What standards are related to EN 50159:2010?

EN 50159:2010 has the following relationships with other standards: It is inter standard links to EN 50159-2:2001, EN 50159-1:2001, EN 50159:2010/A1:2020, prEN 50159. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

Is EN 50159:2010 a harmonized European standard?

EN 50159:2010 is associated with the following European legislation: EU Directives/Regulations: 2008/57/EC, 2016/797/EU, 96/48/EC; Standardization Mandates: M/483. When a standard is cited in the Official Journal of the European Union, products manufactured in conformity with it benefit from a presumption of conformity with the essential requirements of the corresponding EU directive or regulation.

How can I purchase EN 50159:2010?

You can purchase EN 50159:2010 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of CLC standards.

EN 50159:2010 - Railway applications - Communication, signalling and processing systems -

Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems

This European Standard is applicable to safety-related electronic systems using for digital communication purposes a transmission system which was not necessarily designed for safety-related applications and which is – under the control of the designer and fixed during the lifetime, or – partly unknown or not fixed, however unauthorised access can be excluded, or – not under the control of the designer, and also unauthorised access has to be considered. Both safety-related equipment and non safety-related equipment can be connected to the transmission system. This standard gives the basic requirements needed to achieve safety-related communication between safety-related equipment connected to the transmission system. This European Standard is applicable to the safety requirement specification of the safety-related equipment connected to the transmission system, in order to obtain the allocated safety integrity requirements. Safety requirements are generally implemented in the safety-related equipment, designed according to EN 50129. In certain cases these requirements may be implemented in other equipment of the transmission system, as long as there is control by safety measures to meet the allocated safety integrity requirements. The safety requirement specification is a precondition of the safety case of a safety-related electronic system for which the required evidence is defined in EN 50129. Evidence of safety management and quality management has to be taken from EN 50129. The communication-related requirements for evidence of functional and technical safety are the subject of this standard. This European Standard is not applicable to existing systems, which had already been accepted prior to the release of this standard. This European Standard does not specify – the transmission system, – equipment connected to the transmission system, – solutions (e.g. for interoperability), – which kind of data are safety-related and which are not. A safety-related equipment connected through an open transmission system can be subjected to many different IT security threats, against which an overall program has to be defined, encompassing management, technical and operational aspects. In this European Standard however, as far as IT security is concerned, only intentional attacks by means of messages to safety-related applications are considered. This European Standard does not cover general IT security issues and in particular it does not cover IT security issues concerning – ensuring confidentiality of safety-related information, – preventing overloading of the transmission system.

Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in Übertragungssystemen

Applications ferroviaires - Systèmes de signalisation, de télécommunication et de traitement - Communication de sécurité sur des systèmes de transmission

Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna komunikacija v prenosnih sistemih

Ta evropski standard velja za varnostne elektronske sisteme, ki za potrebe digitalne komunikacije uporabljajo prenosni sistem, ki ni bil nujno načrtovan za varnostno uporabo in ki:
- je pod nadzorom načrtovalca in pritrjen med življenjsko dobo ali
- je delno neznan in ne pritrjen, čeprav je lahko nedovoljen dostop izključen,
- ni pod nadzorom načrtovalca in nedovoljen dostop se prav tako mora obravnavati.
Varnostna oprema kot tudi oprema, ki ni varnostna, je lahko povezana s prenosnim sistemom. Ta standard podaja osnovne zahteve, potrebne za dosego varnostne komunikacije med varnostno opremo, povezano s prenosnim sistemom. Ta evropski standard velja za specifikacijo varnostne zahteve varnostne opreme, povezane z prenosnim sistemom, za pridobitev dodeljenih celovitih varnostnih zahtev. Varnostne zahteve se na splošno izvajajo pri varnostni opremi, načrtovani v skladu z EN 50129. V določenih primerih se lahko te zahteve izvajajo pri drugi opremi sistema prenosa, dokler je prisoten nadzor v obliki varnostnih ukrepov, da se dosežejo dodeljene celovite varnostne zahteve. Specifikacija zahtev o varnosti je predpogoj za varnostni primer elektronskega varnostnega sistema, za katerega se zahteva dokazilo, določeno v EN 50129. Dokazilo upravljanja varnosti in upravljanja kakovosti je potrebno privzeti iz EN 50129. Zahteve, povezane s komunikacijo za dokazilo o delovni in tehnični varnosti, so predmet tega standarda. Ta evropski standard ne velja za obstoječe sisteme, ki so že bili sprejeti pred objavo tega standarda.
Ta evropski standard ne določa
- prenosnega sistema,
- opremo, povezano z prenosnim sistemom,
- rešitev (npr. medobratovalnost),
- kateri načini podatkov so varnostni in kateri niso.
Varnostna oprema, povezana skozi odprt prenosni sistem, je lahko izpostavljena veliko različnim IT varnostnim grožnjam, proti katerim je potrebno določiti celovit program, ki obsega upravljanje ter tehnične in delovne vidike. Vendar se v tem evropskem standardu, kar se tiče IT varnosti, štejejo samo namenski napadi z načinom pošiljanja sporočil varnostnim aplikacijam. Ta evropski standard ne zajema splošnih IT varnostnih vprašanj in zlasti ne zajema IT varnostna vprašanja v zvezi z:
- zagotovitvijo zaupnosti informacij, povezanih z varnostjo,
- preprečevanjem preobremenitve prenosnega sistema.

General Information

Status

Published

Publication Date

16-Sep-2010

Withdrawal Date

31-Aug-2013

ICS

35.240.60 - IT applications in transport

45.020 - Railway engineering in general

Technical Committee

CLC/TC 9X - Electrical and electronic applications for railways

Drafting Committee

CLC/SC 9XA - Communications, signalling and processing systems

Current Stage

9093 - Decision to confirm - Review Enquiry

Start Date

24-Oct-2018

Completion Date

23-Sep-2025

Directive

2008/57/EC - Directive 2008/57/EC of the European Parliament and of the Council of 17 June 2008 on the interoperability of the rail system within the Community (Recast)

2016/797/EU - Directive (EU) 2016/797 of the European Parliament and of the Council of 11 May 2016 on the interoperability of the rail system within the European Union (Text with EEA relevance)

96/48/EC - Interoperability of the trans-European high-speed rail system

Mandate

M/483 - Mandate for programming and standardisation addressed to the European standardisation bodies under directive 2008/57/EC in the field of the interoperability of the rail system within the European Union

Ref Project

SIST EN 50159:2010 - Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems

Relations

Replaces

EN 50159-2:2001 - Railway applications - Communication, signalling and processing systems - Part 2: Safety related communication in open transmission systems

Effective Date

28-Jan-2023

Replaces

EN 50159-1:2001 - Railway applications - Communication, signalling and processing systems - Part 1: Safety-related communication in closed transmission systems

Effective Date

28-Jan-2023

Amended By

EN 50159:2010/A1:2020 - Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems

Effective Date

23-Jan-2023

Revised

prEN 50159 - Railway Applications - Communication, signalling and processing systems - Safety-related communication in transmission systems

Effective Date

23-Jan-2024

Standard

EN 50159:2010 (EN)

English language

64 pages

sale 10% off

Preview

sale 10% off

Preview

e-Library read for

AI-Chat

1 day

Create e-Library subscription and get permanent access to the document. Subscriptions are available for: 35 35.240 35.240.60 45 45.020

Standard

EN 50159:2010 (FR)

French language

64 pages

sale 10% off

Preview

sale 10% off

Preview

e-Library read for

AI-Chat

1 day

Create e-Library subscription and get permanent access to the document. Subscriptions are available for: 35 35.240 35.240.60 45 45.020

Standards Content (Sample)

SLOVENSKI STANDARD
01-november-2010
1DGRPHãþD
SIST EN 50159-1:2002
SIST EN 50159-2:2002
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna
komunikacija v prenosnih sistemih
Railway applications - Communication, signalling and processing systems - Safety-
related communication in transmission systems
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in
Übertragungssystemen
Applications ferroviaires - Systèmes de signalisation, de télécommunication et de
traitement - Communication de sécurité sur des systèmes de transmission
Ta slovenski standard je istoveten z: EN 50159:2010
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
transportu in trgovini and trade
45.020 Železniška tehnika na Railway engineering in
splošno general
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

EUROPEAN STANDARD
EN 50159
NORME EUROPÉENNE
September 2010
EUROPÄISCHE NORM
ICS 35.240.60; 45.020 Supersedes EN 50159-1:2001, EN 50159-2:2001

English version
Railway applications -
Communication, signalling and processing systems -
Safety-related communication in transmission systems

Applications ferroviaires - Bahnanwendungen -
Systèmes de signalisation, Telekommunikationstechnik,
de télécommunication et de traitement - Signaltechnik und
Communication de sécurité sur Datenverarbeitungssysteme -
des systèmes de transmission Sicherheitsrelevante Kommunikation
in Übertragungssystemen
This European Standard was approved by CENELEC on 2010-09-01. CENELEC members are bound to
comply with the CEN/CENELEC Internal Regulations which stipulate the conditions for giving this European
Standard the status of a national standard without any alteration.

Up-to-date lists and bibliographical references concerning such national standards may be obtained on
application to the Central Secretariat or to any CENELEC member.

This European Standard exists in three official versions (English, French, German). A version in any other
language made by translation under the responsibility of a CENELEC member into its own language and
notified to the Central Secretariat has the same status as the official versions.

CENELEC members are the national electrotechnical committees of Austria, Belgium, Bulgaria, Croatia,
Cyprus, the Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Iceland,
Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, the Netherlands, Norway, Poland, Portugal, Romania,
Slovakia, Slovenia, Spain, Sweden, Switzerland and the United Kingdom.

CENELEC
European Committee for Electrotechnical Standardization
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung

Management Centre: Avenue Marnix 17, B - 1000 Brussels

© 2010 CENELEC - All rights of exploitation in any form and by any means reserved worldwide for CENELEC members.
Ref. No. EN 50159:2010 E
Foreword
This European Standard was prepared by SC 9XA, Communication, signalling and processing systems, of
Technical Committee CENELEC TC 9X, Electrical and electronic applications for railways. It was
submitted to the formal vote and was approved by CENELEC as EN 50159 on 2010-09-01.
This document supersedes EN 50159-1:2001 and EN 50159-2:2001.
The contents of both standards have been merged; the informative Annex E gives a mapping between these
previous editions and the present document.
This European Standard is closely related to EN 50129:2003.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. CEN and CENELEC shall not be held responsible for identifying any or all such patent rights.
The following dates were fixed:
– latest date by which the EN has to be implemented
at national level by publication of an identical
national standard or by endorsement (dop) 2011-09-01
– latest date by which the national standards conflicting
with the EN have to be withdrawn (dow) 2013-09-01
This draft European Standard has been prepared under a mandate given to CENELEC by the European
Commission and the European Free Trade Association and covers essential requirements of
EC Directives 96/48/EC (HSR), recast by EC Directives 2008/57/EC (RAIL). See Annex ZZ.
__________
– 3 – EN 50159:2010
Contents
Introduction . 5
1 Scope . 6
2 Normative references . 7
3 Terms, definitions and abbreviations . 7
3.1 Terms and definitions . 7
3.2 Abbreviations . 12
4 Reference architecture . 13
5 Threats to the transmission system . 16
6 Classification of transmission systems . 17
6.1 General . 17
6.2 General aspects of classification . 17
6.3 Criteria for the classification of transmission systems . 17
6.4 Relationship between transmission systems and the threats . 18
7 Requirements for defences . 18
7.1 Preface . 18
7.2 General requirements . 19
7.3 Specific defences . 20
7.4 Applicability of defences . 26
Annex A (informative) Threats on open transmission systems . 28
A.1 System view . 28
A.2 Derivation of the basic message errors . 29
A.3 Threats. 30
A.4 A possible approach for building a safety case . 31
A.5 Conclusions . 35
Annex B (informative) Categories of transmission systems . 37
B.1 Categories of transmission systems . 37
B.2 Relationship between the category of transmission systems and threats . 39
Annex C (informative) Guideline for defences . 40
C.1 Applications of time stamps . 40
C.2 Choice and use of safety codes and cryptographic techniques. 41
C.3 Safety code . 46
C.4 Length of safety code . 49
C.5 Communication between safety-related and non safety-related applications. 51
Annex D (informative) Guidelines for use of the standard. 53
D.1 Procedure . 53
D.2 Example . 54
Annex E (informative) Mapping from previous standards . 59
Annex ZZ (informative) Coverage of Essential Requirements of EC Directives . 62
Bibliography . 63

Figures
Figure 1 – Reference architecture for safety-related communication . 15
Figure 2 – Cyclic transmission of messages . 21
Figure 3 – Bi-directional transmission of messages . 22
Figure A.1 – Hazard tree . 29
Figure A.2 – Causes of threats . 32
Figure C.1 – Classification of the safety-related communication system . 42
Figure C.2 – Model of message representation within the transmission system (Type A0, A1) . 43
Figure C.3 – Use of a separate access protection layer . 44
Figure C.4 – Model of message representation within the transmission system (Type B0) . 45
Figure C.5 – Model of message representation within the transmission system (Type B1) . 46
Figure C.6 – Basic error model . 49
Figure C.7 – Communication between non safety-related and safety-related applications . 52
Figure D.1 – Fault tree for the hazard “accident” . 55
Figure D.2 – Fault tree for case 1 . 56
Figure D.3 – Fault tree for case 2 . 58

Tables
Table 1 – Threats/Defences matrix . 26
Table A.1 – Relationship between hazardous events and threats . 36
Table B.1 – Categories of transmission systems . 38
Table B.2 – Threat/Category relationship . 39
Table C.1 – Assessment of the safety encoding mechanisms . 48
Table E.1 – Mapping from EN 50159-1:2001 into EN 50159:201X . 60
Table E.2 – Mapping from EN 50159-2:2001 into EN 50159:201X . 61

– 5 – EN 50159:2010
Introduction
If a safety-related electronic system involves the transfer of information between different locations, the
transmission system then forms an integral part of the safety-related system and it shall be shown that the
end to end communication is safe in accordance with EN 50129.
The transmission system considered in this standard, which serves the transfer of information between
different locations, has in general no particular preconditions to satisfy. It is from the safety point of view
not trusted, or not fully trusted.
The standard is dedicated to the requirements to be taken into account for the communication of safety-
related information over such transmission systems.
Although the RAM aspects are not considered in this standard it is recommended to keep in mind that
they are a major aspect of the global safety.
The safety requirements depend on the characteristics of the transmission system. In order to reduce the
complexity of the approach to demonstrate the safety of the system, transmission systems have been
classified into three categories:
– Category 1 consists of systems which are under the control of the designer and fixed during their
lifetime;
– Category 2 consists of systems which are partly unknown or not fixed, however unauthorised access
can be excluded;
– Category 3 consists of systems which are not under the control of the designer, and where
unauthorised access has to be considered.
The first category was covered by EN 50159-1:2001, the others by EN 50159-2:2001.
When safety-related communication systems, which have been approved according to the previous
standards, are subject of maintenance and/or extensions, the informative Annex E can be used for
traceability purposes of (sub)clauses of this standard with the (sub)clauses of the former series.

1 Scope
This European Standard is applicable to safety-related electronic systems using for digital communication
purposes a transmission system which was not necessarily designed for safety-related applications and
which is
– under the control of the designer and fixed during the lifetime, or
– partly unknown or not fixed, however unauthorised access can be excluded, or
– not under the control of the designer, and also unauthorised access has to be considered.
Both safety-related equipment and non safety-related equipment can be connected to the transmission
system.
This standard gives the basic requirements needed to achieve safety-related communication between
safety-related equipment connected to the transmission system.
This European Standard is applicable to the safety requirement specification of the safety-related
equipment connected to the transmission system, in order to obtain the allocated safety integrity
requirements.
Safety requirements are generally implemented in the safety-related equipment, designed according to
EN 50129. In certain cases these requirements may be implemented in other equipment of the
transmission system, as long as there is control by safety measures to meet the allocated safety integrity
requirements.
The safety requirement specification is a precondition of the safety case of a safety-related electronic
system for which the required evidence is defined in EN 50129. Evidence of safety management and
quality management has to be taken from EN 50129. The communication-related requirements for
evidence of functional and technical safety are the subject of this standard.
This European Standard is not applicable to existing systems, which had already been accepted prior to
the release of this standard.
This European Standard does not specify
– the transmission system,
– equipment connected to the transmission system,
– solutions (e.g. for interoperability),
– which kind of data are safety-related and which are not.
A safety-related equipment connected through an open transmission system can be subjected to many
different IT security threats, against which an overall program has to be defined, encompassing
management, technical and operational aspects.
In this European Standard however, as far as IT security is concerned, only intentional attacks by means
of messages to safety-related applications are considered.
This European Standard does not cover general IT security issues and in particular it does not cover IT
security issues concerning
– ensuring confidentiality of safety-related information,
– preventing overloading of the transmission system.

– 7 – EN 50159:2010
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
CLC/TR / EN 50126 series, Railway applications – The specification and demonstration of Reliability,
Availability, Maintainability and Safety (RAMS)
EN 50129:2003, Railway applications – Communication, signalling and processing systems – Safety
related electronic systems for signalling
3 Terms, definitions and abbreviations
3.1 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1.1
absolute time stamp
time stamp referenced to a global time which is common for a group of entities using a transmission
system
3.1.2
access protection
processes designed to prevent unauthorised access to read or to alter information, either within user
safety-related systems or within the transmission system
3.1.3
additional data
data which is not of any use to the ultimate user processes, but is used for control, availability, and safety
purposes
3.1.4
authentic message
message in which information is known to have originated from the stated source
3.1.5
authenticity
state in which information is valid and known to have originated from the stated source
3.1.6
closed transmission system
fixed number or fixed maximum number of participants linked by a transmission system with well known
and fixed properties, and where the risk of unauthorised access is considered negligible
3.1.7
communication
transfer of information between applications
3.1.8
confidentiality
property that information is not made available to unauthorised entities
3.1.9
corrupted message
type of message error in which a data corruption occurs

3.1.10
cryptographic techniques
producing output data, calculated by an algorithm using input data and a key as a parameter
NOTE By knowing the output data, it is impossible within a reasonable time to calculate the input data without knowledge of the
key. It is also impossible within a reasonable time to derive the key from the output data, even if the input data are known.
3.1.11
cyclic redundancy check
cyclic code, used to protect messages from the influence of data corruption
3.1.12
data
part of a message which represents some information (see also user data, additional data, redundant
data)
3.1.13
data corruption
alteration of data
3.1.14
defence
measure incorporated in the design of a safety-related communication system to counter particular threats
3.1.15
delayed message
type of message error in which a message is received at a time later than intended
3.1.16
deleted message
type of message error in which a message is removed from the message stream
3.1.17
double time stamp
case when two entities exchange and compare their time stamps. In this case the time stamps in the
entities are independent of each other
3.1.18
error
deviation from the intended design which could result in unintended system behaviour or failure
3.1.19
failure
deviation from the specified performance of a system
NOTE A failure is the consequence of a fault or an error in the system.
3.1.20
fault
abnormal condition that could lead to an error in a system
NOTE A fault can be random or systematic.
3.1.21
feedback message
response from a receiver to the sender, via a return channel
3.1.22
hacker
person trying deliberately to bypass access protection

– 9 – EN 50159:2010
3.1.23
hazard
condition that can lead to an accident
3.1.24
hazard analysis
process of identifying hazards and analysing their causes, and the derivation of requirements to limit the
likelihood and consequences of hazards to an acceptable level
3.1.25
implicit data
additional data that is not transmitted but is known to the sender and receiver
3.1.26
information
representation of the state or events of a process, in a form understood by the process
3.1.27
inserted message
type of message error in which an additional message is implanted in the message stream
3.1.28
integrity
state in which information is complete and not altered
3.1.29
manipulation detection code
function of the whole message without secret key
NOTE In contrast to a MAC there is no secret key involved. By the whole message is meant also any implicit data of the message
which is not sent to the transmission system. The MDC is often based on a hash function.
3.1.30
masqueraded message
type of inserted message in which a non-authentic message is designed to appear to be authentic
3.1.31
message
information which is transmitted from a sender (data source) to one or more receivers (data sink)
3.1.32
message authentication code
cryptographic function of the whole message and a secret or public key
NOTE By the whole message is meant also any implicit data of the message which is not sent to the transmission system.
3.1.33
message enciphering
transformation of bits by using a cryptographic technique within a message, in accordance with an
algorithm controlled by keys, to render casual reading of data more difficult. Does not provide protection
against data corruption
3.1.34
message errors
set of all possible message failure modes which can lead to potentially dangerous situations, or to
reduction in system availability. There can be a number of causes of each type of error
3.1.35
message integrity
message in which information is complete and not altered

3.1.36
message stream
ordered set of messages
3.1.37
non cryptographic safety code
redundant data based on non-cryptographic functions included in a safety-related message to permit data
corruption to be detected by the safety-related transmission function
3.1.38
open transmission system
transmission system with an unknown number of participants, having unknown, variable and non-trusted
properties, used for unknown telecommunication services and having the potential for unauthorised
access
3.1.39
random failure
failure that occurs randomly in time
3.1.40
redundancy check
type of check that a predefined relationship exists between redundant data and user data within a
message, to prove message integrity
3.1.41
redundant data
additional data, derived, by a safety-related transmission function, from the user data
3.1.42
relative time stamp
time stamp referenced to the local clock of an entity. In general there is no relationship to clocks of other
entities
3.1.43
repeated message
type of message error in which a single message is received more than once
3.1.44
re-sequenced message
type of message error in which the order of messages in the message stream is changed
3.1.45
safe fall back state
safe state of a safety-related equipment or system as a deviation from the fault-free state and as a result
of a safety reaction leading to a reduced functionality of safety-related functions, possibly also of non
safety-related functions
3.1.46
safety
freedom from unacceptable levels of risk
3.1.47
safety case
documented demonstration that the product complies with the specified safety requirements
3.1.48
safety code
redundant data included in a safety-related message to permit data corruptions to be detected by the
safety-related transmission function

– 11 – EN 50159:2010
3.1.49
safety integrity level
number which indicates the required degree of confidence that a system will meet its specified safety
functions with respect to systematic failures
3.1.50
safety reaction
safety-related protection taken by the safety process in response to an event (such as a failure of the
transmission system), which may lead to a safe fall back state of the equipment
3.1.51
safety-related
carries responsibility for safety
3.1.52
safety-related transmission function
function incorporated in the safety-related equipment to ensure authenticity, integrity, timeliness and
sequence of data
3.1.53
sequence number
additional data field containing a number that changes in a predefined way from message to message
3.1.54
source and destination identifier
identifier which is assigned to each entity. This identifier can be a name, number or arbitrary bit pattern.
This identifier will be used for the safety-related communication. Usually the identifier is added to the user
data
3.1.55
systematic failure
failure that occurs repeatedly under some particular combination of inputs, or under some particular
environmental condition
3.1.56
threat
potential violation of safety
3.1.57
time stamp
information concerning time of transmission attached to a message by the sender
3.1.58
timeliness
state in which information is available at the right time according to requirements
3.1.59
transmission code
redundant information, added to the safety and non safety message of the non-trusted transmission
system in order to ensure the integrity of the message during transmission
3.1.60
transmission system
service used by the application to communicate message streams between a number of participants, who
may be sources or sinks of information
3.1.61
trusted
which has properties used as evidence to support the safety demonstration

3.1.62
unauthorised access
situation in which user information or information within the transmission system is accessed and/or
changed by unauthorised persons or hackers
3.1.63
user data
data which represents the states or events of a user process, without any additional data. In case of
communication between safety-related equipment, the user data contains safety-related data
3.1.64
valid message
message whose form meets in all respects the specified user requirements
3.1.65
validity
state of meeting in all respects the specified user requirements
3.2 Abbreviations
For the purpose of this document, the following abbreviations apply.
BCH Bose, Ray-Chaudhuri, Hocquenghem Code
B.M.E. Basic Message Errors
BSC Binary Symmetric Channel
CAN Controller Area Network
CRC Cyclic Redundancy Check
EC European Community
ECB Electronic CodeBook mode
EMI Electromagnetic Interference
FTA Fault Tree Analysis
GPRS General Packet Radio Service
GSM-R Global System for Mobile communication – Railways
H.E. Hazardous Events
HW Hardware
IT Information Technology
LAN Local Area Network
MAC Message Authentification Code
MDC Manipulation Detection code
MD4, MD5 Message Digest algorithms
M.H. Main Hazard
MTBF Mean Time Between Failures
MVB Multi-purpose Vehicle Bus
PROFIBUS Process Field Bus
QSC q-nary symmetric channel
RAMS Reliability, Availability, Maintainability and Safety
SIL Safety Integrity Level
SR Safety Related
– 13 – EN 50159:2010
SRS Safety Requirements Specifications
SW Software
TX Transmission
UTC Universal Coordinated Time
WAN Wide Area Network
Wi-Fi Wireless Fidelity
4 Reference architecture
This European Standard defines the safety requirements for the safe communication between safety-
related equipment via a transmission system, which can either be closed or open. Both, safety-related and
non safety-related equipment can be connected to the transmission system. This clause describes
possible configurations of the safety-related communication in transmission systems including the
definition of involved functional blocks. Particular requirements to be fulfilled by these blocks are specified
in further clauses.
A combined view – open and closed transmission system – of the principal architecture is shown in
Figure 1, where all communication elements are linked according to the information flow to exchange
safety-related information between safety-related equipment. The reference architecture also shows a
non-safety-related interface which is not always present. A typical use could be for diagnostic messages
routed to a maintenance centre.
Besides the source and destination of safety-related communication the reference architecture deals with
a safety-related communication system, which can be divided into
– safety-related transmission functions incorporated in the safety-related equipment. These functions
ensure authenticity, integrity, timeliness and sequence of data,
– safety-related cryptographic techniques which protect the safety-related message. These can either
be realised by incorporating them in the safety-related equipment or having them outside of the
safety-related equipment but checked by safety techniques. These techniques protect the safety-
related message in a Category 3 transmission system and are not needed in the case of a
Category 1 or 2 transmission system,
– a non safety-related, open or closed transmission system which may itself include transmission
protection functions and/or access protection functions.
The characteristics of closed transmission systems (Category 1) are as follows:
– the number of pieces of connectable equipment – either safety-related or not – to the transmission
system is known and fixed;
– the risk of unauthorized access is considered negligible;
– the physical characteristics of the transmission system (e.g. transmission media, environment
according to design hypothesis, etc.) are fixed and unchanged during the life cycle of the system.
The open transmission system (Category 2 and/or 3) can contain some or all of the following:
– elements which read, store, process or re-transmit data produced and presented by users of the
transmission system in accordance with a program not known to the user. The number of users is
generally unknown, and safety-related and non safety-related equipment, and equipment which is not
related to railway applications, can be connected to the open transmission system;
– transmission media of any type with transmission characteristics and susceptibility to external
influences, which are unknown to the user;

– network control and management systems capable of routing (and dynamically re-routing) messages
via any path made up from one or more than one type of transmission media between the ends of
open transmission system, in accordance with a program not known to the user;
– other users of the transmission system, not known to the safety-related application designer, sending
unknown amounts of information, in unknown formats.
The open transmission system of Category 3 may be subject to unauthorised access to the transmission
system for malicious purposes.

– 15 – EN 50159:2010
Non safety
Safety related
related Non safety
information
Safety related Safety related information related
application
application application
Safety related Safety related
message message
Safety related Safety related
Non safety
transmission transmission related
message
function function
Safety related Safety related
cryptographic cryptographic
technique technique
Safety related message Non safety related message
Non safety related transmission system

Implemented in safety-related equipment according to EN 50129

Implemented for Category 3 transmission systems in

- safety-related equipment according to EN 50129, or
- non safety-related equipments, checked by safety-related techniques
Implemented in
- non safety-related equipment, or
- safety-related equipment (interface between safety-related and non
safety-related functions assessed according to EN 50129)

Figure 1 – Reference architecture for safety-related communication
The reference architecture is not intended to restrict implementations; different structures are possible,
see examples in the informative Annex C and in particular Clause C.5 for non safety-related messages.

5 Threats to the transmission system
The main hazard to safety-related communication is the failure to obtain a valid message in terms of
authenticity, integrity, sequence and timeliness at the receiving end. This standard considers threats to
these message properties arising from the transmission system. Threats to the safety-related equipment
shall be considered in accordance with EN 50129.
However, meeting the requirements of this standard does not give protection against intentional or
unintentional misuse coming from authorised sources. It is necessary for the safety case to address these
aspects.
Further information, with guidelines on threat analysis and safety case, is included in informative Annex A.
It shall be emphasised that an analysis shall be made for each project, so although the methodology for
message errors of Annex A can be included, it will not on its own necessarily be complete.
Hazardous events identified may include the following:
– systematic failure;
– broken wires;
– cabling errors;
– antenna misalignment;
– performance loss;
– HW random failure and ageing;
– human error;
– maintenance error;
– EMI;
– cross-talk;
– thermal noise;
– fading effects;
– overloading of transmission system;
– magnetic storm;
– fire;
– earthquake;
– lightning
as well as deliberately-caused events such as
– wire-tapping,
– damage or unauthorised change to HW,
– unauthorised change to SW,
– monitoring of channels,
– transmission of unauthorised messages.
However, although there can be a wide range of hazardous events, the basic message errors, which form
the threats to the transmission system, are one of the following:
– repetition;
– deletion;
– insertion;
– re-sequencing;
– corruption;
– 17 – EN 50159:2010
– delay;
– masquerade.
Table A.1 suggests which threats to the transmission system can be caused by each type of hazardous
event. Having identified the hazardous events – not protected by other means – that can occur for a
particular system, the table can be used as a guide to identify the threats to be considered for that system.
Table A.1 does not contain probabilities of occurrence; this shall be part of analysis of threats.
6 Classification of transmission systems
6.1 General
This clause defines the process to be used to classify all transmission systems, identifying the threats
relevant for such systems that affect the choice of defences for inclusion in the safety application.
6.2 General aspects of classification
There are many factors which can influence the threats to a safety-related communication system.
For example it is possible that transmission services can be obtained by the signalling system user from
private or public telecommunications service providers. Under such service provision contracts, the
responsibility of the service provider for guaranteeing performance of the transmission system can be
limited.
Therefore the significance of threats (and hence the requirements for defences) depend on the extent of
control exercised by the user over the transmission system, including the following issues:
– the technical properties of the system, including guarantees of reliability or availability of the system,
the extent of storage of data inherent in the system (which could affect delay or re-sequencing of
messages);
– the consistency of the performance of the system over its life (e.g. as changes to the system, and
changes to the user base are made), and traffic loading effects of other users;
– access to the system, depending on whether the network is private or public, the degree of access
control exerted by the operator over other users, the opportunity for misuse of the system by other
users, and the access available to maintainers to reconfigure the system, or gain access to the
transmission medium itself.
Following these issues three categories of transmission systems can be defined.
6.3 Criteria for the classification of transmission systems
6.3.1 Criteria for Category 1 transmission systems
A transmission system can be considered to be of Category 1 if the following preconditions are fulfilled.
Pr1 The number of pieces of connectable equipment – either safety-related or not – to the transmission
system is known and fixed. As the safety-related communication depends on this parameter, the
maximum number of participants allowed to communicate together shall be put into the safety
requirement specification as a precondition. The configuration of the system shall be defined/
embedded in the safety case. Any subsequent change to that configuration shall be preceded by a
review of their effects on the safety case.
Pr2 The characteristics of the transmission system (e.g. transmission media, environment under worst
case conditions, etc.) are known and fixed. They shall be maintained during the life cycle of the
system. If major parameters which were used in the safety case are to be changed, all safety-
related aspects shall be reviewed.

Pr3 The risk of unauthorised access to the transmission system shall be negligible.
If a transmission system satisfies all the above preconditions, it may be considered as Category 1 and a
closed system and, if so, it shall comply with a generally reduced set of processes and requirements given
in Clause 7.
6.3.2 Criteria for Category 2 transmission systems
If a transmission system does not satisfy the preconditions 1 or 2 (Pr1 or Pr2) of 6.3.1, but fulfils
precondition 3 (Pr3) it shall be considered as Category 2 and an open system, and shall be assessed with
a more comprehensive set of processes and requirements given in Clause 7.
6.3.3 Criteria for Category 3 transmission systems
If a transmission system does not satisfy the precondition 3 (Pr3) of 6.3.1 it shall be considered as
Category 3 and an open system, and shall be assessed with the full set of processes and requirements
given in Clause 7.
6.4 Relationship between transmission systems and the threats
The significance of threats to the safety-related communication system shall be assessed according to the
extent of control exercised by the user over the transmission system.
The threats identified in Clause 5 are applicable to all the transmission systems categories with the
exception of masquerade, which is only applicable to open transmission systems.
In Annex B an example of classification of transmission systems is given in Table B.1 and an example of
threat/category relationship is given in Table B.2.
The applicability of Clause 7 depends on the category of the transmission system.
7 Requirements for defences
7.1 Preface
Certain techniques have been adopted in data transmission systems (non-safety-related, safety-related) in
the past. These techniques form a “library” of possible methods accessible to the control and protection
system designer, to provide protection against each threat identified above.
To reduce the risk associated with the threats identified in the preceding clause, the following fundamental
safety services shall be considered and provided to the extent needed for the application, for both open
and closed transmission systems:
– message authenticity;
– message integrity;
– message timeliness;
– message sequence.
The following set of known defences has been outlined:
a) sequence number;
b) time stamp;
c) time-out;
d) source and destination identifiers;
e) feedback message;
f) identification procedure;
– 19 – EN 50159:2010
g) safety code;
h) cryptographic techniques.
A number of architectural issues shall be considered by the particular application and justified in the
Safety Case, for example
– conditions for claiming and maintaining the compliance with preconditions of Category 1 or 2
transmission systems,
– criteria for the separation among transmission systems of different categories,
– robustness of transmission systems against denial of service resulting from flooding attacks, e.g.
need of firewalls.
With reference to h), the scope of this standard excludes general IT security issues:
– only attacks during the operational phase are considered;
– only attacks by means of messages to safety-related applications are addressed here .
However, a complete access protection policy should consider
– procedural and maintenance aspects of access protection,
– vulnerability of software not part of the safety-related application,
– confidentiality of information.
7.2 General requirements
7.2.1 Adequate defences shall be provided against all identified threats to the safety of systems using an
open or closed transmission system. Any assumptions of threats which are to be ignored shall be justified
and recorded in the safety case. Annex A derives a possible list of threats, to be used as guidance.
7.2.2 In case of communication between safety-related and non safety-related applications via the same
transmission system the following requirements apply:
– the safety defences implemented in the safety-related transmission functions shall be demonstrated
as being functionally independent from defences used by the non safety-related functions;
– the safety-related and non safety-related messages shall have different structures achieved by
applying a safety code to safety-related messages. This safety code shall be capable of protecting
the system to the required safety integrity (see 7.3.7) so that a non safety-related message cannot be
corrupted into a safety-related one.
7.2.3 Detailed requirements for the defences needed for the application shall take into account
– the level of risk (frequency/consequence) identified for each particular threat, and
– the safety integrity level of the data and process concerned.
Annex C gives guidance on the selection of currently known techniques to give
...

SLOVENSKI STANDARD
01-november-2010
Nadomešča:
SIST EN 50159-1:2002
SIST EN 50159-2:2002
Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna
komunikacija v prenosnih sistemih
Railway applications - Communication, signalling and processing systems - Safety-
related communication in transmission systems
Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und
Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in
Übertragungssystemen
Applications ferroviaires - Systèmes de signalisation, de télécommunication et de
traitement - Communication de sécurité sur des systèmes de transmission
Ta slovenski standard je istoveten z: EN 50159:2010
ICS:
35.240.60 Uporabniške rešitve IT v IT applications in transport
prometu
45.020 Železniška tehnika na Railway engineering in
splošno general
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

NORME EUROPÉENNE
EN 50159
EUROPÄISCHE NORM
Septembre 2010
EUROPEAN STANDARD
ICS 35.240.60; 45.020 Remplace EN 50159-1:2001, EN 50159-2:2001

Version française
Applications ferroviaires -
Systèmes de signalisation, de télécommunication et de traitement -
Communication de sécurité sur des systèmes de transmission

Bahnanwendungen - Railway applications -
Telekommunikationstechnik, Communication, signalling
Signaltechnik und and processing systems -
Datenverarbeitungssysteme - Safety-related communication
Sicherheitsrelevante Kommunikation in transmission systems
in Übertragungssystemen
La présente Norme Européenne a été adoptée par le CENELEC le 2010-09-01. Les membres du CENELEC
sont tenus de se soumettre au Règlement Intérieur du CEN/CENELEC qui définit les conditions dans lesquelles
doit être attribué, sans modification, le statut de norme nationale à la Norme Européenne.

Les listes mises à jour et les références bibliographiques relatives à ces normes nationales peuvent être
obtenues auprès du Secrétariat Central ou auprès des membres du CENELEC.

La présente Norme Européenne existe en trois versions officielles (allemand, anglais, français). Une version
dans une autre langue faite par traduction sous la responsabilité d'un membre du CENELEC dans sa langue
nationale, et notifiée au Secrétariat Central, a le même statut que les versions officielles.

Les membres du CENELEC sont les comités électrotechniques nationaux des pays suivants: Allemagne,
Autriche, Belgique, Bulgarie, Chypre, Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie,
Irlande, Islande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Norvège, Pays-Bas, Pologne, Portugal,
République Tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie, Suède et Suisse.

CENELEC
Comité Européen de Normalisation Electrotechnique
Europäisches Komitee für Elektrotechnische Normung
European Committee for Electrotechnical Standardization

Management Centre: Avenue Marnix 17, B - 1000 Bruxelles

© 2010 CENELEC - Tous droits d'exploitation sous quelque forme et de quelque manière que ce soit réservés dans le monde entier aux
membres du CENELEC.
Ref. n° EN 50159:2010 F
Avant-propos
La présente Norme Européenne a été préparée par le SC 9XA, Systèmes de signalisation de
télécommunications et de traitement, du comité technique CENELEC TC 9X, Applications électriques et
électroniques dans le domaine ferroviaire. Elle a été soumise au vote formel et a été acceptée par le
CENELEC comme EN 50159 le 2010-09-01.
Ce document annule et remplace l'EN 50159-1:2001 et l'EN 50159-2:2001.
Le contenu de ces deux normes a été fusionné; l'Annexe E, informative, fournit un tableau de
correspondances entre ces précédentes éditions et le présent document.
La présente Norme Européenne est étroitement liée à l'EN 50129:2003.
Les dates suivantes ont été fixées:
– date limite à laquelle l'EN doit être mise en application
au niveau national par publication d'une norme
nationale identique ou par entérinement (dop) 2011-09-01

– date limite à laquelle les normes nationales
(dow) 2013-09-01
conflictuelles doivent être annulées

Le présent projet de Norme Européenne a été préparé dans le cadre d’un mandat confié au CENELEC par la
Commission Européenne et l’Association Européenne de Libre Echange et couvre les exigences essentielles
de la Directive 96/48/CE (HSR) reprise par la Directive 2008/57/CE (RAIL). Voir l’Annexe ZZ.
__________
– 3 – EN 50159:2010
Sommaire
Introduction . 5
1 Domaine d'application . 6
2 Références normatives. 7
3 Termes, définitions et abréviations . 7
3.1 Termes et définitions . 7
3.2 Abréviations . 12
4 Architecture de référence . 13
5 Menaces sur le système de transmission . 16
6 Classification des systèmes de transmission . 17
6.1 Généralités. 17
6.2 Aspects généraux de la classification . 17
6.3 Critères de classification des systèmes de transmission . 18
6.4 Relation entre les systèmes de transmission et les menaces . 18
7 Exigences relatives aux protections . 19
7.1 Préliminaire . 19
7.2 Exigences générales . 20
7.3 Défenses spécifiques . 21
7.4 Applicabilité des défenses . 27
Annexe A (informative) Menaces sur les systèmes de transmission ouverts . 28
A.1 Vue système . 28
A.2 Déduction des erreurs de message de base . 29
A.3 Menaces . 30
A.4 Une approche possible pour élaborer le dossier de sécurité . 31
A.5 Conclusions . 35
Annexe B (informative) Classes de systèmes de transmission . 37
B.1 Classes de systèmes de transmission . 37
B.2 Relation entre la classe du système de transmission et les menaces . 39
Annexe C (informative) Lignes directrices relatives aux défenses . 40
C.1 Applications de la datation . 40
C.2 Choix et utilisation des codes de sécurité et des techniques cryptographiques . 41
C.3 Code de sécurité . 46
C.4 Longueur du code de sécurité . 49
C.5 Communication entre applications de sécurité et applications non liées à la sécurité . 52
Annexe D (informative) Lignes directrices relatives à l'utilisation de la norme . 54
D.1 Procédure . 54
D.2 Exemple . 55
Annexe E (informative) Correspondance avec les normes précédentes . 59
Annexe ZZ (informative) Couvertures des Exigences Essentielles des Directives CE . 62
Bibliographie . 63

Figures
Figure 1 – Architecture de référence d'une communication de sécurité .15
Figure 2 – Transmission cyclique de messages .22
Figure 3 – Transmission bidirectionnelle de messages .22
Figure A.1 – Arbre des dangers .29
Figure A.2 – Causes de menaces .32
Figure C.1 – Classification des systèmes de communication de sécurité .42
Figure C.2 – Modèle de représentation de message dans un système de transmission (type A0, A1) .43
Figure C.3 – Utilisation d’une couche de protection d’accès séparée .44
Figure C.4 – Modèle de représentation de message dans un système de transmission (type B0) .45
Figure C.5 – Modèle de représentation de message dans un système de transmission (type B1) .46
Figure C.6 – Modèle d'erreur de base .49
Figure C.7 – Communication entre des applications non liées à la sécurité et des applications de sécurité .53
Figure D.1 – Arbre des défaillances pour le danger « accident » .56
Figure D.2 – Arbre des défaillances pour le cas 1 .57
Figure D.3 – Arbre des défaillances pour le cas 2 .58

Tableaux
Tableau 1 – Matrice menaces/défenses .27
Tableau A.1 – Relations entre événements dangereux et menaces .36
Tableau B.1 – Classes de systèmes de transmission .38
Tableau B.2 – Relation menace/classe .39
Tableau C.1 – Evaluation des mécanismes d'encodage de sécurité .48
Tableau E.1 – Correspondance entre la EN 50159-1:2001 et la EN 50159:201X .60
Tableau E.2 – Correspondance entre la EN 50159-2:2001 et la EN 50159:201X .61

– 5 – EN 50159:2010
Introduction
Si un système électronique de sécurité implique un transfert d'informations entre des emplacements
différents, le système de transmission fait alors partie intégrante du système de sécurité et il doit être
démontré que la communication de bout en bout est sûre, conformément à la EN 50129.
Le système de transmission traité dans la présente norme, destiné au transfert d'informations entre des
emplacements différents, n'a pas en général à satisfaire de conditions préliminaires particulières. Du point de
vue de la sécurité, il n'est pas, ou pas complètement, sécurisé.
La présente norme traite des exigences à prendre en compte pour la communication d'informations relatives
à la sécurité par l'intermédiaire de tels systèmes de transmission.
Bien que les aspects FMD ne soient pas considérés dans la présente norme, il est recommandé de garder à
l'esprit qu'ils sont un aspect majeur dans la sécurité globale.
Les exigences de sécurité dépendent des caractéristiques du système de transmission. Afin de simplifier la
démonstration de la sécurité du système, les systèmes de transmission ont été répartis en trois classes:
– la classe 1 comprend les systèmes qui sont sous le contrôle du concepteur et qui sont fixes pendant
leur durée de vie;
– la classe 2 comprend les systèmes qui sont partiellement inconnues ou non fixés, mais pour lesquels un
accès non autorisé peut être exclu;
– la classe 3 comprend les systèmes qui ne sont pas sous le contrôle du concepteur, et pour lesquels un
accès non autorisé doit être envisagé.
La classe 1 a été traitée par la EN 50159-1:2001 et les deux autres par la EN 50159-2:2001.
Lorsque des systèmes de communication de sécurité, approuvés selon les normes précédentes, font l'objet
de mesures de maintenance et/ou d'extensions, l'Annexe E, informative, peut être utilisée pour établir la
correspondance des articles (paragraphes) de la présente norme avec les articles (paragraphes) de la série
de normes précédente.
1 Domaine d'application
La présente Norme Européenne s'applique aux systèmes électroniques de sécurité utilisant, à des fins de
communication numérique, un système de transmission qui n'a pas été nécessairement conçu pour des
applications de sécurité et qui, selon le cas,
– est sous le contrôle du concepteur et est fixe pendant sa durée de vie,
– est partiellement inconnu ou non fixé, mais pour lequel un accès non autorisé peut être exclu,
– n'est pas sous le contrôle du concepteur, et un accès non autorisé est également à envisager.
Les équipements connectés au système de transmission peuvent être des équipements de sécurité ou non.
La présente norme indique les exigences de base nécessaires pour obtenir une communication de sécurité
entre les équipements de sécurité connectés au système de transmission.
La présente Norme Européenne s’applique à la spécification des exigences de sécurité des équipements de
sécurité connectés au système de transmission, afin d’atteindre le niveau d’intégrité de sécurité alloué.
Les exigences de sécurité sont généralement mises en œuvre dans les équipements de sécurité conçus
selon la EN 50129. Dans certains cas, ces exigences peuvent être mises en œuvre dans d'autres
équipements du système de transmission, pourvu qu'un contrôle soit assuré par des mesures de sécurité
afin d'atteindre le niveau d'intégrité de sécurité alloué.
La spécification d'exigences de sécurité est une condition préalable au dossier de sécurité d’un système
électronique de sécurité dont les caractéristiques de la preuve sont définies dans la EN 50129. Cette
dernière définit également la preuve de la gestion de la sécurité et la preuve de la gestion de la qualité. Les
exigences de communication spécifiées dans le but d'établir la sécurité fonctionnelle et technique sont
traitées dans la présente norme.
La présente Norme Européenne ne s'applique pas aux systèmes existants ayant déjà été acceptés avant la
parution de la présente norme.
La présente Norme Européenne ne spécifie pas
– le système de transmission,
– les équipements connectés au système de transmission,
– les solutions (destinées par exemple à l'interopérabilité),
– les types de données liés à la sécurité et les types de données non liés à la sécurité.
Un équipement de sécurité connecté par un système de transmission ouvert peut faire l'objet d'un grand
nombre de menaces relatives à la sécurité informatique contre lesquelles un programme global, couvrant
des aspects techniques, opérationnels et de gestion, doit être défini.
Cependant, en ce qui concerne la sécurité informatique, la présente Norme Européenne traite uniquement
des attaques intentionnelles effectuées au moyen de messages adressés aux applications de sécurité.
La présente Norme Européenne ne couvre pas les aspects de sécurité informatique généraux et, en
particulier, elle n'aborde pas les aspects de sécurité informatique visant à
– garantir la confidentialité des informations de sécurité,
– empêcher la surcharge du système de transmission.

– 7 – EN 50159:2010
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence (y compris les éventuels amendements) s'applique.
CLC/TR / EN 50126 (série), Applications ferroviaires – Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS)
EN 50129:2003, Applications ferroviaires – Systèmes de signalisation, de télécommunications et de
traitement – Systèmes électroniques de sécurité pour la signalisation
3 Termes, définitions et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et les définitions suivants s'appliquent.
3.1.1
date absolue
date référencée par rapport à un temps global, commun à un groupe d’entités utilisant un système de
transmission
3.1.2
protection d’accès
processus conçu pour empêcher un accès non autorisé de lire ou de modifier de l’information, soit dans les
systèmes de sécurité utilisateur, soit dans le système de transmission
3.1.3
données additionnelles
données inutiles pour les processus utilisateur finals, mais utilisées à des fins de contrôle, de disponibilité et
de sécurité
3.1.4
message authentique
message dont l’information est reconnue provenir de la source indiquée
3.1.5
authenticité
état dans lequel une information est valide et réputée avoir été générée par la source déclarée
3.1.6
système de transmission fermé
nombre fixe ou nombre maximum fixe d'éléments reliés par un système de transmission dont les propriétés
sont bien connues et fixées et où le risque d'accès non autorisé est considéré comme négligeable
3.1.7
communication
transfert d’informations entre applications
3.1.8
confidentialité
propriété de non mise à disposition de l'information à des entités non autorisées
3.1.9
message corrompu
type d’erreur de message dans lequel se produit une corruption des données

3.1.10
techniques cryptographiques
produisent des données de sortie calculées au moyen d’un algorithme utilisant les données d’entrée et une
clé comme paramètre
NOTE Si les données de sortie sont connues, le calcul des données d’entrée dans un délai raisonnable est impossible sans connaître
la clé. La déduction de la clé des données de sortie dans un délai raisonnable est également impossible, même si les données
d’entrée sont connues.
3.1.11
contrôle de redondance cyclique
code cyclique utilisé pour protéger les messages de l’influence des corruptions de données
3.1.12
données
partie d’un message qui représente de l’information (voir aussi « données utilisateur », « données
additionnelles », « données redondantes »)
3.1.13
corruption de données
altération de données
3.1.14
défense
mesure introduite dans la conception d’un système de communications de sécurité pour contrer des
menaces particulières
3.1.15
message retardé
type d’erreur de message dans lequel un message est reçu plus tard que prévu
3.1.16
message supprimé
type d’erreur de message dans lequel un message est retiré d’un flux de messages
3.1.17
date double
cas où deux entités échangent et comparent leurs dates. Dans ce cas, les dates des entités sont
indépendantes les unes des autres
3.1.18
erreur
écart par rapport à la conception prévue, qui pourrait se traduire par un comportement non prévu du système
ou par une défaillance
3.1.19
défaillance
écart d’un système par rapport aux performances spécifiées
NOTE Une défaillance est la conséquence d’une panne ou d’une erreur dans le système.
3.1.20
panne
état anormal pouvant conduire à une erreur dans un système
NOTE Une panne peut être aléatoire ou systématique.
3.1.21
message en retour
réponse d’un récepteur à l’émetteur, via un canal de transmission en retour
3.1.22
pirate informatique
personne tentant délibérément de contourner une protection d’accès

– 9 – EN 50159:2010
3.1.23
danger
condition pouvant conduire à un accident
3.1.24
analyse des dangers
processus d’identification des dangers et d'analyse de leurs causes, ainsi que des écarts par rapport aux
exigences pour limiter la probabilité d'occurrence et les conséquences des dangers à un niveau acceptable
3.1.25
données implicites
données additionnelles non transmises, mais connues de l’émetteur et du récepteur
3.1.26
information
représentation de l’état ou des événements d’un processus, dans une forme compréhensible par le
processus
3.1.27
message inséré
type d’erreur de message dans lequel un message est ajouté dans le flux de messages
3.1.28
intégrité
état dans lequel une information est complète et non altérée
3.1.29
code de détection de manipulation
fonction concernant l'ensemble du message sans clé secrète
NOTE Par opposition au MAC, aucune clé secrète n'est impliquée. Par « ensemble du message », on comprend également toute
donnée implicite du message qui n’est pas envoyée au système de transmission. Le MDC est souvent basé sur une fonction de
brouillage.
3.1.30
mascarade de message
insertion d’un message non authentique, déguisé pour passer pour authentique
3.1.31
message
information transmise par un émetteur (source de données) à un ou plusieurs récepteurs (collecteur de
données)
3.1.32
code d’authentification de message
fonction cryptographique de l'ensemble du message et d’une clé secrète ou publique
NOTE Par « ensemble du message », on comprend également toute donnée implicite du message qui n’est pas envoyée au système
de transmission
3.1.33
cryptage de message
transformation de bits en appliquant une technique cryptographique à un message, suivant un algorithme
piloté par clés, afin de rendre plus difficile une lecture fortuite des données. Ne protège pas contre la
corruption des données
3.1.34
erreurs de message
ensemble de tous les modes de défaillance de message possibles, pouvant conduire à des situations
potentiellement dangereuses ou à une réduction de la disponibilité du système. Plusieurs causes peuvent
être associées à un type d’erreur donné

3.1.35
intégrité du message
message dans lequel l’information est complète et non altérée
3.1.36
flux de messages
suite ordonnée de messages
3.1.37
code de sécurité non cryptographique
données redondantes, basées sur des fonctions non cryptographiques, incluses dans un message de
sécurité, afin de rendre possible la détection de la corruption des données par une fonction de transmission
de sécurité
3.1.38
système de transmission ouvert
système de transmission à un nombre d’utilisateurs inconnu, ayant des propriétés non connues, variables et
non sécurisées, utilisé pour des services de télécommunication inconnus et pour lequel il existe un risque
d’accès non autorisé
3.1.39
défaillance aléatoire
défaillance qui se produit aléatoirement dans le temps
3.1.40
contrôle de redondance
type de contrôle de l'existence d'une relation prédéfinie entre des données redondantes et des données
utilisateur au sein d’un message, pour prouver l'intégrité du message
3.1.41
données redondantes
données additionnelles dérivées des données utilisateur par une fonction de transmission de sécurité
3.1.42
date relative
date référencée par rapport à l’horloge locale d’une entité. En général, il n’y a pas de relation avec les
horloges des autres entités
3.1.43
message répété
type d’erreur de message dans lequel un message unique est reçu plus d’une fois
3.1.44
message reséquencé
type d’erreur de message dans lequel l’ordre des messages est modifié dans le flux de messages
3.1.45
état de secours sûr
état sûr d'un équipement ou d'un système de sécurité, déviant par rapport à un état non défaillant et résultant
d'une réaction de protection conduisant à une fonctionnalité réduite des fonctions de sécurité, voire des
fonctions non liées à la sécurité
3.1.46
sécurité
absence de niveaux de risque inacceptables
3.1.47
dossier de sécurité
démonstration documentée que le produit répond aux exigences de sécurité spécifiées

– 11 – EN 50159:2010
3.1.48
code de sécurité
données redondantes incluses dans un message de sécurité afin de détecter les corruptions de données par
une fonction de transmission de sécurité
3.1.49
niveau d’intégrité de la sécurité
nombre qui indique le degré de confiance requis pour qu'un système remplisse ses fonctions de sécurité eu
égard à ses défaillances systématiques
3.1.50
réaction de protection
action qui peut être prise par le processus de sécurité en réponse à un événement (comme une défaillance
du système de transmission), pouvant conduire à un état de secours sûr de l'équipement
3.1.51
de sécurité
qui est responsable de la sécurité
3.1.52
fonction de transmission de sécurité
fonction intégrée dans l’équipement de sécurité pour garantir l’authenticité, l’intégrité, la ponctualité et la
séquence des données
3.1.53
numéro de séquence
champ de données additionnel contenant un nombre qui varie d’une manière prédéfinie de message à
message
3.1.54
identificateur de source et de destination
identificateur assigné à chaque entité. Il peut s’agir d’un nom, d’un nombre ou d’une configuration binaire
arbitraire. L’identificateur est utilisé pour une communication de sécurité. Il est habituellement ajouté aux
données utilisateurs
3.1.55
défaillance systématique
défaillance d’occurrence répétitive moyennant des combinaisons particulières d’entrées ou des conditions
particulières d’environnement
3.1.56
menace
violation potentielle de sécurité
3.1.57
datation
information concernant le moment de la transmission, attachée à un message par l’émetteur
3.1.58
ponctualité
état correspondant à une mise à disposition de l’information au bon moment, conformément aux
spécifications
3.1.59
code de transmission
information redondante, ajoutée au message de sécurité ou non du système de transmission non sécurisé,
pour assurer l'intégrité du message pendant la transmission

3.1.60
système de transmission
service utilisé par une application pour transmettre des flux de messages entre un nombre de participants,
qui peuvent être des sources ou des collecteurs d'information
3.1.61
sécurisé
élément dont les propriétés sont utilisées pour faire la preuve de la sécurité
3.1.62
accès non autorisé
situation dans laquelle des personnes non autorisées ou des pirates informatiques ont accès à et/ou
modifient des informations utilisateur ou des informations dans le système de transmission
3.1.63
données utilisateur
données représentant les états ou événements d’un processus utilisateur, sans données additionnelles.
Dans le cas d’une communication entre des équipements de sécurité, les données utilisateur contiennent
des données de sécurité
3.1.64
message valide
message satisfaisant dans sa forme à toutes les spécifications de l’utilisateur
3.1.65
validité
état satisfaisant à tous les égards aux exigences spécifiées par l’utilisateur
3.2 Abréviations
Pour les besoins du présent document, les abréviations suivantes s'appliquent.
AAP Analyse par Arbre de Panne
(en: FTA, Fault Tree Analysis)
BCH Code Bose, Ray-Chaudhuri, Hocquenghem
B.M.E. Erreurs de message de base
BSC Voie binaire symétrique
CAN Gestionnaire de réseau de communication
CE Communauté Européenne
CRC Contrôle de redondance cyclique
ECB Mode dictionnaire chiffré électronique
FDMS Fiabilité, Disponibilité, Maintenabilité et Sécurité
(en: RAMS, Reliability, Availability, Maintainability and Safety)
GPRS Téléphonie sans fil large bande
GSM-R Système global de communication pour les mobiles ferroviaires
H.E. Evénement dangereux
HW Matériel
IEM Interférence électromagnétique
(en: EMI, Electromagnetic Interference)
IT Technologie de l'information
LAN Réseau local
MAC Code d’authentification de message
MDC Code de détection de manipulation

– 13 – EN 50159:2010
MD4, MD5 Algorithmes de codification de message
M.H. Situation dangereuse principale
MTBF Temps moyen de fonctionnement entre défaillances consécutives
MVB Bus de communication multifonction pour véhicules
PROFIBUS Bus de communication de terrain
QSC Voie q-naire symétrique
SIL Niveau d'intégrité de la sécurité
SR Relatif à la sécurité
SRS Spécification des exigences de sécurité
SW Logiciel
TX Transmission
UTC Temps universel coordonné
WAN Réseau étendu
Wi-Fi Réseau local sans fil
4 Architecture de référence
La présente Norme Européenne définit les exigences de sécurité visant à garantir une communication sûre
entre des équipements de sécurité via un système de transmission pouvant être soit fermé, soit ouvert.
Les équipements connectés au système de transmission peuvent être des équipements de sécurité ou non.
Le présent article décrit les configurations possibles de communication de sécurité dans les systèmes de
transmission incluant la définition des blocs fonctionnels impliqués. Les exigences particulières qui sont à
respectées par ces blocs sont spécifiées dans les articles ultérieurs.
La Figure 1 présente une vue combinée (système de transmission ouvert et fermé) de l'architecture
principale, dans laquelle tous les éléments de communication sont liés conformément au flux d'informations,
en vue de l'échange d'informations de sécurité entre des équipements de sécurité. L'architecture de
référence montre également une interface non liée à la sécurité dont la présence n'est pas systématique.
Ce type de configuration est habituellement utilisé pour les messages de diagnostic routés vers un centre de
maintenance.
Outre la source et la destination de la communication de sécurité, l'architecture de référence traite d'un
système de communication de sécurité qui comprend
– des fonctions de transmission de sécurité intégrées aux équipements de sécurité. Ces fonctions
assurent l'authenticité, l'intégrité, la ponctualité et la séquence des données,
– des techniques cryptographiques de sécurité qui protègent le message de sécurité. Ces techniques sont
soit intégrées dans les équipements de sécurité, soit mises en œuvre à l'extérieur de ces équipements,
en étant toutefois dans ce cas contrôlées par des techniques de sécurité. Ces techniques assurent la
protection des messages de sécurité dans un système de transmission de classe 3. Elles ne sont pas
requises pour les systèmes de transmission des classes 1 ou 2,
– un système de transmission non lié à la sécurité, ouvert ou fermé, pouvant lui-même inclure des
fonctions de protection de transmission et/ou des fonctions de protection d'accès.
Les systèmes de transmission fermés (classe 1) présentent les caractéristiques suivantes:
– le nombre de parties d'équipement – de sécurité ou non – connectable au système de transmission est
connu et fixé;
– le risque d'accès non autorisé est considéré comme négligeable;
– les caractéristiques physiques du système de transmission (par exemple, supports de transmission,
environnement conformément aux hypothèses de conception, etc.) sont fixées et non altérées pendant
le cycle de vie du système.
Le système de transmission ouvert (classe 2 et/ou 3) peut comporter tout ou partie des entités ci-après:
– éléments lisant, stockant, traitant ou retransmettant des données produites et présentées par des
utilisateurs du système de transmission selon un programme inconnu de l’utilisateur. Le nombre
d’utilisateurs est généralement inconnu. Des équipements, de sécurité ou non, et des équipements non
apparentés aux applications ferroviaires peuvent être raccordés au système de transmission ouvert;
– supports de transmission de n’importe quel type, dont les caractéristiques de transmission et la
sensibilité aux influences externes ne sont pas connues de l’utilisateur;
– systèmes d’administration de réseaux capables de router (et de re-router dynamiquement) des
messages via n’importe quel chemin constitué d’un ou de plusieurs supports de transmission entre les
extrémités du système de transmission ouvert, selon un programme inconnu de l’utilisateur;
– autres utilisateurs du système de transmission, non connus du concepteur de l'application de sécurité,
envoyant des quantités d’information inconnues dans des formats inconnus.
Le système de transmission ouvert de classe 3 peut faire l'objet d'accès non autorisés à des fins
malveillantes.
– 15 – EN 50159:2010
Information
Information de
Application
non liée à la
sécurité
sécurité non liée à la
Application de Application de
sécurité
sécurité sécurité
Message de Message de
sécurité
sécurité
Fonction de Fonction de
Message non
transmission transmission lié à la
sécurité
de sécurité de sécurité
Technique Technique
cryptographique cryptographique
de sécurité de sécurité
Message de sécurité Message non lié à la sécurité
Système de transmission non lié à la sécurité

Mis en oeuvre dans des équipements de sécurité selon la EN 50129

Mis en oeuvre pour des systèmes de transmission de classe 3 dans

- des équipements de sécurité selon la EN 50129, ou
- des équipements non liés à la sécurité, contrôlés par des techniques de
sécurité
Mis en oeuvre dans
- des équipements non liés à la sécurité, ou
- des équipements de sécurité (interface entre des fonctions de sécurité et
des fonctions non liées à la sécurité, évaluées selon la EN 50129)

Figure 1 – Architecture de référence d'une communication de sécurité
L'architecture de référence ne vise pas à limiter les mises en œuvre. Des structures différentes sont en effet
possibles, voir des exemples dans l'Annexe C, informative, particulièrement l’Article C.5 consacré aux
messages non liés à la sécurité.

5 Menaces sur le système de transmission
Le principal danger pour une communication de sécurité correspond au défaut d'obtention, à l'extrémité de
réception, d'un message valide en termes d'authenticité, d'intégrité, de séquence et de ponctualité.
La présente norme prend en compte les menaces sur ces propriétés de message provenant du système de
transmission. Les menaces sur les équipements de sécurité doivent être prises en compte conformément à
la EN 50129.
Toutefois, le respect des exigences de la présente norme ne garantit pas la protection contre les usages
abusifs volontaires ou involontaires en provenance de sources autorisées. Il est nécessaire que ces aspects
soient couverts par le dossier de sécurité.
L'Annexe A, informative, détaille ces aspects et fournit des lignes directrices sur l'analyse des menaces et le
dossier de sécurité. Il doit être souligné qu'une analyse doit être effectuée pour chaque projet.
Par conséquent, bien que la méthodologie présentée dans l'Annexe A pour les erreurs de message puisse
être appliquée, elle n'est pas nécessairement exhaustive.
Les événements dangereux identifiés peuvent être les suivants:
– défaillance systématique;
– rupture de connexions;
– erreurs de câblage;
– dépointage d'antennes;
– perte de performance;
– défaillance aléatoire et vieillissement du matériel;
– erreur humaine;
– erreur de maintenance;
– IEM;
– diaphonie;
– bruit thermique;
– effets de fading;
– surcharge du système de transmission;
– orage magnétique;
– feu;
– tremblement de terre;
– foudre;
il peut également s'agir de cas de malveillance volontaire, tels que
– écoutes,
– endommagement ou modification non autorisée du matériel,
– changement du logiciel non autorisé,
– surveillance de voies,
– transmission de messages non autorisés.

– 17 – EN 50159:2010
Cependant, bien que les événements dangereux puissent être très nombreux, les erreurs de base
concernant les messages, qui constituent les menaces sur le système de transmission, sont les suivantes:
– répétition;
– suppression;
– insertion;
– reséquencement;
– corruption;
– retard;
– mascarade.
Le Tableau A.1 établit les liens de causalité entre les menaces sur le système de transmission et chaque
type d'événement dangereux. Après identification des événements dangereux (contre lesquels aucun autre
moyen n'assure une protection), susceptibles de se produire pour un système donné, il est possible de se
servir de ce tableau comme guide afin d'identifier les menaces à prendre en compte pour le système en
question.
Le Tableau A.1 n'indique pas la probabilité d'occurrence des menaces. Cette probabilité doit faire partie de
l'analyse des menaces.
6 Classification des systèmes de transmission
6.1 Généralités
Le présent article définit le processus de classification de l'ensemble des systèmes de transmission.
Il identifie les menaces dirigées contre ces systèmes, qui pèsent sur le choix des moyens de protection à
intégrer dans l'application de sécurité.
6.2 Aspects généraux de la classification
De nombreux facteurs peuvent influencer les menaces contre un système de communication de sécurité.
Par exemple, il est possible que l’utilisateur du système de signalisation se procure des services de
transmission auprès d'opérateurs de télécommunications publics ou privés, via des contrats de service, qui
peuvent limiter la responsabilité du fournisseur de service pour garantir la performance du système de
transmission.
Ainsi, l’importance des menaces (et par voie de conséquence les exigences en matière de défense) dépend
du degré de contrôle exercé par l'utilisateur sur le système de transmission, incluant les points suivants:
– les propriétés techniques du système, incluant des garanties en matière de fiabilité ou de disponibilité du
système, la taille de mémoire des données inhérentes au système (susceptible d’avoir un impact sur les
délais ou le reséquencement des messages);
– la consistance de la performance du système pendant sa durée de vie (par exemple lorsque des
modifications sont opérées sur le système ou la base de l’utilisateur) et les effets de la charge du trafic
sur d’autres utilisateurs;
– l’accès au système, dépendant du fait que le réseau soit privé ou public, le degré de contrôle d’accès
exercé par l’opérateur sur d’autres utilisateurs, la possibilité d'abus du système par d’autres utilisateurs,
l’accès aux services de maintenance pour reconfigurer le système ou la possibilité d’accès au support
de transmission lui-même.
Suivant ces aspects, trois classes de systèmes de transmission peuvent être définies.

6.3 Critères de classification des systèmes de transmission
6.3.1 Critères relatifs aux systèmes de transmission de classe 1
Un système de transmission peut être considéré de classe 1 si les conditions préalables suivantes sont
satisfaites.
Pr1 Le nombre de parties d'équipement – de sécurité ou non – connectable au système de transmission
est connu et fixé. Comme la communication de sécurité dépend de ce paramètre, le nombre maximum
d'éléments autorisés à communiquer ensemble doit être indiqué dans la spécification d'exigences de
sécurité comme une condition préalable. La configuration du système doit être définie dans/incorporée
au dossier de sécurité. Toute modification ultérieure à cette configuration doit être précédée par une
revue de ses effets sur le dossier de sécurité.
Pr2 Les caractéristiques du système de transmission (par exemple, supports de transmission,
environnement dans les conditions les plus défavorables, etc.) sont connues et fixées. Elles doivent
être conservées pendant le cycle de vie du système. Si des paramètres essentiels utilisés dans le
dossier de sécurité doivent être modifiés, tous les aspects liés à la sécurité doivent être réexaminés.
Pr3 Le risque d'accès non autorisé au système de transmission doit être négligeable.
Si un système de transmission satisfait à toutes les conditions préalables ci-avant, il peut être considéré
comme appartenant à la classe 1 et comme un système fermé. Dans ce cas, il doit être conforme à un
ensemble limité de processus et d’exigences de portée générale indiqués à l'Article 7.
6.3.2 Critères relatifs aux systèmes de transmission de classe 2
Si un système de transmission ne satisfait pas aux conditions préalables 1 ou 2 (Pr1 ou Pr2) en 6.3.1, mais
satisfait à la condition préalable 3 (Pr3), il doit être considéré comme appartenant à la classe 2 et comme un
système ouvert. Il doit être évalué par l'ensemble plus complet de processus et d'exigences indiqué dans
l'Article 7.
6.3.3 Critères relatifs aux systèmes de transmission de classe 3
Si un système de transmission ne satisfait pas la condition préalable 3 (Pr3) en 6.3.1, il doit être considéré
comme appartenant à la classe 3 et comme un système ouvert. Il doit être évalué par l'intégralité des
processus et exigences indiqués dans l'Article 7.
6.4 Relation entre les systèmes de transmission et les menaces
L’importance des menaces sur le système de communication de sécurité doit être évaluée en fonction du
degré de contrôle exercé par l'utilisateur sur le système de transmission.
Les menaces identifiées à l'Article 5 s'appliquent à toutes les classes de systèmes de transmission, à
l'exception de la mascarade qui s'applique uniquement aux systèmes de transmission ouve
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Railway applications - Communication, signalling and processing systems - Safety-related communication in transmission systems

Bahnanwendungen - Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme - Sicherheitsrelevante Kommunikation in Übertragungssystemen

Applications ferroviaires - Systèmes de signalisation, de télécommunication et de traitement - Communication de sécurité sur des systèmes de transmission

Železniške naprave - Komunikacijski, signalni in procesni sistemi - Varnostna komunikacija v prenosnih sistemih

General Information

Relations

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You