［美］奥赞·瓦罗尔 李文远 译

　　为什么冗余不是多余的

　　在日常生活中，“冗余”一词是贬义的，但在火箭科学中，是否有冗余，可能就决定了是成功还是失败，而成败关乎生死。

　　航空航天领域中的“冗余”，是指创建备份，以避免因某个故障点而危及整个任务的情况出现。宇宙飞船的设计要满足一个条件：即使出了故障，它也能正常运行，也就是“有故障而不失效”。你开的汽车后面有一个备用轮胎，前面有一个紧急制动装置，也是同样的道理。如果你的车胎没了气或者刹车失灵，就得靠这些备用装置收拾烂摊子。

　　例如，Space X的猎鹰9号火箭配备了9个引擎。这些引擎彼此之间有充足的隔离空间，即使某个引擎发生故障，航天器也能完成任务。最重要的是，引擎的设计决定了它只会“优雅地”失效，不会损害其他组件并危及航天任务。在2012年猎鹰9号的一次发射中，其中1个引擎在飞行过程中失灵，其他8个引擎则持续轰鸣。飞行计算机关闭了有故障的引擎，并调整了火箭的飞行轨道，把引擎故障也考虑在内。火箭继续爬升，将货物运送到轨道。

　　航天器上的计算机也使用冗余装置。在地球上，电脑往往免不了崩溃或死机，而在有压力的太空环境中，计算机发生故障的概率有增无减，因为计算机在太空中要经历无数的振动、冲击、变化的电流和波动的温度。正因为如此，航天飞机的计算机是4倍冗余的，即飞机上有4台计算机在运行着同样的软件。这4台计算机会通过一个多数投票系统就下一步动作进行单独投票。如果其中一台计算机发生故障，开始乱输出数据，其他3台计算机就会投票将其排除在外（没错，伙计们，火箭科学比你想象得更民主）。

　　冗余装置要正常工作，就必须独立运行。一架航天飞机配备4台计算机，这听起来非常棒，但由于它们运行着相同的软件，所以只要一个软件出现错误，4台计算机就会同时瘫痪。因此，航天飞机还配备了第5个备用飞行系统。该系统安装有一款不同的软件，而这款软件由不同于其他软件的分包商提供。如果某个一般性的软件错误使4台相同的主计算机瘫痪，则备用系统将启动，并会将航天飞机送回地球。

　　尽管冗余是一种很好的保险措施，但它同样遵循收益递减定律。额外的冗余增加到某种程度之后，就会无谓地增加设备的复杂性、重量和成本。波音747飞机当然可以有24台引擎而不是4台引擎，但这样你就得花上1万美元才能乘坐从洛杉矶到旧金山的狭窄的经济舱座位。

　　过度的冗余还会适得其反，不仅无法提高可靠性，反而会对可靠性造成影响。冗余设备增加了额外的故障点：如果波音747飞机上的各台引擎没有正确隔离，那么一台引擎发生故障，就有可能损害其他引擎；而每增加一台引擎，风险也会随之增加。这样的风险促使波音公司得出一个结论：引擎数量越少，事故发生的风险就越低。于是波音777飞机上只安装了2台引擎，而不是4台。

　　冗余所提供的安全性能是显而易见的，但这可能导致人们做出草率的决定。他们可能会错误地假设：即使出了问题，也会有一个故障保护装置保驾护航。但实际上冗余不能代替优秀的设计。

　　想想看，在你自己的工作和生活中存在哪些冗余现象？你们公司的“紧急制动装置”或“备用轮胎”在哪里？若你的团队损失了一个有价值的成员、一家重要的经销商，或者一个重要客户，你将如何应对？如果你的家庭失去了收入来源，你会怎么做？别忘了，要确保即使某个组成部分失效，整个系统也必须能够继续运行。

　　安全边际

　　除了将冗余考虑在内，火箭科学家还会通过打造安全边际来解决不确定性难题。例如，他们建造的宇宙飞船比表面看上去更结实，隔热层厚度也会超过标准要求。这些安全边际保护着宇宙飞船，以防充满不确定性的太空环境比预想中更恶劣。

　　随着风险上升，安全边际也应该随之增加。如果你要做出不可逆转的单向决策，就要留出更高的安全边际。我们为宇宙飞船所做的决定大多是不可逆转的。飞船发射后，就没有机会召回它上面的硬件了。所以，我们在飞船上使用的工具必须是多用途的，就跟双向门差不多。

　　让我们来看“火星探测漫游者”计划。该项目于2003年向火星发送了两台探测器——勇气号和机遇号。当探测器降落在火星表面时，我们即将发现的事物存在着巨大的不确定性。所以，我们采用了“瑞士军刀”法。

　　在为火星登陆行动做计划时，我们把各种不同的工具放在探测器上，尽量使它们变得灵活多能。我们的探测器安装了能够观察火星表面的摄像头、能够对土壤和岩石成分进行分析的光谱仪、能够进行近距离观察的显微成像仪，还有一个像锤子一样的研磨工具，可以使岩石内部结构暴露出来。我们还可以操控探测器检查不同的地点。

　　在两辆探测器的着陆点，我们看到了火星轨道飞行器拍摄的区域快照，从而对将会出现的情况有所了解。但正如火星探测计划首席科学家史蒂夫·斯奎尔斯所言，我们对这两个着陆点的期望是“完全、彻底、绝对错误的”。所以，我们学会了借助探测器上的工具来解决火星给我们带来的难题，而不是我们预期中的难题。

　　如果宇宙飞船上的工具用途广泛，它们就可以用来实现远远超出其预期用途的功能。2006年3月，勇气号的右前轮失灵，操控勇气号的导航员便将它倒着开，直至其服役结束。好奇号火星探测器同样也发生了机械故障，导致其钻头失效。工程师发明了一种新方法，用探测器上仍能正常运行的部件来钻孔。他们在地球上用另一台与好奇号一模一样的探测器成功地测试了新的钻探技术，然后向好奇号发出指令，在火星上进行试验，效果非常好。

　　同样的方法也拯救了执行登月任务的阿波罗13号航天飞机上的宇航员。在月球附近，这架航天飞机的氧气罐爆炸，指挥舱中的电力和氧气供应耗尽。3位宇航员必须离开指挥舱，进入登月舱，用登月舱作为返回地球的救生船。但是，登月舱是一个小型蜘蛛形航天器，只能供两名宇航员在月球表面和轨道航天器之间往返。3个人坐在登月舱里呼吸，会导致舱内迅速充满二氧化碳，十分危险。指挥舱里有可以吸收二氧化碳的方形过滤罐，但它们不适合月球舱圆形的过滤系统。在地面的帮助下，宇航员想到了一个办法，用管状袜子、胶带和其他随手找到的物品，把那个方形罐子塞到了圆形过滤系统里——方枘终于入了圆凿。

　　这里有许多适合我们所有人的重要经验。在面对不确定性的时候，我们经常为自己的不作为编造借口，比如“我不够格”“我感觉自己还没做好准备”“我没有找到合适的联系人”“我没有足够的时间”，等等。除非找到一种保证可行的方法，否则我们不会开始行动。

　　但是，绝对的确定性犹如海市蜃楼。在工作和生活中，我们必须以不完善的信息为基础，用粗略的数据做决策。“当探测器在火星着陆时，我们并不知道自己在做什么。”斯奎尔斯承认，“以前没人这样做过，你又怎么知道自己在做什么呢？”如果我们的团队拖延决策，等到选择以完全清晰的方式自动呈现出来（拥有关于登陆地点的完善信息，然后设计出一套完美的工具），那我们就永远无法到达火星。若有其他人愿意与不确定性共舞，或许他们早就在我们冲向终点线之前把我们打败了。

　　正如神秘主义诗人鲁米所写的那样，唯有迈开步伐，路才会出现在前方。尽管威廉·赫歇尔不知道自己会发现天王星，但他还是迈开步伐，打磨望远镜，并阅读天文学入门书。青少年时期的安德鲁·怀尔斯无意中看到了一本关于费马最后定理的书，他不知道好奇心会将自己带往何方，但他还是迈开了步伐。尽管斯奎尔斯不知道他的“空白画布”会引领他的火星探索，可他还是迈开步伐，去寻找那块画布。

　　秘诀就在于：在看到一条清晰的道路之前，你就要开始行走。迈开你的步伐吧，因为这是前进的唯一方式。

　　（摘自《像火箭科学家一样思考：将不可能变为可能》一书，作者系前火箭科学家）