|
מדריך החסינות מבקש להתמודד עם ההנחה הבאה:
אם המכונה מאפשרת
למפעיל לטעות, במוקדם או במאוחר הוא יטעה.
עקרון המלחמה בטעויות אנוש אומר שאסור לסמוך על כך שהמפעיל ינהג על פי
הנחות שנראות הגיוניות וסבירות.
אין לאפשר למפעיל להיכשל!
|
תאונות רבות קשורות להתנהגות מפעיל שנראית
לכאורה בלתי סבירה.
טעויות אנוש הן תוצאה של רשלנות בתכן המכונה או במימוש. את חלקן ניתן
למנוע, וכנגד האחרות, אפשר להיערך, באופן שהנזק בגינן יהיה מיזערי, אם כי
במחיר כבד.
לדוגמא, ניתן למנוע תאונות רכבת דוגמת זו שנגרמה כתוצאה מנסיעה באור
אדום (להוסיף הפניה), על ידי שיפור הבקרה והתקשורת בין מרכז הבקרה והרכבות:
- התרעה לרכבת שנעה ממול
- עצירת חירום אוטומטית של שתי הרכבות.
|
למכונות יש תכונות מסויימות, בעיקר,
מהירות ודיוק, המצדיקות את ההשקעה בפיתוחן. בהיבט של תכן לחסינות בתפעול,
הגדרת הדרישות מהמכונות מביאה תכונות אלה לידי ביטוי בנושא הטיפול האוטומטי
בהפרעות.
החיסרון של המכונה הוא במצבים עבורם לא ניתן בשלב התכנון להגדיר
במדויק את דרך הפעולה המועדפת. הכוונה היא להפרעות שהמכונה לא הצליחה לפתור
אוטומטית, ושהופכות בשל כך לאיומים. |
למפעילים יש תכונות מסויימות, בעיקר,
גמישות וישום ידע וניסיון מעולם התוכן בתנאי אי-וודאות, שמצדיקים את ההשקעה
בהשמתם בתהליך התפעול. על מנת לספק מענה לבעיות תפעול שבשלב התכנון הן
בחזקת בלתי צפויות, מפתחי מערכות נוהגים להטיל על המפעיל את מלוא האחריות
להתמודדות עם המצבים החריגים.
החיסרון של המפעיל הוא באיטיות בתהליכי
תפיסת המצב, ובחיפוש וניתוח הנתונים הרלבנטיים לטיפול במצבים החריגים. על
מנת להבטיח שהמפעיל אכן יצליח להתמודד עם המצבים החריגים, היצרן צריך
להבטיח שהמפעיל יקבל את המידע הנחוץ לפתרון הבעיה.
התכן צריך למנוע בחירה של פונקציות שאינן
רלבנטיות למצב ההפעלה, לסייע למפעיל להתמצא במצב המכונה ולהנחות אותו
בבחירתן. |