セラック25

セラック25（Therac-25）とは、カナダ原子力げんしりょく公社こうしゃ (AECL) とフランスCGR-MeV社しゃによって開発かいはつ・製造せいぞうされたコンピュータ制御せいぎょの放射線ほうしゃせん療法りょうほう機器ききである^[1]^:425。この機械きかいは、1985年ねんから1987年ねんにかけて知しられる限かぎり6つの過度かどの被曝ひばく事故じこを引ひき起おこし、少すくなくとも5人にんの患者かんじゃを死亡しぼうさせた。装置そうちを制御せいぎょするオペレーティングシステム (OS) に存在そんざいする、並行へいこうプログラミングにおける誤あやまり（競合きょうごう状態じょうたいとも呼よばれる）が原因げんいんで、患者かんじゃに通常つうじょうの数すう百ひゃく倍ばいもの放射線ほうしゃせん量りょうを浴あびせ、死亡しぼうや重傷じゅうしょうを負おわせることもあった^[2]。これらの事故じこは、生命せいめいに関かかわるようなシステムにおけるソフトウェア制御せいぎょの危険きけん性せいを浮うき彫ぼりにし、医療いりょう情報じょうほう学がくとソフトウェア工学こうがくにおける標準ひょうじゅん的てきな事例じれい研究けんきゅうのひとつとなった。さらに、技術ぎじゅつ者しゃの自信じしん過剰かじょうと^[1]^:428、報告ほうこくされたソフトウェアのバグを解決かいけつするための適切てきせつなデューディリジェンスの欠如けつじょは、技術ぎじゅつ者しゃの初期しょき作業さぎょうに対たいする過信かしんとエンドユーザーの主張しゅちょうを信しんじられなかったことが大おおきな影響えいきょうを与あたえた極端きょくたんなケースとして強調きょうちょうされている。

背景はいけい[編集へんしゅう]

セラック25はAECL社しゃとCGR社しゃによって、医療いりょう用よう線形せんけい加速器かそくきセラック6 (Therac-6) とセラック20 (Therac-20) の後継こうけい機きとして開発かいはつされた。前者ぜんしゃは6MeVまでのX線せんを、後者こうしゃは20MeVのX線せんと電子でんし線せんを生成せいせいすることができた。セラック25はAECLによって新あらたに開発かいはつされたダブルパス技術ぎじゅつを用もちいた電子でんし加速器かそくきであり、従来じゅうらい機きに比くらべてより小ちいさなスペースで、より効率こうりつ的てきに25MeVまでのX線せんと電子でんし線せんを生成せいせいすることができた。

これらの機器ききはいずれもPDP-11によってコンピュータ制御せいぎょできるが、セラック25は従来じゅうらい機きと違ちがって、最初さいしょからコンピュータ制御せいぎょを念頭ねんとうにおいてデザインされていた。また、従来じゅうらい機きではハードウェアの監視かんし装置そうちは機器ききとは独立どくりつした電子でんし回路かいろで実装じっそうしていたが、セラック25ではメンテナンス性せいのためにこれをソフトウェアで置おき換かえた。ソフトウェアにはCGR社しゃが開発かいはつしたセラック6用ようのコードが多おおく流用りゅうようされた。またセラック20用ようのコードもいくつか混入こんにゅうしていたが、このコードにはバグがあり、後ごの事故じこを引ひき起おこす一いち要因よういんとなった。セラック20にはハードウェアによる安全あんぜん装置そうちがあったため事故じこは起おこらず、このバグはセラック25の事故じこ調査ちょうさで判明はんめいすることとなる。

1976年ねんにはプロトタイプ機きが製造せいぞうされ、1982年ねんに商業しょうぎょう的てきに販売はんばいされた。1983年ねんに危険きけん性せい分析ぶんせきが行おこなわれたが、これはソフトウェアのバグの存在そんざいを仮定かていしない、不十分ふじゅうぶんなものであった。

設計せっけい[編集へんしゅう]

この装置そうちには、2つの放射線ほうしゃせん治療ちりょうモードがある^[3]。

直接ちょくせつ電子でんし線せん治療ちりょう（英語えいご版ばん）モード：高こうエネルギー（5 MeV～25 MeV）で、細ほそく、低てい電流でんりゅうでの電子でんし線せんを磁石じしゃくによって治療ちりょう部位ぶい全体ぜんたいをスキャンする。
超ちょう高圧こうあつX線せん治療ちりょう (英語えいご版ばん) （または光子こうし）モード：25 MeVの電子でんし線せんをターゲットに衝突しょうとつさせ、放出ほうしゅつされた固定こてい幅はばのX線せんを平坦へいたん化かフィルターとコリメータの両方りょうほうに通とおし、照射しょうしゃする。

また「フィールドライト」モードも含ふくまれており、これにより、治療ちりょう領域りょういきを可視かし光こうで照てらすことにより患者かんじゃを正確せいかくに位置決いちぎめすることができるようになっていた。

問題もんだいの説明せつめい[編集へんしゅう]

記録きろくされた6件けんの事故じこは、X線せんモードで発生はっせいさせた大だい電流でんりゅうの電子でんし線せんを患者かんじゃに直接ちょくせつ照射しょうしゃした際さいに発生はっせいした。原因げんいんとなったのは2つのソフトウェアの不具合ふぐあいであった^[3]。1つは、オペレータがX線せんモードを誤あやまって選択せんたくしてからすぐに電子でんしモードに切きり替かえた場合ばあいで、X線せんターゲットが配置はいちされていない状態じょうたいで電子でんし線せんがX線せんモードに設定せっていされてしまったことである。もう1つは、ビームスキャナが作動さどうしていないフィールドライトモード中ちゅうに電子でんし線せんが作動さどうしてしまい、ターゲットが配置はいちされていない状態じょうたいで電子でんし線せんが作動さどうしてしまったことである。

以前いぜんのモデルでは、このような欠陥けっかんを防ふせぐためにハードウェア・インターロックがあったが、セラック25ではそれを取とり除のぞき、ソフトウェアによる安全あんぜん性せいのチェックに頼たよっていた。

大だい電流でんりゅう電子でんし線せんは、意図いとした線量せんりょうの約やく100倍ばいの放射線ほうしゃせん量りょうで、より狭せまい範囲はんいで患者かんじゃに当あたり、致死ちし量りょうの可能かのう性せいのあるベべータ線たせんを照射しょうしゃした。患者かんじゃのレイ・コックス氏しは、この感覚かんかくを「強烈きょうれつな電気でんきショック」と表現ひょうげんし、悲鳴ひめいを上あげて治療ちりょう室しつから飛とび出だした^[4]。数日すうじつ後ご、放射線ほうしゃせん熱傷ねっしょうが現あらわれ、患者かんじゃは放射線ほうしゃせん中毒ちゅうどくの症状しょうじょうを示しめした。3つのケースでは、負傷ふしょうした患者かんじゃは後のちに過剰かじょう照射しょうしゃの結果けっかとして死亡しぼうした^[5]。

根本ねもと原因げんいん[編集へんしゅう]

委員いいん会かいでは、主おもな原因げんいんを、特定とくていのコーディングエラー1つに絞しぼるのではなく、一般いっぱん的てきなソフトウェアの設計せっけいと開発かいはつの仕方しかたの悪わるさにあるとしている。特とくに、このソフトウェアは、クリーンな自動じどう化かされた方法ほうほうでテストすることが現実げんじつ的てきに不可能ふかのうなように設計せっけいされていた^[3]。

事故じこを調査ちょうさした研究けんきゅう者しゃは、いくつかの原因げんいんを発見はっけんした。その中なかには、以下いかのような制度せいど的てきな原因げんいんが含ふくまれていた。

AECLは、ソフトウェアコードを独立どくりつしてレビューしておらず、オペレーティングシステムを含ふくむ社内しゃないのコードに依存いぞんすることを選択せんたくした。
AECLは、機械きかいがどのようにして望のぞましい結果けっかを出だすのか、どのような故障こしょうモードが存在そんざいするのかを評価ひょうかする際さいに、ソフトウェアの設計せっけいを考慮こうりょせず、純粋じゅんすいにハードウェアに焦点しょうてんを当あて、ソフトウェアにはバグがないと主張しゅちょうしていた。
機械きかいオペレータは、過剰かじょう照射しょうしゃは不可能ふかのうであるとAECLの担当たんとう者しゃにより安心あんしんさせられた。その結果けっかとして、セラック25が多おおくの事故じこの潜在せんざい的てきな原因げんいんであるとは考かんがえないようになった^[1]^:428。
AECLは、セラック25が病院びょういんで組くみ立たてられるまで、ソフトウェアとハードウェアを組くみ合あわせたテストを実施じっししたことがなかった。

研究けんきゅう者しゃはまた、いくつかの工学こうがく的てきな問題もんだいを発見はっけんした。

いくつかのエラーメッセージは、単たんに "MALFUNCTION"という用語ようごの後のちに1から64までの数字すうじが表示ひょうじされただけである。ユーザーマニュアルには、エラーコードについての説明せつめいやエラーの対処たいしょ方法ほうほうはなく、これらのエラーが患者かんじゃの安全あんぜんを脅おびやかす可能かのう性せいがあることを示しめすものすらなかった。
システムは、マシンを停止ていしさせて再さい起動きどうを必要ひつようとするエラーと、単たんにマシンを一時いちじ停止ていしさせただけのエラー（オペレータがキーを押おして同おなじ設定せっていを続行ぞっこうできる）を区別くべつしていた。しかし、患者かんじゃを危険きけんにさらすようなエラーの中なかには、単たんに機械きかいを一時いちじ停止ていしさせただけのものもあり、軽微けいびなエラーが頻発ひんぱつしたため、オペレータは機械きかいの一時いちじ停止ていしを解除かいじょすることに慣なれてしまっていた。
- 問題もんだいの1つは、PDP-11コンピュータを制御せいぎょするVT-100端末たんまつで特定とくていのキーストロークシーケンスを入力にゅうりょくした際さいに発生はっせいしたものである。オペレータが「X」を押おして（誤あやまって）25 MeV光子こうしモードを選択せんたくし、次つぎに「カーソルアップ」で入力にゅうりょくを編集へんしゅうして「E」を押おして（正まさしく）25 MeV電子でんしモードを選択せんたくし、「Enter」を押おす。最初さいしょのキー操作そうさから8秒びょう以内いないにすべてのキーが入力にゅうりょくされる。これはマシンの経験けいけん豊富ほうふなユーザーの能力のうりょくの範囲はんい内ないである^[3]。
この設計せっけいには、ターゲットが設置せっちされていない状態じょうたいで電子でんし線せんが高こうエネルギーモードで動作どうさするのを防ふせぐためのハードウェア・インターロックがなかった。
ソフトウェアの欠陥けっかんを隠かくすためにハードウェア・インターロックを使用しようしていたセラック6とセラック20のソフトウェアを、技術ぎじゅつ者しゃは再さい利用りようしていた。これらのハードウェア安全あんぜん装置そうちにはトリガーされたことを報告ほうこくする手段しゅだんがないため、既存きそんのエラーは見落みおとされていた。
ハードウェアは、ソフトウェアがセンサーが正ただしく動作どうさしているかどうかを確認かくにんする方法ほうほうを提供ていきょうしなかった。テーブルポジションシステムは、セラック25の故障こしょうの最初さいしょの原因げんいんとなったもので、メーカーは、それらの動作どうさを相互そうごにチェックするために、冗長じょうちょうスイッチで修正しゅうせいした。
ソフトウェアは、フラグ変数へんすうを非ひゼロの固定こてい値ちに設定せっていするのではなく、インクリメントすることで設定せっていしていた。時折ときおり、算術さんじゅつオーバーフローが発生はっせいし、フラグがゼロに戻もどり、ソフトウェアが安全あんぜんチェックをバイパスする原因げんいんとなっていた。

ナンシー・レブソン氏しは、この事件じけんから得えられる教訓きょうくんは、再さい利用りようされたソフトウェアが安全あんぜんだと思おもい込こまないことだと指摘してきしている^[6]。「ソフトウェアを再さい利用りようしたり、市販しはんのソフトウェアを使用しようしたりすることで安全あんぜん性せいが向上こうじょうするだろう、なぜならば広ひろく利用りようされているのだから、という素朴そぼくな思おもい込こみがよくある。ソフトウェアモジュールを再さい利用りようしたからといって、それが移行いこう先さきの新あたらしいシステムでの安全あんぜん性せいを保証ほしょうするわけではない...」^[3]。このように、ソフトウェアにコード化かされた思考しこう体系たいけいを不十分ふじゅうぶんな理解りかいのまま盲信もうしんすることは、カーゴ・カルト・プログラミングとして知しられている。セラック25に関連かんれんしたような事件じけんに対応たいおうして、IEC 62304規格きかくが作成さくせいされた。この規格きかくは、医療いりょう機器ききソフトウェアの開発かいはつライフサイクル標準ひょうじゅんと、経歴けいれき未み確認かくにんソフトウェア（英語えいご版ばん）の使用しように関かんする具体ぐたい的てきなガイダンスを導入どうにゅうしている^[7]。

参照さんしょう項目こうもく[編集へんしゅう]

脚注きゃくちゅう[編集へんしゅう]

^ ^a ^b ^c Baase, Sara (2008). A Gift of Fire. Pearson Prentice Hall
^ Leveson, Nancy G.; Turner, Clark S. (July 1993). “An Investigation of the Therac-25 Accidents”. IEEE Computer 26 (7): 18–41. doi:10.1109/MC.1993.274940. オリジナルの2004-11-28時点じてんにおけるアーカイブ。.
^ ^a ^b ^c ^d ^e “Safeware: System Safety and Computers. Appendix A: Medical Devices: The Therac-25”. Addison-Wesley (1995年ねん). 2021年ねん3月がつ3日にち閲覧えつらん。
^ Casey, Steven. Set Phasers On Stun - Design and Human Error. Aegean Publishing Company. pp. 11–16
^ “Fatal Dose - Radiation Deaths linked to AECL Computer Errors”. www.ccnr.org. 2016年ねん6月がつ14日にち閲覧えつらん。
^ Leveson, N. G. (November 2017). “The Therac-25: 30 Years Later”. Computer 50 (11): 8–11. doi:10.1109/MC.2017.4041349. ISSN 1558-0814.
^ Hall, Ken (June 1, 2010). “Developing Medical Device Software to IEC 62304”. MDDI - Medical Device and Diagnostic Industry 2016年ねん12月12日にち閲覧えつらん。.