המדריך לאבטחת חסינות מערכות - מניעת טעויות תפעול

תוכן העניינים

כללי

אבטחת ההתמצאות

גיבוש החלטה לפעול

אבטחת פעולה נכונה

 

 

 

גיבוש ההחלטה לפעול

אופי הפעילות בתהליך גיבוש ההחלטה

אוטומציה

אוטומציה נדרשת במצבים בהם המפעיל מתקשה לבצע את הפעולה הנדרשת באופן ידני. בעיקר, בשני מצבים:

  • כאשר הפעולה היא מורכבת, ומאפשרת טעויות. לדוגמא, בקרת תהליכים (הסבר), בהם נדרשת סדרת פעולות לצורך השלמת בדיקה ופעולה מתקנת.
  • כאשר הפעולה נדרשת בפרק זמן קצר. לדוגמא, בקרת טיסה במטוסים גדולים, בתנאים קשים, בהם נדרשת תגובה מהירה לשינויים פתאומיים במצב האויר, כגון, משבי רוח פתאומיים.

מגבלת האוטומציה

הבעיה בגישה זו היא שהיא עומדת בסתירה עם הדרישה לאפשר למפעיל שליטה מלאה במכונה במצבי חירום. 

קבלת החלטות באינטואיציה

במצב שיש צורך בתגובה מהירה, כאשר יש מספר תגובות אפשריות, יש צורך לעקוף את תהליך קבלת ההחלטות.

הפתרון צריך לתמוך בתגובה רפלקסיבית, כלומר, להיות כזה שפעילות המפעיל תלויה בכוונתו בלבד, ולא באף גורם מצב. לפיכך, תכן המערכת צריך לתמוך במיפוי ישיר ממטלת המפעיל לאופן התגובה שלו.

 

תכן לאינטראקציה ע"פ תרחישים

ניתן למנוע טעויות מצב על ידי תכן לפי תרחישים, כאשר הלחצן משמש לתרחיש עיקרי יחיד, והשימוש שלו לתרחישים משניים מבוקר בעזרת מנגנונים (כגון, על ידי צירוף לחצנים) למניעת הפעלה בטעות. דרך אפשרית ליהנות משני העולמות היא על ידי:

  • הגדרת תהליכי תפעול רגיל על פי תרחישים

  • התרעה במקרה של נסיון חריגה מהתרחיש.

אינטראקציה מונחית תרחישים מאפשרת חריגה מבוקרת של המפעיל גם כאשר הפעילות היא על פי תרחישים. זאת, על ידי תכן לשת"פ בין המפעיל לבין המכונה, שתכליתו להביא לתמונת מצב משותפת, ולהגדרה משותפת של מטרות האינטראקציה.

דוגמא

לחצני החלפת ערוצים בשלט רחוק של מערכת טלביזיה מסויימות משמשים להחלפת ערוצים במכשירים השונים, כאשר המכשיר שמושפע מהם נקבע על פי המוד. טעות שכיחה מצערת היא של שינוי ערוץ במקלט במקום בממיר. בשלט שתומך בתפעול לפי תרחישים, בתפעול רגיל, לחצני הערוצים משפיעים על הממיר, ולא על המקלט. שינוי ערוצים במקלט, בתרחיש של התקנה, מתבצע באופן מוגן על ידי פעילות מיוחדת, כגון לחיצה בו זמנית על לחצן בקרה.

 

 

 

יישום העקרון

כאשר פקד משמש למספר מטלות שהבחירה ביניהן היא על ידי מוד, המפעיל עלול לטעות במוד, ובטעות לבצע מטלה אליה לא התכוון.

בשאיפה, אין להעמיס מספר מטלות על אותו פקד.

יש להקצות פקד נפרד לכל מטלה שהפעלתה בטעות עלולה לגרום לאירוע בטיחותי.

אילוץ לפעילות ע"פ תרחישים

דרך אפשרית למנוע הפעלה של פונקציה בטעות היא להבטיח שכל פקד יכול להפעיל פונקציה אחת בלבד, וגם זאת במגבלות התרחיש.

למשל, טעויות של כיבוי בטעות של הממיר הדיגיטאלי בעזרת השלט רחוק במקום הדלקה של הטלביזיה ניתן למנוע על ידי הקצאה של מקש הפעלה יעודי ושל מקש כיבוי יעודי לטלביזיה בלבד, שפעולתו תלויה במצב הטלביזיה, ולא במוד של השלט.

יישוב הסתירה בדרישות

 

עקרון הפחתת העומס המנטאלי

התכן לאבטחת חסינות צריך לצמצם את העומס המנטאלי שממשק ההפעלה מטיל על המפעיל, לשני צרכים:
  • להפחית את ההפרעה לפעילויות של ניהול התפעול
  • למנוע טעויות תפעול במצב של צורך בפיצול קשב.

 

מניעת שינויים זמניים

מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/10/2014