הגדרה של הסלמההסלמה במצב המערכת זוהי תופעה של מעבר ממצב חריג למצב שהוא בלתי מוכר למפעיל. הגורם העיקרי להסלמה הוא המשך פעילות כרגיל, שאינה תואמת את המצב החריג. במצב הבלתי מוכר, קשה ביותר להתאושש ולחזור לפעילות נורמלית, ובמקרים רבים ההסלמה מסתיימת בתאונה. אפיון של תהליך הסלמההבעיה העיקרית בייצוב תחת איום היא במצבים בהם המערכת ממשיכה לפעול כרגיל, למרות המצב החריג. לדוגמא, ננסי לבסון הציגה מקרה של תאונה בתהליך יצור כימי שנבעה מכך שהתוכנה הגיבה למצב חריג על ידי הקפאת המצב הקיים. כתוצאה, המערכת המשיכה לפעול למרות שהיתה במצב החריג, תהליך שהסתיים בפיצוץ. בעיית הייצוב חריפה במיוחד כאשר המערכת צריכה להתמודד עם הפרעות חדשות לפני שתהליך הייצוב הסתיים. הפרעות חדשות עלולות להיות תגובת שרשרת להפרעה המקורית (כמו במקרה של TMI) או כתוצאה מכך שיחידות מסויימות במערכת אינן מזהות את המצב החריג וממשיכות לפעול באופן בלתי מתואם. במודל זה הפעילות הבלתי מתואמת מהווה גורם משמעותי להפרעות.
|
גורמי ההסלמה |
||
מצב כשל: בעיית תיאום בין יחידותההיסטוריה של תאונת רוויה במקרים שהמידע לגבי האיום קיים רק ביחידות מסויימות, ואינו מגיע לכלל היחידות במערכת. במצב זה, המערכת נמצאת במצב שאינו קונסיסטנטי.תואמות במעקב אחר תרחישיםבמקרה שכל היחידות פועלות על פי אותו התרחיש, המערכת תואמת את ההקשר. אחרת, פעולת המערכת אינה מתואמת, וההתנהגות שלה היא בלתי צפויה. הסיבות העיקריות למצב של חוסר תיאום
|
מצב כשל: פעולת מפעיל שאינה הולמת את מצב המכונהכאשר המערכת נמצאת במצב של איום, קיימת בעיה במקרים בהם התנהלות המפעיל אינה מותאמת למצב האיום. המשך תפעול המערכת כאשר נמצאת במצב חריג עלולה להביא להסלמה, כלומר, לתוצאות לא רצויות, ואף לאסון.טעויות בהגדרת דרישות התפעולבתהליך פיתוח רגיל, הדגש הוא בראש ובראשונה על התנהגות תקינה של המערכת בתהליכים הנורמאלים, המשרתים את ייעוד המערכת. בעדיפות שניה, בוחנים גם את התנהגות המערכת במצבים חריגים. במצבים החריגים, התנהגות המערכת היא מורכבת לאין שיעור מההתנהגות הנורמלית. למרות זאת, במצוקה של לחצי זמן ותקציב בפיתוח, הבחינה של התנהגות המערכת במצבים החריגים היא לעתים קרובות שיטחית. כתוצאה מהגדרה חלקית של המצבים החריגים ( "בעיית שלימות המפרטים") או תת-פירוט של האינדיקציה למפעיל לגבי המצב החריג |
מצב כשל: נטילת שליטה מהמפעילמצב זה נובע כתוצאה מפרוטוקול אינטראקציה על פי אילוצים, או מאוטומציה יתירה. הבעיה היא במקרים בהם המכונה אינה מתוכננת להתמודד עם המצב החריג, או כתוצאה מטעות בהגדרת הדרישות או במימושמצב כשל: העברת השליטה למפעילהמפעיל אמור לנהל את המכונה במצב שהוא חדש עבורו. הבעיה היא במקרים בהם המפעיל חסר נסיון בתפעול במצב החריג. |
הנחיה לתכן לאבטחת יצוב המערכת תחת האיום