Por lo general, el riesgo se reduce instalando otros circuitos PLT que sirven como función de seguridad junto con el equipo PLT necesario por razones operativas, es decir, los circuitos solo se activan en caso de un problema de funcionamiento del equipo operativo. El tipo de equipo usado únicamente para la reducción de riesgos suele designarse como equipo de protección o funciones Z.
El grado de reducción de riesgos logrado con el equipo de protección/strong> depende de su funcionamiento correcto. Si la probabilidad de fallo fuera imposible, podría erradicarse por completo el riesgo aplicable, de modo que el riesgo residual sería cero. Ya que esto no es factible, un grado finito de la reducción del riesgo sólo podrá lograrse con el equipo de protección correspondiente. Aunque siempre existe un riesgo residual, es tan pequeño que puede tolerarse. El objetivo del proceso de diseño es implementar el equipo de protección de modo que el grado de reducción de riesgos logrado se corresponda al máximo con el SIL necesario.
Una reducción de riesgos insuficiente (el SIL del equipo de protección es inferior al SIL necesario) se traducirá en un riesgo residual no tolerable. En cambio, una reducción de riesgos excesiva (el SIL del equipo de protección es superior al SIL necesario) se traducirá en una carga de trabajo innecesariamente alta que no podrá justificarse.
La información de diseño del equipo de protección para lograr un grado concreto de reducción de riesgos (es decir, un SIL específico) está especificada en las normas EN 61511 y VDI/VDE 2180. Es fundamental preguntarse las razones del fallo del equipo de protección, porque los requisitos de diseño pueden derivarse de las respuestas oportunas. Una investigación más exhaustiva revela que, en principio, hay dos tipos de fallos que pueden causar un error de funcionamiento en el equipo de protección:
Aunque puede esperarse un determinado grado de probabilidad para la aparición de un fallo aleatorio, esto no se aplica en caso de un fallo sistemático.
Pero a diferencia de los fallos aleatorios, en principio, los fallos sistemáticos pueden evitarse en conjunto. Sin embargo, la experiencia demuestra que esto es sólo cierto en parte (especialmente en lo relativo al software). Esta conclusión lleva a los siguientes requisitos para el diseño del equipo de protección:
La implementación práctica de los tres puntos anteriores determina el alcance de la reducción de riesgos para el equipo de protección. En definitiva, el trabajo necesario para planificar, implementar y usar el equipo de protección depende de que SIL debe asignarse al equipo. Las normas EN 61508, EN 61511 y VDI/VDE 2180 describen la correlación exacta entre el diseño del equipo de protección y el SIL que se le puede asignar.
Cuando el equipo de protección se diseña, la prevención, el control y la probabilidad de fallo son factores que deben considerarse correctamente para lograr un grado específico de reducción de riesgos. Partir únicamente de la probabilidad de fallo no es suficiente para llegar a un requisito SIL. En realidad, el equipo de protección sólo podrá alcanzar un SIL específico cuando tanto la estructura (diseño para la redundancia, el diagnóstico y a prueba de fallos) como la probabilidad de fallo (PFD/PFH) cumplan los requisitos de la norma para el SIL correspondiente. Además, se debe usar un sistema FSM para la implementación. Sólo entonces se podrá asumir que los fallos sistemáticos se pueden evitar en la medida necesaria.