以“Therac-25事件”为例，简述系统设计中存在的软件风险及其影响。

T.herac-25是加拿大原子能公司和一家法国公司联合开发的一种医疗设备，它产生的高能光束或电子流能够杀死人体毒瘤而不会伤害毒瘤附近健康的人体组织。在Therac-25中，软件部分是系统控制机制必要的组成部分，保证系统安全运转的功能更多地依赖于软件。Therac-25系统有X模式和E模式两种工作模式。在X模式下机器产生25MeV的X光束，在E模式下则产生各种能量级别的电子流；由于前者的能量非常高，所以必须经过一个厚厚的钨防护罩之后才能够与病人发生病变的人体组织相接触。模式的选择由操作员从终端上输入的数据决定。
T.herac-25于1982年正式投入生产和使用；在1985年6月到1987年1月不到两年的时间里，因该设备引发了6起由于电子流或X光束的过量使用造成的医疗事故，造成了4人死亡，2人重伤的严重后果。在事故中，操作员在终端上输入错误的控制数据“X”后随即对此进行了纠正；但就在纠正输入数据的操作结束时，系统发出错误信息，操作员不得不重新启动计算机；然而就在这段时间里，躺在手术台上接受治疗的病人一直接受着过量的X光束的照射，结果造成严重伤害甚至死亡。
事后的调查表明，Therac-25系统中使用的软件有一部分直接来自为前两代产品开发的软件，整个软件系统并没有经过充分的测试。而1983年5月AECL所做的Therac-25安全分析报告中，有关系统安全分析只考虑了系统硬件（不包括计算机）的因素，并没有把计算机故障所造成的安全隐患考虑在内。
T.herac-25作为医疗加速器设备历史上最为严重的辐射事故之一，给人们以深刻的启示：软件设计的不当很可能对系统的安全性造成巨大隐患，甚至危及人的生命。因此，在开发应用系统，尤其是安全至上的应用系统时，必须充分地考虑当系统出现故障时，怎样才能将危害降至最低。

略