המדריך לאבטחת חסינות מערכות - תכן לאבטחת החסינות - ניהול מצבי הפתעה

תוכן העניינים

כללי

התגובה למצבי קיצון

מניעת הסלמה

התגובה למצב בלתי צפוי

ניהול הבדיקות

 

ממשקי התפעול במצב חריג

גורמי הכשל בתפעול

הדרישות לגבי תהליכים נורמאלים, שהתפעול שלהם הוא ברמה של מומחים, שונות מהדרישות לגבי מצבים חריגים, בהם המפעיל לא התנסה עדיין בעבר.

תכן ממשקי הפעלה במוד חירום

דרישות החסינות לשלב ההתמחות ולשלב המומחיות שונות, ואף נוגדות, את דרישות החסינות לשלבי ההתנסות הראשונית עם תהליכי התפעול. לפיכך, הדרישות לגבי תהליכים נורמאלים, שהתפעול שלהם הוא ברמה של מומחים, שונות מהדרישות לגבי מצבים חריגים, בהם המפעיל לא התנסה עדיין בעבר.

מאפייני ממשק התפעול בחירום דומים לאלו של הממשק לפעולות חד-פעמיות, או מזדמנות, מכיוון שהמפעיל אינו זוכה להתנסות עם תהליכים אלו קודם לכן.

דרישות התפעול

הממשק צריך להיות דמוי אשף התקנות, בו בכל שלב המפעיל נדרש לבצע פעולה אחת בלבד, והמידע המוצג לו ממוקד בכל שלב בפעולה היחידה אותה הוא נדרש לבצע.

עקרון עקביות הממשק בחירום

במצב חירום, המפעיל נוהג על פי הרגליו במצב תפעול שגרתי. לפיכך, הממשק במוד חירום צריך להיות זהה לזה שבמוד תפעול שגרתי, למעט הגנה נוספת בפני פעולות מסוכנות.

אבטחת תגובתיות לפתרון בעיות

התלבטות המפעיל בתהליך קבלת החלטות צורכת זמן. במצב שיש צורך בתגובה מהירה, כאשר יש מספר תגובות אפשריות להתרעה, יש צורך לעקוף את תהליך קבלת ההחלטות, ולתמוך בתגובה רפלקסיבית.

יישום עקרון התגובה הרפלקסיבית

ישום העקרון מתאפשר על ידי מיפוי ישיר מהתרעה לפעולה.

ההתרעה צריכה לייצג את הפעולה הנדרשת מהמפעיל, והמפעיל צריך להתאמן על מנת להגיב נכון להתרעה הספציפית.

במצבים חריגים (תחת איום)

בתכן אינטראקציה המקובל, מניחים שהמפעיל נדרש לקחת את השליטה לידיו, ושיש בכך די בכדי לאפשר לו לפתור את הבעיה.

בניגוד לתכן המקובל, שמניח שהמפעיל מסוגל להחליט על הפתרון האופטימאלי גם כאשר תחת איום, התכן לחסינות מניח שהמפעיל עלול לבחור בפונקציה שתגרום להסלמה.

הנחיה לתכן העברת השליטה למפעיל
במצבים בהם נדרש להעביר שליטה למפעיל, המכונה צריכה לעדכן את התרחיש אוטומטית על פי בחירת המפעיל, ולעקוב אחרי פעילותו בתרחיש החדש.

 

הנחיה לתכן האוטומציה
במצבים של סטייה מהתרחיש, המכונה צריכה להתריע למפעיל ולקבל את אישורו לשינוי התרחיש.

 

 

הנחיות לתפעול מצבים חריגים

הממשקים המשתמשים להתרעה, לניהול פונקציות הפיקוח ולתפעול בחירום, הם ספציפיים למצבים חריגים, כולל הצפויים והבלתי צפויים.

גורם הזמן עלול להיות קריטי, ויתכנו מצבים בהם השליטה היא אצל המכונה. המכונה צריכה ליידע את המפעיל לגבי השינויים במצבה. המידע לגבי מצב המכונה צריך להיות אמין, על מנת למנוע טעויות בחווית השליטה.

נדרש להניח שהמפעיל אינו מכיר את המידע המוצג לפניו. ייצוג המידע צריך להיות בטקסטים, היות והבנת המידע הגראפי מחייבת התנסות מוקדת. יש חשיבות לעקביות באופן בו המידע מוצג, כדי לאפשר התמצאות מהירה על בסיס התנסות עם אירועים דומים מהעבר, או מתרגול.

ניתן לאפשר למפעיל לבצע שינויים זמניים בממשקים המיועדים לטפל במצבי חירום או במבצעים מיוחדים. בתום מצב החירום נדרש לבטל את השינויים. יש לספק משוב למפעיל על כך שהשינויים הזמניים התבטלו.

בכל נסיון לשינוי מאפיין תפעול, יש ליידע את המפעיל על כך שהשינוי יתבטל בתום המהלך שאליו הוא נדרש.

אופי האינטראקציה

דרישות החסינות לשלב ההתמחות ולשלב המומחיות שונות, ואף נוגדות, את דרישות החסינות לשלבי ההתנסות הראשונית עם תהליכי התפעול. לפיכך, הדרישות לגבי תהליכים נורמאלים, שהתפעול שלהם הוא ברמה של מומחים, שונות מהדרישות לגבי מצבים חריגים, בהם המפעיל לא התנסה עדיין בעבר.

תרגול התפעול בחירום

תכן השיהוי

במצבים בהם טעות החלטה של המפעיל עלולה להיות הרסנית, יש לעכב אותו, ולגרום לכך שישקול היטב את הפעולה הבאה. זאת, על ידי הצגת חלופות, וניסוח הפעולה הנבחרת במונחים שמחייבים בחינה נוספת.

לדוגמא,

במצבים בהם טעות של המפעיל עלולה לגרום לירי על כוחות ידידותיים (צאלים א', צאלים ב', אפגניסטן 2001), יש להציג למפעיל את נקודת הפגיעה הצפויה, במונחים שיחייבו בדיקה נוספת.

 
מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/10/2014