מניעת הפרעות

מניעת הפרעה חוץ מערכתית

דוגמא של הפרעה חוץ מערכתית זוהי של בעלי חיים על הכביש.

ניתן לצמצם סיכונים כאלו על ידי מניעת כניסה של בעלי חיים לכביש, על ידי גידור משני צידי הכביש.

ההנחה במדריך זה היא שנושא זה אינו בתחום העיסוק של הנדסת מערכות.

מניעת תפעול במצבים קיצוניים

דוגמא של תפעול במצבים קיצוניים זוהי של נהיגה בכביש רטוב.

ניתן לצמצם סיכונים של החלקה על ידי נהיגה במהירות נמוכה. למשל, על ידי התרעות לנהג לגבי המצבים הקיצוניים.

מניעת תקלות חומרה

ההנחה, בהתאם לחוק מרפי הקלאסי, היא שלא ניתן למנוע לחלוטין תקלות חומרה.

 ניתן לצמצם אותן, על ידי הגדרת דרישות לרכיבים באמינות גבוהה, הוראות תחזוקה הכוללות הנחיות מפורטות לריענון רכיבים קריטיים, בדיקות תקופתיות וכיו"ב.

מניעת נפילות מתח

ההנחה, בהתאם לחוק מרפי הקלאסי, היא שלא ניתן למנוע לחלוטין נפילות מתח.

ניתן לצמצם אותן על ידי טיפול מונע, למשל, הנחיות להחלפת סוללה בעוד מועד, עוד לפני שהיא חלשה מדי.

מניעת תקלות תקשורת

ההנחה, בהתאם לחוק מרפי הקלאסי, היא שלא ניתן למנוע לחלוטין תקלות תקשורת.

ניתן לצמצם את הסיכון שלהן באופן משמעותי על ידי מנגנונים לסינכרון לאחר חידוש התקשורת.

 

מניעת ליקויים בהגדרת דרישות התפעול

ניתן לאתר ליקויים בהגדרת דרישות התפעול על ידי הגדרת מנגנון לאיתור ולדיווח על אירועים שהם בלתי צפויים.

מניעת באגים בתוכנה

האפקט של באגים בתוכנה הוא במצבים חריגים, שלא נבדקו די הצורך במהלך בדיקות התוכנה. מעשית, לא ניתן לפתח תוכנה שהיא נקייה מבאגים לחלוטין, אבל ניתן לצמצם את הסבירות להפרעות שנוצרות על ידי באגים, על ידי בדיקות מקיפות של התוכנה בכל מצבי ההפעלה הנורמאלית.

דרך אפשרית למנוע את הבאגים הוא על ידי הגבלת התוכנה לפעול במצבים שמוגדרים על ידי תרחישים, ולהתריע על חריגות.

ניתן ליישם זאת על ידי הגדרת ההתרעה כברירת מחדל בתגובה לשינויי מצב, ועל ידי הגדרת התנהגות התוכנה במסגרת של תרחישים בלבד.

מניעת טעויות בתפעול

הגישה השכיחה בתכן מערכות זוהי הגישה הדיסציפלינארית, על פיה יש להתחיל את התכנון בהקצאת תפקידים וחלוקתם בין המפעיל לבין המכונה. בהמשך, מהנדסי מערכת מתכננים את המכונה, ומהנדסי גורמי אנוש מתכננים את ממשק ההפעלה. מבחינת מהנדס המערכת, המכונה היא ריאקטיבית, כלומר, מתוכננת להגיב לכל פקודה של המפעיל. מבחינת מהנדס גורמי האנוש, האדם הוא מונחה תפקיד, וממשק ההפעלה אמור לאפשר לו למלא את תפקידו.

הבעיה בהפרדה מעין זו היא שאף אחד בצוות הפיתוח אינו נותן את מלוא תשומת הלב הנדרשת לכך שהמפעיל והמכונה יהיו תמיד מתואמים. כתוצאה מכך, ייתכן מצב בו תמונת המצב של המפעיל שונה מזו של המכונה.

העיקרון של תכן ממוקד משתמש (User-centered design, UCD) נובע מהצורך להבטיח שהמשתמש תופס את התנהגות המכונה (מודל המשתמש) באותו אופן שאליו מתכנן המכונה התכוון (מודל המפתח).

הנחיות

 

1.1.1

1.1.3

1.1.6

1.1.8 מניעת טעויות בתפעול

הגישה השכיחה בתכן מערכות זוהי הגישה הדיסציפלינארית, על פיה יש להתחיל את התכנון בהקצאת תפקידים וחלוקתם בין המפעיל לבין המכונה. בהמשך, מהנדסי מערכת מתכננים את המכונה, ומהנדסי גורמי אנוש מתכננים את ממשק ההפעלה. מבחינת מהנדס המערכת, המכונה היא ריאקטיבית, כלומר, מתוכננת להגיב לכל פקודה של המפעיל. מבחינת מהנדס גורמי האנוש, האדם הוא מונחה תפקיד, וממשק ההפעלה אמור לאפשר לו למלא את תפקידו.

הבעיה בהפרדה מעין זו היא שאף אחד בצוות הפיתוח אינו נותן את מלוא תשומת הלב הנדרשת לכך שהמפעיל והמכונה יהיו תמיד מתואמים. כתוצאה מכך, ייתכן מצב בו תמונת המצב של המפעיל שונה מזו של המכונה. העיקרון של תכן ממוקד משתמש (User-centered design, UCD) נובע מהצורך להבטיח שהמשתמש תופס את התנהגות המכונה (מודל המשתמש) באותו אופן שאליו מתכנן המכונה התכוון (מודל המפתח).

אבטחת תיאום אדם-מכונה

נדרש שיתוף מידע ושיתוף פעולה הדוק בין המכונה לבין המפעיל על מנת לזהות את המצב החריג ואת האילוץ המתאים, אותו צריך להפעיל על מנת להחזיר את המערכת למצב נורמאלי.

התאונה של המיכלית Torrey Canyon קרתה בעקבות מידע חלקי לגבי מצב מערכת ההיגוי. התאונה של מטוס איירבאס 330 בטיסה 447 AF קרתה בעקבות משוב לקוי לפעולת ההיגוי. התקלות היומיומיות בתפעול השלט רחוק של מערכות טלביזיות ביתיות הן הסלמה של הפרעות סנכרון, בעקבות המשך תפעול במצב חריג.

אחת הדרכים להבטיח את התיאום בין המכונה לבין המפעיל היא על ידי הגבלת המפעיל לפעול על פי תרחישים בלבד. זאת, בהתאם לגירסת גורמי אנוש של חוק מרפי, על פיה סביר שהמפעיל יטעה במוקדם או במאוחר, אם המערכת תאפשר לו זאת. הבעיה בגישה זו היא שהיא עומדת בסתירה עם הדרישה לאפשר למפעיל שליטה מלאה במכונה במצבי חירום. דרך אפשרית ליהנות משני העולמות היא על ידי:

· הגדרת תהליכי תפעול רגיל על פי תרחישים

· התרעה במקרה של נסיון חריגה מהתרחיש

אינטראקציה מונחית תרחישים

דרך אפשרית למנוע הפעלה של פונקציה בטעות היא להבטיח שכל פקד יכול להפעיל פונקציה אחת בלבד, וגם זאת במגבלות התרחיש. למשל, טעויות של כיבוי בטעות של הממיר הדיגיטאלי בעזרת השלט רחוק במקום הדלקה של הטלביזיה ניתן למנוע על ידי הקצאה של מקש הפעלה יעודי ושל מקש כיבוי יעודי לטלביזיה בלבד, שפעולתו תלויה במצב הטלביזיה, ולא במוד של השלט.

יצירת תמונת מצב משותפת

אינטראקציה מונחית תרחישים מאפשרת חריגה מבוקרת של המפעיל גם כאשר הפעילות היא על פי תרחישים. זאת, על ידי תכן לשת"פ בין המפעיל לבין המכונה, שתכליתו להביא לתמונת מצב משותפת, ולהגדרה משותפת של מטרות האינטראקציה. את תמונת המצב ניתן להגדיר במונחים של תרחישים, והשיתוף מושג על ידי תכנון מדוקדק של ההתקשרות בין המפעיל לבין המכונה, כיצד המפעיל יודע על שינויים במצב המכונה, כיצד המפעיל מודיע למכונה על שינוי התרחיש ביוזמתו, וכיצד המכונה מזכירה לו על השינוי עליו הוא הכריז.

מניעת הפעלה בטעות

ניתן למנוע מצבים של הפעלה בטעות על ידי:

· הקפדה על הגדרת תהליכי תפעול על פי תרחישים, לפעילות נורמאלית ולפעילות של פתרון בעיות

· מניעת אופציות ומקשי קיצור שהמפעיל עלול להפעיל בטעות

מניעת טעויות מצב

ניתן למנוע טעויות מצב על ידי:

· הדרכת המשתמשים להכיר את תוצרי המערכת ולהבין את משמעותם

· המנעות מפקדים שהתגובה להפעלתם תלויה במצב המכונה

מניעת שינויים זמניים בפרמטרים של ההפעלה

הבעיה של שינויים זמניים בפרמטרים היא במצבים בהם המפעיל שוכח להחזיר אותם לערכם הקבוע. ניתן למנוע טעויות כאלה על ידי תזכורת לגבי המצב הזמני. דוגמא של פתרון כזה מוצגת בתקן ANSI/ISA 18.2 להתרעות בתעשיה התהליכית.