המדריך לאבטחת חסינות מערכות - מתודולוגיה

מתודולוגיה

עקרון המלחמה בביש המזל

המלחמה בטעויות אנוש

אחריות המפתח

קוי הגנה בפני כשל

הגדרת קריטריונים

אוטומציה

אילוצי התפעול

בקרת הפעילות תחת אילוצים

יישום הבקרה העצמית

תהליך הבקרה העצמית

 

 אוטומציה

למכונות יש תכונות מסויימות, בעיקר, מהירות ודיוק, המאפשרות להמנע מטעויות בתפעול. בעזרת אוטומציה אפשר לשחרר את המפעיל הן פיסית והן מנטאלית ממטלות עזר, לצורך עיסוק במטלות הקריטיות לתפקוד המערכת.

מצד שני, פעולות אוטומטיות ניתן ליישם אך ורק במצבים בהם ידועים בוודאות התנאים בהם הפעולות הללו רצויות למפעיל. אחרת עלול לקרות שהגולם עולה על יוצרו.

מצבים בהם נדרשת אוטומציה

אוטומציה נדרשת במצבים בהם המפעיל מתקשה לבצע את הפעולה הנדרשת באופן ידני. בעיקר, בשני מצבים:

  • כאשר הפעולה היא מורכבת, ומאפשרת טעויות. לדוגמא, בבקרת תהליכים סטטיסטית, בהם נדרשת סדרת פעולות לצורך השלמת בדיקה ופעולה מתקנת.
  • כאשר הפעולה נדרשת בפרק זמן קצר. לדוגמא, בקרת טיסה במטוסים גדולים, בתנאים קשים, בהם נדרשת תגובה מהירה לשינויים פתאומיים במצב האויר, כגון, משבי רוח פתאומיים. הפתרון הוא על ידי טייס אוטומטי, המבצע פונקציות בקרה של ההגאים.
  • כאשר נדרשת החלטה מהירה, כי הסיכון מתפתח במהירות.

דוגמא

בבואינג 747-200 היה איש צוות בתא הטייס שהוא מהנדס הטיסה, ובין שאר תפקידיו, היה אמור לבצע את איזון הדלק בין מיכלי המטוס השונים, במהלך הטיסה. בבואינג 747-400 (המתקדם יותר) בוטלה הפונקציה של מהנדס הטיסה, ואת מקומה לקחו מחשבי המטוס בסיועם של שני הטייסים. (מקור: עזרי אובסטבאום).

מגבלות האוטומציה

האוטומציה משמעותה, בין השאר, שהמכונה נוטלת את השליטה מהמפעיל (הסבר: דילמת השליטה). פעולה זו עלולה להיות מסוכנת במצבים בהם המפעיל נדרש לחרוג מהפעולה האוטומטית, שנקבעה על ידי מתכנן המערכת.

תנאים בהם אין ליישם אוטומציה

האוטומציה עלולה לגרום לאסון אם היא מופעלת במצבים בהם יתכן שהפעולה האוטומטית נוגדת את כוונת המפעיל. פעולות אוטומטיות ניתן ליישם אך ורק במצבים בהם ידועים בוודאות התנאים בהם הפעולות הללו רצויות למפעיל. אחרת עלול לקרות שהגולם יעלה על יוצרו.

הבעיה העיקרית באוטומציה היא במצבים בהם המפעיל מתקשה לעקוב אחר השינויים במצב המערכת, ולהבין את המשמעות של שינויים במצב (הסבר של נורמן).

אם המפעיל מתקשה לזהות את מצב המכונה, הוא עלול לטעות. אם המפעיל נדרש לבצע פעולות מסויימות בכדי לזהות את מצב המכונה, אז יתכן שבתנאי לחץ הוא יסתמך על הזכרון לגבי המצב הקודם. במקרה שהמצב השתנה מבלי שהמפעיל מודע לכך, התוצאה עלולה להיות הפעלה של פונקציה, שהיא בטוחה במצב תפעול שגרתי, אבל מסוכנת במצב החריג.

דוגמא

מעטפת ההגנה כנגד הזדקרות בגירסאות הראשונות של מטוסי איירבאס 320 הופעלה בגלל טעות בתכן גם בגבהים נמוכים, בהם נדרשה התערבות הטייס על מנת להתרחק מהקרקע. המחיר של טעות זו היה שני אסונות תעופה:

  • התרסקות מטוס בטיסת AF 296 בשנת 1988 באלזס שבצרפת (ניתוח האירוע)
  • התרסקות מטוס של טיסת IA 605 בשנת 1990 בשלב הנחיתה בבנגלור שבהודו (ניתוח האירוע).

 

מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 25/11/2014