2.执行风险降低

通常依靠安装其它PLT电路充当运行所需PLT设备旁的安全功能来降低行将发生的风险，即电路只在运行设备故障时要求动作。这种专门用于风险降低的设备叫做防护设备或Z功能。

使用防护设备所达到的风险降低程度依赖于设备的正常运行。如果防护设备不会失效，则可以实现相应风险的完全消除。残余风险则为零。由于这在实际运行中是不现实的，因此使用防护设备仅能实现有限程度的风险降低。尽管残余风险总是存在，但已经降低到可以接受的程度。设计流程的目的在于执行防护设备，使达到的风险降低程度尽可能地与所需SIL相吻合。

不足的风险降低（防护设备SIL低于所需SIL）会导致不能接受的残余风险。而风险过度降低（防护设备SIL高于所需SIL）会导致不必要的高工作量。这并不合理。

关于防护设备应当如何设计以达到特定程度的风险降低（即特定SIL），可参见EN 61511及VDI/VDE 2180。最重要的是要清楚防护设备因何故失效，因为可从相应的答案中得出防护设备的设计要求。最近的调查显示，导致防护设备失效的故障类型在原则上有两种：

• Systematic fault
• Random fault

虽然可以预测随机故障出现概率的特定等级，但它并不适用于strong>系统故障。

但与随机故障不同，系统故障原则上完全可以预防。然而，经验表明,这仅在某种程度上是正确的（尤其涉及软件时）。这些认识引出了防护设备设计的如下要求：

• 引入特殊质量管理系统预防失效（关键词：“功能性安全管理系统”或简称“FSM系统”）
• 通过冗余和/或故障安全行为以及故障检测避免失效（关键词：硬件故障容错、安全故障总和、诊断范围）
• 基于随机故障进行失效概率量化计算（关键词：PFD/PFH计算）

上述三点的具体实施决定了防护设备风险降低的程度。一般来说，涉及计划、实施以及运行防护设备的工作量取决于设备所需的SIL等级。标准EN 61508、EN 61511以及VDI/VDE 2180说明了防护设备设计与能够达到SIL之间的明确关系。

当设计防护设备时，需同时适当考虑故障预防、故障控制及失效概率，以达到特定程度的风险降低。单独考虑失效概率不足以满足SIL要求。实际上，当结构（冗余、诊断、故障安全设计）和失效概率满足相应SIL标准所规定的要求时，防护设备才能达到特定SIL。此外，执行必须使用FSM系统。只有这样，才能假设系统故障实现了必要程度的预防。