במערכות מסויימות, כגון, כלי טיס, אין אפשרות לעצור את הפעילות לחלוטין גם
במצב חירום. במצבים אלו צריך לאפשר למערכת להמשיך לפעול במוד חירום (Safe
Mode) עד לסיום מצב האיום.
במוד החירום, המפעיל יכול לבצע מספר מופחת של פעולות שנחשבות לבטוחות,
תוך דגש על תהליכי פתרון הבעיה.
תפעול במוד חירום
התפעול במצב החריג צריך למנוע הסלמה.
ההסלמה מוגדרת כתגובה בלתי רצויה להפרעות חדשות, כאשר המערכת נמצאת
במצב חריג, בטרם התאוששה מהפרעות קודמות.
המעבר למוד חירום
המעבר ממוד תפעול שגרתי למוד חירום יכול להתבצע
אוטומטית או בשליטת המפעיל, תלוי ברמת הסיכון של התפעול בשני המודים.
תכן ממשקי הפעלה במוד חירום
דרישות החסינות לשלב ההתמחות ולשלב המומחיות שונות, ואף נוגדות, את דרישות החסינות
לשלבי ההתנסות הראשונית עם תהליכי התפעול. לפיכך, הדרישות לגבי תהליכים נורמאלים,
שהתפעול שלהם הוא ברמה של מומחים, שונות מהדרישות לגבי מצבים חריגים, בהם המפעיל לא
התנסה עדיין בעבר. מאפייני ממשק התפעול בחירום דומים לאלו של הממשק לפעולות חד-פעמיות, או
מזדמנות, מכיוון שהמפעיל אינו זוכה להתנסות עם תהליכים אלו קודם לכן. ייצוב אוטומטי
מפרטי התפעול בחירום צריכים לכלול הנחיות כיצד
המערכת להגיב לאיומים. דרכי פעולה אפשריות כוללות:
-
המשך פעילות כרגיל
-
פעילות מצומצמת - ריסון פעילות
-
הפסקת פעילות - הקפאת המצב הקיים
-
פעילות מיוחדת - מוד חירום
בעיית האוטומציה
הבעיה לכאורה בגישה זו היא שהיא עומדת בסתירה עם הדרישה לאפשר למפעיל שליטה מלאה במכונה
במצבי חירום.
המשך פעילות כרגיל
דרך זו ישימה למספר רב של תקלות בהן האיום אינו מיידי. ריסון הפעילות
דרך לייצוב אוטומטי היא על ידי דיכוי הפעילות.
דוגמאות
-
בנהיגה, על ידי האטה
-
במכונות ממונעות, על ידי חסימת כניסת דלק
-
בתעשייה התהליכית, על ידי חסימת חומרי גלם
שמשמשים את תהליך הייצור
-
בכורים גרעיניים, על ידי הכנסת חומרים
בולעי קרינה לתהליך.
|