אבטחת התמצאות המפעיל במצב המערכת

אם המפעיל מתקשה לזהות את מצב המכונה, הוא עלול לטעות. אם המפעיל נדרש לבצע פעולות מסויימות בכדי לזהות את מצב המכונה, אז יתכן שבתנאי לחץ הוא יסתמך על הזכרון לגבי המצב הקודם. במקרה שהמצב השתנה מבלי שהמפעיל מודע לכך, התוצאה עלולה להיות הפעלה של פונקציה שהיא בטוחה במצב מסוים, במצב אחר בו ההפעלה היא מסוכנת.

עקרון ההתמצאות בהרף עין

יש להבטיח שמפעיל מזהה את מצב המכונה בהרף עין.

לדוגמא,

אם פעולת המכונה אינה נראית לעין, ואם פעולתה אינה נשמעת, יש להוסיף בתכן אינדיקציה למצבה, למשל, על ידי נוריות.

 

עקרון הסמיכות הפונקציונאלית

אין לסמוך על כך שהמפעיל יחפש וימצא את כל המידע הרלבנטי לפתרון בעיה. לעתים קרובות, בעיקר במצבי לחץ או בהיסח הדעת, המפעיל עלול לפעול על בסיס מידע חלקי, בדרך כלל, על סמך פריט המידע הראשון שמזדמן אליו.

על מנת להבטיח שהמפעיל יבחין בכל פריטי המידע הרלבנטיים לבעיה, יש לרכז אותם באזור פונקציונאלי אחד.

 

עקרון שיוך הפקודה למטלה

התלבטות המפעיל בתהליך קבלת החלטות צורכת זמן.

אין לסמוך על כך שהמפעיל ישכיל תמיד להתאים את אופן התגובה שלו למצב המערכת. במצבי לחץ, כאשר המפעיל מוטרד בעניינים אחרים, הוא עלול בהיסח הדעת ללחוץ על לחצן הבקרה תוך התעלמות מהתצוגה.

במצב שיש צורך בתגובה מהירה, כאשר יש מספר תגובות אפשריות, יש צורך לעקוף את תהליך קבלת ההחלטות.

הפתרון צריך לתמוך בתגובה רפלקסיבית, כלומר, להיות כזה שפעילות המפעיל תלויה בכוונתו בלבד, ולא באף גורם מצב. לפיכך, תכן המערכת צריך לתמוך במיפוי ישיר ממטלת המפעיל לאופן התגובה שלו.

יישום העקרון

כאשר פקד משמש למספר מטלות שהבחירה ביניהן היא על ידי מוד, המפעיל עלול לטעות במוד, ובטעות לבצע מטלה אליה לא התכוון.

בשאיפה, אין להעמיס מספר מטלות על אותו פקד.

יש להקצות פקד נפרד לכל מטלה שהפעלתה בטעות עלולה לגרום לאירוע בטיחותי.

דוגמא:

מערכת ריאקטיבית מינימאלית

תכן לפי תרחישים

ניתן למנוע טעויות מצב על ידי תכן לפי תרחישים, כאשר הלחצן משמש לתרחיש עיקרי יחיד, והשימוש שלו לתרחישים משניים מבוקר בעזרת מנגנונים (כגון, על ידי צירוף לחצנים) למניעת הפעלה בטעות.

דוגמא

לחצני החלפת ערוצים בשלט רחוק של מערכת טלביזיה מסויימות משמשים להחלפת ערוצים במכשירים השונים, כאשר המכשיר שמושפע מהם נקבע על פי המוד. טעות שכיחה מצערת היא של שינוי ערוץ במקלט במקום בממיר. בשלט שתומך בתפעול לפי תרחישים, בתפעול רגיל, לחצני הערוצים משפיעים על הממיר, ולא על המקלט. שינוי ערוצים במקלט, בתרחיש של התקנה, מתבצע באופן מוגן על ידי פעילות מיוחדת, כגון לחיצה בו זמנית על לחצן בקרה.