מודל החסינות מתאר אירועי כשל כתולדה של מצבים חריגים.
גורם עיקרי לכשל בתפעול קשור לאופן ההגדרה של חריגה מחוקי התפעול.
התכן לחסינות צריך להבטיח יישום של חוקי התפעול, ואבטחה להתנהגות המערכת
בהתאם.הגדרה
מצב חריג זהו מצב
שאינו כלול ברשימת האילוצים של
תפעול המערכת בשגרה.
- מצב חריג צפוי, מצב שהוגדר מראש במפרטים כמצב סכנה, ובהתאם,
הוא כלול ברשימת האילוצים של תפעול המערכת במצבים חריגים
- מצב חריג בלתי צפוי, מצב
שלא נכלל ברשימת האילוצים.
התנהגות המערכת במצבים חריגים
גורם עיקרי בכשל קשור באופן התגובה להפרעות, כאשר
המכונה נמצאת מצב שאינו תואם את תרחיש התפעול. במקרים של המשך תפעול
כאשר המערכת במצב חריג,
מתפתח איום הנובע מכך שהמערכת לא תוכננה להתמודד היטב עם המצב החריג.
איומים סמויים
מניתוח תאונות מתברר שבמקרים רבים המערכת היתה
תחת איום, אבל המפעילים לא היו מודעים לכך. למשל, בתאונת הכור הגרעיני
TMI מספר שסתומים לא פעלו כמצופה, חלקם בגלל תקלת חומרה, וחלקם כתוצאה
מרשלנות.
אחת המטרות המאתגרות בתכן לאבטחת חסינות היא
למנוע איומים סמויים. איומים סמויים יכולים להגרם מכשל רכיב, טעות תפעול,
באג בתוכנה, מעבר מצבים בלתי מתואם, הפרעת תקשורת ועוד. אם המפעילים אינם
מודעים לאיום, הם אינם יכולים לפעול בזמן.
המדריך ממליץ על הקצאת
יחידת בקרת מכונה, שצריכה
לאתר מצבים של הפעלה בניגוד לחוקי התפעול התקין.
יחידת בקרת המכונה
צריכה להעביר את המידע לגבי המצבים הבעייתיים אל יחידת ההתרעות.
הנחיה - שיטות
לבחינת מצב המערכת. מפרטי הדרישות צריכים לכלול הגדרה של שיטות לבחינת
מצב המערכת, כגון, על ידי חיווים יעודיים.
הצורך לנהל מצבים חריגים
במצבים החריגים, המפעילים נדרשים לפתור בעיות ולהחזיר את המערכת למצב
תפעול שגרתי. ניהול המצבים החריגים מאפשר ליישם את עקרון
המלחמה בביש המזל.
הנחיה - אפיון התנהגות
המערכת במצבים החריגים. בתכן לחסינות, עלינו להגדיר ולאפיין
בנוסף לתפעול השגרתי גם את המצבים
החריגים, וכן את התנהגות המערכת במצבים הללו.
סיווג המצבים החריגים
בניהול המצבים החריגים, עלינו להבחין בין שני סוגים של מצבים חריגים:
- מצבים סבירים, כגון, תקלות בחומרה, באספקת
הכח או בתקשורת
- מצבים בלתי
סבירים, כגון, תוצאה של טעויות
במימוש או בתפעול, וכן רשלנות וזדון של גורמים עויינים.
הנחיה - סיווג המצבים החריגים. יש לסווג את המצבים החריגים למצבי תפעול
בפתרון בעיות
לעומת מצבים שהם בלתי סבירים.תכן למצבים בלתי צפויים
ממשקי התפעול במצב חריג צריכים לאפשר למפעיל להגיב להתרעות לגבי מצבי סיכון,
במטרה לסכל את האיום, למנוע הסלמה ולחזור לתפעול סדור.
הנחיה -
מענה למצבים בלתי סבירים. בנוסף לצורך לתת מענה
לתקלות הללו, יש צורך לתת מענה
גם למצבים חריגים הבלתי הסבירים.
מגבלות אחריות המפעיל
מודל החסינות הציג את פרדוקס התפעול במצבים חריגים, על
פיו לא ניתן להניח שהמפעיל יידע לפתור בעיות בדרך שלא התנסה בהן קודם לכן.
פרדוקס זה
עולה בקנה אחד עם תופעת התגובה הרפלקסיבית, על פיה המפעיל מגיב להודעות
המכונה אוטומטית על פי ניסיון קודם. תופעה זו הודגמה
בתאונת טיסת
AF 447
הנחיה - אחריות המכונה
בתהליך פתרון בעיות. תכן התפעול במצבים חריגים אמור לפצות על אי הוודאות
הכרוכה בתפעול במצבים חריגים בדרך של שיתוף פעולה עם
המפעיל, ותמיכה בתהליך קבלת ההחלטות.
קו ההגנה השני
הנחיה - שכבות הגנה
בפני טעויות תפעול. קו ההגנה השני מבוסס על
מודל חסינות שמהווה יישום
פרואקטיבי של מטפורת הגבינה השוויצרית:
|