Sumário
- Seis acidentes conhecidos do Therac-25 envolvendo overdoses massivas de radiação ocorreram entre junho de 1985 e janeiro de 1987. O registro sobrevivente documenta ferimentos graves e mortes, mas não sustenta tratar cada morte posterior como causada exclusivamente pela overdose ou atribuir uma dose exata a cada paciente.
- Dois caminhos de software distintos estão bem estabelecidos. A edição rápida do modo de tratamento e energia poderia deixar os dados de prescrição exibidos inconsistentes com a configuração da máquina nos acidentes de Tyler. No segundo acidente de Yakima, um contador de 8 bits poderia zerar e ignorar uma verificação de posição do colimador. O caminho exato para os três primeiros acidentes permanece desconhecido.
- A falha de controle mais profunda foi arquitetônica. As máquinas Therac anteriores retinham circuitos de proteção independentes e intertravamentos mecânicos. O Therac-25 deu ao software maior responsabilidade de segurança e não duplicou todas essas proteções, permitindo que um erro de software e o estado do sistema associado se tornassem um caminho para exposição catastrófica.
- A detecção falhou em várias camadas. Mensagens críticas classificavam condições perigosas como pausas de tratamento, monitores de dose podiam saturar e exibir uma subdose aparente, interrupções inofensivas frequentes treinavam operadores a retomar, registros de auditoria de tratamento estavam incompletos e relatos de diferentes hospitais não formaram um quadro de incidente compartilhado em tempo hábil.
- A AECL controlava o design, código reutilizado, documentação de software, análise de risco, avisos ao cliente e plano de ação corretiva. Hospitais controlavam operação local, observação do paciente, retirada de equipamento e escalada. Reguladores controlavam constatações de defeitos, classificação de recall e aprovação de ação corretiva, mas o regime de relatórios dos Estados Unidos na época dependia fortemente dos fabricantes e não impunha os deveres posteriores das instalações de usuário.
- As evidências de reparo são substanciais, mas limitadas. O plano de ação corretiva final adicionou desligamento independente do computador e intertravamentos de mesa giratória, mudou pausas para suspensões, melhorou mensagens, restringiu edição, corrigiu defeitos conhecidos e exigiu mais testes e análise de segurança. O registro público não contém um pacote de validação moderno completo, histórico de código, todos os resultados de teste ou conjunto de dados de desempenho de campo de longo prazo.
- A lição duradoura não é que dispositivos médicos devem evitar software. É que o software não deve ser permitido a tornar uma condição catastrófica acessível por um único caminho descontrolado. Barreiras independentes, requisitos baseados em risco, testes de interação realistas, alarmes acionáveis, trilhas de auditoria, relatórios rápidos entre locais e evidências de ação corretiva revisíveis independentemente são parte do caso de segurança.
Os bugs famosos são evidência, não a explicação completa
O Therac-25 é lembrado porque o código e o dano ao paciente podem ser conectados de forma incomumente clara. Essa clareza é útil, mas pode distorcer a responsabilidade se a investigação começa e termina com uma condição de corrida ou uma variável transbordada. Um defeito explica como um caminho de execução particular se comportou.
Não explica por si só por que um único caminho poderia colocar um feixe de alta energia em uma configuração insegura, por que o sistema físico não tinha uma parada independente, por que um console poderia relatar pouca ou nenhuma dose após uma exposição massiva, por que um operador treinado era convidado a prosseguir, ou por que avisos de várias instalações não convergiram prontamente.
Nancy Leveson and Clark Turner'sinvestigação original, publicada na IEEE Computer em 1993 e construída a partir de material da FDA, registros regulatórios canadenses, cartas e depoimentos de processos, é excepcionalmente explícita sobre seus limites de evidência. Os autores puderam documentar seis acidentes conhecidos, dois mecanismos de software e uma longa sequência de ações corretivas. Não puderam obter informações completas sobre o gerenciamento de desenvolvimento da AECL, controles de qualidade ou todos os eventos. Seu relato, portanto, sustenta uma conclusão em nível de sistema sem sustentar todas as alegações que se acumularam em torno do caso.
O registro oficial de recall fornece uma âncora independente importante. O exame darevisão de recalls selecionados de dispositivosdo Government Accountability Office dos EUA lista o Therac-25 como um recall Classe I envolvendo cinco aceleradores nos EUA, datado de 3 de junho de 1987, e identifica dois defeitos de software capazes de causar overdoses massivas de radiação. Esse registro é mais restrito que a história completa dos acidentes. Leveson e Turner relataram onze máquinas instaladas, cinco nos Estados Unidos e seis no Canadá. A quantidade do GAO deve, portanto, ser entendida como a população de recall nos EUA em seu conjunto de dados, não como o número de unidades Therac-25 no mundo.
Essa distinção aponta para a questão central de responsabilidade. Um fabricante não pode prometer que software crítico para a segurança não conterá defeitos. Ele pode decidir se um defeito é suficiente para produzir energia catastrófica, se um mecanismo físico separado verifica o estado da máquina, se a interface transmite perigo, se as evidências de campo são retidas e combinadas, e se uma ação corretiva aborda a classe de risco em vez de apenas a sequência de entrada mais recentemente reproduzida. Essas foram escolhas de design e governança controláveis.
A arquitetura transferiu uma função física de segurança para o software
O Therac-25 era um acelerador linear médico de modo duplo. Podia usar elétrons acelerados para tratamento superficial ou produzir raios X para tratamento profundo. No modo fóton, a máquina precisava de um alvo e equipamento de achatamento de feixe no caminho do feixe. No modo elétron, precisava de varredura e outros equipamentos para espalhar e controlar o feixe. Uma mesa giratória movia o equipamento relevante para a posição.
O perigo físico era direto mesmo que a implementação fosse complexa: alta potência de feixe combinada com o estado errado da mesa giratória ou colimador poderia concentrar energia que deveria ser moldada, medida ou bloqueada.
Adescrição da mesa giratória preservada pelo MITmostra por que um intertravamento era uma barreira de segurança em vez de um recurso de conveniência. Três microinterruptores reportavam a posição ao computador. O computador posicionava e verificava a mesa giratória. Na posição de luz de campo, um espelho usado para alinhamento do paciente estava no caminho do feixe e nenhuma câmara de íons era esperada porque nenhum feixe de tratamento deveria estar presente. Intertravamentos eletromecânicos tradicionais foram usados para evitar operação em estado incompatível. No Therac-25, verificações de software substituíram muitos deles.
Essa substituição representou uma mudança material da linhagem na qual a AECL confiava. Therac-6 e Therac-20 adicionaram controle computadorizado a máquinas que podiam operar independentemente e retinham proteções de hardware padrão da indústria. Therac-25 foi projetado em torno do controle computadorizado. Seu software tinha maior responsabilidade por monitorar a operação segura, enquanto nem todos os circuitos de proteção anteriores foram duplicados.
O Therac-20 mais antigo forneceu uma comparação acidental: um defeito de edição relacionado podia desarmar fusíveis ou disjuntores, mas circuitos de proteção independentes impediam a ativação do feixe e nenhuma exposição comparável ao paciente resultou.
A reutilização de código não foi inerentemente o erro. A AECL reutilizou estrutura e rotinas de máquinas anteriores, e a reutilização pode preservar comportamento testado. O problema foi que suposições de um sistema com proteção de hardware independente migraram para um sistema onde o software havia se tornado parte do limite primário de segurança. Orelato de desenvolvimento de softwaresobrevivente diz que o programa evoluiu do código do Therac-6, foi escrito em linguagem assembly PDP-11 e usou um executivo de tempo real personalizado com tarefas concorrentes e manipuladores de interrupção. Também registra documentação esparsa e a preocupação de um revisor da FDA de que especificações e um plano de teste de software estavam faltando.
Em uma aplicação benigna, suposições herdadas podem produzir inconveniência. Em um acelerador médico, elas se tornam perigosas quando o novo sistema remove o componente independente que anteriormente as continha. A questão relevante do ciclo de vida não é simplesmente se o código reutilizado funcionou por anos. É se todas as suposições de segurança foram reestabelecidas contra o novo hardware, nova autoridade de controle, novo fluxo de trabalho do operador e nova consequência de falha. O registro público não mostra que tal revisão integrada de suposições ocorreu antes do uso clínico.
A análise de segurança pré-acidente não testou a nova fonte de controle
A AECL realizou uma análise de segurança de árvore de falhas em março de 1983. De acordo com a investigação, ela assumiu que erros de programação haviam sido reduzidos através de testes extensivos e excluiu defeitos de software residuais. Ela tratou erros de execução de computador principalmente como consequências de falhas de hardware ou distúrbios aleatórios. No entanto, o software agora carregava funções de segurança que o hardware havia carregado em máquinas anteriores. A análise, portanto, deu pouca atenção útil ao componente cuja autoridade mais havia aumentado.
Isso não foi meramente um problema quantitativo. Atribuir uma probabilidade extremamente baixa a um evento de computador vagamente descrito não pode demonstrar que estados inseguros foram identificados. Defeitos de software determinísticos não aparecem aleatoriamente como um componente desgastado; eles recorrem sempre que o estado e o tempo exigidos se alinham. Se a análise não modela edição rápida, interações de variáveis compartilhadas, estouro de contador, configuração obsoleta da máquina, monitores saturados ou exibições contraditórias, um pequeno resultado numérico diz pouco sobre esses caminhos.
Oresumo da análise de segurança do Therac-25posterior é evidência de uma revisão mais séria após os acidentes. Ela usou análise de modos de falha e efeitos, análise de árvore de falhas e exame de software. Identificou funções críticas para a segurança, incluindo varredura, seleção de energia, desligamento de feixe e calibração, e levou a recomendações para intertravamentos independentes do computador. Mesmo essa análise posterior foi franca sobre limites: a inspeção de código não podia fornecer alta confiança em funções complexas de varredura e seleção de energia. Essa incerteza apoiou a adição de barreiras em vez de alegar que a inspeção havia provado o código completo.
A inferência apoiada é que o caso de segurança original era estruturalmente incompatível com o design. A evidência pública não estabelece quem aprovou cada suposição, quais objeções internas foram levantadas, ou se o custo foi a razão decisiva para não duplicar a proteção de hardware. Ela estabelece que a análise excluiu erros de software residuais enquanto o software estava sendo confiado para prevenir configurações físicas inseguras. Isso é suficiente para localizar a questão de responsabilidade no nível de design do sistema sem inventar um motivo privado.
Seis acidentes se tornaram um incidente apenas após danos repetidos
A cronologia importa porque cada evento mudou o que razoavelmente podia ser conhecido. Alinha do tempo consolidada dos eventoscomeça em 3 de junho de 1985 no Kennestone Regional Oncology Center em Marietta, Geórgia. Um paciente recebendo tratamento com elétrons relatou calor intenso e posteriormente desenvolveu lesão grave por radiação. O registro de tratamento foi desativado, deixando nenhum registro impresso. O físico do hospital perguntou à AECL se a máquina poderia operar em modo elétron sem varredura; a AECL respondeu que não. Os relatos divergiram sobre quando a AECL recebeu notificação formal, mas a empresa teve notificação oficial do litígio em novembro de 1985. Nenhuma investigação oportuna estabeleceu o caminho da máquina.
Em 26 de julho de 1985, um paciente na clínica da Ontario Cancer Foundation em Hamilton experimentou repetidas pausas de tratamento e uma mensagem H-tilt. O display indicava nenhuma dose, e o operador usou o comando de prosseguir permitido várias vezes. O paciente sofreu uma grande overdose local. A AECL não conseguiu reproduzir o evento e suspeitou de uma falha de microinterruptor. Redesenhou a lógica do interruptor e fez uma afirmação de grande melhoria de segurança, embora seu próprio relato não pudesse ser firme sobre a causa.
Autoridades canadenses e um consultor independente pediram mudanças mais fortes, incluindo uma verificação independente da posição da mesa giratória e suspensão do tratamento para falhas relevantes. A AECL não instalou o intertravamento independente solicitado naquela fase.
Em dezembro de 1985, um paciente no Yakima Valley Memorial Hospital desenvolveu uma reação cutânea listrada após o tratamento. A equipe investigou outras explicações e escreveu para a AECL em 31 de janeiro de 1986. A AECL respondeu em 24 de fevereiro que nem um mau funcionamento da máquina nem erro do operador poderia ter produzido a lesão e referiu-se à ausência de incidentes semelhantes. Oprimeiro relato de Yakimamostra por que o controle da informação importava: a instalação não conhecia o histórico completo entre locais e confiava na confiança técnica do fabricante. Apenas após o segundo acidente de Yakima a primeira lesão foi reconhecida como provável overdose.
Em 21 de março de 1986, o primeiro paciente de Tyler recebeu tratamento com elétrons após um operador experiente corrigir rapidamente uma entrada inicial de raios X. A máquina exibiu Malfunction 54, classificou a condição como uma pausa de tratamento e mostrou uma subdose aparente. O operador seguiu o fluxo de trabalho normal e prosseguiu. Os links de áudio e vídeo para a sala de tratamento blindada não estavam funcionando naquele dia, atrasando o reconhecimento do sofrimento do paciente. Engenheiros da AECL inicialmente não conseguiram reproduzir o mau funcionamento e novamente consideraram uma explicação elétrica.
Após testes não encontrarem problema de aterramento, a clínica retornou a máquina ao serviço em 7 de abril.
Em 11 de abril, um segundo paciente de Tyler experimentou a mesma Malfunction 54 após o mesmo operador editar rapidamente o modo. Desta vez o interfone funcionou e o operador parou. O físico da clínica, Fritz Hager, retirou a máquina de serviço e trabalhou com o operador até conseguir reproduzir a sequência. A velocidade era a condição faltante. Quando a AECL foi informada de que a edição tinha que ser realizada rapidamente, reproduziu o mau funcionamento e mediu uma saída massiva. A AECL apresentou um relatório de acidente à FDA em 15 de abril. A FDA declarou o dispositivo defeituoso em 2 de maio e exigiu um plano de ação corretiva.
Em 17 de janeiro de 1987, um segundo paciente de Yakima foi exposto enquanto a mesa giratória estava associada à configuração de luz de campo. O console não mostrou dose de tratamento além das exposições anteriores de filme, a máquina pausou e o operador pôde prosseguir. Este foi um caminho de software diferente. A reconstrução preliminar da AECL estimou milhares de rads por tentativa, mas a dose exata entregue permanece incerta. O evento mostrou que uma correção específica de Tyler não era um caso de segurança completo.
A FDA e as autoridades canadenses moveram-se em fevereiro para recomendar a descontinuação do uso rotineiro até que modificações permanentes fossem concluídas.
A cronologia não apoia a alegação de que uma pessoa ignorou seis alarmes idênticos. Os acidentes ocorreram em instalações diferentes, produziram mensagens diferentes e não foram todos tecnicamente compreendidos na época. Ela apoia a conclusão de que a informação do incidente permaneceu fragmentada, conclusões iniciais de impossibilidade foram muito fortes e a ação corretiva inicialmente seguiu componentes suspeitos em vez da classe de risco. Cada evento adicional deveria ter reduzido a confiança na premissa de que o software e as verificações existentes tornavam a overdose impossível.
Tyler expôs uma inconsistência sensível ao tempo entre tela e máquina
O gatilho de Tyler não foi simplesmente que o operador digitou rápido demais. O operador entrou em um modo de tratamento, moveu-se para a linha de comando, retornou ao modo de edição e mudou a entrada de raios X para elétron dentro do período em que a máquina estava ajustando os ímãs de curvatura. A tela refletia a correção. Tarefas de software concorrentes não propagavam confiavelmente o estado editado para todos os parâmetros da máquina.
Areconstrução detalhada do software de Tylerdescreve variáveis compartilhadas usadas pelo manipulador de teclado, rotina de entrada de dados e tarefas de controle de tratamento. Uma flag de conclusão indicava que o cursor havia alcançado a linha de comando, não que a edição realmente tivesse terminado. Outra flag associada à configuração do ímã era limpa cedo demais, então edições posteriores podiam escapar do reconhecimento. Os bytes baixo e alto de uma variável de modo e energia podiam influenciar tarefas diferentes. Sob o tempo necessário, o posicionamento da mesa giratória ou colimador podia seguir o valor editado enquanto outros parâmetros operacionais permaneciam derivados da seleção anterior de raios X.
O gatilho direto pode, portanto, ser declarado de forma restrita: uma edição rápida dentro de uma janela específica permitiu que estado inconsistente passasse para o tratamento. O defeito era reproduzível apenas quando o fluxo de trabalho era executado na velocidade realista de um especialista. Um engenheiro lento seguindo uma sequência escrita poderia perder isso. É por isso que a reconstrução do físico da clínica foi importante. Ele tratou a experiência do operador como uma condição de teste em vez de evidência de uso indevido.
O resultado inseguro exigiu mais do que a condição de corrida. O software não realizou uma verificação final independente de consistência entre tratamento exibido, configuração da máquina e parâmetros do feixe. O hardware não bloqueou independentemente a configuração incompatível. As câmaras de íons saturaram sob o pulso intenso e puderam reportar um valor baixo. A máquina rotulou o evento como uma pausa e disponibilizou uma reinicialização com uma tecla. O operador havia sido condicionado por muitas pausas inofensivas a usar esse comando. No primeiro evento de Tyler, monitores de sala quebrados removeram um último canal de detecção humana.
Chamar a ação do operador de causa inverteria a relação de controle. A interface intencionalmente suportava entrada e edição rápidas porque os operadores haviam solicitado eficiência. A tecla de prosseguir era a resposta especificada para uma pausa. A velocidade e familiaridade do operador eram características previsíveis do ambiente de uso pretendido. Elas desencadearam um defeito, mas a AECL controlava se essa interação poderia criar um estado perigoso da máquina e se o estado seria independentemente interrompido.
Yakima expôs um caminho diferente através de estouro de contador
O mecanismo do segundo Yakima ocorreu mais tarde na lógica de controle. Uma variável de um byte usada em verificações repetidas de configuração era incrementada a cada passagem. Como só podia representar 256 estados, ela zerava a cada 256ª passagem. Zero também era usado para significar que nenhuma inconsistência do colimador superior exigia verificação. Se o operador emitisse o comando set no momento do rollover, a verificação de posição podia ser ignorada e o tratamento podia prosseguir com a mesa giratória ainda em um estado inseguro relacionado à luz de campo.
Areconstrução original do defeito de Yakimadistingue isso de Tyler. A tarefa Housekeeper concorrente realizaria a verificação do colimador apenas quando a variável Class3 compartilhada fosse diferente de zero. Set-Up Test incrementava essa variável centenas de vezes enquanto esperava a configuração da máquina. No rollover, o software ignorava a verificação. A correção imediata de código da AECL foi definir a variável para um valor fixo diferente de zero em vez de incrementá-la.
Novamente, a mudança de código corrigiu o gatilho identificado, mas não estabeleceu segurança por si só. Um valor de status crítico para a segurança compartilhado entre tarefas concorrentes não deveria combinar silenciosamente um contador e um estado de autorização. Mais importante, nenhuma barreira física independente impedia a ativação do feixe enquanto a configuração da mesa giratória estava errada. A ação corretiva final, portanto, precisava tanto de uma correção de código quanto de um intertravamento da mesa giratória que não dependesse do mesmo caminho de software.
O registro sobrevivente não identifica o caminho exato para Kennestone, Hamilton ou o primeiro evento de Yakima. Houve especulação contemporânea de que Hamilton pode ter se assemelhado ao mecanismo do segundo Yakima, mas Leveson e Turner marcaram isso como especulação. Permanece possível que corridas desconhecidas ou outros defeitos estivessem envolvidos. Um relato disciplinado não deve adaptar retroativamente os dois mecanismos posteriores a cada lesão anterior apenas porque o resultado físico parecia semelhante.
Esse desconhecido não é exculpatório e não deve ser preenchido com certeza. Mostra por que a arquitetura importava. Quando vários caminhos de software desconhecidos podem alcançar o mesmo estado catastrófico, provar e corrigir um defeito de cada vez é uma estratégia de controle inadequada. Uma barreira independente pode conter caminhos conhecidos e desconhecidos. Este é o valor prático da defesa em profundidade: reduz a dependência do caso de segurança no conhecimento completo do comportamento do software.
A interface converteu sinais de perigo contraditórios em trabalho rotineiro
Ainterface do operadordo Therac-25 distinguia entre uma suspensão de tratamento, que exigia um reset, e uma pausa de tratamento, que permitia um comando de prosseguir com uma tecla. Também gerava falhas frequentes que eram normalmente associadas a inconveniência ou subdose. Os operadores aprenderam com a experiência repetida que pausar e prosseguir era normal. O treinamento reforçava a confiança de que múltiplos mecanismos de segurança tornavam a overdose virtualmente impossível.
Nos acidentes, esse modelo operacional falhou de várias maneiras. Os números de falha eram crípticos e não eram adequadamente explicados nos manuais disponíveis. Uma condição grave relacionada à dose podia ser apresentada com baixa prioridade. O hardware de monitoramento saturado podia reportar uma subdose aparente precisamente quando a saída estava perigosamente alta. O console podia mostrar "verificado" ou "feixe pronto" mesmo que a configuração física e os parâmetros internos estivessem inconsistentes. A máquina permitia exposição repetida sem forçar uma nova prescrição ou uma verificação independente.
Esses não são defeitos cosméticos separados. Um alarme é um controle apenas se ajuda o operador a distinguir um estado perigoso e tomar a ação correta. Uma pausa de baixa prioridade que permite continuação imediata é uma autorização. Um display que subestima a dose entregue altera a decisão do operador. Uma mensagem "verificado" é uma afirmação de segurança. Quando esses sinais entram em conflito com o relato de queimadura do paciente ou com um monitor físico, o sistema deve direcionar os usuários para a interpretação mais conservadora.
Aslições posteriores da IAEA de exposições acidentais em radioterapiaformalizam esse princípio sem fazer uma conclusão legal retroativa sobre a AECL. Elas pedem a investigação de sinais inconsistentes, assumir a indicação mais grave até ser refutada, projetar e testar para o ambiente clínico homem-máquina, treinar a equipe para interpretar displays anormais e usar múltiplas camadas de proteção. O Therac-25 demonstra por que esses elementos pertencem ao sistema de engenharia, não sendo deixados como vigilância pessoal.
O controle prático era distribuído, mas não era igual
A AECL tinha o controle preventivo mais amplo. Ela selecionou a arquitetura de hardware e software, escolheu quais intertravamentos reter, controlou o código-fonte e a documentação, definiu o significado e a prioridade dos alarmes, projetou o comportamento de reinicialização, realizou a análise de risco inicial, recebeu relatos de campo, emitiu avisos aos clientes e propôs ação corretiva. Também controlava se usuários e reguladores recebiam uma imagem completa entre locais. Esses poderes faziam do fabricante o principal proprietário do risco sistêmico de design e aprendizado de incidentes.
Isso não torna os hospitais passivos. As instalações controlavam se o áudio e vídeo da sala funcionavam, se os registros de tratamento e funções de auditoria estavam habilitados, como as falhas recorrentes eram registradas, quando o equipamento era retirado, com que rapidez um físico médico investigava e o que era relatado às autoridades estaduais ou federais. O primeiro evento de Tyler mostra uma falha de detecção local: o link audiovisual estava indisponível e o tratamento continuou posteriormente. O segundo evento de Tyler mostra controle local eficaz: o operador escalou, o físico parou o uso e a instalação reconstruiu o gatilho.
A primeira investigação de Yakima mostra o limite da expertise local quando o fabricante negou que o dispositivo pudesse produzir o dano observado e as evidências de outros locais estavam indisponíveis.
Os operadores controlavam a entrada de dados, a configuração do paciente e a decisão imediata de prosseguir após uma pausa, mas não controlavam o modelo de concorrência oculto, a classificação do alarme, o comportamento do monitor de dose saturado ou os intertravamentos independentes ausentes. Suas ações devem ser avaliadas em relação ao fluxo de trabalho pretendido e às informações disponíveis. Um usuário treinado corrigindo rapidamente um erro comum de entrada não é uma entrada adversa imprevisível.
Pressionar o comando que a interface oferece para uma pausa de tratamento não é prova de que o usuário aceitou um risco de overdose não divulgado.
Os físicos médicos tinham importante poder de diagnóstico. O trabalho de Hager em Tyler forneceu a sequência reproduzível que nem o teste de serviço de rotina nem uma reconstrução de engenharia inicialmente mais lenta haviam encontrado. Os usuários também formaram um grupo, trocaram informações e pressionaram por mudanças de hardware, melhores mensagens, revisão independente de software e uma trilha de auditoria. No entanto, não tinham acesso ao código-fonte e não receberam um registro completo cedo o suficiente para atuar como uma rede de segurança coordenada.
Os reguladores controlavam as conclusões legais e o portão de ação corretiva. A FDA podia declarar o produto emissor de radiação defeituoso, exigir notificação ao comprador e revisar o plano de ação corretiva da AECL. As autoridades de radiação canadenses podiam exigir conformidade e recomendar a descontinuação do uso. Elas não operavam as salas de tratamento nem escreviam o software, e o sistema de relatórios dos EUA ainda não exigia que as instalações de usuário reportassem como a lei posterior faria.
Sua responsabilidade diz respeito a se os avisos foram coletados, se a autoridade foi usada prontamente, se as correções propostas foram desafiadas e se o encerramento dependia de evidência em vez de afirmação.
Os pacientes tinham a evidência mais direta de dano e o menor controle do sistema. Vários relataram imediatamente calor, queimação ou sensações de choque que contradiziam os displays da máquina. Não podiam inspecionar o estado da máquina, obter um histórico de incidentes entre locais ou desativar um recurso de design. Um sistema de segurança que trata o testemunho do paciente como menos confiável do que um display conhecido por ser capaz de saturação coloca o poder probatório no sinal menos confiável.
A detecção falhou antes da resposta falhar
É útil separar detecção de resposta. A falha de detecção ocorreu quando o sistema não preservou ou interpretou evidências de que um evento inseguro havia ocorrido. Dados de tratamento impressos ausentes em Kennestone, câmaras de íons saturadas, dose baixa ou zero exibida, códigos de falha crípticos, manuais incompletos, monitoramento de sala desativado e incapacidade de reproduzir sequências sensíveis ao tempo reduziram a observabilidade. A fragmentação entre locais significava que cada clínica podia parecer estar experimentando uma anomalia isolada.
A falha de resposta começou quando as evidências disponíveis não desencadearam uma precaução suficientemente ampla. Após Hamilton, a AECL abordou a lógica suspeita do microinterruptor e reduziu o número de tentativas permitidas, mas não instalou o intertravamento de posição independente solicitado nem converteu todas as pausas relevantes em suspensões. Após o primeiro relato de Yakima, a empresa afirmou que mau funcionamento da máquina e erro do operador não poderiam ter causado a lesão. Após o primeiro acidente de Tyler, a falha em reproduzir a Malfunction 54 apoiou uma hipótese elétrica e a máquina retornou ao uso.
Essas ações eram compreensíveis apenas se o modelo de segurança existente fosse mais confiável do que as evidências adversas.
A sequência revela um erro epistêmico recorrente: a incapacidade de reproduzir foi tratada demais como prova de impossibilidade. Software concorrente sensível ao tempo pode ser determinístico e ainda assim escapar de um teste que não recria o tempo, a carga de trabalho e a interação especializada. Um resultado negativo deve reduzir ou redirecionar uma hipótese, não encerrar o risco quando as consequências são graves e a lesão física é consistente com exposição excessiva.
A comunicação era em si um controle. Um usuário que soubesse de Kennestone, Hamilton e Yakima avaliaria a Malfunction 54 de forma diferente de um usuário informado de que não havia eventos de overdose. Um regulador que recebesse relatórios oportunos do fabricante e das instalações poderia identificar um padrão mais cedo. Um engenheiro de serviço com registros de auditoria exatos poderia distinguir uma incompatibilidade de configuração de um transitório elétrico. A ausência dessa evidência compartilhada aumentou o tempo durante o qual a operação insegura permaneceu plausível.
A inferência apoiada é que a agregação mais precoce e a escalada conservadora poderiam ter reduzido a exposição ao perigo. O registro público não pode determinar se qualquer acidente posterior específico teria certamente sido prevenido, porque os mecanismos iniciais exatos permanecem desconhecidos e as necessidades de tratamento diferiam. Pode mostrar que as instituições com informação e controle tiveram oportunidades de parar o uso rotineiro, adicionar barreiras independentes ou emitir avisos mais fortes antes de janeiro de 1987.
O regime de relatórios era uma condição contribuinte, não uma desculpa completa
Na época dos primeiros acidentes, os relatórios de dispositivos médicos nos EUA dependiam fortemente de fabricantes e importadores. Hospitais e profissionais de saúde ainda não estavam sujeitos ao dever federal posterior de relatórios de instalações de usuário. Os relatórios de Tyler chegaram à FDA através do departamento de saúde do Texas antes do relatório detalhado de dispositivo médico da AECL. Essa estrutura tornou o sistema de alerta precoce federal vulnerável à incerteza local e ao fluxo de informações do fabricante.
A fraqueza não era meramente teórica. Arevisão de 1986 do GAO sobre subnotificação de dispositivos médicosencontrou lacunas graves em como hospitais, fabricantes e FDA comunicavam problemas de dispositivos e recomendou relações de relatórios mais fortes. Suarevisão posterior da implementação de relatórios de dispositivos médicos da FDAencontrou deficiências na avaliação de conformidade, processamento de dados e documentação de como os relatórios levaram a ações corretivas. Umtestemunho do GAO ao Congresso em 1989concluiu que o sistema de relatórios não fornecia o alerta precoce pretendido e que a autoridade estatutária da FDA sobre recalls era limitada.
O Congresso mudou o quadro após os acidentes. ALei de Dispositivos Médicos Seguros de 1990exigiu que instalações de usuário de dispositivos relatassem informações que sugerissem razoavelmente que um dispositivo causou ou contribuiu para a morte ou ferimento grave do paciente, estabeleceu prazos de relatório e expandiu as autoridades de correção, remoção e recall. Essa lei é evidência de uma resposta política posterior a amplas fraquezas de vigilância. Não deve ser descrita como uma conclusão judicial de que os acidentes do Therac-25 causaram cada disposição, nem seus deveres posteriores devem ser aplicados retroativamente a hospitais em 1985.
A autoridade canadense operava através de uma estrutura diferente. ALei de Dispositivos Emissores de Radiaçãoproibia a venda, arrendamento ou importação de dispositivos que falhassem em normas aplicáveis ou criassem riscos de radiação especificados e fornecia poderes de inspeção, notificação e regulamentação. O Canadian Radiation Protection Bureau solicitou mudanças de hardware e software após Hamilton e posteriormente coordenou com a FDA sobre a descontinuação do uso rotineiro. O registro ainda mostra atraso entre o primeiro intertravamento independente solicitado e a instalação através da ação corretiva final.
A fragmentação regulatória também importa nos Estados Unidos. Adescrição atual do NRC da jurisdição de radiaçãoexplica que os estados regulam máquinas produtoras de radiação, como máquinas de raios X e aceleradores de partículas, enquanto agências federais têm papéis distintos. O Therac-25, portanto, envolveu hospitais, autoridades estaduais de radiação, FDA e órgãos canadenses. Jurisdição distribuída não é necessariamente defeituosa, mas requer uma rota explícita para que uma anomalia local de tratamento se torne um sinal nacional e transfronteiriço de produto.
Causa raiz, condições contribuintes e gatilhos devem permanecer separados
O gatilho direto de Tyler foi edição rápida dentro de uma janela de tempo. O gatilho direto do segundo Yakima foi uma ação de set no momento em que uma variável de 8 bits zerou. Esses eventos selecionaram caminhos inseguros no software. Eles não são a causa raiz porque nenhum explica por que o caminho tinha autoridade para ativar energia perigosa sem uma parada independente.
A proposição central de causa raiz apoiada pelo registro é arquitetônica e organizacional: a responsabilidade de segurança mudou dos intertravamentos de hardware independentes para o software sem uma análise de risco, ciclo de vida de software, validação integrada, design de interface e sistema de aprendizado de incidentes compatíveis com o possível dano. O design permitiu que uma única cadeia controlada por software definisse configuração, julgasse consistência, apresentasse status e autorizasse tratamento. A dependência comum derrotou a aparência de múltiplas verificações.
Condições de engenharia contribuintes incluíram rotinas reutilizadas cujas suposições não foram mostradas como revalidadas na nova arquitetura; variáveis compartilhadas e tarefas concorrentes com semântica de estado insegura; falta de uma verificação final de consistência; monitores que podiam saturar; manipulação de falhas que permitia reinicialização; mensagens crípticas; documentação de software esparsa; e práticas de teste que inicialmente não incluíam edição realista em velocidade de especialista. O tratamento de software na árvore de falhas original reduziu a chance de que esses caminhos fossem examinados antes da implantação.
Condições operacionais contribuintes incluíram pausas benignas frequentes, treinamento de operadores que enfatizava a abundância de mecanismos de segurança, canais de auditoria e monitoramento de sala ausentes ou desativados, e capacidade limitada das instalações para comparar incidentes. Uma decisão local de retomar a operação importava, mas ocorria dentro de um ambiente de informação projetado e influenciado pelo fabricante.
Condições de governança contribuintes incluíram acompanhamento fraco de incidentes, afirmações fortes de impossibilidade ou enorme melhoria de segurança sem uma causa raiz reproduzida, propagação incompleta de informações adversas, submissões de ação corretiva que careciam de detalhes de software e planos de teste solicitados, e atraso na conversão de recomendações para proteção de hardware independente em barreiras instaladas. O registro da FDA citado na investigação mostra pedidos repetidos de documentação, análise de interação, mensagens significativas e testes de instalação.
A falha de resposta também deve ser separada da falha de recuperação. A resposta foi lenta quando as máquinas continuaram o uso clínico rotineiro enquanto o risco permanecia incerto. A recuperação tornou-se um desafio separado quando múltiplas revisões do CAP foram necessárias e as modificações identificaram novos subsistemas não cobertos. Uma correção que não pode ser instalada, testada e verificada consistentemente em todas as unidades ainda não é uma frota recuperada.
O impacto não pode ser reduzido a uma dose ou contagem de mortes
O impacto confirmado é grave. Seis acidentes conhecidos envolveram overdoses massivas. Pacientes experimentaram lesão por radiação, incapacidade, dor prolongada e mortes em associação temporal e, em alguns casos, medicamente documentada com as exposições. Dois pacientes de Tyler morreram de lesão relacionada à overdose de acordo com a investigação. O segundo paciente de Yakima tinha câncer terminal antes do acidente e morreu após sofrer complicações da overdose; os sobreviventes alegaram que a exposição encurtou a vida e aumentou o sofrimento, e a ação foi resolvida.
O paciente de Hamilton morreu de um câncer agressivo, enquanto o registro de autópsia identificou danos graves por radiação que de outra forma exigiriam tratamento importante.
Alegações exatas de dose devem permanecer qualificadas. As câmaras de íons da máquina saturaram, diferentes instalações reproduziram diferentes saídas, as taxas de pulso variaram e algumas sessões não tinham dados impressos. Simulações pós-evento produziram faixas em vez de medições diretas. O artigo, portanto, não converte cada estimativa em uma dose medida ao paciente ou compara exposição local com letalidade de corpo inteiro como se os efeitos biológicos fossem equivalentes.
O impacto operacional estendeu-se além dos seis pacientes. Onze instalações dependiam de um dispositivo cujo estado seguro não podia ser estabelecido a partir de seu próprio display. Clínicas tiveram que suspender ou restringir o tratamento, inspecionar máquinas, mudar fluxos de trabalho, participar de reuniões de usuários e gerenciar pacientes necessitando de terapia contínua. Operadores e físicos carregaram o fardo de reconstruir o comportamento sem acesso ao código ou informação completa do incidente. Reguladores e usuários gastaram mais de dois anos passando da descoberta de Tyler à análise de segurança final.
O impacto legal e financeiro é menos mensurável. A investigação de origem registra vários processos e acordos extrajudiciais, mas o registro público primário revisado aqui não fornece um julgamento de mérito alocando responsabilidade, termos completos de acordo, pagamentos de seguros ou danos agregados. Um acordo confirma resolução de disputa, não negligência julgada ou uma admissão. Seria enganoso transformar resultados privados em um custo corporativo preciso ou conclusão legal.
O impacto sistêmico mais amplo foi uma mudança em que evidências a segurança de dispositivos médicos exigia. Leis posteriores fortaleceram o relatório de eventos adversos e a autoridade de recall. Regulamentações posteriores adicionaram controles de design. Orientações modernas exigem documentação de software baseada em risco, validação e trabalho de fatores humanos. O Therac-25 é relevante para esses controles, mas relevância não é prova de que uma série de acidentes sozinha produziu todo o regime moderno.
A ação corretiva passou de uma solução alternativa de tecla para barreiras independentes
A primeira instrução ao usuário pós-Tyler da AECL focou em desativar a tecla cursor-up, incluindo impedir fisicamente seu uso, para que os operadores reentrassem toda a prescrição. A FDA rejeitou esse aviso como inadequado porque não explicava o defeito ou risco e seu tom não comunicava urgência. Esta é uma distinção de responsabilidade entre uma solução alternativa operacional e um reparo de segurança. Uma solução alternativa pode reduzir um gatilho enquanto deixa os usuários incapazes de julgar o risco residual.
O primeiro plano formal de ação corretiva em junho de 1986 foi além. Propôs corrigir o comportamento de Tyler, mudar o monitoramento de pulso, transformar muitas falhas de pausas em suspensões, adicionar um circuito para inibir o modulador após um pulso excessivo, limitar teclas de edição e revisar manuais. A FDA concordou com a direção, mas repetidamente solicitou mais documentação de software, análise de interação e um plano de teste detalhado. A AECL inicialmente respondeu que não existia um único plano de teste e relatório de software porque hardware e software haviam sido exercitados ao longo de anos.
Oregistro regulatório e de resposta do usuáriomostra por que o CAP exigiu cinco revisões. A FDA objetou em reter o comportamento de pausa para falhas de taxa de dose e inclinação do feixe, exigiu mensagens significativas e queria testes rigorosos de cada modificação futura de software. Após o segundo acidente de Yakima, a agência concluiu que o software sozinho não podia garantir operação segura. Autoridades canadenses alcançaram uma posição paralela. O uso rotineiro foi desencorajado enquanto mudanças permanentes eram desenvolvidas.
A participação do usuário melhorou materialmente o plano. Em uma reunião em março de 1987, usuários, AECL, FDA, reguladores canadenses e representantes técnicos revisaram todos os seis acidentes. Os usuários pediram avaliação independente de software, acesso ao código, uma trilha de auditoria impressa e modificações adicionais de hardware. O registro diz que o código-fonte não foi fornecido e limitações de memória foram citadas contra uma opção de auditoria. Essas decisões deixaram algumas lacunas de transparência, mas a reunião criou um mecanismo direto para testar a proposta da AECL contra a experiência clínica.
O CAP final em julho de 1987 mudou a arquitetura e operação. Interrupções de dosimetria tornaram-se suspensões em vez de pausas retomáveis. Os operadores tiveram que reentrar parâmetros. A proteção de desligamento de pulso único foi adicionada, incluindo proteção de hardware descrita anteriormente no processo. Intertravamentos de posição da mesa giratória e ímã de curvatura foram adicionados. A ativação do feixe foi bloqueada quando a mesa giratória estava em luz de campo ou posição intermediária.
Códigos de falha crípticos foram substituídos por mensagens significativas, o comportamento de edição foi restrito, defeitos conhecidos de Tyler e Yakima foram corrigidos, manuais foram revisados e numerosas outras mudanças de software abordaram falhas encontradas durante a revisão.
A aprovação da FDA estava condicionada aos resultados finais dos testes, uma análise de segurança independente, documentação revisada e conclusão da instalação. A análise de segurança posterior identificou subsistemas críticos adicionais não totalmente cobertos por uma revisão anterior do CAP, demonstrando o valor de revisar o risco além dos bugs reproduzidos. Suas recomendações adicionaram proteção independente para varredura e seleção de energia e continuaram a manutenção de software em versões posteriores.
O registro de recall do GAO classifica a ação dos EUA como Classe I, a categoria reservada para uma probabilidade razoável de consequências adversas graves à saúde ou morte. Data o recall em 3 de junho de 1987, enquanto a narrativa mostra um processo que se estende antes e depois dessa data administrativa. Uma data de recall, aprovação do CAP, instalação e relatório final de análise de segurança são marcos diferentes. Tratar qualquer um como o instante do reparo obscureceria quanto tempo a garantia levou para ser montada.
As evidências de reparo são reais, mas um leitor moderno não pode reproduzir o caso de segurança completo
A evidência de reparo mais forte é a mudança da dependência comum de software para proteção física independente. Um desligamento de hardware após um pulso excessivo e verificações independentes do estado da mesa giratória, varredura e seleção de energia podem conter defeitos de software que não foram descobertos. Suspensões impedem que um operador autorize repetidamente uma condição de dosimetria não resolvida. Mensagens melhores melhoram a detecção. Testes de instalação e protocolos de modificação futura reduzem a chance de que um design correto seja copiado ou configurado incorretamente.
O desafio regulatório é outra forma de evidência. A FDA não aceitou o primeiro aviso ao usuário ou o primeiro CAP como suficientes. Solicitou especificações, planos de teste, análise de interação, diagramas mais claros, testes de modificação futura e verificação de instalação. Identificou dados de teste contraditórios e exigiu uma análise de segurança independente. Autoridades canadenses e usuários pressionaram por barreiras de hardware. Esse registro é mais forte do que um anúncio do fabricante isolado.
O registro público, no entanto, fica aquém de um pacote de garantia completo reproduzível. Não expõe a árvore de código-fonte completa e histórico de versões, todos os requisitos pré e pós-modificação, cada entrada de teste e resultado esperado, cobertura de estados de tempo e rollover, análise de independência para cada intertravamento, registros de instalação para cada unidade, registro de defeitos não resolvidos ou dados de campo de longo prazo por versão de software e hardware. O próprio resumo da análise final diz que a inspeção não podia fornecer alta confiança para algumas funções complexas.
A ausência de outra catástrofe do Therac-25 publicamente documentada após a modernização é consistente com reparo eficaz, mas não é um teste controlado. A frota era pequena, o uso mudou, as máquinas envelheceram e o relato público era imperfeito. A conclusão defensável é que o CAP fortaleceu materialmente o sistema e bloqueou especificamente os caminhos catastróficos conhecidos. A afirmação mais forte de que todos os caminhos de software perigosos foram encontrados e eliminados não é necessária nem apoiada.
Leis e normas posteriores mostram que evidências estavam faltando, não o que era legalmente exigido em 1985
Os Estados Unidos não tinham o quadro de controle de design posterior quando o Therac-25 entrou em uso. O estatuto de 1990 expandiu os mecanismos de relatório e recall. Aregra final do Sistema de Qualidade da FDA de 1996, efetiva em 1997, adicionou controles de design de pré-produção após estudos encontrarem deficiências de design por trás de uma parte substancial de recalls e falhas relacionadas a software. Essas regras posteriores não devem ser apresentadas como requisitos que a AECL violou antes de existirem. São um referencial para identificar as categorias de controle que o registro histórico não possuía.
OsPrincípios Gerais de Validação de Softwareda FDA posteriormente descreveram a validação como evidência de ciclo de vida em vez de um evento de teste final. Aorientação pré-comercialização atual da agência para funções de software de dispositivospede documentação proporcional ao risco, incluindo arquitetura, requisitos, análise de risco, verificação e validação, histórico de revisões e anomalias não resolvidas. O propósito de citar esses documentos é comparativo: eles tornam visíveis os artefatos que um revisor atual esperaria, mas não pode encontrar no registro sobrevivente do Therac-25.
As expectativas modernas de fatores humanos também abordam o caminho da interface. Oguia de fatores humanos e usabilidade da FDAtrata usuários pretendidos, ambientes de uso, tarefas críticas e riscos relacionados ao uso como insumos de design. Sob essa abordagem, correção rápida por um operador experiente, pausas frequentes, mensagens ambíguas e um comando de prosseguir com uma tecla seriam testados como parte do problema de segurança, não descartados como comportamento fora do controle da engenharia.
A FDA reconhece aIEC 62304como um padrão de ciclo de vida de software de dispositivo médico. Sua estrutura de processo não garante software seguro e não valida um dispositivo final por si só. Ela exige um processo de desenvolvimento e manutenção mantido que torne requisitos, controles de risco, configuração, resolução de problemas e impacto de mudanças mais auditáveis. Isso é diretamente relevante para o código herdado através das gerações do Therac e posteriormente corrigido através de várias revisões do CAP.
Na data de publicação do artigo, oRegulamento do Sistema de Gestão da Qualidade da FDAestá em vigor desde 2 de fevereiro de 2026 e incorpora a ISO 13485:2016 por referência. Dá aos reguladores atuais um quadro mais amplo de gestão da qualidade e inspeção, incluindo design e desenvolvimento, investigação de reclamações e registros. É evidência da linha de base atual de responsabilidade, não prova do que uma inspeção teria encontrado na AECL quatro décadas antes.
O quadro de relatórios também é agora mais explícito. Ohistórico do regulamento MDR da FDAtraça a expansão pós-1990 para instalações de usuário, e suavisão geral de relatórios atualdistingue deveres do fabricante, importador e instalação. Regras melhores melhoram a chance de que a anomalia de um hospital se torne um sinal de produto. Ainda dependem de a equipe reconhecer que um evento pode ser relacionado ao dispositivo e preservar evidências suficientes para investigá-lo.
A responsabilidade não pode ser inferida apenas do controle técnico
O controle prático é uma maneira disciplinada de investigar responsabilidade, mas não é um substituto para a aplicação da lei por um tribunal. A autoridade de design da AECL, conhecimento e papel de ação corretiva apoiam uma forte responsabilidade de engenharia. Os poderes de operação e relatório dos hospitais apoiam o exame de decisões locais. A autoridade dos reguladores apoia o escrutínio do tempo e suficiência. Nenhuma dessas observações estabelece os elementos de negligência, causalidade, defeito de produto, violação estatutária ou danos em uma jurisdição e caso particular.
A investigação original baseou-se em depoimentos e relatou que vários processos foram resolvidos extrajudicialmente. Um acordo pode refletir custo de litígio, incerteza, seguro, confidencialidade, compaixão ou alocação de risco. Sem termos públicos e conclusões julgadas, não pode estabelecer uma admissão ou perda agregada. Nenhum julgamento de mérito publicamente acessível resolvendo as principais reivindicações de lesão do Therac-25 aparece no registro primário aqui usado.
A identidade corporativa também requer cuidado. A AECL era uma Crown Corporation canadense, e seu negócio médico posteriormente mudou de nome e propriedade. O assunto manifesto é a Atomic Energy of Canada Limited porque a AECL controlava o produto durante o período dos acidentes e do CAP. Entidades posteriores não devem automaticamente herdar conhecimento factual ou responsabilidade legal sem registros de transação e corporativos estabelecendo essa conexão.
A responsabilidade permanece possível sem reivindicar excessivamente responsabilidade. O artigo pode identificar quem poderia prevenir, detectar, limitar e reparar um risco; comparar esses poderes com ações reais; e preservar incerteza sobre resultados legais. Isso produz um resultado mais útil do que declarar culpa a partir de um defeito de software ou tratar acordos confidenciais como exoneração.
Contrafatuais anteriores são mais úteis que uma fantasia de código perfeito
O contrafatual mais fraco é que programadores melhores teriam escrito código impecável. É intestável e define o padrão errado. Software concorrente em tempo real pode conter defeitos apesar de trabalho competente. Um caso de segurança deve assumir que alguns defeitos sobrevivem e impedir que um único alcance energia catastrófica.
O contrafatual mais forte começa na arquitetura. Se o Therac-25 tivesse mantido intertravamentos independentes de varredura e mesa giratória comparáveis às proteções do Therac-20, o defeito compartilhado de edição poderia ter causado um desligamento em vez de exposição. Isso é apoiado pela descoberta posterior da mesma classe de defeito no Therac-20 sem lesão ao paciente e pelas barreiras independentes selecionadas no CAP final. Não prova que cada um dos seis acidentes teria sido prevenido, porque os três primeiros caminhos exatos são desconhecidos.
Um segundo contrafatual começa após Kennestone. Se a pergunta do físico, a lesão do paciente e o aviso de processo tivessem entrado em um registro formal de riscos compartilhado com todos os usuários e reguladores, instalações posteriores teriam tido uma razão para desconfiar de uma subdose aparente e afirmações de impossibilidade. A máquina poderia ter sido restrita enquanto o comportamento de varredura e intertravamento era testado sob estados de pior caso. O registro não pode provar que evidências disponíveis em junho de 1985 eram suficientes para um recall definitivo, mas eram suficientes para uma investigação conservadora e documentada.
Um terceiro começa após Hamilton. Autoridades canadenses e um consultor independente recomendaram um intertravamento de posição independente e tratamento não retomável de falhas de taxa de dose. Instalar essas mudanças em toda a frota antes do uso rotineiro ser retomado teria abordado a classe de configuração insegura mais amplamente do que modificar a lógica do microinterruptor. O CAP posterior adotou controles estreitamente relacionados. É razoável inferir que a implementação anterior poderia ter reduzido o risco, evitando a afirmação de que certamente teria bloqueado um mecanismo desconhecido de Kennestone ou primeiro Yakima.
Um quarto começa na primeira detecção de Tyler. Uma regra de que qualquer contradição grave de dose requer suspensão do tratamento, avaliação do paciente, estado preservado da máquina e escalada ao vendedor e regulador teria prevenido a continuação imediata com uma tecla. Áudio e vídeo funcionando teriam melhorado a detecção humana. Nenhum controle corrige o software, mas ambos limitam a exposição repetida e melhoram a evidência. Após o primeiro evento, manter a máquina fora de serviço clínico até que a Malfunction 54 fosse reproduzida provavelmente teria prevenido a segunda exposição de Tyler naquela unidade.
Um quinto diz respeito a testes. Reexecutar edição em velocidade de especialista, randomizar o tempo das tarefas, forçar o estouro de byte, injetar estado compartilhado obsoleto e contraditório, saturar entradas de medição e verificar a configuração física final contra a prescrição teria tido mais chance de expor os caminhos conhecidos do que o uso repetido comum. A inferência é apoiada por como o físico de Tyler reproduziu o defeito e como Yakima foi finalmente explicado. A evidência pública não pode mostrar qual técnica teria encontrado qual defeito antes do lançamento.
Fatos confirmados, inferência apoiada e desconhecidos públicos
Fatos confirmados incluem os seis acidentes conhecidos; o maior papel de segurança atribuído ao software do Therac-25; a ausência de algumas proteções independentes retidas em máquinas anteriores; a exclusão de erros de software residuais pela análise de 1983; o caminho de edição dependente de tempo de Tyler; o caminho de estouro de contador de Yakima; comportamento de interface enganoso ou críptico; comunicação de incidente fragmentada; a constatação de defeito da FDA e objeções repetidas ao CAP; as demandas canadenses por mudanças; o recall Classe I nos EUA; e ação corretiva final adicionando proteção de hardware independente, mudanças de
software, comportamento de suspensão mais forte e documentação revisada.
Também é confirmado que o registro da FDA não aceitou várias garantias da AECL pelo valor de face. A agência rejeitou um aviso inicial inadequado ao usuário, solicitou mais detalhes e testes, questionou dados que não apoiavam a correção alegada, exigiu mudanças além do defeito de Tyler e condicionou a aprovação do CAP a resultados finais e análise independente. Usuários e autoridades canadenses contribuíram para o conjunto final de controles. O reparo foi, portanto, negociado e testado em várias instituições, não entregue como um patch incontestado.
A inferência apoiada começa onde esses fatos interagem. Barreiras independentes anteriores provavelmente teriam prevenido pelo menos algumas exposições catastróficas porque o mesmo tipo de inconsistência de software foi contida por hardware no Therac-20 e porque o CAP final selecionou essas barreiras. Um registro de riscos compartilhado e aviso rápido entre locais provavelmente teria acelerado o reconhecimento porque a crença de cada instalação na impossibilidade dependia parcialmente de informação de incidente ausente. Testes integrados mais realistas poderiam ter exposto condições de tempo e rollover.
Essas conclusões são efeitos de controle prováveis, não história alternativa reconstruída.
Vários fatos são disputados ou incertos. O momento e a integralidade do conhecimento inicial da AECL diferiram entre relatos da empresa, hospital e litígio. O mecanismo de Hamilton nunca foi firmemente reproduzido. Os três primeiros acidentes não podem ser atribuídos a um defeito de software particular a partir de evidência pública. Doses exatas aos pacientes variam por reconstrução e condições da máquina. Para alguns pacientes, câncer e lesão por radiação afetaram ambos os resultados, então uma simples contagem de mortes não pode expressar causalidade médica.
O raciocínio privado por trás das escolhas de design e a alocação de autoridade corporativa entre indivíduos nomeados não são públicos.
Incógnitas legais e financeiras são substanciais. Valores e termos de acordo não estão disponíveis no registro primário principal. Não há decisão de mérito pública alocando responsabilidade entre AECL, hospitais, clínicos ou organizações de serviço. Cobertura de seguro, indenizações, despesas legais e totais de compensação estão indisponíveis. A ausência desses registros não significa que não houve custo ou responsabilidade; impede alegações precisas.
Incógnitas de reparo também permanecem. Fontes públicas não fornecem todos os resultados de teste do CAP, documentação completa de revisão independente, todos os registros de instalação de unidades, histórico de controle de código ou taxa longitudinal de incidentes. Não provam como cada máquina modificada se comportou até a aposentadoria. O quadro regulatório e de normas posterior demonstra o que um pacote de evidências atual conteria, mas não pode fabricar retroativamente artefatos faltantes.
Evidências que poderiam alterar a conclusão incluem um registro completo de riscos da AECL, histórico de código e mudanças, requisitos e análises de segurança originais, registros de revisão interna, todos os registros de serviço de instalações, correspondência regulatória não reproduzida na investigação, dados completos de teste do CAP, resultados de aceitação de instalação e registros de acordo ou tribunal desclassificados. Tal material poderia refinar quem sabia o quê e quando.
Não mudaria o fato físico básico de que barreiras independentes estavam ausentes antes dos acidentes e foram adicionadas durante o reparo, mas poderia mudar materialmente a alocação e o tempo da responsabilidade organizacional.
Um teste durável de responsabilidade para segurança médica dependente de software
O primeiro teste é a propriedade do risco. Para todo estado de energia perigosa, existe um proprietário organizacional nomeado com autoridade sobre requisitos, arquitetura, validação, monitoramento de campo e ação corretiva? Esse proprietário mantém o risco através de gerações de produto e componentes reutilizados? Um risco dividido entre equipes de hardware, software e clínica sem um ponto de integração responsável provavelmente cairá entre elas.
O segundo teste é a independência da barreira. Um único defeito de software, variável compartilhada obsoleta, configuração corrompida ou comando equivocado pode derrotar tanto a ação de controle quanto sua verificação? Uma segunda rotina de software no mesmo processador, lendo o mesmo estado e usando as mesmas suposições, pode ser redundante em código mas não independente em segurança. Energia catastrófica requer uma barreira cuja falha não é causada pelo mesmo caminho: sensoriamento físico de posição, corte por hardware, monitoramento independente ou outro mecanismo demonstravelmente separado.
O terceiro teste é o controle de suposições através da reutilização. Cada rotina reutilizada carrega suposições documentadas sobre intertravamentos de hardware, tempo, faixa numérica, comportamento do escalonador, validade do sensor e fluxo de trabalho do operador? Essas suposições são revalidadas quando o software se move para um novo produto? Um longo histórico operacional em um predecessor protegido não é evidência de campo para um sucessor que remove a proteção.
O quarto teste é a evidência de software liderada por risco. Os requisitos começam com estados físicos inseguros e restrições necessárias, ou com recursos e comportamento esperado? Os revisores podem rastrear cada risco até requisitos, arquitetura, código, testes, risco residual e monitoramento de campo? Anomalias não resolvidas são avaliadas quanto à pior consequência crível em vez de frequência sozinha? Passar em tratamentos comuns não exercita combinações raras de estado.
O quinto teste é o teste de interação realista. Usuários especialistas são observados realizando correções comuns em velocidade máxima? O tempo de interrupção, edições rápidas, pausas repetidas, limites de rollover, preempção de tarefas e valores de sensor contraditórios são injetados deliberadamente? O teste inclui o operador mais rápido e experiente, não apenas uma sequência lenta scriptada? A eficiência pretendida deve ser tratada como parte do ambiente operacional.
O sexto teste é a autoridade conservadora homem-máquina. O display comunica o risco em linguagem que o operador possa agir? Uma contradição grave padroniza para suspensão? A reinicialização é bloqueada até que o estado seja restabelecido e verificado independentemente? Alarmes de incômodo frequentes são medidos e reduzidos antes que normalizem a continuação insegura? Um sistema de alarme que ensina os usuários a ignorá-lo consumiu sua própria margem de segurança.
O sétimo teste é a medição verdadeira. Os monitores podem representar a pior saída crível sem saturação ou fallback enganoso? Quando indicações independentes entram em conflito, o sistema preserva ambas e assume o estado mais perigoso? Leituras brutas, limites de faixa e validade do sensor são retidos? Um zero exibido é perigoso quando significa que o instrumento excedeu sua capacidade em vez de que nada ocorreu.
O oitavo teste é um registro de incidente auditável. Cada tratamento retém prescrição, edições, versões de software e configuração, estados físicos de intertravamento, comandos de feixe, leituras de monitor, alarmes, reinicializações e sincronização de relógio? Um físico pode reconstruir a sequência sem depender de memória? O registro é protegido contra desativação rotineira e dimensionado para a vida do produto? A investigação torna-se especulação quando o sistema descarta o estado que importa.
O nono teste é a escalada entre locais. Qualquer instalação pode relatar um evento grave suspeito sem primeiro provar que o dispositivo o causou? Os relatos são agregados por produto e risco entre países, organizações de serviço e departamentos corporativos? Os usuários recebem avisos factuais rápidos que distinguem mecanismos confirmados de risco não resolvido? Um fabricante não deve esperar por lesões idênticas quando o resultado comum é catastrófico.
O décimo teste é a amplitude da ação corretiva. A resposta corrige apenas o gatilho reproduzido, ou identifica todos os caminhos para o estado perigoso? Soluções alternativas provisórias são rotuladas como tal, com risco residual e expiração? O reparo final inclui análise de impacto de mudança, testes de regressão, revisão independente, verificação de instalação e monitoramento pós-comercialização? Uma restrição de tecla pode ganhar tempo; não pode fechar um caso de segurança.
O décimo primeiro teste é a evidência pronta para o regulador. O fabricante pode fornecer requisitos, especificações, planos de teste, resultados, registros de anomalias e dados de instalação quando solicitado, ou deve reconstruí-los após a lesão? Os reguladores têm autoridade e uma rede de relatórios que lhes permite agir antes que o fabricante tenha certeza perfeita? A aprovação especifica condições e prova de conclusão? A garantia de segurança enfraquece quando a documentação segue o reparo em vez de governá-lo.
O décimo segundo teste é a verificação durável. Barreiras independentes são desafiadas periodicamente sob condições de falha realistas? Mudanças de software são avaliadas contra os riscos originais, mesmo após mudança de pessoal e propriedade? Alarmes de incômodo, anomalias de campo e quase acidentes são monitorados em tendência? A organização publica evidência agregada suficiente para que hospitais e reguladores saibam que o controle permanece incorporado? A ausência de catástrofe relatada não é equivalente a prova de desempenho.
O Therac-25 não deve, portanto, ser reduzido a uma fábula moral sobre codificação descuidada ou operadores desatentos. Era um sistema de controle no qual a autoridade do software se expandiu enquanto a proteção independente, a observabilidade e o aprendizado institucional não se expandiram com ela. Os defeitos conhecidos tornaram esse desequilíbrio visível. Os mecanismos anteriores não comprovados e registros incompletos mostram por que a responsabilidade não pode depender de encontrar todos os bugs após o dano.
O reparo moveu-se na direção certa porque mudou quem e o que podia parar o feixe. Intertravamentos independentes, desligamento de um pulso, falhas de segurança não retomáveis, mensagens mais claras, análise mais ampla e ação corretiva testada pelo regulador tornaram o sistema menos dependente de código perfeito e interpretação perfeita. A lição restante é probatória: um fabricante crítico para a segurança deve ser capaz de mostrar, antes da implantação e após cada sinal grave, que nenhum caminho oculto único pode converter trabalho clínico ordinário em exposição catastrófica.

