專業(yè)倫理與職業(yè)素養(yǎng)-計算機、大數(shù)據(jù)與人工智能課件：計算機倫理規(guī)則

專業(yè)倫理與職業(yè)素養(yǎng)——計算機、大數(shù)據(jù)與人工智能計算機倫理規(guī)則ComputerEthicsRules導(dǎo)讀案例臭名昭著的五大軟件bug我們知道，只要有軟件就會有bug。因為再嚴(yán)格的測試也只是抽樣活動，總會有bug被遺留下來。對于這些bug，我們要看它的影響程度是什么樣的。對于生命周期比較長的系統(tǒng)，這些bug只要產(chǎn)生了影響都是要修改的。

……3.1計算技術(shù)的倫理問題3.2技術(shù)評估和控制3.5錯誤、故障和風(fēng)險3.6軟件和設(shè)計的問題目錄3.3控制設(shè)備和數(shù)據(jù)3.4關(guān)于技術(shù)的決策3.7提高可靠性和安全性3.1計算技術(shù)的倫理問題3.1計算技術(shù)的倫理問題計算機倫理學(xué)是應(yīng)用倫理學(xué)的一個分支，它是開發(fā)和使用計算機相關(guān)技術(shù)和產(chǎn)品時的行為規(guī)范和道德指引，涉及計算機技術(shù)的開發(fā)和應(yīng)用，信息的生產(chǎn)、儲存、交換和傳播中的廣泛倫理道德問題。隨著信息與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計算機信息倫理學(xué)已引起全球性的關(guān)注?！敖⒂嬎銠C倫理學(xué)3.1.1計算機倫理學(xué)原則3.1.3計算機倫理學(xué)的理論基礎(chǔ)3.1.23.1計算技術(shù)的倫理問題3.1.1建立計算機倫理學(xué)計算技術(shù)的發(fā)展延伸了人的身體、擴(kuò)展了人的智能，促成了萬物互聯(lián)，迎來真正的信息社會。一方面，它給人類社會政治、經(jīng)濟(jì)和文化等方面帶來了巨大影響，重塑了人類的價值觀、生產(chǎn)方式和生活方式；另一方面，它的發(fā)展也離不開政治、經(jīng)濟(jì)和文化環(huán)境。計算技術(shù)的發(fā)展亦面臨諸多倫理問題和挑戰(zhàn)，如網(wǎng)絡(luò)安全、個人隱私、數(shù)字鴻溝等。這些熱點和亟待解決的現(xiàn)實問題，促成了技術(shù)倫理學(xué)的大發(fā)展。需要強調(diào)的是，因特網(wǎng)、大數(shù)據(jù)和人工智能對人類社會的影響日益廣譜化和深層化，已經(jīng)超越個體和區(qū)域，涉及人類的整體利益和人類的未來。這使得倫理學(xué)正經(jīng)歷“未來轉(zhuǎn)向”，要求人類不僅應(yīng)對當(dāng)代人負(fù)責(zé)，也應(yīng)對未來人和人類命運負(fù)責(zé)?！?.1.1建立計算機倫理學(xué)戴博拉·約翰遜在《計算機倫理學(xué)》一書中認(rèn)為，計算機被廣泛應(yīng)用到工商、民用、管理、教育、司法、醫(yī)療、科研等方面。在每一個環(huán)境中，存在著人們的目的與利益、機構(gòu)目標(biāo)、人際關(guān)系、社會規(guī)范的矛盾與沖突。研究計算機倫理學(xué)，是為了理解計算機信息技術(shù)引起的倫理道德問題。他指出，“在這方面，計算機倫理學(xué)研究的出現(xiàn)，是為了研究人類與社會——我們的目標(biāo)與價值，我們的行為規(guī)范，我們組織自我的方式，

分配權(quán)利與責(zé)任等等”?！?.1.1建立計算機倫理學(xué)一些學(xué)者認(rèn)為，計算機的應(yīng)用，折射出社會的行動與觀念。計算機倫理學(xué)研究可以作為探視社會的一個窗戶。在“網(wǎng)絡(luò)社會”中，社會的、政治的、經(jīng)濟(jì)的力量在活動。計算機信息與網(wǎng)絡(luò)技術(shù)的最重要特點，是它們的易變性，幾乎可以做任何事情。在“網(wǎng)絡(luò)社會”這一“虛擬的真實”社會中，人們的行為涉及個人、社會、企業(yè)、社會團(tuán)體等各方面的利益。計算機倫理學(xué)正是為了合理認(rèn)識和調(diào)節(jié)信息與網(wǎng)絡(luò)技術(shù)應(yīng)用中引起

的利益而得以成立。“3.1.2計算機倫理學(xué)的理論基礎(chǔ)一些學(xué)者強調(diào)計算機倫理學(xué)的“實用性”，它“探究的是當(dāng)人們做出選擇和采取行動時，如何才是善的和有價值的實踐真理”，研究具體行為的規(guī)范性指導(dǎo)方針，以解決信息技術(shù)帶來的一系列具體道德問題。一些學(xué)者認(rèn)為，計算機倫理問題有一些獨一無二的特征，但它研究的往往是倫理學(xué)的“老問題”。例如隱私權(quán)問題，人們應(yīng)用計算機面臨著前所未有的隱私權(quán)的被侵犯的危險，但隱私權(quán)受到威脅這個道德問題早已存在。計算機倫理學(xué)并不需要去創(chuàng)造一個新的倫理學(xué)理論或體系，人們可以依靠傳統(tǒng)的道德原則與理論，去把握計算機倫理的理論與實踐問題。同時，計算機倫理學(xué)可以應(yīng)用傳統(tǒng)倫理學(xué)的基本概念來區(qū)分范疇，如隱私權(quán)、財產(chǎn)權(quán)、犯罪和泛用、權(quán)力與責(zé)任、職業(yè)實踐等?！?.1.2計算機倫理學(xué)的理論基礎(chǔ)許多學(xué)者認(rèn)為，需要借助傳統(tǒng)的倫理學(xué)理論和原則，把它們作為計算機信息倫理問題的指導(dǎo)方針和確立規(guī)范性判斷的依據(jù)，才能使人們區(qū)分出什么是正當(dāng)?shù)男袨椋裁词清e誤的行為。戴博拉·約翰遜和斯平內(nèi)洛在他們的著作中，都分別把以邊沁和密爾為代表的功利主義，以康德和羅斯為代表的義務(wù)論，以霍布斯、洛克和羅爾斯為代表的權(quán)利論，這三大目前影響較大的經(jīng)典道德理論，作為他們構(gòu)建計算機倫理學(xué)的理論基礎(chǔ)?！?.1.2計算機倫理學(xué)的理論基礎(chǔ)戴博拉·約翰遜和斯平內(nèi)洛認(rèn)為，功利主義是為了每一個受到某一行為影響的人的最大幸福所必須遵循的道德原則。它把許多道德問題用自然的、常識性的方法進(jìn)行處理，并盡可能考慮到各方面的利益，有利于人們在計算機應(yīng)用的道德沖突中做出合理的道德選擇。他們認(rèn)為，康德道德義務(wù)論中的道德“普適性”原則和“永遠(yuǎn)把人當(dāng)作目的，永遠(yuǎn)不把人僅僅看作手段”的原則，羅斯提出的守信、補償、公正、仁慈、自律、感恩、無害等7個自明的道德義務(wù)，在調(diào)節(jié)信息與網(wǎng)絡(luò)技術(shù)條件下的人與人之間的關(guān)系方面，具有十分重要的價值。這些道德義務(wù)可以轉(zhuǎn)換成一些特定的“二級義務(wù)”，如避免用計算機傷害他人；尊重知識產(chǎn)權(quán)；尊重隱私權(quán)；對信息技術(shù)產(chǎn)品的性能和效用的宣傳要誠實，避免不誠實的、欺騙性的和虛偽的宣傳等。“3.1.2計算機倫理學(xué)的理論基礎(chǔ)在信息時代，個人的法定權(quán)利、道德權(quán)利、契約權(quán)利應(yīng)當(dāng)受到特別的尊重。正當(dāng)?shù)男袨槭桥c尊重人的各種基本權(quán)利或自由的正義原則相一致的，個人對私人信息的“非公開性”、“準(zhǔn)確性”、“安全性”擁有權(quán)利?！?.1.3計算機倫理學(xué)原則計算機倫理原則是指計算機信息網(wǎng)絡(luò)領(lǐng)域的基本道德原則，是把社會所認(rèn)可的一般倫理價值觀念應(yīng)用于計算機技術(shù)，包括信息的生產(chǎn)、儲存、交換和傳播等方面。美國學(xué)者羅伯特·巴格在1993年于華盛頓召開的第二屆布魯克英計算機倫理學(xué)年會上，提出了計算機倫理學(xué)的三條基本原理：（1）一致同意的原則，如誠實、公正和真實等：（2）把這些原則應(yīng)用到對不道德行為的禁止上；（3）通過對不道德行為的懲處和對遵守規(guī)則行為的鼓勵，來對不道德行為進(jìn)行防范?！?.1.3計算機倫理學(xué)原則美國學(xué)者斯平內(nèi)洛在《信息技術(shù)的倫理方面》一書中，依據(jù)功利主義、義務(wù)論、權(quán)利論等基本道德理論，對計算機信息技術(shù)倫理問題進(jìn)行了較深入的分析，提出了計算機倫理道德是非判斷應(yīng)當(dāng)遵守的三條一般規(guī)范性原則：（1）“自主原則”。在信息技術(shù)高度發(fā)展的情況下，尊重自我與他人的平等價值與尊嚴(yán)，尊重自我與他人的自主權(quán)利。如，當(dāng)計算機技術(shù)被用來侵犯別人的隱私權(quán)，便侵犯了別人的自主權(quán)。（2）“無害原則”。人們不應(yīng)該用計算機和信息技術(shù)給他人造成直接的或間接的損害。這一原則被稱為“最低道德標(biāo)準(zhǔn)”。（3）“知情同意原則”。人們在網(wǎng)絡(luò)信息交換中，有權(quán)知道誰會得到這些數(shù)據(jù)以及如何利用它們。沒有信息權(quán)利人的同意，他人無權(quán)擅自使用這些信息。“3.1.3計算機倫理學(xué)原則結(jié)合計算機和信息技術(shù)發(fā)展的實際情況，我國學(xué)者也提出了公正原則、尊重原則、允許原則、可持續(xù)發(fā)展原則、自由原則、互惠原則等等?！?.2技術(shù)評估和控制3.2技術(shù)評估和控制許多攝影師都會通過搭建或虛構(gòu)場景，并且在暗室里對照片進(jìn)行后期修改。當(dāng)看到一個視頻，一位現(xiàn)在的流行歌手正在和1977年去世的貓王合唱的時候，我們知道這個創(chuàng)意節(jié)目的背后采用了數(shù)字技術(shù)。但是，同樣的技術(shù)也可以造成欺騙，甚至引發(fā)暴亂。有這樣一個例子：加拿大的一名年輕人在網(wǎng)上貼了一張他在浴室鏡子前面手里拿著iPad的自拍照。在巴黎發(fā)生一系列恐怖襲擊事件導(dǎo)致130人死亡后，有人修改了他的照片，使iPad看起來像是一本古蘭經(jīng)，并將該男子修改成看起來好像是穿著帶炸藥的自殺背心，隨后這張偽造的照片被貼到網(wǎng)上，聲稱該男子是巴黎恐怖分子之一……“3.2技術(shù)評估和控制視頻處理工具提供了更復(fù)雜的“偽造”機會。一個公司開發(fā)的動畫系統(tǒng)可以對一個真人的視頻圖像進(jìn)行修改，產(chǎn)生一個新的視頻，可以讓該人按照系統(tǒng)用戶提供的任何內(nèi)容講話。另一個系統(tǒng)可以分析一個人的講話錄音，根據(jù)他的語音、語調(diào)和聲調(diào)來合成其講話。把這些系統(tǒng)結(jié)合起來，將可能有許多用途，包括娛樂和廣告，但顯然人們也可以用來以不道德的方式進(jìn)行誤導(dǎo)?！?.2.13.2.23.2.33.2.4群體智慧減少信息流便利與責(zé)任計算機模型3.2.5數(shù)字鴻溝3.2技術(shù)評估和控制3.2.1群體智慧人們會在數(shù)字助手、手機APP和一些網(wǎng)站上問各種各樣的問題。這些問詢包括廣泛的個人問題以及更廣范圍的技術(shù)、社會、經(jīng)濟(jì)和政治問題。當(dāng)然，其中很多答復(fù)都是驢唇不對馬嘴的。在網(wǎng)站上，提問者可以把他認(rèn)為最好的答案指定為正確答案。在網(wǎng)站上提出問題顯然非常容易。對于有些問題，網(wǎng)站上可能無法提供最佳結(jié)果，但是卻有可能會由此產(chǎn)生很多的想法和觀點，有時候這正是提問者所希望的。如果沒有網(wǎng)絡(luò)，一個人遇到問題只能詢問自己認(rèn)識的幾個朋友，所得到的答案不會如此多樣性，可能用處也不大。我們來分析一下不正確、扭曲和被操縱的信息可能帶來的問題。早在因特網(wǎng)出現(xiàn)之前，以新聞文章、書籍、廣告和競選傳單的形式出現(xiàn)的“詆毀”就曾以不誠實的手法對很多政治家進(jìn)行攻擊；歷史電影把真實與虛構(gòu)融合在一起，有些是為了戲劇性的目的，還有些是出于意識形態(tài)的目的?！?.2.1群體智慧《紐約時報》是一份受人尊敬的主流報紙，由受過訓(xùn)練的記者撰寫，而且有一個編委會來負(fù)責(zé)。然而，曾經(jīng)就有其中的一位記者捏造了許多故事，涉及抄襲、虛構(gòu)和核查事實不足的許多事件，此事件曾使很多報紙和電視網(wǎng)絡(luò)蒙羞?？梢?，不可靠信息并不是一個新問題，但是，網(wǎng)絡(luò)會把這種問題放大化。“3.2.1群體智慧研究人員發(fā)現(xiàn)，事實上，群體會對特定類型的問題給出較好的答案。當(dāng)大量的人做出回應(yīng)時產(chǎn)生了很多答案，但其平均值、中位數(shù)或最常見的回答往往會是一個很好的答案。這在當(dāng)人們彼此隔離來發(fā)表獨立意見的時候，會更為可行。一些研究人員認(rèn)為，對于一些問題，例如估計經(jīng)濟(jì)增長，或是預(yù)測一個新產(chǎn)品或電影的銷售情況，一個大的（獨立）群體可能會比專家更為準(zhǔn)確。例如，一家加拿大礦業(yè)公司利用這種現(xiàn)象，在網(wǎng)上發(fā)布了大量的地質(zhì)數(shù)據(jù)集，舉行了一場選擇不同區(qū)域來尋找黃金的競賽；美國專利局正在試驗以在線眾包的方式來幫助確定專利申請中所描述的發(fā)明是否是真的或是新的，具有特定技術(shù)專業(yè)知識的人可以向?qū)＠痔嵝咽欠翊嬖谙嗨频默F(xiàn)有產(chǎn)品?！?.2.1群體智慧然而，群體智慧需要一些獨立性和多樣性。人們在看到別人提供的答案時，有可能會修改調(diào)整自己的答案，從而造成最后的答案集合變得不夠多樣化，最好的答案就可能無法脫穎而出。人們通過強化會變得更加自信，但是精確度卻并沒有改進(jìn)。在社交網(wǎng)絡(luò)上（以及在企業(yè)、組織和政府機構(gòu)工作的人員團(tuán)隊中），同事壓力和主導(dǎo)人物可能會降低該團(tuán)體的智慧?！?.2.1群體智慧為區(qū)分網(wǎng)上信息的來源，搜索引擎和其他服務(wù)一開始會根據(jù)訪問網(wǎng)站的人數(shù)來對網(wǎng)站進(jìn)行排名。有些服務(wù)還開發(fā)了更復(fù)雜的算法來考慮用戶提供內(nèi)容的網(wǎng)站上的信息質(zhì)量。各種各樣的人和服務(wù)會對網(wǎng)站和博客進(jìn)行評論和打分。但是，無論網(wǎng)絡(luò)內(nèi)外，都不存在某個神奇的公式，來告訴我們什么是真實可靠的。如果愿意，我們可以選擇只閱讀由諾貝爾獎獲得者和大學(xué)教授寫的博客，或者那些只由朋友或者我們信任的其他人推薦的博客；可以選擇只閱讀由專業(yè)人員撰寫的產(chǎn)品評論，或者也可以閱讀由公眾發(fā)表的評論，以獲得關(guān)于不同的觀點。隨著時間的推移，在網(wǎng)上相對應(yīng)的負(fù)責(zé)任的新聞報道和超市小報之間的區(qū)別也逐漸變得清晰起來?！?.2.2減少信息流盡管網(wǎng)絡(luò)上的信息并不完美，但相比以前通過圖書館獲得的信息，現(xiàn)在通過網(wǎng)絡(luò)還是能夠讓我們獲得更多高質(zhì)量的最新信息，而且更為方便。以時事、政治和有爭議的問題為例，我們可以在網(wǎng)絡(luò)上：·閱讀和收聽成千上萬的來自海內(nèi)外的新聞來源，讓我們可以獲得關(guān)于事件的不同文化和政治觀點?！ら喿x政府文件的全文，包括法案、預(yù)算、調(diào)查報告等、而不像過去只能依賴新聞中引用的寥寥數(shù)語?！に阉鬟^去200年里的新聞，其中包括了數(shù)以百萬計的文章?！りP(guān)注在網(wǎng)站、博客、微博和社交媒體上的新聞，與我們曾經(jīng)不得不去尋找和訂閱印刷版的通訊和雜志相比，現(xiàn)在會更加容易和廉價?！?.2.2減少信息流不過，有些人還是會選擇從少量的幾個網(wǎng)站獲取所有的新聞報道和事件評論，而這些網(wǎng)站反映的可能是某種特定的觀點。使用在線工具，用戶只需要設(shè)置書簽和來源，就可以查看那些經(jīng)常訪問的網(wǎng)站所推薦的內(nèi)容。搜索引擎會根據(jù)用戶的位置、歷史搜索、個人信息，以及其他標(biāo)準(zhǔn)來對用戶投票結(jié)果進(jìn)行個性化。鑒于在網(wǎng)上擁有如此大量的信息，這樣的精細(xì)調(diào)整可以幫助我們迅速找到想要的東西。但是，有時候我們并不知道所得到的信息是經(jīng)過過濾的，或者是有偏見的。因特網(wǎng)有可能會導(dǎo)致我們的信息流變窄，并且明顯減少我們看到關(guān)于有爭議的社會和政治議題的不同看法，因此我們必須認(rèn)真地考慮網(wǎng)絡(luò)的運行機制?！?.2.3便利與責(zé)任若一味使用計算機系統(tǒng)帶來的便利，而忽視或者推卸自己做出判斷的責(zé)任，會導(dǎo)致鼓勵精神上的懶惰，從而可能造成嚴(yán)重后果。在英國，一個卡車司機由于忽視了“不適合大型車輛”的路標(biāo)警告，而使他的卡車陷在一條羊腸小道上，因為他在開車時不加質(zhì)疑地聽從了導(dǎo)航系統(tǒng)的指示。類似這樣的例子在使用導(dǎo)航儀的時候并不少見。。企業(yè)在風(fēng)險分析軟件的幫助下，做出貸款和保險申請的決定；或者醫(yī)生、法官和飛行員會在軟件的指導(dǎo)下做出決定。當(dāng)決策者不知道系統(tǒng)存在的局限性或錯誤的時候，他們就可能會做出糟糕或不正確的選擇?！?.2.3便利與責(zé)任僅僅依賴計算機系統(tǒng)，而缺乏必要的人為判斷，有時會造成組織管理變得“制度化”。計算機程序可用于對醫(yī)生提出患者的治療建議。在復(fù)雜領(lǐng)域，計算機系統(tǒng)會提供有價值的信息，但它可能還不足以好到可以代替經(jīng)驗豐富的專業(yè)判斷。當(dāng)出了問題的時候，“我是按照程序的建議做的”相比“我是按照自己的專業(yè)判斷和經(jīng)驗來做的”，在應(yīng)對調(diào)查或訴訟時，會成為一個更好的辯護(hù)借口。然而，這樣做是在鼓勵個人推卸責(zé)任，并且會帶來潛在的有害結(jié)果。這些例子顯示了依賴于軟件結(jié)果的危險性。另一方面，也有許多例子表明軟件可以比人們做得更好。因此，用戶有責(zé)任了解他們所使用的系統(tǒng)的功能與局限性?！?.2.4計算機模型數(shù)學(xué)模型是數(shù)據(jù)和公式的集合，用來描述或模擬所研究對象的特點和行為，它們通常必須在計算機上才能運行。研究人員和工程師使用廣泛的建模方法來模擬物理系統(tǒng)，例如設(shè)計一輛新的汽車或預(yù)測一條河的水流量；它們也可以用來模擬無形的系統(tǒng)，例如經(jīng)濟(jì)學(xué)中的問題。有了模型，我們就可以對不同的設(shè)計、方案和政策可能會產(chǎn)生的影響進(jìn)行模擬和分析。模擬結(jié)果和模型可以帶來許多社會效益和經(jīng)濟(jì)效益：可以幫助培訓(xùn)電廠、潛艇和飛機的操作人員，可能預(yù)測未來趨勢從而使能夠提前考慮替代方案，并因此做出更好的決策，減少浪費、成本和風(fēng)險?！?.2.4計算機模型模型是一種簡化。例如數(shù)學(xué)模型不可能在公式中將所有可能影響結(jié)果的因素都包含進(jìn)來。它們通常包含簡化的公式，因為完全正確的公式是未知的，或者太過于復(fù)雜。物理模型通常與真實的大小并不相同，例如模型飛機比真實的要小很多，而分子模型則比真實的要大很多。在計算機上做一個復(fù)雜的物理過程的細(xì)節(jié)建模，所需的計算往往比實際過程中發(fā)生的需要花費更多的時間。對于大范圍現(xiàn)象的模型（如人口增長和氣候變化），計算必須比真實現(xiàn)象花費更少的時間，因為只有這樣的結(jié)果才是有用的。因此，對于計算機專家和廣大民眾來說，重要的是，要了解計算機程序的功能是什么，其中的不確定性和弱點可能是什么，以及如何來評價它們所聲稱的結(jié)果。而對于設(shè)計和開發(fā)公共問題模型的人來說，他們有職業(yè)和道德上的責(zé)任，來誠實和準(zhǔn)確地描述模型的結(jié)果、假設(shè)和限制?！?.2.4計算機模型以下問題可以幫助我們確定一個模型的準(zhǔn)確性和實用性。（1）建模的人是否清楚明白在研究的系統(tǒng)背后的科學(xué)或理論（物理學(xué)、化學(xué)、經(jīng)濟(jì)學(xué)或其他學(xué)科）？他們是否很好地理解了所涉及的材料的相關(guān)屬性？數(shù)據(jù)的準(zhǔn)確性和完整度如何？（2）模型必然涉及對現(xiàn)實的假設(shè)和簡化，在該模型中采取了哪些假設(shè)和簡化？（3）模型的結(jié)果或預(yù)測與物理實驗結(jié)果或?qū)嶋H經(jīng)驗中的結(jié)果之間有多接近？“3.2.5數(shù)字鴻溝所謂“數(shù)字鴻溝”是指這樣的事實：某些群體的人可以享受并定期使用各種形式的現(xiàn)代信息技術(shù)，而其他人則做不到。在20世紀(jì)90年代，數(shù)字鴻溝的關(guān)注點是不同群體在訪問計算機和因特網(wǎng)之間的鴻溝。隨著因特網(wǎng)訪問和移動電話的快速發(fā)展，許多非常困難的問題仍然阻礙了貧窮國家和發(fā)展中國家訪問計算機和因特網(wǎng)技術(shù)的機會?！皵?shù)字鴻溝”又稱為信息鴻溝，即“信息富有者和信息貧困者之間的鴻溝”。它最初是由美國國家遠(yuǎn)程通信和信息管理局于1999年在名為《在網(wǎng)絡(luò)中落伍：定義數(shù)字鴻溝》的報告中提出。隨后，數(shù)字鴻溝最早正式出現(xiàn)在美國的官方文件里面——1999年7月份美國官方發(fā)布的名為《填平數(shù)字鴻溝》的報告。2000年7月，世界經(jīng)濟(jì)論壇組織提交專題報告《從全球數(shù)字鴻溝到全球數(shù)字機遇》。在當(dāng)年召開的亞太經(jīng)合組織會議上，數(shù)字鴻溝成為世界矚目的焦點問題。“3.2.5數(shù)字鴻溝聯(lián)合國開發(fā)計劃署的顧問達(dá)尼西指出，數(shù)字鴻溝實際上表現(xiàn)為一種創(chuàng)造財富能力的差距。美國“全國城市聯(lián)盟”的技術(shù)計劃指導(dǎo)基思·富爾頓認(rèn)為，必須落實培訓(xùn)和教育方面的投資，數(shù)字鴻溝并不僅僅指是否擁有計算機。歷史上發(fā)生過“工業(yè)革命”，但許多國家在工業(yè)革命中各行其道，許多國家落在后面?！?.2.5數(shù)字鴻溝美國商務(wù)部把數(shù)字鴻溝概括為：“在所有的國家，總有一些人擁有社會提供的最好的信息技術(shù)。他們有最強大的計算機、最好的電話服務(wù)、最快的網(wǎng)絡(luò)服務(wù)，也受到了這方面的最好的教育。另外有一部分人，他們出于各種原因不能接入最新的或最好的計算機、最可靠的電話服務(wù)或最快最方便的網(wǎng)絡(luò)服務(wù)。這兩部分人之間的差別，就是所謂的‘?dāng)?shù)字鴻溝’。處于這一鴻溝的不幸一邊，就意味著他們很少參與到以信息為基礎(chǔ)的新經(jīng)濟(jì)當(dāng)中，也很少參與到在線教育、培訓(xùn)、購物、娛樂和交往當(dāng)中?！边@一定義主要從經(jīng)濟(jì)、技術(shù)角度入手，雖然沒有包括文化、民族、性別等方面的差異，但道出了數(shù)字鴻溝的主要原因和表現(xiàn)，因而具有一定的代表性?！?.2.5數(shù)字鴻溝一些學(xué)者也認(rèn)為，所謂的“數(shù)字鴻溝”應(yīng)當(dāng)被稱為“知識鴻溝”或者“教育鴻溝”。在因特網(wǎng)時代，個人計算機的主要用途已經(jīng)由計算轉(zhuǎn)化為信息搜索、信息交換和信息處理了，所謂“知識理溝”，就是一方面閑置著大量的勞動力，另一方面，這些勞動力卻因為知識儲備不足而無法被吸收到最具價值創(chuàng)造潛力的、占國民經(jīng)濟(jì)比重高于70%的經(jīng)濟(jì)過程中去，從而不得不擠在只占國民經(jīng)濟(jì)價值總額30%以下的傳統(tǒng)農(nóng)業(yè)和工業(yè)部門內(nèi)。同我國的地形梯級分布相似，我國不同地區(qū)使用數(shù)字技術(shù)的程度也曾梯級分布，只不過方向剛好相反，表現(xiàn)為東部沿海城市數(shù)字化程度相對來說比較高，而中西部地區(qū)數(shù)字化程度較低?！?.3控制設(shè)備和數(shù)據(jù)3.3控制設(shè)備和數(shù)據(jù)我們知道，蘋果公司試圖控制人們可以在他們的iPhone上安裝哪些應(yīng)用程序，而有些用戶找到了關(guān)掉這些控制的方法，但這樣做會增加黑客攻擊的風(fēng)險。另一方面，提供設(shè)備、軟件或數(shù)據(jù)的公司也可能進(jìn)入我們的設(shè)備并刪除或修改我們的數(shù)據(jù)。他們的干預(yù)可能對我們有所幫助，也可能是為了滿足公司的需求，或兩者兼而有之。但無論如何，這都是我們失去對設(shè)備和數(shù)據(jù)的控制的一個例子?！斑h(yuǎn)程刪除軟件和數(shù)據(jù)自動軟件升級3.3控制設(shè)備和數(shù)據(jù)3.3.1遠(yuǎn)程刪除軟件和數(shù)據(jù)在亞馬遜開始為它的Kindle電子書閱讀器銷售電子圖書之后不久，發(fā)現(xiàn)有個別出版商的一些書沒有取得合法版權(quán)，于是，亞馬遜從在線商店中刪除了這些書，在用戶的Kindle閱讀器上也刪除了這些書，并返還了用戶支付的相關(guān)費用。但這是否是一個合理和適當(dāng)?shù)姆磻?yīng)呢？對于許多用戶和媒體觀察員來說，這樣是不對的。令用戶憤怒的是，亞馬遜居然可以從他們個人擁有的Kindle閱讀器中刪除書籍。人們的反應(yīng)是如此強烈，以至于亞馬遜公司不得不宣布它保證以后不會再從客戶的Kindle閱讀器中刪除圖書。很少有人意識到，這個時候蘋果的iPhone已經(jīng)擁有了可以用來遠(yuǎn)程刪除手機應(yīng)用的方法。當(dāng)一個軟件開發(fā)人員在一個安卓手機的應(yīng)用中發(fā)現(xiàn)惡意代碼之后，谷歌迅速從應(yīng)用商店和超過25萬部手機中刪除了該應(yīng)用。雖然這是關(guān)于遠(yuǎn)程刪除作用的一個好的例子，但谷歌可以從手機中刪除應(yīng)用這一事實還是讓很多人感到不安?！?.3.1遠(yuǎn)程刪除軟件和數(shù)據(jù)在許多企業(yè)中，IT部門可以訪問到所有的桌面計算機，并且可以安裝或刪除軟件。在個人電腦和其他電子設(shè)備上的軟件，不需要我們直接操作，就可以定期與企業(yè)和組織的服務(wù)器進(jìn)行通信，以檢查是否有更新的軟件、新聞。在軟件更新之后，通常還會遠(yuǎn)程刪除舊的版本。谷歌和蘋果進(jìn)行遠(yuǎn)程刪除的一個主要目的是為了安全性。事實上，像谷歌和蘋果這樣提供了流行應(yīng)用商店的公司，覺得保護(hù)用戶免受惡意軟件的攻擊是他們的責(zé)任。如果有數(shù)百萬部手機都在運行某個惡意應(yīng)用，會對整個通信網(wǎng)絡(luò)帶來破壞性的影響。有些公司會在用戶使用協(xié)議的條款中告知他們有這些刪除的能力，但是，這樣的協(xié)議可能會包含數(shù)十萬字，并且包含很多含糊、籠統(tǒng)的說法；很少有人會閱讀它們。對于遠(yuǎn)程刪除來說，潛在的用途和風(fēng)險是什么呢？例如惡意的黑客可能會找到一種辦法，使用刪除機制來進(jìn)行惡作劇或者索要贖金?！?.3.2自動軟件升級微軟提供的升級功能例如可以把計算機操作系統(tǒng)從Windows7升級到Windows10，我們使用這個例子來說明有關(guān)自動軟件升級的一般性問題和質(zhì)疑。2016年，微軟Windows7的用戶發(fā)現(xiàn)他們的計算機自動且意外地升級到了Windows10。長時間的升級過程給許多正在進(jìn)行重要項目的人帶來了不便，而其他人則遇到了更嚴(yán)重的問題。一些用戶選擇接受操作系統(tǒng)更新，但不希望整個操作系統(tǒng)升級到新的版本。微軟表示只有在用戶給出明確許可的情況下才會安裝Windows10。有些用戶可能已經(jīng)允許升級而沒有意識到他們這樣做了，但是一些系統(tǒng)管理員表示他們看到在沒有明確的用戶同意的測試系統(tǒng)上，也出現(xiàn)了被升級的情況?！?.3.2自動軟件升級在這個案例中，新版操作系統(tǒng)提供了許多改進(jìn)的安全功能，以及各種硬件平臺之間更好的兼容性。當(dāng)所有用戶使用相同版本的操作系統(tǒng)時，公司可以更容易地為用戶提供支持。但是，有些人可能使用了與新系統(tǒng)不兼容的軟件，有些人更喜歡舊的用戶界面，有些人不希望在大型項目進(jìn)行過程中發(fā)生中斷，以免發(fā)生潛在的未知問題。自動軟件更新也可能會給那些沒有機會對此次更新的兼容性和安全性進(jìn)行測試的IT員工帶來麻煩。汽車、醫(yī)療設(shè)備等的軟件更新可能會對安全產(chǎn)生嚴(yán)重影響。例如在更新安裝過程中，你肯定不希望自動駕駛汽車在高速公路上停下來；一家半自動駕駛汽車制造商會自動下載更新車輛的軟件，并通知車主讓其安排安裝時間（例如，可以選擇在晚上安裝），而一個用戶如果沒有安裝更新，他可能會使其他人面臨不必要的風(fēng)險?！?.4關(guān)于技術(shù)的決策3.4關(guān)于技術(shù)的決策科學(xué)、工程和商業(yè)領(lǐng)域的大多數(shù)人幾乎都會接受這樣的觀點：人們有權(quán)選擇采用某種技術(shù)，不管其結(jié)果是好還是壞。技術(shù)的一些批評者則不一定會同意。例如，遠(yuǎn)程醫(yī)療是計算機技術(shù)的一個很好的應(yīng)用。計算機和通信網(wǎng)絡(luò)使遠(yuǎn)程檢查患者和醫(yī)療測試以及遠(yuǎn)程控制的醫(yī)療過程成為可能。你應(yīng)該能夠想到，這樣的系統(tǒng)會帶來一些潛在的隱私和安全問題?！?.4關(guān)于技術(shù)的決策簡單回顧通信技術(shù)和計算機技術(shù)的發(fā)展過程，可以看到評估一項新技術(shù)的后果和未來應(yīng)用是非常困難的。早期的計算機被用于軍事目的：計算彈道軌跡。個人計算機（PC）原本是用來做計算和公文寫作的一種工具。除了少數(shù)有遠(yuǎn)見的人之外，沒有人能想象到計算機目前的大部分用途。每一種新的技術(shù)都能找到新的意想不到的用途。當(dāng)物理學(xué)家開始建立因特網(wǎng)的時候，有誰能預(yù)測到網(wǎng)上拍賣、社交網(wǎng)絡(luò)或共享家庭視頻呢？會有人能預(yù)測到使用智能手機的多種方式中的哪怕很小一部分嗎？波茲曼聲稱技術(shù)完成的“是它所被設(shè)計來要做的事情”，他忽略了人的責(zé)任和選擇、創(chuàng)新、發(fā)現(xiàn)新的用途、無法預(yù)料的后果，以及鼓勵或阻止特定應(yīng)用的社會行為。計算機科學(xué)家彼得·丹寧則認(rèn)為：“雖然技術(shù)不能驅(qū)使人類采取新的做法，但是它塑造了可能的空間，使人們能夠采取行動：人們被技術(shù)所吸引，是因為可以擴(kuò)大自己的行為和關(guān)系的空間?！钡幷f，人們采用的新技術(shù)會給他們帶來更多的選擇?！?.4關(guān)于技術(shù)的決策在技術(shù)發(fā)展的歷史上有無數(shù)完全錯誤的預(yù)測——有些過于樂觀，有些過于悲觀。一些科學(xué)家對空中旅行、太空旅行，甚至鐵路都曾持懷疑態(tài)度（他們認(rèn)為乘客將無法在高速列車上呼吸）。其中有些話反映了人們?nèi)狈ψ銐虻南胂罅?，無法預(yù)測每一種新技術(shù)的無數(shù)用途，大眾會喜歡什么，以及他們會花錢買什么。杰出的數(shù)學(xué)家和計算機科學(xué)家馮·諾伊曼在1949年說過，“我們已經(jīng)達(dá)到了計算機技術(shù)可能達(dá)到的極限，但是做出這

樣的陳述的時候要十分小心，因為它們在5年后就可能會聽

起來很傻?！薄?.4關(guān)于技術(shù)的決策計算機科學(xué)家約瑟夫·魏澤鮑姆在1975年發(fā)表觀點反對計算機技術(shù)中的語音識別系統(tǒng)?，F(xiàn)在40年過去了，我們再回頭來看這個事件。很多物美價廉的語音識別應(yīng)用其實在20世紀(jì)90年代初就已經(jīng)出現(xiàn)了。下面是魏澤鮑姆反對的觀點，以及從今天的角度對此做的評論。“這個問題太大了，只有規(guī)模最大的計算機才有可能完成這樣的任務(wù)?！爆F(xiàn)在，語音識別軟件在智能手機上就可以運行?！啊慌_語音識別機器注定是極其昂貴的。……因此只有政府和可能極少數(shù)非常大的公司才能買得起它?！爆F(xiàn)在，無數(shù)人擁有包含語音識別功能的智能手機和其他設(shè)備。“我們又能用它來做什么？”語音識別技術(shù)已經(jīng)成為一個價值數(shù)十億美元的產(chǎn)業(yè)。“3.4關(guān)于技術(shù)的決策下面是語音識別系統(tǒng)一些現(xiàn)在的用途，而且目前還只是處于起步階段：·我們可以用語音搜索信息、發(fā)送短信、預(yù)約會面時間、控制家用電器等。我們可以查詢航空公司的航班時刻表、獲取股票行情和天氣信息、進(jìn)行銀行交易，以及在手機上購買電影票；這一切都只需要自然地講話就可以完成，而不用任何按鈕?！の覀兛梢越o一家公司打電話，然后說出想要找的人的姓名，就可以自動連接到這個人的分機。·軟件可以從視頻和電視的語音軌道創(chuàng)建對應(yīng)的文字版本，這樣有聽覺障礙的人就可以讀到語音的內(nèi)容，搜索引擎也可以對此進(jìn)行索引?！?.4關(guān)于技術(shù)的決策·使用語音識別，培訓(xùn)系統(tǒng)（如空中交通管制員）和各種工具可以幫助殘疾人使用計算機和控制家里的電器?！ぴ馐苤貜?fù)性勞損的人可以使用語音識別來輸入，而不必使用鍵盤。IBM向詩人推銷其語音輸入軟件，這樣他們就能夠?qū)Ｗ⒂谠姼璞旧?，而不是把精力放在打字上。有讀寫障礙的人也可以使用語音識別軟件，這樣他們就可以通過口述來寫作?！ふZ音翻譯系統(tǒng)還可以識別語音并把它翻譯成其他語言。它們對于游客、商務(wù)人士、社會服務(wù)工作者、酒店預(yù)訂職員和許多其他人都是很有用的?！?.4關(guān)于技術(shù)的決策·聲控的、免提操作的手機、音響系統(tǒng)以及汽車?yán)锏钠渌娖骺梢韵隈{駛時使用這些設(shè)備的一些安全隱患?！こ撕唵蔚刈R別單詞之外，軟件還可以分析語音中的情緒。一個可能的應(yīng)用領(lǐng)域是婚姻咨詢。你還能想到其他用途嗎？“3.4關(guān)于技術(shù)的決策人們可以使用語音識別技術(shù)來提高竊聽的效率和效果。魏澤鮑姆擔(dān)心對竊聽的濫用；他沒有明確提到對犯罪嫌疑人的竊聽。人們可以爭辯說，政府可以使用相同的工具來合法地監(jiān)聽嫌疑罪犯和恐怖分子，但事實上，語音識別和許多其他技術(shù)工具一樣可能帶來危險。為了避免這樣的濫用、部分依賴于對權(quán)力的嚴(yán)格控制，一定程度上還要依賴于法律和執(zhí)法機制來保證。魏澤鮑姆并沒有把計算機技術(shù)當(dāng)作一個整體來進(jìn)行評價，而是只專注于一個特定的應(yīng)用領(lǐng)域。如果我們允許政府、專家或者大眾通過多數(shù)票選來禁止某些技術(shù)的發(fā)展，那么，我們至少要能夠?qū)ζ浜蠊扔酗L(fēng)險，也有好處）做出相當(dāng)準(zhǔn)確的估算。其實，我們無法做到這一點，專家們也無法做到這一點?！?.5錯誤、故障和風(fēng)險3.5錯誤、故障和風(fēng)險從消費軟件到控制通信網(wǎng)絡(luò)的系統(tǒng)，大多數(shù)計算機應(yīng)用都是如此的復(fù)雜，以至于幾乎不可能生產(chǎn)出沒有錯誤的程序。某些錯誤并不嚴(yán)重，而有些事件可能會造成較大的經(jīng)濟(jì)損失，甚至?xí)斐杀瘎　Ｓ捎谟嬎銠C系統(tǒng)的復(fù)雜性，有時候，即使所有人都遵守了好的職業(yè)規(guī)范，并沒有人犯任何錯誤，但還是會有意外發(fā)生。不過，研究這些失敗、造成失敗的原因以及由此帶來的風(fēng)險，有助于防止未來的失敗情形。“3.5.13.5.23.5.33.5.4個人遇到的問題系統(tǒng)故障遺留系統(tǒng)重用案例：停滯的丹佛機場建設(shè)3.5.5哪里出了毛??？3.5錯誤、故障和風(fēng)險3.5.1個人遇到的問題人們遇到的因為計算機系統(tǒng)的故障而造成負(fù)面影響的事件并不少見，例如收費賬單錯誤、系統(tǒng)（數(shù)據(jù)庫）中數(shù)據(jù)不準(zhǔn)確或者被曲解等。我們來看一個例子。在美國紐約州，CTB/麥格勞-希爾為學(xué)校開發(fā)了標(biāo)準(zhǔn)化測試軟件并用其打分，每年會有數(shù)百萬名學(xué)生參加它的測試。但是，CTB軟件中出現(xiàn)了一個問題，導(dǎo)致它在好幾個地區(qū)都錯誤地報告了大大低于正確分?jǐn)?shù)的測試結(jié)果，

一些老師因此遭受了職業(yè)生涯危機。由于分?jǐn)?shù)錯誤，近9000

名學(xué)生不得不參加暑期學(xué)校以補習(xí)功課。當(dāng)然，最終CTB糾

正了錯誤：測試成績實際上提高了5個百分點?！?.5.1個人遇到的問題為什么這個問題沒有被及早發(fā)現(xiàn)，從而可以避免嚴(yán)重的后果呢？幾個州的學(xué)校測試官員都對分?jǐn)?shù)結(jié)果持懷疑態(tài)度，因為這次分?jǐn)?shù)出現(xiàn)了突然的，意外的下降。他們向CTB提出質(zhì)疑，但CTB告訴他們說一切正常。即使在CTB發(fā)現(xiàn)軟件錯誤后，公司也沒有及時告知學(xué)校，而是拖了好幾個星期。當(dāng)然，軟件錯誤是很難完全避免的。人們通常會注意到顯著的錯誤，就像這個事件中一樣。但該公司沒有對有關(guān)結(jié)果的準(zhǔn)確性問題采取足夠的重視，也不愿承認(rèn)出錯的可能性。如果發(fā)現(xiàn)錯誤并能迅速糾正，那么該錯誤造成的損害是可以控制在小范圍的。“3.5.1個人遇到的問題CTB其實也建議學(xué)校等部門不要使用其標(biāo)準(zhǔn)化測試的分?jǐn)?shù)作為決定重要事項的唯一因素。但紐約市這樣做了。單純依靠一個因素或一個數(shù)據(jù)庫中的數(shù)據(jù)是如此容易，特別是考慮到額外的審查或驗證帶來的開銷的時候，這對人們是一種簡單的誘惑。在許多情況下，負(fù)責(zé)關(guān)鍵決策的人都無法抵制住這種誘惑?！?.5.1個人遇到的問題在2001年恐怖襲擊后，美國聯(lián)邦調(diào)查局向很多機構(gòu)提供了一個“觀察名單”，收到該名單的機構(gòu)包括警察部門和一些企業(yè)，例如汽車租賃公司、銀行、賭場以及貨運和化工企業(yè)。收到名單的單位又把信息通過郵件發(fā)給了其他人，最終有成千上萬的警察局和公司都收到了這個名單。許多人把該名單添加到了他們的數(shù)據(jù)庫和系統(tǒng)中，用來篩選客戶或求職者。雖然該名單包括的人不全是犯罪嫌疑人，還包括警察需要質(zhì)問的一些人，但是一些公司把列表中的人都標(biāo)記為“恐怖分子嫌疑人”。其中許多表項不包含出生日期、地址或其他識別信息，使得錯誤識別很容易出現(xiàn)。有些公司通過傳真收到這個名單，依照模糊的副本把錯誤的名字輸入到他們的數(shù)據(jù)庫中。在聯(lián)邦調(diào)查局停止更新列表之后，并沒有告訴所有收到列表的人，因此許多條目的信息都過時了。即使有人在原始數(shù)據(jù)庫中更正了錯誤，對受影響的人來說，麻煩也不會就此結(jié)束。在其他系統(tǒng)中，還會包含不正確或錯誤標(biāo)記的數(shù)據(jù)副本?！?.5.1個人遇到的問題因為數(shù)據(jù)庫中的錯誤以及對內(nèi)容的誤解，導(dǎo)致人們遭遇問題的頻率和嚴(yán)重程度取決于幾個因素：·人口眾多（很多人都有相同或相似的名字，而且與之交往的大部分人都是陌生人）?！ぷ詣犹幚硐到y(tǒng)不具備人類的常識，或者沒有識別特殊情形的能力?！υ谟嬎銠C上存儲的數(shù)據(jù)準(zhǔn)確性的過度自信?！ぴ跀?shù)據(jù)錄入（有時候因為粗心）時出現(xiàn)的錯誤?！の茨芗皶r更新信息和糾正錯誤?！と狈﹀e誤的問責(zé)。第一個因素是不可能改變的，它是我們生活的環(huán)境。我們可以通過規(guī)范系統(tǒng)和培訓(xùn)用戶來減少第二個負(fù)面影響，其他因素其實都在個人、專業(yè)人士和政策制定者的控制范圍之內(nèi)?！?.5.2系統(tǒng)故障現(xiàn)代通信、電力、醫(yī)療、金融、零售、交通系統(tǒng)都嚴(yán)重依賴于計算機系統(tǒng)，這些系統(tǒng)如果不能按照計劃運行，就會導(dǎo)致失敗。我們要看到故障的嚴(yán)重影響，以及要努力避免的事情。充分的規(guī)劃和測試、在出現(xiàn)錯誤的時候采取備份，以及在對付錯誤時以誠相待，這些教訓(xùn)同樣適用于各種項目。以下是一些故障示例?！ひ粋€軟件錯誤曾經(jīng)迫使成千上萬的星巴克門店關(guān)閉。原因是一次日常軟件更新導(dǎo)致門店無法處理訂單、接受付款或繼續(xù)開展正常業(yè)務(wù)。·瑞士銀行合作社的一個軟件錯誤導(dǎo)致其客戶不僅收到了他們自己的年終報表，還收到了其他幾家銀行客戶的報表。這個事件侵犯了數(shù)千名客戶的財務(wù)隱私，并使賬戶安全性受到威脅?！?.5.2系統(tǒng)故障·在一個有兩百萬行代碼的電信交換程序中，因為修改了三行代碼，造成幾個主要城市的電話網(wǎng)絡(luò)故障。雖然該方案此前經(jīng)過了13周的測試，但是在修改之后沒有重新測試，其中包含了一個簡單的拼寫錯誤?！ひ粋€軟件升級的錯誤關(guān)閉了東京證券交易所的所有交易。在納稅年度的最后一天，倫敦證券交易所的計算機故障導(dǎo)致其業(yè)務(wù)停頓了幾乎八個小時，影響了很多人的稅單?！せㄙM了1.25億美元的火星氣候探測者號在應(yīng)該進(jìn)入環(huán)繞火星的航道的時候，消失不見了。原因是開發(fā)導(dǎo)航軟件的一個團(tuán)隊使用的是英制度量單位，而另一個團(tuán)隊使用的卻是公制單位。對該損失的調(diào)查結(jié)果強調(diào)說，雖然該錯誤本身是直接原因，但是根本的問題是缺乏能夠檢測到該錯誤的規(guī)定和程序?！?.5.2系統(tǒng)故障在某些系統(tǒng)中，由于出現(xiàn)極端的缺陷，以至于該系統(tǒng)在浪費了數(shù)百萬美元，甚至是數(shù)十億美元之后，最終被廢棄。例如；·英國的一個大型食品零售商花費超過5億美元開發(fā)了一個自動化供應(yīng)管理系統(tǒng)，卻導(dǎo)致貨物被丟在倉庫和轉(zhuǎn)運站。他們又額外雇傭3000個工人來把這些物品搬回到貨架上?！ひ粋€酒店和汽車租賃業(yè)務(wù)的財團(tuán)斥資1.25億美元開發(fā)了一個綜合旅游產(chǎn)業(yè)的預(yù)訂系統(tǒng)，然后因為它無法工作又取消了該項目?！そ?jīng)過九年的開發(fā)，英國國家健康服務(wù)中心放棄了一項費用超過100億英鎊的患者記錄系統(tǒng)。這個項目的失敗原因包括：項目規(guī)模太大、需要說明的變化、衛(wèi)生部管理不善、技術(shù)問題以及與供應(yīng)商的糾紛?！?.5.2系統(tǒng)故障·在原定開發(fā)周期為四年的一個項目干了七年后，賓夕法尼亞州放棄了這個管理失業(yè)補償金的系統(tǒng)。在項目取消的時候，該系統(tǒng)比其原先的1.07億美元預(yù)算已經(jīng)多花了6000萬美元，并且依然無法正常運行?！?.5.2系統(tǒng)故障軟件專家羅伯特·夏雷特估計，在所有信息化項目中，大約有5%到15%會在交付之前或之后不久被當(dāng)作“無可救藥的缺陷系統(tǒng)”而拋棄。他列舉的一些原因包括：·缺乏清晰的、深思熟慮的目標(biāo)和需求說明?！た蛻?、設(shè)計師、程序員之間的管理不善和缺乏溝通?！び捎跈C構(gòu)或政治壓力，鼓勵了不切實際的低價投標(biāo)、不切實際的低預(yù)算要求，以及對時間需求的嚴(yán)重低估。·使用了非常新的技術(shù)，其中可能包含未知的可靠性和問題，而且它的軟件開發(fā)者也沒有足夠的經(jīng)驗和專業(yè)知識。·拒絕承認(rèn)和接受一個項目已經(jīng)出現(xiàn)了問題?！?.5.2系統(tǒng)故障多達(dá)六分之一的大型軟件項目的進(jìn)展是如此糟糕，以至于它們會對公司的生存帶來威脅。這樣大規(guī)模的損失涉及很多人，包括計算機專業(yè)人員、信息技術(shù)管理人員、企業(yè)管理人員和為大型項目設(shè)置預(yù)算和進(jìn)度的政府官員?！?.5.3遺留系統(tǒng)重用在全美航空公司和美國西部航空公司合并之后，他們把彼此的預(yù)訂系統(tǒng)合并到了一起，結(jié)果造成自助值機服務(wù)機器無法工作，人們都到登記手續(xù)辦理柜臺區(qū)排隊，導(dǎo)致數(shù)千名乘客和航班的延誤。把不同的計算機系統(tǒng)進(jìn)行合并是非常棘手的，而且問題也很普遍。但是，這起事件說明了另一個因素。根據(jù)全美航空公司副總裁的說法，大多數(shù)航空公司的系統(tǒng)開發(fā)時間都是在20世紀(jì)60年代和70年代。它們是專為那個時代的大型計算機設(shè)計的。航空公司高管說，這些舊系統(tǒng)“是非?？煽康?，但是非常不靈活”。這些都是“遺留系統(tǒng)”的例子，即依然在使用中的過時系統(tǒng)（硬件、軟件或外圍設(shè)備都已經(jīng)過時了），它們通常會配備特殊的接口、轉(zhuǎn)換軟件或其他適應(yīng)性改變，使它們可以與更現(xiàn)代的系統(tǒng)進(jìn)行交互。遺留系統(tǒng)的問題多如牛毛。舊的硬件會發(fā)生故障，而需要更換的部件很難找到?！?.5.3遺留系統(tǒng)重用與現(xiàn)代系統(tǒng)的連接是另一個頻繁的故障點。舊軟件通常運行在新的硬件之上，但它如果是使用程序員不再學(xué)習(xí)的老的編程語言寫的，那么維護(hù)或者修改這些軟件就會非常困難。舊程序往往文檔很少或根本沒有說明文檔，寫軟件或操作該系統(tǒng)的程序員都已經(jīng)離開了公司、退休或去世了。即使有好的設(shè)計文檔和手冊，它們也可能不再存在或無法找到了。編程風(fēng)格和標(biāo)準(zhǔn)在這些年也發(fā)生了大的變化。例如20世紀(jì)80年代的機場用

來和飛行員通信的系統(tǒng)，在設(shè)計時沒有考慮現(xiàn)在的網(wǎng)絡(luò)威脅，

因此可能包含安全漏洞?！?.5.3遺留系統(tǒng)重用計算機在初期的主要用戶包括銀行、航空公司、政府機構(gòu)和像電力公司這樣提供基礎(chǔ)設(shè)施服務(wù)的公司。這些系統(tǒng)是逐步成長的，因此完全重新設(shè)計和開發(fā)一個新的現(xiàn)代系統(tǒng)當(dāng)然是非常昂貴的。轉(zhuǎn)換到新的系統(tǒng)可能需要一些停機時間，這也可能是破壞性的，并且需要對員工進(jìn)行大規(guī)模重新培訓(xùn)，因此，遺留系統(tǒng)仍然存在。“3.5.3遺留系統(tǒng)重用人們將繼續(xù)發(fā)明新的編程語言、范型和協(xié)議，還會把它們添加到以前開發(fā)的系統(tǒng)中，在遺留系統(tǒng)給計算機專業(yè)人員提供的經(jīng)驗教訓(xùn)中，有一點是：需要意識到有30或40年后還有人可能會使用你的軟件，因此，為你的工作準(zhǔn)備文檔是非常重要的。它對于設(shè)計的靈活性、可擴(kuò)展性和升級都非常重要。當(dāng)鼓勵軟件開發(fā)團(tuán)隊為代碼寫文檔，并使用良好的編程風(fēng)格時，一些管理人員會提醒開發(fā)人員“想想那些不得不維護(hù)你的代碼的

可憐的程序員。想辦法讓他們的生活愉快點吧，他們會感激

你的善良”?！?.5.4案例：停滯的丹佛機場建設(shè)耗費32億美元巨資修建的丹佛國際機場在原定啟用時間延遲10個月之后，仍然沒有啟用。這個機場占地53平方英里（1英里=1.6093公里），大約是曼哈頓面積的兩倍左右，它的啟用時間至少推遲了四次?；ㄔ趥⒑瓦\營成本上的延遲支出每月超過3000萬美元。造成嚴(yán)重延遲的主要原因是耗資1.93億美元開發(fā)的計算機控制的

行李處理系統(tǒng)。

圖3-6機場行李處理系統(tǒng)“3.5.4案例：停滯的丹佛機場建設(shè)該行李系統(tǒng)的規(guī)劃相當(dāng)雄心勃勃。通過自動化的行李車系統(tǒng)，行李車可以在長達(dá)22英里的地下軌道上，以高達(dá)19英里的時速穿梭，從而在登記柜臺或路邊柜臺托運的出發(fā)行李可以在10分鐘以內(nèi)到達(dá)該機場的任何角落。同樣，到達(dá)的行李也可以自動傳送到登機口或直接轉(zhuǎn)送到機場任何地方的轉(zhuǎn)機航班。該系統(tǒng)中的激光掃描儀會追蹤4000輛小車，并把它們的位置信息發(fā)送到計算機。計算機使用包含航班、登機口和路線信息的數(shù)據(jù)庫來控制小車的發(fā)動機和轉(zhuǎn)向開關(guān)，以將行李車送到目的地。該系統(tǒng)沒能按計劃正常工作。在測試過程中，小車會在軌道交叉點處相撞。該系統(tǒng)會出現(xiàn)錯誤路徑、丟棄和亂放行李。本應(yīng)該去搬運行李的小車卻被錯誤地送到等待區(qū)。“3.5.4案例：停滯的丹佛機場建設(shè)這個案例中的具體問題和都是很有啟發(fā)性的：·現(xiàn)實世界的問題。有些掃描儀被弄臟了或者被撞歪了，因此無法檢測到路過的小車。在有些小車上出現(xiàn)了插銷故障，導(dǎo)致行李會落在軌道上?！ぴ谄渌到y(tǒng)中的問題。該機場的電氣系統(tǒng)無法處理與行李系統(tǒng)有關(guān)的電源峰值。在第一次全面測試時，許多電路被燒壞，因此測試不得不中止?！ぼ浖e誤。因為軟件錯誤導(dǎo)致真正需要的小車被導(dǎo)向了等待區(qū)?！?.5.4案例：停滯的丹佛機場建設(shè)沒有人期望如此復(fù)雜的軟件和硬件能夠在首次測試時就可以完美地工作，會存在設(shè)計人員可能沒有預(yù)料到的無數(shù)的相互作用和狀況。如果在早期測試時發(fā)現(xiàn)行李會被送錯，并且錯誤被及時修復(fù)的話，那么并不會讓人覺得尷尬。但是如果問題是在系統(tǒng)運行之后才被發(fā)現(xiàn)，或者它需要花一年時間來修復(fù)的話，這才是令人尷尬的。是什么導(dǎo)致了在丹佛行李系統(tǒng)出現(xiàn)的這種令人驚訝的拖延呢？似乎有兩個主要的原因：（1）留給開發(fā)和系統(tǒng)測試的時間是不夠的。唯一一個同等規(guī)模的行李處理系統(tǒng)是在德國法蘭克福機場。開發(fā)該系統(tǒng)的公司花了六年時間進(jìn)行開發(fā)，并用了兩年進(jìn)行測試和調(diào)試。而負(fù)責(zé)建造丹佛機場行李系統(tǒng)的BAE自動系統(tǒng)公司則總共只給了兩年時間。一些報告表明，因為機場的電氣問題，實際上只有六個星期的測試時間?！?.5.4案例：停滯的丹佛機場建設(shè)（2）在項目開始之后，丹佛機場對項目需求做了大量修改。最初，該自動化系統(tǒng)只是為了服務(wù)美國聯(lián)合航空公司，但是丹佛官員決定將它擴(kuò)大到包括整個機場，使得該系統(tǒng)的規(guī)模比BAE公司曾在舊金山國際機場為聯(lián)合航空公司安裝的自動行李系統(tǒng)的規(guī)模擴(kuò)大了14倍?！?.5.4案例：停滯的丹佛機場建設(shè)《PC周刊》的一名記者表示：“該事件的主要教訓(xùn)是，當(dāng)把成熟的技術(shù)擴(kuò)展到一個更復(fù)雜的環(huán)境中的時候，設(shè)計師需要預(yù)留大量的測試和調(diào)試時間?！庇杏^察家批評BAE公司，它們在應(yīng)該知道沒有足夠的時間來完成它的時候，就不應(yīng)該接手這個任務(wù)。其他人指責(zé)市政府管理不善，決策帶有政治動機，以及試圖推動一個雖然宏大卻不切實際的計劃。計算機系統(tǒng)糟糕的規(guī)劃和實現(xiàn)也導(dǎo)致香港和吉隆坡新機場的開幕變成了災(zāi)難。這些機場都計劃用雄心勃勃的復(fù)雜計算機系統(tǒng)來管理一切：每小時移動20000件行李，協(xié)調(diào)和調(diào)度工作人員，為航班分配登機口，等等。這兩個系統(tǒng)都失敗得很壯觀。在香港赤鱲角機場，清潔工和加油車、托運行李、乘客和貨物都走錯了登機口，有時候離他們飛機的所在位置非常遠(yuǎn)。原定要起飛的飛機卻是空的。在吉隆坡，機場員工不得不手工填寫登機牌，人工搬運行李。當(dāng)然，很多航班被延誤；在熱帶酷暑中，很多滯留食品都腐爛了?！?.5.4案例：停滯的丹佛機場建設(shè)在這兩個機場，失敗最初被歸咎于人們在系統(tǒng)中鍵入了不正確的信息。在香港，很可能是一個錯誤的登機口或到達(dá)時間，被盡職盡責(zé)地發(fā)送到了整個系統(tǒng)中。在吉隆坡，由于辦登機手續(xù)的工作人員對系統(tǒng)不熟悉，導(dǎo)致其癱瘓。馬來西亞機場的一個發(fā)言人說：“系統(tǒng)并沒有任何問題?！痹谙愀蹤C場的發(fā)言人做了一個類似的聲明。他們都錯得很離譜；一個不正確的登機口號碼并不可能造成香港機場所經(jīng)歷的所有問題。任何具有大量用戶和大量用戶輸入的系統(tǒng)都必須經(jīng)過認(rèn)真設(shè)計和嚴(yán)格測試，使之可以處理輸入錯誤?！跋到y(tǒng)”包括除了軟件和硬件之外的其他東西。它也包括經(jīng)營它的人，因此成功的實現(xiàn)必須考慮人的因素。還是舉丹佛機場的例子，人們質(zhì)疑在確定機場啟用的預(yù)計時間時，是否考慮了政治上的需要，而不僅僅是項目的需要?！?.5.5哪里出了毛??？計算機系統(tǒng)故障一般有兩個原因：它們正在做的工作本來就很難，以及有時候它們沒有把工作做好。之所以它們的任務(wù)很困難，是因為有幾個因素交織在一起造成的。計算機系統(tǒng)需要與現(xiàn)實世界（包括機械設(shè)備和不可預(yù)測的人類）進(jìn)行交互，包含復(fù)雜的通信網(wǎng)絡(luò)，它們擁有眾多相互連接的子系統(tǒng)，擁有需要滿足許多類型用戶的功能，而且它們的規(guī)模是非常大的。從智能手機到汽車、客運飛機和噴氣式戰(zhàn)斗機，它們的設(shè)備和機器上都包含數(shù)百萬行計算機代碼。雖然機械系統(tǒng)中的一個小錯誤可能會導(dǎo)致一個小的性能下降，而在計算機程序中一個地方敲錯就可能會導(dǎo)致行為上的巨大差異?！?.5.5哪里出了毛??？在構(gòu)建和使用一個系統(tǒng)的工作中，任何一個階段都可能出問題：從系統(tǒng)設(shè)計和實現(xiàn)，到系統(tǒng)的管理和使用。（當(dāng)然，這個特性不是計算機系統(tǒng)獨有的。我們可以用相同的方式來描述建造橋梁、樓房、汽車或其他任何復(fù)雜的系統(tǒng)?！?.5.5哪里出了毛??？（1）過度自信?；蛘哒f對一個復(fù)雜系統(tǒng)中的風(fēng)險擁有不切實際的或不足的認(rèn)識，是軟件故障的一個核心問題。當(dāng)系統(tǒng)開發(fā)人員和用戶能夠理解風(fēng)險的時候，他們有更多的動力來利用現(xiàn)有的“最佳實踐”以構(gòu)建更可靠和更安全的系統(tǒng)。發(fā)生故障的一些安全關(guān)鍵系統(tǒng)都擁有所謂的“故障保護(hù)”的軟件控制。在某些情況下，程序的基本邏輯是好的，而出現(xiàn)故障是因為沒有考慮到系統(tǒng)與實際用戶或現(xiàn)實世界進(jìn)行交互的問題（如線纜變松、火車軌道上的落葉、一杯咖啡灑落到飛機駕駛艙內(nèi)，等等）。對可靠性和安全性的不切實際的估計，可能來自真正缺乏了解、粗心大意，或故意的不實陳述。對誠信不是很重視的人，或者在缺乏誠信文化和沒有專注于安全的組織中工作的人，有時候會為了商業(yè)或政治壓力而夸大安全或隱藏缺陷，其目的是為了避免不利的宣傳，或避免因為改正錯誤或訴訟而造成的費用?！?.5.5哪里出了毛??？（2）軟件復(fù)用。前面我們說過，在法國阿麗亞娜5型火箭首次發(fā)射后不到40秒，火箭就偏離了軌道?；鸺退鼣y帶的衛(wèi)星的成本約為5億美元。這起事故是軟件復(fù)用時造成的軟件錯誤所致?！?.5.5哪里出了毛??？再看一例。一個叫做楊·亞當(dāng)斯的女人，和姓亞當(dāng)斯并且名字的首字母是J的許多其他人一樣，都被標(biāo)記為可能是恐怖分子，從而在試圖登機時會受到阻攔。事實上，在航空安全局發(fā)給航空公司的可疑恐怖分子（或其他被認(rèn)為有安全威脅的人）的“禁飛”名單上的名字是“JosephAdams（亞當(dāng)斯）”。為了與在“禁飛”名單上的乘客名字進(jìn)行比較，一些航空公司使用的是比較老的軟件和策略，其目的是為了幫助機票代理商迅速找到乘客的機票預(yù)定記錄（例如，如果乘客打電話咨詢或要做出修改的時候）。該軟件會執(zhí)行快速搜索，并且會“廣撒網(wǎng)”。也就是說，它會找到所有可能的匹配，然后由銷售代理執(zhí)行進(jìn)一步的驗證。在預(yù)期應(yīng)用場景中，如果該程序給代理提供具有類似名稱的多個匹配，并不會給大家?guī)聿槐?。然而，在把乘客?biāo)記為可能的恐怖分子的情況下，一個人如果被錯誤“匹配”，就可能會不得不接受安全人員的質(zhì)詢以及對行李和身體的額外檢查?！?.5.5哪里出了毛??？面向?qū)ο蟮拇a這類編程范型的一個重要目標(biāo)是開發(fā)可以廣泛使用的軟件構(gòu)件，從而可以節(jié)省我們的時間和精力。復(fù)用運行良好的軟件還可以提高安全性和可靠性。畢竟，它經(jīng)歷過在真實的運行環(huán)境下的現(xiàn)場測試，我們也知道它可以正常工作。關(guān)鍵的一點是，它需要可以在不同的環(huán)境下正常工作。因此，必須重新審視該軟件的需求說明、假設(shè)和設(shè)計，考慮在新環(huán)境下的影響和風(fēng)險，并對該軟件的新用途進(jìn)行重新測試?！?.6軟件和設(shè)計的問題3.6軟件和設(shè)計的問題隸屬于加拿大政府的原子能有限公司（AECL）制造的Therac-25（瑟拉克-25）是用于治療癌癥患者的一種用軟件控制的雙模式輻射治療儀，它可以產(chǎn)生電子束或X射線光子束，所需的光束類型取決于要治療的腫瘤種類。該儀器的線性加速器會產(chǎn)生非常危險的高能量電子束（2500萬電子伏）?；颊卟荒苤苯颖辉茧娮邮丈洌栽陔娮邮_啟的時候，一定要有適當(dāng)?shù)姆雷o(hù)裝置就位。有一臺計算機負(fù)責(zé)監(jiān)視和控制一個裝有這些裝置的轉(zhuǎn)盤。根據(jù)期望的治療手段，機器會把這些裝置的不同組合轉(zhuǎn)到電子束前面，對它進(jìn)行擴(kuò)散，從而使之變成安全的。轉(zhuǎn)盤的另一個位置會使用一個光束，而不是

電子束，其目的是幫助操作者把光束精確地定位到患

者體內(nèi)的正確位置。圖3-7瑟拉克-25雙模式輻射癌癥治療儀“3.6軟件和設(shè)計的問題從1985年至1987年，瑟拉克-25在四個醫(yī)療中心對六個病人造成了嚴(yán)重的輻射過量。在有些案例中，因為機器顯示的數(shù)據(jù)中表明它沒有給病人進(jìn)行輻射治療，導(dǎo)致操作員重復(fù)進(jìn)行了過量治療。醫(yī)務(wù)人員后來估計，一些患者接受的輻射是預(yù)定劑量的100倍以上。這些事件造成了嚴(yán)重和痛苦的傷害，以及三名病人死亡。在瑟拉克-25出事幾十年后，在巴拿馬操作另外一種輻射治療儀的醫(yī)生試圖規(guī)避軟件的限制，嘗試為思者提供更多的輻射屏障。他們的行為造成了劑量計算錯誤；28例患者接受了過量的輻射，造成了多人死亡。似乎戲劇性的經(jīng)驗教訓(xùn)在每一代人身上都會重復(fù)出現(xiàn)。關(guān)于瑟拉克-25事件的研究表明，許多因素促成了它造成的傷害和死亡。這些因素包括缺少良好的安全性設(shè)計、測試不足、在控制機器的軟件中的錯誤，以及沒有完善的事故報告和調(diào)查制度?！霸O(shè)計缺陷01軟件錯誤02為什么會有這么多事故？033.6軟件和設(shè)計的問題3.6.1設(shè)計缺陷瑟拉克-25是較早的瑟拉克-6和瑟拉克-20治療儀的后續(xù)產(chǎn)品。與前兩者不同的是，它是完全由計算機控制的。老機器含有硬件安全連鎖機制，獨立于計算機系統(tǒng)之外，用以防止在不安全的條件下發(fā)射電子束。在瑟拉克-25的設(shè)計中消除了硬件的許多安全特性，但是復(fù)用了瑟拉克-20和瑟拉克-6上的一些軟件。開發(fā)人員顯然不正確地假定該軟件在新的環(huán)境下能夠正常使用。當(dāng)新的操作員使用瑟拉克-20的時候，雖然會頻繁出現(xiàn)停機和保險絲被燒斷的情形，但是從來沒有發(fā)生過輻射過量。瑟拉克-20的軟件也存在缺陷，但是其上的硬件安全機制在起作用。有可能是廠家并不知道瑟拉克-20所存在的問題，或者他們完全沒有意識到它會帶來的嚴(yán)重影響。像它的前任一樣，瑟拉克-25也會頻繁發(fā)生故障。一家醫(yī)療機構(gòu)報告說，有時候每天會出現(xiàn)40次的劑量故障，一般都是劑量偏低。因此，操作員逐漸習(xí)慣了經(jīng)常會出現(xiàn)的這些錯誤消息，其中并沒有跡象表明有可能存在安全隱患?！?.6.1設(shè)計缺陷在操作界面的設(shè)計上存在不少的設(shè)計缺陷。出現(xiàn)在顯示屏上的錯誤信息通常是簡單的錯誤代碼或是含糊不清的信息。這對于早期的計算機程序并不鮮見，因為當(dāng)時的計算機所擁有的內(nèi)存和大容量存儲都比現(xiàn)在要少很多。人們不得不手動去查找關(guān)于每個錯誤代碼的更多解釋。但是，瑟拉克-25的操作手冊并沒有包括關(guān)于錯誤消息的說明。維修手冊也沒有解釋它們。機器會根據(jù)要繼續(xù)操作所需的工作量來區(qū)分錯誤的程度。對于某些錯誤情形，機器會暫停，操作員可以通過按一個鍵就繼續(xù)操作（打開電子束）。對于其他類型的錯誤，機器會停止運轉(zhuǎn)，從而不得不執(zhí)行完全復(fù)位的操作。人們通常會假定，只有在輕微的、非安全相關(guān)的錯誤之后，該機器才會允許一鍵恢復(fù)。然而，一鍵恢復(fù)也發(fā)生在一些嚴(yán)重事故中，使患者接受了過量輻射?！?.6.1設(shè)計缺陷這些事件的調(diào)查人員發(fā)現(xiàn)，AECL在程序開發(fā)過程中所產(chǎn)生的關(guān)于軟件說明或測試計劃的文檔非常少。雖然AECL聲稱，他們對該機器進(jìn)行了廣泛測試，但其測試計劃似乎是不夠的?！?.6.2軟件錯誤調(diào)查人員能夠把一些過量的情形追溯到兩個特定的軟件錯誤上。在操作者從控制臺輸入治療參數(shù)之后，被稱為“設(shè)置測試”的一個軟件過程會負(fù)責(zé)進(jìn)行各種檢查，以確定機器是否位于正確的位置，以及其他事項。如果有什么事情還沒有準(zhǔn)備好，這個過程會安排自己重新運行檢查（該系統(tǒng)可能只需要等待轉(zhuǎn)盤移動到相應(yīng)的位置）。在設(shè)定一次治療的過程中，該“設(shè)置測試”過程可能會運行數(shù)百次。有一個標(biāo)志變量被用來表示該機器上的特定設(shè)備是否在正確的位置上。如果它的值是0，意味著該設(shè)備已準(zhǔn)備就緒；如果值非0，意味著它必須接受檢查，為了確保該設(shè)備會被檢查，每次運行“設(shè)置測試”過程時，都會對該變量加1，使之變?yōu)榉?值。問題是，當(dāng)該標(biāo)志變量被增加到它能保存的最大數(shù)值的時候，變量會產(chǎn)生溢出，它的值會變成0?！?.6.2軟件錯誤如果在這一刻，所有其他事情都是準(zhǔn)備好的，那么該程序就不會去檢查設(shè)備的位置，治療可以繼續(xù)進(jìn)行。調(diào)查人員認(rèn)為，在一些事故中，這個錯誤會允許當(dāng)轉(zhuǎn)盤被定位為利用光束的時候卻可以使用電子束，這種情況下并沒有任何保護(hù)裝置就位來對電子束進(jìn)行衰減。這個案例中的悲劇，部分原因是該錯誤是如此簡單，改正也是非常容易的。任何一個好的程序員都不應(yīng)該犯這樣的錯誤。解決方案是將用來指示需要進(jìn)

行檢查的標(biāo)志變量設(shè)置為一個固定的值，例如1或者“true”，

而不是每次遞增它?！?.6.2軟件錯誤還有其他錯誤導(dǎo)致了該機器會忽略由操作員在控制臺上所進(jìn)行的改動或更正。當(dāng)操作員輸入了關(guān)于一次治療的所有必要信息之后，程序就開始將各種設(shè)備移動到位。這個過程可能需要幾秒鐘，在此期間，軟件會檢測操作者是否會對輸入進(jìn)行編輯，如果它檢測到有編輯的情況，就會重新啟動設(shè)置過程。然而，由于在這段程序中的錯誤，該程序的某些部分會收到被編輯的信息，而另一些部分則沒有收到。這導(dǎo)致機器的設(shè)置是不正確的，并且與安全治療規(guī)定不一致。根據(jù)美國食品藥物監(jiān)督管理局（FDA）后來的調(diào)查，在該程序中似乎沒有進(jìn)行一致性檢查?！?.6.2軟件錯誤在一個控制物理機械設(shè)備的系統(tǒng)中，在操作員輸入信息并有可能會對輸入進(jìn)行修改的時候，有很多復(fù)雜的因素可能會促成微妙的、間歇性的并且難以被檢測到的錯誤。開發(fā)這樣系統(tǒng)的程序員必須學(xué)會用良好的編程習(xí)慣來避免這些問題，并且堅持通過測試流程來暴露潛在的問題?！?.6.3為什么會有這么多事故？已知的瑟拉克-25過量事故至少有6起，但是，在第一次過量事故發(fā)生后，為什么醫(yī)院和診所還在繼續(xù)使用該機器？1.事故的延續(xù)瑟拉克-25在一些診所已經(jīng)使用了超過兩年。醫(yī)療機構(gòu)并不會因為最初的幾個意外就立即把它停止使用，因為他們無法立刻知道這些傷害是該機器造成的。醫(yī)務(wù)工作人員會考慮各種其他的解釋。他們向制造商提出了可能輻射過量的質(zhì)疑，但該公司（在幾次事故發(fā)生后）回應(yīng)說，該機器不可能會造成對病人的這種傷害。按照勒夫森和特納的調(diào)查報告，他們甚至還告訴一些醫(yī)療機構(gòu)，沒有出現(xiàn)過類似的受傷案件?！?.6.3為什么會有這么多事故？在第二次事故發(fā)生后，AECL進(jìn)行了調(diào)查，并發(fā)現(xiàn)了涉及轉(zhuǎn)盤的幾個問題（不包括任何我們所描述的問題）。他們對系統(tǒng)做了一些修改，對操作過程提出了一些建議性的改變。他們宣布已經(jīng)把該機器的安全性提高了五個數(shù)量級，但他們告訴FDA說，他們也不知道該次事故的確切原因。也就是說，他們并不知道他們是否發(fā)現(xiàn)了造成該起事故的問題，抑或只是其他不相干的問題。在做出是否繼續(xù)使用該機器的決定時，醫(yī)院和診所不得不考慮很多原因，包括停止使用一臺價格高昂的機器帶來的成本（收入損失，以及導(dǎo)致需要它的病人無法得到治療）；關(guān)于該機器是否是造成傷害的原因的不確定性等?！?.6.3為什么會有這么多事故？一家加拿大的政府機構(gòu)和使用瑟拉克-25的一些醫(yī)院提出了更多的修改建議，以加強其安全性；它們都沒能付諸實施。在第五次事故發(fā)生后，美國食品藥品監(jiān)督管理局（FDA）宣布該機器存在故障，并下令A(yù)ECL通知所有用戶該機器存在問題。FDA和AECL花了大約一年時間（在此期間發(fā)生了第六起事故）對應(yīng)該如何改動該機器進(jìn)行談判。最終方案包括了超過20項的改動。他們最終還是安裝了關(guān)鍵的硬件安全聯(lián)鎖裝置，在此之后，仍在使用的大部分機器都沒有發(fā)生過新的輻射過量事件?！?.6.3為什么會有這么多事故？2.過度自信使用該機器的醫(yī)院假設(shè)它可以安全工作，這是一種可以理解的假設(shè)。不過，他們的一些行動則表明存在過度自信，或者至少存在一些他們應(yīng)該避免的實踐?！ぴ诘谝黄疬^量事件中，當(dāng)患者告訴機器操作員說，機器讓她感到“灼燒”，操作員對她說這是不可能的?！げ僮鲉T會忽略錯誤消息，因為機器產(chǎn)生的錯誤消息太多了?！?.6.3為什么會有這么多事故？·在治療室的攝像機和對講系統(tǒng)使操作員能夠監(jiān)視治療，并與病人溝通（操作員在被屏蔽的治療室外面使用一個控制臺）。一個診所已經(jīng)使用該機器成功治療了超過500名患者。然后，在有一天視頻監(jiān)控和對講設(shè)備都無法使用的時候，事故發(fā)生了。操作員無法看到或聽到病人在輻射過量之后嘗試站起來的場景。在他走到門口并用力撞門之前，又接受了第二次過量治療。對于軟件過度自信最明顯和最重要的跡象是，AECL做出了取消硬件安全機制的決定。在這些事件發(fā)生多年以前，AECL對該機器進(jìn)行的安全性分析表明，他們并不認(rèn)為軟件錯誤會帶來顯著的問題。在一個案例中，其中一間診所自己在機器上添加了硬件安全功能，AECL告訴他們這是沒有必要的，而在該診所沒有發(fā)生任何意外事件?！?.6.3為什么會有這么多事故？3.觀察和思考從設(shè)計決策到對輻射過量事故的響應(yīng)方式，瑟拉克-25的制造商表現(xiàn)出了一種不負(fù)責(zé)任的模式。瑟拉克-25的事件給了我們一個鮮明的提醒：粗心大意、偷工減料、工作不專業(yè)和試圖逃避責(zé)任會帶來嚴(yán)重的后果。一個復(fù)雜的系統(tǒng)雖然可以正常工作上百次，但也會存在很少見的異常情況下才會出現(xiàn)的錯誤，因此在操作有潛在危險的設(shè)備時，遵循好的安全流程總是非常重要的。這個案例也說明了個人的主動性和責(zé)任感的重要性。回想一下，有些診所認(rèn)識到了風(fēng)險，并采取了行動來減少風(fēng)險，為他們的瑟拉克-25機器安裝了硬件安全設(shè)備。在一家診所工作的住院醫(yī)生花了大量時間，來嘗試重現(xiàn)過量可能會發(fā)生的條件。在缺少制造商的支持和信息的情況下，他獨立找出了其中的一些故障原因?！?.6.3為什么會有這么多事故？為了強調(diào)安全，需要的不僅僅是沒有錯誤的代碼，下面考慮涉及其他放射治療系統(tǒng)的故障和事故。兩位新聞記者審閱了提交給美國政府的超過4000例關(guān)于輻射過量的報告。這里有一些它們所描述的過量事件（與瑟拉克-25無關(guān)）?！ひ晃患夹g(shù)人員在治療開始之后，離開了病人10~15分鐘去參加辦公室聚會?！ひ晃患夹g(shù)人員未能仔細(xì)檢查需要治療的時間?！ひ晃患夹g(shù)人員沒有對所需使用的放射性藥品進(jìn)行稱重，她覺得只要看起來適量就可以了?！ぶ辽僭趦蓚€案例中，技術(shù)人員把微居里和毫居里這樣的單位都搞混了（居里是放射性的計量單位，1毫居里是1微居里的一千倍）?！?.6.3為什么會有這么多事故？這里的基本問題是粗心大意、對所涉及的風(fēng)險缺乏了解、培訓(xùn)不夠，以及缺乏足夠的懲罰措施來鼓勵更好的做法。在大多數(shù)案例中，醫(yī)療設(shè)施只支付了少量罰款或根本沒有支付罰款。這些例子提醒我們，無論使用什么技術(shù)，個人和管理責(zé)任、良好的培訓(xùn)和問責(zé)機制都是非常重要的?！?.7提高可靠性和安全性3.7提高可靠性和安全性紐約證券交易所安裝了一個造價20億美元的系統(tǒng)，包括數(shù)百臺計算機、320公里的光纜、8000條電話線路、300個數(shù)據(jù)路由器。為了應(yīng)付可能的交易峰值，交易所管理人員按照正常交易量的三倍和四倍對系統(tǒng)進(jìn)行了壓力測試。有一天，交易所處理的交易超過了此前最高記錄的76%，該系統(tǒng)也能正常處理所有交易，沒有出現(xiàn)錯誤或延誤。如今，有許多大型、復(fù)雜的計算機系統(tǒng)都工作得非常好?！鞍踩P(guān)的應(yīng)用用戶界面和人為因素相信人還是計算機系統(tǒng)？依賴、風(fēng)險和進(jìn)步010203043.7提高可靠性和安全性3.7.1安全攸關(guān)的應(yīng)用軟件專家南?！だ辗蛏瓘娬{(diào)；“大多數(shù)事故并不是因為對科學(xué)原理不了解，而是由于在應(yīng)用某個眾所周知的標(biāo)準(zhǔn)工程實踐的時候出了問題?！睘榱苏f明在安全攸關(guān)型應(yīng)用中的兩個重要原則，我們使用摧毀了兩架航天飛機的事故作為例子，每起事故都造成航天飛機上的七名宇航員全部遇難。雖然計算機系統(tǒng)和軟件并不是造成事故的原因，但是這些悲劇可以很好地說明我們的觀點?！?.7.1安全攸關(guān)的應(yīng)用在挑戰(zhàn)者號發(fā)射之后不久，從火箭泄露出的燃燒氣體引發(fā)了爆炸，摧毀了整架航天飛機（圖3-8。在預(yù)定發(fā)射的前天晚上，工程師主張應(yīng)該推遲發(fā)射。他們知道，寒冷的天氣對航天飛機會造成嚴(yán)重的威脅。我們不能絕對證明一個系統(tǒng)是安全的，我們也不能絕對證明它一定會失敗并且會造成某些人遇難。在挑戰(zhàn)者號的案例中，一名工程師的報告說，“他們要求我們證明，在沒有絲毫疑點的情況下，發(fā)射是不安全的?！睂τ诘赖聸Q策者來說，采用的策略應(yīng)該是，在沒有令人信服的理由來證明安全的情況下，應(yīng)當(dāng)暫?；蜓舆t該系統(tǒng)的使用，而不是在沒有令人信服的理由證明災(zāi)難會發(fā)生時，就選擇繼續(xù)使用?！?.7.1安全攸關(guān)的應(yīng)用第二起意外，在哥倫比亞號航天飛機的發(fā)射過程中，一大塊絕緣泡沫發(fā)生了脫落，并與機翼產(chǎn)生了碰撞。NASA知道此事，但泡沫塊以前也曾經(jīng)脫落過，并且在之前其他飛行過程中擊中過該航天飛機，而沒有造成大的問題。因此，美國航空航天局（NASA）的管理人員拒絕尋求可能的措施來觀察并修復(fù)造成的損害。在其任務(wù)即將結(jié)束，重新進(jìn)入地球大氣層的時候，哥倫比亞號發(fā)生了解體。這個悲劇說明了自滿的危險。“3.7.1安全攸關(guān)的應(yīng)用

a）發(fā)生爆炸b）艙室殘骸圖3-8挑戰(zhàn)者航天飛機艙室的殘骸“3.7.2用戶界面和人為因素如果你正在編輯一個文檔，沒有保存修改就試圖退出，這時，大多數(shù)程序都會提醒你，并給你一個機會保存它。文字處理軟件的設(shè)計者知道，人們可能會忘記，或有時候點擊、觸碰或鍵入了錯誤的命令，為此提供了“恢復(fù)”按鈕。這是在設(shè)計軟件的時候需要考慮人的因素的一個簡單和常見的例子。精心設(shè)計的用戶界面可以幫助避免很多問題?！?.7.2用戶界面和人為因素美國航空965航班墜毀在哥倫比亞的卡利市附近，這個事件說明了一致性和良好用戶界面的重要性。在接近機場時，965航班機組打算把自動駕駛儀鎖定到名為“Rozo”的燈標(biāo)上，這樣飛機就可以自動降落到該機場。飛行員輸入了“R”，然后飛行管理系統(tǒng)（FMS）顯示了一系列以“R”開頭的燈標(biāo)。通常情況下，最近的燈標(biāo)會出現(xiàn)在列表的頂部，但在這個案例中，“Rozo”沒有出現(xiàn)在列表中。飛行員或副駕駛沒有

經(jīng)過認(rèn)真檢查，就點了最頂端的第一個。

圖3-9ROZO（羅佐）與BOGOTA（波哥大）“3.7.2用戶界面和人為因素但是，在列表頂端的燈