עדכון ‏20 נובמבר 2009 ‏ - מדריך להערכת תקני שמישות  -ו"ט 1817 לשמישות של מכון התקנים

הגדרת סיכונים ודרכי מניעתם

התקן צריך לכלול ניתוח של הסיכונים במהלך השימוש, ולהנחות את היצרנים כיצד למנוע את הסיכונים הללו. הבחינה צריכה להתייחס אל סיכונים של טעויות משתמשים כולל טעויות שימוש וטעויות הפעלה. על מנת לאפשר בחינה ממצה של הסיכונים, עלינו להגדיר את הסיכונים על פי תרחישי ההפעלה.

טעויות שימוש

טעויות שימוש אלו הן טעויות שיפוט שנובעות מהבנה לקויה של מצב המערכת או של דרך הפעולה הבטוחה. טעויות שימוש נובעות מטעויות תיכון: חוסר מידע רלבנטי לתרחיש, תצוגת מידע בצורה שאינה נוחה לתפיסה, עומס מידע שאינו תואם את התפקיד, ניצול שגוי של ערוץ השמע וכיו"ב.

התקן צריך להגדיר את הסיכונים של טעויות שימוש, וכיצד ניתן להימנע מהם. התקן צריך לכלול הנחיות לגבי רמת פירוט המידע למשתמש, התאמת המידע לתרחיש, כולל הקצאת תפקידים בין הערוץ החזותי לבין ערוץ השמע, פיצול המידע על פי שלבי התרחיש, אופן קידוד המידע בדרך שמבטיחה תפיסה מהירה. התקינה צריכה לדרוש הוכחה של ביצועי התפיסה של המשתמשים בניסויים. במצבים בהם ניתן לבצע את התרחיש בשתי דרכים או יותר, התקן צריך לדרוש שדרך הבטוחה תהיה זמינה ונוחה יותר מהדרכים החלופיות.

טעויות הפעלה

טעויות הפעלה נובעות מטעויות תיכון: הן כוללות הפעלה בטעות של תפריטים שפעולתם ספציפית למצבים מסוימים, של פקדים שפעולתם תלויה במוד המערכת, של מקשי קיצור, בחירה של דרך פעולה קלה ומהירה, אבל בלתי בטוחה ועוד.

התקן צריך להגדיר את הסיכונים של טעויות הפעלה, וכיצד ניתן להימנע מהם. התקן צריך להנחות את היצרן לאפשר נגישות לפונקציה אך ורק במצבים בו היא רלבנטית. התקן צריך להזהיר את המשתמשים בפני ריבוי האופציות, כולל עודף בקרה, כגון מקשי קיצור, כאשר אין לכך הצדקה מבחינת שיעור השימוש בהם. התקינה צריכה להנחות את היצרן להימנע מבקרה שתוצאתה תלויה במוד המערכת. התקן צריך לחייב את המשתמשים לדרוש מהיצרן להוכיח את מניעת הטעויות בניסויים לאורך זמן.

מצבי בלת"ם

מצבי בלת"ם (בלתי מתוכננים) אילו הם מצבים שאינם נכללים בתרחישים הנורמאליים או החריגים. המערכת יכולה להגיע למצבים אלו בעקבות אירועים, כגון פעילות משתמש, שהם בלתי צפויים, כלומר, שאינם תואמים את תרחיש ההפעלה.

אופן התגובה הראוי למצבי בלת"ם תלוי בישום. התקן צריך לכלול הנחיה כיצד המערכת צריכה לנהוג במצבים הללו.

 הערות

הגדרת אחריות

הגישה הנפוצה בכלל הציבור היא שהיצרנים אחראים על ההיבטים הטכניים של המערכת או השירות, ממוני הבטיחות אחראים על קיום נהלים והוראות תפעול, והמשתמשים אחראים לפעול על פי ההוראות. בהתאם לגישה זו, גם התקנים מניחים שהמשתמשים מסוגלים לפעול באופן מושלם עם פי הוראות היצרן, יהיו ההוראות ככל שיהיו. גישה זו מתבססת על הטיעון שהיצרן אינו מסוגל לנחש כיצד המשתמש יפעל, ואינו מסוגל למנוע טעויות שימוש.

גישה זו אינה עומדת במבחן המציאות. בפועל, המשתמשים טועים בהבנת ההוראות ובישומם, ואת המחיר של הטעויות הללו כולם משלמים: בירידה בתפוקה, בתאונות, ובשביעות רצון המשתמשים והלקוחות מהמערכת. הגישה של הנדסת שמישות בעניין זה היא שהיצרן אמנם אינו יכול למנוע את כל טעויות המשתמש, אבל הוא יכול וצריך למנוע את הטעויות שגורמות לסיכון.

תהליך הגדרת הסיכונים

למרות שהמתודולוגיה של תהליך הגדרת הסיכונים על פי תרחישים היא מוכרת, התקן המצוי אינו מסווג אותם לפי תרחישי הפעלה.

הגדרת אמצעים לאיתור מצבי טעות

אמצעים למעקב אחר ההפעלה

לאחר התקנה המערכת והפעלתה, ניתן ללמוד ולהפיק לקחים מההפעלה. בעיה שכיחה בתהליך זה היא חוסר מידע לגבי מצבים של "כמעט תאונה" ושל מהלך האירועים שהוביל למצבים הללו, ולמצבי תאונה. המערכת יכולה לכלול אמצעים פשוטים לאיסוף נתונים על ההפעלה ולדיווח על מצבים בעייתיים מבחינת בטיחות או תפוקה, כולל:

·            יצירת קבצי לוג של פעילות המשתמשים ושל שינויים במצב המערכת

·            אפשרות לשחזור פעילות המשתמשים ושינויי המצבים, לצורך תחקור

·            אמצעים לגיבוי אוטומטי, למניעת העלמת נתונים במהלך החקירות של תאונות.

איתור מצבים בלתי צפויים

מצבים בלתי צפויים אלו הם מצבים שאינם תואמים אף אחד מהתרחישים. כאשר המערכת נמצאת במצב בלתי-צפוי, אופן תגובתה לפעולה של המשתמשים גם הוא בלתי צפוי. בין התגובות האפשריות ניתן למנות נזק לציוד, נזק לנתונים ואף תאונות.

התקינה צריכה לחייב את היצרן לעקוב באופן שוטף אחר השינויים במצב המערכת, להתריע כאשר המצב הוא בלתי צפוי, ולהנחות אותו כיצד להגיב: על ידי עצירת הפעילות, על ידי תיקון אוטומטי וכיו"ב. כמו כן, התקינה יכולה להנחות את היצרן כיצד לבדוק את התנהגות המערכת במצבים הבלתי צפויים.

הערות

במערכות רבות, חסרים האמצעים המינימאליים הדרושים לתחקור מצבים של טעות הפעלה, לצורך שיפור המערכת. התקינה צריכה לחייב את היצרנים לספק אמצעים פשוטים כאלו, ולהוכיח בניסויים את האפקטיביות של האמצעים הללו בפעולות השחזור.