אבטחת ייצוב המערכת (גורמי הכשל)

 ייצוב אוטומטי

אחת הדרכים לייצוב במקרה של תקלה בתעשייה התהליכית היא על ידי הקפאת מצב המערכת, לצורך בחינתה כפי שהייתה בשעת האירוע. דרך זו עלולה להיות הרת אסון, אם מצב ההקפאה אינו תואם את תרחישי ההפעלה הרגילים. על תאונה כזו יש דיווח במאמר המבוא של ננסי לבסון למודל STAMP . דרך בטוחה יותר לייצוב אוטומטי היא הגדרה של חוקי הפעילות המוד חירום.

 ייצוב על ידי ריסון הפעילות

דרך לייצוב אוטומטי היא על ידי דיכוי הפעילות.

דוגמאות

  • בנהיגה, על ידי האטה

  • במכונות ממונעות, על ידי חסימת כניסת דלק

  • בתעשייה התהליכית, על ידי חסימת חומרי גלם שמשמשים את תהליך הייצור

  • בכורים גרעיניים, על ידי הכנסת חומרים בולעי קרינה לתהליך.

 מניעת הסלמה

ההסלמה מוגדרת כהפרעות חדשות לפעילות, כאשר המערכת נמצאת במצב חריג, בטרם התאוששה מהפרעות קודמות.

הפרעה שנוצרת במצב החריג היא בלתי צפויה, ולפיכך היא הופכת אוטומטית לאיום, שמחייב את התערבות המפעיל.

 מוד חירום

במערכות מסויימות, כגון, כלי טיס, אין אפשרות לעצור את הפעילות לחלוטין. במצבים אלו צריך לאפשר למערכת להמשיך לפעול במוד חירום (Safe Mode) עד לסיום מצב האיום. במוד החירום, המפעיל יכול לבצע מספר מופחת של פעולות שנחשבות לבטוחות, תוך דגש על תהליכי פתרון הבעיה.

הנחיות

בחירת מוד התפעול

המעבר ממוד תפעול נורמלי למוד חירום יכול להתבצע אוטומטית או בשליטת המפעיל, תלוי ברמת הסיכון של התפעול בשני המודים.

המעבר יהיה אוטומטי במצב של חשש לסיכון גבוה כתוצאה מטעות המפעיל , דוגמת תפעול במצב חריג בתעשיה הכימית, או בלחץ זמן, כגון ביישומי תחבורה.

העברת השליטה למפעיל

נקודות בתכן לחסינות במעבר לשליטת המפעיל:

  •  אבטחת זיהוי מצב המכונה

  • שיתוף מידע מכונה-מפעיל

  • אבטחת יצירת תמונת מצב משותפת

הנחיות