Product Development Towards IEC61508 SIL 2

25 April 2024

Product Development Towards IEC61508 SIL 2

Geopal’s gas detector GP-NOVA has been developed according to the requirements of an IEC’s 61508 SIL 2 rating. It has been one of the most interesting and challenging projects by EKTOS’ engineering team. Getting a SIL 2 rating means that not only do the components and the design need to live up to a very high functional safety level, but the development process itself needs to be bulletproof and completely traceable.

What is SIL and why do we need it?

SIL stands for ”Safety Integrity Level”. It is a system that indicates the severity of the risks of product failure as well as the complexity of the actions taken to mitigate the risks. SIL has four levels where level four is the highest.

EKTOS found that SIL 2 was the relevant rating in the case of the Geopal gas detector through both customer requirements and the FMEDA method, ”Failure Modes Effects and Diagnostics Analysis”. FMEDA is a method for analyzing the different failure modes and diagnostic capabilities of a device. Combining FMEDA with the analysis of potential hazards and damage allowed for a precise assessment of the relevant SIL level.

The simple approach to assess the relevant SIL level for your product is using the mind map below (SIL-4 is rarely used):

Besides the well-known SIL (Safety Integrity Level) as one of the functional safety concepts, there are two more to assess: RRF – Risk Reduction Factor and PFD avg. – Average Probability of Failure on Demand. They are described in the international functional safety standard called IEC 61508/61511 which provides measures and a framework for safety lifecycle activities to reduce the risk to humans to a tolerable level when safety functions fail.

The terms mentioned above are the result of the assessment process that requires an overarching product and process approach to get to the required metrics and measures as shown below.

This approach normally results in the assessment table, as shown below, where the SIL level can be determined:

The technical requirements

When designing the gas detector EKTOS’ team decided to use processor and software packages that were pre-compliant with IEC 61508.

EKTOS has chosen the ARM-R MCU from the Texas Instruments Hercules line which is based on the ARM architecture. The Hercules family is designed to comply with IEC 61508. One of the chosen platforms was the ARM Cortex R which is optimized for real-time and safety-critical applications. The platform consists of two processors that double-check every message.

Working with pre-compliant controllers and their corresponding BSP and HAL software packages significantly reduced the amount of engineering hours. The effort efforts spent on making sophisticated start-time diagnostics as well as run-time diagnostics were reduced to a minimum.

Choosing the ARM-R architecture allowed us to address the 1002 (one out of two) design approach where the computation core allows us to compare the calculated control disturbance towards the control object BEFORE it is sent out. In case where data is corrupted due to the EMI or simply hardware malfunction – the system will skip the control cycle and will not mislead to a wrong control that might end up with a critical failure.

Traceability is the key to proving that standards are met

Planning and carrying out the development process itself according to IEC 61508 requires clearly defined processes and procedures. The principle of dual control and traceability applies to every step of the process, where the development and design team shall properly document all the evidence relevant to the reliability, redundancy, and robustness of the platform.

Despite having a proven and qualified development model for the regular electronics design process – EKTOS’ team was adjusting the model to comply with the requirements for the SIL rating. As can be seen in the figure below, the process must comply with the classical V-model.

It is important to mention that besides the hard development deliverables (mandatory to be able to qualify for the SIL rating) there is always a ”surprising” amount of user documentation that shall be in place to pass the 3rd party audit mandatory for the SIL-2 compliant products.
EKTOS and Geopal worked with the leading American Notified Body assessor called Exida.

It was an advantage that two of EKTOS’ technical experts had previously been certified by Exida. We quickly established effective collaboration with Exida.

Experienced engineers in functional safety

It is not the first time EKTOS engineers have been working with the functional safety standards derived from IEC 61508. We have, for example, developed solutions for compliance with the functional safety standards for automotive (ISO 26262) and medical devices (IEC 62304).

Besides the experience and knowledge accumulated through projects in EKTOS, several of our engineers bring knowledge and skill from their background within the nuclear automation industry in Ukraine, where they were working with the highest level of functional safety requirements for the I&C systems.

We cherish projects like the Geopal’s gas detector that challenge us and allow us to expand our portfolio and skillset.

Let us know if you have questions or if you are interested in an informal chat about your projects.

Produktudvikling mod IEC61508 SIL 2

Geopals gasdetektor GP-NOVA er udviklet i henhold til kravene i IECs 61508 SIL 2-klassificering. Projektet har været et af de mest interessante og udfordrende for EKTOS’ udviklingsteam. At leve op til SIL 2 betyder, at ikke kun komponenter og design skal leve op til høje krav indenfor funktionel sikkerhed, men også at selve udviklingsprocessen skal være meget kontrolleret og fuldstændig sporbar.

Hvad er SIL, og hvorfor har vi brug for det?

SIL er en forkortelse for ”Safety Integrity Level”. Det er en klassificering og beskrivelse af sikkerhedskritiske systemer baseret på risikoens hyppighed og fejlkonsekvens samt muligheden og kompleksiteten i at afværge risikoen. SIL skalaen har 4 niveauer, hvor 4 er det højeste sikkerhedsniveau.

EKTOS fandt frem til at SIL2 er det korrekte klassifikations-niveau for Geopal’s gasdetektor gennem analyse af kravsspecifikation og produktdokumentation og ved brug af FMEDA metoden ”Failure Modes Effects and Diagnostics Analysis”. FMEDA er en metode, hvor alle forskellige fejltilstande analyseres sammen med udstyrets evne til at diagnosticere egne fejl. Ved at kombinere FMEDA og analysen af risiko og konsekvens kunne produktets endelige SIL-niveau bestemmes.

En simpel metode til hurtigt at vurdere om der er krav til SIL-klassificering, og i givet fald hvilken, er at bruge nedenstående mind-map (SIL-4 anvendes meget sjældent).

I tillæg til den kendte term ”SIL klassificering” er der yderligere 2 væsentlige vurderinger af produktet i forbindelse med arbejdet med funktionel sikkerhed: RRF – ”Risk Reduction Factor” og PFDavg. – ”Average Probability of Failure on Demand”. De er begge bekrevet i IEC standarden 61508/61511, der beskriver rammen for arbejdet med funktionel sikkerhed og redegør for specifikke krav til de forskellige sikkerhedsniveauer. Det primære mål er at reducere risikoen for skade på mennesker til et niveau der kan tolereres, når en sikkerhedsfunktion fejler som vist i nedenstående figur fra standarden.

Vurderinger af RRF og PDFavg. er slutresultaterne af vurderingsprocessen, der involverer både produktet og udviklingsproces samt dokumentation og munder ud i nedenstående tabel. Tabellen skal gerne understøtte at det korrekte SIL-niveau er valgt for produktet.

De tekniske krav

EKTOS-teamet valgte at bruge en processor- og softwarepakke, der var pre-kompatibel med IEC 61508 til designet af gasdetektoren. MCU’en ARM-R fra Texas Instruments’ Hercules-serie blev valgt da Hercules-serien er designet til at overholde IEC 61508 og er optimeret til realtids- og sikkerhedskritiske applikationer. Platformen bygger på to processorer, der dobbelttjekker hver besked.

Valget af ARM-R-arkitekturerne gjorde det muligt at adressere 1002 (en ud af to) designtilgangen, hvor beregningskernen tillader at sammenligne den beregnede regulering mod kontrolobjektet, FØR det bliver sendt ud. I tilfælde, hvor data er beskadiget på grund af EMI eller bare en hardwarefejl springer systemet kontrolcyklussen over og undlader dermed at fejlregulere med eventuelle kritiske fejl til følge.

Valget af pre-kompatible styringer og tilsvarende BSP- og HAL-softwarepakker i designforløbet har reduceret mængden af ingeniørtimer betydeligt, da det minimerede den indsats, der ellers ville være nødvendig for at lave sofistikeret ”start-time”-diagnosticering og ”run-time”-diagnosticering.

Sporbarhed er nøglen til at bevise, at standarder overholdes

Planlægning og udførelse af selve designforløbet i henhold til IEC 61508 kræver klart definerede processer og procedurer. Princippet om dobbelt-kontrol og sporbarhed gælder for alle trin i processen, hvor udviklings- og designteamet skal kunne dokumentere alt, der har relevans for platformens pålidelighed, redundans og robusthed.

Selvom vi i EKTOS allerede har en velfungerende udviklingsmodel, som vi almindeligvis benytter os af, har vi været nødt til at tilpasse den, for at kunne overholde kravene til SIL-klassificeringen. Den nedenstående V-model reflekter udviklingsforløbet.

Vi oplevede, at udover selve udviklingsleverancerne, der er obligatoriske for at kunne kvalificere til SIL-vurderingen, har der været en overraskende mængde brugerdokumentation, der skulle være på plads for at bestå den tredjepartsaudit, som er obligatorisk for SIL-2-kompatible produkter.

EKTOS og Geopal arbejdede sammen med den førende amerikanske ”Notified Body asessor” kaldet Exida.

Det har været en fordel for EKTOS, at vi allerede have to tekniske eksperter på holdet, som tidligere er certificeret af Exida. Vi fik hurtigt etableret et godt samarbjede med Exidas ingeniørteam.

Erfarne ingeniører indenfor funktionel sikkerhed

Det er ikke første gang, at EKTOS’ ingeniører arbejder med de funktionelle sikkerhedsstandarder afledt af IEC 61508. Vi har for eksempel udviklet løsninger til overholdelse af de funktionelle sikkerhedsstandarder for bilindustrien (ISO 26262) og medicinsk udstyr (IEC 62304). .

Udover den erfaring og viden, der er opsamlet gennem projekter i EKTOS, bringer flere af vores ingeniører viden og færdigheder fra deres baggrund inden for atomkraft-industrien i Ukraine, hvor de har arbejdet med det højeste niveau af funktionelle sikkerhedskrav til instrumenterings- og kontrolsystemer.

Vi er glade for projekter som Geopals gasdetektor, der udfordrer os og giver os mulighed for at udvide vores portefølje og kompetencer. Kontakt os endelig, hvis du er interesseret i en uformel snak om, hvordan vi kan hjælpe dig med dit produkt.

Du kan læse mere om Geopals gasdetektor GP-NOVA her.