IEC 62280-1:2002

NORME CEI
INTERNATIONALE IEC
62280-1
INTERNATIONAL
Première édition
STANDARD
First edition
2002-10
Applications ferroviaires –
Systèmes de signalisation, de télécommunication
et de traitement –
Partie 1:
Communication de sécurité sur des systèmes
de transmission fermés
Railway applications –
Communication, signalling and processing
systems –
Part 1:
Safety-related communication
in closed transmission systems
Numéro de référence
Reference number
CEI/IEC 62280-1:2002
Numérotation des publications Publication numbering
Depuis le 1er janvier 1997, les publications de la CEI As from 1 January 1997 all IEC publications are
sont numérotées à partir de 60000. Ainsi, la CEI 34-1 issued with a designation in the 60000 series. For
devient la CEI 60034-1. example, IEC 34-1 is now referred to as IEC 60034-1.
Editions consolidées Consolidated editions
Les versions consolidées de certaines publications de la The IEC is now publishing consolidated versions of its
CEI incorporant les amendements sont disponibles. Par publications. For example, edition numbers 1.0, 1.1
exemple, les numéros d’édition 1.0, 1.1 et 1.2 indiquent and 1.2 refer, respectively, to the base publication,
respectivement la publication de base, la publication de the base publication incorporating amendment 1 and
base incorporant l’amendement 1, et la publication de the base publication incorporating amendments 1
base incorporant les amendements 1 et 2. and 2.
Informations supplémentaires Further information on IEC publications
sur les publications de la CEI
Le contenu technique des publications de la CEI est The technical content of IEC publications is kept
constamment revu par la CEI afin qu'il reflète l'état under constant review by the IEC, thus ensuring that
actuel de la technique. Des renseignements relatifs à the content reflects current technology. Information
cette publication, y compris sa validité, sont dispo- relating to this publication, including its validity, is
nibles dans le Catalogue des publications de la CEI available in the IEC Catalogue of publications
(voir ci-dessous) en plus des nouvelles éditions, (see below) in addition to new editions, amendments
amendements et corrigenda. Des informations sur les and corrigenda. Information on the subjects under
sujets à l’étude et l’avancement des travaux entrepris consideration and work in progress undertaken by the
par le comité d’études qui a élaboré cette publication, technical committee which has prepared this
ainsi que la liste des publications parues, sont publication, as well as the list of publications issued,
également disponibles par l’intermédiaire de: is also available from the following:
• Site web de la CEI (www.iec.ch) • IEC Web Site (www.iec.ch)
• Catalogue des publications de la CEI • Catalogue of IEC publications
Le catalogue en ligne sur le site web de la CEI The on-line catalogue on the IEC web site
(http://www.iec.ch/searchpub/cur_fut.htm) vous permet (http://www.iec.ch/searchpub/cur_fut.htm) enables
de faire des recherches en utilisant de nombreux you to search by a variety of criteria including text
critères, comprenant des recherches textuelles, par searches, technical committees and date of
comité d’études ou date de publication. Des publication. On-line information is also available
informations en ligne sont également disponibles sur on recently issued publications, withdrawn and
les nouvelles publications, les publications rempla- replaced publications, as well as corrigenda.
cées ou retirées, ainsi que sur les corrigenda.
• IEC Just Published • IEC Just Published
Ce résumé des dernières publications parues This summary of recently issued publications
(http://www.iec.ch/online_news/justpub/jp_entry.htm) (http://www.iec.ch/online_news/justpub/jp_entry.htm)
est aussi disponible par courrier électronique. is also available by email. Please contact the
Veuillez prendre contact avec le Service client Customer Service Centre (see below) for further
(voir ci-dessous) pour plus d’informations. information.
• Service clients • Customer Service Centre
Si vous avez des questions au sujet de cette If you have any questions regarding this
publication ou avez besoin de renseignements publication or need further assistance, please
supplémentaires, prenez contact avec le Service contact the Customer Service Centre:
clients:
Email: custserv@iec.ch Email: custserv@iec.ch
Tél: +41 22 919 02 11 Tel: +41 22 919 02 11
Fax: +41 22 919 03 00 Fax: +41 22 919 03 00
.
NORME CEI
INTERNATIONALE IEC
62280-1
INTERNATIONAL
Première édition
STANDARD
First edition
2002-10
Applications ferroviaires –
Systèmes de signalisation, de télécommunication
et de traitement –
Partie 1:
Communication de sécurité sur des systèmes
de transmission fermés
Railway applications –
Communication, signalling and processing
systems –
Part 1:
Safety-related communication
in closed transmission systems
 IEC 2002 Droits de reproduction réservés  Copyright - all rights reserved
Aucune partie de cette publication ne peut être reproduite ni No part of this publication may be reproduced or utilized in any
utilisée sous quelque forme que ce soit et par aucun procédé, form or by any means, electronic or mechanical, including
électronique ou mécanique, y compris la photocopie et les photocopying and microfilm, without permission in writing from
microfilms, sans l'accord écrit de l'éditeur. the publisher.
International Electrotechnical Commission, 3, rue de Varembé, PO Box 131, CH-1211 Geneva 20, Switzerland
Telephone: +41 22 919 02 11 Telefax: +41 22 919 03 00 E-mail: inmail@iec.ch  Web: www.iec.ch
CODE PRIX
Q
Commission Electrotechnique Internationale PRICE CODE
International Electrotechnical Commission
Международная Электротехническая Комиссия
Pour prix, voir catalogue en vigueur
For price, see current catalogue

– 2 – 62280-1 © CEI:2002
SOMMAIRE
AVANT-PROPOS . 4
INTRODUCTION .8
1 Domaine d'application .10
2 Références normatives .10
3 Définitions.12
4 Architecture de référence .14
5 Relation entre les caractéristiques du système de transmission et les procédures de
sécurité.18
5.1 Prescription d'intégrité fonctionnelle .18
5.2 Prescriptions d'intégrité de sécurité.20
6 Prescriptions de procédures de sécurité .20
6.1 Généralités .20
6.2 Communication entre équipements liés à la sécurité.20
6.3 Communication entre équipements liés à la sécurité et équipements non liés
à la sécurité .22
6.4 Communication entre équipements non liés à la sécurité.22
7 Prescriptions de la partie de contrôle.24
7.1 Prescriptions générales.24
7.2 Cible de sécurité .26
7.3 Longueur de la partie de contrôle .26
Annexe A (informative) Longueur de la partie de contrôle.28

62280-1 © IEC:2002 – 3 –
CONTENTS
FOREWORD . 5
INTRODUCTION .9
1 Scope .11
2 Normative references.11
3 Definitions .13
4 Reference architecture.15
5 Relation between the characteristics of the transmission system and safety
procedures .19
5.1 Functional integrity requirement.19
5.2 Safety integrity requirements .21
6 Safety procedure requirements .21
6.1 General .21
6.2 Communication between safety-related-equipment .21
6.3 Communication between safety-related and non safety-related equipment.23
6.4 Communication between non safety-related-equipment .23
7 Safety code requirements .25
7.1 General requirements .25
7.2 Safety target.27
7.3 Length of safety code .27
Annex A (informative) Length of safety code .29

– 4 – 62280-1 © CEI:2002
COMMISSION ÉLECTROTECHNIQUE INTERNATIONALE
____________
APPLICATIONS FERROVIAIRES –
SYSTÈMES DE SIGNALISATION, DE TÉLÉCOMMUNICATION
ET DE TRAITEMENT –
Partie 1: Communication de sécurité sur
des systèmes de transmission fermés
AVANT-PROPOS
1) La CEI (Commission Électrotechnique Internationale) est une organisation mondiale de normalisation composée
de l'ensemble des comités électrotechniques nationaux (Comités nationaux de la CEI). La CEI a pour objet de
favoriser la coopération internationale pour toutes les questions de normalisation dans les domaines de
l'électricité et de l'électronique. A cet effet, la CEI, entre autres activités, publie des Normes internationales.
Leur élaboration est confiée à des comités d'études, aux travaux desquels tout Comité national intéressé par le
sujet traité peut participer. Les organisations internationales, gouvernementales et non gouvernementales, en
liaison avec la CEI, participent également aux travaux. La CEI collabore étroitement avec l'Organisation
Internationale de Normalisation (ISO), selon des conditions fixées par accord entre les deux organisations.
2) Les décisions ou accords officiels de la CEI concernant les questions techniques représentent, dans la mesure
du possible, un accord international sur les sujets étudiés, étant donné que les Comités nationaux intéressés
sont représentés dans chaque comité d’études.
3) Les documents produits se présentent sous la forme de recommandations internationales. Ils sont publiés
comme normes, spécifications techniques, rapports techniques ou guides et agréés comme tels par les Comités
nationaux.
4) Dans le but d'encourager l'unification internationale, les Comités nationaux de la CEI s'engagent à appliquer de
façon transparente, dans toute la mesure possible, les Normes internationales de la CEI dans leurs normes
nationales et régionales. Toute divergence entre la norme de la CEI et la norme nationale ou régionale
correspondante doit être indiquée en termes clairs dans cette dernière.
5) La CEI n’a fixé aucune procédure concernant le marquage comme indication d’approbation et sa responsabilité
n’est pas engagée quand un matériel est déclaré conforme à l’une de ses normes.
6) L’attention est attirée sur le fait que certains des éléments de la présente Norme internationale peuvent faire
l’objet de droits de propriété intellectuelle ou de droits analogues. La CEI ne saurait être tenue pour
responsable de ne pas avoir identifié de tels droits de propriété et de ne pas avoir signalé leur existence.
La Norme internationale CEI 62280-1 a été établie par le comité d'études 9 de la CEI: Matériel
et systèmes électriques ferroviaires.
La présente norme, basée sur la norme européenne EN 60159-1 (2001), a été préparée par le
sous-comité 9XA: Systèmes de signalisation de télécommunications et de traitement, du
Comité Technique 9X du CENELEC: Applications électriques et électroniques dans le domaine
ferroviaire. Elle a été soumise aux Comités Nationaux pour vote suivant la procédure par voie
express, par les documents suivants:
FDIS Rapport de vote
9/696/FDIS 9/707/RVD
Le rapport de vote indiqué dans le tableau ci-dessus donne toute information sur le vote ayant
abouti à l'approbation de cette norme.
1 1
Cette norme est étroitement liée à la CEI 62279 , à la CEI 62280-2 et à la norme ENV 50129:
1998.
___________
A publier.
62280-1 © IEC:2002 – 5 –
INTERNATIONAL ELECTROTECHNICAL COMMISSION
____________
RAILWAY APPLICATIONS –
COMMUNICATION, SIGNALLING AND PROCESSING SYSTEMS –
Part 1: Safety-related communication in closed transmission systems
FOREWORD
1) The IEC (International Electrotechnical Commission) is a worldwide organization for standardization comprising
all national electrotechnical committees (IEC National Committees). The object of the IEC is to promote
international co-operation on all questions concerning standardization in the electrical and electronic fields. To
this end and in addition to other activities, the IEC publishes International Standards. Their preparation is
entrusted to technical committees; any IEC National Committee interested in the subject dealt with may
participate in this preparatory work. International, governmental and non-governmental organizations liaising
with the IEC also participate in this preparation. The IEC collaborates closely with the International
Organization for Standardization (ISO) in accordance with conditions determined by agreement between the
two organizations.
2) The formal decisions or agreements of the IEC on technical matters express, as nearly as possible, an
international consensus of opinion on the relevant subjects since each technical committee has representation
from all interested National Committees.
3) The documents produced have the form of recommendations for international use and are published in the form
of standards, technical specifications, technical reports or guides and they are accepted by the National
Committees in that sense.
4) In order to promote international unification, IEC National Committees undertake to apply IEC International
Standards transparently to the maximum extent possible in their national and regional standards. Any
divergence between the IEC Standard and the corresponding national or regional standard shall be clearly
indicated in the latter.
5) The IEC provides no marking procedure to indicate its approval and cannot be rendered responsible for any
equipment declared to be in conformity with one of its standards.
6) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject
of patent rights. The IEC shall not be held responsible for identifying any or all such patent rights.
International Standard IEC 62280-1 has been prepared by IEC technical committee 9:
Electrical equipment and systems for railways.
This standard, based on the European Norm EN 60159-1 (2001), was prepared by
subcommittee 9XA: Communication, signalling and processing systems of CENELEC
Technical Committee 9X: Electrical and electronic applications for railways. It was submitted
to the National Committees for voting under the Fast Track Procedure as the following
documents:
FDIS Report on voting
9/696/FDIS 9/707/RVD
Full information on the voting for the approval of this standard can be found in the report on
voting indicated in the above table.
1 1
This standard is closely related to IEC 62279 , IEC 62280-2 and ENV 50129:1998.
___________
To be published.
– 6 – 62280-1 © CEI:2002
La présente norme ne suit pas les règles de structure des normes internationales comme le
spécifie la Partie 2 des Directives ISO/CEI.
NOTE Cette norme a été reproduite sans modifications importantes de son contenu original ou de ses règles
structurelles.
Le comité a décidé que le contenu de cette publication ne sera pas modifié avant 2008. A cette
date, la publication sera
• reconduite;
• supprimée;
• remplacée par une édition révisée, ou
• amendée.
La CEI 62280 comprend les parties suivantes, présentées sous le titre général Applications
ferroviaires – Systèmes de signalisation, de télécommunication et de traitement
– Partie 1: Communication de sécurité sur des systèmes de transmission fermés
– Partie 2: Communication de sécurité sur des systèmes de transmission ouverts

62280-1 © IEC:2002 – 7 –
This standard does not follow the rules for structuring International Standards as given in
Part 2 of the ISO/IEC Directives.
NOTE This standard has been reproduced without significant modification to its original content or drafting.
The committee has decided that the contents of this publication will remain unchanged until
2008. At this date, the publication will be
• reconfirmed;
• withdrawn;
• replaced by a revised edition, or
• amended
IEC 62280 consists of the following parts, under the general title Railway applications –
Communication, signalling and processing systems
– Part 1: Safety-related communication in closed transmission systems
– Part 2: Safety-related communication in open transmission systems

– 8 – 62280-1 © CEI:2002
INTRODUCTION
La présente partie de la CEI 62280 s'applique à la communication en sécurité entre des
équipements liés à la sécurité utilisant un système de transmission fermée. Pour les systèmes
de transmission qui ne peuvent pas être considérés comme fermés, la CEI 62280-2 s'applique.
Les équipements liés à la sécurité et ceux qui ne le sont pas peuvent être connectés au
système de transmission.
Dans le cas d'erreurs affectant la communication liée à la sécurité, il est nécessaire de
– détecter les erreurs,
– déclencher une réaction de protection.
Cette norme n'impose pas de prescriptions de sécurité au système de transmission non
sécurisé lui-même, mais ses propriétés et ses caractéristiques physiques sont définies.
Pour les questions de sécurité, telles qu'elles sont examinées ici, un chemin de transmission
physique est suffisant. Les aspects de sécurité sont couverts par l'application de procédures
de sécurité et d'une partie de contrôle qui sont mis en oeuvre dans les équipements liés à la
sécurité à la suite d'un protocole de communication non sécurisé dans un système de
transmission.
Bien que cette norme ne traite pas de la fiabilité, il est recommandé de garder à l'esprit que la
fiabilité est un aspect essentiel de la sécurité globale.
Cette norme s'applique non seulement aux bus des véhicules mais également aux systèmes
de transmission similaires avec un nombre maximal connu d'éléments connectables et une
structure topographique connue.

62280-1 © IEC:2002 – 9 –
INTRODUCTION
This part of IEC 62280 deals with safety-related communication between safety-related
equipment using a closed transmission system. For those transmission systems which cannot
be considered as closed, IEC 62280-2 shall be applied.
Both, safety-related and non-safety-related equipment can be connected to the transmission
system.
In the case of errors affecting safety-related communication, it is necessary
– to detect errors,
– to initiate a safety reaction.
This standard does not impose safety requirements on the non-trusted transmission system
itself, but its properties and its physical characteristics shall be defined.
For safety purposes as considered here, one physical transmission path is sufficient. Safety
aspects are covered by applying safety procedures and a safety code which are implemented
inside safety-related equipment – on top of a non-trusted communication protocol in a
transmission system.
Although reliability is not considered in this standard, it is recommended to keep in mind that
reliability is a major aspect of the global safety.
The applicability of the standard was also extended from a vehicle bus to all closed
transmission systems with a known maximum number of connectable participants and known
topographical structure.
– 10 – 62280-1 © CEI:2002
APPLICATIONS FERROVIAIRES –
SYSTÈMES DE SIGNALISATION, DE TÉLÉCOMMUNICATION
ET DE TRAITEMENT –
Partie 1: Communication de sécurité sur
des systèmes de transmission fermés
1 Domaine d'application
La présente partie de la CEI 62280 est applicable aux systèmes électroniques liés à la sécurité
utilisant un système de transmission fermée pour les communications. Elle indique les
prescriptions de base nécessaires pour obtenir une communication en sécurité entre les
équipements liés à la sécurité connectés au système de transmission.
Cette norme s'applique à la spécification de prescription de sécurité et à la conception du
système de communication pour obtenir le niveau assigné d'intégrité de la sécurité.
La spécification de prescription de sécurité est une condition préalable à la sécurité d'un
système électronique lié à la sécurité pour lequel la preuve nécessaire est définie par
l'ENV 50129. La preuve de la gestion de la sécurité et de la gestion de la qualité est à prendre
dans l'ENV 50129. La preuve de la sécurité fonctionnelle et technique constitue le sujet de
cette norme.
Cette norme n'est pas applicable aux systèmes existants qui ont déjà été acceptés avant sa
publication. Cependant, si la pratique le permet, cette norme s'applique aux modifications et
aux extensions des systèmes, sous-systèmes et équipements existants.
Cette norme s'applique à un système de transmission fermée avec les conditions préalables
suivantes, pour lesquelles il faut fournir la preuve
– que seul l'accès agréé est permis;
– qu'il existe un nombre maximal connu d'éléments connectables;
– que le support de transmission est connu et fixé.
Les systèmes de transmission fermée ne sont pas nécessairement des bus de données. Ils
peuvent également inclure par exemple des liaisons de balise ou de simples liaisons série
entre deux ordinateurs liés à la sécurité.
Plus particulièrement, cette norme ne définit pas
– le système de transmission;
– l'équipement connecté au système de transmission;
– des solutions spécifiques (par exemple pour l'interopérabilité);
– quels sont les types de données liés ou non à la sécurité.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent
document. Pour les références datées, seule l'édition citée s'applique. Pour les références non
datées, la dernière édition du document de référence s'applique (y compris les éventuels
amendements).
62280-1 © IEC:2002 – 11 –
RAILWAY APPLICATIONS –
COMMUNICATION, SIGNALLING AND PROCESSING SYSTEMS –
Part 1: Safety-related communication in closed transmission systems
1 Scope
This part of IEC 62280 is applicable to safety-related electronic systems using a closed
transmission system for communication purposes. It gives the basic requirements needed in
order to achieve safety-related communication between safety-related equipment connected
to the transmission system.
This standard is applicable to the safety requirement specification and design of the
communication system in order to obtain the assigned safety integrity level (SIL).
The safety requirement specification is a precondition of the safety case of a safety-related
electronic system for which the required evidence is defined in ENV 50129. Evidence of
safety management and quality management has to be taken form ENV 50129. Evidence of
functional and technical safety is the subject of this standard.
This standard is not applicable to existing systems which had already been accepted prior to
the release of this standard. However, as far as is reasonably practicable, this standard shall
be applied to modifications and extensions to existing systems, subsystems and equipment.
This standard applies to a closed transmission system with the following preconditions, for
which evidence shall be provided:
– only approved access is permitted;
– there is a known maximum number of connectable participants;
– the transmission media is known and fixed.
Closed transmission systems are not necessarily data buses. They can also include for
instance balise links or simple serial links between two safety-related computers.
In particular this standard does not define
– the transmission system;
– the equipment connected to the transmission system;
– specific solutions (e.g. for interoperability);
– which kinds of data are safety-related and which are not.
2 Normative references
The following referenced documents are indispensable for the application of this document.
For dated references, only the edition cited applies. For undated references, the latest edition
of the referenced document (including any amendments) applies.

– 12 – 62280-1 © CEI:2002
CEI 62278, Applications ferroviaires – Spécification et démonstration de la fiabilité, de la
disponibilité, de la maintenabilité et de la sécurité (FDMS)
CEI 62279, Applications ferroviaires – Logiciels pour systèmes de commande et de protection
ferroviaire
ENV 50129:1998, Applications ferroviaires – Systèmes électroniques de sécurité pour la
signalisation
3 Définitions
Pour les besoins de la présente partie de la CEI 62280, les définitions suivantes s'appliquent.
3.1
authenticité
état dans lequel une information est valide et réputée avoir été générée par la source déclarée
3.2
système de transmission fermée
nombre fixe ou nombre maximal fixe d'éléments reliés par un système de transmission dont les
propriétés sont connues et fixées et où le risque d'accès non autorisé est considéré comme
négligeable
3.3
CRC
contrôle de redondance cyclique: procédure pour calculer les données redondantes à ajouter
au message pour détecter les erreurs qui peuvent apparaître pendant la transmission du fait de
l'influence de perturbations par des données physiques
3.4
EMI
interférences électromagnétiques
3.5
intégrité
état dans lequel l'information est complète et correcte, ni altérée ni polluée
3.6
message
information qui est transmise par un émetteur (source de données) à un ou plusieurs
récepteurs (collecteur de données)
3.7
non sécurisé
pas de précautions spécifiques en matière de sécurité
3.8
état de secours sûr
état sûr d'un équipement ou d'un système lié à la sécurité comme déviation par rapport à un
état normal et comme résultat d'une réaction de protection conduisant à une fonctionnalité
réduite des fonctions liées à la sécurité, voire également des fonctions non liées à la sécurité
___________
A publier.
62280-1 © IEC:2002 – 13 –
IEC 62278, Railway applications – Specification and demonstration of Reliability, Availability,
Maintainability and Safety (RAMS)
IEC 62279, Railway applications – Communications, signalling and processing systems –
Software for railway control and protection systems
ENV 50129, Railway applications – Safety related electronic systems for signalling
3 Definitions
For the purpose of this part of IEC 62280, the following definitions apply.
3.1
authenticity
the state in which information is valid and known to have originated from the stated source
3.2
closed transmission system
a fixed number or fixed maximum number of participants linked by a transmission system with
well-known and fixed properties, and where the risk of unauthorized access is considered
negligible
3.3
CRC
cyclic redundancy check: procedure to calculate redundant data to be added to the message
in order to detect errors which may arise during the transmission from the influence of
physical data corruptions
3.4
EMI
electromagnetic interference
3.5
integrity
the state in which information is complete and correct and not altered or corrupted
3.6
message
information, which is transmitted from a sender (data source) to one or more receivers (data
sink)
3.7
non-trusted
no specific precautions towards safety
3.8
safe fall back state
safe state of a safety-related equipment or system as a deviation from the fault-free state and
as a result of a safety reaction leading to a reduced functionality of safety-related functions,
possibly also of non-safety-related functions
___________
To be published.
– 14 – 62280-1 © CEI:2002
3.9
partie de contrôle
données redondantes incluses dans un message pour permettre la détection de données
polluées à l'aide de vérification de redondance
3.10
réaction de protection
action qui peut être prise par le processus de sécurité en réponse à un événement (comme
une défaillance du système de communication) qui conduit à un état de secours sûr de
l'équipement
3.11
code de transmission
information redondante, ajoutée au message de sécurité ou d'une autre nature du système de
transmission non sécurisé pour assurer l'intégrité du message pendant la transmission
3.12
système de transmission
service faisant appel à la communication de blocs de message entre un nombre de
participants, qui peuvent être des sources ou des collecteurs d'information
3.13
données utilisateur
données qui représentent les états ou événements d'un processus de sécurité sans données
complémentaires ou redondantes pour la commande, la disponibilité et la sécurité. Dans le cas
de communication entre équipements liés à la sécurité, les données utilisateur incluent les
données liées à la sécurité
4 Architecture de référence
Cette norme définit les prescriptions de sécurité pour une catégorie spéciale de systèmes de
communication. Les caractéristiques de cette catégorie sont définies comme des conditions
préalables (Pr1, Pr2, Pr3).
En général, les équipements liés à la sécurité et les équipements qui ne le sont pas peuvent
être connectés à un système de transmission qui, d'un point de vue sécurité, n'est pas
sécurisé (voir la figure 1).
Le système de transmission lié à la sécurité est défini comme suit:
– le système de transmission non sécurisé (y compris les fonctions de transmission mises en
oeuvre dans les circuits hautement intégrés);
– les fonctions de transmission liées à la sécurité.
Le cas de sécurité pour le processus de sécurité doit être préparé en conformité avec
l'ENV 50129. La preuve de la sécurité fonctionnelle et technique des fonctions de transmission
liées à la sécurité doit être conforme à cette norme.
Aucune prescription de sécurité ne concerne le système de transmission non sécurisé. Les
aspects de sécurité sont couverts en appliquant les procédures de sécurité et la partie de
contrôle qui fonctionnent au sein de l'équipement lié à la sécurité (voir la figure 2).
Ainsi, cette norme est applicable à l'architecture définie si les conditions préalables suivantes
sont remplies.
62280-1 © IEC:2002 – 15 –
3.9
safety code
redundant data included in a message to permit data corruptions to be detected by
redundancy checks
3.10
safety reaction
an action which may be taken by safety process in response to an event (such as a failure of
the communication system) which leads to a safe fall back state of the equipment
3.11
transmission code
redundant information, added to the safety and non-safety message of the non-trusted
transmission system in order to ensure the integrity of the message during the transmission
3.12
transmission system
a service used by the application to communicate message streams between a number of
participants, who may be sources or sinks of information
3.13
user data
data which represents the states or events of a user process, without any additional data. In
the case of communication between safety-related equipment, the user data contains safety-
related data
4 Reference architecture
This standard defines the safety requirements for a special class of communication systems.
The characteristics of this class are defined as preconditions (Pr1, Pr2, Pr3).
In general, safety-related and non-safety-related equipment may be connected to a
transmission system, which is from a safety point of view non-trusted (see figure 1).
The safety-related transmission system is defined as:
– the non-trusted transmission system (including the transmission functions implemented in
highly integrated circuits);
– the safety-related transmission functions.
The safety case for the safety process shall be prepared in accordance with ENV 50129. The
evidence of functional and technical safety of the safety-related transmission functions shall
comply with this standard.
No safety requirements are placed upon the non-trusted transmission system. Safety aspects
are covered by applying safety procedures and safety code which are running inside safety-
related equipment (see figure 2).
Therefore this standard is applicable to the defined architecture if the following preconditions
are fulfilled.
– 16 – 62280-1 © CEI:2002
Pr1 Le système de transmission est fermé.
Pr2 Le nombre de parties d'équipement – liées à la sécurité ou non – connectable au
système de transmission doit être connu et fixé. Comme la sécurité du système de
transmission lié à la sécurité dépend de ce paramètre, le nombre maximal d'éléments
autorisés à communiquer ensemble doit être indiqué dans la spécification de prescription
de sécurité comme condition préalable .
Pr3 Les caractéristiques physiques du système de transmission (par exemple, support de
transmission, environnement dans les pires conditions, .) sont fixées. Elles doivent être
conservées pendant le cycle de vie du système. Si des paramètres essentiels doivent
être modifiés, tous les aspects liés à la sécurité doivent être réexaminés.
Les prescriptions concernant ces conditions préalables sont définies dans les articles suivants.
Equipement lié Equipement lié Equipement non lié
à la sécurité à la sécurité à la sécurité
ENV 50129
Processus non lié Processus non lié
Message lié
Message non lié
à la sécurité à la sécurité
à la sécurité
à la sécurité
Processus non lié
(optionnel)
(optionnel)
à la sécurité
Processus de
Processus de
sécurité
sécurité
Fonctions de Fonctions de
transmission liées transmission liées
à la sécurité
à la sécurité
CEI 62280-1
Système de
transmission
lié à la sécurité
Couches
Couches Couches
protocole
protocole
protocole
supérieures
supérieures supérieures
Système de
transmission
non sécurisé
Couches Couches Couches
liaison logique liaison logique liaison logique
et physique et physique et physique
Support de transmission
IEC  2670/02
Figure 1 – Structure d'un système lié à la sécurité utilisant un système de
transmission non sécurisé
___________
La configuration du système devra être définie/englobée dans le cas de sécurité. Il faut que tout ajout à cette
configuration soit précédé par une revue de ses effets sur le cas de sécurité.

62280-1 © IEC:2002 – 17 –
Pr1 The transmission system is closed.
Pr2 The number of pieces of connectable equipment – either safety-related or not – to the
transmission system has to be known and fixed. As the safety of the safety-related
transmission system depends on this parameter, the maximum number of participants
allowed to communicate together shall be put into the safety requirement specification
as a precondition.
Pr3 The physical characteristics of the transmission system (e.g. transmission media,
environment under worst case conditions, …) are fixed. They shall be kept during the
life cycle of the system. If major parameters are to be changed, all safety-related
aspects shall be reviewed.
The requirements regarding these preconditions are defined in the following clauses.
Safety related Safety related Non-safety related
equipment equipment equipment
ENV 50129
Non-safety Non-safety Non-safety related
Safety-related
process process
message
message
Non-safety
(optional)
(optional)
process
Safety process Safety process
Safety related Safety related
transmission
transmission
layers
functions
IEC 62280-1
Safety related
transmission
system
Upper
Upper Upper
protocol
protocol protocol
layers
layers layers
Non-trusted
transmission
system
Logical and physical
Logical and physical Logical and physical
link layers
link layers link layers
Transmission media
IEC  2670/02
Figure 1 – Structure of safety-related system using a non trusted transmission system
___________
The configuration of the system shall be defined/embedded in the safety case. Any subsequent to that
configuration must be preceded by a review of their effects on the safety case.

– 18 – 62280-1 © CEI:2002
Données utilisateur du
processus de sécurité
Procédures de sécurité
(p. ex. identificateur de
source)
Partie de contrôle
CEI 62280-1
Protocole de transmission
Code de transmission
IEC  2671/02
Figure 2 – Modèle de représentation de message sur le support de transmission
5 Relation entre les caractéristiques du système de transmission et les
procédures de sécurité
La preuve de la sécurité fonctionnelle et technique suit le même processus que celui appliqué
dans l'ENV 50129. Cependant, l'utilisation d'un système de transmission non sécurisé réduit le
processus à une approche fonctionnelle. C'est pourquoi, le système de transmission lié à la
sécurité doit être caractérisé par une spécification fonctionnelle avec un modèle d'erreur
global. La spécification de prescription d'intégrité de sécurité doit être produite par l'analyse
fonctionnelle du modèle d'erreur.
5.1 Prescription d'intégrité fonctionnelle
Cette analyse obligatoire correspond à l'analyse du risque fonctionnel.
Du point de vue du récepteur, les défauts suivants peuvent conduire à une situation présentant
des risques:
• information erronée (erreur d'identité d'émetteur, erreur de type, erreur de valeur);
• erreurs temporelles (données retardées trop longtemps, erreur de séquence).
Pour éviter de telles situations, il est nécessaire de détecter les données erronées avant de les
utiliser dans le processus de sécurité mis en oeuvre dans l'équipement de réception.
Les six mesures de protection suivantes doivent être fournies dans l'architecture de
conception.
P1: Détection des erreurs d'identification d'émetteur.
P2: Détection des erreurs de type de données.
P3: Détection des erreurs de valeur de données.
P4: Détection des données dépassées ou des données qui n'ont pas été reçues en temps
utile.
P5: Détection de la perte de communication après un délai prédéfini.
P6: Assurance de l'indépendance fonctionnelle des fonctions de transmission liées à la
sécurité et des couches utilisées du système de transmission non sécurisé.

62280-1 © IEC:2002 – 19 –
User data of
safety process
Safety procedures
(e.g. source identifier)
Safety code
IEC 62280-1
Transmission protocol
Transmission code
IEC  2671/02
Figure 2 – Model of message representation on the transmission media
5 Relation between the characteristics of the transmission system and safety
procedures
The evidence of functional and technical safety follows the same process as applied in ENV
50129. Nevertheless, the use of a non-trusted transmission system restricts the process to a
functional approach. Therefore, the safety-related transmission system shall be characterized
by a functional specification together with an overall error model. A safety integrity
requirement specification shall be produced by functional analysis of the error model.
5.1 Functional integrity requirement
This mandatory analysis consists of the functional hazard analysis.
From the view point of the receiver, the following faults may lead to a hazardous situation:
• erroneous information (transmitter identity error, type error, value error);
• time errors (data delayed too long, sequencing error).
To avoid such situations, it is necessary to detect erroneous data before using it in the safety
process implemented in the receiver equipment.
The following six protective measures shall be provided in the design architecture.
P1: Detect transmitter identifier error.
P2: Detect data type error.
P3: Detect data value error.
P4: Detect outdated data or data not received in due time.
P5: Detect the loss of communication after a predefined delay.
P6: Ensure the functional independence of the safety-related transmission functions and the
used layers of the non-trusted transmission system.

– 20 – 62280-1 © CEI:2002
5.2 Prescriptions d'intégrité de sécurité
Les six prescriptions suivantes doivent être remplies.
R1 La protection de sécurité doit être appliquée à la production des données à émettre.
R2 La réaction de protection doit être appliquée en cas de mauvais fonctionnement. Elle doit
être en cohérence avec les prescriptions de sécurité du récepteur.
R3 Le mécanisme de détection d'erreur doit être appliqué au niveau du récepteur et doit être
en cohérence avec les prescriptions de sécurité du récepteur.
R4 La mise en oeuvre de la réaction de protection R2 doit être fonctionnellement
indépendante du système de transmission non sécurisé.
R5 Le taux résiduel d'erreur de données du système de transmission lié à la sécurité pour
chaque échange d'information entre l'émetteur et le récepteur doit être inférieur à la
valeur prédéfinie. Ce taux doit être compatible avec le niveau d'intégrité de sécurité de
chaque récepteur.
R6 Le niveau d'intégrité de sécurité du système de transmission lié à la sécurité doit être en
cohérence avec le niveau d'intégrité de sécurité le plus élevé des processus de sécurité.
Ces prescriptions de sécurité sont détaillées dans
• les prescriptions de procédures de sécurité (pour les précautions qualitatives, voir l’article 6);
• les prescriptions de la partie de contrôle (pour les précautions quantitatives, voir l’article 7).
6 Prescriptions de procédures de sécurité
6.1 Généralités
Afin d'obtenir la partie qualitative des niveaux d'intégrité de sécurité assignés, la réalisation
des fonctions liées à la sécurité doit être obtenue en utilisant les procédures correspondantes
– dépendant des niveaux d'intégrité de sécurité – définies dans l'ENV 50129.
Les trois cas de communications bidirectionnelles possibles sont examinés:
a) équipement lié à la sécurité et équipement lié à la sécurité (voir 6.2);
b) équipement lié à la sécurité et équipement non lié à la sécurité (voir 6.3);
c) équipement non lié à la sécurité et équipement non lié à la sécurité (voir 6.4).
6.2 Communication entre équipements liés à la sécurité
On doit s'assurer de l'authenticité, de l'intégrité et de l'opportunité des données.
Etant donné que les processus de sécurité n'ont pas accès aux fonctionnalités internes des
circuits non sécurisés qui font par
...