בעיית התכן
אחת הבעיות הקריטיות בתכן לחסינות מתייחסת למקרה של שינוי במצב
המכונה, כגון, במצבי תקלה בחומרה, באספקת המתח, או בתקשורת, או כתוצאה
מפעולה בלתי סבירה של המפעיל. הבעיה מתעוררת כאשר המפעיל אינו מודע
לשינוי במצב המכונה.
בעיית האוטומציה
מקרה בעייתי במיוחד זהו המקרה של פתרון אוטומטי לשינוי המצב. מקרה
זה רלבנטי למערכות בטיחות מורכבות, כגון, בתעשיה התהליכית, או בתחבורה.
הבעיה היא כאשר המפעיל אינו מצליח לעקוב אחר השינויים בהתנהגות המכונה. |
גורמי הבעיה
בעיית התכן אופיינית למצבים בהם השינוי אינו נראה בקלות, במערכות
בהן המכונה אינה מיידעת את המפעיל לגבי השינויים.
דוגמא
התאונה בטיסת AF 296 היא דוגמא של תגובת
המכונה לפעולה של הטייס שנראתה בלתי סבירה למתכננים. בדוגמא זו, המכונה
הפעילה מנגנון הגנה שנקרא "מעטפת טיסה", אבל לא יידעה את הטייס לגבי
השינוי.
|
העקרון
יש להבטיח שהמפעיל מודע לשינויי משמעותיים בהתנהגות המכונה.
יישום
במקרים רבים, ניתן לספק התרעה מתמשכת, עד לאישור המפעיל, שמבטיח
שהמפעיל מודע לשינוי המצב.
|
איומים מהדרגה השניה
טעות מהדרגה השניה מתרחשת במצבים בהם המפעיל התרגל להגיב על ידי
אישור לשינוי מצב שמתרחשים לעתים קרובות, ואינו מבחין בהבדלים בין
שינויי המצב השונים. התוצאה היא שהמפעיל מאשר אוטומטית שהוא מודע
לשינוי המצב, מבלי שבאמת הבחין בכך שהשינוי הוא חריג.
יישום עקרון הנראות לשינויים חריגים
יש להבטיח שההתרעות לגבי השינויים החריגים תהיינה מובחנות מאלה
המסופקות עבור שינויים ששכיחותם גבוהה.
מנגנון האישור לשינויים חריגים צריך להיות שונה מזה
של השינויים השכיחים.
|