2. A kockázatcsökkentés megvalósítása

A fennálló kockázatot általában más PLT áramkörök telepítésével csökkentik, amelyek biztonsági funkcióval rendelkeznek a működéshez szükséges PLT berendezés mellett, például az áramkörök csak akkor lépnek működésbe, amikor az operatív berendezésnél meghibásodás történik. A berendezéstípust, amelyet csak kockázatcsökkentésre használnak, biztonsági berendezésnek vagy Z-funkcióknak nevezik.

A biztonsági berendezés használata által elért kockázatcsökkenés mértéke a berendezés megfelelő működésétől függ. Ha egy hiba lehetetlen lenne, akkor a releváns kockázat teljes kiküszöbölése is megvalósítható lenne. Ez esetben a fennmaradó kockázat 0 lenne. Mivel gyakorlatban ez nem életszerű, a kockázatcsökkentés egy véges mértéke ténylegesen csak a biztonsági berendezés által érhető el. Habár mindig marad fennmaradó kockázat, ez olyan kicsi, hogy tolerálható. A tervezési folyamat célja a biztonsági berendezés kialakítása, amely esetében az elért kockázatcsökkentés mértéke a lehető legjobban megfelel a kívánt biztonságintegritási szintnek.

Az elégtelen mértékű kockázatcsökkentés (ahol a biztonsági berendezés SIL-szintje alacsonyabb, mint a szükséges SIL) nem tolerálható fennmaradó kockázatot eredményez. Míg egy túlzott kockázatcsökkentés, (ahol a biztonsági berendezés SIL-szintje magasabb, mint a szükséges SIL) egy szükségtelenül magas munkaterhelést eredményez, amely már indokolatlan lenne.

A meghatározott mértékű kockázatcsökkentést (azaz egy adott SIL-szintet) biztosító biztonsági berendezés tervezésével kapcsolatos információkat az EN 61511 és VDI/VDE 2180 szabványok ismertetik. Rendkívül fontos kideríteni egy biztonsági berendezés nem megfelelő működésének az okát, mivel az okok alapján értékes következtetéseket vonhatunk le a biztonsági berendezés tervezési követelményeire vonatkozóan. A közelebbi vizsgálat alapján elmondható, hogy elméletileg két különböző hibatípus áll a biztonsági berendezés nem megfelelő működésének hátterében:

• Szisztematikus hiba
• Véletlen hiba

Míg a véletlen hibák előfordulásának bizonyos mértékű valószínűsége elvárható, ez nem vonatkozik a szisztematikus hibákra.

A véletlen hibákkal ellentétben a szisztematikus hibákat elvileg teljes egészében meg lehet előzni. Azonban a tapasztalat azt mutatja, hogy ez csak részben igaz (különösen, amikor szoftverekről beszélünk). Ennek fényében a következő követelményeket kell figyelembe venni a biztonsági berendezések tervezésekor:

• Hibák megelőzése speciális minőségirányítási rendszer bevezetésével (kulcsszavak: „működési biztonságmenedzsment rendszer” vagy röviden „FSM rendszer” [Functional Safety Management System])
• Hibák elkerülése redundancia és/vagy üzembiztos magatartás és hibaérzékelés segítségével (kulcsszavak: Hardver hibatűrése, biztonságos hibák összege, hibadiagnosztika lefedettsége)
• Kalkulációk készítése a véletlen hibákon alapuló hibavalószínűség számszerűsítésének érdekében (kulcsszavak: PFD/PFH számítások)

A fent említett három pont gyakorlati megvalósítása határozza meg a biztonsági berendezésekkel kapcsolatos kockázatcsökkentés mértékét. Általánosságban elmondható, hogy a biztonsági berendezés tervezésével, megvalósításával és működtetésével kapcsolatos munkaterhelés attól függ, hogy melyik biztonságintegritási szintet (SIL) kell a berendezésnek elérnie. Az EN 61508, az EN 61511 és a VDI/VDE 2180 sztenderdek tartalmazzák a biztonsági berendezések tervezése és az elérhető SIL közti korreláció pontos mértékét.

Amikor biztonsági berendezés tervezésére kerül a sor, a hibák megelőzése, a hibák ellenőrzése, és a hibák valószínűsége mind olyan faktorok, amelyeket megfelelő mértékben figyelembe kell venni egy bizonyos mértékű kockázatcsökkentés eléréséhez. Egyedül a hiba valószínűségének figyelembevétele nem elegendő egy adott biztonságintegritási szint követelményeinek teljesítéséhez. A valóságban egy biztonsági berendezés csak akkor érhet el egy meghatározott SIL-szintet, amikor a szerkezet (redundancia, diagnosztika, üzembiztos tervezés) és a hiba valószínűsége (PFD/PFH) egyaránt megfelel az adott SIL-szint követelményeinek. Ezenkívül szükség van egy FSM rendszer használatára az alkalmazáskor. Csak ezután lehet feltételezni, hogy a szisztematikus hibák a szükséges mértékig megelőzhetőek.