Nie istnieje urządzenie, które dawałoby gwarancję ciągłej, bezawaryjnej pracy. Wszystko, co wyprodukuje Człowiek, może się zepsuć, albo może zostać zepsute, skradzione, zniszczone. A jednak jedne urządzenia można uznać za bezpieczne nawet w przypadku uszkodzenia, a inne nie. Dlaczego?
Tajemnica tkwi w uwzględnianiu podczas projektowania najmniej korzystnego splotu okoliczności. Inżynierowie muszą sobie zadawać pytanie: co się stanie, jeśli ktoś przetnie przewody sterujące, jeśli zaniknie napięcie zasilające, jeśli zostanie przerwana transmisja danych, zniszczony czujnik itp. itd. W teorii odpowiedź jest prosta: uszkodzenie urządzenia powinno sprawić, że zachowa się ono w sposób możliwie jak najmniej zagrażający użytkownikom. Na przykład uszkodzony semafor powinien pokazać sygnał „stój”.
Przed laty, zanim wprowadzono na kolei sygnalizację elektryczną, używano semaforów kształtowych. W niektórych miejscach w Polsce nadal działają: na słupie umieszczanym przy torze instalowano dwa jedno, albo dwa ramiona z tarczami sygnalizacyjnymi. Opuszczone zabraniało jazdy (sygnał „stój”) podniesione zezwalało na minięcie semafora. Sterowano nimi za pomocą linek rozpiętych między nimi, a nastawnią. Linki były prawdopodobnie najbardziej zawodnym elementem instalacji. Pękały pod wpływem nadmiernych naprężeń narażone na niskie albo bardzo wysokie temperatury. Padały także ofiarą złodziei, których kusiła stosunkowo wysoka cena stopu, z którego je produkowano. Przecięcie linki wymagało sprytu i braku wyobraźni, bo uwolnione, rozerwane końce poruszały się z dużą prędkością i mogły spowodować poważne obrażenia. Mimo tego amatorów ryzyka i kolejowej własności nie brakowało.
Jak zmniejszano prawdopodobieństwo wypadku w wyniku przejechania uszkodzonego semafora? Otóż konstruowano je tak, że odłączenie linki sterującej, niezadziałanie urządzeń nastawczych spowodowało zawsze pokazanie sygnału „stój”. W przypadku semaforów kształtowych oznaczało to opuszczenie ramienia semafora. Przecięcie albo pęknięcie linki było natychmiast sygnalizowane w nastawni, więc jeśli przyczyną awarii była kradzież złodzieje mieli stosunkowo mało czasu na odcięcie drugiego końca linki i ucieczkę.
Maszynista czekał pod semaforem na sygnał zastępczy albo na przekazaną przez radiotelefon zgodę na pominięcie semafora i dalszą jazdę. Dzisiaj taki sposób projektowania urządzeń i systemów sterowania nazywa się z angielska „fail-safe”. Oprócz opisanej właściwości samoczynnego przyjmowania możliwie najbezpieczniejszego stanu wbudowuje się w nie elementy redundantne: zdwojone albo powtórzone większą liczbę razy podzespoły o krytycznym znaczeniu. W przypadku awarii jednego z nich, pracę kontynuują pozostałe.
Bez względu na to, jak starannie przemyślano wszystkie możliwe scenariusze awarii, nigdy nie można wykluczyć szczególnego zbiegu okoliczności, który spowoduje, że zabezpieczenia nie zadziałają. Teoretycznie ramię wspomnianego semafora mogłoby zaciąć się w pół drogi i pokazywać sygnał przypominający komunikat „droga wolna”. W takim przypadku jedyną nadzieją na uniknięcie wypadku pozostałby czujny maszynista, który powinien każdą zaobserwowaną anomalię interpretować jak nadany sygnał „stój”.