IEC 62278-2:2025

IEC 62278-2 ®
Edition 1.0 2025-07
NORME
INTERNATIONALE
Applications ferroviaires - Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) -
Partie 2: Approche systématique pour la sécurité
ICS 45.060.01  ISBN 978-2-8327-0584-1

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.

IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.

A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.

Recherche de publications IEC -  IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications gratuitement tous les aperçus des publications, symboles
IEC en utilisant différents critères (numéro de référence, graphiques et le glossaire. Avec un abonnement, vous aurez
texte, comité d’études, …). Elle donne aussi des toujours accès à un contenu à jour adapté à vos besoins.
informations sur les projets et les publications remplacées
ou retirées. Electropedia - www.electropedia.org
Le premier dictionnaire d'électrotechnologie en ligne au
IEC Just Published - webstore.iec.ch/justpublished monde, avec plus de 22 500 articles terminologiques en
Restez informé sur les nouvelles publications IEC. Just anglais et en français, ainsi que les termes équivalents
dans 25 langues additionnelles. Egalement appelé
Published détaille les nouvelles publications parues.
Disponible en ligne et une fois par mois par email. Vocabulaire Electrotechnique International (IEV) en ligne.

Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-
nous: sales@iec.ch.
SOMMAIRE
AVANT-PROPOS . 5
INTRODUCTION . 7
1 Domaine d'application . 8
2 Références normatives . 9
3 Termes et définitions . 9
4 Abréviations . 9
5 Processus de sécurité . 10
5.1 Le modèle du sablier pour l'appréciation du risque et la maîtrise des situations
dangereuses . 10
5.2 A. Appréciation du risque . 11
5.2.1 Généralités . 11
5.2.2 Réalisation de l'appréciation du risque . 12
5.3 B. Résultats de l'appréciation du risque . 12
5.4 C. Maîtrise des situations dangereuses . 13
5.5 D. Révision de l'appréciation du risque . 14
5.6 Responsabilités . 14
6 Démonstration et acceptation de la sécurité . 14
6.1 Généralités . 14
6.2 Processus de démonstration et d'acceptation de la sécurité . 15
6.3 Responsabilité de gestion du dossier de sécurité . 18
6.4 Modifications après l'acceptation de la sécurité . 18
6.5 Dépendances entre les dossiers de sécurité . 18
6.6 Relation entre les dossiers de sécurité et l'architecture système . 20
7 Organisation et indépendance des rôles . 20
7.1 Généralités . 20
7.2 Phases précoces du cycle de vie (phases 1 à 4). 21
7.3 Phases ultérieures du cycle de vie (à partir de la phase 5) . 22
7.4 Compétences du personnel . 23
8 Appréciation du risque . 24
8.1 Généralités . 24
8.2 Analyse du risque . 24
8.2.1 Généralités . 24
8.2.2 Modèle de risque. 24
8.2.3 Techniques d'analyse des conséquences . 27
8.2.4 Expertise . 28
8.3 Principes d'acceptation du risque et évaluation du risque . 28
8.3.1 Utilisation d'un code de bonne pratique . 28
8.3.2 Utilisation d'un système de référence . 29
8.3.3 Utilisation de l'estimation du risque explicite . 30
8.4 Application de l'estimation du risque explicite . 31
8.4.1 Approche quantitative . 31
8.4.2 Variabilité sur la base des estimations du risque quantitatives . 34
8.4.3 Approches qualitatives et semi-quantitatives . 36
9 Spécification des exigences de sécurité du système . 36
9.1 Généralités . 36
9.2 Exigences de sécurité . 36
9.3 Classification des exigences de sécurité . 37
9.3.1 Généralités . 37
9.3.2 Exigences de sécurité fonctionnelle . 37
9.3.3 Exigences de sécurité technique . 38
9.3.4 Exigences de sécurité contextuelle . 39
10 Allocation des exigences d'intégrité de sécurité fonctionnelle . 39
10.1 Généralités . 39
10.2 Intégrité de sécurité fonctionnelle des systèmes électroniques . 40
10.2.1 Généralités . 40
10.2.2 Allocation des exigences de sécurité . 40
10.2.3 Facteurs d'intégrité de sécurité . 43
10.2.4 Intégrité de sécurité fonctionnelle et défaillances aléatoires . 43
10.2.5 Aspect systématique de l'intégrité de sécurité fonctionnelle . 44
10.2.6 Équilibre des exigences contrôlant les défaillances aléatoires et
systématiques . 44
10.2.7 Tableau des SIL . 45
10.2.8 Allocation des SIL . 46
10.2.9 Allocation du TFFR après affectation des SIL . 46
10.2.10 Démonstration des objectifs quantifiés . 46
10.2.11 Exigences spécifiques relatives à l'intégrité de base . 46
10.2.12 Prévention de la mauvaise utilisation des SIL . 48
10.3 Intégrité de sécurité des systèmes non électroniques - Application d'un code de
bonne pratique . 48
11 Conception et réalisation . 49
11.1 Généralités . 49
11.2 Analyse des causes . 49
11.3 Identification dangers (affinage) . 50
11.4 Analyse des défaillances de cause commune . 51
Annexe A (informative) Utilisation des méthodes ALARP, GAME et MEM comme
exemples de critères d'acceptation du risque . 53
A.1 Utilisation des méthodes ALARP, GAME et MEM pour définir les critères
d'acceptation du risque . 53
A.2 Principe ALARP (aussi bas que cela est raisonnablement possible) . 54
A.2.1 Généralités . 54
A.2.2 Acceptabilité et ALARP . 55
A.3 Principe GAME (globalement au moins équivalent) . 55
A.3.1 Principe . 55
A.3.2 Utilisation du principe GAME . 56
A.4 Principe MEM (mortalité endogène minimale) . 57
Annexe B (informative) Utilisation des statistiques de défaillances et d'accidents pour
déterminer un THR . 59
Annexe C (informative) Lignes directrices relatives à l'allocation des SIL . 61
Annexe D (informative) Méthodes d'allocation des objectifs de sécurité. 62
D.1 Analyse du système et des méthodes . 62
D.2 Exemple de méthode d'allocation qualitative . 62
D.2.1 Généralités . 62
D.2.2 Exemple de méthode qualitative ou semi-quantitative pour l'efficience de la
barrière . 63
D.3 Exemple de méthode d'allocation quantitative . 65
D.3.1 Généralités . 65
D.3.2 Fonctions avec mécanismes indépendants de détection et de passivation
des défaillances . 67
D.3.3 Fonction et barrière indépendante faisant office de mécanisme de
détection et de passivation des défaillances . 69
D.3.4 Allocation d'un objectif de sécurité de probabilité . 70
D.3.5 Allocation d'un objectif de sécurité "par heure" . 70
Annexe E (informative) Erreurs courantes de quantification . 72
E.1 Généralités . 72
E.2 Confusion entre taux et probabilités de défaillance . 72
E.3 Utilisation des formules hors de leur plage d'applicabilité . 73
Annexe F (informative) Techniques et méthodes d'analyse de sécurité . 74
Annexe G (informative) Rôles et responsabilités essentielles de la sécurité du système . 76
Bibliographie . 81

Figure 1 – Le modèle du sablier . 11
Figure 2 – Représentation des dangers par rapport aux frontières du système . 13
Figure 3 – Exemple de processus d'acceptation de la sécurité . 17
Figure 4 – Exemples de dépendances entre des dossiers de sécurité . 19
Figure 5 – Indépendance des rôles dans les phases précoces du cycle de vie (phases 1
à 4) . 22
Figure 6 – Indépendance des rôles dans les phases ultérieures du cycle de vie (à partir
de la phase 5) . 23
Figure 7 – Exemple de modèle de risque . 25
Figure 8 – Taux acceptables dans un exemple de modèle de risque . 32
Figure 9 – Classification des exigences . 37
Figure 10 – Allocation des exigences de sécurité fonctionnelle . 41
Figure 11 – Catégorisation des mesures d'intégrité de sécurité . 45
Figure 12 – Défaillances de cause commune . 51
Figure 13 – Influence de la dépendance fonctionnelle dans une analyse par arbre de
panne . 52
Figure A.1 – Aversion différentielle du risque . 58
Figure D.1 – Exemple de méthode d'allocation qualitative . 63
Figure D.2 – Interprétation des temps de défaillance et de réparation . 66
Figure D.3 – Combinaison de deux fonctions avec mécanisme indépendant de détection
et de passivation des défaillances . 67
Figure D.4 – Allocation des exigences d'intégrité de sécurité . 68
Figure D.5 – Combinaison d'une fonction et d'une barrière indépendante faisant office de
mécanisme de détection et de passivation des défaillances. 69
Figure D.6 – Exemple d'allocation quantifiée . 71
Figure E.1 – Exemple de cas AAP . 72

Tableau 1 – Exemples de dangers . 27
Tableau 2 – Mesures quantitatives et qualitatives du SIL. 45
Tableau A.1 – Présentation des méthodes ALARP, GAME et MEM. 53
Tableau D.1 – Efficience basée sur les défaillances du composant . 64
Tableau D.2 – Efficience basée sur la connaissance du composant. 64
Tableau D.3 – Efficience basée sur l'utilisation du composant . 64
Tableau D.4 – Efficience basée sur la maintenance du composant . 65
Tableau F.1 – Techniques et méthodes d'analyse de sécurité . 74
Tableau F.2 – Techniques et mesures pour la BI et les SIL . 75
Tableau G.1 – Spécification du rôle du concepteur . 76
Tableau G.2 – Spécification du rôle du chargé de vérification . 77
Tableau G.3 – Spécification du rôle du chargé de validation . 78
Tableau G.4 – Spécification du rôle de l'évaluateur de sécurité indépendant . 79
Tableau G.5 – Spécification du rôle du chef de projet . 80

COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
____________
Applications ferroviaires -
Spécification et démonstration de la fiabilité, de la disponibilité, de la
maintenabilité et de la sécurité (FDMS) -
Partie 2 : Approche systématique pour la sécurité

AVANT-PROPOS
1) La Commission Électrotechnique Internationale (IEC) est une organisation mondiale de normalisation composée de
l'ensemble des comités électrotechniques nationaux (Comités nationaux de l'IEC). L'IEC a pour objet de favoriser la
coopération internationale pour toutes les questions de normalisation dans les domaines de l'électricité et de
l'électronique. À cet effet, l'IEC - entre autres activités - publie des Normes internationales, des Spécifications
techniques, des Rapports techniques, des Spécifications accessibles au public (PAS) et des Guides (ci-après
dénommés "Publication(s) de l'IEC"). Leur élaboration est confiée à des comités d'études, aux travaux desquels tout
Comité national intéressé par le sujet traité peut participer. Les organisations internationales, gouvernementales et
non gouvernementales, en liaison avec l'IEC, participent également aux travaux. L'IEC collabore étroitement avec
l'Organisation Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux
organisations.
2) Les décisions ou accords officiels de l'IEC concernant les questions techniques représentent, dans la mesure du
possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux de l'IEC intéressés
sont représentés dans chaque comité d'études.
3) Les Publications de l'IEC se présentent sous la forme de recommandations internationales et sont agréées comme
telles par les Comités nationaux de l'IEC. Tous les efforts raisonnables sont entrepris afin que l'IEC s'assure de
l'exactitude du contenu technique de ses publications ; l'IEC ne peut pas être tenue responsable de l'éventuelle
mauvaise utilisation ou interprétation qui en est faite par un quelconque utilisateur final.
4) Dans le but d'encourager l'uniformité internationale, les Comités nationaux de l'IEC s'engagent, dans toute la mesure
possible, à appliquer de façon transparente les Publications de l'IEC dans leurs publications nationales et régionales.
Toutes divergences entre toutes Publications de l'IEC et toutes publications nationales ou régionales
correspondantes doivent être indiquées en termes clairs dans ces dernières.
5) L'IEC elle-même ne fournit aucune attestation de conformité. Des organismes de certification indépendants
fournissent des services d'évaluation de conformité et, dans certains secteurs, accèdent aux marques de conformité
de l'IEC. L'IEC n'est responsable d'aucun des services effectués par les organismes de certification indépendants.
6) Tous les utilisateurs doivent s'assurer qu'ils sont en possession de la dernière édition de cette publication.
7) Aucune responsabilité ne doit être imputée à l'IEC, à ses administrateurs, employés, auxiliaires ou mandataires, y
compris ses experts particuliers et les membres de ses comités d'études et des Comités nationaux de l'IEC, pour
tout préjudice causé en cas de dommages corporels et matériels, ou de tout autre dommage de quelque nature que
ce soit, directe ou indirecte, ou pour supporter les coûts (y compris les frais de justice) et les dépenses découlant
de la publication ou de l'utilisation de cette Publication de l'IEC ou de toute autre Publication de l'IEC, ou au crédit
qui lui est accordé.
8) L'attention est attirée sur les références normatives citées dans cette publication. L'utilisation de publications
référencées est obligatoire pour une application correcte de la présente publication.
9) L'IEC attire l'attention sur le fait que la mise en application du présent document peut entraîner l'utilisation d'un ou
de plusieurs brevets. L'IEC ne prend pas position quant à la preuve, à la validité et à l'applicabilité de tout droit de
brevet revendiqué à cet égard. À la date de publication du présent document, l'IEC n'avait pas reçu notification qu'un
ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois, il y a lieu d'avertir les
responsables de la mise en application du présent document que des informations plus récentes sont susceptibles
de figurer dans la base de données de brevets, disponible à l'adresse https://patents.iec.ch. L'IEC ne saurait être
tenue pour responsable de ne pas avoir identifié de tels droits de brevets.
L'IEC 62278-2 a été établi par le comité d'études 9 de l'IEC : Matériels et systèmes électriques
ferroviaires. Il s'agit d'une Norme internationale.
Cette première édition, conjointement à l'IEC 62278-1, annule et remplace l'IEC 62278:2002. Cette
édition constitue une révision technique.
Cette édition inclut les modifications techniques majeures suivantes par rapport à l'édition
précédente :
a) rédaction de cette nouvelle Partie 2 qui fournit pour la première fois des lignes directrices et
des méthodes de sécurité dans le cadre du processus de management de la sécurité défini
dans l'IEC 62278-1:2025.
Le texte de cette Norme internationale est issu des documents suivants :
Projet Rapport de vote
9/3208/FDIS 9/3235/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation du présent document.
La langue employée pour l'élaboration de cette Norme internationale est l'anglais.
Ce document a été rédigé selon les Directives ISO/IEC, Partie 2, il a été développé selon les
Directives ISO/IEC, Partie 1 et les Directives ISO/IEC, Supplément IEC, disponibles sous
www.iec.ch/members_experts/refdocs. Les principaux types de documents développés par l'IEC
sont décrits plus en détails à l'adresse www.iec.ch/standardsdev/publications.
La série IEC 62278 représente une partie de l'application spécifique au domaine ferroviaire de
l'IEC 61508. Les IEC 62278, IEC 62279 et IEC 62425 constituent l'équivalent relatif au secteur
ferroviaire de la série IEC 61508 en ce qui concerne les systèmes de communication ferroviaire,
de signalisation et de traitement. Dans les cas où la satisfaction aux exigences des documents
cités ci-dessus a été démontrée, il n'est pas prévu de démontrer davantage la conformité à la série
IEC 61508.
Une liste de toutes les parties de la série IEC 62278, publiées sous le titre général Applications
ferroviaires — Spécification et démonstration de la fiabilité, de la disponibilité, de la maintenabilité
et de la sécurité (FDMS), se trouve sur le site web de l'IEC.
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant la date de
maintenance indiquée sur le site web de l'IEC sous http://webstore.iec.ch dans les données
relatives à la publication recherchée. À cette date, la publication sera
– reconduite,
– supprimée, ou
– révisée.
INTRODUCTION
L'IEC 62278:2002 visait à introduire l'application d'un processus systématique de management de
la FDMS dans le domaine ferroviaire. L'application de l'IEC 62278:2002 et l'expérience acquise
au cours de ces dernières années ont révélé la nécessité de mettre en œuvre une démarche de
révision et de restructuration avec la volonté d'établir une approche systématique et cohérente de
la FDMS applicable à tous les domaines d'application ferroviaire, notamment la signalisation, le
matériel roulant et les installations fixes.
Le présent document fournit aux sociétés d'exploitation ferroviaire et aux industries ferroviaires
un processus permettant de mettre en œuvre une démarche cohérente de management de la
fiabilité, de la disponibilité, de la maintenabilité et de la sécurité, désignée par l'acronyme FDMS.
Les processus relatifs à la spécification et à la démonstration des exigences de FDMS sont les
pierres angulaires du présent document. Le présent document encourage une vision et une
démarche communes de management de la FDMS.
La série IEC 62278 est dérivée de la série de Normes européennes EN 50126:2017, comprenant
l'EN 50126-1:2017 et l'EN 50126-2:2017.
En ce qui concerne la sécurité, l'IEC 62278-1 fournit un processus de management de la sécurité
étayé par les lignes directrices et les méthodes décrites dans le présent document.
L'IEC 62278-1 et l'IEC 62278-2 ne sont pas liée à la technologie utilisée. En ce qui concerne la
sécurité, l'IEC 62278 adopte la perspective de la sécurité avec une approche fonctionnelle.
L'application du présent document peut être adaptée aux exigences spécifiques pour le système
en cours d'examen.
Le présent document peut être systématiquement appliqué par les sociétés d'exploitation et les
industries ferroviaires tout au long des phases du cycle de vie d'une application ferroviaire afin de
développer des exigences de FDMS spécifiques au domaine ferroviaire et de satisfaire à ces
exigences. L'approche système définie par le présent document facilite l'appréciation des
interactions relatives à la FDMS entre les éléments des applications ferroviaires, même si elles
sont complexes.
Le présent document promeut la synergie entre les parties prenantes du domaine ferroviaire afin
de parvenir au meilleur compromis entre les performances de FDMS et les coûts des applications
ferroviaires.
Le processus défini par le présent document part du principe que les sociétés d'exploitation et les
industries ferroviaires ont développé au niveau de l'entreprise des politiques de qualité,
performances et sécurité. L'approche définie dans le présent document est en accord avec
l'application des exigences de management de la qualité de l'ISO 9001.

1 Domaine d'application
Le présent document prend en considération les aspects génériques relatifs à la sécurité du cycle
de vie FDMS et définit les méthodes et les outils qui sont indépendants de la technologie des
systèmes et sous-systèmes.
Le présent document fournit :
a) une présentation de l'approche systématique pour la sécurité, un concept clé de l'IEC 62278 ;
b) les méthodes pour déterminer les exigences de sécurité et leurs exigences d'intégrité de
sécurité concernant le système et pour les allouer aux différents sous-systèmes ;
c) les méthodes pour déterminer les niveaux d'intégrité de sécurité (SIL) pour les fonctions
électroniques relatives à la sécurité ;
d) des lignes directrices et des méthodes concernant :
1) le processus de sécurité ;
2) la démonstration et l'acceptation de la sécurité ;
3) l'organisation et l'indépendance des rôles ;
4) l'appréciation du risque ;
5) la spécification des exigences de sécurité ;
6) l'allocation des exigences de sécurité fonctionnelle ;
7) la conception et la réalisation.
e) à l'utilisateur du présent document les méthodes permettant d'assurer la sécurité à l'égard du
système en cours d'examen et de ses interactions ;
f) des lignes directrices sur la définition du système en cours d'examen, y compris l'identification
des interfaces et interactions du système avec ses sous-systèmes ou d'autres systèmes afin
de réaliser l'analyse du risque.
Le présent document ne spécifie pas :
g) les objectifs de FDMS, ni les grandeurs, les exigences ou les solutions pour des applications
ferroviaires spécifiques ;
h) les règles ou les processus de certification des produits ferroviaires vis-à-vis des exigences
du présent document ;
i) un processus d'homologation par l'autorité de tutelle en matière de sécurité.
Le présent document s'applique :
j) à la spécification et à la démonstration des exigences de FDMS pour toute application
ferroviaire et à tout niveau d'une telle application, selon le cas, allant des systèmes ferroviaires
complets aux grands systèmes et aux sous-systèmes et équipements (individuels et combinés)
de ces grands systèmes, y compris ceux qui comportent des logiciels. Il est notamment
applicable :
1) aux nouveaux systèmes ;
2) aux nouveaux systèmes intégrés dans des systèmes préexistants acceptés, mais
seulement dans la mesure où, et dans la façon dont le nouveau système comprenant la
nouvelle fonctionnalité y est intégré. Il ne s'applique cependant pas aux parties inchangées
du système existant ;
3) dans toute la mesure du possible, aux modifications et extensions des systèmes
préexistants, mais seulement dans la mesure où, et dans la façon dont les systèmes
existants sont modifiés. Il ne s'applique cependant pas aux parties inchangées du système
existant ;
k) à toutes les phases concernées du cycle de vie d'une application donnée ;
l) à l'utilisation des sociétés d'exploitation ferroviaire et des industries ferroviaires.
Le présent document ne s'applique pas aux :
m) parties inchangées du système existant ;
n) systèmes existants qui ne sont pas modifiés, y compris ceux déjà conformes à
l'IEC 62278:2002.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu'ils constituent, pour tout ou partie de
leur contenu, des exigences du présent document. Pour les références datées, seule l'édition citée
s'applique. Pour les références non datées, la dernière édition du document de référence
s'applique (y compris les éventuels amendements).
IEC 62278-1:2025, Railway applications - Specification and demonstration of reliability,
availability, maintainability and safety (RAMS) - Part 1: Generic RAMS process
3 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'IEC 62278-1 s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
– IEC Electropedia: disponible à l'adresse https://www.electropedia.org/
– ISO Online browsing platform: disponible à l'adresse https://www.iso.org/obp
4 Abréviations
ALARP (As Low As Reasonably aussi bas que cela est raisonnablement
Practicable) possible
ACA analyse coûts - avantages
CCF (Common Cause Failure analysis) analyse des défaillances de cause commune
CBP code de bonne pratique
DRA (Differential Risk Aversion) aversion différentielle du risque
ERE estimation du risque explicite
CEM compatibilité électromagnétique
AAE analyse par arbre d'événement
AMDEC analyse des modes de défaillance, de leurs
effets et de leur criticité
AAP analyse par arbre de panne
GA (Generic Application) application générique
GASC (Generic Application Safety Case) dossier de sécurité pour une application
générique
GP (Generic Product) produit générique
GPSC (Generic Product Safety Case) dossier de sécurité pour un produit générique
GAME globalement au moins équivalent
HAZOP (Hazard And OPerability study) étude de danger et d'exploitabilité
IM (Infrastructure Manager) gestionnaire de l'infrastructure
LRU (Line Replaceable Unit) unité remplaçable en ligne
TMI temps moyen d'indisponibilité
MEM mortalité endogène minimale
FDMS fiabilité, disponibilité, maintenabilité et
sécurité
PAR principe d'acceptation du risque
RBD (Reliability Block Diagram) bloc-diagramme de fiabilité
RRA (Rapid Ranking Analysis) analyse par classement hiérarchique rapide
RU (Railway undertaking) compagnie ferroviaire
SA (Specific Application) application spécifique
SASC (Specific Application Safety Case) dossier de sécurité pour une application
spécifique
SDR (Safe Down Rate) taux de passivation
SDT (Safe Down Time) temps de mise en sécurité
SIL (Safety Integrity Level) niveau d'intégrité de sécurité
SRAC (Safety-Related Application condition d'application relative à la sécurité
Condition)
TFFR (Tolerable Functional Failure Rate) taux de défaillance fonctionnelle dangereuse
tolérable
THR (Tolerable Hazard Rate) taux d'occurrence maximal acceptable de
danger
5 Processus de sécurité
5.1 Le modèle du sablier pour l'appréciation du risque et la maîtrise des situations
dangereuses
Le présent paragraphe 5.1 décrit le modèle du sablier (Figure 1) : il propose une approche
simplifiée qui, même si elle ne comporte pas tous les aspects liés au modèle de cycle de vie,
permet de clarifier certaines questions.
Le modèle du sablier offre un aperçu général des principales activités relatives à la sécurité qui
sont nécessaires pour assurer un niveau de sécurité acceptable pour un système technique, y
compris les domaines de responsabilité correspondants.
Un système technique signifie un produit ou un ensemble de produits comprenant la conception,
la réalisation et la documentation de soutien. Le développement d'un système technique
commence par la spécification de ses exigences et s'achève par son acceptation. La conception
des interfaces tient compte des interactions avec les opérateurs humains et leur comportement,
bien que le système technique n'inclue pas les opérateurs humains eux-mêmes et leurs actions.
Le processus de maintenance (décrit dans les manuels de maintenance) et le fonctionnement sont
spécifiés, mais ne sont pas considérés comme faisant partie du système technique proprement
dit. Ils peuvent être restreints par les "conditions d'application".
L'objectif de ce modèle est de mettre en évidence la distinction à faire entre l'analyse du risque
dans le cadre de l'appréciation du risque (au niveau du système ferroviaire) et l'analyse des
dangers dans le cadre de la maîtrise des situations dangereuses (au niveau du système en cours
d'examen).
Cela permet d'améliorer la coopération entre les parties prenantes concernées, en clarifiant les
responsabilités et les interfaces, et présente l'avantage de réduire la complexité et de faciliter la
modularité.
Le modèle du sablier décrit deux aspects principaux :
– l'appréciation du risque, la détermination des exigences de sécurité sur le plan opérationnel et
technique (y compris la maintenance) ; et
– la maîtrise des situations dangereuses et le respect des exigences de sécurité fonctionnelle
résultant des niveaux supérieurs en déterminant et analysant les causes et en concevant et
réalisant des mesures de contrôle.

Figure 1 – Le modèle du sablier
NOTE À la Figure 1, la partie A (appréciation du risque) est associée aux phases 1 à 3 du cycle de vie représenté sur
la Figure 7 de l'IEC 62278-1:2025. La partie B correspond à la phase 4, tandis que la partie C correspond aux phases 5
à 9. La partie D montre la "prise en compte de l'identification des dangers ultérieurs dans l'analyse du risque" (voir
Figure 7 de l'IEC 62278-1:2025).
5.2 A. Appréciation du risque
5.2.1 Généralités
L'appréciation du risque est assurée au niveau du système ferroviaire.
Elle s'appuie sur une définition du système, et inclut l'analyse du risque et l'évaluation du risque.
Elle définit les exigences de sécurité du système de haut niveau, notamment les exigences de
sécurité applicables au système en cours d'examen du point de vue de la société d'exploitation
ferroviaire et de l'exploitant. Elle tient compte des aspects opérationnels relatifs à la sécurité, de
l'expérience antérieure et des exigences réglementaires pour l'application ferroviaire.
La principale tâche de cette activité est la réalisation de l'analyse du risque, qui est déterminée à
partir de la définition du système. L'analyse du risque comprend l'identification des dangers,
l'analyse des conséquences et le choix des principes d'acceptation du risque (PAR).
La spécification des exigences de sécurité est le résultat final de l'appréciation du risque. À la
Figure 1, elle se trouve dans la zone B, car elle constitue une interface (tout comme les
spécifications des exigences du système et la liste des dangers identifiés) entre les différentes
responsabilités.
5.2.2 Réalisation de l'appréciation du risque
Il convient de choisir un niveau de détail convenable pour l'appréciation du risque afin d'étudier le
risque de manière adéquate. Il ne s'agit pas de répertorier tous les dangers triviaux ni de croire
qu'il sera toujours possible d'identifier les dangers au-delà des limites des connaissances
actuelles. Il convient que l'appréciation du risque reflète une analyse raisonnable des dangers et
de leurs risques associés dans le cadre des activités d'exploitation ferroviaire et de la technologie
appliquée proprement dite. Lorsque cela est jugé utile, il convient de corréler les appréciations du
risque aux registres des accidents enregistrés et de leurs causes.
Si possible, au cours de cette première étape, il convient d'éviter toute considération relative à la
réalisation technique et architecturale, c'est-à-dire qu'il convient de considérer le système à
développer comme une boîte noire dont les fonctions et les dangers sont évalués uniquement à
ses frontières. Ces frontières sont des interfaces bien définies entre l'environnement opérationnel
et le système en cours d'examen.
Par exemple, un "mouvement intempestif de train" représente un danger pour un train. Il peut être
considéré comme une abstraction à la limite du "système train" et est susceptible de provoquer
différents accidents selon le contexte opérationnel (collision faisant suite à une survitesse du train
lorsqu'il est en marche, chute de personnes consécutive à un mouvement du train qui est censé
être à l'arrêt).
Les hypothèses définies au cours de l'appréciation du risque doivent être vérifiées et mises à jour
tout au long des phases du cycle de vie.
5.3 B. Résultats de l'appréciation du risque
Les résultats de l'appréciation du risque sont un ensemble d'exigences de sécurité liées à des
fonctions, des systèmes ou des règles d'exploitation clairement identifiés. Ils font partie intégrante
de la spécification des exigences du système qui établit l'interface technique entre les parties
prenantes.
NOTE La structure organisationnelle et les responsabilités du projet sont d'autres facteurs à prendre en compte pour
la compréhension et la maîtrise du risque. Les aspects et exigences organisationnels sont définis à l'Article 7.
Sur la base des principes d'acceptation du risque choisis, les exigences de sécurité peuvent faire
référence à des codes de bonne pratique (CBP), à des systèmes de référence ou spécifier des
objectifs explicites déterminés à partir d'une estimation du risque explicite (ERE).
Les exigences de sécurité comprennent les fonctions relatives à la sécurité requises qu'il est
possible d'apprécier de manière quantitative (taux d'occurrence maximal de dangers, par
exemple), semi-quantitative ou qualitative (recours à des conducteurs formés pour maîtriser le
risque d'erreurs humaines, par exemple).
Il convient d'apprécier les exigences de sécurité selon une approche holistique du système en
cours d'examen, c'est-à-dire qu'il convient d'évaluer le risque résiduel de l'ensemble du système
après introduction des exigences de sécurité en tenant compte de tous les dangers identifiés.
5.4 C. Maîtrise des situations dangereuses
L'étape de maîtrise des situations dangereuses dans le modèle du sablier permet de s'assurer que
le système en cours d'examen satisfait aux exigences de sécurité. La maîtrise des situations
dangereuses est réalisée pour une architecture système spécifique.
Les principaux effets des facteurs humains, des règles d'exploitation et de maintenance générale,
ainsi que des procédures, sont l'objet de l'analyse du risque citée ci-dessus et sont susceptibles
d'avoir déjà été pris en compte dans les exigences de sécurité. Par conséquent, au cours de
l'étape de maîtrise des situations dangereuses, le concepteur du système en cours d'examen peut
se concentrer sur les causes internes des dangers identifiés.
La principale tâche de cette activité est l'"analyse des dangers", qui comprend :
– une identification des dangers concernant le système en cours d'examen (affinement) ;
– une analyse des causes ;
– une analyse des défaillances de cause commune (voir 11.4).
L'identification des dangers est une tâche qui se répète sur plusieurs niveaux pendant le
développement du système en cours d'examen. Afin de distinguer ces différentes tâches (et les
documents associés),
...

IEC 62278-2 ®
Edition 1.0 2025-07
INTERNATIONAL
STANDARD
NORME
INTERNATIONALE
Railway applications - Specification and demonstration of reliability, availability,
maintainability and safety (RAMS) -
Part 2: Systems approach to safety

Applications ferroviaires - Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS) -
Partie 2: Approche systématique pour la sécurité
ICS 45.060.01  ISBN 978-2-8327-0584-1

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or
by any means, electronic or mechanical, including photocopying and microfilm, without permission in writing from either
IEC or IEC's member National Committee in the country of the requester. If you have any questions about IEC copyright
or have an enquiry about obtaining additional rights to this publication, please contact the address below or your local
IEC member National Committee for further information.

Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni
utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et
les microfilms, sans l'accord écrit de l'IEC ou du Comité national de l'IEC du pays du demandeur. Si vous avez des
questions sur le copyright de l'IEC ou si vous désirez obtenir des droits supplémentaires sur cette publication, utilisez
les coordonnées ci-après ou contactez le Comité national de l'IEC de votre pays de résidence.

IEC Secretariat Tel.: +41 22 919 02 11
3, rue de Varembé info@iec.ch
CH-1211 Geneva 20 www.iec.ch
Switzerland
About the IEC
The International Electrotechnical Commission (IEC) is the leading global organization that prepares and publishes
International Standards for all electrical, electronic and related technologies.

About IEC publications
The technical content of IEC publications is kept under constant review by the IEC. Please make sure that you have the
latest edition, a corrigendum or an amendment might have been published.

IEC publications search - IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Discover our powerful search engine and read freely all the
The advanced search enables to find IEC publications by a publications previews, graphical symbols and the glossary.
variety of criteria (reference number, text, technical With a subscription you will always have access to up to date
committee, …). It also gives information on projects, content tailored to your needs.

replaced and withdrawn publications.
Electropedia - www.electropedia.org
IEC Just Published - webstore.iec.ch/justpublished The world's leading online dictionary on electrotechnology,
Stay up to date on all new IEC publications. Just Published containing more than 22 500 terminological entries in English
details all new publications released. Available online and and French, with equivalent terms in 25 additional languages.
once a month by email. Also known as the International Electrotechnical Vocabulary
(IEV) online.
IEC Customer Service Centre - webstore.iec.ch/csc
If you wish to give us your feedback on this publication or
need further assistance, please contact the Customer
Service Centre: sales@iec.ch.
A propos de l'IEC
La Commission Electrotechnique Internationale (IEC) est la première organisation mondiale qui élabore et publie des
Normes internationales pour tout ce qui a trait à l'électricité, à l'électronique et aux technologies apparentées.

A propos des publications IEC
Le contenu technique des publications IEC est constamment revu. Veuillez vous assurer que vous possédez l’édition la
plus récente, un corrigendum ou amendement peut avoir été publié.

Recherche de publications IEC -  IEC Products & Services Portal - products.iec.ch
webstore.iec.ch/advsearchform Découvrez notre puissant moteur de recherche et consultez
La recherche avancée permet de trouver des publications gratuitement tous les aperçus des publications, symboles
IEC en utilisant différents critères (numéro de référence, graphiques et le glossaire. Avec un abonnement, vous aurez
texte, comité d’études, …). Elle donne aussi des toujours accès à un contenu à jour adapté à vos besoins.
informations sur les projets et les publications remplacées
ou retirées. Electropedia - www.electropedia.org
Le premier dictionnaire d'électrotechnologie en ligne au
IEC Just Published - webstore.iec.ch/justpublished monde, avec plus de 22 500 articles terminologiques en
Restez informé sur les nouvelles publications IEC. Just anglais et en français, ainsi que les termes équivalents
Published détaille les nouvelles publications parues. dans 25 langues additionnelles. Egalement appelé
Disponible en ligne et une fois par mois par email. Vocabulaire Electrotechnique International (IEV) en ligne.

Service Clients - webstore.iec.ch/csc
Si vous désirez nous donner des commentaires sur cette
publication ou si vous avez des questions contactez-
nous: sales@iec.ch.
CONTENTS
FOREWORD . 5
INTRODUCTION . 7
1 Scope . 8
2 Normative references . 9
3 Terms and definitions . 9
4 Abbreviated terms . 9
5 Safety process . 10
5.1 Hourglass model for risk assessment and hazard control . 10
5.2 A. Risk assessment . 11
5.2.1 General . 11
5.2.2 Conducting risk assessment . 12
5.3 B. Outcome of the risk assessment. 12
5.4 C. Hazard control . 12
5.5 D. Revision of risk assessment . 13
5.6 Responsibilities . 14
6 Safety demonstration and acceptance . 14
6.1 General . 14
6.2 Safety demonstration and safety acceptance process . 14
6.3 Responsibility in managing the safety case . 18
6.4 Modifications after safety acceptance . 18
6.5 Dependencies between safety cases . 18
6.6 Relationship between safety cases and system architecture . 19
7 Organization and independence of roles . 20
7.1 General . 20
7.2 Early phases of the life cycle (phases 1 to 4) . 21
7.3 Later phases of the life cycle (starting from phase 5) . 21
7.4 Personnel competence . 23
8 Risk assessment . 24
8.1 General . 24
8.2 Risk analysis . 24
8.2.1 General . 24
8.2.2 The risk model . 24
8.2.3 Techniques for the consequence analysis . 26
8.2.4 Expert judgement . 27
8.3 Risk acceptance principles and risk evaluation . 28
8.3.1 Use of code of practice . 28
8.3.2 Use of a reference system . 28
8.3.3 Use of explicit risk estimation . 29
8.4 Application of explicit risk estimation . 30
8.4.1 Quantitative approach . 30
8.4.2 Variability using quantitative risk estimates . 33
8.4.3 Qualitative and semi-quantitative approaches . 34
9 Specification of system safety requirements . 35
9.1 General . 35
9.2 Safety requirements . 35
9.3 Categorization of safety requirements . 35
9.3.1 General . 35
9.3.2 Functional safety requirements . 36
9.3.3 Technical safety requirements . 37
9.3.4 Contextual safety requirements . 37
10 Apportionment of functional safety integrity requirements . 38
10.1 General . 38
10.2 Functional safety integrity for electronic systems . 38
10.2.1 General . 38
10.2.2 Apportioning safety requirements . 38
10.2.3 Safety integrity factors . 41
10.2.4 Functional safety integrity and random failures . 41
10.2.5 Systematic aspect of functional safety integrity . 41
10.2.6 Balanced requirements controlling random and systematic failures . 42
10.2.7 The SIL table . 42
10.2.8 SIL allocation . 43
10.2.9 Apportionment of TFFR after SIL allocation . 43
10.2.10 Demonstration of quantified targets . 44
10.2.11 Requirements for basic integrity . 44
10.2.12 Prevention of misuse of SILs . 45
10.3 Safety integrity for non-electronic systems - Application of CoP. 45
11 Design and implementation . 46
11.1 General . 46
11.2 Causal analysis . 46
11.3 Hazard identification (refinement) . 47
11.4 Common cause failure analysis . 48
Annex A (informative) ALARP, GAME, MEM as examples of risk acceptance criteria. 50
A.1 ALARP, GAME, MEM as methods to define risk acceptance criteria . 50
A.2 ALARP (as low as reasonably practicable) . 51
A.2.1 General . 51
A.2.2 Tolerability and ALARP . 51
A.3 Globalement au moins équivalent (GAME) principle . 52
A.3.1 Principle . 52
A.3.2 Using GAME . 52
A.4 Minimum endogenous mortality (MEM) . 53
Annex B (informative) Using failure and accident statistics to derive a THR . 56
Annex C (informative) Guidance on SIL allocation . 58
Annex D (informative) Safety target apportionment methods . 59
D.1 Analysis of the system and methods . 59
D.2 Example of qualitative apportionment method . 59
D.2.1 General . 59
D.2.2 Example of qualitative or semi-quantitative method for barrier efficiency . 60
D.3 Example of quantitative apportionment method. 62
D.3.1 General . 62
D.3.2 Functions with independent failure detection and negation mechanisms . 64
D.3.3 Function and independent barrier acting as failure detection and negation
mechanism . 65
D.3.4 Apportionment of a probability safety target . 67
D.3.5 Apportionment of a "per hour" safety target . 67
Annex E (informative) Common mistakes in quantification . 69
E.1 General . 69
E.2 Mixing failure rates with probabilities . 69
E.3 Using formulas out of their range of applicability . 70
Annex F (informative) Techniques and methods for safety analysis . 71
Annex G (informative) Key system safety roles and responsibilities . 73
Bibliography . 78

Figure 1 – The hourglass model . 11
Figure 2 – Illustration of hazards with respect to the system boundary . 13
Figure 3 – Example of safety acceptance processes. 17
Figure 4 – Examples of dependencies between safety cases . 19
Figure 5 – Independence of roles in the early phases (phases 1 to 4) of the life cycle . 21
Figure 6 – Independence of roles in later phases of the life cycle (starting from phase 5) . 23
Figure 7 – An example of risk model . 25
Figure 8 – Tolerable rates in an example of risk model . 31
Figure 9 – Requirements classification . 36
Figure 10 – Apportionment of functional safety requirements . 39
Figure 11 – Categorization of safety integrity measures . 42
Figure 12 – Common cause failures . 48
Figure 13 – Impact of functional dependence in a fault tree analysis . 48
Figure A.1 – Differential risk aversion . 54
Figure D.1 – Example of qualitative apportionment method . 60
Figure D.2 – Interpretation of failure and repair times . 63
Figure D.3 – Combination of two functions with independent failure detection and
negation mechanism . 64
Figure D.4 – Allocation of safety integrity requirements . 65
Figure D.5 – Combination of function and independent barrier acting as failure detection
and negation mechanism . 66
Figure D.6 – Example of quantified apportionment . 68
Figure E.1 – Example of FTA case . 69

Table 1 – Examples of hazards . 26
Table 2 – SIL quantitative and qualitative measures . 43
Table A.1 – Overview of ALARP, GAME, MEM . 50
Table D.1 – Efficiency based on the component's failures . 61
Table D.2 – Efficiency based on the component's knowledge . 61
Table D.3 – Efficiency based on the use of the component . 61
Table D.4 – Efficiency based on the maintenance of the component . 62
Table F.1 – Techniques and methods for safety analysis . 71
Table F.2 – Techniques and measures for BI and SILs . 72
Table G.1 – Role specification for designer . 73
Table G.2 – Role specification for verifier . 74
Table G.3 – Role specification for validator . 75
Table G.4 – Role specification for independent safety assessor . 76
Table G.5 – Role specification for project manager. 77

INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
Railway applications -
Specification and demonstration of reliability, availability, maintainability
and safety (RAMS) -
Part 2: Systems approach to safety

FOREWORD
1) The International Electrotechnical Commission (IEC) is a worldwide organization for standardization comprising all
national electrotechnical committees (IEC National Committees). The object of IEC is to promote international co-
operation on all questions concerning standardization in the electrical and electronic fields. To this end and in addition
to other activities, IEC publishes International Standards, Technical Specifications, Technical Reports, Publicly
Available Specifications (PAS) and Guides (hereafter referred to as "IEC Publication(s)"). Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may participate
in this preparatory work. International, governmental and non-governmental organizations liaising with the IEC also
participate in this preparation. IEC collaborates closely with the International Organization for Standardization (ISO)
in accordance with conditions determined by agreement between the two organizations.
2) The formal decisions or agreements of IEC on technical matters express, as nearly as possible, an international
consensus of opinion on the relevant subjects since each technical committee has representation from all interested
IEC National Committees.
3) IEC Publications have the form of recommendations for international use and are accepted by IEC National
Committees in that sense. While all reasonable efforts are made to ensure that the technical content of IEC
Publications is accurate, IEC cannot be held responsible for the way in which they are used or for any
misinterpretation by any end user.
4) In order to promote international uniformity, IEC National Committees undertake to apply IEC Publications
transparently to the maximum extent possible in their national and regional publications. Any divergence between
any IEC Publication and the corresponding national or regional publication shall be clearly indicated in the latter.
5) IEC itself does not provide any attestation of conformity. Independent certification bodies provide conformity
assessment services and, in some areas, access to IEC marks of conformity. IEC is not responsible for any services
carried out by independent certification bodies.
6) All users should ensure that they have the latest edition of this publication.
7) No liability shall attach to IEC or its directors, employees, servants or agents including individual experts and
members of its technical committees and IEC National Committees for any personal injury, property damage or other
damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and expenses arising
out of the publication, use of, or reliance upon, this IEC Publication or any other IEC Publications.
8) Attention is drawn to the Normative references cited in this publication. Use of the referenced publications is
indispensable for the correct application of this publication.
9) IEC draws attention to the possibility that the implementation of this document may involve the use of (a) patent(s).
IEC takes no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof.
As of the date of publication of this document, IEC had not received notice of (a) patent(s), which may be required
to implement this document. However, implementers are cautioned that this may not represent the latest information,
which may be obtained from the patent database available at https://patents.iec.ch shall not be held responsible for
identifying any or all such patent rights.
IEC 62278-2 has been prepared by IEC technical committee 9: Electric systems and equipment
for railways. It is an International Standard.
This first edition, together with IEC 62278-1, cancels and replaces IEC 62278:2002. This edition
constitutes a technical revision.
This edition includes the following significant technical changes with respect to the previous
edition:
a) creation of this new Part 2 providing, for the first time, safety-related guidance and methods
that support the safety management process provided in IEC 62278-1:2025.
The text of this International Standard is based on the following documents:
Draft Report on voting
9/3208/FDIS 9/3235/RVD
Full information on the voting for its approval can be found in the report on voting indicated in the
above table.
The language used for the development of this International Standard is English.
This document was drafted in accordance with ISO/IEC Directives, Part 2, and developed in
accordance with ISO/IEC Directives, Part 1 and ISO/IEC Directives, IEC Supplement, available at
www.iec.ch/members_experts/refdocs. The main document types developed by IEC are described
in greater detail at www.iec.ch/publications.
The IEC 62278 series forms part of the railway sector specific application of IEC 61508.
IEC 62278, IEC 62279 and IEC 62425 comprise the railway sector equivalent of the IEC 61508
series so far as railway communication, signalling and processing systems are concerned. When
compliance with these documents has been demonstrated, further evaluation of compliance with
the IEC 61508 series is not foreseen.
A list of all parts in the IEC 62278 series, published under the general title Railway applications -
Specification and demonstration of reliability, availability, maintainability and safety (RAMS), can
be found on the IEC website.
The committee has decided that the contents of this document will remain unchanged until the
stability date indicated on the IEC website under webstore.iec.ch in the data related to the specific
document. At this date, the document will be
– reconfirmed,
– withdrawn, or
– revised.
INTRODUCTION
IEC 62278:2002 was aimed at introducing the application of a systematic RAMS management
process in the railway sector. Through the application of IEC 62278:2002 and the experiences
gained over the last years, the need for revision and restructuring became apparent with a need
to deliver a systematic and coherent approach to RAMS applicable to all the railway application
fields including signalling, rolling stock and fixed installations.
This document provides railway duty holders and the railway suppliers with a process which will
enable the implementation of a consistent approach to the management of reliability, availability,
maintainability and safety, denoted by the acronym RAMS.
Processes for the specification and demonstration of RAMS requirements are cornerstones of this
document. This document promotes a common understanding and approach to the management
of RAMS.
The IEC 62278 series is derived from the European Standard series EN 50126:2017, consisting of
EN 50126-1:2017 and EN 50126-2:2017.
With regard to safety, IEC 62278-1 provides a safety management process which is supported by
guidance and methods described in this document.
IEC 62278-1 and IEC 62278-2 are independent from the technology used. As far as safety is
concerned, IEC 62278 takes the perspective of safety with a functional approach.
The application of this document can be adapted to the specific requirements for the system under
consideration.
This document can be applied systematically by the railway duty holders and railway suppliers,
throughout all phases of the life cycle of a railway application, to develop railway-specific RAMS
requirements and to achieve compliance with these requirements. The system level approach
developed by this document facilitates assessment of the RAMS interactions between elements of
railway applications even if they are of complex nature.
This document promotes co-operation between the stakeholders of railways in the achievement of
an optimal combination of RAMS and cost for railway applications.
The process defined by this document assumes that railway duty holders and railway suppliers
have business-level policies addressing quality, performance and safety. The approach defined in
this document is consistent with the application of quality management requirements contained
within ISO 9001.
1 Scope
This document considers the safety-related generic aspects of the RAMS life cycle and defines
methods and tools which are independent of the actual technology of the systems and subsystems.
This document provides:
a) methods for the understanding of the systems approach to safety which is a key concept of
IEC 62278;
b) methods to derive the safety requirements and their safety integrity requirements for the system
and to apportion them to the subsystems;
c) methods to derive the safety integrity levels (SIL) for the safety-related electronic functions;
d) guidance and methods for the following areas:
1) safety process;
2) safety demonstration and acceptance;
3) organization and independence of roles;
4) risk assessment;
5) specification of safety requirements;
6) apportionment of functional safety requirements;
7) design and implementation;
e) the user of this document with the methods to assure safety with respect to the system under
consideration and its interactions;
f) guidance about the definition of the system under consideration, including identification of the
interfaces and the interactions of this system with its subsystems or other systems, in order to
conduct the risk analysis.
This document does not specify:
g) RAMS targets, quantities, requirements or solutions for specific railway applications;
h) rules or processes pertaining to the certification of railway products against the requirements
of this document;
i) an approval process by the safety authority.
This document is applicable:
j) to the specification and demonstration of RAMS for all railway applications and at all levels of
such an application, as appropriate, from complete railway systems to major systems and to
individual and combined subsystems and components within these major systems, including
those containing software; in particular:
1) to new systems;
2) to new systems integrated into existing systems already accepted, but only to the extent
and insofar as the new system with the new functionality is being integrated. It is otherwise
not applicable to any unmodified aspects of the existing system;
3) as far as reasonably practicable, to modifications and extensions of existing systems
already accepted, but only to the extent and insofar as existing systems are being modified.
It is otherwise not applicable to any unmodified aspect of the existing system;
k) at all relevant phases of the life cycle of an application;
l) for use by railway duty holders and the railway suppliers.
This document is not applicable to:
m) any unmodified aspect of the existing system;
n) existing systems which remain unmodified, including those systems already compliant with
IEC 62278:2002.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content
constitutes requirements of this document. For dated references, only the edition cited applies.
For undated references, the latest edition of the referenced document (including any amendments)
applies.
IEC 62278-1:2025, Railway applications - Specification and demonstration of reliability,
availability, maintainability and safety (RAMS) - Part 1: Generic RAMS process
3 Terms and definitions
For the purposes of this document, the terms and definitions given in IEC 62278-1 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
– IEC Electropedia: available at https://www.electropedia.org/
– ISO Online browsing platform: available at https://www.iso.org/obp
4 Abbreviated terms
ALARP as low as reasonably practicable
CBA cost benefit analysis
CCF common cause failure analysis
CoP code of practice
DRA differential risk aversion
ERE explicit risk estimation
EMC electromagnetic compatibility
ETA event tree analysis
FMECA failure mode, effects and criticality analysis
FTA fault tree analysis
GA generic application
GASC generic application safety case
GP generic product
GPSC generic product safety case
GAME globalement au moins equivalent (globally at least equivalent)
HAZOP hazard and operability study
IM infrastructure manager
LRU line replaceable unit
MDT mean down time
MEM minimum endogenous mortality
RAMS reliability, availability, maintainability and safety
RAP risk acceptance principle
RBD reliability block diagram
RRA rapid ranking analysis
RU railway undertaking
SA specific application
SASC specific application safety case
SDR safe down rate
SDT safe down time
SIL safety integrity level
SRAC safety-related application condition
TFFR tolerable functional unsafe failure rate
THR tolerable hazard rate
5 Safety process
5.1 Hourglass model for risk assessment and hazard control
In this subclause 5.1, the hourglass model in Figure 1 is introduced: it offers a simplified approach
that, although not containing all aspects implied in the life cycle model, helps to clarify some
issues.
The hourglass model provides an overview of the major safety-related activities that are needed
to ensure an acceptable safety level for a technical system, including the corresponding
responsibility areas.
Technical system means a product or an assembly of products including the design,
implementation and support documentation. The development of a technical system starts with its
requirements specification and ends with its acceptance. The design of relevant interfaces
considering interactions with human operators and their behaviour is considered, while human
operators themselves and their actions are not included in a technical system. Both the
maintenance process (described in the maintenance manuals) and the operation are specified but
are not considered parts of the technical system itself. They can be restricted by "application
conditions".
The purpose of this model is to highlight the separation between risk analysis as part of risk
assessment (at the railway system level) and hazard analysis as part of hazard control (at the level
of the system under consideration).
This enhances co-operation between the relevant stakeholders, clarifying responsibilities and
interfaces and has the advantages of reducing complexity and facilitating modularization.
The hourglass model describes two main aspects:
– risk assessment, deriving safety requirements for operational and technical issues (including
maintenance); and
– hazard control, satisfying given functional safety requirements coming from upper levels by
determining and analysing causes and designing and implementing control measures.
Figure 1 – The hourglass model
NOTE In Figure 1, Part A (risk assessment) is associated with phases 1 to 3 in the life cycle as depicted in Figure 7 in
IEC 62278-1:2025. Part B corresponds to phase 4 and part C to phases 5 to 9. Part D shows the "feedback of subsequent
hazard identification into risk analysis" (see Figure 7 in IEC 62278-1:2025).
5.2 A. Risk assessment
5.2.1 General
Risk assessment is performed at the railway system level.
It relies on a system definition and includes risk analysis and risk evaluation.
It defines the high-level system safety requirements, in particular safety requirements for the
system under consideration from the perspective of the railway duty holder and the operator. It
takes into account safety-related operational aspects, previous experience and the regulatory
requirements for the railway application.
The main task for this activity is the risk analysis, which is derived from the system definition. The
risk analysis includes hazard identification, consequence analysis, and selection of risk
acceptance principle (RAP).
The specification of safety requirements is the final result of risk assessment; in Figure 1 it is
allocated to box B, because it constitutes an interface (together with system requirement
specifications and the list of identified hazards) between different responsibilities.
5.2.2 Conducting risk assessment
The level of detail in a risk assessment should be adequate to enable the risk to be properly
considered. The purpose is not to catalogue every trivial hazard, nor is it expected that hazards
beyond the limits of current knowledge will always be identified. A risk assessment should reflect
a reasonable analysis of hazards and their associated risks within the railway operation and within
the applied technology itself. Where considered worthwhile, risk assessments should be correlated
with historical records of accidents and the records of causes.
When possible, consideration of technical implementation and architecture should be avoided in
this first stage, i.e. the system to be developed should be considered as a black box, of which
functions and hazards are evaluated only at the boundaries. These boundaries are well defined
interfaces between the operational environment and the system under consideration.
As an example, an "unintentional train motion" is a hazard for a train. It can be observed as an
abstraction at the boundary of the "system train" and it can lead to different accidents depending
on the operational context (e.g. collision in connection with over-speed while running or fall of
persons in connection with a train moving in a station while expected to stand still).
Assumptions defined during the risk assessment shall be checked and updated throughout the life
cycle phases.
5.3 B. Outcome of the risk assessment
The results of the risk assessment are a set of safety requirements associated with clearly-
identified functions, systems or operating rules. They are part of the system requirement
specification which establishes the technical interface between the stakeholders.
NOTE The project organizational structure and responsibilities are other factors to consider in understanding and
controlling risk. Organizational aspects and requirements are given in Clause 7.
On the basis of the selected risk acceptance principles, safety requirements can refer to codes of
practice (CoPs), to reference systems, or give explicit targets derived from an explicit risk
estimation (ERE).
Safety requirements include required safety-related functions, which can be assessed
quantitatively (e.g. maximum rates of hazards), semi-quantitatively or qualitatively (e.g. use of
trained drivers for controlling human errors).
Safety requirements should be assessed with an holistic approach to the system under
consideration, i.e. the residual risk of the whole system after introducing safety requirements
should be assessed taking into consideration all identified hazards.
5.4 C. Hazard control
The hazard control stage in the hourglass model ensures that the system under consideration is
compliant with the safety requirements. Hazard control is performed for a specific system
architecture.
The major impacts of human factors, operational and general maintenance rules as well as
procedures are part of the preceding risk analysis and are likely to have already been taken into
account in the safety requirements. Therefore, during hazard control, the designer of the system
under consideration can focus on the internal causes of the identified hazards.
The main task is the "hazard analysis" comprising:
– a dedicated hazard identification focusing on the system under consideration (refinement);
– causal analysis;
– a common cause failure analysis (see 11.4 for details).
Hazard identification is a recurring task, iterating on several levels during development of the
system under consideration. In order to distinguish between different tasks (and related
documents), the hazard identification has been quoted twice in Figure 1.
a) During risk assessment, hazard identification focuses on high-level hazards derived from the
system functions (black box) and related operation of the system as well as its environment.
b) Within the hazard control, a refined iterated hazard identification focuses on hazards and their
causes derived from the technical solutions, i.e. from defined architecture and internal
interfaces of the system under consideration, and potential new hazards introduced by the
system itself.
Both kinds of identified hazards shall be addressed during hazard control. Figure 2 shows the
general case where the cause of a hazard at the railway system level consists of a hazard on the
level of the system under consideration, with respect to its boundary. The boundary for a hazard
identification is always given in the system definition that limits the scope of the task. This implies
that the hazards are structured hierarchically. Hence a hierarchical approach to hazard analysis
and hazard logging should be used.

Figure 2 – Illustration of hazards with respect to the system boundary
Figure 2 is hazard-oriented and shows a "bow-tie" shape, suggesting that several causes can lead
to the same hazard and one hazard can lead to several different accidents.
EXAMPLE The hazard at railway system level is a train passing a signal at danger and entering another train's route,
potentially leading to a collision (the accident). The cause at railway system level (the hazard at the level of system
under consideration) is too long a braking distance. The cause at the subsystem level is that the brakes were not applied
by the driver (or applied too late). The external occurrence barrier is provided by safety equipment ordering an emergency
brake.
The demonstration of compliance with the safety requirements for the system under consideration
can be performed in various forms of verification. These forms depend on the nature of the
underlying requirements set at the beginning of the hazard control.
5.5 D. Revision of risk assessment
During the hazard control stage, fulfilment of safety requirements is possibly not reached in the
first iteration. Three potential causes are:
– additional hazards are ident
...