ソフトのバグで放射能洩れ 37
ストーリー by wakatono
物騒な世の中になったものだ 部門より
物騒な世の中になったものだ 部門より
brake-handle曰く、" CNet Japanの報道によると、昨年12月にオーストラリアのウラン処理プラントで放射能洩れ事故が起きた。この事故は、プラント制御ソフトのバグにより、パイプラインが過圧され破裂したというもの。
これもミッションクリティカルな問題といえるんだろうなぁ。しかも、よくあるfail-safeでは不十分で、zero-failureを実現しなければならない。ソフトウェアに果たしてそれに答える能力があるのやら..."
同時に匿名で、「バグが原因でメルトダウンとかないですよね」みたいなコメントも寄せられていた。市販のソフトウェアとかには、そういうところに使ってもらっちゃ困る的なことが書いてあるけど、本当にクリティカルなところに使われているところのソフトウェアってどういうつくりなのだろうか…
少し違うが (スコア:2, 参考になる)
「金属探知機は複雑にすると誤動作の原因だから、ON=OFFよりも複雑な機能は載せない」
と、聞いたことがある。
そういったクリティカルな部分では単純化することは出来ないのだろうか。
Re:少し違うが (スコア:1)
つか、単純化したところでオペレーションミスは0になるわけでもないし、そもそも原子炉の制御なんてことがそんなに単純に出来るかというと疑問です。
ということで、放射能漏れ0にするには原子力なんて危ないものは使わないか、丸ごと爆発しても良いように放射性物質が通過するようなモジュール全部をシェルターか何かに入れてしまうしかないんじゃないでしょうか。
というか、今回のも「外」には漏れてないんじゃないでしょうか。
そう信じたい。
Re:少し違うが (スコア:0)
Re:少し違うが (スコア:0)
Re:少し違うが (スコア:1)
三菱電機 [melco.co.jp]の M16C シリーズ [maec.co.jp]のようです。
このときの記事が公開 [noritz.co.jp]されています。
# 「三菱電機」というだけで、何となくノイズに強そうなイメージがあるのは私だけ?
## 重電機のイメージが強いからでしょうけれど...
バグが原因で... (スコア:2)
2.飛行機が落ちる
3.国家が破産する
ということは、これからも「いくつも」起きそうです。
でも、クルマが便利だ、といって使ってますけど、世界での交通事故での死者は、毎月毎月、ベトナム戦争全体を通しての死者数以上ですから、要するに「利便性」と、それを享受することによる副作用としての「損失」は、こんなものかも知れませんね。マクロで見ると。
Re:バグが原因で... (スコア:0)
>ベトナム戦争全体を通しての死者数以上ですから
これって本当なの?
「ベトナム戦争 死者」 [google.co.jp]
#毎月200万人以上だとしたらすごいことだけど
Re:バグが原因で... (スコア:1)
POSの売上データがときどき送信しない場合がある (スコア:2, 興味深い)
★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
電源が落ちたぐらいで壊れちゃダメだ (スコア:2, 参考になる)
重要なシステムなら電源断を想定した設計をするのがあたりまえです。
今回の事故は、コンピュータのバグが流体供給管理システムとかの送電停止を起こしたそうですが、たまたま原因がバグだったと考えるべきであり、いろいろ考えられる電源断の原因のひとつにすぎません。だから基本的なフェイルセーフ設計の失敗だと思います。あるいは、圧力逃し弁のような機器の故障が重なったのかもしれません。また、破損したパイプに欠陥があったのかもしれません。とにかく、電源が落ちたぐらいで壊れるのが変です。
で、ここでコンピュータのバグを故障と考えるか否かの問題がありますが、ほとんどのプラント設計者はコンピュータなんか全く信用していません。従ってコンピュータのバグによる誤動作は故障じゃありません。
とはいうものの、2000年のお正月に世界に先駆けてY2K問題を起こした某社の制御棒手動操作系のコンピュータは、コストダウンのために普通の????risだったりするのだけど、ちょっと昔じゃ考えられないことです。感度が鈍くなってきたんじゃないかと心配です。
Re:電源が落ちたぐらいで壊れちゃダメだ (スコア:0)
これ [tepco.co.jp]のことを言っておられるのでしたら誤解を防ぐために補足しておきますが「手動操作系」ではなく「位置指示系」です。さらに言えばここで「指示」は数値を表示する意味であり操作とは全く関係ありません。
制御棒の位置情報は本来の系(プロセス計算機のOD-7。常にこちらが正)から確認されており、プラントの運転は問題なく行われました。もう少し詳しい情報はこちら [tepco.co.jp]にあります。
# 「某社」の者ではありませんが関係者の端くれなので匿名でお願いします
問
Re:電源が落ちたぐらいで壊れちゃダメだ (スコア:1)
通常はプロセス計算機のガイドを見ながら制御棒操作をするでしょうが、より正しい指示値は主盤RMCパネルに出る値の方です。つまり、Y2K問題のあったシステムが出す値の方です。プロセス計算機の値は参考にすぎないはずです。昔、某訓練センター(といっても1社しかないが)のインストラクタが、「計算機のディスプレイが増えてきたら、誰も盤面を見なくなった」とぼやいていました。昔はコンピュータのディスプレイなんか1枚もなかったのですが、CRTの切替えボタンを押すだけで何でも見ることができる気になっちゃうからね。
それに問題のシステムは制御棒位置を表示するだけでなく、操作する制御棒を選択するという重要な機能も持っています。昔は全てハードウェアのスイッチやLED表示で構成されていた部分を、ごっそりタッチスクリーン付きのディスプレイとPCに置き換えたようになっています。
# RMCS(制御棒手動操作系)の一部だと思っていたのですが…それほど間違ってないよね。
それと、普通のSolarisは、原子力に使うなと箱の中のどこかの紙に書いてあるはずです。昔は、原子力システムのメーカーは、自社開発のOSを使っていました。某システムを作ったメーカーが、Solarisの中に欠陥を発見したとき、自分で修正できるなら、Sunの警告を無視してSolarisを原子力に使っても問題ないのかもしれませんが、かなり困難だと思います。Y2Kの件はたまたま、独自に追加したデバイスドライバのバグだったので修正できたと聞いています。
病院 (スコア:1)
Re:病院 (スコア:0, おもしろおかしい)
大丈夫でしょう。
え?そういういみぢゃない?
冗談はともかく関心できませんね。
ローカルで閉じているならまだしも、インターネット接続されてた
日にゃ・・。
Re:病院 (スコア:2, おもしろおかしい)
> 大丈夫でしょう。
ご心配なく。あなたの新しい心臓には"powered by Windows CE.NET"と刻印されています。:-)
Re:病院 (スコア:1)
間違っても,フリーズして顔面蒼白(ブルースクリーン)だけは,勘弁してほしい.
Re:病院 (スコア:1)
そーいや、以前、健康管理機器を米マイクロソフトとオムロンが共同で開発する [zdnet.co.jp]ってニュースがあったけど、
# 転職しよーか、なぁ。
あの・・・ (スコア:1)
放射線なら漏れるかもしれないが・・・
kero
Re:あの・・・ (スコア:2, 参考になる)
科学的には正しくありませんが(もちろん放射能は「放射線を出す能力」そのもののこと).
放射線も漏れますが放射性物質が漏れることもあります.
線の方は一過性の被害で住みますが物質の方は次世代にまで残るような被害を及ぼすことがあります.
Re:あの・・・ (スコア:1)
ということでは?
・・・違いますか??
Re:あの・・・ (スコア:0)
ソフトがメモリ上でどんな数字をはじき出そうとも (スコア:1)
ソフトで全部をコントロールしているのであればなおさら ハード側に何も対策がされてないのはまずいのではないかなあ、 と思うのですけど、そのあたりどうなってたんでしょうね?
Re:ソフトがメモリ上でどんな数字をはじき出そうとも (スコア:0)
Re:ソフトがメモリ上でどんな数字をはじき出そうとも (スコア:0)
つか、フェイルセーフでは。
criticalなシステムなんだから、システムの出力を監視して、 異常値が出たら警報を出すとか、冗長系に切り替えるとかって システムになってないのかなぁ。
どんなバグだったのかわからないけど、
signedとunsignedを間違えた、に一票 :-)
Re:ソフトがメモリ上でどんな数字をはじき出そうとも (スコア:0)
フェイルセーフには,ハードウェアがソフトウェアの出力をオーバーライドする,という意味は全くないんですが…いったい何が言いたいのかよくわからん.
Re:ソフトがメモリ上でどんな数字をはじき出そうとも (スコア:0)
そんなときは辞書を引くと幸せになれます。
医療用もそんなもんです (スコア:1, 興味深い)
Re:医療用もそんなもんです (スコア:1)
フェイルセーフなシステムを組むとき、医師・看護婦に
壊されない(よく壊すらしい…)システムを指して、
Fool Proofをもじって、
Doctor Proof,Nurse Proofシステムと呼ぶと
聞いたことが(笑
オフトピですが、 (スコア:1)
ていうか、プログラムの話の直後にパイプラインという語が来てると、ふつ~、CPUのパイプラインの事かと思うかと……。 [srad.jp]
前にも同じようなコメントした覚えが... (スコア:1)
EVENTS ARE FINISHED.
となっているのを見て安堵するシーンがあるが、
EVENTS OVERFLOW : ABEND DUE TO S0C13
だの、
Too many events. Segmentation fault (core dumped)
なんてなってたら、怖くってしょうがない、と思ったソフト技術者、
一歩前へ。
みんつ
びるです 前向きです (スコア:0)
例え、空母一隻 機能不能にした過去があっても…
M$帝国はミッションクリティカルな問題にも対応できるのです
Re:びるです 前向きです (スコア:1)
たとえ物理的に厳重にシールドされている発射ボタンがあっても、司令官の意識の先頭数十バイトを解析して自動的に実行するような極めて利便性の高い新機能を搭載いたしました。
「ウォー・ゲーム」 (スコア:0)
大統領が核ミサイルのスイッチを押しても、実際の担当者が押さない可能性が高いからって、全自動にしたら、コンピューターがHALみたくなっちゃって、という映
Re:「ウォー・ゲーム」 (スコア:1)
ん? あれはインターネットじゃなくて、かたっぱしにIMSAI8080から
モデム経由でダイアリングして直に接続したんじゃなかったけか?
>あれを思い出すたびに、「パスワードを紙に書いて机の中に入れておくのはやめよう」と思う。
と言う訳で仕事場にユーザが勝手に設置したモデムを排除するのが
セキュリティ担当者の大事なお仕事 :-)
Re:びるです 本物です (スコア:0)
ふ~う
いつも欠陥とか言われて大変なんですよ。
あっ、最近財布調べたら少し少なくなってきたので
うちのクールなOS作買ってくれませんか
お店で山積みだから目に付くでしょう
買ってね~~~
言い忘れてましたけどコピーはダメだ
HDD壊れたからって言ってもダメだぞ!
そんな時は新しく買いなおす事
覚えておこうね。
ああこんな事している暇はない。僕って忙しいからね。
「裁判」の資料ねつ造しないと
おっと危ない、今のはジョークだよ
僕
電力系 (スコア:0)
ハード自体二重化で、システム相互に監視とか
キュー的な動作の話とかいろいろしてくれた。
ほとんど覚えちゃいないけど。
原子力に関して言えば (スコア:0)
原子力に関して言えば、誰もどこにもzero-failureは期待しません。リスクが存在するところ、合理的に達成可能である限り、全てにfail-safeな機構を付けます。電源が落ちると原子炉がスクラム(緊急停止)する、調速が効かなくなるとバイパス弁が開く…等々。
だって、みなさん良くご存知と思いますが、zero-failureなんて実現できないでしょ?(笑)