Схемы, платы, компоненты

(Управление опасностью). Нужно какое-то схемотехническое и программное решение для повышения надёжности работы некоторых цепей прибора, где цена ложного срабатывания достаточно высока. Потенциальные опасности:  1) пробой транзистора, управляющего реле; 2) неисправность вывода микроконтроллера управляющего транзистором; 3) незапрограммированный или находящийся в состоянии "сброса" микроконтроллер; 4) "залипание" реле. 5) программные сбои. По п.3. решение достигается токовым, а не потенциальным, способом управления транзистором, что очевидно. По п.2 можно использовать разные выводы, разных портов, микроконтроллера, также см. ниже. По п.1, очевидно, можно использовать разные транзисторы (например, биполярный в верхней части, мосфет в нижней). Пункт 4 остаётся на совести изготовителей реле. Программные сбои можно разделить на ошибки в программе, связанные с логикой работы и ошибки и сбои косвенно влияющие на работу критичных цепей. Первые далее не рассматриваются. Вторые сбои и ошибки могут порождаться следующими причинами: 1) переход, вследствиe сбоя в программе (порча стека или указателя на функцию), или вследствиe некорректной работы микроконтроллера вызванной электрическими причинами на функцию управления критичными цепями и выполнение программой действий по их переключению. 2) разрушение памяти по произвольным адресам, вследстие, например, использования некорректного указателя памяти, вледствие разрушения стека и т.п., может приводить к изменению содержимого переменных, отвечающих за логику работы и переключениям. 3) разрушение памяти по произвольным адреса, приведшее к записи в SFR-регистр микроконтроллера случайного значения может непосредственно изменить состояние выхода микроконтроллера и привести к переключению критичных цепей. По пунктам 1 и 2 однозначного решения нет, оно будет скорей программным. По пункту 3 -- использование для управления критичными цепями единственного вывода микроконтроллера, который просто логическим уровнем определяет состояние реле -- неприемлемо. Двух выводов тоже... Требуется электронная схема, выдающей сигналы (возможно использование двух транзисторов, например) на включение реле только в случае если данная схема не получает запрещающих сигналов (опционально), и схема получает определённую последовательность управляющих сигналов, в определённое время, от микроконтроллера (чтоб исключить срабатывание при произвольном переключении выводов микроконтроллера). Возможные варианты: регистр сдвига (последовательный ввод, параллельный вывод) и логическая функция от выходов регистра, или, например, какое-либо I2C устройство (требующее относительно сложного протокола обмена, что исключает часть ложных срабатываний). Дайте идею нахаляву.