תיאור כללי של המודל

 
הפרעות

מחוללי הכשל הם הפרעות לפעילות הנורמלית, שגורמים לשינוי בתרחיש התפעול. אירוע הכשל יכול להיות תולדה של שרשרת של הפרעות. שרשרת ההפרעות יכולה לכלול גם הפרעות בתהליכי גיבוי, שמופעלים כתגובה להפרעה קודמת.

פירוט

איומים

באופן טיפוסי, חסינות המערכת צריכה להתבסס על יכולת המפעיל לאתר את מקור התקלה ולתקן אותה. במקרה שהמכונה אינה מצליחה להתמודד עם הפרעה, ההפרעה מתפתחת לאיום, שמחייב התערבות של המפעיל.

 

מצבים חריגים

בתנאים של שחרור גירסא בלחץ זמן, המערכת אינה נבדקת ביסודיות במצבים החריגים, והתוצאה של הפעלת המערכת במצבים החריגים היא לעתים בלתי צפויה.

פירוט

גורמי כשל בתפעול

כשל בתפעול הוא תוצאה של טעות בהגדרת דרישות התפעול, בתכן, או במימוש (טעות בקוד). בתהליך פיתוח מסורתי, הדגש בהגדרת הדרישות, בתכן האינטראקציה, בקידוד ובבדיקות הוא על תהליכי תפעול נורמאלים, כאשר המטרה היא לשרת את הפונקציונאליות. ההתייחסות למצבים החריגים הוא בעדיפות נמוכה יחסית.

פירוט

סיכונים מהדרגה השניה

הסיכונים מהדרגה השנייה מתייחסים אל הסיכונים בעקבות השינויים והתוספות של מרכיבי חסינות שנועדו למתן את הסיכונים מהדרגה הראשונה.

פירוט

מודל ניהול הסיכונים

ההקשר התפעולי

בתפעול נורמלי, כל היחידות (כולל המפעילים) פועלות תחת הנחה לגבי תרחיש ספציפי. תרחיש זה, שמגדיר את קונטקסט הפעולה המשותף לכל היחידות, נקרא ההקשר התפעולי.

פירוט 

הפירמידה של הפרעות

אירוע כשל

משמעות

הפרעה

סטיה מפעילות נורמלית

איום

הפרעה שלא תוקנה מיידית

כשל

איום שגרם לנזק, לאחר שלא טופל כראוי בעוד מועד

תאונה

איום שגרם לנזק חמור

פירוט

תהליך התגובה להפרעות

תהליך התגובה להפרעות כולל עד שלשה שלבים, כדלקמן:

  • התמודדות עם ההפרעה
  • במקרה של כשלון, התמודדות עם האיום
  • במקרה של כשלון, הפקת לקחים

פירוט

הסלמה

כאשר בתגובה לאירוע החריג לא כל היחידות פועלות על פי אותו התרחיש,  המערכת נמצאת במצב של התנהגות בלתי עקבית.

פירוט

משימות התפעול

על פי מודל החסינות, האחריות לביצוע כל משימות התפעול היא מתחלקת בין המכונה לבין המפעיל.

כל משימה מתבצעת על ידי הקצאת תפקידים בין המפעיל לבין המכונה, והגדרת תהליכים שמבטיחים שיתוף מידע ביניהם.

פירוט