ソフトウェアに起因した医療機器事故（Therac-25） �潟Cーコンプライアンス

ソフトウェア に起因した医療機器事故（1985〜1987年 Therac-25）

複数の医療施設で放射線治療装置が誤作動し、過大な放射線を浴びた患者に死傷者が出た。
Therac-25は2種類の放射線―低エネルギーの電子ビーム（ベータ粒子）とX線―を照射できるよう、既存の設計（Therac-20）に改良を加えた治療装置だった。
Therac-25では電子銃と患者の間に置かれた金属製のターゲットに高エネルギーの電子を打ち込み、X線を発生させていた。
Therac-25の改良点は、旧モデル『Therac20』の電気機械式の安全 保護装置をソフトウェア 制御に置き換えたことだった。
装置の開発者達が「機器の安全 はソフトウェア でも十分に実現できる」と考え、経済性を優先させるためにハードウェア による安全 装置を外し、そのためハードウェア による安全 装置のために抑えられていたソフトウェア の不具合が発現した。
OSのバグが原因で、操作コマンドを素早く打ち込んだ場合、Therac-25ではX線用の金属製ターゲットをきちんと配置しないまま高エネルギーの放射線を照射する設定が可能になっていた。

このとき、なぜ過度なエネルギー照射が起こるのか原因を突き止めるのに長い時間がかかり、付け焼き刃の対策で装置の使用を止めなかったために、Therac-25による犠牲者は6名にまで拡大してしまった。

この事故を調査した現マサチューセッツ工科大学のNancy Leveson教授は、事故調査を終えて次のような教訓を書き残している。

• ソフトウェア はどんなに慎重に作っても満足できるほどに完璧にはならないため、ソフトウェア がどんな動きをしたときでも、人命に危険が及ばないようにシステムを設計する必要がある（フェールセーフ、独立した安全 装置の設置など）
  
• ソフトウェア の信頼性をできるだけ高めるのは悪いことではないが、それでソフトウェア が安全 になるわけではない。プログラマは要求を満たすようにコードを書くが、要求が正しいとは限らない。事故のほとんどは、プログラミングのエラーではなく、要求が間違っていたり、不完全であったりしたために起きている
  
• われわれの目標は、だれもがこの経験を生かせるようにすることであり、装置のメーカーや他の人を批判することではない。間違いは、このメーカーにだけ起きたのではなく、残念ながら、安全 が最優先されるべきその他のシステムにも、きわめて日常的に起きている
  
• いくつかの出来事が複雑に絡み合って起きた事故が、一つの原因にされることが多すぎる。ほとんどの事故は、システム事故、つまり、さまざまな構成部分や機能が複雑に作用しあって起きるものだ。事故の原因を一つに特定することは、大きな間違いだ。

Nancy Leveson 教授が語ったTherac-25の事故調査から導き出された組込みソフトウェア の安全 に関する教訓は、20年以上経過した現在でも生き続けている。
というよりも、組込みソフトウェア の大規模・複雑化とCPUの統合化により、より危険性が加速されてきおり、組込みソフトエンジニアがソフトウェア 開発を行っている際に常に考えていなければいけない重要な教訓となっている。

この事故を受けて、FDAはGeneral Principles of Software Validationを発行した。