FT: II. Wprowadzenie
We wszechświecie
funkcjonuje nieskończenie wiele systemów rozmiaru nano, mikro,
makro ... giga. W systemach zachodzą przeróżne procesy.
W splecionym łańcuchu
DNA nano - świata są zakodowane liczne informacje genetyczne
organizmów żywych. Przebiegające w komórkach organów człowieka
reakcje biochemiczne kierowane są przez enzymy i koenzymy
syntezowane na podstawie informacji z DNA. Działanie komórek i
organów zakłócają patologiczne bakterie i wirusy. Organizmy mają
wbudowane mechanizmy zwalczania "wrogów". Ale wydajność
tych mechanizmów może być zbyt niska przy wysokiej dynamice
zachowania bakterii i wirusów. Z pomocą przychodzą aplikowane
choremu antybiotyki. Bez leczenia chory mógłby umrzeć. Głodzony
czy wyniszczony chory może mieć osłabioną odporność organizmu.
Ogłoszona w 1916 roku
Ogólna Teoria Względności będąca uogólnieniem szczególnej
teorii względności, stwierdza że siła grawitacji wynika z
lokalnej geometrii czasoprzestrzeni. Nieeuklidesowa geometria
czasoprzestrzeni znana była już wcześniej a Albert Einstein w
sumie dokonał kompilacji i integracji już znanych idei. Próby i
błędy kompilacji i integracji Einsteina trwały 9 lat i bez niego
kto inny ogłosiłby wynik prac. Koncepcja OTW jest nietrywialna i
można z niej wyprowadzić przeróżne twierdzenia. Równania
Einsteina w odróżnieniu od innych równań fizyki matematycznej są
nieliniowe co znakomicie utrudnia pracę z nimi. Już Carl Friedrich
Gauss jako pierwszy odkrył, że geometria przestrzeni fizycznej nie
musi być euklidesowa. Odkrywcą i badaczem geometrii nieeuklidesowej
( około 1820 roku i później ) jest matematyk węgierski Janos
Bolyai. Z rzeczy przyziemnych ale o ogromnej wadze, Bolyai
sformalizował system liczb zespolonych jako par liczb rzeczywistych.
Z OTW korzystamy na przykład przy korekcji zegarów atomowych na
satelitach.
N.B. Do szczególnej
teorii względności najwięcej wniósł Jules Henri Poincare a na
drugim miejscu Lorentz. Rola Einsteina w tej sprawie była znikoma.
Był w gruncie rzeczy plagiatorem.
Przeróżne procesy
zachodzą w Ziemi i na Ziemi, gwiazdach, galaktykach ( giga świat )
i wszechświecie. Planeta Ziemia jest kosmiczną drobinką we
wszechświecie. Energia Słońca napędza ziemską fotosyntezę,
prądy oceaniczne, pory roku, pogodę i klimat. Bez Słońca nie ma
życia na Ziemi. Galileusz w 1610 roku rozpoczął obserwacje Słońca
przy pomocy teleskopu. Za nim poszli inni. Cykliczna aktywność
Słońca ma ogromny wpływ na procesy zachodzące na Ziemi.
Szalona jest rozpiętość
mocy zjawisk dochodząca do 1e80 razy !
Moc 1.52e-27 W ma fala
grawitacyjna jednotonowego geosynchronicznego satelity Ziemi.
Czułe radio FM czytelnie
detekuje sygnał o mocy 2e-15 Wata.
Moc promieniowania Słońca
to 3.8e26 W.
Moc promieniowania
Galaktyki Drogi Mlecznej wynosi 5e36 Wata.
Moc promieniowania
najsilniejszego kwazara to około 1e41 Wata.
Moc szczytowa
najsilniejszej emisji paczki promieniowania Gamma to około 1e45 Wata
Skale zjawisk kosmicznych
kończy Moc Plancka 3.63e52 Watów
Moc 1 GW czyli 1e9 czyli
miliard Watów dużego bloku energetycznego jest wielka ale zerowa na
tle mocy źródeł promieniowania w kosmosie. Nawet Słońce jest
kosmosie prawie Zerem.
Konstruktorem systemów i
procesów jest też człowiek. Państwa ( twory - systemy polityczne
) normalnie uczestniczą w procesie korzystnej pokojowej wymiany
handlowej i współpracują ze sobą w wielu obszarach. Proces handlu
i współpracy ulega zakłóceniu w czasie wojny gorącej i zimnej.
USA przykładowo zakazują sprzedaży krajom RWPG wszelkiej
nowoczesnej technologii a zwłaszcza technologii mikroelektronicznej
i samej mikroelektroniki.
N.B. Co do trwałości
państw jako systemów politycznych. Chińczycy uważają że państwa
istnieją głównie w wyobraźni narodów. Gdy nie ma tej wyobraźni
i dobrego mitu założycielskiego, żadna siła, terror i biurokracja
nie utrzyma istnienia państwa. Z kolei marszałek Piłsudski (
mitoman i szkodnik ) stwierdził: „Naród, który traci pamięć
przestaje być Narodem, staje się jedynie zbiorem ludzi, czasowo
zajmujących dane terytorium”
W tym kontekście trzeba
widzieć skutki katastrofy nuklearnej w Czarnobylu. Prysnęły mity o
Związku Radzieckim lub Kraju Rad. Król jest nagi. Reaktor
energetyczny produkujący m.in. wojskowy pluton miał
dyskwalifikujące wady konstrukcyjne i prymitywne sterowanie. Nie
sprawdzono funkcjonowania dokonanych przeróbek. Reaktor RMBK-1000
mający obszary dodatniej reaktywności nigdzie w świecie nie byłby
dopuszczony do użytku. Personel nic nie wiedział o niebezpiecznych
wadach reaktora. Bezpośrednią przyczyną awarii były ciężkie
błędy proceduralne. ZSRR nie tylko nie potrafił katastrofy
opanować ale w dodatku nie powiadomił społeczności
międzynarodowej o katastrofie i skali zagrożenia
promieniotwórczego. A wielkie katastrofy nuklearne miały już
wcześniej miejsce w Rosji. Władze ZSRR nie przejmują się zdrowiem
i życiem ludzi. Życie ludzkie jest tam bardzo tanie. Jak mawiał
Józef Stalin – „Ludiej u nas mnoho”. Katastrofa będzie
miała fatalny, wielokierunkowy wpływ na ZSRR a zwłaszcza republikę
Ukrainy tym bardziej że Ukraina nie ma przeszłości jako twór
polityczny a to jest także zlepek terytoriów siłą oderwanych
innym państwom. Światowe media bez litości propagandowo rozgrywają
katastrofę Czarnobylską a nawet ją niebotycznie wyolbrzymiają co
może dać uboczne skutki. Ludzie będą się bali energetyki
jądrowej i będą protestowali przeciw budowanym elektrowniom
jądrowym.
W fabrykach chcemy aby
sterowane procesy zachodziły optymalnie. Jakość produktu i jego
ilość bardzo zależą od technologii i sterowania procesem. Im
więcej jest etapów produkcji ( szczególnie leki, farmaceutyki )
tym większe są możliwości optymalizacji.
Określenie "Fault
tolerant" jest głównie stosowane w odniesieniu do niezawodnych
komputerów i systemów komputerowych. Odporny na błędy powinien
być też program. Winien tolerować błędne dane i wyjątki. Bez
upadku powinien zasygnalizować co konkretnie jest wadliwe.
Fault tolerance to
zdolność każdego systemu do dalszej pracy mimo wystąpienia
uszkodzeń elementów systemu. System może pracować wolniej lub
mieć funkcjonalność okrojoną proporcjonalnie do skali zniszczeń.
Uszkodzenie w systemie naiwnie zaprojektowanym prowadzi do
natychmiastowego upadku całego systemu.
Są systemy same z siebie
tolerujące uszkodzenia.
Uszkodzenie opony w
samochodzie osobowym zmusza kierowce do natychmiastowego zatrzymania
pojazdu. Uszkodzenie nie jest tolerowane. O ile kierowca ma sprawne
koło zapasowe to po kilku minutach na wymianę koła może dalej
podróżować. System transportu - dostaw w którym kierowca z
samochodem był elementem ma więc zdolność tolerancji o ile
spóźnienie kierowcy jest tolerowane.
Ciężarówka która ma
cztery koła na osi lub wiele osi może dalej kontynuować pracę po
uszkodzeniu opony ale pozostałe koła-opony są mocniej obciążone.
Wymiany wadliwego koła można dokonać chwilę później pod
warunkiem że kierowca będzie jechał „delikatnie”.
Obronę kraju organizuje
się w kilku liniach. Gdy wróg przełamie-uszkodzi pierwszą linie
obrony jest czas na wzmocnienie drugiej linii obrony na przełamanym
odcinku. Stąd zasadnicze znaczenie ma głębia strategiczna systemu
obrony. Per analogia głębokość obrony można tez rozważać w
systemach technicznych.
Wielka obszarowo Rosja
była niemożliwa do podbicia przez armie Napoleona. Tak samo Związek
Radziecki, mimo iż miał beznadziejną obronę, obronił się swoją
głębią strategiczną. Jest wątpliwe aby siły najeźdźcze mogły
kontrolować obszary tak wielkie jak ZSRR, Ameryka Północna czy
Chiny.
Tutaj Fault tolerant,
będzie rozumiane jako uzyskiwanie sygnałów wczesnego ostrzegania o
nadchodzących kłopotach, sygnałów o awarii, zdolności tolerancji
uszkodzeń, obronę przed rozwijającą się awarią i rekonfigurację
systemu sterowania dla okoliczności awaryjnych oraz zapobieżeniu
nieautoryzowanemu użyciu.
Przykłady na budowę
coraz większych obiektów i rosnących wraz z nimi skutków awarii
wskazują na pilną potrzebę uzyskiwania własności Fault tolerant.
Wydaje się że wielką
karierę czeka słowo "inteligentny" na określenie czegoś
co ma jakieś właściwości ponad proste urządzenia i oczywiste
algorytmy. Na dzień dzisiejszy zdolność do postępowania w
sytuacji wiedzy niepełnej i wątpliwej ma tylko inteligentny i
niespanikowany człowiek. Ale człowiek ma ujemną tendencje do
skupienia się na jednym aspekcie sprawy i utraty całościowego
obrazu sprawy.
Do ściśle optymalnego
projektowania niezawodnych systemów z rezerwami stosowane jest
programowanie dynamiczne Bellmana. Matematyka tych problemów jest
dość złożona ale szczęśliwie dostępne są gotowe procedury na
komputery. W "Algorytmy Optymalizacji w języku Algol",
J.Kucharczyk, M.Ścisło, PWN 1977, na stronie 70 znajduje się opis
procedury "reliabilitym". Procedura dotyczy optymalnej
budowy n etapowego systemu szeregowego o maksymalnej niezawodności z
rezerwą równoległą każdego etapu. Każdy etap ma określoną
niezawodność ( określoną prawdopodobieństwami ) a elementy
rezerwowe mają określony koszt. W procedurze użyto idei
programowania dynamicznego i optymalizacji z mnożnikami Lagrangea.
Kolejna procedura wyznacza optymalny ciąg ilości elementów
rezerwowych.
Wydaje się że fizyczna
wielkość obiektów przemysłowych i fizyczne własności różnych
obiektów uległy stabilizacji:
- Budowa cieplnych i
atomowych bloków energetycznych mocy powyżej 1500 MW nastręcza
problemów i nie daje już oczekiwanego efektu skali. Rośnie
częstość awarii i czas ich naprawy a tym samym rosną straty z
niewykonanej produkcji energii.
- Budowa większych
rafinerii i zakładów petrochemicznych jest bezcelowa z uwagi na
wydłużenie linii dostaw surowców i odbioru produktów i koszty z
nimi związanie
- Pojemność
pasażerskiego odrzutowca dalekiego zasięgu Boeing 747 ( w kolejnych
wersjach ) jest w zupełności wystarczająca i nawet przy rosnących
stale przewozach lotniczych większy samolot miałby znikome
zastosowanie
- Szybkość
naddźwiękowego pasażerskiego odrzutowca Concorde jest ekonomicznie
wystarczająca. Samolot dosłownie pożera paliwo a jego serwis jest
drogi. Bilety na niego już są 5-10 razy droższe niż na
konwencjonalny samolot co drastycznie ogranicza popyt. Bardzo
ograniczona jest liczba lotnisk gdzie hałaśliwy Concorde
dopuszczony jest do ruchu. Zastosowane odpowiednie dla lotu
naddźwiękowego skrzydło Delta wymaga dużej prędkości startu i
lądowania. Prędkość startu i lądowania jest dużo większa niż
typowego samolotu ( aż o 70 km/h większa niż Jumbo Jeta Boeing 747
) co czyni te operacje nadzwyczaj niebezpiecznymi. Bardzo mocno
obciążone są przy dużych prędkościach opony kół. Mimo użycia
wymyślnych opon ulegają one uszkodzeniu mimo iż są często
wymieniane a fragmenty opon uszkadzają poszycie a nawet deformują
zbiorniki paliwa w skrzydłach. Prędkość decyzji V1 w istocie
uniemożliwia bezpieczne przerwanie procedury startu. Dla
bezpieczeństwa wymagany byłby bardzo długi pas startowy. Boeing
porzucił swój zaawansowany projekt naddźwiękowego samolotu
pasażerskiego ( który sporo kosztował ) jako nieperspektywiczny i
zupełnie nieekonomiczny. Może w przyszłości gdy będziemy
dysponować lepszymi materiałami projekty naddźwiękowców powrócą.
- Chociaż można
zbudować większe tankowce to dla elastyczności dostaw i
ograniczenia skutków katastrof tego się nie robi
- Prędkość szybkich
kolei TGV i Shinkansen nie będzie znacznie zwiększana ze względów
ekonomicznych ( zużycie trakcji elektrycznej ) i bezpieczeństwa.
Oczywiście będą bite kolejne rekordy prędkości
- Prędkość
naddźwiękowego samolotu szpiegowskiego USA Blackbird SR-71 i
mającego go zwalczać szybkiego samolotu ZSRR MIG-25 nie są już
atutem wobec własności rakiet przeciwlotniczych. Także
naddźwiękowość samolotów bombowych przestaje być atutem. Atutem
będzie niewykrywalność dla radaru.
O ile fizyczny rozwój
obiektów spowolnił to rozwój systemów informacji i sterowania
wyraźnie przyśpieszył. Samochody i samoloty mają coraz więcej
automatyki i elektroniki na pokładzie. Coraz szerzej jest stosowana
automatyka przemysłowa. Systemy elektroniczne przydają samolotom
wojskowym, helikopterom i czołgom atutów bojowych. Stany
Zjednoczone od dekad pracują nad niezawodnym - rozproszonym systemem
automatyzacji wojny. Samoloty, helikoptery i czołgi ( ale nie tylko
one ) są radiowymi linkami komunikacyjnymi dołączone do
obejmującej cały świat niezawodnej komunikacyjnej sieci
komputerowej. Trudno powiedzieć gdzie jest początek i koniec
takiego systemu sieciowego odpornego na zniszczenie. Integracja
siecią cyfrową jest nową jakością na polu walki. Helikopter
wyposażony w rakiety do zwalczania czołgów otrzymał od systemu
wywiadu informacje o wrogim oddziale czołgów. Może na chwile
wznieść się ponad horyzont i po momentalnym odpaleniu do celów
samosterujących rakiet przeciwpancernych obniżyć się i
bezpiecznie się oddalić stając się dla wroga niewidocznym.
N.B. Czołg łatwy do
zwalczenia rakietami przeciwpancernymi piechoty, helikopterów i
samolotów wydaje się bronią nieperspektywiczną w nowoczesnym
konflikcie
z udziałem rozpoznania
lotniczego i wywiadowczych satelitów oraz uzbrojonych satelitów do
niszczenia satelitów obserwacyjnych. Natomiast czołg pozostanie
bronią konfliktów trzecioświatowych.
Dopiero w 1973 roku
opublikowano pierwsze szerokie wyniki badań o zużyciu energii na
przemieszczenie grama ciała zwierząt lub ładunku pojazdami na
kilometr. Pokazany zweryfikowany wykres z 1978 roku opisuje więcej
obiektów. „Ekonomiczne” są w przemieszczaniu się duże
zwierzęta. Poruszający się rowerem człowiek na w miarę równym
terenie zużywa tylko 20% energii wydatkowanej przez piechura. Jest
to bardzo ekonomiczny środek transportu. Pływak zużywa około 20
razy tyle energii co rowerzysta. Człowiek zdecydowanie nie jest
stworzony do pływania. Jednostkowe zużycie energii przez samochód
osobowy z jedną osobą jest większe niż dużego pasażerskiego
odrzutowca. Boeing 747 z kompletem pasażerów zużywa 4 l paliwa na
100 km na pasażera. Bardzo małe jest jednostkowe zużycie energii
na towarowy transport kolejowy a jeszcze mniejsze na wielki
transport morski. To nam wyjaśnia dlaczego opłaci się masowo
surowce wieźć koleją nawet dwa tysiące kilometrów i potężnym
masowcem wieźć węgiel i rudę przez cały ocean ! Taniość
transportu morskiego wyjaśnia nam genezę imperiów morskich.
Zauważmy że obecnie po Wielkiej Brytanii Stany Zjednoczone są
imperium morskim a ZSRR jest imperium lądowym.
Wymagania na
niezawodną pracę systemów są coraz wyższe.
Samolot ma być
jednocześnie lekki i niezawodny. Oczekujemy niezawodności przy
jednoczesnym znacznym obciążeniu elementów samolotu zarówno
statycznym jak i dynamicznym prowadzącym do zmęczenia materiału.
Bardzo wysokim wymaganiom na łopatki turbin silników lotniczych
sprostają dopiero superstopy o niesamowitych własnościach.
Znakomita musi być
współpraca kapitana z pierwszym oficerem i ewentualnie inżynierem
pokładowym oraz kontrolerem na Ziemi. Podział obowiązków musi
zarazem uwzględniać wzajemną kontrolę lotników. Lotnicy muszą
działać bez widoczności, w burzy i w sytuacji sprzyjającej
oblodzeniu. Jeden poważny błąd może wszystkich kosztować życie.
W jednosilnikowym
samolocie myśliwskim awaria systemu sterowania silnikiem kończy się
katapultowaniem pilota ratującego swoje życie i zniszczeniem
samolotu. Awaria systemu satelity czyni go bezużytecznym jeśli nie
zastosowano rozwiązań "Fault tolerant". Odrzutowe
samoloty pasażerskie mają tym więcej silników im większa jest
ich pojemność. Samolot dwusilnikowy musi bezpiecznie dolecieć do
celu lub awaryjnego lotniska na jednym silniku. Jeszcze bardziej
bezpieczne są samoloty trójsilnikowe i wielki czterosilnikowy
Boeing 747. Perspektywy pasażerskiego transportu lotniczego zależą
od poprawy bezpieczeństwa - wydają się bardzo dobre.
Przyrastająca ilość pasażerów zmniejszy koszta operacyjne i ceny
biletów, jeszcze bardziej zwiększając ilość pasażerów.
Wyraźnie widać działające systemowe sprzężenia zwrotne.
W realnym świecie trzeba
stawiać czoła nagle ujawniającym się silnym zakłóceniom,
błędom, niesprawnościom i awariom. W skomplikowanym systemie
zawsze coś może się zepsuć albo pójść nie tak jak powinno. Po
awarii inteligencja operatora zmienia konfiguracje pracującego
systemu na awaryjną. Gdy nie ma rezerwy a popsuł się aktuator
operator radio-telefonem lub telefonem każe aparatowemu w fabryce
przestawić regulowany zawór. Gdy popsuł się sensor aparatowy poda
operatorowi odczyt ze zwykłego miernika temperatury, ciśnienia,
poziomu. Wezwani zostaną do naprawy technicy.
Gdy w dużym samolocie
zepsuł się pół - ster inteligentny pilot mechaniką skrzydeł i
silnikami jest w stanie opanować samolot. Ale gdy za sterami siedzi
mniej inteligentny lub spanikowany pilot wszystkich czeka pewna
śmierć.
Najbardziej niebezpieczne
są starty a zwłaszcza ładowania samolotów. Przy lądowaniu
samolot bez przeciągnięcia zawsze ( zakłócające wiatry i prądy
wznoszące i opadające )musi wpierw dotknąć płyty lotniska
tylnymi kołami. Jeśli wpierw dotnie przednim kołem to odbije się
od płyty lotniska. Opóźnienie wprowadzone przez pilota w pętli
regulacji powoduje ze jest ona niestabilna i sprawia że druga próba
posadzenia maszyny też kończy się dotknięcie przednim kołem i
jeszcze mocniejszym odbiciem i tak aż do uszkodzenia podwozia
samolotu i katastrofy. Toteż piloci po pierwszym odbiciu natychmiast
muszą dać pełną moc silników i poderwać samolot. Po zrobieniu
kółka wokół lotniska pilot powinien poprawnie wylądować.
W realnym świecie
informacje są niepełne i nie do końca wiarygodne. W takim właśnie
świecie żyjemy. Sens ma czasem posługiwanie się
prawdopodobieństwem a nie terminami binarnymi 0/1.
Podczas ciężkiej -
masywnej awarii operator jest wprost zasypywany lawiną alarmów ale
dopiero z ich analizy wynika co naprawdę się stało. Gdy uległa
uszkodzeniu wiązka przewodów to operator dostaje alarmy o
niedziałaniu podłączonych wiązką urządzeń. Ale przecież
urządzenia są sprawne a uszkodzona jest wiązka kabli.
Kompilator języka
programowania skutkiem jednego błędu w tekście programu podaje nam
serie bełkotliwych komunikatów o rzekomo "wykrytych"
błędach. Analizujemy z reguły tylko pierwszy komunikat i po chwili
stwierdzamy na przykład brak średnika ";" albo użycie
niezadeklarowanej zmiennej lub błąd w jej nazwie.
W minionej erze
komputerów uważano że programista winien dostać przy próbie
kompilacji jak najwięcej informacji o "błędach" i
próbowano bez powodzenia stosować zasadę "no panic". Ale
obecnie na komputerze PC kompilacja sprowadza się do naciśnięcia
klawisza i dla efektywnej pracy programisty kompilator powinien
dokładnie pokazać gdzie jest błąd i na czym on polega ! Już na
etapie pisania tekstu edytor z wbudowanym checkerem winien w językach
strukturalnych na żądanie pokazywać co może być nie tak.
Oczekujemy choćby
minimum "inteligencji" i pomocy.
Wszystkie produkty
wytworzone przez człowieka są nietrwałe i zawodne co wprost wynika
z praw fizyki i chemii.
- Zmęczenie materiału
powoduje rozwijające się mikro-pękanie materiału pod wpływem
cyklicznych naprężeń. Im większe jest obciążenie dynamiczne tym
większe prawdopodobieństwo rozwinięcia się mikropęknięć w
częściach maszyn. Ale mikropęknięcia powstają także w
miedzianych ścieżkach płytek drukowanych PCB. Przebieg stanów
nieustalonych w turbinie scharakteryzowany naprężeniami w
grubościennych elementach wywołanymi zmianami temperatur oraz
ciśnień pozwala ustalić extra zużycie eksploatacyjne turbiny
energetycznej.
- W metalach
nieszlachetnych występuje korozja mechanizmem elektrochemicznym i
chemicznym. Metale nieubłaganie wracają do stanu stabilnego w
rudach metali z których metale wytworzono. Korozja kosztuje każdego
Ziemianina ponad 300 dolarów rocznie a w państwach rozwiniętych
oczywiście znacznie więcej. Korozja jest szczególnie dużym
problemem krajów RWPG zżerającym około 7-10% dochodu narodowego.
Ochrona przed korozją jest bardzo ważna i opłacalna. Osłabione
konstrukcje maszyn, mostów, rurociągów i budynków ulegają
uszkodzeniu. Często przedwcześnie kasuje się skorodowane samochody
z całkiem sprawnym układem mechanicznym. Korozje przyśpieszają
tlenki siarki i azotu pochodzące że spalania paliw kopalnych.
Agresywne bywają opary, pyły i kurz. Uciążliwe są tak zwane
powstające z czasem "zimne luty" na płytkach drukowanych.
- Plastiki tracą
wytrzymałość pod wpływem temperatury, promieniowaniu
ultrafioletowego UV, smarów i w środowisku agresywnym. Przykładowo
izolacja przewodu elektrycznego robi się krucha i pęka pod wpływem
drgań wskutek czego dochodzi do zwarcia. Pod wpływem wilgoci i wody
zmniejsza się rezystancja izolacji przewodów.
Zatem najważniejsza jest
fizyka i chemia !
Krzywa niezawodności
elementów czy urządzeń ma z reguły typowy kształt.
- W krótkim początkowym
okresie niemowlęcym słabsze lub wadliwie wykonane elementy dość
szybko ulegają uszkodzeniu a niezawodność stopniowo wzrasta
- W okresie normalnej
eksploatacji prawdopodobieństwo uszkodzenia elementu lub urządzenia
jest cały czas takie samo
- W kolejnym okresie
zużycia lub zmian starzeniowych intensywność uszkodzeń narasta.
Sprawę niezawodności
dobrze pokazuje przykład żarówki. Żarówka która miała wady
produkcyjne jak nieszczelność bańki prowadząca do utlenienia
włókna, wadliwe zamocowanie włókna, przewężenia lub zgrubienia
włókna, prowadzą do szybkiego uszkodzenia żarówki. Następnie w
okresie normalnej eksploatacji włókno powoli, stopniowo odparowuje
i staje się cieńsze. W końcu w okresie zużycia cieńkie włókno
z reguły podczas włączania, gdy płynie przez nie duży prąd,
ulega przerwaniu.
Inżynieria niezawodności
narodziła się w USA w czasie II Wojny Światowej i tuż po niej
chociaż zasady Statistical Process Control opracowano w Bell
Laboratories już w latach dwudziestych. Ponieważ automatyczne
centrale telefoniczne miały ogromną ilość elementów sprawa
niezawodności ( Bell był własnością AT&T ) stała się
krytyczna i stąd ( Potrzeba jest matką wynalazków ) SPC.
W SPC stałe prowadzone
są karty kontrolne procesów. Mają one ułatwić obiektywną ocenę,
czy dany proces podlega swojej normalnej zmienności lub może
zaczyna zachowywać się "niestandardowo" co wymaga
znalezienia przyczyn i ich usunięcia. Ta metoda zarządzania
jakością nie jest szczególnie skuteczna ale w przemyśle
samochodowym zastosowano ją już w latach trzydziestych.
Stany Zjednoczone dla
minimalizacji ilości swoich ofiar ( zaledwie 403 tysiące zabitych i
zaginionych wobec 27.5 mln ofiar ZSRR ) prowadziły przeciw III
Rzeszy i Cesarstwu Japonii wojnę powietrzną. Ogromnego znaczenia
nabrały opracowane radary, systemy radarowe i kierowane nimi
serwomechanizmy armat przeciwlotniczych, systemy łączności i
nawigacji. Systemy elektroniczne zbudowane były na bardzo zawodnych
lampach elektronowych. Chociaż już przed wojną opracowano w USA
"niezawodne", długożywotne lampy elektronowe do systemów
telefonii nośnej to nadal były one jednak zawodne. Armia, marynarka
i lotnictwo zgłaszały pretensje do zawodności sprzętu i jego
szybkiego zużycia. W 1948 roku stowarzyszenie IEEE utworzyło
Reliability Society. Wkrótce Ministerstwo Obrony USA wytyczyło
kierunki prac nad niezawodnością:
- Poprawa niezawodności
elementów
- Ustalenie wymagań
jakościowych i niezawodnościowych dla dostawców
- Zbieranie i
opracowywanie danych o awariach celem znalezienia podstawowych
uszkodzeń i ich przyczyn.
Później akcent
przesuwano w stronę testów niezawodności i poziomu / aspektu
systemowego niezawodności.
Także koncerny wniosły
poważny wkład publikując dane o niezawodności pozwalające
przewidzieć niezawodność elementów elektronicznych. Inżynieria
niezawodności to obecnie ponad 20 obszarów badań i zastosowań.
Obecnie łatwo można na
podstawie stworzonego modelu wyliczyć programem komputerowym
niezawodność urządzenia. Analiza drzewa błędów ( Fault tree
analysis ) pozwala przewidzieć skutki uszkodzeń i ich propagacje w
urządzeniu i systemie.
Największym problemem w
niezawodności jest Człowiek. Popełnia on błędy w planowaniu,
kierowaniu firmą i zespołami ludzkimi, założeniach, obliczeniach,
projektowaniu, produkcji, kontroli jakości, serwisowaniu i
przekazywaniu danych o wadach.
Elementem każdego
złożonego systemu są też omylni i zawodni ludzie !
Jeśli coś złego może
się zdarzyć to napewno się zdarzy. Pesymista to jak wiadomo dobrze
poinformowany optymista.
Stary governor silnika
parowego Watta to w istocie regulator P. Zanim zastosowano
sformalizowane nazwy regulator PI czy PID były to najczęściej
"governory". Do dziś używane są nazwy governor silnika
Diesla czy governor turbiny.
W 1922 roku Rosyjsko -
Amerykański inżynier Nicolas Minorsky projektował automatyczne
sterowanie statków dla US Navy obserwując zachowanie sternika celem
jego przeanalizowania i skopiowania lub udoskonalenia. Minorsky na
wzór zachowania sternika sformalizował akcje kontrolerów jako P,
PI i PID. Próby przeprowadzone na statku USS New Mexico pokazały
że automatyczny regulator PI daje dokładność prędkości kątowej
rzędu ±2° a regulator PID ±1/6°, czyli znacznie lepszą niż
sternik.
Projektując złożony
system automatyki można rozpocząć od obserwacji i badania
zachowania ludzkiego kontrolera.
Optymalnie nastrojony
regulator PI lub PID z większością obiektów regulacji daje
przyzwoite rezultaty i są one lepsze od rezultatów osiąganych
przez człowieka. Ale zwykły regulator PI czy PID nie jest
samonastrajający się lub adaptacyjny i bez właściwej nastawy
parametrów daje gorsze / nieakceptowalne rezultaty regulacji niż
człowiek. Człowiek ma inteligencje i się "samonastroi"
na podstawie obserwacji zachowania obiektu.
Generalnie w każdej
sytuacji którą jesteśmy w stanie wcześniej rozebrać na detale
pierwsze i przeanalizować, sporządzony system automatyczny jest
nieporównanie lepszy od człowieka. Tylko że nie wszystko da się z
góry przewidzieć a wtedy człowiek ze swoją analityczną
inteligencją jest niezastąpiony.
Gdy autopilot prowadzący
samolot na podstawie zadanego kursu z ręcznego zadajnika lub
komputera trasy stwierdzi że nie daje sobie rady ( za duże są
sygnały błędów w pętlach regulacji lub nasycone są wyjścia )
włącza ostrzeżenie i pilot musi przejąć sterowanie samolotem.
Regulatory autopilota są nastawione tak że prowadzi on samolot
bardzo gładko i komfortowo, znacznie lepiej niż potrafi to czynić
pilot. Najczęściej nic nie uległo uszkodzeniu a tylko pogoda jest
fatalna. Pilot który przejmie sterowanie od autopilota najczęściej
sprawuje się gorzej niż autopilot ale korzystając z radaru
pogodowego po ewentualnej rozmowie z naziemnym kontrolerem zmieni
trasę lotu aby ominąć burze lub obszar silnych turbulencji ! Póki
co nie można jeszcze sieciom komputerów zezwolić na podjęcie
decyzji o zmianie trasy aczkolwiek w przyszłości zintegrowany
linkami komunikacyjnymi system naziemno - powietrzny taką decyzje
może momentalnie wypracować. Obecnie pilot musi w rozmowie z
naziemnym kontrolerem uzyskać zgodę na zmianę trasy. Gdyby
istniało choćby minimalne zagrożenie kolizją z innym samolotem
kontroler absolutnie zgody nie wyda.
Wyrażone w pieniądzu
skutki awarii mogą być poważne i chcemy ograniczyć ich koszty.
Stosujemy architekturę systemu tolerującego uszkodzenia oraz
składniki - urządzenia o adekwatnej niezawodności.
Bardzo przydatne są w
profilaktyce wszelkie sygnały wczesnego ostrzegania a także
monitoring i system alarmowy. Narastające wibracje maszyny czy
spadająca oporność izolacji pozwolą podjąć działania zaradcze
nim zdarzy się kosztowna awaria.
Poważne są skutki
awarii - wypadków w systemach transportowych: statki, lokomotywy i
pociągi oraz systemy sterowania ich ruchem, samoloty i rakiety. Temu
wybranemu obszarowi poświęcimy również uwagę.
Im większe statki,
mocniejsze lokomotywy, większe samoloty pasażerskie i większy ruch
lotniczy - tym potencjalnie większe skutki awarii.
Często znany jest ogólny
scenariusz rozwoju awarii. Prąd zwarcia powinien być rozłączony w
uszkodzonym urządzeniu domowym lub jeśli zawiodła ta ochrona
bezpiecznikami w mieszkaniu. Ale także mocniejsze bezpieczniki
chronią wszystkie mieszkania w klatce schodowej. I tak dalej.
Jeśli jednak wybuchnie
pożar to infrastruktura ( hydranty, drożne drogi, straż pożarna )
winna pomóc go szybko ugasić.
Ograniczające propagacje
awarii bezpieczniki użyte są też w samochodzie i samolocie.
Na początku lat
sześćdziesiątych Bell Laboratories przeprowadził badania
niezawodności elementów elektronicznych podczas prac nad centralami
systemu ESS1. Wiadomo mniej więcej jak wygląda niezawodność
elementów elektronicznych.
Sygnałowe diody,
tranzystory, rezystory i kondensatory są długożywotne pod
warunkiem że nie są za mocno obciążane. Żywotność
półprzewodników spada dwukrotnie przy podwyższeniu temperatury o
7C ale dopiero powyżej temperatury 35C. Znacznie bardziej zawodne są
elementy mocy. Zabójcza dla niezawodności jest wilgoć.
Gorące elementy
elektroniczne powodują przebarwienie materiału płytki drukowanej a
później jej uszkodzenie.
Duża elektroniczna
centrala telefoniczna mająca ogromną ilość elementów
elektronicznych musi pracować nawet po uszkodzeniu elementu i
modułu. Bezpieczniki izolują propagacje zakłócenia przez
zasilanie. Natomiast Busy do komunikacji z komputerem sterującym
mogą być zorganizowane z buforami w postaci drzewiastej co bardzo
ogranicza propagację zakłócenia w komunikacji z peryferiami. W
rezultacie przez czas do wymiany uszkodzonego modułu nie jest
obsługiwana tylko garstka abonentów centrali telefonicznej.
Wszystkie używane
sensory, przyrządy, maszyny i urządzenia oraz ich połączenia są
zawodne. Na zawodność mają wpływ warunki środowiskowe i sposób
użytkowania a zwłaszcza przeciążenia.
Gdy wymagania na
niezawodność systemu są bardzo wysokie stosowane są systemy
redundantne. Pojedyncze uszkodzenie w grupie funkcjonalnej nie
powinno mocno lub wcale zaburzać pracy systemu. Operator zostanie
alarmem powiadomiony o awarii i automatycznej zmianie konfiguracji i
musi alarm potwierdzić i zlecić naprawę. Alarm mimo iż
potwierdzony jest aktywny.
We wszystkich systemach
bardzo pożądane są własności diagnostyczne bowiem szybka
diagnoza radykalnie zmniejsza czas diagnozy i naprawy uszkodzenia
oraz redukuje powstające szkody.
Szerokim tematem jest
niezawodność dostaw energii elektrycznej do różnych odbiorców.
Brak jest wiarygodnych danych statystycznych na ten temat z Polski.
Tak zwane planowe wyłączenia prądu wynikające z braku mocy
wytwórczych generalnie mają miejsce tylko w krajach III Świata.
Według danych krajów zachodnich są rejony gdzie przerw w dostawie
energii elektrycznej nie ma całymi latami ale w górskich wioskach
przerwy w dostawach są całkiem częste co jest zupełnie
zrozumiałe.
Wraz z popularyzacją
komputerów PC pojawił się problem przerw w dostawie energii.
Stworzony przez IBM komputer PC nie ma wbudowanych żadnych
mechanizmów sprzętowych i programowych pozwalających minimalizować
szkody przy zaniku zasilania co wynika z prostego faktu niezawodności
zasilania w krajach zachodnich. Tam gdzie przerwy w zasilaniu są
częste należy stosować urządzenie UPS. Przy cenie komputera
PC-AT rzędu 1000 dolarów amerykańskich ( przestarzały PC XT od
500 dolarów, tanie są schyłkowe ośmiobitowe komputery z systemem
CP/M ) urządzenie UPS kosztuje 200-500 dolarów a więc jest bardzo
drogie. Podczas zwarć w sieci występują trwające mniej niż 20ms
( okres napięcia sieciowego 50 Hz ) obniżenia napięć. Czas
tolerancji zasilacza na brak napięcia można powiększyć
powiększając pojemność kondensatora elektrolitycznego prostownika
sieciowego ale normatywny czas 20 ms jest w sprawnych instalacjach i
systemach wystarczający. Zasilacz z większym kondensatorem byłby
droższy i odrobinę cięższy. W starych komputerach CDC stosowano
jako źródło napięcia stałego prądnice napędzaną
przewymiarowanym silnikiem asynchronicznym z dodatkowym kołem
zamachowym. Komputer mógł pracować przy braku fazy i dobrze znosił
zakłócenia w sieci energetycznej.
Zasilacz komputera po
zaniku zasilania powinien jeszcze przez co najmniej 20 ms ( czyli
okres napięcia zasilania wystarczający do rozłączenia zwarcia )
dawać zasilanie. Po detekcji braku napięcia sieciowego zasilacz
mógłby dawać procesorowi wysokiego priorytetu przerwanie a system
operacyjny mógłby przez 20 ms samodzielnie zapisywać krytyczne
informacje lub we współpracy z programem użytkownika zapisywać
pożądane informacje. Komputer działa także przy napięciu
zasilania mniejszym od 5V i czas można by jeszcze wydłużyć.
Celowość zastosowania urządzenia zasilania bezprzerwowego UPS
wynika z ilorazu potencjalnej wartości szkody i częstości jej
występowania do ceny godziny pracy personelu na jej usunięcie. W
wypadku stosowania komputera PC w kadrach, magazynie, księgowości i
finansach ewentualne niedokończone transakcje można łatwo
naprawić niewielkim nakładem pracy. Programista gro czasu spędza
na wymyślenie i przetestowaniu algorytmów. Powinien często
zapisywać tworzone teksty źródłowe. Nawet jeśli awaria spowoduje
utratę pisanego tekstu to jego odtworzenie nie jest specjalnie
trudne. Na zachodzie komputery używane są jako serwery bankowe i w
tym wypadku stosowanie urządzeń UPS jest konieczne. Pracujący z
systemem automatyki komputer SCADA dane operacyjne pozyskuje tylko ze
współpracujących z nim sterowników PLC. Awaria komputera SCADA
nie jest groźna dla systemu jeśli tylko sterowniki PLC mają
zasilanie. Sterowniki PLC przy zaniku zasilania winny zapisać stan
zmiennych do pamięci nieulotnej i przywrócić go po pojawieniu się
zasilania.
Na niezawodność
zasilania energią elektryczną składa się niezawodność
elektrowni, linii przesyłowych i dystrybucyjnych oraz niezawodność
transformatorów i wyłączników oraz innych urządzeń. Starzejące
się wypracowane urządzenia stają się zawodne. Niemniej w USA
pracują jeszcze transformatory sieciowe mające ponad 50 lat.
Oczywiście im sprzęt jest gorszej jakości, starszy i bardziej
wypracowany tym niższa jest jego niezawodność. Poważnym problemem
w Polsce jest ochrona przeciw wyładowaniom atmosferycznym. Niestety
jakość polskich odgromników zaworowych jest niska i wymaga
radykalnej poprawy. Poprawę może dać zastosowanie energetycznych
warystorów MOV z ZnO. Są one bardzo nieliniowe i nie wymagają
stosowania iskrownika.
Stan instalacji
elektrycznej u odbiorców również odpowiada za przerwy w dostawach
energii. Bezpieczniki zawsze powinny działać w układzie
hierarchicznym. Po uszkodzeniu odbiornika prądu w mieszkaniu winien
zadziałać tylko bezpiecznik u jednego lokatora a nie bezpieczniki
chroniące instalacje całej klatki schodowej lub tak zwanych pionów.
Proste bezpieczniki niestety nie ograniczają prądu zwarcia.
Unowocześnienie produkcji bezpieczników nie jest ani trudne ani
zbyt kosztowne. Zespolona mieszkaniowa skrzynka bezpiecznikowa to co
najmniej niezależne obwody - oświetlenie, gniazdka, pralka
automatyczna.
W czasach pokojowych
elektrownie współpracują z zamkniętym energetycznym systemem
przesyłowym państwa. System państwa może być dla importu -
eksportu energii połączony z sąsiednimi systemami państw.
Centralna dyspozycja mocy przydziela zadania generacji mocy
poszczególnym blokom i elektrowniom uwzględniając predykowane
potrzeby odbiorców i zadeklarowane remonty i czynniki ekonomiczne. W
czasie wojny uszkodzona zostanie infrastruktura przesyłowa i
elektrownie muszą - mogą wówczas pracować samodzielnie - wyspowo
będąc częścią ocalałego systemu przesyłowego i dystrybucyjnego
połączone z grupami odbiorców. Aby taka "wojenna" praca
była możliwa bloki muszą mieć możliwość rozruchu i rozpoczęcia
pracy bez zasilania z zewnątrz. Obecnie bloki polskich elektrowni
nie mają takiej możliwości i są nieprzygotowane na ciężkie
czasy. Blok musi mieć co najmniej rezerwowy agregat Diesla. Inną
sprawą jest praca samodzielna i załączenie tylko tylu odbiorców
ile blok / bloki są w stanie zasilić.
Trudnym ale wykonywalnym
zadaniem byłoby w momencie uszkodzenia danej linii przesyłowej lub
ciężkiej linii dystrybucyjnej 110 KV szybkie zrekonfigurowanie
sieci aby blok / bloki nie przerywały pracy i nie były odstawiane.
Awaryjnym źródłem energii dla uruchamiania elektrowni cieplnych
mogę być dyspozycyjne elektrownie wodne także szczytowo - pompowe.
Generalnie zachodzą
zwarcia między trójfazowymi liniami lub zwarcia jednofazowe między
linią fazy a przewodem neutralnym N lub zwarcia izolacji do "ziemi"
czyli przewodu ochronnego PE. W przypadku przebicia izolacji silnika
domowej pralki do "żelaza" prąd zwarcia płynie przewodem
fazy i przewodem ochronnym a nie przewodem N. Stan instalacji w
domach komunalnych jest opłakany i wybuchające zimą pożary przy
korzystaniu z grzejników elektrycznych są stanem oczekiwanym.
Przerwy w zasilaniu
powodują zakłócenie przebiegu przemysłowego procesu
technologicznego. Straty są tym większe im dłuższa jest przerwa w
dostawie energii.
Zawsze pożądane są
racjonalne decyzje inwestycyjne. Sensowne decyzje można podjąć
tylko dysponując prawdziwymi i realnymi danymi a nie danymi
zakłóconymi i systemowo zmanipulowanymi. Wymiana starego
wysokostratnego transformatora energetycznego na nowy - lepszy da
narastające oszczędności niemarnowanej energii i zwiększy
niezawodność zasilania. Wszakże gdy bardzo wysoko dotowane jest
górnictwo i energetyka zaniżone ceny energii są oderwane od
rzeczywistości gospodarczej co rzutuje na niemożliwość podjęcia
optymalnych decyzji alokacyjnych.
Przewody i złącza
elektryczne mają duży udział w awariach wszelkiego rodzaju
przedmiotów i obiektów - przemysłowych, infrastrukturalnych,
militarnych, latających i pływających.
Uszkodzenia polegają na
przerwaniu ciągłości żył, zwarciu między żyłami lub przy
uszkodzeniu izolacji zwarciu do metalu podłoża do którego
zamocowany jest przewód. Śniedzieją styki złącz. Ulegają
uszkodzeniu złącza i połączenia przewodów że złączami. Na
niezawodność okablowania mają wpływ błędy konstrukcyjne i wady
materiału, zła jakość montażu, wysoka temperatura pracy, klimat
a zwłaszcza wilgoć ( spadek oporności izolacji do 1000 razy ),
nadmierne obciążenie sieci, naprężenia i drgania, agresywne
chemicznie lub zanieczyszczone środowisko, gryzonie, owady i pleśń.
Długość przewodów
elektrycznych w domu jednorodzinnym wynosi 150-1000 metrów. Termin
dom jednorodzinny jest bardzo pojemny. Długość przewodów zależy
od wielkości domu i stopnia skomplikowania jego instalacji. Ryzyko
porażenia mieszkańców domu zmniejsza wyłącznik różnicowoprądowy
o czułości działania 20-30 mA.
Duży specjalistyczny
statek morski może mieć skomplikowaną instalację o długości
przewodów 200 km.
Różna jest długość
przewodów w wiązkach przewodów elektrycznych w samochodzie - od
prostych do luksusowych.
Długość przewodów
elektrycznych w przeciętnym samolocie bojowym wynosi 5-15 km. W
dużym samolocie transportowym długość przewodów elektrycznych
może wynosić ponad 200 km. Samolot pasażerski Jumbo Jet Boeing 747
ma przewody o łącznej długości około 300 km.
Im grubsze / pojemniejsze
są wiązki przewodów i im bardziej wbudowane są w konstrukcje
obiektu, o trudnym dostępie, tym trudniejsza jest ich wymiana i
naprawa.
Naprawa uszkodzenia
przewodów jest czasochłonna. Naprawa może zająć 10-20 razy
więcej czasu niż wymiana uszkodzonego urządzenia elektrycznego /
elektronicznego czy wymiana wsuwanego do obudowy modułu ( naprawa
modulu to osobna sprawa ) w nim. Potrzebna jest umiejętność
wyszukiwania miejsc uszkodzeń i odpowiedni sprzęt diagnostyczny.
Na każdym kolejnym
etapie produkcji a później serwisu sprzedanego urządzenia koszt
usunięcia wady rośnie co najmniej 10 krotnie.
Wiązki przewodów do
samochodu PF126 są proste ale już wiązki do luksusowych samochodów
BMW i Mercedes są dość skomplikowane. Wiązki przewodów do
kokpitu i pulpitów technicznych w samolocie są skomplikowane. Także
wiązki w szafach z zaawansowanymi urządzeniami automatyki są
skomplikowane. W schematach ideowych testerów pokazano tylko dwa
"wtyki" ( jako grupy wtyków) wiązki przewodów ale
zaaranżowanych w dwie grupy fizycznych wtyków może być dużo.
Temat testowania wiązek
przewodów ( przewody na końcach mają wtyki ) potraktujemy razem z
testowaniem nowych obwodów drukowanych PCB. Przy pomocy łóżka
testowego że szpilkami ( Jig Test Bed) łączymy ścieżki PCB w
"przewody". Każdy "przewód" niech ma początek
i koniec które dołączamy do systemu testowego tak jak wiązkę
przewodów. Prostą PCB możemy połączyć w kilka "przewodów"
zaś dużą i skomplikowana PCB w kilkadziesiąt "przewodów".
Wymyślony sposób połączenia ścieżek w "przewody"
decyduje o "szczelności" i jakości testu. Jeśli
szczelność jednego testu jest niewystarczająca to przeprowadzamy
dwa testy z różnymi aranżacjami ścieżek w kontrolowane obwody. W
przypadku wielowarstwowych płytek PCB użyteczne może być wstępne
prześwietlenie wadliwej PCB urządzeniem Roentgena.
Podczas długotrwałego
testu zmęczeniowego wiązek kabli cały czas monitorujemy stan
przewodzenia i izolacji wszystkich przewodów. Musimy wyłapać nawet
najkrótszy incydent. Skutki zużycia przewodów mogą być fatalne.
Generalnie wspólne prowadzenie przewodów sygnałowych i przewodów
mocy jest zabronione ale zawsze zdarzają się przeoczenia w czasie
wykonywania złożonej instalacji elektrycznej. Przewody sygnałowe
i mocy winny mieć metalowe ekrany i być osobno prowadzone co
wykluczy możliwość przebicia między przewodami sygnałowymi a
przewodami mocy.
W instalacji wielkiego
pasażerskiego Jumbo Jeta Boeing 747 użyto w instalacji mocy
napięcia aż 350Vac ( w typowych jednostkach używane jest napięcie
jednofazowe do 115Vac a trójfazowo 200Vac, 400Hz oraz napięcie
24/28Vdc ) co wynika z sumarycznie dużej mocy 200KW zainstalowanych
odbiorników. Samolot Boeing 747 ma cztery generatory mocy 100KVA
każdy. Łatwo można sobie wyobrazić co się stanie jeśli skutkiem
zużycia przewodów napięcie 200V lub 350V dostanie się do
przewodów sensorów a w najgorszym razie do linii sensorów poziomu
paliwa w zbiornikach ! Oprócz fatalnego zakłócenia sterowania
samolotu może nastąpić potężny wybuch paliwa. Podczas testu
zmęczeniowego wiązek kabli może być stosowane podwyższone
napięcie i duży prąd co komplikuje układ testera. Do
długotrwałego testu można też użyć substancji "korozyjnych"
występujących w miejscu pracy choć czas akcelerowanego testu jest
nieadekwatny do wieloletniego czasu pracy.
Każdy silnik odrzutowy
samolotu napędza "swój" generator synchroniczny. Ponieważ
szybkość pracy silnika jest zmienna moc silnika jest do generatora
transmitowana regulowaną przekładnią hydrokinetyczna tak aby
generator ( przykładowo cztery pary biegunów ) pracował że stałą
prędkością na przykład 6000 obrotów na minutę co daje
„lotniczą” częstotliwość prądu 400 Hz. Generatory nie
pracują synchronicznie i nie są synchronizowane bowiem jest to
niewykonalne. Przed dołączeniem do określonej podsieci generatora
trzeba się upewnić czy odłączony został inny generator bowiem
doszłoby do zwarcia obu generatorów co może mieć fatalne skutki,
łącznie z utratą zasilania i pożarem generatorów.
Chłodzenie generatorów
pracujących z częstotliwością 400 Hz jest całkiem sprawne i są
one względnie lekkie.
W pasażerskich
samolotach odrzutowych pompy paliwa zasilające silniki mają napęd
elektryczny. Gdy silniki są wyłączone do zainicjowania rozruchu
służy energia elektryczna z akumulatora 24V NiCd o małej oporności
wewnętrznej i dużym prądzie zwarcia. Podczas lotu silniki nie
powinny zgasnąć ale na przykład przy ekstremalnie dużej
zawartości wody w powietrzu przy ciężkiej burzy to się jednak
zdarza. Po pewnym czasie ( samolot ma dosyć dużą tak zwana dobroć
aerodynamiczną i dość długo może lecieć bez napędu o ile był
na dużej wysokości i ma zakumulowaną dużą energię potencjalną
i kinetyczna ) trzeba przeprowadzić rozruch silnika energią z
akumulatora. Zwykły wskaźnik napięcia akumulatora jest dalece
niewystarczający do diagnozy stanu akumulatora. Na przykład zwarcie
jednej celi da mylne trwałe obniżenie napięcia. Jeśli akumulator
będzie za słaby to nie zajdzie ciężki rozruch silnika i dojdzie
do katastrofy. W najlepszym razie zniszczeniu ulegnie tylko kosztowny
samolot. Obsługa naziemna powinna okresowo sprawdzać stan
akumulatorów pod dużym obciążeniem. Także komputer rejestrujący
przebieg napięcia na akumulatorze w czasie rozruchu może
diagnozować stan akumulatora pod dużym obciążeniem. Małe i
lekkie pokładowe urządzenie testowe może przed każdym lotem na
chwile załączyć silnym tranzystorem Mosfet ( lub kilka
tranzystorów połączonych równolegle ) rezystor dużego obciążenia
i zarejestrować stan akumulatora. Aby urządzenie samo nie stało
się powodem problemów lub pożaru przy uszkodzeniu Mosfeta mocy
jest ono odłączone od instalacji akumulatora przez bezpiecznik
zwłoczny.
Nie należy zapominać o
tym że w niektórych akumulatorach NiCad występuje "efekt
pamięci" polegający na tym że jeśli nie rozładujemy
akumulatora do końca to ma on po ładowaniu coraz to mniejsza
pojemność. Tak więc system testowy winien od czasu do czasu
całkowicie rozładować akumulator ( ale tylko typ akumulatora z
efektem pamięci ) mierząc przy tym jego pojemność. Samolot może
jednak podjąć pracę tylko z całkowicie naładowanym akumulatorem.
Tam więc system winien być automatycznie uruchomiony przez komputer
w odpowiednim momencie harmonogramu pracy samolotu i zapobiec
aktywacją alarmu naziemnej próbie uruchomienia silników podczas
ładowania i przy słabych akumulatorach.
Systemy monitoringu i
alarmów w samolotach są niedoskonałe i to w takim stopniu że
piloci zirytowani zbędnymi ostrzeżeniami czy alarmami potrafią
wyłączyć bezpieczniki w zasilaniu systemów aby uciszyć alarmy !
Gdy w końcu sytuacja jest krytyczna brak jest alarmu !
Jakie
mogą być wyrażone w pieniądzu, konsekwencje uszkodzenia sensorów,
aktuatorów, sprzętu i
maszyn elektrycznych oraz
ich okablowania:
- Dawniej pożary bez
litości niszczyły miasta.
NB. Proces urbanizacji w
Polsce uległ wyhamowaniu i nie jest należycie zakończony.
Gdy rozpoczęła się
burza ogniowa los miasta był przesądzony. Obecnie przyczyną
większości pożarów w miastach są niesprawne urządzenia i
instalacje elektryczne. Częstą przyczyną wybuchu i pożaru jest
ulatnianie się gazu z zaniedbanej instalacji. Plagą jest nielegalny
i niebezpieczny pobór energii elektrycznej i gazu. Pożar prowadzi
do dużych strat materialnych i śmierci ludzi. Toteż stosowane są
czujki pożarowe i systemy alarmowe aby jak najszybciej rozpocząć
izolowanie i gaszenie pożaru. Płoną wielkie biurowce i szpitale.
Płoną stacje metra, teatry, kina, kluby, kościoły i kompleksy
handlowe. Przygotowana jest infrastruktura do gaszenia pożarów:
baseny przeciwpożarowe z wodą, hydranty a także jednostki
pożarnicze że specjalistycznymi samochodami. Pożary wybuchają na
statkach morskich i samolotach. Skutki są zawsze tragiczne i
kosztowne. Płoną także samochody osobowe i ciężarowe, zwłaszcza
cysterny. Płona pociągi. Szczególnie tragiczny jest pożar pociągu
w tunelu. Płonie i wybucha w kopalniach węgla kamiennego metan i
pył węglowy. Ale kopalnie płona też po zwarciach w instalacji
elektrycznej i po zaprószeniu ognia. Płoną zakłady przemysłowe i
wielkie zbiorniki z ropą naftową. Płoną kosztowne morskie
platformy wiertnicze. Płoną uszkodzone rurociągi z ropą naftową
i gazem ziemnym. W czasie upałów od zaprószonego ognia płoną
tysiące a nawet setki tysięcy hektarów lasu. Płonie busz.
- Skutkiem wypadku
wielkiego zbiornikowca przewożącego ropę naftową jest gigantyczne
skażenie środowiska połączone z koniecznością wieloletniej
kosztownej restytucji stanu środowiska oraz utratą statku i ładunku
a czasem śmierć załogi statku.
Statek może wejść na
mieliznę lub skały skutkiem awarii systemu nawigacyjnego, błędu
ludzkiego lub utraty napędu. Zaniedbane przerdzewiałe statki mogą
stracić część ładunku na skutek uszkodzeń kadłuba. Przy
pustych ładowniach bez napełnienia ich "inert gazem"
opary ropy naftowej mogą wybuchnąć. Inert Gas na tankowcu to po
prostu spaliny z silnika Diesla przepuszczone przez arrester iskier i
chłodnice. Spaliny winny zawierać mniej niż objętościowo 5%
tlenu co uniemożliwi zapłon par w zbiornikach z transportowaną
ropą naftowa.
Wreszcie w rejonie
działań wojennych statki przewożące bezcenne zaopatrzenie dla
wojujących stron mogą się stać celem ataku wroga lub celem
sabotażu.
-
Skutkiem awarii i wypadku lotniczego oraz śmierci pasażerów i
załogi jest konieczność wypłaty przez ubezpieczyciela (musi
liniom podnieść
stawki ubezpieczenia co podniesie w końcu ceny biletów ) rodzinom
odszkodowań oraz bezpowrotna utrata ludzi wytwarzających dochód
narodowy w systemie gospodarczym. Żal po stracie bliskich jest
trudny do wyceny. Stracony jest też kosztowny samolot. W systemach
samolotów ( także statków morskich) szeroko stosowana jest
redundancja pełna i niepełna.
Częstym
powodem katastrof lotniczych są błędy ludzi. Samolot ma dwóch
pilotów ( ale w kokpicie są 2-4 osoby) po to aby jeden widząc
błędy drugiego przejął prowadzenie maszyny lub zwrócił uwagę
na błędy kapitanowi. System ludzki ma być rzekomo redundantny ale
nie jest głównie dlatego że drugi pilot krępuje się wystąpienia
przeciwko autorytetowi kapitana. Nierzadko zdarza się utrata
orientacji przestrzennej przez pilota ( człowiek nie wie w jakim
położeniu jest, zwłaszcza w ciemnej nocy i przy bardzo złej
pogodzie lub w chmurach ) i uleganie złudzeniom
optycznym. Mózg ( niczym filtr Kalmana ) scala informacje z sensorów
grawitacyjnych w uszach z informacjami optycznymi a przy ich braku
ulega stopniowej dezorientacji. Możliwe że przy wzroście mocy
obliczeniowej mikroprocesorów i poprawie niezawodności systemów
lepiej samoloty będą prowadzić
automaty a nie ludzie.
W
pocisku samosterującym filtr Kalmana scala informacje z żyroskopu
( sterowanie bezwładnościowe ), odbiornika satelitarnego i
informacje z radaru i kamery
porównane z informacją o terenie zapisaną w pamięci tak aby
uzyskać jak najlepszą informację o aktualnym położeniu i podążać
do celu dokładnie wyznaczoną ścieżką. Uszkodzenie jednego a
nawet dwóch systemów pomiarowych położenia tylko zmniejszy
precyzję naprowadzenia pocisku na cel. Jeśli manewrujący pocisk
jest nosicielem głowicy jądrowej to pogorszenie dokładności
z 30 do 100 metrów powoduje tylko niewielką zmianę skuteczności
ataku. Podobny czy identyczny system kierowania lotem można
zastosować w samolotach.
Piloci
sekwencje startów i lądowań wykonują ściśle
według instrukcji obsługi samolotów. Aby pilot czegoś nie
zapomniał stosuje się check - listę. Samolot musi być z zapasem
zatankowany tak aby mógł wylądować na zapasowym lotnisku.
Sekwencje startu i lądowań na tle sekwencji rozruchowych i
odstawiających spotykanych w przemyśle są proste. Rutynowe
sekwencje czynności jak obniżenie prędkości i wysokości na
ścieżce do lądowania, wysunięcie flap i podwozia są trywialne
Piloci radiem otrzymują warunki pogodowe i ruchowe. Rozwiązanie
jest przestarzałe i informacje powinny być przesyłane między
komputerami modemem radiowym.
Duża
ilość wypadków przy lądowaniach w warunkach ograniczonej
widoczności skłoniła już w latach dwudziestych do badania tematu
radiolatarni, radiokompasów i radiowysokościomierzy aby umożliwić
bezpieczne lądowanie z ograniczoną widocznością lub w ogóle bez
widoczności. Pierwsze prawie automatyczne lądowanie odbyło się w
1950 roku ale już wcześniej masowo stosowano radiokompasy i
wysokościomierze. W latach pięćdziesiątych amerykański
koncern International Telephones and Telegraph (ITT) dopracował
radiolatarnie ( na częstotliwościach kierunku - 110 MHz i ścieżki
- 94 MHz ) i anteny a dla samolotów wykonał specjalny krzyżowy
wskaźnik położenia używany do dziś dnia. System ten jest
podstawą obecnie używanych systemów ILS czyli Instruments Landing
System.
W
automatycznym samolocie piloci najbardziej potrzebni są w sytuacjach
awaryjnych ale wtedy pod wpływem ogromnego stresu głupieją
i zawodzą na pełnej linii. Komputery mogą wyprowadzić samolot
który po zabronionym obniżeniu
prędkości i przeciągnięciu przepadł. Człowiek
jako regulator jest za wolny do tej operacji !
Podczas
sowieckiej blokady Zachodniego Berlina w latach 1948-49 samoloty
angielskie i USA wykonały w ramach mostu powietrznego, ratującego
Berlińczyków przed śmiercią głodowa i zamarznięciem, ponad 278
tysięcy lądowań.
Samoloty lądowały co 2 minuty tylko i wyłącznie na przyrządach,
nawet przy dobrej pogodzie. Udoskonalone procedury komunikacji i
lądowań zastosowano niedługo w masowym lotnictwie cywilnym. Samej
żywności
potrzeba było Berlińczykom co najmniej 2 tysiące ton dziennie.
Łącznie dostarczano dziennie do 12 tysięcy ton żywności,
opału a nawet maszyn budowlanych.
Zebrane
doświadczenia posłużyły
w 1950 roku do zautomatyzowania procesu lądowania. Pilot przy
lądowaniu był
potrzebny aby ewentualnie dostosować parametry schodzenia do zmiany
pogody ( zwłaszcza wiatry, podmuchy i uskoki ) zmieniającej warunki
aerodynamiczne lądującego samolotu.
Szerokokadłubowy
samolot pasażerski
Lockheed Tristar L-1011 z 1971 roku sam leciał, podchodził do
lądowania i lądował ! Samolot automatycznie lądował w złych
warunkach pogodowych lepiej niż piloci. Oczywiście piloci zawsze
mogli przejąć sterowanie. Wszystkie systemy były redundantne.
Komputery "Stability Augmentation System" nie pozwalały na
przekraczania dopuszczalnych parametrów aerodynamicznych. Wyłączyć
go mogli tylko wspólnie
piloci. To że samolot na instrumentach przy bardzo złej pogodzie
lepiej lądował niż pilot stało się w końcu
przyczyną wypadku gdy bezwzględnie należało lecieć na lotnisko
zapasowe gdyż próba lądowania w
ciężkiej burzy była
jawnym samobójstwem.
Systemy
automatyczne powinny choćby
włączać
( lub żądać
włączenia
) na podstawie własnych pomiarów i informacji z lotniska o
możliwości oblodzenia, instalacje przeciwoblodzeniowe na krawędzi
skrzydeł
gdyż
optymizm pilotów
kosztował
życie
wielu pasażerów.
Powinny kierować
samoloty na lotniska zapasowe przy złej
pogodzie.
-
Poważniejsza awaria satelity wyłącza go z użytku. Koszt budowy i
wyniesienia satelity rakietą
na orbitę jest spory. Awaria satelity telekomunikacyjnego ogólnie
dezorganizuje system łączności.
Pół
biedy jeśli zniknie tylko jeden z
wielu programów
telewizyjnych.
Gorzej gdy satelita był
elementem systemu telefonicznego funkcjonującego na bezkresnych
pustkowiach gdzie jednak są kopalnie czy elektrownie wodne. Dane z
satelitów naukowo-obserwacyjnych są coraz szerzej wykorzystywane w
wielu dziedzinach życia:
geodezja i kartografia, identyfikacji struktur geologicznych w
poszukiwaniu złóż
surowców, badanie stanu wód, energetyka, leśnictwo.
Satelity wojskowe wykrywają
starty rakiet przeciwnika co zmniejsza ryzyko przypadkowego wybuchu
wojny nuklearnej.
-
Podobne do lotniczych są w skutkach tragiczne wypadki kolejowe.
Uszkodzenie systemu sterującego ruchem pociągów
może doprowadzić
do czołowego zderzenia pociągów czy skierowania jadącego
pociągu
na stojący pociąg. Mniejszy niż
w wypadkach lotniczych jest udział ofiar śmiertelnych
ale koszty leczenia ofiar i rent inwalidzkich dla nich są ogromne.
Ofiary niczego już nie produkują rujnując życie
swoich rodzin. Spore są zniszczenia materialne. Wyciek z
uszkodzonych cystern toksyn rujnuje środowisko
naturalne i zagraża
ludziom. Wszystko to jest
wymierne w pieniądzu.
-
Eksplozja reaktora w fabryce chemicznej może spowodować pożar i
kolejne wybuchy oraz zabić wielu ludzi i skazić środowisko
naturalne. Koszt wyłączenia
fabryki w ruchu i jej odbudowy może być spory
-
Ciężka
awaria w elektrowni jądrowej
może doprowadzić
do skażenia
promieniotwórczego terenu i atmosfery oraz napromieniowania ludzi.
Koszt incydentu ( zgrubne
szacunki mówią że może być przeogromny )
jest trudny do oceny jako że w świecie
żaden
ubezpieczyciel nie ubezpiecza elektrowni jądrowych
a robią
to niejawnie, gratis rządy.
Stosowne dane nie są ujawniane. W elektrowniach jądrowych
powinny być stosowane do sterowania systemy redundantne i skuteczne
zabezpieczenia w każdym przypadku zapobiegające uszkodzeniu
reaktora i pozostałych
urządzeń.
Emisja normalnie funkcjonującej elektrowni jądrowej
jest prawie zerowa podczas gdy elektrownie węglowe
wyrzucają do atmosfery całą
tablice Mendelejewa i rujnują zdrowie populacji i środowisko.
Tymczasem awarie jądrowe
budzą
strach i opór społeczny
przed budową
elektrowni jądrowych
co hamuje rozwój energetyki jądrowej.
Produkcja energii
jest najbardziej rujnującym środowisko
naturalne procesem ( i zdrowie człowieka ) jaki stworzył
człowiek
ale energetyka jądrowa
jest najmniej obciążająca
nawet biorąc
pod uwagę
awarie i długoterminowe
składowanie odpadów radioaktywnych.
Publikowane
informacje powypadkowe wskazują że systemom elektrowni jądrowych
było bardzo daleko do doskonałości i wszystkich incydentów można
było uniknąć. Na przykład wystarczyło na zespole silnika i pompy
wody obiegowej zamontować czujnik wibracji. Kable latami traciły
izolacje i nie było żadnego monitoringu ich stanu. Nie korzystano w
pełni z informacji z sensorów. Systemy bezpieczeństwa się
krzyżowały co jest karygodne. Nie był kontrolowany stan
krytycznych żarówek - wskaźników ! Operatorzy
byli zalewani strumieniem informacji i nie mogli ustalić co się
naprawdę stało. Dawało się wyłączyć blokady bez żadnej
sygnalizacji ! I tak dalej.
-
Wybuch każdego
przeciążonego
kotła też ma swój ciężar
gatunkowy. Parowozy ( i
ciągnięte przez nie składy )
wypadały
po wybuchu kotła
z szyn.
- Wybuch pyłu węglowego
lub par paliwa przy uruchomieniu kotła w każdym razie jest
niepożądany bowiem zmniejsza trwałość kotła nawet jeśli nie
dojdzie do jego natychmiastowego uszkodzenia
- Szybko dostrzeżona
awaria systemu sterowania w fabryce chemicznej to tylko przejście na
ręczne sterowanie aż do ręcznego przestawiania aktuatorów przez
pracowników. Po dłuższym czasie dostrzeżenia awarii trzeba
zutylizować nieudane półprodukty i produkty. Szczególnie duże są
konsekwencje awarii w bardzo rozbudowanych fabrykach gdzie wiele
linii technologicznych nawzajem pobiera i odbiera półprodukty (
także ciepło, parę i wodę ) z innych linii.
-
Niewłaściwa
lub uszkodzona ochrona obwodów wtórnych przekładników prądowych
w energetycznych obwodach wysokiego napięcia może spowodować
pożar a nawet porażenie obsługi w sytuacji rutynowego zwarcia w
sieci wysokiego napięcia o dużym natężeniu prądu zwarcia lub
zniszczenia przekładnika przy przebiciu jego izolacji.
Uzwojenie
wtórne przekładnika prądowego HV jest dobrze uziemione ( aby bez
szkody przepłynął prąd zwarcia przy przebiciu izolacji
przekładnika ) a za nim jest drugi dobrze izolowany transformator
prądowy i dopiero dalej na przykład izolowany przetwornik prądu
zmiennego na sygnał automatyki
4-20mA i sterownik PLC. Prądy zwarć sieci HV mogą dochodzić do
50 kA a nawet więcej ! Potworną
destruktywnie energię należy skanalizować i rozproszyć (
iskrowniki, warystory, uziemienie ) i nie dopuścić do jej przecieku
do systemu sterowania. Przebicie przekładnika i potężny prąd
zwarcia w linii HV powinny być dla systemu całkowicie bezpieczne.
Oczywiście trzeba uszkodzony przekładnik czy transformator
energetyczny, gdzie on jest zabudowany wymienić, ale nie ulega
uszkodzeniu system sterowania i dalsza praca rozdzielni jest możliwa
w innej konfiguracji.
Tam
gdzie wymagania co do niezawodności pracy są ekstremalnie wysokie
stosuje się systemy redundantne. W systemach redundantnych w końcu
trzeba z niezależnych
rezultatów sterowania
wypracowanych w niezależnych urządzeniach sporządzić końcowy
rezultat dla sterowania aktuatora. Załóżmy że trzy urządzenia
mają wyjściowe
regulatory krokowe z wyjściami
o wartościach +1,0,-1. Dwa urządzenia dające zgodny rozkaz mają
automatycznie "przegłosować" wadliwe trzecie urządzenie
dające odmienny rozkaz. Układ przeprowadzający głosowanie musi
być prosty i bardzo niezawodny ale i tak władze
ostateczną ma nad nim człowiek.
Także człowiek może dla pewności wadliwe urządzenie zablokować
i wydać
dyspozycje naprawy.
Niech
będą trzy niezależne
systemy dające analogowy sygnał wyjściowy
z przedziału -10..+10V. Wystarczy sygnały zsumować ( dla pewności
warto je ograniczyć diodami
Zenera do dopuszczalnego
przedziału sygnału ) aby dwa regulatory przegłosowały trzeci ale
taki prosty system ma istotną wadę. Po uszkodzeniu jednego systemu
czas w jakim dwa pozostałe przegłosują
wadliwy zależy od dynamiki obiektu i może być znaczny co pociągnie
za sobą pewne zakłócenie normalnej pracy. Potrzebny jest więc
bardziej inteligentny ale i bardziej skomplikowany ( realizacja jest
dość prosta ) nieliniowy "układ głosujący"
i de facto odrzucający głos inny niż dwa zgodne
że sobą.
Redundancja
( samo słowo oznacza nadmiar , zbytek ) w danych cyfrowych polega
na ich powtarzaniu się i nie zawsze jest zjawiskiem pozytywnym. Może
być ona usunięta metoda kompresji pliku. Powtarzanie się danych w
bazach danych może być powodem niespójności a nawet sprzeczności
danych jeśli nie ma mechanizmów
jednoczesnej aktualizacji danych.
W
odniesieniu do statycznych wyjściowych procesowych zmiennych
binarnych system może dawać dynamiczne sygnały chwilowe On/Off,
które przerzutnikiem RS ( na przykład stycznikiem z
samopodtrzymaniem ) zostaną przetworzone na sygnał statyczny. Po
przykładowym zawieszeniu się komputera sterującego wszystkie
maszyny pozostają w ostatnim stanie. Maszyny włączone
pozostają włączone
itd. Łatwa jest też konstrukcja lokalnego pulpitu sterowania
Auto - Manual. Po
zaniku i podaniu zasilania trzeba ewentualnie aktywować sygnał On
jako że stycznik przy braku zasilania odpuścił i "zapomniał"
stan ON w jaki był ustawiony.
Sam sensor czy urządzenie
pomiarowe może wypracować binarny sygnał swojej niesprawności.
Konstrukcja
urządzeń
musi zapewniać
adekwatną do zastosowania niezawodność i ochronę. Instalacje
poszczególnych silników lotniczych samolotu nie mogą się
krzyżować
i muszą być niezależne tak aby nawet ciężka awaria jednego
silnika nie przeniosła się od razu na pozostałe ocalałe silniki.
Zwłaszcza odporne na
warunki środowiskowe powinny być urządzenia militarne.
Katalogi przewodów
sygnałowych i sieciowych przewodów mocy podają ich parametry czyli
oporność oraz pojemność jednostkowe i minimalna oporność
izolacji oraz dopuszczalne napięcie pracy. Pojemność przewodu jest
liniowa i przy napięciu dla jakiego przewód jest dedykowany nie
generuje on swoją nieliniowością przy napięciu zmiennym
uchwytnego prądu stałego.
Pomiar
oporności
uniwersalnym miernikiem magnetoelektrycznym odbywa się przy napięciu
1.5-4.5Vdc i podobnym napięciu w mierniku cyfrowym. W miernikach
izolacji stosowane jest napięcie pomiarowe 500-1000Vdc. Z kolei w
produkcyjnym testerze sieciowej
( mowa o instalacji 220Vac ) izolacji
Y stosowane jest napięcie testowe 3500Vac o częstotliwości
sieciowej. W czasie testu nie może dojść
do przebicia izolacji Y testowanego urządzenia.
Automatyzacja następuje
po mechanizacji.
Pierwsze
maszyny proste powstały w
Egipcie, Azji Mniejszej
i Chinach. Tam też uczono
się wykorzystania
energii z mięśni zwierząt
i przyrody.
Zastępujące
najprostszą
ludzką
pracę
fizyczną
urządzenia mechaniczne
napędzane są
energia
wytworzoną
z zasobów przyrody.
Już na początku XX wieku pojawiły się urządzenia z własnym
sterowaniem, nadzorem i kontrolą.
Celem
mechanizacji i późniejszej automatyzacji jest zmniejszenie nakładu
pracy na wykonanie określonego
przedmiotu - półproduktu
lub towaru. Niektórych prac ludzie w ogóle nie mogą wykonać.
Instalacje do produkcji uranu U235 czy plutonu muszą
być zdalnie sterowane bowiem narażenie
personelu na utratę
zdrowia i śmierć
byłoby
ogromne.
Technika
i nauka rozwijają się ewolucyjnie. Bez wcześniejszej
mechanizacji nie byłoby
automatyzacji. W konkretnej maszynie czasem trudno powiedzieć
gdzie kończy
się mechanizacja a zaczyna automatyzacja. Czasem trudno powiedzieć
gdzie kończy
się elektronika a zaczyna automatyka urządzenia. A wymagania na
niezawodność systemu sterowania wprost wynikają z cech obiektu.
Zamiast
prowadzić
abstrakcyjne rozważania
sięgnijmy
po historyczne przykłady.
A.
Od początku
II Wojny Światowej jej wielcy uczestnicy wiedzieli że możliwe
jest rozbicie ciężkiego
atomu aktynowców i uwolnienie w reakcji łańcuchowej
ogromnej ilości energii jądrowej.
Nad bombą
atomową
pracowała
Ameryka, Niemcy i Japonia ale tylko Ameryce starczyło wyobraźni,
determinacji i potencjału
naukowo-przemysłowego mimo iż
III Rzesza miała
przed wojną
najlepszych fizyków świata.
W potężnym
projekcie "Manhattan" zaangażowano
około
200 tysięcy
osób i ogromny kapitał.
Naukowców wielu specjalności,
inżynierów
i personel pomocniczy. Wyobraźni
nie brakło
też Stalinowi. Ponoć
w ZSRR po wojnie w programie atomowym pracowało
jeszcze więcej osób
niż
w programie USA. Nad Hiroszimą
i Nagasaki odbył
się przerażający
pokaz diabelskiej mocy zniszczenia. "Boski" japoński
cesarz nie chciał
aby poddanych i miasta dalej zamieniano w radioaktywny popiół.
Wkrótce Ameryka pokazała
bombę termojądrowa.
Jej zaletą
jest tak wielka moc ... że nie można jej sensownie użyć
w wojnie ! Być może temu zawdzięczamy dość długi
okres pokoju w Europie. Instalacje do produkcji uranu U235 czy
plutonu muszą
być zdalnie i automatycznie sterowane ( sensory i aktuatory ) bowiem
narażenie
personelu na utratę
zdrowia byłoby
ogromne. Potrzeba jest matka wynalazków - powstały
nowe idee i technologie. Wymagana
jest wysoka niezawodność i tolerancja na uszkodzenia. Bomba
i głowica
termojądrowa
( współcześnie
innych nie ma ) ma niezawodny system autoryzacji użycia i
samodestrukcji oraz system diagnozy sprawności
oraz sterowania zapewniający eksplozje na optymalnej wysokości.
Czy zadanie absolutnie pewnej autoryzacji użycia i samodestrukcji
jest w ogóle
wykonywalne ?
Pierwsza
implozyjna plutonowa bomba jądrowa
zrzucona na Nagasaki miała
plutonowy rdzeń
średnicy
pomarańczy
umieszczony w dużej
kompresującej ją
kulistej powłoce
wykonanej z różnych
materiałów
wybuchowych aby uzyskać
zbieżną
do środka
implozyjną
-kompresującą fale uderzeniową.
Na powierzchni materiałów
wybuchowych umieszczono zapalniki plazmowe czyli złote
druciki średnicy
ca 30um do których było
doprowadzone krytronem ( to specyficzny tyratron mocy ) wysokie
napięcie ( ca 5kV ) z kondensatora zapłonowego.
Taki sposób inicjacji wybuchu gwarantuje jednoczesność
inicjacji wszystkich ładunków
i optymalną
kompresje. Czysty pluton generuje neutrony (
bardzo czysty pluton ma bardzo małą emisje )
ale w niewystarczającej ilości do optymalnej inicjacji reakcji
łańcuchowej
i wybuch będzie
miał
znacznie mniejszą
moc niż
optymalna. W środku
uzbrojonej "pomarańczy"
jest umieszczony bardzo trudny do wykonania "zapalnik" do
silnego zainicjowania reakcji łańcuchowej.
Zapalnik wykonany jest m.in z Polonu 210, który jest alfa
radioaktywny a w szczycie kompresji emituje wymieszany z berylem
strumień neutronów inicjujących reakcje łańcuchową.
Zapalnik był
zamontowany dopiero na pokładzie
lecącego
do niszczonego celu
samolotu. Tak więc nawet jeśli jakimś
cudem statek z bombą
wpadłby
w ręce
Japończyków
to bez trudnego do zrobienia zapalnika bomba przez długi
czas byłaby znacznie słabsza
lub bezużyteczna. Nie jest wykluczone że niezbrojona bomba mogłaby
przy nieumiejętnej
manipulacji wybuchnąć
rozpraszając tylko swój pluton. Zaletą
plutonu z punktu widzenia trudności
nieautoryzowanego użycia jest jego ekstremalna toksyczność.
W
dwustopniowej bombie termojądrowej
wspomożony
deuterem-trytem pierwszy plutonowy stopień
jądrowy
dostarcza potężnego
krótkiego impulsu
strumienia promieniowania X oraz strumienia szybkich neutronów o
potwornej energii ( transport promienisty Ulama - Tellera ) do
inicjacji reakcji łańcuchowej
i termojądrowej
( deuterek litu, Pu239, U238 - termin bomba wodorowa jest nieścisły
) w drugim stopniu. Sprawę
fizyki (osłony,
reflektory, soczewki itd ) zostawmy na boku. Pierwszy stopień
"urządzenia jądrowego"
ma kształt
jaja. Jajowaty jest zewnętrzny
inicjujący ładunek
wybuchowy wykonany z najsilniejszych ale stabilnych materiałów
wybuchowych. Ma tylko dwa
zapalniki na szczytach "jaja".
Fala uderzeniowa soczewką
powietrzną
jednocześnie
inicjuje kulisty materiał
kompresujący. Uruchomienie tylko jednego zapalnika albo w ogóle nie
inicjuje reakcji łańcuchowej
albo dochodzi do częściowej
asymetrycznej kompresji i wybuch ma siłę
"tylko" kilkuset ton trotylu.
Zaletą
takiej głowicy
termojądrowej
jest względnie
mała
ilość użytego "drogiego"
( to nie jest towar rynkowy ) plutonu.
Wadą
jest użycie wspomagającego
trytu. Okres połowicznego
rozpadu trytu wynosi tylko
12,3 lata a powstający Hel3
jest "trucizną"
dla reakcji łańcuchowej.
Przed użyciem można głowicę
napełnić
trytem lub okresowo
wymieniać
tryt przy wysokim poziomie zagrożenia
wojną.
W
pewnej odległości
od wspomożonego
ładunku
jądrowego
może być dodatkowo umieszczony elektryczny generator neutronów (
trudna technologicznie
wysokonapięciowa lampa
próżniowa
- akcelerator cząstek,
jest niemożliwa do
zakupienia przez chętnych do wejścia w posiadanie broni jądrowej )
skierowany na środek
mocno skompresowanej kulki plutonu z deuterem i trytem w środku.
Chodzi o jak najlepsze przereagowanie materiałów
rozszczepialnych przed ich rozrzuceniem i o użycie jak najmniejszej
ilości plutonu. Po inicjacji zapalników plazmowych po chwili (
niszcząca
fala uderzeniowa nie dotarła
jeszcze do generatora neutronów ani stopnia termojądrowego)
w szczycie kompresji uruchomiony jest generator neutronów i
momentalnie rozpoczyna się reakcja łańcuchowa
i w ślad
za nią
termojądrowa.
Głowica
jądrowa
w pogotowiu bojowym jest kompletna i gotowa do autoryzowanego użycia
natomiast w sytuacji niskiego napięcia między mocarstwami czy
podczas transportu do magazynów baz,
samo urządzenie jądrowe
( physical package) jest odrobinę niekompletne i wymaga dopiero
uzbrojenia. Może nie być w
nim trytu wspomagającego pierwszy stopień. Nawet
jeśli bombowiec strategiczny straci taką
nieuzbrojoną
bombę
to ona fizycznie nie jest w stanie wybuchnąć
jądrowo
i termojądrowo
nawet gdyby jakimś
cudem został
przez terrorystów zainicjowany ładunek
wybuchowy i generator neutronów. Jako zabezpieczenia używane są
elementy borowe. Bor bardzo silnie pochłania
wolne neutrony. Zapłonniki
plazmowe są zasilane przez dwa osobne elektroniczne przełączniki
sterowane z dwóch systemów autoryzacji.
Osobno jest sterowany generator neutronów. Bez jednoczesnego i
skoordynowanego załączenia
zajdzie tylko zwykły
wybuch materiału
kompresującego lub maleńka
reakcja łańcuchowa.
Autoryzacja użycia głowicy
jest wieloźródłowa.
Redundantny jest
system blokujący użycie głowicy.
W końcu
samolot z bombą
linkiem musi jej podać
indywidualne informacje autoryzujące. Niezgodność
danych powoduje że podejmowana jest samodestrukcja. Przestarzałe
głowice
są demontowane w specjalnie do tego celu wyposażonym
laboratorium-fabryce. Nieautoryzowana próba
rozbierania głowicy
w końcu
prowadzi do półwybuchu
i rozproszenia plutonu. Nie zachodzi ani wystarczająca kompresja ani
inicjacja generatora neutronów. Kontakt
rozbierających - przerabiających z ultra-toksycznym plutonem
skończy się śmiercią.
Aby bezpiecznie głowicę
rozebrać trzeba niewiele gorszej technologi niż do jej budowy.
Na
świecie
istniało
około 70 tysięcy
ładunków
jądrowych
ale szczęśliwie
jeszcze nie doszło do nieautoryzowanego użycia ani jednego z
nich. USA osiągnęły
maksymalny stan 33 tysięcy
ładunków
w 1965 roku i od tego czasu redukują ich obłędną
ilość. W 1965 roku ZSRR miał
około 3 tysięcy
głowic
ale niedawno przekroczył
40 tysięcy
i rozpoczął
redukcje widząc cały
absurd sytuacji. Anglia,
Francja i Chiny mają na tle mocarzy znikome ilości głowic.
Wzbogacony Uran i Pluton można wyprodukować
tylko metodą
wielkoprzemysłową.
NB.
Próby termojądrowe
były
niewiarygodną
zbrodnią
popełnioną
na skażanym
środowisku
naturalnym. Zarówno Zachód jak i ZSRR blokowały
apokaliptyczny i prawdziwy przekaz zbrodni. Tylko po eksplozji z 1954
roku na atolu Bikini wysp Marshalla o mocy ca 15 MT mającej
potwierdzić przydatność deuterku litu, skutkiem skażenia
promieniotwórczego trwale wyłączonych było
z użytku 0.7%
wszystkich lądów
na Ziemi. Od końca
lat pięćdziesiątych
nie ma w USA żadnych
innowacji w dziedzinie broni jądrowej
ale podziemne testy nadal są przeprowadzane głównie
dla oceny trwałości
i sprawności istniejącej broni oraz
w pracach modernizacyjnych.
NB. Do wytwarzania
liczników Geigera Millera używa się niektórych materiałów
wytworzonych przed 1945 rokiem bowiem od tego czasu są one skażone
promieniotwórczo właśnie na skutek licznych atmosferycznych
wybuchów jądrowych !
Budowa
systemu autoryzacji użycia zależy od fizycznych właściwości
kontrolowanego urządzenia.
System autoryzacji wymaga
100% sprawności całego autentycznego łańcucha decyzyjnego. Waga
decyzji o użyciu broni nuklearnej jest ogromna. Lepiej aby ani jedna
głowica nie została omyłkowo użyta lub użyta przez terrorystów.
Wroga nie atakuje się w wojnie nuklearnej jedną głowicą i jej
niezadziałanie nie ma żadnego znaczenia. Systemy autoryzacji są
wyraźnie asymetryczne.
W energetyce jądrowej po
okresie hurra optymizmu mamy obecnie stan depresyjny niczym u
pacjenta w chorobie dwubiegunowej. Reaktor energetyczny nie jest
bombą jądrowa ale jest w nim zgromadzona ogromna reaktywność -
znacznie większa niż w dużej bombie termojądrowej. Reaktory wodne
mają w ogólności ujemny współczynnik reaktywności i są
potencjalnie bezpieczne co nie wyklucza wypadków z nimi ale polegają
one na problemach z odprowadzaniem ciepła powyłączeniowego ( dalej
trwa proces naturalnego rozpadu substancji radioaktywnych w prętach
paliwowych i wytwarza on ciepło ) które stanowi po długim czasie
circa procent mocy reaktora. Ale ciepło powyłączeniowe jest
wystarczające aby stopić rdzeń niechłodzonego reaktora ! Jak
dotąd nie było poważnego wypadku z reaktorem wodnym. Militarne
reaktory z moderatorem grafitowym służące do produkcji plutonu
przy wypalonym paliwie mają dodatni współczynniki reaktywności i
są makabrycznie niebezpieczne o czym przekonali się wszyscy
używający tych reaktorów. Reaktor - stos grafitowy typu RMBK
używany w elektrowni w Czarnobylu produkował energie elektryczną
dla gospodarki i pluton do celów militarnych. Wydawało się po
katastrofie brytyjskiego reaktora grafitowego w Windscale w 1957 roku
wiedziano już wszystko o niebezpieczeństwach reaktora grafitowego.
N.B. Teren wokół Windscale nie jest jeszcze oczyszczony mimo upływu
30 lat od katastrofy.
Elektrownie
węglowe po cichu nieubłaganie wyrzucają do atmosfery tablice
Mendelejewa. Oprócz ogromnej ilości tlenków siarki i tlenków
azotu jest też super toksyczna rtęć i aktynowce. Słona
woda spuszczana jest do rzek przy wydobyciu węgla kamiennego.
Mamy
niestety mały potencjał na lokalizację elektrowni wodnych.
We wszystkich krajach
RWPG funkcjonują elektrownie jądrowe a w Polsce budowa elektrowni (
WWER 440 jest reaktorem wodnym i nie było z nim jeszcze wypadku )
zbliża się do końca. Po wypadku w Czarnobylu w Europie i USA
oprotestowywane są budowy nowych elektrowni atomowych.
Koszt budowy elektrowni
atomowej bardzo mocno zależy od czasu jej budowy czyli martwego
zaangażowania kapitału a budowy i modyfikacje dla polepszenia
bezpieczeństwa, potrafią się ciągnąć w nieskończoność. O ile
koszt paliwa dla elektrowni węglowej dochodzi do 70% kosztów
eksploatacyjnych to nie przekracza on 20% dla elektrowni jądrowej.
Na skutki wypadku
jądrowego narażeni są przede wszystkim protestujący okoliczni
mieszkańcy elektrowni podczas gdy dobrodziejstwo z funkcjonowania
energetyki jądrowej przypada całemu krajowi. Taka dziwna sytuacja
ma miejsce dlatego że konkurencyjne elektrownie węglowe gratis
niszczą środowisko ! Gdyby koszt energii węglowej obciążyć
podatkiem na kompensacje zatrucia środowiska i zdrowie ludzi to
elektrownie jądrowe będą super rentowne i stać je będzie na
przekupywanie okolicznych mieszkańców, którzy z wrogów atomu
staną się jego wojującymi wielbicielami. Zdaniem autora bardzo
drogie wydobywanie węgla kamiennego w Polsce i jego eksport za
bezcen ( w stosunku do całościowych kosztów wydobycia ) rujnuje
czy wręcz zabija całą Polską gospodarkę i rujnuje zdrowie
Polaków. Gdyby spadło w Polsce spalanie węgla automatycznie
wzrośnie średnia długość życia mieszkańców.
Sprawa
bezpieczeństwa reaktora wodnego czyli owego Fault Tolerant ma więc
w energetyce jądrowej podstawowe znaczenie. Sprawa odprowadzania
owego ciepła powyłączeniowego wydaje się banalna po rozebraniu na
czynniki pierwsze. To sprawa niezawodności pomp, zaworów,
zbiorników, rurociągów czy w najgorszym razie przy odcięciu od
sieci przesyłowej, agregatu z silnikiem Diesla no i oczywiście
systemów pomiarowych i automatyki.
B.
Para wytwarzana w kotle lokomotywy parowej zasilała
silniki parowe lokomotywy. Palacz narzucał
węgiel
ściśle
według
instrukcji maszynisty znającego trasę
i rozkład
jazdy czyli zapotrzebowanie energii i pilnującego ciśnienie
w kotle. Praca palacza mocnej lokomotywy była bardzo ciężka.
Kocioł
ma zawór
nadciśnieniowy
zapobiegający eksplozji kotła ale wprawny maszynista dokładnie
wie ile trzeba podać
paliwa i bez potrzeby nie trzyma za
dużego
ciśnienia
w kotle. Znaczny przyrost
sprawności
lokomotywy dał
dwustopniowy silnik parowy i zastosowanie międzystopniowego
przegrzewania pary. Stosowano także
skraplacze pary. W amerykańskich
ciężkich
lokomotywach towarowych zastosowano mechaniczne podawanie węgla
do paleniska i proste pneumatyczne metody wspomagania i najprostsze
układy regulacji. Dodać
należy że rozwój automatyki rozpoczął
się od governora czyli regulatora obrotów silnika parowego.
Potężna amerykańska
lokomotywa "Big Boy" wprowadzona w czasie II Wojny
Światowej w pełni gotowa
do pracy ważyła
550 ton i miała
moc silników 6200 KM czyli była
czterokrotnie większa
niż wojenne lokomotywy niemieckie. Zużycie węgla
było
wielkie jako że stosowano węgiel
niskiej jakości ponieważ
węgiel jakościowy był
potrzebny pędzącemu
do przodu przemysłowi wojennemu.
Gdy wywiad niemiecki szczegółowo
doniósł
o nowoczesnych potężnych
amerykańskich
lokomotywach ciągnących
gigantyczne składy
do 5 tysięcy
ton ( na trasie o nachyleniu
1% ! ) a czasem i więcej,
głównie
węgiel
i ruda do produkcji wojennej,
z niewielką
( dwie osoby !) i mało doświadczoną
obsługą
( osoby nie nadające się do służby
wojskowej ), w Berlinie uważano
to za bajki i dezinformacje.
W
USA jako paliwo lokomotyw parowych stosowano pod koniec ich kariery
także
olej opałowy-napędowy.
Oczywiście
w lokomotywach parowych stosowano by dalej ulepszenia wykorzystania
ciepła
oraz mechanizacje i automatyzacje ale zostały
one wyparte przez lokomotywy z silnikiem Diesla i lokomotywy
elektryczne. Warto zauważyć
że sprawność doskonalonej lokomotywy parowej wzrosła
z niecałego
procenta do ponad 10% w ostatnich modelach i pewnie dalej by rosła.
Jednak sprawność wielkich silników Diesla przekracza czasem 50% !
Najcięższa
Polska lokomotywa parowa z 1958 roku, Ty51 ważyła
prawie 190 ton. Konstrukcja była kopią
nowoczesnego modelu Ty246, czyli ponad 100 "trumanów",
których Polska gratis dostała
od USA w ramach dostaw UNNRA w 1946 roku. Parowozy te ciągnęły
pociągi
o ciężarze
dochodzącym
do 3000 ton mimo iż producent ich absolutne maksimum określił
na 2200 ton. Z racji nowoczesności i komfortu pracy maszyniści
mówili że "otworzyły
im się oczy" i nazywali lokomotywę "amerykańską
limuzyną".
Widać
nasze 20 letnie opóźnienie
w lokomotywach parowych, które przecież
są proste technologicznie.
Wraz
z doskonaleniem lokomotyw doskonalono systemy sterowania ruchem jako
że wypadki stały się bardzo kosztowne.
Japońskie
szybkobieżne
pociągi
Shinkansen oraz francuskie TGV są częściowo
zdalnie sterowane bowiem reakcje maszynistów są zbyt powolne jak na
szybkość pociągów.
W
każdym pociągu
jest wymagające aktywności
maszynisty urządzenie Dead Hand wszczynające alarm i zatrzymujące
pociąg
gdyby maszynista nie
zareagował na sygnał - zasnął,
doznał udaru lub zawału serca
czy zmarł.
C.
Opalany olejem nowoczesny kocioł
przemysłowy lub energetyczny ma dostarczać
wymaganą
przez proces zadaną
ilość energii
strumieniem wytworzonej pary. Skupmy uwagę
na sterowaniu binarnym kotła. Zadana "analogowa" wartość
generowanej energii cieplnej pochodzi z wyższej
- nadrzędnej
warstwy sterowania procesem i podana jest do analogowego lub
programowego systemu regulacji mocy cieplnej kotła.
Nadrzędna
zmienna binarna rozkazuje kocioł
uruchomić
lub odstawić.
Kocioł
jest elementem całego
systemu. Jeśli jako paliwo używamy taniego mazutu ( inaczej paliwo
pozostałościowe
po rafinacji ropy naftowej
lub HFO - Heavy Fuel Oil )
to z uwagi na jego dużą
lepkość,
zbiorniki muszą
być podgrzewane a samo paliwo podgrzane i oczyszczone w wirowce jako
że mazut jest paliwem, które może być zanieczyszczone.
Zbiorniki
HFO powinny być wyposażone
w sensory poziomu. Niedopuszczalny spadek poziomu mazutu ma generować
alarm na który operator podejmie właściwe
działania.
System jest wielopoziomowy. Na górze
piramidy ktoś
musi planować
produkcje i wcześniej
kupić
dostawy mazutu. System regulacji temperatury HFO także
powinien generować
sygnały alarmowe podobnie jak wirówka.
Czyste
i podgrzane paliwo ( chodzi o właściwą
gęstość,
nie może być ono ani za zimne ani za gorące
) jest podane do zespolonej pompy - palnika. Kocioł
ma oczywiście nadmuch powietrza. Obecność
płomienia w komorze spalania kotła
jest nadzorowana fotokomórką.
Gdy palnik jest wyłączony ( postój kotła ) to fotokomórka nie
może wskazywać
obecności
płomienia
bowiem świadczy
to o jej ( także
okablowania i interfejsu ) niesprawności.
Niesprawność fotokomórki generuje alarm i blokuje rozruch kotła
lub pozwala tylko na operacje manualne.
Do
zapłonu
mgły
olejowej służy iskrownik ( analogia konstrukcyjna
do świecy
zapłonowej
w silniku spalinowym ) zasilany z sieciowego ( 220 lub 380 Vac)
transformatora wysokiego napięcia o dużej
indukcyjności
rozproszenia ograniczającej prąd po zapaleniu łuku
na iskrowniku . Ma on osobno uzwojenia pierwotne i wtórne na
ramionach rdzenia "O" i podobną
konstrukcje jak transformatory ( 3-10KV ) do zasilania neonów
reklamowych. Sekwencje
rozruchową
kotła
rozpoczynamy od koniecznego przewietrzenia kotła. Gazy i pary
znajdujące się w komorze spalania mogłyby
eksplodować
przy zapłonie
zmniejszając żywotność
kotła
lub od razu go uszkadzając. Otwieramy klapę
aż
do uzyskania potwierdzenia
otwarcia z
przełącznika
krańcowego.
Jeśli w określonym
czasie potwierdzenie nie nadejdzie generowany jest alarm a sekwencja
rozruchowa zostaje zablokowana. Po zakończeniu
wietrzenia i zamknięciu
klapy załączamy
nadmuch, transformator iskrownika i "palnik". Jeśli w
ciągu
oznaczonego czasu do kilku sekund fotokomórka nie da sygnału
wykrycia płomienia
w komorze spalania to kończymy
sekwencje rozruchową,
blokujemy rozruch i generujemy alarm. Normalnie pracujący kocioł
po zapłonie płomienia daje sygnał swojej sprawności
warstwie nadrzędnej.
Przy
zbyt małej
ilości
podawanego paliwa ( decyduje o tym regulator mocy
) płomień
może być niestabilny i zgasnąć.
Zgaśniecie
płomienia
( lub awaria fotokomórki) powoduje wyłączenie palnika, alarm i
blokadę. Podawanie palnikiem paliwa po zgaśnięciu
płomienia
rodzi poważne negatywne konsekwencje.
Elementem
krytycznym w systemie jest fotokomórka detekująca płomień
w komorze spalania. Jest to typowo specjalny
fotorezystor lub fotoogniwo
selenowe w odpowiedniej obudowie. Z uwagi na niewielki sygnał do
połączenia fotokomórki użyty jest przewód ekranowany. Sygnał
ze
specjalnego fotorezystora "mocy" może wprost uruchomić
czuły
przekaźnik
kontaktronowy. Sygnał z
fotoogniwa selenowego trzeba wzmocnić
wzmacniaczem operacyjnym. Wymagania dla wzmacniacza operacyjnego są
względnie
liberalne ponieważ
generowany w ogniwie prąd fotoelektryczny jest dość duży.
Uszkodzeniu
może ulec fotokomórka lub jej kabel. W czasie przerwy w pracy kotła
fałszywy sygnał wykrycia płomienia
oznacza awarie fotokomórki lub zwarcie żył
w kablu ( w wypadku fotoopornika ) lub zwarcie do metalu konstrukcji.
Zwróćmy
uwagę
że tylko w czasie zapalania płomienia fotokomórka jest
rzeczywiście, dynamicznie testowana. Jeśli kocioł
jest okresowo odstawiany jest to zupełnie
wystarczające. Gorzej jeśli okresy pracy są długie
i fotokomórka
nie jest wtedy dynamicznie testowana. Interfejs fotokomórki powinien
być tak wykonany aby przy zwarciu żył
kabla dawał
sygnał braku światła
podobnie przy przerwie i przebiciu izolacji. Awaria fotokomórki
wyłączy palnik i zagrożenie
nie powstanie. Interfejs fotokomórki może oprócz sygnału
analogowego / binarnego
generować
sygnał binarny niesprawności.
Ciągłość
żył
kabla przy braku światła
można monitorować
stosując przy fotokomórce duży monitorujący rezystor ale tylko
dla fotorezystora ale nie dla ogniwa selenowego. Płomień
w piecu migocze i wzmocniony sygnał z fotokomórki można
odfiltrować środkowoprzepustowo i zdetekować tak jak w czujce
pożarowej. Jest to metoda pewna w działaniu.
System
binarnego sterowania i regulacji kotła
może być skonstruowany na wiele sposobów.
Logika
rozruchu i bezpieczeństwa
spalania może być wykonana w dedykowanym sterowniku kotła
na przekaźnikach,
tranzystorach, różnych
układach logicznych ( wygodne są aplikacyjnie układy CMOS serii
4000 ) lub programowo na
dedykowanym sterowniku lub komercyjnym sterowniku PLC.
NB.
Książka
"Układy przełączające
w automatyce przemysłowej. Zadania", WNT 1981, oprócz tego że
jest dobrym wykładem
projektowania układów logicznych ma też sensowne przykłady. Ponoć
są programy na komputer PC służące
do projektowania minimalnych układów logicznych i State Machine
czyli układów sekwencyjnych asynchronicznych i synchronicznych.
Można
do realizacji zadania binarnego zastosować standardowy sterownik
logiczny PLC, które na zachodzie szybko
zyskują dużą
popularność. W tym przypadku adapter fotokomórki musi generować
sygnał logiczny akceptowalny przez PLC. Każdy sterownik PLC winien
mieć układ Watchdoga zapobiegający trwałej
utracie ścieżki
logicznej programu przez procesor. Ale niestety zdarza się
zawieszenie PLC ale wada ta
z pewnością
zostanie szybko usunięta.
Konieczne jest więc uzupełnienie
systemu z PLC dodatkową
prostą
logiką
współpracującą
wprost z fotokomórką
lub budowa drogiego systemu redundantnego.
Regulatory
mocy kotła mogą być analogowe lub programowe w zaawansowanym
sterowniku PLC lub komputerze procesowym. Realizacja programowa daje
możliwość dobrej
komunikacji z wyższą
warstwą
sterowania.
Działanie
skonstruowanego systemu sterowanie nie sprawdza się od razu na
realnym piecu. Zamiast silników palnika, dmuchawy i zasuw oraz
transformatora zapłonowego
włączamy
żarówki oświetleniowe.
Jeden pracownik generuje stany binarne obiektu przełącznikami.
Drugi podaje nadrzędne
sygnały sterujące i zakłócenia a obaj obserwują
zachowanie systemu.
Symuluje się różne
awarie. Można też skonstruować
prosty model sterowanego pieca co uprości
testowanie sterowania. Działanie foto - sensora sprawdzamy
zapalniczką
Koszt
elektroniki i automatyki w przypadku kotła co najmniej średniej
wielkości
jest relatywnie niewielki na tle kosztu kompletnego kotła.
D.
Silnik samochodowy uruchamia się po prostu kluczykiem w stacyjce
aczkolwiek rozwiązanie to
obecnie jest już archaiczne.
Sekwencja uruchomienia dużego
silnika Diesla jest bardziej złożona.
Na Bliskim Wschodzie bogatym
w ropę naftową są
elektrownie z potężnymi
wolnoobrotowymi silnikami Diesla. Duże
silniki Diesla są
stosowane w lokomotywach. Jeszcze większe
silniki używane są na
statkach. Jakiś
czas przed rozruchem musi być uruchomiona obiegowa pompa oleju
silnika ( silnik jest "przesmarowany" ) a silnik i olej
musi mieć minimalną wymaganą
temperaturę
a to dlatego że chcemy aby silnik był
długowieczny.
Oczekujemy do niewielkiego remontu kilkunastu lat pracy silnika.
Ciężki, zimny
nieprzesmarowany rozruch jest przede wszystkim kosztowny ! Rzekomo
ciężki
rozruch zimnego silnika samochodowego przy temperaturze -25C daje
zużycie silnika równoważne
przejechaniu dystansu
kilkuset kilometrów
a im większy jest silnik tym większe
są szkody. Sprawdzana jest temperatura paliwa i jego lepkość.
Ciśnienie
powietrza rozruchowego w zbiorniku czy instalacji sprężonego
powietrza musi mieć wymaganą
minimalną wartość.
Jeśli stosowany jest rozrusznik elektryczny ( mniejsze jednostki )
to sprawdzone jest napięcie Ub akumulatora. Po przekroczeniu przez
silnik obrotów rozruchowych kończy
się rozruch i zaczyna stopniowe podnoszenie obrotów silnika a po
osiągnięciu
obrotów pracy możliwe
jest stopniowe obciążenie
silnika. W czasie rozruchu
napięcie Ub akumulatora powinno być monitorowane ( wczesne
ostrzeganie ) bowiem jego spadek świadczy o stanie akumulatora (
jego oporności wewnętrznej ) i o ciężkości rozruchu. Czas
rozruchu oraz towarzyszące temu parametry winien być zapamiętany.
Przy wolnym podnoszeniu
obrotów silnika można
szybko omijać
częstotliwości
rezonansowe. Jeśli po określonym
czasie rozruchu silnik nie podjął
pracy to po czasie przerwy dokonywane są kolejne próby rozruchu.
Nieudany rozruch generuje alarm dla systemu i operatora, który musi
ustalić
dlaczego rozruch nie jest pewny i niezawodny. Program rozruchu
silnika bazuje na kilkunastu ustalonych parametrach. Rozruch musi być
niezawodny bowiem konsekwencje braku mocy w systemie mogą być
poważne. Agregat może awaryjnie zasilać
na przykład duży szpital. Po szybkim wyczerpaniu akumulatorów
urządzeń UPS brak
mocy z agregatu może oznaczać
niemożliwość kontynuowania poważnej operacji chirurgicznej. Duże
silniki Diesla nie powinny zbyt długo pracować z małą
mocą
bowiem następuje
tak zwane niepożądane
"nawęglanie"
silnika, które stopniowo znika przy pracy z dużą
mocą.
Program „elektrowni” musi więc wyłączać
wybrane jednostki przy zbyt małym
ich obciążeniu
i uruchamiać
przy rosnącym
obciążeniu.
Przy nieudanej pierwszej próbie rozruchu wyznaczonego silnika Diesla
program może równolegle podjąć
rozruch innej jednostki. Program sterujący autonomicznej elektrowni
z silnikami Diesla jest całkiem
skomplikowany i trudny do stworzenia.
Im
większy
jest silnik Diesla tym
bardziej rozbudowane są systemy paliwa i oleju. W czasie pracy
silnika może być na bieżąco
uzupełniany i odwirowywany
z zanieczyszczeń
olej smarujący. W czasie pracy dozorowane są nieprzekraczalne
parametry pracy silnika a zwłaszcza maksymalne obroty i moc.
Przekroczenie maksymalnych obrotów powoduje natychmiastowe odcięcie
paliwa ponieważ
świadczy
o poważnej awarii systemu sterującego i grozi uszkodzeniem silnika.
W
skrzyni korbowej dużego
silnika Diesla nie może się pojawić
mgła
olejowa ( alarm podnosi OMD
- Oil Mist Detector ), która może się zapalić
i wybuchnąć.
W 1947 roku wybuch skrzyni korbowej silnika
Diesla na statku "Reina
del Pacifico" zabił
27 osób załogi
statku. Mgła olejowa
prawdopodobnie powstała skutkiem zatarcia łożyska. Dewastujących
wybuchów silników
statkowych były
tysiące.
Przyrządy OMD pojawiły
się w drugiej połowie
lat sześćdziesiątych
i na silnikach wyposażonych
w system OMD definitywnie
skończyły
się dewastujące wybuchy skrzyń
korbowych silników.
Przyrząd OMD jest drogi ale każdy duży statek musi go mieć. Po
pojawieniu się mgły olejowej OMD podnosi alarm i wyłącza silnik.
OMD pokazuje konkretną skrzynie pod cylindrem i znalezienie usterki
nie jest specjalnie trudne.
W przyrządzie OMD mierzy
się tłumienie promieniowania czerwonego w komorze ( jest tylko
jedna komora ) pomiarowej z powietrzem że skrzyni korbowej i
porównuje że stanem ze świeżym powietrzem w komorze.
Mikrokontroler operuje zaworami napełniając kolejno komorę
pomiarową powietrzem wziętym ze skrzyni korbowej pod kolejnymi
cylindrami i przepłukuje komorę czystym powietrzem. Z uwagi na
awaryjność przekaźników triaki załączają zawory a "koperta"
prądów załączanych zaworów jest monitorowana. Wykorzystano fakt
że solenoid zamkniętego zaworu ma mniejsza indukcyjność i po
początkowo większym prądzie załączenia ma on spaść co jest
dowodem zadziałania solenoidu zaworu. Niesprawność działania
zaworów powoduje wygenerowanie alarmu. Także sygnał Watchdoga
generuje alarm niesprawności. Oczywiście monitorowana jest
sprawność żarówki będącej źródłem promieniowania w komorze
pomiarowej a dla czystego powietrza kalibrowane jest wzmocnienie toru
optycznego.
Zmierzone
temperatury spalin w kolektorach wylotowych poszczególnych cylindrów
silnika powinny być w miarę
równe. Zbyt duże
odchyłki
temperatur od wartości
średniej
świadczą
o niesprawności
wtrysku paliwa i powinny wszcząć
alarm. Zauważmy
że system zarazem nieselektywnie wykryje awarie użytych sensorów
temperatury i ich interfejsów. Niesprawny
sensor temperatury winien być wykluczony przez operatora lub
„odłączony” automatycznie a algorytm alarmu gradientowego
winien pracować na zmniejszonej ilości cylindrów silnika.
Silnik
Diesla z doładowaniem przez chwilę dymi po szybkim zwiększeniu
dawki paliwa czyli mocy zanim napędzana spalinami turbina nie
zwiększy obrotów i nie zwiększy dawki powietrza do cylindrów.
Chcąc polepszyć dynamikę silnika i zlikwidować dymienie można
przy zwiększaniu mocy dodatkowym zaworem podać silnikowi przez
chwile sprężone powietrze z instalacji sprężonego powietrza.
Podanie dodatkowego powietrza polepsza dynamikę silnika i eliminuje
dymienie. Program sterujący może uwzględnić awarię tego
dodatkowego systemu i przejść do konfiguracji pracy bez niego.
Najlepiej jednak bez potrzeby (!) nie zwiększać szybko mocy
silnika.
E.
Jeszcze bardziej skomplikowane niż
uruchomienie dużego
silnika Diesla jest uruchomienie turbiny energetycznej. Można
wymienić
liczne warunki konieczne jakie muszą
być bezwzględnie
spełnione
aby podjąć
rozruch określonego
urządzenia i warunki przejścia
do kolejnych etapów rozruchu. Aby w elementach grubościennych
turbiny parowej nie powstawały
niebezpieczne gradienty temperatur i naprężenia
mechaniczne, nagrzewanie rurociągów
i turbiny musi być
stopniowe. Tak samo przed odstawieniem
turbiny stopniowo należy zmniejszyć
jej moc do zera i dopiero wtedy odłączyć
generator od sieci przesyłowej.
Hamowanie turbiny uzyskuje się poprzez stopniowe "zerwanie
próżni"
w ostatnim jej stopniu
niskociśnieniowym. Zauważmy
że połowiczne
odłączenie
generatora od sieci i zerwanie próżni
doprowadzi do uszkodzenia łopatek
turbiny i prawdopodobnie uszkodzenia generatora synchronicznego
pracującego jako silnik asynchroniczny zasilany jednofazowo
z sieci przesyłowej.
Odstawiony
turbogenerator musi być powoli
obracany aby nie skrzywił
się potężny
wał
zespołu.
F.
Sekwencja startowa prostej rakiety na paliwo stałe
jest z reguły
nieodwracalna i niesterowalna. W locie następuje
odrzucanie kolejnych stopni rakiety małymi
ładunkami
wybuchowymi celowo uszkadzającymi połączenia wyczerpanych stopni.
Niedobrze gdy po długim
czasie lotu śmiercionośnej
rakiety okaże
się że jest ona niesprawna. Toteż można na początku
lotu zaprogramować
krótkie
intensywne testy - manewry aby przetestować
sprawność wszystkich lub najważniejszych
systemów. Tracimy co prawda bezcenny czas i paliwo czyli graniczny
zasięg
celu ale gdy rakieta okaże
się wadliwa można natychmiast wystrzelić
kolejną
która wykona mordercze zadanie niesprawnej rakiety.
Odliczanie
do startu amerykańskiego
wahadłowca
kosmicznego trwa aż
43 godziny. Sekwencja startowa ma liczne przerwy pozwalające
ewentualnie usuwać
dostrzeżone
usterki oraz dostosować się do pogody. Przykładowo tankowanie
paliwa do zbiorników kriogenicznych rozpoczyna się 6 godzin przed
startem. Łącznie
sprawdzanych jest kilkaset parametrów i dokonywanych jest kolejno
kilkadziesiąt
uruchomień
różnych
urządzeń.
Nawet po sekwencyjnym zapłonie trzech silników głównych SSME
można jeszcze przerwać
start wahadłowca co zresztą wielokrotnie miało miejsce.
G.
W znakomitej książce "Urządzenia i układy automatycznej
regulacji", Z.Trybalski, PWN 1980, autor w rozdziale drugim
dał
za Siemensem przykład złożonego,
dobrego systemu regulacji dużego
gazowego kotła energetycznego i turbiny bloku z zastosowaniem
regulatorów systemu Teleperm C. Szeroko zastosowano regulacje
wariantową
czyli selekcyjną,
bardzo użyteczną
również
w fazie rozruchu bloku.
Wiadomo że jednostka
materiału
w nowoczesnym urządzeniu złożonym
( sophisticated czyli wymyślnym)
lub rozbudowanym jest droga. Wynika to z małej konkurencji
oferentów. W zasadzie rozwiązania takie oferują potężne światowe
koncerny i nikt inny.
H.
Zautomatyzowane lokomotywy, elektrownie czy statki potrzebują
niewielkiej obsługi
czyli wysoka jest produktywność i wydajność pracy załogi.
Mechanizacja zawsze poprzedza automatyzacje. Zarazem wymagana jest
przy wzroście wielkości
obiektu coraz większa
niezawodność systemów automatyki - sterowania, monitoringu i
alarmów.
Pojęcia
sterowanie i regulacja bywają używane zamiennie choć
jest to nieścisłe.
Sterowanie dotyczy zmiany wartości
zadanej zaś
regulacja eliminacji zakłóceń
przy stałej
wartości
zadanej. Monitoring pozwala operatorowi obserwować
parametry procesu i podejmować
decyzje. System alarmowy powiadamia o niedopuszczalnych sytuacjach -
przekroczeniach dopuszczalnych poziomów zmiennych procesowych lub
ich kombinacji w określonym
kontekście.
Tam gdzie wymagana jest duża
niezawodność podsystemy powinny być niezależne
i nie powinny się krzyżować.
Nawet przy uszkodzeniu systemu sterowania operator może dalej
manualnie prowadzić
krytyczny proces.
I.
Często informacje o niesprawności są dostępne w systemie ale nie
są używane.
Przykład. Każdy elektro
- serwomechanizm sterowany regulatorem krokowym ma określony czas
całkowitego przestawiania. Czasy przestawiania w obu kierunkach są
zbliżone. Jeśli czas przestawiania minął a wyłączniki krańcowe
nie dały informacji o osiągnięciu położenia krańcowego to coś
jest uszkodzone. Ogląd serwomechanizmu przez techników wyjaśnia
sprawę. Do czasu naprawy aparatowy może instruowany telefonicznie
przestawiać zawór ręcznie.
Obiekt regulacji może
pracować w zamkniętej pętli sprzężenia zwrotnego lub w pętli
otwartej. Lokalna wrażliwość nieliniowego układu regulacji zależy
od jego punktu pracy. Praca w otwartej pętli czasem nie jest taka
zła jak się na pozór wydaje. Przy awarii operator może prowadzić
obiekt w otwartej pętli sprzężenia zwrotnego.
Przy
uszkodzeniu sensora operator może wpisać systemowi symulowaną
wartość mierzonego parametru. Funkcja taka jest też użyteczna
przy testowaniu alarmów i monitoringu.
Całość:
https://drive.google.com/open?id=1N9hLzAi-rKcQqZdIhjijErmFIGJGnknE
Całość:
https://drive.google.com/open?id=1N9hLzAi-rKcQqZdIhjijErmFIGJGnknE
Ten wykres "jednostkowe zużycie energii na towarowy transport kolejowy i transport morski" wile tłumaczy. Można tanio wozić towar po świcie - globalizacja.
OdpowiedzUsuńWitam. Ale teraz paliwa mają być bardzo drogie czyli odwrót od globalizacji.
OdpowiedzUsuń