Por lo general, la conmutación de seguridad crítica requiere más de una entrada.
Por lo general, tiene dos entradas por conmutador cableadas para detectar condiciones opuestas y la lógica para fallar a un estado seguro si no se cumplen las condiciones adecuadas, o algo así como usar un pin de entrada analógica con una cadena de tres resistencias de tal manera que short, open, switch open y switch cerrado se pueden detectar como estados distintos (si eres realmente paranoico, puedes tener dos de estas cosas con estados de contacto opuestos y diferentes cadenas divisoras potenciales.
Su elección de rebote externo o interno es un problema secundario, pero sería muy cuidadoso con las interrupciones en un proyecto SIL 3 o 4, son difíciles de justificar, especialmente cuando se manejan desde un pin externo porque son la máquina de estados ese es el procesador muy difícil de razonar (y una pesadilla completa para depurar). Personalmente, me gusta una entrada de sondeo, con un simple temporizador de software para rebotar, un chip que no está en la placa no puede tener una junta seca.
También observaría que el diseño de los botones para aplicaciones críticas para la seguridad ha sido estudiado, la NASA realizó un extenso estudio sobre el diseño y la ergonomía del interruptor que controla la destrucción de un cohete en la posición de oficial de seguridad, es interesante.