מדריך לאבטחת חסינות מערכות - תכן התפעול במצבי חירום

תכן התפעול בחירום

כללי

אוטומציה

בקרת מפעיל

ניהול השליטה

תכן לבדיקתיות

 

ניתוב השליטה

המעבר ממוד תפעול נורמלי למוד חירום יכול להתבצע אוטומטית או בשליטת המפעיל, תלוי ברמת הסיכון של התפעול בשני המודים.

המעבר יהיה אוטומטי במצב של חשש לסיכון גבוה כתוצאה מטעות המפעיל , דוגמת תפעול במצב חריג בתעשיה הכימית, או בלחץ זמן, כגון ביישומי תחבורה.

דוגמא

במקרה של איתור איום ישיר, כגון זיהוי טיל אויב (או "ירי ידידותי"), עדיף שהמכונה תפעיל אמצעי ל"א אוטומטית.

אופן ניתוב השליטה תלוי באופי המידע לגבי הגורם למצב החריג ולגבי אופי המצב החריג. להלן דוגמא של ניתוב:

גורם השינוי

אופן הניתוב

שיקולים (הסבר)
פעולה חריגה של המפעיל אוטומטית - ליחידת בקרת תפעול נורמלי יחידת בקרת התפעול הנורמלי יכולה ליזום אינטראקציה עם המפעיל, על מנת לוודא שהוא מתכוון לבצע את הפעולה החריגה, ולחלופין, לאפשר לו לחזור בו ולבטל את הפעולה (דוגמא, מקרים של טעות בהקלדה, או החטאה בלחיצה על לחצן הפעולה בעכבר)
המפעיל מאתר מצב חריג ידנית - ליחידת בקרת תפעול נורמלי המצב החריג לא נצפה או לא טופל בשלב הפיתוח, והמפעיל נדרש לפתור את הבעיה באופן עצמאי (דוגמא, מכשול על הכביש, בתפקיד נהיגה ברכב)
מידע על חריגה שמתקבל מחיישן בטיחות אוטומטית - ליחידת תפעול משולב בחירום יחידת התפעול בחירום יכולה ליידע את המפעיל לגבי בעיית הבטיחות, להנחות אותו כיצד לפתור אותה (דוגמא, התרעת מכשול בנהיגה ברכב)
איתחול לאחר נפילת מתח אוטומטית - ליחידת בקרת תפעול נורמלי יחידת הבקרה יכולה לשחזר את הנתונים מהרגע שלפני נפילת המתח, ולהמשיך את תהליך התפעול הנורמלי. לאחר מכן, היחידה צריכה ליזום תהליך של סינכרון מחדש של המערכת עם מערכות הפועלות בשיתוף איתה.
הפרעת תקשורת קריטית אוטומטית - ליחידת תפעול משולב בחירום יחידת התפעול בחירום יכולה ליידע את המפעיל לגבי בעיית התקשורת, ולהנחות אותו כיצד לפתור אותה. לאחר שבעית התקשורת נפתרה, היחידה צריכה ליזום תהליך של סינכרון מחדש של המערכת עם מערכות הפועלות בשיתוף איתה.
חריגה צפויה של משתנה תפעול אוטומטית - ליחידת תפעול משולב בחירום יחידת התפעול בחירום יכולה להציג למפעיל רשימה של גורמי שינוי מצב, ולהנחות אותו כיצד לנתח את המצב ולאבחן את גורם השינוי (דוגמא, לחץ חריג במיכל בזמן תהליך יצור כימי)
חריגה בלתי צפויה של משתנה תפעול אוטומטית - ליחידת בקרה אוטומטית בחירום הגורם לחריגה אינו ידוע בוודאות. הסיבה לחריגה יכולה להיות טעות במפרטים או בקידוד, והמשך התפעול בתנאים אלו עלול לגרום להסלמה. יחידת הבקרה האוטומטית צריכה לאפשר המשך תפעול באופן בטוח בתנאי אי וודאות.
המפעיל נוטל שליטה במצב חריג ידנית - ליחידת תפעול משולב בחירום המפעיל עשוי להתרשם שהפעולה האוטומטית אינה בטוחה וליטול שליטה. (דוגמא, ביטול בקרת מהירות אוטומטית בנהיגה). יחידת התפעול בחירום יכולה לפעול במוד חירום, המאפשר למפעיל לבצע פעולות קריטיות, אך מונע חריגות נוספות.
המפעיל נוטל שליטה במצב תפעול אוטומטי ידנית - ליחידת בקרת תפעול נורמלי המפעיל עשוי להתרשם שפעולה אוטומטית אינה רצויה (למשל, גורלמת לירידה בביצועים) וליטול שליטה.  ביחידת בקרת התפעול הנורמלי, הפעולה עוברת ממוד אוטומטי למוד אינטראקטיבי.
מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/11/2014