Benutzer:Pjacobi/Therac-25
Therac-25 war ein Linearbeschleuniger zur Anwendung in der Strahlentherapie. Er wurde von 1982 bis 1985 in elf Exemplaren von der kanadischen Regierungsfirma Atomic Energy of Canada Limited (AECL) gebaut und in Kliniken in den USA und in Kanada installiert. Durch Softwarefehler und mangelnde Qualitätssicherung war ein schwerer Funktionsfehler möglich, der im Laufe von Juni 1985 bis 1987 drei Patienten das Leben kostete und drei weitere schwer verletzte, bevor geeignete Gegenmaßnahmen ergriffen worden.
Dies ist einer der folgenschwersten Fehler in der Geschichte der Softwareentwicklung und ein oft studiertes Lehrbeispiel für Anforderungen an Software in sicherheitsrelevanten Bereichen.
Gerät
Therac-25 ist ein Elektronen-Linearbeschleuniger, der entweder durch ein zwischengeschaltetes Wolfram-Target Röntgenstrahlen der Energie 25 MeV erzeugen kann, oder dessen Elektronenstrahl als künstliche Betastrahlung direkt therapeutisch eingesetzt werden kann. Im direkten Modus wird eine wesentliche geringere Brillanz eingestellt als im Röntgenmodus.
Die Vorgänger, Therac-6 und Therac-20, mit 6 bzw. 20. MeV Photonenenergie, waren nicht compueterisierte Konstruktionen, bei denen die Sicherheitsmassnahmen durch mechanische Verriegelung und die Überwachung der Systemfunktion durch analoge Messgeräte realisert waren. Ein Computer des Type PDP-11 und ein VT-100 Terminal wurden später allein zur Erleichterung der Bedienung hinzugefügt.
Die Neukonstruktion Therac-25 ersetzte diese durch Sensoren deren Messwerte vom Computer ausgertet werden und Aktoren die unter Softwarekontrolle die verschiedenen Einstellungen ausführten. Ein Prototyp noch ohne die Computersteuerung wird 1976 fertiggestellt, die erste Serienmaschine 1982. 1983 wurde eine Sicherheitsanalyse des Geräts durchgeführt, die das Vertrauen in die Überlegenheit der Softwarelösung ausdrückte, da Software keinem Verschleiß unterworfen sei.
Fallgeschichte
Juni 1985, Kennestone Regional Oncology Center
Das Bestrahlungsgerät war hier seit sechs Monaten im Einsatz. Bei einer Bestrahlung mit 10 MeV Elektronen beklagte die Patientin, sie sei verbrannt worden, aber an der Bestrahlungsstelle waren zu diesem Zeitpunkt keine Spuren zu sehen. Dieser Vorgang wurde nie offiziell untersucht. Die Patientin klagte später gegen den Hersteller, nachdem Arm und Schulter unbeweglich wurden und chronische Schmerzen verursachten. Die Klage wurde durch einen außergerichtlichen Vergleich beigelegt.
26. Juli 1985, Ontario Cancer Foundation
Auch war das Gerät bereits über sechs Monate im Einsatz. Oft meldete es eine Störung mit der zusätzlichen Anzeige, dass keine Strahlungsdosis appliziert wurde. In diesen Fällen wurde routinemäßig eine Taste zur Wiederholung gedrückt. Bei einer Bestrahlung der Hüfte einer Krebspatientin passierte dies am 26. Juli 1985 viermal, danach schaltete sich das Gerät mit einer anderen Fehlermeldung ab. Die Patiente gab an, ein unangenehmes Gefühl, wie bei einem Stromfluss, gespürt zu haben. In der Folge entwickelte sich eine massive Schwellung an der bestrahlten Stelle, und ein brennder Schmerz. Nachdem die Patientin an ihrer Grunderkrankung gestorben war, ergab eine Autopsie eine Zerstörung des Hüftgelenks.
Der Hersteller und die Food and Drug Administration wurden benachrichtigt und AECL äußerte die Vermutung, ein ausgefallener Mikroschalter hätte zu einer falschen Positionsbestimmung des Wolfram-Targets geführt. Die Positionsbestimmung wurde überarbeitet, so dass ein einzelner Schalterausfall durch die Redundanz des Gesamtsystems keine Folgen mehr haben würde. Im Abschlussbericht zu diesem Vorfall erklärte AECL, dadurch Fehlerrate um den Faktor 10.000 gesenkt zu haben.
Das FDA stufte den Vorfall als "Class 2 Recall" ein, was bedeutet, dass es möglich, aber sehr selten sei, dass es zu einem ernsten Schaden für den Patienten kommt.
Dezember 1985, Yakima Valley Memorial Hospital
Das Therac-25 im Yakima Valley Memorial Hospital war im September 1985 mit den obigen Änderungen versehen wurden und vom Hersteller als völlig sicher bescheinigt worden.
März 1986, East Texas Cancer Center
Der Patient verstarb nach fünf Monaten an den Folgen der Überdosis.
April 1986, East Texas Cancer Center
Der Patient verstarb nach drei Monaten an den Folgen der Überdosis.
17. Januar 1987, Yakima Valley Memorial Hospital
Der Patient verstarb nach drei Monaten an den Folgen der Überdosis.
Ursachen
Strahlenquelle
Alle Vorfälle beruhten darauf, dass der Linearbeschluniger mit der hohen Brillanz für den Röntgenmodus arbeitete, aber das Wolfram-Target nicht im Strahlengang war. Dies ist der gefährlichste mögliche Betriebszustand, der bei den Vorgängermodellen durch eine mechanische Verriegelung ausgeschlossen war. Die Strahlenbelastung in den sechs Fällen wurde nachträglich zu 4.000 bis 20.000 Rad abgeschätzt, eine normale Behandlung entspricht einer Dosis unter 100 rad.
Programmfehler
Der Computer des Therac-25 war zugleich für die Messwerterfassung und Steuerung des Geräts, als auch für die Benutzerinteraktion zuständig, durch Multitasking werden beide Aufgaben quasi-gleichzeitig erledigt. Das Kernproblem dabei ist die korrekte Synchronisation der beiden Prozesse. Diese war völlig ungenügend und funktionierte nur dann, wenn der Benutzer seine Eingaben relativ langsam macht. Nach einer gewissen Einarbeitungszeit können aber die Benutzer die Eingaben schneller machen, als der Therac-25 zwischen den verschiedenen Modi umgeschaltet werden kann. Dies führte in den meisten Fällen zu den Fehlermeldungen, denen keine Bedutung zugemessen wurde.
Softwareentwicklung
Die Software wurde von einem enzelnem Softwareentwickler geschrieben, unter Verwendung vorhandener Teile, deren Programmierer nicht mehr für die Firma arbeiteten. Der Entwickler war zugleich für Tests zuständig.
Qualitätssicherung
AECL hatte reiche Erfahrung mit Sicherheitsabschätzungen und die notwendigen Analysen wurden mit gegebener Sorgfalt durchgeführt. Sie ignorierten aber völlig, dass Software fehlerhaft sein kann. Als mögliche Fehlerbedingungen die das Computersystem berührten, wurden lediglich Hardwareausfälle und die Verfälschung des Hauptspeichers durch Alphastrahlen berücksichtigt.
Korrekturmaßnahmen
AECL, und teilweise das FDA, unterschätzen anfangs die Bedeutung der Vorfälle und die Anwender wurden mangelhaft informiert. Die Verantwortlichen für die Untersuchung und Bewertung der Vorfälle, hatten zu lange die Software als Fehlerquelle a priori ausgeschlossen. Die Korrekturmaßnahmen nach den ersten beiden Vorfällen wurden implemtiert für wirksam gehalten, ohne einen kausalen Zusammenhang nachweisen zu können.
