המדריך לאבטחת חסינות מערכות - מונחים והגדרות - א     ב-ד   ה     ו-ל     מ     נ-ש    ת

הסלמה

הגדרה של הסלמה

הסלמה במצב המערכת זוהי תופעה של מעבר ממצב חריג למצב שהוא בלתי מוכר למפעיל. הגורם העיקרי להסלמה הוא המשך פעילות כרגיל, שאינה תואמת את המצב החריג. במצב הבלתי מוכר, קשה ביותר להתאושש ולחזור לפעילות נורמלית, ובמקרים רבים ההסלמה מסתיימת בתאונה. להוסיף תרשים

דוגמאות:

  • התאונה ב-TMI, כאשר ברז שחרור לחץ לא נסגר לאחר שהלחץ השתחרר

מצב הסלמה

מצב של צירוף מצבים חריגים, כגון תקלה או פעילות חריגה של המפעיל כאשר המערכת נמצאת כבר במצב חריג (פירוט)

אפיון של תהליך הסלמה

הבעיה העיקרית בייצוב תחת איום היא במצבים בהם המערכת ממשיכה לפעול כרגיל, למרות המצב החריג. לדוגמא, ננסי לבסון הציגה מקרה של תאונה בתהליך יצור כימי שנבעה מכך שהתוכנה הגיבה למצב חריג על ידי הקפאת המצב הקיים. כתוצאה, המערכת המשיכה לפעול למרות שהיתה במצב החריג, תהליך שהסתיים בפיצוץ.

בעיית הייצוב חריפה במיוחד כאשר המערכת צריכה להתמודד עם הפרעות חדשות לפני שתהליך הייצוב הסתיים. הפרעות חדשות עלולות להיות תגובת שרשרת להפרעה המקורית (כמו במקרה של TMI) או כתוצאה מכך שיחידות מסויימות במערכת אינן מזהות את המצב החריג וממשיכות לפעול באופן בלתי מתואם. במודל זה הפעילות הבלתי מתואמת מהווה גורם משמעותי להפרעות.

בעיית תיאום בין יחידות

ההיסטוריה של תאונת רוויה במקרים שהמידע לגבי האיום קיים רק ביחידות מסויימות, ואינו מגיע לכלל היחידות במערכת. במצב זה, המערכת נמצאת במצב שאינו קונסיסטנטי.

פעולת מפעיל שאינה הולמת את מצב המכונה

כאשר המערכת נמצאת במצב של איום, קיימת בעיה במקרים בהם התנהלות המפעיל אינה מותאמת למצב האיום. המשך תפעול המערכת כאשר נמצאת במצב חריג עלולה להביא להסלמה, כלומר, לתוצאות לא רצויות, ואף לאסון.

תואמות במעקב אחר תרחישים

במקרה שכל היחידות פועלות על פי אותו התרחיש, המערכת תואמת את ההקשר. אחרת, פעולת המערכת אינה מתואמת, וההתנהגות שלה היא בלתי צפויה.

הסיבות העיקריות למצב של חוסר תיאום

  • שינוי במצב המכונה, כאשר המפעיל אינו מודע לשינוי זה.
  • שינוי בתרחיש התפעול, שמחייב שינוי בתהליכי התפעול, אבל אינו בא לידי ביטוי במצב המכונה.

גורמי ההסלמה

מצב כשל: נטילת שליטה מהמפעיל

כתוצאה מפרוטוקול אינטראקציה על פי אילוצים, או מאוטומציה יתירה.

טעויות בהגדרת דרישות התפעול

בתהליך פיתוח רגיל, הדגש הוא בראש ובראשונה על התנהגות תקינה של המערכת בתהליכים הנורמאלים, המשרתים את ייעוד המערכת. בעדיפות שניה, בוחנים גם את התנהגות המערכת במצבים חריגים. במצבים החריגים, התנהגות המערכת היא מורכבת לאין שיעור מההתנהגות הנורמלית. למרות זאת, במצוקה של לחצי זמן ותקציב בפיתוח, הבחינה של התנהגות המערכת במצבים החריגים היא לעתים קרובות שיטחית.

כתוצאה מהגדרה חלקית של המצבים החריגים ( "בעיית שלימות המפרטים") או תת-פירוט של האינדיקציה למפעיל לגבי המצב החריג