应将非能动安全重要建（构）筑物、系统和部件作为运行状态和事故工况下的首选，其次是能动安全重要建（构）筑物、系统和部件。自动系统应是高度可靠的，并设计成可将工艺参数保持在运行限值和条件之内，或使工艺系统进入到安全且稳定的状态（通常是停车状态）。

采用自动系统还是手动控制的选定准则应基于运行人员是否有足够响应时间（宽限 期），以及基于对行动失败带来的风险和危害的谨慎考虑。在运行人员需要从许多可选项中选择最优响应之处，应考虑提供简单的自动或手动响应和/或非能动设计功能。应通过纵深防御设计以限制因运行人员未能充分或及时的采取措施而导致的事件的安全后果。

设计措施的层次结构（应优先采用非能动设计特性的应用，其次是能动设计特性的应用，再次是管理性控制（操作人员动作））应和安全分级要求及反应时间相符。 应考虑采用纵深防御原则，避免对安全特性或安全控制构成威胁。

操作人员可获取足够的信息，以监测远程动作和自动动作的启动及设施响应。应尽可能优先独立显示动作的实际效果，例如流量计显示开或关而不是显示阀位信息。如可行，所有显示（仪表、计算机、设施和工艺图或模拟显示）和所有控制室与控制站应遵循人体工程学良好实践。仪表的布局及信息显示，应向操作人员提供对设施状态和工作情况清晰且全面的视野，以帮助操作人员迅速且准确的理解设施状态，做出明智的决定并且准确的执行这些决定。

装置应能够以有效的方式提供图像和声音，指示偏离正常条件和能影响安全的运行状态。信息显示的方式应能使操作员容易确定设施是否处于安全状态。如果不是处于安全状态，操作员能易于确定恰当的操作程序，以将设施返回到安全稳定的状态。 对于放射性物质和重要试剂的转运，除安全措施外，作为纵深防御的一部分，应尽可能采取下列措施，以便能尽早探测到运行事件：

（1） 在单元、建筑物或设施之间批式转运；

（2） 转运前，对每批进行分析；

（3） 使用授权程序，允许接收装置授权启动转运，并监测转运过程。当转运自动启动时，尤其是对于经常性转运，应考虑合适的自动方法，以探测启动或停止转运的故障。