19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

ACCEPTATION CROISEE EUROPE – ETATS UNIS

DE PRODUIT DE SECURITE POUR LA SIGNALISATION FERROVIAIRE

BRIDGING THE EUROPEAN AND NORTH AMERICAN RAIL SAFETY GAPS
TYPICAL CASES OF CROSS ACCEPTANCE IN BOTH DIRECTION

Auteur Laurent BOILEAU

Société ALSTOM Signaling Inc.
Adresse 1025 John Street, West Henrietta, NY 14586, USA

Résumé
L’objectif de cette communication est de présenter la façon dont la documentation supportant la démonstration de sécurité de
produit de signalisation a été construite en réutilisant au maximum l’existant, et a été présentée de façon à adresser à la fois les
exigences Européennes c’est-à-dire CENELEC, et, Nord-Américaines c’est-à-dire AREMA, IEEE et Federal Railroad
Administration (FRA).
Cette communication est illustrée par deux exemples concrétisant l’application de la méthode présentée dans cette
communication :
- cas #1 comment un circuit de voie de sécurité conçu en Italie conformément aux exigences CENELEC, a été accepté en
Décembre 2012 par la Federal Railroad Administration conformément à la règlementation 49 CFR Part 236 Subpart H,
et, dans l’autre sens,
- cas #2 comment un système d’enclenchement de sécurité conçu aux Etats Unis conformément aux règles AREMA, a été
accepté en Octobre 2013, conforme ou équivalent aux exigences SIL 4 suivant CENELEC par un Evaluateur Sécurité
Indépendant en Hollande.

Summary
In the past few years there has been an evolution in the process of gaining a form of cross acceptance between U.S. and
CENELEC developed rail equipment, which can provide lessons learned about how bridging the certification gap can be
achieved. Some convergences regarding technical requirements (e.g. EMC-EMI) between AREMA and CENELEC have been
observed recently.
Two examples illustrating successful cross acceptance processes can be used to address the key elements needed to achieve
safety approvals.
The intent of this paper is to illustrate the steps taken to gain FRA safety certification under 49 CFR Part 236 Subpart H, of a train
detection product developed in Italy according to CENELEC standards and conversely, a U.S. based interlocking system
developed according to FRA and AREMA best practices and its acceptance according to CENELEC standards for use in The
Netherlands.

Introduction
Cette communication a pour but de présenter la façon dont la documentation supportant la démonstration de sécurité de produit
de signalisation ferroviaire a été construite en réutilisant au maximum l’existant, et a été présentée de façon à adresser à la fois
les exigences Européennes c’est-à-dire CENELEC, et, Nord-Américaines c’est-à-dire AREMA, IEEE et Federal Railroad
Administration (FRA).
Cette démarche s’adresse aux produits de sécurité existants, déjà acceptés sur un territoire, afin d’évaluer les chances
d’acceptation croisée sur un autre territoire dans un effort raisonnable. Elle peut aussi s’appliquer au développement en cours de
nouveaux produits de sécurité. Par contre, la démarche présentée dans ce papier, ne couvre pas les produits de sécurité
anciens sans dossier de sécurité à jour.
Quels sont les Risques?
Il est important de clarifier quels sont les risques avant de s’engager dans la démarche qui consiste à faire accepter un produit
conçu suivant les standards européens aux Etats Unis, et, vice et versa.
Les risques ne sont pas en fait, très différents en nature, de ceux rencontrés lors d’une démarche classique d’acceptation d’un
produit de sécurité conçu suivant CENELEC en Europe par exemple, à savoir :
- Risque 1 (R1) : La conception du produit ou de son application ne satisfait pas aux critères de la nouvelle norme.
L’acceptation du Produit est rejetée et requiert une modification de conception ex. modification de l’architecture du
produit ou modification du logiciel de sécurité ou modification matérielle d’une carte électronique etc.
- Risque 2 (R2) : La démonstration de sécurité existante ne satisfait pas aux critères de la nouvelle norme. L’acceptation
du Produit n’est pas acceptée en l’état et requiert un travail supplémentaire du dossier de sécurité nécessitant des
analyses de sécurité complémentaires, des activités de Vérification et Validation (V&V) incluant des tests
supplémentaires etc.
Les conséquences en termes de retard impactant un projet de signalisation utilisant un produit de sécurité non accepté par les
autorités de sécurité, de coûts additionnels dus aux activités non-programmées ou de l’impact sur l’image de marque, ne sont
pas chiffrés dans ce papier.

Communication 1D-9 Page 1 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Par contre, ce qui est sous-tendu dans la démarche proposée ici, c’est que le Risque (R1) est jugé Inacceptable. C’est à dire
qu’après examen détaillé, si un produit de sécurité existant, risque de devoir subir des modifications de conception afin d’être
accepté suivant un nouveau standard, alors, cette option technique ne sera pas retenue.
Le Risque (R2) peut être Acceptable, au cas par cas, suivant la stratégie définie par l’entreprise.

Rappel de l’approche CENELEC en Europe

Il ne s’agit pas ici de présenter dans le détail les Normes CENELEC applicables dans le transport ferroviaire, références de (15)
à (24), ni de présenter les standards américains références de (1) à (14), puis d’en faire une étude comparée, ceci a déjà été fait
de façon plus ou moins exhaustive, voir par exemple références (26) et (27), il s’agit ici de résumer les différences
fondamentales qui sont autant de freins à l’acceptation croisée, et, les points de rencontre sur lesquels la démarche peut
s’appuyer. L’identification de ces différences provient autant de l’étude théorique des normes que de l’expérience acquise par
l’auteur sur des applications concrètes pendant plus de quinze années en Europe en Chine et aux Etats Unis.
L’approche CENELEC est une approche verticalement intégrée (qui part du général pour aller vers le particulier, des
responsabilités de l’opérateur ferroviaire à celles du fournisseur etc.), hiérarchisée et modulaire (Produit Générique / Application
Générique / Projet Spécifique) et organisée en une structure documentaire assez cohérente.
La structure du dossier de sécurité (safety case) ou de la preuve de sécurité est aussi imposée dans le détail (16): jusqu’à quatre
niveaux de paragraphe !
L’approche CENELEC contraint aussi l’organisation à mettre en place les indépendances nécessaires entre la Conception, la
Vérification, la Validation et l’Assurance Sécurité afin de réduire le risque d’erreurs humaines tout au long du cycle de
développement du produit / sous-système / système.
Dans cette approche, il est clair que la façon de faire et la manière de s’organiser sont aussi importantes que l’objectif technique
à obtenir.
Ce qui peut avoir comme conséquence que l’énergie parfois colossale, dépensée à démontrer la conformité à un processus, se
fasse au détriment de l’évaluation de sécurité du produit final proprement dite. Cette situation se produit et peut être observée
lorsque l’évaluation de sécurité se résume alors à des audits de sécurité aux conclusions pouvant être peu précises.
Les deux figures suivantes présentent la vue d’ensemble des Normes CENELEC de (15) à (24), et, la structure du Dossier de
Sécurité selon CENELEC EN50129 (16), complété par l’ISO 9000 (25).

Figure 1. Les Normes CENELEC pour le Ferroviaire

Communication 1D-9 Page 2 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Figure 2. La structure du dossier de sécurité conforme à CENELEC

Rappel de l’approche Américaine

L’approche Nord-Américaine est beaucoup plus fragmentée et ouverte. Les références normées représentent une collection
hétérogène de Guide ou Règles de l’Art (AREMA), Règlementation ayant force de loi (FRA) ou Réglementation consultative
(FTA) et normes tel qu’IEEE ou MIL-STD. Toutes ces différentes initiatives sont à la fois indépendantes et interconnectées, ce
qui n’en facilite pas la lecture ni l’application. Le cahier des charges client est alors la contrainte à respecter quant à la dominante
normée à suivre.
En fait, cette façon de procéder est le résultat de la démarche « consensus based Standards and Regulations » initiée dans les
années 1990 par l’ensemble des acteurs du ferroviaires aux Etats Unis permettant une flexibilité dans l’approche de sécurité.
La figure suivante présente la vue d’ensemble des principaux standards Nord-Américains applicables dans la signalisation
ferroviaire: Règlementations Fédérales (1) et (2), Pratiques Recommandées AREMA (4), normes IEEE de (5) à (13) et MIL STD
(14) qui en fait viennent des Etats Unis.

Figure 3. L’approche règlementaire Nord-Américaine pour le Ferroviaire

Communication 1D-9 Page 3 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Il est important de noter que les révisions D et E de la MIL STD 882 bien plus récentes que la révision C qui date de 1993, ne
sont pas vraiment reconnues dans le domaine ferroviaire, même aux Etats Unis, et sont donc peu citées dans les exigences
contractuelles à respecter.
Un exemple de difficulté que représente l’approche fragmentée Nord-Américaine : pratiquement tous les standards abordent
l’activité de sécurité « Identification des Dangers et Analyse de Risques », à leur manière, seul le contrat client clarifie (ou pas) la
référence à suivre.
A contrario, aucun standard jusqu'à 2013, ne définissaient la Compatibilité Electromagnétique de façon satisfaisante. En 2013,
AREMA s’est à peu de chose près, alignée sur la position CENELEC/IEC (17).
En ce qui concerne le développement de produit de sécurité pour le ferroviaire aux Etats Unis, la conformité AREMA est un
« must ». Le dossier de sécurité du produit doit donc intégrer les preuves de sécurité selon AREMA, par contre, la structure du
dossier de sécurité n’est pas imposée. En fait, la certification ou l’homologation d’un produit générique, décorrélée de son
application projet spécifique n’existe pas dans la démarche américaine. Les preuves de sécurité au niveau produit générique
sont rarement des documents livrables contractuellement (les preuves sont auditables après engagement de confidentialité
signé par l’évaluateur). Le dossier de sécurité du produit est alors présenté avec plus ou moins de détails techniques au travers
du dossier de sécurité projet suivant la structure requise au contrat par les clients dans le contexte spécifique des projets par
exemple : AMTRAK operateur grandes lignes, operateurs du fret tels que NS, CSX etc. ou opérateurs métro tels que NYCT,
BART, WMATA etc., c’est à dire, au cas par cas.
En pratique, l’approche Nord-Américaine ne contraint pas strictement l’organisation qui doit être mise en place afin de
développer un produit de sécurité même si AREMA recommande des indépendances entre Design et Validateur de Sécurité
similaires à celles définies par CENELEC. De plus, le processus de développement est en général moins contraint que dans
l’approche CENELEC. Sans affirmer que seul l’objectif technique de sécurité est important, il est raisonnable de dire, ici, que le
chemin pour arriver à l’objectif est laissé assez libre, et, est moins contraint par les standards américains que par CENELEC.
Il en va de même en ce qui concerne l’évaluateur de sécurité (Independent Safety Assessor – ISA – ou Third Party aux USA) qui
n’est pas systématiquement requis contrairement à l’approche CENELEC.
Il est aussi à noter que les entreprises postulantes à l’activité d’évaluateur de sécurité aux USA, ne sont pas accréditées suivant
des règles normées. C’est l’expérience, les compétences acquises et reconnues des différents membres qui composent l’équipe
d’évaluation qui fait la réputation et donc la reconnaissance dans le domaine.
La figure suivante présente un exemple simple de dossier de sécurité appelé « Product Safety Plan (PSP) » selon la Federal
Railroad Administration (FRA).

Figure 4. Structure du dossier de sécurité selon la FRA (Product Safety Plan)

Vous noterez que le dossier de sécurité est ici appelé « plan ». En fait, le dossier de sécurité d’un produit devient un « plan » à
respecter pour l’operateur : contraintes de sécurité du produit à respecter au niveau du projet d’application, de la formation des
équipes qui auront en charge l’installation, les tests, l’exploitation, la maintenance etc.

Communication 1D-9 Page 4 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Quelle démarche?

Apres avoir fait une revue synthétique de l’approche CENELEC et de l’approche Nord-Américaine c’est à dire FRA / AREMA /
IEEE / MIL-STD, afin d’évaluer les écarts fondamentaux des deux approches et donc la probabilité de réalisation du Risque R1
ou R2, la méthode d’analyse et de démonstration a consisté à traiter les Ecarts Techniques suivant trois niveaux :
1) La structure du dossier de sécurité (safety case, safety report, proof of safety, product safety plan)
2) Les principes de sécurité et l’architecture de sécurité à base de logiciel (safety concepts and safety architecture), les
rapports de vérification de la sécurité (verification of dependent factor), les rapports de validation etc.
3) Les contraintes environnementales (Température, Electrique, Mécanique et Vibration, EMC-EMI, etc.).
Ceci permet à la fin de l’analyse, d’évaluer les forces et faiblesses du produit candidat à la démarche d’acceptation croisée.
Il est important de rappeler une limite importante de la méthode : il ne s’agit pas d’évaluer si un produit qui n’a pas été développé
en conformité avec CENELEC a plus de chance d’être accepté suivant les standards Nord-Américains et vice et versa !
Dans un deuxième temps, la méthode a consisté à définir une Structure Documentaire unique du dossier de sécurité, pouvant
convenir à la fois au monde normé par CENELEC et utilisable au Etats Unis, la plus simple possible, en réutilisant l’existant au
maximum.
Enfin, la méthode a été mise en œuvre sur les deux Cas Concrets présentés en fin de document, à savoir :
 Cas #1, Un circuit de voie de sécurité pour la signalisation ferroviaire « Made in CENELEC » approuvé par la Federal
Railroad Administration (FRA) aux Etats Unis, en 2012.
 Cas #2, enclenchement informatisé de sécurité pour la signalisation ferroviaire « Made in USA» approuvé SIL 4 selon
CENELEC, par un évaluateur indépendant de sécurité en Hollande, en 2013.
Ce papier n’a pas vocation à présenter l’exhaustivité des différences, point à point, pour chacun des niveaux d’analyse ce qui
ferait l’objet d’un autre type de communication (étude détaillée ou essai technique) mais de présenter les conclusions de l’auteur
vis à vis du Risque R1 ou R2, illustré par un ou deux exemples caractéristiques.

Analyse des Ecarts Techniques

1. La structure du dossier de sécurité

Le dossier de sécurité est à la fois le premier en importance et le dernier en séquence des documents de la démarche
d’acceptation de sécurité. Il est le premier des documents lu, revu, commenté et enfin accepté ou rejeté, par les partenaires, le
client, l’operateur et enfin par les autorités de sécurité nationales. Il présente aussi l’ensemble de la démarche d’assurance
sécurité, les résultats des tests finaux et finalement les contraintes de sécurité exportées. Le dossier de sécurité arrive donc en
dernier dans le cycle de développement.
A ce titre ce document doit être le plus proche possible des habitudes du pays pour éviter toutes difficultés de lecture /
compréhension / acceptation qui compliquent inutilement la tâche.
Bien qu’accepté sur le papier, le dossier de sécurité au format CENELEC est encore trop récent dans l’usage américain pour
être accepté tel quel au niveau projet.
Il n’a pas été identifié de point bloquant qui pouvait entrainer une modification de conception du produit à cause de la
présentation et de la structure du dossier de sécurité. L’ensemble des différentes démarches de sécurité (identification des
dangers, analyse de risque, analyse de sécurité, l’AMDEC ou les arbres de défaillances, suivi du journal de sécurité etc.)
découlent toutes de la démarche MILITARY STANDARD (14) élaborée il a plus de 30 ans… pas de différences fondamentales
ici.
De plus, certaines exigences de sécurité ont maintenant convergées : par exemple, les exigences quantifiées entre CENELEC
(16) Annexe A, exprimées en « Taux maximum acceptable d’occurrence d’un danger par heure et par fonction » (Tolerable
Hazard Rate - THR - en anglais), et, AREMA (4) section 17.3.5. exprimées en « Probability of Failure per Operating Hour » sont
très proches.
Note : Le « Mean Time To Hazardous Events (MTTHE) », ou, « Mean Time Between Hazardous Events (MTBHE) » américain,
exprimé en heures ou en années, selon les contrats, peut être alors simplement approximé par l’inverse du THR.
Le risque concernant La structure du dossier de sécurité est un Risque R2 : un risque documentaire.

2 La démonstration des principes de sécurité et de l’architecture de sécurité

Dans la continuité de l’analyse du dossier de sécurité de la section précédente, il est nécessaire d’entrer dans le détail de
l’architecture de sécurité et des principes de sécurité qui la régissent.
C’est un point crucial puisque de l’architecture et surtout des principes de sécurité mises en œuvre, vérifiés et validés, vont
découler, par exemples : les seuils en tension et en courant garantis de sécurité, les temps de réaction garantis de sécurité etc.
etc.
Si les principes de sécurité ne sont pas bien présentés, démontrés afin d’être compris par tous les acteurs alors les Risque R2,
voir R1, sont réels.
Le tableau ci-après fait la traçabilité entre les « principes de sécurité » selon CENELEC EN50129 (16) et les « concepts de
sécurité » selon IEEE 1483 (5) qui sont repris pratiquement à l’identique dans AREMA (4) :

Communication 1D-9 Page 5 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

CENELEC EN50129 IEEE 1483 AREMA

Principe de Sécurité
B.3.1 3) Inherent fail-safety
B.3.1 2) Reactive fail-safety
B.3.1 1) Composite fail-safety
Concept de Sécurité
A.1.2.1 Intrinsic fail
A.1.2.5 Numerical Assurance
A.1.2.4 Self-Checking part
A.1.2.2 Checked Redundancy
A.1.2.3 N-Version Programming
A.1.2.4 Diversity part
Class I and II
17.3.3 F Class I
17.3.3 G Class II, 2c Numerical Assurance
17.3.3 G Class II, 2a Self-Checking
17.3.3 G Class II, 2b Checked Redundant Comparison
Non Référencé
17.3.3 G Class II, 2b Checked Redundant Comparison
(partiel)

Table 1 Exemple de table de traçabilité pour les Principes de Sécurité

Pas de différences fondamentales ici non plus, mais, une divergence de présentation importante. En effet, CENELEC présente
ses principes de sécurité de façon purement fonctionnelle sans notion de solution technique permettant de supporter le principe
concerné. Dans le cas de l’IEEE, le concept de sécurité s’attache autant au principe théorique, purement fonctionnel, qu’à la
solution technique qui permet de le réaliser. L’IEEE est plus pragmatique dans sa volonté de guider l’utilisateur de sa norme tout
en complétant chacun des concepts de sécurité par les points fondamentaux de vérification et validation qui lui sont attachés
(dependent factor).
Lorsqu’il n’y a qu’une solution technique associée au principe de sécurité comme dans le premier cas du tableau, à savoir le
principe de sécurité intrinsèque, alors CENELEC et IEEE sont identiques. AREMA détaille ensuite comment démontrer la
sécurité matérielle en définissant les modes de défaillance au niveau des composants électroniques (c’est cette activité
d’analyse, comparaison et synthèse qui est appelée Traduction dans ce papier).
L’IEEE 1483 (5) est un « must » en Amérique du Nord qu’il est important de respecter. Le document « concept de sécurité » est
ainsi requis par l’IEEE en début de développement alors que dans la démarche CENELEC les principes de sécurité sont bien
souvent présentés dans le dossier de sécurité c’est à dire plutôt en fin de développement.
Un travail de présentation, traçabilité et traduction doit donc être fait dans les deux sens, de CENELEC vers IEEE, et, vice et
versa.
L’IEEE 1483 (5) impose que l’arbre de défaillance soit décomposé en deux arbres hiérarchiquement organisés : le premier de
plus haut niveau étant purement fonctionnel (Functional Fault Tree -FFT-) suivi du second niveau détaillant la solution matérielle
et logicielle jouant un rôle dans la démonstration de sécurité (Fault Tree Analysis -FTA-). La solution matérielle et/ou logicielle
doit détailler les exigences de garantie d’exécution ou de non-exécution en cas défaillances internes ou externes.
En ce qui concerne les transmissions de données de sécurité la conformité à la norme CENELEC EN 50159 (23) qui n’a pas
d’équivalence dans les standards américains, est systématiquement appliquée (Voir l’illustration dans le cas #2).
La prochaine étape aborde les développements logiciels et matériels de sécurité au service de l’architecture de sécurité.
2a. Le développement du logiciel de sécurité
Pour le développement des logiciels de sécurité le point fondamental est la traçabilité de la Vérification et Validation des logiciels
participant à la fonction de sécurité, aux exigences fonctionnelles et de sécurité exprimées.
La norme CENELEC EN50128 (24) contraint aussi l’organisation, les langages de programmation, les méthodes de Vérification
et Validation, et, dans une moindre mesure les méthodes de conception logicielle à mettre en œuvre.
L’IEEE 1483 (5) fait un lien plus évident entre la fonction de sécurité supportée par des solutions logiciels et les points
fondamentaux à Vérifier et Valider pour chacun des concepts de sécurité mis en œuvre. L’IEEE 1483 applicable pour les
fonctions de sécurité est complétée par la série de normes regroupées sous l’IEEE 1558 (6) qui définit la structure documentaire
pour tous les développements logiciel, pas seulement ceux de sécurité.
Comme les standards Nord-Américains ne requièrent pas une stricte indépendance entre la conception et la Vérification &
Validation, il se peut que cela représente un point bloquant vis à vis de la norme CENELEC si l’entreprise ne se contraint pas à
cette bonne pratique.
En conclusion, un logiciel de sécurité selon CENELEC 50218 (24) ne doit pas être moins sûr qu’un logiciel de sécurité selon
IEEE 1483 (5) supporté par IEEE 1558 (6), et, vice et versa.
Par contre, un effort assez important de traduction et traçabilité avec complément d’information si nécessaire, doit être envisagé
afin de supporter la démarche d’acceptation croisée sans devoir pour autant tout remettre en cause.
Cet effort peut être fait directement dans le dossier de sécurité afin de présenter les résultats venant des preuves de sécurité de
Vérification & Validation logiciel de plus bas niveau. Ceci requiert toutefois un niveau d’expertise important.
2b. Le développement du matériel de sécurité
Les études de sécurité matérielle supportées par l’AMDEC au niveau composant pour les pannes simples, complétées par
l’analyse des pannes combinées et leur modélisation par les arbres de défaillances pour les équipements et cartes électroniques
de sécurité de Classe I selon AREMA (4) section 17.3.3., sont équivalentes aux études de sécurité matérielle requises selon
CENELEC de la EN50129 (16) Annexe C. Pas de différence fondamentale d’un point de vue conceptuel.
Toutefois, les modes de défaillances des composants ne sont pas exactement identiques selon AREMA et CENELEC. Une
étude, au cas par cas, doit être menée afin de vérifier que le risque est un Risque R2 (le plus probable), ou, d’identifier au plutôt
un Risque R1 potentiel. Globalement, on ne peut pas dire qu’AREMA est plus contraignante que CENELEC, et, vice et versa.
C’est au cas par cas, en fonction du composant.

Communication 1D-9 Page 6 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

En conclusion de cette deuxième étape, le risque doit aussi être un Risque R2 : un risque documentaire. Attention toutefois aux
études de sécurité intrinsèque matérielle à base de composants spéciaux qui ne seraient reconnues que par une norme
particulière (soit AREMA, soit CENELEC) et à vérifier l’équivalence entre AREMA et CENELEC des modes de défaillances des
composant utilisés. Sinon le risque R1 est Possible.
3. La gestion des écarts sur les contraintes environnementales
Les contraintes liées aux conditions environnementales représentent le plus grand risque de modification de conception,
Risque 1 (R1). C’est donc par cette étape qu’il convient de commencer l’analyse détaillée afin d’identifier les points bloquants, au
plus tôt, avant d’engager toute démarche d’acceptation croisée.
Les conditions environnementales sont les suivantes :
- conditions de Température,
- conditions Electrique,
- conditions Mécanique et de Vibration,
- conditions Compatibilité Electromagnétique (EMC-EMI),
- et dans une moindre mesure, conditions d’Altitude et de Pression.
Autant il est relativement aisé de définir le pire cas en ce qui concerne les exigences de Températures et de Vibration par
exemple, puis, de tester le produit candidat selon les deux standards CENELEC de (17) à (22) et AREMA (4) sections 11 et 17,
autant en ce qui concerne les conditions Electriques comprenant les distances de sécurité à respecter pour le matériel de
sécurité intrinsèque (Classe I selon AREMA ), ainsi que les niveaux de Compatibilité Electromagnétique, des jugements
d’experts sont bien souvent nécessaires.
De plus il faut tenir compte des exigences particulières qui viennent bien souvent compléter les exigences normées. En effet, la
SNCF en France ou NYCT aux Etats Unis, définissent des exigences environnementales plus sévères que le minimum requis
par les normes.
Une nouvelle fois, c’est au cas par cas que l’analyse de conditions environnementales doit être faite.
Dans ce contexte, Alstom a mis en place des groupes de travail composés d’expert Européens (CENELEC) et Américains
(AREMA) afin de traiter globalement les contraintes des deux standards en ce qui concerne, notamment : les distances de
sécurité, les modes de défaillances des composants, l’analyse des pannes combinées etc.
Le risque ici est un Risque R1 : un risque de modification de conception. Une analyse détaillée doit être prévue avec un niveau
d’expertise important. Des « essais de types » ou « tests de qualification » supplémentaires sont à prévoir au cas par cas (ce
qui a été fait dans le cas # 1). C’est une activité de Vérification et Validation à prévoir (attention à l’effort concernant les tests
supplémentaires qui peut être non négligeable), à moins que le produit ait dès sa conception pris en compte CENELEC et
AREMA, ce qui est encore assez rare à ce jour ou en cours de réalisation pour les produits nouveaux.

La Structure Documentaire
Finalement, il a donc été décidé de ne créer aucun nouveau document de sécurité au niveau de l’architecture produit, du logiciel
et du matériel, en réutilisant telles quelles les différentes preuves de sécurité d’origine et de les présenter au travers du dossier
de sécurité au format CENELEC. Le choix du format de CENELEC a été guidé par le fait que ce format est le plus contraignant
pour les produits génériques (sans configuration particulière pour un projet donné) et le plus reconnu dans le monde. Ensuite, il
peut être alors complété, assez aisément, avec un Product Safety Plan (PSP) pour une soumission à la FRA.
L’effort de présentation, de traçabilité, de traduction et les compléments d’information lorsque cela a été nécessaire, ont été
apportés soit dans le dossier de sécurité soit dans le PSP directement. C’est-à-dire que toutes les briques de base existantes de
la preuve de sécurité pour les deux cas illustrant la démarche, n’ont pas été remises en cause, n’ont pas dû être corrigées ni
refaites. Il est toutefois à noter que dans les deux premiers cas utilisés pour tester la méthode, les produits de sécurité ont aussi
un solide retour d’expérience terrain, en plus des preuves de sécurité (liste des dangers, AMDEC, arbre de défaillances,
contraintes de sécurité exportées etc.) en ordre.
Le dossier de sécurité de type CENELEC, a été aussi introduit pour les nouveaux produits génériques conçus aux USA même si
cela n’est pas nécessaire pour le marché nord-américain. Ceci, afin de ne pas limiter l’utilisation du produit « Made in USA » à la
seule zone américaine puisque CENELEC est reconnue au-delà de ses frontières d’origine comme par exemple en Chine ou en
Inde, ce qui est moins vrai pour les standards américains.
Pour les produits européens ayant déjà leur dossier de sécurité en ordre et conforme à CENELEC, c’est alors un travail
raisonnable de présentation, de traçabilité, de traduction et enfin de complément d’information qui doit être fait afin de créer le
PSP américain selon FRA.
Dans la mesure où les informations présentées aux autorités américaines peuvent faire l’objet d’une parution dans le domaine
public, c’est-à-dire accessible à tous sur internet, le PSP permet aussi de filtrer les informations généralement très complètes,
parfois trop détaillées, du dossier de sécurité de type CENELEC. Voir l’illustration dans le cas #1.
Pour les produits américains, un dossier de sécurité (safety case) au format CENELEC doit être créé pour une éventuelle
acceptation en Europe ; c’est un « must », il n’y a pas d’autre choix possible aujourd’hui. Voir l’illustration dans le cas #2.

Communication 1D-9 Page 7 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

L’approche globale Alstom se décompose en trois (3) étapes:

I. Création de la structure modulaire du dossier de sécurité conforme à CENELEC qui soit compatible avec une utilisation
américaine AREMA et IEEE
II. Intégration des résultats des preuves de sécurité (Analyse des Dangers, AMDEC, Arbre de Défaillances etc.) dans la
structure modulaire du dossier de sécurité :
- de façon naturelle pour les produits de conception conforme à CENELEC
- avec un effort de traduction et traçabilité pour les produits de conception conforme aux Standards Américains
III. Une fois complété, le dossier de sécurité produit générique au format CENELEC est alors prêt à supporter soit le dossier de
sécurité au niveau projet de façon naturelle pour les projets formatés CENELEC, soit, à supporter le rapport ou dossier de
sécurité américain, par exemple : le Product Safety Plan selon la FRA de la figure suivante.
Note : Le Product Safety Plan (PSP) peut tout à fait être remplacé par tout autre format de rapport ou dossier de sécurité
afin de supporter, par exemple : les recommandations émanant de la Federal Transit Administration (FTA) puisque rien ne
manque de fondamental, à ce jour, dans l’approche CENELEC.

III.

I. II.

Figure 5. Structure du dossier de sécurité selon la FRA (Product Safety Plan)

Enfin, la méthode a été mise en œuvre sur les deux Cas Concrets présentés dans la section suivante.

Communication 1D-9 Page 8 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Premier exemple, cas #1 : Produit de sécurité européen accepté aux USA

Cas #1 : un circuit de voie de sécurité pour la signalisation ferroviaire « Made in CENELEC » approuvé par la Federal Railroad
Administration (FRA) aux Etats Unis, en 2012.
Contexte :
Le circuit de voie de sécurité conçu et développé à Bologne, en Italie, possède son dossier de sécurité (ainsi que les preuves de
sécurité matérielle et logicielle de plus bas niveau) conforme à CENELEC.
Activités:
L’effort principal s’est concentré sur la conformité aux contraintes environnementales (présentant potentiellement un risque R1)
selon les standards américains, conduisant à des compléments d’activité de Vérification et Validation (jusqu’aux tests
d’intégration du produit selon les exigences du projet pour Port Authority Trans-Hubson (PATH) entre New York et New Jersey
sous régulations FRA). Pas de changement de conception majeur quelques adaptations de configuration et filtrage.
En parallèle, l’effort a été concentré sur la réalisation du Product Safety Plan (PSP) directement puisque le produit possédait
déjà son dossier de sécurité générique conforme à CENELEC, en présentant les résultats des preuves de sécurité existantes
selon CENELEC (activités de Traçabilité, Présentation et Traduction des trois (3) figure précédente) au format américain.
Le PSP a ensuite été complété par l’intégration des résultats Vérification et Validation vis-à-vis des contraintes
environnementales (du paragraphe précédent) et les compléments d’informations requis par la FRA comme le chapitre 20 du
PSP concernant les évolutions futures du produit (Section 20 : Incremental Changes). Aucune nouvelle étude de sécurité n’a été
nécessaire.
Résultats:
Référence de l‘acceptation du cas #1 (28) FRA Approval letter for Smartway Digital Track Circuit, 2012-0075.

Second exemple, cas #2 : Produit de sécurité américaine accepté en Europe

Cas #2, un enclenchement informatisé de sécurité pour la signalisation ferroviaire « Made in USA» approuvé par un évaluateur
indépendant de sécurité selon CENELEC, en Hollande, en 2013.
Contexte :
L’enclenchement informatisé de sécurité (VPITM / iVPITM) conçu et développé aux USA dispose de ses preuves de sécurité en
ordre mais ne possédait pas de dossier de sécurité au format CENELEC. Par contre, le produit ancien VPI TM avait été évalué par
un Evaluateur Sécurité Indépendant en Hollande (Railcert, dans les années 2000) comme de niveau SIL4. Le produit VPI TM est
en service commercial en Hollande avec d’excellents états de service depuis près de deux (2) décennies. Le cas #2, est en fait
l’activité de démonstration de la sécurité des évolutions du nouveau produit iVPI TM remplaçant naturellement le VPITM.
Activités:

L’effort principal a été concentré sur la création d’un dossier de sécurité conforme à CENELEC dans la mesure où l’évolution du
nouveau iVPITM ne remettait pas en cause l’architecture de sécurité éprouvée du VPI TM.
L’activité première a donc été de compléter la structure standard du dossier de sécurité conforme à CENELEC, en expliquant la
nature des évolutions du nouveau iVPITM par rapport au VPITM, et, en traduisant dans le langage CENELEC, les résultats des
preuves de sécurité existantes selon les standards américains (activités de Présentation, Traduction et Traçabilité). Ceci afin de
supporter les revues et audits de sécurité de l’évaluateur indépendant Railcert.
Pour le nouveau protocole de communication de sécurité via Ethernet qui n’existe pas pour le VPITM, les exigences de la norme
CENELEC 50159 (23), ont été suivies pour le développement du iVPITM typiquement américain.
En ce qui concerne les exigences environnementales, le retour d’expérience de près de deux décennies est venu compléter les
rapports de tests du iVPITM selon AREMA. Ceci a fait l’objet de limitations vis-à-vis de la conformité aux normes CENELEC (17) à
(22) (information présentée dans le chapitre dédié aux contraintes exportées dans le dossier de sécurité du produit) mais ne
posant pas de problèmes majeurs au niveau projet, puisque le nouveau iVPI ne dégrade en rien les performances du VPI TM
actuellement en service, voire les améliore.
Par exemple, la compatibilité électromagnétique est gérée au niveau de l’armoire électrique projet avec une attention particulière
au niveau des câbles et des alimentations électriques utilisées en Hollande sans remettre en cause la conception du produit
générique qu’est le calculateur de sécurité iVPITM. C’est la même démarche mise en œuvre précédemment pour le VPI TM qui a
été reconduite pour iVPI.
Ce travail a été mené en étroite collaboration, de façon tout à fait ouverte et pragmatique entre tous les partenaires incluant le
client operateur Prorail et l’évaluateur de sécurité Railcert.
Aucune nouvelle étude de sécurité n’a été nécessaire au niveau produit.
Résultats:
Référence de l‘acceptation du cas #2 (29) Statement letter for iVPI by Railcert, RC100703-PvdV-131004-01, 10 October 2013.

Communication 1D-9 Page 9 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Une organisation Alstom au service de la démarche

Cette démarche a été grandement facilitée et rendu possible grâce à l’organisation internationale et les méthodes d’Assurance
Sécurité mises en place par Alstom Transport au travers d’un réseau mondial d’experts de sécurité et d’évaluateurs internes
sécurité depuis plus de quinze ans.

Conclusion

L’effort qui a été consenti afin de faire accepter un circuit de voie de sécurité pour la signalisation ferroviaire « Made in
CENELEC » par la Federal Railroad Administration (FRA) aux Etats Unis, en 2012 (cas #1), puis, un enclenchement informatisé
de sécurité pour la signalisation ferroviaire « Made in USA» approuvé par un évaluateur indépendant de sécurité selon
CENELEC, en Hollande, en 2013 (cas #2), a été tout à fait raisonnable grâce à la méthode présentée dans cette communication.
Comme toute méthode confrontée à un nombre limité d’applications, celle-ci ne représente pas un « benchmark » mais ouvre la
voie à une possibilité d’acceptation croisée entre Europe et Amérique du Nord assez simple dans certaines conditions. En effet,
dans les deux cas illustrant la méthode appliquée, un nombre très limité de nouveaux documents a été produit afin d’obtenir
l’acceptation des autorités de sécurité.
Enfin, il est évident que cette méthode implique de ne pas avoir une approche dogmatique de la sécurité suivant telle ou telle
normes en perdant la vue globale. Si cette condition n’était pas remplie l’auteur recommande tout simplement de ne pas
s’engager dans la démarche d’acceptation croisée entre Europe et Etats Unis.

Remerciements
L’auteur remercie toutes les personnes qui ont participé de près ou de loin à la rédaction de ce papier, elles se reconnaitront…

Communication 1D-9 Page 10 sur 11

 19e Congrès de Maîtrise des Risques et Sûreté de Fonctionnement - Dijon 21-23 octobre 2014

Références

(1) Federal Railroad Administration, Title 49 Transportation CFR Part 236 - RULES, STANDARDS, AND INSTRUCTIONS
GOVERNING THE INSTALLATION, INSPECTION, MAINTENANCE, AND REPAIR OF SIGNAL AND TRAIN
CONTROL SYSTEMS, DEVICES, AND APPLIANCES - Subpart H - Standards for Processor-Based Signal and Train
Control Systems, 2010
(2) Federal Railroad Administration, Title 49 Transportation CFR Part 236 - RULES, STANDARDS, AND INSTRUCTIONS
GOVERNING THE INSTALLATION, INSPECTION, MAINTENANCE, AND REPAIR OF SIGNAL AND TRAIN
CONTROL SYSTEMS, DEVICES, AND APPLIANCES - Subpart I - Positive Train Control Systems, 2010
(3) Federal Transit Administration, 49 CFR Part 659 - Rail Fixed Guideway Systems; State Safety Oversight, 2005
(4) AREMA, Communications and Signals Manual of Recommended Practices, 2013
(5) IEEE 1483 TM -2000, IEEE Standard for Verification of Vital Functions in Processor-Based Systems Used in Rail Transit
Control, March 2000
(6) IEEE 1558 TM -2004, IEEE Standard for Software Documentation for Rail Equipment and Systems
(7) IEEE 730 TM -2002, IEEE Standard for Software Quality Assurance Plans
(8) IEEE 828 TM -1998, IEEE Standard for Software Configuration Management Plans
(9) IEEE 829 TM -1998, IEEE Standard for Software Test Documentation
(10) IEEE 830 TM -1998, IEEE Recommended Practice for Software Requirement Specification
(11) IEEE 1012 TM -1998, IEEE Standard for Software Verification and Validation
(12) IEEE 1016 TM -1998, IEEE Recommended Practice for Software Design Description
(13) IEEE 1058 TM -1998, IEEE Standard for Software Project Management Plans
(14) MIL STD 882C, Department of Defense Standard Practice for Safety Systems, January 1993
(15) EN 50126, Railway applications - The specification and demonstration of Reliability Availability, Maintainability and
Safety (RAMS), 1999
(16) EN 50129, Railway applications - Communications, signalling and processing systems - Safety related electronic
systems for signalling, 2003
(17) EN 50121 Series, Railway applications – Electromagnetic compatibility, 2006
(18) EN 50124-1, Railway applications – Insulation coordination – Part 1: Basic requirements -Clearances and creepage
distances for all electrical and electronic equipment, 2001
(19) EN 50124-2, Railway applications – Insulation coordination – Part 2: Overvoltages and related protection, 2001
(20) EN 50125-1, Railway applications – Environmental conditions for equipment – Part 1: Equipment on board rolling
stock, 1999
(21) EN 50125-3, Railway applications – Environmental conditions for equipment – Part 3: Equipment for signalling and
communications, 2003
(22) EN 50155, Railway applications –Electronic equipment used on rolling stock, 2007
(23) EN 50159, Railway applications - Communication, signalling and processing systems - Safety-related communication
in transmission systems, 2010
(24) EN 50128, Railway applications - Communication, signalling and processing systems - Software for railway control and
protection systems, 2011
(25) ISO 9001: Quality management systems, 2008
(26) Bridging the European and U.S. Rail Safety Assurance Gap: The Feasibility of Cross Acceptance James B. Balliet,
Battelle Memorial Institute, Rail Safety and Security, AREMA, 2011
(27) The Relationship between the CENELEC Railway Signalling Standards and Other Safety Standards by Jens Braband /
Yuji Hirao / Jonathan F. Luedeke published in SIGNAL + DRAHT (95) 12/2003
(28) FRA Approval letter for Smartway Digital Track Circuit, 2012-0075
(29) Statement letter for iVPI by Railcert, RC100703-PvdV-131004-01, 10 October 2013

Communication 1D-9 Page 11 sur 11