THERAC-25: O PIOR erro de SOFTWARE da HISTÓRIA

00:00

Eu quero começar o vídeo com uma pergunta.

00:02

Quantas coisas na sua vida você depende diretamente de máquinas para fazer?

00:06

Quando você precisa acordar cedo, você talvez use o seu celular ou algum outro dispositivo eletrônico para te acordar.

00:11

O que você faz sem saber é criar uma condição no software do seu despertador que se parece algo com isso.

00:17

Se o horário for X horas, um alarme será disparado.

00:20

E existe uma chance, mesmo que pequena, de um problema acontecer.

00:24

Quem sabe um bug afete o software do despertador e o seu alarme não vai ser disparado.

00:28

Tenta explicar isso pro seu chefe. Boa sorte.

00:30

Esse é um exemplo muito simples e antigo de como nós somos dependentes de máquinas no nosso dia a dia.

00:35

Até um relógio antigo daqueles programados manualmente pode falhar.

00:39

Nada tá a salvo.

00:40

E com o tempo as coisas deixaram de ser manuais

00:42

e as máquinas começaram a ganhar uma outra espécie de automatização:

00:46

os softwares.

00:47

E hoje em dia, com o avanço de algoritmos de inteligências artificiais, essa automatização

00:51

está cada vez mais presente na nossa vida.

00:53

As músicas que você escuta, os vídeos que você assiste ou até mesmo as pesquisas

00:57

que você faz dependem quase que diretamente de uma inteligência artificial que pode ser

01:01

considerada um software que automatiza.

01:04

Usando um exemplo recente, o ChatGPT.

01:06

Nesse ponto da história, você provavelmente já escutou que a gente tem que tomar cuidado

01:10

com as respostas que o ChatGPT dá, porque ela nem sempre é informação correta.

01:15

Existem diversas notícias ao redor do mundo de alunos de faculdade que fizeram

01:19

trabalhos usando o ChatGPT sem conferir as fontes e acabaram recebendo uma nota

01:23

baixa ou até reprovando por causa disso. Mas por que eu tô falando disso tudo?

01:27

Isso mostra que nós não devemos confiar 100% nas máquinas, mesmo que elas sejam

01:32

extremamente úteis na maior parte do tempo. E pra ser justo, isso também vale para humanos. Falhas humanas são até mais comuns do que a falha

01:41

das máquinas. O ponto aqui é a conclusão errada que muitos de nós temos de que máquinas

01:46

são perfeitas e imunes a erros. E que por errarem menos, então nós podemos confiar

01:50

cegamente nelas. Alguns erros, como um despertador não tocando de manhã, podem ser pequenos.

01:56

Mas outros erros podem ser muito mais catastróficos e levar até mesmo a desastres com perdas irreparáveis, como é o caso do considerado pior erro de

02:04

software na história, o Therac-25.

02:07

O Therac-25 foi uma máquina de radioterapia desenvolvida pela Atomic Energy of Canada

02:12

Limited, ou AECL, e começou a ser comercializada em 1982.

02:17

A máquina foi responsável por seis acidentes que levaram a lesões graves e algumas até

02:23

fatais de pessoas.

02:24

E todos os acidentes estão associados a um bug que aconteceu no

02:28

software da máquina que antes era considerada extremamente segura pela

02:32

empresa. Mas antes que você ache estúpida a ideia de usar a máquina junto com

02:36

radiação, deixa eu contar uma breve história da radioterapia. Só antes de

02:39

conhecermos mais sobre o pior bug de software da história, que tal ouvir sobre

02:42

uma oportunidade de aprender habilidades novas e quem sabe programar melhor?

02:46

Eu pergunto isso porque a Alura está com 15% de desconto para quem assiste o Ciência Todo Dia.

02:52

A Alura é a maior escola online de tecnologia e são mais de 1.400 cursos que você pode

02:57

fazer com uma única assinatura.

02:59

Então entre no site alura.tv/cienciatododia e escolha algum curso de algo que

03:04

você gostaria muito de aprender, mas nunca tirou tempo.

03:07

Se eu fosse recomendar algum, eu recomendaria qualquer um da escola de inteligência artificial.

03:12

Vale a pena.

03:13

E agora, de volta ao vídeo, vamos começar com uma breve história da radioterapia.

03:16

A ideia do uso de radiação para tratar condições médicas não é nova.

03:21

Ela vem do final do século XIX.

03:23

O primeiro uso registrado de radiação foi apenas três dias depois do anúncio da descoberta

03:28

dos raios-x, que foi feita pelo físico alemão Röntgen, em 1895.

03:33

O químico e médico Émile Grubbé ficou extremamente interessado pelo trabalho do Röntgen,

03:38

e ele se utilizou como cobaia,

03:40

tirando imagens de raio-x da sua própria mão.

03:42

E na época, o Grubbé não imaginava que raios-x

03:44

poderiam ser perigosos em doses altas e frequentes.

03:47

Quando ele visitou médicos,

03:49

porque a mão dele estava ficando lesionada,

03:52

um deles, chamado J. E. Gilman,

03:54

percebeu que se algo pudesse danificar tecidos saudáveis daquela forma,

03:58

talvez pudesse danificar e tratar tecidos indesejáveis, como tumores e lesões.

04:03

Um dos médicos que estava na ocasião era Reuben Ludlam,

04:06

e ele cuidava de pacientes com câncer de mama.

04:08

Ludlam e Grubbé, então, iniciaram o tratamento usando o raio-x.

04:12

E por muitas pessoas, essa é conhecida como a primeira vez

04:14

em que a radiação foi usada como tratamento, dando início à radioterapia.

04:18

Infelizmente, os primeiros casos não deram certo,

04:21

mas isso não impediu que a pesquisa do uso de radiação como tratamento

04:24

ao redor do mundo continuasse.

04:26

Logo depois, em 1898, Marie Curie, junto com seu marido Pierre Curie,

04:31

descobriram o rádio e o fenômeno da radioatividade.

04:34

E não demorou muito para que também fosse levantada a ideia

04:37

de que isso pudesse ser usado como radioterapia.

04:39

Por décadas, físicos, químicos e médicos aprofundaram cada vez mais

04:43

a pesquisa do uso de radiação para tratamento de diferentes doenças,

04:46

principalmente tumores.

04:48

E em diversos casos, até hoje,

04:50

tem se mostrado como um tratamento que funciona.

04:52

E é aqui que nós chegamos em 1970,

04:55

quando a radioterapia já era usada como tratamento tradicional e bastante comum.

05:00

O tratamento podia ser dividido em dois tipos, radiação de elétrons e radiação de raios-x.

05:06

Um era usado para atingir partes mais internas do corpo, e dessa forma tratar lesões em órgãos internos,

05:11

enquanto o outro era usado para lesões externas, como as da pele.

05:15

Então, era comum a necessidade de duas máquinas para diferentes tipos de tratamentos,

05:19

o que era visto como caro pelos hospitais.

05:22

Pensando nisso, a AECL introduziu o Double Pass Linear Accelerator,

05:27

ou Acelerador Linear de Passagem Dupla,

05:29

e ele conseguia ser mais ou menos uma máquina dois em um.

05:33

A primeira máquina a ter esse conceito de dois em um foi a chamada Therac-20,

05:37

mas a AECL acreditava que podia melhorar. Foi então que o protótipo da chamada

05:42

Therac-25 foi criado. Ela funcionaria com esse conceito de passagem dupla. Ela seria uma máquina

05:48

dois em um e ela seria totalmente dependente do software. Inclusive as medidas de segurança,

05:53

que antes eram baseadas em hardware, ou seja, coisas físicas, agora dependiam completamente

05:59

de software, código. Em resumo, o Therac-25 faria tudo completamente sozinho.

06:04

O radiologista precisaria apenas posicionar a pessoa na máquina,

06:07

informar a prescrição médica e definir o tipo de radiação.

06:10

Então, seria tudo feito de forma automática e com um mínimo de presença humana.

06:14

E, em teoria, isso diminuiria a possibilidade de falhas humanas.

06:18

Mas o código tem umas coisas curiosas.

06:20

Ele inteiro foi escrito na linguagem de programação PDP-11 Assembly Language

06:23

e ele foi escrito por uma pessoa no decorrer de anos.

06:27

E até hoje a gente não sabe quem foi essa uma

06:29

pessoa. A gente não sabe quem era o responsável pelo código e nem quais eram suas experiências e

06:34

qualificações. E nem mesmo os advogados envolvidos no caso conseguiram identificar a pessoa, mesmo

06:40

depois de inúmeros processos que a empresa levou. E isso nos leva ao momento em que as coisas

06:45

começaram a dar errado. O primeiro caso que levou a um processo aconteceu em junho de 1985.

06:51

Uma mulher estava fazendo a sua 12ª sessão de radioterapia

06:54

para tratar um câncer na região da clavícula.

06:56

E normalmente o processo era completamente indolor

06:59

quando o paciente recebia 200 rads de radiação a cada vez.

07:02

Mas nesse dia ela sentiu uma sensação de queimado

07:05

e disse para o técnico que ele havia queimado a pele dela.

07:08

A queimadura continuou a piorar durante as próximas semanas

07:10

e os técnicos e médicos do centro de tratamento

07:13

acreditavam que eram sintomas do câncer que estava sendo tratado.

07:16

No entanto, um médico percebeu que as lesões foram causadas por alta dose de radiação,

07:21

calculando que a paciente tinha recebido cerca de 15 a 20 mil rads.

07:26

Só lembrando que a dose era para ser por volta dos 200 rads.

07:29

Quando eles informaram a AECL, a empresa retornou dizendo que o médico estava fazendo alegações falsas

07:35

e que era impossível um erro como esse acontecer.

07:38

Um pouco mais de um mês depois, em Ontário, no Canadá,

07:41

algo semelhante aconteceu com outra paciente que também teve sensação de queimaduras.

07:46

A estimativa é que ela tenha recebido uma quantidade próxima a 17 mil rads.

07:50

Para vocês terem noção da quantidade de radiação,

07:53

ela é maior do que a quantidade absorvida pelos dois físicos

07:56

que foram vítimas dos acidentes envolvendo o núcleo do demônio.

07:59

O problema foi informado à empresa, que retornou dizendo que era apenas um problema na mesa giratória.

08:05

A empresa adicionou no software uma forma de identificar se a mesa estava ou não na posição ideal.

08:10

E eles afirmaram que isso aumentaria em 10 mil vezes a segurança da máquina.

08:14

Mas novamente, ela dependia apenas do software, do código para a segurança.

08:19

A Canadian Radiation Protection Bureau pediu que a empresa adicionasse medidas de segurança no hardware da máquina, para que ele funcionasse como uma medida de

08:28

segurança adicional, mas a empresa nunca respondeu. Outro acidente aconteceu em

08:32

dezembro daquele mesmo ano, mas novamente a AECL disse que era impossível aquele

08:35

erro e o software da máquina proibiria uma dose tão alta. E para piorar, só uma das

08:40

três vítimas de 1985 morreu naquele ano. E a causa da morte foi, provavelmente, a

08:46

doença que estava sendo tratada. Os outros dois pacientes tiveram sequelas às lesões, mas essas sequelas não chegaram a ser fatais.

08:54

Mas o pior ainda estava por vir.

08:56

Os técnicos que manuseavam a máquina disseram mais tarde que era comum erros com números aparecerem.

09:02

E, geralmente, eles diziam 'Malfunction X'.

09:05

E esse X, na verdade, era só um número, que ia até mais ou menos 64.

09:08

Alguns deles até relatavam que os erros apareciam diariamente e sumiam logo depois.

09:13

E eles davam sempre as mesmas instruções de reparo.

09:16

Era só desligar a máquina, ligar ela de novo e, puf, pronto.

09:20

Ela volta a funcionar.

09:21

Quanta coisa na vida não é assim, né?

09:23

E quando eles iam procurar o que os erros significavam no manual,

09:26

não tinha nada de útil.

09:27

E mesmo tentando o contato com a empresa, ela também não respondia.

09:31

Até que em março de 1986, no Texas,

09:34

um paciente estava na sua nona sessão de radioterapia.

09:37

Ele estava tratando um tumor localizado nas costas.

09:39

E o hospital já tinha feito mais de 500 sessões usando o Therac-25.

09:44

E até então, eles não tinham nenhum registro de um problema semelhante àqueles que aconteceram em 1985.

09:49

Até que uma técnica experiente colocou os dados na máquina

09:52

e apertou a letra X, de raio-X, ao invés de E, de elétrons.

09:57

E antes que ela pudesse apertar, a técnica percebeu o erro e mudou os parâmetros

10:01

e continuou o tratamento como de costume.

10:03

Até que um erro 'Malfunction 54' apareceu no monitor e, de acordo com o manual, isso significa

10:09

que o paciente havia recebido uma dose ou muito baixa ou muito alta de radiação.

10:13

A técnica percebeu isso.

10:15

No monitor da máquina estava escrito que o paciente tinha recebido só 6 unidades

10:19

de dose ao invés das 202 esperadas.

10:22

Ou seja, de acordo com o software da máquina, ele tinha recebido dose de menos.

10:27

E aí a técnica apertou o botão OK novamente para liberar mais.

10:31

Dentro da sala onde estava a máquina, o paciente percebeu que tinha alguma coisa errada quando

10:35

ele sentiu um choque elétrico forte passando pelo seu corpo.

10:38

Ele tentou avisar a técnica, mas os alto-falantes da sala não estavam funcionando.

10:42

Ele sentiu outro choque antes de conseguir avisar a técnica, que finalmente interrompeu

10:46

o procedimento.

10:47

E no monitor ainda constava que ele tinha recebido uma dose menor do que a esperada.

10:52

E os médicos que foram chamados para resolver disseram que provavelmente o que ele sentiu

10:56

foi um choque comum por causa dos equipamentos eletrônicos.

10:59

O paciente foi enviado para casa e a máquina voltou a funcionar pelo resto do dia.

11:03

Os técnicos da AECL até foram chamados para reproduzir o erro, mas eles não conseguiram.

11:08

Até que dias depois, esse mesmo paciente retornou com sintomas de overdose por radiação

11:13

e os médicos calcularam que ele tinha recebido uma dose de radiação

11:15

maior do que a de alguém que estivesse na usina de Chernobyl quando ela explodiu.

11:19

O paciente faleceu em agosto daquele ano por complicações associadas a essa alta dose de radiação.

11:25

Em abril do mesmo ano, no mesmo hospital, o mesmo erro 54 aconteceu com outro paciente que faleceu em Maina.

11:32

Quando a empresa foi chamada, eles disseram que não conseguiam reproduzir o erro.

11:36

E eles assumiram que talvez tinha sido só um choque elétrico por causa de algum curto circuito,

11:40

mas logo perceberam que esse não era o caso.

11:42

Após testes de um médico, a empresa finalmente confirmou que tinha um problema no código

11:47

e pediu para os usuários não mudarem mais o tipo de radiação de forma rápida.

11:51

O que acontecia era que, para mudar os tipos de radiação,

11:54

os imãs levavam 8 segundos para deixar tudo na configuração adequada.

11:58

Quando os valores eram alterados em menos de 8 segundos,

12:02

as configurações dos imãs não eram

12:04

alteradas e a radiação podia chegar aos pacientes de forma fatal.

12:07

O próprio código que fazia a máquina funcionar era cego para esse erro.

12:11

Ele não conseguia analisar se o que estava no monitor era a configuração em que a

12:15

máquina se encontrava no momento em que os raios eram produzidos. E o erro 54

12:20

dizia mais sobre a dose ter sido alta demais ou baixa demais e não sobre a

12:25

questão de a máquina não estar na configuração adequada.

12:28

Inclusive, até o dosímetro da máquina indicava uma dose bem menor do que a usual.

12:32

E nós não podemos nos esquecer de que a AECL vendia a máquina como se o software detectasse todo e qualquer problema.

12:38

Então, em teoria, esses problemas deveriam ser identificados pelo código da máquina, mas ele possuía bugs que não eram identificados.

12:45

Os modelos anteriores ao Therac-25 possuíam o mesmo erro, mas eles tinham confirmações de segurança através do próprio hardware,

12:53

mesmo quando o operador cometia erros. Ou seja, se o Therac não estivesse na configuração

12:58

adequada, a máquina possuía travas de segurança que impediriam o funcionamento e evitava acidentes.

13:03

E esse foi o grande problema. A segurança da máquina era 100% dependente do código

13:10

dela, que em teoria devia detectar tudo isso. A AECL atualizou o software para consertar esse problema, e no fim de 1986 parecia que tudo estava resolvido.

13:19

Mas como se não bastasse, em janeiro de 1987, outro acidente fatal aconteceu em Washington.

13:25

Mais uma vez por outro bug no software.

13:27

Uma das funções do código era verificar se a posição da máquina estava correta.

13:33

E para isso ele poderia verificar a posição centenas de vezes antes de liberar a dose de radiação.

13:38

Só que se o valor fosse qualquer um diferente de zero,

13:43

isso significaria um problema na posição,

13:45

então a dose não poderia ser liberada.

13:47

Mas a variável que a empresa usou para isso possuía apenas 1 byte,

13:51

que limita o número de valores possíveis para apenas 256 valores,

13:56

que vão do zero ao 255.

13:59

Ou seja, era improvável, mas podia acontecer uma ocasião em que o software tentasse mostrar o valor 256,

14:06

que é um número diferente de zero, que deveria proibir a liberação de radiação,

14:10

mas ainda assim o código deria esse número como zero, porque ele está fora do intervalo.

14:14

E o improvável aconteceu.

14:15

O número parou justamente em 256,

14:18

que foi lido como zero pelo código da máquina e liberou radiação quando a posição ainda não estava correta.

14:23

E esse foi o terceiro acidente fatal envolvendo a Therac-25.

14:27

E como consequência, o FDA passou a investigar mais a fundo a AECL.

14:32

Eles até tentaram melhorar o código e adicionar travas de segurança no próprio hardware,

14:36

mas a empresa logo encerrou a sua atuação no desenvolvimento de equipamentos médicos.

14:40

E pra piorar, na investigação eles descobriram que a empresa nunca havia testado propriamente

14:45

a máquina antes.

14:46

Apesar de eles terem alegado que eles tinham feito mais de 25 mil horas de testes,

14:51

mais tarde eles descobriram que esse não era o caso.

14:53

E o que deixa tudo ainda mais bizarro é que o código foi escrito por apenas uma pessoa

14:57

que até hoje nós não sabemos quem é.

14:59

E toda a segurança de uma máquina com radiação estava baseada nesse código.

15:04

Hoje, o caso do Therac-25 funciona como um caso de estudo de ética

15:08

nos cursos de ciência da computação e também de como bugs podem ser fatais.

15:12

Isso é ainda mais grave quando pensamos que hoje nós somos ainda mais dependentes de

15:15

máquinas em diversas áreas, incluindo medicina.

15:18

Claro que a maior parte dos erros do nosso dia a dia é do tipo, nossa, meu YouTube tá

15:22

demorando pra carregar, eu mostro uma mensagem de erro quando eu abro o Ciência Todo Dia.

15:25

E esse tipo de erro é muito menos grave do que um Therac-25 da vida.

15:29

Mas é importante a gente parar pra refletir o quanto a gente confia nas máquinas.

15:33

E esse tipo de situação tende a ficar ainda maior e mais frequente, com o avanço de IAs em áreas

15:40

como medicina, aeronáutica e automobilismo.

15:43

Sim, humanos estão aptos a falhar até mais do que máquinas.

15:46

Mas isso não significa que elas são imunes a erros que nós devemos confiar cegamente

15:50

nelas.

15:51

Eu acho importante deixar claro que meu objetivo nesse vídeo não é criar caos, já que máquinas

15:56

podem ter até mais casos de sucesso do que casos de falhas em diferentes áreas.

16:00

Mas é importante a reflexão de que existem casos em que nós não devemos confiar cegamente

16:04

em máquinas e quem sabe o caminho para reduzir o risco seja um trabalho em conjunto entre

16:09

humanos, hardware e softwares.

16:11

Isso é algo que devemos ter em mente até mesmo com algo simples como confiar cegamente

16:15

no que o ChatGPT responde, já que a tendência é a nossa dependência nele aumentar.

16:19

E se você gosta desse tipo de tema de vídeo, não esquece de se inscrever aqui no canal

16:23

pra eu fazer mais.

16:24

Muito obrigado e até a próxima!