מדריך לאבטחת חסינות מערכות - שכבות ההגנה בפני כשל  - 2. מניעת איומים - איומי תקלות תאום

איומי תקלות תיאום

כללי

עקרונות התיאום

עקרון השת"פ וישומו

עקרון התרחיש המפורש

בורר תרחישי השגרה

מימוש

עידכון שינויי מצב

תיאום אדם מכונה...

תיאום בין מכלולים ...

דוגמאות ממאגר האירועים

 

כללי

גורמי הכשל

ליקויים בתכנון התנהגות המערכת מצבים חריגים מתבטאים בעיקר בליקויים בשיתוף בין המפעיל לבין המכונה, וכן בתיאום בין המכלולים השונים במערכת. לפיכך, האתגר העיקרי בתכן לחסינות הוא להבטיח תיאום בין הגורמים השונים הקשורים בתפעול המערכת.

מצבי הפתעה בתפעול

לדוגמא, כאשר התפעול של ממשק התפעול בשגרה מונחה על ידי אילוצים, אבל המפעיל והיחידה הפונקציונאלית אינם מוגבלים על ידי האילוצים הללו. אחד המאפיינים של מצבי הפתעה הוא כאשר המערכת פועלת בהתאם לאילוצים מסויימים (וירטואלים או מפורשים), אבל אחד המכלולים (כגון, המפעיל) פועל בניגוד לאילוצים. לדוגמא, כאשר התפעול של ממשק התפעול בשגרה מונחה על ידי אילוצים, אבל המפעיל והיחידה הפונקציונאלית אינם מוגבלים על ידי האילוצים הללו. בניתוח אירועים כאלו מסתבר שמסיבה כלשהי, המכלול הסוטה פועל על פי תרחיש שאינו תואם את התרחיש הפעיל במערכת.

אופן הכשל - תקלת תיאום בין מכלולים. במצב של חוסר תיאום בין המפעיל למכונה, המכונה לא תמיד מפרשת נכונה את פקודת המפעיל. במקרה שאחד המכלולים פועל על פי תרחיש שאינו תואם את תרחיש המערכת, התנהגות המערכת היא בלתי צפויה, ועלולה להסתיים בהפתעה לא נעימה.

הגדרה של תקלת תיאום

תקלות תיאום מוגדרות על ידי חריגות מהאילוצים, כאשר המצבים של שני מכלולים (כגון, המכונה והמפעיל) אינם תואמים אילוץ המתייחס לתרחיש הפעיל.

אופן הכשל - אילוצים וירטואלים. תקלות תיאום מאפיינות מערכות בהן האילוצים אינם מוגדרים במפורש במסמכי הדרישות.

גורמי הכשל

ליקויים בתכנון התנהגות המערכת מצבים חריגים מתבטאים בעיקר בליקויים בשיתוף בין המפעיל לבין המכונה, וכן בתיאום בין המכלולים השונים במערכת. לפיכך, האתגר העיקרי בתכן לחסינות הוא להבטיח תיאום בין הגורמים השונים הקשורים בתפעול המערכת.

דוגמאות

להלן רשימה של אירועי תאונה כתוצאה של תקלות תיאום:

  • אירוע כשל מספר 2: המיכלית Torrey Canyon - התכן איפשר ניתוק ההיגוי, פעולה רלבנטית לתרחיש תחזוקה בלבד. בחכמה לאחר מעשה, התכן יכול להגדיר אילוץ המונע ניתוק ההיגוי בתהליך שיוט נורמלי. את האילוץ אפשר לממש בדרך של הפרדה בין בקרי שיטת הניהוג, שהנגישות אליו גבוהה, לבין בקר כללי שמאפשר לקבוע את התרחיש הפעיל.
  • אירוע כשל מספר 55: טיסת CAL 140 בנגויה- התכן איפשר, אבל לא תמך, בהעברת המטוס למצב TO/GA במוד הטסה ידנית. בחכמה לאחר מעשה, התכן יכול הגדיר אילוץ שמייצר התרעה במקרה של נסיון להטסה במצב TO/GA כאשר הנחיתה היא במוד הטסה ידנית.
  • באירוע כשל מספר 17: התקלה  כור הגרעיני ב-TMI - התכן איפשר למפעיל לבצע פעילות תחזוקה של ניתוק משאבות הגיבוי של מי הצינון בתרחיש של ייצור אנרגיה. בחכמה לאחר מעשה, התכן יכול להגדיר אילוץ המייצר התרעה במקרה של ביצוע פעולה כזו.
  • אירוע כשל מספר 46: טיסת אייר פרו 603 - המערכת איפשרה טיסה במצב בו חיישני מד הגובה היו מכוסים, לצורך תחזוקה. בחכמה לאחר מעשה, מחשב הטיסה יכול לבדוק את מצב פעילות החיישנים בשלב הבדיקות לפני המראה, ולהתריע במקרה של תקלה בחיישנים.

  • אירוע  כשל מספר 53: ירי ידידותי באפגניסטן - התכן איפשר החלפה אוטומטית של מוד התפעול ממוד  ציון מטרות, בו נקודת הציון שבתצוגה מתקבלת ממציין הלייזור, למוד ניווט, בו נקודת הציון שבתצוגה מתקבלת מה-GPS. ניתן היה למנוע לו מוד התפעול לא היה מתחלף אוטומטית במצב של החלפת סוללה.

  • אירוע כשל מספר 7: כיבוי בטעות של הממיר הדיגיטאלי - התכן איפשר שימוש בפקד הכיבוי-הדלקה לשליטה הן במסך הטלביזיה והן בממיר הדיגיטלי. ניתן למנוע טעויות של החלפת מוד על ידי הגבלת שליטת פקד הכיבוי וההדלקה בתרחיש שימוש יומיומי, לשליטה במסך בלבד.

מידע נוסף במאמר Task-oriented System Engineering.

מניעת ההפתעה

ההפתעה נובעת מהמצב החריג של חוסר תיאום בין האדם לבין המכונה, או בין המכלולים השונים במערכת.

הנחיה - עידכון שינויי מצב.  התכן צריך להבטיח שכל המכלולים מתואמים לגבי כל שינוי במצב המערכת. בכל מקרה של שינוי במצב כל אחד מהמכלולים, או בכוונת כל אחד מהמפעילים, יש לעדכן  את כל היחידות.

באתר  במודל  במדריך  בתיקוף  במאגר      אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט.    למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com .    דף זה עודכן בתאריך 05 Jan 2015.