"Валерий Аджиев "Мифы о безопасном ПО: уроки знаменитых катастроф" [V]" - читать интересную книгу автора

натыкались на ту же ситуацию и с покорностью обреченных на заклание овец
шли к катастрофе. Очевидно, что необходимо по крайней мере отнять у "врача"
пистолет: прекращать функционирование аппаратуры при возникновении
программного "исключения" целесообразно лишь после комплексного анализа
ситуации, но никак не автоматически.

В контексте данной статьи интересно мнение главного редактора журнала
"Automated Software Engineering" Башара узейбеха (Bashar Nuseibeh) [5],
который, дав обзор разных точек зрения на причины аварии и придя к выводу,
что "все правы", связал все-таки катастрофу Ariane 5 с более общими
проблемами разработки программных систем. Он отметил, в частности, что
современные тенденции в программной инженерии, связанные с разделением
интересов вовлеченных в разработку независимо работающих персонажей (что
связано с широким внедрением таких подходов, как объектно-ориентированные
и компонентные технологии) не получают надлежащего балансирующего
противовеса в виде менеджмента, способного координировать всю работу на
должном уровне.
Эта тема заслуживает дальнейшего обсуждения, но сначала обратимся к еще
одной печально знаменитой истории.


Инциденты с Therac-25

Вспомним более давнюю историю, почти во всем отличную от ситуации с
Ariane 5, а сходную только в том, что она также была подробно
задокументирована [6] и получила в свое время большой резонанс как
повлекшая наиболее тяжкие последствия за всю не столь долгую историю
использования медицинских комплексов, управляемых компьютерами. Правда в
этом случае полномасштабного официального расследования проведено не было;
источниками информации послужили, в основном, протоколы встреч
пользователей системы с производителем и материалы многочисленных судебных
разбирательств.

Технические подробности инцидентов

В 1985-87 гг. 6 человек получили смертельную дозу облучения во время
сеансов радиационной терапии с применением медицинского ускорителя
Therac-25 (количество пациентов, также подвергшихся переоблучению, но
выживших, точно не известно). Производителем установки являлось одно из
подразделений Канадского Агентства Атомной Энергии (Atomic Energy of
Canada Limited AECL).
Модель Therac-25, законченная в виде прототипа в 1976 г. и поступившая
в промышленную эксплуатацию в 1982 г. (пять установок в США и шесть в
Канаде) была развитием ранних моделей Therac-6 и Therac-20. При этом
некоторые программные модули, разработанные для ранних моделей,
использовались повторно (в том числе поставленные партнером, французской
фирмой CGR, сотрудничество AECL с которой прекратилось к моменту начала
работ над Therac-25).

Первый зафиксированный факт переоблучения, случившийся в Онкологическом