Therac-25事件查看源代码讨论查看历史
Therac-25事件是在软件工程界被大量引用的案例。Therac-25是加拿大原子能有限公司(AECL)所生产的放射线疗法机器,在Therac-6和Therac-20之后推出(以往的Therac-6和Therac-20是加拿大原子能有限公司和法国的CGL公司合作开发)。在1985年到1987年之间,在美国及加拿大至少有六起和Therac-25相关的医疗事故[1],因为软件设计时的瑕疵,使病人受到了过量的辐射。软件的瑕疵是因为竞争危害(二个同时进行程式之间时序冲突造成的问题),有瑕疵时会使病患接受到比正常剂量高一百倍的辐射,因此造成患者死亡或重伤。
此一事故突显了安全关键系统若使用软件控制时的潜在危险性,也是软件工程及医学信息学的经典案例。另外因为工程师的过度自信,而且没有进行适当的尽职调查来修复已知的软件问题,这也是一个极端的例子,工程师因为对其初期的工程过度自信,没有相信终端用户提出的问题,最后产生了严重的结果。Therac-25事件也因而唤醒软件开发工程化管理方法论的省思。
设计
Therac-25可以进行二种放射线疗法:
- 直接电子束疗法,会在短时间内给予短剂量的高能(5 MeV至25 MeV)电子束。
若是要进行直接电子束疗法,设备会直接产生低能量的电子束,利用电磁铁扫描方式让电子束分散到安全的剂量范围。若是要进行百万伏特级X射线疗法,设备会转动四个零件调整电子束的路径,使电子束进入X射线腔中,而X射线腔也有设备会侦测电子束的强度。
问题描述
此事件发生时,所发射的是高能量的电子束,而不是预期的低能量电子束,而且设备对应的零件没有让电子束进入X射线腔中。以前的机种有硬件互锁机制以避免这种情形发生,而Therac-25取消了硬件互锁机制,为了安全起见改用软件的互锁机制。软件互锁机制在有竞争危害时会失效。其缺陷如下:有一个测试程序中一字节的计数器常常会溢位,若操作员恰好在计数器溢位时输入命令,软件互锁机制会失效[2]。
高能量的电子束给予的能量是理想辐射剂量的100倍,是可能会造成β辐射的致命剂量。患者Ray Cox描述其感觉像“强烈的电击”,他因此尖叫跑出诊疗室。几天后病人开始出现辐射灼伤,病人也开始出现辐射过量的症状,其中有三个病患后来因为辐射过量而死亡。
视频
Therac-25事件 相关视频
参考文献
- ↑ 放疗事故回顾:Therac-25案例 ,搜狐,2020-07-10
- ↑ 软件工程的史前时代 -- Therac-25 事件,知乎