בתכן לחסינות, אין לאפשר למפעיל לפעול באופן
חופשי, כפי שנהוג בתהליכי ניסוי וטעיה. זאת, מכיוון שפעילות חופשית רגישה
לטעויות, ועלולה לגרום בכך שהמערכת נמצאת במצב חריג, שאינו תואם את התרחיש
הפעיל. לדוגמא, המשתמש במערכת טלביזיה ביתית עלול לכבות בטעות את הממיר
הדיגיטלי במקום להדליק את הטלביזיה, כפי שהודגם על ידי
Zonnenshain & Harel (2009).
בכדי למנוע טעויות כאלה, למעט מקרים חריגים, יש
לאפשר למפעיל גישה אך ורק למבחר מצומצם של פונקציות, כאשר הפונקציות
הנבחרות תואמות את השלב הפעיל בתהליך התפעול, המתייחס לתרחיש הפעיל. למשל,
התכן יכול להגביל את הפונקציות בתפריטים, כך שהפונקציות הזמינות תהיינה אך
ורק אלה הרלבנטיות לשלב בתהליך התפעול.
המשמעות היא שבתכן לחסינות, שליטת המפעיל
במכונה צריכה להיות מוגבלת.
אבטחת אמינות האינטראקציה
אמינות האינטראקציה בין המפעיל לבין המכונה נקבעת על ידי הבנה נכונה
של של התרחיש הפעיל, ועל ידי
הכרה טובה של חוקי התפעול.
על פי הגישה הפרואקטיבית, הדרך להתמודד עם
מצבים חריגים
היא על ידי מניעה. הבעיה היא שחלק נכבד של המצבים החריגים אינו ניתן למניעה בתכן המערכת. למשל, בתכן
המערכת, אין
אפשרות למנוע איומים של כח הרסני (טבעי או מתקפת אויב) תקלות ברכיבים,
וכן תקלות או הפרעות באספקת הכח או בתקשורת.
מטרה
המטרה העיקרית בתכן האינטראקציה היא להבטיח
שהמפעיל יכיר את חוקי התנהגות המכונה, ויידע לזהות את
המצב הפעיל. זהו תנאי הכרחי לכך שהמפעיל ידע לפעול
בהתאם למצב.
תיאורטית, ניתן לאלץ את המערכת לפעול על פי
תהליכים מובנים, מוגדרים ובדוקים היטב. לפיכך, באופן אידיאלי, ניתן למנוע
מצבים חריגים שמקורם בטעות מפעיל.
הנחיה - התכן צריך
למנוע מהמפעיל כל אפשרות של טעות. אסור לסמוך על כך
שהמפעיל ינהג על פי הנחות שנראות הגיוניות וסבירות.
התכן צריך למנוע מהמפעילים לבצע פעולות החורגות מהתהליכים המוגדרים. אין לאפשר למפעיל להיכשל!
הנחיה - גילוי והתרעה על פעולות חריגות. במקרה של חריגה, התכן צריך לאפשר את גילוי החריגה, במטרה
להתריע למפעילי המערכת.
הנחיה - הגנה בפני טעויות מפעיל.
טעויות אנוש הן תוצאה
של רשלנות בתכן המכונה או במימוש. את חלקן ניתן למנוע,
וכנגד האחרות, אפשר להיערך, באופן שהנזק בגינן יהיה
מיזערי.
היררכית מצבי המערכת
את
מצבי המערכת רצוי לסווג
היררכית. הרמה העליונה, רמת הדחיפות, כוללת שלשה מצבים ראשיים: שגרה, פתרון
בעיות וחירום.
הנחיה - מובחנות רמת הדחיפות. התכן צריך להבטיח שהמפעיל יהיה
תמיד מודע
לרמת הדחיפות בהתנהלות במהלך התפעול.
קוי הגנה
אבטחת החסינות
מבוססת על שלש
מערכות הגנה, למניעת טעויות סמויות, למניעת
הסלמה וללימוד מאירועי כשל.
|