מדריך לאבטחת חסינות מערכות - שכבות ההגנה בפני כשל - 5. תכן התפעול בחירום

5. תכן התפעול בחירום

כללי

תפעול במוד חירום

אוטומציה

שליטה במצבי חירום

ניהול השליטה

ניתוב השליטה

טעויות בחווית השליטה

חזרה לשגרה

הכשרה למצבי חירום

תכן לבדיקתיות

דוגמאות ממאגר האירועים

 

שליטת המפעיל במצבי חירום

דילמת השליטה

דילמת השליטה מתייחסת אל מצבים בהם המפעיל נדרש להתמודד עם מצבים בלתי צפויים, שמחייבים חריגה מהאילוצים.

אסטרטגית השליטה

הנחיה - השליטה במצבים חריגים. המלצות המדריך בנושא זה הן:

  • לצמצם את חופש התמרון של המפעיל למינימום ההכרחי למצבי חירום בלבד

  • לספק אזהרות מפני פעולות מסוכנות

  • לנסח את האזהרות באופן שהמפעילים יתייחסו אליהם, למרות שהם פועלים בתנאי לחץ

  • להמנע מהתרעות שווא, ולבחון בקפידה את אופן התגובה של המכונה לפקודות של המפעיל

  • במצבים של סטייה מהתרחיש, המכונה צריכה להתריע למפעיל ולקבל את אישורו לשינוי התרחיש.

ניהול השליטה במוד התפעול

בשגרה, למפעילים יש תפקידים של פיקוח, ולמכונות יש תפקידים של ביצוע תהליכים שמחייבים דיוק ומהירות. בין תפקידי הפיקוח נכלל תפקיד הקביעה של מוד התפעול.

המלצה - שליטת המפעיל במוד התפעול. ככלל, המפעיל הוא זה שמוסמך ואחראי לשנות את מוד התפעול.

דוגמא

על פי ההמלצה לעיל, הטייס במטוס מודרני הוא זה שיקבע אם הטיסה תהיה מבוקרת ידנית או אוטומטית.

מצבים המחייבים נטילת השליטה מהמפעיל

בהיסטוריה של תאונות מוכרים לנו מקרים רבים של מצבים בהם ברור בדיעבד שניתן היה למנוע את התאונה, על ידי נטילת השליטה מהמפעיל. במצבים אלו, למכונה יש נתונים שמאפשרים זיהוי מצב התפעול, והתכן מאפשר למפעיל להשתמש בנתונים הללו, אבל בפועל מתברר שהמפעיל טועה בהבנת המצב, או נכשל בתגובה למצב.

דוגמאות

המלצה - נטילת השליטה מהמפעיל בחירום. במקרה של פקודת מפעיל שחורגת מאילוצי הבטיחות, המכונה יכולה לנקוט בפעולות למנוע את פקודת המפעיל.

אופציה למפעיל לחרוג מאילוצי הבטיחות

במספר תאונות המכונה לא איפשרה למפעיל לחרוג מאילוצי הבטיחות, שבדיעבד התבררו כשגויים.

דוגמאות

הנחיה - העדפת שיקול הדעת של המפעיל. לפני שהמכונה נוטלת את השליטה מהמפעיל, יש צורך ליידע את המפעיל, ולאפשר לו למנוע את נטילת השליטה.

הנחיה - המידע למפעיל לגבי זמן החסד. כדי לאפשר למפעיל להפעיל שיקול דעת, יש להציג בפניו באופן ברור את יתרת הזמן שעומד לרשותו עד לרגע הקריטי. המכונה צריכה לחשב ולעדכן את חישוב זמן החסד באופן שוטף. התכן צריך לכולו הנחיות, המבוססות על ניסויים בסימולציה, לגבי אופן הצגת זמן החסד למפעיל.


באתר  במודל  במדריך  בתיקוף  במאגר      אתר זה נערך ומתחוזק על ידי אבי הראל - ארגולייט.    למידע נוסף, נא לשלוח אימייל לכתובת  ergolight@gmail.com .    דף זה עודכן בתאריך 06 Jan 2015.