Confiabilidade humana - PCS5006

2.10.06

Therac-25

O Therac-25, máquina criada pela empresa AECL (Atomic Energy of Canada Limited) para produzir radiação a ser utilizada no tratamento Radioterápico, foi desenvolvida utilizando uma tecnologia diferente da usada nas máquinas anteriores, o que fez que a máquina fosse mais compacta, versátil, e deveria também ser mais fácil de usar.
Os predecessores do Therac-25 foram o Therac-6 (que produzia raio-x apenas) e Therac-20 (que produzia feixes de eletrons e raio-x). Nessas máquinas, a funcionalidade de software era limitada, o PDP 11 (minicomputador),era apenas uma interface mais cômoda para a máquina que poderia funcionar sem ele, sendo as travas de segurança implementadas no Hardware. Já no Therac-25 as funções de segurança foram colocadas no software, a AECL utiliza as características do computador de controlar e monitorar o Hardware e decidiu não duplicar os mecanismos de segurança, desde o início o Therac-25 foi desenhado para utilizar das vantagens do computador.
Apesar desse investimento em Software, o projeto do Therac-25 teve partes inter-relacionadas e reutilizadas do Software das máquinas antigas. Porém os testes realizados aparentemente não tiveram uma grande preocupação com o Software.
A máquina trabalhava com dois tipos de tratamento: A radioterapia de feixe de Elétrons direto, que aplicava desde doses fracas 5 MeV (milhões de elétrons-volts) até doses elevadas de 25 MeV, durante um curto período de tempo;
Terapia com Raios X, que usava o feixe de 25 MeV passando por uma chapa que o convertia em Raios X.


Os acidentes aconteciam quando o feixe de alta intensidade era ativado sem o target ter sido rotacionado para seu lugar O software da maquina não detectava que isto havia acontecido e não podia detectar que o paciente estava recebendo uma dose letal de radiação, ou evitar que isso ocorresse. O feixe de alta intensidade atingindo diretamente os pacientes causava a sensação de um forte choque elétrico e a ocorrêcia de queimadura.

Entre as principais causas dos acidentes investigados pelos pesquisadores, têm-se :
  • Ausência de procedimentos de análise, projeto e verificação (teste);
  • Ausência de gerenciamento de projeto e planejamento de manutenção;
  • Negligência no projeto de interface;
  • Tratamento falho de comunicação com hardware (race condition);
  • A documentação começou a ser feita quando os acidentes foram reportados;
  • Apenas hardware foi testado inicialmente;
  • Após os acidentes, hardware e software foram testados em separado e sem nenhum planejamento a cada modificação. Apenas a modificação do software foi considerada.
  • O software do THERAC-25 era similar ao do seu predecessor, o THERAC-20. Esse software tinha erros que podiam se manifestar em certas circunstâncias. Porém, no THERAC-25, o software também foi projetado para assumir maior responsabilidade pela segurança e alguns mecanismos de proteção por hardware, usados no THERAC-20, foram removidos do novo projeto. Como resultado, em determinadas situações em que o THERAC-20 queimaria alguns fusíveis, o THERAC-25 irradiou, fatalmente, alguns pacientes;
  • O software considerava que os sensores sempre funcionavam corretamente, e não havia como verificar isto;
  • O sistema de controle não operava sincronizado com a interface usada pelo operador da máquina, e caso o operador mudasse a configuração da máquina muito rapidamente, o sistema não atribuia os valores digitados para os controles (o que levava a aplicação das doses letais). Não suportava intruções concorrentes;
  • Overflows* podiam fazer o software não executar procedimentos de segurança;
  • O dispositivo responsável por sincronizar o hardware é removido, mas o software não possui sincronismo e o software falha na tarefa de manter invariantes essenciais: o feixe de elétrons ou o feixe mais forte de radiação e a chapa se interferem na geração de raios X;

As overdoses ocorreram entre 1985 e 1987, a máquina estava em funcionamento desde 1983.

Serão citados alguns acidentes:
No primeiro, a AECL foi notificada e respondeu que nenhum problema poderia ter ocorrido. A paciente, apesar de ter desenvolvido uma vermelhidão e inchaço em volta da área do tratamento, continuou a ser submetida ao tratamento com o Therac-25, a reação foi tida como normal conseqüente do tratamento, ou de sua doença.

Outro acidente ocorreu quando a máquina se desligou após mostrar a mensagem “H-tilt”, a mensagem de “no dose” e “Treatment pause” ao operador ativá-la. Após isso o operador tentou reativá-la, mais 5 vezes, após o operador da máquina chamou um técnico que não encontrou problemas na máquina.

Com a descrição destes acidentes pode-se observar que houve falha no projeto de Software, que deveria ter sido realizado com mais cuidado, já que foi escolhido utilizar o Software para realizar os controles de segurança. No caso de optar por reuso do sistema anterior, deveriam ser realizados testes mais cuidadosos. Não houve preocupação com a usabilidade do sistema, como podemos observar pelas mensagens de erro passadas do sistema, além das mensagens supracitadas, outras mensagens de erro, como “MALFUNCTION 1 ... 64” eram demonstradas ao usuário, sem que nem ao menos no manual, houvesse maiores explicações sobre elas. Falhas do lado dos operadores e médicos também ocorreram, por desconsiderar as reclamações dos pacientes e continuar com o tratamento. A AECL deveria ter levado em consideração os contatos feitos pelos médicos e hospitais dos pacientes acidentados, realizando novos testes no Therac-25, assim que o primeiro acidente ocorreu.

Em 1987, após o 6º acidente, a FDA declara que o Therac-25 não está de acordo com a lei dos Estados Unidos da América e pede que a AECL avise seus clientes que o aparelho não deve ser utilizado para tratamento de rotina.

Referências:

http://sunnyday.mit.edu/therac-25.html
Medical Devices: The Therac-25 por Nancy Leveson

http://en.wikipedia.org/wiki/Therac_25

http://pt.wikipedia.org/wiki/Therac-25

http://www.cs.washington.edu/people/faculty/leveson.html

http://neptune.netcomp.monash.edu.au/cpe9001/assets/readings/www_uguelph_ca_~tgallagh_~tgallagh.html THERAC-25 Computerized Radiation Therapy Report by: TROY GALLAGHER

http://courses.cs.vt.edu/~cs3604/lib/Therac_25/Therac_1.html
THERAC-25 An Investigation of the Therac-25 Accidents por Clark S. Turner e Nancy Leveson

2 Comments:

  • Referências :

    LEVESON, Nancy. “An Investigation of the Therac-25 Accidents”, University of Washington e Clark S. Turner, University of California, Irvine, IEEE Computer, Vol. 26, No. 7, July 1993, pp. 18-41

    http://sunnyday.mit.edu/therac-25.html

    http://en.wikipedia.org/wiki/Therac_25

    http://pt.wikipedia.org/wiki/Therac-25

    http://www.cs.washington.edu/people/faculty/leveson.html

    http://www.cin.ufpe.br/~if668/Aulas/ICC%20-%20sistemas%20e%20complexidade.pdf#search=%22TIMELINE%20DO%20THERAC%20%22

    http://courses.cs.vt.edu/~cs3604/lib/Therac_25/Therac_1.html

    By Blogger Adilson Oliveira, at 11:09 AM  

  • Referências

    LEVESON, Nancy. “An Investigation of the Therac-25 Accidents”, University of Washington e Clark S. Turner, University of California, Irvine, IEEE Computer, Vol. 26, No. 7, July 1993, pp. 18-41

    http://sunnyday.mit.edu/therac-25.html

    http://en.wikipedia.org/wiki/Therac_25

    http://pt.wikipedia.org/wiki/Therac-25

    http://www.cs.washington.edu/people/faculty/leveson.html

    http://www.cin.ufpe.br/~if668/Aulas/ICC%20-%20sistemas%20e%20complexidade.pdf#search=%22TIMELINE%20DO%20THERAC%20%22

    http://courses.cs.vt.edu/~cs3604/lib/Therac_25/Therac_1.html

    By Blogger Adilson Oliveira, at 11:11 AM  

Postar um comentário

<< Home