Meist wird das vorhandene Risiko dadurch reduziert, dass zusätzlich zu den aus betriebstechnischen Gründen notwendigen PLT-Einrichtungen weitere PLT-Kreise aufgebaut werden, welche nur der Sicherheit dienen, das heißt nur im Falle einer Fehlfunktion der betriebstechnischen Einrichtung in Aktion treten. Derartige Einrichtungen, die ausschließlich der Risikoreduzierung dienen, werden als Schutzeinrichtungen bzw. Z-Funktionen bezeichnet.
Die mittels einer Schutzeinrichtung erreichte Risikoreduzierung hängt von deren korrekter Funktion ab. Wäre ein Versagen unmöglich, so würde man damit eine vollständige Eliminierung des betreffenden Risikos erreichen (verbleibendes Restrisiko wäre dann gleich Null). Da dies in der Praxis unrealistisch ist, erreicht man mit einer Schutzeinrichtung de facto nur eine endlich große Risikoreduzierung. Somit bleibt immer ein Restrisiko, welches aber so klein ist, dass es toleriert werden kann. Ziel des Designprozesses ist, die jeweilige Schutzeinrichtung so zu realisieren, dass die damit erreichte Risikoreduzierung dem geforderten SIL möglichst genau entspricht.
Eine zu kleine Risikoreduzierung (der SIL der Schutzeinrichtung ist kleiner als der geforderte SIL) hätte ein nicht zu tolerierendes Restrisiko zur Folge, eine zu große Risikoreduzierung (der SIL der Schutzeinrichtung ist größer als der geforderte SIL) würde einen unnötig hohen Aufwand bedeuten, der in der Regel nicht zu rechtfertigen wäre.
Hinweise, wie eine Schutzeinrichtung beschaffen sein muss, damit ein bestimmtes Maß an Risikoreduzierung – also ein bestimmter SIL – erreicht wird, finden sich unter anderen in der EN 61511 sowie in der VDI/VDE 2180. Von entscheidender Bedeutung ist hierbei die Frage, worin Ausfälle von Schutzfunktionen begründet sind, da sich aus den entsprechenden Antworten unmittelbar Anforderungen für das Design der jeweiligen Schutzeinrichtung ableiten lassen. Eine nähere Betrachtung offenbart, dass es zwei prinzipiell verschiedene Fehlerarten gibt, die zum Versagen von Schutzeinrichtungen führen können:
Während für das Auftreten eines zufälligen Fehlers eine Wahrscheinlichkeit angegeben werden kann, ist dies bei einem systematischen Fehler nicht möglich.
Letztere können aber – im Gegensatz zu den zufälligen Fehlern – prinzipiell vermieden werden. Die Erfahrung lehrt jedoch, dass dies (insbesondere bei Software) nur partiell gelingt. Aus diesen Erkenntnissen heraus resultieren letztlich die folgenden Forderungen, die an das Design einer Schutzeinrichtung gestellt werden:
Die praktische Umsetzung der drei oben genannten Punkte bestimmt das Ausmaß der Risikoreduzierung einer Schutzeinrichtung. In aller Regel bedeutet dies, dass der Aufwand bei Planung, Implementierung und Betrieb einer Schutzeinrichtung davon abhängt, welchen SIL diese erreichen muss. Den genauen Zusammenhang zwischen dem Design einer Schutzeinrichtung und dem damit erreichbaren SIL beschreiben die Normen EN 61508, EN 61511 und VDI/VDE 2180.
Fehlervermeidung, Fehlerbeherrschung und Versagenswahrscheinlichkeit müssen in der jeweils erforderlichen Art und Weise beim Design einer Schutzeinrichtung berücksichtigt werden, um ein bestimmtes Maß an Risikoreduzierung zu erreichen. Insbesondere ist zu beachten, dass es zur Erfüllung einer SIL-Anforderung nicht ausreicht, nur die Versagenswahrscheinlichkeit zu betrachten. Vielmehr kann eine Schutzeinrichtung nur dann einen bestimmten SIL erreichen, wenn beides, die Struktur (Redundanz, Diagnose, Fail-Safe-Design) und die Versagenswahrscheinlichkeit (PFD/PFH), den Forderungen der Norm für den jeweiligen SIL entsprechen. Darüber hinaus muss die Realisierung unter Anwendung eines FSM-Systems erfolgen. Nur dann kann unterstellt werden, dass systematische Fehler im erforderlichen Umfang vermieden wurden.