הכניסה למצב החירום היא כאשר המערכת נמצאת במצב שהוגדר מראש במפרטים כמצב
סכנה.תכן למצבים בלתי צפויים
בהגדרה, מצב חירום הוא מצב בלתי צפוי, מכיוון שהתכן לאבטחת חסינות נועד
למנוע את מצב החירום, והבדיקות מיועדות לוודא שהמערכת אינה מגיעה למצבי
חירום. לפיכך, התכן לתגובת המערכת במצבי חירום הוא היוריסטי, והוא מסתמך על
מומחים בתחום היישום.
הסבר |
יעדי התפעול בחירום
- ריסון הפעילות: למנוע הסלמה, לצמצם את הסיכונים שבהמשך
התפעול, עד לייצוב המערכת
- סיכול האיום: למשל, תיקון התקלה שהביאה למצב החריג
- ייצוב המערכת: להביא לכך שהמערכת תחזור למצב שגרתי, בו
תחזור לפעול בהתאם לאילוצים.
- התאוששות: להביא לכך שהמערכת תחזור לפעול מאותה נקודה בה
התרחש האירוע החריג, שגרם ליציאה מהפעילות
השגרתית.
|
אחריות המפעיל
מודל החסינות הציג את פרדוקס התפעול במצבים חריגים, על
פיו לא ניתן להניח שהמפעיל יידע לפתור בעיות בדרך שלא התנסה בהן קודם לכן. פרדוקס זה
עולה בקנה אחד עם עקרון התגובה הרפלקסיבית, על פיו המפעיל מגיב להודעות
המכונה אוטומטית על פי ניסיון קודם. עקרון זה הודגם בתאונת AF 447.
|
אחריות המכונה
תכן התפעול בחירום אמור לפצות על אי הוודאות בדרך של שיתוף פעולה עם
המפעיל, ותמיכה בתהליך קבלת ההחלטות.
נקודות בתכן לחסינות במעבר לשליטת המפעיל:
הנחיות
|