Лень — движитель прогресса!

Шутка шуткой, но лень в инженерном смысле — это стремление исключить человека из контура рутинного управления, и родословная у этого стремления длиннее, чем кажется. Поплавковый регулятор уровня воды Ктесибий Александрийский применял в водяных часах ещё в третьем веке до нашей эры; центробежный регулятор Джеймса Уатта (1788) сам поддерживал обороты паровой машины, прикрывая заслонку при разгоне, — и стал первым массовым устройством с отрицательной обратной связью, а заодно и первой головной болью теоретиков: когда регуляторы начали загадочно «рыскать», за дело взялся сам Джеймс Клерк Максвелл, чья статья «О регуляторах» (1868) положила начало математической теории управления. Дальше — ПИД-регулятор (формализованный Николасом Минорским в 1922 году на задаче автоматического удержания курса корабля), десятилетия релейно-контактной логики со шкафами, полными щёлкающих реле, и, наконец, революция 1968–1969 годов: по заказу General Motors команда Дика Морли создаёт Modicon 084 — первый программируемый логический контроллер, который можно было перенастроить, не перепаивая шкаф. С тех пор автоматизация — это в первую очередь софт.

Сердце почти любого контура управления и сегодня — тот самый ПИД-регулятор, чьё устройство стоит понять каждому, кто хоть раз трогал термостат. Регулятор непрерывно сравнивает измеренное значение с уставкой и формирует воздействие из трёх слагаемых: пропорционального (чем больше ошибка, тем сильнее давим — но при подходе к цели усердие падает и остаётся статическая ошибка), интегрального (копим ошибку во времени и дожимаем остаток — но перестараешься, и система начнёт раскачиваться) и дифференциального (смотрим на скорость изменения и притормаживаем заранее — предсказание в одну строчку математики). Настройка этих трёх коэффициентов — отдельное ремесло на грани искусства: перерегулирование, колебания, время выхода на режим — все болезни отопления, вентиляции и прочей инженерии родом отсюда, и изрядная доля «не греет/перегревает» лечится не заменой оборудования, а головой наладчика.

У регулирования есть и фольклорный антигерой — автоколебания: система, у которой усиление и запаздывание сложились неудачно, начинает гулять вокруг уставки с упорством маятника (отопление то жарит, то студит; давление дышит; клапан хлопает). Виновник почти всегда один и тот же — транспортное запаздывание: между воздействием и его измеримым следствием проходит время (теплоносителю надо дойти, помещению — прогреться), и регулятор, не знающий об этой задержке, реагирует на собственное эхо. Лечится предсказанием (та самая дифференциальная составляющая, упреждающие схемы) и смирением: некоторые процессы принципиально не регулируются быстрее своей физики, и заказчик, требующий «чтобы температура не гуляла вообще», покупает не настройку, а капитальную переделку системы: чтобы зажать колебания почти до нуля, физически нужны другие, более быстрые и точные датчики и приводы, переразмеренные трубопроводы и теплообменники, иная гидравлика контуров — то есть затраты уже не на настройку, а на новое железо и монтаж.

В принципе системы пожарной автоматики (глава 2) автоматизируют борьбу с огнём, системы безопасности (глава 3) — предупреждение нарушений, сети связи (глава 4) – передачу сообщений, а значит в какой-то степени тоже являются системами автоматизации, но узкоспециализированными.

Ключевое слово всей главы — обратная связь: измеряй результат своего воздействия и корректируй воздействие по результату. Разомкнутый контур (включил обогреватель на «тройку» и ушёл) слеп и расточителен; замкнутый — экономен и устойчив к возмущениям, будь то распахнутая форточка или мороз за окном. Это та же кибернетическая идея гомеостата из главы 1, доведённая до железа, и читатель уже не удивится, узнав, что Винер писал свою «Кибернетику», во многом обобщая именно опыт автоматического управления зенитным огнём. Всё прочее в этой главе — лишь масштабирование принципа обратной связи от комнатного термостата до завода.

Но какими ещё могут быть системы автоматизации? Часто автоматизируется работа инженерных систем здания, производственных процессов заводов и фабрик, месторождений и транспортных сетей.

В зданиях эта дисциплина носит имя BMS (Building Management System) и кормится в основном климатом: вентиляционные установки с рекуперацией тепла, холодильные машины и индивидуальные тепловые пункты, насосные группы, освещение по датчикам присутствия и расписаниям, погодозависимое регулирование отопления, когда температура теплоносителя вычисляется из уличной по отопительному графику, а не по ощущениям сантехника. Ставки здесь выше, чем кажется: на эксплуатацию зданий приходится порядка трети мирового энергопотребления (что подтверждают и обзоры Международного энергетического агентства), и грамотная автоматизация срезает десятки процентов этого счёта без единого нового киловатта генерации — просто не отапливая пустые этажи и не охлаждая воздух, который тут же подогревается. Зелёные сертификации вроде LEED и BREEAM по сути и проверяют, насколько умно здание распоряжается энергией, а энергосервисные контракты превратили экономию в самостоятельный бизнес: подрядчик модернизирует автоматику за свой счёт и окупается из сэкономленных заказчиком платежей.
Диспетчеризация автоматизируемых систем позволяет управлять технологическим процессом, контролировать параметры и мониторить результаты, чем занимаются диспетчеры за соответствующем автоматизированным рабочим местом (АРМ).

Интерфейс между машиной и диспетчером — отдельная инженерная дисциплина со своими граблями, на которые человечество наступало громко и дорого. Мнемосхема должна показывать процесс, а не рисовать красивый завод; тревоги должны быть редкими, осмысленными и ранжированными — иначе случается «потоп алармов», когда в нештатной ситуации на оператора обрушиваются сотни сообщений в минуту и он физиологически перестаёт их читать. Хрестоматийный пример — авария на АЭС Три-Майл-Айленд (1979), где операторы утонули в какофонии сигнализаций и неверно истолковали состояние застрявшего клапана; с тех пор управление тревогами выросло в отдельный стандарт (ISA-18.2), а правило «каждый аларм требует действия оператора, иначе это не аларм» стоит высечь над входом в любую диспетчерскую — и, шире, над любым проектом СУДИО, где заказчик просит «выводить вообще всё».

Система управления и диспетчеризации инженерного оборудования (СУДИО) здания позволяет оптимизировать штат обслуживающего персонала технической дирекции соответствующих служб, сократить время простоя из-за неисправностей, снизить вероятность аварий.

Арифметика тут убедительна: один диспетчер за грамотно спроектированным АРМ держит под наблюдением сотни единиц оборудования, на обход которых пешком ушла бы смена целой бригады, причём узнаёт о неисправности не назавтра от возмущённых арендаторов, а в момент отклонения параметра. Добавим автоматическое ведение журналов и трендов (которые, как мы помним из главы 4 про время NTP, бесценны при разборе инцидентов), контроль действий персонала и невозможность «забыть включить» — и СУДИО окупается не только сэкономленными ставками, но и непроизошедшими авариями, стоимость которых, по законам главы 7, считается в вероятностях.

Справедливости ради, у автоматизации есть и собственная ирония, описанная Лизанной Бейнбридж в классическом эссе «Ironies of Automation» (1983): чем совершеннее автоматика, тем реже вмешивается человек — и тем стремительнее деградируют его навыки ручного управления, которые понадобятся ровно в тот момент, когда автоматика спасует перед нештатной ситуацией. Получается замкнутый круг: мы автоматизируем рутину, потому что человек ненадёжен, и тем самым делаем его ещё ненадёжнее в редких, но критических эпизодах. Авиация ответила на это тренажёрами и обязательными ручными заходами; инженерной эксплуатации зданий ответ ещё предстоит выстрадать — пока же дежурная смена, разучившаяся запускать вентиляцию без диспетчерской системы, остаётся тихой миной замедленного действия, заложенной под пункт «снизить вероятность аварий».

Контрольно-измерительные приборы (КИП) являются в своём роде сенсорами как СУДИО в частности, так и автоматизированной системы управления технологическими процессами (АСУТП) в общем, которые на уровне программного обеспечения относятся к системам SCADA (Supervisory Control And Data Acquisition).
Сами КИП — это словарь физических эффектов, поставленных на службу измерению. Температуру меряют термосопротивлениями (платиновая спираль предсказуемо меняет сопротивление с нагревом — точно, линейно, но небыстро) и термопарами (спай двух разных металлов рождает термоЭДС — эффект Зеебека, открытый ещё в 1821 году: грубее, зато выдерживает печные жары). Давление снимают тензометрическими мембранами, расход — перепадом давления на сужении, вихрями Кармана, ультразвуком против и по потоку или электромагнитной индукцией в проводящей жидкости; уровень — поплавками, гидростатикой, ультразвуком и радаром. Каждому методу — свой диапазон, своя погрешность и свой способ врать, поэтому метролог на производстве — фигура не менее важная, чем технолог: автоматика, опирающаяся на лгущий датчик, исполнительна ровно настолько же, насколько слепа.

NB: измерительный тракт — это цепочка «чувствительный элемент — преобразователь — линия — вход контроллера», и врать умеет каждое звено: датчик — от старения и налёта, линия — от наводок и плохого контакта, вход — от ухода калибровки. Потому в серьёзных системах живёт культ поверки и калибровки с паспортами и межповерочными интервалами, а опытный киповец, глядя на подозрительно красивый, идеально ровный тренд, первым делом подозревает не стабильность процесса, а зависший датчик.

На другом конце контура трудятся исполнительные механизмы: клапаны и заслонки с электро- и пневмоприводами, насосы и вентиляторы, всё чаще управляемые частотными преобразователями. Частотник заслуживает отдельного комплимента как чемпион энергоэффективности: законы подобия гласят, что потребляемая насосом или вентилятором мощность пропорциональна кубу скорости вращения, а значит, снижение оборотов вдвое режет потребление почти в восемь раз — там, где дроссельная заслонка попросту сжигала бы излишек напора. Умножьте этот куб на тысячи двигателей жилого комплекса или завода — и станет понятно, почему частотное регулирование окупается быстрее, чем согласуется его спецификация.
Питание и резервирование исполнительной части — отдельная строка в проекте, о которой вспоминают по понедельникам после отключений: какие контуры обязаны пережить пропадание сети на дизель-генераторе и ИБП, какие — корректно остановиться, а какие — перейти в безопасное состояние без всякого питания, на пружине привода. Грамотно составленная таблица режимов «норма — авария питания — пожар — сервис» для каждого механизма экономит на пусконаладке недели, а на эксплуатации — нервы, и относится к тем скучным документам, отсутствие которых обнаруживается исключительно в худший момент из возможных.

Над SCADA пирамида автоматизации (та самая, из главы 1) продолжается вверх: системы MES управляют производственными процессами и рецептурами, ERP — ресурсами предприятия, и каждый этаж живёт в своём масштабе времени — от миллисекунд полевого контура до кварталов финансового планирования. Чтобы этажи понимали друг друга, индустрия десятилетиями выращивала единый язык обмена, и сегодня эту роль играет стандарт OPC UA — платформонезависимый, с встроенной моделью информации и, что отрадно, с криптографией из коробки: уроки, о которых пойдёт речь ниже, не прошли даром.

Сигналы собираются на среднем уровне автоматизации в программируемых логических контроллерах (ПЛК), которые выполняют цифро-аналоговые преобразования в случае подключения аналоговых устройств сбора информации, в то время как на дискретные входы позволяют получить данные в цифровом виде, ну а выходы ПЛК позволяют подавать управляющие сигналы на исполнительные устройства.

Нижний этаж этого хозяйства говорит на десятках языков, и слаботочнику полезно различать хотя бы основные диалекты. Аналоговая классика «4–20 мА» неубиваема не случайно: живой ноль (исправный датчик никогда не выдаёт меньше 4 мА, а потому обрыв линии мгновенно отличим от нулевого значения), нечувствительность токовой петли к длине и наводкам, двухпроводное питание по той же паре — изящество, проверенное полувеком. Поверх неё протокол HART подмешивает цифру в аналоговый сигнал, а дальше начинаются полевые шины: ветеран Modbus (в железнодорожном RTU-исполнении и в сетевом TCP), промышленные Profibus и Profinet, молниеносный EtherCAT для станков и роботов, а в зданиях — своя троица BACnet, KNX и LonWorks, из которых первый постепенно становится лингва-франка инженерных систем. Принципиальное отличие промышленного Ethernet от офисного — детерминизм: контуру управления важна не средняя скорость, а гарантированное время доставки каждого пакета, и ради этой предсказуемости индустрия городит специальные протоколы поверх знакомой витой пары.

Квартирный извод той же темы — «умный дом» — заслуживает абзаца хотя бы потому, что именно через него автоматизация пришла в массовую культуру. Профессиональная ветка на KNX с проводной шиной и проектом под отвёртку соседствует с потребительской стихией радиопротоколов Zigbee, Z-Wave и Thread, поверх которой индустрия с переменным успехом строит единый стандарт совместимости Matter; голосовые ассистенты добавили жанру обаяния и подписных сервисов. Инженеру здесь полезно сохранять трезвость: выключатель, требующий облачного аккаунта, обновления прошивки и работоспособности заокеанского сервера, — это не прогресс, а добровольная передача собственного гомеостата в чужую юрисдикцию, о рисках чего мы поговорим в главе 9 об информационной безопасности. Локальная автономность критических функций — принцип, одинаково здравый для завода, офиса и квартиры.

Любопытно, что профессиональная и бытовая автоматизация, разойдясь в цене на порядок, сходятся в архитектуре до неразличимости: датчик — контроллер — исполнительное устройство — сценарий — интерфейс. Термостат за тысячу рублей и контур регулирования химического реактора устроены одинаково идейно, и это не совпадение, а всё тот же универсальный скелет обратной связи, на котором природа построила гомеостаз, инженеры — ПИД-регулятор, а маркетологи — «экосистему умного дома». Различия — в цене ошибки, и именно она, а не престиж отрасли, определяет требуемую глубину инженерной проработки.

Программируются ПЛК, к слову, на пяти стандартных языках МЭК 61131-3, среди которых живее всех живых — релейные диаграммы LD, графически имитирующие те самые шкафы с реле, что вымерли полвека назад: электрики читают их без переводчика, и преемственность поколений оказалась важнее изящества синтаксиса. Рядом — функциональные блоки FBD и текстовый ST для тех, кто думает алгоритмами, а не контактами. Здесь же отметим важную для надёжности дисциплину: программа ПЛК исполняется циклически (опрос входов — расчёт — запись выходов) за гарантированные миллисекунды, без прерываний на «подумать», обновления из интернета и прочие радости офисных операционных систем — потому контроллер с наработкой в двадцать лет без перезагрузки в этом мире не подвиг, а норма.

Там, где отказ автоматики стоит жизней, начинается отдельная дисциплина — функциональная безопасность. Стандарты МЭК 61508/61511 вводят уровни полноты безопасности SIL: контур аварийной защиты проектируется так, чтобы вероятность его отказа по запросу была математически доказуемо ниже заданной — с резервированными контроллерами, голосующими по схеме «два из трёх», самодиагностикой и принципом fail-safe, по которому любая неисправность переводит систему в безопасное состояние (клапан топлива при потере сигнала закрывается, а противопожарный — наоборот). Знакомая по главе 2 логика перепроверки сигнала «пожар» двумя извещателями — родная сестра этих схем голосования: природа надёжности едина, меняются только отрасли и аббревиатуры.
По моему скромному мнению, инженерам по автоматизации следует хорошо разбираться в предметной области автоматизируемых процессов на уровне физических процессов, если речь идёт об отдельных инженерных системах, химических процессов в случае автоматизации производств химической индустрии и так далее. Здесь снова кстати придётся уже знакомый нам по первым главам «Путеводитель по науке» Айзека Азимова: широкий научный кругозор для автоматчика — не роскошь, а рабочий инструмент, ведь автоматизируемый процесс всегда стоит на физике, химии или биологии, и тот, кто держит в голове общую картину естественных наук, отличит правильный алгоритм от правдоподобного куда быстрее узкого специалиста.

Это скромное мнение подкреплено суровой практикой пусконаладки. Автоматизировать процесс, которого не понимаешь, — значит закодировать собственные заблуждения с машинной точностью и промышленной скоростью исполнения; классическая формула «автоматизация хаоса даёт автоматизированный хаос» родилась не в учебнике, а в цехах. Толковый наладчик систем вентиляции обязан понимать психрометрию влажного воздуха хотя бы на уровне «почему зимой при нагреве падает относительная влажность», наладчик теплового пункта — гидравлику контуров, а наладчик котельной — ещё и то, чем заканчивается неправильная последовательность розжига. Предметные знания — это система координат, в которой только и можно отличить правильную работу алгоритма от правдоподобной.

Сюда же отнесём и великое искусство приёмки алгоритмов: таблица входов-выходов и словесное описание («при пожаре вентиляция отключается») оставляют столько свободы трактовок, что две добросовестные команды реализуют их несовместимо. Зрелый инструмент — матрица причинно-следственных связей (cause & effect): строки — события, столбцы — реакции, на пересечениях — крестики с задержками и приоритетами; одна страница такой матрицы при пусконаладке стоит тома прозы, а при споре с подрядчиком — двух юристов. Для сложных последовательностей добавляются диаграммы состояний: автоматика, описанная как конечный автомат, проверяема по определению — каждое состояние достижимо, из каждого есть выход, и «зависнуть между режимами» системе негде.

И вот здесь обязан прозвучать сюжет, после которого о кибербезопасности АСУТП заговорили даже те, кто считал её паранойей. В 2010 году червь Stuxnet — первое общепризнанное кибероружие — проник в изолированную сеть иранского обогатительного завода в Натанзе (по общепринятой версии — через заражённые флешки), нашёл конкретные контроллеры Siemens, управлявшие газовыми центрифугами, и месяцами тонко изменял частоту их вращения, одновременно подсовывая операторам записанные «здоровые» показания. Центрифуги выходили из строя сотнями, а персонал искал причину в чём угодно, кроме истинной.
Желающим прочувствовать атмосферу подобных операций в художественной форме стоит посмотреть французский сериал «Бюро легенд» (Le Bureau des Légendes), где целая сюжетная линия посвящена кибердиверсии против иранской ядерной программы — с теми же ингредиентами: внедрение, подмена показаний, незаметный саботаж под носом у ничего не подозревающего персонала.  

Урок номер один: воздушный зазор (air gap) — не гарантия, а иллюзия с интерфейсом USB. Урок номер два прилетел в 2015-м, когда атака на украинские энергосети погасила свет сотням тысяч людей движением чужого курсора по экранам SCADA, и в 2021-м, когда вымогательское ПО остановило крупнейший топливопровод США Colonial Pipeline. С тех пор стандарт МЭК 62443 с его зонами, трактами и уровнями защищённости — не факультатив, а профессиональный минимум, и к этой теме мы вплотную подойдём в главе 9.

Область комплексной автоматизации (АК) настолько обширна, что библиотека профессиональной литературы может быть сопоставима по объёму знаний с разделами сетей связи, систем безопасности и пожарной автоматики вместе взятых, а в особенности с учётом необходимых предметных знаний может даже их превосходить, однако системы пожарной автоматики и безопасности предполагают работу с высокими уровнями рисков (вплоть до смертельных и уголовных), а сети связи сопряжены с информационными технологиями, которые являются наукоёмкой сферой. Глубину этой библиотеки хорошо чувствуешь, листая хотя бы классику: четырёхтомник «Автоматизация производства и промышленная электроника» под редакцией академика А. И. Берга (1962–1965) — энциклопедический памятник эпохи, заложившей фундамент отрасли, — и более современные, но столь же системные «Цифровые системы автоматизации и управления» Г. Олссона и Д. Пиани (2001), по которым удобно входить в SCADA и теорию управления уже на новом витке техники.
Оттого и карьерные траектории в автоматизации ветвисты, как ни в одной смежной дисциплине: один и тот же диплом приводит людей в наладку лифтов, программирование роботизированных линий, диспетчеризацию аэропортов и алгоритмическую торговлю (которая, если вдуматься, есть та же SCADA, только уставкой служит прибыль, а исполнительным механизмом — биржевой ордер). Общий знаменатель всюду один: умение мыслить контурами обратной связи и понимать автоматизируемый процесс глубже, чем его понимает заказчик автоматизации. Это умение, забегая в третью часть книги, не девальвируется ни кризисами, ни нейросетями — последние, как мы увидим в главе 15, сами есть его порождение.

Отдельной строкой — энергетика самих слаботочных систем, мост между этой главой и всей первой частью: источники бесперебойного питания с честным расчётом времени автономии под реальную, а не паспортную нагрузку; аккумуляторы, чья ёмкость на морозе и в старости — доли номинала (и чья замена по регламенту — самая игнорируемая строка ТО из главы 13); разделение фидеров критичных потребителей; автоматический ввод резерва. Пожарная нормативка требует для своих систем первой категории электроснабжения и резервирования по входам питания приборов — и это требование стоит мысленно распространять на всё, что обязано пережить худшую ночь объекта: безопасность, которая выключается вместе со светом, — это иллюминация.

Свежие ветры в этой области дуют со стороны данных: датчики подешевели настолько, что вибрацию, температуру и ток двигателя можно писать непрерывно, а модели машинного обучения по этим трендам предсказывают отказ подшипника за недели до скрежета — так рождается предиктивное обслуживание, экономика которого (чинить по состоянию, а не по календарю и не по факту аварии) прозрачна любому финансовому директору. Цифровой двойник — живая модель объекта, синхронизированная с натурой телеметрией, — позволяет прогонять сценарии «а что если» без риска для железа; к этой идее мы вернёмся в главе о проектировании. Облака и периферийные вычисления делят работу по уму: миллисекундные контуры остаются на объекте, аналитика и оптимизация уезжают в центр. Автоматизация, начавшаяся с поплавка Ктесибия, на наших глазах обзаводится предсказательной силой — оставаясь, по сути, всё той же отрицательной обратной связью, только всё более дальнозоркой.

На этом обзор слаботочного квартета завершён: пожарная автоматика стережёт от огня, системы безопасности — от злого умысла, сети связи переносят информацию, автоматизация превращает её в управление. Первая часть книги отвечала на вопрос «что это такое»; пора подниматься на следующий уровень абстракции и спрашивать «зачем и почему» — что вообще такое безопасность, как устроены угрозы и риски, причём тут бизнес и квантовая механика. Этому посвящена вторая часть.

Прежде чем перевернуть страницу, зафиксируем главный итог первой части одной фразой: слаботочные системы — это распределённая по зданию петля обратной связи между физическим миром и информацией о нём, и качество этой петли — от чувствительности извещателя до вменяемости диспетчера — определяет, насколько объект жизнеспособен как организм. Всё дальнейшее — лишь разворачивание этой фразы в разных масштабах: от кошелька предпринимателя до волновой функции.