Тег OPC Quality перешёл в состояние Bad. Метка времени замерла. Через четыре секунды график давления в главном коллекторе пополз вертикально вверх, выходя за красную линию. Мы стояли в операторной и смотрели, как наша предиктивная модель, которой мы сдуру дали право записи уставок напрямую в контроллер Honeywell Experion, уложила локальную сеть цеха. Пропускная способность шлюза просто не выдержала частоты опроса. Отработала жесткая релейная защита, сорвало мембрану, завод встал. Смена седая. Мы злые. Именно тогда до нас дошло, что полноценное импортозамещение АСУ ТП через ИИ-надстройку: чем закрывать дыру после ухода Siemens и Honeywell до 2030 — это не задача проброса портов, а параноидальная инженерия.
Этот провал обошёлся заказчику в сутки простоя, а нам в полную пересборку архитектуры. Рынок продаёт ИИ для промышленности как волшебную таблетку: поставьте наш софт, и нейросеть сама выкрутит ПИД-регуляторы на максимум прибыли. Это чушь, которая работает только на слайдах презентаций. В реальности вы имеете дело с легаси-зоопарком, который рассыпается на глазах.
Как гниёт легаси: физика процесса
Интеграторы бодро рапортуют о планах перехода на отечественные ПЛК, но на местах картина выглядит мрачно. Что физически происходит с системами Siemens PCS 7 или Honeywell Experion после ухода вендора? Железо-то работает. Ломается экосистема. Стухают ключи лицензий на инженерных станциях. Вы больше не можете зайти в конфигуратор DCS, чтобы изменить банальный коэффициент или добавить новый тег датчика. Среда разработки превращается в кирпич.
Дальше отваливаются патчи безопасности. Операционки на серверах SCADA покрываются уязвимостями, и служба ИБ требует отключить их от любых сетей вообще. Завод превращается в чёрный ящик. Логика, написанная десять лет назад немецкими инженерами, зашита в контроллерах S7-400 без комментариев к коду. Местные АСУТП-шники боятся трогать старые блоки OB1, потому что никто не знает, какие неявные зависимости там заложены. Любое вмешательство грозит остановкой.
Мы наблюдали попытки снести всё под корень. Один металлургический комбинат решил полностью выдрать Siemens и переписать логику на доступном местном железе. Проект оценили в пять лет работы и восемьсот миллионов рублей капитальных затрат. Через восемь месяцев и два миллиона переписанных строк они остановили процесс, потому что новые ПЛК не потянули тайминги прерываний на критических узлах прокатного стана. Завод вернул старое железо. Время идёт. Оборудование изнашивается.
Импортозамещение АСУ ТП через ИИ-надстройку: чем закрывать дыру после ухода Siemens и Honeywell до 2030
Наш подход в Morana Labs жёстче и прагматичнее: мы не трогаем работающие ПЛК. Пока Siemens шуршит циклами, пусть шуршит. ИИ-надстройка должна работать строго поверх существующего стека, забирая данные без вмешательства в ядро. Рынок пытается создать новую SCADA-систему с нуля, мы же строим инференс на ребрах.
Реализуется это через стандартные протоколы OPC UA или MQTT. Мы ставим легковесный шлюз на границе промышленной сети, который читает зеркалированный трафик или подключается к SCADA-серверу только на чтение. Нейросеть не компилируется в контроллер. Она живёт на выделенных вычислительных узлах, получая поток телеметрии с частотой, которую способен переварить старый коммутатор.
Это даёт три конкретные функции без замены базы. Предиктивная аналитика ловит вибрации насосов и тепловые деформации за недели до механического отказа. Оптимизация режимов просчитывает идеальные параметры смеси на основе сотен переменных, выдавая оператору совет-рекомендацию. Детекция аномалий находит дрейф показаний датчиков ещё до того, как ПИД-регулятор начнёт неадекватно компенсировать ошибку. Все эти тяжеловесные расчеты происходят вне контура АСУ ТП.
Сроки запуска такой надстройки — от четырех до шести месяцев. Капзатраты — около тридцати-сорока миллионов рублей на серверы и интеграцию. Это на порядок дешевле и быстрее, чем выкорчевывать работающие шкафы управления ради отчёта по импортозамещению.
Но проектирование подобной архитектуры — это суровая edge-ai-инженерия. Вы не можете отправить данные завода в облако. Во-первых, вас застрелит служба безопасности. Во-вторых, пинг в двести миллисекунд убьёт любую математическую модель, работающую с быстротекущими процессами. On-premise тут безальтернативен. Инференс крутится на защищённых промышленных x86-серверах с резервным питанием, прикрученных к стойке прямо в цеху. Если отвалится оптика до головного офиса, локальный кластер продолжит обсчитывать процесс и выдавать алерты локальной смене.
ПАЗ и контур регулирования: зона абсолютного запрета
Вернёмся к аварии, с которой начался текст. Главный урок, который написан сорванными клапанами и вылитым продуктом: искусственный интеллект не имеет права принимать решения в контуре противоаварийной защиты и базовом регулировании. Безопасность нейросети не отдают. Точка.
Нейросеть — это вероятностная модель. Она может выдать потрясающий инсайт, а может словить галлюцинацию из-за шума на клемме датчика. Она может зависнуть из-за переполнения памяти на GPU. Если в этот момент она держит открытым клапан подачи реагента, вы получите взрыв.
ПАЗ и SIS-системы обязаны оставаться детерминированными. Реле, жесткая логика ПЛК, аппаратные таймеры. Если ИИ внедряется для управления, то он работает как советчик (Human-in-the-loop). В самых смелых сценариях надстройка может писать уставки в ПЛК, но только в рамках жесточайших коридоров, хардкодно зашитых в самом контроллере Siemens. Нейросеть просит давление 150 бар, но ПЛК знает, что максимум — 120, и срезает команду. Защита от дурака на уровне железа.
Железо тупое и надёжное. ИИ умный, но хрупкий. Разделите их физически, оставьте базовую автоматизацию в покое, и вы спокойно доедете на старом стеке до того момента, когда на рынке появятся адекватные полномасштабные замены. Инженерия не терпит магии, она требует изоляции отказов.