המדריך לאבטחת חסינות מערכות - תכן לאבטחת החסינות - ממשקי התפעול השגרתי - מניעת תקלות תפעול

תוכן העניינים

מטרות

צמצום עומס תפעול

מניעת טעויות מפעיל

 

מניעת טעויות מצב

מניעת טעויות מצב

ניתן למנוע טעויות מצב על ידי:

  • הדרכת המשתמשים להכיר את תוצרי המערכת ולהבין את משמעותם

  • המנעות מפקדים שהתגובה להפעלתם תלויה במצב המכונה

  • משוב ברור לגבי מצב המערכת

דוגמא

התאונה של המיכלית Torrey Canyon קרתה בעקבות מידע חלקי לגבי מצב מערכת ההיגוי. ניתן היה למנוע תאונה זו על ידי משוב ברור לגבי מצב מערכת ההיגוי.

עקרון שיוך הפקודה למטלה

התלבטות המפעיל בתהליך קבלת החלטות צורכת זמן.

אין לסמוך על כך שהמפעיל ישכיל תמיד להתאים את אופן התגובה שלו למצב המערכת. במצבי לחץ, כאשר המפעיל מוטרד בעניינים אחרים, הוא עלול בהיסח הדעת ללחוץ על לחצן הבקרה תוך התעלמות מהתצוגה.

במצב שיש צורך בתגובה מהירה, כאשר יש מספר תגובות אפשריות, יש צורך לעקוף את תהליך קבלת ההחלטות.

הפתרון צריך לתמוך בתגובה רפלקסיבית, כלומר, להיות כזה שפעילות המפעיל תלויה בכוונתו בלבד, ולא באף גורם מצב. לפיכך, תכן המערכת צריך לתמוך במיפוי ישיר ממטלת המפעיל לאופן התגובה שלו.

 

יישום העקרון

כאשר פקד משמש למספר מטלות שהבחירה ביניהן היא על ידי מוד, המפעיל עלול לטעות במוד, ובטעות לבצע מטלה אליה לא התכוון.

בשאיפה, אין להעמיס מספר מטלות על אותו פקד.

יש להקצות פקד נפרד לכל מטלה שהפעלתה בטעות עלולה לגרום לאירוע בטיחותי.

דוגמא:

מערכת ריאקטיבית מינימאלית

אילוץ לפעילות ע"פ תרחישים

דרך אפשרית למנוע הפעלה של פונקציה בטעות היא להבטיח שכל פקד יכול להפעיל פונקציה אחת בלבד, וגם זאת במגבלות התרחיש.

למשל, טעויות של כיבוי בטעות של הממיר הדיגיטאלי בעזרת השלט רחוק במקום הדלקה של הטלביזיה ניתן למנוע על ידי הקצאה של מקש הפעלה יעודי ושל מקש כיבוי יעודי לטלביזיה בלבד, שפעולתו תלויה במצב הטלביזיה, ולא במוד של השלט.

מגבלת שיטת האילוץ

הבעיה בגישה זו היא שהיא עומדת בסתירה עם הדרישה לאפשר למפעיל שליטה מלאה במכונה במצבי חירום. 

יישוב הסתירה בדרישות

 

תכן לאינטראקציה ע"פ תרחישים

ניתן למנוע טעויות מצב על ידי תכן לפי תרחישים, כאשר הלחצן משמש לתרחיש עיקרי יחיד, והשימוש שלו לתרחישים משניים מבוקר בעזרת מנגנונים (כגון, על ידי צירוף לחצנים) למניעת הפעלה בטעות. דרך אפשרית ליהנות משני העולמות היא על ידי:

  • הגדרת תהליכי תפעול רגיל על פי תרחישים

  • התרעה במקרה של נסיון חריגה מהתרחיש.

אינטראקציה מונחית תרחישים מאפשרת חריגה מבוקרת של המפעיל גם כאשר הפעילות היא על פי תרחישים. זאת, על ידי תכן לשת"פ בין המפעיל לבין המכונה, שתכליתו להביא לתמונת מצב משותפת, ולהגדרה משותפת של מטרות האינטראקציה.

דוגמא

לחצני החלפת ערוצים בשלט רחוק של מערכת טלביזיה מסויימות משמשים להחלפת ערוצים במכשירים השונים, כאשר המכשיר שמושפע מהם נקבע על פי המוד. טעות שכיחה מצערת היא של שינוי ערוץ במקלט במקום בממיר. בשלט שתומך בתפעול לפי תרחישים, בתפעול רגיל, לחצני הערוצים משפיעים על הממיר, ולא על המקלט. שינוי ערוצים במקלט, בתרחיש של התקנה, מתבצע באופן מוגן על ידי פעילות מיוחדת, כגון לחיצה בו זמנית על לחצן בקרה.

 

 

 
    אתר החסינות נערך ומתחוזק על ידי אבי הראל - ארגולייט. למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com . דף זה עודכן בתאריך 10 Mar 2014.