במערכות מסויימות, כגון, כלי טיס, אין אפשרות לעצור את הפעילות לחלוטין גם
במצב חירום. במצבים אלו צריך לאפשר למערכת להמשיך לפעול במוד חירום (Safe
Mode) עד לסיום מצב האיום.
הנחיה - התפעול במוד חירום. במוד
חירום, המפעיל נדרש להמשיך ולתפקד, אבל להמנע מפעולות מסוכנות.
המפעיל יכול לבצע מספר מופחת של פעולות שנחשבות לבטוחות, תוך דגש על תהליכי
פתרון הבעיה.
מניעת הסלמה
התפעול במוד חירום צריך למנוע הסלמה.
ההסלמה מוגדרת כתגובה בלתי רצויה להפרעות חדשות, כאשר המערכת נמצאת
במצב חריג, בטרם התאוששה מהפרעות קודמות.
הנחיה - מפרטי התפעול במוד חירום.
מפרטי התפעול צריכים לכלול פירוט של הפעולות המותרות והאסורות במוד
חירום עבור כל מצב חירום ברשימה, ועבור מצבי החירום המיוחדים שביוזמת
המפעיל.
הנחיה - התניית פעולת המפעיל באילוצי החירום. יש לוודא שהפעולה אינה
גורמת לחריגה מחוקי התפעול.
תכן ממשקי הפעלה במוד חירום
במוד חירום המפעיל נדרש לבצע פעולות משני סוגים:
- פעולות הנדרשות בשגרה, וגם במצב החירום
- פעולות ספציפיות למצב החירום.
הנחיה - דרישות התפעול
בחירום. הממשק
לתפעול במוד חירום צריך להיות זהה לזה שבמוד תפעול שגרתי, למעט הגנה נוספת בפני
פעולות מסוכנות. הדרישות לגבי הממשק עבור הפעולות הספציפיות לחירום שונות מהדרישות
עבור הפעולות השגרתיות, כדלקמן:
תכן הממשק לפעולות שגרתיות
אופן הכשל - בעיית התמצאות בתנאי לחץ. במצבי חירום, המפעיל נוהג על פי הרגלים אותם רכש במצב תפעול שגרתי (Bainbridge, 1983). למפעיל יש
נסיון בתפעול הפונקציות השגרתיות, והוא מצפה לכך שהתפעול יהיה זהה גם
במצב החירום. בתנאי לחץ, אם התפעול הוא שונה, המפעיל עלול לטעות בתהליך
החיפוש אחר הפקדים המשמשים לתפעול בחירום.
הנחיה - עקביות בתפעול הפעולות השגרתיות. יש להקפיד שבמצב
חירום, אופן התפעול של הפעולות השגרתיות הרלבנטיות יהיה זהה לזה
שבשגרה. הפקדים יהיו זהים, פקדים רכים יופיעו באותו המקום על המסך,
אופן הגישה למסך הפקד הרך יהיה זהה, והמידע המתאר את פונקצית הפקד יהיה
זהה.
קבלת החלטות באינטואיציה
הנחת העבודה בתכן התפעול במצבים חריגים היא שהמפעיל זכה להתנסות מעט
מאוד, אם בכלל, בזיהוי והכרת המסכים והפקדים הדרושים לצורך התפעול. כלומר,
כשהמערכת מופעלת במוד חירום, המפעיל נדרש להכיר ולהתמצא במצב שהוא בלתי מוכר
לו. היכולת שלו מוגבלת על ידי תכונת הזכרון קצר הטווח.
אופן כשל - בחירת
פעולה שגרתית בטעות. בתפעול בתנאי לחץ, המפעיל עלול לבחור
בדרך פעולה אליה הוא הורגל, למרות שדרך הפעולה המתאימה יותר היא זו
שהננקטה לעתים רחוקות יותר בשגרה.
כדי למנוע טעויות בתפעול במצב לחץ, תהליך קבלת ההחלטות אצל
המפעיל צריך להיות יעיל.
הנחיה - הגדרת דרך פעולה מועדפת לכל מצב. בכל מצב צריכה
להיות רק דרך פעולה אחת בזמינות גבוהה, וזוהי הפעולה המועדפת. הנקיטה בכל דרכי
הפעולה האפשריות האחרות צריכה להיות בזמינות נמוכה.
תכן הממשק לפעולות ספציפיות
במצב שיש צורך בתגובה מהירה, כאשר יש מספר
פעולות אפשריות, תהליך קבלת ההחלטות אצל המפעיל כרוך בבחינה של כל הפעולות
האפשריות ושל המשמעות של תגובת המכונה לכל פעולה אפשרית. תהליך זה הוא ארוך
ומסורבל, וכרוך בטעויות בקבלת ההחלטות.
אופן הכשל -
בעיית התמצאות בפקדים הספציפים. יש לצפות לכך שהמפעיל לא
זכה להתנסות בתפעול במצבי חירום, ולכן קיים חשש שהוא יתקשה בתפעול
הפקדים הספציפיים.
הנחיה - בולטות והדרכה
אינטראקטיבית בשימוש בפקדים הספציפיים. הדרך הארוכה יכולה
להיות גם הדרך המהירה. המכונה יכולה להנחות את המפעיל בתפעול במצבי
חירום. התכן צריך להבטיח שהפקדים הספציפיים בחירום יהיו בולטים במיוחד,
ושהגישה אל הפעולות הספציפיות תהיה מונחית מחשב.
מידע ספציפי למצב החירום
אופן הכשל - בעיית היכרות עם מידע ספציפי
למצב החירום. בתנאי לחץ, יש לשער שהמפעיל לא יקרא את המידע
המוצג לפניו, ואם יקרא או ישמע, לא יבין אותו (ע"ע תאונת טיסת
AF 447).
הנחיה - תרגום המידע להנחיות לפעולה.
כל פרט מידע שהוא ספציפי לחירום יש לנסח במונחים של הנחיות למפעיל.
הנחיה - תרגול התפעול במצבי חירום.
הבעיה העיקרית בתפעול בחירום היא כאשר מצב התפעול אינו מוכר למפעילים.
יש לאפשר להם להתנסות בתפעול במצבי חירום. יש לפתח עזרים, כולל הדמית
מצבי חירום, שיהיו משולבים במערכת, ויאפשרו התנסות בחווית התפעול
במצבים חריגים בסביבה האמיתית.
סיום מצב החירום
הנחיה - תנאים לסיום מצב החירום.
סיום מצב החירום מתאפשר בשני תנאים:
- המערכת חזרה למצב תפעול שגרתי
- המפעיל אישר שמצב החירום הסתיים.
הנחיה - תכן החזרת השליטה למפעיל.
במצבים בהם המפעיל חזר לשלוט במערכת, המכונה
צריכה לעדכן את התרחיש אוטומטית על פי בחירת המפעיל, ולעקוב אחרי
פעילותו בתרחיש החדש.