במערכות מסויימות, כגון, כלי טיס, אין אפשרות לעצור את הפעילות לחלוטין גם
במצב חירום. במצבים אלו צריך לאפשר למערכת להמשיך לפעול במוד חירום (Safe
Mode) עד לסיום מצב האיום.
במוד החירום, המפעיל יכול לבצע מספר מופחת של פעולות שנחשבות לבטוחות,
תוך דגש על תהליכי פתרון הבעיה.
|
תפעול במוד חירום
התפעול במצב החריג צריך למנוע הסלמה.
ההסלמה מוגדרת כתגובה בלתי רצויה להפרעות חדשות, כאשר המערכת נמצאת
במצב חריג, בטרם התאוששה מהפרעות קודמות.
הגדרה של הסלמה
המעבר למוד חירום
המעבר ממוד תפעול שגרתי למוד חירום יכול להתבצע
אוטומטית או בשליטת המפעיל, תלוי ברמת הסיכון של התפעול בשני המודים.
|
השליטה במוד הפעולה
מערכות רבות מאפשרות פעולה בשני מודים: אוטומטי ומבוקר
דילמת השליטה מתייחסת לדרך בה נקבע האם הפעולה תהיה מבוקרת או אוטומטית.
היררכית השליטה
באחריות הרמת הממונה, או באחריות הרמה המבצעת.
|
ייצוב אוטומטי
מפרטי התפעול בחירום צריכים לכלול הנחיות כיצד
המערכת להגיב לאיומים. דרכי פעולה אפשריות כוללות:
-
המשך פעילות כרגיל
-
פעילות מצומצמת - ריסון פעילות
-
הפסקת פעילות - הקפאת המצב הקיים
-
פעילות מיוחדת - מוד חירום
בעיית האוטומציה
הבעיה לכאורה בגישה זו היא שהיא עומדת בסתירה עם הדרישה לאפשר למפעיל שליטה מלאה במכונה
במצבי חירום. |
המשך פעילות כרגיל
דרך זו ישימה למספר רב של תקלות בהן האיום אינו מיידי. ריסון הפעילות
דרך לייצוב אוטומטי היא על ידי דיכוי הפעילות.
דוגמאות
-
בנהיגה, על ידי האטה
-
במכונות ממונעות, על ידי חסימת כניסת דלק
-
בתעשייה התהליכית, על ידי חסימת חומרי גלם
שמשמשים את תהליך הייצור
-
בכורים גרעיניים, על ידי הכנסת חומרים
בולעי קרינה לתהליך.
|