Академический Документы
Профессиональный Документы
Культура Документы
Résumé
L’objectif de cette communication est de présenter la façon dont la documentation supportant la démonstration de sécurité de
produit de signalisation a été construite en réutilisant au maximum l’existant, et a été présentée de façon à adresser à la fois les
exigences Européennes c’est-à-dire CENELEC, et, Nord-Américaines c’est-à-dire AREMA, IEEE et Federal Railroad
Administration (FRA).
Cette communication est illustrée par deux exemples concrétisant l’application de la méthode présentée dans cette
communication :
- cas #1 comment un circuit de voie de sécurité conçu en Italie conformément aux exigences CENELEC, a été accepté en
Décembre 2012 par la Federal Railroad Administration conformément à la règlementation 49 CFR Part 236 Subpart H,
et, dans l’autre sens,
- cas #2 comment un système d’enclenchement de sécurité conçu aux Etats Unis conformément aux règles AREMA, a été
accepté en Octobre 2013, conforme ou équivalent aux exigences SIL 4 suivant CENELEC par un Evaluateur Sécurité
Indépendant en Hollande.
Summary
In the past few years there has been an evolution in the process of gaining a form of cross acceptance between U.S. and
CENELEC developed rail equipment, which can provide lessons learned about how bridging the certification gap can be
achieved. Some convergences regarding technical requirements (e.g. EMC-EMI) between AREMA and CENELEC have been
observed recently.
Two examples illustrating successful cross acceptance processes can be used to address the key elements needed to achieve
safety approvals.
The intent of this paper is to illustrate the steps taken to gain FRA safety certification under 49 CFR Part 236 Subpart H, of a train
detection product developed in Italy according to CENELEC standards and conversely, a U.S. based interlocking system
developed according to FRA and AREMA best practices and its acceptance according to CENELEC standards for use in The
Netherlands.
Introduction
Cette communication a pour but de présenter la façon dont la documentation supportant la démonstration de sécurité de produit
de signalisation ferroviaire a été construite en réutilisant au maximum l’existant, et a été présentée de façon à adresser à la fois
les exigences Européennes c’est-à-dire CENELEC, et, Nord-Américaines c’est-à-dire AREMA, IEEE et Federal Railroad
Administration (FRA).
Cette démarche s’adresse aux produits de sécurité existants, déjà acceptés sur un territoire, afin d’évaluer les chances
d’acceptation croisée sur un autre territoire dans un effort raisonnable. Elle peut aussi s’appliquer au développement en cours de
nouveaux produits de sécurité. Par contre, la démarche présentée dans ce papier, ne couvre pas les produits de sécurité
anciens sans dossier de sécurité à jour.
Quels sont les Risques?
Il est important de clarifier quels sont les risques avant de s’engager dans la démarche qui consiste à faire accepter un produit
conçu suivant les standards européens aux Etats Unis, et, vice et versa.
Les risques ne sont pas en fait, très différents en nature, de ceux rencontrés lors d’une démarche classique d’acceptation d’un
produit de sécurité conçu suivant CENELEC en Europe par exemple, à savoir :
- Risque 1 (R1) : La conception du produit ou de son application ne satisfait pas aux critères de la nouvelle norme.
L’acceptation du Produit est rejetée et requiert une modification de conception ex. modification de l’architecture du
produit ou modification du logiciel de sécurité ou modification matérielle d’une carte électronique etc.
- Risque 2 (R2) : La démonstration de sécurité existante ne satisfait pas aux critères de la nouvelle norme. L’acceptation
du Produit n’est pas acceptée en l’état et requiert un travail supplémentaire du dossier de sécurité nécessitant des
analyses de sécurité complémentaires, des activités de Vérification et Validation (V&V) incluant des tests
supplémentaires etc.
Les conséquences en termes de retard impactant un projet de signalisation utilisant un produit de sécurité non accepté par les
autorités de sécurité, de coûts additionnels dus aux activités non-programmées ou de l’impact sur l’image de marque, ne sont
pas chiffrés dans ce papier.
Par contre, ce qui est sous-tendu dans la démarche proposée ici, c’est que le Risque (R1) est jugé Inacceptable. C’est à dire
qu’après examen détaillé, si un produit de sécurité existant, risque de devoir subir des modifications de conception afin d’être
accepté suivant un nouveau standard, alors, cette option technique ne sera pas retenue.
Le Risque (R2) peut être Acceptable, au cas par cas, suivant la stratégie définie par l’entreprise.
Il est important de noter que les révisions D et E de la MIL STD 882 bien plus récentes que la révision C qui date de 1993, ne
sont pas vraiment reconnues dans le domaine ferroviaire, même aux Etats Unis, et sont donc peu citées dans les exigences
contractuelles à respecter.
Un exemple de difficulté que représente l’approche fragmentée Nord-Américaine : pratiquement tous les standards abordent
l’activité de sécurité « Identification des Dangers et Analyse de Risques », à leur manière, seul le contrat client clarifie (ou pas) la
référence à suivre.
A contrario, aucun standard jusqu'à 2013, ne définissaient la Compatibilité Electromagnétique de façon satisfaisante. En 2013,
AREMA s’est à peu de chose près, alignée sur la position CENELEC/IEC (17).
En ce qui concerne le développement de produit de sécurité pour le ferroviaire aux Etats Unis, la conformité AREMA est un
« must ». Le dossier de sécurité du produit doit donc intégrer les preuves de sécurité selon AREMA, par contre, la structure du
dossier de sécurité n’est pas imposée. En fait, la certification ou l’homologation d’un produit générique, décorrélée de son
application projet spécifique n’existe pas dans la démarche américaine. Les preuves de sécurité au niveau produit générique
sont rarement des documents livrables contractuellement (les preuves sont auditables après engagement de confidentialité
signé par l’évaluateur). Le dossier de sécurité du produit est alors présenté avec plus ou moins de détails techniques au travers
du dossier de sécurité projet suivant la structure requise au contrat par les clients dans le contexte spécifique des projets par
exemple : AMTRAK operateur grandes lignes, operateurs du fret tels que NS, CSX etc. ou opérateurs métro tels que NYCT,
BART, WMATA etc., c’est à dire, au cas par cas.
En pratique, l’approche Nord-Américaine ne contraint pas strictement l’organisation qui doit être mise en place afin de
développer un produit de sécurité même si AREMA recommande des indépendances entre Design et Validateur de Sécurité
similaires à celles définies par CENELEC. De plus, le processus de développement est en général moins contraint que dans
l’approche CENELEC. Sans affirmer que seul l’objectif technique de sécurité est important, il est raisonnable de dire, ici, que le
chemin pour arriver à l’objectif est laissé assez libre, et, est moins contraint par les standards américains que par CENELEC.
Il en va de même en ce qui concerne l’évaluateur de sécurité (Independent Safety Assessor – ISA – ou Third Party aux USA) qui
n’est pas systématiquement requis contrairement à l’approche CENELEC.
Il est aussi à noter que les entreprises postulantes à l’activité d’évaluateur de sécurité aux USA, ne sont pas accréditées suivant
des règles normées. C’est l’expérience, les compétences acquises et reconnues des différents membres qui composent l’équipe
d’évaluation qui fait la réputation et donc la reconnaissance dans le domaine.
La figure suivante présente un exemple simple de dossier de sécurité appelé « Product Safety Plan (PSP) » selon la Federal
Railroad Administration (FRA).
Quelle démarche?
Apres avoir fait une revue synthétique de l’approche CENELEC et de l’approche Nord-Américaine c’est à dire FRA / AREMA /
IEEE / MIL-STD, afin d’évaluer les écarts fondamentaux des deux approches et donc la probabilité de réalisation du Risque R1
ou R2, la méthode d’analyse et de démonstration a consisté à traiter les Ecarts Techniques suivant trois niveaux :
1) La structure du dossier de sécurité (safety case, safety report, proof of safety, product safety plan)
2) Les principes de sécurité et l’architecture de sécurité à base de logiciel (safety concepts and safety architecture), les
rapports de vérification de la sécurité (verification of dependent factor), les rapports de validation etc.
3) Les contraintes environnementales (Température, Electrique, Mécanique et Vibration, EMC-EMI, etc.).
Ceci permet à la fin de l’analyse, d’évaluer les forces et faiblesses du produit candidat à la démarche d’acceptation croisée.
Il est important de rappeler une limite importante de la méthode : il ne s’agit pas d’évaluer si un produit qui n’a pas été développé
en conformité avec CENELEC a plus de chance d’être accepté suivant les standards Nord-Américains et vice et versa !
Dans un deuxième temps, la méthode a consisté à définir une Structure Documentaire unique du dossier de sécurité, pouvant
convenir à la fois au monde normé par CENELEC et utilisable au Etats Unis, la plus simple possible, en réutilisant l’existant au
maximum.
Enfin, la méthode a été mise en œuvre sur les deux Cas Concrets présentés en fin de document, à savoir :
Cas #1, Un circuit de voie de sécurité pour la signalisation ferroviaire « Made in CENELEC » approuvé par la Federal
Railroad Administration (FRA) aux Etats Unis, en 2012.
Cas #2, enclenchement informatisé de sécurité pour la signalisation ferroviaire « Made in USA» approuvé SIL 4 selon
CENELEC, par un évaluateur indépendant de sécurité en Hollande, en 2013.
Ce papier n’a pas vocation à présenter l’exhaustivité des différences, point à point, pour chacun des niveaux d’analyse ce qui
ferait l’objet d’un autre type de communication (étude détaillée ou essai technique) mais de présenter les conclusions de l’auteur
vis à vis du Risque R1 ou R2, illustré par un ou deux exemples caractéristiques.
En conclusion de cette deuxième étape, le risque doit aussi être un Risque R2 : un risque documentaire. Attention toutefois aux
études de sécurité intrinsèque matérielle à base de composants spéciaux qui ne seraient reconnues que par une norme
particulière (soit AREMA, soit CENELEC) et à vérifier l’équivalence entre AREMA et CENELEC des modes de défaillances des
composant utilisés. Sinon le risque R1 est Possible.
3. La gestion des écarts sur les contraintes environnementales
Les contraintes liées aux conditions environnementales représentent le plus grand risque de modification de conception,
Risque 1 (R1). C’est donc par cette étape qu’il convient de commencer l’analyse détaillée afin d’identifier les points bloquants, au
plus tôt, avant d’engager toute démarche d’acceptation croisée.
Les conditions environnementales sont les suivantes :
- conditions de Température,
- conditions Electrique,
- conditions Mécanique et de Vibration,
- conditions Compatibilité Electromagnétique (EMC-EMI),
- et dans une moindre mesure, conditions d’Altitude et de Pression.
Autant il est relativement aisé de définir le pire cas en ce qui concerne les exigences de Températures et de Vibration par
exemple, puis, de tester le produit candidat selon les deux standards CENELEC de (17) à (22) et AREMA (4) sections 11 et 17,
autant en ce qui concerne les conditions Electriques comprenant les distances de sécurité à respecter pour le matériel de
sécurité intrinsèque (Classe I selon AREMA ), ainsi que les niveaux de Compatibilité Electromagnétique, des jugements
d’experts sont bien souvent nécessaires.
De plus il faut tenir compte des exigences particulières qui viennent bien souvent compléter les exigences normées. En effet, la
SNCF en France ou NYCT aux Etats Unis, définissent des exigences environnementales plus sévères que le minimum requis
par les normes.
Une nouvelle fois, c’est au cas par cas que l’analyse de conditions environnementales doit être faite.
Dans ce contexte, Alstom a mis en place des groupes de travail composés d’expert Européens (CENELEC) et Américains
(AREMA) afin de traiter globalement les contraintes des deux standards en ce qui concerne, notamment : les distances de
sécurité, les modes de défaillances des composants, l’analyse des pannes combinées etc.
Le risque ici est un Risque R1 : un risque de modification de conception. Une analyse détaillée doit être prévue avec un niveau
d’expertise important. Des « essais de types » ou « tests de qualification » supplémentaires sont à prévoir au cas par cas (ce
qui a été fait dans le cas # 1). C’est une activité de Vérification et Validation à prévoir (attention à l’effort concernant les tests
supplémentaires qui peut être non négligeable), à moins que le produit ait dès sa conception pris en compte CENELEC et
AREMA, ce qui est encore assez rare à ce jour ou en cours de réalisation pour les produits nouveaux.
La Structure Documentaire
Finalement, il a donc été décidé de ne créer aucun nouveau document de sécurité au niveau de l’architecture produit, du logiciel
et du matériel, en réutilisant telles quelles les différentes preuves de sécurité d’origine et de les présenter au travers du dossier
de sécurité au format CENELEC. Le choix du format de CENELEC a été guidé par le fait que ce format est le plus contraignant
pour les produits génériques (sans configuration particulière pour un projet donné) et le plus reconnu dans le monde. Ensuite, il
peut être alors complété, assez aisément, avec un Product Safety Plan (PSP) pour une soumission à la FRA.
L’effort de présentation, de traçabilité, de traduction et les compléments d’information lorsque cela a été nécessaire, ont été
apportés soit dans le dossier de sécurité soit dans le PSP directement. C’est-à-dire que toutes les briques de base existantes de
la preuve de sécurité pour les deux cas illustrant la démarche, n’ont pas été remises en cause, n’ont pas dû être corrigées ni
refaites. Il est toutefois à noter que dans les deux premiers cas utilisés pour tester la méthode, les produits de sécurité ont aussi
un solide retour d’expérience terrain, en plus des preuves de sécurité (liste des dangers, AMDEC, arbre de défaillances,
contraintes de sécurité exportées etc.) en ordre.
Le dossier de sécurité de type CENELEC, a été aussi introduit pour les nouveaux produits génériques conçus aux USA même si
cela n’est pas nécessaire pour le marché nord-américain. Ceci, afin de ne pas limiter l’utilisation du produit « Made in USA » à la
seule zone américaine puisque CENELEC est reconnue au-delà de ses frontières d’origine comme par exemple en Chine ou en
Inde, ce qui est moins vrai pour les standards américains.
Pour les produits européens ayant déjà leur dossier de sécurité en ordre et conforme à CENELEC, c’est alors un travail
raisonnable de présentation, de traçabilité, de traduction et enfin de complément d’information qui doit être fait afin de créer le
PSP américain selon FRA.
Dans la mesure où les informations présentées aux autorités américaines peuvent faire l’objet d’une parution dans le domaine
public, c’est-à-dire accessible à tous sur internet, le PSP permet aussi de filtrer les informations généralement très complètes,
parfois trop détaillées, du dossier de sécurité de type CENELEC. Voir l’illustration dans le cas #1.
Pour les produits américains, un dossier de sécurité (safety case) au format CENELEC doit être créé pour une éventuelle
acceptation en Europe ; c’est un « must », il n’y a pas d’autre choix possible aujourd’hui. Voir l’illustration dans le cas #2.
I. Création de la structure modulaire du dossier de sécurité conforme à CENELEC qui soit compatible avec une utilisation
américaine AREMA et IEEE
II. Intégration des résultats des preuves de sécurité (Analyse des Dangers, AMDEC, Arbre de Défaillances etc.) dans la
structure modulaire du dossier de sécurité :
- de façon naturelle pour les produits de conception conforme à CENELEC
- avec un effort de traduction et traçabilité pour les produits de conception conforme aux Standards Américains
III. Une fois complété, le dossier de sécurité produit générique au format CENELEC est alors prêt à supporter soit le dossier de
sécurité au niveau projet de façon naturelle pour les projets formatés CENELEC, soit, à supporter le rapport ou dossier de
sécurité américain, par exemple : le Product Safety Plan selon la FRA de la figure suivante.
Note : Le Product Safety Plan (PSP) peut tout à fait être remplacé par tout autre format de rapport ou dossier de sécurité
afin de supporter, par exemple : les recommandations émanant de la Federal Transit Administration (FTA) puisque rien ne
manque de fondamental, à ce jour, dans l’approche CENELEC.
III.
I. II.
Enfin, la méthode a été mise en œuvre sur les deux Cas Concrets présentés dans la section suivante.
Cas #1 : un circuit de voie de sécurité pour la signalisation ferroviaire « Made in CENELEC » approuvé par la Federal Railroad
Administration (FRA) aux Etats Unis, en 2012.
Contexte :
Le circuit de voie de sécurité conçu et développé à Bologne, en Italie, possède son dossier de sécurité (ainsi que les preuves de
sécurité matérielle et logicielle de plus bas niveau) conforme à CENELEC.
Activités:
L’effort principal s’est concentré sur la conformité aux contraintes environnementales (présentant potentiellement un risque R1)
selon les standards américains, conduisant à des compléments d’activité de Vérification et Validation (jusqu’aux tests
d’intégration du produit selon les exigences du projet pour Port Authority Trans-Hubson (PATH) entre New York et New Jersey
sous régulations FRA). Pas de changement de conception majeur quelques adaptations de configuration et filtrage.
En parallèle, l’effort a été concentré sur la réalisation du Product Safety Plan (PSP) directement puisque le produit possédait
déjà son dossier de sécurité générique conforme à CENELEC, en présentant les résultats des preuves de sécurité existantes
selon CENELEC (activités de Traçabilité, Présentation et Traduction des trois (3) figure précédente) au format américain.
Le PSP a ensuite été complété par l’intégration des résultats Vérification et Validation vis-à-vis des contraintes
environnementales (du paragraphe précédent) et les compléments d’informations requis par la FRA comme le chapitre 20 du
PSP concernant les évolutions futures du produit (Section 20 : Incremental Changes). Aucune nouvelle étude de sécurité n’a été
nécessaire.
Résultats:
Référence de l‘acceptation du cas #1 (28) FRA Approval letter for Smartway Digital Track Circuit, 2012-0075.
Cas #2, un enclenchement informatisé de sécurité pour la signalisation ferroviaire « Made in USA» approuvé par un évaluateur
indépendant de sécurité selon CENELEC, en Hollande, en 2013.
Contexte :
L’enclenchement informatisé de sécurité (VPITM / iVPITM) conçu et développé aux USA dispose de ses preuves de sécurité en
ordre mais ne possédait pas de dossier de sécurité au format CENELEC. Par contre, le produit ancien VPI TM avait été évalué par
un Evaluateur Sécurité Indépendant en Hollande (Railcert, dans les années 2000) comme de niveau SIL4. Le produit VPI TM est
en service commercial en Hollande avec d’excellents états de service depuis près de deux (2) décennies. Le cas #2, est en fait
l’activité de démonstration de la sécurité des évolutions du nouveau produit iVPI TM remplaçant naturellement le VPITM.
Activités:
L’effort principal a été concentré sur la création d’un dossier de sécurité conforme à CENELEC dans la mesure où l’évolution du
nouveau iVPITM ne remettait pas en cause l’architecture de sécurité éprouvée du VPI TM.
L’activité première a donc été de compléter la structure standard du dossier de sécurité conforme à CENELEC, en expliquant la
nature des évolutions du nouveau iVPITM par rapport au VPITM, et, en traduisant dans le langage CENELEC, les résultats des
preuves de sécurité existantes selon les standards américains (activités de Présentation, Traduction et Traçabilité). Ceci afin de
supporter les revues et audits de sécurité de l’évaluateur indépendant Railcert.
Pour le nouveau protocole de communication de sécurité via Ethernet qui n’existe pas pour le VPITM, les exigences de la norme
CENELEC 50159 (23), ont été suivies pour le développement du iVPITM typiquement américain.
En ce qui concerne les exigences environnementales, le retour d’expérience de près de deux décennies est venu compléter les
rapports de tests du iVPITM selon AREMA. Ceci a fait l’objet de limitations vis-à-vis de la conformité aux normes CENELEC (17) à
(22) (information présentée dans le chapitre dédié aux contraintes exportées dans le dossier de sécurité du produit) mais ne
posant pas de problèmes majeurs au niveau projet, puisque le nouveau iVPI ne dégrade en rien les performances du VPI TM
actuellement en service, voire les améliore.
Par exemple, la compatibilité électromagnétique est gérée au niveau de l’armoire électrique projet avec une attention particulière
au niveau des câbles et des alimentations électriques utilisées en Hollande sans remettre en cause la conception du produit
générique qu’est le calculateur de sécurité iVPITM. C’est la même démarche mise en œuvre précédemment pour le VPI TM qui a
été reconduite pour iVPI.
Ce travail a été mené en étroite collaboration, de façon tout à fait ouverte et pragmatique entre tous les partenaires incluant le
client operateur Prorail et l’évaluateur de sécurité Railcert.
Aucune nouvelle étude de sécurité n’a été nécessaire au niveau produit.
Résultats:
Référence de l‘acceptation du cas #2 (29) Statement letter for iVPI by Railcert, RC100703-PvdV-131004-01, 10 October 2013.
Cette démarche a été grandement facilitée et rendu possible grâce à l’organisation internationale et les méthodes d’Assurance
Sécurité mises en place par Alstom Transport au travers d’un réseau mondial d’experts de sécurité et d’évaluateurs internes
sécurité depuis plus de quinze ans.
Conclusion
L’effort qui a été consenti afin de faire accepter un circuit de voie de sécurité pour la signalisation ferroviaire « Made in
CENELEC » par la Federal Railroad Administration (FRA) aux Etats Unis, en 2012 (cas #1), puis, un enclenchement informatisé
de sécurité pour la signalisation ferroviaire « Made in USA» approuvé par un évaluateur indépendant de sécurité selon
CENELEC, en Hollande, en 2013 (cas #2), a été tout à fait raisonnable grâce à la méthode présentée dans cette communication.
Comme toute méthode confrontée à un nombre limité d’applications, celle-ci ne représente pas un « benchmark » mais ouvre la
voie à une possibilité d’acceptation croisée entre Europe et Amérique du Nord assez simple dans certaines conditions. En effet,
dans les deux cas illustrant la méthode appliquée, un nombre très limité de nouveaux documents a été produit afin d’obtenir
l’acceptation des autorités de sécurité.
Enfin, il est évident que cette méthode implique de ne pas avoir une approche dogmatique de la sécurité suivant telle ou telle
normes en perdant la vue globale. Si cette condition n’était pas remplie l’auteur recommande tout simplement de ne pas
s’engager dans la démarche d’acceptation croisée entre Europe et Etats Unis.
Remerciements
L’auteur remercie toutes les personnes qui ont participé de près ou de loin à la rédaction de ce papier, elles se reconnaitront…
Références
(1) Federal Railroad Administration, Title 49 Transportation CFR Part 236 - RULES, STANDARDS, AND INSTRUCTIONS
GOVERNING THE INSTALLATION, INSPECTION, MAINTENANCE, AND REPAIR OF SIGNAL AND TRAIN
CONTROL SYSTEMS, DEVICES, AND APPLIANCES - Subpart H - Standards for Processor-Based Signal and Train
Control Systems, 2010
(2) Federal Railroad Administration, Title 49 Transportation CFR Part 236 - RULES, STANDARDS, AND INSTRUCTIONS
GOVERNING THE INSTALLATION, INSPECTION, MAINTENANCE, AND REPAIR OF SIGNAL AND TRAIN
CONTROL SYSTEMS, DEVICES, AND APPLIANCES - Subpart I - Positive Train Control Systems, 2010
(3) Federal Transit Administration, 49 CFR Part 659 - Rail Fixed Guideway Systems; State Safety Oversight, 2005
(4) AREMA, Communications and Signals Manual of Recommended Practices, 2013
(5) IEEE 1483 TM -2000, IEEE Standard for Verification of Vital Functions in Processor-Based Systems Used in Rail Transit
Control, March 2000
(6) IEEE 1558 TM -2004, IEEE Standard for Software Documentation for Rail Equipment and Systems
(7) IEEE 730 TM -2002, IEEE Standard for Software Quality Assurance Plans
(8) IEEE 828 TM -1998, IEEE Standard for Software Configuration Management Plans
(9) IEEE 829 TM -1998, IEEE Standard for Software Test Documentation
(10) IEEE 830 TM -1998, IEEE Recommended Practice for Software Requirement Specification
(11) IEEE 1012 TM -1998, IEEE Standard for Software Verification and Validation
(12) IEEE 1016 TM -1998, IEEE Recommended Practice for Software Design Description
(13) IEEE 1058 TM -1998, IEEE Standard for Software Project Management Plans
(14) MIL STD 882C, Department of Defense Standard Practice for Safety Systems, January 1993
(15) EN 50126, Railway applications - The specification and demonstration of Reliability Availability, Maintainability and
Safety (RAMS), 1999
(16) EN 50129, Railway applications - Communications, signalling and processing systems - Safety related electronic
systems for signalling, 2003
(17) EN 50121 Series, Railway applications – Electromagnetic compatibility, 2006
(18) EN 50124-1, Railway applications – Insulation coordination – Part 1: Basic requirements -Clearances and creepage
distances for all electrical and electronic equipment, 2001
(19) EN 50124-2, Railway applications – Insulation coordination – Part 2: Overvoltages and related protection, 2001
(20) EN 50125-1, Railway applications – Environmental conditions for equipment – Part 1: Equipment on board rolling
stock, 1999
(21) EN 50125-3, Railway applications – Environmental conditions for equipment – Part 3: Equipment for signalling and
communications, 2003
(22) EN 50155, Railway applications –Electronic equipment used on rolling stock, 2007
(23) EN 50159, Railway applications - Communication, signalling and processing systems - Safety-related communication
in transmission systems, 2010
(24) EN 50128, Railway applications - Communication, signalling and processing systems - Software for railway control and
protection systems, 2011
(25) ISO 9001: Quality management systems, 2008
(26) Bridging the European and U.S. Rail Safety Assurance Gap: The Feasibility of Cross Acceptance James B. Balliet,
Battelle Memorial Institute, Rail Safety and Security, AREMA, 2011
(27) The Relationship between the CENELEC Railway Signalling Standards and Other Safety Standards by Jens Braband /
Yuji Hirao / Jonathan F. Luedeke published in SIGNAL + DRAHT (95) 12/2003
(28) FRA Approval letter for Smartway Digital Track Circuit, 2012-0075
(29) Statement letter for iVPI by Railcert, RC100703-PvdV-131004-01, 10 October 2013