Tijd voor `recall'

Therac-25, Exacta-Mix 2400, C2000. Wat
hebben deze producten gemeen anders dan hun
naamgeving die uit letters gevolgd door
cijfers bestaat? Ze hebben alleen gemeen
dat er problemen mee zijn die
levensbedreigende situaties kunnen of hebben
veroorzaakt.

De Therac-25 was een computergestuurde
stralingstherapie machine. Tussen 1985 en
1987 kregen zes mensen een enorme overdosis
straling waarbij softwareproblemen een rol
speelden. Drie patienten overleden als
gevolg van de honderd keer te hoge dosis. In
het vakgebied van de software engineering is
dit een klassiek voorbeeld geworden om het
gevaar van door software gecontroleerde
safety-critical systemen te onderstrepen.
Door een gebrek aan fysieke
stralingsbeperking kon door een softwarefout
de veel te hoge dosis straling worden
toegediend.

Dat was toen, nu is nu, en nu is het vak veel
verder en behoren dit soort missers tot het
verleden. Nou nee. Tussen 4 juni 2007 en 25
juni 2007 leverde een Amerikaans bedrijf 32
keer hun Exacta-mix 2400 software aan een
vijftiental klanten. Het gaat om een systeem
dat in de apotheek kan worden gebruikt om aan
intraveneuze oplossingen allerlei
ingredienten toe te voegen en de zaak goed te
mixen. Dat product kreeg een zogenaamde
class 1 recall van de Amerikaanse Federal
Drug Agencay.

Class 1 is de gevaarlijkste categorie, en
daaarbij is de kans aannemelijk dat het zwaar
letsel of de dood veroorzaakt. In dit geval
zorgde een software fout ervoor dat er 50 ml
extra volume van een ingredient kon worden
toegevoegd aan de intraveneuze oplossing
waardoor een levensbedreigende situatie kon
onstaan, vooral bij baby's.

Een ander voorbeeld van een class 1 recall is
het Tecan klinische werkstation waar RoboNet
software op draaide. Da's een apparaat dat
gebruikt wordt in laboratoria voor de
detectie van chlamidia, gonorrheu, etc. Dat
speelde in mei 2004. Een softwareprobleem
kon abusievelijk lab-uitslagen toekennen aan
het verkeerde patient registratienummer. Die
vals positieven en vals negatieven leiden tot
onjuiste behandelingen aan de ene kant, en
onnodige blootstelling aan antibiotica van
het merk paardenmiddel aan de andere kant.

Kort en goed, het is vast allemaal beter dan
ten tijde van de Therac-25 maar om nu te
zeggen dat dit soort misstanden tot het
verleden behoort, nee.

Dan nu C2000: het digitale
communicatienetwerk voor de Nederlandse
hulpverleningsdiensten. Als we de website
mogen geloven heeft Nederland nu een uniek
communicatienetwerk dat voldoet aan de eisen
die hulpverleners stellen aan hun mobiele
communicatie. Het is een landelijk dekkend
netwerk, maar dan wel buitenshuis en minimaal
95%. Het zorgt dat hulpverleners snel,
eenvoudig en betrouwbaar onderling en met de
meldkamer kunnen communiceren.

Dit staat in schril contrast met wat we lezen
over C2000 op websites van hulpverleners
zelve. De Vrijwillige brandweer schreeuwt
moord en brand: die wil af van het
communicatie-systeem C2000. Uit een
inventarisatie bleek dat 16 van de 25
brandweerkorpsen problemen hebben met
binnenhuisdekking van C2000. Men vindt het
``volstrekt onverantwoord om ermee door te
gaan. Het verkeer tussen de portofoons is
onbetrouwbaar. Daardoor staan levens van
burgers en brandweerlieden op het spel''.

De vrijwillige brandweer waagt zijn leven
voor anderen in nood. Er is bij mij geen
enkele twijfel dat deze beroepsgroep zou
chicaneren als het om C2000 gaat. We moeten
dit soort signalen uiterst serieus nemen.
Hier geen Federal Drug Agency die een class 1
recall kan doen. Helaas. 

Ook horen we van problemen met C2000 rond de
rellen in Hoek van Holland, het drama op
Koninginnedag, en de vliegramp bij Schiphol.
Dat zijn geen gevallen van binnenhuisdekking
maar daar krijgen de gebruikers de schuld van
een onderzoeker die de conclusie al trekt eer
het onderzoek gedaan is. De vrijwillige
brandweer is duidelijk over de keuze van de
onderzoeker: ``De heer Berghuijs heeft
destijds een belangrijke rol gespeeld in de
keuze voor C2000 en de eisen die aan het
systeem gesteld zijn. Daarmee kan er dus
absoluut geen sprake kan zijn van voldoende
onafhankelijkheid van de heer Berghuijs
rondom C2000''. 

Gebrek aan etherdiscipline zou een rol spelen
en daarom worden locale C2000-masten
overbelast. Toen de kaartverkoop voor het WK
voetbal in 1998 losbarstte probeerden vanuit
Nederland in het eerste uur alleen al twee
miljoen mensen naar Frankrijk te bellen om
een kaartje te bemachtigen. De boel liep
hopeloos vast waaronder problemen met het
alarmnummer 112. Dat is gebrek aan
etherdiscipline.

Nu kun je bij het voetbalvoorbeeld nog
stellen dat het hier om een zeldzaam
verschijnsel gaat: wanneer bellen 20 miljoen
Europeanen naar hetzelfde nummer in
Frankrijk? Bij een calamiteit is het anders:
daar is juist routinematig veel
communicatie nodig en dat lokaliseert zich
rond de plek van de calamiteit. Je weet dus
van te voren dat je voor C2000 rekening moet
houden met plaatsgebonden piekbelasting.

Gegeven de problemen met C2000 lijkt het er
sterk op dat juist deze plaatsgebonden
piekbelasting niet of niet goed is doordacht.
Daarnaast is het bizar te noemen dat
binnenshuisdekking zo'n probleem is. In
termen van de FDA: dit lijkt me een recall
van klasse 1.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de

knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven. Hij schrijft regelmatig een
column in AG II. Hij is te bereiken via email:
x@cs.vu.nl. Deze tekst is copyright SDU. Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.