Softwarové chyby jsou v našem digitálním věku denním chlebem. V lepším případě způsobují drobné frustrace, v horším se jedná o katastrofu. Případ medicínského přístroje Therac-25 z 80. let však ukazuje tu nejhorší možnou variantu. Závada v kódu radioterapeutického přístroje pro léčbu rakoviny stála život nejméně tří lidí a navždy změnila způsob, jakým vyvíjíme kritické lékařské technologie.

Léčebný zázrak bez pojistky

Therac-25 byl lineární urychlovač, revoluční přístroj z 80. let určený k cílenému ničení maligní tkáně. Fungoval tak, že generoval vysokoenergetické elektronové paprsky pro povrchové nádory, nebo energičtější rentgenové (fotonové) paprsky, které pronikly hluboko do těla.

Zásadní rozdíl oproti předchozím modelům a fatální chyba tkvěla v tom, že Therac-25 spoléhal výhradně na softwarové ovládání, a postrádal tak mechanické bezpečnostní zámky. Tato absence hardwarové pojistky se stala příčinou tragédií, ke kterým docházelo mezi lety 1985 a 1987. V nejméně šesti zdokumentovaných případech přístroj ozářil pacienty dávkou až stokrát vyšší, než byla plánovaná.

V důsledku těchto nadměrných dávek záření zemřeli nejméně tři pacienti a další utrpěli vážné fyzické poškození, včetně popálenin a následných amputací.

Fatální závodění v kódu

Jak ale mohla taková chyba vzniknout? K fatálnímu přehmatu docházelo, když obsluha přístroje omylem zvolila nesprávný provozní režim a následně se jej pokusila příliš rychle opravit.

Software, který měl řídit ozařovací logiku, byl kvůli rychlé změně parametrů obsluhou postaven do takzvaného „zápasového stavu“ (race condition). K závodění dochází, když výsledek systému závisí na pořadí, v jakém různé procesy (v tomto případě rychlost obsluhy a kontrolní logika) přistupují ke sdíleným zdrojům. V momentě, kdy operátor chybu rychle korigoval, software přeskočil bezpečnostní kontrolu, což vedlo k nekontrolovanému dodání smrtící dávky záření.

Pomalá a nedostatečná reakce

Tragédie je podrobně popsána i ve výzkumné práci o celém případu. Kromě technické chyby je v dokumentu kritizována i reakce výrobce, společnosti AECL. Výrobci trvalo dlouhé měsíce, než chybu seriózně vyšetřil. Problémy byly zpočátku podceňovány, poté byla příčina popírána a komunikace s uživateli byla nedostatečná. Váháním byl kritizován i Americký úřad pro kontrolu potravin a léčiv (FDA), který zahájil přezkum, ale jednal zbytečně pomalu.

Tragické incidenty s přístrojem Therac-25 se staly nechvalně proslulým varovným příběhem v celém oboru medicínských technologií. Případ vedl k zavedení mnohem přísnějších standardů pro ověřování, testování a dokumentaci chyb softwaru v bezpečnostně kritických lékařských aplikacích po celém světě. Ukázalo se, že na životě lidí záleží na každém řádku kódu.