!

"
# $ % &
' $ (!) #
( # #
( ' $

% # * (%
# $ %
 # $ %
+ $, ) $, % $ $
+ ) $ -
$ -
) # $ ) -
+ $ -
$ -

! # $ %

# # $ $

! %
! # $ %
 ./012 $
# $ $ '

3 )
$
' $
# $
# $ #
-

# $ $
'
./012 $ 45 6
$ $ , ' ,#
) $ : -

) $7 ) . +
83 9 )
8!
8
8: )
8
)
$ "
-
 + $ " ) 9 ) )
) -

+ $ " ) 9 ) )
) -

9 ) ) , , )
-
9 ) ) $ , $ )
, -
 ; -
) # $ +

8 ./012 : $< % =
8 ./01> $ # < # =
8 ./01? $ $ <@ # $=
8 ./0.?&0 1 $& <0= <1= $

: ) # @
+
8A $%
8 $%
8 $

5 $6
5 $6
$ $! $ ) B ! C#
) -
3 ;
 $ !
+ ' -
+ ' $ $ $
# -
! " + ) $ $ $
$ $ $ - $! $ ) #
) $ $-

8 !# $ & $&
8 ! # %&' $ $&
8 ! # (&) " $ ) -
 Part 6: Conclusion
$
Part 5: Related
Safety Cases

Part 4: Technical
Safety Report
D
Part 3: Safety
Management Report $: 5 $ 6-

Part 2: Quality
Management Report
! 5 6
Part 1: Definition of System )
" #
5 6 -

7 ) $ )
SAFETY , $ $ ,
CASE 9 $
, $ * & $ * $
$ ) $ ) $ $-
) $ 9
< $ = $
$ -
( <- - =,
<- - =,
$ ) $
$ $ $ $
< - -+ & =-
*
' $ (!) #
 (!@
8 ! 5 6
8 7 $ $
# $ $ '
8 ' $
8 : ) $

8 : ) $
8 !
8 '
8 $

8 !
8 * ) $
8 E
8 @ $
# $ $ '
 ' $
5 ' $ 6 +
@ ; F
' F
: ' 5 $
'6 $ ! #F
' ) $ $-

" +
' $ < (!=
< (!& =
! % < (!& =
# $3 < (!=
 @ ;
: (! ! !3 <0=++

" ) ) ,
) -

: (! ! !3 <1=+ $ # 9 $-
 @ ;
Frequency
Trigger

Cause

Consequence
Hazard

Severity

+ &@ ; &
 '
+ ; ) $ -

( AG H 3(
: 3G !I
77

( AG
!I H

@ @

G !I H

! :!

! ! !(! % ! !! 3 7@ !

3 AG !H 3( : 3G 77

" 5 ' 6 " ./012

 A ) '
! 3 + % F
G : ! + % $# '
# # # $ $ # $
$ $F
3 + $# #
# # $ $F
!! + # # # # $
$F
 '
Hazard Identification

Risk Assessment
Reassesment

Risk evaluated vs. Railway

Risk acceptance criteria

Countermeasures definition
Acceptable? No
for risk mitigation

Yes

Risk accepted
 )
Frequency
Cause
Trigger

Mitigation
Containment
Hazard Protection
Prevention

Consequence
Severity

%!! !3 + @ ; ) F
3 ! % + @ ; -
( # #
 # #
' $
< =

7 $ $ 7 $@ ;
$
< = < = <@ =

7 $ $ ! @ ;

8 + , -+ ' # $ # $ ) -
8 . , -+ ) $ -
8 , -+ ) # ' <!* *3 = #
# # $ -
8 / ,/ -+ $ $ ' &J $ -
8 / ! ,/ !-+ $ $ # * -
 $
$ # '
,# $ -

) $ $ , )
) ) , $ $
; F

) , # $
$ $ , ) ) #
) $-
 # # &
! 7G +
$ @ ;
$ $
! ' $ <@ =
< =

$ @ ;

<@ =
< =

$ (
7 $
$
$
< ( =
< 7=

7
7 $
@ ; < 7 =
$
<7@ = #
< =
$
- -% -
< =
< =
@ #
< @=
( ' $
 ' $
$ +5 ) 6 5 $
% 6< ' H # '=

) # +

@ ; !
$
$ 0 1 2 + + 3
$ @ ; ! @ ;
3 $
$ @ ;
! $
: ; :
$
<# * 7= ; %
; ! ;
$
; (
7 ) )
3 $
7 ;
! $ &
: &
 ' $ "
4
" ,# # ) <
(0 7 ; ' = ) $ -
(K ! ) ;
, $
(01 7 ;
, # $ $ -

(0K 7 ; ; ) L

(0M ;;

(K/

%
< ; % =
$ -

E D $; '
$ #
$ -
 @ ; !
$ ) # ; +

G 7 %F
; % F
% ; % F
% F
% % F
; F
% ; F
; F
; F

$ $ " (! < = -

! # $ @ ; # -
 @ ;
N Funzione Cod HAZARD Cod. Causa dell'Hazard

1 Protezione Segnali Fissi H01 Superamento Segnale a V.I. CH01.1 Errore Umano del PdM

CH01.2 Errata Acquisizione del SSB

CH01.3 Mancata Acquisizione del SSB

CH01.4 Errata Trasmissione del SST

CH01.5 Mancata Trasmissione del SST

CH01.6 Errata Comunicazione tra SSB e SST

CH01.7 Mancata Comunicazione tra SSB e SST

CH01.8 Errata posa o Configurazione del SST

CH01.9 Errata posa o Configurazione del SSB

Mancato Riconoscimento del

H02 CH02.1 Errore Umano del PdM
Segnale Restrittivo

CH02.2 Errata Acquisizione del SSB

CH02.3 Mancata Acquisizione del SSB

CH02.4 Errata Trasmissione del SST

CH02.5 Mancata Trasmissione del SST

CH02.6 Errata Comunicazione tra SSB e SST

CH02.7 Mancata Comunicazione tra SSB e SST

CH02.8 Errata posa o Configurazione del SST

CH02.9 Errata posa o Configurazione del SSB

 -! @ ;
$ ' $ # $( $ -

3 $ < ' 3 ) = ,
# $ $ -

' $
' $ -

4 / 5 6 4 .
*

D , ; ;
% 7 / $% -!- % 7

% ! ; ; ) ))
/ $' (
)

8 ! ; ; )
 ' $ )
!: 5 4
6 : 6 ! 4 ; : 45 !: 5 4 4 : 4 : 6 4 ; : 45
49 : 45 4 / 5 6 6 / 4 !
/ 5* / 5 6 6 / 7 4 7 5 4 ;
/

% ' (
) ( " ( " !

% #
$ !
%
&

"
#
!

$ # ' $
$ $ - $ ) ' $ -

.* 4 6

( 0 : )L ; ; ) -
 $ -
<: 4 ! 4+ $ $ ,
, $ -

4 < $ 4 =
. < =
7 . <7 =
. < =
.
= > ?& " = > ?& = > ?F
6 . <6 =
, 4 -
7 = ,7 -
: = ,: -
, -
/ @ ,/ -
= @ 2 +,2 -
" . < =
. < =
. < =
, -
A , -

$ ) # '
<- - = $ - -
 ( '
0 6 7 4 4 :4 4 ! 2! B + ' "
) -

( ' ) $ -

$ @ ; $ -

SST SUBSYSTEM
N
Block
Description
Name

01 Lettura
Ingressi Lettura ciclica delle porte corrispondenti agli ingressi collegati al segnale.
Segnale

( ' + ! 7G , 7 3 3 G 7G - $
'- @ ; $ , $ '
', $ $ -
 ( ( '
0 :4 4 + ' - 7 3
-

! : 4; ;4 !

7 ) < :3= ) ; -

-: D ;
) +
& ;; ; -

N Function Functional Block

SST 01 Lettura stato ingressi . 4.1.2

SST 02 Memorizzazione stato ingressi . 4.1.2

SST 03 Filtraggio Stato Ingressi . 4.1.3

 ( @ ;
/ 5 6 + '-

N Funzione Hazard associati ID

Mancata Lettura stato ingressi HT01

01 Lettura stato ingressi
Errata Lettura stato ingressi HT02

@ ; $ $ -@ ; $ @ ;
$ ( ' ) -

@ ; $ ' # $ $
' -

$ , -
 @ ; $
/ 5 6 $ $+
CAUSE
DEGLI
HAZARD CONTROMISURE
PROTETTIVA

@ ; F
HAZARD

' F
CONSEGUENZA

: ' INGRESSI PROCESSO USCITE DIRETTA

F
) - ' CONTROMISURE
PREVENTIVE
$-
CONSEGUENZA VALUTAZIONE
MITIGATA FINALE
DEL RISCHIO

( ; , $ # -

$ ' ) , ) # $ *
-

$ ; $
-

! '<- - $= # ,
) $ ; -

) # $ $ $
' ' $, $ #-
 @ ; $ )

RIF. SSP CAP. . 4.1.2 LETTURA INGRESSI SEGNALI

CONTRO V ALUTAZIONE
ELEM ENTO DI ID CAUSA DEL CONSEGUENZA V ALUTAZIONE CONTRO M ISURE CONSEGUENZA
N HAZARD ID CH M ISURE FINALE DEL IM PATTO
INFLUENZA HAZ. HAZARD DIRETTA DEL RISCHIO DI PROTEZIONE M ITIGATA
PREV ENTIV E RISCHIO
Mancata -
Le ttura s tato *
1 HT01 Lettura Stato " % , .
ingre s s i +
Ingressi /

-
% (
$ " % .
."/
/
SR
-
% (
" % .
" ."/
/

-
0 ) " % , .
/

Errata Lettura *
-
HT02 $ " % . .
Stato Ingressi +
/ /

( 4
$$ 1! + " % 23 $
) + 2
SR
-
% (
$ " % .
."/
/

-
% (
$0 " % .
" ."/
/
 ( $) -! $
-

Hardware
Specification

System
Specification

Software
Specification

# ' ) $ , ) $-

" , # $ @# * # ) $ "
"-

)
# $ -

) ,
< =-
 -( $ #
) , $ $ # -

$ ) ) $ 9 <- -
) $ =, # ) # # -

# # $ +

" * $ $ F
$ -

$ ) $
" $ # < ) ) = $
$ -

" * $ $ ) # , -

" * $ $ # -
 ! <: 4 4 7 C 6 ;4
# #
( 9 9
$ , )
$ , $ 9

6 4 4 <: 4
E ) N< =-
E N< 3 1 = =-
E N< + =-
E $ ) ) N< + =-
@ # N< , 3 =-
E # ) N< " =-
E ) N< = + =-
 / / 7 4
+ " -O
+ # $ P # O
+ , -O
4 + $ # 5 6-
4 = + < = $ # $,
-
= + , ,P $ " $ <
=, $ $ -
+ $ -
= + -
+ -
= + $ -
+ -

7 2! 7 2! 4 6 4 4; / 7 4
= + " $ # $ -
+ " # $ -
+ " $ $ ) -
+ $ $ -
+ " # -
" + $ -
" # ) , ) -
 0*1
-

) $ < $ -, $ -, # -, @ # -, P= )
# #
-

6 D 6 4;
# ) ) - E ) ,
# -

# # ) -
! $ "
-
E ) -
$ -

G % < , # , P=
E I < $, , , , P=
% E @! @ ! :! 3 7 !3 < $, ) $, P=
G 7 !(! : % < , , P=
% ! :! ! G Q ! !H< ) , , P=
 1*1
/ / 7 4
. + ) < =, $
- % ) 9 < " = -
9 $
% " ,# , $ 9 -

) ) <# = = ) -
, " & - $
, " & & -

) <# =, & -+ ) -

3 ) +
. & ,# ) -
= $ , , -

6 . + $ 9 + ,
,1 , -

6 3 = + 5 6 " $
 $
% ) " * $ $ , "
' ) < D % =-

G $ ) # +

F
$; F
F
F
$' -

) # " 9 # $
' ) , " ' -

$ # % -
 %
# ( %
 ( %
./01? ' 5@ 6 <@ = ( % $
-

5
5 !
7
! 67 ! 8 67
! ! +
!

4
! 5 ,

./01> ' 5@ 6 <@ = ( % # : -

 9 # ) $ ( %
9
<(% = # $ -

! # $ < =-
+
) $ F
D 5 6# -
$# $ D , ,#
# -

$ : -
E $ $ $ $ -
9 # $ RS - # R
-
 (%
0- (% # < !& "=, +

#
$ F
$
< (!4 ! # $ =-

1- "
# 3 G :
$ -
 $ 0*1
-
$ 1*1
%

% # ;
) < 4
) =-

% $ <% ' =4
" &
-
 $
) D +

< ' $ D ) =F
) < $ D ) $=F
< # 5 6=-

" + $ D ) # $
-

# '
D #
' -
* -

) D ) $ # "
$ -

: $ # $ ) , )
# - ) , # '# #
$ ) # (% $
 ) ( %
( #

!D ) $ F
!D ) $ $ # -

/ 4
$ F
# < = # -
 ) ' : "

! 6 ! / 0
$ # ) F
E ) $ F
E ) $ $ #
' # F
 9 $ (% 0*1

: 4
< $! -
-(
! - (- =
9 $ (% 1*1

% &
#
 ) %
( % $ # ) )
$ # $ $ -

+
# # $ " F
$; " $ $ $# & )
-

( ; +
) $ ) F
# ) ) -
# * " -

% + % +
F $ $ $ ' F
) F ) F
) F ) $ -
' -

% ' +
) F
) # 4 ' # -
 (%
(% # -
) # ) )
) -

(% # # $ <- -! ' $ =-

% ' $ ) -
#
-

(% # $ + $ )
# ) - $ $ #
) $ -
 9 $
$ -

$ D @ ) #
-

$ , $
- % ) $
-

, )
$ $ # , # # -

$ $
$ D -

# ) # , # $ #
$ -
 4 ! 4 8$%'E F 4 8$%'G F 4 8$%'H
+**# # # - - * *@ -

"
+** ) - - "- - '* $-

"
+**) - - *

: " 0 +I !
$& T -$ '- - '

4 ! F!
+** - - - )* * &# -

4 I 1
+** - - - )* * *

1
+** #- - *3 # E * & & * "-
+** #- - *3 # E * & & & & * "-

4 ! "
+** $ $- - *

" = +
+**# # # - - - *U *
- T - -