מדריך לאבטחת חסינות מערכות - אופטימיזציה

תוכן העניינים

בעיית האופטימיזציה

דוגמא: התרעות בנהיגה

תהליך האופטימיזציה

התועלת של הפתרון הנבחן

השיפור ברמת החסינות

עלות מימוש התכן

בחירת תכונות החסינות

 

עקרונות בתכן התרעות בנהיגה

חיזוק התנהגות בשיטת השוט והגזר

נניח שבתכן המערכת מוסיפים אופציה לשיפור הבטיחות. כיצד מביאים את מפעיל המערכת להשתמש באופציה זו?

לכאורה, אחת הדרכים היא לחייב את המפעיל לבחור באופציה זו. אבל, אם מחייבים את המפעיל לבחור באופציה, זוהי למעשה כבר לא אופציה. במקרה זה, האופציה ה"נבחרת" היא למעשה תכונה של המערכת. לפיכך, לצורך הדיון, נניח שאין אפשרות מעשית לחייב את המפעיל לבחור באופציה זו. כתוצאה מכך, בהתאם לגירסת גורמי אנוש לחוק מרפי, יש להניח שלעתים, יתכן שהמפעיל יבחר באופציה החליפית, הבלתי בטוחה, בין ביודעין ובין בשוגג, ויסכן בכך הן את עצמו והן את המערכת.

על פי שיטת השוט והגזר, לא ניתן להסתפק בהוספת האופציה לשיפור הבטיחות (הגזר): על מנת להבטיח שהמפעיל יבחר באופציה הבטוחה,  צריך להקשות עליו בתהליך הבחירה של החלופות הבלתי בטוחות (השוט). המימוש של עקרון זה יכול להיות, למשל, על ידי החזרה לברירת המחדל הבטוחה בכל הפעלה של המערכת. לדוגמא, בהקשר של התרעות בנהיגה, אם מאפשרים לנהג לבחור סף ההתרעות שהוא חורג מהסף שהוגדר בתכן כבטוח, אז הדרך לשנות את הסף צריכה לחייב מאמץ מיוחד. למשל, על ידי החזרה לברירת המחדל בכל התנעה של הרכב.

עקרון מיגנוט הקשב לגורם הסיכון

על פי עקרון זה, ההתרעה צריכה לגרום לכך שבכל מצב, ובעיקר כאשר הנהג עסוק בנושא אחר, תשומת ליבו תופנה אל גורם הסיכון.

יישום עקרון זה לנהיגה מחייב שההתרעה לא תתבסס על ערוץ הראיה. זאת, מכיוון שערוץ זה משועבד למשימות אחרות הקשורות להתמצאות ולבטיחות בנהיגה, ואינו פנוי תמיד להבחין בהתרעה. ערוץ הקשב המתאים יכול להיות הערוץ הקולי, שהקלט שלו הוא מרחבי. זאת, בתנאי שערוץ זה פנוי ממידע אחר, לגבי סיכונים אחרים או לגבי כל נושא אחר (Geiser, 1990).

ערוץ קשב נוסף יכול להיות חוש המישוש, למשל, על ידי רעידות בהגה או בדוושת הדלק, בתנאי שמובטח מגע עם בקר הנהיגה במצבי הסיכון. למשל, התרעה בעזרת דוושת הגז היא אפקטיבית אך ורק אם מובטח שהנהג לוחץ על הדוושה בזמן האצה.

עקרון המובחנות של התרעות

לאחר התנסות מסויימת בהתרעה, הנהג לומד להגיב לה בדרך מסויימת. תגובת הנהג להתרעות מותנית בהצלחת התגובה להתרעות דומות, ועם הנסיון היא הופכת להיות אוטומטית. במקרים בהם נדרשת תגובה שונה של הנהג, ההתרעה צריכה להיות שונה באופן ברור ומובחן היטב, אחרת הנהג עלול להגיב על פי ההרגל.

 

עקרון האזעקה

אם קול ההתרעה לגבי מצב סיכון אקוטי דומה לקולות שמשמשים במצבים אחרים (למשל, בתפעול ציוד עזר), קיים חשש לכך שהנהג ייטעה ולא יבחין במצב הסיכון.

ההתרעה צריכה להיות כזו שתמשוך קשב של המשתמש ברמה התואמת את הסיכון. בהקשר של נהיגה, התרעה קולית צריכה להיות חדה, עוצמתית, טונאלית וצורמת ככל שרמת הסיכון גבוהה יותר (Harel, 2006). דוגמא של תקן שגוי בהקשר זה היא התקן  IEC 60601-1-8 (Sanderson, 2006), שמחייב התרעות במלודיות שאינן תואמות את עקרון האזעקה (לשמיעת המלודיות - http://www.anaes.med.usyd.edu.au/alarms/).

עקרון הקצאת התבניות הקוליות

נניח שיצרן מסויים בחר בתבנית קולית מסויימת להתרעה לגבי סיכון מסויים, למשל, לגבי מרחק בלימה, ואילו יצרן אחר בחר בתבנית קולית דומה להתרעה לגבי סיכון אחר, למשל, לגבי מכשול בכביש. במקרה כזה יתכן שהנהג יטעה ויבחר בתגובה שאינה תואמת את מצב הסיכון. למשל, כפי שהודגם לעיל, אם הנהג התרגל להגיב להתרעת מרחק בלימה על ידי הרפיה מדוושת הדלק, הוא עלול להגיב באופן זה גם במקרה של מכשול בכביש, למרות שבמצב זה נדרשת תגובה חריפה יותר, דהיינו, לחיצה על דוושת הבלמים. בעייה זו עלולה לקרות במספר מקרים:

א.      כאשר שתי המערכות מותקנות על אותו כלי הרכב

ב.       כאשר הנהג שרגיל לנהוג ברכב המספק התרעה על מרחק בלימה מחליף לרכב המספק התרעה על מכשול בכביש.

עקרון הקצאת התבניות הקוליות אומר שלכל מצב סיכון יש להגדיר תבנית קולית שמאפיינת את התגובה המומלצת. לצורך היישום של עקרון זה נדרש תיאום בין כל הייצרנים של מערכות התרעה, ולכן יש צורך בתקינה של התבניות הקוליות, באופן דומה לזו שיושמה בתקן IEC 60601-1-8.

עקרון החסינות לתקלות

לאחר שהנהג התרגל להתרעה מסויימת, הוא מסתמך עליה כאמצעי עיקרי לזיהוי מצבי סיכון יותר, תוך פינוי משאבי קשב לתפקידים משניים (כמו, תפקידי התמצאות וניווט). במקרה של תקלה במערכת, אם המערכת אינה מספקת התרעה לגבי התקלה, הנהג עלול להכשל, ולא להבחין במצבי סיכון. עקרון החסינות לתקלות אומר שהמערכת צריכה להתריע לנהג על כל תקלה שמונעת איבחון של מצבי סיכון. עקרון זה חשוב במיוחד לאור עקרון הצמצום לעיל, על פיו במצבי תקלה אין להחליף את אופנות ההתרעה. למשל, אם ההתרעה שמחייבת תגובה מסויימת היא קולית, במצב של תקלה במערכת השמע, אין להחליף אותה בהתרעה ויזואלית.

המשמעות לגבי התרעות בנהיגה היא שהמערכת צריכה לבדוק באופן שוטף ולספק התרעה לגבי תקלה בחיישנים, במערכת השמע וכיו"ב.

עקרון הצמצום של התרעות מתחרות

באירועים מסוכנים ייתכן שהמערכת תספק מספר התרעות בו זמנית. למשל, במקרה של עצירת פתע של הרכב לפנים, ייתכן שהמערכת מספקת בו זמנית גם התרעה על מרחק בלימה קצר מדי וגם התרעה על מכשול בכביש. ריבוי ההתרעות עלול לגרום לבלבול רגעי אצל הנהג, וכתוצאה מכך להשהיה או להחלטה שגויה. עקרון הצמצום אומר שהמערכת צריכה לסווג את ההתרעות על פי חומרה, ולהעביר רק התרעה אחת עבור כל אופנות חושית. בדוגמא לעיל, נניח שהתכן הוא כזה שההתרעות לגבי מרחק בלימה קצר ולגבי מכשול בכביש מבוססות על ערוץ השמע. בהנחה זו, במקרה של מופע של שתי ההתרעות במקביל, המערכת צריכה להפיק התרעה אך ורק לגבי המכשול בכביש, שהסיכון שלו הוא אקוטי, ולא להתריע על מרחק הבלימה.

בהתאם לעקרון מיגנוט הקשב שהוצג לעיל, אין להטיל את האחריות לתפיסת מצב הסיכון על אופנות החישה הויזואלית. במקום זאת, יש לבסס את התפיסה על חוש השמיעה ועל חוש המגע.

התפיסה הפרופריוספטיבית מוכרת כיעילה ביותר (Schuman, 1994), ולכן שיטת ההתרעה היעילה ביותר היא על ידי הפעלת כח על איבר הגוף שנדרש להגיב. דוגמא ליעילות התפיסה הפרופריוספטיבית היא ההגה כח שמשמש לניהוג מטוסים או טילים מונחים. דוגמאות לישום שיטה זו לנהיגה בכלי רכב הן:

א.      התרעת מרחק עצירה על ידי הגדלת התנגדות דוושת התאוצה

ב.       התרעת סטיה ימינה מנתיב הנסיעה על ידי הפעלת כח על ההגה לכיוון שמאל

ג.        התרעת סטיה שמאלה מנתיב הנסיעה על ידי הפעלת כח על ההגה לכיוון ימין.

בעדיפות שניה, ניתן לבסס את ההתרעה על ערוץ השמע. זאת, במצב בו לא ניתן להפעיל כח על האיבר הנדרש לתגובה, או כאשר המחיר של פתרון כזה הוא גבוה מדי.

התחרות בין משאבי תפיסה קיימת בעיקר כאשר מדובר בערוץ חישה משותף. במקרה של חישה באופנות שונה, התחרות בין משאבי התפיסה מצטמטמת משמעותית (Gopher, 1980; Wickens, 1992). לפיכך, עקרון הצמצום מתייחס בעיקר להתרעות המתחרות על אותה אופנות תפיסה. אם, למשל, התכן הוא כזה שההתרעה עבור מרחק בלימה קצר היא על ידי הגדלת ההתנגדות של דוושת הדלק, אז אפשר ואף רצוי לספק התרעה זו במקביל להתרעה הקולית על מכשול בכביש.

    אתר החסינות נערך ומתחוזק על ידי אבי הראל - ארגולייט. למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com . דף זה עודכן בתאריך 13 Apr 2014.