איומים סמויים
מניתוח תאונות מתברר שבמקרים רבים המערכת היתה
תחת איום, אבל המפעילים לא היו מודעים לכך. למשל, בתאונת הכור הגרעיני
TMI מספר שסתומים לא פעלו כמצופה, חלקם בגלל תקלת חומרה, וחלקם כתוצאה
מרשלנות.
מודל החסינות מתאר אירועי כשל כתולדה של
מצבים חריגים.
הבעיה המרכזית בגילוי מצבים חריגים היא במקרים בהם הם
סמויים. סעיף זה עוסק בנושא המידע
הנדרש לצורך גילוי חריגות מחוקי התפעול.אחת המטרות המאתגרות בתכן לאבטחת חסינות היא
למנוע איומים סמויים. איומים סמויים יכולים להגרם מכשל רכיב, טעות תפעול,
באג בתוכנה, מעבר מצבים בלתי מתואם, הפרעת תקשורת ועוד. אם המפעילים אינם
מודעים לאיום, הם אינם יכולים לפעול בזמן.
האיום הסמוי מתייחס למקרה
שההפרעה גורמת לכך שהמערכת נמצאת במצב חריג, אבל אינה מפריעה לתפעול השוטף.
המצב החריג מהווה איום סמוי, מכיוון שהוא פוגע ביכולת המערכת להגיב
לאיומים עתידיים.
איתור תקלה במכלול
במקרה של תקלה במכלול קריטי, המערכת צריכה לזהות את מצב התקלה. אפשר
לעשות זאת בשתי דרכים:
- במישרין, בעזרת תוספת חיישן ייעודי
- בעקיפין, על ידי זיהוי חריגות ממעטפת התפעול
בשגרה.
שימוש בחיישנים ייעודיים
תקלות בחומרה ניתן לגלות אוטומטית, בעזרת
חיישנים ייעודיים ומדדים, המאפשרים זיהוי מצבים
חריגים.
הנחיה - איתור תקלות במדידה ישירה. במידת האפשר, יש להוסיף חיישנים
יעודיים לאיתור תקלות ברכיבים קריטיים.
דוגמא: מכלול בקרת מנוע
חסינות המכלול תלויה בפעילות של המפעיל בתגובה
לשינויים במצב המנוע. המפעיל הוא זה שאחראי להבטיח את האילוץ. כלומר,
חסינות המערכת נקבעת על ידי יכולת המפעיל והמשתמש לדעת האם המנוע פועל.
לפיכך, המנוע כולל חיישן לגבי מצב הפעולה, ואינדיקציה למצב הפעילות, כגון,
ע"י נורית ירוקה שדולקת במצב פעולה.
חסרונות השימוש בחיישנים יעודיים
ישום פתרון זה לכל מרכיבי המכונה הוא יקר:
-
התוספת של חומרה לצורך
תצוגת המצב מסבכת את המוצר ומייקרת את הפיתוח
-
החיישנים היעודיים מהווים
בעצמם מקור לתקלות נוספות, שלאבטחת איתורן נדרשת תשומת לב מיוחדת בשלב
התכן.
שימוש משני בחיישני בטיחות
במקרים מסוימים, ניתן לגלות ולאתר תקלות בעזרת
חיישן שמיועד לפתרון בעיות בטיחות. למשל, תרמומטר במיכל יצור, המשמש לעצירת
תהליך כאשר הטמפרטורה גבוהה מדי, יכול לשמש גם כאמצעי לגילוי מצב תקלה, עוד
לפני עצירת התהליך.
איתור סטיות מפרוטוקול האינטראקציה
לדוגמא, אם מכלול בקרת מנוע מקבל פקודה לדומם מנוע שנמצא כבר במצב
מדומם, הסיבה לכך יכולה להיות תקלה בחיישן מצב המנוע או בבקרת נוריות
החיווי.
בחינת התנהגות ע"פ אילוצים
מצבי תקלה אחרים, כולל מצבים בלתי צפויים, ניתן לאתר על ידי בדיקת פעולת המכלול על פי
אילוצים. (הסבר)
אילוצי זמן פעולה רציף
ניתן לעקוב אחרי פעילות איתחול המכלול ו-או
רכיבי תקשורת, ולנתח את הזמנים. על ידי השוואה לסף המגדיר פעילות נורמלית,
ניתן לזהות תקלות של:
-
הפסקת מתח זמנית
-
הפסקת תקשורת זמנית
הנחיה - איתור תקלות ברכיבים קריטיים. במידת האפשר,
המפרטים צריכים לכלול הגדרות של חוקים של התנהגות תקינה, ואלגוריתמים לאיתור תקלות,
על בסיס מדידות של פרמטרים כלליים. התכן צריך לספק התרעה במצבים של חריגה מהחוקים.
הנחיה - איתור תקלות. המפרטים צריכים לכלול
הגדרת תהליך איתור תקלות בהמשך להתרעה על
המצב החריג.