失敗事例

事例名称 A-III型のソフトウエアの欠陥による放射線治療機事故
代表図
事例発生日付 1986年03月21日
事例発生地 米国テキサス州
事例発生場所 B癌センター
事例概要 放射線治療機A-III型のコンピュータソフトに欠陥があったため、患者が致死量の放射線を浴びたが、当初は患者がこの装置によって致死量の放射線を浴びたことも判明できず、製造会社もこのような事故はありえないとし、事故が続いた。後にこの装置はリコールされ、2人の学者がこの問題を解明した。
事象 テキサス州の病院において、A社製の放射線治療機A-III型のコンピュータソフトの欠陥から患者が致死量の放射線浴びるという事故が2度あり、2名死亡した。他の病院でも同じ事故が起こり、数人の患者が被害を受け、合計4人の患者が死亡した。遺族が訴訟を起こしたが、すべて法廷外で和解に達している。後に、A氏とB氏が独自に調査をおこなったところ、A社がこのバグを修正したと考えた後も事故が起こっていることがわかった。
経過 1986年3月21日に男性の患者がB癌センターに治療を受けにきた。これは9回目のA-III型による治療であった。背中の腫瘍に対する治療である。患者はうつ伏せ状態で治療台に横たわり、A-III型の作業者は部屋を出て、コントロールパネルに行き、情報を入力した。その際、エレクトロンの「E」をタイプすべきところをX線の「X」をタイプしてしまった。すぐにカーソルを使って「E」に修正したが、他の情報は正しいので修正せずに「入力」キーを押した。その後入力情報が確認され、ビーム準備完了のメッセージが出たのでビームの「b」のボタンを押した。すると、装置が止まり、「マルファンクション54」のメッセージが表示された。これは「服用量2」エラーであるという情報のみがA-III型のマニュアルに記載されていた。患者は電気ショックを与えられたような感覚を受け、局部に高温のコーヒーをかけられたように感じ、これは正常ではないことに気づき、治療台から降りようとした。その時、患者の様子を知らせるビデオ等が故障していたため、患者の様子に気づかない作業員は再度実行するために「P」を押した。患者はうでに高温の熱を感じ、ドアをたたいて助けを呼んだ。後に、この患者は16,500から 25,000 ラドの放射能を受けたことが分かった。(一回の治療では180ラド)患者は強度の痛みを首や背中に負い、吐き気、更には左腕と両足、後に声帯にも影響し、話すこともできず、身体を動かすこともできなくなった。症状が複雑化し、5ヶ月後に死亡した。この装置の点検を行ったが、異常が発見されず、4月7日からこの装置の使用を再度開始した。4月11日に、同じ作業員により同じ装置で、同じ事故が起こり、この患者は5月1日に死亡した。
原因 ソフトウエアに問題があり、間違った表示をしたり、1つのパラメータを変えると他のパラメータまで自動的に変わったりするというバグがあった。ソフト上での確認操作が適切ではなかった。また、安全対策をソフトウエアに頼りすぎた装置の設計にも問題があった。また、患者と作業員をつなぐビデオが故障しており、患者の状況を目視確認できないまま治療を行うということにも、問題があったと思われる。また、一度事故が起きているにも関わらず、同じ作業者が同じ作業をして、同じ事故につながるというところにも問題がある。また、エラーが出たときの対策、説明を詳しくマニュアルに載せていなかった。装置を信頼しすぎていたために、患者が大量の放射能を受けたことにすぐに気づかず、処置が遅れたと思われる。
対処 事故当日に装置を調べたが、故障が発見されず、そのまま使用が続けられた。翌日は装置の使用を止めて製造会社のエンジニアが点検を行った。しかし「マルファンクション54」を再現することができず、電気系統の問題であると述べた。病院は以前にもこのような事故が起きているかと問い合わせたが、起こっていないと答えた。(既に何件もの事故が起こり訴訟が行われていたにも関わらず)。その後電気系統を調べたが、問題が見つからず、再度4月7日に使用を開始した。
対策 この装置は1987年にリコールされ、大幅な設計の変更を行い、ソフトのエラーに対する安全策が取り入れられた。二人の学者、A氏とB氏が独自に調査をおこない、問題を明らかにした。
知識化 操作の安全性をソフトのみに頼るのは危険である。このような人命に関わる装置を作る際には、何度にも渡る、検証、テスト、確認などが必要である。問題が発生したら、一見関連が無い様な問題であっても、詳しく調べる必要がある。問題の対策は敏速に対応する必要がある。特定のバグのみにこだわっていると、前進できない。責任を逃れようとすると、後により大きな問題となって帰ってくることがある。
背景 同型の装置による同じ事故が、前年1985年に米国ジョージア州とワシントン州の病院及びカナダ、オンタリオ州の病院で相次いであり、各1名の患者が被ばくし、そのうちオンタリオ州の患者は死亡した。病院が製造会社に問合せたが、この装置によって異常が発生するということが考えられないと答え、病院側もこの装置に問題があると実証できるだけの知識が無かった。さらに、被害者が訴訟をおこした後も、この装置の会社は過失を認めず、他の病院へは問題は発生していないと告げ、適切な対策をとらなかった。そのため、また1987年にも上と同じワシントン州の病院で患者1名が被ぱくし死亡した。
後日談 A-III型の事故のことを聞いたシカゴ大学の教授は、A-II型でも、同様のソフトウエアの問題があることを発見した。ある種の方法で入力を編集するとヒューズが飛ぶなどの問題が生じた。A-II型もA-III型と同様に、A-I型のプログラムを進化させたものであった。ただし、A-II型の場合、モニタリングなどはメカニカルなインターロックをつかっていたので、患者に被害を及ぼすことはなかったが、A-III型は、ソフトウエアに頼り切っていた。
よもやま話 A-III型のプログラムは一人の人間により数年かかってPDP11アセンブリランゲージを使って開発されたもので、A-I型のプログラムを進化させた物である。ソフトウエアとハードウエアは個別、さらに共に、何年にも渡ってテストが行われたと製造会社は述べている。しかし、シミュレーターを使ってのソフトウエアのテストは少量で、システムとしてのテストが大半を占めていた。これをプログラムした者は1986年にこの会社を退社しており、教育背景などがはっきりとしていない。
当事者ヒアリング この事故を調査した二人の学者は報告書の中でこう書いている。「A-III型の事故から学ぶべきは、ソフト上の特定のバグにこだわっても安全なシステムは作れないということだ。ここに見られる根本的な誤りは、ソフト工学の訓練の不足と、操作の安全性をソフトウエアにのみ頼った機械の設計にある」
データベース登録の
動機
命を預ける病院で、このような事故が起こり、それに対して製造会社が敏速に適切な責任をとらなかったために事故が何度も再発したので、このようなことが再度起こらないようにするためにも、人々に状況を理解してもらいたいと思った。
シナリオ
主シナリオ 調査・検討の不足、事前検討不足、計画・設計、計画不良、製作、ソフト製作、機能不全、ソフト不良、不良現象、化学現象、放射性物質、身体的被害、負傷、身体的被害、死亡、社会の被害、人の意識変化
情報源 http://courses.cs.vt.edu/~cs3604/lib/Therac_25/Therac_1.html
http://216.239.57.100/search?
q=cache:2fh0oXLlBaUC:cnet.sphere.ne.jp/News/1998
/Item/Bugs/ss05a.html+Therac-25&hl=ja&lr=lang_ja&ie=UTF-8
http://kokai-gen.org/information/7_ho-tra.html
死者数 4
負傷者数 2
物的被害 なし
被害金額 不明
全経済損失 不明
社会への影響 つらい思いをして癌と戦っている人々に新たな恐怖を与えた。病院、医療機器製造会社への信頼もある程度失われた。
備考 この装置で、同じ原因で死亡、負傷した人の総数(発表されている限りで)をここで記載した。
分野 機械
データ作成者 タカミハマダニ (SYDROSE LP)
中尾政之 (東京大学工学部附属総合試験所総合研究プロジェクト・連携工学プロジェクト)