Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Norma Italiana
CEI EN 50159-2
Data Pubblicazione Edizione
2002-01 Prima
Classificazione Fascicolo
9-66/2 6347
Titolo
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane - Sistemi di
telecomunicazione, segnalamento ed elaborazione
Parte 2: Comunicazioni di sicurezza in sistemi di trasmissione di
tipo aperto
Title
Railway applications - Communication, segnalling and processing systems
Part 2: Safety related communication in open transmission systems
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
COMITATO
ELETTROTECNICO CNR CONSIGLIO NAZIONALE DELLE RICERCHE • AEI ASSOCIAZIONE ELETTROTECNICA ED ELETTRONICA ITALIANA
ITALIANO Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
SOMMARIO
La presente Norma tratta le comunicazioni in sicurezza tra equipaggiamenti in sicurezza che usano un
sistema di trasmissione di tipo aperto.
DESCRITTORI • DESCRIPTORS
Trazione • Traction; Segnalamento • Signalling;
Legislativi
INFORMAZIONI EDITORIALI
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
LEGENDA
(IDT) La Norma in oggetto è identica alle Norme indicate dopo il riferimento (IDT)
CENELEC members are bound to comply with the I Comitati Nazionali membri del CENELEC sono tenu-
CEN/CENELEC Internal Regulations which stipulate ti, in accordo col regolamento interno del CEN/CENE-
the conditions for giving this European Standard the LEC, ad adottare questa Norma Europea, senza alcuna
status of a National Standard without any alteration. modifica, come Norma Nazionale.
Up-to-date lists and bibliographical references con- Gli elenchi aggiornati e i relativi riferimenti di tali Nor-
cerning such National Standards may be obtained on me Nazionali possono essere ottenuti rivolgendosi al
application to the Central Secretariat or to any Segretariato Centrale del CENELEC o agli uffici di
CENELEC member. qualsiasi Comitato Nazionale membro.
This European Standard exists in three official ver- La presente Norma Europea esiste in tre versioni uffi-
sions (English, French, German). ciali (inglese, francese, tedesco).
A version in any other language and notified to the Una traduzione effettuata da un altro Paese membro,
CENELEC Central Secretariat has the same status as sotto la sua responsabilità, nella sua lingua nazionale
the official versions. e notificata al CENELEC, ha la medesima validità.
CENELEC members are the national electrotechnical I membri del CENELEC sono i Comitati Elettrotecnici
committees of: Austria, Belgium, Czech Republic, Nazionali dei seguenti Paesi: Austria, Belgio, Dani-
Denmark, Finland, France, Germany, Greece, Iceland, marca, Finlandia, Francia, Germania, Grecia, Irlanda,
Ireland, Italy, Luxembourg, Netherlands, Norway, Islanda, Italia, Lussemburgo, Norvegia, Olanda, Por-
Portugal, Spain, Sweden, Switzerland and United togallo, Regno Unito, Repubblica Ceca, Spagna,
Kingdom. Svezia e Svizzera.
© CENELEC Copyright reserved to all CENELEC members. I diritti di riproduzione di questa Norma Europea sono riservati esclu-
sivamente ai membri nazionali del CENELEC.
C E N E L E C
Comitato Europeo di Normalizzazione Elettrotecnica Secrétariat Central: Comité Européen de Normalisation Electrotechnique
European Committee for Electrotechnical Standardization rue de Stassart 35, B - 1050 Bruxelles Europäisches Komitee für Elektrotechnische Normung
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
CONTENTS INDICE
Rif. Topic Argomento Pag.
INTRODUCTION INTRODUZIONE 1
1 SCOPE SCOPO 1
3 DEFINITIONS DEFINIZIONI 3
3.1 Access protection .......................................................................... Protezione di accesso ................................................................... 3
3.2 Authenticity ...................................................................................... Autenticità ........................................................................................... 3
3.3 Authorisation ................................................................................... Autorizzazione .................................................................................. 3
3.4 Check .................................................................................................. Verifica ................................................................................................. 3
3.5 Cryptographic techniques ......................................................... Tecniche crittografiche ................................................................. 3
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
A GUIDELINE FOR DEFENCES LINEE GUIDA PER LE DIFESE 22
ANNEX/ALLEGATO
B BIBLIOGRAPHY BIBLIOGRAFIA 35
ANNEX/ALLEGATO
C GUIDELINES FOR USE OF THE STANDARD LINEE GUIDA PER L’USO DELLA NORMA 36
ANNEX/ALLEGATO
D THREATS ON OPEN TRANSMISSION SYSTEMS MINACCE NEI SISTEMI DI TRASMISSIONE APERTI 44
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina iv
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
FOREWORD PREFAZIONE
This European Standard was prepared by SC La presente Norma Europea è stata preparata dal
9XA, Communication, signalling and processing SC 9XA, Communication, signalling and process-
systems, of Technical Committee CENELEC TC ing systems, del Comitato Tecnico CENELEC
9X, Electrical and electronic applications for TC 9X, Electrical and electronic applications for
railways. railways.
The text of the draft was submitted to the for- Il testo del progetto è stato sottoposto a voto for-
mal vote and was approved by CENELEC as male ed è stato approvato dal CENELEC come
EN 50159-2 on 2000/01/01. Norma Europea EN 50159-2 in data 01/01/2000.
The following dates were fixed: Sono state fissate le date seguenti:
latest date by which the EN has to be imple- data ultima entro la quale la EN deve essere
mented at national level by publication of recepita a livello nazionale mediante pubbli-
an identical national standard or by en- cazione di una Norma nazionale identica o
dorsement mediante adozione
(dop) 2001/10/01 (dop) 01/10/2001
latest date by which the national standards data ultima entro la quale le Norme nazio-
conflicting with the EN have to be with- nali contrastanti con la EN devono essere ri-
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
drawn tirate
(dow) 2003/01/01 (dow) 01/01/2003
Annexes designated “informative” are given for Gli Allegati indicati come “informativi” sono dati
information only. solo per informazione.
In this standard, annexes A, B, C and D are in- Nella presente Norma, gli Allegati A, B, C e D
formative. sono informativi.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina v
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina vi
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
INTRODUCTION INTRODUZIONE
whose safety requirements are defined in dei quali sono definiti nella in EN 50159-1. La se-
EN 50159-1. The second class, named open conda classe, chiamata dei sistemi di trasmissione
transmission system, consists of all the systems aperti, consiste in tutti quei sistemi le cui caratteri-
whose characteristics are unknown or partly stiche sono sconosciute o conosciute parzialmen-
unknown. This standard defines the safety re- te. Questa Norma definisce i requisiti di sicurezza
quirements addressed to the transmission orientati alla trasmissione tramite sistemi aperti.
through open transmission systems.
The transmission system, which is considered in Il sistema di trasmissione, che è trattato in questa
this standard, has in general no particular pre- Norma non ha, in generale, particolari presuppo-
conditions to satisfy. It is from the safety point sti da soddisfare. Dal punto di vista della sicurez-
of view not or not fully trusted and is consid- za è, o non è, completamente affidabile ed è con-
ered as a “black box”. siderato come una “scatola nera”.
This standard is closely related to EN 50159-1 La presente Norma è strettamente correlata con la
“Safety-related communication in closed trans- EN 50159-1 “Comunicazioni in sicurezza in siste-
mission systems” and ENV 50129 “Safety related mi di trasmissione chiusi” e con la ENV 50129 “Si-
electronic systems for signalling”. stemi elettronici per segnalamento con riferimen-
to alla sicurezza”.
The standard is dedicated to the requirements La Norma è dedicata ai requisiti che devono esse-
to be taken into account for the transmission of re presi in considerazione per la trasmissione di
safety-related information over open transmis- informazioni in sicurezza con sistemi di trasmis-
sion systems. sione aperti.
Cross-acceptance, aimed at generic approval L’accettazione incrociata, mirata all’approvazione
and not at specific applications, is required in generica e non alle applicazioni specifiche, è ri-
the same way as for ENV 50129 “Safety related chiesta allo stesso modo della ENV 50129 “Sistemi
electronic systems for signalling”. elettronici di segnalamento in sicurezza”.
1 SCOPE SCOPO
This European Standard is applicable to safe- La presente Norma Europea si applica ai sistemi
ty-related electronic systems using an open elettronici in sicurezza che usano per la trasmis-
transmission system for communication purpos- sione un sistema aperto con scopi di comunica-
es. It gives the basic requirements needed, in zione. Questa fornisce i requisiti di base necessari
order to achieve safety-related transmission be- al fine di ottenere una trasmissione in sicurezza
tween safety-related equipment connected to tra equipaggiamenti in sicurezza connessi al siste-
the open transmission system. ma di trasmissione aperto.
This standard is applicable to the safety require- Questa Norma è applicabile alla specifica del re-
ment specification of the safety-related equip- quisito di sicurezza di equipaggiamenti in sicurez-
ment, connected to the open transmission sys- za, connessa al sistema di trasmissione aperto, al
tem, in order to obtain the allocated safety fine di ottenere il livello di integrità di sicurezza
integrity level. attribuito.
functional and technical safety are the subject of denza della sicurezza funzionale e tecnica sono
this standard. l’oggetto di questa Norma.
This standard is not applicable to existing sys- Questa Norma non è applicabile ai sistemi esi-
tems, which had already been accepted prior to stenti che sono già stati accettati prima della emis-
the release of this standard. sione di questa Norma.
This standard does not specify: Questa norma non specifica:
the open transmission system, il sistema di trasmissione aperto,
equipment connected to the open transmis- equipaggiamenti collegati al sistema di tra-
sion system, smissione aperto
solutions (e.g. for interoperability), soluzioni (ad esempio per l’interoperabilità),
which kinds of data are safety-related and quali generi di dati sono in sicurezza e quali
which are not. non lo sono.
This European Standard incorporates by dated La presente Norma include, tramite riferimenti da-
or undated reference, provisions from other tati o non datati, disposizioni provenienti da altre
publications. These normative references are Pubblicazioni. Questi riferimenti normativi sono
cited at appropriate places in the text and the citati, dove appropriato, nel testo e qui di seguito
publications are listed hereafter. For dated refer- sono elencate le relative Pubblicazioni. In caso di
ences, subsequent amendments to or revisions riferimenti datati, le loro successive modifiche o
of these publications apply to this European revisioni si applicano alla presente Norma solo
Standard only when incorporated in it by quando incluse in essa da una modifica o revisio-
amendment or revision. For undated references ne. In caso di riferimenti non datati, si applica
the latest edition of the publication referred to l’ultima edizione della Pubblicazione indicata
applies.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 2 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
3 DEFINITIONS DEFINIZIONI
For the purpose of this standard, the following Per gli intendimenti della presente Norma, si ap-
definitions apply: plicano le seguenti definizioni:
The state in which information is valid and Lo stato nel quale l’informazione è valida ed è
known to have originated from the stated noto che abbia avuto origine dalla sorgente stabi-
source. lita.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 3 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
3.6 Data Dati
A part of a message which represents some in- Una parte di un messaggio che rappresenta delle
formation. informazioni.
3.6.4.1.2.1 Message authentication code (MAC) Codice di autenticazione del messaggio (MAC)
A cryptographic function of the whole message Una funzione crittografica dell’intero messaggio e
and a secret or public key. By the whole mes- una chiave segreta o pubblica. Per intero messag-
sage is meant also any implicit data of the mes- gio si intende anche ogni dato implicito del mes-
sage which is not sent to the transmission sys- saggio che non è inviato al sistema di trasmissio-
tem. ne.
3.6.4.1.2.2 Manipulation detection code (MDC) Codice di rilievo della manipolazione (MDC)
A function of the whole message, but in con- Una funzione dell’intero messaggio, ma in contra-
trast to a MAC there is no secret key involved. sto con il MAC non vi è chiave segreta coinvolta.
By the whole message is meant also any implic- Per intero messaggio si intende anche ogni dato
it data of the message which is not sent to the implicito del messaggio che non è inviato al siste-
transmission system. The MDC is often based ma di trasmissione. L’MDC è spesso basato su una
on a hash function. funzione hash.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 4 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
3.6.4.2 Sequence number Numero di sequenza
An additional data field containing a number Un campo di dati addizionali contenenti un nu-
that changes in a predefined way from message mero che cambia in modo predefinito da messag-
to message. gio a messaggio.
mission network is defined as an absolute time usano una rete di trasmissione è definito come
stamp. identificatore di tempo assoluto.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 5 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
3.10 Fault Guasto
An abnormal condition that could lead to an er- Una condizione anormale che potrebbe condurre
ror in a system. A fault can be random or sys- ad un errore in un sistema. Un guasto può essere
tematic. casuale o sistematico.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 6 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
3.14.6 Feedback message Messaggio di retroazione
A feedback message is defined as a response Un messaggio di retroazione è definito come una
from a receiver to the sender, via a return trans- risposta da un ricevitore a un emettitore, attraver-
mission channel. so un canale di trasmissione di ritorno.
A type of message error in which a single mes- Un tipo di errore di messaggio nel quale un singo-
sage is received more than once. lo messaggio può essere ricevuto più di una volta.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 7 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
3.15.3 Access protection process Processo di protezione di accesso
A process within a system that contributes only Un processo, in un sistema, che contribuisce solo
to the access protection of information in the alla protezione di accesso dell’informazione nel si-
system, and not to the user processes or trans- stema, e non ai processi utente o ai processi di
mission processes themselves. trasmissione stessi.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 8 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
4 REFERENCE ARCHITECTURE ARCHITETTURA DI RIFERIMENTO
This reference architecture for a safety-related Questa architettura di riferimento per un sistema
transmission system is based on: in sicurezza è basata su:
The non trusted transmission system, what- Il sistema di trasmissione non affidabile, qual-
ever internal transmission protection mech- siasi meccanismo interno di protezione della
anisms are incorporated. trasmissione sia inserito.
The safety-related transmission functions. Le funzioni di trasmissione in sicurezza.
The safety-related access protection functions. Le funzioni di protezione di accesso in sicurezza.
For the purposes of this standard, the open Per gli intendimenti di questa norma, il sistema di
transmission system is assumed to consist of trasmissione aperto si assume che consista in tutto
everything (hardware, software, transmission quanto (hardware, software, mezzo di trasmissio-
media, etc.) occurring between two or more ne, ecc.) occorre tra due o più equipaggiamenti in
safety-related equipment which are connected sicurezza che sono connessi al sistema di trasmis-
to the transmission system. sione.
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
The open transmission system can contain Il sistema di trasmissione aperto può contenere in
some or all of the following: parte o tutto quanto segue:
Elements which read, store, process or Elementi che leggono, memorizzano, elabora-
re-transmit data produced and presented by no o ritrasmettono i dati prodotti e presentati
users of the transmission system in accord- dagli utenti del sistema di trasmissione in ac-
ance with a program not known to the user. cordo con un programma non noto all’utente.
The number of the users is generally un- Il numero degli utenti è generalmente scono-
known, safety-related and non safety-relat- sciuto, equipaggiamenti in sicurezza e non ed
ed equipment and equipment which are not equipaggiamenti che non sono correlati con
related to railway applications can be con- le applicazioni ferroviarie possono essere
nected to the open transmission system. connessi al sistema di trasmissione aperto.
Transmission media of any type with transmis- Mezzi di trasmissione di ogni tipo con caratteri-
sion characteristics and susceptibility to exter- stiche di trasmissione e di suscettibilità alle in-
nal influences which are unknown to the user. fluenze esterne che non sono note all’utente.
Network control and management systems Controllo di rete e gestione di sistemi capaci
capable of routing (and dynamically re-rout- di instradare (e reinstradare dinamicamente)
ing) messages via any path made up from messaggi attraverso ogni cammino costituito
one or more than one type of transmission da uno o più tipi di mezzi di trasmissione tra
media between the ends of open transmis- gli estremi di un sistema di trasmissione aper-
sion system, in accordance with a program to, in accordo con un programma non noto
not known to the user. all’utente
The open transmission system may be subject Il sistema di trasmissione aperto può essere sog-
to the following: getto a quanto segue:
Other users of the transmission system, not Altri utenti del sistema di trasmissione, non
known to the control and protection system noti al progettista del sistema di protezione e
designer, sending unknown amounts of in- controllo, che inviano quantità non note di in-
formation, in unknown formats. formazioni, in formati non noti.
User of the transmission system who may Utenti del sistema di trasmissione che posso-
attempt to gain access to data originating no tentare di ottenere accesso a dati che han-
from other users, in order to read it and/or no origine da altri utenti, al fine di leggerli
mimic it without authorisation from the sys- e/o imitarli senza autorizzazione a fare ciò, da
tem manager to do so. parte del gestore del sistema.
Any kind of additional threats to the integri- Ogni genere di ulteriore minaccia all’integrità
ty of the safety-related data. dei dati in sicurezza.
A principle structure of the safety-related system Una struttura di principio di un sistema in sicurez-
using an open transmission system is illustrated za che usa un sistema di trasmissione aperto è il-
in Figure 1. The principle model of a safety-re- lustrata in Fig. 1. Il modello di principio di un
lated message is shown in Figure 2. messaggio in sicurezza è mostrato in Fig. 2.
No safety requirements shall be placed upon Nessuno dei requisiti di sicurezza può ricadere
the non-trusted characteristics of the open sulle caratteristiche non affidabili di un sistema di
transmission system. Safety aspects are covered trasmissione aperto. Gli aspetti di sicurezza sono
by applying safety procedures and safety en- coperti con l’applicazione di procedure di sicu-
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 9 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
coding to the safety-related transmission func- rezza e di codifica di sicurezza per le funzioni
tions. della trasmissione in sicurezza.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 10 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Struttura di un sistema in sicurezza che usa un siste-
ma di trasmissione non affidabile
Sistema di trasmissione
Processo di protezio- Difesa contro Processo di protezio- in sicurezza EN 50159-2
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Messaggio
in sicurezza
Protezione di trasmissione
in sicurezza
Dati utente
Messaggio
Informazione in sicurezza
dell’applicazione
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 11 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
5 THREATS TO THE TRANSMISSION SYSTEM MINACCE AL SISTEMA DI TRASMISSIONE
Only threats to the transmission systems shall Devono essere considerate solo le minacce ai si-
be considered. Threats to the safety-related stemi di trasmissione. Le minacce ad equipaggia-
equipment shall be considered in accordance menti in sicurezza devono essere considerate in
with ENV 50129. accordo con la ENV 50129.
This standard refers to communications be- Questa norma si riferisce a trasmissioni tra appli-
tween generic applications using a transmission cazioni generiche che usano un sistema di tra-
system whose characteristics are (at least par- smissione le cui caratteristiche sono (almeno par-
tially) unknown. zialmente) sconosciute.
It is therefore necessary to define a main hazard È pertanto necessario definire un pericolo princi-
for safety independently from the functionality pale per la sicurezza indipendentemente dalla fun-
of the particular application and of the charac- zionalità della particolare applicazione e dalla ca-
teristics of the network; the pertinent definition ratteristica della rete; la definizione pertinente è:
is: “Failure to obtain an authentic (and conse- “Avaria che fa ottenere un messaggio autentico (e
quently valid) message at the receiver end”. di conseguenza valido) al terminale del ricevitore”.
With reference to annex D, a set of possible ba- Con riferimento all’Allegato D, è stata dedotta una
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
sic message errors has been derived. serie di possibili errori di messaggio di base.
The corresponding threats are: Le minacce corrispondenti sono:
repetition, ripetizione,
deletion, cancellazione,
insertion, inserzione,
resequence, nuova sequenza (resequence),
corruption, corruzione,
delay, ritardo,
masquerade. mascheramento.
Meeting the requirements of this standard does Soddisfare i requisiti di questa norma non dà pro-
not give protection against intentional or unin- tezione nei confronti di cattivo uso intenzionale o
tentional misuse coming from authorised sourc- non intenzionale che deriva da sorgenti autorizza-
es. The safety case shall address these aspects. te. Il Dossier di sicurezza deve trattare tali aspetti.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 12 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
The following set of known defences has been Sono state sottolineate la seguente serie di difese
outlined: note:
a) Sequence number; a) Numero di sequenza;
b) Time stamp; b) Identificatore di tempo;
c) Time-out; c) Time-out;
d) Source and destination identifiers; d) Identificatori di sorgente e di destinazione;
e) Feedback message; e) Messaggio di retroazione;
f) Identification procedure; f) Procedura di identificazione;
g) Safety code; g) Codice di sicurezza;
h) Cryptographic techniques. h) Tecniche crittografiche.
sumed shall be agreed with the safety au- ta deve essere concordata con l’autorità per la
thority and/or railway authority and shall be sicurezza e/o l’autorità ferroviaria e deve essere
put into the safety-related application con- inserita nelle condizioni dell’applicazione in si-
ditions. Annex D derives a possible list of curezza. L’Allegato D deduce un possibile elen-
threats, to be used as guidance. co di minacce, da usare come guida.
2) Detailed requirements for the defences 2) Requisiti dettagliati per le difese necessarie
needed for the application shall take into per l’applicazione devono tenere in conside-
account: razione:
the level of risk (frequency/consequence) il livello di rischio (frequenza/conseguenza)
identified for each particular threat, and identificato per ogni particolare minaccia, e
the safety integrity level of the data and il livello di integrità di sicurezza del dato
process concerned. e del processo relativo.
Annex A (guidelines for defences) gives L’Allegato A (linee guida per le difese) fornisce
guidance on the selection of currently una guida alla scelta delle tecniche corrente-
known techniques to give defence against mente conosciute per fornire difesa contro mi-
threats. Issues of effectiveness addressed in nacce. I problemi di efficienza trattati in questo
this annex should be carefully considered allegato dovrebbero essere attentamente consi-
when the defence is chosen. derati quando è stata scelta la difesa.
3) The requirements for the defences needed 3) I requisiti per le difese necessarie devono es-
shall be included in the system require- sere inclusi nella specifica dei requisiti del si-
ments specification and in the system safety stema e nella specifica dei requisiti di sicurez-
requirements specification for the applica- za del sistema per l’applicazione, e devono
tion, and shall form input to the “assurance costituire un dato d’ingresso alla parte di “as-
of correct operation” portion of the safety sicurazione di corretto funzionamento” del
case for the application. Dossier di sicurezza per l’applicazione.
4) All defences shall be implemented according 4) Tutte le difese devono essere implementate
to the requirements defined in ENV 50129. secondo i requisiti definiti nella ENV 50129.
This implies that the defences: Questo implica che le difese:
shall be implemented completely within devono essere implementate in modo
the safety-related transmission equip- completo entro l’equipaggiamento di tra-
ment of the system, or smissione in sicurezza del sistema, o
may include access protection measures possono comprendere misure di protezio-
not implemented within the safety-relat- ne d’accesso non implementate entro
ed equipment. In this case, the contin- l’equipaggiamento in sicurezza. In tale ca-
ued correct functioning of the access so, il continuo funzionamento corretto dei
protection processes shall be checked processi di protezione di accesso deve es-
with adequate safety-related techniques sere verificato con tecniche in sicurezza
for the application. adeguate all’applicazione.
5) Mandatory requirements for particular defenc- 5) Nelle sezioni seguenti vengono dati requisiti
es are given in the following sections. They obbligatori per difese particolari. Essi si appli-
apply when the particular defence is used. cano quando è usata una difesa particolare.
6) Other defences than those described in this 6) Possono essere usate difese diverse da quelle
standard may be used, provided that analy- descritte in questa norma, purché l’analisi del-
sis of their effectiveness against threats is in- la loro efficienza contro le minacce sia inserita
cluded in the safety case. nel Dossier di sicurezza.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 13 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
7) The safety case, as described in ENV 50129 7) Il Dossier di sicurezza, come descritto nella
shall include: ENV 50129 deve comprendere:
analysis of each defence used in the l’analisi di ogni difesa usata nel sistema di
safety transmission system, trasmissione di sicurezza,
the safety reaction in case of a detected la reazione di sicurezza nel caso di rilievo
transmission error. di un errore di trasmissione.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 14 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
6.3.2.2 Requirements Requisiti
The safety case shall demonstrate the appropri- Il Dossier di sicurezza deve dimostrare l’appro-
ateness in relation to the safety integrity level of priatezza in relazione al livello di integrità di sicu-
the process, and the nature of the safety-related rezza del processo, e la natura del processo in si-
process, of the following: curezza, per quanto segue:
the value of the time increment; Il valore dell’incremento di tempo;
the accuracy of the time increment; La precisione dell’incremento di tempo;
the size of the timer; La dimensione del temporizzatore;
the absolute value of the timer (e.g. UTC Il valore assoluto del temporizzatore (ad esem-
(universal co-ordinated time) or any other pio. UTC (tempo coordinato universale) o ogni
global clock); altro orologio universale);
the synchronism of the timers in the various Il sincronismo dei temporizzatori nelle varie en-
entities; tità;
the time delay between originating of infor- Il ritardo di tempo tra l’origine dell’informa-
mation and adding a time stamp to it; zione e l’aggiunta di un identificatore di tem-
po a questo;
the time delay between checking the time Il ritardo di tempo tra la verifica dell’identificato-
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Trasmettitore Ricevitore
Sender Receiver
mess
aggio
mess
a i
ge i
mess
aggio
mess
age J j
If a back channel is available, supervision can Se è disponibile un canale di ritorno, può essere
be performed by the sender. The sender starts a eseguita la supervisione dal trasmettitore. L’emet-
timer when sending a message i. The receiver titore fa partire un temporizzatore quando invia
of message i responds with an acknowledge un messaggio i. Il ricevitore del messaggio i ri-
message j related to the received message i. If sponde con un messaggio di riconoscimento j
the sender does not receive the corresponding correlato con il messaggio ricevuto i. Se il tra-
acknowledge message j within a predefined smettitore non riceve il corrispondente messaggio
time, an error shall be assumed. di riconoscimento j entro un tempo definito, si
deve considerare un errore.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 15 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fig. 4 Bi-directional transmission of messages Trasmissione bidirezionale di messaggi
Trasmettitore Ricevitore
Sender Receiver
mess
aggio
mess i
a ge i
io j
sagg
mes e J
ag
mess
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 16 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
6.3.4.2 Requirements Requisiti
The safety case shall demonstrate the appropri- Il Dossier di sicurezza deve dimostrare l’appro-
ateness, in relation to the safety integrity level priatezza in relazione al livello di integrità di sicu-
of the process and the nature of the safety-relat- rezza del processo e la natura del processo in si-
ed process, of the following: curezza, per quanto segue:
the uniqueness of the identifiers for entities L’unicità degli identificatori per entità nell’in-
in the entire transmission system; tero sistema di trasmissione;
the size of the identifier data field. La dimensione del campo dei dati dell’identi-
ficatore.
data derived from the contents of the origi- Dati derivati dai contenuti dei messaggi origi-
nal message, in identical or altered form; nali, in forma identica o alterata;
data added by the receiver, derived from its Dati aggiunti dal ricevitore, derivati dalla pro-
own local user process information; pria informazione del processo utente locale;
additional data for safety or security purposes. Dati addizionali per scopi di sicurezza e pro-
tezione dati.
The use of such a feedback message can con- L’uso di tale messaggio di retroazione può contri-
tribute to the safety of the process in a variety buire alla sicurezza del processo in una varietà di
of ways: modi:
by providing positive confirmation of recep- Fornendo conferma positiva della ricezione di
tion of valid and timely messages; messaggi validi e tempestivi;
by providing positive confirmation of recep- Fornendo conferma positiva della ricezione di
tion of corrupted messages, to enable ap- messaggi corrotti, per consentire di intrapren-
propriate action to be taken; dere adatte azioni;
by confirming the identity of the receiving Confermando l’identità dell’equipaggiamento
equipment; di ricezione;
by facilitating synchronisation of clocks in Facilitando la sincronizzazione degli orologi
sending and receiving equipment; degli equipaggiamenti di emissione e di rice-
zione;
by facilitating dynamic checking procedures Facilitando le procedure di verifica dinamica
between parties; tra le parti;
etc. ecc.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 17 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
A suitably designed identification procedure Una procedura d’identificazione progettata in
within the safety-related process can provide a modo adatto nel processo in sicurezza può forni-
defence against this threat. re una difesa nei confronti di questa minaccia.
Two types of identification procedure can be Possono esser distinte due tipi di procedure d’iden-
distinguished: tificazione:
bi-directional identification identificazione bidirezionale
Where a return communication channel is Ove è disponibile un canale di comunicazio-
available, exchange of entity identifiers be- ne di ritorno, scambi di identificatori di entità
tween senders and receivers of information tra emettitori e ricevitori di informazioni pos-
can provide additional assurance that the sono fornire ulteriore assicurazione che la co-
communication is actually between the in- municazione avviene realmente tra le parti
tended parties. previste.
dynamic identification procedures Procedure d’identificazione dinamica
Dynamic exchange of information between Scambio dinamico di informazioni tra emetti-
senders and receivers, including transforma- tori e ricevitori, compresa la trasformazione e
tion and feedback of received information to la retroazione delle informazioni ricevute
the sender, can provide assurance that the all’emettitore, può fornire assicurazione che le
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
communicating parties not only claim to pos- parti comunicanti non solo dichiarano di pos-
sess the correct identity, but also behave in the sedere la corretta identità, ma si comportano
manner expected. This type of dynamic identi- anche in modo atteso. Questo tipo di proce-
fication procedure can be used to preface the dura di può essere usato per introdurre la tra-
transmission of information between commu- smissione dell’informazione tra processi in si-
nicating safety-related processes and/or it can curezza di comunicazione e/o può essere
be used during the information transmission usato durante la trasmissione dell’informazio-
itself. ne stessa.
Guidance for selection of safety codes is given Una guida alla scelta dei codici di sicurezza è for-
in annex A. nita nell’Allegato A.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 18 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
6.3.8 Cryptographic techniques Tecniche crittografiche
These techniques can be combined with the Queste tecniche possono essere o combinate con
safety encoding mechanism or provided sepa- un meccanismo di codifica di sicurezza o previste
rately. Annex A shows some possible solutions. separatamente. L’Allegato A mostra alcune solu-
zioni possibili.
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Cryptographic techniques imply the use of keys Le tecniche crittografiche implicano l’uso di chiavi
and algorithms. The degree of effectiveness de- ed algoritmi. Il grado di efficienza dipende dalla
pends on the strength of the algorithms and the potenza degli algoritmi e dalla segretezza delle
secrecy of the keys. The secrecy of a key de- chiavi. La segretezza della chiave dipende dalla
pends on its length and its management. sua lunghezza e dalla sua gestione.
The cryptographic algorithm shall be applied to L’algoritmo crittografico deve essere applicato a
all user data and it may be applied over some tutti i dati utente e può essere applicato su qual-
additional data that is not transmitted but is che dato addizionale che non è trasmesso, ma è
known to the sender and receiver (implicit data). noto all’emettitore e al ricevitore (dato implicito).
Reasonable assumptions shall be described Assunzioni ragionevoli devono essere esposte cir-
about nature, motivations, financial and techni- ca la natura, la motivazione, i mezzi tecnici e fi-
cal means of potential attacker, taking into ac- nanziari di attori di potenziali attacchi, tenendo
count also modifications (both technical, as in- anche conto di modifiche (sia tecniche, come
crease of power of computers, decrease of costs l’aumento della potenza dei computer, riduzione
of fast processors, spread of knowledge about dei costi di processori rapidi, diffusione della co-
algorithms, and “social”, as economic conflicts, noscenza degli algoritmi, che “sociali”, come con-
worsening of vandalism...) that can be expected flitti economici, peggioramento di vandalismi...)
during the life-time of the system. che ci si può attendere durante la vita del sistema.
For the key management, standardised tech- Per la gestione della chiave, sono altamente rac-
niques are highly recommended (e.g. according comandate tecniche standardizzate (ad esempio
to ISO/IEC 11770). secondo la ISO/IEC 11770).
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 19 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
7 APPLICABILITY OF DEFENCES AGAINST APPLICABILITÀ DELLE DIFESE CONTRO LE
THREATS MINACCE
provide a protection against the corresponding nire una protezione nei confronti della corrispon-
threat. dente minaccia.
Difese
Defences
Minacce Numero di Identificatore Time-out Identificatori di Messaggio di Procedure di Codice di Tecniche
Threats sequenza di tempo Time-out sorgente retroazione identificazione sicurezza crittografiche
Sequence Time stamp e di destinazione Feed-back Identification Safety Cryptographic
number Source and desti- message procedure code techniques
nation identifiers
Ripetizione X X
Repetition
Cancellazione X
Deletion
Inserzione X X(2) X(1) X(1)
Insertion
Nuova sequenza X X
Resequence
Corruzione X(3) X
Corruption
Ritardo X X
Delay
Mascheramento X(1) X (1) X(3)
Masquerade
(1) Dipendente dall’applicazione
Application dependent
(2) Applicabile solo per identificatore di sorgente
Rileva solo inserzione da sorgente non valida
Se gli unici identificatori non possono essere identificati poiché gli utenti non sono noti, deve essere usata una tecnica crittografica,
vedere 6.3.8.
Only applicable for source identifier
Will only detect insertion from invalid source
If unique identifiers cannot be determined because of unknown users, a cryptographic technique shall be used, see 6.3.8.
(3) Vedere 7.3 e A.2.
See 7.3 and A.2.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 20 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
7.3 Choice and use of safety code and Scelta e uso del codice di sicurezza e delle
cryptographic techniques tecniche crittografiche
The choice of safety code and cryptographic La scelta del codice di sicurezza e delle tecniche
techniques shall be determined according to the crittografiche deve essere determinata in base a
following: quanto segue:
whether or not unauthorised access can be Se accessi non autorizzati possono o no esse-
ruled out re esclusi
the type of cryptographic code proposed Il tipo di codice crittografico proposto
whether or not the safety-related access Se il processo di protezione di accesso in si-
protection process is separated from the curezza può o no essere separato dal proces-
safety-related process. so in sicurezza.
Guidance on these issues is given in A.2. Una guida per questi argomenti è data in A.2.
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 21 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
informative
A informativo GUIDELINE FOR DEFENCES LINEE GUIDA PER LE DIFESE
time in the entities needs to be synchro- luto, è necessario che il tempo dell’entità sia
nised. Each entity needs to have a safe sincronizzato. Per ogni entità è necessaria
time checking and update of the global una verifica di tempo sicura e aggiornata
time. The network delays have an effect del tempo universale. I ritardi della rete
on global clock distribution, informa- hanno un effetto su: distribuzione dell’oro-
tion validity and process performance. logio universale, validità dell’informazione e
prestazione del processo.
Absence of messages will not be detect- L’assenza di messaggi non sarà rilevata se
ed if a dialogue communication proce- non è fornita una procedura di comunica-
dure is not provided. zione di dialogo.
2) To order event sequences which can be 2) Ordinare sequenze di eventi che possono es-
checked by the receiver. sere verificati dal ricevitore.
Constraints: Limitazioni:
If the time granularity is too coarse, the Se la risoluzione (granularity) del tempo è
sequencing properties of events can be troppo grossolana, le proprietà di sequen-
indeterminate. In such cases the infor- za degli eventi possono essere indetermi-
mation shall be complemented with se- nate. In tali casi l’informazione deve esse-
quence numbers re integrata con i numeri di sequenza
The order of messages is affected by L’ordine dei messaggi è influenzato dall’in-
network routing of messages and time stradamento dei messaggi in rete e dai ri-
delays in the network. tardi di tempo nella rete.
Absence of messages will not be detect- L’assenza di messaggi non sarà rilevata se
ed if a dialogue communication proce- non è fornita una procedura di comunica-
dure is not provided. zione di dialogo.
3) To measure time between events received 3) Misurare il tempo tra eventi ricevuti da un’en-
from an entity sending a sequence of mes- tità che invia una sequenza di messaggi, per-
sages thereby also checking for events not ciò anche verificare eventi che non sono stati
being delayed. ritardati.
If information from an entity (A) is request- Se un’informazione da un’entità (A) è richiesta
ed repeatedly from another entity (B), then ripetutamente da un’altra entità (B), in tal caso
the latter gets information of the partner’s l’ultima ottiene informazione dell’orologio lo-
local clock from the time stamps. This infor- cale del partner dagli identificatori di tempo.
mation can be related to its own clock by Questa informazione può essere correlata con
taking the transfer delays into account. A il proprio orologio tenendo conto del ritardo di
logical clock has been created from the lo- trasferimento. Un orologio locale è stato creato
cal clock of entity (B). dall’orologio locale dell’entità (B).
Constraints: Limitazioni:
The logical clock is affected by varying L’orologio locale è influenzato dalle varia-
time delays in the network and the zioni dei ritardi di tempo in rete e dall’ela-
processing in entity (A). borazione nell’entità (A).
4) To check the validity of information of an 4) Verificare la validità dell’informazione di un’enti-
entity (A) by requiring a return of a time tà (A) richiedendo un ritorno di un identificato-
stamp delivered from an entity (B) in a pre- re di tempo emesso da un’entità (B) in un mes-
vious message to the entity (A). This en- saggio precedente all’entità (A). Questo assicura
sures a specific response (identity) and also una risposta specifica (identità) ed esegue an-
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 22 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
checks against a predefined loop time. A che una verifica nei confronti di un tempo di ci-
sequence number (or label) created and clo predefinito. La creazione di un numero di
time supervised in entity (B) will do the sequenza (o etichetta) e la supervisione del
same work. No global time is needed (un- tempo nell’entità (B) non compieranno lo stesso
less required by other applications). lavoro. Nessun tempo universale è necessario
(salvo sia richiesto da altre applicazioni).
The receiver detects loss of information us- Il ricevitore rileva la perdita d’informazione
ing a time-out. usando un time-out.
Constraints: Limitazioni:
The procedure shall handle interruption La procedura deve operare un time-out do-
due to initialisation or fault conditions. vuto ad inizializzazione o a condizioni false.
The procedure will not guarantee au- La procedura non garantirà l’autenticità
thentication of the messages. dei messaggi.
5) To create a procedure called double time 5) Creare una procedura chiamata identificazione
stamping [A155]. This procedure inherits di tempo doppia [A155]. Questa procedura ere-
the properties of a combination of case 2, 3 dita le proprietà di una combinazione dei casi 2,
and 4. The double time stamping procedure 3 e 4. La procedura dell’identificazione di tempo
allows for asynchronous clocks in the enti- doppia consente l’uso di orologi asincroni nelle
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ties thereby avoiding problems associated entità, evitando quindi i problemi associati con il
with keeping entities updated with global mantenimento aggiornato al tempo universale
time. The method can be used for delle entità. Il metodo può essere usato per
a) creating a logical clock from the part- a) creare un orologio logico dall’orologio lo-
ners' local clock and relative time stamps cale dei partner e i relativi identificatori di
from the own local clock (and organis- tempo dallo stesso orologio locale (ed or-
ing a clock synchronisation between the ganizzare una sincronizzazione di orologi
two entities); tra le due entità);
b) relating events to the relative time b) correlare gli eventi agli identificatori di tem-
stamps including network delay; po relativi comprendendo i ritardi di rete;
c) checking the correct order of messages; c) verificare l’ordine corretto dei messaggi;
d) checking the partners’ clock to verify the d) verificare l’orologio dei partner per verifi-
correctness of your own clock (Applica- care la correttezza del vostro stesso orolo-
tion dependent). gio (Applicazione dipendente).
The communication is valid for a two-part- La comunicazione è valida per un dialogo tra
ner dialogue or for a master-slave relation. due partner o per una relazione master-slave.
The latter is more usable for cyclic transmis- L’ultima è più utilizzabile per scopi di trasmis-
sion purposes rather than time stamping sione ciclica piuttosto che per l’identificazione
single events where time is important for a di tempo di eventi singoli ove il tempo è im-
special function. portante per una funzione speciale.
Constraints: Limitazioni:
If the time granularity is too coarse, the Se la risoluzione del tempo è troppo gros-
sequencing properties of events can be solana, le proprietà di sequenza degli eventi
indeterminate. In such cases the infor- possono essere indeterminate. In tali casi
mation shall be complemented with se- l’informazione deve essere integrata con i
quence numbers. numeri di sequenza
Double time stamping may require L’identificazione di tempo doppia può ri-
knowledge about the round-trip trans- chiedere conoscenza circa i ritardi di tra-
mission delays if the application consid- smissione round-trip se la trasmissione con-
ers case 1 above. sidera il caso 1 di cui sopra.
More elaborated schemes than the double time Schemi più elaborati degli identificatori di tempo
stamps have been conceived which allow or- doppi sono stati concepiti per ordinare gli eventi
dering events occurring on more than two sys- che si verificano in più di due sistemi [TBaum].
tems [TBaum].
A.2 Choice and use of safety codes and Scelta e uso dei codici di sicurezza e delle
cryptographic techniques tecniche crittografiche
Although the communication system could be Anche se il sistema di comunicazione potrebbe es-
unknown or variable during the life time, in sere sconosciuto o variabile durante la sua vita, nel-
most cases one can determine whether unau- la maggior parte dei casi si potrebbe determinare se
thorised access can be excluded or not. This l’accesso non autorizzato può essere escluso oppure
distinction is very useful because in cases of the no. Questa distinzione è molto utile perché nei casi
possibility of unauthorised access, cryptograph- di possibilità di accesso non autorizzato, sono ri-
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 23 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ic mechanisms with secret keys are demanded. chiesti meccanismi crittografici con chiavi segrete. Si
It is recommended to make this distinction in raccomanda di fare questa distinzione in uno stadio
an early stage in order to limit the amount of iniziale al fine di limitare l’entità delle funzioni in si-
safety-related functions. In the case of the possi- curezza. Nel caso di possibilità di accesso non auto-
bility of unauthorised access, a separate access rizzato, può essere applicato uno strato di protezio-
protection layer can be applied or the protec- ne di accesso separato o la protezione è fornita dal
tion is provided by the safety protocol using protocollo di sicurezza usando meccanismi critto-
cryptographic mechanisms (see Figure A.1). grafici (vedere la Fig. A.1).
Fig. A.1 Classification of the safety-related transmission Classificazione dei sistemi di trasmissione in sicu-
system rezza
Due possibilità
Two possibilities
Solo accesso autorizzato Accesso non autorizzato non può essere escluso
Only authorised access Unauthorised access cannot be excluded
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 24 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Separate access protection layers are in those Gli strati di protezione di accesso separati sono
cases useful, where groups of safety-related utili nei casi ove gruppi di computer in sicurezza,
computers which are connected by a local area che sono collegati da una rete locale (LAN), devo-
network (LAN), have to communicate over no trasmettere su sistemi di trasmissione aperti
open transmission systems (see Figure A.2). The (vedere la Fig. A.2). Il software e l’hardware crit-
cryptographic hard- and software can be con- tografico può essere concentrato nei punti di en-
centrated on the entry points to the open trans- trata dei sistemi di trasmissione aperti. Le funzioni
mission system. The cryptographic functions crittografiche possono essere combinate con fun-
can be combined with gateway functions which zioni di gateway che sono normalmente richieste
are normally required when a LAN is connected quando una LAN è collegata, per esempio, a rete
to a for example wide area network. di area estesa.
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 25 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fig. A.2 Use of a separate access protection layer
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 26 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Uso di uno strato di protezione di accesso separato
Messaggio Tipo B0 o B1
Hacker
The access protection process can be per- Il processo di protezione di accesso può essere
formed by different modes: ottenuto in diversi modi:
1) enciphering of the messages; 1) cifrando il messaggio;
2) adding a cryptographic code 2) aggiungendo un codice crittografico
In both cases a safety code is applied before a In entrambi i casi è applicato un codice di sicu-
safety-related message is sent to the access pro- rezza prima che il messaggio in sicurezza sia in-
tection layer. The equipment containing the ac- viato allo strato di protezione di accesso. L’equi-
cess protection layer, does not have to be safe paggiamento contenente lo strato di protezione di
by itself, see general requirements in 6.2. Note, accesso, non deve essere sicuro in se, vedere i re-
those failures of the access protection process quisiti generali in 6.2. Notare che devono essere
shall be considered. considerate le avarie del processo di protezione
di accesso.
The principles of message structures depend on I principi delle strutture di messaggio dipendono
the different modes. Examples are depicted in da modi diversi. Esempi sono illustrati nelle Figu-
Figures A.3, A.4 and A.5. re A.3, A.4 e A.5.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 27 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fig. A.3 Model of message representation within the trans-
mission system (type A0, A1)
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 28 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Modello di rappresentazione di messaggio nel siste-
ma di trasmissione (tipo A0, A1)
EN 50159-2
Dati utente
trasmissione aperto
Dati addizionali del sistema di trasmissione aperto
Dati Utente
Codice di sicurezza
non crittografico
Messaggio cifrato
Ad esempio intestazione Ad esempio codice di trasmissione
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 29 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fig. A.5 Model of message representation within the trans-
mission system (type B1)
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 30 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Modello di rappresentazione di messaggio nel siste-
ma di trasmissione (tipo B1)
EN 50159-2
Dati Utente
Codice di sicurezza
non crittografico
Dati addizionali dal processo
di trasmissione in sicurezza
Dati Utente Dati
Codice
addizionali crittografico
Codice di sicurezza non
crittografico Ad esempio indicatore di tempo
Dati addizionali del sistema Dati addizionali del sistema di trasmissione aperto
di trasmissione aperto
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 31 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
A.2.1.1 Main block codes Codici di blocco principali
The following paragraphs briefly describe some I paragrafi seguenti descrivono brevemente alcuni
codes and their main characteristics. codici ed alcune loro caratteristiche.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 32 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ISO/IEC 10118-1 defines in a general way La ISO/IEC 10118-1 definisce in modo generale
hash-codes for security purposes. The part 2 of codici hash per scopi di sicurezza. La parte 2 della
the same standard describes hash-codes using stessa norma descrive i codici hash che usano al-
an n-bit block cipher algorithm without apply- goritmi di cifre di blocco di n-bit senza applicare
ing a key. Also, a MAC can be used as a una chiave. Anche un MAC può essere usato
hash-code, but in this case a key is required. come codice hash, ma in questo caso è richiesta
una chiave.
Good performance in software can be obtained Nel software possono essere ottenute buone pre-
with the public domain message digest algo- stazioni con gli algoritmi raccolta di messaggi di
rithms MD4 and MD5 [Rivest] which are classes dominio pubblico MD4 e MD5 [Rivest] che sono
of MDC. No high requirements on collisions’ classificati di MDC. Non è richiesto alcun requisito
criteria are demanded because malicious attacks di rilievo sui criteri di collisione poiché gli attacchi
are defended by other means. That means that maligni sono difesi con altri mezzo. Questo signifi-
either a cryptographic block code (MAC) is ca che, o è usato un codice di blocco crittografico
used, or the access protection process applies a (MAC), o il processo di protezione di accesso ap-
cryptographic protection over the entire safe- plica una protezione crittografica sull’intero mes-
ty-related message including the hash value. saggio in sicurezza compreso il valore hash.
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
A.2.1.2 Recommendations for the application of safety codes Raccomandazioni per l’applicazione dei codici di sicurezza
Examples for the assessment of diverse basic Esempi per la valutazione di diverse tecniche di
techniques are given in Table A.1. The symbols base sono date nella Tab. A.1. I simboli hanno il
have the following meaning: seguente significato:
“HR” This symbol means that the technique is “HR” Questo simbolo significa che la tecnica è Alta-
Highly Recommended for this architecture. mente Raccomandata per questa architettura.
If this technique is not used then the ra- Se questa tecnica non viene usata, il motivo
tionale behind not using it should be de- per il quale non viene usata dovrebbe essere
tailed in the Technical Safety Report. riportato nel Rapporto di Sicurezza Tecnica.
“R” This symbol means that the technique is “R” Questo simbolo significa che la tecnica è
Recommended for this architecture. This is Raccomandata per questa architettura.
a lower level of recommendation than a Questo è un livello di raccomandazione in-
“HR”. feriore a “HR”.
“-” This symbol means that the technique or “-” Questo simbolo significa che la tecnica o il
measure has no recommendation for or provvedimento non ha raccomandazioni
against being used. pro o contro il suo uso.
“US” This symbol means that this technique is “US” Questo simbolo significa che la tecnica non
unsuitable as a defence in this category of è utilizzabile come difesa in questa catego-
system. ria di sistema.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 33 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Tab. A.1 Assessment of the safety encoding mechanisms (5) Valutazione dei meccanismi di codifica di sicurezza(5)
Although knowledge of the error characteristics Benché la conoscenza delle caratteristiche dell’er-
of a particular channel may enable some type rore di un particolare canale possa rendere possi-
of error to be disregarded, and better perform- bile che sia trascurato qualche tipo di errore, e
ance to be claimed, in an “open” channel che sia dichiarata una migliore prestazione, in un
(black channel) no such knowledge can be as- canale “aperto” (canale nero) nessuna conoscen-
sumed. In this scenario the ideal solution za di tale tipo può essere considerata. In tale sce-
would be a random code. For this reason no nario la soluzione ideale sarebbe un codice ca-
claim for the probability of undetected error pUE suale. Per tale ragione non dovrebbe essere fatta
of a safety code should be made, which is low- alcuna dichiarazione di probabilità di errore rile-
er than the performance of the random code, vato pUE di un codice di sicurezza, che è inferiore
which is pUE= 2–r, where r denotes the number alla prestazione del codice casuale, che è pUE= 2–r,
of redundancy bits. ove r denota il numero dei bit di ridondanza.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 34 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
informative
B informativo BIBLIOGRAPHY BIBLIOGRAFIA
[5]
tration of cryptographic algorithms
[6] ISO/IEC 10116:1991 Information technology - Security techniques - Modes of operation for
an n-bit block cipher
[7] ISO/IEC 10118 Information technology - Security techniques - Hash-functions
Part 1: General (2000)
Part 2: Hash-functions using an n-bit block cipher (2000)
[8] [TBaum] A. Tanenbaum: Distributed Systems, Pretince Hall 1995
[9] [A155] UIC/ORE A155.1 Report RP 4, September 1984: Survey of available
measures for protection of safety information during transmission (also
available in German and French)
[10] [DES] FIPS PUB 46, 15.1.1977: Specifications for the Data Encryption Standard
[11] [Peterson] W.Wesly Peterson: Error correction Codes, M.I.T. Press, 1967
[12] [Schneier] Bruce Schneier: Applied Cryptography, J. Wiley & Sons, Inc, 2nd edition
1995
[13] [Rivest] R. Rivest: The MD4 Message-Digest Algorithm, 4/92, published within
Internet
[14] [Davies] D.W. Davies and W.L. Price: Security for Computer Networks, 2. edition,
J. Wiley & Sons, Chichester
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 35 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
informative
C informativo GUIDELINES FOR USE OF THE STANDARD LINEE GUIDA PER L’USO DELLA NORMA
The following tables give a possible classifica- Le tabelle seguenti forniscono una classificazione
tion of transmission systems, and a simple as- possibile dei sistemi di trasmissione, e una sem-
sessment of the threats which might be consid- plice valutazione delle minacce che potrebbero
ered for each type. essere considerate per ogni tipo.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 36 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Tab. C.1 Classes of open transmission systems Classi di sistemi di trasmissione aperti
Relationship between class of transmission sys- Relazione tra classe di sistema di trasmissione e le
tem and the threats. minacce.
The Table C.2 shows a rough assignment of the La Tab. C.2 mostra un’assegnazione approssimata
threats to the class. delle minacce alla classe.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 37 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Tab. C.2 Threat/class relationship Relazione minacce/classe
Minaccia
Threat
Tipo Ripetizione Cancellazione Inserzione Ripetizione Corruzione Ritardo Mascheratura
Type Repetition Deletion Insertion della sequenza Corruption Delay Masquerade
Resequence
Classe_Class 1 ++ ++ + + ++ ++ –
Classe_Class 2 ++ ++ ++ + ++ ++ –
Classe_Class 3 ++ ++ ++ ++ ++ ++ –
Classe_Class 4 ++ ++ ++ ++ ++ ++ –
Classe_Class 5 ++ ++ ++ ++ ++ ++ –
Classe_Class 6 ++ ++ ++ ++ ++ ++ +
Classe_Class 7 ++ ++ ++ ++ ++ ++ ++
Legenda:
Legend:
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
At this generic level, it is not possible to allocate A questo livello generico, non è possibile asse-
SILs, according to the class of transmission sys- gnare i SIL, secondo la classe del sistema di tra-
tem, to the defences needed for each threat; it is smissione, per le difese necessarie per ciascuna
essential to analyse the particular application in minaccia; è essenziale analizzare la particolare ap-
order to allocate SIL. plicazione per assegnare la SIL.
Applicazione
Application
Each of these steps is described in more detail Ognuno di questi passaggi è descritto con mag-
in the following subclauses: giori dettagli nei seguenti paragrafi:
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 38 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
C.3.1 Application Applicazione
The system designer must understand the appli- Il progettista del sistema deve comprendere l’ap-
cation of the transmission system. The data plicazione del sistema di trasporto. I flussi di dati,
flows, types of data, and the frequency and the i tipi di dati e la frequenza e la natura degli ag-
nature of updates (e.g. periodic or event driven) giornamenti (ad esempio periodico o determinati
all affect the decisions to be made in designing dall’evento) influenzano tutti le decisioni da pren-
the transmission system. The global safety target dere nel progetto del sistema di trasmissione. An-
(rate or by qualitative parameters and non-func- che l’obbiettivo di sicurezza generale (tasso o con
tional parameters) for the system must also be parametri quantitativi e parametri non funzionali)
defined (by the user or the safety authority). per il sistema deve essere definito (dall’utente o
dall’autorità per la sicurezza).
the transmission link itself. This analysis must vitore, o del link stesso di trasmissione. Questa
consider operational or other external condi- analisi deve considerare le condizioni operative o
tions which could expose the system to the haz- altre condizioni esterne che potrebbero esporre il
ard. For each threat to the system, the possibili- sistema al pericolo. Per ogni minaccia al sistema,
ty of including a defence in the system design la possibilità di inserire una difesa nel sistema
can be included. può essere considerata.
C.3.4 Allocation of SIL and quantitative targets Assegnazione del SIL e quantizzazione degli obiettivi
Depending on the extent of risk reduction In relazione all’entità della riduzione di rischio
needed for each defence, SIL can be allocated, necessario per ogni difesa, può essere attribuito il
using the procedures defined in ENV 50129. SIL usando la procedura definita nella ENV 50129.
Knowing the SIL for the defence, appropriate Conoscendo il SIL per la difesa, possono essere
design techniques can be selected, for use in scelte opportune tecniche di progetto, per l’utiliz-
work associated with that defence. zo in lavori associati con questa difesa.
From the quantified unsafe (wrong-side) failure Dal tasso di avaria quantificato non sicuro
rate identified for the defence, hardware design (wrong-side) per la difesa, possono essere scelte
techniques can be chosen using the tables in tecniche di progetto hardware usando le tabelle
ENV 50129, and the rate of occurrence of un- della ENV 50129, e può essere calcolato il tasso di
safe failures due to random faults can be calcu- incidenza di avarie non sicure dovute a guasti ca-
lated. suali.
C.3.5 Safety requirements specifications (SRS) Specifica dei requisiti di sicurezza (SRS)
The defences identified as being necessary for Le difese identificate che sono necessarie per la
safe operation of the system, the SIL for the im- sicura operatività del sistema, il SIL per l’imple-
plementation of those defences and quantified mentazione di queste difese e gli obbiettivi quan-
safety targets for the system must be recorded tificati per il sistema devono essere registrati
in the SRS for the system. nell’SRS per il sistema.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 39 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
C.4 Example Esempio
The following example shows only some basic L’esempio seguente mostra solo alcuni principi di
principles of the procedure. It was not intended base della procedura. Non si è inteso descrivere
to describe a complete example which is cor- un esempio completo corretto in tutti i dettagli.
rect in all details.
sage on-board a train could result in the (wrong-side) a bordo del treno potrebbe cau-
train entering an occupied section, and col- sare l’entrata del treno in una sezione occupa-
liding with another train. ta, e la collisione con un altro treno.
2) Delay in receiving an emergency stop mes- 2) Il ritardo nella ricezione di un messaggio di ar-
sage could result in a train colliding with an resto di emergenza potrebbe causare la collisio-
obstruction on the track. ne di un treno con una ostruzione del binario.
These are shown on a fault tree (Figure C.1), as Questi sono rappresentati in un albero dei guasti
an example of one method of performing the (Fig. C.1), come esempio di uno dei metodi di
hazard analysis. eseguire l’analisi del pericolo.
Fig. C.1 Fault tree for the hazard “accident” Albero del guasto per il pericolo “incidente”
Incidente
Accident
Altro Altro
Other Other
Legenda:
Sezione Condizione di Messaggio Legend:
occupata emergenza ritardato
Section occupied Emergency condition Message delayed Porta OR
OR gate
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 40 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
The 10–x per hour global safety target for the L’obiettivo di sicurezza generale di 10–x per ora
system is apportioned, and the target allocated per il sistema è ripartito, e l’obbiettivo attribuito ai
for cases 1 and 2 is (for example) 10–8 per hour casi 1 e 2 è (per esempio) di 10–8 per ora per ogni
in each case. caso.
Cases 1 and 2 will be considered in detail. I casi 1 e 2 saranno considerati in dettaglio.
This standard suggests that a possible defence Questa norma suggerisce che una possibile difesa
against message corruption is to use a safety contro la corruzione del messaggio è l’uso di un
code attached to the user information in the codice di sicurezza applicato all’informazione
message. utente nel messaggio.
Introducing this defence into the portion of the Introducendo questa difesa nella porzione dell’al-
fault tree for this case, the following results: bero del guasto per questo caso, questi risulta:
Fig. C.2 Fault tree for case 1 Albero del guasto per il caso 1
Sezione occupata
Section occupied
Considering quantitative safety targets, it must Considerando gli obbiettivi di sicurezza quantitativi,
be assumed that, in an open system, every mes- si deve assumere che, in un sistema aperto, ogni
sage could be corrupted (i.e. probability =1). messaggio potrebbe essere corrotto (cioè probabili-
However, not every corrupted message will au- tà =1). Tuttavia, non sempre un messaggio corrotto
thorise the train into the particular section. As- autorizzerà il treno ad entrare in una particolare se-
suming this probability is 10–2, and assuming zione. Assumendo che questa probabilità sia 10–2, e
that a message with the length of 100 bits is assumendo che un messaggio con la lunghezza di
sent to a train over a channel with the bit rate of 100 bit sia inviato al treno su un canale con un tasso
100 bits/s (i.e. 3600 messages per hour), it is di bit di 100 bit/s (cioè 3600 messaggi all’ora), è
clear that the safety code for the message must chiaro che il codice di sicurezza per il messaggio
guarantee a probability of undetected error of deve garantire una probabilità di errore non rilevato
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 41 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
less than 3 ⋅ 10–9 per message, or the frequency inferiore a 3 ⋅ 10–9 per messaggio, o la frequenza di
of this kind of events shall not exceed 10–5 h–1. tale tipo di evento non deve eccedere 10–5 h–1.
SIL allocation and quantified target Assegnazione della SIL e quantizzazione degli ob-
biettivi
According to ENV 50129 a SIL for the imple- Secondo la ENV 50129 può essere derivata una
mentation of the function “computing of safety SIL per l’implementazione della funzione” calcolo
code” can be derived. This SIL could be lower del codice sicuro”. Questa SIL potrebbe essere in-
than for the entire system element “safety-relat- feriore a quella dell’elemento dell’intero sistema
ed transmission system”. “sistema di trasmissione in sicurezza”.
The designer of the system must select a safety Il progettista del sistema deve scegliere un codice
code with a sufficient length to achieve the re- di sicurezza con una lunghezza sufficiente a rag-
quired performance. giungere la prestazione richiesta.
This standard suggests that it is necessary to Questa norma suggerisce che è necessario consi-
consider the possibility of deliberate attempts to derare la possibilità di tentativo deliberato di crea-
create incorrect messages in an open transmis- re messaggi non corretti in un sistema di trasmis-
sion system. The classification of transmission sione aperto. La classificazione dei sistemi di
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
systems suggested above suggests that, for in- trasmissione suggerita sopra suggerisce che per
frequent transmission of short messages, the trasmissione non frequente di messaggi corti, la
likelihood of deliberate attempts to create acci- possibilità di tentativo deliberato di creare inci-
dents is relatively low. These factors may influ- denti è relativamente bassa. Questi fattori posso-
ence the decision on whether to adopt a crypto- no influenzare la decisione di adottare o meno
graphic safety code, and if so, on the choice of adottare un codice di sicurezza crittografico, e se
parameters (key length etc.) for this code. si, la scelta dei parametri (lunghezza della chiave
ecc.) per questo codice.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 42 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fig. C.3 Fault tree for case 2 Albero del guasto per il caso 2
SIL allocation and quantified target Assegnazione della SIL e quantizzazione degli ob-
biettivi
Reference to ENV 50129 indicates, how to I riferimenti alla ENV 50129 indicano, come otte-
achieve the required SIL. nere la SIL richiesta
The implementation of this function must there- L’implementazione di questa funzione deve per-
fore be designed using techniques suggested in tanto essere designata usando le tecniche suggeri-
ENV 50129 as being appropriate for derived SIL, te nella ENV 50129 come appropriate per la SIL ri-
unless the implementation is integrated with cavata, salvo che l’implementazione sia integrata
other functions with a higher SIL (e.g. in a proc- con altre funzioni con una SIL più elevata (ad
essor system). esempio in un sistema a processore).
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 43 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
ANNEX/ALLEGATO
informative
D informativo THREATS ON OPEN TRANSMISSION SYSTEMS MINACCE NEI SISTEMI DI TRASMISSIONE APERTI
These levels follow a top-down approach, start- Questi livelli seguono un approccio dall’alto
ing from the main hazard (M.H.), defined as (top-down), partendo dal pericolo principale
“the failure to obtain correct message at the re- (M.H.), definito come “l’avaria per ottenere il mes-
ceiver end”. saggio corretto al terminale del ricevitore”.
Through the analysis of the possible message Attraverso l’analisi del comportamento dei possi-
behaviours observed at the receiver part, the bili messaggi osservati dalla parte ricevente, le si-
potentially dangerous situations (basic hazards) tuazioni potenzialmente pericolose (pericolo di
have been highlighted and a set of basic mes- base) sono state illustrate e una serie di errori del
sage errors (B.M.E.), intended as the taxonomy messaggio di base (B.M.E.), intesi come la tasso-
of all possible message failure modes, is out- nomia di tutti i possibili modi di avaria di messag-
lined. gio possibili, sono stati delineati.
The derivation of the corresponding threats, to La deduzione delle minacce corrispondenti, per
be understood as the network failure modes essere comprese come il modo di avaria della rete
(i.e. the basic message errors seen from a net- (cioè gli errori di messaggio di base visti dal pun-
work point of view), is straightforward. The to di vista della rete), è immediato. La minaccia,
threat, as a matter of fact, is the entity that cre- come dato di fatto, è l’entità che crea una situa-
ates a dangerous situation for the safety (i.e. zione pericolosa per la sicurezza (cioè può con-
can lead to an accident) and is therefore a durre ad un incidente) ed è pertanto una causa (a
cause (at the network level) of a possible basic livello di rete) di un possibile errore di messaggio:
message error: the relationship threat-basic la relazione minaccia: errore di messaggio di base
message error is consequently 1:1. è di conseguenza 1:1.
In its turn, a threat can be generated by a set of A sua volta, una minaccia può essere generata da
causes, called hazardous events (H.E.), that can una serie di cause, chiamate eventi pericolosi (H.E.),
be present at both the network and the external che possono presentarsi sia nella rete che a livello
environment level. The same hazardous event ambiente esterno. Lo stesso evento pericoloso può
can obviously be related to different threats. ovviamente essere correlato con diverse minacce.
The splitting of the analysis in different levels La suddivisione dell’analisi in differenti livelli for-
provides also the possibility of (at least) three nisce anche la possibilità di (almeno) tre livelli di
levels of defences: difesa:
1) one at a system/user application level, treat- 1) Uno a livello di sistema/applicazione utente,
ing with the implementation of the system, che tratta l’implementazione del sistema, indi-
independently from the transmission field; pendentemente dal campo di trasmissione; un
an example is the deletion, that can turn esempio è la cancellazione, che può risultare
out to be absolutely not dangerous if the assolutamente non pericolosa se il sistema è
system has been designed in such a way stato progettato in modo tale che i messaggi
that deleted messages do not represent a cancellati non rappresentano un pericolo;
hazard;
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 44 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
2) one regarding the message logical structure, 2) Uno riguardante la struttura logica del mes-
an example are all the possible codes that saggio, un esempio sono tutti i possibili codici
can be applied to the message or specific che possono essere applicati al messaggio o
countermeasures such as sequence num- le contromisure specifiche quali i numeri di
bers, time stamps, etc...; sequenza, identificazione di tempo, ecc.…;
3) one at a physical level, an example is the 3) Uno a livello fisico, un esempio è la scherma-
shielding in order to avoid the corruption tura al fine di evitare la corruzione dovuta ad
due to an electromagnetic interference. interferenze elettromagnetiche.
This annex will not deal further with this topic, Questo allegato non tratta ulteriormente questo
that has been mentioned only with the aim of argomento, che è stato menzionato solo con l’in-
supplying an overall picture of the adopted tenzione di fornire una visione generale della me-
methodology. todologia adottata.
Difese
Defences
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Minacce Struttura
Threats
Logica del Messaggio
Message
Livello Rete Logical
Network Level Structure
H.E.
Eventi pericolosi
(Hazardous Events)
H.E. Livello
Ambiente Fisico
Esterno Physical
External
H.E Environment
Level
D.2 Derivation of the basic message errors Derivazione degli errori del messaggio di base
The message is the main subject of the whole Il messaggio è l’oggetto principale di tutta l’analisi,
analysis, so the communication process has been così il processo i comunicazione è stato studiato dal
studied from the point of view of the receiver. A punto di vista del ricevitore. Un messaggio può es-
message can be defined as “useful information sere definito come “informazione utile originata da
originated by a source to be delivered within a una sorgente per essere inviata in un tempo ∆t
time ∆t from the beginning of the transmission”. dall’inizio della trasmissione”.
The integrity of the message stream is the main L’integrità del flusso del messaggio è la considerazio-
consideration in identifying the hazards that can ne principale per identificare i pericoli che possono
occur in transmitting a safety-related communi- verificarsi nella trasmissione di una comunicazione in
cation over an open transmission system. sicurezza su un sistema di trasmissione aperto.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 45 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
A “message stream” is defined as an ordered set Un “flusso di messaggio” è definito come una se-
of messages, and is unique for each time win- rie ordinata di messaggi e, in una rete, è unico
dow and receiver in a network if no failures, at- per ogni finestra di tempo e ricevitore, se non si
tacks or incorrect operations occur. verificano avarie, attacchi o operazioni sbagliate.
The message stream actually received can be Il flusso di messaggio realmente ricevuto può es-
different from the expected one for a number of sere diverso da quello atteso per una serie di mo-
reasons. Three particular subclasses are speci- tivi. Vengono specificate tre particolari sottoclassi
fied (basic hazards): (pericoli di base):
more messages received than expected; Più messaggi ricevuti di quelli attesi;
fewer messages received than expected; Meno messaggi ricevuti di quelli attesi;
same number of received and expected Stesso numero di messaggi ricevuti ed attesi.
messages.
More messages received than expected Più messaggi ricevuti di quelli attesi
In this case one or more messages have been In questo caso uno o più messaggi sono stati ri-
repeated, or an external message has been in- petuti, o un messaggio esterno è stato inserito sul-
serted on the line. The basic message errors are la linea. Gli errori di messaggio di base sono per-
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fewer messages received than expected Meno messaggi ricevuti di quelli attaesi
In this case one or more messages have been In questo caso uno o più messaggi sono stati can-
deleted. The basic message error is therefore cellati. Gli errori di messaggio di base sono per-
deleted message. tanto messaggio cancellato.
Same number of received and expected mes- Stesso numero di messaggi ricevuti ed attesi
sages
In this case several possibilities can occur: In questo caso si possono verificare molte possi-
bilità:
all the messages in the stream are correct in Tutti i messaggi nel flusso sono corretti come
content and in transit time but the sequence contenuto e tempo di transito, ma la sequen-
is wrong: resequencing has taken place; za è sbagliata: ha avuto luogo una ripetizione
di sequenza;
for a message in the stream it took longer Per un messaggio nel flusso che impiega più
than nominal ∆t to reach the receiver: delay tempo del normale ∆t a raggiungere il ricevi-
has taken place; tore: ha avuto luogo un ritardo;
the message has been modified: corruption Il messaggio è stato modificato: ha avuto luo-
has taken place; go una corruzione;
the receiver believes that the sender of a Il ricevitore crede che il trasmettitore di un
message is another than the real one: mas- messaggio sia un altro anziché quello reale:
querade has taken place. ha avuto luogo una mascheratura.
In the last two sub-cases, the integrity of the Negli ultimi due casi, è stata considerata l’integrità
single message has been considered. The basic del singolo messaggio. Gli errori di messaggio di
message errors are resequenced, delayed, cor- base sono ripetizione di sequenza, messaggio ri-
rupted, masqueraded message. tardato, corrotto, mascherato.
The following set of basic message errors has È stata pertanto identificata la seguente serie di
therefore been identified: errori di messaggio di base:
repeated message; Messaggio ripetuto;
deleted message; Messaggio ritardato;
inserted message; Messaggio inserito;
resequenced message; Messaggio risequenziato;
corrupted message; Messaggio corrotto;
delayed message; Messaggio ritardato;
masqueraded message. Messaggio mascherato.
The above defined basic message errors are not Gli errori di messaggio di base di cui sopra non
mutually exclusive: it is possible that more mes- sono mutuamente escludentisi: è possibile che più
sages in a stream and even a single message are messaggi in un flusso e anche un singolo messag-
affected by more than one error mode. gio siano affetti da più di un modo di errore.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 46 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
D.3 Threats Minacce
Being the basic message errors the ones speci- Essendo gli errori di messaggio di base quelli spe-
fied in D.1, the derivation of the corresponding cificati in D.1, la derivazione delle minacce corri-
threats is straightforward. spondenti è diretta.
Let A-B and C-D be the two couples of author- Poniamo che A-B e C-D siano le due coppie di
ised parties that communicate safety related parti autorizzate che comunicano messaggi in si-
messages, while X is the attacker. curezza, mentre X è la parte che attacca.
It has to be noted that also random and system- È stato notato che anche avarie HW/SW casuali e
atic HW/SW failures are taken into account in sistematiche sono prese in considerazione
the list of threats; the following explanations are nell’elenco delle minacce; le seguenti spiegazioni
only example and are therefore not exhaustive. sono solo esempi e non sono pertanto esaustivi.
Repetition Ripetizione
X copies a message [‘Maximum speed: X copia un messaggio [‘Massima velocità:
250 km/h’] and replays it in a situation 250 km/h’] e lo ripete in una situazione dove
where it may harm the receiver [while train può danneggiare il ripetitore [mentre il treno è
is in a slow speed track section] in una sezione di binario a bassa velocità]
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
or o
due to a hardware failure the non safe trans- a seguito di un’avaria hardware il sistema di
mission system repeats an old message. trasmissione non sicuro ripete un vecchio
messaggio.
Deletion Cancellazione
X deletes a message [X deletes the message X cancella un messaggio [X cancella il messag-
‘Emergency Stop’ or ‘Maximum speed: gio ‘Arresto di emergenza’ o ‘Massima velocità:
250 km/h’] 250 km/h’]
or o
a message is deleted due to a hardware failure. un messaggio è cancellato per un’avaria hard-
ware.
Insertion Inserzione
X inserts a message [‘Maximum speed: X inserisce un messaggio [‘Massima velocità:
250 km/h’] 250 km/h’]
or o
an authorised third party C involuntary in- una parte terza autorizzata C involontariamente
serts a message in between the information inserisce un messaggio nel flusso delle infor-
flow from A to B (or vice versa). mazioni tra A e B (o vice versa).
Corruption Corruzione
The message is accidentally changed Il messaggio è cambiato accidentalmente (per
(e.g. EMI) to another formally correct message esempio. EMI) in un altro messaggio formal-
mente corretto
or o
X alters a message [‘Maximum speed: X altera un messaggio [‘da Massima velocità:
30 km/h’ to ‘Maximum speed: 250 km/h’] in 30 km/h’ a ‘Massima velocità: 250 km/h’] in un
a plausible way so that A and/or B cannot modo plausibile in modo che A e/o B non
detect the modification. possono rilevare la modificazione.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 47 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Delay Ritardo
The transmission system is overloaded by the Il sistema di trasmissione è sovraccaricato dal
normal traffic (e.g. because of wrong design traffico normale (ad esempio per un progetto
or an accidental high amount of traffic.) sbagliato o una quantità di traffico accidental-
mente anormale.)
or o
X creates an overload on the transmission X crea un sovraccarico nel sistema di trasmis-
system by generating bogus messages so sione generando messaggi falsi cosicché il ser-
that the service is delayed or stopped. vizio è ritardato o arrestato.
Masquerade Mascheratura
A and B want to communicate sensitive data; A e B vogliono comunicare dati significativi;
C and D want to communicate sensitive data; C e D vogliono comunicare dati significativi;
X pretends towards A to be B or towards B X simula nei confronti di A di essere B o nei
to be A (or both) to get access to the sensi- confronti di B di essere A (o entrambi) per ot-
tive data or to be regarded as a legal user of tenere accesso ai dati sensibili o essere riguar-
the system; dato come un utente legale del sistema
or o
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
due to a network error, B believes errone- Per un errore della rete, B crede erroneamente
ously that the message is coming from A, che il messaggio venga da A, mentre la vera
while the real source is C. sorgente è C.
D.4 A possible approach for building a safety case Un possibile approccio per la costruzione di un
Dossier di sicurezza
The approach that will be outlined hereafter is L’approccio che sarà delineato nel seguito è un
an example and is not the only one that can be esempio e non è il solo che può essere seguito.
followed. A complete Hazard Analysis needs Una completa Analisi del Pericolo necessita la
the deep knowledge of the application to which profonda conoscenza dell’applicazione alla quale
it is related, in order to perform also a proper è correlata, al fine di eseguire anche un’adatta va-
risk assessment. lutazione del rischio.
D.4.1 Structured methods for hazardous events Metodi strutturati per l’identificazione degli eventi
identification pericolosi
In the following, the analysis starts from the Nel seguito, l’analisi parte dalla considerazione
consideration that the examined case is dealing che il caso esaminato sta trattando con una rete
with a network interacting with the external en- che interagisce con l’ambiente esterno. Queste
vironment. These two entities are structured in due entità sono strutturate in sub entità (sottoline-
sub-entities (underlined in Figure D.2) that can ate in Fig. D.2) che possono essere considerata le
be considered as the causes of the possible haz- cause di possibili eventi pericolosi per il sistema
ardous events to the analysed system. The net- esaminato. L’entità della rete è suddivisa secondo
work entity is subdivided according to the sev- i diversi passi del ciclo di vita, mentre la suddivi-
eral steps of its life-cycle, while the splitting of sione dell’entità dell’ambiente esterno si occupa
the external environment entity takes care of its delle sue due possibili caratteristiche: quella fisica
two possible characteristics: the physical and e quella umana.
the human ones.
The leaves of the tree in Figure D.2 represent Le foglie dell’albero di Fig. D.2 rappresentano le
the causes of hazards: for each cause the corre- cause del pericolo: per ciascuna causa sono iden-
sponding generated hazardous events are iden- tificati gli eventi pericolosi corrispondentemente
tified. This way to proceed makes it also easier, generati. Questo modo di procedere lo rende an-
once defined the probability of a single cause, che più facile, una volta definita la probabilità di
the allocation of probability for each hazardous una singola causa, l’attribuzione della probabilità
event produced. di ciascun evento pericoloso prodotto.
In the following each cause is split into one Nel seguito ogni causa è suddivisa in una serie di
number of possible Hazardous Events; this split- possibili Eventi Pericolosi; questa suddivisione
ting is not exhaustive: during the Hazard Analy- non è esaustiva: durante l’analisi del pericolo
sis some other Hazardous Events might be tak- qualche altro Evento Pericoloso potrebbe essere
en into account depending on the specific preso in considerazione in relazione all’applica-
application. zione specifica.
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 48 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Fig. D.2 Causes of threats Cause di minaccia
Natural Events
Ambiente Esterno
External Environment
Operatori
Operators
Utenti autorizzati
Authorised Users
Umano Sabotatori
Human Saboteur
Utenti non autorizzati
Not Authorised Users
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 49 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Operation and maintenance Operatività e manutenzione
During this phase of life hazardous events can Durante questa fase della vita possono presentarsi
arise both from loss of performance of system eventi pericolosi sia per perdita di prestazione di
components and from errors during repair componenti del sistema che errori durante la ripa-
and/or modifications. razione e/o le modifiche.
Maintenance Manutenzione
use of not calibrated instruments; Uso di strumenti non tarati;
use of not suited instruments; Uso di strumenti non adatti;
incorrect HW replacement; Sostituzione HW non corretta;
incorrect SW upgrading or replacement. Miglioramento o sostituzione SW non corretti.
Modification Modifica
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Climate Clima
thermal noise; Rumore termico (thermal noise);
HW ageing; Invecchiamento HW;
HW random failures; Avarie casuali HW;
fading effects. Effetto fading.
Operators Operatori
human mistakes(1) errore umano(1)
(1) They depend from the particular type of application and cannot (1) Essi dipendono dal particolare tipo di applicazione e non possono per-
therefore be specified at this level of analysis. tanto essere specificati a questo livello dell’analisi
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 50 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Maintenance staff Addetti alla manutenzione
use of not calibrated instruments; uso di strumenti non tarati;
use of not suited instruments; uso di strumenti non adatti;
incorrect HW replacement; sostituzione dell’HW non corretta;
human mistakes(1); errore umano(1);
incorrect SW upgrading or replacement. miglioramento e sostituzione SW non corrette
Saboteur(1)) Sabotatori(1)
wires tapping; intercettazione del collegamento (wires tap-
ping);
HW damage or breaking;l danno o rottura HW;
not authorised SW modifications. modifiche SW non autorizzate.
Intruder(2) Intercettatori(2)
monitoring of channels; supervisione dei canali;
transmission of not authorised messages. trasmissione di messaggi non autorizzati.
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 51 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Tab. D.1 Relationship between hazardous events - threats Relazione tra eventi pericolosi - minacce
Minacce
Threats
Eventi pericolosi Ripetizione Cancellazione Inserzione Ripetizione Corruzione Ritardo Mascheratura
Hazardous events Repetition Deletion Insertion della sequenza Corruption Delay Masquerade
Resequencing
Avaria sistematica HW X X X X X X X(1)
HW systematic failure
Avaria sistematica SW X X X X X X X(1)
SW systematic failure
Diafonia X X X X(1)
Cross-talk
Rottura di fili X X X
Wires breaking
Disallineamento di antenne X X
Antennas misalignment
Errori di cablaggio X X X X X(1)
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Cabling errors
Avarie casuali HW X X X X X X X(1)
HW random failures
Invecchiamento HW X X X X X X X(1)
HW ageing
Uso di strumenti non tarati X X X X X X X(1)
Use of not calibrated instruments
Uso di strumenti non adatti X X X X X X X(1)
Use of not suited instruments
Sostituzione del’HW non corretta X X X X X X X(1)
Incorrect HW replacement
Effetto fading X X X X
Fading effects
EMI X X
Errori umani X X X X X X X(1)
Human Mistakes
Rumore termico X X
Thermal noise
Tempesta magnetica X X X
Magnetic storm
Fuoco X X X
Fire
Terremoto X X X
Earthquake
Fulminazione atmosferica X X X
Lightning
Sovraccarico del sistema di trasmissione X X
Overloading of TX system
Intercettazione del collegamento X X X X X X X(1)
Wires tapping
Danno o rottura HW X X X
HW damage or breaking
Modifiche SW non autorizzate X X X X X X X (2)
Not authorised SW modifications
Trasmissione di messaggi non autorizzati X X X (2)
Transmission of not authorised messages
Supervisione dei canali(3)
Monitoring of channels(3)
(1) In questo caso si deve correggere il messaggio inviato al ricevitore sbagliato a seguito, per esempio, di un instradamento sbagliato, una possibile
contromisura è la specifica dell’indirizzo dell’emettitore.
In this case we have a correct message delivered to the wrong receiver due, for instance, to a misrouting; a possible countermeasure is the specification of the sender address.
(2) In questo caso il messaggio è doloso dall’inizio; è necessaria una robusta difesa, per esempio l’uso di una chiave.
In this case the message is fraudulent from the beginning; a strong defence is needed, for example the use of a key.
(3) Ha senso che non vi sia minaccia per l’h.e. “supervisione dei canali”; il segreto, infatti, è un requisiti di sistema: lo deve essere con la particolare applicazione.
It makes sense that there is no threat for the h.e. ”monitoring of channels”; the secrecy, in fact, is a system requirement: it has to do with the particular application.
Fine Documento
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 52 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
NORMA TECNICA
CEI EN 50159-2:2002-01
Pagina 53 di 54
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
La presente Norma è stata compilata dal Comitato Elettrotecnico Italiano
e beneficia del riconoscimento di cui alla legge 1º Marzo 1968, n. 186.
Editore CEI, Comitato Elettrotecnico Italiano, Milano - Stampa in proprio
Autorizzazione del Tribunale di Milano N. 4093 del 24 luglio 1956
Responsabile: Ing. A. Alberici
9 – Trazione
CEI EN 50163 (CEI 9-31)
Applicazioni ferroviarie Tensioni di alimentazione dei sistemi
di trazione
CEI EN 50121-1 (CEI 9-35/1)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane
Compatibilità elettromagnetica Parte 1: Generalità
CEI EN 50121-2 (CEI 9-35/2)
Applicazioni ferroviarie, tranviarie, filoviarie e metropolitane -
Compatibilità elettromagnetica Parte 2: Emissione dell’intero
sistema ferroviario verso l’ambiente esterno
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano
74,00
NORMA TECNICA Sede del Punto di Vendita e di Consultazione
CEI EN 50159-2:2002-01 20134 Milano - Via Saccardo, 9
Totale Pagine 60 tel. 02/21006.1 • fax 02/21006.222
http://www.ceiuni.it
Copia concessa a ANSALDO STS SPA E ANSALDOBREDA e-mail: cei@ceiuni.it
SPA in data 15/03/2011 da CEI-Comitato Elettrotecnico Italiano