Безопасность больших объектов

Общая теория безопасности.

9. Безопасность больших технических объектов.

Основные опасности для большого технического объекта: диверсия; захват; бомбардировка; сбой в системе управления; ошибка или недобросовестность проектировщиков, строителей, ремонтников, диспетчеров, проверяющих; стихийное бедствие (землетрясение, ураган и пр.); износ. Возможно размещение некоторых особо опасных технических объек- тов под землёй -- чтобы исключить воздействие на большую террито- рию порождаемых ими в аварийных ситуациях вредных факторов, а также повысить защищённость этих объектов. * * * Причиной повышенной уязвимости больших технических объектов (БТО) являются сами их размеры, зачастую обусловленные не сообра- жениями эффективности, а тем, что создатели этих объектов стреми- лись удивить техническим чудом, смелостью инженерных решений. Большой объект -- это большие массы, большие объёмы текучих, горючих, ядовитых веществ, большие мощности, большие давления, а также дополнительные сложности диагностики, обслуживания и ремон- та. Материалы при больших давлениях ведут себя несколько иначе, чем при малых. А как именно ведут они себя при больших давлениях -- вопрос сложный, потому что опыт использования их при больших дав- лениях обычно значительно меньше, чем при малых. Лучший способ защиты от специфических проблем при использовании больших объектов -- это не создавать больших объектов, а если всё-таки создавать, то в виде совокупности малых. Чем больше задействованные массы и энергии в одном процессе, тем тяжелее последствия эксидента, то есть, тем выше цена ошибки. Таким образом, минимализм как подход в конструировании выгоден, среди прочего, в аспекте обеспечения безопасности. Разумеется, с оговорками, потому что если, к примеру, малый автомобиль сталки- вается с большим, то люди в большом страдают меньше, чем в малом. * * * Большой технический объект -- не всегда сложный, сложный -- не всегда большой. В составе сложной технической системы могут быть следующие подсистемы общего назначения: ограничения доступа; протоколирования действий и событий; обучения (учебный режим работы); диагностирования; устранения последствий сбоев; блокирования работы системы; оповещения об аварийных ситуациях; действий в аварийных ситуациях; самоуничтожения системы; и др. * * * Сложная система почти никогда не является полностью пригодной к выполнению своих функций: в ней где-то имеются поломки, где-то необходима подстройка, где-то проводится модернизация, где-то требуется техническое обслуживание, а где-то оно уже осуществ- ляется.

9.1. Безопасность атомных электростанций.

Авария на Чернобыльской атомной электростанции произошла 26 апреля 1986 г. в 1 час 23 минуты. Взорвался атомный реактор 4-го энергоблока. Это был не атомный взрыв. Значительное количество радиоактивных веществ оказалось в атмосфере и в дальнейшем выпало на территории Украины, России, Беларуси.
Четвёртый энергоблок.

  Из воспоминаний ликвидатора аварии:
  "При очистке крыши 3-го энергоблока личный состав имел следую-
щую защиту:
1. Самодельный жилет со спинкой из двух листов свинца по 1,2 мм.
Из пластины вырезалась (ножом или подручными средствами, свинец
режется легко) отверстие для головы, бока связывались пластиковым
шпагатом или шпагатом обыкновенным -- кому что досталось.
2. Из такого же материала делалось нечто вроде косынки, закрываю-
щей затылок и опускающейся на шею.
3. На все это надевалось два фартука, которыми пользуются рентге-
нологи, наверняка, если кто-нибудь делал флюорографию, эти фарту-
ки видел. Фартуки надевались один спереди, другой сзади, длина их 
доходила до середины бедер при росте 182 см.
4. Фибровая каска (строительная) и очки защитные строительные.
Все это одевалось на х/б. [хлопчатобумажное обмундирование] (...) 
И плавки! Плавки из свинца с завязками! И прямо на них х/б, а уже
потом всё остальное."
  "Уровень радиации на 3-й день после очистки на расстоянии 15 м 
от провала составлял от 2,5 до 2 тыс р/час, у края стены --
60-100 р/час." (сайт civ.icelord.net)

Ликвидаторы импровизируют защиту от радиации.

                            *  *  *

  Петер Хансен, координатор международного сотрудничества по 
Чернобылю, ООН (1996 г.), о последствиях аварии:
  "...количество случаев заболевания раком щитовидной железы уже
превысило в 285 раз уровень заболеваемости этой болезнью до
чернобыльской аварии, причем, как ожидается, пик заболеваемости
придется на период 2005-2010 годов. Увеличение числа случаев
заболеваемости другими видами рака, которые могут быть связаны с
чернобыльской катастрофой, пока еще не зарегистрировано, но для
этих видов характерны длительные инкубационные периоды. Уровень
заболеваемости среди приблизительно 800 000 'ликвидаторов' -- 
лиц, которые участвовали в ликвидации последствий катастрофы на
самом раннем ее этапе, уже гораздо выше среднего, а уровень
заболеваемости среди жителей частично зараженных районов выше,
чем уровень заболеваемости населения в целом. Растет число
заболеваний, вызванных стрессом, особенно среди тех, кто
продолжает жить в зараженных районах." (www.un.org)

                            *  *  *

  С сайта www.nns.ru:
  "О причине 'чернобыльского кошмара' догадался доктор физико-
математических наук Леонид Уруцкоев. Он считает, что катастрофу 
вызвало неизвестное науке физическое явление."
  "Что-то явно не склеивалось. Например, следы высокого давления,
неизбежно возникающего при взрыве, наблюдались не в одном, не в
двух, а во всех 2000(!) помещениях четвертого энергоблока. Причем
давление это выражалось в совершенно необычных формах. Например,
висевший в одном из помещений железный шкафчик для спецодежды,
который, по идее, должен был оказаться размазанным по стене,
висел, как и прежде, целым и невредимым."
  "Или такая странность. (...) 'ликвидаторы' с риском для жизни 
удаляли с крыши 4-го энергоблока радиоактивные куски графитовых
замедлителей. Но кому пришло в голову, что попасть туда эти
осколки никак не могли. Потому что для этого графиту нужно было
пробить тысячетонную металлическую крышку реактора и оставшееся
в целости и сохранности железобетонное перекрытие. Тоже немалой
толщины."
  "А чудеса открывались все новые. Краска, которая покрывала 
стены шахты реактора после взрыва, даже не почернела, хотя обычно
она загорается уже при 300 градусах Цельсия. В одном месте она
поблескивала на металлическом листе, в котором зияло прожженное
неизвестно чем большое отверстие правильной круглой формы."
  "Главная загадка -- совершенно непонятно, куда подевались 70 т
ядерного топлива."
  "Все эти вопросы без ответов жили в сознании давно ставшего
доктором наук Леонида Уруцкоева вплоть до десятилетней годовщины
Чернобыля. И вот в 1996 году из Министерства по чрезвычайным
ситуациям ему передали документ, из которого следовало, что за 18
секунд до взрыва в этом районе произошло землетрясение. Кроме
того, взрыву предшествовал, как известно, плановый эксперимент,
а, точнее сказать, испытание подключения насосов, охлаждающих
реактор в условиях выхода из строя штатного электропитания."
  "...очевидцы утверждали, что перед взрывом слышали какой-то 
низкий гул, видели, как, словно во время землетрясения, качались
многометровые стены. И все это на 4-м блоке. На 3-м же ничего
подобного не наблюдалось. Что же произошло перед взрывом? Что это
за локальное землетрясение, эффект которого не ощущался в 100
метрах от эпицентра?"
  "Надо сказать, Уруцкоева к этому времени всерьез заинтересовали
сейсмические явления. Дело в том, что по роду своей основной
работы ему пришлось иметь дело с магнитогидродинамическими (МГД)
генераторами. В силу разных обстоятельств со временем они
остались без работы. И тогда их повезли на Гармский полигон в
Таджикистане. Другой НИИ просил помочь в электроимпульсном
исследовании земной коры. Когда в руки коллеги Уруцкоева --
Николая Тарасова попали сейсмограммы, он 'наложил' на них время
пуска МГД-генератора и обнаружил очередное необычное совпадение:
сейсмическая активность всегда вырастала ровно через 6 дней после
мощного магнитоэлектрического удара."
  "То же самое, как потом узнал Уруцкоев, наблюдали и на амери-
канском ядерном полигоне в Неваде. С той лишь разницей, что там 
это почему-то происходило не через 6, а через 7 дней и не после 
электромагнитного удара, а в результате ядерного."
  "...предсказанные еще в 1932 году великим физиком Полем Дираком 
так называемые магнитные монополи -- носители стабильного магнит-
ного заряда."
  "...Уруцкоев, как он выражается, 'сообразил', что выброс маг-
нитных монополей вполне мог произойти в ходе эксперимента на 8-м
турбогенераторе 4-го энергоблока ЧАЭС. Они образовались в момент
переключения тока при испытании штатной схемы подключения насо-
сов, охлаждающих реактор. Источник -- короткое замыкание провод-
ника, погруженного в трансформаторное масло где-то на нижних
отметках в районе злополучного турбогенератора."
  "Что же еще произошло на АЭС? Тепловой взрыв зоны реактора,
случившийся по причине разгильдяйства персонала, -- а именно к
этому выводу пришла правительственная комиссия -- или что-то
другое? Например, ранее неизвестное явление природы."
  "По мнению Леонида Уруцкоева, ответ на этот вопрос дают вырван-
ные из штатных мест и притянутые к паропроводам электрокабели,
находившиеся под напряжением. Собственно, притянули их не трубы,
по которым шел горячий пар, а поток открытых Уруцкоевым магнитных
монополей, привлеченных находящимся в составе пара кислородом.
Кислород, как известно из школьной физики, является парамагнети-
ком. Так вот, магнитные частицы -- монополи, -- образовали с ним
так называемые "связанные состояния". То есть своеобразные склей-
ки кислорода и магнитных монополей. Эти склейки ушли путешество-
вать по паропроводам, связывающим ядерный реактор с турбиной,
которая, как известно, вращается паром. Фактически по трубам
пошел ранее не известный науке магнитный ток. Он и вырвал из
гнезд все провода вместе с электрощитами."
  "...удивительный факт, полученный в эксперименте Леонидом Уруц-
коевым и его коллегой Владом Циноевым: при облучении природного
урана магнитными монополями обнаружился резкий рост выхода
'мгновенных' нейтронов. Главное: обнаруженный эффект должен был
привести к разгону чернобыльского реактора после того, как
магнитные монополи 'облучили' ядерное топливо. Как и все реакторы
в мире, чернобыльский котел не был рассчитан на быстрое изменение
периода полураспада урана."
  "Абсолютно безопасный реактор 'разнесло' потому, что на четвер-
том энергоблоке, скорее всего, произошел мгновенный рост его
мощности, вызванный резким обогащением ядерного топлива."
  "Общественное мнение Европы и Америки было взбудоражено случив-
шимся и выражало резкое недоверие всей атомной энергетике. Под
угрозой оказались доходы крупнейших мировых энергокомпаний. В
этих условиях возможность списать чернобыльскую катастрофу на
обычное русское разгильдяйство выглядела для Запада нежданным
подарком судьбы."
  "...если гипотеза Уруцкоева подтвердится (а это более чем воз-
можно!), на всех АЭС мира кое-что придется немедленно переделать.
Прежде всего категорически запретить нештатные работы на турбоге-
нераторах, ведущие к появлению импульсов тока. А также поставить 
специальные магнитные ловушки на всех паропроводах."
  "А вдруг открытие Уруцкоева -- это и не открытие вовсе, а 
какое-то сравнительно простое совпадение обстоятельств, в которое 
верит только он один и никто больше? Пусть так. Но выводит же
милиция депутатов из Госдумы каждый раз, когда какой-нибудь идиот
звонит и говорит, что заложил бомбу. А ведь бомба, наличие
которой подозревает Леонид Уруцкоев, -- опасность куда более
страшная."

                            *  *  *

  Причины Чернобыльской катастрофы:
1. Большая мощность энергоблоков. Количество иногда переходит 
   в качество: появляются новые физические эффекты. Чем больше 
   опасного вещества и мощного оборудования собирается в одном 
   месте, тем выше вероятность эксидента и тем тяжелее его 
   последствия.
2. Проведение эксперимента на мощном опасном оборудовании без
   учёта возможных побочных результатов. Люди склонны завышенно
   оценивать свои знания о природе, свою способность предсказы-
   вать.
3. Непредвидение возможности неатомного взрыва реактора. Неподго-
   товленность технических средств к противостоянию такому взрыву 
   и к нейтрализации его последствий.

  Основные причины указанных причин:
1. Стремление к текущей эффективности без учёта дальних последст-
   вий.
2. Стремление хорошо выглядеть. Обычно принятие жёстких защитных 
   мер воспринимается обществом как признак наличия угрозы, 
   непринятие таких мер -- как признак отсутствия угрозы, а не 
   как признак беспечности, ещё более эту угрозу увеличивающей.

  Указанные первопричины Чернобыльской катастрофы чрезвычайно 
прискорбны также потому, что вообще обусловливают психологичес-
кую, организационную и техническую неподготовленность государства 
к ликвидации последствий больших катастроф.

                            *  *  *

  Намерение провести эксперимент на чрезвычайно опасном объекте 
-- очень странное. Если называть виновных в катастрофе, то ими
являются в наибольшей степени те, кто затеяли этот эксперимент или
подтолкнули к нему. Если есть уверенность в некотором результате
эксперимента, то он не нужен. А если такой уверенности нет, то
нельзя быть уверенным и в том, что адекватны представления о
ситуации вокруг эксперимента.
  Не так важно то, прав Уруцкоев в отношении причин Чернобыльской 
катастрофы или не прав, как то, что В ПРИНЦИПЕ существует возмож-
ность встречи с неизвестными природными явлениями и что эта воз-
можность тем больше, чем "прогрессивнее", сложнее, мощнее, много-
численнее, плотнее в расположении разнообразные изделия, исполь-
зуемые людьми для удовлетворения своих всё более возрастающих 
потребностей.

                            *  *  *

  Как бы ни была защищена АЭС от аварий и от нападений извне, 
диверсию с очень тяжёлыми последствиями можно устроить на ней 
изнутри: использовать для этого кого-нибудь из работников АЭС.
Такой вариант нельзя исключить даже при очень тщательном
подборе людей. Поэтому АЭС -- это всегда атомная бомба.



9.2. Безопасность гидроэлектростанций.

Из Википедии: "Саяно-Шушенская гидроэлектростанция им. П. С. Непорожнего -- самая мощная электростанция в России и шестая в мире гидроэлект- ростанция. Расположена на реке Енисей, в посёлке Черёмушки (Хакасия), возле Саяногорска." "Бетонная арочно-гравитационная плотина высотой 245 м, длиной 1 066 м, шириной в основании -- 110 м, шириной по гребню 25 м." "Мощность ГЭС -- 6 400 МВт, среднегодовая выработка 24,5 млрд кВтъч." "В здании ГЭС было размещено 10 радиально-осевых гидроагрегатов мощностью по 640 МВт, работавших при расчётном напоре 194 м." "Плотина ГЭС образует крупное Саяно-Шушенское водохранилище полным объёмом 31,34 куб. км (полезный объём -- 15,34 куб. км) и площадью 621 кв. км. При создании водохранилища было затоплено 35,6 тыс. га сельхозугодий и перенесено 2717 строений." "Рентабельность СШ ГЭС в 2,5 раза выше рентабельности тепловых электростанций." "75 % электроэнергии СШ ГЭС потребляет Саяногорский алюминиевый завод." "17 октября 1970 года -- в основные сооружения Саяно-Шушенской ГЭС уложен первый кубометр бетона." "18 декабря 1978 года -- поставлен под промышленную нагрузку первый гидроагрегат Саяно-Шушенской ГЭС." "23 мая 1979 года -- в ходе паводка вода проникла в здание Саяно-Шушенской ГЭС и затопила первый пусковой гидроагрегат." "21 декабря 1985 года -- пущен девятый, а 25 декабря -- десятый гидроагрегат. ГЭС достигла проектной мощности." "2005 год -- начато строительство берегового водосброса ГЭС, ввод которого повысит надёжность и безопасность функционирования электростанции (штатный водосброс оказался неудачно спроектирован -- неоднократно отмечалось разрушение водобойного колодца)." "С 2011 года планировалось начать постепенную замену рабочих колёс гидроагрегатов, конструкция которых оказалась не очень удачной -- наблюдается повышенное трещинообразование, на опреде- лённых режимах эксплуатация гидроагрегатов не допускается." "Авария 23 мая 1979 года. Первый агрегат был сдан в эксплуата- цию в конце декабря 1978 года. Технологические возможности не позволили уложить требующийся объём бетона в водосбросную плотину, поэтому к мощному половодью она оказалась не готова, и 23 мая 1979 года первый агрегат и здание ГЭС подверглись затоплению. Аэраторы, встроенные в стенки водосбросов, должны были обеспечивать подвод воздуха в поток в месте схода его с носка водосброса в водобойный колодец. Но вместо подсоса воздуха в аэратор произошло нагнетание в него воды из водосброса." "Авария 1985 года. В 1985 году во время мощного половодья произошло разрушение 80 % площади дна водобойного колодца. Были полностью разрушены плиты крепления (толщиной более 2 метров), бетонная подготовка под ними и скалы ниже подошвы на глубину до 7 метров. Анкера диаметром 50 мм были разорваны с характерными следами наступления предела текучести металла. Были проведены работы по реконструкции водобойного колодца (1991)." "Авария 1988 года. В 1988 году паводок привёл к разрушению отремонтированного колодца. Было принято решение об эксплуатации ГЭС в щадящем режиме на пониженной отметке максимального напора воды -- не более 240 метров вместо проектных 245. "Аварийная ситуация с фильтрацией тела плотины. Одной из глав- ных проблем строительства было обнаружение увеличивающейся фильт- рации тела плотины. Во избежание вымывания бетона провели допол- нительную инъекцию в массив по существующей на тот период техно- логии, повторно цементировались межсекционные швы, выполнялась цементация трещин через восходящие скважины. Но все усилия были недостаточно эффективными: фильтрация продолжала увеличиваться. Чтобы устранить недостаток, между Саяно-Шушенской ГЭС и француз- ской фирмой 'Soletanche Bachy' была достигнута договорённость о применении её технологии (на основе французских смол) подавления фильтрации воды через бетон (1993). Были проведены опытные ре- монтные работы, которые оказались успешными: фильтрация была практически подавлена." "Авария 17 августа 2009 года. В 8:13-8:30 местного времени 17 августа 2009 года на станции произошла авария на гидроагрегате № 2 с его разрушением и поступлением большого количества воды в помещение машинного зала. Также получили сильные повреждения агрегаты № 7 и 9, здание машинного зала частично обрушилось, его конструкции завалили агрегаты № 3, 4 и 5. В результате аварии погибло 73 человека." "В момент аварии в работе находилось 9 агрегатов из 10, суммар- ная активная мощность работающих агрегатов составляла 4400 MBт. После выброса воды в районе 2-го гидроагрегата на Центральном пульте управления сработала светозвуковая сигнализация, произошел сброс нагрузки до нуля С ПОТЕРЕЙ ЭНЕРГОСНАБЖЕНИЯ САМОЙ СТАНЦИИ." Хронология: 8:15. В это время произошло разрушение гидрогрегата № 2 и началось поступление воды в машинный зал. 9:20 Вручную были закрыты аварийно-ремонтные затворы на водоводах гидроагрегатов и прекращён доступ воды в машинный зал с верхнего бьефа. 11.32 Организовано питание козлового крана гребня плотины от передвижного дизель-генератора с целью открытия водосливных затворов плотины. 11.50 Началась операция по подъему затворов. 13:07 Все 11 затворов водосливной плотины были открыты, начался пропуск воды вхолостую. "'Это самая масштабная и непонятная авария гидроэнергетики, которая только была в мире', -- заявил министр энергетики России Сергей Шматко. 'Вес сорванной крышки турбины составляет 800 тонн, и мы не понимаем природу этого явления', -- отметил он." "По предварительным данным, к аварии привели не ошибки персона- ла или так называемый человеческий фактор. На станции было три степени автоматической защиты. Первый уровень должен был автома- тически снизить обороты движения турбины. Второй предполагал по- ворот лопаток, ограничивающий поток воды из водовода к турбинам. Третий -- закрытие аварийных водоводов на уровне верхнего бьефа. Ни одна из этих автоматических систем не сработала; затворы были закрыты вручную спустя десятки минут после начала аварии." "В результате аварии погибло 75 человек." "Отсутствие официальной информации об аварии и состоянии плоти- ны в течение первых часов и, в дальнейшем, недоверие заявлениям местных властей, основаное на горьком опыте, вызвали панические настроения в лежащих ниже по течению реки населённых пунктах -- Черёмушках, Саяногорске, Абакане, Минусинске. Граждане спешно уезжали к родственникам, подальше от плотины, и на близлежащие возвышенности, что приводило к многочисленным очередям на автоза- правочных станциях, пробкам на дорогах и автомобильным авариям." "В посёлке Майна из-за выхода из строя фильтров очистки был приостановлен водозабор из Енисея, что вызвало нарушение централизованного водоснабжения посёлка[35]. Местными властями была организована доставка воды автоцистернами." "Специалисты давно предупреждали об аварийном состоянии плотины Саяно-Шушенской ГЭС. В частности, газета 'Коммерсантъ' 11 апреля 1998 опубликовала статью под названием 'Саяно-Шушенская ГЭС опасна', в которой Саяно-Шушенская ГЭС, со ссылкой на прогноз МЧС России, названа 'потенциально опасным объектом': Конструкции этой станции претерпели опасные изменения. Последствия прорыва плотины могут быть катастрофическими, в особенности для Красноярска. То, что плотина явно неблагополучна, признают все; расхождения касаются оценок степени опасности и сегодняшнего состояния ГЭС. РАО ЕЭС (хозяин станции) заявляет о полном контроле над ситуацией и считает, что необходим только текущий ремонт. Независимые специалисты, наоборот, говорят о необратимых изменениях плотины, которые грозят её разрушением." "Газета The Independent пишет: 'Произошедшее является предвест- ником того, чего давно боялись российские лидеры: неумолимой де- градации инфраструктуры советской эпохи. Всё -- от электростанций до портов, от аэропортов, трубопроводов и железных дорог до го- родских ТЭЦ и московского метро -- почти всё нуждается в срочном ремонте.'"
Саяно-Шушенская ГЭС, схема места катастрофы.

  С сайта www.kp.ru:
  "Как сообщил нам неофициальный источник, авария произошла сего-
дня утром в 8.16. При плановых ремонтных работах случайно повре-
дили водовод. Вырвался мощный поток воды, и затопило треть машин-
ного отделения. Данную информацию нам пока не подтвердили. По
официальной информации, на Саяно-Шушенской ГЭС погибло шесть
человек, пострадало восемь." (17.08.2009)
  "Как сообщает следственный комитет, В ХОДЕ РЕМОНТА одного из
гидроагрегатов произошла авария. В результате погибло 8 работни-
ков, обслуживающих машинный зал и турбины, 10 человек ранено, 54 
числятся без вести пропавшими."
  "Устойчивость плотины под напором воды (около 30 млн. тонн)
обеспечивается не только собственным весом (60%), но и упором в
берега (40%). Плотина врезана в здоровую скалу левого и правого
берегов соответственно на глубину 15 метров и 10 м."
  "Я работаю на Саяно-Шушенской уборщицей. Пока мыла полы в
пультовой, в соседнем машинном отделении раздался взрыв, потом
разбилось стекло, свет потух и в коридор хлынули брызги, --
впопыхах описывает страшную картину Анастасия (фамилию просила не
называть). -- Я перепугалась и дала деру. Бежала оттуда, наверное,
вперед всех. Многие люди бежали. Только руководство осталось на
месте. Начальник мой стоял и молча мужественно смотрел, как мы
удираем. Выскочили мы оттуда, и в машины набились, кто в чьи.
Потом я до своих Черемушек добралась. Взяла сына и в гору с ним
побежала -- там безопаснее, если плотину прорвет. А поселок наш
запросто накрыть водой может -- он в низине находится."
  "Из-за утечки трансформаторного масла из разрушенного машинного
зала Саяно-Шушенской ГЭС службы Енисейского пароходства приведены
в режим повышенной готовности." (31.08.2009)
  "По предварительным данным в реку попало порядка 20 тонн
трансформаторного масла."
  "Как рассказали нашим корреспондентам спасатели, рабочие
машинного цеха могли продержаться в затопленном помещении около
15 часов: там среди бетонных плит образовываются как бы
"воздушные подушки". Одного рабочего, кстати, нашли в такой
<подушке> спустя несколько часов -- крики парня о помощи услышали
спасатели."
  "Водолазы Южно-Сибирского поисково-спасательного отряда работа-
ли на отметке 320 метров и услышали голос, стук, какие-то звуки. 
Они пробили вентиляцию и увидели рабочего. Мужчина буквально 
висел под потолком, цепляясь за балки перекрытия. Очевидно, вода
поднималась, и мужчина поднимался все выше и выше, пока не
добрался до потолка. Наверху был воздух, он мог дышать. Но как
долго он еще мог продержаться под потолком -- неизвестно."
  "Второго человека обнаружили спустя 15 часов после ЧП. Его 
голос тоже услышали через вентиляцию. Ее пробили, но человека там 
не было. Тогда пробили еще две стены и нашли его в маленькой
нише, заполненной водой, но там был еще воздух. Этот человек был
жив, но не двигался, ведь он 15 часов провел в ледяной воде!"
  "Основная причина аварии -- гидроудар, но причину гидроудара 
надо выяснять, но пока давать какие-то оценки и делать выводы
преждевременно."
  "Водолазы обследовали компрессионные, механические мастерские и
погибших там не обнаружили."
  "Сегодня в 8.15 для сбора масляного пятна на Красноярском
водохранилище в районе Усть-Абакана пристани Черногорская начали
устанавливать боновые заграждения длиной около 2 000 метров от
одного берега до другого, сорбентовые маты." (19.08.2009)
  "Архиепископ Красноярский и Енисейский Антоний возглавил в
Покровском кафедральном соборе панихиду по сотрудникам Саяно-
Шушенской ГЭС, погибшим во время аварии. Она прошла вчера
вечером, 18 августа. Перед началом заупокойного богослужения
правящий архиерей с глубокой скорбью отметил: 
- Если бы строители ГЭС и те, кто отвечает за ее эксплуатацию,
делали бы это с глубокой верой в Бога и молитвой -- то тогда и
относились бы к своим обязанностям честно и со всей ответствен-
ностью, и вряд ли произошло бы то, что случилось."
  "Не смотря на то, что водолазы работают в сложных условиях -- 
вода там мутная, смешана с машинным маслом,  все уголки машинного 
зала обследуются очень тщательно."
  "Сегодня, 19 августа, на Саяно-Шушенскую ГЭС привезли роботов,
которые могут работать под водой, и специальную технику для
разрезания бетонных плит. Спасатели говорят, что будут
пробиваться в <воздушные подушки> затопленного машинного  зала и
еще в три помещения, входы в которые находятся под рухнувшими
плитами перекрытия."
  "Из машинного зала ГЭС утром наконец начали откачивать воду,
заработали специальные насосы, запуска которых ждали всю ночь. За
ночь на Енисее было собрано 14 тонн маслосодержащей жидкости, а
всего с начала операции собрали 28 тонн нефтепродуктов с водой."
  "Жители городов и поселков, находящихся в непосредственной бли-
зости от Саяно-Шушенской ГЭС продолжают сидеть без связи. Интер-
нет, сотовая и проводная связь пропала практически сразу же после 
аварии. Мобильники ловят сеть с перебоями, интернет-провайдеры
тоже перестали работать. Вслед за этим, в вынужденную спячку
из-за отсутствия доступа к всемирной паутине впали банки, почты и
электронные кассы. Купить билеты на дальние расстояния, что на
поезд, что и на автобус тоже практически нереально. Сведения о
свободных местах передаются через интернет, которого в Хакасии и
на юге Красноярского края практически нет." (20.08.2009)
  "Около 19 работников Саяно-Шушенской ГЭС могли спастись в
помещении маслохозяйства, которое находится на 315-й отметке
гидростанции. Именно так обнадежил родственников пропавших
руководитель Саяно-Шушенского учебного центра Валерий Шабалин. --
В помещении, которое находится на самой нижней отметке, хранится
масло, оно герметичное, -- утверждает Валерий Шабалин. -- Если 
люди успели туда добежать и закрыть за собой дверь, то они,
безусловно, спаслись. Даже если двери не закрыли, то все равно в
том помещении должна была образоваться -воздушная подушка'. И
люди, по словам врачей, в холодной воде могут шесть дней --
сколько выдержат почки. Однако, специалисты из 'РусГидро'
отвечают, что говорить об этом тяжело, но надежд, скорее всего,
нет. Помещение, о котором идет речь -- не герметичное. Одна из
стен там вообще стеклянная. Хотя и бетон не выдержал бы того
напора воды, который снес машинный зал." (21.08.2009)
  "По факту ЧП завели уголовное дело по ст. 143 УК РФ ('Нарушение
правил охраны труда')."
  Главный редактор журнала "Новый фокус" "...распространил в 
интернете информацию о том, что в затопленном машинном зале
станции находились живые люди. Они якобы стучали, пытаясь
привлечь к себе внимание, но спасатели ничего не предпринимали,
так как необходимые меры требовали больших материальных затрат."
(26.08.2009)
  "В Абакане благотворительная организация установила специальные
ящики для сбора денег: пожертвования предназначались пострадавшим
в аварии на Саяно-Шушенской ГЭС. Однако, по сообщению администра-
ции города, все они были изъяты милицией. Причина -- в самой
организации. Она была еще ранее зарегистрирована в Абакане, как
благотворительная, однако никакой благотворительной деятельностью
не занималась. Никакого разрешения на установку урн она не имела,
а также не сообщила, как положено, о своем желании собирать
деньги. Сейчас ведется проверка." (27.08.2009)
  "В четверг, 27 августа, глава Ростехнадзора Николай Кутьин
рассказал журналистам о выводах ученых с сейсмической станции,
которая находится неподалеку от одной из крупнейших в мире ГЭС.
'Мы обратились к сейсмологам, они уже выделили частоты и полосы,
в которых работали агрегаты. У них есть информация, которая
сейчас должна пройти окончательную обработку, но первично мы
видим, что в районе 3.30-4.00 часов появилась новая частота,
которая говорит, что что-то изменилось в работе гидроагрегата', -
сказал Кутьин. При нормальной работе ГЭС в Хакасии сейсмологи
регистрировали одни и те же частоты, но перед тем, как в машинный
зал ворвалась вода, к ним прибавилась еще одна. 'Здесь пошла
выделяться вторая частота, причем достаточно широкополосная.
Появилось биение 14-18 герц. Соответственно, можно предположить,
что это напрямую связано с выходом в такой режим какого-то
гидроагрегата', -- цитирует Кутьина 'РИА Новости'."
  "Нашлись те, кто умудрился на трагедии, произошедшей 17 августа
на Саяно-Шушенской ГЭС, нажиться. Жители поселка Черемушки не
расстерялись, узнав о том, что при спуске воды через Майнскую ГЭС
погибло около 400 тонн форели и хариуса. Расчетливые посельчане
набрали мешков, да побольше и ринулись вылавливать оглушенную
рыбу со дна речного."
  "Вода, хлынувшая во время аварии на Саяно-Шушенской ГЭС,
уничтожила часть архивов. На станции есть три вида архивов:
общий, технический и электротехнический. Пострадавшие папки
относились к общему архиву." (31.08.2009)

  С сайта www.rian.ru:
 "НА СШ ГЭС НЕ СРАБОТАЛА АВАРИЙНАЯ СИСТЕМА -- РОСТЕХНАДЗОР.
  Внешний осмотр девятого гидроагретата Саяно-Шушенской ГЭС пока-
зал, что автоматическая система защиты станции сработала некор-
ректно. Об этом во вторник на пресс-конференции сообщил глава 
Ростехнадзора Николай Кутьин. 'При осмотре, в котором я тоже 
участвовал, мы не нашли следов срабатывания тормозных устройств,
которые должны были остановить турбину в результате падения
нагрузки', -- сказал он."
  "На станции предусмотрено несколько систем защиты, которые 
должны были предотвратить катастрофу, ни одна из них, по словам 
Кутьина, не сработала."

Саяно-Шушенская ГЭС, остатки машинного зала.

  По результатам расследования катастрофы на Саяно-Шушенской ГЭС 
могут быть сделаны следующие выводы:
1. Собственные потребности электростанции в электроэнергии должны
   обеспечиваться не её основными электрогенераторами, а отдель-
   ными, удалёнными от основных.
2. Прорыв воды в местах размещения гидротурбин должен быть 
   предусмотрен. Электрогенераторы в машинном зале должны быть 
   отделены один от другого перегородками. При каждом электро- 
   генераторе следует делать канал для аварийного стока воды.
3. Помещения в зоне возможного затопления должны быть с высокими
   потолками и низкими, герметично закрываемыми дверями. В этих
   помещениях должны быть предусмотрены средства размещения людей
   выше уровня воды в случае её проникновения. Вентиляционные
   каналы в таких помещениях должны располагаться не выше уровня 
   дверей и при этом быть приспособленными для использования их 
   в качестве аварийных выходов.
4. В помещениях в зоне возможного затопления должны находиться
   аварийные наборы, включающие гидрокостюмы, фонари, медицинские
   средства, инструменты (в том числе молотки, которыми можно
   подавать сигналы посредством ударов).

  Может быть, следует использовать не гидроэлектроагрегаты, а 
отдельно турбины и отдельно электрогенераторы, размещаемые на 
другом уровне (гидравлически изолированном от уровня, на котором
размещаются турбины) и связываемые с турбинами посредством валов.

                            *  *  *

  Чтобы оценить защищённость БТО от катастроф, вызванных диверси-
ями, военными действиями, природными факторами, эндогенными 
поломками, можно использовать, среди прочего, следующий метод: 
определять возможные последствия мощного взрыва, произошедшего в 
том или ином месте объекта. Если разрушения будут не очень тяжё-
лые независимо от места взрыва, значит, объект защищён в доста-
точной степени.


9.3. Безопасность трубопроводов.

Возможные защитные меры на случай повреждения трубопровода (газопровода, нефтепровода и пр.): 1. Не располагать трубопровода в непосредственной близости автомобильных дорог, железных дорог, линий электропередачи, лесов, поселений, рек. 2. В местах пересечения трубопроводом автомобильных дорог, железных дорог, линий электропередачи, лесов, рек делать его особо прочным и размещать перемычки на обоих концах опасных участков. 3. Обваловывать трубопровод (используемый для перекачки нефти и т. п.) с целью затруднения широкого разлития содержимого и тем более его стока в водоёмы в случае прорыва. 4. По обе стороны трубопровода устраивать удобные пути для пат- рулирования и инспектирования. 5. Делать трубопровод двойным: из двух параллельных труб с возможностью обхода повреждённых участков. 6. Обеспечивать возможность перекачки вещества в двух направле- ниях -- для быстрого опорожнения повреждённого участка трубы.

9.4. Безопасность хранилищ взрывоопасных и пожароопасных веществ.

Из новостей: "В РЕЗУЛЬТАТЕ ВЗРЫВА ГАЗА ПОСТРАДАЛИ СОТНИ БЕЛЬГИЙЦЕВ. Много погибших и примерно сто раненых -- таков предварительный итог последствий взрыва газа на заводе близ бельгийского города Ат к югу от Брюсселя. Об этом сообщили сегодня представители МВД Бельгии. Взрыв произошел не на самом заводе, а в сети подземных газохранилищ, примыкающих к его территории." (lenta.ru, 30.07.2004) Распределённое хранение взрывоопасных и пожароопасных веществ затрудняет их транспортировку и охрану, концентрированное -- увеличивает мощность взрыва или пожара, если таковые случаются. По-видимому, можно для каждой ситуации рассчитать оптимум распре- делённости (величины отдельно хранимых масс вещества и расстояния между ними) с учётом последствий взрыва или пожара. Люди, объекты, оборудование, которые могут быть удалены от хра- нилищ опасных веществ, должны быть удалены настолько, чтобы не пострадать (или пострадать минимально) в случае их воспламенения или взрыва. Если удалить невозможно, надо пробовать защитить дру- гими средствами: экранами и т. п. В местах, где возможны мощные взрывы и пожары, люди должны пребывать в минимальном количестве и постоянно иметь на себе жёсткие жилеты, каски, огнестойкую одежду. По рукой у них должны быть изолирующие противогазы.

10. Безопасность оборудования.

Оборудованию могут угрожать следующие факторы: высокая температура; химически активные вещества; удары, вибрации; электромагнитные поля; радиация; быстролетящие предметы с большой проникающей способностью; недопустимое содержимое входных потоков веществ; препятствия выходным потокам веществ; нарушение управления: отсутствие уместных управляющих сигналов; неуместные управляющие сигналы; возникновение ситуаций, для которых не предусмотрены управляющие сигналы. Возможные причины появления разрушительных факторов: стихийные бедствия; аварии другого оборудования, находящегося рядом; диверсии; акты вандализма; нарушение инструкций; непредвиденные обстоятельства; невозможность выполнить инструкции. Средства защиты оборудования: 1) ограничение доступа ... на территорию, на которой находятся помещения с оборудованием; в помещения, в которых размещено оборудование; к органам управления оборудованием; ко входам и выходам оборудования; внутрь оборудования; 2) ограничение возможных действий; различаются средства защиты следующих типов: препятствующие доступу к оборудованию при невыполнении некоторых условий; препятствующие включению/выключению/переключению оборудова- ния при невыполнении некоторых условий; 3) конструирование оборудования, устойчивого к вредным воздействиям, неправильному использованию, частичным отказам, ошибкам и небрежностям управления; 4) обеспечение средств, облегчающих диагностику оборудования, аварийное выключение оборудования, локализацию, устранение, компенсацию повреждений. Всякое дистанционно или автоматически управляемое устройство, действие которого может причинить ущерб находящемуся рядом чело- веку (пример: железнодорожная стрелка), должно иметь заметный вид, предупреждающую надпись. Перед срабатыванием устройства должен подаваться предупреждающий звуковой и световой сигнал.

10.1. Переключающие устройства.

Под переключающими устройствами понимаются устройства, которые замыкают, размыкают, перенаправляют потоки вещества, энергии, сигналов. Переключение может иницироваться вручную, механически, автома- тически, программно. Физический эффект, обеспечивающий переключение, может быть механический, электронный, термический, химический и пр. Энергия, необходимая для переключения, может обеспечиваться мышечным усилием переключающего, напряжением электрической сети, электрическим аккумулятором и т. п. Автоматическое инициирование переключающего устройства может определяться интервалом времени, состоянием некоторых устройств, некоторым физическим или химическим фактором окружающей среды, воспринимаемым через датчик или непосредственно. Переключающее устройство может срабатывать немедленно или с задержкой. В последнем случае процесс подготовки к переключению может быть прерываемый или не прерываемый. Нежелательные ситуации в связи с переключающим устройством: несрабатывание устройства при попытке переключения; спонтанное срабатывание устройства (вследствие сотрясения, скачка электрического напряжения и т. п.); неуместное срабатывание/несрабатывание вследствие воздейст- вия факторов, порождённых аварией какого-либо другого устройства; диверсионное разрушение устройства; разрушение устройства в аварийной ситуации; несанкционированное использование устройства; неоптимальное использование устройства (вследствие ошибочно- го решения); ошибочное использование устройства (вследствие неверного выбора переключателя); случайное использование устройства (ненамеренное задевание переключателя). Чем тяжелее последствия неуместного использования переключате- ля, тем сложнее должен быть доступ к этому устройству. Средства устранения возможности ошибочного и случайного пере- ключения: использование вспомогательного устройства, включающего и выключающего панель управления, на которой располагаются основные переключатели; одновременное использование двух или трёх переключателей (возможно, настолько разнесённых в пространстве, что требуется участие более чем одного человека); переключение в два шага: после первого шага появляется предупреждение о последствиях; задержка исполнения переключения с возможностью его отмены. Возможные атрибуты переключающего устройства: инструктирующие надписи на устройстве или рядом с ним; замок на доступ к устройству; средства защиты устройства (оболочка и пр.); индикатор положения устройства (местный, дистанционный); индикатор исправности устройства (местный, дистанционный); индикатор доступа к устройству (в простейшем случае -- пломба); регистратор использования устройства; средство местного освещения; средство оповещения (местного, дистанционного) о переключении (готовящемся, состоявшемся); средство проверки допустимости переключения; средство проверки исправности переключающего устройства; средство поражения человека, осуществляющего несанкциониро- ванный доступ. Особые переключающие устройства: аварийные выключатели; устройства запуска разрушительных или особо опасных процессов; фальшивые устройства. К переключающим устройствам примыкают регулирующие устройства: изменяющие мощность потоков. Также существуют переключающе-регу- лирующие устройства, к примеру, водопроводный кран.

10.2. Знаки, надписи, сигналы.

Чем больше сходства в виде и смысле знаков, применяющихся в различных областях деятельности, тем легче их освоение и тем меньше вероятность ошибок в употреблении и распознавании этих знаков. Распространённая причина ошибок при использовании знаков -- сходство знаков, существенно различающихся смыслом. Набор знаков, используемых в какой-либо области, должен быть построен системно. Это облегчает их запоминание и узнавание. Возможная цветовая кодировка опасностей: красный : пожар оранжевый : взрыв жёлтый : радиация желто-зелёный : ядовитые вещества голубой : выход горючего газа синий : затопление фиолетовый : вредные микроорганизмы Возможный универсальный набор навигационных знаков: "Вход", "Выход"; "Включение", "Выключение"; "Увеличение", "Уменьшение"; "Уничтожение"; "Помощь". Возможный универсальный набор знаков языка жестов: "Включи", "Выключи"; "Увеличь", "Уменьши"; "Стой", "Двигайся"; "Двигайся сюда", "Двигайся отсюда"; "Вверх", "Вниз"; "Вправо", "Влево"; "Вперёд", "Назад". "Опасность"; "Нужна помощь". Полезна универсальная азбука для обмена сообщениями посредством стука. Таблицу такой азбуки следует помещать в каждый аварийный набор.

10.3. Устройство панелей управления.

Конфигурацией панели управления (ПУ) оператору (пользователю панели) навязывается некоторая модель его деятельности; модель среды, в которой осуществляется деятельность; модель объекта, на который он воздействует. Всякая сложная модель должна строиться иерархически: таким образом, чтобы каждая составляющая модель была простая, без большого напряжения удерживаемая в области внимания. Устройство панелей управления должно разрабатываться таким, чтобы при работе с ними было меньше ошибок. Компоненты ПУ: элементы индикации (лампочки, шкалы, экраны и пр.) элементы управления: кнопки, переключатели, регуляторы и пр. схемы, надписи. Элементы индикации: отражающие состояние управляемого объекта; отражающие состояние среды, в которой находится управляемый объект; отражающие состояние элементов управления (ЭУ), совершённые управляющие действия; отражающие состояние ресурсов, используемых для воздействия на управляемый объект. Для облегчения ориентирования на ПУ могут использоваться следующие средства: цветовая и конструктивная кодировка элементов ПУ; надписи и схемы на ПУ; звуковое дублирование индикации; звуковое подтверждение осуществляемых действий. Типы ошибок при работе с панелями: не заметить индикации; неверно интерпретировать индикацию; использовать неправильный ЭУ. Средства защиты от ошибок при работе с ПУ: автоматическое предупреждение о последствиях действия, которое опасно или, с точки зрения автоматики, является ошибочным; необходимость одновременного воздействия на несколько ЭУ; затруднение доступа к критическим ЭУ (крышечки на ЭУ, пломбы на крышечках); необходимость подтверждения действия; необходимость использования специального ключа (или нес- кольких ключей, находящихся у разных людей); возможность отмены действия. Сигнальная лампочка, включающаяся при срабатывании некоторого устройства, должна быть в паре с сигнальной лампочкой, выключаю- щейся при его срабатывании. Состояние лампочек должно формиро- ваться независимо. Интерпретация состояний лампочек: +----------------+----------------+-------------------------+ | Лампочка, | Лампочка, | | | включающаяся | выключающаяся | | |при срабатывании|при срабатывании| Ситуация | | устройства | устройства | | +----------------+----------------+-------------------------+ | + | - | устройство включено | | - | + | устройство выключено | | + | + | неисправна сигнализация | | - | - | неисправна сигнализация | +----------------+----------------+-------------------------+ (Если бы сигнализация указанного типа использовалась для индикации состояния аппарели парома "Estonia", затонувшего в 1994 г., утрата аппарели была бы обнаружена своевременно, и катастрофа бы не случилась.) Может использоваться автоматическое протоколирование действий оператора (для последующего их анализа). Варианты группирования элементов ПУ: по этапам работы; по управляемым объектам; по ситуациям. Различаются действия оператора... в нормальных ситуациях; при предусмотренных отклонениях от нормы; в чрезвычайных ситуациях. Средства управления, используемые в чрезвычайных ситуациях, должны быть особым образом выделены и снабжены инструктивными надписями, поясняющими следующее: 1) при каких условиях применять, 2) к каким нежелательным побочным результатам ведёт прменение.

10.4. Опасная зона.

Опасная зона -- это зона вблизи оборудования, в которой велика вероятность действия вредных факторов, особенно в случае аварии этого оборудования. Граница опасной зоны должна быть по возможности обозначена. На границе должна иметься надпись, объясняющая характер опасностей и требуемые защитные меры. Электропитание устройств, находящихся в опасной зоне, должно коммутироваться вне этой зоны, чтобы их можно было включать и выключать в случае аварии в этой зоне. Требуется устройство аварийных выходов из опасной зоны. В слу- чае невозможности устройства аварийных выходов создаются убежища: места с повышенной защитой, со средствами связи и самоспасения. Желательно, чтобы защитные системы, дублирующие одна другую, различались физическим принципом работы или конструкцией либо располагались в удалении одно от другого. Это увеличивает вероятность того, что хотя бы одно из устройств сохранит работоспособность в случае аварии в опасной зоне.

10.5. Контроль функционирования.

Контроль функционирования технической системы -- проверка её способности работать во всех предусмотренных режимах. Контроль функционирования расходует ресурс технической системы и вдобавок сам по себе является причиной появления неисправностей. Поэтому частота проведения, длительность, содержание контроля функционирования должны подбираться так, чтобы система с большей вероятностью оказалась работоспособной в момент, когда она пона- добится. С точки зрения контроля функционирования выделяются технические системы... 1) работающие непрерывно (возможно, не с использованием всех своих режимов и функций); для них желателен непрерывный или регулярный контроль функционирования; 2) работающие посменно; их достаточно проверять перед началом смены; 3) работающие при наступлении некоторых обстоятельств (эти обстоятельства могут возникать редко, так что в системе могут произойти нежелательные изменения, вызванные её состоянием покоя); частота их проверок должна соответствовать интенсив- ности деструктивных процессов, идущих в этих системах вследст- вие старения материалов, испарения жидкостей, разрушительного воздействия факторов окружающей среды и т. п. Устройства обычно ломаются при включении и выключении, что вы- зывается перегрузками переходных процессов. Поэтому эксплуатация устройств должна организовываться так, чтобы обходиться миниму- мом включений, выключений, переключений. Сложные устройства нуждаются в эпизодической подстройке, но следует не специально включать их для этого, а настраивать их после обычного включения перед началом использования или перед выключением. В Радиотехнических войсках вооружённых сил СССР было принято осуществлять ежедневный контроль функционирования (ЕКФ) радио- электронных средств. Это был своеобразный ритуал: в 9 часов утра включали на 10..20 минут каждую радиостанцию, каждую радиолока- ционную станцию и т. п., проверяли их работу в разных режимах и докладывали оперативным дежурным. Те обобщали данные и доклады- вали вышестоящим оперативным дежурным -- и так до самого "верха". Правда, у некоторых проверявшихся таким образом изделий наработка на отказ составляла 8..20 часов, поэтому они нередко выходили из строя именно во время ЕКФ (т. е. по причине ЕКФ), и у обслуживав- ших эти изделия офицеров остаток дня уходил на поиск неисправнос- тей (благодаря чему некоторые специалисты достигали в этом деле большого искусства). Для составления "картины боеготовности" это было удобно, но с точки зрения целесообразности это была значительная трата ресур- сов в ущерб той самой боеготовности, о которой беспокоились. Успешно прошедшее ЕКФ изделие могло с довольно большой вероят- ностью сломаться при выключении после ЕКФ или при следующем вклю- чении, поэтому факт успешного прохождения ЕКФ не говорил ничего нового о боеготовности изделия, если во время своего последнего недавнего включения оно показало себя исправным. Правильнее было бы установить для каждого типа изделий и для каждого варианта условий содержания какой-то предельный срок пребывания в нерабочем состоянии, после которого следовало вклю- чать изделие, подстраивать и проверять, не утратило ли оно боего- товности из-за окисления контактов, испарения рабочих жидкостей и т. п.

10.6. Электропитание.

Из новостей (2001): "В четверг вечером (21.15 мск) из-за масштабного отключения электричества была парализована работа лондонского метрополитена, сообщает телеканал Sky News." "Отключение электроэнергии в метрополитене Лондона произошло в 'часы пик', в результате чего тысячи людей оказались заблоки- рованными в вагонах поездов, что вызвало панику среди пассажиров. Точное количество пострадавших неизвестно. По предварительным оценкам, это несколько десятков тысяч человек." "Многим пришлось добираться домой пешком или наземным транс- портом. В это время на улицах британской столицы шел сильный дождь, а уличное освещение в городе было отключено." "В результате отключения электроэнергии пострадало около 60% линий и станций разветвленной лондонской подземки. По заявлениям представителей компании London Underground, обслуживающей лондонскую подземку, обесточенными также оказались несколько железнодорожных станций, расположенных на юге столицы. Несколько больниц стали работать от запасных генераторов." "Энергоснабжение было восстановлено спустя 2,5 часа после аварии. Отключение электричества связано с крупной аварией в электросетях на юге города, сообщил представитель энергетической компании EDF Energy." СМИ Об аварии 2001 г. на Восточном побережье США: "...ночью 15 августа в Нью-Йорке, Детройте, Кливленде, а также канадских Торонто и Оттаве была прекращена подача электроэнергии. Без света остались 50 млн человек. ФБР ведет расследование массо- вого отключения электроэнергии в городах на Восточном побережье США. Официальной версией аварии названы сбои в электросетях штата Огайо." * * * Всё, что использует электрический ток, должно быть приспособ- лено к внезапному исчезновению напряжения в сети электрического питания. Основные проблемы: застревание людей в лифтах; остановка поездов в метро; внезапное исчезновение света в автомобильных тоннелях; прекращение работы средств управления транспортом; прекращение работы компьютеров; прекращение работы технических стредств, используемых в медицинских операциях и для поддержания жизни больных; затруднение работы военных систем; прекращение функционирования средств обеспечения безопас- ности: электрических замков, сигнализации и т. п.; нарушения технологических процессов на предприятиях, способные привести к взрывам, пожарам, выбросу вредных веществ. Вторичные проблемы (в городах): сбои в водоснабжении; затруднения с питанием людей; затруднения с удалением отходов жизнедеятельности. Возможные действия по восстановлению электропитания: переключение электрических сетей на другие электростанции; автоматический переход на питание устройств от аккумуляторов; переход на питание локальных электросетей от автономных генераторов. Если движущийся автомобиль внезапно оказывается в темноте, его фары должны включаться автоматически. Кабина в лифте должна в случае отключения электропитания автоматически опускаться до уровня ближайшего этажа, после чего должна появляться возможность использования механизма открывания двери вручную. На время открывания двери вручную должно блоки- роваться перемещение кабины электромотором. В холодильниках должны быть "аккумуляторы холода": ёмкости с охлаждённой или замороженной водой (у воды очень большая теплоём- кость) для поглощения тепла в то время, когда не работает охлаж- дающая система. При кратковременном намеренном выключении охлаж- дающей системы (напр., для технического обслуживания) следует обеспечивать этим аккумуляторам теплоизоляцию.

11. Безопасность систем обработки данных.

11.1. Тестирование.

Процедуры тестирования системы обработки данных (СОД) описыва- ются ещё на стадии составления технического задания и представ- ляют собой его часть. Обычно это лишь проверка выполнения функций. Между тем, также требуется проверка способности системы выдерживать следующее: ошибки пользователя; ошибки входных данных; сбои в работе аппаратуры; сбои в сопряжениях с другими системами. После изменения части системы следует полностью проверять систему в целом (или, по крайней мере, ту подсистему, которая включает изменённую часть), поскольку, помимо тех взаимосвязей в системе, которые предусмотрены проектом, могут возникать непредусмотренные, т. е. изначально не известные. Для экономии усилий полное тестирование системы осуществляется лишь после внесения группы изменений, образующей новую версию системы.

11.2. Защита от несанкционированного доступа.

Требуется защита данных на случай... несанкционированного доступа; отключения электропитания; повреждения аппаратуры; ошибок пользователя; сбоев программного обеспечения. Средства защиты от несанкционированного доступа к данным: ограничение доступа в помещение, где располагается оборудование для работы с данными; ограничение возможности включения оборудования; ограничение входа в программную систему; ограничение работы с разновидностями данных; шифрование данных; неподключение оборудования к сети передачи данных; обеспечение затруднительности копирования данных на внешний носитель; затруднение использования средств технической разведки для считывания данных, для выяснения способов доступа к данным. В защите от несанкционированного доступа возможно применение псевдопаролей -- имитирующих последствия применения настоящих паролей и скрытно сигнализирующих о вторжении посторонних в систему, а также активизирующих дополнительные средства защиты. Если пользователя системы принуждают ввести пароль, он вводит вместо пароля псевдопароль. * * * Из СМИ: "По сведениям сенатора Чарльза Шумера, в ходе контртеррористи- ческой операции в Афганистане были получены данные о готовящихся 'Аль-Каидой' терактах против информационных систем Нью-Йоркской фондовой биржи, систем регулирования воздушных сообщений, элект- ростанций, больниц и даже сетей банкоматов. 'Мы стоим на пороге "компьютерного Армагеддона", в результате которого может произой- ти искусственный обвал финансовых рынков на Уолл-Стрит или орга- низовано падение Боингов-747', -- отметил Шумер на пресс-конфе- ренции в Нью-Йорке. По мнению сенатора, крупнейший американский город представляет собой очевидную цель для кибер-террористов еще и потому, что через него проходят волоконно-оптические кабели связи, соединяющие США с Европой. Шумер сообщил, что инициировал законопроект, предусматривающий создание специального управления, координирующего деятельность ЦРУ, ФБР, Пентагона и Управления национальной безопасности с целью выявления слабых мест в защите компьютерных сетей в США и их ликвидации. (...) ряду государст- венных ведомств рекомендовано убрать из Интернета информацию, представляющую потенциальный интерес для кибер-террористов, и разместить свои компьютерные сети в более безопасном 'внутреннем' Интернете, работа над созданием которого активно идет сейчас в США." (19.02.2002)

11.3. Защита от сбоев.

В сложной системе обработки данных (СОД) эпизодические сбои неизбежны и должны рассматриваться как нормальное явление. В ТС могут использоваться следующие средства: журнал нормальной работы -- для осуществления откатов в случае сбоев; журнал ненормальных ситуаций -- для регистрации состояния различных компонентов системы на момент сбоя; резервное копирование данных; процедуры тестирования СОД; процедуры проверки данных; процедуры восстановления данных.

11.4. Работа с ошибками в программном обеспечении.

Обнаружение ошибки в эксплуатируемом программном обеспечении (ПО) -- это не чрезвычайное происшествие, а частое, предусмотрен- ное, типовое событие, вызывающее типовую реакцию. Ошибки делаются в большом количестве и в основном легко исправляются. Большое количество ошибок вызывается стремлением разработчиков програм- много обеспечения предъявить новый продукт потенциальным пользо- вателям пораньше и за приемлемую цену. Потери от ошибок в ПО могут быть огромные. * * * При всякой большой программной системе есть группа поддержки, которая занимается исправлением ошибок. Выделяются следующие уровни серьёзности (severity) ошибок: 1-й: использование системы невозможно; 3-й: использование некоторых неосновных функций системы невозможно; 2-й: использование системы затруднено, но возможно в полном объёме; 4-й: небрежности в оформлении системы, не препятствующие её использованию. По этапу работ, на котором они возникают, различаются ошибки... постановки задачи; проектирования; реализации; тестирования; эксплуатации. По компоненту, в котором они локализуются, различаются ошибки... в алгоритмах (последовательностях действий); в отдельных операциях; в структурах данных; в документации; в экранных текстах. Если эксплуатируется не единственный экземпляр СОД, то всем пользователям рассылаются исправленные программные модули, исправленные варианты разделов документации, инструкции по осуществлению действий, исправляющих ситуацию. * * * Обычно действует порядок, при котором после принятия системы заказчиком (по завершении периода пробной эксплуатации) обнару- женные ошибки исправляются только за плату: даже если сделал их разработчик, виноватым в их наличии считается заказчик, потому что он недостаточно тестировал продукт и не сумел вовремя обнаружить ошибку). Поэтому бывает, что заказчику выгоднее не исправлять некоторые обнаруженные ошибки, а обходить или компенсировать их какими-то дополнительными действиями, вследствие чего годами эксплуатируются явно ущербные системы.

11.5. Защита от ошибок программного обеспечения.

Средства защиты от ошибок ПО: повышение культуры программирования; использование удобных средств автоматизации программирования; создание благоприятных условий работы программистам; избежание спешки и перенапряжния в работе; тщательная постановка задачи; тщательное тестирование; обеспечение материальной заинтересованности разработчиков ПО; поддержание благоприятного "психологического климата" в среде разработчиков ПО. Поиск ошибок в ПО осуществляется значительно быстрее, если имеется возможность включения трассировки различных процессов в программной системе для их быстрого детального анализа.

11.6. Защита от ошибок пользователей программного обеспечения.

Защита от ошибок пользователей ПО может считаться достаточ- ной, если обеспечено следующее: 1. "Бумажные" инструкции и экранные подсказки сделаны исчерпыва- ющими, понятными, удобными. Инструкции и подсказки на случай сбойных ситуаций построены так, что содержащиеся в них сведе- ния достаточны для исправления этих ситуаций. 2. Перед выполнением рискованных действий выдаются предупреждения о возможных последствиях. 3. Осуществляется задержка выполнения особо рискованных действий на несколько секунд или даже минут, чтобы оператор имел воз- можность изменить решение. 4. Имеется возможность прерывания ошибочно инициированных действий. 5. Имеется возможность восстановления состояний, предшествовавших ошибочно инициированным действиям. 6. Осуществляется протоколирование всех важных процессов в системе.

Возврат на главную страницу