אילוץ לפעילות ע"פ תרחישים

דרך אפשרית למנוע הפעלה של פונקציה בטעות היא להבטיח שכל פקד יכול להפעיל פונקציה אחת בלבד, במגבלות התרחיש.

דוגמאות

• את תאונת המיכלית Torrey Canyon ניתן היה למנוע, לו הפקד שמאפשר ניתוק ההגאים היה מוגבל לתרחיש תחזוקה

• את התאונה בכור הגרעיני TMI-2 ניתן היה למנוע, לו הבקרה בכניסת מי הצינון ממערכת הגיבוי היתה מאולצת לתרחיש תחזוקה

• את התאונה של ירי ידידותי באפגניסטן ניתן היה למנוע לו מציין הלייזר היה כולל פקדים נפרדים לשיגור נ.צ. עמדה ונ.צ. מטרה

• טעויות של כיבוי בטעות של הממיר הדיגיטאלי בעזרת השלט רחוק במקום הדלקה של הטלביזיה ניתן למנוע על ידי הקצאה של מקש הפעלה יעודי ושל מקש כיבוי יעודי לטלביזיה בלבד, שפעולתו תלויה במצב הטלביזיה, ולא במוד של השלט.

מוד התפעול

ניתן לאכוף תיאום בין מכלולים על ידי הכפפת תהליכי התפעול למערך של משתני מצב, שנקרא מוד התפעול, המתייחס אל תרחיש התפעול.

אופן השימוש במוד התפעול

תרחיש התפעול מאפשר למנוע תקלות תיאום. תקלות התיאום מוגדרות על ידי חריגות מהאילוצים, במקרים בהם המצבים של שני מכלולים (כגון, המכונה והמפעיל) אינם תואמים אילוץ המתייחס לתרחיש הפעיל.

דוגמת שימוש

ספינה יכולה לשוט בנהיגה ידנית או אוטומטית. בתרחיש שייט שגרתי, מצב הנהיגה כולל את שתי אפשרויות הללו. בתרחיש תחזוקה, קיים מצב נוסף, בו ההגה מנותק.

התאונה של המיכלית Torrey Canyon  נגרמה כתוצאה מכך שהמצב הנוסף בו ההגה מנותק, הופעל בטעות בתרחיש השיוט.

שפת התרחישים

בדוגמאות להלן, לפחות אחד מהמכלולים אינו מודע למצבם של המכלולים האחרים המעורבים בכשל.

יחידת התיאום מאפשרת מניעה של אופני הכשל הללו על ידי שימוש בשפת משותפת - שפת התרחישים.

המידע לצורך מניעת מצבים חריגים

מקרים רבים של כשל קורים במצב בו המפעילים אינם מתואמים עם המכונה.

גורמי טעות בבחירת תרחישים

טעויות בבחירת תרחישים יכולות לנבוע מהסיבות הבאות:

• חוסר תיאום בהצבת התרחיש הפעיל
• ליקוי בפירסום התרחיש הפעיל
• ליקוי בקריאת מצב התרחיש

הגדרת תהליכי הסינכרון

יש להבטיח שבכל מקרה בו אחד מהמכלולים שינה תרחיש, דבר השינוי יפורסם, וכל המכלולים יפעלו על פי התרחיש המעודכן. הגדרת תהליכי הסינכרון כוללת את שתי הפעילויות הבאות:

1. הגדרה של תהליך פירסום התרחיש הפעיל בקרב המכלולים
2. הגדרה של תהליך עדכון המכלולים לגבי התרחיש הפעיל