IEC 62278-1:2025
(Main)Railway applications - Specification and demonstration of reliability, availability, maintainability and safety (RAMS) - Part 1: Generic RAMS process
Railway applications - Specification and demonstration of reliability, availability, maintainability and safety (RAMS) - Part 1: Generic RAMS process
IEC 62278-1:2025 addresses railway specifics, enables conflicts between RAMS elements to be controlled and managed effectively.
This document specifies:
a) a process, based on the system life cycle and tasks within it, for managing RAMS;
b) a systematic process, tailorable to the type and size of the system under consideration, for specifying requirements for RAMS and demonstrating that these requirements are achieved.
This document does not specify:
c) RAMS targets, quantities, requirements or solutions for specific railway applications;
d) rules or processes pertaining to the certification of railway products against the requirements of this document;
e) an approval process for the railway stakeholders.
This document is applicable to railway application fields, including signalling, rolling stock and fixed installations, and specifically:
f) to the specification and demonstration of RAMS for all railway applications and at all levels of such an application, as appropriate, from complete railway systems to major systems and to individual and combined subsystems and components within these major systems, including those containing software; in particular:
- to new systems;
- to new systems integrated into existing systems already accepted, but only to the extent and insofar as the new system with the new functionality is being integrated. It is otherwise not applicable to any unmodified aspects of the existing system;
- as far as reasonably practicable, to modifications and extensions of existing systems already accepted, but only to the extent and insofar as existing systems are being modified. It is otherwise not applicable to any unmodified aspect of the existing system;
g) at all relevant phases of the life cycle of an application;
h) for use by railway duty holders and the railway suppliers.
This document is not applicable to:
i) any unmodified aspects of the existing system;
j) existing systems which remain unmodified, including those systems already compliant with IEC 62278:2002.
This first edition, together with IEC 62278-2, cancels and replaces IEC 62278:2002. This edition constitutes a technical revision.
This edition includes the following significant technical changes with respect to the previous edition:
a) added 5.2 on multi level system approach;
b) added 5.3 on railway system overview;
c) added 5.9 on risk reduction strategy;
d) updated the content of correlation of RAMS management process and system life cycle in 6.2;
e) added 6.4 on organizational requirements;
f) added 6.5 on application of this document and adaptability to project scope and size;
g) added 6.8 on independent safety assessment;
h) added Clause 8 on safety case;
i) added Annex D providing guidance on system definition;
The IEC 62278 series forms part of the railway sector specific application of IEC 61508. IEC 62278, IEC 62279 and IEC 62425 comprise the railway sector equivalent of the IEC 61508 series so far as railway communication, signalling and processing systems are concerned. When compliance with these documents has been demonstrated, further evaluation of compliance with the IEC 61508 series is not foreseen. A list of all parts in the IEC 62278 series, published under the general title Railway applications – Specification and demonstration of reliability, availability, maintainability and safety (RAMS), can be found on the IEC website.
Applications ferroviaires - Spécification et démonstration de la Fiabilité, de la Disponibilité, de la Maintenabilité et de la Sécurité (FDMS) - Partie 1: Procédé FDMS générique
L'IEC 62278-1:2025 prend en compte les spécificités du domaine ferroviaire et permet de contrôler et de gérer efficacement les conflits entre les composantes de la FDMS.
Le présent document spécifie :
a) un processus de management de la FDMS fondé sur le cycle de vie du système et les tâches qui en font partie ;
b) un processus systématique adaptable au type et à la taille du système en cours d'examen, permettant de spécifier les exigences de la FDMS et de démontrer que ces exigences sont satisfaites.
Le présent document ne spécifie pas :
c) les objectifs de FDMS, ni les grandeurs, les exigences ou les solutions pour des applications ferroviaires spécifiques ;
d) les règles ou les processus de certification des produits ferroviaires vis-à-vis des exigences du présent document ;
e) un processus d'homologation pour les parties prenantes ferroviaires.
La présente Partie 1 de l'IEC 62278 s'applique aux domaines d'application ferroviaire, y compris contrôle-commande et signalisation, matériel roulant et installations fixes, et spécifiquement :
f) à la spécification et à la démonstration des exigences de FDMS pour toute application ferroviaire et à tout niveau d'une telle application, selon le cas, allant des systèmes ferroviaires complets aux grands systèmes et aux sous-systèmes et équipements (individuels et combinés) de ces grands systèmes, y compris ceux qui comportent des logiciels. Elle est notamment applicable :
1) aux nouveaux systèmes ;
2) aux nouveaux systèmes intégrés dans des systèmes préexistants acceptés, mais seulement dans la mesure où, et dans la façon dont le nouveau système comprenant la nouvelle fonctionnalité y est intégré. Elle n'est sinon pas applicable aux parties inchangées du système existant ;
3) dans toute la mesure du possible, aux modifications et extensions des systèmes préexistants, mais seulement dans la mesure où, et dans la façon dont les systèmes existants sont modifiés. Elle n'est sinon pas applicable aux parties inchangées du système existant ;
g) à toutes les phases concernées du cycle de vie d'une application donnée ;
h) à l'utilisation des sociétés d'exploitation ferroviaire et des industries ferroviaires.
Le présent document ne s'applique pas :
i) à tout aspect non modifié du système existant ;
j) aux systèmes existants qui demeurent non modifiés, y compris les systèmes déjà conformes à l'IEC 62278:2002.
L'IEC 62278-1:2025 conjointement à l'IEC 62278-2, annule et remplace l'IEC 62278:2002. Cette édition constitue une révision technique.
Cette édition inclut également les modifications techniques majeures suivantes par rapport à l'édition précédente :
a) ajout de 5.2 sur l'approche en faveur d'un système multiniveaux;
b) ajout de 5.3 sur la vue d'ensemble du système ferroviaire ;
c) ajout de 5.9 sur la stratégie de réduction des risques ;
d) mise à jour du contenu sur la corrélation du processus de management de la FDMS et du cycle de vie du système en 6.2 ;
e) ajout de 6.4 sur les exigences organisationnelles ;
f) ajout de 6.5 sur l'application du présent document et l'adaptabilité au domaine d'application et à la taille du projet ;
g) ajout de 6.8 sur l'évaluation indépendante de la sécurité ;
h) ajout de l'Article 8 sur le dossier de sécurité ;
i) ajout de l'Annexe D contenant des lignes directrices sur la définition du système.
La série IEC 62278 représente une partie de l'application spécifique au domaine ferroviaire de l'IEC 61508. Les IEC 62278, IEC 62279 et IEC 62425 constituent l'équivalent relatif au secteur ferroviaire de la série IEC 61508 en ce qui concerne les systèmes de communication ferroviaire, de signalisation et de traitement. Dans les cas où la satisfaction aux exigences des documents cités ci-dessus a été démontrée, il n'est pas prévu de démontrer davantage la conformité à la série IEC 61508. Une liste de toutes les parties de la série IEC 62278, publiées sous le titre général Applications ferroviaires — Spécification et démonstration de la f
General Information
Relations
Standards Content (Sample)
IEC 62278-1 ®
Edition 1.0 2025-07
INTERNATIONAL
STANDARD
Railway applications - Specification and demonstration of reliability, availability,
maintainability and safety (RAMS) -
Part 1: Generic RAMS process
ICS 45.060.01 ISBN 978-2-8327-0579-7
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or
by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either
IEC or IEC's member National Committee in the country of the requester. If you have any questions about IEC copyright
or have an enquiry about obtaining additional rights to this publication, please contact the address below or your local
IEC member National Committee for further information.
IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigendum or an amendment might have been published.
IEC publications search - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Discover our powerful search engine and read freely all the
The advanced search enables to find IEC publications by a publications previews, graphical symbols and the glossary.
variety of criteria (reference number, text, technical With a subscription you will always have access to up to date
committee, …). It also gives information on projects, content tailored to your needs.
replaced and withdrawn publications.
Electropedia - www.electropedia.org
The world's leading online dictionary on electrotechnology,
IEC Just Published - webstore.iec.ch/justpublished
Stay up to date on all new IEC publications. Just Published containing more than 22 500 terminological entries in English
details all new publications released. Available online and and French, with equivalent terms in 25 additional languages.
once a month by email. Also known as the International Electrotechnical Vocabulary
(IEV) online.
IEC Customer Service Centre - webstore.iec.ch/csc
If you wish to give us your feedback on this publication or
need further assistance, please contact the Customer
Service Centre: sales@iec.ch.
CONTENTS
FOREWORD . 5
INTRODUCTION . 7
1 Scope . 8
2 Normative references . 8
3 Terms and definitions . 9
4 Abbreviated terms . 20
5 Railway RAMS . 21
5.1 General . 21
5.2 Multi-level system approach . 22
5.2.1 Concepts of system hierarchy . 22
5.2.2 System requirements and characteristics . 23
5.2.3 Defining a system . 24
5.3 Railway system overview . 24
5.3.1 General . 24
5.3.2 Stakeholders involved in a railway system . 24
5.3.3 Railway system structure and apportionment of RAMS requirements . 25
5.4 Railway RAMS and quality of service . 25
5.5 Elements of railway RAMS . 25
5.6 Factors influencing railway RAMS . 28
5.6.1 General . 28
5.6.2 Classes of failures . 28
5.6.3 Derivation of detailed railway-specific influencing factors . 28
5.6.4 Human factors . 32
5.7 Specification of railway RAMS requirements . 34
5.7.1 General . 34
5.7.2 RAMS specification . 34
5.8 Risk based approach . 35
5.9 Risk reduction strategy . 35
5.9.1 General . 35
5.9.2 Reduction of risks related to safety . 35
5.9.3 Reduction of risks related to RAM . 36
6 Management of railway RAMS - general requirements . 37
6.1 General . 37
6.2 Life cycle for the system under consideration . 37
6.3 Risk assessment . 45
6.4 Organizational requirements . 46
6.4.1 General . 46
6.4.2 Requirements . 47
6.5 Application of this document and adaptability to project scope and size . 47
6.5.1 General requirements . 47
6.5.2 Case of complex systems with different hierarchical levels . 49
6.5.3 Renewal within existing systems . 50
6.5.4 Re-use or adaptation of a system with previous acceptance . 50
6.6 General requirements on RAMS documentation . 51
6.7 Verification and validation . 52
6.7.1 General . 52
6.7.2 Verification . 52
6.7.3 Validation . 52
6.8 Independent safety assessment . 54
6.8.1 Objectives . 54
6.8.2 Activities . 54
7 RAMS life cycle . 55
7.1 General . 55
7.2 Phase 1: Concept . 56
7.2.1 Objectives . 56
7.2.2 Activities . 56
7.2.3 Deliverables . 56
7.3 Phase 2: System definition and operational context . 56
7.3.1 Objectives . 56
7.3.2 Activities . 57
7.3.3 Deliverables . 60
7.4 Phase 3: Risk analysis and evaluation . 60
7.4.1 Objectives . 60
7.4.2 Activities . 60
7.4.3 Deliverables . 63
7.5 Phase 4: Specification of system requirements . 64
7.5.1 Objectives . 64
7.5.2 Activities . 64
7.5.3 Deliverables . 65
7.5.4 Specific validation tasks . 65
7.6 Phase 5: Architecture and apportionment of system requirements . 66
7.6.1 Objectives . 66
7.6.2 Activities . 66
7.6.3 Deliverables . 67
7.7 Phase 6: Design and implementation . 67
7.7.1 Objectives . 67
7.7.2 Activities . 67
7.7.3 Deliverables . 68
7.7.4 Specific verification tasks . 69
7.8 Phase 7: Manufacture . 69
7.8.1 Objectives . 69
7.8.2 Activities . 69
7.8.3 Deliverables . 70
7.9 Phase 8: Integration . 70
7.9.1 Objectives . 70
7.9.2 Activities . 70
7.9.3 Deliverables . 71
7.9.4 Specific verification tasks . 71
7.10 Phase 9: System validation . 71
7.10.1 Objectives . 71
7.10.2 Activities . 72
7.10.3 Deliverables . 72
7.11 Phase 10: System acceptance . 73
7.11.1 Objectives . 73
7.11.2 Activities . 73
7.11.3 Deliverables . 74
7.12 Phase 11: Operation, maintenance and performance monitoring . 74
7.12.1 Objectives . 74
7.12.2 Activities . 74
7.12.3 Deliverables . 77
7.12.4 Specific verification tasks . 77
7.13 Phase 12: Decommissioning . 77
7.13.1 Objectives . 77
7.13.2 Activities . 77
7.13.3 Deliverables . 78
8 Safety case . 78
8.1 Purpose of a safety case. 78
8.2 Content of a safety case . 78
Annex A (informative) RAM plan and safety plan . 80
A.1 General . 80
A.2 Procedure . 80
A.3 Basic RAM plan example . 80
A.4 List of techniques . 82
Annex B (informative) Examples of parameters for railway . 84
B.1 General . 84
B.2 Reliability parameters . 84
B.3 Maintainability parameters . 84
B.4 Availability parameters . 85
B.5 Logistic support parameters . 88
B.6 Safety parameters . 88
Annex C (informative) Risk matrix calibration and risk acceptance categories . 89
C.1 General . 89
C.2 Frequency of occurrence categories . 89
C.3 Severity categories . 91
C.4 Risk acceptance categories . 92
Annex D (informative) Guidance on system definition . 94
D.1 General . 94
D.2 System definition in an iterative system approach . 94
D.3 Method for defining the structure of a system . 94
D.3.1 General . 94
D.3.2 Function list . 94
D.3.3 Functional breakdown . 94
D.4 Parties, stakeholders, boundaries of systems . 95
D.5 Guidance on the content of a system definition . 95
Bibliography . 96
Figure 1 - Illustration of system hierarchy . 23
Figure 2 - Quality of service and railway RAMS . 25
Figure 3 - Interrelation of railway RAMS elements . 26
Figure 4 - Effects of failures within a system . 27
Figure 5 - Factors influencing railway RAMS . 30
Figure 6 - Example of deriving cause effect relations in a diagrammatic approach . 32
Figure 7 - Interrelation of RAMS management process and system life cycle . 39
Figure 8 - The V-cycle representation . 40
Figure 9 - Process for risk assessment related to phases 3 and 4 (for safety risk) . 46
Figure 10 - Example of life cycles at different hierarchical levels . 49
Figure 11 - Relationship of cause, hazard and accident . 61
Figure B.1 - Availability concept and related terms. 87
Table 1 - RAMS tasks for life cycle phases 1 to 12 . 42
Table A.1 - Example of a basic RAM plan and safety plan outline . 81
Table B.1 - Examples of reliability parameters . 84
Table B.2 - Examples of maintainability parameters . 84
Table B.3 - Examples of availability parameters . 85
Table B.4 - Examples of logistic support parameters . 88
Table B.5 - Examples of safety performance parameters . 88
Table C.1 - Frequency of occurrence of hazardous events with examples for
quantification (time based) . 90
Table C.2 - Frequency of occurrence of events with examples for quantification
(distance based) . 91
Table C.3 - Severity categories (example related to RAM) . 91
Table C.4 - Severity categories (example 1 related to RAMS) . 91
Table C.5 - Severity categories (example 2 related to safety) . 92
Table C.6 - Financial severity categories (example) . 92
Table C.7 - Risk acceptance categories (example 1 for binary decisions) . 92
Table C.8 - Risk acceptance categories (example 2) . 92
Table C.9 - Risk acceptance categories (example related to safety) . 93
Table C.10 - Risk acceptance categories (example related to RAM) . 93
Table D.1 - Typical examples for a functional breakdown . 95
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
Railway applications - Specification and demonstration of reliability,
availability, maintainability and safety (RAMS) -
Part 1: Generic RAMS process
FOREWORD
1) The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of IEC is to promote international
co-operation on all questions concerning standardization in the electrical and electronic fields. To this end and
in addition to other activities, IEC publishes International Standards, Technical Specifications, Technical Reports,
Publicly Available Specifications (PAS) and Guides (hereafter referred to as "IEC Publication(s)"). Their
preparation is entrusted to technical committees; any IEC National Committee interested in the subject dealt with
may participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. IEC collaborates closely with the International Organization for
Standardization (ISO) in accordance with conditions determined by agreement between the two organizations.
2) The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international
consensus of opinion on the relevant subjects since each technical committee has representation from all
interested IEC National Committees.
3) IEC Publications have the form of recommendations for international use and are accepted by IEC National
Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC
Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any
misinterpretation by any end user.
4) In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications
transparently to the maximum extent possible in their national and regional publications. Any divergence between
any IEC Publication and the corresponding national or regional publication shall be clearly indicated in the latter.
5) IEC itself does not provide any attestation of conformity. Independent certification bodies provide conformity
assessment services and, in some areas, access to IEC marks of conformity. IEC is not responsible for any
services carried out by independent certification bodies.
6) All users should ensure that they have the latest edition of this publication.
7) No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and
members of its technical committees and IEC National Committees for any personal injury, property damage or
other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and
expenses arising out of the publication, use of, or reliance upon, this IEC Publication or any other IEC
Publications.
8) Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is
indispensable for the correct application of this publication.
9) IEC draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). IEC takes no position concerning the evidence, validity or applicability of any claimed patent rights in
respect thereof. As of the date of publication of this document, IEC had not received notice of (a) patent(s), which
may be required to implement this document. However, implementers are cautioned that this may not represent
the latest information, which may be obtained from the patent database available at https://patents.iec.ch. IEC
shall not be held responsible for identifying any or all such patent rights.
IEC 62278-1 has been prepared by IEC technical committee 9: Electric systems and equipment
for railways. It is an International Standard.
This first edition, together with IEC 62278-2, cancels and replaces IEC 62278:2002. This edition
constitutes a technical revision.
This edition includes the following significant technical changes with respect to the previous
edition:
a) added 5.2 on multi-level system approach;
b) added 5.3 on railway system overview;
c) added 5.9 on risk reduction strategy;
d) updated the content of correlation of RAMS management process and system life cycle in
6.2;
e) added 6.4 on organizational requirements;
f) added 6.5 on application of this document and adaptability to project scope and size;
g) added 6.8 on independent safety assessment;
h) added Clause 8 on safety case;
i) added Annex D providing guidance on system definition.
The text of this International Standard is based on the following documents:
Draft Report on voting
9/3207/FDIS 9/3234/RVD
Full information on the voting for its approval can be found in the report on voting indicated in
the above table.
The language used for the development of this International Standard is English.
The IEC 62278 series forms part of the railway sector specific application of IEC 61508.
IEC 62278, IEC 62279 and IEC 62425 comprise the railway sector equivalent of the IEC 61508
series so far as railway communication, signalling and processing systems are concerned.
When compliance with these documents has been demonstrated, further evaluation of
compliance with the IEC 61508 series is not foreseen.
A list of all parts in the IEC 62278 series, published under the general title Railway applications -
Specification and demonstration of reliability, availability, maintainability and safety (RAMS),
can be found on the IEC website.
This document was drafted in accordance with ISO/IEC Directives, Part 2, and developed in
accordance with ISO/IEC Directives, Part 1 and ISO/IEC Directives, IEC Supplement, available
at www.iec.ch/members_experts/refdocs. The main document types developed by IEC are
described in greater detail at www.iec.ch/publications.
The committee has decided that the contents of this document will remain unchanged until the
stability date indicated on the IEC website under webstore.iec.ch in the data related to the
specific document. At this date, the document will be
– reconfirmed,
– withdrawn, or
– revised.
INTRODUCTION
IEC 62278:2002 was aimed at introducing the application of a systematic RAMS management
process in the railway sector. Through the application of IEC 62278:2002 and the experiences
gained over the last years, the need for revision and restructuring became apparent with a need
to deliver a systematic and coherent approach to RAMS applicable to all the railway application
fields including signalling, rolling stock and fixed installations.
This document provides railway duty holders and the railway suppliers with a process which will
enable the implementation of a consistent approach to the management of reliability,
availability, maintainability and safety, denoted by the acronym RAMS.
Processes for the specification and demonstration of RAMS requirements are cornerstones of
this document. This document promotes a common understanding and approach to the
management of RAMS.
The IEC 62278 series is derived from the European Standard series EN 50126:2017, consisting
of EN 50126-1:2017 and EN 50126-2:2017.
With regard to safety, this document provides a safety management process which is supported
by guidance and methods described in IEC 62278-2.
IEC 62278-1 and IEC 62278-2 are independent from the technology used. As far as safety is
concerned, IEC 62278 takes the perspective of safety with a functional approach.
The application of this document can be adapted to the specific requirements for the system
under consideration.
This document can be applied systematically by the railway duty holders and railway suppliers,
throughout all phases of the life cycle of a railway application, to develop railway-specific RAMS
requirements and to achieve compliance with these requirements. The system level approach
developed by this document facilitates assessment of the RAMS interactions between elements
of railway applications even if they are of complex nature.
This document promotes co-operation between the stakeholders of railways in the achievement
of an optimal combination of RAMS and cost for railway applications.
The process defined by this document assumes that railway duty holders and railway suppliers
have business-level policies addressing quality, performance and safety. The approach defined
in this document is consistent with the application of quality management requirements
contained within ISO 9001.
1 Scope
This document addresses railway specifics, enables conflicts between RAMS elements to be
controlled and managed effectively.
This document specifies:
a) a process, based on the system life cycle and tasks within it, for managing RAMS;
b) a systematic process, tailorable to the type and size of the system under consideration, for
specifying requirements for RAMS and demonstrating that these requirements are achieved.
This document does not specify:
c) RAMS targets, quantities, requirements or solutions for specific railway applications;
d) rules or processes pertaining to the certification of railway products against the
requirements of this document;
e) an approval process for the railway stakeholders.
This document is applicable to railway application fields, including signalling, rolling stock and
fixed installations, and specifically:
f) to the specification and demonstration of RAMS for all railway applications and at all levels
of such an application, as appropriate, from complete railway systems to major systems and
to individual and combined subsystems and components within these major systems,
including those containing software; in particular:
1) to new systems;
2) to new systems integrated into existing systems already accepted, but only to the extent
and insofar as the new system with the new functionality is being integrated. It is
otherwise not applicable to any unmodified aspects of the existing system;
3) as far as reasonably practicable, to modifications and extensions of existing systems
already accepted, but only to the extent and insofar as existing systems are being
modified. It is otherwise not applicable to any unmodified aspect of the existing system;
g) at all relevant phases of the life cycle of an application;
h) for use by railway duty holders and the railway suppliers.
This document is not applicable to:
i) any unmodified aspects of the existing system;
j) existing systems which remain unmodified, including those systems already compliant with
IEC 62278:2002.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies.
For undated references, the latest edition of the referenced document (including any
amendments) applies.
IEC 62278-2:2025, Railway applications - Specification and demonstration of reliability,
availability, maintainability and safety (RAMS) - Part 2: Systems approach to safety
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following
addresses:
– IEC Electropedia: available at https://www.electropedia.org/
– ISO Online browsing platform: available at https://www.iso.org/obp
3.1
acceptance
status achieved by a product, system or process once it has been agreed that it is suitable for
its intended purpose
3.2
accident
unintended event or series of events that results in harm
[SOURCE: IEC 60050-821:2017, 821-12-02, modified - "that results in death, injury, loss of a
system or service, or environmental damage" has been replaced with "that results in harm".]
3.3
approval
permission for a product or process to be marketed or used for stated purposes or under stated
conditions
Note 1 to entry: Approval can be based on fulfilment of specified requirements or completion of specified
procedures.
[SOURCE: IEC 60050-902:2013, 902-06-01]
3.4
assurance
declaration that is intended to give confidence in the achievement of a goal
3.5
audit
systematic, independent, documented process for obtaining records, statements of fact or other
relevant information and assessing them objectively to determine the extent to which specified
requirements are fulfilled
Note 1 to entry: Whilst "audit" applies to management systems, "assessment" applies to conformity assessment
bodies as well as more generally.
[SOURCE: IEC 60050-902:2013, 902-03-04]
3.6
availability
ability of an item to be in a state to perform a required function under given
conditions at a given instant of time or over a given time interval, assuming that the required
external resources are provided
Note 1 to entry: Availability depends upon the combined characteristics of the reliability and maintainability of the
item, and the maintenance support performance.
[SOURCE: IEC 60050-821:2017, 821-05-82, modified - The specific use "" has
been replaced with "". In the definition, "of a product" has been replaced
with "of an item". Note 1 to entry has been added.]
3.7
basic integrity
integrity attribute for a safety-related function with a tolerable functional failure rate equal to or
−5 −1
h , or for a non-safety-related function
higher than (less demanding) 10
3.8
collective risk
risk, resulting from, for example, a product, process or system, to which a population or group
of people is exposed
Note 1 to entry: Collective risk is not the same as risk of multiple victim accident.
Note 2 to entry: Collective risk is the sum of the individual risks to those individuals in the population or group.
However, the collective risk divided by the number of individuals will only provide the average individual risk.
Note 3 to entry: A group of people can be, for example, rail staff working in a restaurant car or all passengers using
a particular network.
3.9
COTS product
commercial off-the-shelf product
product defined by market-driven need, commercially available and whose fitness for purpose
has been deemed acceptable by a broad spectrum of commercial users
3.10
common cause failures, pl
failures of multiple items, which would otherwise be considered independent of one another,
resulting from a single cause
[SOURCE: IEC 60050-192:2024, 192-03-18, modified - Notes 1 and 2 to entry have been
deleted.]
3.11
compliance
state where a characteristic or property of a product, system or process satisfies the specified
requirements
3.12
configuration management
process of identifying and documenting the characteristics of a facility's structures, systems
and components (including computer systems and software), and of ensuring that changes to
these characteristics are properly developed, assessed, approved, issued, implemented,
verified, recorded and incorporated into the facility documentation
[SOURCE: IEC 60050-395:2014, 395-07-52]
3.13
consequence analysis
analysis of events which are likely to happen after a hazard has occurred
[SOURCE: IEC 60050-821:2017, 821-12-14]
3.14
corrective maintenance
maintenance carried out after fault detection to effect restoration
Note 1 to entry: Corrective maintenance of software invariably involves some modification.
[SOURCE: IEC 60050-192:2015, 192-06-06]
3.15
design
activity applied in order to analyse and transform specified requirements into acceptable
solutions
[SOURCE: IEC 60050-821:2017, 821-12-16, modified - In the definition, "design solutions which
have the required safety integrity level" has been replaced with "solutions".]
3.16
diversity
existence of two or more different ways or means of achieving a specified objective
Note 1 to entry: Diversity is specifically provided as a defence against common cause failures. It can be achieved
by providing systems that are physically different from each other or by functional diversity, where similar systems
achieve the specified objective in different ways.
[SOURCE: IEC 60050-395:2014, 395-07-115, modified - The supplementary information has
been moved to a new Note 1 to entry, which replaces the original Note 1 to entry.]
3.17
entity
person, group or organization who fulfils a role as defined in this document
3.18
equivalent fatality
expression of fatalities and weighted injuries and a convention for combining injuries and
fatalities into one figure for ease of evaluation and comparison of risks
3.19
error
discrepancy between a computed, observed or measured value or condition and the true,
specified or theoretically correct value or condition
Note 1 to entry: An error can be caused by a faulty item, e.g. a computing error made by faulty computer equipment.
Note 2 to entry: A human error can be seen as a human action or inaction that can produce an unintended result.
[SOURCE: IEC 60050-192:2024, 192-03-02, modified - Notes 1 and 2 to entry have been
modified.]
3.20
failure
loss of ability to perform as required
Note 1 to entry: Qualifiers, such as catastrophic, critical, major, minor, marginal and insignificant, may be used to
categorize failures based on the severity of consequences, the choice and definitions of severity criteria depending
upon the field of application.
Note 2 to entry: Qualifiers, such as misuse, mishandling and weakness, may be used to categorize failures based
on the cause of failure.
Note 3 to entry: "Failure" is an event, as distinguished from "fault", which is a state.
[SOURCE: IEC 60050-821:2017, 821-11-19, modified - Note 3 to entry has been added.]
3.21
failure mode
manner in which failure occurs
[SOURCE: IEC 60050-192:2024, 192-03-17, modified - The notes to entry have been deleted.]
3.22
failure rate
limit of the ratio of the conditional probability that the instant of time, T, of a failure of a product
falls within a given time interval (t, t + ∆t) and the duration of this interval, ∆t, when ∆t tends
towards zero, given that the item is in an up state at the start of the time interval
Note 1 to entry: For applications where distance travelled or number of cycles of operation is more relevant than
time then the unit of time can be replaced with the unit of distance or cycles, as appropriate.
Note 2 to entry: The term "failure rate" is often used in the sense of "mean failure rate" defined in IEV 192-05-07.
[SOURCE: IEC 60050-821:2017, 821-12-21]
3.23
fault
abnormal condition that can lead to an error in a system
Note 1 to entry: A fault can be random or systematic.
[SOURCE: IEC 60050-821:2017, 821-11-20, modified - In the definition, "could" has been
replaced with "can".]
3.24
function
specified action or activity which can be performed by technical means or human
beings and has a defined output in response to a defined input
Note 1 to entry: A function can be specified or described without reference to the physical means of achieving it.
3.25
functional safety
part of the overall safety that depends on functional and physical units operating correctly in
response to their inputs
[SOURCE: IEC 60050-351:2013, 351-57-06, modified - Note 1 to entry has been deleted.]
3.26
generic product
product independent of applications, fulfilling predefined boundary conditions, interfaces and
functionality (black box)
EXAMPLE Point machines, axle counters, real-time operating systems, fail-safe computer platform without
application software.
[SOURCE: IEC 60050-821:2017, 821-01-57]
3.27
harm
injury or damage to the health of people, or damage to property or the environment
[SOURCE: ISO/IEC Guide 51:2014, 3.1]
3.28
hazard
condition that can lead to an accident
Note 1 to entry: The equivalent definition in IEC 60050-903:2013, 903-01-02 refers to "harm" instead of "accident".
3.29
hazard analysis
process of identifying hazards and analysing their causes, and the derivation of requirements
to limit the likelihood and consequences of hazards to a tolerable level
Note 1 to entry: Similar process aspects are also considered in risk assessment. In this document, the term is
applied in life cycle phases after "requirements specification".
[SOURCE: IEC 60050-821:2017, 821-11-23, modified - Note 1 to entry has been added.]
3.30
hazard log
document in which hazards identified, decisions made, solutions adopted and their
implementation status are recorded or referenced
[SOURCE: IEC 60050-821:2017, 821-12-27]
3.31
hazard rate
rate of occurrence of a hazard
Note 1 to entry: For detailed mathematical understanding of "rate", refer to the definition of "failure rate" (3.22).
3.32
implementation
activity applied in order to transform the specified designs into their realization
[SOURCE: I
...
IEC 62278-1 ®
Edition 1.0 2025-07
NORME
INTERNATIONALE
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) -
Partie 1: Procédé FDMS générique
ICS 45.060.01 ISBN 978-2-8327-0579-7
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.
IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.
Recherche de publications IEC - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications gratuitement tous les aperçus des publications, symboles
IEC en utilisant différents critères (numéro de référence, graphiques et le glossaire. Avec un abonnement, vous aurez
texte, comité d’études, …). Elle donne aussi des toujours accès à un contenu à jour adapté à vos besoins.
informations sur les projets et les publications remplacées
ou retirées. Electropedia - www.electropedia.org
Le premier dictionnaire d'électrotechnologie en ligne au
IEC Just Published - webstore.iec.ch/justpublished monde, avec plus de 22 500 articles terminologiques en
Restez informé sur les nouvelles publications IEC. Just anglais et en français, ainsi que les termes équivalents
dans 25 langues additionnelles. Egalement appelé
Published détaille les nouvelles publications parues.
Disponible en ligne et une fois par mois par email. Vocabulaire Electrotechnique International (IEV) en ligne.
Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-
nous: sales@iec.ch.
SOMMAIRE
AVANT-PROPOS . 5
INTRODUCTION . 7
1 Domaine d'application . 8
2 Références normatives . 8
3 Termes et définitions . 9
4 Abréviations . 21
5 FDMS dans le domaine ferroviaire . 22
5.1 Généralités . 22
5.2 Approche en faveur d'un système multiniveaux . 23
5.2.1 Concepts de hiérarchie du système . 23
5.2.2 Exigences et caractéristiques du système . 25
5.2.3 Définition d'un système . 25
5.3 Vue d'ensemble du système ferroviaire . 25
5.3.1 Généralités . 25
5.3.2 Parties prenantes impliquées dans un système ferroviaire . 25
5.3.3 Structure du système ferroviaire et allocation des exigences de FDMS . 26
5.4 FDMS dans le domaine ferroviaire et qualité de service . 27
5.5 Composantes de la FDMS dans le domaine ferroviaire . 27
5.6 Facteurs d'influence de la FDMS dans le domaine ferroviaire . 29
5.6.1 Généralités . 29
5.6.2 Types de défaillances . 30
5.6.3 Détermination de l'ensemble des facteurs d'influence spécifiques au
domaine ferroviaire . 30
5.6.4 Facteurs humains . 33
5.7 Spécification des exigences de FDMS ferroviaires . 35
5.7.1 Généralités . 35
5.7.2 Spécification de la FDMS. 36
5.8 Approche basée sur le risque . 36
5.9 Stratégie de réduction des risques . 37
5.9.1 Généralités . 37
5.9.2 Réduction des risques relatifs à la sécurité . 37
5.9.3 Réduction des risques relatifs à la FDM . 38
6 Management de la FDMS dans le domaine ferroviaire - Exigences générales . 39
6.1 Généralités . 39
6.2 Cycle de vie pour le système en cours d'examen . 39
6.3 Appréciation du risque . 47
6.4 Exigences organisationnelles . 48
6.4.1 Généralités . 48
6.4.2 Exigences . 49
6.5 Application de la présente norme et adaptabilité au domaine d'application et
à la taille du projet . 49
6.5.1 Exigences générales . 49
6.5.2 Cas de systèmes complexes avec différents niveaux hiérarchiques . 51
6.5.3 Rénovation au sein de systèmes existants . 52
6.5.4 Réutilisation ou adaptation d'un système déjà accepté . 52
6.6 Exigences générales relatives à la documentation FDMS . 53
6.7 Vérification et validation . 54
6.7.1 Généralités . 54
6.7.2 Vérification . 54
6.7.3 Validation . 55
6.8 Évaluation indépendante de la sécurité . 56
6.8.1 Objectifs . 56
6.8.2 Activités. 56
7 Cycle de vie FDMS . 58
7.1 Généralités . 58
7.2 Phase 1 : Concept . 58
7.2.1 Objectifs . 58
7.2.2 Activités. 58
7.2.3 Livrables . 59
7.3 Phase 2 : Définition du système et contexte opérationnel . 59
7.3.1 Objectifs . 59
7.3.2 Activités. 59
7.3.3 Livrables . 63
7.4 Phase 3 : Analyse et évaluation du risque . 63
7.4.1 Objectifs . 63
7.4.2 Activités. 63
7.4.3 Livrables . 66
7.5 Phase 4 : Spécification des exigences du système . 67
7.5.1 Objectifs . 67
7.5.2 Activités. 67
7.5.3 Livrables . 68
7.5.4 Tâches de validation spécifiques . 68
7.6 Phase 5 : Architecture et allocation des exigences du système . 69
7.6.1 Objectifs . 69
7.6.2 Activités. 69
7.6.3 Livrables . 70
7.7 Phase 6 : Conception et réalisation . 71
7.7.1 Objectifs . 71
7.7.2 Activités. 71
7.7.3 Livrables . 72
7.7.4 Tâches de vérification spécifiques . 72
7.8 Phase 7 : Fabrication . 73
7.8.1 Objectifs . 73
7.8.2 Activités. 73
7.8.3 Livrables . 73
7.9 Phase 8 : Intégration . 73
7.9.1 Objectifs . 73
7.9.2 Activités. 74
7.9.3 Livrables . 75
7.9.4 Tâches de vérification spécifiques . 75
7.10 Phase 9 : Validation du système . 75
7.10.1 Objectifs . 75
7.10.2 Activités. 75
7.10.3 Livrables . 76
7.11 Phase 10 : Acceptation du système . 77
7.11.1 Objectifs . 77
7.11.2 Activités. 77
7.11.3 Livrables . 78
7.12 Phase 11 : Suivi de l'exploitation, de la maintenance et des performances . 78
7.12.1 Objectifs . 78
7.12.2 Activités. 78
7.12.3 Livrables . 81
7.12.4 Tâches de vérification spécifiques . 81
7.13 Phase 12 : Retrait du service . 81
7.13.1 Objectifs . 81
7.13.2 Activités. 81
7.13.3 Livrables . 82
8 Dossier de sécurité . 82
8.1 Objectif d'un dossier de sécurité . 82
8.2 Contenu d'un dossier de sécurité . 82
Annexe A (informative) Plan de FDM et plan de sécurité . 84
A.1 Généralités . 84
A.2 Procédure . 84
A.3 Exemple de plan de base de FDM . 84
A.4 Liste des techniques . 86
Annexe B (informative) Exemples de paramètres applicables au domaine ferroviaire . 88
B.1 Généralités . 88
B.2 Paramètres de fiabilité . 88
B.3 Paramètres de maintenabilité . 88
B.4 Paramètres de disponibilité . 89
B.5 Paramètres de soutien logistique . 92
B.6 Paramètres de sécurité . 92
Annexe C (informative) Étalonnage de la matrice de risque et catégories d'acceptation
du risque . 93
C.1 Généralités . 93
C.2 Catégories de fréquence d'occurrence . 93
C.3 Catégories de gravité . 95
C.4 Catégorie d'acceptation du risque . 96
Annexe D (informative) Lignes directrices relatives à la définition du système . 98
D.1 Généralités . 98
D.2 Définition du système dans une approche itérative du système . 98
D.3 Méthode de définition de la structure d'un système . 98
D.3.1 Généralités . 98
D.3.2 Liste de fonctions . 98
D.3.3 Décomposition fonctionnelle . 98
D.4 Parties, parties prenantes et limites des systèmes . 99
D.5 Lignes directrices relatives au contenu d'une définition du système . 99
Bibliographie . 101
Figure 1 - Représentation de la hiérarchie du système . 24
Figure 2 - Qualité de service et FDMS dans le domaine ferroviaire . 27
Figure 3 - Interrelations des éléments FDMS ferroviaires . 28
Figure 4 - Effets des défaillances au sein d'un système . 29
Figure 5 - Facteurs d'influence de la FDMS dans le domaine ferroviaire . 31
Figure 6 - Exemple de détermination schématique des relations cause/effet . 33
Figure 7 - Interrelations du processus de management de la FDMS et du cycle de vie
du système . 40
Figure 8 - Représentation du cycle en V . 41
Figure 9 - Processus d'appréciation du risque lié aux phases 3 et 4 (pour le risque de
sécurité) . 48
Figure 10 - Exemple de cycles de vie à différents niveaux hiérarchiques . 51
Figure 11 - Relation entre cause, danger et accident . 64
Figure B.1 – Concept de disponibilité et termes connexes . 91
Tableau 1 - Tâches de FDMS pour les phases du cycle de vie (1 à 12) . 43
Tableau A.1 – Exemple sommaire d'un plan de FDM et d'un plan de sécurité de base . 85
Tableau B.1 – Exemples de paramètres de fiabilité . 88
Tableau B.2 – Exemples de paramètres de maintenabilité . 89
Tableau B.3 – Exemples de paramètres de disponibilité . 89
Tableau B.4 – Exemples de paramètres de soutien logistique . 92
Tableau B.5 – Exemples de paramètres de performances de sécurité . 92
Tableau C.1 – Fréquence d'occurrence des événements dangereux avec des exemples
de quantification (temporelle) . 94
Tableau C.2 – Fréquence d'occurrence des événements avec des exemples de
quantification (kilométrique) . 95
Tableau C.3 – Catégories de gravité (exemple relatif à la FDM) . 95
Tableau C.4 – Catégories de gravité (exemple 1 relatif à la FDMS) . 95
Tableau C.5 – Catégories de gravité (exemple 2 relatif à la sécurité) . 96
Tableau C.6 – Catégories de gravité financière (exemple) . 96
Tableau C.7 – Catégories d'acceptation du risque (exemple 1 pour les décisions
binaires) . 96
Tableau C.8 – Catégories d'acceptation du risque (exemple 2) . 96
Tableau C.9 – Catégories d'acceptation du risque (exemple relatif à la sécurité) . 97
Tableau C.10 – Catégories d'acceptation du risque (exemple relatif à la FDM) . 97
Tableau D.1 – Exemples typiques de décomposition fonctionnelle . 99
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
____________
Applications ferroviaires - Spécification et démonstration de la fiabilité,
de la disponibilité, de la maintenabilité et de la sécurité (FDMS) -
Partie 1 : Processus FDMS générique
AVANT-PROPOS
1) La Commission Électrotechnique Internationale (IEC) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de l'IEC). L'IEC a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, l'IEC - entre autres activités - publie des Normes internationales, des
Spécifications techniques, des Rapports techniques, des Spécifications accessibles au public (PAS) et des
Guides (ci-après dénommés " Publication(s) de l'IEC "). Leur élaboration est confiée à des comités d'études, aux
travaux desquels tout Comité national intéressé par le sujet traité peut participer. Les organisations
internationales, gouvernementales et non gouvernementales, en liaison avec l'IEC, participent également aux
travaux. L'IEC collabore étroitement avec l'Organisation Internationale de Normalisation (ISO), selon des
conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de l'IEC concernant les questions techniques représentent, dans la mesure du
possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux de l'IEC intéressés
sont représentés dans chaque comité d'études.
3) Les Publications de l'IEC se présentent sous la forme de recommandations internationales et sont agréées
comme telles par les Comités nationaux de l'IEC. Tous les efforts raisonnables sont entrepris afin que l'IEC
s'assure de l'exactitude du contenu technique de ses publications; l'IEC ne peut pas être tenue responsable de
l'éventuelle mauvaise utilisation ou interprétation qui en est faite par un quelconque utilisateur final.
4) Dans le but d'encourager l'uniformité internationale, les Comités nationaux de l'IEC s'engagent, dans toute la
mesure possible, à appliquer de façon transparente les Publications de l'IEC dans leurs publications nationales
et régionales. Toutes divergences entre toutes Publications de l'IEC et toutes publications nationales ou
régionales correspondantes doivent être indiquées en termes clairs dans ces dernières.
5) L'IEC elle-même ne fournit aucune attestation de conformité. Des organismes de certification indépendants
fournissent des services d'évaluation de conformité et, dans certains secteurs, accèdent aux marques de
conformité de l'IEC. L'IEC n'est responsable d'aucun des services effectués par les organismes de certification
indépendants.
6) Tous les utilisateurs doivent s'assurer qu'ils sont en possession de la dernière édition de cette publication.
7) Aucune responsabilité ne doit être imputée à l'IEC, à ses administrateurs, employés, auxiliaires ou mandataires,
y compris ses experts particuliers et les membres de ses comités d'études et des Comités nationaux de l'IEC,
pour tout préjudice causé en cas de dommages corporels et matériels, ou de tout autre dommage de quelque
nature que ce soit, directe ou indirecte, ou pour supporter les coûts (y compris les frais de justice) et les dépenses
découlant de la publication ou de l'utilisation de cette Publication de l'IEC ou de toute autre Publication de l'IEC,
ou au crédit qui lui est accordé.
8) L'attention est attirée sur les références normatives citées dans cette publication. L'utilisation de publications
référencées est obligatoire pour une application correcte de la présente publication.
9) L'IEC attire l'attention sur le fait que la mise en application du présent document peut entraîner l'utilisation d'un
ou de plusieurs brevets. L'IEC ne prend pas position quant à la preuve, à la validité et à l'applicabilité de tout
droit de brevet revendiqué à cet égard. À la date de publication du présent document, l'IEC n'avait pas reçu
notification qu'un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois, il y a lieu
d'avertir les responsables de la mise en application du présent document que des informations plus récentes
sont susceptibles de figurer dans la base de données de brevets, disponible à l'adresse https://patents.iec.ch.
L'IEC ne saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur
existence.
L'IEC 62278-1 a été établie par le comité d'études 9 de l'IEC : Matériels et systèmes électriques
ferroviaires. Il s'agit d'une Norme internationale.
Cette première édition, conjointement à l'IEC 62278-2, annule et remplace l'IEC 62278:2002.
Cette édition constitue une révision technique.
Cette édition inclut également les modifications techniques majeures suivantes par rapport à
l'édition précédente :
a) ajout de 5.2 sur l'approche en faveur d'un système multiniveaux;
b) ajout de 5.3 sur la vue d'ensemble du système ferroviaire ;
c) ajout de 5.9 sur la stratégie de réduction des risques ;
d) mise à jour du contenu sur la corrélation du processus de management de la FDMS et du
cycle de vie du système en 6.2 ;
e) ajout de 6.4 sur les exigences organisationnelles ;
f) ajout de 6.5 sur l'application du présent document et l'adaptabilité au domaine d'application
et à la taille du projet ;
g) ajout de 6.8 sur l'évaluation indépendante de la sécurité ;
h) ajout de l'Article 8 sur le dossier de sécurité ;
i) ajout de l'Annexe D contenant des lignes directrices sur la définition du système.
Le texte de cette Norme internationale est issu des documents suivants :
Projet Rapport de vote
9/3207/FDIS 9/3234/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
La langue utilisée pour l'élaboration de cette Norme internationale est l'anglais.
La série IEC 62278 représente une partie de l'application spécifique au domaine ferroviaire de
l'IEC 61508. Les IEC 62278, IEC 62279 et IEC 62425 constituent l'équivalent relatif au secteur
ferroviaire de la série IEC 61508 en ce qui concerne les systèmes de communication ferroviaire,
de signalisation et de traitement. Dans les cas où la satisfaction aux exigences des documents
cités ci-dessus a été démontrée, il n'est pas prévu de démontrer davantage la conformité à la
série IEC 61508.
Une liste de toutes les parties de la série IEC 62278, publiées sous le titre général Applications
ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la
maintenabilité et de la sécurité (FDMS), se trouve sur le site web de l'IEC.
Cette publication a été rédigée selon les Directives ISO/IEC, Partie 2, et élaborée selon les
Directives ISO/IEC, Partie 1 et les Directives ISO/IEC, Supplément IEC, disponibles à l'adresse
suivante : www.iec.ch/members_experts/refdocs. Les principaux types de documents élaborés
par l'IEC sont décrits plus en détail sur le site internet : www.iec.ch/publications.
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant la date de
stabilité indiquée sur le site web de l'IEC sous webstore.iec.ch dans les données relatives au
document recherché. A cette date, la publication sera
– reconduite,
– supprimée, ou
– révisée.
INTRODUCTION
L'IEC 62278:2002 visait à introduire l'application d'un processus systématique de management
de la FDMS dans le domaine ferroviaire. L'application de l'IEC 62278:2002 et l'expérience
acquise au cours de ces dernières années ont révélé la nécessité de mettre en œuvre une
démarche de révision et de restructuration avec la volonté d'établir une approche systématique
et cohérente de la FDMS, applicable à tous les domaines d'application ferroviaire, notamment
la signalisation, le matériel roulant et les installations fixes.
Le présent document fournit aux sociétés d'exploitation ferroviaire et aux industries ferroviaires
un processus permettant de mettre en œuvre une démarche cohérente de management de la
fiabilité, de la disponibilité, de la maintenabilité et de la sécurité, désignée par l'acronyme
FDMS.
Les processus relatifs à la spécification et à la démonstration des exigences de FDMS sont les
pierres angulaires du présent document. Le présent document encourage une vision et une
démarche communes de management de la FDMS.
La série IEC 62278 est dérivée de la série de Normes européennes EN 50126:2017,
comprenant l'EN 50126-1:2017 et l'EN 50126-2:2017.
En ce qui concerne la sécurité, le présent document fournit un processus de management de
la sécurité étayé par les lignes directrices et les méthodes décrites dans l'EN 62278-2.
L'IEC 62278-1 et l'IEC 62278-2 ne sont pas liés à la technologie utilisée. En ce qui concerne la
sécurité, l'IEC 62278 adopte la perspective de la sécurité avec une approche fonctionnelle.
L'application du présent document peut être adaptée aux exigences spécifiques pour le
système en cours d'examen.
Le présent document peut être systématiquement appliqué par les sociétés d'exploitation et les
industries ferroviaires tout au long des phases du cycle de vie d'une application ferroviaire afin
de développer des exigences de FDMS spécifiques au domaine ferroviaire et de satisfaire à
ces exigences. L'approche système définie par le présent document facilite l'appréciation des
interactions relatives à la FDMS entre les éléments des applications ferroviaires, même si elles
sont complexes.
Le présent document promeut la synergie entre les parties prenantes du domaine ferroviaire
afin de parvenir au meilleur compromis entre les performances de FDMS et les coûts des
applications ferroviaires.
Le processus défini par le présent document part du principe que les sociétés d'exploitation et
les industries ferroviaires ont développé au niveau de l'entreprise des politiques de qualité,
performances et sécurité. L'approche définie dans le présent document est en accord avec
l'application des exigences de management de la qualité de l'ISO 9001.
1 Domaine d'application
Le présent document prend en compte les spécificités du domaine ferroviaire et permet de
contrôler et de gérer efficacement les conflits entre les composantes de la FDMS.
Le présent document spécifie :
a) un processus de management de la FDMS fondé sur le cycle de vie du système et les tâches
qui en font partie ;
b) un processus systématique adaptable au type et à la taille du système en cours d'examen,
permettant de spécifier les exigences de la FDMS et de démontrer que ces exigences sont
satisfaites.
Le présent document ne spécifie pas :
c) les objectifs de FDMS, ni les grandeurs, les exigences ou les solutions pour des applications
ferroviaires spécifiques ;
d) les règles ou les processus de certification des produits ferroviaires vis-à-vis des exigences
du présent document ;
e) un processus d'homologation pour les parties prenantes ferroviaires.
La présente Partie 1 de l'IEC 62278 s'applique aux domaines d'application ferroviaire, y compris
contrôle-commande et signalisation, matériel roulant et installations fixes, et spécifiquement :
f) à la spécification et à la démonstration des exigences de FDMS pour toute application
ferroviaire et à tout niveau d'une telle application, selon le cas, allant des systèmes
ferroviaires complets aux grands systèmes et aux sous-systèmes et équipements
(individuels et combinés) de ces grands systèmes, y compris ceux qui comportent des
logiciels. Elle est notamment applicable :
1) aux nouveaux systèmes ;
2) aux nouveaux systèmes intégrés dans des systèmes préexistants acceptés, mais
seulement dans la mesure où, et dans la façon dont le nouveau système comprenant la
nouvelle fonctionnalité y est intégré. Elle n'est sinon pas applicable aux parties
inchangées du système existant ;
3) dans toute la mesure du possible, aux modifications et extensions des systèmes
préexistants, mais seulement dans la mesure où, et dans la façon dont les systèmes
existants sont modifiés. Elle n'est sinon pas applicable aux parties inchangées du
système existant ;
g) à toutes les phases concernées du cycle de vie d'une application donnée ;
h) à l'utilisation des sociétés d'exploitation ferroviaire et des industries ferroviaires.
Le présent document ne s'applique pas :
i) à tout aspect non modifié du système existant ;
j) aux systèmes existants qui demeurent non modifiés, y compris les systèmes déjà conformes
à l'IEC 62278:2002.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie
de leur contenu, des exigences du présent document. Pour les références datées, seule
l'édition citée s'applique. Pour les références non datées, la dernière édition du document de
référence s'applique (y compris les éventuels amendements).
IEC 62278-2:2025, Applications ferroviaires - Spécification et démonstration de la fiabilité, de
la disponibilité, de la maintenabilité et de la sécurité (FDMS) - Partie 2 : Approche systématique
pour la sécurité
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées
en normalisation, consultables aux adresses suivantes:
– IEC Electropedia: disponible à l'adresse https://www.electropedia.org/
– ISO Online browsing platform: disponible à l'adresse https://www.iso.org/obp
3.1
acceptation
état atteint par un produit, un système ou un processus après qu'il a été jugé adapté à son
usage prévu
3.2
accident
événement ou série d'événements inattendus conduisant à un préjudice
[SOURCE : IEC 60050-821:2017, 821-12-02, modifiée – " conduisant au décès, à des
blessures, à la perte d'un système ou d'un service, ou à des dommages sur l'environnement "
a été remplacé par " entraînant des dommages "]
3.3
homologation
autorisation accordée pour pouvoir commercialiser ou utiliser un produit ou un processus à des
fins ou dans des conditions définies
Note 1 à l'article: Une homologation peut être fondée sur la satisfaction d'exigences spécifiées ou le respect de
procédures spécifiées.
[SOURCE : IEC 60050-902:2013, 902-06-01]
3.4
assurance
déclaration destinée à donner confiance dans la capacité à atteindre son but
3.5
audit
processus systématique, indépendant et documenté, permettant d'obtenir des enregistrements,
des énoncés de faits ou d'autres informations pertinentes, et de les évaluer de manière
objective pour déterminer dans quelle mesure les exigences spécifiées sont respectées
Note 1 à l'article: Alors que le terme " audit " s'applique aux systèmes de management, " évaluation " s'applique
aux organismes d'évaluation de la conformité et s'utilise aussi d'une façon plus générale.
[SOURCE : IEC 60050-902:2013, 902-03-04]
3.6
disponibilité
aptitude d'un produit à être en état d'accomplir une fonction requise
dans des conditions données, à un instant donné ou pendant un intervalle de temps donné, en
supposant que la fourniture des moyens nécessaires est assurée
Note 1 à l'article: La disponibilité dépend des caractéristiques combinées de la fiabilité et de la maintenabilité du
produit, ainsi que de l'efficacité de la logistique de maintenance.
[SOURCE : IEC 60050-821:2017, 821-05-82, modifiée - L'usage spécifique " " a
été remplacé par " ". Dans la définition, " d'un produit " a été
remplacé par " d'un élément ". La Note 1 à l'article a été ajoutée.]
3.7
intégrité basique
attribut d'intégrité pour une fonction relative à la sécurité avec un TFFR plus élevé que (moins
−5 −1
h ou pour une fonction non relative à la sécurité
exigeant) 10
3.8
risque collectif
risque, résultant par exemple d'un produit, d'un processus ou d'un système, auquel une
population ou un groupe de personnes est exposé
Note 1 à l'article: Un risque collectif est différent d'un risque d'accident à victimes multiples.
Note 2 à l'article: Le risque collectif est la somme des risques individuels des individus de la population ou du
groupe. Cependant, en divisant le risque collectif par le nombre d'individus, seul le risque individuel moyen est
obtenu.
Note 3 à l'article: Un groupe de personnes peut être constitué par exemple des employés d'un wagon restaurant
ou de la totalité des passagers voyageant sur un réseau particulier.
3.9
produit disponible dans le commerce
produit défini par les besoins du marché, disponible dans le commerce et dont l'adéquation aux
besoins a été jugée acceptable par un large éventail d'utilisateurs
3.10
défaillances de cause commune
défaillances de différentes entités, qui résultent d'une cause unique, mais auraient pu être
considérées comme indépendantes
[SOURCE : IEC 60050-192:2024, 192-03-18, modifié - Notes 1 et 2 à l'article ont été
supprimées.]
3.11
conformité
état dans lequel un caractère ou une propriété d'un produit, d'un système ou d'un processus
satisfait aux exigences spécifiées
3.12
gestion de configuration
procédé destiné à identifier et à documenter les caractéristiques de la structure, des systèmes
et des composants d'une installation (y compris les systèmes informatiques et logiciels), ainsi
qu'à assurer que les modifications de ces caractéristiques sont correctement développées,
examinées, approuvées, diffusées, mises en place, vérifiées, enregistrées et intégrées dans la
documentation liée à l'installation
[SOURCE : IEC 60050-395:2014, 395-07-52]
3.13
analyse des conséquences
analyse des événements susceptibles de survenir après l'occurrence d'un danger
[SOURCE : IEC 60050-821:2017, 821-12-14]
3.14
maintenance corrective
maintenance effectuée après une détection de panne pour procéder à un rétablissement
Note 1 à l'article : La maintenance corrective de logiciel implique invariablement certaines modifications.
[SOURCE : IEC 60050-192:2015, 192-06-06]
3.15
conception
activité menée afin d'analyser et de transformer les exigences spécifiées en solutions
acceptables
[SOURCE : IEC 60050-821:2017, 821-12-16, modifiée - " Solutions de conceptions ayant le
niveau d'intégrité de la sécurité requis " à la fin de la définition a été remplacé par " solutions ".]
3.16
diversité
existence de deux manières ou moyens différents pour atteindre un objectif déterminé
Note 1 à l'article: La diversité est faite spécifiquement pour assurer une protection contre les défaillances de cause
commune. On peut la réaliser en fournissant des systèmes physiquement différents les uns des autres ou via une
diversité fonctionnelle, grâce à laquelle des systèmes similaires atteignent l'objectif visé de manières différentes.
[SOURCE : IEC 60050-395:2014, 395-07-115, modifiée - Les informations supplémentaires ont
été déplacées dans la nouvelle Note 1 à l'article, qui remplace l'ancienne Note 1 à l'article.]
3.17
entité
personne, groupe ou organisation qui remplit un rôle tel que défini dans le présent document
3.18
équivalence en décès
expression des décès et des blessures pondérées et convention permettant d'associer les
blessures et les décès en une seule valeur facilitant ainsi l'évaluation et la comparaison du
risque
3.19
erreur
écart entre une valeur ou condition calculée, observée ou mesurée et la vraie valeur ou
condition spécifiée ou théoriquement correcte
Note 1 à l'article: Une erreur peut être causée par un élément défaillant, comme une erreur de calcul commise par
un matériel informatique défaillant.
Note 2 à l'article: Une erreur humaine peut être considérée comme une action ou inaction de l'homme susceptible
de produire un résultat inattendu.
[SOURCE : IEC 60050-192:2024, 192-03-02, modifiée - Les Notes 1 et 2 à l'article ont été
modifiées.]
3.20
défaillance
perte de l'aptitude à fonctionner tel que requis
Note 1 à l'article : Des qualificatifs tels que catastrophique, critique, majeur, mineur, marginal et non significative
peuvent être utilisés pour classer les défaillances en fonction de la gravité des conséquences, selon des critères de
gravité dont le choix et les définitions dépendent du domaine d'application.
Note 2 à l'article : Des compléments tels que "par mauvais emploi", " par fausse manœuvre " et " par fragilité "
peuvent être utilisés pour classer les défaillances selon leur cause.
Note 3 à l'article : Une " défaillance " est un événement, ce qui la distingue d'une " panne " qui est un état.
[SOURCE : IEC 60050-821:2017, 821-11-19, modifiée - La Note 3 à l'article a été ajoutée.]
IEC
...
IEC 62278-1 ®
Edition 1.0 2025-07
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Railway applications - Specification and demonstration of reliability, availability,
maintainability and safety (RAMS) -
Part 1: Generic RAMS process
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) -
Partie 1: Procédé FDMS générique
ICS 45.060.01 ISBN 978-2-8327-0579-7
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or
by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either
IEC or IEC's member National Committee in the country of the requester. If you have any questions about IEC copyright
or have an enquiry about obtaining additional rights to this publication, please contact the address below or your local
IEC member National Committee for further information.
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.
IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.
About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigendum or an amendment might have been published.
IEC publications search - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Discover our powerful search engine and read freely all the
The advanced search enables to find IEC publications by a publications previews, graphical symbols and the glossary.
variety of criteria (reference number, text, technical With a subscription you will always have access to up to date
committee, …). It also gives information on projects, content tailored to your needs.
replaced and withdrawn publications.
Electropedia - www.electropedia.org
IEC Just Published - webstore.iec.ch/justpublished The world's leading online dictionary on electrotechnology,
Stay up to date on all new IEC publications. Just Published containing more than 22 500 terminological entries in English
details all new publications released. Available online and and French, with equivalent terms in 25 additional languages.
once a month by email. Also known as the International Electrotechnical Vocabulary
(IEV) online.
IEC Customer Service Centre - webstore.iec.ch/csc
If you wish to give us your feedback on this publication or
need further assistance, please contact the Customer
Service Centre: sales@iec.ch.
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.
A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.
Recherche de publications IEC - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications gratuitement tous les aperçus des publications, symboles
IEC en utilisant différents critères (numéro de référence, graphiques et le glossaire. Avec un abonnement, vous aurez
texte, comité d’études, …). Elle donne aussi des toujours accès à un contenu à jour adapté à vos besoins.
informations sur les projets et les publications remplacées
ou retirées. Electropedia - www.electropedia.org
Le premier dictionnaire d'électrotechnologie en ligne au
IEC Just Published - webstore.iec.ch/justpublished monde, avec plus de 22 500 articles terminologiques en
Restez informé sur les nouvelles publications IEC. Just anglais et en français, ainsi que les termes équivalents
Published détaille les nouvelles publications parues. dans 25 langues additionnelles. Egalement appelé
Disponible en ligne et une fois par mois par email. Vocabulaire Electrotechnique International (IEV) en ligne.
Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-
nous: sales@iec.ch.
CONTENTS
FOREWORD . 5
INTRODUCTION . 7
1 Scope . 8
2 Normative references . 8
3 Terms and definitions . 9
4 Abbreviated terms . 20
5 Railway RAMS . 21
5.1 General . 21
5.2 Multi-level system approach . 22
5.2.1 Concepts of system hierarchy . 22
5.2.2 System requirements and characteristics . 23
5.2.3 Defining a system . 24
5.3 Railway system overview . 24
5.3.1 General . 24
5.3.2 Stakeholders involved in a railway system . 24
5.3.3 Railway system structure and apportionment of RAMS requirements . 25
5.4 Railway RAMS and quality of service . 25
5.5 Elements of railway RAMS . 25
5.6 Factors influencing railway RAMS . 28
5.6.1 General . 28
5.6.2 Classes of failures . 28
5.6.3 Derivation of detailed railway-specific influencing factors . 28
5.6.4 Human factors . 32
5.7 Specification of railway RAMS requirements . 34
5.7.1 General . 34
5.7.2 RAMS specification . 34
5.8 Risk based approach . 35
5.9 Risk reduction strategy . 35
5.9.1 General . 35
5.9.2 Reduction of risks related to safety . 35
5.9.3 Reduction of risks related to RAM . 36
6 Management of railway RAMS - general requirements . 37
6.1 General . 37
6.2 Life cycle for the system under consideration . 37
6.3 Risk assessment . 45
6.4 Organizational requirements . 46
6.4.1 General . 46
6.4.2 Requirements . 47
6.5 Application of this document and adaptability to project scope and size . 47
6.5.1 General requirements . 47
6.5.2 Case of complex systems with different hierarchical levels . 49
6.5.3 Renewal within existing systems . 50
6.5.4 Re-use or adaptation of a system with previous acceptance . 50
6.6 General requirements on RAMS documentation . 51
6.7 Verification and validation . 52
6.7.1 General . 52
6.7.2 Verification . 52
6.7.3 Validation . 52
6.8 Independent safety assessment . 54
6.8.1 Objectives . 54
6.8.2 Activities . 54
7 RAMS life cycle . 55
7.1 General . 55
7.2 Phase 1: Concept . 56
7.2.1 Objectives . 56
7.2.2 Activities . 56
7.2.3 Deliverables . 56
7.3 Phase 2: System definition and operational context . 56
7.3.1 Objectives . 56
7.3.2 Activities . 57
7.3.3 Deliverables . 60
7.4 Phase 3: Risk analysis and evaluation . 60
7.4.1 Objectives . 60
7.4.2 Activities . 60
7.4.3 Deliverables . 63
7.5 Phase 4: Specification of system requirements . 64
7.5.1 Objectives . 64
7.5.2 Activities . 64
7.5.3 Deliverables . 65
7.5.4 Specific validation tasks . 65
7.6 Phase 5: Architecture and apportionment of system requirements . 66
7.6.1 Objectives . 66
7.6.2 Activities . 66
7.6.3 Deliverables . 67
7.7 Phase 6: Design and implementation . 67
7.7.1 Objectives . 67
7.7.2 Activities . 67
7.7.3 Deliverables . 68
7.7.4 Specific verification tasks . 69
7.8 Phase 7: Manufacture . 69
7.8.1 Objectives . 69
7.8.2 Activities . 69
7.8.3 Deliverables . 70
7.9 Phase 8: Integration . 70
7.9.1 Objectives . 70
7.9.2 Activities . 70
7.9.3 Deliverables . 71
7.9.4 Specific verification tasks . 71
7.10 Phase 9: System validation . 71
7.10.1 Objectives . 71
7.10.2 Activities . 72
7.10.3 Deliverables . 72
7.11 Phase 10: System acceptance . 73
7.11.1 Objectives . 73
7.11.2 Activities . 73
7.11.3 Deliverables . 74
7.12 Phase 11: Operation, maintenance and performance monitoring . 74
7.12.1 Objectives . 74
7.12.2 Activities . 74
7.12.3 Deliverables . 77
7.12.4 Specific verification tasks . 77
7.13 Phase 12: Decommissioning . 77
7.13.1 Objectives . 77
7.13.2 Activities . 77
7.13.3 Deliverables . 78
8 Safety case . 78
8.1 Purpose of a safety case. 78
8.2 Content of a safety case . 78
Annex A (informative) RAM plan and safety plan . 80
A.1 General . 80
A.2 Procedure . 80
A.3 Basic RAM plan example . 80
A.4 List of techniques . 82
Annex B (informative) Examples of parameters for railway . 84
B.1 General . 84
B.2 Reliability parameters . 84
B.3 Maintainability parameters . 84
B.4 Availability parameters . 85
B.5 Logistic support parameters . 88
B.6 Safety parameters . 88
Annex C (informative) Risk matrix calibration and risk acceptance categories . 89
C.1 General . 89
C.2 Frequency of occurrence categories . 89
C.3 Severity categories . 91
C.4 Risk acceptance categories . 92
Annex D (informative) Guidance on system definition . 94
D.1 General . 94
D.2 System definition in an iterative system approach . 94
D.3 Method for defining the structure of a system . 94
D.3.1 General . 94
D.3.2 Function list . 94
D.3.3 Functional breakdown . 94
D.4 Parties, stakeholders, boundaries of systems . 95
D.5 Guidance on the content of a system definition . 95
Bibliography . 96
Figure 1 - Illustration of system hierarchy . 23
Figure 2 - Quality of service and railway RAMS . 25
Figure 3 - Interrelation of railway RAMS elements . 26
Figure 4 - Effects of failures within a system . 27
Figure 5 - Factors influencing railway RAMS . 30
Figure 6 - Example of deriving cause effect relations in a diagrammatic approach . 32
Figure 7 - Interrelation of RAMS management process and system life cycle . 39
Figure 8 - The V-cycle representation . 40
Figure 9 - Process for risk assessment related to phases 3 and 4 (for safety risk) . 46
Figure 10 - Example of life cycles at different hierarchical levels . 49
Figure 11 - Relationship of cause, hazard and accident . 61
Figure B.1 - Availability concept and related terms. 87
Table 1 - RAMS tasks for life cycle phases 1 to 12 . 42
Table A.1 - Example of a basic RAM plan and safety plan outline . 81
Table B.1 - Examples of reliability parameters . 84
Table B.2 - Examples of maintainability parameters . 84
Table B.3 - Examples of availability parameters . 85
Table B.4 - Examples of logistic support parameters . 88
Table B.5 - Examples of safety performance parameters . 88
Table C.1 - Frequency of occurrence of hazardous events with examples for
quantification (time based) . 90
Table C.2 - Frequency of occurrence of events with examples for quantification
(distance based) . 91
Table C.3 - Severity categories (example related to RAM) . 91
Table C.4 - Severity categories (example 1 related to RAMS) . 91
Table C.5 - Severity categories (example 2 related to safety) . 92
Table C.6 - Financial severity categories (example) . 92
Table C.7 - Risk acceptance categories (example 1 for binary decisions) . 92
Table C.8 - Risk acceptance categories (example 2) . 92
Table C.9 - Risk acceptance categories (example related to safety) . 93
Table C.10 - Risk acceptance categories (example related to RAM) . 93
Table D.1 - Typical examples for a functional breakdown . 95
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
Railway applications - Specification and demonstration of reliability,
availability, maintainability and safety (RAMS) -
Part 1: Generic RAMS process
FOREWORD
1) The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of IEC is to promote international
co-operation on all questions concerning standardization in the electrical and electronic fields. To this end and
in addition to other activities, IEC publishes International Standards, Technical Specifications, Technical Reports,
Publicly Available Specifications (PAS) and Guides (hereafter referred to as "IEC Publication(s)"). Their
preparation is entrusted to technical committees; any IEC National Committee interested in the subject dealt with
may participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. IEC collaborates closely with the International Organization for
Standardization (ISO) in accordance with conditions determined by agreement between the two organizations.
2) The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international
consensus of opinion on the relevant subjects since each technical committee has representation from all
interested IEC National Committees.
3) IEC Publications have the form of recommendations for international use and are accepted by IEC National
Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC
Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any
misinterpretation by any end user.
4) In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications
transparently to the maximum extent possible in their national and regional publications. Any divergence between
any IEC Publication and the corresponding national or regional publication shall be clearly indicated in the latter.
5) IEC itself does not provide any attestation of conformity. Independent certification bodies provide conformity
assessment services and, in some areas, access to IEC marks of conformity. IEC is not responsible for any
services carried out by independent certification bodies.
6) All users should ensure that they have the latest edition of this publication.
7) No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and
members of its technical committees and IEC National Committees for any personal injury, property damage or
other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and
expenses arising out of the publication, use of, or reliance upon, this IEC Publication or any other IEC
Publications.
8) Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is
indispensable for the correct application of this publication.
9) IEC draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). IEC takes no position concerning the evidence, validity or applicability of any claimed patent rights in
respect thereof. As of the date of publication of this document, IEC had not received notice of (a) patent(s), which
may be required to implement this document. However, implementers are cautioned that this may not represent
the latest information, which may be obtained from the patent database available at https://patents.iec.ch. IEC
shall not be held responsible for identifying any or all such patent rights.
IEC 62278-1 has been prepared by IEC technical committee 9: Electric systems and equipment
for railways. It is an International Standard.
This first edition, together with IEC 62278-2, cancels and replaces IEC 62278:2002. This edition
constitutes a technical revision.
This edition includes the following significant technical changes with respect to the previous
edition:
a) added 5.2 on multi-level system approach;
b) added 5.3 on railway system overview;
c) added 5.9 on risk reduction strategy;
d) updated the content of correlation of RAMS management process and system life cycle in
6.2;
e) added 6.4 on organizational requirements;
f) added 6.5 on application of this document and adaptability to project scope and size;
g) added 6.8 on independent safety assessment;
h) added Clause 8 on safety case;
i) added Annex D providing guidance on system definition.
The text of this International Standard is based on the following documents:
Draft Report on voting
9/3207/FDIS 9/3234/RVD
Full information on the voting for its approval can be found in the report on voting indicated in
the above table.
The language used for the development of this International Standard is English.
The IEC 62278 series forms part of the railway sector specific application of IEC 61508.
IEC 62278, IEC 62279 and IEC 62425 comprise the railway sector equivalent of the IEC 61508
series so far as railway communication, signalling and processing systems are concerned.
When compliance with these documents has been demonstrated, further evaluation of
compliance with the IEC 61508 series is not foreseen.
A list of all parts in the IEC 62278 series, published under the general title Railway applications -
Specification and demonstration of reliability, availability, maintainability and safety (RAMS),
can be found on the IEC website.
This document was drafted in accordance with ISO/IEC Directives, Part 2, and developed in
accordance with ISO/IEC Directives, Part 1 and ISO/IEC Directives, IEC Supplement, available
at www.iec.ch/members_experts/refdocs. The main document types developed by IEC are
described in greater detail at www.iec.ch/publications.
The committee has decided that the contents of this document will remain unchanged until the
stability date indicated on the IEC website under webstore.iec.ch in the data related to the
specific document. At this date, the document will be
– reconfirmed,
– withdrawn, or
– revised.
INTRODUCTION
IEC 62278:2002 was aimed at introducing the application of a systematic RAMS management
process in the railway sector. Through the application of IEC 62278:2002 and the experiences
gained over the last years, the need for revision and restructuring became apparent with a need
to deliver a systematic and coherent approach to RAMS applicable to all the railway application
fields including signalling, rolling stock and fixed installations.
This document provides railway duty holders and the railway suppliers with a process which will
enable the implementation of a consistent approach to the management of reliability,
availability, maintainability and safety, denoted by the acronym RAMS.
Processes for the specification and demonstration of RAMS requirements are cornerstones of
this document. This document promotes a common understanding and approach to the
management of RAMS.
The IEC 62278 series is derived from the European Standard series EN 50126:2017, consisting
of EN 50126-1:2017 and EN 50126-2:2017.
With regard to safety, this document provides a safety management process which is supported
by guidance and methods described in IEC 62278-2.
IEC 62278-1 and IEC 62278-2 are independent from the technology used. As far as safety is
concerned, IEC 62278 takes the perspective of safety with a functional approach.
The application of this document can be adapted to the specific requirements for the system
under consideration.
This document can be applied systematically by the railway duty holders and railway suppliers,
throughout all phases of the life cycle of a railway application, to develop railway-specific RAMS
requirements and to achieve compliance with these requirements. The system level approach
developed by this document facilitates assessment of the RAMS interactions between elements
of railway applications even if they are of complex nature.
This document promotes co-operation between the stakeholders of railways in the achievement
of an optimal combination of RAMS and cost for railway applications.
The process defined by this document assumes that railway duty holders and railway suppliers
have business-level policies addressing quality, performance and safety. The approach defined
in this document is consistent with the application of quality management requirements
contained within ISO 9001.
1 Scope
This document addresses railway specifics, enables conflicts between RAMS elements to be
controlled and managed effectively.
This document specifies:
a) a process, based on the system life cycle and tasks within it, for managing RAMS;
b) a systematic process, tailorable to the type and size of the system under consideration, for
specifying requirements for RAMS and demonstrating that these requirements are achieved.
This document does not specify:
c) RAMS targets, quantities, requirements or solutions for specific railway applications;
d) rules or processes pertaining to the certification of railway products against the
requirements of this document;
e) an approval process for the railway stakeholders.
This document is applicable to railway application fields, including signalling, rolling stock and
fixed installations, and specifically:
f) to the specification and demonstration of RAMS for all railway applications and at all levels
of such an application, as appropriate, from complete railway systems to major systems and
to individual and combined subsystems and components within these major systems,
including those containing software; in particular:
1) to new systems;
2) to new systems integrated into existing systems already accepted, but only to the extent
and insofar as the new system with the new functionality is being integrated. It is
otherwise not applicable to any unmodified aspects of the existing system;
3) as far as reasonably practicable, to modifications and extensions of existing systems
already accepted, but only to the extent and insofar as existing systems are being
modified. It is otherwise not applicable to any unmodified aspect of the existing system;
g) at all relevant phases of the life cycle of an application;
h) for use by railway duty holders and the railway suppliers.
This document is not applicable to:
i) any unmodified aspects of the existing system;
j) existing systems which remain unmodified, including those systems already compliant with
IEC 62278:2002.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies.
For undated references, the latest edition of the referenced document (including any
amendments) applies.
IEC 62278-2:2025, Railway applications - Specification and demonstration of reliability,
availability, maintainability and safety (RAMS) - Part 2: Systems approach to safety
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following
addresses:
– IEC Electropedia: available at https://www.electropedia.org/
– ISO Online browsing platform: available at https://www.iso.org/obp
3.1
acceptance
status achieved by a product, system or process once it has been agreed that it is suitable for
its intended purpose
3.2
accident
unintended event or series of events that results in harm
[SOURCE: IEC 60050-821:2017, 821-12-02, modified - "that results in death, injury, loss of a
system or service, or environmental damage" has been replaced with "that results in harm".]
3.3
approval
permission for a product or process to be marketed or used for stated purposes or under stated
conditions
Note 1 to entry: Approval can be based on fulfilment of specified requirements or completion of specified
procedures.
[SOURCE: IEC 60050-902:2013, 902-06-01]
3.4
assurance
declaration that is intended to give confidence in the achievement of a goal
3.5
audit
systematic, independent, documented process for obtaining records, statements of fact or other
relevant information and assessing them objectively to determine the extent to which specified
requirements are fulfilled
Note 1 to entry: Whilst "audit" applies to management systems, "assessment" applies to conformity assessment
bodies as well as more generally.
[SOURCE: IEC 60050-902:2013, 902-03-04]
3.6
availability
ability of an item to be in a state to perform a required function under given
conditions at a given instant of time or over a given time interval, assuming that the required
external resources are provided
Note 1 to entry: Availability depends upon the combined characteristics of the reliability and maintainability of the
item, and the maintenance support performance.
[SOURCE: IEC 60050-821:2017, 821-05-82, modified - The specific use "" has
been replaced with "". In the definition, "of a product" has been replaced
with "of an item". Note 1 to entry has been added.]
3.7
basic integrity
integrity attribute for a safety-related function with a tolerable functional failure rate equal to or
−5 −1
h , or for a non-safety-related function
higher than (less demanding) 10
3.8
collective risk
risk, resulting from, for example, a product, process or system, to which a population or group
of people is exposed
Note 1 to entry: Collective risk is not the same as risk of multiple victim accident.
Note 2 to entry: Collective risk is the sum of the individual risks to those individuals in the population or group.
However, the collective risk divided by the number of individuals will only provide the average individual risk.
Note 3 to entry: A group of people can be, for example, rail staff working in a restaurant car or all passengers using
a particular network.
3.9
COTS product
commercial off-the-shelf product
product defined by market-driven need, commercially available and whose fitness for purpose
has been deemed acceptable by a broad spectrum of commercial users
3.10
common cause failures, pl
failures of multiple items, which would otherwise be considered independent of one another,
resulting from a single cause
[SOURCE: IEC 60050-192:2024, 192-03-18, modified - Notes 1 and 2 to entry have been
deleted.]
3.11
compliance
state where a characteristic or property of a product, system or process satisfies the specified
requirements
3.12
configuration management
process of identifying and documenting the characteristics of a facility's structures, systems
and components (including computer systems and software), and of ensuring that changes to
these characteristics are properly developed, assessed, approved, issued, implemented,
verified, recorded and incorporated into the facility documentation
[SOURCE: IEC 60050-395:2014, 395-07-52]
3.13
consequence analysis
analysis of events which are likely to happen after a hazard has occurred
[SOURCE: IEC 60050-821:2017, 821-12-14]
3.14
corrective maintenance
maintenance carried out after fault detection to effect restoration
Note 1 to entry: Corrective maintenance of software invariably involves some modification.
[SOURCE: IEC 60050-192:2015, 192-06-06]
3.15
design
activity applied in order to analyse and transform specified requirements into acceptable
solutions
[SOURCE: IEC 60050-821:2017, 821-12-16, modified - In the definition, "design solutions which
have the required safety integrity level" has been replaced with "solutions".]
3.16
diversity
existence of two or more different ways or means of achieving a specified objective
Note 1 to entry: Diversity is specifically provided as a defence against common cause failures. It can be achieved
by providing systems that are physically different from each other or by functional diversity, where similar systems
achieve the specified objective in different ways.
[SOURCE: IEC 60050-395:2014, 395-07-115, modified - The supplementary information has
been moved to a new Note 1 to entry, which replaces the original Note 1 to entry.]
3.17
entity
person, group or organization who fulfils a role as defined in this document
3.18
equivalent fatality
expression of fatalities and weighted injuries and a convention for combining injuries and
fatalities into one figure for ease of evaluation and comparison of risks
3.19
error
discrepancy between a computed, observed or measured value or condition and the true,
specified or theoretically correct value or condition
Note 1 to entry: An error can be caused by a faulty item, e.g. a computing error made by faulty computer equipment.
Note 2 to entry: A human error can be seen as a human action or inaction that can produce an unintended result.
[SOURCE: IEC 60050-192:2024, 192-03-02, modified - Notes 1 and 2 to entry have been
modified.]
3.20
failure
loss of ability to perform as required
Note 1 to entry: Qualifiers, such as catastrophic, critical, major, minor, marginal and insignificant, may be used to
categorize failures based on the severity of consequences, the choice and definitions of severity criteria depending
upon the field of application.
Note 2 to entry: Qualifiers, such as misuse, mishandling and weakness, may be used to categorize failures based
on the cause of failure.
Note 3 to entry: "Failure" is an event, as distinguished from "fault", which is a state.
[SOURCE: IEC 60050-821:2017, 821-11-19, modified - Note 3 to entry has been added.]
3.21
failure mode
manner in which failure occurs
[SOURCE: IEC 60050-192:2024, 192-03-17, modified - The notes to entry have been deleted.]
3.22
failure rate
limit of the ratio of the conditional probability that the instant of time, T, of a failure of a product
falls within a given time interval (t, t + ∆t) and the duration of this interval, ∆t, when ∆t tends
towards zero, given that the item is in an up state at the start of the time interval
Note 1 to entry: For applications where distance travelled or number of cycles of operation is more relevant than
time then the unit of time ca
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.
Loading comments...