Může se stát, že se zblázní spínač ventilu a nechá ho v poloze "otevřeno".

No, tohle by šlo řešit na dvou úrovních - na straně RPi a na straně ventilu. Optimlní by bylo zkombinovat obě, ale nejspíš by stačilo jen jednou.

Obrana na straně RPi je watchdog, pokud se RPi zasekne, tak se restartuje a přitom se všechny GPIO nahodí do původního nastavení (bvětšinou se chovají jako vstup nebo vysoká impedance), takže pulldown k zemi zajistí nulu na výstupu hned po restartu. Výhoda je, že se tím pak obnoví i ostaní komunkace, přitom samotný watchdog je přímo součástí SoC a stačí jen nastavit, viz Auto-reboot a hung Raspberry Pi using the on-board watchdog timer.

Obrana na straně ventilu je monostabilní klopný obvod v budiči výkonové součástky, co spína ventil, tedy nejspíš nějakého výkonvého MOSFETu. Protože GPIO na RPi dají jen necelé 3,3V, musel by se použít nějaký spínající už od nízkých napětí (ty běžné chtějí okolo 8-10V) , nebo se tam dá dát budič (low side, protože MOSFETy s N nanálem jsou levnější a mají menší odpor v otevřeném stavu), což je lepší, protože bude jistota, že MOSFET bude otevřený naplno. No a pokud bude tím budičem monostabilní klopný obvod udělaný řekněme z časovače 555, tak se délká sepnutí nastaví přímo hardwarově - i kdyby RPi zustalo "viset v jedničce", ventil se sám vypne po předem nastaveném intervalu.

Osobně bych asi použil watchdog v RPi a ventil bych spínal rovnou, ale pro větší spolehlivost bych galvanicky oddělil obvody RPi a vetilu optočlenem. Ten pak bude na straně ventilu pouštět plných 12V přes odpor v řádu stovek ohmů do gate výkonového MOSFETu s N nanálem, mimo toho tam ještě musí být jeden odpor mezi GPIO RPi a optočlenem (ten se vůči RPI bude chovat jako IR LED), druhý mezi gate a zemí (ten by měl být větší, v řádu desítek kiloohmů), no a nakonec antiparalelní dioda (nejlépě nejaká rychlá) zapojená přes vstupy ventilu, poněvač ten je z elektrického hlediska cívka (na vnitnří diodu v MOSFEtu v tomto případě nedoporučuju sázet).