از کار افتادگی ناشی از عیب مشترک (B)
گوناگونی
فضاهای محل نصب سیستمهای ذخیره
از هم جدا باشند
عیوب سرایت کننده به سایر دستگاهها (C)
اصل جداسازی فضاها
ایمن سازی ساختمانهای مهم از اثرات خارجی ( EVA)
اصل حفاظت ساختمانی
ایجاد نقص فنی در سیستمها همیشه به ایجاد نقص فنی در ایمنی منجر می شود
موارد A ، B ، C و قطع برق کمکی
اصل سازوکار ایمن سازی
خودکار ( FAIL-SAFE)
سیستم حفاظتی از راکتور
خطای انسانی
اصل خودکار سازی ( اتوماسیون )
در نظر گرفتن سیستمهای ذخیره برای هر سیستم فنی که لازم است در برابر از کار افتادگی محافظت شود بسیار مهم است . با در نظر گرفتن ذخیره برای سیستمهای مهم در صورت وجود عیب در یکی ، سیستم مشابه دیگر کار آن را انجام خواهد داد . در نتیجه احتمال از کار افتادگی کل سیستم کاهش خواهد یافت .
اگر هدف قطع ( انسداد ) مطمئن خط لوله باشد آنگاه باید شیرهای ذخیره به صورت متوالی به هم متصل شوند تا هنگام از کار افتادن یک شیر ، شیر دیگر کار آن را انجام دهد . اگر هدف بازبودن خط لوله باشد به طریقی مشابه ، شیرها باید به صورت موازی با هم نصب شوند . مثال : برای قطع ایمنی خطوط لوله در نیروگاه هسته ای می توان ، طراحی شیرهای بی نشت ساختمان رآکتور را مثال زد . به کمک این شیرها ، همه خطوط لوله ای که از جداره محفظه ایمنی رآکتور عبور می کنند را می توان هم در داخل و هم در خارج مخازن ایمنی ، قطع ( مسدود ) کرد . برای ذکر نمونه ای از باز بودن خطوط لوله می توان مخزن تنظیم فشار را مثال زد ، که در آن 2 خط لوله موازی کار یکسانی را انجام می دهند .
افزودن بر لزوم وجود سیستمهای فنی ذخیره ، وجود ذخیره های عملیاتی ( بهره برداری ) نیز لازم است . بهره بردار هر نیروگاه تلاش می کند تا حد امکان از نیروگاه استفاده کند ( تلاش می کند تا « قابلیت در دسترس بودن » بالا باشد ) . از این رو درصورت از کارافتادگی هر عملیات از سیستم ( نه هر یک از اجزای مهم فنی ایمنی ) ، تا حد مجاز ، باید عملیات مذکور ادامه پیدا کند . به همین دلیل منطقی است که اجزای مهم سیستم های فنی عملیاتی ، به صورت ذخیره نیز اجرا شوند . در حالی که جزء خراب برای تعمیر از عملیات خارج می شوند جزء ذخیره می تواند در کمترین زمان و با کمترین کاهش در توان نیروگاه ، وارد عمل شود . به همین علت به عنوان نمونه در بیشتر نیروگاه های هسته ای ، 3 پمپ تغذیه آب تعبیه می شود هر چند برای کار تحت بار کامل فقط وجود دو پمپ ضروری است . اگر لازم باشد یکی از پمپهای تغذیه آب کار نکند احتمالا باید توان نیروگاه به %50 توان نامی کاهش یابد . ولی بسرعت پمپ ذخیره وارد عمل شده و نیروگاه دوباره با توان کامل به کار خود ادامه می دهد تا پمپ خراب در فرصت مناسب تعمیر شود . ولی همیشه باید اصل اساسی (( اول ایمنی ، بعد کار )) را مد نظر داشت .
4-4-1-2 گوناگونی : برای حفاظت سیستمها در برابر خرابی ، همیشه اصل طراحی سیستمهای ذخیره ، به تنهایی جواب نمی دهد ، زیرا نمی توان تضمین کرد که همه سیستمهای مشابه به علتی مشابه همزمان از کار نیافتند – (( از کار افتادگی ناشی از عیب مشترک )) . از این رو برای سیستمهای فنی ایمنی ، منطقی این است که طراحی اجزا با هم متفاوت باشد . یعنی سیستمهای ذخیره بر اساس اصول کار فیزیکی متفاوت کار کنند ، تا احتمال از کار افتادگی همزمان همه سیستمها کاهش پیدا کند .
سیستمهای ذخیره یا گوناگون ، بیشتر بر اساس رابطه « N+2 » طراحی می شوند . یعنی برای تامین ایمنی به ازای هر N سیستم ضروری ، باید 2 سیستم ذخیره دیگر نیز در نظر گرفته شود . طراحی سیستمهای ذخیره را می توان با نماد گذاری سیستمهای موجود نیز دسته بندی کرد . به عنوان مثال طراحی %50 . 4 یعنی این که برای کار مطمئن سیستم ، باید 2 تا از این سیستمها با هم کار کنند ( %100 = %50 . 2 ) و دو سیستم دیگر به عنوان ذخیره باشند . در روشهای ایمن سازی به این نتیجه رسیده اند که 2 سیستم ذخیره ضروری هستند ، به عنوان مثال یکی برای کارهای تعمیراتی از مدار خارج شود و دیگری برای زمان از کارافتادگی سیستم اصلی دراختیار باشد .
4-4-1-3 انتخاب منطقی « 2 از 3 » ، ایمنی قطع خطوط برق : اگر سیستمهای فنی به اندازه کافی سیستم ذخیره داشته باشند ، ریسک از کار افتادگی کل سیستم کاهش میابد . ولی همین احتمال برای وقوع عیب در تجهیزات الکترونیکی نیز وجود دارد . به عنوان مثال اگر هر سیستم در سال یک سیگنال خطا بدهد برای 3 سیستم در سال 3 سیگنال خطا وجود خواهد داشت . به همین دلیل اصولا برای تصمیم گیریهای مهم فنی ایمنی هرگز بر سیگالهای جداگانه سیستم تکیه نمی شود ، بلکه عمدتا سیگنالهای سیستمهای ذخیره یا سیستمهای گوناگون ( متنوع ) در قالب یک مدار منطقی با هم مرتبط می شوند : به عنوان مثال بر اساس انتخاب منطقی « 2 از 3 » . این به آن معناست که برای تصمیمهای مهم از هر 3 جزء سیگنال دهنده ، دوتای آنها باید سیگنال یکسانی گسیل کنند ، تا به آژیر واکنش نشان داده شود و تدابیر لازم اتخاذ شوند . با اجرای این اصل ، موقع از کارافتادگی تجهیزات الکترونیکی یا سیگنالها ، سیستم به یک سیگنال بی تفاوت نمی شود . این اصل درز مهندسی ، اصطلحا ایمنی قطع خطوط برق DRAHTBRUCHSICHERUNG نامیده می شود . مثال : به عنوان یک مثال ساده برای انتخاب « 2 از 3 » ، شامل ایمنی قطع خطوط برق ، می توان مدار منطقی شکل 6-4 را در نظر گرفت . مسیر جریان که در حالت کار طبیعی بسته است . باید در صورت لزوم ( مثلا توسط یکی از سه وسیلهه اندازه گیری ذخیره A ، B ، و C ) باز شود ، به گونه ای که واکنشهای دیگر ( مانند خاموش شدن یک دستگاه ) بتوانند شروع شوند . این مدار ساده اجرای معادله منطقی « ( A و B ) یا ( A و C ) یا ( B و C ) به کمک کنتاکتهای در حالت عادی باز در خروجی 3 وسیله اندازه گیری A ، B و C است . هنگام یک پاسخ صحیح از این وسایل اندازه گیری ، مسیر سیگنال باز می شود ، و له K1 باز می شود فقط اگر پاسخ دست کم 2 تا از این 3 وسیله اندازه گیری ، به خاموشی ( قطع )سیستم مثبت باشد . این مدار را می توان به آسانی با نصب یک یا چند کلید قطع اضطراری ، که به عنوان باز کننده نیز در مدار ها نصب می شوند ، تکمیل کرد .
به کمک این مدار ایمنی قطع خطوط برق تضمین می شود . همچنین در حالت قطع خطوط برق ، از کار افتادن منبع ولتاژ U یا تامین ولتاژ ، رله K1 باز می شود و ساز و کار ایمن سازی خودکار فعال می شود .

                                                    .