Therac-25事件是在软件工程界被大量引用的案例。Therac-25是加拿大原子能有限公司(英语:Atomic Energy of Canada Limited)(AECL)所生产的放射线疗法机器,在Therac-6和Therac-20之后推出(以往的Therac-6和Therac-20是加拿大原子能有限公司和法国的CGL公司合作开发)。在1985年到1987年之间,在美国及加拿大至少有六起和Therac-25相关的医疗事故,因为软件设计时的瑕疵,使病人受到了过量的辐射:425。软件的瑕疵是因为竞争危害(二个同时进行程式之间时序冲突造成的问题),有瑕疵时会使病患接受到比正常剂量高一百倍的辐射,因此造成患者死亡或重伤。
此一事故突显了安全关键系统若使用软件控制时的潜在危险性,也是软件工程及医学信息学的经典案例。另外因为工程师的过度自信:428,而且没有进行适当的尽职调查来修复已知的软件问题,这也是一个极端的例子,工程师因为对其初期的工程过度自信,没有相信终端用户提出的问题,最后产生了严重的结果。Therac-25事件也因而唤醒软件开发工程化管理方法论的省思。
Therac-25可以进行二种放射线疗法:
若是要进行直接电子束疗法,设备会直接产生低能量的电子束,利用电磁铁扫描方式让电子束分散到安全的剂量范围。若是要进行百万伏特级X射线疗法,设备会转动四个零件调整电子束的路径,使电子束进入X射线腔中,而X射线腔也有设备会侦测电子束的强度。
此事件发生时,所发射的是高能量的电子束,而不是预期的低能量电子束,而且设备对应的零件没有让电子束进入X射线腔中。以前的机种有硬件互锁机制以避免这种情形发生,而Therac-25取消了硬件互锁机制,为了安全起见改用软件的互锁机制。软件互锁机制在有竞争危害时会失效。其缺陷如下:有一个测试程序中一字节的计数器常常会溢位,若操作员恰好在计数器溢位时输入命令,软件互锁机制会失效。
高能量的电子束给予的能量是理想辐射剂量的100倍,是可能会造成β辐射的致命剂量。患者Ray Cox描述其感觉像“强烈的电击”,他因此尖叫跑出诊疗室。几天后病人开始出现辐射灼伤(英语:radiation burn),病人也开始出现辐射过量的症状,其中有三个病患后来因为辐射过量而死亡。
调查委员会调查后的结论是此一系列事故的主因是不良的软件设计及开发实务,没有明确的将主因归因到所找到的软件编程错误。而软件的设计方式也让软件在实务上不可能以自动化测试进行测试。
研究这系列事故的研究者发现了几个造成此事件的主因,包括了以下的组织层面原因:
研究者也发现一些工程方面的原因:
此软件是用组合语言撰写,因此在测试时需要更多心力,也需要心力才能进行好的设计。不过语言选择本身没有列为事故的主要原因。设备也使用其自己的操作系统。
Leveson指出此事件的一个重大教训就是不可以假设复用的软件就一定安全: “有一个天真的假设,就是认为软件复用以及用现有的商业软件可以增加安全性,因为要使用的软件已经频繁使用过。复用的软件模组无法保证在配合新系统使用时的安全性...”。为了因应像Therac-25这类的事件,创立了IEC 62304(英语:IEC 62304)标准,导入了针对医疗设备的开发生命周期标准,而且也有针对使用未知谱系的软件(英语:software of unknown pedigree)时的特定建议作法。
