אילוץ המפעיל לבחור באופציה הבטוחה

דילמת השליטה

לכאורה, אחת הדרכים היא לחייב את המפעיל לבחור באופציה זו. אבל, אם מחייבים את המפעיל לבחור באופציה, זוהי למעשה כבר לא אופציה. במקרה זה, האופציה ה"נבחרת" היא למעשה תכונה של המערכת. לפיכך, לצורך הדיון, נניח שאין אפשרות מעשית לחייב את המפעיל לבחור באופציה זו. כתוצאה מכך, בהתאם לגירסת גורמי אנוש לחוק מרפי, יש להניח שלעתים, יתכן שהמפעיל יבחר באופציה החליפית, הבלתי בטוחה, בין ביודעין ובין בשוגג, ויסכן בכך הן את עצמו והן את המערכת.

עקרון השוט והגזר

על פי עקרון השוט והגזר, לא ניתן להסתפק בהוספת האופציה לשיפור הבטיחות (הגזר): על מנת להבטיח שהמפעיל יבחר באופציה הבטוחה, צריך להקשות עליו בתהליך הבחירה של החלופות הבלתי בטוחות (השוט).

כדי להבטיח שהמפעיל יפעל על פי כוונת המתכנן, התכנון צריך לנקוט בשני אמצעים:

· הגזר: צריך לספק למפעיל גישה לפונקציות, על פי תרחישים מונחי תפקיד

· השוט: צריך לספק אזהרות משמעותיות בפני סטייה מתהליך התפעול המומלץ.

יישום

היישום של עקרון זה יכול להיות, למשל, על ידי החזרה לברירת המחדל הבטוחה בכל הפעלה של המערכת.

לדוגמא,

אם מאפשרים למפעיל לבחור סף ההתרעות שהוא חורג מהסף שהוגדר בתכן כבטוח, אז הדרך לשנות את הסף צריכה לחייב מאמץ מיוחד. למשל, על ידי הצבה מחדש של הערך התקני של סף ההתרעה בכל איתחול של המכונה.

לדוגמא,

יש למנוע הפעלה בטעות של פקודות, על ידי בחירה שגויה מתפריט או לחיצה בטעות על לחצן או על מקש.

יש להימנע ממקשי קיצור שאינם נחוצים לפעולות חירום.

הפעלה של מקשי קיצור צריכה להיות מוגנת, למשל על ידי צירוף עם מקש בקרה, שלהפעלתו נדרש שימוש בשתי הידיים.