阅读时间:10分钟
我们从工程中学到,关键系统通常需要备份系统来保证一定的性能水平并最大限度地减少停机时间。这些系统可以抵御不利条件,如果一个系统出现故障,则会有备用容量或备用系统。
一个简单的例子,你想要在很大的安全范围内考虑因素是一座桥梁。本杰明格雷厄姆的长期同事大卫多德观察到“你建造了一座桥梁,可以穿过30,000磅重的卡车,然后你可以驾驶10,000磅重的卡车穿过它。这就是我喜欢穿越桥梁的方式。“
看看失败,我们可以看到很多关于冗余的见解。
在许多情况下,冗余系统的存在可以避免灾难。另一方面,存在冗余的存在导致失败的故障的情况。
冗余如何导致失败?
首先,在某些情况下,增加复杂性的风险会超过冗余带来的额外好处。由于增加冗余会增加系统的复杂性,因此通过冗余系统提高可靠性和安全性的努力可能适得其反,并且无意中使系统更容易出现故障。1996年Femi反应堆几乎崩溃时,可以找到一个如何增加系统复杂性可以增加失败几率的一个例子。这一事件是由一个紧急安全装置引起的,该安全装置断开并阻塞了一条阻止管道流动的管道。冷却剂进入反应堆堆芯。幸运的是,这是在植物活跃之前。
其次,与人的冗余会导致社会扩散,而人们总是认为这是其他负有责任的人。
第三,冗余可能导致越来越危险的行为。
在电子设计可靠性工程中,Norman Fuqua对冗余概念进行了很好的介绍。
Websters将冗余定义为不必要的重复。然而,在可靠性工程中,冗余被定义为存在多于一种用于完成给定任务的手段。因此,在系统出现故障之前,所有这些方法都必须失败。
在系统设计期间的某些情况下,可能有必要考虑使用冗余来降低系统故障的可能性 - 通过在对系统成功至关重要的区域中提供多个功能路径或操作元件来增强系统可靠性。冗余的使用并不是解决所有可靠性问题的灵丹妙药,也不是良好初始设计的替代品。就其本质而言,冗余意味着增加的复杂性,增加的重量和空间,增加的功耗,以及通常更复杂的系统......
在寻求智慧中,Peter Bevelin提到了巴菲特和芒格的一些有趣的引用,这些引用从商业角度谈到冗余/弹性的概念:
查理芒格
当然,你更喜欢一个即使管理不善也能繁荣的企业。我们不是在寻找管理不善; 如果我们偶然发现它,我们喜欢承受它的能力......我们尝试运作,以便在发生真正极端事件时对我们来说不会太可怕 - 例如利率为1%或利率为20%......我们尝试安排[我们的事务],以便无论发生什么事,我们都不会“回去”。
沃伦巴菲特使用安全边际的概念进行投资和保险:
我们坚持购买价格的安全边际。如果我们计算普通股的价值仅略高于其价格,我们就没有兴趣购买。我们相信Ben Graham强调的这种安全边际原则是投资成功的基石。
巴菲特保险:
如果我们不能容忍可能的后果,尽管它可能是遥远的,我们避免种植它的种子。
这项业务的陷阱要求一个经常被忽视的运营原则:虽然某些长尾线可能在110或115的综合比率下可以证明是有利可图的,但保险公司总是会发现使用这些比率作为目标定价无利可图。相反,价格必须提供健康的安全边际,以抵御社会趋势,这些趋势永远会给保险业带来巨大的惊喜。
孔子评论:
在安全休息时,优秀的人不会忘记可能会有危险。在处于安全状态时,他不会忘记毁灭的可能性。当一切都井然有序时,他不会忘记可能会出现这种疾病。因此,他的人并没有受到威胁,他的国家和他们所有的部族都得到了保护。
Jonathan Bendor在“ 并行系统:政府冗余”一书中提供了冗余如何降低汽车故障风险的示例。
假设一辆汽车有双断路(sic)电路:每个电路都可以停止汽车,电路独立运行,这样一旦发生故障就不会损害另一个。如果任何一个失败的概率是1/10,则两个同时失败的概率是(1/10)^ 2或1/100。添加第三个独立电路,无制动器发生灾难性故障的可能性降至(1/10)^ 3或1/1000。
飞机设计提供了一个富有洞察力的例子。根据联邦法规:
单独考虑并与其他系统相关的飞机系统和相关部件必须设计成能够防止飞机继续安全飞行和着陆的任何故障情况极不可能发生,并且发生任何其他故障那些会降低飞机容量或机组人员应对不利运行条件的能力的条件是不可能的。
冗余可能会失败
在冗余问题:为什么更多的核安全部队可能产生更少的核安全,斯科特萨根写道:
冗余的第一个问题是添加额外的组件可能会无意中造成灾难性的共模错误(导致所有组件发生故障的故障)。在复杂系统中,理论上(或设计上)的独立性实际上不一定是独立的。然而,只要存在导致共模误差的组件之间的计划外交互的可能性,作为可靠性问题的解决方案,冗余的有效性将存在固有的限制。当额外组件出现甚至产生灾难性共模误差的可能性很小时,冗余的适得其反的效果可能是巨大的。
通过商用飞机工业的一个简单例子,可能最容易理解这种危险。飞机制造商必须确定在大型喷气式飞机上使用多少引擎。成本显然是进入其计算的重要因素。然而安全性也是如此,因为如果所有其他发动机在飞行中失败并且增加单个发动机将导致事故的可能性,通过炸毁或增加飞机上的每个额外发动机都增加了冗余发动机将飞机保持在空中的可能性。开火摧毁所有其他发动机和飞机本身。
在(下图中)我假设每个引擎发生故障的时间占40%,它会以某种方式(例如启动灾难性火灾)导致所有其他引擎也发生故障。
飞机制造商进行类似的计算,以估计有多少发动机将最大限度地提高安全性。例如,波音公司使用这样的分析来确定,鉴于现代喷气发动机的可靠性,在波音777上安装两个发动机,而不是许多其他远程飞机上存在的三个或更多发动机,将导致更低的风险严重事故
然而,在更复杂的系统或组织中,由于预测非常罕见事件的概率的固有问题,通常很难知道何时停止添加冗余安全设备。
...
冗余可能适得其反的第二种方式是责任的扩散导致“社交推卸”。
这种普遍现象 - 个人或团体在相信其他人将承担松懈的情况下降低其可靠性 - 很少在技术文献中检查安全性和可靠性,因为在从纯机械传递冗余理论时存在“翻译问题”系统到复杂的组织。在机械工程中,冗余单元通常是无生命的物体,不知道彼此的存在。但是,在组织中,我们通常会分析彼此了解的冗余个人,组或代理,备份系统。
...
冗余可能适得其反的第三种基本方式是增加额外组件时鼓励个人或组织以危险方式增加产量。在大多数情况下,个人和组织都面临生产压力和安全保障的压力。然而,如果安全性和安全性方面的改进导致个人从事本质上危险的行为 - 驾驶更快,飞得更高,产生更多的核能等 - 那么系统可靠性的预期增加可以减少甚至消除。例如,研究表明,在阿司匹林瓶上需要“防婴儿”安全帽的法律导致儿童中毒的增加,因为父母将瓶子放在药柜外面。
网友评论