2.執行風險降低

通常依靠安裝其它PLT電路充當運行所需PLT設備旁的安全功能來降低行將發生的風險，即電路只在運行設備故障時要求動作。這種專門用於風險降低的設備叫做防護設備或Z功能。

使用防護設備所達到的風險降低程度依賴于設備的正常運行。如果防護設備不會失效，則可以實現相應風險的完全消除。殘餘風險則為零。由於這在實際運行中是不現實的，因此使用防護設備僅能實現有限程度的風險降低。儘管殘餘風險總是存在，但已經降低到可以接受的程度。設計流程的目的在於執行防護設備，使達到的風險降低程度盡可能地與所需SIL相吻合。

不足的風險降低（防護設備SIL低於所需SIL）會導致不能接受的殘餘風險。而風險過度降低（防護設備SIL高於所需SIL）會導致不必要的高工作量。這並不合理。

關於防護設備應當如何設計以達到特定程度的風險降低（即特定SIL），可參見EN 61511及VDI/VDE 2180。最重要的是要清楚防護設備因何故失效，因為可從相應的答案中得出防護設備的設計要求。最近的調查顯示，導致防護設備失效的故障類型在原則上有兩種：

• Systematic fault
• Random fault

雖然可以預測隨機故障出現概率的特定等級，但它並不適用於strong>系統故障。

但與隨機故障不同，系統故障原則上完全可以預防。然而，經驗表明,這僅在某種程度上是正確的（尤其涉及軟體時）。這些認識引出了防護設備設計的如下要求：

• 引入特殊品質管制系統預防失效（關鍵字：“功能性安全管理系統”或簡稱“FSM系統”）
• 通過冗餘和/或故障安全行為以及故障檢測避免失效（關鍵字：硬體故障容錯、安全故障總和、診斷範圍）
• 基於隨機故障進行失效概率量化計算（關鍵字：PFD/PFH計算）

上述三點的具體實施決定了防護設備風險降低的程度。一般來說，涉及計畫、實施以及運行防護設備的工作量取決於設備所需的SIL等級。標準EN 61508、EN 61511以及VDI/VDE 2180說明了防護設備設計與能夠達到SIL之間的明確關係。

當設計防護設備時，需同時適當考慮故障預防、故障控制及失效概率，以達到特定程度的風險降低。單獨考慮失效概率不足以滿足SIL要求。實際上，當結構（冗餘、診斷、故障安全設計）和失效概率滿足相應SIL標準所規定的要求時，防護設備才能達到特定SIL。此外，執行必須使用FSM系統。只有這樣，才能假設系統故障實現了必要程度的預防。