Комментарии 175
Какой то художественный рассказ. "Обрушилась вся мощь большой сети"
Скорее всего от генератора отключили нагрузку и он без нагрузки стал вращаться быстрее, потом нагрузку снова подключили и затормозили резко генератор. На третий раз он не выдержал издевательств. Не знаю как генераторы такие устроены, вероятно есть какой то контроль за оборотами, который и отключили.
>Не знаю как генераторы такие устроены
генератор должен быть синхронизирован с сетью, иначе он начнёт представлять для неё нагрузку
генератор должен быть синхронизирован с сетью, иначе он начнёт представлять для неё нагрузку
Я к тому, что интереснее почитать как на самом деле все было и как работает генератор. А не кучу пафосного текста.
Так там и написано — отключили защиту, не дававшую подключиться к сети рассинхронизировавшемуся генератору и подключили его к сети. и в этот момент они стали друг для друга нагрузкой — генератор для всей сети и наоборот. Ну а дальше смотрели, кто кого пересилит (конец был немного предсказуем).
отключили защиту, не дававшую подключиться к сети рассинхронизировавшемуся генераторуВсё чуть-чуть интереснее. Если нагруженный генератор просто отключить от сети — то:
1. Он начнёт разгоняться — именно это и вызывает рассинхронизацию.
2. Напряжение на нём начнёт расти и будет расти ещё какое-то время, даже если будет отключено возбуждение.
По пункту 1 — у приводного двигателя должна быть своя система управления, которая выдерживает заданную скорость вращения. И она связана с системой управления генератора — только так его можно синхронизировать с сетью.
В общем, картина примерно понятна. Генератор под нагрузкой ударно отключается, не разгружается, разгоняется — и подключается обратно в сеть. Момент включения — это ещё и насилие над выключателем, он в это время работает сварочным аппаратом. Во время повторного подключения генератор работает в режиме противовключения, и сеть его принудительно синхронизирует — во-первых, тормозит (эй, дизель, будь здоров), а во-вторых — токи там многократно превышают номинальные. Даже странно, что вышестоящая защита не отработала. И так несколько раз.
По большому счёту, у больших мальчиков детство заиграло в одном месте и захотелось устроить большой бабах за казённый счёт. вполне можно было физически отсоединить систему управления от выключателя. Для эксперимента достаточно, просто не так разрушительно вышло бы.
Стиль перевода — отдельная песня :)
позвольте, с чего бы ему разгоняться, а зачем тогда система управления приводом генератора?
по такой логике скорость генератора зависит о текущей нагрузки сети что ли?
кратковременный всплеск неизбежен при отключении в рамках подобранных ПИД коэффициентов регулятора, но не разгон как в статье.
ну и в статье не сказано, что электромеханические автоматы по току очевидно исключили из цепи намеренно, в их присутствии при первой же перегрузке по любой из фаз все бы мирно закончилось.
отдельная тема нагрузки сети на генератор… вся есть не нагружает генератор! мощные сети построены на высоковольтных линия с последующей трансформацией на подстанциях, соответственно подстанция в лаборатории рассчитана на нагрузки только лаборатории, а не на «всю мощь сети». Эта подстанция также иогла хлопнуть, если бы автоматы исключили из цепи.
И вообще чем больше анализирую ситуацию тем больше вопросов…
Резиновая втулка… оказалась крепче стального вала? Если бы вал не погнулся то и ничего фатального не было бы. Ударные токи немного деформировали бы сердечник обмоток. Прогорание изоляции обмоток из за превышения токов говорит о том, что генератор мог и так сгореть при ненормированной нагрузке (автоматов очевидно нет или они подобраны не верно). А включение реле могло быть выполнено просто штатным оператором по ошибке. Здесь, на мой взгляд построении энергосистемы с банальным отклонением от требований норм безопасной эксплуатации.
по такой логике скорость генератора зависит о текущей нагрузки сети что ли?
кратковременный всплеск неизбежен при отключении в рамках подобранных ПИД коэффициентов регулятора, но не разгон как в статье.
ну и в статье не сказано, что электромеханические автоматы по току очевидно исключили из цепи намеренно, в их присутствии при первой же перегрузке по любой из фаз все бы мирно закончилось.
отдельная тема нагрузки сети на генератор… вся есть не нагружает генератор! мощные сети построены на высоковольтных линия с последующей трансформацией на подстанциях, соответственно подстанция в лаборатории рассчитана на нагрузки только лаборатории, а не на «всю мощь сети». Эта подстанция также иогла хлопнуть, если бы автоматы исключили из цепи.
И вообще чем больше анализирую ситуацию тем больше вопросов…
Резиновая втулка… оказалась крепче стального вала? Если бы вал не погнулся то и ничего фатального не было бы. Ударные токи немного деформировали бы сердечник обмоток. Прогорание изоляции обмоток из за превышения токов говорит о том, что генератор мог и так сгореть при ненормированной нагрузке (автоматов очевидно нет или они подобраны не верно). А включение реле могло быть выполнено просто штатным оператором по ошибке. Здесь, на мой взгляд построении энергосистемы с банальным отклонением от требований норм безопасной эксплуатации.
позвольте, с чего бы ему разгоняться, а зачем тогда система управления приводом генератора?Тут несколько моментов. Вы генераторы живьём видели? Это многотонная дура. Если 12-тонный генератор переплавить, металла на небольшой танк хватит. Вращающаяся часть генератора во много раз массивнее вращающихся частей двигателя. А вы когда-нибудь тормозили двигателем на машине? Контроллер может полностью прекратить подачу бензина, а двигатель, всё равно, вращается со скоростью 2000..3000 оборотов в минуту.
Почему же разогнался генератор? Очень просто, внезапная разгрузка. Представьте, что вы тянете верёвку, привязанную к крюку в стене. И, внезапно, крюк вырвался. Как минимум, один шаг вперёд вы сделаете.
ну и в статье не сказано, что электромеханические автоматы по току очевидно исключили из цепи намеренноСудя по всему, они явно были «за хакера» (слушай, ну ты за меня или за медведя? :)).
отдельная тема нагрузки сети на генератор… вся есть не нагружает генератор!Трансформатор этого генератора, в любом случае, кратковременно способен выдержать многократные перегрузки. Конечно, там всё не так линейно, насыщение магнитопровода и всё такое. Однако, если генератор попытается бороться с сетью даже через трансформатор — победит, всё равно, сеть.
Собственно, в результате этого эксперимента трансформатор мог вполне не выдержать первым и взорваться.
масса генератора, в том числе, и разгону противодействует.
с чего взяли, что генератор был нагружен сетью?
при синхронизации с сетью он мог работать в режиме близком к «холостому ходу».
ну я так понимаю, что этот эксперимент на гидроэлектростанции не провернуть, а только на генераторах со слабыми приводами?
если система привода не справляется с регулирование генератора в аварийных режимах, то зачем она нужна?
здесь скорее соглашусь с версией, что она тоже взломана, но на ответственных энергообъектах аварийные системы дублируются.
здесь очередная оговорка про сферического коня в вакууме.
с чего взяли, что генератор был нагружен сетью?
при синхронизации с сетью он мог работать в режиме близком к «холостому ходу».
ну я так понимаю, что этот эксперимент на гидроэлектростанции не провернуть, а только на генераторах со слабыми приводами?
если система привода не справляется с регулирование генератора в аварийных режимах, то зачем она нужна?
здесь скорее соглашусь с версией, что она тоже взломана, но на ответственных энергообъектах аварийные системы дублируются.
здесь очередная оговорка про сферического коня в вакууме.
НЛО прилетело и опубликовало эту надпись здесь
сжечь можно любую электронагрузку :)
не ясно почему не сработали защитные меры прописанные в нормах.
автоматические выключатели, даже если и предусматривают дистанционное отключение/включение не имеют возможности отключать защитную функцию по току дистанционно или их просто там не было или были не по номиналу, а так как они неизбежно ставятся на всех подключениях к сети, то и в этом эксперименте продемонстирована не опасность взлома системы управления в чистом виде.
каков вывод комиссии по расследованию был в вашем примере? что рекомендовано — усилить систему управления?
больше похоже на конструкционный просчет так как отключение по КЗ на максимальной нагрузке генератора является естественным сценарием поведения и как конструктора это не учли не совсем понятно.
не ясно почему не сработали защитные меры прописанные в нормах.
автоматические выключатели, даже если и предусматривают дистанционное отключение/включение не имеют возможности отключать защитную функцию по току дистанционно или их просто там не было или были не по номиналу, а так как они неизбежно ставятся на всех подключениях к сети, то и в этом эксперименте продемонстирована не опасность взлома системы управления в чистом виде.
каков вывод комиссии по расследованию был в вашем примере? что рекомендовано — усилить систему управления?
больше похоже на конструкционный просчет так как отключение по КЗ на максимальной нагрузке генератора является естественным сценарием поведения и как конструктора это не учли не совсем понятно.
НЛО прилетело и опубликовало эту надпись здесь
На лабораторных в политехе мы бывали близки к тому, чтобы превратить электродвигатель в двигатель внутреннего сгорания :)))
что вы там отключать собрались? Там как раз и произошло отключение нагрузки при КЗ (исходя из комментария), генератор начал разгоняться потерял синхронизм, что равносильно КЗ для генератора
Ну так повторное включение, по вашему, рассинхронизированное с сетью, не привело к перегрузке по токам?
Запах и дым это не результат прохождения токов превышающих допустимые?
дальше, то что вы делать собрались? если нет нагрузки на генератор — всё ему конец
Даже в статье причиной разрушения генератора не отключение является. А повторное включение. Здесь в комментариях уже человек отписал свою реальную ситуацию с судовым генератором.
Попытка повторного включения в противофазе сработала защита по току. И все. второй третий и так далее защита будет срабатывать.
масса генератора, в том числе, и разгону противодействует.Тем не менее, это возможно и это случается.
с чего взяли, что генератор был нагружен сетью?вы правы, сложно однозначно понять это из статьи.
ну я так понимаю, что этот эксперимент на гидроэлектростанции не провернуть, а только на генераторах со слабыми приводами?Если на гидрогенераторе закрыть шибер подачи воды — то и его раскрутить можно, я думаю. Но ставить такие эксперименты на ГЭС — надо быть полным психом.
если система привода не справляется с регулирование генератора в аварийных режимах, то зачем она нужна?Против лома нет приёма. энергоблок просто не должен даже приближаться к такому режиму, но в процессе эксперимента они отключили большинство защит.
На Саяношушенской, если я правильно понял, были именно "игры" с мощностью. То есть самое что ни на есть "удалённое управление". Условно, где-то в Хабаровске включили кучу чайников — и в ответ автоматика начала переключать режимы у генератора в СШГЭС. А тут ещё шпилька со слизанной резьбой...
Условно, где-то в Хабаровске включили кучу чайников — и в ответ автоматика начала переключать режимы у генератора в СШГЭС.1. Автоматика не вводит генераторы в работу, только оператор. Автоматика может отключить по защите.
2. «Переключение режимов» — это не игры с включением/выключением. И, тем более, несинхронизированным включением.
3. Функция автоматики, в общем — это управление двигателем для поддержания оборотов (частота) и управление возбуждением для поддержания электрических параметров (напряжение, активная/реактивная мощность). Хоть миллион чайников включите — это не выведет отдельно взятый генератор из режима. На случай, если он таки вышел — есть защиты.
Пример в статье отличается от Саяно-Шушенской тем, что:
1. Американцы отключили все возможные защиты.
2. Они включали/выключали выключатель.
Это уже скрупулёзные детали, которые не опровергают и не подтверждают, различия скорее количественные.
Насколько я понял произошедшее — у генератора есть некие устойчивые режимы, и "нежелательные". Условно — 2МВт хорошо, 4МВт тоже хорошо, а какие-нибудь 3МВт вроде работает, но вызывает излишнюю вибрацию и износ. Поэтому эти "нежелательные" режимы лучше проскакивать поскорее и в них не задерживаться. А тут случилась такая конфигурация нагрузки, что потребовалась эта самая "неудобная" мощность. И автоматике на СШГЭС пришлось переключать режимы несколько раз, пока не не ушаталась уставшая шпилька.
различия скорее количественные.Главное количественное различие — сколько раз в процессе работы разъединяли выключатель генератора и сколько раз его несинхронно включали обратно.
Насколько я понял произошедшее — у генератора есть некие устойчивые режимы, и «нежелательные». Условно — 2МВт хорошо, 4МВт тоже хорошо, а какие-нибудь 3МВт вроде работает, но вызывает излишнюю вибрацию и износ.Вы неправильно поняли. Если у генератора (или турбины) собственные частоты совпадают с рабочими — это говно, а не агрегат. Если такое вдруг поставят на станцию — даже в текущих реалиях это за гранью возможного. Собственные частоты могут измениться, если его разбирали/собирали и хреново ремонтировали. Вибрации возможны, если машина вращается со скоростью, кратной собственной частоте, но и на 2, и на 3, и на 4 МВт скорость вращения одинакова. Устойчивый режим энергоблока — это от минимального и до номинального (плюс некоторый запас, разумеется). Неустойчивая работа может быть вызвана переходными процессами, вызванными насилием над агрегатом.
Я не придумываю аргументы, а пытаюсь изложить то, как понял официальный доклад.
Частота у турбины (и у генератора) в рабочем режиме фиксирована. Различается отбираемая мощность. И меняется (по естественным причинам) напор воды. В определённых сочетаниях напора и мощности турбина, вращаясь с заданной фиксированной скоростью начинает ещё и "подпрыгивать", создавая вредную нагрузку на подшипники и крышку, и потому этот режим нежелателен. Картинка-график общедоступна, есть в акте технического расследования.
В день аварии напор был 212 метров. Диапазон мощности в рекомендованной зоне при этом очень мал, и поэтому турбина 12 раз переходила в нерекомендованную зону. Так и ушатали.
Эта картинка — как шкала тахометра, если внимательно посмотреть :)
Если примем за номинал 650 МВт (максимум зелёной зоны), зелёная зона примерно 75 МВт, это 11.5% от номинала. И это немало. При чём, это верхние 11.5%, всё, что ниже — тоже допустимые режимы. Допустимые — значит, если из-за переходных процессов генератор зайдёт в жёлтую зону, ничего катастрофического не произойдёт. Иначе он вообще никогда в зелёную зону не зайдёт. В общем, держать генератор в рамках заданного режима — совершенно не сверхзадача. Опять же, с учётом запаса прочности, красная зона красная, в первую очередь, для турбины, а не для генератора.
Кроме того, вернёмся к нашим баранам — к куда более простому дизель-генератору. Его убили совершенно иначе. Рабочий режим — отключение без разгрузки — несинхронизированное включение. Ударные электрические перегрузки генератора и от генератора удары в трансмиссию. На СШГЭС несинхронизированного включения не было. Там генератор такого насилия не испытывал.
В день аварии напор был 212 метров. Диапазон мощности в рекомендованной зоне при этом очень малЗелёная зона — она, в принципе, самая узкая. Особенность ГЭС.
поэтому турбина 12 раз переходила в нерекомендованную зонуА вот тут я с вами не согласен. Зелёная зона вся узкая, она так при любом напоре будет переходить в нерекомендованную зону.
Если примем за номинал 650 МВт (максимум зелёной зоны), зелёная зона примерно 75 МВт, это 11.5% от номинала. И это немало. При чём, это верхние 11.5%, всё, что ниже — тоже допустимые режимы. Допустимые — значит, если из-за переходных процессов генератор зайдёт в жёлтую зону, ничего катастрофического не произойдёт. Иначе он вообще никогда в зелёную зону не зайдёт. В общем, держать генератор в рамках заданного режима — совершенно не сверхзадача. Опять же, с учётом запаса прочности, красная зона красная, в первую очередь, для турбины, а не для генератора.
Кроме того, вернёмся к нашим баранам — к куда более простому дизель-генератору. Его убили совершенно иначе. Рабочий режим — отключение без разгрузки — несинхронизированное включение. Ударные электрические перегрузки генератора и от генератора удары в трансмиссию. На СШГЭС несинхронизированного включения не было. Там генератор такого насилия не испытывал.
Не вижу предмета обсуждений. Я просмотрел отчёт и просто излагаю своими словами то, что прочёл. Аргументы "что могло бы быть" — ну это не я придумал. И 212 метров, и 12 переходов, и картинка — это из того самого отчёта. Не берусь судить, могло бы это случиться или нет (если в самом деле так быть не могло — значит все эксперты не правы, бумагу сфабриковали, а Вы — молодец, всех легко разоблачили), поэтому всего лишь интерпретирую то, что вижу: электрогенератор в США включали в рассинхроне. Турбину на СШГЭС автоматика периодически переводила в режим, где её нещадно колбасит гидроударами. В первом случае вмешались хакеры, во втором (судя по отчёту) автоматика вообще "не знала" про нежелательную зону. Оба случая о том, как сломанный или изначально недоделанный алгоритм приводит к реальным поломкам.
Не вижу предмета обсуждений.А что же вы тогда так активно обсуждаете? :)
И 212 метров, и 12 переходов, и картинка — это из того самого отчёта.Я знаю. Я вам говорю о том, что поддержание заданного картинкой диапазона в исправной системе не представляет собой сверхсложной задачи для автоматики. Механические проблемы с турбиной, недоделанная (возможно) программа, возможно, были отключены датчики/защиты, активное вмешательство операторов — всё это дырки в модели швейцарского сыра.
автоматика вообще «не знала» про нежелательную зону.Возможно. Вопрос — по какой причине. Может, этого не было в ТЗ, может, для опытов отключили защиту вручную.
Насколько я знаю, при КЗ генераторы тоже разгоняются (при КЗ нагрузка активная почти ноль, большая индуктивность генератора ограничивает ток).
Так вот, КЗ длительностью примерно 0.3 с на таком генераторе — он вылетает от защиты по частоте (есть такие сведения о реальных генераторах примерно 1-3 МВт мощностью). Там сильно большого разгона, по идее, и не надо, достаточно включения в противофазе…
Так вот, КЗ длительностью примерно 0.3 с на таком генераторе — он вылетает от защиты по частоте (есть такие сведения о реальных генераторах примерно 1-3 МВт мощностью). Там сильно большого разгона, по идее, и не надо, достаточно включения в противофазе…
Дело Ляпсуса живёт.
-Это, кажется, ваш первый опыт в прозе? Поздравляю вас! "Волны перекатывались через мол и падали вниз стремительным домкратом..."
-В чем дело?
-Дело в том, что… Вы знаете, что такое домкрат?
-Ну, конечно, знаю, оставьте меня в покое…
-Как вы себе представляете домкрат? Опишите своими словами.
-Такой… Падает, одним словом.
-Домкрат падает. Заметьте все! Домкрат стремительно падает!
НЛО прилетело и опубликовало эту надпись здесь
Тут не просто отключена защита. Она наоборот — инвертирована. Эта самая «защита» специально доводила генератор до рассинхрона, потом подключала в сеть, и так несколько раз.
Многомиллионный эксперимент нужен, чтобы показать, что сама цифровая инраструктура энергосети позволяет провернуть такой трюк
Многомиллионный эксперимент нужен, чтобы показать, что сама цифровая инраструктура энергосети позволяет провернуть такой трюк
так суть експеремента в том и была… можно ли хакерской атакой эту самую защиту отключить.
НЛО прилетело и опубликовало эту надпись здесь
Чтобы доказать военным — обязательно. Они в числа не верят, только в наглядную демонстрацию.
У коллег как-то случай был. Досталось им в эксплуатацию два светодиодных экрана, каждый из 400 панелек.
Дяденька-оператор решил не читать мануал, а сидел и нажимал что-то в программе, чтобы понять все её возможности. В какой-то момент что-то пошло не так и все светодиодные панельки на экране «окирпичились» — перестали вообще реагировать на что-то.
Дяденька-оператор оказался дотошным и с инженерным мышлением. Он подключил второй экран и начал последовательно выполнять все прошлые действия, всё записывая в тетрадочку. Предсказуемо, он «окирпичил» и второй экран, зато точно узнал что именно делать с экранами нельзя.
Дяденька-оператор решил не читать мануал, а сидел и нажимал что-то в программе, чтобы понять все её возможности. В какой-то момент что-то пошло не так и все светодиодные панельки на экране «окирпичились» — перестали вообще реагировать на что-то.
Дяденька-оператор оказался дотошным и с инженерным мышлением. Он подключил второй экран и начал последовательно выполнять все прошлые действия, всё записывая в тетрадочку. Предсказуемо, он «окирпичил» и второй экран, зато точно узнал что именно делать с экранами нельзя.
Ну да, если все защиты отключить, генератору приходит писец. Это и без многомиллионного эксперимента очевидно.
Причём не только генератору. Доказано Чернобылем.
(Для тех, кто не в теме: в Чернобыле, прости госсподи, "экспериментаторами" было вручную отключено как минимум три защиты — по минимальному количеству регулирующих стержней в активной зоне, по уровню воды в буферном резервуаре, и по минимальной рабочей мощности реактора — любая из которых остановило бы не то что развитие, но даже появление потенциальной аварийной ситуации — но "насяльника сказала эксперимента састаится любой ценой".)
Первой и третьей из упомянутых защит на РБМК-1000 тех лет просто не было.
Более того, табло с текущим значением ОЗР тоже не было, его считала машина с интервалом в 2 минуты.
Более того, табло с текущим значением ОЗР тоже не было, его считала машина с интервалом в 2 минуты.
Послушайте, я зашёл оставить комментарий про то, что "если игнорировать сообщения защит, то оно ё всё кончится не очень хорошо", а не читать лекции по устройству реактора. Я помню, что в Чернобыле сработало то ли три, то ли четыре разных защиты вида "если и дальше делать так, то будет плохо", которые последовательно отключали/глушили, с известным конечным результатом. Как конкретно эти защиты назывались и работали — хорошо расписано в документах расследования. Вести детальную дискуссию о том, как именно назывался каждый конкретный болтик, возможности у меня нет — как потому, что мне ещё и работать надо, так и благодаря хабрамеханизмам. Так что звыняйте.
Хм, правда? А со стороны выглядит как-будто вы ляпнули что-попало, в котором как минимум 2/3 не правда и не могло быть правдой, а теперь оправдываетесь. Нет?
Вот, погуглил, специально для Вас.
Пункты 4, 5 и 6 видите? Вот те самые три защиты, которые были принудительно заблокированы, про которые я говорил. Да, как я сказал, ошибся в конкретике — давно дело было. Посыпаю свой лысый череп пеплом. Но как это отменяет основную посылку, ради которой комментарий писался?
4. Не актуально в условиях аварии — защита сделала бы то же самое, что произошло после нажатия АЗ-5. Насколько я помню, в момент сброса стержней ТГ еще не остановился — его приводила в движение выбегающая турбина.
5. Защита сделала бы то же самое, что произошло после нажатия АЗ-5. В какой момент это произошло и помогло бы — уже наверное не узнаем.
6. САОР охлаждает реактор и были попытки её активировать непосредственно после аварии — но т.к. активная зона и коммуникации были разрушены, то это естественно не сработало.
Поймите правильно, я совершенно не против изначальной посылки комментария. Но перекладывание ответственности на операторов и не принятие во внимание конструктивных дефектов приведет лишь к повторению подобных случаев.
Более того, на 1 блоке ЛАЭС в 1975 году была похожая по физике авария, правда со значительно меньшими последствиями, о чем в последствии было доложено, но у проектантов свои «насяльника» и произошло то, что произошло…
5. Защита сделала бы то же самое, что произошло после нажатия АЗ-5. В какой момент это произошло и помогло бы — уже наверное не узнаем.
6. САОР охлаждает реактор и были попытки её активировать непосредственно после аварии — но т.к. активная зона и коммуникации были разрушены, то это естественно не сработало.
Поймите правильно, я совершенно не против изначальной посылки комментария. Но перекладывание ответственности на операторов и не принятие во внимание конструктивных дефектов приведет лишь к повторению подобных случаев.
Более того, на 1 блоке ЛАЭС в 1975 году была похожая по физике авария, правда со значительно меньшими последствиями, о чем в последствии было доложено, но у проектантов свои «насяльника» и произошло то, что произошло…
Если сравнить момент инерции генератора и турбины — то это выбегающий генератор приводит в действие турбину. В связи с чем, я знаю один случай, как были запороты несколько турбин: смазка в подшипник свободной турбины подавалась от маслонасоса двигателя, а останавливается турбина вместе с генератором, который ещё несколько минут выбегает.
Для турбин на насыщенном паре это соотношение тоже выполняется?
Визуально по корпусам агрегатов в машзалах АЭС генератор сравним по размеру с ЦВД, но еще есть несколько ЦНД, которые значительно больше как по диаметру, так и по длине.
Визуально по корпусам агрегатов в машзалах АЭС генератор сравним по размеру с ЦВД, но еще есть несколько ЦНД, которые значительно больше как по диаметру, так и по длине.
Я не видел своими глазами ни одной машины, где момент инерции двигателя больше момента инерции нагрузки. Более того, затрудняюсь представить себе такую машину. Разве что, если нагрузка — вентилятор, и то, с оговорками. Турбины всегда стараются сделать максимально лёгкими и весить там, кроме лопастей, нечему. А вот ротор генератора — практически, цельнометаллический.
Визуально по корпусам агрегатовКорпус-то не вращается :) Посмотрите на двигатель внутреннего сгорания: снаружи он тоже большой и тяжёлый, а вращающаяся часть относительно небольшая.
5. Защита сделала бы то же самое, что произошло после нажатия АЗ-5. В какой момент это произошло и помогло бы — уже наверное не узнаем.
Да в том-то и хохма, что это произошло бы сильно раньше, когда реактор ещё не был доведён до цугундера. Их потому и заблокировали, что они всё порывались реактор потушить, мешали проведению ыкспиримента, тсзть.
В 1 ч 03 мин и 1 ч 07 мин [...] В этот период в БС наблюдались провалы по давлению пара на 0,5-0,6 МПа и провалы по уровню воды ниже аварийной уставки. Чтобы избежать остановки реактора в таких условиях, персонал заблокировал сигналы A3 по этим параметрам.
То есть если бы защиту по п. 5 не отключили, то тут бы всё и закончилось — реактор бы был потушен, и мир не узнал бы всей мощи советского мирного атома. Но в реальности чемпионат по гребле с реактором продолжился ещё 20 минут.
В 1ч 23мин 04с были закрыты стопорно-регулирующие клапаны (СРК) ТГ № 8. [...] Имеющаяся A3 по закрытию СРК двух ТГ (ТГ .№ 7 был отключен днем 25 апреля 1986г.) была заблокирована [...] началось медленное повышение мощности. [...] В 1ч 23мин 40с начальник смены блока дал команду нажать кнопку АЗ-5
И вот тут уже ОЧЕНЬ близко, но если бы защита не была отключена — шансы всё еще были. Но из-за её блокировки у реактора оказалось 36 лишних секунд на разгон, а в ядерной технике секунда — это вечность (см. ядерная бомба).
Выходит, защита по параметрам в БС правда могла бы все это предотвратить — за 20 минут до взрыва состояние реактора сильно отличалось.
Что касается защиты по отключению двух ТГ, тут сложнее — если ожидание в 36 секунд приводят к разрушению активной зоны, значит изначально что-то сильно пошло не так.
По нормативам допустимый период реактора (время, когда мощность увеличивается в e раз) не должен быть менее 20 секунд, в противном случае реактор становится фактически неуправляем.
В бомбе деление происходит на мгновенных нейтронах, в реакторе очень небольшая часть (0,64% для уранового топлива) приходится на запаздывающие нейтроны, что значительно увеличивает время жизни одного поколения.
Строго говоря только поэтому и возможна управляемая цепная реакция.
Что касается защиты по отключению двух ТГ, тут сложнее — если ожидание в 36 секунд приводят к разрушению активной зоны, значит изначально что-то сильно пошло не так.
По нормативам допустимый период реактора (время, когда мощность увеличивается в e раз) не должен быть менее 20 секунд, в противном случае реактор становится фактически неуправляем.
а в ядерной технике секунда — это вечность (см. ядерная бомба)В том и дело, что реактор — не бомба, там скорость процессов совершенно другая.
В бомбе деление происходит на мгновенных нейтронах, в реакторе очень небольшая часть (0,64% для уранового топлива) приходится на запаздывающие нейтроны, что значительно увеличивает время жизни одного поколения.
Строго говоря только поэтому и возможна управляемая цепная реакция.
Выходит, защита по параметрам в БС правда могла бы все это предотвратить — за 20 минут до взрыва состояние реактора сильно отличалось.
Так я про то и талдычу второй день (за что уже успел заработать -7 к карме): если бы защиты не отключали — Союзу не пришлось бы совершать массовый трудовой подвиг. Их (защиты) всё же не идиоты придумывали (хотя им, похоже, и мешали изо всех сил).
если ожидание в 36 секунд приводят к разрушению активной зоны, значит изначально что-то сильно пошло не так.
Совершенно верно: неправильно пошло то, что тому, что хотело заглушить реактор 20 минут назад, сделать этого не дали, как и тому, что хотело сработать 36 секунд назад. То есть, повторюсь, "если защитам достаточно долго не давать выполнять свою функцию, то в конце концов прибор таки ё… кнется".
в реакторе очень небольшая часть
А потом (как говорит нам Zuko) "просто добавь воды" — и "которые не те", ВНЕЗАПНО превращаются в "те".
Но перекладывание ответственности на операторов
Вывели стержней больше, чем разрешалось держать по минимуму, именно операторы. Даже ниже разрешённого после отдельного разрешения главного инженера. То есть вот совсем вопреки всем инструкциям.
Это называется «Слышал звон, да не знаю, где он».
Вы утверждаете что «АЗ-5 жмякнули, когда уже было видно, что реактор идёт вразнос» — вопрос, почему на графиках ДРЕГ этого не видно, что подтверждает сам Александров? Почему на графике самописца мощности ничего не видно вплоть до момента взрыва?
«Я помню, что в Чернобыле сработало то ли три, то ли четыре разных защиты вида „если и дальше делать так, то будет плохо“
Перечислите, пожалуйста, какие именно были отключены и как это повлияло на ход аварии. Начну я — была отключена защита по уровню воды в барабан-сепараторах. И расскажите мне, к чему это может привести (не нужно цитировать советских специалистов, у которых 2+ 2 получается 5).
Вы утверждаете что «АЗ-5 жмякнули, когда уже было видно, что реактор идёт вразнос» — вопрос, почему на графиках ДРЕГ этого не видно, что подтверждает сам Александров? Почему на графике самописца мощности ничего не видно вплоть до момента взрыва?
«Я помню, что в Чернобыле сработало то ли три, то ли четыре разных защиты вида „если и дальше делать так, то будет плохо“
Перечислите, пожалуйста, какие именно были отключены и как это повлияло на ход аварии. Начну я — была отключена защита по уровню воды в барабан-сепараторах. И расскажите мне, к чему это может привести (не нужно цитировать советских специалистов, у которых 2+ 2 получается 5).
В INSAG-7 с вами не согласятся. Отключение защит допускалось регламентом по эксплуатации и включённые защиты не спасли бы реактор от недокументированного концевого эффекта, скрытого производителем реактора.
"… а если бы у бабушки было кое-что, то она была бы дедушкой".
Мы имеем самую типичную модель швейцарского сыра, в которой (не)удачно сложились дырки в защитах. А более конкретно — горе-экспериментаторы внесли конструктивно не предполагавшуюся положительную обратную связь "больше выделяемая тепловая мощность → больше выработка пара → больше скорость турбогенератора → больше выработка им электричества → больше скорость турбонасосов → больше подача воды в активную зону → больше эффект замедления нейтронов → больше топлива делится → больше выделяемая тепловая мощность". Концевой эффект здесь был уже вишенкой на торте — АЗ-5 жмякнули, когда уже было видно, что реактор идёт вразнос (рвануло бы и без концевого эффекта, но позже), но вместо аварийного стопа получили ещё больше воды в реакторе, с ещё большим разгоном и результатами на лице.
Большая часть из перечисленных связей не имеет документальных или научных подтверждений, связи скорости подачи воды, недогрева и парообразования сложнее монотонной зависимости и их скорость действия явно не проявится на масштабах времени секунд и даже минут. Основная положительная ОС, оказавшаяся фатальной, это паровой коэффициент реактивности. Без концевого эффекта АЗ-5 привела бы к снижению реактивности сразу же после начала хода стержней без вноса положительной реактивности, и уж тем более без вноса её в количестве большем, чем доля запаздывающих нейтронов. А на быстрых нейтронах для РБМК это по сути ядерный взрыв уже.
Без концевого эффекта АЗ-5 привела бы к снижению реактивности сразу же после начала хода стержней без вноса положительной реактивности, и уж тем более без вноса её в количестве большем, чем доля запаздывающих нейтронов.
Это если реактор ещё был цел на момент сброса. А вот это точно неизвестно.
По распечаткам ДРЕГ именно после срабатывания АЗ-5 и начала движения стержней через 2 секунды происходит разгон реактора с экспоненциальным ростом мощности, через 5 секунд резкий скачок давления и ещё через несколько секунд потеряна связь с датчиками в реакторном пространстве. До нажатия АЗ-5 мощность держалась в пределах 200 МВт.
Если бы всё было так, как Вы пишете, то не надо было бы писать надцатистраничный отчёт о расследовании с той самой таблицей, а просто написать, что во всём виноват Чубайс концевой эффект. Однако так почему-то не сделали...
Принципиальное отличие Чернобыля в том, что там для "эксперимента" пришлось дырявить пульт и прикручивать туда новую кнопку "МПА". Небольшое аппаратное изменение систем защиты.
Это и без многомиллионного экспериментамного раз проверено луддитами :))
Дизельное топливо в камерах распылялось, и детонировало с нечеловеческой скоростью.
«Коза кричала нечеловеческим голосом» (ц)
внутренности генератора исполняли невидимый и идеально сбалансированный танец
Чтобы до конца прочувствовать уровень пера автора, просто перечитайте это несколько раз подряд… РЕН-ТВ отдыхает…
Учитывая, что
Дизельное топливо в камерах распылялось, и детонировало с нечеловеческой скоростью.никаких хакеров не надо. Само развалится.
Оно, таки, действительно не детонировало, а сгорало. Детонация — другте, даже если перед нами дизель.
Сюда нужен второй комментарий про Ляпсуса:
Статья кончается так:
"Он жмет мне на прощанье руку… Позади меня гудят стропила. Рабочие снуют там и сям. Кто может забыть этих кипений рабочей стройки, этой неказистой фигуры нашего строителя?"
Один раз Треухов не выдержал и написал тщательно продуманное язвительное опровержение:
"И потом, я хотел бы заметить тов. Маховику, что стропила гудят только тогда, когда постройка собирается развалиться."
где каскадная релейная защита?
беспрецедентная атака на украинскую энергосеть в 2016-м году
Вот здесь мнение технических специалистов по этому поводу.
Вот что бывает, если всю защиту реализовывать только на программном уровне.
Где же аппаратная защита?
Где же аппаратная защита?
Вот что бывает, если критические системы доступны через интернет.
Так она там была, но к ней зачем-то оставили доступ со стороны софта.
Ну если с аппаратной защитой там всё, как было в Therac-25, то ой.
НЛО прилетело и опубликовало эту надпись здесь
Правда?
А автоматические выключатели "АВВ" в моём электрощитке про это не знают, поскольку им и знать-то нечем — нет контроллера, всё на голой механике, тепловом действии тока и электромагнетизме работает...
Лол. Только влияния у вас на них нет, они уходят в защиту и фиг вы выйдете за расчетные режимы. Типичный пример сервоконтроллер.
НЛО прилетело и опубликовало эту надпись здесь
Вы нас то просветите. Интересно же!
НЛО прилетело и опубликовало эту надпись здесь
Да не, это понятно. В чем выражается чушь? Поче му вас такая резкая реакция, как буд-то то что они сделали, сделать реальной жизни просто невозможно? Объясните пожалуйста как специалист в чем несостыковки.
НЛО прилетело и опубликовало эту надпись здесь
Ясно. Понял. Я могу попробовать предположить для чего это было сделано и почему именно так. Вот смотрите, допустим у вас есть какой-то человек «который принимает решения», есть два возможных способа донести до него какую-то информацию/мысль/предположение или например идею. Первый вы приходите и говорите: «Мы тут посидели, подумали и пришли к выводу, что если подключить системы автоматики энергогенерирующих мощностей нашей замечательной страны к сети Интернет, то этим могут воспользоваться русские хакеры и нам П****Ц!!!» Второй вариант, вы самостоятельно проделываете все необходимые манипуляции и на практике показываете, что если выставить автоматику «голой жопой на мороз» (открытыми портами в Интернет), то точно наступает П****Ц! Снимаете красочное видео, фоточки, отчеты очевидцев, ошметки генератора, все в кучу и такие красивые на белом самокате заезжаете в 2 часа ночи с криками: «ШЕФ, ВСЕ ПРОПАЛО!!!» и технично просите пару сотен миллионов долларов на развитие системы безопасности автоматики. Да, и не забываете успокоить только что разбуженного человека уверениями, что теперь-то уж все точно будет хорошо! Думаю во втором случае шансов добиться своего намного больше. Плюс вам положена премия за переживания о стране и компенсация всех расходов.
Тут еще надо очень постараться чтобы получить такую «зловредную» прошивку контроллера которая будет именно так работать. Тут скорей всего доступ к исходникам нужен, чтобы такое реализовать. По мне так малореалистично.
Сделайте поправку на то что эксперимент был лет 20 назад (по крайней мере я так понял) тогда многое станет на свои места
TL;DR -> Если сделать машину, предназначенную для подрыва, и исполнить на ней последовательность шагов, предназначенную для подрыва, и никто этому не помешает, то случится подрыв.
Слишком художественно написано, но принципиально такое возможно.
Думаю нормальный генератор мегаватт на 300 для серьезных повреждений достаточно будет один раз включить в сеть в противофазе.
Другое дело, что обычно есть отдельное реле защиты от несинхронного включения. Даже если устройство синхронизации включено в АСУ ТП, если его физически возможно как-то перепрограммировать по этому каналу связи (по модбасу — вряд ли), если сеть АСУ ТП можно взломать снаружи — защита от несинхронного включения реализуется на отдельном более простом устройстве, которое ни в какие цифровые сети не включено. Как минимум так было в тех проектах, что я видел.
Но цифровизация продвигается семимильными шагами, скоро вся фантастика станет реальностью)
Думаю нормальный генератор мегаватт на 300 для серьезных повреждений достаточно будет один раз включить в сеть в противофазе.
Другое дело, что обычно есть отдельное реле защиты от несинхронного включения. Даже если устройство синхронизации включено в АСУ ТП, если его физически возможно как-то перепрограммировать по этому каналу связи (по модбасу — вряд ли), если сеть АСУ ТП можно взломать снаружи — защита от несинхронного включения реализуется на отдельном более простом устройстве, которое ни в какие цифровые сети не включено. Как минимум так было в тех проектах, что я видел.
Но цифровизация продвигается семимильными шагами, скоро вся фантастика станет реальностью)
НЛО прилетело и опубликовало эту надпись здесь
>>защита от несинхронного включения реализуется на отдельном более простом устройстве, которое ни в какие цифровые сети не включено. Как минимум так было в тех проектах, что я видел
Ошибаетесь. Уже включены. Пример устройства — 7VE6X от Siemens.
Ошибаетесь. Уже включены. Пример устройства — 7VE6X от Siemens.
Не имел с ними дела.
А это точно именно устройство защиты от несинхронного включения (synchrocheck), а не устройство синхронизации?
По моим представлениям это должны быть два отдельных устройства, и чем проще устройство защиты от несинхронного включения, тем лучше.
Хотя понятно, что сейчас при желании можно ту же функцию реализовать хоть в терминале автоматики управления выключателем.
А это точно именно устройство защиты от несинхронного включения (synchrocheck), а не устройство синхронизации?
По моим представлениям это должны быть два отдельных устройства, и чем проще устройство защиты от несинхронного включения, тем лучше.
Хотя понятно, что сейчас при желании можно ту же функцию реализовать хоть в терминале автоматики управления выключателем.
НЛО прилетело и опубликовало эту надпись здесь
30 строк кода объёмом 140 кБ?
Интересно, каким образом была отключена защита? Каким образом был дан сигнал на включение реле? Статья полнейшая чушь!!
Бываю иногда на подстанции своего небольшого городка, на периферии нашей Родины. Хоть и опутанная телемеханикой даже по оптоволокну, но только для диагностики и наблюдения, сама защита и автоматика все равно на 99% построена на релейной логике. А главное, это сама логика — защита всегда каскадная, и каскады «последней надежды» построены так чтобы отказывать там было нечему; наподобие того как в новейших навороченных импульсных блоках питания все равно ставят обычный плавкий предохранитель. В общем, без деталей рассказ слишком литературный.
Промотать на 8:50
youtu.be/CuBF0ErWIhQ
youtu.be/CuBF0ErWIhQ
Будто на концерте Раммштайн оказался, хороший фейерверк
https://youtu.be/CuBF0ErWIhQ?t=530
в такой ссылке не надо проматывать ;)
Скажите, оптоволокно используется потому что большие электромагнитные помехи?
Нет, из чисто практических целей — тянуть далеко. Телемеханика(ТМ) вобще в наших краях лишь для отслеживания оперативной обстановки, всё что мало-мальски значимо — через диспетчера.
Можно рассматривать ситуацию как с самолётами — в случае чего, где-то может быть бригада на линии. Город то постоит, хрен с ним (перемёрзнет правда нафиг), но за бригаду, как и за пассажиров самолета, отвечать никто не хочет.
Тут где-то выше, особенно верно сказали — всё построенно так, что если к оборудованию подключились извне, то оно априори считается уже взломанным.
Можно рассматривать ситуацию как с самолётами — в случае чего, где-то может быть бригада на линии. Город то постоит, хрен с ним (перемёрзнет правда нафиг), но за бригаду, как и за пассажиров самолета, отвечать никто не хочет.
Тут где-то выше, особенно верно сказали — всё построенно так, что если к оборудованию подключились извне, то оно априори считается уже взломанным.
сама защита и автоматика все равно на 99% построена на релейной логике.
С учётом того, что отдельные товарищи уже дошли до того, чтобы для генерации звукого сигнала использовать отдельный микрокомпьютер, а потом ещё и защищают такое решение, я уже ничему не удивляюсь.
наподобие того как в новейших навороченных импульсных блоках питания все равно ставят обычный плавкий предохранитель.
Вот только любой электронщик вам скажет что с большей вероятностью плавкий предохранитель сработает тогда, когда ваша электронника уже вся выгорит. Поэтому и используют преславутые МК с контролем тока.
А он и защищает в первую очередь не электронику. Если например, она сдохнет от перенапряжения без пробоя накоротко — он и не заметит. Но, смотрим даташиты на ШИМки ИБП, и видим, что там уже есть обратная связь по току в высокой стороне; а предохранитель производителем все равно установлен (иногда он внешне неотличим от сопротивления). Это жжж, оно неспроста. Вот, опять же например, вспоминаем EEV — «нет в мультиметре вооот такого, видите, здорового, керамического а не стеклянного предохранителя — ваш мультиметр _ну_очень_плохой_». А ведь мультиметры явно что-то да понимающими людьми делаются, им потом точность в сертификат вносить и поверки проходить. Любой электронщик подтвердит. Остальное в районе рассуждений «купили в ЦРБ аппарат ИВЛ, самопал, из Китая, без документов».
один из них оказался очень похож на тромбониста из Барнаула
Инфа 146%, что всё это дело рук этого тромбониста из ГРУ!
С тромбонистом же дичь первостатейная, вброс уровня ольгинских ботов, непонятно зачем это здесь в статье.
Напомню что по фотке с сайта ФБР поиск по лицам в файндфейсе сделала некая российская «группа блогеров» и в своих фантазиях они не только притянули за уши разыскиваемого США Адриенко к непохожему на него Ненашеву и на основании этого заочно «приговорили» Ненашева к тюрьме в США, а после на основании этих фантазий обвинили США в том что они угрожают тюрьмой невиновным тромбонистам.
А какой слог: «Что очевидно из этого вопиющего примера злонамеренного преследования и юридической халатности, ФБР...»
Фу
Напомню что по фотке с сайта ФБР поиск по лицам в файндфейсе сделала некая российская «группа блогеров» и в своих фантазиях они не только притянули за уши разыскиваемого США Адриенко к непохожему на него Ненашеву и на основании этого заочно «приговорили» Ненашева к тюрьме в США, а после на основании этих фантазий обвинили США в том что они угрожают тюрьмой невиновным тромбонистам.
А какой слог: «Что очевидно из этого вопиющего примера злонамеренного преследования и юридической халатности, ФБР...»
Фу
Stuxnet же.
Я дважды был свидетелем почти подобных событий.
1. Судовой генератор 150 кВт. Первый запуск после ремонта. На панели Главного Распределительного Щита (ГРЩ) у генераторов этого типа (ГСС) есть выключатель «Гашение поля». Когда гашение включено, генератор не возбуждается. Судно на береговом питании. Моя задача была проверить правильность подключения генератора и его управления. Для этого я должен был его возбудить и, не сажая на шины, проверить, как регулируется напряжение. Я выключаю гашение поля и генератор тут же прыгает на шины (включается его автомат)! Сказать что я офигел — это промолчать. Автомат тут же выбивает по току КЗ, электропривод его тут же взводит и он снова прыгает на шины! На этот раз не только выбило автомат, но и дизель встал а на береговой подстанции выбило предохранители.
Как оказалось, электромеханик был супер перестраховщик ( ну я его только матом вспоминаю). Он выкручивал все предохранители, выключал все что можно выключить — переводил все в максимально безопасное состояние (что точно сказал Лавров?). В итоге он выкрутил предохранители для реле напряжения, которое контролировало напряжение на шинах. А дальше автоматика видела напряжение на генераторе, а на шинах — не видела. Давала команду на включение…
2. Три судовых генератора, кажется по 400 кВт (в тот момент работало два). Сдача судна инспектору Морского Регистра. Инспектор просит параллельную работу. Показывал старший механик (дед по морскому). Он включает автоматику, и та в два счета проводит синхронизацию и включение на шины. Инспектор просит отключить один генератор по обратной мощности (это когда генератор уходит в режим электродвигателя) и включить на шины вручную. У этого придурка (деда) перед носом висит синхроноскоп, на котором по экранчику бегает стрелочка по кругу, показывая разность фаз. Дед нажимает кнопку включения, когда стрелочка находится внизу (180 градусов!). Рядом надписи «delta U Ok», «delta F Ok», «delta fi NOT Ok». Умный синхроноскоп не разрешает включиться. Дед вопросительно смотрит на меня, ну а я что? Я на судне гость, инспектор тоже. Он хозяин, ему лучше знать. Может штатная кнопка не работает? Я показываю кнопку на автомате. Этот дегенерат нажимает кнопку на автомате при разнице фаз 180 градусов! Синхроноскоп уже не защищает! Раздался большой бабах. Выбило оба автомата. Оба дизеля встали. Судно полностью обесточилось. Загорелось аварийное освещение и через несколько секунд завелся и включился аварийный генератор.
В обоих случаях дизеля осматривали на предмет повреждения коленвалов.
Кстати, во втором случае автоматы переходили в состояние «выключен по КЗ» и снова его включить автоматически было нельзя. Только после ручного сброса.
У меня есть опыт работы с судовыми генераторами и электростанциями. Обычно автоматика и защиты — это разные системы. Как правило независимые. Даже на полностью автоматизированных судах (там, где мне пришлось работать). Может быть очень навороченная автоматика на ГРЩ, вместе с которой используются простейшие элементы типа катушки нулевого расцепителя автомата. Но у дизеля есть своя защита. Если защита дизеля сработала, то он даже не заведется, пока аварийный сигнал не убрать.
Что касается разноса дизеля. Каждый двигатель с его регуляторами оборотов испытывается на 100% сброс нагрузки. При этом заброс частоты не должен превышать кажется 10% (точно не помню). В системе защит обязательно есть защита по разносу.
Мне кажется, что в статье описан голливудский сценарий.
Предположим, что генератор много раз включают на шины в противофазе и защит у него нет. А что, у этой линии нет защиты тоже????
1. Судовой генератор 150 кВт. Первый запуск после ремонта. На панели Главного Распределительного Щита (ГРЩ) у генераторов этого типа (ГСС) есть выключатель «Гашение поля». Когда гашение включено, генератор не возбуждается. Судно на береговом питании. Моя задача была проверить правильность подключения генератора и его управления. Для этого я должен был его возбудить и, не сажая на шины, проверить, как регулируется напряжение. Я выключаю гашение поля и генератор тут же прыгает на шины (включается его автомат)! Сказать что я офигел — это промолчать. Автомат тут же выбивает по току КЗ, электропривод его тут же взводит и он снова прыгает на шины! На этот раз не только выбило автомат, но и дизель встал а на береговой подстанции выбило предохранители.
Как оказалось, электромеханик был супер перестраховщик ( ну я его только матом вспоминаю). Он выкручивал все предохранители, выключал все что можно выключить — переводил все в максимально безопасное состояние (что точно сказал Лавров?). В итоге он выкрутил предохранители для реле напряжения, которое контролировало напряжение на шинах. А дальше автоматика видела напряжение на генераторе, а на шинах — не видела. Давала команду на включение…
2. Три судовых генератора, кажется по 400 кВт (в тот момент работало два). Сдача судна инспектору Морского Регистра. Инспектор просит параллельную работу. Показывал старший механик (дед по морскому). Он включает автоматику, и та в два счета проводит синхронизацию и включение на шины. Инспектор просит отключить один генератор по обратной мощности (это когда генератор уходит в режим электродвигателя) и включить на шины вручную. У этого придурка (деда) перед носом висит синхроноскоп, на котором по экранчику бегает стрелочка по кругу, показывая разность фаз. Дед нажимает кнопку включения, когда стрелочка находится внизу (180 градусов!). Рядом надписи «delta U Ok», «delta F Ok», «delta fi NOT Ok». Умный синхроноскоп не разрешает включиться. Дед вопросительно смотрит на меня, ну а я что? Я на судне гость, инспектор тоже. Он хозяин, ему лучше знать. Может штатная кнопка не работает? Я показываю кнопку на автомате. Этот дегенерат нажимает кнопку на автомате при разнице фаз 180 градусов! Синхроноскоп уже не защищает! Раздался большой бабах. Выбило оба автомата. Оба дизеля встали. Судно полностью обесточилось. Загорелось аварийное освещение и через несколько секунд завелся и включился аварийный генератор.
В обоих случаях дизеля осматривали на предмет повреждения коленвалов.
Кстати, во втором случае автоматы переходили в состояние «выключен по КЗ» и снова его включить автоматически было нельзя. Только после ручного сброса.
У меня есть опыт работы с судовыми генераторами и электростанциями. Обычно автоматика и защиты — это разные системы. Как правило независимые. Даже на полностью автоматизированных судах (там, где мне пришлось работать). Может быть очень навороченная автоматика на ГРЩ, вместе с которой используются простейшие элементы типа катушки нулевого расцепителя автомата. Но у дизеля есть своя защита. Если защита дизеля сработала, то он даже не заведется, пока аварийный сигнал не убрать.
Что касается разноса дизеля. Каждый двигатель с его регуляторами оборотов испытывается на 100% сброс нагрузки. При этом заброс частоты не должен превышать кажется 10% (точно не помню). В системе защит обязательно есть защита по разносу.
Мне кажется, что в статье описан голливудский сценарий.
Предположим, что генератор много раз включают на шины в противофазе и защит у него нет. А что, у этой линии нет защиты тоже????
НЛО прилетело и опубликовало эту надпись здесь
Огонь!)
Мне даже кажется автор перевода местами специально оставил гуглоперевод — тот случай когда это уместно)
Мне даже кажется автор перевода местами специально оставил гуглоперевод — тот случай когда это уместно)
НЛО прилетело и опубликовало эту надпись здесь
Всем кто недоволен «стихосложением»: это буквальный перевод американской статьи, они так подают информацию обывателю. Какая-нибудь Элли из Канзаса не знает что такое «генератор» и тем более «переменный ток», поэтому первые 2/3 статьи дают «красочный контекст».
А устроили «бабах» скорее всего чтобы показать большим дяденькам, которые слово «процессор» слышали только в фильме «Хакеры», что их дорогостоящие многомиллиардные железки может теоретически вздрючить шестиклассник за пару минут, и никто ему не помешает.
А устроили «бабах» скорее всего чтобы показать большим дяденькам, которые слово «процессор» слышали только в фильме «Хакеры», что их дорогостоящие многомиллиардные железки может теоретически вздрючить шестиклассник за пару минут, и никто ему не помешает.
Интересно, снимались ли во время этого эксперимента показания хотя бы с электрической части (развёртка тока и напряжения во времени, к примеру) генератора во время атаки?
Думаю, что эти данные могли бы быть интересны для более полного понимания поведения реальных электрических машин в подобных закритических режимах, но боюсь, что освоить бабах тем людям было существенно интереснее, чем обустроить хороший, годный эксперимент вокруг планируемого бабаха.
Дебилизм. Если тебя пустили в изолированную сеть, ты досконально знаешь алгоритмы работы ВСЕГО оборудования и даже можешь его перепрошить (!), а на всякий случай заодно и все пароли от всех шлюзов у тебя есть (ну а что, пароли же добыть тоже не проблема), то почему виновата инфраструктура сети? Тем более что там небось такой генератор, который… И защищать видимо особо никто не хочет, раз там все так легко ломается. Как выше писали — мегаваттная мелочь.
Ужасный перевод, и, вероятно, оригинал не лучше. Читать невозможно. Попытка преподнести технический материал в художественном ключе с кучей неуместных метафор.
Защиту надо строить так, чтобы как минимум один из рубежей защиты целиком был построен на аналоговых элементах. Если на полностью аналоговых элементах что-то сделать не получается — то надо делать цифровые, но изолированные; а в идеале — с программами, зашитыми в ПЗУ, так что заменить программу можно только механической заменой микросхемы. Тогда никакой внешний хакер взломать этот рубеж защиты не сможет; а проникшего внутрь хакера пусть отлавливает охрана с собаками.
Увы, но современные разработчики предпочитают проектировать системы (в т.ч. системы защиты) в духе «стильно, модно, молодёжно, прогрессивно».
Увы, но современные разработчики предпочитают проектировать системы (в т.ч. системы защиты) в духе «стильно, модно, молодёжно, прогрессивно».
Ну и бред!
Весело читать такое. Чем более системы усложняются, тем сильнее бомбит у людей на предмет хакеров с ноутбуками.
Тут, возможно, проще пояснить на примере Большой Красной Кнопки. По которой надо жамкнуть, когда начнёт наступать жопа.
Для тех, кто не в курсе, там в целях безопасности четыре контакта.
И раньше такие кнопки подключались ну как-то вот так:
Это чисто аппаратное решение (хотя и его можно поломать) на вот таких модулях
Которыми был забит весь шкаф, если цепей безопасности было много
В современном мире берут ПЛК с «безопасными» (Safe) модулями:
Вот жёлтые модули — это как раз они (и внутри они сдублированы)
Ну и теперь Большая Красная Кнопка подтыкается прямо в ПЛК:
И, о божечки, программируется самым незатейливым образом:
И совершенно очевидно, что если я буду иметь доступ к сети, куда подключён ПЛК и, кроме того, проект и пароли от него, то я смогу модифицировать логику так, что кнопку экстренного останова система реагировать перестанет и никаких электрических перекоммуникаций для этого не потребуется.
Чтобы такого не случилось, инженер, отвечающий за безопасность должен включить голову и грамотно спроектировать систему, только и всего.
На самом деле там всё достаточно разумно. Скажем, если я вытащу модуль и заменю его на такой же, то всё уйдёт в останов и перестанет работать, потому что там серийники сверяются и мне надо войти в систему и подтвердить замену. Но, безусловно, есть участки, которые требуют чисто аппаратной защиты. Скажем, в тех системах, где я занят есть рентген, и при открытии двери там размыкаются контакты, которые это дело физически выключают. И как-то никому не приходит в голову делать выключение высокого напряжения чисто программным методом.
И кстати, во всех таких «взломах» обычно без инсайда не обходится. Не нужно большого ума сломать систему, которую "купили за $300 000 у нефтедобытчиков с Аляски и перевезли за тысячи километров, на полигон в Айдахо" и поломали в тепличных условиях, разобравшись в принципе работы.
Был когда-то такой вирус «Stuxnet», который разгонял и ломал центрифуги для обогащения урана в Иране. Моё мнение такое, что у разработчиков был полный доступ к такой центрифуге на полигоне — они чётко знали куда бить (я тогда ещё размышлял — откуда они её взяли...?). Так и тут.
Тут, возможно, проще пояснить на примере Большой Красной Кнопки. По которой надо жамкнуть, когда начнёт наступать жопа.
Для тех, кто не в курсе, там в целях безопасности четыре контакта.
И раньше такие кнопки подключались ну как-то вот так:
Это чисто аппаратное решение (хотя и его можно поломать) на вот таких модулях
Которыми был забит весь шкаф, если цепей безопасности было много
В современном мире берут ПЛК с «безопасными» (Safe) модулями:
Вот жёлтые модули — это как раз они (и внутри они сдублированы)
Ну и теперь Большая Красная Кнопка подтыкается прямо в ПЛК:
И, о божечки, программируется самым незатейливым образом:
И совершенно очевидно, что если я буду иметь доступ к сети, куда подключён ПЛК и, кроме того, проект и пароли от него, то я смогу модифицировать логику так, что кнопку экстренного останова система реагировать перестанет и никаких электрических перекоммуникаций для этого не потребуется.
Чтобы такого не случилось, инженер, отвечающий за безопасность должен включить голову и грамотно спроектировать систему, только и всего.
На самом деле там всё достаточно разумно. Скажем, если я вытащу модуль и заменю его на такой же, то всё уйдёт в останов и перестанет работать, потому что там серийники сверяются и мне надо войти в систему и подтвердить замену. Но, безусловно, есть участки, которые требуют чисто аппаратной защиты. Скажем, в тех системах, где я занят есть рентген, и при открытии двери там размыкаются контакты, которые это дело физически выключают. И как-то никому не приходит в голову делать выключение высокого напряжения чисто программным методом.
И кстати, во всех таких «взломах» обычно без инсайда не обходится. Не нужно большого ума сломать систему, которую "купили за $300 000 у нефтедобытчиков с Аляски и перевезли за тысячи километров, на полигон в Айдахо" и поломали в тепличных условиях, разобравшись в принципе работы.
Был когда-то такой вирус «Stuxnet», который разгонял и ломал центрифуги для обогащения урана в Иране. Моё мнение такое, что у разработчиков был полный доступ к такой центрифуге на полигоне — они чётко знали куда бить (я тогда ещё размышлял — откуда они её взяли...?). Так и тут.
В эту статью надо тыкать носом всех, кто утверждает, что возможность отключения ноутбука удерживанием кнопки питания то ли 5, то ли 10 секунд, якобы «независимо от реакции ОС» — это прекрасная замена физически выдёргиваемому аккумулятору.
НЛО прилетело и опубликовало эту надпись здесь
Я противопоставляю только программное отключение программному и механическому. Казалось бы, второй вариант вряд ли хуже. Чтобы понять, почему первый лучше, что-то о внутреннем устройстве и о том, что именно управляется программно, знать всё же нужно. Но я сильно подозреваю, что испортив BIOS так, что он не будет реагировать на кнопку отключения, и при этом отключив кулер, вполне можно физически сжечь компьютер (а то и пожар устроить).
Только вот это работает при намертво зависшей ОС.
насколько помню, это со времен ATX-блоков питания обработка завязана на режим SMM (в который ОС влезть не может) и есть настройки в BIOS что делать если до 4 секунд(передать ОС обычно) и что делать если больше 4 секунд (вырубить питание обычно). Если мы влезли в SMM(ну или добрались до настроек BIOS) — запросто может работать не так.
Но — зависит от конкретного железа. Был недавно у меня случай с немецским ноутом HP — завис напрочь, на кнопку питание реагирует только вот уходит в режим сна, и при выходе опять серый экран. Помогла только разрядка батареи.
насколько помню, это со времен ATX-блоков питания обработка завязана на режим SMM (в который ОС влезть не может) и есть настройки в BIOS что делать если до 4 секунд(передать ОС обычно) и что делать если больше 4 секунд (вырубить питание обычно). Если мы влезли в SMM(ну или добрались до настроек BIOS) — запросто может работать не так.
Но — зависит от конкретного железа. Был недавно у меня случай с немецским ноутом HP — завис напрочь, на кнопку питание реагирует только вот уходит в режим сна, и при выходе опять серый экран. Помогла только разрядка батареи.
Какая-то малонаучная фантастика.
Если какой-то аппаратный компонент можно перепрограммировать удаленно, например присловутое «реле», на самом деле — микроконтроллер, то должен быть компенсационный фактор безопасности.
Как правило — это ключ, которым подписывается прошивка и без которой он ее просто не примет.
Если какой-то аппаратный компонент можно перепрограммировать удаленно, например присловутое «реле», на самом деле — микроконтроллер, то должен быть компенсационный фактор безопасности.
Как правило — это ключ, которым подписывается прошивка и без которой он ее просто не примет.
Жуткая история! А если они допишут ещё 60 строк кода? Ведь тогда под угрозой разрывания окажутся уже 81-тонные генераторы!
Немного дилетантский вопрос — а что, оборудование электростанций подключено к интернету?
резиновая втулка (помимо устранения вибрации и несоосности) специально предназначена для того, чтобы разрушиться при превышении крутящего момента.
Хакеры не имеют доступа к ПО контроллера, он не подключен к сети
Короче, это вранье.
Хакеры не имеют доступа к ПО контроллера, он не подключен к сети
Короче, это вранье.
Думаю что никакого фокуса в том чтобы подключить мониторинг на контроллер нет, это скорее норма. Следующий фокус — в том чтобы вместо дорогой выделенной линии/темного волокна купить впн через интернет, в целях оптимизации расходов, тоже реалистично.
Ну а уязвимости в прошивках — отдельная тема, в программировании микроконтроллеров и прочем ИОТ вообще нет культуры безопасности, такой как сложилась в вебе (а веб тоже ломают), по сравнению с вебом это просто решето.
Ну а уязвимости в прошивках — отдельная тема, в программировании микроконтроллеров и прочем ИОТ вообще нет культуры безопасности, такой как сложилась в вебе (а веб тоже ломают), по сравнению с вебом это просто решето.
НЛО прилетело и опубликовало эту надпись здесь
Мне, к примеру интересно другое:
Никто не задумывался, что многие техногенные катастрофы, подобные аварии на Саяно-Шушенской ГЭС и прочие, могли быть вызваны подобными причинами (вспомним те же Stuxnet, Duqu)?
Сейчас в мире не так много производителей промышленного энергетического оборудования и SCADA-систем, очевидно что все образцы оборудования доступны серьезным ресерчерам из не менее серьезных контор.
Я вовсе не сторонник теорий заговора, но периодически задумываюсь на эти темы. Учитывая наличие подобных возможностей, странно предполагать что никто не захотел ими воспользоваться.
Никто не задумывался, что многие техногенные катастрофы, подобные аварии на Саяно-Шушенской ГЭС и прочие, могли быть вызваны подобными причинами (вспомним те же Stuxnet, Duqu)?
Сейчас в мире не так много производителей промышленного энергетического оборудования и SCADA-систем, очевидно что все образцы оборудования доступны серьезным ресерчерам из не менее серьезных контор.
Я вовсе не сторонник теорий заговора, но периодически задумываюсь на эти темы. Учитывая наличие подобных возможностей, странно предполагать что никто не захотел ими воспользоваться.
Могли? Да. Были? Касатлельно Саяно-Шушенской ГЭС — точно нет. Как и в случае с Чернобылем,
обыкновенное раззвездяйство
В ходе эксплуатации гидроагрегата его вибрационное состояние постепенно ухудшалось и в конце июня 2009 года перешло допустимый уровень. Ухудшение продолжилось и в дальнейшем; так, к 8:00 17 августа 2009 года амплитуда вибрации подшипника крышки турбины составляла 600 мкм при максимально допустимых 160 мкм; в 8:13, непосредственно перед аварией, она возросла до 840 мкм. В такой ситуации главный инженер станции в соответствии с нормативными документами был обязан остановить гидроагрегат с целью выяснения причин повышенной вибрации, чего сделано не было, что и послужило одной из главных причин развития аварии
Абсолютно бестолково с первых строк )))
Но с оговоркой: почему никогда не судят программистов ТИПА забывших дыру в безопасности или просто прошляпив что либо? Судят только ребят, которые это обнаружили и воспользовались в корыстных целях.
Вместе садить надо.
Но с оговоркой: почему никогда не судят программистов ТИПА забывших дыру в безопасности или просто прошляпив что либо? Судят только ребят, которые это обнаружили и воспользовались в корыстных целях.
Вместе садить надо.
НЛО прилетело и опубликовало эту надпись здесь
В конце концов, продублировать программную защиту тупым магнитным реле и большим красным рубильником будет более чем надежно, но гораздо дешевле.
История знает «замечательный» пример обратного, который я в этой теме уже упоминал. На Therac-20 была аппаратная защита, а вот на следующей модели, с номером 25, её убрали. Как результат — некоторое кол-во смертей и случаев лучевой болезни.
Да в общем-то и в авиации та же нехорошая фигня наблюдается — достаточно посмотреть на известный случай с MCAS на Боингах 737 МАХ.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как 30 строк кода разорвали 27-тонный генератор