Карта відмов застосовності
Статус: Концептуальна діагностична структура (без тверджень)
Призначення: Ця сторінка описує класи відмов застосовності що можуть виникати в складних автоматизованих та критично важливих для безпеки системах. Вона не описує методи виявлення, алгоритми чи системи моніторингу.
Вступ
Відмова застосовності виникає коли система продовжує працювати в межах своїх поведінкових параметрів тоді як умови що обґрунтовують її операційний режим більше не виконуються.
Цей тип відмови відрізняється від поведінкової відмови. Система не виходить з ладу. Вона продовжує функціонувати — але її операційна легітимність втрачена.
Наступні класи відмов описують структурні патерни втрати межі застосовності. Це концептуальні категорії а не діагностичні процедури.
Класи відмов
Зелені дашборди
Система виглядає відповідною. Всі спостережувані індикатори залишаються в очікуваних межах. Однак припущення що лежать в основі цих індикаторів зруйнувалися.
Система повідомляє про справність тому що вимірює поведінку а не застосовність.
Затримка повноважень
Оператори або суб'єкти управління не можуть втрутитися вчасно тому що топологія повноважень деградувала. Шляхи прийняття рішень що були валідними за початкових умов більше не з'єднуються з операційним станом.
Повноваження існують формально але не можуть досягти системи в її поточному режимі.
Правдоподібність моделі
Виходи системи виглядають валідними та внутрішньо узгодженими. Однак середовище в якому модель була калібрована змістилося за межу її застосовності.
Модель продовжує видавати правдоподібні результати з умов які вона не була призначена представляти.
Персистенція режиму
Система продовжує працювати в режимі який був валідним в більш ранній момент але більше не обґрунтований поточними умовами.
Операційний режим зберігається тому що не існує механізму для виявлення того що його умови застосовності змінилися.
Архітектурні симптоми
Ці класи відмов мають спільний архітектурний симптом: розділення між поведінковою коректністю та операційною легітимністю.
Системи що моніторять лише поведінку не можуть виявити відмову застосовності. Відмова існує у відношенні між режимом системи та її операційними умовами — а не у виходах системи.
Втрата межі застосовності
Втрата межі застосовності — це стан в якому операційний режим системи продовжується але граничні умови що визначали його валідність більше не задовольняються.
Цей стан може зберігатися невизначено довго якщо система не має механізму для оцінки власної застосовності.
Відношення до поведінкового управління
Поведінкове управління визначає що система повинна робити. Архітектура застосовності визначає коли ці визначення залишаються валідними.
Система може задовольняти всі вимоги поведінкового управління працюючи в недійсному режимі. Структура управління залишається непорушною. Межа застосовності перетнута.
Карта відмов
| Клас відмови | Операційний симптом | Архітектурна причина |
|---|---|---|
| Зелені дашборди | Система виглядає відповідною | Припущення зруйнувалися |
| Затримка повноважень | Оператори не можуть втрутитися | Топологія повноважень деградувала |
| Правдоподібність моделі | Виходи виглядають валідними | Зміщення середовища |
| Персистенція режиму | Система продовжує працювати | Операційний режим недійсний |
Висновок
Відмова застосовності часто з'являється до спостережуваної поведінкової відмови.
Системи можуть залишатися відповідними тоді як операційний режим вже втратив легітимність.
Цілісність без тверджень
Ця сторінка є без тверджень. Вона не визначає дій, не рекомендує реалізацій та не визначає технічних вимог. Вона не описує методи виявлення, алгоритми чи системи моніторингу.
Пов'язані концептуальні сторінки
- Лінза інцидентів застосовності — Концептуальна рамка інтерпретації інцидентів через межі застосовності.
- Додаток — Архетипи відмов — Архетипні патерни відмов.
Кінець Карти відмов застосовності