Блог

Автоматизация во время землетрясений: Как системы управления ведут себя, когда земля уходит из-под ног

2026-04-02 08:34
Апрель 2011 года. Нефтехимический завод в 200 км от Сендая. Магнитуда 9,0 - самое мощное землетрясение в истории Японии. Оператор смотрит на экраны SCADA и видит, как показания расходомеров начинают плавно дрейфовать - датчики давления врут, потому что трубопроводы раскачало на несколько сантиметров. Потом SCADA вообще пропадает - питание. Через 40 секунд приходит S-волна и всё, что не было закреплено, летит по цеху. ПЛК на DIN-рейке срывает с шкафа. Но - и это ключевой момент - реле аварийного отключения уже сработало. За 80 секунд до этого. Завод встал в безопасном состоянии.
Это не фантастика. Именно так должна работать правильно спроектированная АСУ ТП в сейсмически активной зоне.

Почему инженеры по автоматизации должны думать о землетрясениях

Разговор о сейсмике в контексте АСУ ТП обычно заходит сам собой, когда речь идёт о Японии, Чили или Калифорнии. Но ситуация в России тоже далеко не тихая. Наиболее сейсмически активные территории страны - Камчатка, Курильские острова, Сахалин, Байкальская рифтовая зона, Алтай, Саяны и Северный Кавказ, где интенсивность сотрясений достигает 8-9 и даже 9-10 баллов по 12-балльной шкале. На Сахалине стоят нефтяные платформы. В Байкальской зоне - горнодобывающие комплексы. На Кавказе - химические производства.
Промышленный объект, стоящий в зоне 7+ баллов, - это уже другая история проектирования. Здесь недостаточно написать программу на лестничных диаграммах и забыть. Нужно думать о том, что произойдёт с системой управления в первые 30-90 секунд события.
И ещё одна вещь, которую часто упускают из виду. Землетрясение само по себе редко убивает производство напрямую. Чаще всего убивает то, что происходит после: газ, который не перекрыли; реактор, который не заглушили; насосная, которая продолжила качать в разорванный трубопровод. Автоматика - это и есть та самая линия обороны.

Физика вопроса: P-волны, S-волны и те самые секунды

Чтобы понять, как строить системы защиты, нужно разобраться с базовой физикой сейсмических волн. Это не лирика - это прямая основа для технических решений.
Любое землетрясение генерирует два основных типа волн. Первичные (P-волны) - продольные, сжимающие, они распространяются быстрее всего, со скоростью около 6-8 км/с в земной коре. Ощущаются как лёгкое покачивание или вертикальный удар. Сами по себе они практически не опасны. Зато вторичные (S-волны) - поперечные, они медленнее (3-4 км/с), но именно они несут большую часть разрушительной энергии. Они приходят позже.
Чем дальше от места установки системы происходит землетрясение, тем больше временной лаг между P- и S-волнами. Этот лаг и есть то самое время для оповещения людей и срабатывания автоматики.
Если эпицентр в 100 км от объекта - разрыв составит примерно 10-15 секунд. Если в 300 км - уже 40-50 секунд. А сейсмические S-волны распространяются со скоростью около 4 км/с, и для преодоления 373 км до Токио во время землетрясения 11 марта 2011 года им потребовалось около 90 секунд. Эти 90 секунд система японского раннего предупреждения отдала людям и промышленным объектам на подготовку к удару.
Именно на этом принципе построены все современные системы сейсмической защиты промышленных объектов: детектируй P-волну, оцени мощность события, за оставшееся до S-волны время переведи объект в безопасное состояние.

Уровни сейсмической защиты: от простого выключателя до умной системы

Если расставить доступные технические решения по нарастающей сложности, получается примерно следующая картина.

Уровень 1: Пассивный сейсмовыключатель

Самый простой и дешёвый вариант - механический или электронный сейсмический выключатель. Он не анализирует волны, не отправляет данные по Modbus, не интегрируется в SCADA. Просто: тряхнуло выше порога - замкнул или разомкнул контакт.
Один из распространённых примеров такого класса устройств - DATAKOM DSD-060, построенный на двухосевых кремниевых акселерометрах. Порог срабатывания регулируется в диапазоне 0,1-0,25g, время детектирования не превышает 0,5 секунды, устройство имеет два независимых релейных выхода - основной и вспомогательный для предупреждения.
Механические аналоги работают ещё проще: внутри шарик или маятник, который при ускорении выше порога разрывает цепь. Такие вещи ставят на газовые клапаны в жилых домах и небольших коммерческих объектах. Надёжны как кувалда. И примерно так же просты.
Более продвинутые аналоги - трёхосевые сейсмические выключатели класса SATURN - измеряют ускорение по осям X, Y и Z в единицах g, поддерживают резервное питание от аккумулятора и три релейных выхода с сухими контактами. Пороговый уровень срабатывания задаётся пользователем под местные требования.
Проблема с пассивными выключателями одна: они не различают P- и S-волны. Сработают уже на S-волне - то есть тогда, когда ударная нагрузка уже пришла. Это лучше, чем ничего, но явно не идеал для опасного производства.

Уровень 2: Активная сейсмическая защита с анализом волн

Здесь начинается настоящая автоматизация. Устройства этого класса непрерывно анализируют спектр вибраций, отфильтровывают промышленные помехи (а это нетривиальная задача - попробуйте отличить удар прессового оборудования от начала P-волны), и при обнаружении характерной сейсмической сигнатуры выдают команду задолго до прихода S-волны.
Устройства класса GeoSwitch контролируют ускорение в трёх ортогональных осях, могут работать по вектору суммарного ускорения, поддерживают до трёх независимых реле, хранят журнал последних десяти событий с временными метками и значениями PGA - пиковыми ускорениями грунта - и автоматически выполняют самотестирование каждого канала.
Что важно: промышленные фильтры. На заводе постоянно что-то вибрирует - компрессоры, насосы, мостовые краны. Без грамотной фильтрации сейсмический детектор будет срабатывать каждые полчаса на удар вилочного погрузчика. Хорошие сейсмические выключатели имеют фильтры, отсекающие промышленные вибрации, что подтверждено тестами в условиях работы рядом с железными дорогами и на производственных площадках.

Уровень 3: Интеграция в общую архитектуру АСУ ТП

Вот здесь начинается работа для инженера по АСУ ТП. Сейсмический датчик сам по себе бесполезен, если он не интегрирован в систему управления объектом. Задача - выстроить цепочку: детектирование → передача сигнала → логика безопасного останова → исполнение.
Практически это выглядит так. Выход сейсмовыключателя заходит на дискретный вход Safety PLC или на отдельный канал системы противоаварийной защиты (ПАЗ). В программе ПАЗ прописывается секвенс безопасного останова: закрыть отсечные клапаны, перевести реакторы в режим hold или safe, остановить насосы в заданной последовательности, сохранить состояние в энергонезависимой памяти. Всё это - за то время, которое есть до прихода S-волны.
Именно на этом этапе начинают работать требования функциональной безопасности. Стандарты IEC 61508 и IEC 61511 определяют уровни полноты безопасности (SIL), которым должна соответствовать система в зависимости от риска. Система противоаварийной защиты включает независимую комбинацию датчиков, логических решателей и конечных элементов, спроектированных для достижения заданного уровня SIL.
Для объектов в сейсмических зонах, где отказ может привести к выбросу опасных веществ или пожару, минимальный целевой уровень - SIL 2. Это означает вероятность опасного отказа по требованию не выше 10⁻³.

Японский опыт: когда у тебя 80 секунд

Япония - это вообще отдельная история. Система раннего предупреждения о землетрясениях EEW работает под управлением Японского метеорологического агентства с 2007 года. Сеть насчитывает 4235 сейсмометров по всей стране. При обнаружении P-волны на двух и более станциях система анализирует эпицентр, магнитуду и рассылает предупреждения.
Ключевая особенность японского подхода - двухуровневая система оповещения. Первый тип уведомлений - для населения через телевидение, радио и смартфоны. Второй - более подробный, для значимых инфраструктур: именно эти уведомления позволяют вовремя остановить скоростные поезда, зафиксировать лифты на ближайшем этаже и открыть двери, отключить газовые вентили на промышленных объектах.
Промышленные объекты в Японии подключаются к этой системе через специализированные приёмники EEW, которые получают сигнал по выделенному каналу, вычисляют расчётное время прихода S-волны для конкретной точки и выдают команду на ПАЗ. При этом система автоматически учитывает расстояние до эпицентра и локальные условия грунта.
Результат: по данным после Тохоку-2011 года, именно автоматические системы предотвратили вторичные катастрофы на большинстве химических и нефтеперерабатывающих производств региона. Завод, который мог стать пожаром, остановился за 60 секунд до главного удара.

Что происходит с ПЛК во время тряски

Теперь давайте поговорим о том, о чём обычно не говорят на семинарах по АСУ ТП. О механике.
ПЛК - это электроника в корпусе, смонтированная на DIN-рейку. DIN-рейка закреплена в шкафу. Шкаф стоит на полу. При землетрясении 7-8 баллов ускорение грунта составляет 0,1-0,3g. Это значит, что шкаф управления испытывает горизонтальные нагрузки, сравнимые с нагрузками на транспортном средстве при экстренном торможении. Незакреплённые клеммные колодки отстёгиваются от DIN-рейки. Разъёмы вибрируют и дают кратковременные потери контакта. Кабель-каналы могут деформироваться.
В контексте сейсмики к шкафам управления предъявляют особые требования. Крепление DIN-реек - не стандартные пластиковые зажимы, а металлические фиксаторы с винтовым зажимом. Разъёмы кабелей - с защёлками или дополнительной фиксацией. Тяжёлые компоненты (трансформаторы, силовые блоки питания) - на усиленных кронштейнах с ограничителями смещения. Шкаф - с болтовым анкерным креплением к несущим конструкциям.
Отдельная история - источники питания. При землетрясении высока вероятность кратковременного провала или полного пропадания сети. Для систем ПАЗ это критично: именно в этот момент система должна работать надёжнее всего. Поэтому байпас питания ПЛК через ИБП с батарейной поддержкой - не опция, а обязательный элемент архитектуры.
И ещё один неочевидный момент. Резервные коммуникации. Если Ethernet-кабели к удалённым IO-модулям физически повреждены толчком, ПЛК теряет связь с частью датчиков и исполнительных механизмов. Программа должна корректно обрабатывать эту ситуацию: разрыв связи с модулем ввода-вывода не должен приводить к зависанию логики безопасного останова. Здесь помогает резервирование физических каналов и продуманная обработка fault-состояний в программе.

Архитектура сейсмозащиты: как это выглядит на практике

Попробую нарисовать типовую архитектуру для, допустим, нефтедобывающего объекта в сейсмически активном регионе.
Первый слой - сейсмические детекторы. Их устанавливают несколько штук, размещая в разных местах объекта. Применяют логику голосования 2 из 3 (2oo3): срабатывание засчитывается только если минимум два датчика из трёх зафиксировали превышение порога. Это исключает ложные срабатывания от одиночных ударов.
Второй слой - приёмник сигнала EEW или региональной системы раннего оповещения. Если объект подключён к государственной инфраструктуре предупреждения, сигнал приходит ещё раньше, чем датчики на площадке успевают почувствовать P-волну.
Третий слой - Safety PLC или ПАЗ-контроллер. Сюда заходят сигналы с сейсмических датчиков и сигнал EEW. Логика безопасного останова программируется в соответствии с SIL-требованиями. Контроллер физически отделён от основного технологического ПЛК - это принципиально важно для функциональной безопасности.
Четвёртый слой - исполнительные механизмы безопасного состояния. Отсечные клапаны с пружинным возвратом (fail-safe), которые закрываются при потере управляющего сигнала. Аварийные задвижки. Системы аварийного сброса давления. Агрегаты с электромагнитными расцепителями.
Важная деталь: секвенс останова должен быть отработан на тренировках и прописан в документации. Что закрывается первым, что вторым. Сколько времени занимает каждая операция. Есть ли конфликты (нельзя одновременно закрыть нагнетательный клапан и клапан сброса - давление разнесёт трубу).
Системы сейсмической защиты для промышленных объектов интегрируются с командной системой управления предприятием и могут автоматически инициировать отключение машин и оборудования, изолировать опасные материалы, перекрывать водопровод и подачу электроэнергии. Это сокращает нестроительный ущерб от сотрясений до 50% по оценкам ряда производителей.

Газовые клапаны: самый распространённый сценарий

Пожалуй, самое массовое применение сейсмической автоматики - автоматические газовые отсечные клапаны. Большинство Калифорнии расположено в пределах 30 миль от активного разлома, и, по данным Геологической службы США, ежегодно в штате происходит около 10 000 землетрясений. Неудивительно, что автоматические отсечки на газопроводах там стали почти обязательным элементом инфраструктуры.
На промышленных объектах задача сложнее. Просто "закрыть газ" при землетрясении иногда опаснее, чем оставить его открытым - если, например, газ используется для отопления реактора, внезапная потеря тепла может привести к нежелательным реакциям. Поэтому алгоритм всегда индивидуальный: сначала перевести технологический процесс в управляемое промежуточное состояние, и только потом - изолировать источники энергии.
Показательный пример из европейской практики: городские службы Базеля используют систему раннего предупреждения для полного отключения городской газовой сети при детектировании сейсмического события выше порогового значения. Это рабочий сценарий для муниципальной инфраструктуры, но для промышленного химического производства он неприменим без предварительного safe-state-алгоритма.

Нормативная база: что говорят стандарты

В международной практике сейсмическая защита промышленных объектов регулируется несколькими документами. В США это прежде всего ASCE 25-97 (нормы для сейсмических датчиков), ASME A17.1 (лифты и подъёмное оборудование) и ANSI Z.21-70 (газовые клапаны с сейсмической защитой). В Европе - требования AFPS для объектов высокой опасности.
В России ГОСТ Р 55596-2013 и ряд отраслевых норм (для нефтегазовой отрасли - документы Ростехнадзора) регулируют проектирование объектов в сейсмических зонах. Но специфических требований именно к системам управления и АСУ ТП в сейсмическом контексте значительно меньше, чем в японских или американских нормах. Это реальный пробел в регулировании, который каждый интегратор в зоне риска закрывает самостоятельно - опираясь на международный опыт или на здравый смысл.
Что точно применяется повсеместно - это требования функциональной безопасности IEC 61508/61511. SIL (уровень полноты безопасности) - это относительная мера снижения риска, обеспечиваемая предохранительной функцией, или целевой уровень снижения риска, который требуется достичь. Для систем сейсмической защиты на объектах с опасными производственными процессами проектировщики обычно целятся в SIL 2, а в отдельных случаях (хранение сжиженных газов, ядерное топливо) - SIL 3.

Мёртвая зона и её последствия

Есть один неприятный физический факт, который нужно честно признавать при проектировании сейсмозащиты. Если объект находится прямо над очагом мелкого землетрясения, P- и S-волны приходят практически одновременно и предупреждение невозможно. В большинстве действующих EEWS радиус такой мёртвой зоны составляет 20-50 км.
Это значит, что для объектов в непосредственной близости к активным разломам системы раннего предупреждения на основе P/S-волн дают очень мало времени или не дают вовсе. В таких случаях ставка делается на:
  • устойчивость оборудования к сейсмическим нагрузкам (антисейсмическое исполнение шкафов, крепёж, кабельных трасс)
  • архитектуру fail-safe: все исполнительные механизмы по умолчанию переходят в безопасное состояние при потере питания или сигнала
  • ускоренный локальный детектор без внешней системы EEW - просто трёхосевой акселерометр прямо на ПЛК с порогом срабатывания 0,05-0,1g и немедленной командой на останов
Последнее - это как раз тот случай, когда простота побеждает. Пусть система среагирует уже во время S-волны, но хотя бы среагирует правильно.

Восстановление после события: недооценённая задача

Пережить землетрясение - полдела. Вторая половина - правильно вернуть производство в работу. Здесь автоматизация тоже должна помогать.
После срабатывания сейсмозащиты и останова объекта нельзя просто нажать "Пуск". Нужно:
Первое - убедиться, что сейсмическая активность завершилась (афтершоки могут идти часами). Контроллер должен хранить лог событий с отметками времени и значениями PGA по каждому каналу. SCADA выводит кривую интенсивности за последние 24 часа.
Второе - провести автоматическую диагностику состояния оборудования до старта. Прогон самотестирования всех датчиков, проверка питания, сканирование состояния исполнительных механизмов, проверка целостности сетевых сегментов. Только если диагностика прошла успешно - разрешение на пуск.
Третье - постепенный пуск, а не одновременное включение всего. Секвенс пуска после аварийного останова должен быть медленнее штатного. Это и защита оборудования, и возможность для операторов зафиксировать отклонения.
Системы сейсмической защиты, поддерживающие формирование отчётов о событии, помогают ускорить возврат к производству: отчёт содержит детализированную информацию о повреждениях производственных линий и помогает принимать решения о возобновлении работы.

Практический кейс: нефтяная платформа на Сахалине

Представьте типичный объект: добывающая платформа или береговой узел подготовки нефти на Сахалине. Регион с ежедневной фоновой сейсмикой, где несколько раз в год бывают толчки 4-5 баллов, а раз в несколько лет - что-то серьёзнее.
Штатная задача АСУ ТП: управление сепараторами, насосами, системами подготовки газа. Добавляем сейсмическую составляющую:
На каждом из трёх жилых/технологических модулей стоит трёхосевой сейсмодатчик. Сигналы заводятся на Safety PLC по схеме 2oo3. Параллельно объект подключён через GSM к региональной системе мониторинга. Уставка срабатывания - 0,07g (примерно 5 баллов MSK). При срабатывании: за 0 секунд - закрытие всех отсечных клапанов на входе и выходе сепараторов; за 5 секунд - перевод компрессора в режим bypass; за 15 секунд - останов насосного оборудования в заданной последовательности. Всё это - без участия оператора. После события - обязательный аудит данных, подтверждение физической целостности трубопроводов и только тогда - разрешение на рестарт.
Для такого объекта контроллеры с расширенным диапазоном рабочих температур, защитой корпуса IP65 и поддержкой горячего резервирования - не каприз, а необходимость. Именно к такому классу решений относятся и промышленные контроллеры, ориентированные на работу в жёстких климатических условиях с поддержкой резервированных конфигураций, для более простых задач общих тематик хорошо подходит линейка ПЛК СТАБУР от ООО ПО «Промсвязь»

Коротко о главном: FAQ для быстрого поиска

Что такое сейсмическая защита АСУ ТП?
Это комплекс технических решений, обеспечивающих автоматический перевод промышленного объекта в безопасное состояние при землетрясении. Включает сейсмические датчики, логику Safety PLC и алгоритм безопасного останова технологического процесса.
Как работает система раннего предупреждения о землетрясениях для промышленности?
Система детектирует первичные P-волны, которые приходят раньше разрушительных S-волн. За время разрыва между P- и S-волной (от 10 до 90 секунд в зависимости от расстояния до эпицентра) АСУ ТП успевает перекрыть клапаны, остановить оборудование и сохранить процесс в безопасном положении.
Какие стандарты регулируют сейсмическую защиту промышленных объектов?
Международно применяются ASCE 25-97, ANSI Z.21-70, IEC 61508/61511 (функциональная безопасность, уровни SIL). В России - ГОСТ Р 55596-2013 и требования Ростехнадзора для опасных производственных объектов в сейсмических зонах.
Что такое мёртвая зона EEWS?
Зона радиусом 20-50 км от эпицентра, где P- и S-волны приходят практически одновременно, и система раннего предупреждения не успевает сработать. В таких зонах ставка делается на сейсмоустойчивость оборудования и архитектуру fail-safe.
Что делать с ПЛК после землетрясения?
Перед возобновлением работы необходимо провести полную диагностику: проверить питание, датчики, исполнительные механизмы, целостность сетевых каналов и физических соединений. Пуск разрешается только после прохождения всех проверок и убеждения в завершении афтершоков.

Вместо заключения

Сейсмическая защита АСУ ТП - это не экзотика для японских заводов. Это инженерная задача, которая касается любого объекта в зоне 7+ баллов - а таких в России достаточно. И решается она теми же инструментами, которые инженер по автоматизации использует каждый день: контроллерами, дискретными входами, программируемой логикой и здравым смыслом при проектировании fail-safe.
Разница только в одном: здесь ошибка проектирования проявляется не в том, что процесс встанет лишний раз, а в том, что он не встанет тогда, когда должен. И вот тогда это уже не производственный инцидент. Это другая история.