המדריך לאבטחת חסינות מערכות - תכן לאבטחת החסינות - ניהול מצבי הפתעה

תוכן העניינים

כללי

התגובה למצבי קיצון

מניעת הסלמה

התגובה למצב בלתי צפוי

ניהול הבדיקות

 

 התאוששות אוטומטית

לאחר שהמכונה זיהתה מצב של אירוע חריג, הדרך המועדפת לטיפול בו היא על ידי תגובה אוטומטית.

ההתאוששות האוטומטית מתייחסת לאירועים כגון:

  • הפסקת מתח רגעית
  • תקלת תקשורת רגעית
  • בעיית סינכרון

 

 

התאוששות מתקלות חומרה

אמנם, לא ניתן למנוע תקלות בחומרה, אבל ניתן לדחות את מועד ההתמודדות עמן, על ידי יתירות. פתרון כזה ישים בעיקר ליחידות קריטיות של מערכות עם סיכונים גבוהים, בעיקר בתחום הבטיחות. במקרים רבים, די בדחייה זו בכדי למנוע את התאונה.

במצבים מסוימים, הסיכון המשני של פתרון כזה הוא במקרה של תקלה ביחידת הגיבוי, במצב הביניים, לפני תיקון היחידה התקולה. תקלות נפוצות במצב הביניים הן תולדות של באגים בתוכנה, שאינם באים לידי ביטוי בפעילות רגילה. לדוגמא, יחידת נתוני הטיסה ADIRU במטוסים מדגמים מתקדמים מתוכננת לפעולה גם בתנאי תקלה, אבל מוכרים מספר מקרים של תאונות בגלל התנהגות חריגה של התוכנה.

התאוששות מהפסקת מתח רגעית

כאשר ההפרעה היא של הפסקת מתח רגעית, המכונה צריכה לשמור את ערכי הפרמטרים המגדירים את מצבה.

במכונות בהן לא ניתן לשמור את ערכי הפרמטרים (בגלל מגבלות חומרה) הופכים לאיומים, המחייבים את התערבות המפעיל.

במטרה למנוע מצבים של איתחול אוטומטי לערכים שאינם הולמים את התרחיש, יש לאתחל את הפרמטרים לערכים שאינם בתחום ערכי ההפעלה, ולחייב את המפעיל להגדיר את ערכים כתנאי להפעלה.

במקרה זה, ההודעה למפעיל תכלול הפניה אל מדריך בו מוסברת המשמעות של בחירת הערכים לגבי דרך הפעולה של המכונה.

התאוששות מתקלת תקשורת רגעית

במקרה של תקלת תקשורת רגעית (במונחים של דרישות המהירות במערכת), התיקון הוא על ידי התקשרות מחדש וסינכרון, הכולל תיאום לגבי כל הנתונים המשותפים.

התאוששות מבעיית סינכרון

במקרה של יציאה זמנית מסינכרון (ע"ע Therac-25) התיקון הוא על ידי המתנה לפרק זמן מוגדר מראש, ובדיקת חזרה לסינכרון.

טיפול בפעולת מפעיל לא מתואמת

כאשר ההפרעה היא פקודת מפעיל שאינה תואמת את התהליך הנורמלי, הסיבה יכולה להיות פקודה שלא במתכוון, או בעקבות טעות בכוונה. לפיכך, המפעיל נדרש להבהיר את כוונתו. בהתאם, התיקון הוא אופציונאלי, באישור המפעיל:

  • אם המפעיל חוזר בו, הפקודה מתבטלת.
  • אם הוא מתעקש לבצע את הפקודה החריגה, ההפרעה הופכת לאיום, והמפעיל הוא זה שאחראי על מניעת הכשל.
מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/10/2014