissione di sicurezza,
the safety reaction in case of a detected la reazione di sicurezza nel caso di rilievo
transmission error. di un errore di trasmissione.
6.3 Specific defences Difese specifiche

The following subclauses show short introduc- I seguenti paragrafi riportano una breve introdu-
tions and the requirements for specific defences, zione e i requisiti per le difese specifiche, che
which are effective either alone or in combina- sono efficaci o sole o in combinazione contro mi-
tion against single or combined threats. All gen- nacce singole o combinate. Tutti i requisiti gene-
eral requirements listed above shall be applied. rali sopra elencati devono essere applicati.
More detailed descriptions of the defences and Descrizioni più dettagliate delle difese e delle
the relation with all possible threats are given in combinazioni, con tutte le possibili minacce, sono
informative annex A (guidelines for defences). date nell’Allegato informativo A (Linee guida per
le difese).
6.3.1 Sequence number Numero di sequenza
6.3.1.1 Introduction Introduzione

Sequence numbering consists of adding a run- La numerazione della sequenza consiste nell’ag-
ning number (called sequence number) to each giungere un numero corrente (chiamato numero
message exchanged between a transmitter and di sequenza) a ciascun messaggio scambiato tra
a receiver. This allows the receiver to check the un trasmettitore e un ricevitore. Questo permette
sequence of messages provided by the transmit- al ricevitore di verificare la sequenza dei messaggi
ter. forniti dal trasmettitore.
6.3.1.2 Requirements Requisiti

The safety case shall demonstrate the appropri- Il Dossier di sicurezza deve dimostrare l’appro-
ateness in relation to the safety integrity level of priatezza in relazione al livello di integrità di sicu-
the process, and the nature of the safety-related rezza del processo, e la natura del processo in si-
process, of the following: curezza, per quanto segue:
the length of the sequence number; La lunghezza del numero di sequenza;
the provision for initialisation of the se- Che sia prevista l’inizializzazione del numero
quence number; di sequenza;
the provision for recovery following inter- Che sia previsto il recupero che consegue ad
ruption of the sequence of the messages. una interruzione della sequenza dei messaggi.
6.3.2 Time stamp Identificatore di tempo

When an entity receives information the mean- Quando un’entità riceve un’informazione il significa-
ing of the information is often time related. The to dell’informazione è spesso correlato con il tempo.
degree of dependence between information Il grado di dipendenza tra l’informazione e il tempo
and time may differ between applications. In può essere diverso tra le applicazioni. In alcuni casi
certain cases old information can be useless and una vecchia informazione può essere inutile o inno-
harmless and in other cases the information cua e in certi casi una vecchia informazione potreb-
could be a potential danger for the user. De- be essere potenzialmente pericolosa per l’utente. In
pending on the behaviour in time of the proc- relazione al comportamento nel tempo dei processi
esses which interchange information (cyclic, che interscambio l’informazione (ciclica, evento
event controlled etc.) the solution may differ. controllata, ecc.) la soluzione può essere diversa.
One solution which covers time-information re- Una soluzione che copre le relazioni tempo- infor-
lationships is to add time stamps to the informa- mazione è quella di aggiungere gli identificatori di
tion. This kind of information can be used in tempo all’informazione. Questo tipo di informazio-
place of or combined with sequence numbers ne può essere usato in luogo di, o in combinazio-
depending on application requirements. Differ- ne con, numeri di sequenza in relazione ai requisiti
ent uses of time stamps and their properties are dell’applicazione. Usi differenti degli identificatori
shown in annex A. di tempo e delle loro proprietà sono indicati
nell’Allegato A.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 14 di 54
the process, and the nature of the safety-related rezza del processo, e la natura del processo in si-
process, of the following: curezza, per quanto segue:
the value of the time increment; Il valore dell’incremento di tempo;
the accuracy of the time increment; La precisione dell’incremento di tempo;
the size of the timer; La dimensione del temporizzatore;
the absolute value of the timer (e.g. UTC Il valore assoluto del temporizzatore (ad esem-
(universal co-ordinated time) or any other pio. UTC (tempo coordinato universale) o ogni
global clock); altro orologio universale);
the synchronism of the timers in the various Il sincronismo dei temporizzatori nelle varie en-
entities; tità;
the time delay between originating of infor- Il ritardo di tempo tra l’origine dell’informa-
mation and adding a time stamp to it; zione e l’aggiunta di un identificatore di tem-
po a questo;
the time delay between checking the time Il ritardo di tempo tra la verifica dell’identificato-
stamp and using the information. re di tempo e l’uso dell’informazione.
6.3.3 Time-out Time-out

In transmission (typically cyclic) the receiver In trasmissione (tipicamente ciclica) il ricevitore
can check if the delay between two messages può verificare se il ritardo tra due messaggi ecce-
exceeds a predefined allowed maximum time. de un tempo massimo consentito e prefissato. Se
If this is the case, an error shall be assumed. questo accade, si deve considerare un errore.
Fig. 3 Cyclic transmission of messages Trasmissione ciclica di messaggi
Trasmettitore Ricevitore
Sender Receiver
mess
aggio
mess
a i
ge i
mess
aggio
mess
age J j
If a back channel is available, supervision can Se è disponibile un canale di ritorno, può essere
be performed by the sender. The sender starts a eseguita la supervisione dal trasmettitore. L’emet-
timer when sending a message i. The receiver titore fa partire un temporizzatore quando invia
of message i responds with an acknowledge un messaggio i. Il ricevitore del messaggio i ri-
message j related to the received message i. If sponde con un messaggio di riconoscimento j
the sender does not receive the corresponding correlato con il messaggio ricevuto i. Se il tra-
acknowledge message j within a predefined smettitore non riceve il corrispondente messaggio
time, an error shall be assumed. di riconoscimento j entro un tempo definito, si
deve considerare un errore.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 15 di 54
Fig. 4 Bi-directional transmission of messages Trasmissione bidirezionale di messaggi
Trasmettitore Ricevitore
Sender Receiver
mess
aggio
mess i
a ge i
io j
sagg
mes e J
ag
mess

the process and the nature of the safety related rezza del processo e la natura del processo in si-
process of the following: curezza, per quanto segue:
the acceptable delay, Il ritardo accettabile,
the accuracy of the time-out. La precisione del time-out.
6.3.4 Source and destination identifiers Identificatori di sorgente e destinazione

Multi-party communication processes need ade- I processi di comunicazione con più parti richiedo-
quate means for checking the source of all inno mezzi adeguati per la verifica della sorgente di
formation received, before it is used. Messages tutte le informazioni ricevute, prima del loro utilizzo
shall include additional data to permit this. I messaggi devono contenere dati addizionali per
permettere questo.
Messages may contain a unique source identifi- I messaggi possono contenere un unico identifi-
er, or a unique destination identifier, or both. catore di sorgente, o un unico identificatore di de-
The choice is made according to the safety-re- stinazione, o entrambi. La scelta è fatta secondo
lated application. These identifiers are added in l’applicazione in sicurezza. Questi identificatori
the safety-related transmission functions for the sono aggiunti nelle funzioni delle trasmissioni in
application. sicurezza per l’applicazione.
Inclusion of a source identifier in messages L’introduzione di un identificatore di sorgente
can enable users of the messages to verify nei messaggi può consentire agli utenti dei
that messages are from the intended source, messaggi di verificare che i messaggi sono
without the need for any dialogue between della sorgente prevista, senza necessità di al-
users. This can be useful, for example, in cun dialogo tra utenti. Questo può essere uti-
uni-directional or broadcast communica- le, ad esempio, in sistemi di comunicazione
tion systems. unidirezionale o circolare.
Inclusion of a destination identifier in mes- L’introduzione di un identificatore di destina-
sages can enable users of the messages to zione nei messaggi consente agli utenti di
verify that messages are intended for them, messaggi di verificare che i messaggi sono de-
without the need for any dialogue between stinati a loro, senza la necessità di dialogo tra
users. This can be useful, for example, in utenti. Questo può essere utile, ad esempio,
uni-directional or broadcast communica- in sistemi di comunicazione unidirezionale o
tion systems. Destination identifiers can be circolare. Identificatori di destinazione posso-
chosen to identify individual destinations, no essere scelti per identificare destinazioni
or groups of users. individuali, o gruppi di utenti.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 16 di 54
ateness, in relation to the safety integrity level priatezza in relazione al livello di integrità di sicu-
of the process and the nature of the safety-relat- rezza del processo e la natura del processo in si-
ed process, of the following: curezza, per quanto segue:
the uniqueness of the identifiers for entities L’unicità degli identificatori per entità nell’in-
in the entire transmission system; tero sistema di trasmissione;
the size of the identifier data field. La dimensione del campo dei dati dell’identi-
ficatore.
6.3.5 Feedback message Messaggio di retroazione

Where an appropriate transmission channel is Dove è disponibile un adatto canale di trasmissio-
available, a feedback message may be sent from ne, un messaggio di retroazione può essere invia-
the receiver of safety-critical information to the to dal ricevitore di un informazione in sicurezza
sender. The contents of this feedback message all’emettitore. Il contenuto di questi messaggi di
may include: retroazione può prevedere:
data derived from the contents of the origi- Dati derivati dai contenuti dei messaggi origi-
nal message, in identical or altered form; nali, in forma identica o alterata;
data added by the receiver, derived from its Dati aggiunti dal ricevitore, derivati dalla pro-
own local user process information; pria informazione del processo utente locale;
additional data for safety or security purposes. Dati addizionali per scopi di sicurezza e pro-
tezione dati.
The use of such a feedback message can con- L’uso di tale messaggio di retroazione può contri-
tribute to the safety of the process in a variety buire alla sicurezza del processo in una varietà di
of ways: modi:
by providing positive confirmation of recep- Fornendo conferma positiva della ricezione di
tion of valid and timely messages; messaggi validi e tempestivi;
by providing positive confirmation of recep- Fornendo conferma positiva della ricezione di
tion of corrupted messages, to enable ap- messaggi corrotti, per consentire di intrapren-
propriate action to be taken; dere adatte azioni;
by confirming the identity of the receiving Confermando l’identità dell’equipaggiamento
equipment; di ricezione;
by facilitating synchronisation of clocks in Facilitando la sincronizzazione degli orologi
sending and receiving equipment; degli equipaggiamenti di emissione e di rice-
zione;
by facilitating dynamic checking procedures Facilitando le procedure di verifica dinamica
between parties; tra le parti;
etc. ecc.
6.3.5.2 Requirements Requisti

The existence of a return channel does not in- L’esistenza di un canale di ritorno non fornisce in-
trinsically provide a defence against any identi- trinsecamente una difesa contro ogni minaccia
fied threat; it is an enabling mechanism for oth- identificata; esso è un meccanismo che consente
er defences at the application level. Therefore, altre difese a livello di applicazione. Pertanto, non
there are no specific safety requirements for vi sono requisiti di sicurezza specifici per tale ca-
such a feedback channel. nale di retroazione.
6.3.6 Identification procedure Procedure d’identificazione

The previous section covered the requirements La sezione precedente ha trattato requisiti per en-
for entities to be identified. tità da identificare.
Open transmission systems may additionally in- I sistemi di trasmissione aperti possono introdurre,
troduce the risk of messages from other (un- addizionalmente il rischio di messaggi da altri utenti
known) users being confused with information (sconosciuti) che possono essere confusi con infor-
originating from an intended source (a form of mazioni che hanno origine da una sorgente stabilita
masquerade). (una forma di messaggio mascherato).
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 17 di 54
A suitably designed identification procedure Una procedura d’identificazione progettata in
within the safety-related process can provide a modo adatto nel processo in sicurezza può forni-
defence against this threat. re una difesa nei confronti di questa minaccia.
Two types of identification procedure can be Possono esser distinte due tipi di procedure d’iden-
distinguished: tificazione:
bi-directional identification identificazione bidirezionale
Where a return communication channel is Ove è disponibile un canale di comunicazio-
available, exchange of entity identifiers be- ne di ritorno, scambi di identificatori di entità
tween senders and receivers of information tra emettitori e ricevitori di informazioni pos-
can provide additional assurance that the sono fornire ulteriore assicurazione che la co-
communication is actually between the in- municazione avviene realmente tra le parti
tended parties. previste.
dynamic identification procedures Procedure d’identificazione dinamica
Dynamic exchange of information between Scambio dinamico di informazioni tra emetti-
senders and receivers, including transforma- tori e ricevitori, compresa la trasformazione e
tion and feedback of received information to la retroazione delle informazioni ricevute
the sender, can provide assurance that the all’emettitore, può fornire assicurazione che le
communicating parties not only claim to pos- parti comunicanti non solo dichiarano di pos-
sess the correct identity, but also behave in the sedere la corretta identità, ma si comportano
manner expected. This type of dynamic identi- anche in modo atteso. Questo tipo di proce-
fication procedure can be used to preface the dura di può essere usato per introdurre la tra-
transmission of information between commu- smissione dell’informazione tra processi in si-
nicating safety-related processes and/or it can curezza di comunicazione e/o può essere
be used during the information transmission usato durante la trasmissione dell’informazio-
itself. ne stessa.

Identification procedure forms a part of the La procedura di identificazione costituisce una
safety-related application process. The detailed parte del processo dell’applicazione in sicurezza.
requirements shall be defined in the safety re- I requisiti dettagliati devono essere definiti nella
quirement specification. specifica dei requisiti di sicurezza.
6.3.7 Safety code Codice di sicurezza

In an open transmission system, in general, In un sistema di trasmissione aperto, in generale i
transmission codes are used to detect bit and/or codici di trasmissione sono usati per rilevare bit e/o
burst errors, and/or to improve the transmission errori di burst, e/o migliorare la qualità della trasmis-
quality by error correction techniques. sione con tecniche di correzione dell’errore.
The safety-related process shall not trust those I processi in sicurezza non devono dare fiducia a
transmission codes from the point of view of questi codici di trasmissione dal punto di vista della
safety. Therefore an additional safety code un- sicurezza. Pertanto un codice di sicurezza addizio-
der the control of the safety-related process is nale sotto il controllo del processo in sicurezza è ri-
required to detect message corruption. chiesto che rilevi la corruzione del messaggio.

ateness, in relation to the safety integrity level priatezza, in relazione al livello di integrità di si-
of the process and the nature of the safety-relat- curezza del processo e la natura del processo in
ed process, of the following: sicurezza, per quanto segue:
the capability for detection of all expected La capacità di rilevare tutti i tipi di errore che
types of errors. ci si può aspettare.
the probability of detection of message cor- La probabilità di rilevare la corruzione del
ruption. messaggio.
Guidance for selection of safety codes is given Una guida alla scelta dei codici di sicurezza è for-
in annex A. nita nell’Allegato A.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 18 di 54
6.3.8 Cryptographic techniques Tecniche crittografiche

Cryptographic techniques can be used if mali- Le tecniche crittografiche possono essere usate se
cious attacks within the open transmission net- possono essere esclusi attacchi maligni alla rete di
work cannot be ruled out. trasmissione aperta.
This is usually the case when the safety-related Questo è normalmente il caso in cui il sistema di
transmission system uses a: trasmissione in sicurezza usa una/un:
public network; Rete pubblica;
radio transmission system; Sistema di radiotrasmissione;
transmission system with connections to Sistema di trasmissione collegato alla rete
public networks. pubblica.
These techniques can be combined with the Queste tecniche possono essere o combinate con
safety encoding mechanism or provided sepa- un meccanismo di codifica di sicurezza o previste
rately. Annex A shows some possible solutions. separatamente. L’Allegato A mostra alcune solu-
zioni possibili.
Cryptographic techniques imply the use of keys Le tecniche crittografiche implicano l’uso di chiavi
and algorithms. The degree of effectiveness de- ed algoritmi. Il grado di efficienza dipende dalla
pends on the strength of the algorithms and the potenza degli algoritmi e dalla segretezza delle
secrecy of the keys. The secrecy of a key de- chiavi. La segretezza della chiave dipende dalla
pends on its length and its management. sua lunghezza e dalla sua gestione.

ateness, in relation to the safety integrity level priatezza, in relazione al livello di integrità di si-
of the process and the nature of the safety-relat- curezza del processo e la natura del processo in
ed process, of the following: sicurezza, per quanto segue:
technical choice of cryptographic tech- Scelta tecnica delle tecniche crittografiche, com-
niques, including preso
performance of encryption algorithm prestazione dell’algoritmo criptato
justification of selected key length giustificazione della lunghezza della chia-
ve scelta
frequency of key change frequenza del cambio della chiave
physical storage of keys memorizzazione fisica delle chiavi
Management activities, including Attività di gestione, compreso:
production, storage, distribution and produzione, memorizzazione, distribuzio-
revocation of confidential keys ne e revoca delle chiavi confidenziali
management of equipment gestione dell’equipaggiamento
review process of adequacy of crypto- processo di revisione dell’adeguatezza
graphic techniques, in relation to risks delle tecniche crittografiche, in relazione
of malicious attacks. al rischio di attacchi maligni.
The cryptographic algorithm shall be applied to L’algoritmo crittografico deve essere applicato a
all user data and it may be applied over some tutti i dati utente e può essere applicato su qual-
additional data that is not transmitted but is che dato addizionale che non è trasmesso, ma è
known to the sender and receiver (implicit data). noto all’emettitore e al ricevitore (dato implicito).
Reasonable assumptions shall be described Assunzioni ragionevoli devono essere esposte cir-
about nature, motivations, financial and techni- ca la natura, la motivazione, i mezzi tecnici e fi-
cal means of potential attacker, taking into ac- nanziari di attori di potenziali attacchi, tenendo
count also modifications (both technical, as in- anche conto di modifiche (sia tecniche, come
crease of power of computers, decrease of costs l’aumento della potenza dei computer, riduzione
of fast processors, spread of knowledge about dei costi di processori rapidi, diffusione della co-
algorithms, and “social”, as economic conflicts, noscenza degli algoritmi, che “sociali”, come con-
worsening of vandalism...) that can be expected flitti economici, peggioramento di vandalismi...)
during the life-time of the system. che ci si può attendere durante la vita del sistema.
For the key management, standardised tech- Per la gestione della chiave, sono altamente rac-
niques are highly recommended (e.g. according comandate tecniche standardizzate (ad esempio
to ISO/IEC 11770). secondo la ISO/IEC 11770).
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 19 di 54
7 APPLICABILITY OF DEFENCES AGAINST APPLICABILITÀ DELLE DIFESE CONTRO LE
THREATS MINACCE
7.1 Introduction Introduzione

The defences outlined in clause 6 can be relat- Le difese messe in evidenza nell’art. 6 possono esse-
ed to the set of possible threats, defined in re correlate con una serie di possibili minacce, defi-
clause 5. Each defence can provide protection nite nell’art. 5. Ogni difesa può fornire protezione
against one or more threats to the transmission. nei confronti di una o più minacce alla trasmissione.
In the safety case it shall be demonstrated that Nel Dossier di sicurezza deve essere dimostrato che
there is at least one corresponding defence or c’è almeno una difesa o una combinazione di difese
combination of defences for the defined possi- che corrisponde alle possibili minacce definite in ac-
ble threats in accordance to Table 1. cordo con la Tab. 1.
7.2 Threats/defences matrix Matrice delle minacce/difese

The X’s in Table 1 indicate that a defence can Le X nella Tab. 1 indicano che una difesa può for-
provide a protection against the corresponding nire una protezione nei confronti della corrispon-
threat. dente minaccia.
Tab. 1 Threats/defences matrix Matrice delle minacce/difese
Difese
Defences
Minacce Numero di Identificatore Time-out Identificatori di Messaggio di Procedure di Codice di Tecniche
Threats sequenza di tempo Time-out sorgente retroazione identificazione sicurezza crittografiche
Sequence Time stamp e di destinazione Feed-back Identification Safety Cryptographic
number Source and desti- message procedure code techniques
nation identifiers
Ripetizione X X
Repetition
Cancellazione X
Deletion
Inserzione X X(2) X(1) X(1)
Insertion
Nuova sequenza X X
Resequence
Corruzione X(3) X
Corruption
Ritardo X X
Delay
Mascheramento X(1) X (1) X(3)
Masquerade
(1) Dipendente dall’applicazione
Application dependent
(2) Applicabile solo per identificatore di sorgente
Rileva solo inserzione da sorgente non valida
Se gli unici identificatori non possono essere identificati poiché gli utenti non sono noti, deve essere usata una tecnica crittografica,
vedere 6.3.8.
Only applicable for source identifier
Will only detect insertion from invalid source
If unique identifiers cannot be determined because of unknown users, a cryptographic technique shall be used, see 6.3.8.
(3) Vedere 7.3 e A.2.
See 7.3 and A.2.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 20 di 54
7.3 Choice and use of safety code and Scelta e uso del codice di sicurezza e delle
cryptographic techniques tecniche crittografiche
The choice of safety code and cryptographic La scelta del codice di sicurezza e delle tecniche
techniques shall be determined according to the crittografiche deve essere determinata in base a
following: quanto segue:
whether or not unauthorised access can be Se accessi non autorizzati possono o no esse-
ruled out re esclusi
the type of cryptographic code proposed Il tipo di codice crittografico proposto
whether or not the safety-related access Se il processo di protezione di accesso in si-
protection process is separated from the curezza può o no essere separato dal proces-
safety-related process. so in sicurezza.
Guidance on these issues is given in A.2. Una guida per questi argomenti è data in A.2.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 21 di 54
ANNEX/ALLEGATO
informative
A informativo GUIDELINE FOR DEFENCES LINEE GUIDA PER LE DIFESE
A.1 Applications of time stamps Applicazioni degli identificatori di tempo

A time stamp can be used for different purpos- Un identificatore di tempo può essere usato per
es: diversi scopi:
1) To state the time of an event in an entity 1) Per stabilire il tempo di un evento in un’entità
which is of importance for the process re- che è importante per il processo di ricezione
ceiving the information. Events can be time dell’informazione. Gli eventi possono essere
related to each other. If we have knowledge correlati temporalmente tra loro. Se noi cono-
of times and values for a sequence of sciamo i tempi e i valori di una sequenza di
events it is possible to interpolate between eventi è possibile interpolare tra i valori e mi-
values and increase the accuracy of calcu- gliorare la precisione dei valori calcolati (ad
lated values (e.g. for speed, acceleration). esempio per velocità, accelerazione). I ritardi
Transmission delays can be handled. di trasmissione possono essere trattati.
Constraints: Limitazioni:
If an absolute time stamp is used, the Se è usato un identificatore di tempo asso-
time in the entities needs to be synchro- luto, è necessario che il tempo dell’entità sia
nised. Each entity needs to have a safe sincronizzato. Per ogni entità è necessaria
time checking and update of the global una verifica di tempo sicura e aggiornata
time. The network delays have an effect del tempo universale. I ritardi della rete
on global clock distribution, informa- hanno un effetto su: distribuzione dell’oro-
tion validity and process performance. logio universale, validità dell’informazione e
prestazione del processo.
Absence of messages will not be detect- L’assenza di messaggi non sarà rilevata se
ed if a dialogue communication proce- non è fornita una procedura di comunica-
dure is not provided. zione di dialogo.
2) To order event sequences which can be 2) Ordinare sequenze di eventi che possono es-
checked by the receiver. sere verificati dal ricevitore.
If the time granularity is too coarse, the Se la risoluzione (granularity) del tempo è
sequencing properties of events can be troppo grossolana, le proprietà di sequen-
indeterminate. In such cases the infor- za degli eventi possono essere indetermi-
mation shall be complemented with se- nate. In tali casi l’informazione deve esse-
quence numbers re integrata con i numeri di sequenza
The order of messages is affected by L’ordine dei messaggi è influenzato dall’in-
network routing of messages and time stradamento dei messaggi in rete e dai ri-
delays in the network. tardi di tempo nella rete.
Absence of messages will not be detect- L’assenza di messaggi non sarà rilevata se
ed if a dialogue communication proce- non è fornita una procedura di comunica-
dure is not provided. zione di dialogo.
3) To measure time between events received 3) Misurare il tempo tra eventi ricevuti da un’en-
from an entity sending a sequence of mes- tità che invia una sequenza di messaggi, per-
sages thereby also checking for events not ciò anche verificare eventi che non sono stati
being delayed. ritardati.
If information from an entity (A) is request- Se un’informazione da un’entità (A) è richiesta
ed repeatedly from another entity (B), then ripetutamente da un’altra entità (B), in tal caso
the latter gets information of the partner’s l’ultima ottiene informazione dell’orologio lo-
local clock from the time stamps. This infor- cale del partner dagli identificatori di tempo.
mation can be related to its own clock by Questa informazione può essere correlata con
taking the transfer delays into account. A il proprio orologio tenendo conto del ritardo di
logical clock has been created from the lo- trasferimento. Un orologio locale è stato creato
cal clock of entity (B). dall’orologio locale dell’entità (B).
The logical clock is affected by varying L’orologio locale è influenzato dalle varia-
time delays in the network and the zioni dei ritardi di tempo in rete e dall’ela-
processing in entity (A). borazione nell’entità (A).
4) To check the validity of information of an 4) Verificare la validità dell’informazione di un’enti-
entity (A) by requiring a return of a time tà (A) richiedendo un ritorno di un identificato-
stamp delivered from an entity (B) in a pre- re di tempo emesso da un’entità (B) in un mes-
vious message to the entity (A). This en- saggio precedente all’entità (A). Questo assicura
sures a specific response (identity) and also una risposta specifica (identità) ed esegue an-
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 22 di 54
checks against a predefined loop time. A che una verifica nei confronti di un tempo di ci-
sequence number (or label) created and clo predefinito. La creazione di un numero di
time supervised in entity (B) will do the sequenza (o etichetta) e la supervisione del
same work. No global time is needed (un- tempo nell’entità (B) non compieranno lo stesso
less required by other applications). lavoro. Nessun tempo universale è necessario
(salvo sia richiesto da altre applicazioni).
The receiver detects loss of information us- Il ricevitore rileva la perdita d’informazione
ing a time-out. usando un time-out.
The procedure shall handle interruption La procedura deve operare un time-out do-
due to initialisation or fault conditions. vuto ad inizializzazione o a condizioni false.
The procedure will not guarantee au- La procedura non garantirà l’autenticità
thentication of the messages. dei messaggi.
5) To create a procedure called double time 5) Creare una procedura chiamata identificazione
stamping [A155]. This procedure inherits di tempo doppia [A155]. Questa procedura ere-
the properties of a combination of case 2, 3 dita le proprietà di una combinazione dei casi 2,
and 4. The double time stamping procedure 3 e 4. La procedura dell’identificazione di tempo
allows for asynchronous clocks in the enti- doppia consente l’uso di orologi asincroni nelle
ties thereby avoiding problems associated entità, evitando quindi i problemi associati con il
with keeping entities updated with global mantenimento aggiornato al tempo universale
time. The method can be used for delle entità. Il metodo può essere usato per
a) creating a logical clock from the part- a) creare un orologio logico dall’orologio lo-
ners' local clock and relative time stamps cale dei partner e i relativi identificatori di
from the own local clock (and organis- tempo dallo stesso orologio locale (ed or-
ing a clock synchronisation between the ganizzare una sincronizzazione di orologi
two entities); tra le due entità);
b) relating events to the relative time b) correlare gli eventi agli identificatori di tem-
stamps including network delay; po relativi comprendendo i ritardi di rete;
c) checking the correct order of messages; c) verificare l’ordine corretto dei messaggi;
d) checking the partners’ clock to verify the d) verificare l’orologio dei partner per verifi-
correctness of your own clock (Applica- care la correttezza del vostro stesso orolo-
tion dependent). gio (Applicazione dipendente).
The communication is valid for a two-part- La comunicazione è valida per un dialogo tra
ner dialogue or for a master-slave relation. due partner o per una relazione master-slave.
The latter is more usable for cyclic transmis- L’ultima è più utilizzabile per scopi di trasmis-
sion purposes rather than time stamping sione ciclica piuttosto che per l’identificazione
single events where time is important for a di tempo di eventi singoli ove il tempo è im-
special function. portante per una funzione speciale.
If the time granularity is too coarse, the Se la risoluzione del tempo è troppo gros-
sequencing properties of events can be solana, le proprietà di sequenza degli eventi
indeterminate. In such cases the infor- possono essere indeterminate. In tali casi
mation shall be complemented with se- l’informazione deve essere integrata con i
quence numbers. numeri di sequenza
Double time stamping may require L’identificazione di tempo doppia può ri-
knowledge about the round-trip trans- chiedere conoscenza circa i ritardi di tra-
mission delays if the application consid- smissione round-trip se la trasmissione con-
ers case 1 above. sidera il caso 1 di cui sopra.
More elaborated schemes than the double time Schemi più elaborati degli identificatori di tempo
stamps have been conceived which allow or- doppi sono stati concepiti per ordinare gli eventi
dering events occurring on more than two sys- che si verificano in più di due sistemi [TBaum].
tems [TBaum].
A.2 Choice and use of safety codes and Scelta e uso dei codici di sicurezza e delle
cryptographic techniques tecniche crittografiche
Although the communication system could be Anche se il sistema di comunicazione potrebbe es-
unknown or variable during the life time, in sere sconosciuto o variabile durante la sua vita, nel-
most cases one can determine whether unau- la maggior parte dei casi si potrebbe determinare se
thorised access can be excluded or not. This l’accesso non autorizzato può essere escluso oppure
distinction is very useful because in cases of the no. Questa distinzione è molto utile perché nei casi
possibility of unauthorised access, cryptograph- di possibilità di accesso non autorizzato, sono ri-
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 23 di 54
ic mechanisms with secret keys are demanded. chiesti meccanismi crittografici con chiavi segrete. Si
It is recommended to make this distinction in raccomanda di fare questa distinzione in uno stadio
an early stage in order to limit the amount of iniziale al fine di limitare l’entità delle funzioni in si-
safety-related functions. In the case of the possi- curezza. Nel caso di possibilità di accesso non auto-
bility of unauthorised access, a separate access rizzato, può essere applicato uno strato di protezio-
protection layer can be applied or the protec- ne di accesso separato o la protezione è fornita dal
tion is provided by the safety protocol using protocollo di sicurezza usando meccanismi critto-
cryptographic mechanisms (see Figure A.1). grafici (vedere la Fig. A.1).
Fig. A.1 Classification of the safety-related transmission Classificazione dei sistemi di trasmissione in sicu-
system rezza
Sistema di trasmissione in sicurezza

Safety-related transmission system
Due possibilità
Two possibilities
Solo accesso autorizzato Accesso non autorizzato non può essere escluso
Only authorised access Unauthorised access cannot be excluded
Tecniche crittografiche con chiave segreta

Cryptographic techniques with secret key
Separato processo di protezione di

accesso in sicurezza
Separate safety-related access
protection process
Codice di sicurezza Codice di sicurezza Codice di sicurezza Codice di sicurezza

non crittografico crittografici non crittografico non crittografico
Non cryptographic safe- Cryptographic safety
+cifraggio +codice crittografico
ty code code
Non cryptographic Non cryptographic
safety code safety code
+enciphering +enciphering code
Tipo A0 Tipo A1 Tipo B0 Tipo B1

Type A0 Type A1 Type B0 Type B1
Struttura di messaggio Struttura di Struttura di

Fig. A3 messaggio Fig. A4 messaggio Fig. A5
Message structure Message structure Message structure
figure A3 figure A4 figure A5
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 24 di 54
Separate access protection layers are in those Gli strati di protezione di accesso separati sono
cases useful, where groups of safety-related utili nei casi ove gruppi di computer in sicurezza,
computers which are connected by a local area che sono collegati da una rete locale (LAN), devo-
network (LAN), have to communicate over no trasmettere su sistemi di trasmissione aperti
open transmission systems (see Figure A.2). The (vedere la Fig. A.2). Il software e l’hardware crit-
cryptographic hard- and software can be con- tografico può essere concentrato nei punti di en-
centrated on the entry points to the open trans- trata dei sistemi di trasmissione aperti. Le funzioni
mission system. The cryptographic functions crittografiche possono essere combinate con fun-
can be combined with gateway functions which zioni di gateway che sono normalmente richieste
are normally required when a LAN is connected quando una LAN è collegata, per esempio, a rete
to a for example wide area network. di area estesa.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 25 di 54
Fig. A.2 Use of a separate access protection layer
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 26 di 54
Uso di uno strato di protezione di accesso separato
Equipaggiamento Equipaggiamento Equipaggiamento

in sicurezza in sicurezza in sicurezza
Processo di Processo di Processo di
applicazione applicazione applicazione
Processo di Processo di Processo di

trasmissione trasmissione trasmissione
in sicurezza in sicurezza
in sicurezza
Sistema di
trasmissione
Messaggio Tipo A0 in sicurezza
Ad esempio rete di area locale

Processo di Processo di
protezione protezione
di accesso di accesso
Messaggio Tipo B0 o B1
Sistema di trasmissione aperto
Hacker
The access protection process can be per- Il processo di protezione di accesso può essere
formed by different modes: ottenuto in diversi modi:
1) enciphering of the messages; 1) cifrando il messaggio;
2) adding a cryptographic code 2) aggiungendo un codice crittografico
In both cases a safety code is applied before a In entrambi i casi è applicato un codice di sicu-
safety-related message is sent to the access pro- rezza prima che il messaggio in sicurezza sia in-
tection layer. The equipment containing the ac- viato allo strato di protezione di accesso. L’equi-
cess protection layer, does not have to be safe paggiamento contenente lo strato di protezione di
by itself, see general requirements in 6.2. Note, accesso, non deve essere sicuro in se, vedere i re-
those failures of the access protection process quisiti generali in 6.2. Notare che devono essere
shall be considered. considerate le avarie del processo di protezione
di accesso.
The principles of message structures depend on I principi delle strutture di messaggio dipendono
the different modes. Examples are depicted in da modi diversi. Esempi sono illustrati nelle Figu-
Figures A.3, A.4 and A.5. re A.3, A.4 e A.5.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 27 di 54
Fig. A.3 Model of message representation within the trans-
mission system (type A0, A1)

mission system (type B0)
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 28 di 54
Modello di rappresentazione di messaggio nel siste-
ma di trasmissione (tipo A0, A1)
EN 50159-2
Dati utente
Dati addizionali dal processo

di trasmissione in sicurezza
Dati utente Dati Codice di
addizionali sicurezza
Codice di sicurezza Ad esempio indicatore di tempo, ..
Ad esempio intestazione Ad esempio codice di trasmissione

Dati addizionali del sistema di
trasmissione aperto

ma di trasmissione (tipo B0)
Dati Utente
Dati addizionali del

processo di trasmissione Messaggio cifrato
in sicurezza
Codice di sicurezza
non crittografico
Dati addizionali del sistema

di trasmissione aperto
Strato di protezione di accesso
Processo di trasmissione in sicurezza
EN 50159-2
Codice di sicurezza
Dati non crittografico
Dati Utente addizionali
Messaggio cifrato
Ad esempio intestazione Ad esempio codice di trasmissione
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 29 di 54
mission system (type B1)
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 30 di 54
ma di trasmissione (tipo B1)
Strato di protezione di accesso

Processo di trasmissione in sicurezza
EN 50159-2
Dati Utente
Codice di sicurezza
non crittografico
Dati addizionali dal processo
di trasmissione in sicurezza
Dati Utente Dati
Codice
addizionali crittografico
Codice di sicurezza non
crittografico Ad esempio indicatore di tempo
Codice crittografico Ad esempio codice di trasmissione

Ad esempio intestazione
Dati addizionali del sistema Dati addizionali del sistema di trasmissione aperto
di trasmissione aperto
A.2.1 Safety code Codice di sicurezza

The required properties of the safety code de- Le proprietà richieste al codice di sicurezza dipen-
pend on the characteristics of the open trans- dono dalle caratteristiche del sistema di trasmis-
mission system and the architecture of the safe- sione aperto e dall’architettura del sistema di tra-
ty-related transmission system (see Figure A.1). smissione in sicurezza (vedere Fig. A.1).
If unauthorised access on the open transmission Se può essere escluso un accesso non autorizzato
system can be excluded, the safety code has to in un sistema di trasmissione aperto, il codice di
detect all kinds of random and systematic bit er- sicurezza deve rilevare tutti i tipi di errori di bit
rors. Note, that usually the open transmission casuali e sistematici. Notare che normalmente il
system protects its messages with its own trans- sistema di trasmissione aperto protegge i propri
mission code, which is already designed to messaggi con il proprio codice di trasmissione,
meet a defined quality and bit error rate. Hence, che è già progettato per ottenere una qualità e un
if the open transmission system delivers an tasso di errore di bit definiti. Pertanto, se un siste-
invalid message, either the disturbance on the ma di trasmissione aperto invia un messaggio non
transmission channel was so high that the trans- valido, o il disturbo sul canale di trasmissione era
mission code has failed, or a failure has oc- così alto che il codice di trasmissione ha fallito, o
curred. In either case, it shall be considered that si è verificata un’avaria. In entrambi i casi, deve
residual bit errors are not random, and can have essere considerato che gli errori di bit residui non
any Hamming Weight [Peterson]. sono casuali, e possono avere ogni Peso Ham-
ming [Peterson].
If unauthorised access cannot be excluded, ma- Se un accesso non autorizzato non può essere
licious attack cannot be prevented but can be escluso, non può essere impedito un attacco mali-
detected and rendered harmless. The usual way gno, ma può essere rilevato e reso innocuo. Il modo
to prevent a malicious attack is the application comune per impedire un attacco maligno è l’appli-
of cryptographic algorithms with at least one se- cazione degli algoritmi crittografici con almeno una
cret key. The safety code itself can be based on chiave segreta. Il codice di sicurezza stesso può es-
such an algorithm, or a separate access protec- sere basato su tale algoritmo, o può essere imple-
tion layer with cryptographic functions can be mentato uno strato di protezione di accesso separa-
implemented. In the latter case, the safety code to con funzioni crittografiche. Nell’ultimo caso,
also can detect failures of the access protection anche il codice di sicurezza può rilevare avarie
equipment. dell’equipaggiamento di protezione d’accesso.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 31 di 54
A.2.1.1 Main block codes Codici di blocco principali
The following paragraphs briefly describe some I paragrafi seguenti descrivono brevemente alcuni
codes and their main characteristics. codici ed alcune loro caratteristiche.
Linear block codes Codici di blocco lineari

A block code is linear if and only if the sum of Un codice di blocco è lineare se, e solo se, la
any code words is also a code word. somma di ogni parola di codice è ancora una pa-
rola codice.
Most of the codes in use for error control are La maggior parte dei codici in uso per il controllo
linear binary codes. Non-binary codes are also di errore sono codici binari lineari. Sono usati an-
used, e.g. Reed-Solomon codes. The codes are che codici binari non lineari, ad esempio i codici
excellent for combating random errors and Reed-Solomon. I codici sono eccellenti per com-
burst errors. The codes can be designed with a battere gli errori casuali e gli errori di burst. I co-
specific minimum Hamming distance d. That dici possono essere progettati con una distanza di
means, that up to d-1 bit errors are detected to Hamming minima specifica d. Questo significa,
100%. Because of their linearity the codes can che sono rilevati al 100% fino a d-1 errori bit. A
also be tested for systematic error detection ca- seguito della loro linearità i codici possono essere
pability. provati anche in base alla capacità di rilievo di er-

rore sistematico.
Cyclic block codes (CRC) Codice di blocco ciclico (CRC)

A linear block code is called cyclic if every cy- Un codice di blocco lineare è chiamato ciclico se
clic shift of a code word is also a code word. ogni shift ciclico di una parole codice è ancora
CRC can be described by polynomials. The una parola codice. Il CRC può essere descritto da
mathematics of codes can be found for example polinomiali. La matematica dei codici può essere
in [Peterson]. trovata ad esempio in [Peterson].
The codes are excellent for combating random I codici sono eccellenti per combattere errori ca-
errors and burst errors. The codes can be de- suali e errori di burst. I codici possono essere pro-
signed with a specific minimum Hamming dis- gettati con una distanza di Hamming minima speci-
tance d. The codes can also be tested for sys- fica d. I codici possono essere provati anche in
tematic error detection capability. base alla capacità di rilievo di errore sistematico.
In certain applications the cyclic nature of the In certe applicazioni la natura ciclica del codice
code can be exploited to avoid the danger of può essere utilizzata per evitare il pericolo di sin-
false code word synchronisation. To achieve cronizzazione della parola di codice falsa. Per ot-
this it is necessary to extend the code but the tenere questo è necessario estendere il codice, ma
end result will be superior to systems relying on il risultato finale sarà superiore al sistema che di-
separate synchronisation characters. pende da caratteri di sincronizzazione separati.
Hash block codes Codici di blocco hash

Hash codes can be linear or non-linear. Most I codici hash possono essere lineari o non lineari. I
important are non-linear one-way functions, più importanti sono funzioni unidirezionali non li-
which compress input data to a “fingerprint”. neari, che comprimono i dati d’ingresso ad una “im-
Because of their non-linearity, a minimum pronta digitale”. A seguito della loro non linearità,
Hamming distance cannot be derived except for non può essere derivata una distanza Hamming mi-
trivial small cases. However, the error detection nima, eccetto in piccoli casi insignificanti. Tuttavia,
capability is high for good hash codes. A single la capacità di rilevare l’errore è elevata per codici
bit change in the input data changes, on the av- hash buoni. Il cambiamento di un solo bit nei dati
erage, half of the bits in the hash value. Given a d’ingresso cambia, in media, metà dei bit nel valore
hash value, it is computationally unfeasible to di hash. Dato un valore di hash, non è fattibile, at-
find the input data that hash to that value traverso calcolo, trovare il dato d’ingresso che porta
(one-wayness property) and, given the input all’hash per lo stesso valore (proprietà unidireziona-
data, it is computationally unfeasible to find an- le) e, dato un dato d’ingresso, non è fattibile, attra-
other input data that hash to the same value verso calcolo, trovare un altro dato d’ingresso che
(collision property for weak hash functions) porta all’hash per lo stesso valore (proprietà di colli-
and it is computationally unfeasible to find any sione per funzioni hash deboli) e non è fattibile, at-
couple of input data that hash to the same value traverso calcolo, trovare alcuna coppia di dati d’in-
(collision property for strong hash functions). gresso che porta all’hash per lo stesso valore
(proprietà di collisione per funzioni hash forti).
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 32 di 54
ISO/IEC 10118-1 defines in a general way La ISO/IEC 10118-1 definisce in modo generale
hash-codes for security purposes. The part 2 of codici hash per scopi di sicurezza. La parte 2 della
the same standard describes hash-codes using stessa norma descrive i codici hash che usano al-
an n-bit block cipher algorithm without apply- goritmi di cifre di blocco di n-bit senza applicare
ing a key. Also, a MAC can be used as a una chiave. Anche un MAC può essere usato
hash-code, but in this case a key is required. come codice hash, ma in questo caso è richiesta
una chiave.
Good performance in software can be obtained Nel software possono essere ottenute buone pre-
with the public domain message digest algo- stazioni con gli algoritmi raccolta di messaggi di
rithms MD4 and MD5 [Rivest] which are classes dominio pubblico MD4 e MD5 [Rivest] che sono
of MDC. No high requirements on collisions’ classificati di MDC. Non è richiesto alcun requisito
criteria are demanded because malicious attacks di rilievo sui criteri di collisione poiché gli attacchi
are defended by other means. That means that maligni sono difesi con altri mezzo. Questo signifi-
either a cryptographic block code (MAC) is ca che, o è usato un codice di blocco crittografico
used, or the access protection process applies a (MAC), o il processo di protezione di accesso ap-
cryptographic protection over the entire safe- plica una protezione crittografica sull’intero mes-
ty-related message including the hash value. saggio in sicurezza compreso il valore hash.
Digital signatures Firme digitali

A number of bits depending on all the bits of Una serie di bit che dipendono da tutti i bit dei dati
the input data (user data and additional data) d’ingresso (dati utente e dati addizionali) e anche
and also on a secret key. Its correctness can be da una chiave segreta. La loro correttezza può esse-
verified by using a public key [Davies]. re verificata usando una chiave pubblica [Davies].
Cryptographic block codes Codici di blocco crittografici

Cryptographic Block Codes are a kind of I codici di blocco crittografici sono un genere di
non-linear hash block codes based on crypto- codice di blocco hash non lineare basato su algo-
graphic algorithms. The advantage is that they ritmi crittografici. Il vantaggio è che essi possono
can protect against malicious attacks if they are proteggere da attacchi maligni se sono basati su
based on keys. The most well known code is chiavi. Il codice meglio conosciuto è il codice di
the message authentication code MAC that is autenticazione del messaggio MAC che è standar-
standardised in ISO/IEC 9797. dizzato nella ISO/IEC 9797.
A.2.1.2 Recommendations for the application of safety codes Raccomandazioni per l’applicazione dei codici di sicurezza
Examples for the assessment of diverse basic Esempi per la valutazione di diverse tecniche di
techniques are given in Table A.1. The symbols base sono date nella Tab. A.1. I simboli hanno il
have the following meaning: seguente significato:
“HR” This symbol means that the technique is “HR” Questo simbolo significa che la tecnica è Alta-
Highly Recommended for this architecture. mente Raccomandata per questa architettura.
If this technique is not used then the ra- Se questa tecnica non viene usata, il motivo
tionale behind not using it should be de- per il quale non viene usata dovrebbe essere
tailed in the Technical Safety Report. riportato nel Rapporto di Sicurezza Tecnica.
“R” This symbol means that the technique is “R” Questo simbolo significa che la tecnica è
Recommended for this architecture. This is Raccomandata per questa architettura.
a lower level of recommendation than a Questo è un livello di raccomandazione in-
“HR”. feriore a “HR”.
“-” This symbol means that the technique or “-” Questo simbolo significa che la tecnica o il
measure has no recommendation for or provvedimento non ha raccomandazioni
against being used. pro o contro il suo uso.
“US” This symbol means that this technique is “US” Questo simbolo significa che la tecnica non
unsuitable as a defence in this category of è utilizzabile come difesa in questa catego-
system. ria di sistema.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 33 di 54
Tab. A.1 Assessment of the safety encoding mechanisms (5) Valutazione dei meccanismi di codifica di sicurezza(5)
Tipo(1) Riferimento, Tipo di sistema di trasmissione in sicurezza,

Type(1) vedere Allegato B vedere Fig. A.1
Reference, Type of safety-related transmission system,
see annex B see Figure A.1
A0 A1 B04) B14)
CRC(3) R US(2) —(6) R
[Peterson]
MAC(3) ISO/IEC 9797 R HR R R
Codice parassita(3) ISO/IEC 10118 R US(2) HR HR
Hash code(3)
Firma Digitale(3) ISO/IEC 9796 R R R R
Digital signature(3)
(1) Sono possibili altre misure di sicurezza, ma non sono considerate in tale sede.
Other safety measures are possible but not considered here.
(2) Richiesta la chiave segreta, non può essere eseguita da questo meccanismo.
Secret key demanded, cannot be performed by this mechanism.

(3) La capacità di rilievo dell’errore è simile per lo stesso genere.
The error detection capability is similar for the same overhead.
(4) Solo codice di sicurezza non crittografico. La protezione di accesso in sicurezza va considerata separatamente.
Non cryptographic safety code only. Safety-related access protection to be considered separately.
(5) Quando è raccomandato più di un meccanismo di codifica di sicurezza, deve essere scelta un’appropriata combinazione di uno o più
meccanismi.
Where more than one safety encoding mechanism is recommended, an appropriate combination of one or several mechanisms shall be selected.
(6) Se il processo di protezione di accesso usa tecniche cifrate di flusso, è proibita l’applicazione di un CRC come codice di sicurezza.
D’altro canto, chi attacca può creare messaggi in sicurezza con un CRC valido, aggiungendo un messaggio arbitrario con un CRC
valido al messaggio cifrato di flusso, senza rompere la chiave
If the access protection process uses stream ciphering techniques then applying a CRC as safety code is forbidden. Otherwise, an attacker can create
safety-related messages with a valid CRC by adding an arbitrary message with a valid CRC. to the stream ciphered message, without breaking the key.
Although knowledge of the error characteristics Benché la conoscenza delle caratteristiche dell’er-
of a particular channel may enable some type rore di un particolare canale possa rendere possi-
of error to be disregarded, and better perform- bile che sia trascurato qualche tipo di errore, e
ance to be claimed, in an “open” channel che sia dichiarata una migliore prestazione, in un
(black channel) no such knowledge can be as- canale “aperto” (canale nero) nessuna conoscen-
sumed. In this scenario the ideal solution za di tale tipo può essere considerata. In tale sce-
would be a random code. For this reason no nario la soluzione ideale sarebbe un codice ca-
claim for the probability of undetected error pUE suale. Per tale ragione non dovrebbe essere fatta
of a safety code should be made, which is low- alcuna dichiarazione di probabilità di errore rile-
er than the performance of the random code, vato pUE di un codice di sicurezza, che è inferiore
which is pUE= 2–r, where r denotes the number alla prestazione del codice casuale, che è pUE= 2–r,
of redundancy bits. ove r denota il numero dei bit di ridondanza.
A.2.2 Cryptographic techniques Tecniche crittografiche

When using ciphering techniques, standardised Quando si usano tecniche cifrate, sono raccoman-
modes of operation are recommended, e.g. ac- dati modi di funzionamento standardizzati, ad
cording to ISO/IEC 10116. This standard does esempio secondo la ISO/IEC 10116. Questa nor-
not recommend the Electronic Codebook mode ma non raccomanda il modo Electronic Code-
(ECB) for input lengths which exceed the block book (ECB) per lunghezze d’ingresso che eccedo-
length of the enciphering algorithm. Crypto- no la lunghezza del blocco dell’algoritmo cifrato.
graphic algorithms can be registered according Algoritmi crittografici possono essere registrati se-
the rules of the international standard ISO/IEC condo le regole dello standard internazionale
9979, but the registration itself does not guaran- ISO/IEC 9979, ma la registrazione stessa non ga-
tee the strength of the algorithms. rantisce la potenza degli algoritmi.
Well-known and well-tested algorithms like Sono raccomandati algoritmi ben noti e ben pro-
[DES] are recommended. vati come [DES].
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 34 di 54
ANNEX/ALLEGATO
informative
B informativo BIBLIOGRAPHY BIBLIOGRAFIA
[1] EN 50159-1 Railway applications - Communication, signalling and processing sys-

tems - Part 1: Safety-related communication in closed transmission sys-
tems
[2] ISO/IEC 11770 Information technology - Security techniques - Key management
Part 1: Framework (1996)
Part 2: Mechanisms using symmetric techniques (1996)
Part 3: Mechanisms using asymmetric techniques (1999)
[3] ISO/IEC 9796:1991 Information technology - Security techniques - Digital signatures scheme
giving message recovery
[4] ISO/IEC 9797:1994 Information technology -- Security techniques - Data integrity mecha-
nism using a cryptographic check function employing a block cipher al-
gorithm
ISO/IEC 9979:1999 Information technology - Security techniques - Procedures for the regis-
[5]
tration of cryptographic algorithms
[6] ISO/IEC 10116:1991 Information technology - Security techniques - Modes of operation for
an n-bit block cipher
[7] ISO/IEC 10118 Information technology - Security techniques - Hash-functions
Part 1: General (2000)
Part 2: Hash-functions using an n-bit block cipher (2000)
[8] [TBaum] A. Tanenbaum: Distributed Systems, Pretince Hall 1995
[9] [A155] UIC/ORE A155.1 Report RP 4, September 1984: Survey of available
measures for protection of safety information during transmission (also
available in German and French)
[10] [DES] FIPS PUB 46, 15.1.1977: Specifications for the Data Encryption Standard
[11] [Peterson] W.Wesly Peterson: Error correction Codes, M.I.T. Press, 1967
[12] [Schneier] Bruce Schneier: Applied Cryptography, J. Wiley & Sons, Inc, 2nd edition
1995
[13] [Rivest] R. Rivest: The MD4 Message-Digest Algorithm, 4/92, published within
Internet
[14] [Davies] D.W. Davies and W.L. Price: Security for Computer Networks, 2. edition,
J. Wiley & Sons, Chichester
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 35 di 54
ANNEX/ALLEGATO
informative
C informativo GUIDELINES FOR USE OF THE STANDARD LINEE GUIDA PER L’USO DELLA NORMA
C.1 Scope/purpose Scopo/intendimenti

This annex gives guidance on the use of this Questo allegato fornisce una guida all’uso della
standard. It includes some guidance on the clas- presente norma. Esso contiene una guida alla
sification of transmission systems, identifying classificazione dei sistemi di trasmissione, identifi-
features of such systems that can affect the cando caratteristiche di tali sistemi che possono
choice of defences for inclusion in the safety influenzare la scelta delle difese da inserire nelle
application. It suggests a procedure for identify- applicazioni di sicurezza. Esso suggerisce una
ing and quantifying threats, and for selecting procedura per identificare e quantificare le minac-
and defining the performance of defences. It in- ce, e per scegliere e definire la prestazione delle
cludes a simple (imaginary) example applica- difese. Esso comprende un esempio semplice
tion, chosen to illustrate the possibility of de- (immaginario) di applicazione, scelto per illustra-
fences requiring different safety integrity levels re le possibilità di difesa che richiedono diversi li-
(SIL). velli di integrità di sicurezza (SIL).
C.2 Classification of transmission systems Classificazione dei sistemi di trasmissione

It is difficult to classify transmission systems in a È difficile classificare i sistemi di trasmissione in
generic manner; there are many possible factors modo generico, vi sono molti fattori possibili che
which can influence the decisions taken about possono influenzare la decisione presa circa le
the threats which need to be considered. It is minacce che è necessario siano considerate. È
possible that transmission services may be ob- possibile che siano ottenuti servizi di trasmissione
tained by the signalling system user from pri- dall’utente del sistema di segnalamento da forni-
vate or public telecommunications service pro- tori di servizi di telecomunicazione privati o pub-
viders, under service provision contracts, which blici, sotto contratti di fornitura di servizio, che
may limit the responsibility of the service pro- possono limitare la responsabilità del fornitore
vider for guaranteeing performance of the trans- del servizio circa la garanzia di prestazione del si-
mission system. stema di trasmissione.
The significance of threats (and therefore, the Il significato di minacce (e pertanto delle difese ri-
requirements for defences) may depend on the chieste) può dipendere dall’ampiezza del control-
extent of control exercised over the transmis- lo esercitato sulla rete di trasmissione, compresi i
sion network, including the following issues: seguenti argomenti.
The technical properties of the system, in- Le proprietà tecniche del sistema, comprese
cluding guarantees of reliability or availabil- le garanzie di affidabilità e di disponibilità del
ity of the system, the extent of storage of sistema, l’ampiezza della memoria dei dati
data inherent in the system (which could af- inerenti il sistema, (che potrebbe influenzare
fect delay or resequencing of messages), il ritardo e la ripetizione della sequenza dei
the consistency of the performance of the messaggi), la coerenza della prestazione del
system over its life (e.g. as changes to the sistema nella sua vita (per esempio se vengo-
network, and changes to the user base are no fatti cambiamenti alla rete e alla base
made), and traffic loading effects of other dell’utente), ed effetti del carico di traffico di
users. altri utenti.
Access to the system, depending on wheth- L’accesso al sistema, a seconda che la rete sia
er the network is private or public, the de- privata o pubblica, il grado di controllo di ac-
gree of access control exerted by the opera- cesso esercitato dall’operatore sugli altri uten-
tor over other users, the opportunity for ti, l’opportunità di uso improprio del sistema
misuse of the system by other users, and da altri utenti e l’accesso disponibile ai manu-
the access available to maintainers to recon- tentori per riconfigurare il sistema, o ottenere
figure the system, or gain access to the accesso al mezzo di trasmissione stesso.
transmission medium itself.
The following tables give a possible classifica- Le tabelle seguenti forniscono una classificazione
tion of transmission systems, and a simple as- possibile dei sistemi di trasmissione, e una sem-
sessment of the threats which might be consid- plice valutazione delle minacce che potrebbero
ered for each type. essere considerate per ogni tipo.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 36 di 54
Tab. C.1 Classes of open transmission systems Classi di sistemi di trasmissione aperti
Tipo Caratteristiche principali Esempli Commenti

Type Main characteristics Examples Comments
Classe 1 Tutte le proprietà sono note e invariabili nel corso della vita Reti locali proprietarie, PRO- Utilizzare EN 50159-1
Class 1 Gruppo utente singolo FIBUS, MVB (bus veicolo Use EN 50159-1
All properties are known and invariable during the life time multiuso proposto da IEC)
Single user group invariabili nel corso della vita
Proprietary local networks,
PROFIBUS, MVB (multi purpose
vehicle bus proposed by IEC)
invariable during life time
Classe 2 Alcune proprietà sono note e invariabili nel corso della vita Come la classe 1, ma esiste —
Class 2 Estensione limitata la possibilità che il sistema di
Memoria limitata trasmissione potrebbe essere
Gruppo utente singolo sostituito da un altro sistema
Some properties are known and invariable during the life time di trasmissione nel corso del-
Limited extension la vita
Limited storage same as class 1 but the
Single user group possibility exists that the
transmission system could be

substituted by an other
transmission system during the
life time
Classe 3 Alcune proprietà sono note e invariabili nel corso della vita LAN —
Class 3 Estensione limitata LAN
Memoria pressoché illimitata
Gruppi utenti multipli noti
Some properties are known and invariable during the life time
Limited extension
Nearly unlimited storage
Known multiple users groups
Classe 4 Le proprietà sono sconosciute e/o variabili nel corso della vita WAN appartenenti alle fer- —
Class 4 Solo uso di reti affidabili rovie
Gruppi utenti multipli (noti) WAN belonging to the railways
Properties are unknown and/or variable during the life time
Only using trusted networks
(Known) multiple users groups
Classe 5 Le proprietà sono sconosciute e/o variabili nel corso della vita Uso di rete telefonica pub- esempio. Sistemi re-
Class 5 Talvolta usando reti non affidabili blica in tempi non prevedi- moti di diagnostica di
Gruppi utenti multipli (noti) bili interblocco
Properties are unknown and/or variable during the life time Use of public telephone network e.g. remote diagnostic of
Sometimes using non trusted networks at unpredictable times interlocking systems
Multiple users groups
Classe 6 Le proprietà sono sconosciute e/o variabili nel corso della vita Rete telefonica pubblica —
Class 6 Uso di rete di telecomunicazione pubblica Public telephone network
Cattivo uso improbabile
Gruppi utenti multipli
Use of public telecommunication network
Misuse remote
Multiple users groups
Classe 7 Le proprietà sono sconosciute e/o variabili nel corso della vita Internet —
Class 7 Uso di rete di telecomunicazione pubblica Internet
Uso errato frequente
Use of public telecommunication network
Misuse frequently
Relationship between class of transmission sys- Relazione tra classe di sistema di trasmissione e le
tem and the threats. minacce.
The Table C.2 shows a rough assignment of the La Tab. C.2 mostra un’assegnazione approssimata
threats to the class. delle minacce alla classe.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 37 di 54
Tab. C.2 Threat/class relationship Relazione minacce/classe
Minaccia
Threat
Tipo Ripetizione Cancellazione Inserzione Ripetizione Corruzione Ritardo Mascheratura
Type Repetition Deletion Insertion della sequenza Corruption Delay Masquerade
Resequence
Classe_Class 1 ++ ++ + + ++ ++ –
Classe_Class 2 ++ ++ ++ + ++ ++ –
Classe_Class 3 ++ ++ ++ ++ ++ ++ –
Classe_Class 4 ++ ++ ++ ++ ++ ++ –
Classe_Class 5 ++ ++ ++ ++ ++ ++ –
Classe_Class 6 ++ ++ ++ ++ ++ ++ +
Classe_Class 7 ++ ++ ++ ++ ++ ++ ++
Legenda:
Legend:
– : la minaccia può essere trascurata

Threat can be neglected
+ : Minaccia esistente, ma rara; sufficienti deboli contromisure
Threat existent, but rare; weak countermeasures sufficient
++ : Minaccia esistente; richieste forti contromisure
Threat existent; strong countermeasures required
At this generic level, it is not possible to allocate A questo livello generico, non è possibile asse-
SILs, according to the class of transmission sys- gnare i SIL, secondo la classe del sistema di tra-
tem, to the defences needed for each threat; it is smissione, per le difese necessarie per ciascuna
essential to analyse the particular application in minaccia; è essenziale analizzare la particolare ap-
order to allocate SIL. plicazione per assegnare la SIL.
C.3 Procedure Procedura

A number of distinct steps can be identified to Possono essere identificati una serie di passaggi
carry out the system design activities covered distinti per sviluppare le attività di progetto del si-
by ENV 50129. stema trattate dalla ENV 50129.
These steps are identified below: I passaggi sono elencati qui sotto:
Applicazione
Application
Analisi del pericolo

Hazard analysis
Riduzione del rischio

Risk reduction
Assegnazione della SIL e quantizzazione degli obiettivi

Allocation of SIL and quantitative targets
Specifica dei requisiti di Sicurezza

Safety Requirements Specifications targets
Each of these steps is described in more detail Ognuno di questi passaggi è descritto con mag-
in the following subclauses: giori dettagli nei seguenti paragrafi:
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 38 di 54
C.3.1 Application Applicazione
The system designer must understand the appli- Il progettista del sistema deve comprendere l’ap-
cation of the transmission system. The data plicazione del sistema di trasporto. I flussi di dati,
flows, types of data, and the frequency and the i tipi di dati e la frequenza e la natura degli ag-
nature of updates (e.g. periodic or event driven) giornamenti (ad esempio periodico o determinati
all affect the decisions to be made in designing dall’evento) influenzano tutti le decisioni da pren-
the transmission system. The global safety target dere nel progetto del sistema di trasmissione. An-
(rate or by qualitative parameters and non-func- che l’obbiettivo di sicurezza generale (tasso o con
tional parameters) for the system must also be parametri quantitativi e parametri non funzionali)
defined (by the user or the safety authority). per il sistema deve essere definito (dall’utente o
dall’autorità per la sicurezza).
C.3.2 Hazard analysis Riduzione del rischio

Qualitative hazard analysis of the system (as re- L’analisi qualitativa del pericolo del sistema (come
quired by EN 50126) must identify the top-level richiesto dalla EN 50126) deve identificare il/i pe-
hazard(s) which can arise as a result of failures ricolo/i di top-level che possono verificarsi per
of the sending and receiving equipment, or of un’avaria degli equipaggiamenti emettitore e rice-
the transmission link itself. This analysis must vitore, o del link stesso di trasmissione. Questa
consider operational or other external condi- analisi deve considerare le condizioni operative o
tions which could expose the system to the haz- altre condizioni esterne che potrebbero esporre il
ard. For each threat to the system, the possibili- sistema al pericolo. Per ogni minaccia al sistema,
ty of including a defence in the system design la possibilità di inserire una difesa nel sistema
can be included. può essere considerata.
C.3.3 Risk reduction Riduzione del rischio

From the global quantitative safety target for the Dall’obbiettivo di sicurezza quantitativo totale re-
system, and the qualitative hazard analysis, the lativo al sistema, e dall’analisi qualitativa del peri-
system designer can apportion safety targets to colo, il progettista può attribuire gli obbiettivi di
each threat identified. The allocation of such sicurezza ad ogni minaccia identificata. L’attribu-
targets may be iterative, beginning from a sim- zione di tali obbiettivi può essere iterativa, parten-
plistic allocation, and refined in accordance do da una attribuzione semplicistica e affinando,
with more detailed analysis and trade-off be- in accordo con analisi più dettagliate e con un bi-
tween cases. Using quantitative information lanciamento tra i vari casi. Usando informazioni
about the occurrence of external conditions ex- quantitative circa il verificarsi di condizioni ester-
posing the system to hazard, the extent of risk ne che espongono il sistema al pericolo, può es-
reduction needed from each defence can be de- sere determinata l’entità di riduzione di rischio
termined. necessaria per ogni difesa.
C.3.4 Allocation of SIL and quantitative targets Assegnazione del SIL e quantizzazione degli obiettivi
Depending on the extent of risk reduction In relazione all’entità della riduzione di rischio
needed for each defence, SIL can be allocated, necessario per ogni difesa, può essere attribuito il
using the procedures defined in ENV 50129. SIL usando la procedura definita nella ENV 50129.
Knowing the SIL for the defence, appropriate Conoscendo il SIL per la difesa, possono essere
design techniques can be selected, for use in scelte opportune tecniche di progetto, per l’utiliz-
work associated with that defence. zo in lavori associati con questa difesa.
From the quantified unsafe (wrong-side) failure Dal tasso di avaria quantificato non sicuro
rate identified for the defence, hardware design (wrong-side) per la difesa, possono essere scelte
techniques can be chosen using the tables in tecniche di progetto hardware usando le tabelle
ENV 50129, and the rate of occurrence of un- della ENV 50129, e può essere calcolato il tasso di
safe failures due to random faults can be calcu- incidenza di avarie non sicure dovute a guasti ca-
lated. suali.
C.3.5 Safety requirements specifications (SRS) Specifica dei requisiti di sicurezza (SRS)
The defences identified as being necessary for Le difese identificate che sono necessarie per la
safe operation of the system, the SIL for the im- sicura operatività del sistema, il SIL per l’imple-
plementation of those defences and quantified mentazione di queste difese e gli obbiettivi quan-
safety targets for the system must be recorded tificati per il sistema devono essere registrati
in the SRS for the system. nell’SRS per il sistema.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 39 di 54
C.4 Example Esempio
The following example shows only some basic L’esempio seguente mostra solo alcuni principi di
principles of the procedure. It was not intended base della procedura. Non si è inteso descrivere
to describe a complete example which is cor- un esempio completo corretto in tutti i dettagli.
rect in all details.
C.4.1 Application Applicazione

Movement authority commands are sent to I comandi dell’autorità del movimento sono invia-
trains on a secondary line by means of messag- ti ai treni su una linea secondaria per mezzo di
es over a public radio network. messaggi su rete radio pubblica.
A global safety target of 10–x per hour is defined Per il sistema è definito un obiettivo di sicurezza
for the system. generale di 10–x per ora.
C.4.2 Hazard analysis Analisi del rischio

Two particular hazards can be identified Possono essere identificati due pericoli particolari
(among others not considered here): (tra gli altri non considerati qui):
1) Reception of an incorrect (wrong-side) mes- 1) La ricezione di un messaggio non corretto
sage on-board a train could result in the (wrong-side) a bordo del treno potrebbe cau-
train entering an occupied section, and col- sare l’entrata del treno in una sezione occupa-
liding with another train. ta, e la collisione con un altro treno.
2) Delay in receiving an emergency stop mes- 2) Il ritardo nella ricezione di un messaggio di ar-
sage could result in a train colliding with an resto di emergenza potrebbe causare la collisio-
obstruction on the track. ne di un treno con una ostruzione del binario.
These are shown on a fault tree (Figure C.1), as Questi sono rappresentati in un albero dei guasti
an example of one method of performing the (Fig. C.1), come esempio di uno dei metodi di
hazard analysis. eseguire l’analisi del pericolo.
Fig. C.1 Fault tree for the hazard “accident” Albero del guasto per il pericolo “incidente”
Incidente
Accident
Collisione tra Collisione con ostacoli

treni Collision with obstacles
Collision
between trains
Altro
Other
Altro Altro
Other Other
Legenda:
Sezione Condizione di Messaggio Legend:
occupata emergenza ritardato
Section occupied Emergency condition Message delayed Porta OR
OR gate
Messaggio Porta AND

Errore casuale
mascherato AND gate
Random error
Masquerade
message Nota_e Simboli preferiti secondo la IEC 61025
Preferred symbols according to IEC 61025.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 40 di 54
The 10–x per hour global safety target for the L’obiettivo di sicurezza generale di 10–x per ora
system is apportioned, and the target allocated per il sistema è ripartito, e l’obbiettivo attribuito ai
for cases 1 and 2 is (for example) 10–8 per hour casi 1 e 2 è (per esempio) di 10–8 per ora per ogni
in each case. caso.
Cases 1 and 2 will be considered in detail. I casi 1 e 2 saranno considerati in dettaglio.
C.4.3 Case 1 Caso 1

Risk reduction Riduzione del rischio
If a message to a train is corrupted due to ran- Se un messaggio ad un treno è corrotto per errori
dom errors, it may permit the train to enter an casuali, può essere permesso al treno di entrare in
occupied section, and collide with another una sezione occupata, ed entrare in collisione con
train. un altro treno.
In addition, deliberate attempts could be made Inoltre, potrebbe essere fatto un tentativo delibe-
to insert an incorrect message into the system rato di inserire un messaggio non corretto nel si-
(e.g. by a hacker). stema (ad esempio da parte di un hacker).
Suppose the probability of the section being oc- Si supponga che la probabilità che la sezione che
cupied is judged to be 10-1. sta per essere occupata sia giudicata di 10-1.
This standard suggests that a possible defence Questa norma suggerisce che una possibile difesa
against message corruption is to use a safety contro la corruzione del messaggio è l’uso di un
code attached to the user information in the codice di sicurezza applicato all’informazione
message. utente nel messaggio.
Introducing this defence into the portion of the Introducendo questa difesa nella porzione dell’al-
fault tree for this case, the following results: bero del guasto per questo caso, questi risulta:
Fig. C.2 Fault tree for case 1 Albero del guasto per il caso 1
Sezione occupata
Section occupied
Messaggio Errore casuale Errore che conduce a Riduzione dell’errore dovuta

mascherato Messaggio corrotto stato non sicuro alla prestazione del codice di
Masquerade Random error Error leads to sicurezza
message message corrupted unsafe state Error reduction due to the perform-
ance of safety code
Considering quantitative safety targets, it must Considerando gli obbiettivi di sicurezza quantitativi,
be assumed that, in an open system, every mes- si deve assumere che, in un sistema aperto, ogni
sage could be corrupted (i.e. probability =1). messaggio potrebbe essere corrotto (cioè probabili-
However, not every corrupted message will au- tà =1). Tuttavia, non sempre un messaggio corrotto
thorise the train into the particular section. As- autorizzerà il treno ad entrare in una particolare se-
suming this probability is 10–2, and assuming zione. Assumendo che questa probabilità sia 10–2, e
that a message with the length of 100 bits is assumendo che un messaggio con la lunghezza di
sent to a train over a channel with the bit rate of 100 bit sia inviato al treno su un canale con un tasso
100 bits/s (i.e. 3600 messages per hour), it is di bit di 100 bit/s (cioè 3600 messaggi all’ora), è
clear that the safety code for the message must chiaro che il codice di sicurezza per il messaggio
guarantee a probability of undetected error of deve garantire una probabilità di errore non rilevato
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 41 di 54
less than 3 ⋅ 10–9 per message, or the frequency inferiore a 3 ⋅ 10–9 per messaggio, o la frequenza di
of this kind of events shall not exceed 10–5 h–1. tale tipo di evento non deve eccedere 10–5 h–1.
SIL allocation and quantified target Assegnazione della SIL e quantizzazione degli ob-
biettivi
According to ENV 50129 a SIL for the imple- Secondo la ENV 50129 può essere derivata una
mentation of the function “computing of safety SIL per l’implementazione della funzione” calcolo
code” can be derived. This SIL could be lower del codice sicuro”. Questa SIL potrebbe essere in-
than for the entire system element “safety-relat- feriore a quella dell’elemento dell’intero sistema
ed transmission system”. “sistema di trasmissione in sicurezza”.
The designer of the system must select a safety Il progettista del sistema deve scegliere un codice
code with a sufficient length to achieve the re- di sicurezza con una lunghezza sufficiente a rag-
quired performance. giungere la prestazione richiesta.
This standard suggests that it is necessary to Questa norma suggerisce che è necessario consi-
consider the possibility of deliberate attempts to derare la possibilità di tentativo deliberato di crea-
create incorrect messages in an open transmis- re messaggi non corretti in un sistema di trasmis-
sion system. The classification of transmission sione aperto. La classificazione dei sistemi di
systems suggested above suggests that, for in- trasmissione suggerita sopra suggerisce che per
frequent transmission of short messages, the trasmissione non frequente di messaggi corti, la
likelihood of deliberate attempts to create acci- possibilità di tentativo deliberato di creare inci-
dents is relatively low. These factors may influ- denti è relativamente bassa. Questi fattori posso-
ence the decision on whether to adopt a crypto- no influenzare la decisione di adottare o meno
graphic safety code, and if so, on the choice of adottare un codice di sicurezza crittografico, e se
parameters (key length etc.) for this code. si, la scelta dei parametri (lunghezza della chiave
ecc.) per questo codice.
C.4.4 Case 2 Caso 2
Risk reduction Riduzione del rischio

If, when an emergency condition (e.g. obstruc- Se si verifica una condizione di emergenza (ad
tion on the track) occurs, the emergency stop esempio ostruzione del binario) e il messaggio di
message to the train is delayed a collision could arresto di emergenza viene ritardato, può verifi-
result. Suppose that such emergency conditions carsi una collisione. Si supponga che tali condi-
are judged to occur with a frequency of 10–4 per zioni di emergenza sia giudicato che posano veri-
hour. ficarsi con una frequenza di 10–4 all’ora.
Suppose that, using a public radio network Si supponga che usando una rete radio pubblica
shared with an uncontrolled number of other condivisa con un numero non controllato di altri
users, no maximum message delay is guaran- utenti, non è garantito un ritardo massimo di messag-
teed, and delay must therefore be assumed (i.e. gio, il ritardo deve pertanto essere considerato (cioè
the delay is assumed to have a probability of 1). il ritardo è assunto che abbia una probabilità di 1).
This standard suggests that a possible defence Questa norma suggerisce che una possibile difesa
against message delay is to use a time-out in the contro un ritardo di messaggio sia l’uso di un ti-
receiving equipment, together with cyclic mes- me-out nell’equipaggiamento di ricezione assieme
sage transmission. ad una trasmissione ciclica.
Introducing this defence into the portion of the Introducendo tale difesa nella porzione dell’albero
fault tree for this case, the following results: del guasto per questo caso, risulta quanto segue:
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 42 di 54
Fig. C.3 Fault tree for case 2 Albero del guasto per il caso 2
Avaria di funzione di time out

Failure of time out function
Condizioni di emergenza Messaggio ritardato

Emergency condition Message delayed
Considering quantitative safety targets, it is clear Considerando obbiettivi di sicurezza quantitativi,

that the time-out must have a wrong side error è chiaro che il time-out deve avere una probabili-
probability of not more than 10–4 on demand. tà di errore wrong side non superiore a 10–4 su
domanda.
SIL allocation and quantified target Assegnazione della SIL e quantizzazione degli ob-
biettivi
Reference to ENV 50129 indicates, how to I riferimenti alla ENV 50129 indicano, come otte-
achieve the required SIL. nere la SIL richiesta
The implementation of this function must there- L’implementazione di questa funzione deve per-
fore be designed using techniques suggested in tanto essere designata usando le tecniche suggeri-
ENV 50129 as being appropriate for derived SIL, te nella ENV 50129 come appropriate per la SIL ri-
unless the implementation is integrated with cavata, salvo che l’implementazione sia integrata
other functions with a higher SIL (e.g. in a proc- con altre funzioni con una SIL più elevata (ad
essor system). esempio in un sistema a processore).
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 43 di 54
ANNEX/ALLEGATO
informative
D informativo THREATS ON OPEN TRANSMISSION SYSTEMS MINACCE NEI SISTEMI DI TRASMISSIONE APERTI
D.1 System view Visione del sistema

The threats to messages sent over the link by Le minacce ai messaggi inviate sul collegamento
the control and protection system occur as a re- dal sistema di controllo e protezione si verificano
sult of the possible changes in performance of come conseguenza di possibili cambiamenti delle
the link, which may arise either in normal con- prestazioni del collegamento, che possono sorge-
ditions (i.e. without failures) or abnormal condi- re in condizioni normali (cioè senza avaria) o
tions (i.e. following failures of the communica- condizioni anormali (cioè a seguito di avarie
tion equipment). dell’equipaggiamento di comunicazione).
The adopted approach for deriving a set of L’approccio adottato per ricavare una serie di mi-
threats has been that of splitting the hazard nacce è stato la suddivisione dell’analisi del peri-
analysis, performed in form of a tree (see Fig- colo, eseguita in forma di un albero (vedere la
ure D.1), in three separate levels: Fig. D.1), in tre livelli separati:
1) the user level; 1) Il livello utente;
2) the network level; 2) Il livello rete;

3) the external environment level. 3) Il livello ambiente esterno.
These levels follow a top-down approach, start- Questi livelli seguono un approccio dall’alto
ing from the main hazard (M.H.), defined as (top-down), partendo dal pericolo principale
“the failure to obtain correct message at the re- (M.H.), definito come “l’avaria per ottenere il mes-
ceiver end”. saggio corretto al terminale del ricevitore”.
Through the analysis of the possible message Attraverso l’analisi del comportamento dei possi-
behaviours observed at the receiver part, the bili messaggi osservati dalla parte ricevente, le si-
potentially dangerous situations (basic hazards) tuazioni potenzialmente pericolose (pericolo di
have been highlighted and a set of basic mes- base) sono state illustrate e una serie di errori del
sage errors (B.M.E.), intended as the taxonomy messaggio di base (B.M.E.), intesi come la tasso-
of all possible message failure modes, is out- nomia di tutti i possibili modi di avaria di messag-
lined. gio possibili, sono stati delineati.
The derivation of the corresponding threats, to La deduzione delle minacce corrispondenti, per
be understood as the network failure modes essere comprese come il modo di avaria della rete
(i.e. the basic message errors seen from a net- (cioè gli errori di messaggio di base visti dal pun-
work point of view), is straightforward. The to di vista della rete), è immediato. La minaccia,
threat, as a matter of fact, is the entity that cre- come dato di fatto, è l’entità che crea una situa-
ates a dangerous situation for the safety (i.e. zione pericolosa per la sicurezza (cioè può con-
can lead to an accident) and is therefore a durre ad un incidente) ed è pertanto una causa (a
cause (at the network level) of a possible basic livello di rete) di un possibile errore di messaggio:
message error: the relationship threat-basic la relazione minaccia: errore di messaggio di base
message error is consequently 1:1. è di conseguenza 1:1.
In its turn, a threat can be generated by a set of A sua volta, una minaccia può essere generata da
causes, called hazardous events (H.E.), that can una serie di cause, chiamate eventi pericolosi (H.E.),
be present at both the network and the external che possono presentarsi sia nella rete che a livello
environment level. The same hazardous event ambiente esterno. Lo stesso evento pericoloso può
can obviously be related to different threats. ovviamente essere correlato con diverse minacce.
The splitting of the analysis in different levels La suddivisione dell’analisi in differenti livelli for-
provides also the possibility of (at least) three nisce anche la possibilità di (almeno) tre livelli di
levels of defences: difesa:
1) one at a system/user application level, treat- 1) Uno a livello di sistema/applicazione utente,
ing with the implementation of the system, che tratta l’implementazione del sistema, indi-
independently from the transmission field; pendentemente dal campo di trasmissione; un
an example is the deletion, that can turn esempio è la cancellazione, che può risultare
out to be absolutely not dangerous if the assolutamente non pericolosa se il sistema è
system has been designed in such a way stato progettato in modo tale che i messaggi
that deleted messages do not represent a cancellati non rappresentano un pericolo;
hazard;
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 44 di 54
2) one regarding the message logical structure, 2) Uno riguardante la struttura logica del mes-
an example are all the possible codes that saggio, un esempio sono tutti i possibili codici
can be applied to the message or specific che possono essere applicati al messaggio o
countermeasures such as sequence num- le contromisure specifiche quali i numeri di
bers, time stamps, etc...; sequenza, identificazione di tempo, ecc.…;
3) one at a physical level, an example is the 3) Uno a livello fisico, un esempio è la scherma-
shielding in order to avoid the corruption tura al fine di evitare la corruzione dovuta ad
due to an electromagnetic interference. interferenze elettromagnetiche.
This annex will not deal further with this topic, Questo allegato non tratta ulteriormente questo
that has been mentioned only with the aim of argomento, che è stato menzionato solo con l’in-
supplying an overall picture of the adopted tenzione di fornire una visione generale della me-
methodology. todologia adottata.
Fig. D.1 Hazard tree Albero del guasto
Difese
Defences
M.H. Pericolo Principale

M.H. (Main Hazard)
Sistema/Applicazione
Livello Utente
User Level
Utente
System/User
Application
B.M.E.
Errori dei Messaggi di
Base
(Basic Message Errors)
Minacce Struttura
Threats
Logica del Messaggio
Message
Livello Rete Logical
Network Level Structure
H.E.
Eventi pericolosi
(Hazardous Events)
H.E. Livello
Ambiente Fisico
Esterno Physical
External
H.E Environment
Level
D.2 Derivation of the basic message errors Derivazione degli errori del messaggio di base
The message is the main subject of the whole Il messaggio è l’oggetto principale di tutta l’analisi,
analysis, so the communication process has been così il processo i comunicazione è stato studiato dal
studied from the point of view of the receiver. A punto di vista del ricevitore. Un messaggio può es-
message can be defined as “useful information sere definito come “informazione utile originata da
originated by a source to be delivered within a una sorgente per essere inviata in un tempo ∆t
time ∆t from the beginning of the transmission”. dall’inizio della trasmissione”.
The integrity of the message stream is the main L’integrità del flusso del messaggio è la considerazio-
consideration in identifying the hazards that can ne principale per identificare i pericoli che possono
occur in transmitting a safety-related communi- verificarsi nella trasmissione di una comunicazione in
cation over an open transmission system. sicurezza su un sistema di trasmissione aperto.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 45 di 54
A “message stream” is defined as an ordered set Un “flusso di messaggio” è definito come una se-
of messages, and is unique for each time win- rie ordinata di messaggi e, in una rete, è unico
dow and receiver in a network if no failures, at- per ogni finestra di tempo e ricevitore, se non si
tacks or incorrect operations occur. verificano avarie, attacchi o operazioni sbagliate.
The message stream actually received can be Il flusso di messaggio realmente ricevuto può es-
different from the expected one for a number of sere diverso da quello atteso per una serie di mo-
reasons. Three particular subclasses are speci- tivi. Vengono specificate tre particolari sottoclassi
fied (basic hazards): (pericoli di base):
more messages received than expected; Più messaggi ricevuti di quelli attesi;
fewer messages received than expected; Meno messaggi ricevuti di quelli attesi;
same number of received and expected Stesso numero di messaggi ricevuti ed attesi.
messages.
More messages received than expected Più messaggi ricevuti di quelli attesi
In this case one or more messages have been In questo caso uno o più messaggi sono stati ri-
repeated, or an external message has been in- petuti, o un messaggio esterno è stato inserito sul-
serted on the line. The basic message errors are la linea. Gli errori di messaggio di base sono per-
therefore repeated, inserted message. tanto ripetuto, messaggio inserito.
Fewer messages received than expected Meno messaggi ricevuti di quelli attaesi
In this case one or more messages have been In questo caso uno o più messaggi sono stati can-
deleted. The basic message error is therefore cellati. Gli errori di messaggio di base sono per-
deleted message. tanto messaggio cancellato.
Same number of received and expected mes- Stesso numero di messaggi ricevuti ed attesi
sages
In this case several possibilities can occur: In questo caso si possono verificare molte possi-
bilità:
all the messages in the stream are correct in Tutti i messaggi nel flusso sono corretti come
content and in transit time but the sequence contenuto e tempo di transito, ma la sequen-
is wrong: resequencing has taken place; za è sbagliata: ha avuto luogo una ripetizione
di sequenza;
for a message in the stream it took longer Per un messaggio nel flusso che impiega più
than nominal ∆t to reach the receiver: delay tempo del normale ∆t a raggiungere il ricevi-
has taken place; tore: ha avuto luogo un ritardo;
the message has been modified: corruption Il messaggio è stato modificato: ha avuto luo-
has taken place; go una corruzione;
the receiver believes that the sender of a Il ricevitore crede che il trasmettitore di un
message is another than the real one: mas- messaggio sia un altro anziché quello reale:
querade has taken place. ha avuto luogo una mascheratura.
In the last two sub-cases, the integrity of the Negli ultimi due casi, è stata considerata l’integrità
single message has been considered. The basic del singolo messaggio. Gli errori di messaggio di
message errors are resequenced, delayed, cor- base sono ripetizione di sequenza, messaggio ri-
rupted, masqueraded message. tardato, corrotto, mascherato.
The following set of basic message errors has È stata pertanto identificata la seguente serie di
therefore been identified: errori di messaggio di base:
repeated message; Messaggio ripetuto;
deleted message; Messaggio ritardato;
inserted message; Messaggio inserito;
resequenced message; Messaggio risequenziato;
corrupted message; Messaggio corrotto;
delayed message; Messaggio ritardato;
masqueraded message. Messaggio mascherato.
The above defined basic message errors are not Gli errori di messaggio di base di cui sopra non
mutually exclusive: it is possible that more mes- sono mutuamente escludentisi: è possibile che più
sages in a stream and even a single message are messaggi in un flusso e anche un singolo messag-
affected by more than one error mode. gio siano affetti da più di un modo di errore.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 46 di 54
D.3 Threats Minacce
Being the basic message errors the ones speci- Essendo gli errori di messaggio di base quelli spe-
fied in D.1, the derivation of the corresponding cificati in D.1, la derivazione delle minacce corri-
threats is straightforward. spondenti è diretta.
Let A-B and C-D be the two couples of author- Poniamo che A-B e C-D siano le due coppie di
ised parties that communicate safety related parti autorizzate che comunicano messaggi in si-
messages, while X is the attacker. curezza, mentre X è la parte che attacca.
It has to be noted that also random and system- È stato notato che anche avarie HW/SW casuali e
atic HW/SW failures are taken into account in sistematiche sono prese in considerazione
the list of threats; the following explanations are nell’elenco delle minacce; le seguenti spiegazioni
only example and are therefore not exhaustive. sono solo esempi e non sono pertanto esaustivi.
Repetition Ripetizione
X copies a message [‘Maximum speed: X copia un messaggio [‘Massima velocità:
250 km/h’] and replays it in a situation 250 km/h’] e lo ripete in una situazione dove
where it may harm the receiver [while train può danneggiare il ripetitore [mentre il treno è
is in a slow speed track section] in una sezione di binario a bassa velocità]
or o
due to a hardware failure the non safe trans- a seguito di un’avaria hardware il sistema di
mission system repeats an old message. trasmissione non sicuro ripete un vecchio
messaggio.
Deletion Cancellazione
X deletes a message [X deletes the message X cancella un messaggio [X cancella il messag-
‘Emergency Stop’ or ‘Maximum speed: gio ‘Arresto di emergenza’ o ‘Massima velocità:
250 km/h’] 250 km/h’]
or o
a message is deleted due to a hardware failure. un messaggio è cancellato per un’avaria hard-
ware.
Insertion Inserzione
X inserts a message [‘Maximum speed: X inserisce un messaggio [‘Massima velocità:
250 km/h’] 250 km/h’]
or o
an authorised third party C involuntary in- una parte terza autorizzata C involontariamente
serts a message in between the information inserisce un messaggio nel flusso delle infor-
flow from A to B (or vice versa). mazioni tra A e B (o vice versa).
Resequencing Ripetizione di sequenza

X intentionally changes the sequence of X cambia intenzionalmente la sequenza dei
messages for B (e.g. by delaying a message messaggi dar B (per esempio cancellando un
or by forcing the message to take a different messaggio o forzando il messaggio a prendere
path through the network) un cammino diverso attraverso la rete)
or o
due to a hardware failure the message se- per un’avaria hardware è cambiata la sequenza
quence is changed. di messaggio.
Corruption Corruzione
The message is accidentally changed Il messaggio è cambiato accidentalmente (per
(e.g. EMI) to another formally correct message esempio. EMI) in un altro messaggio formal-
mente corretto
or o
X alters a message [‘Maximum speed: X altera un messaggio [‘da Massima velocità:
30 km/h’ to ‘Maximum speed: 250 km/h’] in 30 km/h’ a ‘Massima velocità: 250 km/h’] in un
a plausible way so that A and/or B cannot modo plausibile in modo che A e/o B non
detect the modification. possono rilevare la modificazione.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 47 di 54
Delay Ritardo
The transmission system is overloaded by the Il sistema di trasmissione è sovraccaricato dal
normal traffic (e.g. because of wrong design traffico normale (ad esempio per un progetto
or an accidental high amount of traffic.) sbagliato o una quantità di traffico accidental-
mente anormale.)
or o
X creates an overload on the transmission X crea un sovraccarico nel sistema di trasmis-
system by generating bogus messages so sione generando messaggi falsi cosicché il ser-
that the service is delayed or stopped. vizio è ritardato o arrestato.
Masquerade Mascheratura
A and B want to communicate sensitive data; A e B vogliono comunicare dati significativi;
C and D want to communicate sensitive data; C e D vogliono comunicare dati significativi;
X pretends towards A to be B or towards B X simula nei confronti di A di essere B o nei
to be A (or both) to get access to the sensi- confronti di B di essere A (o entrambi) per ot-
tive data or to be regarded as a legal user of tenere accesso ai dati sensibili o essere riguar-
the system; dato come un utente legale del sistema
or o
due to a network error, B believes errone- Per un errore della rete, B crede erroneamente
ously that the message is coming from A, che il messaggio venga da A, mentre la vera
while the real source is C. sorgente è C.
D.4 A possible approach for building a safety case Un possibile approccio per la costruzione di un
Dossier di sicurezza
The approach that will be outlined hereafter is L’approccio che sarà delineato nel seguito è un
an example and is not the only one that can be esempio e non è il solo che può essere seguito.
followed. A complete Hazard Analysis needs Una completa Analisi del Pericolo necessita la
the deep knowledge of the application to which profonda conoscenza dell’applicazione alla quale
it is related, in order to perform also a proper è correlata, al fine di eseguire anche un’adatta va-
risk assessment. lutazione del rischio.
D.4.1 Structured methods for hazardous events Metodi strutturati per l’identificazione degli eventi
identification pericolosi
In the following, the analysis starts from the Nel seguito, l’analisi parte dalla considerazione
consideration that the examined case is dealing che il caso esaminato sta trattando con una rete
with a network interacting with the external en- che interagisce con l’ambiente esterno. Queste
vironment. These two entities are structured in due entità sono strutturate in sub entità (sottoline-
sub-entities (underlined in Figure D.2) that can ate in Fig. D.2) che possono essere considerata le
be considered as the causes of the possible haz- cause di possibili eventi pericolosi per il sistema
ardous events to the analysed system. The net- esaminato. L’entità della rete è suddivisa secondo
work entity is subdivided according to the sev- i diversi passi del ciclo di vita, mentre la suddivi-
eral steps of its life-cycle, while the splitting of sione dell’entità dell’ambiente esterno si occupa
the external environment entity takes care of its delle sue due possibili caratteristiche: quella fisica
two possible characteristics: the physical and e quella umana.
the human ones.
The leaves of the tree in Figure D.2 represent Le foglie dell’albero di Fig. D.2 rappresentano le
the causes of hazards: for each cause the corre- cause del pericolo: per ciascuna causa sono iden-
sponding generated hazardous events are identificati gli eventi pericolosi corrispondentemente
tified. This way to proceed makes it also easier, generati. Questo modo di procedere lo rende an-
once defined the probability of a single cause, che più facile, una volta definita la probabilità di
the allocation of probability for each hazardous una singola causa, l’attribuzione della probabilità
event produced. di ciascun evento pericoloso prodotto.
In the following each cause is split into one Nel seguito ogni causa è suddivisa in una serie di
number of possible Hazardous Events; this split- possibili Eventi Pericolosi; questa suddivisione
ting is not exhaustive: during the Hazard Analy- non è esaustiva: durante l’analisi del pericolo
sis some other Hazardous Events might be tak- qualche altro Evento Pericoloso potrebbe essere
en into account depending on the specific preso in considerazione in relazione all’applica-
application. zione specifica.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 48 di 54
Fig. D.2 Causes of threats Cause di minaccia
Attività prima della Messa in Servizio

Activities before Commissioning
Attività durante la Messa in Servizio
Activities during Commissioning
Rete Operatività e Manutenzione
Network Operation and Maintenance
Cessazione del Servizio e Smaltimento
Decommissioning and Disposal
Campi elettromagnetici
Electro-magnetic fields
Sollecitazione Meccanica
Fisico Mechanical Stress
Physical Clima
Climate
Eventi Naturali
Natural Events
Ambiente Esterno
External Environment
Operatori
Operators
Utenti autorizzati
Authorised Users
Umano Sabotatori
Human Saboteur
Utenti non autorizzati
Not Authorised Users
Addetti alla Manutenzione Intercettatore

Maintenance Staff Intruder
D.4.1.1 Network Rete

The phases of network life-cycle can be defined Le fasi del ciclo di vita della rete possono essere de-
according to EN 50126. For the scope of this an- finite in base alla EN 50126. Per lo scopo di questo
nex (i.e. identification of Hazardous Events aris- allegato (cioè l’identificazione degli Eventi Pericolo-
ing from “errors” in each phase), they can be si che derivano da “errori” in ogni fase), essi posso-
grouped together in the following way: no essere raggruppati assieme nel seguente modo:
concept, system definition and application Concezione, definizione del sistema e condi-
condition, risk analysis, system requirements, zioni di applicazione, analisi del rischio, re-
apportionment of system requirements, de- quisiti del sistema, ripartizione del sistema,
sign and implementation, manufacture: all progetto e implementazione, costruzione: tut-
these phases are related to activities before te queste fasi sino in relazione con le attività
the commissioning of the system; prima della messa in servizio del sistema;
installation, system validation and system installazione, validazione e accettazione del
acceptance: are related to the commission- sistema: sono in relazione con la messa in ser-
ing of the system vizio del sistema
operation and maintenance; funzionamento e manutenzione;
decommissioning and disposal. dismissione e cessione.
Activities before commissioning Attività prima della messa in servizio

Errors during this phase can lead to: Errori durante la fase possono condurre a:
HW systematic failure; avaria sistematica HW;
SW systematic failure. avaria sistematica SW.
Activities during commissioning Attività durante la messa in servizio

Errors during this phase can lead to: Errori durante la fase possono condurre a:
cross-talk; diafonia;
wires breaking; rottura di fili;
antennas misalignment; disallineamento di antenne;
cabling errors. errori di cablaggio.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 49 di 54
Operation and maintenance Operatività e manutenzione
During this phase of life hazardous events can Durante questa fase della vita possono presentarsi
arise both from loss of performance of system eventi pericolosi sia per perdita di prestazione di
components and from errors during repair componenti del sistema che errori durante la ripa-
and/or modifications. razione e/o le modifiche.
Loss of performance Perdita di prestazione

HW random failure; Guasto casuale HW;
HW ageing. Invecchiamento HW.
Maintenance Manutenzione
use of not calibrated instruments; Uso di strumenti non tarati;
use of not suited instruments; Uso di strumenti non adatti;
incorrect HW replacement; Sostituzione HW non corretta;
incorrect SW upgrading or replacement. Miglioramento o sostituzione SW non corretti.
Modification Modifica
fading effects; Effetti di fading;

human mistakes(1). errore umano(1).
Decommissioning and disposal Cessazione del servizio e smaltimento

It is not envisaged that hazardous events related Non è previsto che eventi pericolosi legati ad er-
to communication errors can arise during this rori di comunicazione possano presentarsi duran-
phase of network life-cycle. te questa fase del ciclo di vita della rete.
D.4.1.2 External environment Ambiente esterno
Electro-magnetic fields Campi elettromagnetici

EMI; EMI;
cross-talk (with external cabling or radio diafonia (con cablaggio esterno o collega-
links). menti radio).
Mechanical stress Sollecitazione meccanica

HW random failures; avarie casuali HW;
HW ageing. Invecchiamento HW.
Climate Clima
thermal noise; Rumore termico (thermal noise);
HW ageing; Invecchiamento HW;
HW random failures; Avarie casuali HW;
fading effects. Effetto fading.
Natural events Eventi naturali

magnetic storm; Tempesta magnetica;
fire; fuoco;
earthquake; terremoto;
lightning. fulminazioni atmosferiche.
Operators Operatori
human mistakes(1) errore umano(1)
Authorised users Utenti autorizzati

human mistakes(1); errore umano(1);
overloading of transmission system. sovraccarico del sistema di trasmissione.
(1) They depend from the particular type of application and cannot (1) Essi dipendono dal particolare tipo di applicazione e non possono per-
therefore be specified at this level of analysis. tanto essere specificati a questo livello dell’analisi
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 50 di 54
Maintenance staff Addetti alla manutenzione
use of not calibrated instruments; uso di strumenti non tarati;
use of not suited instruments; uso di strumenti non adatti;
incorrect HW replacement; sostituzione dell’HW non corretta;
human mistakes(1); errore umano(1);
incorrect SW upgrading or replacement. miglioramento e sostituzione SW non corrette
Saboteur(1)) Sabotatori(1)
wires tapping; intercettazione del collegamento (wires tap-
ping);
HW damage or breaking;l danno o rottura HW;
not authorised SW modifications. modifiche SW non autorizzate.
Intruder(2) Intercettatori(2)
monitoring of channels; supervisione dei canali;
transmission of not authorised messages. trasmissione di messaggi non autorizzati.
D.4.2 Relationship hazardous events - threats Relazione eventi pericolosi - minacce

Referring to D.1, each threat can be seen as the Con riferimento a D.1, ogni minaccia può essere
set of hazardous events which generate it. Start- vista come una serie di eventi pericolosi che la
ing from the hazardous events identified in the generano. Partendo dagli eventi pericolosi identi-
previous subclause, the next step consists in ficati nel paragrafo precedente, il passo successi-
building a relationship between them and the vo consiste nel costruire una relazione tra loro e
threats outlined in D.3 by means of a bottom-up le minacce delineate in D.3 per mezzo di un me-
method(2). The goal is that of verifying that no todo dal basso (bottom-up)(2)). L’obbiettivo è
extra threat comes out, in order to prove the va- quello di verificare che non sorgano ulteriori mi-
lidity of the undertaken approach. The relation- nacce, al fine di provare la validità dell’approccio
ship threats-hazardous events can be represent- adottato. Le relazioni minacce - eventi pericolosi
ed by the Table D.1. possono essere rappresentati nella Tab. D.1.
As it can be seen, no extra threat has been discov- Come è possibile vedere, non è stato scoperto
ered after analysing each hazardous event; this nessuna minaccia ulteriore dopo l’analisi di ogni
proves the fact that the list of D.3 is exhaustive. evento pericoloso, questo prova il fatto che l’elen-
co D.3 è esaustivo.
(It has to be clear that the above table considers, (Deve essere chiaro che le tabelle di cui sopra consi-
for each hazardous event, only the primary ef- derano, per ogni evento pericoloso, solo effetti pri-
fects, i.e. other relationships can be identified). mari, cioè possono essere identificate altre relazioni).
D.5 Conclusions Conclusioni

Two different approaches for deriving the set of Sono stati identificati i due diversi approcci per
possible threats to a safety related transmission dedurre la serie delle possibili minacce ad una
in open communication system have been iden- trasmissione in sicurezza in un sistema di comuni-
tified. The first one is a top-down method start- cazione aperto. Il primo è un metodo dall’alto
ing from the main hazard and ending with the (top-down) che parte dal pericolo principale e fi-
classification of all the possible hazardous nisce con la classificazione di tutti i possibili
events leading to the hazard. The second one eventi che conducono ad un pericolo. Il secondo
starts from the definition of the two main enti- parte dalla definizione dalle due entità principali
ties of the considered system (i.e. the network del, sistema considerato (cioè la rete e l’ambiente
and the external environment) in order to clas- esterno) al fine di classificare tutte le possibili
sify all the possible causes of the hazardous cause di eventi pericolosi per il sistema; questi
events related to that system; these events are eventi sono quindi posti in relazione con la Mi-
then referred to the threat(s) they generate. naccia/e che essi generano.
The two analyses converge to the same set of Le due analisi convergono alla medesima serie di mi-
threats, proving therefore the validity of the work. nacce, confermando pertanto la validità del lavoro.
(1) The difference between a saboteur and an intruder is that the first (1) La differenza tra un sabotatore e un intercettatore è che il primo non si
does not care of what is on the line, his aim is only to modify the net- preoccupa di quello che c’è sulla linea, il suo scopo è solo quello di
work, whilst the second does not alter the network, he utilises it in modificare la rete, mentre il secondo non altera le rete, egli la utilizza
order to gain some advantage. per ottenere qualche vantaggio.
(2) Generally speaking, during the safety case analysis such a bot- (2) Generalmente parlando, durante l’analisi del Dossier della sicurezza tale meto-
tom-up method shall be used to evaluate the threats which are do dal basso (bottom-up) deve essere usato per valutare le minacce che sono
caused by all the H.E. related to the particular application. causate da tutti gli H.E. (Eventi Pericolosi) relativi alla particolare applicazione
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 51 di 54
Tab. D.1 Relationship between hazardous events - threats Relazione tra eventi pericolosi - minacce
Minacce
Threats
Eventi pericolosi Ripetizione Cancellazione Inserzione Ripetizione Corruzione Ritardo Mascheratura
Hazardous events Repetition Deletion Insertion della sequenza Corruption Delay Masquerade
Resequencing
Avaria sistematica HW X X X X X X X(1)
HW systematic failure
Avaria sistematica SW X X X X X X X(1)
SW systematic failure
Diafonia X X X X(1)
Cross-talk
Rottura di fili X X X
Wires breaking
Disallineamento di antenne X X
Antennas misalignment
Errori di cablaggio X X X X X(1)
Cabling errors
Avarie casuali HW X X X X X X X(1)
HW random failures
Invecchiamento HW X X X X X X X(1)
HW ageing
Uso di strumenti non tarati X X X X X X X(1)
Use of not calibrated instruments
Uso di strumenti non adatti X X X X X X X(1)
Use of not suited instruments
Sostituzione del’HW non corretta X X X X X X X(1)
Incorrect HW replacement
Effetto fading X X X X
Fading effects
EMI X X
Errori umani X X X X X X X(1)
Human Mistakes
Rumore termico X X
Thermal noise
Tempesta magnetica X X X
Magnetic storm
Fuoco X X X
Fire
Terremoto X X X
Earthquake
Fulminazione atmosferica X X X
Lightning
Sovraccarico del sistema di trasmissione X X
Overloading of TX system
Intercettazione del collegamento X X X X X X X(1)
Wires tapping
Danno o rottura HW X X X
HW damage or breaking
Modifiche SW non autorizzate X X X X X X X (2)
Not authorised SW modifications
Trasmissione di messaggi non autorizzati X X X (2)
Transmission of not authorised messages
Supervisione dei canali(3)
Monitoring of channels(3)
(1) In questo caso si deve correggere il messaggio inviato al ricevitore sbagliato a seguito, per esempio, di un instradamento sbagliato, una possibile
contromisura è la specifica dell’indirizzo dell’emettitore.
In this case we have a correct message delivered to the wrong receiver due, for instance, to a misrouting; a possible countermeasure is the specification of the sender address.
(2) In questo caso il messaggio è doloso dall’inizio; è necessaria una robusta difesa, per esempio l’uso di una chiave.
In this case the message is fraudulent from the beginning; a strong defence is needed, for example the use of a key.
(3) Ha senso che non vi sia minaccia per l’h.e. “supervisione dei canali”; il segreto, infatti, è un requisiti di sistema: lo deve essere con la particolare applicazione.
It makes sense that there is no threat for the h.e. ”monitoring of channels”; the secrecy, in fact, is a system requirement: it has to do with the particular application.
Fine Documento
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 52 di 54
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 53 di 54
La presente Norma è stata compilata dal Comitato Elettrotecnico Italiano
e beneficia del riconoscimento di cui alla legge 1º Marzo 1968, n. 186.
Editore CEI, Comitato Elettrotecnico Italiano, Milano - Stampa in proprio
Autorizzazione del Tribunale di Milano N. 4093 del 24 luglio 1956
Responsabile: Ing. A. Alberici
9 – Trazione
CEI EN 50163 (CEI 9-31)
Applicazioni ferroviarie Tensioni di alimentazione dei sistemi
di trazione
CEI EN 50121-1 (CEI 9-35/1)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane
Compatibilità elettromagnetica Parte 1: Generalità
CEI EN 50121-2 (CEI 9-35/2)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Compatibilità elettromagnetica Parte 2: Emissione dell’intero
sistema ferroviario verso l’ambiente esterno
CEI EN 50121-4 (CEI 9-35/4)

Compatibilità elettromagnetica Parte 4: Emissione ed immuni-
ta’ delle apparecchiature di segnalamento e telecomunicazioni
CEI R009-001
Sistemi di comunicazione, di segnalamento e di processo Tas-
si di guasto pericoloso e livelli di integrità della sicurezza (SIL)
CEI ENV 50129 (CEI 9-55)
Sistemi elettronici di sicurezza per il segnalamento
CEI R009-003
Guida alla specifica di un sistema di trasporto guidato
CEI EN 50126 (CEI 9-58)
Applicazioni ferroviarie, tranviarie, filotranviarie, metropolita-
ne La specificazione e la dimostrazione di Affidabilità, Dispo-
nibilità, Manutenibilità e Sicurezza (RAMS)
CEI EN 50239 (CEI 9-62)
Sistemi di radiocomando a distanza di veicoli di trazione per
trasporto merci
CEI EN 50124-1 (CEI 9-65/1)
Applicazioni ferroviarie, tranviarie, filotranviarie, metropolita-
ne - Coordinamento degli isolamenti Parte 1: Requisiti base -
Distanze in aria e distanze superficiali per tutta l’apparecchia-
tura elettrica ed elettronica
CEI EN 50159-1 (CEI 9-66/1)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Sistemi di telecomunicazione, segnalamento ed elaborazione
Parte 1: Comunicazioni di sicurezza in sistemi di trasmissione
di tipo chiuso
74,00
NORMA TECNICA Sede del Punto di Vendita e di Consultazione
CEI EN 50159-2:2002-01 20134 Milano - Via Saccardo, 9
Totale Pagine 60 tel. 02/21006.1 • fax 02/21006.222
http://www.ceiuni.it
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA e-mail: cei@ceiuni.it
SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano

Cei en 50159-2 - 2002-01

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Cei en 50159-2 - 2002-01

Caricato da

Copyright:

Formati disponibili

N O R M A I T A L I A N A CEI

APPARECCHIATURE ELETTRICHE PER SISTEMI DI ENERGIA E PER TRAZIONE

COLLEGAMENTI/RELAZIONI TRA DOCUMENTI

Europei (IDT) EN 50159-2:2001-03;

Norma Italiana CEI EN 50159-2 Pubblicazione Norma Tecnica Carattere Doc.

Stato Edizione In vigore Data validità 2002-3-1 Ambito validità Europeo

Comitato Tecnico 9-Trazione

Gruppo Abb. 3 Sezioni Abb. B

© CEI - Milano 2002. Riproduzione vietata.

Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di

Railway applications - Communication, segnalling and processing systems

Applications ferroviaires - Systèmes de signalisation, de témécommunication et de

Bahnanwendungen - Telekommunikationstechnik, Signal- technik und

2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI 2

3.6 Data ..................................................................................................... Dati ......................................................................................................... 4

4 REFERENCE ARCHITECTURE ARCHITETTURA DI RIFERIMENTO 9

5 THREATS TO THE TRANSMISSION SYSTEM MINACCE AL SISTEMA DI TRASMISSIONE 12

6 REQUIREMENTS FOR DEFENCES REQUISITI DELLE DIFESE 12

7 APPLICABILITY OF DEFENCES AGAINST THREATS APPLICABILITÀ DELLE DIFESE CONTRO LE MINACCE 20

If a safety-related electronic system involves the Se un sistema elettronico in sicurezza prevede il

CEI EN 50159-2:2002-01 NORMA TECNICA

2 NORMATIVE REFERENCES RIFERIMENTI NORMATIVI

Pubblicazione Anno Titolo Norma CEI

3.1 Access protection Protezione di accesso

3.1.1 Hacker Hacker

3.2 Authenticity Autenticità

3.3 Authorisation Autorizzazione

3.3.1 Unauthorised access Accesso non autorizzato

3.3.2 Confidentiality Confidenzialità

3.4 Check Verifica

3.4.1 Redundancy check Verifica ridondante

3.5 Cryptographic techniques Tecniche crittografiche

3.6.1 Data corruption Corruzione di dati

3.6.2 User data Dati utente

3.6.3 Additional data Dati addizionali

ty, and safety purposes. disponibilità, e sicurezza.

3.6.4 Redundant data Dati ridondanti

3.6.4.1 Safety code Codice di sicurezza

3.6.4.1.1 Non cryptographic safety code Codice di sicurezza non crittografico

3.6.4.1.1.1 Cyclic redundancy check (CRC) Verifica di ridondanza ciclica (CRC)

3.6.4.1.2 Cryptographic safety code Codice di sicurezza crittografico

3.6.4.3 Time stamp Identificatore di tempo

3.6.4.3.1 Relative time stamp Identificatore di tempo relativo

3.6.4.3.2 Absolute time stamp Identificatore di tempo assoluto

3.6.4.3.3 Double time stamp Identificatore di tempo doppio

3.6.4.4 Source and destination identifier Identificatore di sorgete e di destinazione

3.7 Defence Difesa

3.8 Error Errore

3.9 Failure Guasto

3.9.1 Random failure Guasto casuale

3.9.2 Systematic failure Guasto sistematico

3.10.1 Random fault Avaria casuale

3.10.2 Systematic fault Avaria sistematica

3.11 Hazard Pericolo

3.11.1 Hazard analysis Analisi del pericolo

3.12 Information Informazione

3.13 Integrity Integrità

3.14 Message Messaggio

3.14.1 Valid message Messaggio valido

3.14.2 Message integrity Integrità del messaggio

3.14.3 Authentic message Messaggio autentico

3.14.4 Message stream Flusso di messaggi

3.14.5 Message enciphering Cifraggio di messaggio