系统可靠性的幻想

（文 / 胡泳）

数字化生存

技术发展为复杂的系统

1995年12月20日在哥伦比亚卡利附近发生的一起波音757客机坠毁事件使全球客运航空业感到震惊。它提出了一个极其重要的问题：航空自动化技术是否已走得太远？飞行员们是否已变成计算机系统的监视员，而不是飞机的指挥员？

57岁的机长尼古拉·塔弗里和39岁的副机长唐·威廉斯通过向复杂的计算机飞行管理系统键入指令来操纵飞机。这种计算机系统能使飞机在起飞后不久直至降落都按照预先编好程序的路线飞行，无须人工干预。如果收到新的气象消息或空中交通管理命令，飞行员就修改程序。但在这架飞机的飞行员重新编制计算机程序时，驾驶舱内出现了混乱。

从卡利的空中交通管理者那儿传来命令：当飞机飞越名叫图卢瓦的无线电导航塔时，机组必须报告。机长花了90秒时间寻找向图卢瓦导航塔报告的准确电码，并把电码编成程序输入飞行管理系统。可是，当他这么做时，飞机已经飞越该导航塔。这架波音757客机上的计算机却仍然不折不扣地执行指令：发现该导航塔并飞越它。计算机开始使飞机缓慢地盘旋，以使乘客尽可能感到舒适。在这个过程中，飞机不断地降低高度。

在既没有月光也没有地面灯光提示的黑夜中，塔弗里和威廉斯显然没有注意到飞机这种长达一分多钟的缓慢的左旋下降。当他们终于注意到时，他们关闭了飞行管理系统，让另一台计算机通过“航向选择”刻度盘纠正飞机的自动驾驶仪。他们把刻度盘调到他们认为应该飞行的航向上。飞机于是开始另一次由计算机指挥的纠偏行动，这一次是缓慢地向右盘旋，同时继续降低高度。不出两分钟，“接近地面警告系统”便开始高声鸣叫。

威廉斯迅速抓住波音757飞机的操纵杆，几小时来第一次直接指挥飞机，而不是让计算机来操纵。“升起来，孩子！”人们事后从黑匣子中听到他恳求自己的飞机。“升起来！嗨！嗨！升起来！”副机长拼命企图使飞机越过一座山的山顶，然而为时已晚。11秒钟后，机上159人全部遇难。

最近15年来，航空自动化技术迅速普及，总的来说非常有利于飞行安全。避免碰撞系统几乎消灭了空中碰撞事故，接近地面警告系统也大大减少了飞机在降落时发生的坠毁事故。但计算机毕竟是人造的东西，在某些异常情况下，听凭计算机摆布或许就会导致悲惨的灾祸。

和这次空难相仿佛的一件事是，去年秋，加拿大航空公司一架载有69位乘客的波音767客机由于复杂的仪表显示有误，飞机在空中飞行时就耗尽了燃料。

一棵大树的树枝1996年8月9日剐断了美国西部电网的高压输电线，致使6条输电线路中断，7个州停电，半个美国的空中交通控制陷于瘫痪。

当今的人们似乎比以往任何时候都更加崇尚高技术，他们对技术可靠性的信任是维持高技术存在的世俗信仰。但是复杂的工艺系统的绝对可靠性同它给使用者带来的控制感一样，只是一种幻想。

每次当这些复杂的系统发生故障，都会招致人们愤怒的斥责。该怪罪谁呢——是该怪罪要求技术具有绝对可靠性的公众呢？还是该怪罪许诺使技术具有绝对可靠性的工程师们呢？

答案可能是人的聪明才智与混沌数学产生了冲突——随着技术发展为更加复杂的系统，微小的问题能以设计者没有预料到的形式结合到一起并反映出来。

非预期后果法则与混沌学

在技术的发展过程中，常常能够发现一种非预期后果法则在起作用。也就是说，新技术的用武之地可能与人们的设想相去甚远，从而产生无法预期的结果。例如，谁能够猜想到，电子报表软件Lotus 1-2-3的出现，会成为个人计算机业爆炸性增长的主要催化剂？作为第一个获得广泛使用的商业应用程序，它将个人计算机带进办公室，造就了日后个人计算机业将近1000亿美元的庞大规模。

同样地，有人想到过色情电影会成为录像机工业发展的主要动力吗？色情片的流通带动了录像机在产品开发初期的畅销，最终使其成为常见的家庭工具。今天，80%的美国家庭都拥有录像机，如果你问，在美国，最受欢迎的科技产品是什么？或许有人会说。是卫星通讯，或者是电脑网络，但这两个答案都错了。

今年1月，由麻省理工学院进行的一次问卷调查显示，绝大多数美国人认为，他们最喜欢的科技产品是录像机。80%的人说，录像机使生活充满欢乐而富有情趣；排在第二位的是电脑和移动电话。

这样的故事还有许多。斯坦福大学的经济学家内森·罗森伯格指出，蒸汽机当初当初发明时，专门用来从水淹的矿井中向外排水，没有人预料到它会带来铁路运输的发展，从而在整个19世纪带动工业的增长。当亚历山大·贝尔第一次把电话带到公众面前时，人们普遍将其看作一种有趣的娱乐性玩具，至于说电脑，IBM公司前董事长托马斯·沃森在1943年曾作过一个著名的预言：“我想，5台计算机足以满足全球市场。”

非预期后果法则甚至会获得可怕的、悲剧性的力量。1994年，在卢旺达发生了惨绝人寰的种族屠杀，50万图西人，包括妇女和儿童，在不到100天的时间里被胡图人残杀，平均每天就有5000人遇害。这幕惨剧为何会上演？

博学的非洲学者和专家们会指出，世代不绝的部族矛盾、贫穷和殖民主义的余孽是这场灾难的罪魁祸首。这些原因的确存在，但现代技术在其中扮演的角色却很少有人提到。此处所说的技术并不是指现代军事技术，如突击步枪、坦克或战略导弹，因为胡图人在实施暴行时使用的是我们所知的最古老的杀人工具：大棒。这里的技术指的是收音机。

在过去，部族战争往往是短暂的、受地理局限的，但在90年代的卢旺达，收音机使部族屠杀达到了前所未有的规模。它将胡图族领导人对图西族的诬蔑传到了全国成千上万人的耳中。紧接着，在每一个小村庄，胡图族人开始对他们的图西族邻居下手。

这样，马可尼发明的无线电成为进行大规模毁坏的工具。马可尼的本意是将无线电技术用于船舶联络，后来，它成为一种大众传播手段，用来把人们团结在一起。但在卢旺达，它却在制造分裂。

从事风险与技术研究的专家彼得·纽曼说：“一些似乎彼此不相干的事件能够产生国际性问题。”这属于混沌数学的领域。作为一个新兴的数学分支，混沌数学正日益受到科学家的重视。在过去的几百年里，我们一直习惯于用直线和线性方程来解释现实，而现在，混沌数学却将我们生活的宇宙描绘成一个无规则的不连续的场域。用混沌数学来分析诸如天气和股票市场一类的复杂系统，竟然取得了令人意想不到的精确结果。

在混沌学中，一个著名的说法是，一只蝴蝶在中国拍打翅膀，却可能在纽约引起飓风。也就是说，在遥远的一地发生的一件小事，可能会在另外一个地方造成巨大的动荡。

从混沌学的角度出发，我们不难听到关于技术彻底崩溃的预言。

技术报复的脚步声

科幻作家菲利普·怀利在1972年的《梦境的终结》一书中对技术和环境灾难能如何轻而易举地毁灭地球上的生命作了一系列探讨。从一些似乎无害的现象——例如使河流阻塞的水藻急剧繁殖开始，问题很快会演变成越来越具破坏力的事件，包括大范围的供电中断、航空灾难和核事故。最终结果是人类的毁灭——像恐龙一样，成为过于专门化的牺牲品。

科幻作家罗伯特·海因莱因(Robert Heinlein)在1966年出版的科幻小说《月球是个无情的情人》中描述了复杂的电子系统相互连接将会出现的后果。他在小说中描写的计算机系统某天早晨醒来时不仅获得了意识，而且拒不执行地球上的主人发给它的指令。

纽曼说，“从长远看，我们将会遇到严重的问题，除非采取某种断然措施。”

每当人们设法简化生活程序和摆脱现代技术的复杂性时，却发现自己已被本想摆脱的技术紧紧缠绕着。在前述关于美国最受欢迎科技产品的调查中，只有25%的人认为电脑网络给他们的生活带来了便利，但同时有12%的人认为，电脑网络是使生活变得更加复杂化的头号发明。

我们的社会日益被一种极易发生故障和遭受破坏的技术所控制。纽曼说：“每当某个故障排除后，人们总是说这种故障绝不会再次发生，但它总是会一再发生。不论我们是否愿意，我们必须同未知的和无法辨明其可靠性的人和系统共存。”

诚然，公众对某个系统——无论是空中交通控制网还是电子银行业务——的信赖可能与系统的合成同样重要。

专门从事公众对风险看法研究的保罗·斯洛维奇说：“这种信赖对于某个系统的有效运行至关重要。这是一种微妙的平衡。所有这些系统都是复杂的管理系统。在动摇我们信赖的故障还没有发生之前，我们倾向于信赖这些系统。”

但是，随着越来越复杂的子系统相互联系在一起——不论这种子系统是奔腾计算机芯片上的电路还是与全国电网相连的住户——绝不会有任何人能够完全了解所建立的新系统究竟是什么以及它可能出现故障的无数种方式。有人说，公众予以信赖的许多系统发展得过于复杂和昂贵，永远也不可能完全可靠。美国南加州大学的拉尔夫·基尼教授说，工程师们所能尽到的最大努力就是设法使这些系统在一旦发生故障时不会出现安全问题。前述1996年8月9日美国西部电网的停电事故只影响到电网上的部分住户，就是一个很好的例子。

但是造成一些失控问题的原因往往正是安全系统本身。1990年1月15日，一次微小的电子故障使美国电话电报公司的长途电话业务整整瘫痪了9个小时，采用自动化技术的修复系统存在的缺陷引起了很快波及整个网络的突发性故障。而那个有缺陷的安全网络正是为了防止重大故障而于1980年设计建立的。

人们不能或不愿深刻了解的是，系统复杂性正是产生技术报复效应的原因。

有时我们能够清晰地听到技术报复的脚步声。