предложение по схеме -1.поставить блокировку на выходы 2 и 4 ,когда неисправны датчики .
2.Поставить таймер на тот случай если неисправен верхний датчик -доп.защита от перелива(закрывать клапан) .Если есть оператор ,то пусть ремонтирует при малейшем подозрении на поломку .А если нет оператора (автономная ,удаленная система) ,то для того что бы повысить живучесть системы ,можно игнорировать часть поломок ,меняя (адаптируя) алгоритм отработки сигналов с датчиков.Например если сломался нижний датчик ,а остальные целые ,то можно изменить логику работы от других датчиков ,хотя может и лишне ,не атомный реактор поди .