ניהול מצבים חריגיםמודל החסינות מתאר אירועי כשל כתולדה של מצבים חריגים.
גורם עיקרי לכשל בתפעול קשור לאופן ההגדרה של חוקי התפעול.
התכן לחסינות צריך להבטיח יישום של חוקי התפעול, ואבטחה להתנהגות המערכת
בהתאם להם.הצורך לנהל מצבים חריגים
במצבים החריגים, המפעילים נדרשים לפתור בעיות ולהחזיר את המערכת למצב
תפעול שגרתי. ניהול המצבים החריגים מאפשר ליישם את עקרון
המלחמה בביש המזל.
בתכן לחסינות, עלינו להגדיר ולאפיין גם את המצבים
החריגים, ואת התנהגות המערכת במצבים הללו.
|
אפיון המצבים החריגים
בין המצבים החריגים יש כאלו שהם סבירים, כגון, תקלות
בחומרה, באספקת הכח או בתקשורת. בנוסף לצורך לתת מענה לתקלות הללו, יש צורך
לתת מענה גם למצבים חריגים בלתי סבירים, כגון, בגין טעויות במימוש, או
בתפעול, וכן רשלנות וזדון של גורמים עויינים.
התנהגות המערכת במצבים חריגים
גורם עיקרי בכשל קשור באופן התגובה להפרעות, כאשר
המכונה נמצאת מצב שאינו תואם את תרחיש התפעול. במקרים של המשך תפעול
כאשר המערכת במצב חריג,
מתפתח איום הנובע מכך שהמערכת לא תוכננה להתמודד היטב עם המצב החריג.
|
מגבלות אחריות המפעיל
מודל החסינות הציג את פרדוקס התפעול במצבים חריגים, על
פיו לא ניתן להניח שהמפעיל יידע לפתור בעיות בדרך שלא התנסה בהה קודם לכן.
פרדוקס זה
עולה בקנה אחד עם תופעת התגובה הרפלקסיבית, על פיה המפעיל מגיב להודעות
המכונה אוטומטית על פי ניסיון קודם. תופעה זו הודגמה בתאונת AF 447 (הפניה)
אחריות המכונה
תכן התפעול בחירום אמור לפצות על אי הוודאות בדרך של שיתוף פעולה עם
המפעיל, ותמיכה בתהליך קבלת ההחלטות.
הנחיות להתמצאות המפעיל במצב המכונה
|
סיווג המצבים החריגים
בניהול המצבים החריגים, עלינו להבחין בין שני סוגים של מצבים חריגים:
- מצבי תפעול בפתרון בעיות
- מצבים בלתי סבירים.
הנחיה: סיווג המצבים החריגים
|
יש לסווג את המצבים החריגים למצבי תפעול
בפתרון בעיות
לעומת מצבים שהם בלתי סבירים. |
|