המדריך לאבטחת חסינות מערכות - תכן התפעול השגרתי - מניעת תקלות תפעול

תוכן העניינים

מטרות

צמצום עומס תפעול

מניעת טעויות מפעיל

 

מניעת טעויות מפעיל

אילוץ המפעיל לבחור באופציה הבטוחה

נניח שבתכן המערכת מוסיפים אופציה לשיפור הבטיחות. כיצד מביאים את מפעיל המערכת להשתמש באופציה זו?

הנחיות

דילמת השליטה

לכאורה, אחת הדרכים היא לחייב את המפעיל לבחור באופציה זו. אבל, אם מחייבים את המפעיל לבחור באופציה, זוהי למעשה כבר לא אופציה. במקרה זה, האופציה ה"נבחרת" היא למעשה תכונה של המערכת. לפיכך, לצורך הדיון, נניח שאין אפשרות מעשית לחייב את המפעיל לבחור באופציה זו. כתוצאה מכך, בהתאם לגירסת גורמי אנוש לחוק מרפי, יש להניח שלעתים, יתכן שהמפעיל יבחר באופציה החליפית, הבלתי בטוחה, בין ביודעין ובין בשוגג, ויסכן בכך הן את עצמו והן את המערכת. 

עקרון השוט והגזר

על פי עקרון השוט והגזר, לא ניתן להסתפק בהוספת האופציה לשיפור הבטיחות (הגזר): על מנת להבטיח שהמפעיל יבחר באופציה הבטוחה, צריך להקשות עליו בתהליך הבחירה של החלופות הבלתי בטוחות (השוט).

כדי להבטיח שהמפעיל יפעל על פי כוונת המתכנן, התכנון צריך לנקוט בשני אמצעים:

  • הגזר: צריך לספק למפעיל גישה לפונקציות, על פי תרחישים מונחי תפקיד
  • השוט: צריך לספק אזהרות משמעותיות בפני סטייה מתהליך התפעול המומלץ.

 

יישום

היישום של עקרון זה יכול להיות, למשל, על ידי החזרה לברירת המחדל הבטוחה בכל הפעלה של המערכת.

לדוגמא

אם מאפשרים למפעיל לבחור סף ההתרעות שהוא חורג מהסף שהוגדר בתכן כבטוח, אז הדרך לשנות את הסף צריכה לחייב מאמץ מיוחד. למשל, על ידי הצבה מחדש של הערך התקני של סף ההתרעה בכל איתחול של המכונה.  

    אתר החסינות נערך ומתחוזק על ידי אבי הראל - ארגולייט. למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com . דף זה עודכן בתאריך 29 Dec 2013.