Ra mắt vào năm 1985, Therac-25 của hãng AECL (Canada) là bước tiến trong ngành xạ trị. Máy này tích hợp hai chế độ điều trị trong một thiết bị gọn nhẹ: tia electron (cho ung thư da và mô nông) và tia X năng lượng cao (cho mô sâu). Sự kết hợp này giúp tiết kiệm chi phí và không gian khiến Therac-25 trở thành lựa chọn hấp dẫn cho các bệnh viện.
Điểm đột phá nhưng cũng là "tử huyệt" của Therac-25 là chuyển hoàn toàn sang điều khiển bằng phần mềm, loại bỏ các khóa liên động cơ điện (hardware interlocks) có trong các mẫu cũ như Therac-20. Theo IEEE Spectrum, Therac-20 cũng có lỗi phần mềm tương tự nhưng các khóa phần cứng đã ngăn chặn tai nạn. Với Therac-25, sự phụ thuộc vào phần mềm mà không có lớp bảo vệ vật lý đã dẫn đến thảm họa khi lỗi xảy ra.
Theo nghiên cứu của Anne Marie Porrello (Đại học Công California), lỗi chết người của Therac-25 xuất phát từ một race condition trong phần mềm. Khi người vận hành chọn nhầm chế độ (ví dụ, tia X thay vì tia electron) và nhanh chóng chỉnh sửa trong vòng 8 giây vốn là thời gian máy cần để chuyển đổi chế độ, phần mềm không thực hiện kiểm tra an toàn. Kết quả: máy vẫn phóng liều bức xạ cao (15.000-25.000 rads, gấp 100 lần mức an toàn 200 rads), gây bỏng nặng, tổn thương nội tạng hoặc tử vong.
Sáu vụ tai nạn được ghi nhận từ tháng 6/1985 đến tháng 1/1987 tại Mỹ và Canada. Ví dụ, tại Bệnh viện Đông Texas (1985), một bệnh nhân nhận liều bức xạ cao gấp 125 lần dẫn đến tử vong sau vài tháng. Theo báo cáo FDA, các nạn nhân thường cảm thấy "sốc điện" hoặc "đốt cháy" ngay trong quá trình điều trị. Đáng buồn, AECL ban đầu phủ nhận lỗi hệ thống, chỉ thừa nhận vấn đề sau áp lực từ FDA và các cuộc điều tra vào mùa xuân 1986. Thảm họa Therac-25 đã làm rung chuyển ngành công nghệ và y tế. Theo Computerworld, sau các vụ tai nạn, cộng đồng khoa học máy tính kêu gọi:
Điểm đột phá nhưng cũng là "tử huyệt" của Therac-25 là chuyển hoàn toàn sang điều khiển bằng phần mềm, loại bỏ các khóa liên động cơ điện (hardware interlocks) có trong các mẫu cũ như Therac-20. Theo IEEE Spectrum, Therac-20 cũng có lỗi phần mềm tương tự nhưng các khóa phần cứng đã ngăn chặn tai nạn. Với Therac-25, sự phụ thuộc vào phần mềm mà không có lớp bảo vệ vật lý đã dẫn đến thảm họa khi lỗi xảy ra.
Theo nghiên cứu của Anne Marie Porrello (Đại học Công California), lỗi chết người của Therac-25 xuất phát từ một race condition trong phần mềm. Khi người vận hành chọn nhầm chế độ (ví dụ, tia X thay vì tia electron) và nhanh chóng chỉnh sửa trong vòng 8 giây vốn là thời gian máy cần để chuyển đổi chế độ, phần mềm không thực hiện kiểm tra an toàn. Kết quả: máy vẫn phóng liều bức xạ cao (15.000-25.000 rads, gấp 100 lần mức an toàn 200 rads), gây bỏng nặng, tổn thương nội tạng hoặc tử vong.
Sáu vụ tai nạn được ghi nhận từ tháng 6/1985 đến tháng 1/1987 tại Mỹ và Canada. Ví dụ, tại Bệnh viện Đông Texas (1985), một bệnh nhân nhận liều bức xạ cao gấp 125 lần dẫn đến tử vong sau vài tháng. Theo báo cáo FDA, các nạn nhân thường cảm thấy "sốc điện" hoặc "đốt cháy" ngay trong quá trình điều trị. Đáng buồn, AECL ban đầu phủ nhận lỗi hệ thống, chỉ thừa nhận vấn đề sau áp lực từ FDA và các cuộc điều tra vào mùa xuân 1986. Thảm họa Therac-25 đã làm rung chuyển ngành công nghệ và y tế. Theo Computerworld, sau các vụ tai nạn, cộng đồng khoa học máy tính kêu gọi:
- Xác minh chính thức (formal verification): Đảm bảo phần mềm không có lỗi logic trước khi triển khai.
- Kiểm tra nghiêm ngặt: Tăng cường thử nghiệm trong điều kiện thực tế, đặc biệt với các thao tác nhanh của người dùng.
- Tài liệu rõ ràng: Cải thiện hướng dẫn sử dụng và cảnh báo an toàn.
