Я профессиональный программист и по образованию физик, так что все что изложено в этой статье не домыслы, я все это могу сделать сам, своими собственными ручонками. Да и информации по теме располагаю гораздо большей, чем могу изложить на этой, не профильной для меня информационной площадке.
Автор: R_T_T
Начнем с истории столетней давности
В 1905 году при прохождении воинской колонны по «Египетскому» мосту в Петербурге произошло его обрушение из-за сильной как тогда говорили «раскачки». Сейчас бы мы сказали из-за резонанса.
Основная версия заключается в том, что конструкция моста не выдержала слишком ритмичных колебаний от слаженного шага военных, отчего в ней произошел резонанс. Эта версия была включена в школьную программу по физике в качестве наглядного примера резонанса.
Кроме того, была введена новая военная команда «идти не в ногу», она даётся строевой колонне перед выходом на любой мост.
История поучительна и в том плане, что столкнувшись с неизвестным явлением военные оперативно в нем разобрались и приняли адекватные меры к его предотвращению в будущем.
Нам бы сейчас такую вдумчивость и оперативность.
Авария на Саяно-Шушенской ГЭС.
В современной России, через сто лет произошла аналогичная катастрофа. В результате аварии энергоагрегата №2 Саяно-шушенской ГЭС 17 августа 2009года произошло разрушение машинного зала и полная остановка работы ГЭС, авария унесла 75 человеческих жизней (на мосту ни один человек не погиб).
Официально причина аварии в акте комиссии по расследованию обстоятельств аварии сформулирована так:
Вследствие многократного возникновения дополнительных нагрузок переменного характера на гидроагрегат, связанных с переходами через не рекомендованную зону, образовались и развились усталостные повреждения узлов крепления гидроагрегата, в том числе крышки турбины. Вызванные динамическими нагрузками разрушения шпилек привели к срыву крышки турбины и разгерметизации водоподводящего тракта гидроагрегата.
Если переводить на понятный язык, то энергоагрегат (гидравлическая турбина соединенная с электрогенератором ), разрушился из-за длительной работы в областях нагрузки на которых присутствуют резонансы электромеханической системы.
Сто лет тому назад, специалисты разобрались с ситуацией и сделали выводы, которым все следуют до сих пор, команду «расстроить шаг» никто и никогда уже не отменит.
А вот в нынешнее время с причинами не разобрались, и выводов не сделали.
Область резонансов в документе обтекаемо называется «не рекомендованной зоной». Чиновникам не хватило смелости даже назвать все своими именами, не то что сделать выводы. События между тем развивались далее.
Вирус Stuxnet
Stuxnet стал первым компьютерным вирусом, нанесшим вред физическим объектам. Из-за него в 2010 году вышли из строя многие центрифуги на ядерных объектах Ирана. Кибернападение на иранский завод по обогащению урана в Нетензе задержало развитие ядерной программы Ирана на несколько лет.
Военные аналитики признают, что Stuxnet стал новой вехой в развитии кибероружия. Из виртуального пространства оно перешло в реальность, так как атака подобного вируса поражает не информационные а физические, реально существующие объекты.
Разрушение центрифуг вирусом Stuxnet производилось методом резонанса электромеханической конструкции центрифуги. Объясню на пальцах, газовая центрифуга имеет быстровращающийся вал (20-50 тысяч оборотов в минуту), который крутит электромотор. Электромотором управляет контроллер, если этот контроллер перепрограммировать так, чтобы он периодически изменял частоту вращения вала центрифуги (у профессионалов называется «биения частоты»), то при определенных частотах «биения» система войдет в резонанс и подшипники оси вала и сам корпус центрифуги разрушится.
Причем это будет выглядеть как обычная поломка не связанная с работой электроники и программ контроллера управления электромотором. Сначала будет повышаться вибрация, затем начинают откручиваться гайки крепления корпусных деталей, затем разбиваются подшипники и система в конце концов клинит и теряет герметичность.
Вирус Stuxnet, попадая на объект именно это и делал, перепрограммировал контроллер управления электромотором Simatic S7 таким образом, чтобы он выдавал напряжение с частотой биений, кратной резонансным частотам вращающегося вала центрифуги.
Процесс нарастания амплитуды резонанса может длиться часами, если не днями, поэтому для обслуживающего персонала это выглядело как дефект конструкции самой центрифуги.
Иранцы так и не поняли, что их центрифуги разрушал вирус до тех пор, пока программисты из Белоруссии не обнаружили сам вирус и не разобрались с его функциональной нагрузкой. Только после этого вирус Stuxnet обрел мировую известность и Иран признал, что его ядерный объект целенаправленно атаковался на протяжении как минимум года именно этим кибероружием.
Авария на втором гидроагрегате Саяно-шушенской ГЭС произошла из-за резонанса, как это было в начале двадцатого века Петербурге, как это было годом позже в Иране. И более того, можно утверждать что в резонанс оборудование было введено преднамеренно, используя методы реализованные в вирусе Stuxnet.
Дело в том, что в момент аварии агрегатом управляла автоматика. Ручное управление для выдачи постоянной мощности было отключено и агрегат работал в режиме компенсаций пульсаций нагрузки в энергосистемы западной Сибири.
При вводе в эксплуатацию оборудования проверяются резонансные частоты и в актах приемки указываются режимы в которых запрещается эксплуатация оборудования.
Украинские специалисты в марте 2009 года сняли эти важнейшие параметры с второго агрегата (во время планового ремонта) куда и в какие руки эти данные попали неизвестно, но предположить можно.
Имея эти данные совсем не тяжело раскачать систему агрегата через микроконтроллер управления ГРАРМ так, чтобы она постепенно, за несколько часов, вогнала в зону резонанса турбоагрегат с электрогенератором на одном валу.
После чего на корпусе начали от вибраций отворачиваться шпильки удерживающие крышку турбины, что и послужило непосредственной причиной катастрофы.
Работой турбины и генератора в автоматическом режиме управляет специальная система, называется системой группового регулирования активной и реактивной мощности (ГРАРМ).
Электронная часть шкафа управления ГРАРМ выполнена на основе PC-совместимой микроЭВМ фирмы Fastwell
Эта система была активирована в момент аварии на втором агрегате. Система была смонтирована и запущена в эксплуатацию в начале 2009 года, незадолго до аварии. Разработана и смонтирована данная система фирмой «ПромАвтоматика» на базе импортного оборудования.
Естественно ни о какой Информационной безопасности тогда не думали, эта система имела прямой выход в Интернет, резонансные частоты агрегата были известны.
Дальнейшее я думаю объяснять не надо, случилось то, что случилось…
Коллеги из Израиля и США успешно опробовали кибероружие для разрушения инфраструктурных объектов на практике, после этого конечно нужно создавать специальный род войск для его использования, что США и сделали в том же 2009 году организовав Киберкомандование со штатом сотрудников (бойцов) в 10 000 человек.
Такой известный, неизвестный Stuxnet
Всемирно известный вирус Stuxnet превратился к настоящему времени в некую страшилку, все о нем знают, но никто до конца не понимает, как же ему удавалось на протяжении двух лет скрытно разрушать центрифуги для обогащения урана. Это ведь даже не диверсия, а более изощренный способ вредительства,- саботаж.
Только вдумайтесь на протяжении двух лет сотни центрифуг постоянно ломаются, срываются все производственные графики, специалисты что называется «на ушах» и ничего не могут сделать до тех пор пока из Белоруссии не приходит сообщение об обнаружении вируса, боевой нагрузкой которого были модули обновления внутреннего ПО для пром-автоматики фирмы Сименс.
В последствии, это вирус назвали Stuxnet. Разобрались примененным методом заражения, со способами его проникновения на уровень ядра, и методом взлома парольной защиты контроллеров Simatic S7 в локальной сети. Кое-что поняли из того, что делает обновленная вирусом прошивка ПО контроллера группового управления центрифугами.
Но никто пока не объяснил физического метода вывода из строя оборудования в этом акте саботажа. Поэтому сами попытаемся разобраться с этой важнейшей загадкой.
Что нам известно
Вот этот контроллер Simatic S7 в сборе с периферийными модулями:
Собственно микропроцессорный блок это коробочка с голубым ключом, все остальное периферия. ПО микроконтроллера (используется специальный язык-интерпретатор STEP 7) размещается оно во внутренней флеш-памяти. Обновление ПО и микропрограммных прошивок самого контроллера происходит через сеть, либо физически, через съемный флеш-накопитель. Такие контроллеры были групповыми устройствами управления сразу для 31 газовой центрифуги.
Но непосредственно ломали центрифуги через другие устройства,- преобразователь частоты для работы электродвигателя, приблизительно такие:
Так выглядят преобразователи частоты (конвертеры) для асинхронных электродвигателей различной мощности. Название подразумевает функциональное предназначение этого устройства, оно преобразует напряжение стандартной сети (три фазы 360в) в трехфазное напряжение другой частоты и другого номинала. Управление преобразованием напряжения происходит по сигналам из сети, либо задается вручную, с пульта управления.
Один контроллер Simatic S7 управлял сразу группой (31 устройство) частотных преобразователей, соответственно был групповым УУ для 31 центрифуги.
Как выяснили специалисты Семантика ПО контроллера группового управления сильно модифицировалось вирусом Stuxnet, а непосредственной причиной поломок центрифуг они посчитали выдачу модифицированным ПО контроллера Simatic S7 команд группового УУ на частотные преобразователи.
Модифицированное вирусом ПО устройства управления один раз в течении пятичасового интервала на 15 минут изменял частоту работы каждого частотного преобразователя, а соответственно и частоту вращения электромотора центрифуги подключенного к нему.
Вот как это описано в исследовании фирмы Семантик:
Thus, the speed of the motor is changed from 1410Hz to 2Hz to 1064Hz and then over again. Recall the normal operating frequency at this time is supposed to be between 807 Hz and 1210 Hz.
Таким образом, скорость двигателя изменяется от 1410Hz с шагом 2 Гц до 1064Hz, а затем возвращалась назад. Напомним, нормальная рабочая частота в это время, поддерживалась, между 807 Гц и 1210 Гц.
И Семантик делает вывод на основании этого:
Thus, Stuxnet sabotages the system by slowing down or speeding up the motor to different rates at different times
(Таким образом, Stuxnet саботирует систему, замедляя или ускоряя двигатель к разной скорости в разное время).
Для современных программистов знающих физику и электротехнику только в объеме средней школы этого наверно достаточно, но для более грамотных специалистов такое объяснение не состоятельно. Изменение скорости вращения ротора центрифуги в пределах разрешенного диапазона и кратковременное превышение рабочей частоты на 200Гц (около 15%) от номинала само по себе не может привести к массовым поломкам оборудования.
Немного технических подробностей
Так выглядит каскад газовых центрифуг для производства обогащенного урана:
Таких каскадов на фабриках по обогащению уране десятки, общее количество центрифуг переваливает за 20-30 тысяч…
Сама центрифуга это достаточно простое по конструкции устройство, вот его схематический чертеж:
Но это конструктивная простота обманчива, дело в том что ротор такой центрифуги, длинной около двух метров, крутится со скоростью порядка 50 000 оборотов в минуту. Балансировка ротора сложной пространственной конфигурации, практически двух метровой длины, очень сложная задача.
Кроме этого требуются специальные методы подвеса ротора в подшипниках, для этого применяются специальные гибкие игольчатые подшипники в комплекте со сложным самоцентрирующимся магнитным подвесом.
Для надежности работы газовых центрифуг главная проблема резонанс механической конструкции, который связан с определенными скоростями вращения ротора. Газовые центрифуги даже делятся на категории по этому признаку. Центрифуга, работающая на частоте вращения ротора выше резонансной, называется надкритической, ниже — подкритической.
Не нужно думать, что частота вращения ротора это и есть частота механического резонанса. Ничего подобного, механический резонанс связан со скоростью вращения ротора центрифуги через очень сложные зависимости. Частота резонанса и скорость вращения ротора могу различаться на порядок.
К примеру, типичной областью резонанса центрифуги является частота в пределах 10Гц-100Гц, при этом скорость вращения ротора составляет 40-50 тысяч оборотов в минуту. Кроме того, частота резонанса это не фиксированный параметр, а плавающий, он зависит от текущего режима работы центрифуги (состава, плотности температуры газа в первую очередь) и люфтов в конструкции подвеса ротора.
Главнейшей задачей разработчика оборудования является предотвращение работы центрифуги в режимах повышенной вибрации (резонансов), для этого в обязательном порядке используются автоматические системы аварийной блокировки по уровню вибраций (тензодатчики), работе при скоростях ротора вызывающих резонанс механической конструкции (таходатчики), повышенных токовых нагрузках мотора (токовая защита).
Аварийные системы никогда не совмещаются с оборудованием отвечающем за нормальное функционирование установки, это отдельные, как правило очень простые электромеханические системы остановки работы (попросту аварийные выключатели). Так что их программно не отключить и не перенастроить
Коллегам из США и Израиля пришлось решать совсем нетривиальную задачу,- разрушить центрифугу не приводя при этом к срабатыванию защитной автоматики.
А теперь о неизвестном, как это делалось
С легкой руки переводчиков научного центра «НАУЦИЛУС», которые перевели исследование специалистов Симантика на русский язык, у многих специалистов, не читавших отчет Симантика в подлиннике сложилось мнение, что аварию вызывала подача на электромотор центрифуги пониженная до 2Гц частота рабочего напряжения.
Это не так, правильный перевод приведен в начале текста статьи.
Да и в принципе, невозможно снизить частоту питающего напряжения скоростного асинхронного электродвигателя до 2Гц. Даже кратковременная подача на обмотки такого низкочастотного напряжения вызовет короткое замыкание обмоток и срабатывание токовой защиты.
Все было сделано гораздо умнее.
Описанный далее метод возбуждения резонанса в электромеханических системах мог бы претендовать на новизну, а я считаться его автором, но его скорее всего уже применили авторы вируса Stuxnet, так что, увы, остается только заняться плагиатом…
И тем не менее, объясняю на пальцах, проводя заодно ликбез по основам физики. Мысленно представьте себе массивный груз, скажем в тонну, висящий на тросе предположим длинной 10 метров. У нас получился простейший маятник, обладающий собственной резонансной частотой.
Предположим далее, что вы хотите его раскачать мизинцем, прилагая усилие в 1кг. Одиночная попытка не приведет к никакому видимому результату.
Значит нужно толкать его многократно, прикладывая к нему усилия в 1кг скажем 1000 раз, тогда можно предполагать что такое многократное усилие будет эквивалентно в сумме одинарному приложению усилия в тонну, этого вполне достаточно для раскачки такого маятника.
И так, меняем тактику, и начинаем многократно толкать мизинцем подвешенный груз, каждый раз прикладывая усилие в 1кг. У нас снова ничего не получится, потому что физики не знаем…
А если бы знали, то сначала бы посчитали период колебаний маятника (вес абсолютно неважен, подвес 10 метров, сила тяжести 1g) и начали толкать мизинцем груз с этим периодом. Формула общеизвестна :
Минут бы через 10-20 этот маятник весом в тонну качался бы так, что «мама не горюй».
Причем не обязательно нажимать мизинцем на каждый качек маятника, это можно делать и через раз, и через два, и даже через сто колебаний маятника. Просто время на раскачку будет при этом пропорционально увеличиваться, но эффект раскачки полностью сохранится.
И еще, удивлю людей знающих физику и математику в объеме средней школы (уровень знаний типичного современного программиста), период колебаний такого маятника не зависит от амплитуды колебаний, раскачивайся он на миллиметр или на метр от точки покоя, период колебаний и соответственно частота колебаний маятника будет постоянна.
Любая пространственная конструкция обладает даже не одной, а несколькими резонансными частотами, фактически в ней несколько таких маятников. Газовые центрифуги в силу своих технических особенностей обладают так называемой основной резонансной частотой высокой добротности (эффективно накапливают энергию колебаний).
Осталось только пальчиком раскачать газовую центрифугу на резонансной частоте. Шутка конечно, если есть электромотор с системой автоматического управления, то можно сделать тоже самое гораздо незаметнее.
Для этого нужно увеличивать/уменьшать скорость работы электромотора рывками (как делал вирус, по 2Гц) и эти рывки выдавать с частотой резонанса механической конструкции центрифуги.
Другими словами нужно с частотой механического резонанса выдавать на мотор с помощью частотного преобразователя напряжения с переменной частотой. Момент силы, возникающий в моторе при изменении частоты питающего напряжения, будет передаваться на корпус с частотой механического резонанса и постепенно резонансные колебания выйдут на уровень при котором установка начнет разрушаться.
Флуктуации частоты возле некоего среднего значения называются «биения», это стандартный эффект работы любого частотного преобразователя, частота как говорят «гуляет» в некоторых пределах, как правило не более десятых долей процента от номинала. Саботажники замаскировали под эти естественные биения частоты, собственную, внесенную искусственно, модуляцию частоты работы электромотора и синхронизировали ее с частотой механического резонанса пространственной конструкции центрифуги.
Больше углубляться в тему не буду, а то меня обвинят в том, что пишу пошаговую инструкцию для саботажников. Поэтому за пределами обсуждения оставлю вопрос нахождения резонансной частоты для конкретной центрифуги (она у каждой центрифуги индивидуальная). По этой же причине не буду описывать метод «тонкой» регулировки, когда нужно балансировать на грани срабатывания аварийной защиты от вибраций.
Эти задачи решаемы через программно доступные токовые датчики выходного напряжения, установленные в преобразователях частоты. Поверьте на слово,- это вполне реализуемо, дело только в алгоритмах.
Снова об аварии на Саяно-Шушенской ГЭС
В предыдущей статье была высказана гипотеза о том, что авария ГЭС была вызвана таким же способом (методом резонанса), как и на урановой обогатительной фабрике в Иране, с помощью специального ПО.
Это конечно не значит что там и здесь работал один и тот же вирус Stuxnet, конечно нет. Работал один и тот же физический принцип разрушения объекта, - искусственно вызванный резонанс механической конструкции.
О наличии резонанса говорит наличие открутившихся гаек крепления турбинной крышки и показания единственно рабочего на момент аварии датчика осевой вибрации.
С учетом совпадения времени и причин аварии ГЭС с фактом саботажа на Иранской фабрике обогащения урана, отключенной в момент аварии системы непрерывного виброконтроля, работы агрегата под управлением системы автоматического управления турбоагрегатом, можно сделать предположение, что резонанс был не случайным явлением, а рукотворным.
Если это предположение верно, то в отличии от ситуации с газовыми центрифугами задача разрушения турбоагрегата требовала ручного вмешательства. Имеющееся на ГЭС оборудование не позволяло саботажному ПО автоматически обнаружить индивидуальную частоту резонанса а потом удерживать вибрации в рамках аварийного режима не вызывая срабатывания аварийных датчиков.
На ГЭС работа саботажного ПО требовала задействовать «человеческий фактор». Кто-то и как-то должен был отключить сервер вибрационного контроля, а до этого передать разработчикам саботажного ПО параметры резонансов конкретного турбоагрегата, которые снимались с него за полгода до аварии во время планового ремонта.
Остальное было делом техники.
Не нужно думать, что резонанс произошел в самом теле ротора турбины, конечно нет. Был вызван резонанс водяного слоя, насыщенного упругими кавитационными полостями, находящегося между ротором турбины и лопастями направляющего аппарата.
Упрощенно можно представить такую аналогию, внизу пружина из кавитационных полостей между ротором турбины и лопастями направляющего аппарата, и эту пружину подпирает столб воды сто метровой высотой. Получается идеальный колебательный контур. Раскачать такую маятниковую систему задача вполне реальная.
Именно из-за этого резонанса ВСЕ лопасти направляющего аппарата были поломаны, причем не механически, от ударов, а сломаны динамической нагрузкой. Вот фото этих сломанных лопастей, на их поверхностях нет следов механических ударов:
Сломанные лопасти направляющего аппарата перекрыли сливное отверстие турбины, и именно с этого непредвиденного обстоятельства авария начала перерастать в катастрофу.
Ротор турбины уподобился винту супертанкера, и начал вращаться в «закрытой банке с водой» обладая массой в полторы тысячи тонн и скоростью вращения 150 оборотов в минуту. В рабочей зоне турбины создалось такое избыточное давление воды, что крышка была сорвана, а сама турбина, по свидетельствам очевидцев, вместе с ротором генератора (махина в полторы тысячи тонн) взлетела под потолок машинного зала.
Что было дальше известно всем...
Оценили 68 человек
76 кармы