安全完整性级别，简称“SIL”，是度量风险减少的度量单位。正如在“博福特”尺度上使用单位量化风力强度，可以使用安全完整性级别SIL的概念来量化风险减少。

         技术设备可能造成安全风险，以至于人们不应暴露在设备中。在这种情况下，必须减少有关风险，以满足安全操作的需要。为了满足这一要求，必须量化（并衡量）减少风险。这是使用SIL“单位”实现的，在这里，只有整个值在1到4的范围内定义。

         当风险降低完成时，必须证明减少风险的程度对应于所需的最小参数（即SIL要求）。此方法将产生以下过程：

         1、风险分析：确定必需的风险降低
          低安全整体性水平，或SIL要求（SIL 10）表示仅需要相对较低的风险预防

首先，进行风险分析，识别所有存在的风险。然后必须确定每个已识别风险是否需要降低。如果需要，所需风险降低必须利用风险分析方法进行量化，以SIL要求的格式给出结果。低SIL要求（SIL 1）表示仅需要相对较低的风险降低，而更高的SIL（例如SIL 3）则要求更大程度的风险降低。有多种程序可用于识别风险和量化任何必要的风险降低，这通常依靠软件的支持。风险识别处理通常连同“危险和可操作性研究”（或简称HAZOP）一同进行。量化必要风险降低（SIL评估）的常用方法包括风险图、LOPA（“防护分析层”）以及风险矩阵。

          2、执行风险降低
          低安全整体性水平，或SIL要求（SIL 30）表示仅需要相对较低的风险预防

          通常依靠安装其它PLT电路充当运行所需PLT设备旁的安全功能来降低行将发生的风险，即电路只在运行设备故障时要求动作。这种专门用于风险降低的设备叫做防护设备或Z功能。

          使用防护设备所达到的风险降低程度依赖于设备的正常运行。如果防护设备不会失效，则可以实现相应风险的完全消除。残余风险则为零。由于这在实际运行中是不现实的，因此使用防护设备仅能实现有限程度的风险降低。尽管残余风险总是存在，但已经降低到可以接受的程度。设计流程的目的在于执行防护设备，使达到的风险降低程度尽可能地与所需SIL相吻合。足的风险降低（防护设备SIL低于所需SIL）会导致不能接受的残余风险。而风险过度降低（防护设备SIL高于所需SIL）会导致不必要的高工作量。这并不合理。

         关于防护设备应当如何设计以达到特定程度的风险降低（即特定SIL），可参见EN 61511及VDI/VDE 2180。最重要的是要清楚防护设备因何故失效，因为可从相应的答案中得出防护设备的设计要求。最近的调查显示，导致防护设备失效的故障类型在原则上有两种：Systematic fault和Random fault。

         3、评估功能性安全
         低安全整体性水平，或SIL要求（SIL 52）表示仅需要相对较低的风险预防

         功能性安全标准需要根据双人原则检定或验证全部活动和结果。这会影响防护设备的完整安全生命周期。风险分析（SIL要求）和执行风险降低措施的处理都必须进行相应的评估。

         在此必须明确强调以下一点：完整安全生命周期，包括强制性使用说明在内，必须在FSM系统中处理。FSM系统用于避免系统故障；确保所有影响风险降低的活动和结果（文件、硬件、软件）能够被追溯和审核。FSM系统是功能性安全的中央组件，它是满足SIL要求所不可或缺的部分。