Я имею в виду не механическую, а алгоритмическую надежность. В смысле, устойчивость к попыткам НСД. В частности, задачу проверки того, что взаимодействие новой подсистемы с остальными не добавляет несанкционированных входов в систему. А это по факту есть задача доказательства весьма сложного алгоритма. В общем виде, как известно, неразрешимая. А в типичном случае, опять же как известно, добавление дублирующего канала штатного доступа к системе на случай аварии основного снижает безопасность доступа. Аварийный доступ делают, гм, странным. После чего для взлома используется, понятно, именно он :-) Нет, в теории можно спроектировать аварийный канал без потери надежности... В смысле - той же надежности, что и основной. Суммарная надежность от этого станет чуть ниже (ну, шансы проглядеть дыру увеличатся - каналов-то стало больше). На практике же надежность результата становится равной надежности аварийного канала, что много меньше надежности основного :-)