El riesgo inminente se reduce normalmente mediante la instalación de otros circuitos PLT que sirven como una función de seguridad junto con el equipo PLT necesario por razones operativas, es decir, los circuitos solo intervienen en caso de una avería en el equipo operativo. El tipo de equipo utilizado exclusivamente para la reducción del riesgo se refiere como equipo de protección o funciones Z.
El grado de reducción del riesgo obtenido mediante el uso del equipo de protección depende del funcionamiento correcto del equipo. Si un fallo fuera imposible, se podría lograr la eliminación completa del riesgo relevante. El riesgo residual sería cero. Pero al tratarse de un caso irreal en la práctica, un grado finito de reducción del riesgo solo puede lograrse con el equipo de protección de facto. Aunque un riesgo residual permanece siempre, es tan pequeño que puede tolerarse. El objetivo del proceso de diseño es implementar el equipo de protección de modo que el grado de reducción de riesgos logrado sea lo más aproximado posible al SIL necesario.
Una reducción de riesgo insuficiente (el SIL del equipo de protección es inferior al SIL requerido) produciría un riesgo residual intolerable. Si bien una reducción excesiva del riesgo (el SIL del equipo de protección es superior que el SIL requerido) resultaría en una carga de trabajo innecesariamente alta que no sería justificable.
La información sobre cómo debe diseñarse el equipo de protección para alcanzar un determinado grado de reducción del riesgo (es decir, un SIL específico) se puede encontrar en EN 61511 y VDI/VDE 2180. Es muy importante preguntar por qué falla porque el equipo de protección, ya que los requerimientos de diseño para los equipos de protección pueden derivarse de las respuestas obtenidas. Una investigación más exhaustiva revela que en principio hay dos tipos de fallo diferentes que pueden causar que el equipo de protección falle:
Aunque puede esperarse un determinado grado de probabilidad para la aparición de un fallo aleatorio, esto no se aplica en caso de un fallo sistemático.
Pero a diferencia de los fallos aleatorios, los fallos sistemáticos en principio pueden prevenirse. Sin embargo, la experiencia demuestra que esto es cierto solo en parte (especialmente cuando se trata de software). Ser conscientes de esta realidad nos lleva a especificar los siguientes requisitos relativos al diseño de equipos de protección:
La aplicación práctica de los tres puntos mencionados anteriormente determina el alcance de la reducción de los riesgos para el equipo de protección. En general, la carga de trabajo asociada a la planificación, implementación y funcionamiento de equipos de protección depende del nivel SIL que debe alcanzar el equipo. Las normas EN 61508, EN 61511 y VDI/VDE 2180 describen la correlación exacta entre el diseño del equipo de protección y el SIL que se puede lograr.
Cuando el equipo de protección está diseñado, la prevención de fallos, el control de fallos y la probabilidad del fallo deben estudiarse con detenimiento para lograr un grado específico de reducción de riesgos. Tener en cuenta solo la probabilidad no es suficiente para cumplir con un requisito de SIL. En realidad, los equipos de protección solo pueden alcanzar a un SIL específico cuando la estructura (redundancia, diagnóstico, diseño a prueba de fallos) y la probabilidad del fallo (PFD/PFH) cumplen los requisitos establecidos en la norma para el SIL correspondiente. Además, se debe utilizar un sistema FSM para la implementación. Solo entonces se puede asumir que los fallos sistemáticos se prevendrán en la medida necesaria.