最も危険な時刻にテストせず
直接的な原因とは言えないが、国交省の運用体制の不備もトラブルにつながった一因だ。一つはテスト体制、もう一つはバックアップ体制の不備である。
国交省は防衛庁システム対応プログラムの変更に先立って、大阪府池田市にあるシステム開発評価・危機管理センターでテスト作業を行った。しかし国交省は、問題となった午前7時を含む24時間連続稼働のテストを実施しておらず、午前9時頃からの8時間連続稼働テストしか行わなかった。保安企画課の瀧口敬二課長は、「判断の根拠は調査中だが、十分検討した上で今回は8時間でよいという判断を下した」と話す。
NECからバグの報告を受けていなかったとしても、午前7時は「羽田に駐機していた航空機が一斉に地方へ向けて飛び立つラッシュアワー」(瀧口課長)である。障害が起きた場合の影響の大きさを考えると、少なくとも実運用に即した時間帯のテストをする必要があったはずだ。
バックアップ体制も不十分だった。FDPは、2台のメインフレームが同じ処理を同時に行い、相互に処理内容を付き合わせながらチェックする構成である。片方のハードウエアに障害が生じた場合は、もう1台がバックアップ機として稼働する。ところがソフトウエアの障害時は、それぞれで全く同じプログラムが動くため、双方に同じ障害が生じて、同時にダウンしてしまう。
大阪のテスト環境は、FDPと完全に同一のシステムなので、一応はバックアップ機にもなる。しかし、日々更新される飛行計画のデータを蓄積していないため、すぐに本稼働させることは無理だった。「生データは評価の邪魔になる。評価内容に応じてデータを入力し、テストしている」(瀧口課長)。つまり、大阪にある2台のメインフレームは事実上の「テスト専用機」なのだ。
現行のFDPは1995年9月の稼働後、同年10月と1998年1月に2回のソフトウエア障害によるダウンを経験している。障害時のバックアップ体制が不十分であることは認識していたはずで、具体的な対策を講じるべきだった。
