Как 30 строк кода разорвали 27-тонный генератор

Автор оригинала: Andy Greenberg
  • Перевод

Секретный американский эксперимент 2007 года доказал, что хакеры могут сломать оборудование энергосети так, что его уже невозможно будет починить. И для этого потребуется файл размером с типичный gif



Комната управления в здании национальных лабораторий Айдахо
Комната управления в здании национальных лабораторий Айдахо

В конце октября министерство юстиции США рассекретило обвинительный документ, касающихся группы хакеров, известной как Sandworm [песчаный червь]. В документе США обвинили шестерых хакеров, работающих на ГРУ, в компьютерных преступлениях, проходивших в последние пять лет по всему миру – от саботажа зимней олимпиады 2018 года в Южной Корее до запуска самой деструктивной из вредоносных программ на Украине. Среди этих обвинений упоминается беспрецедентная атака на украинскую энергосеть в 2016-м году, которая была разработана с тем, чтобы не только отключить подачу энергии, но и повредить оборудование энергосети. Когда один из исследователей кибербезопасности, Майк Ассанте, углубился в подробности этой атаки, он обнаружил, что идею взлома энергосетей придумали не русские хакеры, а правительство США – придумало, и испытало её ещё десять лет назад [никаких доказательств в обвинении традиционно не приводится; энтузиасты при помощи нейросети провели поиски людей по фотографиям, приведённым в документах, и один из них оказался очень похож на тромбониста из Барнаула / прим. перев.].

Приводим перевод отрывка из книги «Sandworm: новая эпоха кибервойн и охота за самыми опасными кремлёвскими хакерами», опубликованной неделю назад, где подробно описывается тот самый ранний эксперимент по взлому энергосети. Руководил проектом ныне покойный Ассанте, легендарный пионер в области безопасности промышленных систем. Эксперимент позже назвали «Испытание генератора ''Аврора''». Сегодня он служит напоминанием того, как кибератаки могут влиять на физический мир. Он стал жутковатым предсказанием случившихся впоследствии атак Sandworm.

Одним промозглым и ветреным утром марта 2007 года Майк Ассанте прибыл в здание национальных лабораторий Айдахо, расположенное в 50 км к западу от Айдахо-Фолс. Это здание высится над пустынным ландшафтом, покрытым снегом и поросшим кое-где полынью. Он зашёл в большой зал, расположенный в центре для посетителей, где уже собралась небольшая группа людей. В неё входили чиновники из министерства внутренней безопасности США, министерства энергетики США, некоммерческой корпорации надёжности энергосетей [North American Electric Reliability Corporation, NERC], директора нескольких энергокомпаний со всей страны. Были там и другие исследователи и инженеры, такие, как Ассанте, которым национальной лабораторией было поручено придумывать различные катастрофические сценарии, угрожающие критически важным американским инфраструктурам.

В передней части комнаты стояли ряды мониторов с видео и таблицами данных, повёрнутые к расположенным полукругом сиденьям в комнате – это было похоже на зал управления полётами в космическом центре. На экранах в прямом эфире с нескольких ракурсов показывали массивный дизельный генератор. Мятного цвета машина была размером с автобус – огромная масса стали весом 27 тонн, почти как современный танк. Она располагалась в полутора километрах от аудитории, на электрической подстанции, непрерывно гудя. Выдаваемого ею электричества хватило бы для обеспечения госпиталя, или военного корабля. На видео было заметно, как в поднимающихся от генератора волнах горячего воздуха колеблется горизонт.

Ассанте и его коллеги, исследователи из лаборатории, купили этот генератор за $300 000 у нефтедобытчиков с Аляски. Они перевезли его за тысячи километров, на полигон в Айдахо – участок земли площадью 2300 кв. км., где у национальной лаборатории была целая энергосеть, предназначенная для испытаний, вместе с сотней километров проводов электропередач и несколькими электрическими подстанциями.

Если Ассанте справился с задачей, генератор получится уничтожить. При этом собравшиеся исследователи планировали разрушить эту дорогую и надёжную машину не каким-то физическим инструментом или оружием. Это должен был сделать файл объёмом 140 кБ – не больше, чем средняя GIF-ка с котятами из твиттера.

За три года до этого Ассанте работал директором по безопасности в компании American Electric Power, поставлявшей коммунальные услуги миллионам потребителей в 11 штатах, от Техаса до Кентукки. Ассанте когда-то служил во флоте, а потом стал инженером по кибербезопасности, и давно уже понимал возможность хакерской атаки на энергосеть. Однако он был потрясён тем, насколько его коллеги из других компаний-поставщиков энергии слабо понимали эту угрозу, пусть теоретическую и отдалённую. Тогда было принято считать, что если хакеры и заберутся в сеть провайдера достаточно глубоко для того, чтобы начать щёлкать переключателями, то сотрудникам просто придётся выгнать их из сети и снова включить электричество. «Мы сможем справиться с этим, как с последствиями обычного шторма, — вспоминает Ассанте слова коллег. – Считалось, что это будет похоже на аварийное отключение энергии, и что мы просто восстановимся и всё – таковы были пределы модели рисков».

Однако Ассанте, обладавшего уникальной комбинацией знаний об архитектуре энергосетей и компьютерной безопасности, донимали более изощрённые мысли. Что, если атакующие не просто перехватят управление системами, начав щёлкать выключателями, чтобы вызвать кратковременные отключения электричества? Что, если они вместо этого перепрограммируют автоматические элементы сетей, без участия человека принимающие решения о выполнении различных операций?

Электрическая подстанция в национальных лабораториях Айдахо, на испытательном полигоне площадью 2300 кв.км.
Электрическая подстанция в национальных лабораториях Айдахо, на испытательном полигоне площадью 2300 кв.км.

В частности Ассанте размышлял о таком оборудовании, как защитное реле. Реле должны работать в качестве механизма безопасности, защищая электросети от опасных физических условий. Если линии электропередач перегреваются, или генератор теряет синхронизацию, то именно такие защитные реле обнаруживают эту аномалию и разрывают цепь, отключая проблемное место, спасая ценное оборудование и даже предотвращая пожары. Защитное реле работает спасателем для энергосети.

Но что, если это же самое защитное реле получится парализовать – или ещё хуже, испортить так, чтобы оно стало орудием атаки злоумышленника?

Именно с таким вопросом Ассанте, работавший у провайдера электричества, пришёл в национальные лаборатории Айдахо. И сейчас в центре для посетителей на испытательном полигоне, они с коллегами собирались воплотить эту жуткую идею на практике. Секретному эксперименту дали кодовое название, которое затем станет синонимом возможных цифровых атак, имеющих физические последствия: «Аврора».

Директор испытаний объявил время: 11:33. Он уточнил у инженера по безопасности, что на территории близ дизельного генератора отсутствуют зеваки. Затем он подал одному из исследователей в офисе в Айдахо-Фолс команду начинать атаку. Как и любой реальный цифровой саботаж, эту атаку проводили с большого расстояния и через интернет. Игравший роль хакера сотрудник отправил программу в тридцать строк кода со своей машины на защитное реле, подключённое к дизельному генератору размером с автобус.

До момента атаки внутренности генератора исполняли невидимый и идеально сбалансированный танец с энергосетью, к которой он был подключён. Дизельное топливо в камерах распылялось, и детонировало с нечеловеческой скоростью. Оно двигало поршни, вращавшие стальной вал в недрах двигателя со скоростью около 600 об/мин. Это вращение передавалось через гасящую колебания резиновую втулку на другую деталь, непосредственно генерирующую ток. Это был вал с ответвлениями с медной намоткой, вращавшийся между двумя массивными магнитами. Каждый оборот возбуждал в проводах электрический ток. Если вращать эту кучу меди достаточно быстро, можно получить переменный ток с частотой 60 Гц, энергия которого будет передаваться в гораздо более крупную энергосеть.

Защитное реле, подключённое к генератору, должно было не давать ему подключаться к остальной энергосети без точной синхронизации с этим ритмом в 60 Гц. Однако «хакер» Ассанте из Айдахо-Фолс только что перепрограммировал это спасательное устройство, поставив всю его логику с ног на голову.

В 11:33:23 защитное реле получило информацию об идеальной синхронизации генератора с сетью. Но затем его испорченный мозг сделал нечто противоположное его первоначальной цели: разорвал цепь, отсоединив машину.

Когда генератор отключился от более крупной энергосети и перестал делиться своей энергией с этой обширной системой, он сразу же начал ускоряться, будто лошадь, освободившаяся от повозки. Как только защитное реле обнаружило, что скорость генератора выросла настолько, что тот полностью рассинхронизировался с сетью, его вредоносная логика сразу же подсоединила генератор обратно к сети.

Как только дизельный генератор вновь подключился к крупной сети, на него обрушилась вся мощь всех остальных генераторов, подключенных к сети. Всё это оборудование насильно замедлило относительно небольшую массу вращающихся компонентов, приведя её обратно к частоте соседей.

На экранах собравшиеся наблюдали, как гигантская машина начала трястись с невероятной силой, испустив звук, напоминающий щелчок гигантского кнута. Весь процесс, от момента запуска вредоносного кода до первого толчка, занял лишь долю секунды.

Исследователи оставили панель, дававшую доступ внутрь генератора, открытой, чтобы иметь возможность наблюдать за тем, что происходит внутри. И теперь из неё начали вылетать чёрные обломки. Это начала рваться на части чёрная резиновая втулка, связывавшая две половины вала генератора.

Через несколько секунд машина снова затряслась – код защитного реле снова вошёл в свой цикл саботажа, отсоединив машину, и позже снова подсоединив её после рассинхронизации. На этот раз из генератора начал идти серый дым – возможно, из-за сгорания кусочков резины.

Несмотря на то, что на атаку, за которой следили собравшиеся, было потрачено несколько месяцев и несколько миллионов долларов из бюджета, Ассанте даже испытывал какую-то симпатию к машине, которую в этот момент разрывало изнутри. «Ты вдруг понимаешь, что болеешь за него, как за тот паровозик, который смог, — вспоминал Ассанте. – Я думал: давай, ты справишься!»

Но машина не справилась. После третьего удара она испустила большое облако серого дыма. «Двигателю кирдык», — сказал инженер, стоявший рядом с Ассанте. После четвёртого удара из машины вырвалось облако чёрного дыма, поднявшееся на десяток метров вверх, когда генератор сотрясла последняя предсмертная судорога.

Директор испытаний закончил эксперимент и в последний раз отсоединил от сети испорченный генератор, стоявший совершенно неподвижно. Во время последовавшего анализа происшедшего исследователи из лаборатории обнаружили, что вал двигателя столкнулся с его внутренней стенкой, оставив глубокие вмятины, и присыпал все внутренности металлической стружкой. С другой стороны генератора намотка и изоляция оплавились и сгорели. Машина была совершенно испорчена.

Над центром для посетителей повисла тишина. «Это был отрезвляющий момент», — вспоминает Ассанте. Инженеры неоспоримо доказали, что хакеры, атакующие электрического провайдера, могут не просто временно помешать работе жертвы. Они могут повредить критически важное оборудование так, что его потом невозможно будет восстановить. «Это было очень наглядно. Можно было представить, как это происходит с машиной на настоящей электростанции, и это было ужасно, — говорит Ассанте. – В итоге получилось, что всего несколько строк кода могут создать условия, физически опасные для машин, на бесперебойную работу которых мы полагаемся».

Однако Ассанте вспоминает, что осознал нечто ещё более важное сразу после окончания эксперимента «Аврора». Словно Роберт Оппенгеймер, наблюдавший за испытаниями первой атомной бомбы в другой американской лаборатории за шесть десятилетий до этого, он наблюдал рождение чего-то как исторического, так и невероятно мощного.

«Я ощутил огромную тяжесть в желудке, — говорит Ассанте. – Я будто бы заглянул в будущее».
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама

Комментарии 164

    +29

    Какой то художественный рассказ. "Обрушилась вся мощь большой сети"


    Скорее всего от генератора отключили нагрузку и он без нагрузки стал вращаться быстрее, потом нагрузку снова подключили и затормозили резко генератор. На третий раз он не выдержал издевательств. Не знаю как генераторы такие устроены, вероятно есть какой то контроль за оборотами, который и отключили.

      +4
      >Не знаю как генераторы такие устроены

      генератор должен быть синхронизирован с сетью, иначе он начнёт представлять для неё нагрузку
        +21

        Я к тому, что интереснее почитать как на самом деле все было и как работает генератор. А не кучу пафосного текста.

          +13
          Так там и написано — отключили защиту, не дававшую подключиться к сети рассинхронизировавшемуся генератору и подключили его к сети. и в этот момент они стали друг для друга нагрузкой — генератор для всей сети и наоборот. Ну а дальше смотрели, кто кого пересилит (конец был немного предсказуем).
            +11
            отключили защиту, не дававшую подключиться к сети рассинхронизировавшемуся генератору
            Всё чуть-чуть интереснее. Если нагруженный генератор просто отключить от сети — то:
            1. Он начнёт разгоняться — именно это и вызывает рассинхронизацию.
            2. Напряжение на нём начнёт расти и будет расти ещё какое-то время, даже если будет отключено возбуждение.
            По пункту 1 — у приводного двигателя должна быть своя система управления, которая выдерживает заданную скорость вращения. И она связана с системой управления генератора — только так его можно синхронизировать с сетью.
            В общем, картина примерно понятна. Генератор под нагрузкой ударно отключается, не разгружается, разгоняется — и подключается обратно в сеть. Момент включения — это ещё и насилие над выключателем, он в это время работает сварочным аппаратом. Во время повторного подключения генератор работает в режиме противовключения, и сеть его принудительно синхронизирует — во-первых, тормозит (эй, дизель, будь здоров), а во-вторых — токи там многократно превышают номинальные. Даже странно, что вышестоящая защита не отработала. И так несколько раз.
            По большому счёту, у больших мальчиков детство заиграло в одном месте и захотелось устроить большой бабах за казённый счёт. вполне можно было физически отсоединить систему управления от выключателя. Для эксперимента достаточно, просто не так разрушительно вышло бы.

            Стиль перевода — отдельная песня :)
              0
              позвольте, с чего бы ему разгоняться, а зачем тогда система управления приводом генератора?
              по такой логике скорость генератора зависит о текущей нагрузки сети что ли?
              кратковременный всплеск неизбежен при отключении в рамках подобранных ПИД коэффициентов регулятора, но не разгон как в статье.
              ну и в статье не сказано, что электромеханические автоматы по току очевидно исключили из цепи намеренно, в их присутствии при первой же перегрузке по любой из фаз все бы мирно закончилось.
              отдельная тема нагрузки сети на генератор… вся есть не нагружает генератор! мощные сети построены на высоковольтных линия с последующей трансформацией на подстанциях, соответственно подстанция в лаборатории рассчитана на нагрузки только лаборатории, а не на «всю мощь сети». Эта подстанция также иогла хлопнуть, если бы автоматы исключили из цепи.
              И вообще чем больше анализирую ситуацию тем больше вопросов…
              Резиновая втулка… оказалась крепче стального вала? Если бы вал не погнулся то и ничего фатального не было бы. Ударные токи немного деформировали бы сердечник обмоток. Прогорание изоляции обмоток из за превышения токов говорит о том, что генератор мог и так сгореть при ненормированной нагрузке (автоматов очевидно нет или они подобраны не верно). А включение реле могло быть выполнено просто штатным оператором по ошибке. Здесь, на мой взгляд построении энергосистемы с банальным отклонением от требований норм безопасной эксплуатации.
                +3
                позвольте, с чего бы ему разгоняться, а зачем тогда система управления приводом генератора?
                Тут несколько моментов. Вы генераторы живьём видели? Это многотонная дура. Если 12-тонный генератор переплавить, металла на небольшой танк хватит. Вращающаяся часть генератора во много раз массивнее вращающихся частей двигателя. А вы когда-нибудь тормозили двигателем на машине? Контроллер может полностью прекратить подачу бензина, а двигатель, всё равно, вращается со скоростью 2000..3000 оборотов в минуту.
                Почему же разогнался генератор? Очень просто, внезапная разгрузка. Представьте, что вы тянете верёвку, привязанную к крюку в стене. И, внезапно, крюк вырвался. Как минимум, один шаг вперёд вы сделаете.
                ну и в статье не сказано, что электромеханические автоматы по току очевидно исключили из цепи намеренно
                Судя по всему, они явно были «за хакера» (слушай, ну ты за меня или за медведя? :)).
                отдельная тема нагрузки сети на генератор… вся есть не нагружает генератор!
                Трансформатор этого генератора, в любом случае, кратковременно способен выдержать многократные перегрузки. Конечно, там всё не так линейно, насыщение магнитопровода и всё такое. Однако, если генератор попытается бороться с сетью даже через трансформатор — победит, всё равно, сеть.
                Собственно, в результате этого эксперимента трансформатор мог вполне не выдержать первым и взорваться.
                  0
                  масса генератора, в том числе, и разгону противодействует.
                  с чего взяли, что генератор был нагружен сетью?
                  при синхронизации с сетью он мог работать в режиме близком к «холостому ходу».
                  ну я так понимаю, что этот эксперимент на гидроэлектростанции не провернуть, а только на генераторах со слабыми приводами?
                  если система привода не справляется с регулирование генератора в аварийных режимах, то зачем она нужна?
                  здесь скорее соглашусь с версией, что она тоже взломана, но на ответственных энергообъектах аварийные системы дублируются.
                  здесь очередная оговорка про сферического коня в вакууме.

                    +2
                    Данных точных нет, даже на английском языке, но я так понял, отключали генератор от сети на долю секунды, был бросок скорости и тут же снова включали. На ГЭС и любом другом генераторе можно сделать то же самое. Я более того скажу, на любом тупом асинхронном двигателе можно проделать аналогичную штуку, если несколько раз его включить и выключить — его перегреет пусковыми токами и писец.
                    Генератору много же не надо. Вон, в 2006 г. на Рефтинской ГРЭС ротор разорвало просто при резком сбросе нагрузки при КЗ.
                    image
                    image
                      +1
                      сжечь можно любую электронагрузку :)
                      не ясно почему не сработали защитные меры прописанные в нормах.
                      автоматические выключатели, даже если и предусматривают дистанционное отключение/включение не имеют возможности отключать защитную функцию по току дистанционно или их просто там не было или были не по номиналу, а так как они неизбежно ставятся на всех подключениях к сети, то и в этом эксперименте продемонстирована не опасность взлома системы управления в чистом виде.
                      каков вывод комиссии по расследованию был в вашем примере? что рекомендовано — усилить систему управления?
                      больше похоже на конструкционный просчет так как отключение по КЗ на максимальной нагрузке генератора является естественным сценарием поведения и как конструктора это не учли не совсем понятно.
                        +3
                        Это «большая энергетика». Тут нет автоматических выключателей. Все защиты реализуются на внешних устройствах, которые современные все сплошь микропроцессорные.
                          +1
                          Можете кинуть пример выключателя где можно отключить защиту по току через систему управления.
                          Сталкивался только с возможностью настройки уставки по току, но она в диапазоне процентов варьируется, но не в разы и не может быть отключена совсем дистанционно.
                          Может я просто отстал :)
                            +2
                            Это оборудование выше 1000 В. В выключателях выше 1000 В вообще нет никаких встроенных защит.
                              0
                              Вам знакомо, что такое ячейка?
                                +1
                                Да
                          +4
                          На лабораторных в политехе мы бывали близки к тому, чтобы превратить электродвигатель в двигатель внутреннего сгорания :)))
                            0
                            что вы там отключать собрались? Там как раз и произошло отключение нагрузки при КЗ (исходя из комментария), генератор начал разгоняться потерял синхронизм, что равносильно КЗ для генератора
                              0

                              Ну так повторное включение, по вашему, рассинхронизированное с сетью, не привело к перегрузке по токам?
                              Запах и дым это не результат прохождения токов превышающих допустимые?

                                0
                                дальше, то что вы делать собрались? если нет нагрузки на генератор — всё ему конец
                                  0

                                  Даже в статье причиной разрушения генератора не отключение является. А повторное включение. Здесь в комментариях уже человек отписал свою реальную ситуацию с судовым генератором.
                                  Попытка повторного включения в противофазе сработала защита по току. И все. второй третий и так далее защита будет срабатывать.

                          +1
                          масса генератора, в том числе, и разгону противодействует.
                          Тем не менее, это возможно и это случается.
                          с чего взяли, что генератор был нагружен сетью?
                          вы правы, сложно однозначно понять это из статьи.
                          ну я так понимаю, что этот эксперимент на гидроэлектростанции не провернуть, а только на генераторах со слабыми приводами?
                          Если на гидрогенераторе закрыть шибер подачи воды — то и его раскрутить можно, я думаю. Но ставить такие эксперименты на ГЭС — надо быть полным психом.
                          если система привода не справляется с регулирование генератора в аварийных режимах, то зачем она нужна?
                          Против лома нет приёма. энергоблок просто не должен даже приближаться к такому режиму, но в процессе эксперимента они отключили большинство защит.
                            +1

                            На Саяношушенской, если я правильно понял, были именно "игры" с мощностью. То есть самое что ни на есть "удалённое управление". Условно, где-то в Хабаровске включили кучу чайников — и в ответ автоматика начала переключать режимы у генератора в СШГЭС. А тут ещё шпилька со слизанной резьбой...

                            +1
                            Насколько я знаю, при КЗ генераторы тоже разгоняются (при КЗ нагрузка активная почти ноль, большая индуктивность генератора ограничивает ток).
                            Так вот, КЗ длительностью примерно 0.3 с на таком генераторе — он вылетает от защиты по частоте (есть такие сведения о реальных генераторах примерно 1-3 МВт мощностью). Там сильно большого разгона, по идее, и не надо, достаточно включения в противофазе…

                +16

                Дело Ляпсуса живёт.


                -Это, кажется, ваш первый опыт в прозе? Поздравляю вас! "Волны перекатывались через мол и падали вниз стремительным домкратом..."
                -В чем дело?
                -Дело в том, что… Вы знаете, что такое домкрат?
                -Ну, конечно, знаю, оставьте меня в покое…
                -Как вы себе представляете домкрат? Опишите своими словами.
                -Такой… Падает, одним словом.
                -Домкрат падает. Заметьте все! Домкрат стремительно падает!
                  +7
                  Гидравлический домкрат поднимается медленно, а падает сравнительно стремительно.
                    +3
                    Так же, как стрелка осциллографа.
                      +2
                      Так вот почему так стремительно падает фаллос, Он же в каком-то смысле слова гидравлический :)
                        0
                        а вы его тоже сходным образом используете? как Порфирий М.?
                    +6
                    Это называется несинхронное включение. Ну да, если все защиты отключить, генератору приходит писец. Это и без многомиллионного эксперимента очевидно.
                      +1
                      Тут не просто отключена защита. Она наоборот — инвертирована. Эта самая «защита» специально доводила генератор до рассинхрона, потом подключала в сеть, и так несколько раз.
                      Многомиллионный эксперимент нужен, чтобы показать, что сама цифровая инраструктура энергосети позволяет провернуть такой трюк
                        +13

                        Для этого не нужен дорогостоящий эксперимент. Уверен, эксперимент нужен был для красочности, чтобы выбить больше финансирования.

                        +3
                        так суть експеремента в том и была… можно ли хакерской атакой эту самую защиту отключить.
                          +2

                          Для этого не обязательно жечь генератор. И вообще физически на что-то воздействовать.

                            +14
                            Чтобы доказать военным — обязательно. Они в числа не верят, только в наглядную демонстрацию.
                              +1
                              У коллег как-то случай был. Досталось им в эксплуатацию два светодиодных экрана, каждый из 400 панелек.
                              Дяденька-оператор решил не читать мануал, а сидел и нажимал что-то в программе, чтобы понять все её возможности. В какой-то момент что-то пошло не так и все светодиодные панельки на экране «окирпичились» — перестали вообще реагировать на что-то.
                              Дяденька-оператор оказался дотошным и с инженерным мышлением. Он подключил второй экран и начал последовательно выполнять все прошлые действия, всё записывая в тетрадочку. Предсказуемо, он «окирпичил» и второй экран, зато точно узнал что именно делать с экранами нельзя.
                                0

                                Надеюсь, он после этого уволился из операторов и пошёл в тестировщики? :-)

                                  0

                                  А вот если бы он потом пошёл с этой тетрадочкой к производителю и вкатил ему иск, с требованием компенсации времени простоя по причине ошибки производителя, упущенной прибыли, а сверху ещё punitive damages, то мог бы сразу ещё и в адвокаты ;)

                          +1
                          Ну да, если все защиты отключить, генератору приходит писец. Это и без многомиллионного эксперимента очевидно.

                          Причём не только генератору. Доказано Чернобылем.


                          (Для тех, кто не в теме: в Чернобыле, прости госсподи, "экспериментаторами" было вручную отключено как минимум три защиты — по минимальному количеству регулирующих стержней в активной зоне, по уровню воды в буферном резервуаре, и по минимальной рабочей мощности реактора — любая из которых остановило бы не то что развитие, но даже появление потенциальной аварийной ситуации — но "насяльника сказала эксперимента састаится любой ценой".)

                            +5
                            Первой и третьей из упомянутых защит на РБМК-1000 тех лет просто не было.
                            Более того, табло с текущим значением ОЗР тоже не было, его считала машина с интервалом в 2 минуты.
                              –7

                              Послушайте, я зашёл оставить комментарий про то, что "если игнорировать сообщения защит, то оно ё всё кончится не очень хорошо", а не читать лекции по устройству реактора. Я помню, что в Чернобыле сработало то ли три, то ли четыре разных защиты вида "если и дальше делать так, то будет плохо", которые последовательно отключали/глушили, с известным конечным результатом. Как конкретно эти защиты назывались и работали — хорошо расписано в документах расследования. Вести детальную дискуссию о том, как именно назывался каждый конкретный болтик, возможности у меня нет — как потому, что мне ещё и работать надо, так и благодаря хабрамеханизмам. Так что звыняйте.

                                +6
                                Хм, правда? А со стороны выглядит как-будто вы ляпнули что-попало, в котором как минимум 2/3 не правда и не могло быть правдой, а теперь оправдываетесь. Нет?
                                  +5

                                  Вот, погуглил, специально для Вас.


                                  image


                                  Пункты 4, 5 и 6 видите? Вот те самые три защиты, которые были принудительно заблокированы, про которые я говорил. Да, как я сказал, ошибся в конкретике — давно дело было. Посыпаю свой лысый череп пеплом. Но как это отменяет основную посылку, ради которой комментарий писался?

                                    +1
                                    4. Не актуально в условиях аварии — защита сделала бы то же самое, что произошло после нажатия АЗ-5. Насколько я помню, в момент сброса стержней ТГ еще не остановился — его приводила в движение выбегающая турбина.
                                    5. Защита сделала бы то же самое, что произошло после нажатия АЗ-5. В какой момент это произошло и помогло бы — уже наверное не узнаем.
                                    6. САОР охлаждает реактор и были попытки её активировать непосредственно после аварии — но т.к. активная зона и коммуникации были разрушены, то это естественно не сработало.

                                    Поймите правильно, я совершенно не против изначальной посылки комментария. Но перекладывание ответственности на операторов и не принятие во внимание конструктивных дефектов приведет лишь к повторению подобных случаев.
                                    Более того, на 1 блоке ЛАЭС в 1975 году была похожая по физике авария, правда со значительно меньшими последствиями, о чем в последствии было доложено, но у проектантов свои «насяльника» и произошло то, что произошло…
                                      0
                                      Если сравнить момент инерции генератора и турбины — то это выбегающий генератор приводит в действие турбину. В связи с чем, я знаю один случай, как были запороты несколько турбин: смазка в подшипник свободной турбины подавалась от маслонасоса двигателя, а останавливается турбина вместе с генератором, который ещё несколько минут выбегает.
                                        0
                                        Для турбин на насыщенном паре это соотношение тоже выполняется?
                                        Визуально по корпусам агрегатов в машзалах АЭС генератор сравним по размеру с ЦВД, но еще есть несколько ЦНД, которые значительно больше как по диаметру, так и по длине.
                                          0
                                          Я не видел своими глазами ни одной машины, где момент инерции двигателя больше момента инерции нагрузки. Более того, затрудняюсь представить себе такую машину. Разве что, если нагрузка — вентилятор, и то, с оговорками. Турбины всегда стараются сделать максимально лёгкими и весить там, кроме лопастей, нечему. А вот ротор генератора — практически, цельнометаллический.
                                          Визуально по корпусам агрегатов
                                          Корпус-то не вращается :) Посмотрите на двигатель внутреннего сгорания: снаружи он тоже большой и тяжёлый, а вращающаяся часть относительно небольшая.
                                            0
                                            У больших паровых турбин АЭС момент инерции точно больше моментов инерции генераторов. Лень справочники искать, но точно. На ГЭС наоборот, у генераторов момент много больше, чем у турбин.
                                        0
                                        5. Защита сделала бы то же самое, что произошло после нажатия АЗ-5. В какой момент это произошло и помогло бы — уже наверное не узнаем.

                                        Да в том-то и хохма, что это произошло бы сильно раньше, когда реактор ещё не был доведён до цугундера. Их потому и заблокировали, что они всё порывались реактор потушить, мешали проведению ыкспиримента, тсзть.

                                        В 1 ч 03 мин и 1 ч 07 мин [...] В этот период в БС наблюдались провалы по давлению пара на 0,5-0,6 МПа и провалы по уровню воды ниже аварийной уставки. Чтобы избежать остановки реактора в таких условиях, персонал заблокировал сигналы A3 по этим параметрам.


                                        То есть если бы защиту по п. 5 не отключили, то тут бы всё и закончилось — реактор бы был потушен, и мир не узнал бы всей мощи советского мирного атома. Но в реальности чемпионат по гребле с реактором продолжился ещё 20 минут.

                                        В 1ч 23мин 04с были закрыты стопорно-регулирующие клапаны (СРК) ТГ № 8. [...] Имеющаяся A3 по закрытию СРК двух ТГ (ТГ .№ 7 был отключен днем 25 апреля 1986г.) была заблокирована [...] началось медленное повышение мощности. [...] В 1ч 23мин 40с начальник смены блока дал команду нажать кнопку АЗ-5


                                        И вот тут уже ОЧЕНЬ близко, но если бы защита не была отключена — шансы всё еще были. Но из-за её блокировки у реактора оказалось 36 лишних секунд на разгон, а в ядерной технике секунда — это вечность (см. ядерная бомба).
                                          +1
                                          Выходит, защита по параметрам в БС правда могла бы все это предотвратить — за 20 минут до взрыва состояние реактора сильно отличалось.
                                          Что касается защиты по отключению двух ТГ, тут сложнее — если ожидание в 36 секунд приводят к разрушению активной зоны, значит изначально что-то сильно пошло не так.
                                          По нормативам допустимый период реактора (время, когда мощность увеличивается в e раз) не должен быть менее 20 секунд, в противном случае реактор становится фактически неуправляем.
                                          а в ядерной технике секунда — это вечность (см. ядерная бомба)
                                          В том и дело, что реактор — не бомба, там скорость процессов совершенно другая.
                                          В бомбе деление происходит на мгновенных нейтронах, в реакторе очень небольшая часть (0,64% для уранового топлива) приходится на запаздывающие нейтроны, что значительно увеличивает время жизни одного поколения.
                                          Строго говоря только поэтому и возможна управляемая цепная реакция.
                                            0
                                            Выходит, защита по параметрам в БС правда могла бы все это предотвратить — за 20 минут до взрыва состояние реактора сильно отличалось.

                                            Так я про то и талдычу второй день (за что уже успел заработать -7 к карме): если бы защиты не отключали — Союзу не пришлось бы совершать массовый трудовой подвиг. Их (защиты) всё же не идиоты придумывали (хотя им, похоже, и мешали изо всех сил).


                                            если ожидание в 36 секунд приводят к разрушению активной зоны, значит изначально что-то сильно пошло не так.

                                            Совершенно верно: неправильно пошло то, что тому, что хотело заглушить реактор 20 минут назад, сделать этого не дали, как и тому, что хотело сработать 36 секунд назад. То есть, повторюсь, "если защитам достаточно долго не давать выполнять свою функцию, то в конце концов прибор таки ё… кнется".


                                            в реакторе очень небольшая часть

                                            А потом (как говорит нам Zuko) "просто добавь воды" — и "которые не те", ВНЕЗАПНО превращаются в "те".

                                          0
                                          Но перекладывание ответственности на операторов

                                          Вывели стержней больше, чем разрешалось держать по минимуму, именно операторы. Даже ниже разрешённого после отдельного разрешения главного инженера. То есть вот совсем вопреки всем инструкциям.

                                      0
                                      Это называется «Слышал звон, да не знаю, где он».
                                      Вы утверждаете что «АЗ-5 жмякнули, когда уже было видно, что реактор идёт вразнос» — вопрос, почему на графиках ДРЕГ этого не видно, что подтверждает сам Александров? Почему на графике самописца мощности ничего не видно вплоть до момента взрыва?
                                      «Я помню, что в Чернобыле сработало то ли три, то ли четыре разных защиты вида „если и дальше делать так, то будет плохо“
                                      Перечислите, пожалуйста, какие именно были отключены и как это повлияло на ход аварии. Начну я — была отключена защита по уровню воды в барабан-сепараторах. И расскажите мне, к чему это может привести (не нужно цитировать советских специалистов, у которых 2+ 2 получается 5).
                                    +2
                                    В INSAG-7 с вами не согласятся. Отключение защит допускалось регламентом по эксплуатации и включённые защиты не спасли бы реактор от недокументированного концевого эффекта, скрытого производителем реактора.
                                      0

                                      "… а если бы у бабушки было кое-что, то она была бы дедушкой".


                                      Мы имеем самую типичную модель швейцарского сыра, в которой (не)удачно сложились дырки в защитах. А более конкретно — горе-экспериментаторы внесли конструктивно не предполагавшуюся положительную обратную связь "больше выделяемая тепловая мощность → больше выработка пара → больше скорость турбогенератора → больше выработка им электричества → больше скорость турбонасосов → больше подача воды в активную зону → больше эффект замедления нейтронов → больше топлива делится → больше выделяемая тепловая мощность". Концевой эффект здесь был уже вишенкой на торте — АЗ-5 жмякнули, когда уже было видно, что реактор идёт вразнос (рвануло бы и без концевого эффекта, но позже), но вместо аварийного стопа получили ещё больше воды в реакторе, с ещё большим разгоном и результатами на лице.

                                        0
                                        Большая часть из перечисленных связей не имеет документальных или научных подтверждений, связи скорости подачи воды, недогрева и парообразования сложнее монотонной зависимости и их скорость действия явно не проявится на масштабах времени секунд и даже минут. Основная положительная ОС, оказавшаяся фатальной, это паровой коэффициент реактивности. Без концевого эффекта АЗ-5 привела бы к снижению реактивности сразу же после начала хода стержней без вноса положительной реактивности, и уж тем более без вноса её в количестве большем, чем доля запаздывающих нейтронов. А на быстрых нейтронах для РБМК это по сути ядерный взрыв уже.
                                          0
                                          Без концевого эффекта АЗ-5 привела бы к снижению реактивности сразу же после начала хода стержней без вноса положительной реактивности, и уж тем более без вноса её в количестве большем, чем доля запаздывающих нейтронов.

                                          Это если реактор ещё был цел на момент сброса. А вот это точно неизвестно.

                                            0
                                            По распечаткам ДРЕГ именно после срабатывания АЗ-5 и начала движения стержней через 2 секунды происходит разгон реактора с экспоненциальным ростом мощности, через 5 секунд резкий скачок давления и ещё через несколько секунд потеряна связь с датчиками в реакторном пространстве. До нажатия АЗ-5 мощность держалась в пределах 200 МВт.
                                            0

                                            Если бы всё было так, как Вы пишете, то не надо было бы писать надцатистраничный отчёт о расследовании с той самой таблицей, а просто написать, что во всём виноват Чубайс концевой эффект. Однако так почему-то не сделали...

                                        0

                                        Принципиальное отличие Чернобыля в том, что там для "эксперимента" пришлось дырявить пульт и прикручивать туда новую кнопку "МПА". Небольшое аппаратное изменение систем защиты.

                                        +1
                                        Это и без многомиллионного эксперимента
                                        много раз проверено луддитами :))
                                        +2
                                        Дизельное топливо в камерах распылялось, и детонировало с нечеловеческой скоростью.


                                        «Коза кричала нечеловеческим голосом» (ц)
                                        +18
                                        внутренности генератора исполняли невидимый и идеально сбалансированный танец

                                        Чтобы до конца прочувствовать уровень пера автора, просто перечитайте это несколько раз подряд… РЕН-ТВ отдыхает…
                                          +4
                                          Учитывая, что
                                          Дизельное топливо в камерах распылялось, и детонировало с нечеловеческой скоростью.
                                          никаких хакеров не надо. Само развалится.
                                            0

                                            Оно, таки, действительно не детонировало, а сгорало. Детонация — другте, даже если перед нами дизель.

                                              0

                                              У сильно изношенного дизеля на холостом ходу всякое бывает… Сопровождается характерным звуком. Только он ещё быстрее изнашивается от этого.

                                                0
                                                У сильно изношенного дизеля и разнос бывает.
                                              0

                                              Сюда нужен второй комментарий про Ляпсуса:


                                              Статья кончается так:
                                              "Он жмет мне на прощанье руку… Позади меня гудят стропила. Рабочие снуют там и сям. Кто может забыть этих кипений рабочей стройки, этой неказистой фигуры нашего строителя?"
                                              Один раз Треухов не выдержал и написал тщательно продуманное язвительное опровержение:
                                              "И потом, я хотел бы заметить тов. Маховику, что стропила гудят только тогда, когда постройка собирается развалиться."
                                            +1
                                            где каскадная релейная защита?
                                              0

                                              Совсем в другом месте и занимается совсем другими задачами же...

                                                0
                                                она и генераторы защищает, описывается случай когда она отключена чтоли
                                                0

                                                Какая каскадная. 27 тонн это ДГУ примерно на 1 МВт, то есть весьма небольшой по меркам сети генератор. Схема управления и защит упрощенная, все в одном.

                                                –1
                                                беспрецедентная атака на украинскую энергосеть в 2016-м году

                                                Вот здесь мнение технических специалистов по этому поводу.
                                                  +9

                                                  Там по моему обычный укросрач

                                                  +9
                                                  Вот что бывает, если всю защиту реализовывать только на программном уровне.
                                                  Где же аппаратная защита?
                                                    +16
                                                    Вот что бывает, если критические системы доступны через интернет.
                                                      +2
                                                      Так она там была, но к ней зачем-то оставили доступ со стороны софта.
                                                        +3
                                                        Ну если с аппаратной защитой там всё, как было в Therac-25, то ой.
                                                          0

                                                          Все современные устройства электрических защит программные на 100%

                                                            +6

                                                            Правда?
                                                            А автоматические выключатели "АВВ" в моём электрощитке про это не знают, поскольку им и знать-то нечем — нет контроллера, всё на голой механике, тепловом действии тока и электромагнетизме работает...

                                                              +4

                                                              Я про защиты сетей выше 1000 в.

                                                                0

                                                                ТГ N4 СЦБК с вами не согласен. 2010 год

                                                                  0

                                                                  Вы про что?

                                                                    0

                                                                    Не всё защиты сетей свыше 1000 программные. Турбина сдохла, генератор и всё после него нет! Все защиты релейные. Ни сеть комбината, ни Архэнерго не пострадали.

                                                                      +2

                                                                      Я не говорю что все защиты сетей выше 1000 В программные, я говорю что все современные защиты микропроцессорные.
                                                                      У нас у самих на трех из пяти генераторов все на электромеханике. Но это оборудование 80-х годов.

                                                                +4
                                                                1. Идите поставьте свой автомат ABB на киловольтную сеть.
                                                                2. Скоро в вашем ABB тоже всё будет на контроллерах. Дифавтоматы и УЗО уже повально электронные.
                                                                0
                                                                Лол. Только влияния у вас на них нет, они уходят в защиту и фиг вы выйдете за расчетные режимы. Типичный пример сервоконтроллер.
                                                                  0
                                                                  Я 16 лет занимаюсь эксплуатацией этих устройств защит. И что с ними можно сделать и что нельзя, прекрасно знаю.
                                                                    –2
                                                                    Дочь офицера?
                                                                    Я так-то тоже эксперт по всем вопросам, и очевидно имею большое опыта чем вы. Так что не указывайте тут, что можно делать, а что нельзя!
                                                                    Надеюсь сарказм понятен?
                                                              +21
                                                              Господи, какая превосходная клюква!
                                                              Я так понял, в США тоже неплохо пилят деньги на инфобезопасности.
                                                              несколько миллионов потратить на такой тупой эксперимент.
                                                              Как человек, непосредственно занимающийся этими самыми «защитными реле» не могу не восхититься такой чушью. Прям, настроение подняли в конце дня.
                                                                –2
                                                                Вы нас то просветите. Интересно же!
                                                                  +11

                                                                  Так а что тут интересного? Взяли генератор, кинули в него, грубо говоря лом, удивились результату.

                                                                    +2

                                                                    Да не, это понятно. В чем выражается чушь? Поче му вас такая резкая реакция, как буд-то то что они сделали, сделать реальной жизни просто невозможно? Объясните пожалуйста как специалист в чем несостыковки.

                                                                      +13
                                                                      Тут не нестыковки, тут поражает абсурдность эксперимента. Попробую объяснить.
                                                                      Первое. Информационная безопасность промышленного оборудования это прежде всего обеспечение невозможности подключения к нему извне. Потому что если вы подключились к нему удаленно, считайте его уже взломанным — изготовители оборудования настолько далеки от каких-то норм ИБ, что взломать его проще, чем не взломать. Тут очевидно удаленное подключение не имитировалось, т.к. это был специально поставленный генератор и если они смогли бы подключиться к нему удаленно, значит сами, специально в ходе постановки эксперимента, оставили эту возможность.
                                                                      Второе — очевидно любому специалисту, если мы имеем возможность управлять выключателем генератора, мы можем этот самый генератор убить. Тут вообще без вариантов.
                                                                      Они в ходе эксперимента заменили прошивку контроллера или что там управляло этим генератором, на зловредную. Тоже очевидно, что если в контроллер есть возможность залить произвольную программу, то можно злонамеренно управлять выключателем генератора и, соответственно, убить его.
                                                                      Поэтому смысла этого дорогостоящего фейерверка я совсем не понял.
                                                                        +7
                                                                        Ясно. Понял. Я могу попробовать предположить для чего это было сделано и почему именно так. Вот смотрите, допустим у вас есть какой-то человек «который принимает решения», есть два возможных способа донести до него какую-то информацию/мысль/предположение или например идею. Первый вы приходите и говорите: «Мы тут посидели, подумали и пришли к выводу, что если подключить системы автоматики энергогенерирующих мощностей нашей замечательной страны к сети Интернет, то этим могут воспользоваться русские хакеры и нам П****Ц!!!» Второй вариант, вы самостоятельно проделываете все необходимые манипуляции и на практике показываете, что если выставить автоматику «голой жопой на мороз» (открытыми портами в Интернет), то точно наступает П****Ц! Снимаете красочное видео, фоточки, отчеты очевидцев, ошметки генератора, все в кучу и такие красивые на белом самокате заезжаете в 2 часа ночи с криками: «ШЕФ, ВСЕ ПРОПАЛО!!!» и технично просите пару сотен миллионов долларов на развитие системы безопасности автоматики. Да, и не забываете успокоить только что разбуженного человека уверениями, что теперь-то уж все точно будет хорошо! Думаю во втором случае шансов добиться своего намного больше. Плюс вам положена премия за переживания о стране и компенсация всех расходов.
                                                                          +4

                                                                          Ну да, у меня примерно такое же мнение. Думаю, пригласили на испытания пару конгрессменов, чтоб потом легче денег просить было.

                                                                          +1
                                                                          Тут еще надо очень постараться чтобы получить такую «зловредную» прошивку контроллера которая будет именно так работать. Тут скорей всего доступ к исходникам нужен, чтобы такое реализовать. По мне так малореалистично.
                                                                            0

                                                                            Сделайте поправку на то что эксперимент был лет 20 назад (по крайней мере я так понял) тогда многое станет на свои места

                                                                              +1
                                                                              Да ничего не встанет. Вы думаете, двадцать лет назад не знали, что генераторы могут повреждаться при несинхронных включениях? Это знали и сто лет назад.
                                                                    +9
                                                                    TL;DR -> Если сделать машину, предназначенную для подрыва, и исполнить на ней последовательность шагов, предназначенную для подрыва, и никто этому не помешает, то случится подрыв.
                                                                      +4

                                                                      Мне это напомнило анекдот про суровых сибирских лесорубов и японскую лесопилку

                                                                      +3
                                                                      Слишком художественно написано, но принципиально такое возможно.
                                                                      Думаю нормальный генератор мегаватт на 300 для серьезных повреждений достаточно будет один раз включить в сеть в противофазе.
                                                                      Другое дело, что обычно есть отдельное реле защиты от несинхронного включения. Даже если устройство синхронизации включено в АСУ ТП, если его физически возможно как-то перепрограммировать по этому каналу связи (по модбасу — вряд ли), если сеть АСУ ТП можно взломать снаружи — защита от несинхронного включения реализуется на отдельном более простом устройстве, которое ни в какие цифровые сети не включено. Как минимум так было в тех проектах, что я видел.
                                                                      Но цифровизация продвигается семимильными шагами, скоро вся фантастика станет реальностью)
                                                                        +3

                                                                        Ну да, у нас защита от несинхронного включения (реле контроля синхронизма) это два физических электромеханических реле. Другое дело, что контроль синхронизма можно и вывести. Только не помню, можно ли чисто программно это сделать, завтра надо посмотреть

                                                                          0
                                                                          >>защита от несинхронного включения реализуется на отдельном более простом устройстве, которое ни в какие цифровые сети не включено. Как минимум так было в тех проектах, что я видел

                                                                          Ошибаетесь. Уже включены. Пример устройства — 7VE6X от Siemens.
                                                                            0
                                                                            Не имел с ними дела.
                                                                            А это точно именно устройство защиты от несинхронного включения (synchrocheck), а не устройство синхронизации?
                                                                            По моим представлениям это должны быть два отдельных устройства, и чем проще устройство защиты от несинхронного включения, тем лучше.
                                                                            Хотя понятно, что сейчас при желании можно ту же функцию реализовать хоть в терминале автоматики управления выключателем.
                                                                              0

                                                                              Так это автосинхронизатор. А реле контроля синхронизма они, в общем-то для ручной синхронизации, когда автосинхронизатор не работает

                                                                            +6
                                                                            30 строк кода объёмом 140 кБ?
                                                                              +1
                                                                              Ну, возможно, каждая строка была очень длинной))
                                                                                0
                                                                                Очевидно, писали на Brainfuck
                                                                                –2

                                                                                Интересно, каким образом была отключена защита? Каким образом был дан сигнал на включение реле? Статья полнейшая чушь!!

                                                                                  +12
                                                                                  НУ каким…
                                                                                  У нас тут кран уронили колёсный. Современный, со всеми защитами.
                                                                                  Автоматика не давала стрелу с грузом опускать. А очень надо.
                                                                                  Крановщик в клапана пару щепок воткнул.
                                                                                  Хакер гидравлический.
                                                                                  Стрела опустилась, кран упал.

                                                                                  Вот так же примерно и сделали.
                                                                                    +1
                                                                                    Напомнило, как один сварщик, которому до пенсии оставалось всего чуть-чуть, вместо того, чтоб выбивать срезанные болты с крышки котла сказал своим последние слова «да мы чутка поддадим, крышка сама сойдёт». Крышка улетела, снесла крышу, все обрушилось, город в -30 остался без отопления практически весь. Трубы меняли тоже весьма масштабно после сего действия, спешно переправляя запасы труб из соседних регионов…
                                                                                    Тоже, наверно, русские хакеры виноваты
                                                                                  +4
                                                                                  Бываю иногда на подстанции своего небольшого городка, на периферии нашей Родины. Хоть и опутанная телемеханикой даже по оптоволокну, но только для диагностики и наблюдения, сама защита и автоматика все равно на 99% построена на релейной логике. А главное, это сама логика — защита всегда каскадная, и каскады «последней надежды» построены так чтобы отказывать там было нечему; наподобие того как в новейших навороченных импульсных блоках питания все равно ставят обычный плавкий предохранитель. В общем, без деталей рассказ слишком литературный.
                                                                                    0
                                                                                    Промотать на 8:50
                                                                                    youtu.be/CuBF0ErWIhQ
                                                                                      0
                                                                                      Будто на концерте Раммштайн оказался, хороший фейерверк
                                                                                        0

                                                                                        https://youtu.be/CuBF0ErWIhQ?t=530
                                                                                        в такой ссылке не надо проматывать ;)

                                                                                          0
                                                                                          Закидывать снежком от безысходности, это сильно.
                                                                                        0
                                                                                        Скажите, оптоволокно используется потому что большие электромагнитные помехи?
                                                                                          0
                                                                                          Нет, из чисто практических целей — тянуть далеко. Телемеханика(ТМ) вобще в наших краях лишь для отслеживания оперативной обстановки, всё что мало-мальски значимо — через диспетчера.
                                                                                          Можно рассматривать ситуацию как с самолётами — в случае чего, где-то может быть бригада на линии. Город то постоит, хрен с ним (перемёрзнет правда нафиг), но за бригаду, как и за пассажиров самолета, отвечать никто не хочет.
                                                                                          Тут где-то выше, особенно верно сказали — всё построенно так, что если к оборудованию подключились извне, то оно априори считается уже взломанным.
                                                                                            0
                                                                                            Спасибо, весьма содержательно
                                                                                          –1
                                                                                          сама защита и автоматика все равно на 99% построена на релейной логике.

                                                                                          С учётом того, что отдельные товарищи уже дошли до того, чтобы для генерации звукого сигнала использовать отдельный микрокомпьютер, а потом ещё и защищают такое решение, я уже ничему не удивляюсь.

                                                                                            0

                                                                                            Да уж, это уже абсолютный треш.
                                                                                            Учитывая, что пищалки с уже встроенными генераторами тона вполне себе существуют (питание подай — и запищит). А со светодиодом вообще ничего выдумывать не надо — посадить его на GPIO от RPi и будет точно так же работать.

                                                                                            +1
                                                                                            наподобие того как в новейших навороченных импульсных блоках питания все равно ставят обычный плавкий предохранитель.

                                                                                            Вот только любой электронщик вам скажет что с большей вероятностью плавкий предохранитель сработает тогда, когда ваша электронника уже вся выгорит. Поэтому и используют преславутые МК с контролем тока.
                                                                                              0
                                                                                              А он и защищает в первую очередь не электронику. Если например, она сдохнет от перенапряжения без пробоя накоротко — он и не заметит. Но, смотрим даташиты на ШИМки ИБП, и видим, что там уже есть обратная связь по току в высокой стороне; а предохранитель производителем все равно установлен (иногда он внешне неотличим от сопротивления). Это жжж, оно неспроста. Вот, опять же например, вспоминаем EEV — «нет в мультиметре вооот такого, видите, здорового, керамического а не стеклянного предохранителя — ваш мультиметр _ну_очень_плохой_». А ведь мультиметры явно что-то да понимающими людьми делаются, им потом точность в сертификат вносить и поверки проходить. Любой электронщик подтвердит. Остальное в районе рассуждений «купили в ЦРБ аппарат ИВЛ, самопал, из Китая, без документов».
                                                                                            +2
                                                                                            один из них оказался очень похож на тромбониста из Барнаула

                                                                                            Инфа 146%, что всё это дело рук этого тромбониста из ГРУ!
                                                                                              0
                                                                                              С тромбонистом же дичь первостатейная, вброс уровня ольгинских ботов, непонятно зачем это здесь в статье.
                                                                                              Напомню что по фотке с сайта ФБР поиск по лицам в файндфейсе сделала некая российская «группа блогеров» и в своих фантазиях они не только притянули за уши разыскиваемого США Адриенко к непохожему на него Ненашеву и на основании этого заочно «приговорили» Ненашева к тюрьме в США, а после на основании этих фантазий обвинили США в том что они угрожают тюрьмой невиновным тромбонистам.
                                                                                              А какой слог: «Что очевидно из этого вопиющего примера злонамеренного преследования и юридической халатности, ФБР...»
                                                                                              Фу
                                                                                              +2
                                                                                              Stuxnet же.
                                                                                                0
                                                                                                Не миллион, а тысячу, не в лотерею, а в карты, и не выиграл, а проиграл ;)
                                                                                                +14
                                                                                                Я дважды был свидетелем почти подобных событий.
                                                                                                1. Судовой генератор 150 кВт. Первый запуск после ремонта. На панели Главного Распределительного Щита (ГРЩ) у генераторов этого типа (ГСС) есть выключатель «Гашение поля». Когда гашение включено, генератор не возбуждается. Судно на береговом питании. Моя задача была проверить правильность подключения генератора и его управления. Для этого я должен был его возбудить и, не сажая на шины, проверить, как регулируется напряжение. Я выключаю гашение поля и генератор тут же прыгает на шины (включается его автомат)! Сказать что я офигел — это промолчать. Автомат тут же выбивает по току КЗ, электропривод его тут же взводит и он снова прыгает на шины! На этот раз не только выбило автомат, но и дизель встал а на береговой подстанции выбило предохранители.
                                                                                                Как оказалось, электромеханик был супер перестраховщик ( ну я его только матом вспоминаю). Он выкручивал все предохранители, выключал все что можно выключить — переводил все в максимально безопасное состояние (что точно сказал Лавров?). В итоге он выкрутил предохранители для реле напряжения, которое контролировало напряжение на шинах. А дальше автоматика видела напряжение на генераторе, а на шинах — не видела. Давала команду на включение…
                                                                                                2. Три судовых генератора, кажется по 400 кВт (в тот момент работало два). Сдача судна инспектору Морского Регистра. Инспектор просит параллельную работу. Показывал старший механик (дед по морскому). Он включает автоматику, и та в два счета проводит синхронизацию и включение на шины. Инспектор просит отключить один генератор по обратной мощности (это когда генератор уходит в режим электродвигателя) и включить на шины вручную. У этого придурка (деда) перед носом висит синхроноскоп, на котором по экранчику бегает стрелочка по кругу, показывая разность фаз. Дед нажимает кнопку включения, когда стрелочка находится внизу (180 градусов!). Рядом надписи «delta U Ok», «delta F Ok», «delta fi NOT Ok». Умный синхроноскоп не разрешает включиться. Дед вопросительно смотрит на меня, ну а я что? Я на судне гость, инспектор тоже. Он хозяин, ему лучше знать. Может штатная кнопка не работает? Я показываю кнопку на автомате. Этот дегенерат нажимает кнопку на автомате при разнице фаз 180 градусов! Синхроноскоп уже не защищает! Раздался большой бабах. Выбило оба автомата. Оба дизеля встали. Судно полностью обесточилось. Загорелось аварийное освещение и через несколько секунд завелся и включился аварийный генератор.
                                                                                                В обоих случаях дизеля осматривали на предмет повреждения коленвалов.
                                                                                                Кстати, во втором случае автоматы переходили в состояние «выключен по КЗ» и снова его включить автоматически было нельзя. Только после ручного сброса.
                                                                                                У меня есть опыт работы с судовыми генераторами и электростанциями. Обычно автоматика и защиты — это разные системы. Как правило независимые. Даже на полностью автоматизированных судах (там, где мне пришлось работать). Может быть очень навороченная автоматика на ГРЩ, вместе с которой используются простейшие элементы типа катушки нулевого расцепителя автомата. Но у дизеля есть своя защита. Если защита дизеля сработала, то он даже не заведется, пока аварийный сигнал не убрать.
                                                                                                Что касается разноса дизеля. Каждый двигатель с его регуляторами оборотов испытывается на 100% сброс нагрузки. При этом заброс частоты не должен превышать кажется 10% (точно не помню). В системе защит обязательно есть защита по разносу.
                                                                                                Мне кажется, что в статье описан голливудский сценарий.
                                                                                                Предположим, что генератор много раз включают на шины в противофазе и защит у него нет. А что, у этой линии нет защиты тоже????
                                                                                                  +1

                                                                                                  Защиты линий такого не почувствуют. Это повреждение вне зоны действия основных защит. А у резервных будут выдержки времени сбрасываться на ноль в моменты, когда генератор будет отключаться и снова включаться. Поэтому они тоже не сработают.

                                                                                                    0
                                                                                                    В какие-то из последних ураганов в США схема «Make-Before-Break» таки дала проблем одному из датацентров, причём без всяких хакеров и прочего.
                                                                                                    +5

                                                                                                    Как в советское время множество статей и книг начиналось: «В соответствии с решениями XIV съезда КПСС, клянемся неустанно бороться с поползновениями буржуазных контрреволюционеров», так и сейчас многие американские книги и статьи начинаются с подобной же клюквы.


                                                                                                    Обязательно надо приплести вездесущих и всемогущих русских хакеров, даже если статья вроде как совсем не о них.


                                                                                                    Доходит до абсурда: Великобритания обвиняет, что «русские хакеры взломали несостоявшуюся Олимпиаду в Японии», сами же японцы заявляют, что их никто не взламывал и они ничего об этом не знают.


                                                                                                    А что будет после 3-го ноября… Сколько собак можно будет повесить на несчастного тромбониста из Барнаула...

                                                                                                      0
                                                                                                      Сначала они взломали время и отменили олимпиаду — вызывайте USTP.
                                                                                                      +3
                                                                                                      Огонь!)
                                                                                                      Мне даже кажется автор перевода местами специально оставил гуглоперевод — тот случай когда это уместно)
                                                                                                        +3
                                                                                                        В безопасности, особенно в промышленной, к сожалению действуют две вещи
                                                                                                        1. «Пока гром не грянет, мужик не перекрестится»
                                                                                                        2. Люди в «верхах» не всегда хорошо представляют, что же может случится когда гром все-таки грянет.

                                                                                                        Поэтому я не исключаю, что всей этой истории (про которую тут уже изрядно постебались в комментах) предшествовали примерно такие разговоры:
                                                                                                        — У нас куча оборудования торчит голой задницей в публичные сети либо прикрыто слабенькими шлюзами, софт и железо не обновлись годами и в них не закрыта тонна багов и дыр, да и в целом творится тот еще бардак, нам нужно N денег и M человеко-часов чтобы сделать всё нормально и безопасно.
                                                                                                        — Э? Что? Хакиры могут пролезть, говорите? Ну и что они сделают, ваши хакиры?
                                                                                                        — Да всё что угодно. Вплоть до физического отказа оборудования с дымом и пожаром.
                                                                                                        — Да ну вы бросьте, такое только в фильмах бывает, чтобы дистанционно целые установки из строя выводили.
                                                                                                        — Ну ок, щас покажем.
                                                                                                          +3
                                                                                                          Всем кто недоволен «стихосложением»: это буквальный перевод американской статьи, они так подают информацию обывателю. Какая-нибудь Элли из Канзаса не знает что такое «генератор» и тем более «переменный ток», поэтому первые 2/3 статьи дают «красочный контекст».

                                                                                                          А устроили «бабах» скорее всего чтобы показать большим дяденькам, которые слово «процессор» слышали только в фильме «Хакеры», что их дорогостоящие многомиллиардные железки может теоретически вздрючить шестиклассник за пару минут, и никто ему не помешает.
                                                                                                            0
                                                                                                            Может какие-то отдельные СМИ или журналисты в них так зачем-то пишут, но те что я иногда читаю (buzzfeed, quartz) — так не пишут и это не какие-то научные журналы, а вполне себе популярные обывательские СМИ.
                                                                                                            +2

                                                                                                            Интересно, снимались ли во время этого эксперимента показания хотя бы с электрической части (развёртка тока и напряжения во времени, к примеру) генератора во время атаки?
                                                                                                            Думаю, что эти данные могли бы быть интересны для более полного понимания поведения реальных электрических машин в подобных закритических режимах, но боюсь, что освоить бабах тем людям было существенно интереснее, чем обустроить хороший, годный эксперимент вокруг планируемого бабаха.

                                                                                                              0
                                                                                                              Дебилизм. Если тебя пустили в изолированную сеть, ты досконально знаешь алгоритмы работы ВСЕГО оборудования и даже можешь его перепрошить (!), а на всякий случай заодно и все пароли от всех шлюзов у тебя есть (ну а что, пароли же добыть тоже не проблема), то почему виновата инфраструктура сети? Тем более что там небось такой генератор, который… И защищать видимо особо никто не хочет, раз там все так легко ломается. Как выше писали — мегаваттная мелочь.
                                                                                                                0
                                                                                                                Мелочь или нет — зависит не от мегаваттов. Скажем ДЭС Реанимационного отделения будут ставить по нормативам, а не дядя уася из гаражей.
                                                                                                                +2

                                                                                                                Ужасный перевод, и, вероятно, оригинал не лучше. Читать невозможно. Попытка преподнести технический материал в художественном ключе с кучей неуместных метафор.

                                                                                                                  –2
                                                                                                                  Защиту надо строить так, чтобы как минимум один из рубежей защиты целиком был построен на аналоговых элементах. Если на полностью аналоговых элементах что-то сделать не получается — то надо делать цифровые, но изолированные; а в идеале — с программами, зашитыми в ПЗУ, так что заменить программу можно только механической заменой микросхемы. Тогда никакой внешний хакер взломать этот рубеж защиты не сможет; а проникшего внутрь хакера пусть отлавливает охрана с собаками.

                                                                                                                  Увы, но современные разработчики предпочитают проектировать системы (в т.ч. системы защиты) в духе «стильно, модно, молодёжно, прогрессивно».
                                                                                                                    –1
                                                                                                                    Ну и бред!

                                                                                                                      +2
                                                                                                                      Весело читать такое. Чем более системы усложняются, тем сильнее бомбит у людей на предмет хакеров с ноутбуками.
                                                                                                                      Тут, возможно, проще пояснить на примере Большой Красной Кнопки. По которой надо жамкнуть, когда начнёт наступать жопа.
                                                                                                                      Для тех, кто не в курсе, там в целях безопасности четыре контакта.
                                                                                                                      И раньше такие кнопки подключались ну как-то вот так:

                                                                                                                      Это чисто аппаратное решение (хотя и его можно поломать) на вот таких модулях

                                                                                                                      Которыми был забит весь шкаф, если цепей безопасности было много

                                                                                                                      В современном мире берут ПЛК с «безопасными» (Safe) модулями:

                                                                                                                      Вот жёлтые модули — это как раз они (и внутри они сдублированы)
                                                                                                                      Ну и теперь Большая Красная Кнопка подтыкается прямо в ПЛК:

                                                                                                                      И, о божечки, программируется самым незатейливым образом:

                                                                                                                      И совершенно очевидно, что если я буду иметь доступ к сети, куда подключён ПЛК и, кроме того, проект и пароли от него, то я смогу модифицировать логику так, что кнопку экстренного останова система реагировать перестанет и никаких электрических перекоммуникаций для этого не потребуется.
                                                                                                                      Чтобы такого не случилось, инженер, отвечающий за безопасность должен включить голову и грамотно спроектировать систему, только и всего.
                                                                                                                      На самом деле там всё достаточно разумно. Скажем, если я вытащу модуль и заменю его на такой же, то всё уйдёт в останов и перестанет работать, потому что там серийники сверяются и мне надо войти в систему и подтвердить замену. Но, безусловно, есть участки, которые требуют чисто аппаратной защиты. Скажем, в тех системах, где я занят есть рентген, и при открытии двери там размыкаются контакты, которые это дело физически выключают. И как-то никому не приходит в голову делать выключение высокого напряжения чисто программным методом.

                                                                                                                      И кстати, во всех таких «взломах» обычно без инсайда не обходится. Не нужно большого ума сломать систему, которую "купили за $300 000 у нефтедобытчиков с Аляски и перевезли за тысячи километров, на полигон в Айдахо" и поломали в тепличных условиях, разобравшись в принципе работы.
                                                                                                                      Был когда-то такой вирус «Stuxnet», который разгонял и ломал центрифуги для обогащения урана в Иране. Моё мнение такое, что у разработчиков был полный доступ к такой центрифуге на полигоне — они чётко знали куда бить (я тогда ещё размышлял — откуда они её взяли...?). Так и тут.
                                                                                                                        0
                                                                                                                        В эту статью надо тыкать носом всех, кто утверждает, что возможность отключения ноутбука удерживанием кнопки питания то ли 5, то ли 10 секунд, якобы «независимо от реакции ОС» — это прекрасная замена физически выдёргиваемому аккумулятору.
                                                                                                                          +1
                                                                                                                          Вы, по-моему, противопоставляете несравниваемое. Механическое обесточивание с программным стоит сравнивать только учитывая схемотехнику конкретного ноутбука. Ну или ПК, в общем случае.
                                                                                                                            0
                                                                                                                            Я противопоставляю только программное отключение программному и механическому. Казалось бы, второй вариант вряд ли хуже. Чтобы понять, почему первый лучше, что-то о внутреннем устройстве и о том, что именно управляется программно, знать всё же нужно. Но я сильно подозреваю, что испортив BIOS так, что он не будет реагировать на кнопку отключения, и при этом отключив кулер, вполне можно физически сжечь компьютер (а то и пожар устроить).
                                                                                                                            0
                                                                                                                            Только вот это работает при намертво зависшей ОС.
                                                                                                                            насколько помню, это со времен ATX-блоков питания обработка завязана на режим SMM (в который ОС влезть не может) и есть настройки в BIOS что делать если до 4 секунд(передать ОС обычно) и что делать если больше 4 секунд (вырубить питание обычно). Если мы влезли в SMM(ну или добрались до настроек BIOS) — запросто может работать не так.
                                                                                                                            Но — зависит от конкретного железа. Был недавно у меня случай с немецским ноутом HP — завис напрочь, на кнопку питание реагирует только вот уходит в режим сна, и при выходе опять серый экран. Помогла только разрядка батареи.

                                                                                                                            –2
                                                                                                                            Какая-то малонаучная фантастика.
                                                                                                                            Если какой-то аппаратный компонент можно перепрограммировать удаленно, например присловутое «реле», на самом деле — микроконтроллер, то должен быть компенсационный фактор безопасности.
                                                                                                                            Как правило — это ключ, которым подписывается прошивка и без которой он ее просто не примет.
                                                                                                                              +3

                                                                                                                              Насколько я знаю, в промавтоматике пока что как раз подпись прошивки ключом и является малонаучной фантастикой...

                                                                                                                                +2
                                                                                                                                Подпись прошивок ключом, если и встречается, то в самых новых контроллерах, да и то скорее всего не во всех. А так, АСУ ТП отрасль очень консервативна, до сих пор часто даже новые установки и производственные линии поставляются с моделями коктроллеров начала 2000-х годов и всех все устраивает. Ну и в целом, почитайте отчеты Scada Strangelove, даже во вполне свежем АСУТПшном софте до сих пор находятся совершенно детские дыры, которые в «большом IT» вы за десяток лет до их релиза бы не встретили.
                                                                                                                                Ну а иногда поменять логику работы вполне можно и без перепрошивки. Например, заставить контроллер считать внешнее реле открытым/закрытым или датчик сработавшим/не сработавшим наоборот часто можно просто изменив бит инверсии в конфигурационных регистрах относящихся к DI/DO. А протокол, по которому производится запись этих регистров, или вообще в принципе не умеет никакую аутентификацию (как всеми любимый Modbus), или требует простого пароля, который или перебирается за пол часа или летает по сети чуть ли не в открытом виде.
                                                                                                                                +4

                                                                                                                                Жуткая история! А если они допишут ещё 60 строк кода? Ведь тогда под угрозой разрывания окажутся уже 81-тонные генераторы!

                                                                                                                                  +1
                                                                                                                                  Немного дилетантский вопрос — а что, оборудование электростанций подключено к интернету?
                                                                                                                                    0

                                                                                                                                    По-нормальному — нет, не подключено. По закону подлости — подключено, да ещё и без файерволов.

                                                                                                                                    –2
                                                                                                                                    резиновая втулка (помимо устранения вибрации и несоосности) специально предназначена для того, чтобы разрушиться при превышении крутящего момента.
                                                                                                                                    Хакеры не имеют доступа к ПО контроллера, он не подключен к сети
                                                                                                                                    Короче, это вранье.
                                                                                                                                      +2
                                                                                                                                      Думаю что никакого фокуса в том чтобы подключить мониторинг на контроллер нет, это скорее норма. Следующий фокус — в том чтобы вместо дорогой выделенной линии/темного волокна купить впн через интернет, в целях оптимизации расходов, тоже реалистично.
                                                                                                                                      Ну а уязвимости в прошивках — отдельная тема, в программировании микроконтроллеров и прочем ИОТ вообще нет культуры безопасности, такой как сложилась в вебе (а веб тоже ломают), по сравнению с вебом это просто решето.
                                                                                                                                        0
                                                                                                                                        Хакеры не имеют доступа к ПО контроллера, он не подключен к сети
                                                                                                                                        Примеры Stuxnet и Ramsay прямо говорят о том, что в реальной жизни air gap сам по себе не работает.
                                                                                                                                        –1
                                                                                                                                        Мне, к примеру интересно другое:
                                                                                                                                        Никто не задумывался, что многие техногенные катастрофы, подобные аварии на Саяно-Шушенской ГЭС и прочие, могли быть вызваны подобными причинами (вспомним те же Stuxnet, Duqu)?

                                                                                                                                        Сейчас в мире не так много производителей промышленного энергетического оборудования и SCADA-систем, очевидно что все образцы оборудования доступны серьезным ресерчерам из не менее серьезных контор.

                                                                                                                                        Я вовсе не сторонник теорий заговора, но периодически задумываюсь на эти темы. Учитывая наличие подобных возможностей, странно предполагать что никто не захотел ими воспользоваться.
                                                                                                                                          +1

                                                                                                                                          Могли? Да. Были? Касатлельно Саяно-Шушенской ГЭС — точно нет. Как и в случае с Чернобылем,


                                                                                                                                          обыкновенное раззвездяйство

                                                                                                                                          В ходе эксплуатации гидроагрегата его вибрационное состояние постепенно ухудшалось и в конце июня 2009 года перешло допустимый уровень. Ухудшение продолжилось и в дальнейшем; так, к 8:00 17 августа 2009 года амплитуда вибрации подшипника крышки турбины составляла 600 мкм при максимально допустимых 160 мкм; в 8:13, непосредственно перед аварией, она возросла до 840 мкм. В такой ситуации главный инженер станции в соответствии с нормативными документами был обязан остановить гидроагрегат с целью выяснения причин повышенной вибрации, чего сделано не было, что и послужило одной из главных причин развития аварии

                                                                                                                                          –2
                                                                                                                                          Абсолютно бестолково с первых строк )))
                                                                                                                                          Но с оговоркой: почему никогда не судят программистов ТИПА забывших дыру в безопасности или просто прошляпив что либо? Судят только ребят, которые это обнаружили и воспользовались в корыстных целях.
                                                                                                                                          Вместе садить надо.
                                                                                                                                            +2

                                                                                                                                            Потому что "обнаружил и воспользовался" — это однозначно намеренное действие. Нельзя просто "серфить по инету" и "случайно" наткнуться на плохо закрытую систему + обойти защиту + изучить ее внутреннее устройство + воздействовать на нее. Это однозначно намеренное и осознанное действие.
                                                                                                                                            А вот баг в софте случайный от намеренного отличить невозможно.
                                                                                                                                            Догадываюсь, вы в ответ скажете "ну пусть программисты отвечают за то что прошляпили", это предсказуемо. Кстати, в приличных местах любой код, попадающий в репозиторий, обязательно должен пройти code-review от других разработчиков, и потом еще тестирование перед релизом. Так что давайте отправим под суд сразу всю команду программистов, тестеров, а заодно и их начальство, что не досмотрели. А лучше сразу на лесоповал или к высшей мере, как один усатый эффективный менеджер в прошлом веке делал.
                                                                                                                                            Проблема проста и сложна одновременно: писать софт без багов невозможно. Трудно (а то и, опять же, вовсе невозможно) найти какой-то сколь менее-сложный программный продукт без единого бага (спросите у авторов PVS-Studio, например). Если какой-то разработчик утверждает, что он пишет код без багов, он просто самоуверенный глупец. Человеческий мозг вообще довольно плохо приспособлен для удержания в памяти и эффективной работы с количеством объектов и логических цепочек больше определенного, и как бы вы не знали великолепно свой инструмент (язык программирования, библиотеку, спецификацию железа, computer science в целом), как бы вы отлично не разбирались в предметной области, как бы вы не были максимально сосредоточенны — баги все равно будут.
                                                                                                                                            Поэтому если за дыры в ПО программистов будут отправлять под суд, то самое занятие "разработка софта" будет примерно аналогично игре в русскую рулетку, и мало кто вообще будет этим заниматься, либо только за очень большие деньги, чтобы окупить риск.
                                                                                                                                            Да, есть разные методы повышения надежности ПО.
                                                                                                                                            Тестирование автоматическое и ручное, строгие стандарты (типа MISRA), использование безопасных языков программирования (Ada или новомодный Rust), статические анализаторы, и т.п. Но они все не дают никаких гарантий отсутствия дыр, они лишь понижают их вероятность, защищая преимущественно от ошибок кодирования. От логических ошибок может спасти формальная верификация, но это а) очень сложно б) очень долго в) очень дорого.
                                                                                                                                            Поэтому прижилось оно только в критических отраслях, типа авиации и медицинской техники — там, где сбой с большой вероятностью может привести к человеческим смертям, а других барьеров попросту нет (самолет на высоте не остановишь когда происходит что-то не то). А во всех остальных случаях ищется баланс между ценой и надежностью. В конце концов, продублировать программную защиту тупым магнитным реле и большим красным рубильником будет более чем надежно, но гораздо дешевле.

                                                                                                                                              0
                                                                                                                                              В конце концов, продублировать программную защиту тупым магнитным реле и большим красным рубильником будет более чем надежно, но гораздо дешевле.

                                                                                                                                              История знает «замечательный» пример обратного, который я в этой теме уже упоминал. На Therac-20 была аппаратная защита, а вот на следующей модели, с номером 25, её убрали. Как результат — некоторое кол-во смертей и случаев лучевой болезни.
                                                                                                                                                0

                                                                                                                                                Так случай с Therac никак не противоречит тому что я написал, а наоборот подтверждает мои слова. Я говорю о том, что две простые ступени защиты могут оказаться гораздо надёжнее, чем одна максимально вылизанная и дорогая (вспоминаем теорвер, это тот самый случай, когда вероятности перемножаются). В случае с Therac это правило полностью работало в его предыдущих моделях, и как показала история, спасло жизни.

                                                                                                                                                0
                                                                                                                                                Да в общем-то и в авиации та же нехорошая фигня наблюдается — достаточно посмотреть на известный случай с MCAS на Боингах 737 МАХ.
                                                                                                                                                  0

                                                                                                                                                  В случае с MCAS на 737-Max проблема была не в баге в ПО, а в кривой спецификации, по которой это ПО проектировали и писали. То есть вина там явно не программистов, особенно если учесть, что как раз в авиации спецификация (требования) ставятся во главе всего и разработчики пороть отсебятину и спорить с ТЗ не могут в принципе.

                                                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                            Самое читаемое