Het imminent risico wordt normaal gereduceerd door andere PLT-circuits als veiligheidsfunctie te installeren naast de PLT-apparatuur die om operationele redenen is vereist, m.a.w. de circuits worden enkel ingeschakeld wanneer er sprake is van een storing in de operationele installatie. Men gebruikt de termen veiligheidsapparatuur of Z-functies om te verwijzen naar het type apparatuur dat enkel en alleen voor de beperking van risico’s wordt gebruikt.
De graad van risicobeperking die wordt bereikt dankzij het gebruik van veiligheidsapparatuur hangt af van de correcte werking van de apparatuur. Indien er zich geen storing zou kunnen voordoen, zou een volledige eliminatie van het relevante risico mogelijk moeten zijn. Het residuaal risico zou dan nul bedragen. Omdat dit in de praktijk onrealistisch is, kan slechts een beperkte mate van risicoreductie worden gerealiseerd met behulp van een de facto veiligheidsapparatuur. Hoewel er steeds een residuaal risico aanwezig blijft, is de frequentie ervan zo laag dat het kan worden getolereerd. Het doel van het ontwerpproces is om de veiligheidsapparatuur zodanig te integreren dat de gerealiseerde risicobeperking zo nauw mogelijk overeenstemt met het vereiste SIL.
Een ontoereikende risicobeperking (waarbij de SIL-classificatie van de veiligheidsapparatuur lager ligt dan het vereiste SIL) zou leiden tot een onaanvaardbaar residuaal risico. Een excessieve risicobeperking (waarbij de SIL-classificatie van de veiligheidsapparatuur groter is dan het vereiste SIL) zou resulteren in een onnodig hoge werklast, die niet verantwoord zou zijn.
Informatie over hoe veiligheidsapparatuur moet worden ontworpen om een specifieke graad van risicobeperking (m.a.w. een specifiek SIL) te garanderen, vind je in de normering EN 61511 en VDI/VDE 2180. Het is van vitaal belang dat men zich afvraagt waarom een bepaalde veiligheidsapparatuur faalt, zodat betere ontwerpeisen kunnen worden afgeleid uit de relevante antwoorden. Diepgaand onderzoek wijst uit dat er in principe twee verschillende storingsfouten bestaan die tot het falen van veiligheidsapparatuur kunnen leiden:
Hoewel een zekere mate van waarschijnlijkheid kan worden verwacht m.b.t. het voorvallen van een occasionele storing, geldt dit niet voor een systematische fout.
In tegenstelling tot occasionele storingen kunnen systematische storingen in principe volledig worden vermeden. De ervaring leert ons echter dat dit slechts gedeeltelijk waar is (vooral wanneer het software betreft). Deze kennis leidt tot de volgende vereisten in het ontwerp van veiligheidsapparatuur:
De praktische implementatie van deze drie punten bepaalt de mate van risicobeperking op de veiligheidsapparatuur. Over het algemeen zal de werklast die het plannen, implementeren en bedienen van de veiligheidsapparatuur met zich meebrengt, afhangen van de waarde op de SIL-schaal die men moet bereiken. De normen EN 61508, EN 61511 en VDI/VDE 2180 beschrijven de exacte correlatie tussen het ontwerp van de veiligheidsapparatuur en het te realiseren SIL.
Bij het ontwerpen van veiligheidsapparatuur moeten storingspreventie, storingsmanagement en de frequentie of waarschijnlijkheidsgraad van storingen in aanmerking worden genomen om een zekere graad van risicobeperking te bereiken. Rekening houden met de waarschijnlijkheid van storingen is op zichzelf niet voldoende om de vereiste SIL-waarde te bereiken. In werkelijkheid kan een veiligheidstechnisch systeem een specifiek SIL slechts bereiken wanneer zowel de structuur (redundantie, diagnostiek, intrinsiekveilig ontwerp) als de waarschijnlijkheid van storingen (PFD/PFH) aan de vereisten van de norm voor het relevante SIL voldoen. Bovendien moet een FSM-systeem worden gebruikt voor de implementatie. Enkel dan kan worden verwacht dat systematische storingen in de gewenste mate zullen worden vermeden.