מוד חירום
|
במערכות מסויימות, כגון, כלי טיס, אין אפשרות לעצור את הפעילות לחלוטין.
במצבים אלו צריך לאפשר למערכת להמשיך לפעול במוד חירום (Safe
Mode) עד לסיום מצב האיום.
במוד החירום, המפעיל יכול לבצע מספר מופחת של פעולות שנחשבות לבטוחות, תוך דגש על תהליכי פתרון הבעיה. התרשים מתאר את המעברים בין מוד החירום למוד התפעול הנורמלי:החיצים המרוסקים מציינים אינטראקציות שהן ישימות לתפעול נורמלי, והחיצים המנוקדים מציינים אינטראקציות שהן ישימות לתפעול לאיתור תקלות. מודול התוכנה שמצויין כאן בשם "הישרדות" כולל פונקציות בסיסיות שמשרתות את התפעול בשני המודים. |
 |
מעבר אוטומטי למוד חירוםבמעבר למוד חירום חשוב שהמפעיל יהיה מודע לכך המכונה נטלה ממנו את השליטה, ע"מ להבטיח שהוא יוכל לנהל מעקב אחר השינויים במערכת. אבטחת שליטת המפעילכמו כן חשוב לאפשר למפעיל ליטול את השליטה חזרה במקרים בהם הוא משוכנע שהפתרון האוטומטי הוא הרה אסון. (ע"ע תאונת AF 296 משנת 1988). |
מעטפת הגנהבמוד החירום המערכת מוגנת בפני טעויות תפעול על ידי מעטפת הגנה ( Protection Envelop).לדוגמא מטוסי איירבאס 320 כללו מעטפת הגנה בפני הזדקרות בטיסת גלישה. מעטפת הגנה זו תרמה לתאונה של AF 296 בשנת 1988. לעומת זאת, במטוסי איירבאס 380 בניהוג ידני, לא הופעלה מעטפת הגנה בפני הזדקרות, שהיתה יכולה למנוע את התאונה של טיסת AF 447 בשנת 2009. |