2. Implementace opatření ke snížení rizika

Hrozící riziko je normálně sníženo instalací dalších PLT obvodů, které slouží jako bezpečnostní funkce spolu s PLT zařízením vyžadovaným z provozních důvodů, tj. tyto obvody jsou uvedeny do akce pouze v případě nesprávné funkce v provozním zařízení. Druh zařízení používaný výlučně pro snížení rizika se nazývá ochrana nebo funkce Z.

Stupeň snížení rizika dosažený použitím ochrany závisí na tom, zda tato ochrana správně funguje. Kdyby porucha byla nemožná, bylo by možno dosáhnout úplného odstranění příslušného rizika. Zbytkové riziko by potom bylo nulové. Protože to je v praxi nereálné, konečného stupně snížení rizika lze dosáhnout pouze ochranou faktickou. Ačkoliv zbytkové riziko vždy zůstává, je tak malé, že je lze tolerovat. Cílem konstrukčního procesu je implementovat ochranu tak, aby dosažený stupeň snížení rizika co nejvíce odpovídal požadované úrovni SIL.

Nedostatečné snížení rizika (SIL úroveň ochrany je nižší než SIL úroveň vyžadovaná) by mělo za následek netolerovatelné zbytkové riziko. Zatímco nadměrné snížení rizika (SIL úroveň ochrany je vyšší než SIL úroveň vyžadovaná) by mělo za následek zbytečně velké pracovní zatížení, což by nebylo ospravedlnitelné.

Informace o tom, jak je ochranu třeba konstruovat tak, aby bylo dosaženo specifického stupně snížení rizika (tj. specifické úrovně SIL), lze najít v normě EN 61511 a VDI/VDE 2180. Životně důležité je ptát se, proč ochrana selže, protože konstrukční požadavky na ochranu lze odvodit z příslušných odpovědí. Bližším zkoumáním se zjistí, že v podstatě jsou dva různé typy závad, jež mohou způsobit selhání ochrany:

• Závada systematická
• Závada nahodilá

Zatímco pro výskyt nahodilé závady lze očekávat specifickou míru pravděpodobnosti, u závady systematické to neplatí.

Ale systematickým závadám lze na rozdíl od závad nahodilých v podstatě úplně předcházet. Ze zkušeností však vyplývá, že to je pravda pouze částečně (zejména v případě, že se jedná o software). Toto vědomí vede k následujícím požadavkům týkajícím se konstrukce ochran:

• Prevence poruch zaváděním speciálního systému řízení kvality (klíčová slova: „systém řízení funkční bezpečnosti“, zkráceně „systém FSM“)
• Předcházení poruchám pomocí zálohování a/nebo chování bezpečného při poruše a pomocí detekce závad (klíčová slova: tolerance hardwarových závad, součet bezpečných závad, diagnostické pokrytí)
• Provádění výpočtů ke stanovení pravděpodobnosti poruchy vycházející z nahodilých závad (klíčová slova: výpočet PFD/PFH)

Praktickou implementací výše uvedených tří bodů je dána míra snížení rizika pro ochranu. Obecně řečeno, pracovní zatížení potřebné pro plánování, implementaci a provozování ochrany závisí na tom, které úrovně SIL musí daná ochrana dosahovat. V normách EN 61508, EN 61511 a VDI/VDE 2180 je popsána přesná korelace mezi konstrukcí ochrany a úrovní SIL, které lze dosáhnout.

Při konstrukci ochrany je třeba náležitě vzít v úvahu prevenci závad, omezování závad a pravděpodobnost poruchy, všechny tyto položky, aby bylo dosaženo specifického stupně snížení rizika. Jestliže je vzata v úvahu samotná pravděpodobnost poruchy, pro splnění požadavku SIL to nestačí. Ve skutečnosti ochrana může dosáhnout specifické úrovně SIL pouze tehdy, když struktura (zálohování, diagnostika, konstrukce bezpečná při poruše) i pravděpodobnost poruchy (PFD/PFH) vyhovují požadavkům stanoveným v normě pro příslušnou úroveň SIL. Vedle toho musí pro implementaci být použit systém FSM. Pouze tehdy lze předpokládat, že systematickým závadám bude předejito v nezbytné míře.