А.С. Алпеев, к.т.н.

Аннотация. В статье отмечается, что появление проблемы кибербезопасности атомной станции (АС) связано с применением программируемых средств автоматизации в управляющих системах, поскольку эти средства автоматизации подвержены кибератакам, и не имеют подтверждаемых характеристик надежности. Статья посвящена вариантам применения программируемых средств автоматизации (ПСА) и непрограммируемых средствах автоматизации (НСА) в управляющих системах АС, при котором удовлетворяются требования к ним по качеству функционирования, в том числе и по надежности.

Перечень ключевых слов: атомная станция, безопасность, защита, защищенность, кибербезопасность, качество, координация, останов, отказ, пуск, правила, режим, рекомендации, резервный комплект, система управления, средства автоматизации, требования, методики, надежность. «Концепция  обеспечения кибербезопасности атомных станций».

При рассмотрении обеспечения кибербезопасности АС,   удобно рассматривать разделение средств автоматизации, на которых  реализованы ее управляющие системы, на два класса: НСА и ПСА. При этом, следует отметить тот факт, что появление проблемы кибербезопасности АС связано с применением ПСА в управляющих системах, поскольку эти средства автоматизации, отличаясь повышенной точностью, быстродействием, высокими коммуникативными характеристиками, легкостью разработки по сравнению с управляющими системами, разработанными на НСА, в тоже время подвержены кибератакам и не имеют подтверждаемых характеристик надежности, что может приводить к отказам, результатом которых могут быть аварии с очень серьезными последствиями.

Поэтому одним из наиболее кардинальных методов обеспечения кибербезопасности АС следует считать применение управляющих систем АС, которые разработаны на основе НСА, т. е. на средствах, которые нечувствительны к кибератакам и имеют методики расчета и подтверждения показателей безотказности выполняемых функций. Это утверждение подтверждается длительным опытом работы АС, управление которых осуществлялось без применения ПСА.

Тем не менее, повышение качества функционирования АС, как показывает практика, в настоящее время тесно связывается с применением  ПСА. Поскольку этот аспект очень важен для дальнейшего развития АС, то следует рассматривать варианты совместного применения ПСА и НСА, таким образом, чтобы получаемый эффект был приемлем как для безопасности, так и для показателей качества функционирования.

Для этой цели рассмотрим возможности применения названных групп средств автоматизации в различных режимах работы АС. На рис 1 представлен граф режимов работы АС, который содержит стояночные режимы работы (перегрузку топлива, ремонтные и наладочные работы), режимы пуска, энергетические режимы, режимы останова и аварийные режимы.

Как правило, из указанных на рис 1 режимов работы АС наибольшую опасность вызывают отказы в управлении систем, обеспечивающих  выполнение аварийных режимов работы АС. Это объясняется тем, что результатом воздействия кибератак на эти системы может быть не только нарушение работы аварийных защит по назначению, но и их ложные срабатывания, которые приводят к выработке ресурса технологического оборудования, например, по количеству числа аварийных срабатываний, нормативно регламентируемых при эксплуатации АС.  Для решения этих проблем наиболее целесообразно выполнять эти системы управляющие системы безопасности, (УСБ) на НСА, поскольку опыт такой реализации накоплен, алгоритмы хорошо известны, безотказность обосновывается как расчетом, так и опытом эксплуатации.

Режимы пуска АС, как правило, считаются одними из самых напряженных и разнообразных режимов работы, поскольку в этих режимах принимает участие последовательно или параллельно почти все технологическое оборудование АС.  Введение в эксплуатацию оборудования должно выполняться по алгоритмам, согласованным по времени с многочисленными параметрами технологических процессов АС в широком диапазоне их изменения. Выполнять управление этим режимом более целесообразно на ПСА, поскольку этим обеспечивается более корректная координация и согласованность множества выполняемых действий на протяжении достаточно длительного времени (от 4 до 8 дней, примерно 5 – 10 % от всего времени работы АС). Результатом завершения любого пускового режима является достижение номинальных технологических параметров АС и переход в энергетический режим для выработки энергии с требуемыми показателями качества.

Таким образом, система управления пуском АС должна функционировать безотказно в течение, примерно, недели с вероятностью отказа порядка 10^-4час.  Это хорошо согласуется с  рекомендациями МАГАТЭ [1] по времени безотказной работы систем, реализованных на ПСА. В которых указывается:

п. 2.9 «Количественная оценка безотказности цифровых программируемых систем из-за ряда недостатков более трудна, чем для непрограммируемых систем. Это может вызывать определенные трудности в демонстрации ожидаемой безопасности системы, выполненной на основе  компьютерной техники. В настоящее время требования высокой программной безотказности не доказуемы. Следовательно, проекты, базирующиеся на единственной системе, выполненной на основе  компьютерной техники и достигающей вероятности отказа на требование более низкой, чем 10^-4 для программного обеспечения, должны реализовываться с предосторожностью». Далее в [2] п. 2.13, также указывается, что «Количественное определение программной безотказности остается нерешенной проблемой. Испытание программного обеспечения имеет некоторые ограничения и поэтому количественное определение программной безотказности для компьютерных систем может быть трудно или невозможно демонстрировать». [2]

Следующими режимами работы АС являются самые длительные режимы, примерно 85 – 90 % от всего времени работы АС, это энергетические режимы, в которых достигается цель функционирования АС – выработка энергии тепловой и электрической. Эти режимы работы АС считаются основными или базовыми. В этих режимах, как правило, нет переходных процессов с быстрыми динамическими изменениями, которые не требуют высокого  быстродействия. Это позволяет предполагать, что  его можно выполнять практически в статическом состоянии технологического процесса выработки энергии. Таким образом, можно предложить завершать режим пуска АС переводом всех технологических параметров АС в режим стабилизации их на НСА в течение всего энергетического режима, что обеспечивает кибербезопасность АС в этих режимах.

Следующими режимами работы АС является режимы «планового останова», или проще «режимы останова». В этих режимах осуществляется снижение мощности АС до стояночных режимов и стабилизация в этих режимах для различных технологических целей, например: перегрузки топлива, ремонта и замены отказавшего оборудования и т.д. Осуществление этих режимов может осуществляться как в автоматическом так и  в автоматизированном режиме в течение времени, определенном в регламенте по эксплуатации АС и с учетом сложившейся обстановки по безопасности из любого режима работы АС. Длительность этого режима работы АС составляет от нескольких дней до недели. Таким образом, реализация этих  режимов возможна на управляющих системах, выполненных, как на основе НСА, так и на ПСА.

Кроме того, существует еще класс систем, которые совмещают реализацию целей нормальной эксплуатации и безопасности – это управляющие системы, важные для безопасности (УСВБ). Средства автоматизации для реализации этих систем должны выбираться на компромиссной основе в зависимости от важности последствий их отказа. При этом следует учитывать то, что основной комплект УСВБ следует выполнять на НСА, а резервный комплект на ПСА, или наоборот, в зависимости от концепции принятой при реализации системы.

Таким образом, можно констатировать, что обеспечение кибербезопасности АС можно обеспечивать соответствующим выполнением управляющих систем, следующим образом:

1. системы УСНЭ на средствах ПСА,

2. системы УСБ с резервными комплектами на средствах НСА,

3. системы УВБ на средствах НСА основные комплекты, а на средствах ПСА – резервные комплекты.

   При таком распределении средств автоматизации по управляющим системам  применение ПСА за счет снижения времени их функционирования в период управления технологическими процессами требования к надежности их функционирования достигают приемлемых значений, рекомендованных МАГАТЭ.

   Что касается применяемой терминологии, то рекомендую придерживаться следующего варианта:

   Кибербезопасность – раздел безопасности, изучающий процессы формирования, функционирования и эволюции киберобъектов, с целью выявления источников киберопасности, которые могут нанести им ущерб, и формирования законов и других нормативных актов, регламентирующих термины, требования, правила, рекомендации и методики, выполнение которых должно гарантировать защищенность киберобъектов от всех известных и изученных источников киберопасности.

    

   Список литературы

1. Программное обеспечение систем важных для безопасности, выполненных на основе компьютерной техники для атомных энергетических станций. NS-G-1.1- 2000.

2. Алпеев А.С. Терминология безопасности: кибербезопасность, информационная безопасность. Журнал: Вопросы Кибербезопасности № 5(8) 2014г.

    

                Cybersecurity concept of Nuclear Power Plants

   Annotation

   The article notes that the safety of the cybersecurity problem of the NPP is associated with the use of programmable automation means (PAM) in control systems, since these NPP are distinguished by high accuracy, speed, high communicative characteristics, ease of development compared to control systems developed on non-programmable automation means (NAM), at the same time, are subject to cyber attacks and do not have confirmed reliability characteristics. The article is devoted to options for the use of PSM and NSM in the control systems of the NPP, which satisfies the requirements for them on the quality of operation, including reliability.

   List of keywords: nuclear power plant, safety, protection, security, cybersecurity, quality, coordination, shutdown, failure, start-up, rules, mode, recommendations, back-up kit, control system, automation, requirements, methods, reliability. "Cybersecurity concept of Nuclear Power Plants."