המדריך לאבטחת חסינות מערכות - מתודולוגיה

מתודולוגיה

עקרון המלחמה בביש המזל

המלחמה בטעויות אנוש

אחריות המפתח

קוי הגנה בפני כשל

הגדרת קריטריונים

אוטומציה

אילוצי התפעול

בקרת הפעילות תחת אילוצים

יישום הבקרה העצמית

תהליך הבקרה העצמית

 

קוי הגנה בפני כשל

אסטרטגיה

אבטחת החסינות מבוססת על מודל הגבינה השוויצרית. מודל הגבינה השוויצרית מציע ליישם את עקרון המלחמה בביש המזל על ידי שכבות הגנה, בדמות פרוסות גבינה שוויצרית (הסבר).

מודל החסינות כולל שלש פעילויות עיקריות בתהליך החסינות, שכל אחת מהן מייצרת הזדמנות לשכבת הגנה בפני איומים (פירוט).

בהתאם למודל החסינות, מדריך זה מבוסס על שלש קוי הגנה בפני איומים:

  • תיקון אוטומטי - מניעה, בתפעול השגרתי

  • תיקון באינטראקציה - תהליכי איתור תקלות (מודל התגובתיות)

  • פעולת חירום.

תהליך המגננה

  • בהתאם למודל החסינות, קו ההגנה הראשון הוא על ידי מניעת חריגים במהלך תפעול שגרתי, בדרך של אוטומציה.
  • במקרה של כשל בקו ההגנה הראשון (כגון, במקרה של תקלה באחד הרכיבים) מופעל קו ההגנה השני, בתהליך של איתור תקלות באינטראקציה עם המפעיל,
  • במקרה של כשלון, מופעל קו ההגנה השלישי, בתהליך התפעול בחירום. 

מימוש

קוי ההגנה נקבעים ידי מדידה וקביעת ערכי סף של אינדיקטורים ספציפיים למצב הסיכון (כגון, טמפרטורה או לחץ במיכל), או בעקיפין על ידי מדידה של אינדיקטורים לתפוקה או לביצוע.

מדדים לקביעת קווי ההגנה

לצורך מדידת מצב הסיכון או הביצוע ניתן להשתמש בחיישן של המערכת, או להוסיף חיישן ייעודי, ולהגדיר תחומי ערכים המאפיינים תפעול שגרתי ותפעול בטוח.

קו ההגנה הראשון - תיקון אוטומטי

במצב תפעול שגרתי, משתני מצב מסוימים, שמוגדרים כמשתני סיכון, צריכים להיות בטווח ערכים שנקבע מראש כאופטימלי בפונקציונאליות של המערכת.

במקרה של חריגה קלה בתפוקה או בפרמטרים של ביצוע, המכונה יכולה לבדוק את גורמי החריגה. במקרים בהם הבדיקה מעלה שהשינוי נובע משינויים קלים וסבירים בתנאי התפעול, המכונה יכולה לבצע תיקון על ידי התאמה אוטומטית של הפרמטרים המשפיעים על התפוקה או הביצוע.

 שיטה זו מקובלת בבקרת תהליכים סטטיסטית (SPC).

קו ההגנה השני - איתור תקלות, באינטראקציה עם המפעיל

במקרים של חריגה מתחום התפעול השגרתי, המערכת צריכה להתריע למפעיל, והמפעיל נדרש לפעול לסיכול האיום ולהחזיר אתהמערכת לפעילות שגרתית. ההתרעה צריכה לספק למפעיל מיד, המבוסס על שיערוך, לגבי רמת הסיכון ולגבי הזמן שנותר עד למצב בו תידרש השבתה של המערכת.

קו הגנה שלישי - פעולת חירום

במצב חריג, משתני המצב שמוגדרים כמשתני סיכון צריכים להיות בטווח ערכים שנקבע מראש כטווח פעילות בטוחה. חריגה מתחום הבטיחות מחייבת השבתה מיידית של המרכיב הפונקציונאלי. חריגה מתחום הבטיחות מחייבת השבתה של המרכיב הפונקציונאלי. בשאיפה, תהליך ההשבתה הוא אוטומטי. במקרים מסויימים, כגון בתעופה, נדרשת התערבות של המפעיל בפעולת החירום.

המעבר מקו ההגנה השני לקו ההגנה השלישי נקבע על ידי שיערוך של זמן החסד - הזמן שנותר עד למימוש האיום.

דוגמא - דוד חימום מבוקר תרמוסטאט

ניהול סיכונים

כל תוספת של אמצעי בטיחות כרוכה לא רק בהוצאות פיתוח, אלא גם בסיכונים נוספים. יש לשקול את התועלת לעומת הנזק של כל פתרון בתחום הבטיחות, בתהליך של ניהול סיכונים

מידע נוסף בנושא
תכן לאבטחת חסינות מערכות:
אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט  למידע נוסף ולמשוב, נא לשלוח אימייל לכתובת  ergolight@gmail.com   דף זה עודכן בתאריך 30/11/2014