ניהול השליטה
מערכות רבות מאפשרות פעולה בשני מודים: ידני ואוטומטי.
הבעיות בניהול השליטה הן לקבוע:
- מתי המכונה רשאית להחליט על מעבר ממוד ידני למוד אוטומטי
- מתי המכונה רשאית להחליט על מעבר ממוד אוטומטי למוד ידני
- במקרה שהמכונה החליפה את מוד הפעולה, כיצד ליידע את המפעיל
לגבי שינוי המוד
- מתי המכונה רשאית למנוע מהמפעיל לקחת שליטה
- מתי המפעיל רשאי לקבוע את מוד התפעול.
דילמת השליטה
דילמת השליטה מתייחסת אל נושא הטלת האחריות לאופן התפעול בחירום: שליטת המכונה, על
ידי אוטומציה, לעומת שליטת המפעיל. דילמת השליטה מתוארת על ידי נקודת
העבודה שנמצאת על עקומת החסינות, כאשר נקודות שונות מסמלות רמות
שונות של חלוקת אחריות בין המכונה לבין המפעיל.
פתרון דילמת השליטה
דילמת השליטה היא לגבי הגורם האחראי להתמודד עם מצב
הפתעה, כגון, כתוצאה מקשיים בתגובה לאירוע שהוא בלתי מוכר הן למתכנן והן
למפעיל, למשל, כאירוע שהגיע כאשר המערכת היתה במצב חריג.
הנחיה - הגבלה לפי מפרט
הדרישות. בתכן לחסינות, השליטה צריכה להיות מוגבלת לפי מפרט
דרישות. זאת, מכיוון שלפי האכסיומה של בעיית השלימות, אין אפשרות מעשית לכך
שהתכן יתמוך בכל הפעולות האפשריות של המפעיל, בכל המצבים (
Robert et al.).
משמעות הנחיה זו היא שהתכן צריך לכלול אילוצים עם
ואריאציות, והמערכת צריכה להיבדק בכל הואריאציות בהן התכן תומך.
עקרונות
הנחיה -
ניהול השליטה.
ככלל, במצבים בהם אין סיכון מיידי, יש לאפשר לרמה הממונה לקבוע
את מוד הפעולה.
הנחיה - האצלת סמכויות. הרמה הממונה צריכה להאציל סמכויות במצבי חירום, והרמה
המבצעת צריכה ליטול שליטה בכל מצב בו האוטומציה נדרשת, כמו
בדוגמאות לעיל.
ההנחיות לניהול השליטה מתייחסות אל כל הרמות בהיררכית האחריות. ברמה
הנמוכה, הן מתייחסות לאינטראקציה בין המפעיל לבין המכונה.
אבטחת שליטת המפעיל
הנחיה - אבטחת שליטת המפעיל. יש לאפשר למפעיל ליטול את
השליטה חזרה לידיו במקרים בהם הוא משוכנע שהפתרון האוטומטי הוא הרה אסון. (ע"ע
תאונת AF
296 משנת 1988).
הנחיה - תכן העברת השליטה למפעיל.
במצבים בהם השליטה עברה למפעיל, המכונה צריכה לעדכן את התרחיש אוטומטית על פי
בחירת המפעיל, ולעקוב אחרי פעילותו בתרחיש החדש.