Therac-25 to urządzenie do radioterapii, którego zadaniem było niszczenie komórek nowotworowych za pomocą skupionych wiązek elektronów o mocy na tyle niskiej, by nie narazić pacjentów na zbyt duże dawki promieniowania. Działaniem aparatury zawiadywał komputer, który jednak nie zawsze spełniał swoje zadanie poprawnie, co doprowadziło do śmierci kilkoro pacjentów.
- Radioterapia wykorzystuje promieniowanie do niszczenia komórek rakowych
- Na początku lat 80. w Kanadzie powstało urządzenie Therac-25 do radioterapii, którym sterował komputer
- Z powodu błędów w oprogramowaniu i pominięciu zabezpieczeń, urządzenie podawało pacjentom śmiertelne dawki promieniowania
W latach 70. XX w. następował szybki rozwój nowych metod zwalczania nowotworów. Ogromne nadzieje dawała radioterapia, polegająca na wystawianiu komórek nowotworowych na działanie promieniowania. Aby jednak nie narobić więcej szkód, niż pożytku, urządzenia do radioterapii musiały dawkować odpowiednią ilość promieniowania w możliwie skupionej wiązce. Wszystko po to, by niszcząc komórki nowotworowe, nie narazić tkanek dookoła na kolejne choroby.
W drugiej połowie lat 70. Atomic Energy of Canada Limited (AECL), kanadyjska korporacja federalna odpowiedzialna za wykorzystanie energii atomowej w celach pokojowych, stworzyła wraz z francuskim GCR pierwszy aparat do radioterapii z serii Therac – Therac-6. Urządzenie to szybko doczekało się usprawnionej wersji, nazwanej Therac-20.
Obie maszyny sterowane były w sposób hybrydowy. Firma GCR stworzyła w języku Assembly oprogramowanie do komputerów PDP-11, w które wyposażone zostały aparaty. Komputery te nie miały jednak funkcji automatycznej kontroli, a jedynie pomagały operatorom w ustawieniach, które w dużej części trzeba było wykonywać za pomocą przestawiania i nastawiania mechanicznych elementów. Therac-6 i Therac-20 wyposażone były również w mechaniczne zabezpieczenia, które operator musiał własnoręcznie odblokować, by umożliwić działanie maszyny w odpowiednich trybach.
Therac-25 i zaufanie do komputera
W 1982 r. AECL przygotowało trzecią wersję urządzenia, Therac-25, o mocy do 25 MeV i znacznie mniejszych rozmiarach. Inżynierom udało się zmusić elektrony do krążenia wewnątrz zamkniętego obwodu, przez co działo elektronowe mogło ulec praktycznemu skróceniu. Podjęto także kluczową dla dalszego rozwoju wypadków decyzję, by komputer PDP-11 nie był już tylko dodatkiem do aparatury, ale w pełni nią zawiadywał. Funkcję terminala spełniały urządzenia VT-100, które przekazywały polecenia operatora do programów działających na PDP-11.
Aby to umożliwić, w Therac-25 pozbyto się mechanicznych zabezpieczeń, a odpowiednimi ustawieniami trybów i mocy zawiadywało napisane specjalnie dla tego urządzenia oprogramowanie. AECL zleciło to zadanie… jednej osobie. Opierała się ona na oprogramowaniu z dwóch poprzednich modeli, ale w związku z nowymi potrzebami, musiała dopisać wiele nowych funkcjonalności. Te zostały jedynie wstępnie przetestowane na symulatorach i wdrożone do produkcji. Therac-25 z niebezpiecznym oprogramowaniem trafił do szpitali.
Therac-25 mógł działać w trzech trybach:
- Oświetlanie pola – tryb, w którym urządzenie nie emituje nic poza światłem widzialnym. Tryb ten służył do doświetlenia pacjenta, w celu odpowiedniego ustawienia celu dla właściwej terapii.
- Bezpośrednia terapia elektronowa – wykorzystywano skupioną wiązkę elektronów o mocy do 25 MeV, które silnie działają na powierzchnię tkanek, ale szybko tracą moc wraz z głębokością. Terapię elektronową najczęściej stosuje się do guzów na powierzchni ciała lub np. nowotworów skóry.
- Terapia fotonowa – przemienia elektrony w silne promieniowanie rentgenowskie, które przenika przez skórę do głębszych tkanek. W przeciwieństwie do terapii elektronowej, nie uszkadza samej skóry.
Oprogramowanie zawiadywało szeregiem najważniejszych funkcji w maszynie, w tym:
- Włączaniem i wyłączaniem wiązki
- Ustawianiem trybów pracy
- Monitorowaniem pracy
- Podawaniem odpowiedniej dawki promieniowania z wybraną mocą
System miał też kilka koniecznych zabezpieczeń. Monitor wydarzeń wykrywał nieprawidłowości funkcjonowania sprzętu i w razie awarii odłączał zasilanie od działa elektronowego. Problemem okazał się jednak brak zabezpieczeń w razie awarii oprogramowania. Na tę ewentualność nikt się nie przygotował.
“Leczenie” dawką śmiertelną
Czerwiec 1985 r. 61-letnia Katie Yarborough zgłosiła się do Kennestone Regional Oncology Center na terapię naświetlania po wcześniejszym usunięciu guza z piersi. Zabieg został przeprowadzony za pomocą Therac-25, który w tym konkretnym centrum onkologicznym służył od sześciu miesięcy.
Aparat został nastawiony na moc 10 MeV, a pacjentka miała doświadczyć naświetlania z promieniowaniem około 200 rad. Po uruchomieniu maszyny coś było jednak nie tak. Kobieta zgłosiła technikowi, że czuje parzący ją gorąc w miejscu, w które wycelowany był Therac-25. Operator początkowo nie wierzył pacjentce, wypisując ją do domu i powtarzając test. Wszystko było w porządku.
W praktyce jednak Therac-25 skierował w stronę 61-latki śmiertelną dawkę promieniowania beta o mocy 100-krotnie wyższej, niż zakładano. Wszystko przez błąd, którego odtworzenie – jeżeli działało się zgodnie z procedurami – nie dało się odtworzyć.
Winnym okazał się system zmieniający tryb działania urządzenia. Coś, co w Therac-6 i Therac-20 wymagało ręcznego przestawiania zabezpieczeń, w Therac-25 zawiadywane było komputerem, w którego oprogramowaniu znalazł się błąd, umożliwiający działanie niejako w dwóch trybach jednocześnie, jeżeli operator zmienił je szybko tuż przed włączeniem wiązki.
Powodowało to, że wysokoprądowa wiązka elektronów generowana w trybie rentgenowskim została dostarczona do ciała pacjenta. W wyniku tego wiązka elektronów o wysokim natężeniu uderzała w tkanki około 100-krotnie większą dawką promieniowania niż zamierzona i na węższym obszarze, powodując w pierwszej kolejności bolesne oparzenia, a w dalszym czasie – chorobę popromienną.
Katie Yarborough miała jej objawy – od zawrotów głowy po wymioty. Nie zmarła jednak tuż po zabiegu, ale straciła władzę w ramieniu, a jej pierś trzeba było w całości usunąć. Pacjentka przeżyła jeszcze 5 lat, w czasie których toczyła sądowe batalie ze szpitalem i producentem Therac-25.
Sześć tragicznych wypadków
Tragiczna historia Katie Yarborough była pierwszym z aż sześciu przypadków nieprawidłowości w działaniu urządzenia do radioterapii Therac-25, które miały miejsce od czerwca 1985 do stycznia 1987 r.
Drugi wypadek miał miejsce zaledwie miesiąc po pierwszym, w centrum onkologicznym w Ontario. 40-letnia pacjentka doskonale znała tamtejszą maszynę, bowiem feralnego dnia odbywała swoją 25. już terapię z użyciem Therac-25. W pewnym momencie urządzenie weszło w tryb pauzy, a komputer wyświetlił informację o przerwaniu zabiegu. Operator rozpoczął procedurę wykasowania błędów i przywrócenia maszyny do funkcjonalności.
Po pewnym czasie pacjentka zgłosiła, że czuje dziwne mrowienie w miejscu, na które skierowana była wiązka. Okazało się, że urządzenie nie przestało działać, mimo komunikatu o zatrzymaniu. Lekarze podjęli decyzję o szybkiej hospitalizacji pacjentki, która zaczęła skarżyć się na objawy choroby popromiennej. Zmarła zaledwie 3 miesiące później, ale za powód uznano wcześniejszy nowotwór.
Trzeci wypadek to kolejna 40-letnia pacjentka, odbywająca serię naświetleń z użyciem Therac-25 w mieście Yakima w stanie Waszyngton. W jej przypadku obyło się bez śmiertelnych skutków, ale nadwyżka promieniowania spowodowała trwałe uszkodzenie tkanek skóry i rozległe oparzenie. Po nieszczęśliwym wypadku pozostały blizny.
Czwarty wypadek miał miejsce w marcu 1986 r. w Teksasie. Pacjent zgłosił się do centrum onkologicznego na dziewiąty zabieg związany ze zmianami nowotworowymi w obrębie pleców. Przepisane zostało naświetlanie z promieniowaniem 180 rad w trybie elektronowym. Operator najpierw błędnie wpisał w komputer polecenie wykorzystania trybu fotonowego i jeszcze przed zabiegiem odpowiednio przestawił polecenie. Po włączeniu promienia przyciskiem “B”, maszyna pozornie zatrzymała się i na ekranie pojawił się komunikat “Awaria 54”.
Błąd ten oznaczał, że uzyskana dawka promieniowania jest za mała lub za duża względem wcześniej zaprogramowanej. Monitor funkcji jednoznacznie wskazywał, że pacjent otrzymał za mało promieniowania. Operator wznowił działanie urządzenia przyciskiem “P”, co spowodowało kolejny komunikat o “Awarii 54”.
Technik nie wiedział, że w tym czasie maszyna już dwukrotnie uderzyła w pacjenta z maksymalną mocą i w złym trybie, wywołując oparzenia. Mężczyzna sam wstał z maszyny, podbiegając do drzwi pokoju kontrolnego i skarżąc się na okropny ból. Z czasem jego ciało zaczęło odczuwać kolejne nieprzyjemności związane z promieniowaniem. Najpierw stracił on władzę w lewym ramieniu, następnie w nogach. Zmarł pięć miesięcy po zabiegu z powodu rozległej choroby popromiennej, wywołanej bezpośrednio przez Therac-25.
Piąty wypadek miał miejsce w kwietniu 1986 r. w tym samym miejscu, co poprzedni. Ten sam był nawet technik, który nadzorował prace Therac-25 podczas czwartego wypadku. Podobnie, jak wtedy, operator znów niepoprawnie wybrał tryb działania urządzenia, co zmieniał przed samym zabiegiem. Efekt był również dokładnie taki sam. Tym razem wiązka była jednak skierowana na twarz pacjenta, która to szybko zaczęła się – dosłownie – smażyć pod działaniem elektronów. Pacjent został natychmiast hospitalizowany, ale krótko po zabiegu zapadł w śpiączkę i zmarł po trzech tygodniach.
Ostatni wypadek miał miejsce w styczniu 1987 r. w Yakimie. Znów podczas standardowej pracy urządzenie zawiesiło się, a operator wcisnął przycisk “P”, by wznowić jego działanie. Kolejny raz pacjent poczuł silny ból. Tym razem promieniowanie wyniosło około 10 tys. rad, co spowodowało powolną śmierć 3 miesiące później.
Zmiana zasad
AECL interweniowało dopiero po piątym przypadku podania nieprawidłowo dużej dawki promieniowania. Śledztwo wykazało błędy w oprogramowaniu komputera sterującego, które były już obecne w programach dla Therac-6 i Therac-20, ale nie mogły wyrządzić tam problemów ze względu na dodatkowe mechaniczne zabezpieczenia.
Bezpośrednią przyczyną problemów była “furtka” czasowa, w której program nie działał prawidłowo. Wynosiła ona około 8 sek., podczas których ustawiane były magnesy w odpowiednich pozycjach, wewnątrz aparatu. Jeżeli w tym czasie operator wydał polecenie zmiany trybu pracy, nie było ono właściwie wykonywane. Sprawiało to, że urządzenie generowało znacznie większą energię do działania w trybie fotonowym, ale wiązka działała tak, jak w trybie elektronowym, co wywoływało poważne oparzenia na skórze i wysokie napromieniowanie.
AECL uznało swój błąd, wprowadzając 20 nowych zabezpieczeń – w tym sprzętowych – do swoich urządzeń z serii Therac. W odpowiedzi na incydenty, takie jak te związane z Therac-25, stworzono normę IEC 62304, która wprowadziła standardy działania w cyklach życia oprogramowania dla urządzeń medycznych.
