תיאור המערכת ואופן השימוש הנורמלי בה
מיכלית שהובילה נפט מאפריקה לוויילס שבבריטניה.
תיאור אירוע הכשל:
בעקבות סחיפה, היה חשש לעליה על שרטון בניווט האוטומטי, ולכן הקברניט ביקש לעבור לניווט ידני. בטעות, ההיגוי עבר למצב תחזוקה, בו ההגה לא שלט במיכלית. הקברניט המשיך לפעול כאילו המיכלית נמצאת בניהוג ידני, ולקח זמן רב מדי עד שהבחין בכך שהוא אינו שולט במיכלית. כשהבחין בכך היה מאוחר מדי, והמיכלית עלתה על השרטון.
ניתוח הכשל
הכשל נבע מכך שהתכן איפשר להעביר את הניהוג למצב תחזוקה, ומכך שהמערכת לא סיפקה התרעה לגבי המצב החריג.
הנזק
אסון אקולוגי בחופי בריטניה.
תהליך הפקת הלקחים
לא ידוע על ניסיון להפיק לקחים בעקבות האירוע, במטרה למנוע את הכשל הבא.
פרטים נוספים: http://www.he-alert.org/documents/published/he00455.pdf
אירועי הכשל
תרחיש\ פעילות |
אילוץ התפעול |
גורם הכשל |
תגובה בפועל |
תגובה ע"פ תכן לחסינות |
ההנחיה במדריך |
|
| 1 | בתרחיש ניהוג אוטומטי, | המנעות משרטונים | המיכלית מתקרבת לשרטון | נסיון מעבר לניהוג ידני, נכשל | להתריע על המצב החריג |
מניעת
טעות תפעול |
| 2 | מערכת ההיגוי מנותקת | מצב ההיגוי Control רלבנטי אך ורק לתרחיש תחזוקה, ולא תרחיש שייט, | חוסר שליטה בהיגוי במצב "בקרה" | לקברניט אין שליטה במיכלית | המכונה היתה צריכה למנוע שילוב במצב Control בתרחיש שייט |
שכבה 2 -
מניעת איומים סמויים
אבטחת תיאום
מניעת פונקציות תחזוקה בתפעול בשגרה |
| 3 | מערכת ההיגוי מנותקת | המפעיל חייב לדעת את מוד התפעול | המכונה אינה מספקת חיווי למצבה | חיווי פסיבי, העדר קליקים של הג'ירו | חיווי ברור למצב הניהוג |
התמצאות - חיווי מצב
|
התוצאה
