Ein wesentliches Merkmal der Selmo-Philosophie lautet:
„Sicherheit entsteht durch Struktur, nicht durch Zusatzcode.“
Da jede Zone eine definierte Funktion besitzt, ist das Sicherheitsverhalten integraler Bestandteil des Modells.
Die klassischen Fehler – fehlende Rückmeldung, übersehene Verriegelung, vergessener Reset – können nicht mehr auftreten,
weil sie in der formalen Beschreibung bereits verhindert werden.
Timer oder Sprünge können weiterhin verwendet werden,
aber sie übernehmen keine Sicherheitsaufgaben mehr.
Ein Timer bestätigt nur, dass Zeit verstrichen ist, nicht dass eine Aktion stattgefunden hat.
Und ein Jump ist nur dann sicher, wenn sein Zielzustand definiert und überprüfbar ist.
Diese Trennung von „Ablaufsteuerung“ und „Sicherheitsüberwachung“ ist zentraler Bestandteil des Selmo-Designs.
