הסלמה זה מצב של אובדן
שליטה במצב המערכת, בגלל המשך פעילות במצב שהוא בלתי מוכר למפעילים.
אילוצי המצבים החריגים
אובדן השליטה נובע מסטיה מהאילוצים המגדירים את חוקי התפעול במצבים
החריגים.
|
ריסון הפעילות
ניתן למנוע הסלמה על ידי העברת המערכת למוד
פעילות מוגבלת, בו המערכת אינה מאפשרת למפעיל לעשות ככל העולה על רוחו.
דוגמאות
-
בנהיגה, על
ידי האטה
-
במכונות
ממונעות, על ידי חסימת כניסת דלק
-
בתעשייה
התהליכית, על ידי חסימת חומרי גלם שמשמשים את תהליך הייצור
-
בכורים
גרעיניים, על ידי הכנסת חומרים בולעי קרינה לתהליך.
|
הקפאת מצב המערכת
במקרה שהאיום הוא בלתי צפוי, כאשר הוא תוצאה של טעות בתכן או במימוש, אין
אפשרות לקבוע מראש בוודאות מהי דרך הפעולה שתמנע את אירוע הכשל בעוד מועד.
אחת הדרכים לייצוב במקרה של תקלה בתעשייה
התהליכית היא על ידי הקפאת מצב המערכת, לצורך בחינתה כפי שהייתה בשעת
האירוע. דרך זו עלולה להיות הרת אסון, מכיוון שהמערכת ממשיכה לתפקד בתהליך
של תפעול שגרתי, כאשר היא נמצאת במצב חריג, כלומר, חורגת מהאילוצים. על תאונה כזו יש דיווח במאמר המבוא של ננסי לבסון למודל
STAMP . מוד חירום
דרך בטוחה יותר לייצוב אוטומטי היא הגדרה של חוקי הפעילות המוד
חירום. |
התפעול במצבים חריגים
מצבי הסלמה ייתכנו אך ורק במערכות בהן התפעול במצבים חריגים אינו מוגדר
כראוי, ולכן הם אופייניים למערכות בהן התפעול במצבים חריגים אינו מוגדר
במפרטי התפעול.
הנחיה: מפרטי התפעול במצבים חריגים
|
מפרטי התפעול צריכים לכלול הגדרה של
חוקי התפעול במצבים חריגים, והתכן צריך להבטיח שתהליכי התפעול
מצייתים לחוקים הללו. |
|