OberonCore

Библиотека  Wiki  Форум  BlackBox  Компоненты  Проекты
Текущее время: Четверг, 28 Март, 2024 16:04

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 45 ]  На страницу 1, 2, 3  След.
Автор Сообщение
СообщениеДобавлено: Воскресенье, 03 Декабрь, 2017 19:50 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Фундаментальный принцип построения систем заслуживает отдельной темы.
Начну традиционно с атомной энергетики, стандарта 60880.
60880 писал(а):
Разнообразие (diversity). Наличие двух или более путей или средств достижения установленной цели. Разнообразие специально создается как защита от отказа по общей причине. Оно может быть достигнуто наличием систем, которые физически отличаются одна от другой,
или с помощью функционального разнообразия, если аналогичные системы достигают установленной цели различными путями.

60880 писал(а):
Отказ по общей причине (ООП) - common cause failure (CCF). Отказ двух или более конструкций, систем или компонентов вследствие единичного конкретного события или конкретной причины


Например, для повышения надежности делают 2 диверсные системы:
Вложение:
diverse_protection.png
diverse_protection.png [ 128.28 КБ | Просмотров: 11628 ]

1. Система аварийной защиты реактора, основанная на вводе в активную зону стержней-поглотителей;
2. Система аварийного впрыска высокого давления, основанная на инжекции бора в теплоноситель.
Системы физически отличаются друг от друга, поэтому даже полный отказ одной не приведет к отказу функции защиты.


Последний раз редактировалось Дмитрий Дагаев Воскресенье, 03 Декабрь, 2017 20:34, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Воскресенье, 03 Декабрь, 2017 20:32 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Матушка-природа закладывает принцип разнообразия во многие биологические системы.
Вложение:
breathe.png
breathe.png [ 169.48 КБ | Просмотров: 11619 ]

Основное дыхание - носовое, но при наличии простудных заболеваний система носового дыхания отказывает и мы переходим к ротовому дыханию. Таким образом, дыхание как функция сохраняется.

P.S. я не просто так пишу, далее будут переходы на программные системы и технологии.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 04 Декабрь, 2017 19:06 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Ситуация 1: Зависимость от заимствованного ПО. Допустим, Вы разработали систему на BlackBox, но возникло "единичное конкретное событие" - нужно переносить разработанное Вами ПО на сертифицированный 64-битный линукс, на который, естественно, не установлена поддержка 32-бит. Эта ситуация невозможности добиться цели имеющимся заимствованным ПО (32-битный компилятор), приводящая к невозможности решить общую поставленную задачу.

Что нужно? В соответствии с принципом разнообразия нужен другой путь достижения цели, в данном случае другой компилятор или транслятор в C-код. Я изначально разрабатывал библиотеку Ta как портабельную, в настоящее время она перенесена в Win/Lin BlackBox, Win/Lin XDS, Win/Lin Ofront, Lin x86_64 Vishap. Но портабельность нужно изначально закладывать в архитектуру (я делал это не слишком красиво - с помощью условной компиляции).
Были и другие, И.Ермаков, по крайней мере, собирался плотно работать с Ofront для компонентного Паскаля. Есть ли там успехи и вывели ли CPFront на 64 разряда, я не знаю, но считаю эту тему важной.

Итак, портабельность BlackBox - проблема есть, решение в диверсификации.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 04 Декабрь, 2017 20:30 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Диверсификация решений, поставляемых компанией Радий, Кировоград (chapter 12) для украинских АЭС.
    Design
  • E) Different approach—same technology. Two reactor trip systems (primary and diverse) based on different combinations of two digital technologies: primary system uses FPGA and microprocessor, while the diverse system is only FPGA-based
  • I) Different architectures. Inherent difference in system architectures due to technology diversity
  • Equipment Manufacturer
  • E) Same manufacturer—different design. Primary and diverse systems are based on
    equipment of different manufacturers for which the
    control logic algorithms are implemented from the
    same specification
  • Logic Processing Equipment
  • Different logic processing architecture. The primary system incorporates Texas Instruments MSP430 microcontrollers and Altera Cyclone
    FPGAs. The safety related control logic is implemented in FPGA, while microcontrollers are used for communication, diagnostic and auxiliary
    functions For the diverse system, Altera Cyclone FPGA devices are used to perform all functions
  • ...
Они подразделяют E) как инженерную диверсификацию и I) как внутреннюю (inherent).


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 04 Декабрь, 2017 22:34 
Аватара пользователя

Зарегистрирован: Пятница, 25 Ноябрь, 2005 12:02
Сообщения: 8500
Откуда: Троицк, Москва
Присоединюсь к TAU -- спасибо.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вторник, 05 Декабрь, 2017 20:19 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
За диверсификацией лежит достаточно очевидная математика - умножение вероятностей.
В примере с 2 компиляторами BlackBox имеем:
Код:
P(A) - вероятность отказа компилятора A, P(B) - вероятность отказа компилятора B.
Вероятность отказа по общей причине P(AB) = P(A)*P(B|A), где P(B|A) условная вероятность B при условии A.

Таким образом, общая вероятность будет в диапазоне (P, P*P), минимум - квадрат будет при независимых A и B. Если два независимых (в смысле отказа по общей причине) события компилятора имеют место, то минимальное условие выживание (две почки, два глаза) обеспечено. Понятно дело, компилятор, портированный на 32-битный Linux, не является независимым по отношению к компилятору на 32-битной Винде.

Поэтому, критерий жизнеспособности Вашего ПО не основывается на бизнес-оценке организации производителя, а на независимых способах собрать исполняемые файлы в разных средах. Поэтому, если Вы покупаете продукт солидной компании с одним-единственным проприетарным компилятором, то как бы он ни был хорош, бесплатное решение с двумя независимыми компиляторами будет стратегически лучше, потому, что "P в квадрате" лучше, чем P. А уж "P в кубе" ...

Кстати, символом вечной жизни является колесо сансары с числом спиц (числом жизней), равным 8.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Вторник, 05 Декабрь, 2017 21:30 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Хрестоматийный пример Вирта с реализаций Project Oberon для Xilinx® FPGA.
Цитата:
The compiler I originally developed targeted a processor that has essentially disappeared. Thus, my solution was to rewrite a compiler for a modern processor.

The new processor is called RISC, and it was implemented on the lowcost Digilent Spartan®-3 development board, hosting a 1-Mbyte static RAM (SRAM) memory

При уже возникшей ситуации отказа по общей причине принимается решение диверсифицировать производителя процессора. И до этого зависимости от заимствованного ПО не было, а теперь и полностью независимость от аппаратного обеспечения. Такое вот импортозамещение по-швейцарски.

Я не знаю, существует ли в природе независимый журналист (мем существует), но существование независимого программиста доказано.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Среда, 06 Декабрь, 2017 11:27 

Зарегистрирован: Пятница, 13 Март, 2015 16:40
Сообщения: 597
Дмитрий Дагаев писал(а):
Хрестоматийный пример Вирта с реализаций Project Oberon для Xilinx® FPGA.
Цитата:
The compiler I originally developed targeted a processor that has essentially disappeared. Thus, my solution was to rewrite a compiler for a modern processor.

The new processor is called RISC, and it was implemented on the lowcost Digilent Spartan®-3 development board, hosting a 1-Mbyte static RAM (SRAM) memory

… И до этого зависимости от заимствованного ПО не было, а теперь и полностью независимость от аппаратного обеспечения. Такое вот импортозамещение по-швейцарски.
(выделено мной)

Ой ли… Зависимость от hardware осталась: "железо" Xilinx это не одно и то же, что Altera\Intel или какие-нибудь там Lattice, Actel\Microsemi, Микрон, Ангстем (два последних - шутка).
Логически спроектирован свой процессор, а воплощение в кремнии (FPGA) эквивалентно переписыванию кодогенератора для того процессора, что ещё не "essentially disappeared".


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Среда, 06 Декабрь, 2017 11:43 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Artyemov писал(а):
"железо" Xilinx это не одно и то же, что Altera\Intel или какие-нибудь там Lattice, Actel\Microsemi, Микрон, Ангстем (два последних - шутка).

Раз такой вопрос, еще раз повторю: исключение отказа по общей причине достигается диверсификацией. Вирт произвел диверсификацию, реализовав функции железа на других средствах, получил вероятность P в квадрате. Но идея с FPGA позволяет и переключаться на других поставщиков. Если кто-то (например, Вы) реализует примерно то же на другом железе, которое никак не зависит от Xilinx, то только тогда вероятность будет P в кубе и т.д.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Среда, 06 Декабрь, 2017 12:02 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Чрезвычайно важным отказом по общей причине компьютерных систем является переполнение по времени.
Для Linux грядет 19 января 2038 03:14:07 UTC - дата перехода 32-битного времени time_t через 0 (переполнения). Подробная информация 2038. Поведение компьютеров при этом может быть разное:
- 32-разрядные обычно намертво зависают на nanosleep,
- 64-разрядные имеют ограничения на метку времени в файловых системах.
В списке Overview of file systems:
Код:
ext2 signed 32-bit seconds 2038
ext3 signed 32-bit seconds 2038
ext4 (good old inodes) signed 32-bit seconds 2038
ext4 (new inodes) 34 bit seconds / 30-bit ns 2582
ntfs 64-bit 100ns since 1601 30828

Windows с форматом FILETIME и файловой системой ntfs выглядит существенно лучше.

Мораль простая: если система двухканальная, гетерогенная с разными независимыми ОС на каждом канале, то она лучше защищена от переполнений, даже если мы о них не знаем.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Четверг, 07 Декабрь, 2017 23:13 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Стратегическая игра Го (Вейчи, Бадук) построена на захвате территорий двумя противоборствующими группами. Если группа имеет свободные контролируемые жизненные пространства (дыхания или дамэ), то она может существовать, если нет, снимается с доски.
Два "глаза" - необходимое условие для жизни группы.
Вложение:
go_2.gif
go_2.gif [ 6.31 КБ | Просмотров: 11456 ]

Даже в условиях полного окружения белые не могут перекрыть дыхания черным, так как у последних есть два контролируемых ими глаза - свободные клетки слева и справа от камня с номером 1. Белые лишь могут за один ход перекрыть одно дыхание своим белым камнем, черные сразу же ответят удушением и снятием поставленного белого камня. Го - это не просто игра, а стратегия, которой 5000 лет.

Жизнеспособность не зависит от размеров и агрессивности организма (the bigger they are the harder they fall). Даже маленькая особь (группа) может сколь угодно долго существовать как вид, если у нее правильно диверсифицировано жизненное пространство. Это я и про программные проекты и группы.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пятница, 08 Декабрь, 2017 20:26 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Закон необходимого разнообразия Эшби "Introduction to Cybernetics", 1957, THE LAW OF REQUISITE VARIETY (есть википедия).
Доказательство Эшби проводит, кстати рассмотрением игры по заполнению таблицы.
Вложение:
ashby_tab.png
ashby_tab.png [ 2.74 КБ | Просмотров: 11423 ]

Объект управления меняет состояния D, в ответ регулятор R выставляет воздействия на объект управления. Если таблица 4х4, то на каждое состояние объекта находится воздействие, а вот если 5х4, как на рисунке, то нет.
Доказывается, что управление тем лучше, чем больше разнообразие управляющего воздействия H(u) и чем меньше потери от неоднозначности управления H(u|x). H(u) - энтропия, показывающая разнообразие управляющего воздействия, H(u|x) - количество информации управления о состоянии объекта.

В ТАУ есть понятия управляемость и наблюдаемость. Использовать для оценки далее.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пятница, 08 Декабрь, 2017 20:52 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Пример потери управляемости - катастрофа Boeing 737 под Афинами.
Цитата:
11:50 — Закончилось горючее в левом двигателе. Самолет стал снижаться.
11:54 — Зафиксированы два призыва о помощи — MAYDAY!
12:00 — Закончилось горючее в правом двигателе.
12:03 — Самолет рухнул на землю неподалеку от деревни Грамматико. Все 115 пассажиров и шесть членов экипажа погибли.

Причины трагедии
Цитата:
Официальная причина трагедии — клапан регулировки давления на борту самолета, который после проведения предполетной подготовки «Боинга» остался в режиме ручного управления, хотя должен был находиться в автоматическом режиме. Из-за этого произошла разгерметизация салона самолета. Пилоты и пассажиры потеряли сознание.

Другими словами, главным «виновником» трагедии стал пресловутый «человеческий фактор»: техники на земле провели предполетную проверку «спустя рукава», пилоты не проверили показания приборов перед вылетом и не смогли адекватно отреагировать на сигналы тревоги, раздававшиеся в кабине самолета.


Только это - классический пример потери управляемости. Клапан регулировки давления в режиме полета не может быть переведен в ручной режим. Это - то самое пресловутое состояние объекта управления, на которое не существует управляющее воздействие, приводящее его в норму. Разнообразия управляющего воздействия не достаточно!


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Суббота, 09 Декабрь, 2017 11:26 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
ARP шторм является отказом по общей причине, приводящий к потере управляемости - неработоспособности всей Ethernet-сети.
Компьютер с IP-адресом и сетевой картой с MAC-адресом включен в сеть, в которой все другие компьютеры могут по MAC-адресу определить его IP-адрес в соответствии с ARP-таблицами. И для АСУТП эти таблицы можно было бы статически "прошить", но тогда при замене сетевой карты одного компьютера все остальные должны сопоставить новую сетевую карту со старым IP-адресом. Требование удобства привело к созданию динамических ARP-таблиц и широковещательного протокола ARP для их обновления.
Цитата:
В системах семейства Windows до NT 6.0 записи в таблице ARP, созданные динамически, остаются в кэше в течение 2-х минут. Если в течение этих двух минут произошла повторная передача данных по этому адресу, то время хранения записи в кэше продлевается ещё на 2 минуты. Эта процедура может повторяться до тех пор, пока запись в кэше просуществует до 10 минут. После этого запись будет удалена из кэша, и будет отправлен повторный запрос ARP.

То есть на ваших компьютерах независимо от Вас (даже если Вы - сотрудник подразделения информационной безопасности) раз в 2 минуты обновляется критически важная информация в автоматическом режиме.

А что произойдет, если периодичность 2 минуты не соблюдается? Широковещательный шторм.
Цитата:
Считается, что приемлемая доля широковещательного трафика должна составлять 10% от трафика всей сети. Значение в 20% и выше должно классифицироваться как нештатная ситуация, носящая название «широковещательный шторм» (broadcast storm).
Цитата:
Сеть постепенно переполняется широковещательными пакетами, которых становится все больше, и приходит в нерабочее состояние.
Эксперимента ради, продолжили ждать. Сеть "легла" полностью еще минут через 10 :)

Есть и другие случаи.
Цитата:
В 2009 году в сети одного из наших клиентов случился бродкастовый шторм, который мгновенно перекинулся к нам, парализовав работу всей сети передачи данных компании. Отвалились почта, телефония и интернет, система мониторинга «сошла с ума» – и стало невозможно даже локализовать «первоисточник». Полная перезагрузка коммутатора не помогла. Нам ничего не оставалось, кроме как последовательно отключать ВСЕ порты, клиентские и свои собственные… Такой вот «черный понедельник».
Как позже выяснилось, один из сотрудников клиента перепутал порты оборудования – и закольцевал свою топологию на уровне бродкастового домена. Бывает.

Сам я имел дело непосредственно, когда компания-разработчик перезалила Ethernet-модули своих контроллеров и вся дублированная сеть легла. Пришлось восстанавливать через полное отключение питания и возврат к заводским настройкам.

Дополнительное требование удобства автоматического ввода в работу сетевого оборудования приводит к усложнению, несущему существенные скрытые угрозы. В части управляемости необходимо отметить, что состояния ARP-таблиц обычно не контролируются человеком-регулятором, у которого нет разнообразия управляющего воздействия на эти ситуации. Для целей АСУТП нужно было бы предоставить возможность персоналу на время включать/отключать режим автоматической конфигурации ARP-таблиц с обязательным отслеживанием результата. Таким образом, для этих состояний предусматриваются дополнительные управляющие воздействия.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Суббота, 09 Декабрь, 2017 20:14 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Официально принятый перечень причин взрыва реактора на ЧАЭС Государственной комиссии Госатомнадзора бывшего СССР, которая была создана 27 февраля 1990 года.
Цитата:
Авария На ЧАЭС: Ошибки Проектантов
Комиссия признала, что для конструкции реактора является наличие положительного парового коэффициента реактивности и положительного коэффициента реактивности мощности. Благодаря этому, как следствие ошибки проектировщиков реактора, при расчетах физических та конструктивных параметров активной зоны, реактор представлял собой динамически нестабильную систему.

Цитата:
Авария На ЧАЭС: Ошибки Персонала
Первопричиной аварии на Чернобыльской АЭС было крайне маловероятное сочетание допущенных персоналом нарушений порядка и режима эксплуатации, которые разработчики реакторной установки считали невозможными и поэтому не предусмотрели создания соответствующей такой ситуации системы защиты.

Выяснилось, что есть "невозможное" состояние, для которого нет управляющего воздействия - система неуправляема в данном состоянии. Хуже того, реактор в данном состоянии оказался неустойчивым, что и привело "к значительной сверхкритичности реактора, взрыву и разрушению активной зоны". Тот же критерий - отсутствует необходимое разнообразие.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Воскресенье, 10 Декабрь, 2017 19:40 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Нассим Талеб писал(а):
Патология нашего времени — потеря контакта с реальностью.

Одно из самых больших разочарований нашей эпохи — глобализация не привела к интеллектуальному разнообразию, не породила плюрализма мнений.

Например, водопроводчик — эксперт по тому, как класть трубы и так далее. Их опыт основан на взаимодействии с повседневностью, и у них очень критичное к догмам мышление. Образованные люди, напротив, чаще склонны исходить из безумных идей, не имеющих отношения к действительности.

Наблюдаемость в теории управления — свойство системы, показывающее, можно ли по выходу полностью восстановить информацию о состояниях системы.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 11 Декабрь, 2017 13:42 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
Рассмотрим еще раз атаку канального уровня, которую я упоминал.
При атаке осуществляется подмена MAC-адреса для данного IP-адреса на адрес хакера, с которого начинает поступать вредоносная информация. Это потеря контакта с реальностью и отсутствие наблюдаемости. При этом в верхнем программном слое есть информация, что данные поступают с "правильного" IP-адреса. Но: эта информация не полна без мониторинга ARP-таблиц, а таблицы - это более низкий уровень, уровень водопроводчика. Уровень водопроводчика, в свою очередь, не теряет контакт с реальностью, он теряет контакт с "исполнительной властью" системы.

Обратите внимание на сложность решения, добавляется еще "таблица соответствия адресов dchp snooping database" и "Dynamic ARP Inspection". Т.е. таблицы адресов диверсифицируются и приходится наблюдать не наблюдавшиеся ранее адреса.
Код:
18:11:19: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs (Req) on Fa1/0/1, vlan 1.([50b7.c378.b41a/192.168.1.10/0000.0000.0000/192.168.1.1/18:11:19 UTC Mon Mar 1 1993])

Кстати, не упомянуто, что этот комплекс мер спасает от ARP-шторма.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 11 Декабрь, 2017 14:23 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
И еще про наблюдаемость.
Важным условием корректности работы системы ввода данных АСУТП является правильный прием последовательности быстроменяющихся дискретных событий (SOE-sequence of events), включая кратковременные импульсы и отображение в SCADA-системах. Наиболее разрекламированным и универсальным, применяемым всем миром, является OPC DA.

Один из лидеров коммерческого OPC - Matrikon честно заявляет:
Цитата:
Unlike other OPC vendors that provide the bare minimum for data connectivity, MatrikonOPC offers OPC A&E to ensure that you receive all your SOE data.

Вам нужно купить не только MatrikonOPC DA, но и MatrikonOPC Alarms&Events, в противном случае гарантий приема дискретов вы не получите. И у других вендоров - тем более.

Сделанные 50 лет назад КСО М-64 передавали на систему верхнего уровня так же ежесекундно массив быстроменяющихся сигналов с метками времени, а обычные дискреты с флагом (BOOL) предыдущего изменения.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 11 Декабрь, 2017 20:09 

Зарегистрирован: Понедельник, 25 Июнь, 2012 17:26
Сообщения: 473
Дмитрий Дагаев писал(а):
Выяснилось, что есть "невозможное" состояние, для которого нет управляющего воздействия - система неуправляема в данном состоянии. Хуже того, реактор в данном состоянии оказался неустойчивым, что и привело "к значительной сверхкритичности реактора, взрыву и разрушению активной зоны". Тот же критерий - отсутствует необходимое разнообразие.

Вспомнилась статейка -- "Леонид Гроза. О технологических защитах":
http://www.cta.ru/cms/f/452659.pdf

Автор акцентирует внимание на неоднозначности интерпретации терминов вида "технологическая защита", "аварийная сигнализация" и пр. в нормативных документах в критически опасных областях (что, видимо, позволяет легально эксплуатировать объекты с неполным соблюдением "разнообразия" по Эшби). Есть примеры не только с Чернобылем.
Общие выводы, в некотором смысле, универсальны для любой предметки, включая и программную интерпретацию. К примеру:
Цитата:
Мнение о существовании множества вариантов алгоритмов ТЗ [прим.: технологической защиты] является неправильным, такое представление может привести к ошибочному варианту алгоритма ТЗ.
Правильный алгоритм ТСЗ [прим.: технологической сигнализации и защиты] по контролируемому параметру может быть только один.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Понедельник, 11 Декабрь, 2017 21:19 

Зарегистрирован: Вторник, 01 Март, 2011 09:34
Сообщения: 583
Откуда: Москва
PSV100 писал(а):
Вспомнилась статейка -- "Леонид Гроза. О технологических защитах":
http://www.cta.ru/cms/f/452659.pdf

Хорошая статья, еще пример в копилку:
Цитата:
Согласно документу [3] на гидроэлектростанции осуществляются защиты по 10 технологическим параметрам, но среди них нет защиты по контролю вибрации. Одними из определяющих показателей работоспособного состояния гидрогенератора являются его нормативные показатели по виброконтролю. По заводским требованиям допустимая максимальная величина вибрации подшипника гидроагрегата [3] установлена равной 160 мкм, к моменту срыва крышки турбины величина вибрации достигла
840 мкм. При достижении значения вибрации подшипника 150 мкм должна была сработать предупредительная сигнализация, по ней оператор принимает меры по нормализации вибрационного состояния агрегата. В случае его ухудшения и достижения 160 мкм должна была автоматически сработать технологическая (гидромеханическая) защита и с помощью исполнительных органов привести агрегат в безопасное состояние, то есть остановить его. Так должны были развиваться события на втором агрегате утром 17 авгу-
ста 2009 г., но они приняли трагический характер. Отсутствие технологической (гидромеханической) защиты (рис. 1) по контролю вибрации на гидроагрегате № 2 явилось причиной аварии, приведшей к катастрофическим последствиям.

Недостаточная управляемость, по 10-ти параметрам были защиты, а по одиннадцатому - не было. Это тоже - диверсификация. Мы не знаем, откуда прилетит "черный лебедь". Но мы обязаны знать объекты управления, связанными с крупными потенциальными рисками.

Сложная это инженерная задача - найти оптимум:
- наращивать функциональное разнообразие системы для полного покрытия состояний системы управляющими воздействиями;
- упрощать реализацию каждой из частей системы для максимизации надежности и наблюдаемости.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 45 ]  На страницу 1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Вся информация, размещаемая участниками на конференции (тексты сообщений, вложения и пр.) © 2005-2024, участники конференции «OberonCore», если специально не оговорено иное.
Администрация не несет ответственности за мнения, стиль и достоверность высказываний участников, равно как и за безопасность материалов, предоставляемых участниками во вложениях.
Без разрешения участников и ссылки на конференцию «OberonCore» любое воспроизведение и/или копирование высказываний полностью и/или по частям запрещено.
Powered by phpBB® Forum Software © phpBB Group
Русская поддержка phpBB