安全加速：让世界最大最快的机器自动化

发布时间：2011-01-19 作者：Michael Babb

        欧洲核子研究委员会（CERN）的LHC（大型强子对撞机）建在一个圆形隧道中，隧道周长27公里，位于地下50到150深，从日内瓦湖一直延伸到法国境内的侏罗山脉。
        当加速器开始工作后，会打出两条方向相反的质子束，并使之在一个装有探测器的检测室内发生碰撞。科学家预计每秒会发生大约6亿次碰撞，而由此产生的数量同样巨大的数据将有助于回答物理学中一些基本问题
        其中一些技术要求包括：
        ●9600个用来引导质子束的磁极，每14.2米包含超过1200个超导偶极磁极
        ●这些磁极首先被气化氦冷却到-193 °C。温度逐渐下降时需要超过1万吨的液化氮，然后降至-271 °C时则需要约60吨的液化氦。
        ●LHC的四个主探测器中，46米的ATLAS是最大的一个。它是一个多用途探测器，探测包括神秘的Higgs玻色子和暗物质。
        ●车检单轨（TIM）作为一种模块化的服务交通工具，可以通过单轨运行在整个加速器隧道中。
        ●数百个Simatic的S7-300和S7-400控制器，包括36个带有电源供给的供电连锁控制器（PIC），确保了整个系统的高有效性和高可靠性。
        ●PVSS（过程可视化和控制系统）监控系统提供了LHC中大多数控制系统的可视功能和监测功能。一年的数据量约有15PB（1500万GB），这些数据可以填满170万张双面DVD。
        CERN想要使用已经商用的控制器和处理器来完成整个系统的自动化。当然，这些控制器必须在一系列严格的测试中证明其可靠性，这些测试几乎从来没有进行过，而且对于其他任何的应用都不会在进行了。

27公里长的LHC地下圆形轨道

          如何防御骇客
        “Simatic S7-400H容错控制器的冗余安装方式也许可以提供一个高等级的安全运行保障。但是，考虑到大多数的控制器、监测装置、甚至执行装置都是直接连接到以太网上的，谁可以保证没有人会接管这些控制器，使其崩溃并危及安全性呢？”CERN IT部门的计算机安全团队的Stefan Lüders博士如此发问。
        由Lüders博士领导的这个团队发明了一种专用测试平台，用来检验控制器、SCADA系统和其他与以太网连接的装置的缺陷。这个方法不仅仅考虑到想要从外部网络访问的骇客，也考虑到了通过其他途径传播进来的病毒和蠕虫：包括USB接口和便携式闪存。相比于在办公室环境下可以使用安装补丁的方法，控制器不易通过最新的病毒防护进行日常升级，尽管这也是可行的。
        作为控制器确认的一部分，缺陷检测器Nessus和Netwox对来自于7个生产厂商的31台设备进行系统的防渗透测试。除了过载的干扰（例如拒绝服务攻击），测试还包括攻击运行中的系统的缺陷，测试时在系统中渗透恶意软件，对基于TCP/IP的协议进行恶意操作。约三分之一的被测设备测试不通过。
        这些测试结果得出的结论是“这是与西门子非常有成效的互动”，并最终使得Simatic控制器多年以来安全性能得到显著提升。现在，这些控制器满足了CERN的严格要求，Lüders博士如此说到。
        如何防患质子撞击
        为了防患质子撞击，Simatic ET 200M分布式I/O现场装置被拿来检测抗质子冲击能力和快速恢复能力。这种耐用性测试主要用于检测I/O卡。西门子的工程师们更换了I/O卡上的光耦合器，以达到CERN平均无故障时间的要求。
        另一个例子是1400个氦供给阀门的鲁棒性测试。安装在阀门上的Sipart PS2电镀气动定位器仅包含一些无源电子器件，都是防辐射的。而有源电子器件都被安装在并行服务通道或壁柜的抽屉隔间内。

        SCADA：全局过程控制和可视化系统。位于CERN的中央控制中心的PVSS保证了无故障控制，并在统一的用户界面中监控质子加速器的所有技术设施

        整个LHC的运行安全是由一套供电连锁控制器（PIC）系统来保障的，它包含了总共36个Simatic S7-300控制器。PIC保证在整个磁极运行期间的，首先满足安全条件，然后才是动力供给。
        当突发事件或失效发生时，质子束可以在几毫秒内被迅速关闭。2008年9月，这种可靠性已经被LHC的初始化启动验证了。
        冗余探测器安全保障
        探测器安全系统（DSS），负责监测探测器的实时状态，并保护基本探测器元器件。它包括基于控制器技术的前台，用来执行安全保障任务，和一个SCADA后台，用来配置和监测。两个执行相同过程代码的容错Simatic S7-400控制器，独立于后台进行前台的持续同步操作。如果出现问题，在另一个控制器被升级之前，功能更多的控制器会自动执行独立操作。
        后台计算机的操作员执行西门子下属子公司ETM的PVSS（过程可视和控制系统）。它决定信息的收集与分析，并为前台控制器执行预先定义好的安全措施。控制器上的执行代码和DSS安装过程中代码是一致的。这些代码完全是数据驱动的，而数据则是从PVSS配置数据库中提取出来的。这样就使得DSS随时都可以去适应实验的方式、启用和评估。
        世界上最长的冰箱
        LHC自动化的最大挑战之一就是安全制冷，或者叫低温技术，这个技术用来制造引导和加速质子束的超导磁极。在这个世界上最长的冰箱中，16个Simatic S7-400s控制器分别控制约250个闭环和500个报警器，并且可以在500ms内完成联锁反应。
        磁极附近的15000个防辐射传感器和执行机构通过Profibus或WorldFIP现场总线互连，通过光纤在几公里的距离内进行通讯。每一对控制器由8个与WorldFIP总线连接的前台工业PC控制。

Sipart PS2电镀气动定位器中有源电子器件，用于为低温磁极供应氦气，放置在LHC隧道外1000米处的抽屉隔间内。

        还有总计52个远程开关盒，8个LHC的隧道入口点，控制5000个低温装置。在4号点，两个相反方向的质子束被超导RF共振器最终加速到7个TeV（7兆电子伏）。
        在LHC里，一对S7-400控制器中的一个控制器用于控制2460米长的弧形区域。在入口处附近，另一个控制器用于在一个270米长的直线区域内来保证低温。
        一百万个监控通道
        2002年，CERN标准化了PVSS软件，并将其推广到所有SCADA功能中去。据来自工业控制和电子小组的Enrique Blanco博士介绍，PVSS是在总计超过一百个解决方案中被选中的。
        为了更好地展现在这个项目中包含的份额巨大的控制器，想想四个大型探测器中，每一个都包含超过一百万个I/O检测通道。此外，如果有需要，还有一个子探测器可以用做独立的探测系统。这些都需要数百台高分布式结构的计算机。
        车检单轨
        TIM是一个无人驾驶的检测小车，它工作在一条悬挂于整个加速器隧道上方的滑轨上。当整条隧道过于危险时这个滑轨就会被使用，比如进行测试、试车或磁极降温期间。
        技术实施团队的领导，Keith Kershaw说：“我们必须确保这个小车总是能在遇到隧道中还有人或其他不可预见的障碍物时立即停下来。”
        基于这个目的，TIM装备了一个激光扫描器，它由一个故障安全Simatic S7-300控制器进行控制，这个控制器可以通过Profisafe协议来触发紧急制动。IWLAN（工业无线局域网）组件被用来在这些模块间进行通讯。