מדריך לאבטחת חסינות מערכות - תכן לאבטחת חסינות - התאמה לתפקיד

תוכן העניינים

כללי

תכן האוטומציה

תכן הגישה למידע

תכן הגישה לפונקציה

תכן התגובה לפקודה

התאמת הממשק למפעילים

 

תכן האוטומציה

מתי נדרשת אוטומציה?

למכונות יש תכונות מסויימות, בעיקר, מהירות ודיוק, המצדיקות את ההשקעה בפיתוחן. תכונות אלה באות לידי ביטוי בנושא הטיפול בהפרעות. הדרך המועדפת להתמודד עם האירועים החריגים היא ע"י אוטומציה.

מעגלי הבקרה העצמית

אוטומציה נדרשת במצבים בהם המפעיל מתקשה לבצע את הפעולה הנדרשת באופן ידני. בעיקר, בשני מצבים:

  • כאשר הפעולה היא מורכבת, ומאפשרת טעויות
  • כאשר הפעולה נדרשת בפרק זמן קצר.

דוגמא

בבואינג 747-200 היה איש צוות בתא הטייס שהוא מהנדס הטיסה, ובין שאר תפקידיו, היה אמור לבצע את איזון הדלק בין מיכלי המטוס השונים, במהלך הטיסה.

בבואינג 747-400 (המתקדם יותר) בוטלה הפונקציה של מהנדס הטיסה, ואת מקומה לקחו מחשבי המטוס בסיועם של שני הטייסים.

מקור

עזרי אוסטבאום

דוגמאות למצבים בהם נדרשת אוטומציה

  • במצבי סכנת זיהום סביבתי עקב תקלה במפעל ייצור חומרים מסוכנים
  • טייס אוטומטי במטוס מודרני מממש פונקציות בקרה אוטומטיות של ההגאים
  • במצבי סכנת התנגשות, כמו בדוגמת המיכלית טוריי קניון
  • במצבי סיכון בלתי צפוי בנהיגה ברכב, כאשר נדרש תמרון חריף ובלימה מהירה, למשל, בכביש חלק
  • כאשר נדרשת פעולה מהירה, כגון במקרה תקלה חמורה, כמו בדוגמת החללית הסובייטית סויוז 11

 

מגבלות האוטומציה

האוטומציה משמעותה, בין השאר, שהמכונה נוטלת את השליטה מהמפעיל. פעולה זו עלולה להיות מסוכנת בשני מצבים:

  • כאשר המפעיל אינו מודע לכך שהשליטה נלקחה ממנו
  • כאשר המפעיל נדרש לבצע פעולה החורגת מזו שנקבעה על ידי מתכנן המערכת

טיפול אוטומטי באירועים חריגים

הטיפול האוטומטי באירוע נעשה בשלשה שלבים:

  • זיהוי מצב האירוע
  • זיהוי גורם האירוע
  • התאוששות

הנחיות לגבי אוטומציה

הגורם העיקרי לבעיית האוטומציה ליקויים בתחום המשוב למפעיל והאינטראקציה איתו. (הסבר של נורמן).

המכונה צריכה למפעיל מידע שוטף וממוקד לגבי מצבי הסיכון, וכיצד היא מתמודדת עימם. ביחוד, יש לתכנן היטב את המשוב למפעיל לגבי הסיכונים בפעולות שהוא מבצע, וכן את אופן הצגת המידע לגבי שינויים במצבה.

 

השליטה במוד הפעולה

מערכות רבות מאפשרות פעולה בשני מודים: ידני ואוטומטי.

במצבים בהם המפעיל נדרש לחרוג מהפעולה האוטומטית, הוא עלול להווכח שהוא אינו מסוגל לבצע את השינוי, כי המכונה אינה מאפשרת זאת. דוגמא למצב זה היא התאונה של AF 296.

הנחיות לגבי דילמת השליטה

דילמת השליטה מתייחסת לדרך בה נקבע האם הפעולה תהיה באחריות הרמת הממונה, או באחריות הרמה המבצעת. ידנית או אוטומטית.

  • ככלל, במצבים בהם אין סיכון מיידי, יש לאפשר לרמה הממונה לקבוע את מוד הפעולה.
  • הרמה הממונה צריכה להאציל סמכויות במצבי חירם, והרמה המבצעת צריכה ליטול שליטה בכל מצב בו האוטומציה נדרשת, כמו בדוגמאות לעיל.

דילמת השליטה מתייחסת אל כל הרמות בהיררכית האחריות. ברמה הנמוכה, היא מתייחסת ליחס בין המפעיל לבין המכונה.

אמינות חווית השליטה

המכונה צריכה לדווח למפעיל באופן ברור לגבי מצבים בהם היא נוטלת ממנו את השליטה, על מנת למנוע מצבים של חווית שליטה, שמתברר כשגויה רק כאשר מאוחר מדי, כמו בדוגמת התאונה של AF 296.

בקרה אוטומטית

יש להתאים את תחום הבקרה העצמית למצבי שימוש מציאותיים. דוגמא של טעות בתחום זה היא של הסגווי, כפי שהודגמה באירוע כשל 39 

התאמה אוטומטית למאפייני התפעול\ המפעיל

המשמעות של התאמה אוטומטית למאפייני המפעיל היא שהמפעיל יידרש להיות עירני כל הזמן, כדי להבחין ולהבין את השינויים בהתנהגות המכונה במהלך התפעול. בהתאמה אוטומטית, תהליך הלמידה הוא אינסופי: בכל שינוי, המפעיל נדרש ללמוד מחדש את התנהגות המכונה.

 
מידע נוסף בנושא תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 23/04/2014