מדריך לאבטחת חסינות מערכות - תכן התפעול במצבי חירום

תכן התפעול בחירום

כללי

אוטומציה

בקרת מפעיל

ניהול השליטה

תכן לבדיקתיות

 

 תכן בקרת המפעיל

שליטת המפעיל במצבי חירום

בתכן אינטראקציה המקובל, מניחים שהמפעיל נדרש לקחת את השליטה לידיו, ושיש בכך די בכדי לאפשר לו לפתור את הבעיה.

בניגוד לתכן המקובל, שמניח שהמפעיל מסוגל להחליט על הפתרון האופטימאלי גם כאשר תחת איום, התכן לחסינות מניח שהמפעיל עלול לבחור בפונקציה שתגרום להסלמה.

הנחיה - תכן העברת השליטה למפעיל. במצבים בהם נדרש להעביר שליטה למפעיל, המכונה צריכה לעדכן את התרחיש אוטומטית על פי בחירת המפעיל, ולעקוב אחרי פעילותו בתרחיש החדש.

שליטת המכונה

במקרים בהם גורם הזמן הוא קריטי, ויתכנו מצבים בהם השליטה היא אצל המכונה.

הנחיה - עדכון המפעיל לגבי שינויים אוטומטייםהמכונה צריכה ליידע את המפעיל לגבי השינויים במצבה.

הנחיה - אמינות המידע על מצב המכונה. המידע לגבי מצב המכונה צריך להיות אמין, על מנת למנוע טעויות בחווית השליטה.

עקרון עקביות הממשק במצבי חירום

במצבי חירום, המפעיל נוהג על פי הרגלים אותם רכש במצב תפעול שגרתי (Bainbridge, 1983).

הנחיה - דרישות התפעול בחירום. הממשק לתפעול במוד חירום צריך להיות זהה לזה שבמוד תפעול שגרתי, למעט הגנה נוספת בפני פעולות מסוכנות.

תכן הגישה לפונקציה

הדרך הארוכה יכולה להיות גם הדרך המהירה. המכונה יכולה להנחות את המפעיל בתפעול מצבים חריגים

במצב שיש צורך בתגובה מהירה, כאשר יש מספר פעולות אפשריות, תהליך קבלת ההחלטות אצל המפעיל כרוך בבחינה של כל הפעולות האפשריות ושל המשמעות של תגובת המכונה לכל פעולה אפשרית. תהליך זה הוא ארוך ומסורבל, וכרוך בטעויות בקבלת ההחלטות.

קבלת החלטות באינטואיציה

כדי למנוע טעויות, תהליך קבלת ההחלטות אצל המפעיל צריך להיות יעיל.

הנחיה - הגדרת דרך פעולה מועדפת לכל מצב. בכל מצב צריכה להיות רק דרך פעולה אחת זמינה, וזוהי הפעולה המועדפת. הנקיטה בכל דרכי הפעולה האפשריות האחרות צריכה להיות בזמינות נמוכה.

מאפייני הפקדים המשמשים לתפעול במצבים חריגים

במקרה של התרעה במצבים חריגים,  המפעיל נדרש להתמקד בתהליכי התפעול הנדרשות לפתרון הבעיה. אם ההתרעה היא כללית, פירוש הדבר הוא שהמפעיל נדרש "למצוא מחט בערימה של שחת".

הנחת העבודה בתכן התפעול במצבים חריגים היא שהמפעיל זכה להתנסות מעט מאוד, אם בכלל, בזיהוי והכרת המסכים והפקדים הדרושים לצורך התפעול. כלומר, כשהמערכת נמצאת במצב חריג, המפעיל נדרש להכיר ולהתמצא במצב שהוא בלתי מוכר לו. היכולת שלו מוגבלת על ידי תכונת הזכרון קצר הטווח.

על בסיס הנחה זו, ובהנחה שבשלב פתרון בעיות, ממשק ההפעלה צריך להנחות את המפעיל בגישה לפונקציה.

הכלל הישים לתפעול במצבי חירום הוא:

תפעול מצבים חריגים בהנחית המכונה

שינויים זמניים

ניתן לאפשר למפעיל לבצע שינויים זמניים בממשקים המיועדים לטפל במצבי חירום או במבצעים מיוחדים.

הנחיה - אזהרות לגבי שינוי מאפייני התפעול. בכל נסיון לשינוי מאפיין תפעול, יש ליידע את המפעיל על כך שהשינוי יתבטל בתום המהלך שאליו הוא נדרש.

הנחיה - ביטול השינויים הזמניים. בתום מצב החירום נדרש לבטל את השינויים.

הנחיה - משוב על ביטול השינויים הזמניים. יש לספק משוב למפעיל על כך שהשינויים הזמניים התבטלו.

 

הנחיה - במקרה של פעולת חירום יש לוודא שהפעולה אינה גורמת לחריגה מחוקי התפעול.

הנחיה - רשת בטחון. במקרה של חריגה, יש להפעיל רשת בטחון, שמשמעותה מעבר לתפעול במוד חירום.

 

תרגול התפעול בחירום

תכן השיהוי

במצבים בהם טעות החלטה של המפעיל עלולה להיות הרסנית, יש לעכב אותו, ולגרום לכך שישקול היטב את הפעולה הבאה. זאת, על ידי הצגת חלופות, וניסוח הפעולה הנבחרת במונחים שמחייבים בחינה נוספת.

לדוגמא,

במצבים בהם טעות של המפעיל עלולה לגרום לירי על כוחות ידידותיים (צאלים א', צאלים ב', אפגניסטן 2001), יש להציג למפעיל את נקודת הפגיעה הצפויה, במונחים שיחייבו בדיקה נוספת.

 

 

מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/11/2014