התפעול בחירום מתייחס אל מקרים שהמערכת נמצאת, או שעומדת תוך זמן
קצר להמצא במצב חריג.
הכניסה למצב החירום היא כאשר המערכת נמצאת במצב שהוגדר מראש במפרטים כמצב
סכנה.
ממשקי התפעול בחירום מאפשרים למפעיל להגיב להתרעות לגבי מצבי סיכון,
במטרה לסכל את האיום, למנוע הסלמה ולחזור לתפעול סדור. תכן למצבים בלתי צפויים
בהגדרה, מצב חירום הוא מצב בלתי צפוי, מכיוון שהתכן לאבטחת חסינות נועד
למנוע את מצב החירום, והבדיקות מיועדות לוודא שהמערכת אינה מגיעה למצבי
חירום. לפיכך, התכן לתגובת המערכת במצבי חירום הוא היוריסטי, והוא מסתמך על
מומחים בתחום היישום.
הסבר |
יעדי התפעול בחירום
- ריסון הפעילות: למנוע הסלמה, לצמצם את הסיכונים שבהמשך
התפעול, עד לייצוב המערכת
- מניעת הסלמה, בגין תגובה בלתי הולמת להפרעות נוספות
- סיכול האיום: כלומר, להגיב לאיום באופן הולם, למשל, תיקון התקלה שהביאה למצב החריג
- ייצוב המערכת: להביא לכך שהמערכת תחזור למצב שגרתי, בו
תחזור לפעול בהתאם לאילוצים.כלומר, צימצום הסיכונים הכרוכים בהמשך
הפעילות כל עוד המערכת נמצאת במצב החריג
- התאוששות: להביא לכך שהמערכת תחזור לפעול במצב נורמלי
(הנחיות)כלומר, מאותה נקודה בה
התרחש האירוע החריג, שגרם ליציאה מהפעילות
השגרתית.
|
אחריות המפעיל
מודל החסינות הציג את פרדוקס התפעול במצבים חריגים, על
פיו לא ניתן להניח שהמפעיל יידע לפתור בעיות בדרך שלא התנסה בהן קודם לכן. פרדוקס זה
עולה בקנה אחד עם תופעת התגובה הרפלקסיבית, על פיה המפעיל מגיב להודעות
המכונה אוטומטית על פי ניסיון קודם. תופעה זו הודגמה בתאונת AF 447 (הפניה)
אחריות המכונה
תכן התפעול בחירום אמור לפצות על אי הוודאות בדרך של שיתוף פעולה עם
המפעיל, ותמיכה בתהליך קבלת ההחלטות.
נקודות בתכן לחסינות במעבר לשליטת המפעיל:
הנחיות
|