Therac-25事件查看源代码讨论查看历史

Therac-25事件原图链接来自 知乎 的图片

Therac-25事件是在软件工程界被大量引用的案例。Therac-25是加拿大原子能有限公司（AECL）所生产的放射线疗法机器，在Therac-6和Therac-20之后推出（以往的Therac-6和Therac-20是加拿大原子能有限公司和法国的CGL公司合作开发）。在1985年到1987年之间，在美国及加拿大至少有六起和Therac-25相关的医疗事故^[1]，因为软件设计时的瑕疵，使病人受到了过量的辐射。软件的瑕疵是因为竞争危害（二个同时进行程式之间时序冲突造成的问题），有瑕疵时会使病患接受到比正常剂量高一百倍的辐射，因此造成患者死亡或重伤。

此一事故突显了安全关键系统若使用软件控制时的潜在危险性，也是软件工程及医学信息学的经典案例。另外因为工程师的过度自信，而且没有进行适当的尽职调查来修复已知的软件问题，这也是一个极端的例子，工程师因为对其初期的工程过度自信，没有相信终端用户提出的问题，最后产生了严重的结果。Therac-25事件也因而唤醒软件开发工程化管理方法论的省思。

设计

Therac-25可以进行二种放射线疗法：

• 直接电子束疗法，会在短时间内给予短剂量的高能（5 MeV至25 MeV）电子束。

• 百万伏特级X射线疗法，会将高能量（25 MeV）电子撞击特定物质，以产生X射线。

若是要进行直接电子束疗法，设备会直接产生低能量的电子束，利用电磁铁扫描方式让电子束分散到安全的剂量范围。若是要进行百万伏特级X射线疗法，设备会转动四个零件调整电子束的路径，使电子束进入X射线腔中，而X射线腔也有设备会侦测电子束的强度。

问题描述

此事件发生时，所发射的是高能量的电子束，而不是预期的低能量电子束，而且设备对应的零件没有让电子束进入X射线腔中。以前的机种有硬件互锁机制以避免这种情形发生，而Therac-25取消了硬件互锁机制，为了安全起见改用软件的互锁机制。软件互锁机制在有竞争危害时会失效。其缺陷如下：有一个测试程序中一字节的计数器常常会溢位，若操作员恰好在计数器溢位时输入命令，软件互锁机制会失效^[2]。

高能量的电子束给予的能量是理想辐射剂量的100倍，是可能会造成β辐射的致命剂量。患者Ray Cox描述其感觉像“强烈的电击”，他因此尖叫跑出诊疗室。几天后病人开始出现辐射灼伤，病人也开始出现辐射过量的症状，其中有三个病患后来因为辐射过量而死亡。

视频

Therac-25事件 相关视频

参考文献