The Therac-25 Incident (2021)

Therac-25: катастрофа, о которой должен знать каждый разработчик

21 марта 1986 г. в онкоцентре Восточного Техаса оператор установила пациента под 25-мегаэлектронвольтный пучок Therac-25. После лазерной привязки она повернула поворотный столик в положение «электронный режим», ввела параметры и нажала «Ввод». Машина выдала ошибку «MALFUNCTION 54» и остановилась. Оператор, привыкшая к частым глюкам, нажала «П» (продолжить) — стандартный шаг в инструкции.

Через секунды пациент вскрикнул: «Вы меня сожжёте!» Он получил дозу в сотни раз выше нормы, эквивалентную взрыву гранаты в теле. Через 21 день он умер от радиационных ожогов.

За 18 месяцев случилось ещё пять подобных инцидентов: трое погибли, двое получили тяжелейшие травмы. Причина — баг в коде: гонка между потоками ввода и механическим поворотом столика. Если оператор успевала изменить параметры до окончания поворота, программа «забывала» установить ограничитель и выдавала 25 МэВ электронов вместо 200 кэВ рентгеновского излучения.

Компания-изготовитель AECL отрицала проблему, пока не столкнулась с неопровержимыми доказательствами. Расследование показало:

отсутствие независимого контроля безопасности;
игнорирование жалоб;
инструкции, учившие игнорировать ошибки.

Therac-25 стал учебным примером: безопасность должна быть встроена, а не добавлена «потом».

Комментарии (199)

Качество ПО — это не талант «хороших разработчиков», а результат всей процесса: разработки, тестирования, менеджмента, продаж и сервиса.
Therac-25 стал примером катастрофы, когда убрали аппаратные блокировки и доверили безопасность одному разработчику без тестов и документации.
Многие комментаторы опасаются повторения случая с современными «вайб-кодерами» и агентами-LLM, которых подключают к реальному оборудованию.
Главный урок: «Предположи, что софт сделает худшее, и добавь независимую защиту» (принцип авиастроения).
Сегодня Therac-25 преподают в курсах этики и надёжности, но многие программисты так и не слышали о нём.