המדריך לאבטחת חסינות מערכות - שכבות ההגנה בפני כשל

שכבות ההגנה

כללי

1. תכן האוטומציה ...

2. מניעת איומים ...

3. תכן התגובה לאיומים ...

4. מניעת הסלמה ...

5. תכן התפעול בחירום ...

6. אימות ותיקוף ...

7. ניהול החסינות ...

 

כללי

אסטרטגיה של אבטחת חסינות

אבטחת החסינות מבוססת על מודל החסינות, המיוצג בעזרת מטפורת הגבינה השוויצרית. מודל החסינות מציע ליישם את עקרון המלחמה בביש המזל על ידי שכבות הגנה, בדמות פרוסות גבינה שוויצרית (הסבר).

שכבת ההגנה הראשונה - אוטומציה תחת פיקוח

למכונות יש תכונות מסויימות, בעיקר, מהירות ודיוק, המאפשרות להמנע מטעויות בתפעול.

הנחיה - ישום האוטומציה. בעזרת אוטומציה אפשר לשחרר את המפעיל הן פיסית והן מנטאלית ממטלות עזר, לצורך עיסוק במטלות הקריטיות לתפקוד המערכת.

שכבת ההגנה השניה - מניעת איומים

איום  מוגדר כמצב של חריגה מחוקי התפעול. החריגה יכולה להיות תקלת חומרה, סטייה מתהליך או פעולה חריגה בגין טעות במפרטים או במימוש.

הנחיה - מפרטי האירועים החריגים. לגבי כל אירוע חריג, המפרטים צריכים לכלול הסבר של אופן גילוי האירוע, ואת אופן ההתמודדות עמו. אופן גילוי האירוע יכול להיות ישירות, על ידי חיישן ייעודי, או בעקיפין, על ידי חישוב מדדים שמאפשרים גילוי חריגים.

שכבת ההגנה השלישית - איתור תקלות

בתהליך פיתוח רגיל, הדגש הוא בראש ובראשונה על התנהגות תקינה של המערכת בתהליכים הנורמאלים, המשרתים את ייעוד המערכת. בעדיפות שניה, בוחנים גם את התנהגות המערכת במצבים חריגים. במצבים החריגים, התנהגות המערכת היא מורכבת לאין שיעור מההתנהגות הנורמלית. למרות זאת, במצוקה של לחצי זמן ותקציב בפיתוח, הבחינה של התנהגות המערכת במצבים החריגים היא לעתים קרובות שיטחית.

הנחיה - מידע למפעיל לצורך איתור תקלות. במקרים של חריגה מתחום התפעול השגרתי, המערכת צריכה להתריע למפעיל, והמפעיל נדרש לפעול לסיכול האיום ולהחזיר אתהמערכת לפעילות שגרתית. ההתרעה צריכה לספק למפעיל מיד, המבוסס על שיערוך, לגבי רמת הסיכון ולגבי הזמן שנותר עד למצב בו תידרש השבתה של המערכת.

שכבת ההגנה הרביעית - מניעת הסלמה

הסלמה מוגדרת כחריגה מהאילוצים המגדירים את התפעול במצבים החריגים.

הנחיה - אכיפת חוקי התפעול במצבים חריגים. יש לבדוק את פקודות המפעיל טרם ביצוע, ולמנוע ביצוע במקרים של זיהוי חריגה מהאילוצים.

שכבת ההגנה החמישית - פעולת חירום

במצב חריג, משתני המצב שמוגדרים כמשתני סיכון צריכים להיות בטווח ערכים שנקבע מראש כטווח פעילות בטוחה.

הנחיה - הגדרת הפעולה בחירום. במערכות רבות, חריגה מתחום הבטיחות מחייבת השבתה מיידית של המרכיב הפונקציונאלי. בשאיפה, תהליך ההשבתה הוא אוטומטי. במקרים מסויימים, כגון בתעופה, הדרישה היא להמשיך ולתפקד במוד חירום.

שכבת ההגנה השישית - אימות ותיקוף

אחת הטעויות הנפוצות בקרב מפתחי מערכות היא בדיקת התפעול על ידי מומחים מקרב צוות הפיתוח. במקרים רבים, המומחים מייחסים למפעילים הפוטנציאלים יכולות החורגות מכישוריהם.

הנחיה - הבדיקות מתבססות על סימולציה של תקלות. יש ליזום תקלות בסיסיות, כגון, ניתוק מכשירים, קצרים, הפסקות באספקת מתח, סביבה רועשת וכיו"ב, ולבדוק את תפקוד המפעילים במצבים הללו.

שכבת ההגנה השביעית - ניהול החסינות

אחת הטעויות הנפוצות בהתמודדות עם אירועי כשל קשורה בהסטת הדיון מבעיות התכן למפעיל שנכשל בהתמודדות עם בעיות התכן.

הנחיה - רישום שוטף של פעילות המערכת. לצורך הפקת לקחים, יש לרשום את פעילות המערכת באופן שוטף, ולספק כלים לניתוח הפעילות.

דוגמא - דוד חימום מבוקר תרמוסטאט


באתר  במודל  במדריך  בתיקוף  במאגר      אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט.    למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com .    דף זה עודכן בתאריך 08 Jan 2015.