בעיית התכן

אחת הבעיות הקריטיות בתכן לחסינות מתייחסת למקרה של שינוי במצב המכונה, כגון, במצבי תקלה בחומרה, באספקת המתח, או בתקשורת, או כתוצאה מפעולה בלתי סבירה של המפעיל. הבעיה מתעוררת כאשר המפעיל אינו מודע לשינוי במצב המכונה.

טעויות בתפעול פקדים רב-תכליתיים

טעויות מצב מאפיינות כשל הקשור בתפעול פקדים רב-שימושיים, המשמשים להפעלת מספר פונקציות, כאשר הפונקציה שמתבצעת בפועל נקבעת על פי מצב המערכת. למשל, אם לחצן ההפעלה בשלט רחוק של טלביזיה ביתית משמש להפעלת המסך ולהפעלת הממיר הדיגיטלי, אז השפעת הלחיצה עליו תלויה במצב השלט. במקרה של טעות מצב, המשתמש עלול להכבות את הממיר במקום את המסך, ולהיפך.

מניעת טעויות בתפעול פקדים רב-תכליתיים

דרך אפשרית למנוע הפעלה של פונקציה בטעות היא להבטיח שכל פקד יכול להפעיל פונקציה אחת בלבד, וגם זאת במגבלות התרחיש.

למשל, טעויות של כיבוי בטעות של הממיר הדיגיטאלי בעזרת השלט רחוק במקום הדלקה של הטלביזיה ניתן למנוע על ידי הקצאה של מקש הפעלה יעודי ושל מקש כיבוי יעודי לטלביזיה בלבד, שפעולתו תלויה במצב הטלביזיה, ולא במוד של השלט.

המלצה - העדפת פקדים חד משמעיים. ניתן להגביל את אפקט הפקד (בגבולות התרחיש) לפונקציה יחידה. לדוגמא, ניתן למנוע כיבוי בטעות של הממיר הדיגיטלי על ידי הגבלת לחצן ההפעלה (בגבולות של תרחיש הפעלה יומיומית) לשליטה במסך הטלביזיה בלבד.

תכן לאינטראקציה ע"פ תרחישים

ניתן למנוע טעויות מצב על ידי תכן לפי תרחישים, כאשר הלחצן משמש לתרחיש עיקרי יחיד, והשימוש שלו לתרחישים משניים מבוקר בעזרת מנגנונים (כגון, על ידי צירוף לחצנים) למניעת הפעלה בטעות. דרך אפשרית ליהנות משני העולמות היא על ידי:

• הגדרת תהליכי תפעול רגיל על פי תרחישים

• התרעה במקרה של נסיון חריגה מהתרחיש.

אינטראקציה מונחית תרחישים מאפשרת חריגה מבוקרת של המפעיל גם כאשר הפעילות היא על פי תרחישים. זאת, על ידי תכן לשת"פ בין המפעיל לבין המכונה, שתכליתו להביא לתמונת מצב משותפת, ולהגדרה משותפת של מטרות האינטראקציה.

לחצני החלפת ערוצים בשלט רחוק של מערכת טלביזיה מסויימות משמשים להחלפת ערוצים במכשירים השונים, כאשר המכשיר שמושפע מהם נקבע על פי המוד. טעות שכיחה מצערת היא של שינוי ערוץ במקלט במקום בממיר. בשלט שתומך בתפעול לפי תרחישים, בתפעול רגיל, לחצני הערוצים משפיעים על הממיר, ולא על המקלט. שינוי ערוצים במקלט, בתרחיש של התקנה, יכול להתבצע באופן מוגן על ידי פעילות מיוחדת, כגון לחיצה בו זמנית על לחצן בקרה.

יישום העקרון

כאשר פקד משמש למספר מטלות שהבחירה ביניהן היא על ידי מוד, המפעיל עלול לטעות במוד, ובטעות לבצע מטלה אליה לא התכוון.

הנחיה - פיקוד של פעולות מסוכנות. יש להקצות פקד נפרד לכל מטלה שהפעלתה בטעות עלולה לגרום לאירוע בטיחותי.

מעקב אחר שינויים אוטומטיים במצב המכונה

מקרה בעייתי במיוחד זהו המקרה של פתרון אוטומטי לשינוי המצב. מקרה זה רלבנטי למערכות בטיחות מורכבות, כגון, בתעשיה התהליכית, או בתחבורה. הבעיה היא כאשר המפעיל אינו מצליח לעקוב אחר השינויים בהתנהגות המכונה. בעיית התכן הזו אופיינית למצבים בהם השינוי אינו נראה בקלות, במערכות בהן המכונה אינה מיידעת את המפעיל לגבי השינויים.

דוגמא

התאונה בטיסת AF 296 היא דוגמא של תגובת המכונה לפעולה של הטייס שנראתה בלתי סבירה למתכננים. בדוגמא זו, המכונה הפעילה מנגנון הגנה שנקרא "מעטפת טיסה", אבל לא יידעה את הטייס לגבי השינוי.

תכן למעקב המפעיל אחר שינויים במצב המכונה

יש להבטיח שהמפעיל מודע לשינויי משמעותיים בהתנהגות המכונה.