Хабрахабр

Завтра мы начнём вас убивать, или Зачем нужны инженеры

Привет, Хабр. Под этим пафосным заголовком я бы хотел поговорить о том, что такое «инженерная наука», в чём состоит главная обязанность инженера и что бывает, если он с ней не справляется — мне кажется, в последнее время эта тема становится всё более актуальной, при этом её публичного обсуждения я не вижу.

Сподвигла меня на это разразившаяся (при моём активном участии) в минувшие выходные история с «нейроинтерфейсами» компании Bitronics Lab — детскими учебными наборами для снятия ЭЭГ и мышечной активности, которые при ближайшем рассмотрении оказались попросту небезопасны в использовании из-за несоблюдения их производителем базовых требований к электробезопасности медицинского оборудования.

История это очень показательна в том, что она демонстрирует, как по мере роста сложности система, составленная из кажущихся её авторам безопасными компонентов, становится опасной — причём на примере системы простой, бытовой и интуитивно понятной, а не атомного реактора или реактивного лайнера, которые любят брать в качестве примеров авторы книг вроде моей любимой "Inviting Disaster".

Кроме того, с одной стороны, история эта с настолько счастливым концом, насколько возможно (производитель быстро признал проблему и сейчас работает над её решением), а с другой — вскрыла такие глубины, о которых многие и не подозревали, став из истории о технике историей о людях.

Итак, уважаемая российская компания, имеющая целую пачку не менее уважаемых партнёров, делает недешёвые, но пользующиеся спросом современные учебные наборы, используя для этого проверенные временем и считающиеся совершенно безопасными компоненты — Arduino, датчики, персональный компьютер.

Вся система подключается к USB-порту компьютера. Казалось бы, что может пойти не так?
Если вы посмотрите обучающие видео Bitronics (тем более, сайт почему-то подсовывает их вместо описания набора), то комплект поставки будет более чем очевиден — это обычная плата Arduino Uno, платка аналогового интерфейса для датчиков ЭКГ, несколько наклеивающихся на кожу электродов, ну и провода, макетка и прочая мелочь. Один из электродов в примере, из которого взят скриншот ниже, приклеивается к коже головы сразу за ухом.

Дело в том, что в большинстве бытовых случаев удар электрическим током не наносит жертве никакого вреда, потому что человек инстинктивно отдёргивает руку, разрывая цепь — смертельные исходы в основном случаются тогда, когда перед ударом человек схватился за токопроводящую цепь достаточно хорошо, чтобы рывок тела не позволил от неё отцепиться, а разжать руку он уже не может, потому что мышцы руки парализованы протекающим через них током (если ток превышает т.н. Первая проблема, которую не учли авторы набора, начинается с того, что к медицинскому оборудованию предъявляются более высокие требования по электробезопасности — и предъявляются не просто так. порог отпускания, величина довольно небольшая, всего несколько миллиампер).

Более того, для проведения измерений требуется максимально качественный контакт электродов с кожей, поэтому часто используются ещё и специальные гели, этот контакт улучшающие. Проблема с медицинским оборудованием в том, что электроды в большинстве случаев закреплены на пациенте так, что он в принципе не может рефлекторным движением освободиться от них — например, в случае снятия ЭЭГ или ЭКГ они приклеены к коже. Наконец, электроды могут располагаться в точках, ещё менее приятных с точки зрения поражения током, чем в бытовых ситуациях — на груди в области сердца, на голове и так далее.

Кроме того, так как в процессе работы на электродах может присутствовать ненулевой потенциал, человек может получить удар током даже при полностью исправном оборудовании, например, если возьмётся за заземлённый предмет (корпус прибора, батарею отопления, водопроводную трубу и так далее). В такой ситуации опасными становятся токи величиной уже от 1 мА, а иногда и меньше, которые в быту вызовут максимум немного неприятных ощущений.

ГОСТ 30324. Действующие стандарты на безопасность медицинского оборудования отдельно, недвусмысленно и в явном виде описывают случай с протеканием тока через тело пациента в подобных ситуациях — и предписывают весьма жёсткие ограничения таких токов: не более 0,1 мА постоянно, не более 0,5 мА разово при неисправности оборудования (а в некоторых случаях лимиты снижают ещё в десять раз, см. 0-95).

Но, может быть, у нас всё хорошо — ведь Arduino питается всего лишь от 5 В, такое напряжение не даст ток выше единиц-десятков микроампер?..

Вторая проблема, которую не учли разработчики — в том, что на корпусе компьютера, в который включена их система, напряжение может быть много, много выше.

Вообще это знание тривиально и доступно как минимум каждому второму эникейщику — в силу широчайшего использования в России розеток без заземляющего контакта и, тем более, без подведённого к ним заземления, на корпусе компьютера постоянно присутствует переменное напряжение величиной ровно в половину сетевого, то есть 230/2 = 115 В.

Эти конденсаторы могут отсутствовать в самом наидешёвейшем китайском барахле, но в любой минимально приличной технике они есть, потому что требования по электромагнитной совместимости предписывают фильтровать создаваемые блоком питания помехи. Дело в том, что во входном фильтре типового импульсного блока питания стоит пара конденсаторов, образующих делитель между линиями сетевого питания и корпусом компьютера — при нормальной эксплуатации, когда компьютер подключён к заземлённой трёхполюсной розетке, ток через эти конденсаторы уходит в землю.

Если у вас дома электропроводка без заземления, то вы можете взять обычный мультиметр и, воткнув его между компьютером и батареей отопления, лично увидеть около 115 В и около 0,5-1,5 мА (плюс-минус, в зависимости от другой включённой в комп техники, в блоках питания которой тоже есть эти конденсаторы).

Впрочем, пользователи периферии, тех же геймерских клавиатур в алюминиевых корпусах, регулярно жалуются на сопутствующие ощущения, а на фейсбуке мне рассказали про случай, в котором отсутствие заземления и вовсе представляло опасность — в офисе была проложена линия заземления между розетками, но в щитке она не была подключена; пользователь, взявшийся одновременно за батарею отопления и компьютер, получал не 1 мА, а в десять-двадцать раз больше — так как лупили током его все компьютеры в комнате одновременно. Обычно это неприятно, но не опасно — случайно коснувшись компьютера, греющий ноги на батарее отопления пользователь получит лёгкую щекотку и руку отдёрнет.

Однако мы говорим про набор Bitronics Lab, который:

  • подключён к компьютеру без гальваноразвязки, т.е. имеет на все своих контактах потенциал в те же 115 В, что и на корпусе незаземлённого компьютера, с током короткого замыкания на настоящую землю в 0,5-1,5 мА;
  • подключён к пользователю специальном электродом, на котором присутствует тот же потенциал в 115 В;
  • электрод приклеен к коже пользователя, причём не где-нибудь, а на голове.

Какие эффекты произведёт касание пользователем заземлённой батареи отопления, я думать не хочу — мне рассказывали, что при электроокулографии тридцать вольт, случайно поданные на электроды, воспринимаются как ярчайшая вспышка перед глазами, но здесь в силу иного расположения электрода будет скорее что-то вроде лёгкой формы электросудорожной терапии (согласно текущим правилам ВОЗ, запрещена для несовершеннолетних пациентов и требует письменного согласия от совершеннолетних).

Более того, даже заземление компьютера не гарантирует отсутствие неприятных эффектов — батарея отопления может относиться к другому контуру заземления, нежели земля в розетках, и если сделаны они не слишком удачно, между ними может быть потенциал в десятки вольт.

Именно таким способом погибают от заряжающегося смартфона в ванной — чугунная ванна и металлические трубы заземлены, а высокая влажность резко увеличивает вероятность пробоя внутри зарядного устройства и одновременно снижает сопротивление кожи. Наконец, утечка может происходить вообще на каком-либо другом приборе, например, на дешёвой китайской смартфонной зарядке — и тщательно заземлённый компьютер уже сам послужит «громоотводом», через который — и по пути через вас — этот ток свободно потечёт.

Причём нельзя сказать, что такая неисправность так уж невероятна — конструкторы Bitronics Lab предназначены для использования неподготовленными пользователями в неконтролируемых условиях, то есть в качестве прочего оборудования может быть вообще что угодно. В-третьих, производитель вообще не рассматривает вариант неисправного оборудования — блока питания в компьютере или другом периферийном оборудовании, в результате чего на незаземлённый корпус компьютера, а с него на приклеенные к голове пользователя электроды прилетят честные 230 В из розетки.

Китайские 200-рублёвые зарядки, официально продаваемые в российских магазинах и при этом имеющие зазор между первичной и вторичной цепями в районе 1 мм (это электрическая прочность в районе 300 В, то есть даже меньше, чем в розетке амплитудного напряжения в нормальных условиях), я разбирал и видел лично.

Теперь хотелось бы посмотреть, как инженеры и руководство Bitronics Lab произнесут, глядя в глаза своим покупателям, фразу «если бы в наборе стоимостью 25 000 рублей мы не сэкономили бы 500 рублей на гальванической развязке, дешёвый китайский блок питания вас бы не убил — но с другой стороны, виноваты же в любом случае не мы, а китайцы».

Сколько подобных изделий уже имеется в продаже и обращении — можно только гадать. Случай с Bitronics Lab, выпускающими детские наборы, потенциально способные ударить ребёнка током и даже убить, естественно, не уникальный — в куче статей на том же Хабре, посвящённых очередной умной розетке, можно найти массу нарушений банальных правил электробезопасности.

Так что же такое инженерное дело?

Если вы спросите многочисленных активистов робототехники и прочего STEM, они, скорее всего, скажут вам, что инженерия — это наука по созданию машин и сооружений, которые помогают людям. Это в корне неверно. Инженерия — это наука по созданию машин и сооружений, которые не убивают людей. Построить дом может любой человек, но только хороший инженер может построить дом, который не погребёт жильцов под своими обломками.

Самолёты и ракеты, не падающие с неба, дома, не погребающие под завалами жильцов, детские конструкторы, не бьющиеся током, торговые центры, не сжигающие посетителей кинотеатра — всё это и есть настоящее инженерное дело.

image

И все эти документы, по сути, написаны кровью — кровью десятков тысяч людей, погибших из-за того, что кто-то сэкономил, не просчитал, не предусмотрел или не предупредил. Инженерное дело — это одна из самых зарегламентированных и задокументированных областей деятельности человечества, покрытая сотнями стандартов, требований, процедур и рекомендаций.

Инженерное дело никогда не опирается на тезисы вроде «пока что никто от этого не пострадал» — потому что на них уже опирались слишком многие, от рабочих завода Оппау, дробивших нитрат аммония взрывчаткой, потому что раньше он никогда не детонировал (561 погибший, более полутора тысяч раненых, завод разрушен полностью, прилегающий город разрушен частично), до руководства NASA, буквально продавившего разрешение на пуск шаттла «Challenger», потому что раньше прогары уплотнительных колец к аварии не приводили (7 погибших).

«Мы наблюдали подобное явление в ходе нескольких предыдущих полётов, и не имеем абсолютно никаких поводов для беспокойства о безопасности посадки» — гласило письмо руководителя последнего полёта шаттла «Columbia» (7 погибших).

Инженерное дело — это огромный, колоссальный накопленный объём знаний о том, что и как надо делать, чтобы никто не пострадал.

Не обязательно сжигать новый торговый центр, чтобы убедиться, что отсутствие в нём запасных выходов убьёт десятки людей — требования к запасным выходам описаны в СНиПах десятилетия тому назад, и если на плане ТЦ нет запасных дверей, то для вывода о его небезопасности не требуется его лично посещать, а тем более — гореть в нём. Для того, чтобы понять, что та или иная конструкция будет вас убивать, совершенно не обязательно ей пользоваться, а тем более — лично наблюдать проблему.

И если в составе ЭЭГ-метра нет гальванической развязки, то для вывода о его небезопасности совершенно не требугется надевать его на голову, а тем более — бить себя через него током. Не обязательно, сидя в битрониксовском ЭЭГ-метре, касаться ногой заземлённой батареи — требования к безопасности медицинских устройств также описаны в стандартах много лет тому назад, и описаны они там не по желанию левой пятки, а по результатам расследований смертей людей, убитых медицинскими устройствами до того, как эти требования были описаны.

Завтра мы начнём вас убивать

К сожалению, хотя я и вижу довольно много дискуссий по STEM-образованию в России, все они полностью сводятся к тому, как научить школьников и студентов сделать что-то полезное, но не что-то безопасное. Вопросы безопасности, от элементарных правил до безопасности комплексных систем, попросту не обсуждаются, их как будто не существует — и если где-то вообще звучит слово «безопасность», то можно быть абсолютно уверенным, что продолжением будут слова «работы в интернете».

И вот мы уже видим 5-килограммовые дроны, летающие туда-сюда над толпой гостей в Сколково, поддерживаемый АСИ проект электросудорожного нейроинтерфейса, взрывающиеся в гаражах ракетные двигатели и много других удивительных вещей — настолько много, что лично меня начинает уже пугать время, когда все эти стартаперы повзрослеют и начнут с тем же уровнем ответственности проектировать настоящие самолёты и настоящие медицинские приборы.

Как на это реагируют те, кто уже сейчас должен был вбить им в голову, что нет более важной цели, чем недопущение убийства человека машиной?

Прямо скриншотами, потому что иначе местами будет трудно поверить, что это не гротескные вымышленные персонажи. Давайте я приведу несколько цитат из обсуждения случая Bitronics Lab в фейсбуке на этих выходных.

Тимур Бергалиев, генеральный директор Bitronics Lab, не понимает, в чём вообще проблема, а также считает, что 5-вольтовый LDO в Arduino в принципе сможет сработать предохранителем, если что:

Юрий Аммосов, преподаватель МФТИ, научный руководитель Тимура Бергалиева, полагает, что не надо поднимать вокруг такой проблемы шум, а надо просто по-дружески помочь Тимуру перестать пытаться убить людей:

Андрей Гурьев, федеральный тьютор по робототехнике детских технопарков «Кванториум», считает, что в худшем случае пользователь получит «заряд бодрости», но в общем никто в этом особенно виноват не будет:

Да и вообще вся эта шумиха, скорее всего, высосана из пальца:

Даже после того, как сам производитель признал проблему и потенциальную опасность устройства, г-н Гурьев продолжил настаивать, что ничего такого он в этом не видит, требования по безопасности медицинского оборудования к игрушечному ЭЭГ-метру не относятся, а вся история — лишь заказанный конкурентами чёрный пиар.

Диалог, опять же, происходит уже после того, как сам производитель признал существование проблемы. Алексей Филимонов, бренд-менеджер направления «Образовательная робототехника» компании Digis Group, занимающийся поставками подобных изделий, весело перешучивается с Гурьевым. Это ведь очень смешная идея, не правда ли, что ребёнка может ударить током, может быть даже насмерть?

Мол, вот в Фейсбуке разгорелся спор, Артамонов считает, что всё плохо, а Гурьев с ним не согласен. Нельзя сказать, что проблема не была совсем уж замечена СМИ — «отраслевое» издание Edurobots немедленно выпустило новость, в которой сказано… ничего.

Найти стороннего по отношению ко всей этой истории человека, имеющего опыт работы с медтехникой и понимающего основы безопасности, я думаю, даже в субботу вечером можно было максимум за полчаса — хотя бы пройдясь по комментариям в том же фейсбуке, посмотрев профили их авторов и выбрав пару человек, не имеющих явного отношения ни ко мне, ни к Гурьеву, ни к Bitronics Lab, зато имеющих релевантные вопросу места работы.

Давайте лучше сядем спокойно и подождём комментариев наших читателей. Но нет, зачем что-то делать по такому вопросу, как безопасность детей?

Достаточно?

Мне кажется, что если вы ищете кризис в российском инженерно-техническом образовании — то он отнюдь не в том, что где-то на соревнованиях робот по линии проехал недостаточно быстро.

Что мы с этим будем делать, как мы с этим будем жить

Если говорить о данной конкретной ситуации, то в минувший понедельник Bitronics Lab признала существование проблемы и обещает в ближайшем будущем всем покупателям конструктора выслать гальванические развязки для USB-порта на базе ADuM4160.

Если не касаться вопроса о том, что такая ситуация вообще не должна была сложиться, то в текущих обстоятельствах реакция Bitronics Lab — настолько быстрая и адекватная, насколько это возможно.

Точнее, даже не отрасль, а методологию работы в ней. Что же касается проблемы глобальной, то, честно говоря, я не вижу здесь простого решения — мы незаметно теряем целую отрасль знаний, по крайней мере, в публичном поле. Внутри отдельных крупных компаний, думаю, инженерная культура в той или иной степени будет сохраняться ещё долго (кто сказал «Роскосмос»?..), но образование и плеяду молодых стартапов в принципе можно считать потерянными. Теряем весело, с огоньком, с шутками и прибаутками.

Сертификат безопасности низковольтных устройств можно оформить за 10-20 тысяч рублей по фотографии и без единого теста, а на всякую сертификацию медицинского оборудования тот же Bitronics просто никогда не попадёт, потому что не объявит себя таковым. Государственная сертификация и прочие меры регуляторики помогут мало — российские законы здесь столь же строги, сколь и необязательным.

Никакой товарищеской помощи, никакого тихого заметания следов под ковёр — любая ошибка, ставящая под угрозу жизнь и здоровье людей, должна становиться публичной. Остаётся в общем только одно — делать такие случаи максимально публичными. У незнания и некомпетентности тоже должен быть свой цифровой след. Как там у нас любят говорить в АСИ НТИ — «цифровой след знаний и компетенций»?

Подчеркну, что мне в данном случае абсолютно всё равно, насколько обоснована цена наборов Bitronics Lab, насколько хорошо они выполняют заявленные функции, как и кому продаются — всё это детали бизнеса, которые должны волновать только продавца и покупателя, ну может быть ещё иногда налоговую инспекцию.

И каждый разработчик, а также каждый его руководитель должен понимать, что рано или поздно — но это наказание случится, и может стоить ему денег, репутации и всего бизнеса. Но выпуск товара, не отвечающего требованиям безопасности, должен быть наказуем.

Они даже не пытаются что-то понять, они просто сразу встают в оборонительную позицию: это всё домыслы, слухи, мы знаем производителя лично — там работают высочайшие профессионалы (увы, не могу привести скриншот или ссылку, автор этого утверждения вскоре меня забанил; это был сотрудник ещё одного вуза), вы грубы, ваш тон неприемлем, ваши наезды оплачены конкурентами, мы не будем с вами разговаривать. Однако ещё больше пугает, какое число людей — в том числе стоящих выше конкретного производителя, стоящих со стороны заказчика и, казалось бы, заинтересованных в решении подобных проблем до того, как они себя проявили по-настоящему, делают всё, чтобы спустить вопрос на тормозах и забыть о нём. Их песня не меняется даже тогда, когда уже сам производитель публично заявил и о проблеме, и о её решении — нет, всё равно мало фактов, всё равно мы не верим, всё равно мы не будем с вами разговаривать.

Что их уволят, если окажется, что они который год торгуют небезопасной техникой? Я не знаю, чего боятся эти люди — что у них упадут продажи? Что их клиенты и руководство оценят их рассудительность и деловой подход? И на что они надеются, когда всем очевидно, что проблема уже вышла наружу — что это всё останется внутри фейсбука и забудется через пару-тройку дней, особенно если тщательно удалять упоминания своих имён из постов по данной теме?

В любом случае, вот с этим придётся что-то делать.

Иначе ещё через 10 лет покупать китайскую электронику мы будем хотя бы потому, что ей безопаснее пользоваться.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть