人工呼吸器に見るセーフティ・クリティカル・システム設計　――2重3重のバックアップで生命を守る

　メイン・システムは，患者の体重を基に，1回当たりの換気量と呼吸回数の推奨値を求め，これをデフォルト値としてまず動作します．その後，必要に応じて各種の動作パラメータをキーボードを用いて設定します．

　もし，メイン・システムに異常が起こった場合，サブシステムはメイン・システムの動作パラメータのデフォルト値を引き継いで動作します．体重設定の入力にロータリ・スイッチを使用したいのは，使い勝手の問題もありますが，メイン・システムの動作がどうあろうとも同じ値が読み取れるからです．もし，テンキーなどで設定するようにすると，メイン・システムがおかしくなったときはキー・スキャンも止まるため，設定した値は消えてしまいます．ロータリ・スイッチに標準ロジックICの入力側がつながっているだけなら，サブシステムからの読み込みに影響を与えません．

　サブシステムは信頼性を第一に，少ない部品点数で構成しました．吸気のセンサは接続されておらず，補助呼吸の機能は持っていません．メイン・システムがダウンしたときに，決まった周期で強制的に空気を送り込む動作だけを行います．そのため，もし切り替えが発生すると，自発呼吸がある患者にとっては急に苦しくなってしまいます（呼気のタイミングが合わないとせき込む）．

　あるとき，某所で人工呼吸器がサブシステムの動作に切り替わったという報告を受けました．このとき，全体が止まらなくてよかったと思うと同時に，患者のことを思うと自分も息苦しくなったような気がしたものです．