Accueil🇫🇷Chercher

Therac-25

Therac-25 était le nom d'une machine de radiothérapie développée conjointement par l'Énergie atomique du Canada Limitée (EACL, Canada) et CGR MeV (France). Il s'agissait d'une évolution des modèles Therac-6 et Therac-20.

Entre 1985 et 1987, le Therac-25 fut impliqué dans au moins six accidents durant lesquels des patients reçurent des doses massives de radiation, parfois de l'ordre de plusieurs centaines de grays. Au moins cinq patients décédèrent des suites de l'irradiation.

La cause directe du dysfonctionnement était d'ordre informatique. La machine est depuis souvent citée dans les documents qui traitent de la sécurité et de la validité des logiciels destinés à des applications sensibles où la vie peut être mise en danger.

Description de la machine

Le premier prototype fut produit en 1976. La version commerciale, contrôlée par un ordinateur PDP-11 et à l'origine des accidents, fut disponible dès 1982. Elle fonctionnait selon deux modes de traitement :

  • thĂ©rapie basĂ©e sur un faisceau concentrĂ© d'Ă©lectrons avec une Ă©nergie comprise entre 5 et 25 MeV durant de courtes pĂ©riodes ;
  • thĂ©rapie aux rayons X obtenus Ă  partir du flux d'Ă©lectrons (25 MeV) qui Ă©tait converti grâce Ă  un dispositif nommĂ© la « cible » (voir l'article Tube de Coolidge).

Lorsqu'il travaillait dans le premier mode, le Therac-25 émettait un faisceau d'électrons dont l'intensité était réglée par des aimants. Dans le mode rayons X, trois composants se mettaient en rotation pour intercepter le flux d'électrons et modifier son intensité et sa forme. La cible convertissait les électrons en rayons X, un filtre générait une intensité uniforme et finalement un ensemble de blocs mobiles (le collimateur) focalisait les rayons. L'intensité du rayonnement était mesurée grâce à une chambre d'ionisation.

Accidents

Les accidents se produisaient quand le faisceau d'électrons était activé sans que la cible soit correctement mise en place. Le logiciel qui pilotait le Therac-25 ne détectait pas ce mauvais fonctionnement qui engendrait une irradiation massive et potentiellement mortelle pour le patient. Celui-ci recevait directement le faisceau d'électrons qui, avec sa très forte énergie, produisait des brûlures thermiques et radioactives ainsi qu'une sensation proche d'un intense choc électrique. Plusieurs personnes qui furent exposées allaient décéder par la suite.

Incident de juin 1985

Le , à Marietta, Georgie, une femme de 61 ans atteinte d'un cancer du sein commença un traitement avec le Therac-25[1]. La machine était en fonctionnement depuis six mois et n'avait pas posé de problèmes. Les opérateurs dirigèrent le faisceau de 10 MeV vers la clavicule de la patiente. Celle-ci ressentit alors une intense chaleur.

Peu après le traitement, la patiente souffrit de douleurs dans la région irradiée. Celles-ci furent imputées au traitement par radiothérapie. Mais la peau commençait à présenter les signes d'une brûlure radioactive. Les spécialistes estimèrent par la suite qu'elle avait reçu une dose comprise entre 15 000 et 20 000 rads (alors que ce type de traitement utilise des doses d'environ 200 rads). Elle continua à souffrir de ses brûlures et son bras resta paralysé.

Le cas ne fut pas signalé au constructeur avant .

Autres incidents

Les autres incidents furent similaires avec des atteintes profondes de la peau avec des nécroses, des dégâts au niveau des articulations ainsi que de fortes douleurs dans la zone irradiée.

Au Canada, une autre patiente[2] de 40 ans, traitĂ©e par radiothĂ©rapie avec le Therac 25 en pour un cancer du col de l'utĂ©rus fut Ă©galement victime d'une erreur de la machine. Lors de sa sĂ©ance du , après que l'opĂ©rateur eut activĂ© le Therac, celui-ci s'arrĂŞta en indiquant NO DOSE, TREATMENT PAUSE. Le manipulateur suivit la procĂ©dure recommandĂ©e et rĂ©essaya de mettre en fonctionnement la machine, Ă  4 reprises avec le mĂŞme message d'erreur Ă  chaque fois. Ă€ la 5e tentative, la machine s'arrĂŞta et un technicien fut appelĂ© qui ne retrouva rien d'anormal. La patiente se plaignit de brĂ»lure dans les hanches dès le et fut hospitalisĂ©e le 30. Elle dĂ©cĂ©da le de la mĂŞme annĂ©e. L'autopsie rĂ©vĂ©la que la mort Ă©tait due Ă  son cancer, toutefois l'irradiation avait atteint de manière importante la partie infĂ©rieure de son corps et un remplacement complet de sa hanche aurait Ă©tĂ© nĂ©cessaire si elle avait survĂ©cu. Un technicien de l'EACL estima ensuite qu'elle avait reçu entre 13 000 et 17 000 rads.

Causes

Les chercheurs ouvrirent une enquête afin de déterminer les causes de ces accidents. Plusieurs problèmes de gestion du projet informatique furent découverts :

  • l'Atomic Energy of Canada Limited (AECL) ne disposait pas d'un organisme indĂ©pendant pour l'Ă©valuation du code source ;
  • l'AECL avait nĂ©gligĂ© certaines Ă©tapes liĂ©es au test du logiciel ;
  • la documentation du système n'expliquait pas de manière adĂ©quate les codes indiquant des erreurs ;
  • le personnel de l'AECL, au dĂ©but, n'avait pas tenu compte des plaintes ou n'y croyait pas.

D'autres problèmes, liés à la conception et la technique, furent également révélés par l'enquête :

  • la machine ne possĂ©dait pas de dispositif physique pour bloquer le flux d'Ă©lectrons en mode « haute Ă©nergie » si la cible n'Ă©tait pas en place. La sĂ©curitĂ©, Ă  ce niveau, reposait ainsi uniquement sur le logiciel ;
  • les ingĂ©nieurs avaient rĂ©utilisĂ© des morceaux de code provenant d'autres modèles. Ces modèles possĂ©daient des sĂ©curitĂ©s physiques et n'Ă©taient donc pas autant vulnĂ©rables aux erreurs logicielles ;
  • le matĂ©riel ne proposait aucun moyen au logiciel pour que celui-ci vĂ©rifiât l'Ă©tat des capteurs et leur bon fonctionnement (contrĂ´le en boucle ouverte) ;
  • la tâche qui gĂ©rait le contrĂ´le du matĂ©riel souffrait de problèmes de concurrence avec la tâche qui gĂ©rait l'interface destinĂ©e Ă  l'opĂ©rateur. Une condition de concurrence (race condition) apparaissait si l'opĂ©rateur changeait les paramètres trop rapidement. Ce problème ne fut pas dĂ©tectĂ© lors des tests puisqu'il fallait un certain temps aux opĂ©rateurs avant qu'ils ne parviennent Ă  utiliser l'interface de manière aisĂ©e ;
  • le logiciel utilisait un fanion et l'incrĂ©mentait. Des dĂ©passements de capacitĂ© se produisaient et engendraient la dĂ©sactivation de certains tests de sĂ©curitĂ© ;
  • l'ensemble Ă©tait programmĂ© en assembleur, un langage courant Ă  l'Ă©poque mais difficile Ă  analyser et dĂ©boguer par rapport aux langages de plus haut niveau.

Références

  1. (en) Le cas du Kennestone Regional Oncology Center, juin 1985. Page 9 et 10 de "Medical devices : The Therac 25", Nancy Leveson, "Safeware : System Safety and Computers", 1995. http://sunnyday.mit.edu/papers/therac.pdf
  2. (en)Le cas de l'Ontario Cancer Foundation, juillet 1985. Page 11 et 12 de "Medical devices : The Therac 25", Nancy Leveson, "Safeware : System Safety and Computers", 1995. http://sunnyday.mit.edu/papers/therac.pdf

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.