מדריך לאבטחת חסינות מערכות - שכבות ההגנה בפני כשל  - 3. התמודדות עם איומים - תקלות חומרה - גילוי האיום

גילוי תקלות בחומרה

כללי

חישוב MTBI

גילוי תקלות בעקיפין

תקלות בתהליכי איתחול

בקרת שינויי מצב

אבטחת אמינות החיישנים

דוגמאות ממאגר האירועים

 

 

אבטחת אמינות החיישנים

בעיית האמינות

בעיית האמינות קיימת בשני מצבים:

  • המצב הוא חריג, אבל החיישן אינו מזהה זאת

  • המצב הוא נורמלי, אבל החיישן מדווח על מצב חריג.

כשל בזיהוי מצב חריג

אופן כשל - החיישן אינו מדווח על מצב חריג. בעיית האמינות היא כאשר המצב הוא חריג, והחיישן אינו מדווח על כך. הסיבות יכולות להיות מגוונות, כולל טעות בתכן, או תקלה בחיישן.

דוגמאות של כשל בגלל טעות בתכן

  • אירוע כשל מספר 17: תאונת הכור הגרעיני TMI - חיישן שסתום שחרור הלחץ PORV בדק שהשסתום קיבל פקודה להסגר, אבל לא תוכנן לבדוק אם הוא נסגר בפועל. במקרה הנדון, בעקבות תקלה, השסתום לא נסגר, אבל המפעילים האמינו שהשסתום במצב סגור.

הנחיה - בדיקת התאמת החיישן לצרכי הבטיחות. יש לבדוק את התאמת החיישן לצרכי הבטיחות על ידי סימולציה של מצבי תקלה ובדיקת האות שמתקבל מהחיישן.

כשל בזיהוי תקלה בחיישן

הרכיבים הנוספים לצורך אבחון תקלות ומצבי חריגים (חיישנים, אלגוריתמים, תצוגות וחיוויים, התרעות קוליות) מייקרים את המערכת, אבל בנוסף, הם עצמם גורמי סיכון חדשים, מכיוון שהם מהווים מקורות נוספים לתקלות. רכיבי הבטיחות מועדים אף הם להכשל.

דוגמאות

דוגמאות של תאונות בעקבות תקלה בחיישנים, במצב בו המפעיל לא היה מודע לתקלה:

  •  אירוע כשל מספר 46: מיסוך חיישני גובה בטיסת אייר פרו 603 - חיישני גובה הטיסה כוסו בזמן צביעת המטוס, והמטוס אושר ככשיר לטיסה למרות שהכיסויים נשכחו על החיישנים. המערכת איפשרה טיסה במצב בו חיישני מד הגובה היו מכוסים. ניתן לזהות מצבים כגון אלה בעוד מועד למנוע את הטיסה במצב זה, על ידי ניתוח של האות המגיע מהחיישנים.

דרך פתרון

בדיקת סבירות של הנתונים המגיעים מהחיישן, בתהליך הבדיקות לפני הפעלה, וגם תוך כדי הפעלה.

בתכן, יש להבחין בין המקרה של תקלה ברכיב עצמו לבין תקלה בדיווח על תקלה ברכיב.

הנחיה - הוספת חיווי משני לכל חיווי ראשי. ניתן לעשות זאת מבלי להוסיף לסיבוכיות המערכת, על ידי קידוד. במצבי כשל בחיישן או בתקשורת לחיישן, לא נשלח ממנו אות למערכת ההתרעה. לפיכך, ניתן לתכנן את החיוויים כך שהחיישן תמיד ישלח אות, גם במצב בו לא נתגלתה תקלה. המערכת תזהה תקלה ברכיב על ידי האות הספציפי לתקלה, ותקלה בהתרעה תזוהה על ידי מצב של חוסר מידע מהחיישן.

הנחיה - בדיקת כשירות החיישן. התכן צריך להבטיח שהמכונה מיידעת את המפעילים על מצבי תקלה. מפרטי התפעול צריכים לכלול הגדרה של בדיקות לכשירות החיישן.

לדוגמא, אחת השיטות לבדיקה כשירות זוהי בדיקת סבירות הנתונים. בדוגמא של מיסוך החיישנים, ניתן להגדיר בדיקת סבירות של המרחק מהקרקע שעולה על גובה הכנף.

הנחיה - בדיקת סבירות של נתוני החיישן. מפרטי התפעול צריכים לכלול הגדרה של בדיקות סבירות לנתונים מהחיישן.

דיווח בטעות על מצב חריג

אופן כשל - החיישן מדווח בטעות על מצב חריג. אופן כשל זה אופייני לחיישנים שצריכים להבחין בין אות לרעש. הבעיה היא שהמפעיל מתייחס למצבים הללו כאל התרעות שווא, ומפסיק להתייחס אליהם.

דוגמאות

ערך סף נמוך מדי במערכת התרעות.

הנחיה - תהליך לכיול ערך סף. מפרטי התפעול צריכים לכלול תהליך של קביעת ערך סף סביר, ושל בחינה והתאמה של ערך הסף במטרה להבטיח שהמפעיל יתייחס אל ההתרעות.

 

באתר  במודל  במדריך  בתיקוף  במאגר      אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט.    למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com .    דף זה עודכן בתאריך 05 Jan 2015.