המדריך לאבטחת חסינות מערכות - תכן התפעול השגרתי - מניעת תקלות תפעול

תוכן העניינים

מטרות

צמצום עומס תפעול

מניעת טעויות מפעיל

 

מניעת טעויות התמצאות

עקרונות באבטחת התמצאות

אם המפעיל מתקשה לזהות את מצב המכונה, הוא עלול לטעות. אם המפעיל נדרש לבצע פעולות מסויימות בכדי לזהות את מצב המכונה, אז יתכן שבתנאי לחץ הוא יסתמך על הזכרון לגבי המצב הקודם. במקרה שהמצב השתנה מבלי שהמפעיל מודע לכך, התוצאה עלולה להיות הפעלה של פונקציה שהיא בטוחה במצב מסוים, במצב אחר בו ההפעלה היא מסוכנת.

עקרון ההתמצאות בהרף עין

יש להבטיח שמפעיל מזהה את מצב המכונה בהרף עין.

לדוגמא

אם פעולת המכונה אינה נראית לעין, ואם פעולתה אינה נשמעת, יש להוסיף בתכן אינדיקציה למצבה, למשל, על ידי נוריות.

אבטחת תיאום אדם-מכונה

בהתאם לגירסת גורמי אנוש של חוק מרפי, סביר שהמפעיל יטעה במוקדם או במאוחר, אם המערכת תאפשר לו זאת. נדרש שיתוף מידע ושיתוף פעולה הדוק בין המכונה לבין המפעיל על מנת לזהות את המצב החריג ואת האילוץ המתאים, אותו צריך להפעיל על מנת להחזיר את המערכת למצב נורמאלי.

דוגמא

התקלות היומיומיות בתפעול השלט רחוק של מערכות טלביזיות ביתיות הן הסלמה של הפרעות סנכרון, בעקבות המשך תפעול במצב חריג (הסבר).

עקרון הסמיכות הפונקציונאלית

אין לסמוך על כך שהמפעיל יחפש וימצא את כל המידע הרלבנטי לפתרון בעיה. לעתים קרובות, בעיקר במצבי לחץ או בהיסח הדעת, המפעיל עלול לפעול על בסיס מידע חלקי, בדרך כלל, על סמך פריט המידע הראשון שמזדמן אליו.

על מנת להבטיח שהמפעיל יבחין בכל פריטי המידע הרלבנטיים לבעיה, יש לרכז אותם באזור פונקציונאלי אחד.

תכן אינטראקציה מונחה תרחישים

אחת הדרכים להבטיח את התיאום בין המכונה לבין המפעיל היא על ידי הגבלת המפעיל לפעול על פי תרחישים בלבד (הגדרה).

את תמונת המצב המשותפת ניתן להגדיר במונחים של תרחישים, והשיתוף מושג על ידי תכנון מדוקדק של ההתקשרות בין המפעיל לבין המכונה:

  • כיצד המפעיל יודע על שינויים במצב המכונה,

  • כיצד המפעיל מודיע למכונה על שינוי התרחיש ביוזמתו,

  • כיצד המכונה מזכירה לו על השינוי עליו הוא הכריז.

יצירת תמונת מצב משותפת

אינטראקציה מונחית תרחישים מאפשרת חריגה מבוקרת של המפעיל גם כאשר הפעילות היא על פי תרחישים. זאת, על ידי תכן לשת"פ בין המפעיל לבין המכונה, שתכליתו להביא לתמונת מצב משותפת, ולהגדרה משותפת של מטרות האינטראקציה.

דוגמא

התאונה של מטוס איירבאס 380 בטיסה 447 AF קרתה בעקבות משוב לקוי לפעולת ההיגוי (ניתוח הכשל). ניתן היה למנוע אותה על ידי משוב ברור לטייסים לגבי פעולת ההיגוי החריגה.

אבטחת התמצאות בשינויי תכן

דוגמא של בעיית התמצאות המפעיל בשינויי תכן היא של תאונת מטוס איירבאס 320 בטיסת AF 296 בשנת 1988. הטייס לא שלט במטוס ברגע קריטי, מכיוון שבדגם הנדון נוספה מעטפת הגנה בפני הזדקרות, אליה הטייס לא היה מודע (ניתוח אופן הכשל).

יש ליידע את המפעיל שינויים לעומת הגירסא הקודמת של המערכת. הגישה למידע על שינויים צריכה להיות בולטת, כך שהמפעיל יבחין בקיום שינויים בהרף עין. המידע על השינויים ומשמעותם צריך להיות מקיף, והנגישות אליו צריכה להיות על פי דרישת המפעיל.

במקרה של הפעלה של פונקציה שלא היתה קיימת בגירסא קודמת, יש לספק למפעיל חיווי בולט על כך, וכן הסבר מפורט לפי דרישה.

 

 

    אתר החסינות נערך ומתחוזק על ידי אבי הראל - ארגולייט. למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com . דף זה עודכן בתאריך 29 Dec 2013.