5-problemas con software en aceleradores
DESCRIPTION
Problemas con software acelerado.TRANSCRIPT
-
1DOM07/PP, lp
Exposicin Accidental en unAcelerador Lineal Debido a un
Error de Software
ExposicinExposicin Accidental en Accidental en ununAceleradorAcelerador Lineal Lineal DebidoDebido a a unun
Error de SoftwareError de Software
Exposiciones mdicas accidentales
-
DOM07/PP, lp 2
Exposiciones Accidentales Exposiciones Accidentales en en un un TheracTherac--2525
Hay seis exposiciones accidentales separadasconocidas que han ocurrido con el Therac-25: 3 Junio 1985, Marietta, Georgia, USA:
sobredosis a paciente 26 Junio 1985, Hamilton, Ontario,
Canada: paciente con quemadurasseveras, muri, Noviembre 1985
Diciembre 1985, Yakima, Washington, USA: sobredosis a paciente
21 Marzo 1986, Tyler, Texas, USA: paciente muri ms tarde
11 Abril 1986, Tyler, Texas, USA: paciente muri un mes despus
17 January 1987, Yakima, Washington, USA: sobredosis a paciente
http://courses.cs.vt.edu/~cs3604/lib/Therac_25/Therac_1.html
-
DOM07/PP, lp 3
AceleradorAcelerador LinealLineal TheracTherac--2525 Fabricado por AECL (Canada).
Modificacin de aceleradores desarrollados anteriormente en colaboracin con CGR (Francia) Therac-6 y Therac-20, ambos rediseos de modelos ms viejos de
aceleradores fabricados por CGR, Neptune y Sagittaire
Igual que mquinas Therac anteriores, el Therac-25 era controlado por un computadora cuya operacinera controlada por un minicomputador PDP-11 El software estaba escrito en lenguaje ensamblador
(assembly language) 11 aceleradores Therac-25 haban sido instalados en
los EEUU y Canad
-
DOM07/PP, lp 4
Diseo Diseo de la de la Plataforma Plataforma GiratoriaGiratoria,, TheracTherac--2525
Produca haces de rayos-x de 25 MV y haces deelectrones de 5 a 25 MeV
Para haz de fotones la plataforma rotatoriagiraba colocando elblanco y el filtroaplanador en el haz
Para electrones, la plataforma giraba hastacolocar el imn de barrido en el haz
La corriente paraproducir haz de fotonesera ~100x la corrientepara haz de electrones
blanco
Filtro Aplanador
Imn de barrido de electrones
Espejo para campo luminoso
Embolo Posicionador activadores de interruptor
Ensamblaje de interruptor
-
DOM07/PP, lp 5
CaractersticasCaractersticas de de loslos AccidentesAccidentes Los pacientes deban recibir tratamiento con haz de fotones o
con electrones El acelerador, programado para tratar con fotones fall en
colocar el blanco y el aplanador dejando pasar electrones El acelerador funcion mal poco despus del disparo (beam
on), reportando un cdigo de anomala en la consola. Los mensajes eran en cdigos irreconocibles por el operadorcomo indicadores de algn error serio
En varios casos el operador repiti el disparo una o msveces
Despus del tratamiento los pacientes se quejaron de habertenido sensaciones de quemadura, algunas vecesacompaada de una sensacin de choque elctrico
En cada caso el paciente recibi dosis entre 40 y 250 Gy en un breve perodo de exposicin (1-3 segundos)
-
DOM07/PP, lp 6
Detalles del AccidenteDetalles del Accidente, Marietta, Marietta((sitio del sitio del primer primer accidenteaccidente))
El fsico sospechando un mal funcionamiento contact el fabricante: Pregunt si el acelerador podra dejar pasar electrones sin
que los imanes de barrido operaran El fabricante asegur que esto era imposible El fsico no report esta mala administracin La funcin de impresin del acelerador estaba
desconectada y no grab ningn archivo permanente deltratamiento
El fabricante no document el problema, no describi elevento a los otros usuarios o a la Agencia de Alimentos y Medicinas (FDA), no se tom ninguna accin posterior
-
DOM07/PP, lp 7
Detalles del AccidenteDetalles del Accidente, , Hamilton, OntarioHamilton, Ontario
En el momento de la administracin accidental en Hamilton, Ontario, la consola indicaba un mensaje pausa en tratamiento, y permita que el operador continuarasimplemente presionando un botn
El acelerador permiti esto cinco veces antes quesuspendiera el tratamiento y requiriera un comando de puesta a cero (reset)
El ingeniero de servicio fu llamado pero no hall nada anmalo
El operador report los mensajes de pausa y mal funcionamiento eran tan frecuentes que ya no les ponaatencin
El mensaje mal funcionamiento simplemente reportaba uncdigo numrico para el cual ni el manual de operacin ni elde mantenimiento daban explicacin
-
DOM07/PP, lp 8
Detalles del AccidenteDetalles del Accidente,,Tyler, TexasTyler, Texas
El paciente deba recibir 180 cGy, en la espalda con electrones de 22 MeV El operador conoca muy bien la consola del acelerador y digitaba
instrucciones rpida y eficientemente Ella not que haba seleccionado por error x para rayos-x enlugar de e
para electrones, y movi el cursor para corregir el error Entonces presion la tecla de retorno varias veces para bajar hasta el
extremo inferior de la pantalla, luego presion b (beam on) para producirhaz
Despus de un momento la consola indicaba Malfunction 54 y treatment pause
Slo 6 unidades monitoras aparecan como aplicadas de 202 programadas y la operadora presion p para proceder
El acelerador se apag Para entonces el paciente se haba levantado de la camilla y estaba
golpeando la puerta de la sala de tratamiento para salirse
-
DOM07/PP, lp 9
Tyler, Texas (cont.)Tyler, Texas (cont.) El radio-onclogo examin al paciente y concluy que haba
recibido un electrochoque El fsico investig pero no encontr nada raro en la operacin
del acelerador El personal de mantenimiento de la compaa fue llamado
pero no se encontr ningn problema. Cuando se le preguntdijo que no haba ningn reporte de accidentes con sobre-exposicin
Despus de un segundo evento, tres semanas ms tarde, elfsico contact de nuevo al fabricante para reportar elproblema
El fsico y el operador investigaron y finalmente pudieronreconstruir la secuencia
El fabricante no pudo reproducir la falla hasta que el fsico le explic las rdenes que tena que digitar rpidamente
-
DOM07/PP, lp 10
InvestigacinInvestigacin en Tyleren Tyler Se demostr que la falla era permitida por el diseo de
software operativo del computador PDP-11 que controlaba el acelerador: Una subrutina monitoreaba la entrada de parmetros de tratamiento,
incluyendo modalidad, nerga, apertura de colimadores, etc. Cuandotodos los datos estaban completos y el cursor retornaba a la lineainferior apareca un mensaje Una vez apareca el mensaje indicando que todos los parmetros estaban
completos, si se cambiaba algn dato y el cursor regresaba rpidamente a la linea inferior, la subrutina no detectaba que se hubiera hecho algncambio
Otra subrutina controlaba la posicin de la plataforma giratoria de acuerdo a la modalidad escogida En Tyler el operador pudo cambiar la modalidad de x a e, activando la
rotacin de la plataforma sin que se ajustara la corriente de electrones o losimanes de barrido
-
DOM07/PP, lp 11
DeterminacinDeterminacin de de DosisDosis a a PacientesPacientes
Debido a lo elevado de la corriente de haz y a la ausencia de efecto de barrido la fluencia de electrones fu extremadamente alta
Medidas hechas por el fsico de Tyler inicialmente reportaron dosis de ~8 Gy El fsico descubri despus que la correccin por
recombinacin inica de su cmara tena un error grande y que la dosis corregida era de ~40Gy
El fabricante determin una dosis de 250Gy
-
DOM07/PP, lp 12
SumarioSumario de de CausasCausas deldelAccidenteAccidente
El fabricante recicl software de un acelerador de modelo antiguo a un nuevo modelo: El modelo anterior funcionaba de forma diferente y el
software no era 100% adecuado La seguridad del modelo ms nuevo dependa enteramente
en el software, mientras que el ms antiguo tena enclavamientos mecnicos y elctricos La seguridad del sistema ms nuevo no fu evaluada en conjunto,
slo se evalu el software
-
DOM07/PP, lp 13
SumarioSumario de de CausasCausas deldelAccidenteAccidente
El fabricante no tena mecanismos para investigar yreportar accidentes: Despus del primer accidente, el fabricante se rehus a
creer que el equipo haba fallado Ni la Administracin de Alimentos y Medicamentos (FDA)
ni los usuarios fueron notificados
-
DOM07/PP, lp 14
Lecciones Lecciones a a AprenderAprender: : FabricanteFabricante Operaciones controladas por computadora
requieren pruebas de ensayo exhaustivas Debe simularse condiciones extremas poco
usuales La evaluacin de errores no puede limitarse a
slo investigar el error reportado sino que debeser comprensiva
Todos los reportes de mal funcionamiento o de operacin anormal deben investigarseexhaustivamente
Otros usuarios de equipo similar deben seralertados cada vez que uno de los usuariosreporte una falla
-
DOM07/PP, lp 15
LeccionesLecciones aa AprenderAprender: : Departamento Departamento de de RadioterapiaRadioterapia
Mantener nmero adecuado de personal de fsicamdica
Asegurarse que todo el personal est entrenadoadecuadamente en la operacin de los equipos
Investigar todos los reportes de operacionesanmalas
Incluir en el programa de Garanta de Calidad: Procedimientos para la revisin peridica de los equipos
de tratamiento Revisar los procedimientos para reportar eventos no
esperados