1. Люба команда з верхнього рівня до вторинних приладів (регуляторів, контролерів і т.д.) на робочому об’єкті повинна виконуватись за принципом: "зробив (відправив) – перевірив правильність виконання – забув".
2. Якщо передбачається будь-яка ненадійність функціонування верхнього рівня в ієрархії АСУТП (а так воно і є, оскільки 100% надійних елементів не буває), коли, умовно, команда «пуск» - була відправлена на контролер, а наступна команда «сброс» - по тим чи іншим причинам – ні, програма, складена і записана в контролер, повинна враховувати такий перебіг подій і, або виконувати примусовий «сброс» самостійно, або, згідно регламенту установки, виконувати необхідну наперед визначену послідовність дій (сигналізація, аварійна зупинка об’єкту тощо). Як саме це реалізувати на рівні контролера згідно з Вашою задачею, було розглянуто в постах
713 і
#718.
3. На технологічних об’єктах для особливо важливих контурів керування практикується повне апаратне резервування (умовно: давач – контролер – виконавчий механізм).
4. Система АСУТП вибухонебезпечних обєктів складається з двох незалежних систем: РСУ (розподілена система управління) і ПАЗ (система протиаварійного захисту). Одна – керує, інша – контролює.