Здесь полно "бывалых", людей "из раньшего времени", они поймут меня. Ход мыслей простой, следите. Что в МП устройстве заменяет реальные измерительные и логические органы (реле) и соединяющие их провода? Правильно, программа, код в конечном счёте. Как обеспечивается правильность функционирования защиты в традиционном исполнении? Наладкой, проверкой при новом включении, и последующим техобслуживанием. При этом есть совершенно чётко описанная процедура, критерии оценки исправности. Проверенное вновь не проверяется обычно, при изменении схемы - проверяется, при изменении уставок - проверяется. Выставил новое число витков на РНТ - проверил ток срабатывания, типа того. Как быть, если все эти реле и связи - программа, код, нам, практикам, недоступный? Тестированием, конечно. Всё то, что используется (как минимум то, что используется) , должно быть проверено. Предположим, вы потратили день-неделю, как когда, и проверили логику и работу измерит. органов. После этого или в процессе этой проверки выяснилось, что нужно изменить программу (т.е. изменить схему защиты в прежних терминах). Схема достаточно наглядна, прослеживается в натуре, "изменения, внесённые в схему, выделены утолщенными линиями", что называется. проверять всё заново нет причин, верно? С программой, с кодом не так, ведь мы их не видим, не можем, к примеру, проверить построчно соответствие операторов, да и не нашего, практиков, это ума дело, чего уж там. Значит, проверять заново?
Я понимаю, что целостность кода проверяется при записи, проверяются контрольные суммы, решаются, возможно, контрольные задачи. А если код перезаписан (перепрошит, залит и прочие сленговые выражения) верно, но содержит изменения? Принцип (глаза к небу "Коммунистическая партия учит нас") требует проверить всё заново. Человек слаб, грехи наши тяжкие, если нет времени или большой объём - проверять всё не станете вы и не стану я. Nobody, что называется.
Пример из собственной практики. В комплексе ПА (АПНУ) на ГЭС программу меняли часто. Разработчик присылает обновление с припиской "Замените файл ... на прилагаемый новый файл и перезапустите компьютер" (под управлением Windows комплекс работал). Происходит это часто, тестирования, конечно, никакого нет. В один непрекрасный момент происходит возмущение в сети, комплекс работает нерасчётно, выдаёт излишние воздействия. Выясняется, что в актуальном, установленном в комплексе ПО одна из уставок задана неправильно. Но ведь это - от разработчика, мы и не контролировали. Примерно через год - и того хуже, комплекс "взял" данные для контроля предшествующего режима из "другой области памяти", как написали в акте, и выдал совсем уж излишние воздействия. Скандал, комиссия - в результате приказ, что любое изменение ПО (читай - любая запись новых уставок, да?) обязательно должно быть приводить к проверке, тестированию, и только потом - вводу в работу. Как вы представляете себе это при дистанционном, удаленном доступе к терминалу?
Я полагаю, что следует разумно ограничить доступ к терминалам РЗ и ПА. Ну всё-таки не настройки телефона мы меняем, согласитесь.
Что до безопасности и злонамеренности и т.п., то это территория В.И. Гуревича, давайте туда без серьёзных причин не заходить :) Напоминаю, что самая значительная авария в нашей энергетике (я про СШГЭС) вызвана не злодеями, во всяком случае, в рассматриваемом смысле.