תנאים בהם אין ליישם אוטומציה
האוטומציה עלולה לגרום לאסון אם היא מופעלת במצבים
בהם יתכן שהפעולה האוטומטית נוגדת את כוונת המפעיל. פעולות אוטומטיות ניתן ליישם אך ורק במצבים
בהם ידועים בוודאות התנאים בהם הפעולות הללו רצויות למפעיל. אחרת עלול
לקרות שהגולם יעלה על יוצרו.
אופן כשל - למפעיל אין שליטה. האוטומציה משמעותה, בין השאר, שהמכונה נוטלת את השליטה מהמפעיל (הסבר: דילמת
השליטה). פעולה זו עלולה
להיות מסוכנת במצבים בהם המפעיל נדרש לחרוג מהפעולה האוטומטית, שנקבעה על ידי מתכנן
המערכת.
דוגמא
מעטפת ההגנה כנגד הזדקרות בגירסאות הראשונות של
מטוסי איירבאס 320 הופעלה בגלל טעות בתכן גם בגבהים נמוכים, בהם נדרשה
התערבות הטייס על מנת להתרחק מהקרקע. המחיר של טעות זו היה שני אסונות
תעופה:
- התרסקות מטוס בטיסת
AF 296 בשנת 1988 באלזס שבצרפת (ניתוח
האירוע)
- התרסקות מטוס של טיסת
IA 605 בשנת 1990 בשלב הנחיתה בבנגלור
שבהודו (ניתוח האירוע).
הנחיות לגבי אוטומציה
הבעיה העיקרית באוטומציה היא במצבים בהם המפעיל מתקשה לעקוב אחר
השינויים במצב המערכת, ולהבין את המשמעות של
שינויים במצב.
גורם הכשל - משוב לקוי
מהמכונה. הגורם העיקרי לקשיי
התמצאות של המפעיל הוא ליקויים בתחום המשוב למפעיל והאינטראקציה איתו. (הסבר
של נורמן). אם המפעיל מתקשה לזהות את מצב המכונה, הוא עלול לטעות. אם המפעיל נדרש
לבצע פעולות מסויימות בכדי לזהות את מצב המכונה, אז יתכן שבתנאי לחץ הוא
יסתמך על הזכרון לגבי המצב הקודם. במקרה שהמצב השתנה מבלי שהמפעיל מודע
לכך, התוצאה עלולה להיות הפעלה של פונקציה, שהיא בטוחה במצב תפעול שגרתי,
אבל מסוכנת במצב החריג.
הנחיה - מידע למפעיל לגבי מצבי הסיכון. המכונה צריכה למפעיל מידע שוטף וממוקד לגבי מצבי הסיכון, וכיצד
היא מתמודדת עימם. ביחוד, יש לתכנן היטב את המשוב למפעיל לגבי הסיכונים בפעולות
שהוא מבצע, וכן את אופן הצגת המידע לגבי שינויים במצבה.
בקרה אוטומטית
הנחיה - כיול פרמטרי ההפעלה. יש להתאים את תחום הבקרה העצמית למצבי שימוש מציאותיים. דוגמא של טעות בתחום
זה היא של הסגווי, כפי שהודגמה באירוע
כשל 39