第十章 保守主义的迷惑

在其基础训练中，工程师们被灌输了不可抗拒的保守地设计系统和结构的倾向。在这一行业中到处都是这类证据。表示钢的强度的表格所给的数字比钢条断裂以前能够承受的力小得多。建筑规则提供的标准和水准非常保守，人们可以从一幢标准房屋的四壁上间隔取掉一根墙筋，甚至更多，而不会对其结构的完整造成任何明显的影响。一座吊桥失去一半的垂直支撑的巨缆也不会倒塌，（塔科马海峡大桥在最后倒塌前，承受了特别的惩罚，大大超过其设计基础。）有谁没有在只允许载运 12 人的电梯中挤进 13 人而又活下来谈论这件事呢？

设什和规格的保守主义不是要强制浪费人力和物资，许多世纪积累的经验表明现实世界的情况不是总能预料的，为错误或未预见的事件留些余地是非常合理的。在任何大的项目中都会出现错误。计算机上会按错键，工人在工作时都表现出过度放任，木条、钢条或其他材料的质量会比预期的低，人们会偷窃、欺骗、开小差，同时也会犯诚实的错误，木头会腐烂，钢会生锈， 等等。设计师着认为产品恰恰符合图纸或计划，或者产品永远会被在设计中想象的情形下使用，他必定缺乏智谋。如果他认为自己完美无缺，那么他也同样地愚蠢。这些是构成保守的基础。

即使这样，大楼仍在倒塌，桥梁陷入河流，大坝塌崩，飞机由于其结构失灵而坠毁。我们从经验中学会做事时以足够的保守为基础，从而保证事故不要太经常地发生，而“怎样安全才足够安全”是由大家的公认，而非由异想天开的分析来决定的。足够的安全就是东西不太经常地断裂。这话也许不太优雅，但它确实行得通。

但保守不能总用来为偶然的误差留余地，它是一件奢侈品。造一座比必要的强度强 5 倍或 10 倍的桥所需要的额外材料不仅很贵，也很重。对某些工程计划来说，保守手段还带来了不应持续或不可忽视的困难。一架符合保守的桥梁标准的飞机也许极为安全，但它将重得无法起飞，因此它也不会有多大用处。瑟伯寓言中的一个教训是，为了避免摔个嘴啃泥也不能太往后仰。因此设计和建造飞机时所保留的安全余地比桥梁小得多——商用飞机机翼的标准安全余地是 50％，这意味着它们的强度应该比需要的高 50％，但飞机的机翼在飞行中很少遭受严重的结构性损伤。因此，这一标准很有效。航天飞机结构的安全值更小，因为把不必要的重量减少到最低限度的要求更加迫切。那些余地被削减到微不足道的地步。

第一次听说商用飞机的微小安全值的人吓坏了，他们问为什么安全值不能增加，譬如增加一倍。答案当然是可以增加，但不幸的是这会减少、而不是增加飞机的安全性。认为提高机翼的强度会带来安全，这种错误的概念（这是错误概念，因为机翼极少失灵）造成的后果是，飞机的重量增加，灵活性降低，携带的燃料减少，飞行性能更具挑战性（许多事故是由飞行员的错误造成，而不是机械损坏造成的），这架飞机将是一架更糟糕的飞机。因此强度高的机翼在给予乘客平静的心情时需付出很高的安全代价。

这个例子表明一个重要的原则，也是本章真正的主题：对复杂的系统来说，保守行动并不能保证产生保守的后果。其推论是，对一个复杂系统来说， 把注意力集中于其中一个独立的部分、提高这一部分的强度和可靠性，并不能使整个系统更为安全。这样做的害处也许会超过益处，希莱尔·贝洛克说，

“永远抓住一位护士，以防发现更糟糕的事。”今天的工程师们则说，“如果还没坏，就别去修。”一架经过修理的飞机的强度和重量都超过新飞机， 强度影响被修理的那一部分，而重量则影响整个飞机。安全保障要求进行全盘考虑。

在设计中引进保守主义是一个蓄意的错误，尽管人们预期这更为有利。如果一位设计者假设钢的强度是每平方英寸 18，000 磅（这是常见的设计强度），而他知道在强度远远不到每英寸 10 万磅时就断裂的钢条很少见，这就是一个不怀恶意的谎言和欺骗的游戏。固然，其用意是可尊敬的，很难想象低估材料的强度怎么可能会削弱设计。这一推理在很多情况下是正确的，但不是永远都正确。

形式逻辑中有一条绝妙的公理，它极其微妙，大多数人第一次听见它时都不相信。根据理论逻辑学家的观点，下面是逻辑学的一堂短课。

逻辑系统包括一套陈述，称作命题；一套起始命题，称作公理；以及一套推理法则，即从其他陈述“证明”某一陈述的法则。最著名的推理法则是三段论法则。三段论采取下列形式：所有阶猫在有人抚摩它的肚子时都会得意地咕噜叫；菲利克斯是猫；因此菲利克斯在有人抚摩它的肚子时会得意地咕噜叫。各命题有着严格的顺序——我们许多人在肚子被抚摩时都会哼哼， 但我们并不是猫。（不遵循适当的顺序就会导致排中律的错误推理，这很常见。）法则存在一些变化，还有其他一些法则。因此，有了一套公理或起始命题，就有可能探索根据推理法则可形成哪些新的公理。当这一点成为可能时，就被称作公理证明。

现在，省略“真理”定义中的微妙之处，我们可以问这样一个问题：是否所有的错误命题都能被证明是错误的，是否有任何错误的命题会被证明是正确的，是否有些命题不能确定它正确与否，整个系统实际上是否前后一致。

50 多年前，数学界获知（著名的戈德尔定理）数学中有些命题或公理是不可判定的——无法证明是正确的还是错误的，尽管从更广泛的角度来说， 它们或许对或许错。有一个与此有紧密联系的答案在此很重要，它表明如果一个系统的各个公理彼此矛盾，或更进一步，其中有一个公理是错误的，那么还有可能证明任何命题的正确与否。这句话的意义并不明显。举一个简单内数学例证，我们假设一等于零是一个公理。（我们知道它是错误的，是因为有其他原因，但为进行逻辑测试，暂且假设它是正确的。）那么很容易看到，经过适当的加减乘除，我们可以进行任可算术陈述，不管正确与否。这意味着我们可以发明一种新的形式算术，和通常的一样，除了加上一等于零这条公理，这样所有的打赌都不存在了。

这与工程保守主义有关，因为对任何东西的保守性假设者是有意制造的谎言，可能会产生任何后果，不管后果是好是坏因此，保守的假设——对事实的故意篡改——总会导致保守性后果的错误，无论是一般他说还是从逻辑上说都是错误的。这是一个具有真正后果的抽象真理，我们以正式的方式表明这一点只是为了强调其普遍性。

飞机机翼的强度是一个现实生活的例子，还有其他许多例子。在著名的布朗斯弗雷核电厂火灾中，管理人员拒绝用水灭火，害怕引起电的问题（他们很保守，保守的灭火教条是对电力火灾不要使用水）。由于暂停灭火工作， 他们使得大火失去了控制，在最后用水把火扑灭之前造成的损失严重得多。被严格加固使之具有足够的强度抵御地震的大楼会倒塌，而较有弹性的大楼

则不会。在中世纪，盔甲厚重的骑士往往在战斗中表现不佳 对疫苗的担心正在消耗我们对二些疾病的兔疫水平，导致了一 些可预防疾病的偶发流行。在我们的一些内陆城市麻疹病例在增加。为保证需要时可以使用，在核电厂对重要的紧急状态柴油发动机进行的测试过多，这些测试使其不断磨损。如果飞机在坏天气不飞，更多的人就会开车，而开车风险更大。由于害怕辐射，不愿接受医疗 X 光检查，会诊断不出严重的疾病。如此类推。

这些是简单明了的例子，有些例子没有这么明显。低估某种材料的强度有可能觉察不到这一事实，即在强压之下它可能长时间不破裂，而给另外更重要的部件带来更严重的压力。如果南加利福尼亚的房顶坚固得只足以承受厚重的雪（这当然是愚蠢的保守主义），那么地震中它倒塌时造成的损失要严重得多。如果宇航员（这是另一个真实的例子）被迫对所有想象得到的紧急状态进行实践，那么与那些只对很少一些可能发生的紧急状态进行实践的宇航员相比，他们准备得不如后者。

最后，在计算中也有保守主义，举例说明这一点要困难一些。为保守的目的而在计算中蓄意制造错误，并不能保证其结果也是保守的。但人们却广泛认为是这样的。在申请开办核电厂的许可证时，申请者必须证明工厂能经受一个重大的丧失冷却剂事故，而规定则详细说明在计算中应制造哪些蓄意的错误（也称作保守主义）。

这些丝毫也不意味着工程设计中的保守主义不合适。本章开始时就承认保守意在预防无法预见的事。能够有把握地预见得到的少数几件事情之一就是不可预见的事会发生。但任何保守的设计最终应该被尽可能现实地看待， 考虑到材料的实际性能这样的事，看一看以保守主义的形式出现的额外风险是否被无意地引进。做到这一点困难得多，很少有工程师具有必需的技术。任何一位工程师都会同意确定某样东西不会断裂要比确定它会断裂容易得多。

最后，对一个系统的性能分析，即估价，应该保守地进行，简单他说应诚实地进行，如果目的是要真正知道该系统在压力下会如何工作。可以说工程师在转入分析的角色时应戴上一顶不同的帽子。许多工程师发现这很难做到——终生的保守主义训练与之相斥。如果一项设计作得很保守而分析却以现实的设想进行，那么就会获得两全其美的结果，而且甚至会发现表面上保守的设计实际上并不保守。在设什和对设计的合适性进行判断时使用同样的手段，这其中存在着欺骗的因素，这就像自己给自己在学校的考试打分一样不对。保守的分析不应用来检查保守的设计。

第十五章将有一个有关过分热忱的保守主义的错误的特好的例子——对商业核事故的反应——表面保守的反应是得到辐射有可能释放的第一个暗示时就撤离现场所有的人。大部分事故永远不会发展成完全的灾难，因此，认为临时应急机构应按照事故会发展成灾难的设想来采取行动只能带来麻烦。人们不会在每次废纸篓起火时都从摩天大楼的窗户跳到防火网中去。根据同样的论点，我们对所有可能的战争所作的准备不应该像是这些战争一定会成为核灾难。几乎可以肯定，我们的军事领域专心于考虑核战争的可能性，这部分地造成了这样的局面：在近几年，在要求我们的军队做较低级的工作时， 它们的成绩低于正常水准。固定为最糟的状况做准备导致了在一个不是最糟的世界中的失败。

此外，在任何现实场景中寻找最坏的情况比成为世界上最好的双簧管演

奏家还难。我们可以做一个游戏，假设发生一个事故，你告诉我一个最糟的情况——我总能编造出更糟的。毕竟我的创造不必合情合理，只要更糟就行。在三英里岛事故之后，我的朋友们都一致认为并没有造成太大的损害（除了反应堆本身的损害），但他们仍然很焦虑，问道，“最坏的情况会是怎样呢？”标准答案立刻就有，“事故确实会发展得不可控制，反应堆的外壳可能会爆炸，恰好这时该地区出现了龙卷风。龙卷风会吸走外壳中所有的放射物，向东而行，在每个大城市丢下一些放射物，使其不可居住。如果这对你来说还不够糟糕，我会想出更糟糕的。”

这显然（故意的）是一个不能令人满意的答案，但它却能说明问题—— 没有什么最糟情况。如果你接近最坏情况，你所谈的事极不可能，不值得考虑。朋友们经常会说，“噢，别这样，理性点吧。告诉我真正有可能发生的事。”当他们问道“真正有可能”的事时，他们所谈的是概率，我们兜了一圈又回到原位。没有概率的风险，正如法国人所说的，就像一顿饭没有葡萄酒或者一天没有阳光。然而为最坏情况作打算在我们的社会中很盛行。在写作本书时，美国航空航天局正在不太成功地努力放弃对航天飞机安全保障的最坏情况分析，而航空航天局并不是唯一的冒犯者。一种为人们喜爱的近乎催眠术的想法是，如果你涉及到了最坏的情况，你就涉及了一切。但事实并不是这样。