Therac-25

Elke Kleiber Juli 13, 2016 T 0 0
FONT SIZE:
fontsize_dec
fontsize_inc

Die Therac-25 war ein von Atomic Energy of Canada Limited nach den Therac-6 und Therac-20 Einheiten produziert Strahlentherapiegerät.

Es wurde mindestens sechs Unfälle zwischen 1985 und 1987, in denen Patienten wurden massiven Überdosis der Strahlung gegeben beteiligt. Wegen der gleichzeitigen Programmfehler, es gab manchmal seine Patienten Strahlendosen, die tausend Mal höher als normal waren, was zu schweren oder tödlichen Verletzungen. Diese Unfälle hob die Gefahren von Software-Steuerung von sicherheitskritischen Systemen, und sie haben ein Standard-Fallstudie in Gesundheitsinformatik und Softwaretechnik zu werden.

Design

Die Maschine bietet zwei Modi der Strahlentherapie:

  • Direkte Elektronenstrahltherapie, die niedrige Dosen von Elektronen mit hoher Energie über kurze Zeitperioden zugeführt wird;
  • Megavolt Röntgentherapie, die Röntgenstrahlen durch die Kollision mit energiereichen Elektronen zu einem "Ziel" Produkten hergestellt.

Beim Betrieb im direkten Elektronenstrahltherapie-Modus wurde ein Low-Power-Elektronenstrahl direkt von der Maschine emittierte An sicheren Konzentration unter Verwendung von Scan-Magneten zu verbreiten. Beim Betrieb im Megavolt-Röntgenmodus wurde die Maschine entwickelt, um vier Komponenten in die Bahn des Elektronenstrahls zu drehen: ein Target, das den Elektronenstrahl in Röntgenstrahlen umgewandelt; ein Ausgleichsfilter, das den Strahl über eine größere Fläche verteilt; ein Satz von beweglichen Blöcken, die den Röntgenstrahl geformt ist; und eine Röntgen-Ionenkammer, die die Stärke des Strahls gemessen.

Problembeschreibung

Die Unfälle ereigneten sich, wenn die Hochleistungselektronenstrahl anstelle des beabsichtigten Strahl mit niedriger Leistung aktiviert ist, und ohne die Strahlausbreitungsplatte in Position gedreht. Frühere Modelle hatten Hardware Verriegelungen in Ort, um dies zu verhindern, aber Therac-25 hatte sie entfernt wird, je stattdessen auf Software-Verriegelungen für die Sicherheit. Die Software Verriegelung konnte aufgrund einer Race-Bedingung nicht. Der Defekt war wie folgt: ein Ein-Byte-Zähler in einer Prüfroutine häufig überschwemmt; wenn ein Bediener zur Verfügung gestellt manuelle Eingabe an die Maschine genau in dem Moment, dass dieser Zähler übergelaufen wäre die Verriegelung scheitern.

Der Hochleistungs-Elektronenstrahl getroffen, die Patienten mit etwa 100-fachen der vorgesehenen Dosis von Strahlung und liefert eine potentiell lethale Dosis von Beta-Strahlung. Das Gefühl wurde von Patienten Ray Cox als "einer intensiven elektrischen Schlag" beschrieben, was ihm zu schreien und aus dem Behandlungsraum geführt. Einige Tage später erschien Strahlungsverbrennungen und die Patienten zeigten die Symptome der Strahlenkrankheit; in drei Fällen, später starb die verletzten Patienten als Folge der Überdosierung.

Ursachen

Eine Kommission festgestellt, dass der Hauptgrund, sollte auf die schlechte Software-Design und Entwicklung Praktiken nicht ausdrücklich auf mehrere Codierungsfehler, die gefunden wurden zugeschrieben werden, und. Insbesondere wurde die Software so gestaltet, dass es realistisch unmöglich, sie in einer sauberen automatisierte Möglichkeit zu testen.

Forscher, die die Untersuchung von Unfällen fand mehrere Ursachen beitragen. Dazu gehörten die folgenden institutionellen Ursachen:

  • AECL nicht über die Software-Code unabhängig überprüft.
  • AECL nicht das Design der Software prüfen, während ihrer Einschätzung, wie die Maschine könnte die gewünschten Ergebnisse und welche Fehlerarten existierten zu produzieren. Diese bilden Teile der allgemeinen Techniken wie Zuverlässigkeit Modellierung und Risikomanagement bekannt.
  • Das System bemerkt, dass etwas falsch war und stoppte die Röntgenstrahl, sondern lediglich das Wort "Störung", gefolgt von einer Zahl von 1 bis 64. Die Bedienungsanleitung nicht erklären, oder sogar zu adressieren die Fehlercodes angezeigt wird, so dass der Bediener drückte den P-Taste, um die Warnung zu überschreiben und gehen trotzdem.
  • AECL Personal sowie Maschinenbediener, zunächst nicht glauben, Beschwerden. Dies war wahrscheinlich auf Selbstüberschätzung.
  • AECL nie getestet Therac-25 mit der Kombination aus Software und Hardware, bis er am Krankenhaus montiert.

Die Forscher fanden auch mehrere technische Fragen:

  • Das Versagen trat nur, wenn eine bestimmte Nicht-Standard-Tastenfolge auf der VT-100-Terminal, der die PDP-11 Computer gesteuert eingegeben: ein "X" auf 25 MeV Photonenmodus gefolgt von "Cursor nach oben" zu wählen, "E" bis 25 wählen MeV Electron-Modus, dann "Enter", die alle innerhalb von acht Sekunden. Diese Sequenz von Tastenanschlägen war unwahrscheinlich, und so trat das Problem nicht sehr häufig auftreten und unbemerkt für eine lange Zeit.
  • Das Design hatte keine Hardware-Verriegelungen, um die Elektronenstrahlbetrieb in ihrem Hochenergie-Modus, ohne die Ziel anstelle verhindern.
  • Der Ingenieur hatte Software von älteren Modellen wiederverwendet. Diese Modelle hatten Hardware Verriegelungen, die ihre Software-Fehler maskiert. Jene Hardware Sicherungen hatte keine Möglichkeit, die angeben, ausgelöst wurde, so dass es keine Anzeichen für das Auftreten von fehlerhaften Softwarebefehle.
  • Die Hardware zur Verfügung gestellt keine Möglichkeit für die Software zu überprüfen, dass Sensoren wurden ordnungsgemäß funktioniert. Der Tisch-Position-System war das erste in der Therac-25 Ausfälle verwickelt; der Hersteller überarbeitet sie mit redundanten Switches, um Cross-Check deren Betrieb.
  • Die Ausrüstung Steuerungsaufgabe nicht richtig synchronisiert mit der Bedienerschnittaufgabe, so dass die Rennbedingungen eingetreten, wenn der Betreiber zu schnell verändert das Setup. Dies wurde während der Tests verfehlt, denn es dauerte einige Übung, bevor Betreiber konnten, schnell zu arbeiten genug, um diese Fehlermodus auszulösen.
  • Die Software ein Flag-Variable durch Erhöhen sie, anstatt, indem sie auf einem festen Wert ungleich Null. Gelegentlich ein arithmetischer Überlauf, wodurch das Flag auf Null und der Software zurück, um Sicherheitskontrollen zu umgehen.

Die Software wurde in Assembler, die mehr Aufmerksamkeit für die Prüfung und gutes Design erfordern könnten geschrieben. Doch die Wahl der Sprache an sich ist nicht als primäre Ursache in dem Bericht aufgeführt. Die Maschine verwendet einen eigenen Betriebssystems.

Leveson stellt fest, dass eine Lehre zu ziehen, aus dem Vorfall ist, nicht davon ausgehen, dass wiederverwendet Software ist sicher: "Eine naive Annahme wird oft gemacht, dass die Wiederverwendung von Software oder Commercial off-the-shelf-Software wird die Sicherheit zu erhöhen, weil die Software ausgeübte umfangreich. Die Wiederverwendung Softwaremodule nicht garantieren Sicherheit im neuen System, an das sie auf Vorfälle wie die mit Therac-25, dem IEC 62304-Standard, der Zyklus der Entwicklung von Standards für die Lebens medizinischen Geräte-Software und führt verbunden sind, übertragen werden ... "Als Antwort spezifische Leitlinien zur Verwendung von Software von unbekannten Stammbaum wurde erstellt.

  Like 0   Dislike 0
Vorherige Artikel Xine
Nächster Artikel Yasemin Dalkilic
Bemerkungen (0)
Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha