Therac 25

Antecedentes La Therac-25 es una

mquina de radioterapia producida
por la Atomic Energy of Canada
Limited (AECL). La mquina era
usada como mquina de terapia que
tena como objetivo eliminar
tumores usando radiacin.
Fueron instaladas 5 en estados
unidos y 6 en Canad. Las
diferencias con el therac 20 son que
usaba doble tcnica de contrasea,
era responsivo por seguridad, se
removi las interrupciones de
hardware por seguridad, menos
espacio y ms econmico.
Esta mquina estuvo envuelta en al
menos 6 accidentes entre los aos
de 1985 y 1987, en los cuales los

pacientes recibieron una sobredosis

de radiacin (100 veces la dosis
esperada). Tres de los pacientes
murieron. Estos accidentes
remarcaron los riesgos del control
por software de sistemas de
seguridad crtica, y estos se
convirtieron en un caso de estudio
tpico de la informtica mdica y la
ingeniera de software, considerado
el ms serio accidente relacionado
con la computadora registrado en la
fecha.
Modos de uso del Therac 25.
La mquina tena 2 modos de
terapia.
Terapia de haz de electrones
directo (entregaba bajas dosis de
electrones de alta energa)

Rayos X de mega voltaje.

(Colisionando electrones de alta
energa)
En el primer modo la pistola no
necesitaba el recubrimiento. Mientras
que en el modo de rayos x si pues
emita muy alta energa. En cada uno
de los modos los imanes flexibles
necesitaban ser acomodados antes de
disparar.

Figura: Grafico de los componentes del

Therac-25
http://www.computingcases.org/case_m
aterials/therac/analysis/SocioTechnical_
Analysis.html
1) Haz de electrones: En este modo
un haz de electrones de baja
potencia era emitido
directamente, era controlado por
unos escneres de magneto para
ofrecer una concentracin segura.

Figura del modo haz de electrones.

http://radonc.wdfiles.com/local-files/radiation-accidenttherac25/Therac25.png
2)
Rayos x: Emita rayos x de
manera controlada

Figura de modo rayos x.

http://radonc.wdfiles.com/local-files/radiation-accidenttherac25/Therac25.png

Cuando operaba este modo pasaba por

4 etapas en los cuales usa 4 diferentes
componentes.
Un objetivo: converta el haz de
electrones en rayos x.

Figura: objetivo
http://mantenimientocar.blogspot.co
m/
Un Filtro difusor: Reparta el haz en
un rea ms amplia

Figura: filtro difusor.

http://es.aliexpress.com/item/B39Newest-58mm-950nm-InfraredInfra-Red-IR-Filter-Pass-X-Ray-58mm-DSLRCamera/32397931280.html
Un juego de bloques movibles
(colimador). Daba forma al haz de
rayos x.

Figura: colimador
http://www.guiadelaindustria.com/pr
oducto/colimadores-de-rayosx/12523/1010
Una cmara de iones de rayos x.
Meda el poder del haz.

Figura: cmara de ionizacin

http://slideplayer.es/slide/1109673/

Figura: Elementos de rayos x

http://radonc.wdfiles.com/local-files/radiation-accidenttherac25/Therac25.png
Grafico resumen del uso del therac.
Accidentes:
Los accidentes ocurrieron cuando el
haz de electrones de alta energa
era activado en lugar del haz de
baja energa y sin la placa difusora
colocada en su lugar; pero la
mquina no poda detectarlo. Esto
haca que el paciente reciba dosis

letales de radiacin,
aproximadamente 100 veces ms la
radiacin esperada. Los pacientes
sentan como si una gran descarga
elctrica hubiese cado en sus
cuerpos, y luego de esta exposicin
se encontraron lecciones
radioactivas graves. Se determin
que la falla fue una condicin de
carrera.
Los accidentes registrados fueron los
siguientes:

3 de Junio 1985 La paciente en

Marietta GA recibi una sobredosis.

26 de Julio de 1985 El paciente

en Hamilton ONT fue quemado
severamente, muri en noviembre
de 1985.

Diciembre de 1985 El paciente

en Yakima Wa recibi sobre dosis.


21 de Marzo de 1986 Accidente
en la ciudad de Tyler en Texas.

11 de Abril de 1986 Segundo

accidente en la ciudad de Tyler en
Texas.

17 de Enero de 1987 Segundo

accidente en la Yakima WA.
Cada uno de los casos recibi las
siguientes respuestas en el orden que
se presenta:

3 de Junio de 1985 Marietta GA.

No reconoci el caso de sobre dosis
hasta que ocurri el accidente en
Tyler.

26 de Julio de 1985 Hamilton

ONT El paciente no alert de
sobredosis y ninguna sospecha de
sobredosis hasta que el paciente
regres sospechando de
malfuncionamiento del interruptor.


Diciembre de 1985 Yakima Wa.
No se alert sobre dosis hasta el
segundo incidente.

21 de Marzo de 1986 Tyler TX.

Malfuncionamiento 54 (operacin
anulada) que causa una oleada
elctrica.

11 de Abril de 1986 Tyler TX.

Pareca ser un error de edicin,
interruptor arriba y la llave
deshabilitada.

17 de Enero de 1987. Yakima Wa.

Todo el sistema se cae, una
completa investigacin y trabajo
desde el principio.
Causas del error.
La comisin investigadora concluy que
la causa primaria fue la mala practicad
de desarrollo, un mal anlisis de
requerimientos y un mal diseo de

software. Adems de que como fue

programado el sistema era imposible
testearlo de manera automtica.
Causas Institucionales.
AECL no tena cdigo fuente
revisado
AECL no consider como evaluara
la mquina los resultados correctos
y los posibles fallos. Parte de una
tcnica conocida como ingeniera de
confiabilidad y de gestin de
riesgos.
Exista una notificacin de error con
un cdigo; pero no se especificaba
en el manual a que se deba el error.
Por lo que el operador solo ignoraba
la advertencia.
Exista sobre confianza de la
mquina que se ignoraba las quejas
de los pacientes.

 AECL no prob la mquina con la

combinacin Software y Hardware
antes de montarla.
Problemas de ingeniera:
El problema ocurra con una
secuencia particular de teclas: La x
(error) seleccionando el modo de
fotones de 25MV, seguido del cursor
arriba, la E (correcto) seleccionaba
el modo de electrones de 25MeV, y
Enter.
No exista entrelazado de hardware
que previniera que el haz de
electrones operase en el modo de
rayos x sin el objetivo en su lugar.
Se reutiliz software de versiones
anteriores, y el dispositivo de
seguridad no reportaban el rayo que
se estaba disparando.

 El software no poda consultar al

Hardware si los sensores estaban
funcionando correctamente.
La tarea del equipamiento de
control no se sincronizaba de
manera adecuada con la tarea de la
interfaz de operador, por ello
ocurran condiciones de carrera si el
operador cambiaba la configuracin
demasiado rpido.
El programa estableca una variable
bandera incrementndola.
Ocasionalmente ocurra un
desbordamiento aritmtico,
causando que el software ignorara
los chequeos de seguridad.
El programa estaba escrito en lenguaje ensamblador, que puede requerir ms
atencin en las pruebas y en el buen diseo. No obstante, la eleccin del lenguaje por
si misma no fue considerado como una causa primaria en el informe. La mquina
adems usaba su propio sistema operativo.
El software lo diseo una sola persona.

http://www.powershow.com/view1/1
bdae3ZDc1Z/THERAC_25_powerpoint_ppt_
presentation
http://www.powershow.com/view/18
0d15NmM5O/Therac_25_Incident_powerp
oint_ppt_presentation
https://es.wikipedia.org/wiki/Therac25
https://es.wikipedia.org/wiki/Condici
%C3%B3n_de_carrera
https://es.wikipedia.org/wiki/Desbor
damiento_aritm%C3%A9tico

https://es.wikipedia.org/wiki/Desbor
damiento_aritm%C3%A9tico