Bezpieczna akceleracja

Skonstruowany przez CERN akcelerator i jego bezpieczeństwo kontroluje i monitoruje 130 układów sterowania, wykorzystujących ?wzmocnioną? technologię automatyzacyjną
Wielki zderzacz hadronów (Large Hadron Collider ? LHC) znajdujący się w ośrodku Europejskiej Organizacji Badań Jądrowych (European Organization for Nuclear Research ? CERN) zbudowano w kolistym tunelu, którego obwód wynosi 27 km i który znajduje się na głębokości 50 do 150 m pod ziemią, rozciągając się od Jeziora Genewskiego do Jury Frankońskiej.

Gdy akcelerator osiągnie gotowość operacyjną, dwie wiązki protonów zostaną wystrzelone w przeciwnych kierunkach i zderzą się w komorach detekcyjnych. Naukowcy szacują, że następować będzie około 600 milionów zderzeń na sekundę, co dostarczy proporcjonalnie wielką ilość danych, które mają pomóc znaleźć odpowiedź na pewne fundamentalne pytania z dziedziny fizyki.

Niektóre z wyśrubowanych wymagań technicznych to:

  • 9600 magnesów, które będą prowadzić wiązki protonów, w tym ponad 1200 nadprzewodnikowych, każdy mający 14,2 m długości;
  • Magnesy są najpierw ochładzane do temperatury -193 °C za pomocą helu w stanie gazowym. Następnie temperatura jest stopniowo obniżana za pomocą ponad 10 000 ton ciekłego azotu, a potem do -271°C przy użyciu prawie 60 ton ciekłego helu;
  • Jeden z czterech głównych detektorów zde-rzacza, 46-metrowy ATLAS, to największe urządzenie tego rodzaju. Wykorzystywany jest jako multidetektor, między innymi do tego, by wykrywać tajemniczy bozon Higgsa i cząsteczki ciemnej materii;
  • Modułowy pojazd serwisowy, znany jako TIM (Train Inspection Monorail) może przejechać przez całą długość tunelu akceleratora zawieszony na szynie;
  • Setki sterowników Simatic S7-300 i S7-400, w tym 36 sterowników blokady zasilania (PIC ? Powering Interlock Controllers) zapewniają wysoką dostępność i niezawodność wszystkich krytycznych systemów;
  • System nadzorczy PVSS (system wizualizacji i kontroli procesu ? process visualization and control system) zapewnia prezentację graficzną i monitorowanie większości układów sterujących LHC. Ilość danych przesyłana w ciągu roku, wynosząca około 15 petabajtów (15 milionów GB) zapełniłaby ponad 1,7 miliona dwustronnych płyt DVD.

CERN pragnęła użyć do automatyzacji systemów dostępnych komercyjnie sterowników i procesorów. Jednak sterowniki musiały udowodnić swoją przydatność w serii trudnych testów, w sposób, jakiego nigdy chyba do tej pory nie wykorzystywano i nie wykorzystuje się do innego rodzaju zastosowań.

Ochrona przed hakerami
? Instalacje nadmiarowe, takie jak odporne na błędy sterowniki Simatic S7-400H, mogą zaoferować wysoki poziom bezpieczeństwa eksploatacji. Ale biorąc pod uwagę fakt, że większość sterowników, urządzeń polowych, a nawet siłowników jest teraz bezpośrednio połączona z Ethernetem, kto może zagwarantować, że nikt inny nie przejmie kontroli nad sterownikiem, nie złamie go i nie zagrozi jego bezpieczeństwu? ? pyta dr Stefan Lüders z zespołu bezpieczeństwa komputerowego działu IT w CERN.

Zespół pod kierownictwem doktora Lüdersa opracował specjalne środowisko testowe, służące do badania słabych punktów sterowników, systemów SCADA i innych urządzeń podłączonych do sieci Ethernet pod kątem ich podatności na ataki z cyberprzestrzeni. O zmartwienie przyprawiali ich nie tylko hakerzy-przestępcy, próbujący uzyskać dostęp z zewnątrz, ale także wirusy i robaki, które można wprowadzić do systemu różnymi kanałami ? w tym także za pośrednictwem przenośnych pamięci USB i kart compact flash. W przeciwieństwie do ?łatek?, które można zainstalować w komputerach biurowych, w sterownikach nie da się w prosty sposób codziennie instalować najnowszych zabezpieczeń antywirusowych, nawet jeśli są one dostępne.

W ramach weryfikacji sterowników 31 urządzeń pochodzących od siedmiu producentów było systematycznie testowanych pod kątem odporności na penetrację za pomocą skanerów bezpieczeństwa Nessus i Netwox. Poza zakłócaniem pracy poprzez przeciążenie (np. ataki typu odmowa usługi), testy obejmowały także sprowokowane ataki na słabe punkty systemów operacyjnych poprzez wprowadzenie złośliwego oprogramowania i manipulację protokołami wykorzystującymi TCP/IP. Około 1/3 testowanych urządzeń nie przeszła testów.

Dr Lüders twierdzi, że wyniki testów doprowadziły do bardzo produktywnej interakcji z firmą Siemens i ostatecznie sprawiły, iż z upływem lat sterowniki Simatic stały się znacznie bezpieczniejsze, a  teraz spełniają surowe wymagania CERN.

Zabezpieczenie przed bombardowaniem protonami
Urządzenia polowe rozproszonego we/wy Simatic ET 200M testowano pod kątem odporności i w tym celu bombardowano je protonami. Ta próba trwałości w szczególności dotyczy kart we/wy. Inżynierom firmy Siemens udało się osiągnąć wymaganą przez CERN ilość średniego czasu bezawaryjnej pracy (MTBF) dzięki wymianie transoptora w kartach.

Innym przykładem jest 1400 zaworów sterujących podawaniem helu. Obudowa pozycjonera elektropneumatycznego Sipart PS2 umieszczonego na zaworach zawiera wyłącznie pasywną elektronikę, która jest odporna na promieniowanie. Aktywna elektronika zainstalowana jest w szafach szufladowych w biegnącym równolegle tunelu serwisowym lub w niszach.
Bezpieczeństwo eksploatacyjne całego LHC zapewnia system sterowników blokady zasilania (PIC), składający się w sumie z 36 sterowników Simatic S7-300. PIC gwarantuje, że wszystkie warunki bezpieczeństwa zostaną spełnione przed dostarczeniem zasilania i w trakcie pracy magnesów.

W przypadku wystąpienia zdarzeń krytycznych lub usterek, wiązkę protonów można wyłączyć w ciągu kilku milisekund. Niezawodność tego rozwiązania zademonstrowano w trakcie wstępnego rozruchu LHC we wrześniu 2008 roku.

Nadmiarowość i bezpieczeństwo detektorów
System bezpieczeństwa detektorów (DSS ? Detector Safety System) odpowiada za bezpośrednie monitorowanie statusu detektorów oraz ochronę ich najistotniejszych podzespołów. Składa się on z wykorzystującego sterowniki interfejsu przeznaczonego do zadań krytycznych z punktu widzenia bezpieczeństwa oraz wewnętrznego systemu SCADA służącego do konfiguracji i monitorowania. Dwa odporne na błędy sterowniki Simatic S7-400 wykonujące ten sam kod w stałej synchronizacji działają w warstwie interfejsu, niezależnie od elementów przetwarzających. Jeśli wystąpi problem, sprawniej funkcjonujący sterownik automatycznie zaczyna pracować samodzielnie, dopóki nie nastąpi uaktualnienie drugiego sterownika.

Operator komputera przetwarzającego uruchamia system nadzorczy PVSS (Process Visualization and Control System) opracowany przez ETM ? firmę należącą do Siemens AG. Określa on, jakie informacje mają zostać zebrane i przeanalizowane, określa także predefiniowane środki bezpieczeństwa dla sterowników w warstwie interfejsu. Kod wykonywany po stronie sterownika jest identyczny w całej instalacji DSS. Kod ten jest całkowicie zorientowany na dane, zaś te pobierane są z konfiguracyjnej bazy danych PVSS. Umożliwia to dostosowanie DSS do formy, implementacji i oceny eksperymentów w dowolnym momencie.

Najdłuższa lodówka świata
Jednak jednym z największych wyzwań związanych z automatyzacją LHC było bezpieczne chłodzenie ? kriogeniczne ? nadprzewodnikowych magnesów kierujących i przyspieszających obie wiązki. W tej ?największej lodówce świata? każdy z 16 sterowników Simatic S7-400 kontroluje około 250 zamkniętych obwodów i 500 alarmów oraz blokad w ramach cyklu trwającego mniej niż 500 ms.

Dostęp do 15 000 odpornych na promieniowanie czujników i siłowników rozmieszczonych w bezpośredniej bliskości magnesów możliwy jest za pośrednictwem sieci Profibus lub WorldFIP; dane przesyłane są światłowodem o długości kilku kilometrów. Każdą parę sterowników wspiera osiem przemysłowych komputerów PC działających w warstwie interfejsu, wykorzystujących magistralę WorldFIP.

Są tam także 52 zdalne przełączniki do 5000 urządzeń kriogenicznych w ośmiu punktach wtrysku LHC. W punkcie nr 4 dwie biegnące w przeciwnych kierunkach wiązki protonów są przyspieszane przez rezonatory nadprzewodzące aż do osiągnięcia energii 7 TeV (teraelektronowoltów).

W każdym sektorze jeden z dwóch sterowników S7-400 przypisano do łukowej sekcji LHC o długości 2460 metrów. Drugi sterownik zarządza chłodzeniem kriogenicznym w każdej z 270-metrowych prostych sekcji znajdujących się w pobliżu stref wtrysku.

Milion kanałów monitoringu
Oprogramowanie PVSS zostało znormalizowane w całym CERN i zarekomendowane do wszystkich funkcji SCADA w roku 2002. Jak mówi dr Enrique Blanco z grupy przemysłowych urządzeń sterujących i elektroniki, PVSS wybrano z ponad setki konkurencyjnych rozwiązań.

Aby można było zrozumieć, jak ogromną ilość urządzeń sterujących wykorzystano w projekcie, należy sobie uświadomić, że każdy z czterech ogromnych detektorów zawiera ponad milion kanałów monitoringu we/wy. Oprócz tego wykorzystuje się dużą liczbę różnych subdetektorów, które mogą w razie konieczności funkcjonować także jako systemy samodzielne. Wymaga to wysoce rozproszonej architektury, składającej się z setek komputerów.
Jednoszynowy pojazd inspekcyjny ? TIM

TIM to bezzałogowy pojazd inspekcyjny, który porusza się wzdłuż tunelu akceleratora po zawieszonej pod jego sklepieniem szynie. Opracowano go na wypadek, gdyby wejście do tunelu było zbyt niebezpieczne, na przykład podczas testów, rozruchu czy kriogenicznego chłodzenia magnesów.

? Musimy zagwarantować, że pojazd zawsze natychmiast się zatrzyma, jeśli napotka ludzi nadal przebywających w tunelu lub jakąś nieoczekiwaną przeszkodę ? stwierdza Keith Kershaw, kierownik zespołu ds. technologii serwisowej.
TIM wyposażono w tym celu w skaner laserowy, sterowany odpornym na uszkodzenia sterownikiem Simatic S7-300, który uruchamia hamulec awaryjny, korzystając z protokołu Profisafe. Podzespoły IWLAN (przemysłowej, bezprzewodowej sieci lokalnej) służą do przesyłania danych między modułami.
CE