תיאור המערכת ואופן השימוש הנורמלי בה
מכשיר לרדיותרפיה, הופעל בשני מודים, לישום שתי שיטות הקרנה: הקרנת אלקטרונים ורנטגן. מוד הטיפול השכיח היה ככל הנראה ברנטגן, והקרנת אלקטרונים בוצעה לעתים רחוקות יותר.
במהלך הזנת הנתונים לפעילות מכשיר הרנטגן המפעיל נדרש לבחור את סוג הקרינה, ומספר נתונים נוספים. בזמן הזנת הנתונים למשב ששולט במכונת הקרינה נדרש ללחוץ על
e להקרנת אלקטרונים ו x להקרנת רנטגן. ככל הנראה, המפעילים היו מורגלים ללחוץ על ה-X, ולכן מדי פעם לחצו על מקש זה גם כאשר התכוונו ללחוץ על e. בשגרה, המכונה יצרה כ-40 הודעות שגיאה ביום, רובן בלתי מובנות למפעילים.בהקרנת אלקטרונים, המכונה הקרינה ישירות בעוצמה נמוכה ומערכת של מגנטים פיזרה את הקרן לקרינה בטוחה. בהקרנת רנטגן, המכונה הקרינה אלקטרונים בעוצמה גבוהה. ויחידה מיוחדת המירה את קרינת האלקטרונים לקרינת רנטגן בעוצמה נמוכה יותר.
תהליך הסינכרון בהחלפת שני המודים נמשך כ-8 שניות, במהלכן המערכת התאימה את התווך לסוג הקרינה. המערכת לא סיפקה חיווי המודיע על סיום תהליך הסינכרון, אבל סיפקה הודעת שגיאה במקרה של כשל בסינכרון.
תיאור אירוע הכשל
מתוך הרגל, המפעילה לחצה על המקש
x אך שמה לב לטעות ומיד תיקנה ל e. ככל הנראה, לא היתה זו הפעם הראשונה בה היא נדרשה לתקן טעות זו, ולכן היא היתה מיומנת בפעולת תיקון הטעות. תהליך התיקון והפעלת ההקרנה נעשה במהירות, עוד לפני שתהליך הסינכרון הסתיים. כתוצאה מכך, המערכת הקרינה קרן אלקטרונים, בעוצמה גבוהה פי 100 מהעוצמה התקנית.בתום ההקרנה הטכנאית המערכת הפיקה הודעת שגיאה בלתי מוכרת, גרמה למפעילה להאמין שההקרנה לא בוצעה. בגלל תקלה התקשורת בין חדר הטיפולים לחדר הפיקוד, המפעילה לא יכלה לדעת שההקרנה בוצעה הלכה למעשה. לפיכך, היא חזרה שנית על פעולת ההקרנה, ושוב קיבלת את החיווי הבלתי מובן, ושוב חזרה על פעולת ההקרנה בשלישית.
בפועל הוקרנה קרינה חזקה לחולה והוא סבל מכוויות רבות וממנת קרינה קטלנית. בפעם השלישית שהחולה הוקרן בקרינה חזקה הוא נמלט מהחדר. הטכנאית קראה לרופא מוסמך שיבדוק את המכשיר אך לא נתגלו בו בעיות.
ניתוח הכשל
בעיית התכן העיקרית היתה העדר מנגנון לאבטחת סינכרון בין חלק המערכת, בהתאם למוד הפעולה.
בעייה משנית היתה של חוסר מודעות לסיכונים של תפעול המערכת במצב של תקלת משוב לגבי הצלחת הטיפול.
נזקים
החולה נפטר כארבעה חודשים לאחר המקרה. ידוע על לפחות חמישה מקרים דומים של פציעה או מוות כתוצאה מטעות זו.
תהליך הפקת הלקחים
לאחר שאותו המקרה חזר על עצמו לאחר שלושה שבועות החליטו לקרוא לחברה המייצרת על מנת שיבחנו את המכשיר. לאחר שקראו לחברה גילו שהבעיה חזרה על עצמה בעוד מספר בתי חולים במדינה.
http://en.wikipedia.org/wiki/Therac-25
N. Leveson - http://sunnyday.mit.edu/papers/therac.pdf
A. M. Porrello -http://users.csc.calpoly.edu/~jdalbey/SWE/Papers/THERAC25.html
S. Casey - Set Phasers on Stun: And Other True Tales of Design, Technology, and Human Error, פרק Set Phasers on Stun.
http://computingcases.org/case_materials/therac/case_history/Case%20History.html
אירועי הכשל
תרחיש\ פעילות |
אילוץ התפעול |
גורם הכשל |
תגובה בפועל |
תגובה ע"פ תכן לחסינות |
ההנחיה במדריך |
|
| 1 | תרחיש הקרנת אלקטרונים | אינטרלוק בתוכנה | במצב קצה, האינטרלוק לא עבד | קרן אלקטרונים בעוצמה פי 100 מהמתוכנן | התנית ההקרנה בהתאמה לתנאי התרחיש |
שכבה 2 - מניעה: התרחיש המפורש |
| אבטחת תיאום בין מכלולים |
אבטחת תיאום בין מכלולים |
|||||
| אזהרות בפני חריגות |
אזהרות
בפני חריגות |
|||||
| 2 | בקרת מפעיל | המפעיל צריך לראות אל המטופל בשעת ההקרנה, באמצעות מצלמת וידאו | המצלמה לא פעלה | המפעילה לא ראתה את האפקט הדרמאטי על המטופל | צריך למנוע הקרנה במצב תקלה |
תכן
האינטראקציה: אבטחת התמצאות |
| 3 | החלטה לגבי הצלחת ההקרנה | משוב ברור למפעיל לגבי הצלחה או כישלון של ההקרנה | המפעילה לא הבינה את משמעות הודעת השגיאה, שהיתה בקוד בלתי מוכר, ופירשה אותה כהודעה על כשלון בהקרנה | המפעילה חזרה על פעולת ההקרנה | יש לספק למפעיל הודעה ברורה לגבי מצב התפעול, ולגבי הצלחה או כשלון. |
תכן
האינטראקציה: אבטחת התמצאות |
| 4 | אבחון התקלה | המערכת צריכה לדווח על מצבים חריגים, לצורך איבחון התקלה | בהמשך התפעול, המכונה יצאה ממצב הקצה בו האינטרלוק לא פעל, ולא ניתן היה לאבחן את המצב החריג | לא היה דיווח על המצב החריג | הודעה ליצרן על איבחון המצב החריג |
שכבה 7 - ניהול
החסינות |
תיאור מצבי המערכת ומצב הכשל
התוצאה
