<<<
Produktudvikling mod IEC61508 SIL 2
22. nov 2021
Update

Produktudvikling mod IEC61508 SIL 2

Geopals gasdetektor GP-NOVA er udviklet i henhold til kravene i IECs 61508 SIL 2-klassificering. Projektet har været et af de mest interessante og udfordrende for EKTOS’ udviklingsteam. At leve op til SIL 2 betyder, at ikke kun komponenter og design skal leve op til høje krav indenfor funktionel sikkerhed, men også at selve udviklingsprocessen skal være meget kontrolleret og fuldstændig sporbar.

 

Hvad er SIL, og hvorfor har vi brug for det?

SIL er en forkortelse for ”Safety Integrity Level”. Det er en klassificering og beskrivelse af sikkerhedskritiske systemer baseret på risikoens hyppighed og fejlkonsekvens samt muligheden og kompleksiteten i at afværge risikoen. SIL skalaen har 4 niveauer, hvor 4 er det højeste sikkerhedsniveau.

EKTOS fandt frem til at SIL2 er det korrekte klassifikations-niveau for Geopal’s gasdetektor gennem analyse af kravsspecifikation og produktdokumentation og ved brug af FMEDA metoden ”Failure Modes Effects and Diagnostics Analysis”. FMEDA er en metode, hvor alle forskellige fejltilstande analyseres sammen med udstyrets evne til at diagnosticere egne fejl. Ved at kombinere FMEDA og analysen af risiko og konsekvens kunne produktets endelige SIL-niveau bestemmes.

En simpel metode til hurtigt at vurdere om der er krav til SIL-klassificering, og i givet fald hvilken, er at bruge nedenstående mind-map (SIL-4 anvendes meget sjældent).

 

 

I tillæg til den kendte term ”SIL klassificering” er der yderligere 2 væsentlige vurderinger af produktet i forbindelse med arbejdet med funktionel sikkerhed: RRF – ”Risk Reduction Factor” og PFDavg. – ”Average Probability of Failure on Demand”. De er begge bekrevet i IEC standarden 61508/61511, der beskriver rammen for arbejdet med funktionel sikkerhed og redegør for specifikke krav til de forskellige sikkerhedsniveauer. Det primære mål er at reducere risikoen for skade på mennesker til et niveau der kan tolereres, når en sikkerhedsfunktion fejler som vist i nedenstående figur fra standarden.

Vurderinger af RRF og PDFavg. er slutresultaterne af vurderingsprocessen, der involverer både produktet og udviklingsproces samt dokumentation og munder ud i nedenstående tabel. Tabellen skal gerne understøtte at det korrekte SIL-niveau er valgt for produktet.

De tekniske krav

EKTOS-teamet valgte at bruge en processor- og softwarepakke, der var pre-kompatibel med IEC 61508 til designet af gasdetektoren. MCU’en ARM-R fra Texas Instruments’ Hercules-serie blev valgt da Hercules-serien er designet til at overholde IEC 61508 og er optimeret til realtids- og sikkerhedskritiske applikationer. Platformen bygger på to processorer, der dobbelttjekker hver besked.

Valget af ARM-R-arkitekturerne gjorde det muligt at adressere 1002 (en ud af to) designtilgangen, hvor beregningskernen tillader at sammenligne den beregnede regulering mod kontrolobjektet, FØR det bliver sendt ud. I tilfælde, hvor data er beskadiget på grund af EMI eller bare en hardwarefejl springer systemet kontrolcyklussen over og undlader dermed at fejlregulere med eventuelle kritiske fejl til følge.

Valget af pre-kompatible styringer og tilsvarende BSP- og HAL-softwarepakker i designforløbet har reduceret mængden af ingeniørtimer betydeligt, da det minimerede den indsats, der ellers ville være nødvendig for at lave sofistikeret ”start-time”-diagnosticering og ”run-time”-diagnosticering.

 

Sporbarhed er nøglen til at bevise, at standarder overholdes

Planlægning og udførelse af selve designforløbet i henhold til IEC 61508 kræver klart definerede processer og procedurer. Princippet om dobbelt-kontrol og sporbarhed gælder for alle trin i processen, hvor udviklings- og designteamet skal kunne dokumentere alt, der har relevans for platformens pålidelighed, redundans og robusthed.

Selvom vi i EKTOS allerede har en velfungerende udviklingsmodel, som vi almindeligvis benytter os af, har vi været nødt til at tilpasse den, for at kunne overholde kravene til SIL-klassificeringen. Den nedenstående V-model reflekter udviklingsforløbet.

 

Vi oplevede, at udover selve udviklingsleverancerne, der er obligatoriske for at kunne kvalificere til SIL-vurderingen, har der været en overraskende mængde brugerdokumentation, der skulle være på plads for at bestå den tredjepartsaudit, som er obligatorisk for SIL-2-kompatible produkter.

EKTOS og Geopal arbejdede sammen med den førende amerikanske ”Notified Body asessor” kaldet Exida.

Det har været en fordel for EKTOS, at vi allerede have to tekniske eksperter på holdet, som tidligere er certificeret af Exida. Vi fik hurtigt etableret et godt samarbjede med Exidas ingeniørteam.

 

Erfarne ingeniører indenfor funktionel sikkerhed

Det er ikke første gang, at EKTOS’ ingeniører arbejder med de funktionelle sikkerhedsstandarder afledt af IEC 61508. Vi har for eksempel udviklet løsninger til overholdelse af de funktionelle sikkerhedsstandarder for bilindustrien (ISO 26262) og medicinsk udstyr (IEC 62304). .

Udover den erfaring og viden, der er opsamlet gennem projekter i EKTOS, bringer flere af vores ingeniører viden og færdigheder fra deres baggrund inden for atomkraft-industrien i Ukraine, hvor de har arbejdet med det højeste niveau af funktionelle sikkerhedskrav til instrumenterings- og kontrolsystemer.

Vi er glade for projekter som Geopals gasdetektor, der udfordrer os og giver os mulighed for at udvide vores portefølje og kompetencer. Kontakt os endelig, hvis du er interesseret i en uformel snak om, hvordan vi kan hjælpe dig med dit produkt.

Du kan læse mere om Geopals gasdetektor GP-NOVA her.