העברת השליטה למכונה
רגע הזהב
פתרון דילמת השליטה
דילמת השליטה היא לגבי הגורם האחראי להתמודד עם מצב
הפתעה, כגון, כתוצאה מקשיים בתגובה לאירוע שהוא בלתי מוכר הן למתכנן והן
למפעיל, למשל, כאירוע שהגיע כאשר המערכת היתה במצב חריג.
בתכן לחסינות, השליטה צריכה להיות מוגבלת לפי מפרט
דרישות. זאת, מכיוון שאין אפשרות מעשית לכך שהתכן יתמוך בכל הפעולות
האפשריות של המפעיל, בכל המצבים (לפי האכסיומה של בעיית השלימות).
משמעות הנחיה זו היא שהתכן צריך לכלול אילוצים עם
ואריאציות, והמערכת צריכה להיבדק בכל הואריאציות בהן התכן תומך. |
שליטת המפעיל במצבי חירום
בתכן אינטראקציה המקובל, מניחים שהמפעיל נדרש לקחת את השליטה לידיו, ושיש בכך די
בכדי לאפשר לו לפתור את הבעיה.
בניגוד לתכן המקובל, שמניח שהמפעיל מסוגל להחליט על הפתרון האופטימאלי גם כאשר תחת
איום, התכן לחסינות מניח שהמפעיל עלול לבחור בפונקציה שתגרום להסלמה.
הנחיה לתכן העברת השליטה למפעיל
|
| במצבים בהם נדרש להעביר שליטה למפעיל, המכונה
צריכה לעדכן את התרחיש אוטומטית על פי בחירת המפעיל, ולעקוב אחרי
פעילותו בתרחיש החדש. |
|
הנחיות לגבי אוטומציה
הגורם העיקרי לבעיית האוטומציה הוא ליקויים בתחום המשוב למפעיל והאינטראקציה איתו. (הסבר
של נורמן).
המכונה צריכה למפעיל מידע שוטף וממוקד לגבי מצבי הסיכון, וכיצד
היא מתמודדת עימם. ביחוד, יש לתכנן היטב את המשוב למפעיל לגבי הסיכונים בפעולות
שהוא מבצע, וכן את אופן הצגת המידע לגבי שינויים במצבה.
בקרה אוטומטית
יש להתאים את תחום הבקרה העצמית למצבי שימוש מציאותיים. דוגמא של טעות בתחום
זה היא של הסגווי, כפי שהודגמה באירוע
כשל 39
|
עקרון ההתמחות
ניתן להטיל על המפעיל לפתור בלחץ זמן אך ורק בעיות שאת פתרונן תירגל
כהלכה.
הסבר
נקודות בתכן לחסינות במעבר לשליטת המפעיל:
אבטחת זיהוי מצב המכונה
שיתוף מידע מכונה-מפעיל
אבטחת יצירת תמונת מצב משותפת
|