第六节 方案
系统的构建和计划过程
先建筑再计算成本的人难免愚蠢 ;而先计算再建筑的人 最终将发现还是没有计算到位。
——本杰明·富兰克林
约翰打算翻新自己的房子,而公司也在这个时候开始了一个上亿美元的工程。
为什么建设项目、新建企业或者进行产品开发的企业最终花费的时间、金钱和努力均会高于预期?比如说,一项研 究发现,在 3,500 个已完成的项目中,一般都会超出工程预算的40%-200%。丹麦规划学者 Bent Flyvbjerg 发现,10 个交通基础设施工程中有9 个将会超出成本。他的研究同样发现,预期的交通需求量和实际有很大的偏离。他举了几个例子 : 波士顿的中央干道 / 隧道工程超出预算的 275%,达 到 110 亿美元(按定值美元计算)。 丹佛的国际机场成本达 到 50 亿美元,约高于预期的 200%, 在开放后第一年的乘客流量只有预期的一半。丹麦的大贝尔特 水下铁路隧道工程超 出成本的 110%。 其他成本超标、民众没有享受到足够利益的例子还包括 :曼谷的空中铁路、洛杉矶的会议中心、魁北克的奥林匹克馆、欧洲军用战机、美国国防部 间谍卫星 项目和 2004 年雅典奥运会。
一个计划是由一系列步骤组成的,所有步骤都成功是制胜关键。每一个步骤都有失败的概率。我们经常低估了将导致一个系统出错的可能性事项或者失败的概率。人为错误、设备失灵、技术失败、不切实际的期望等,还包括沉没成本综合症、缺乏经验、动机不当、承包商失误、未经检验的技术、延误交货、变化了的条件、随机事件、对早期警告信号的忽视等都是延误工程、成本超支和犯错的原因。我们经常过分关注某一特定的工程案例,忽略了在同等条件下会正常发生的事件( 结果的“底线频数”—— 个人或其他等因素)。 谁规定一个工程一定要与长期历史记录中的同类工程不同呢?乔治·萧伯纳曾说 :“我们从历史中汲取的教训是,我们从历史中学不到任何教训。”
决定一个方案完成的独立步骤越多,失败的几率越高,圆满完成的可能性便相对较低。我们经常低估影响整个方案的步骤.人.决策的数量。
此外,我们还经常忘记,系统的可靠性取决于各部分组成的整个系统,而最薄弱环节决定了整个系统所能达到的最佳状态。
创思公司想要开发一个新产品。
为了解新产品开发的成功概率,我们需要知道产品研发链上的所有步骤以及每个步骤顺利完成的概率。 该项目由 6 个步骤组成,彼此间独立。每个步骤具有 80% 的成功概率。根据以往在相同情况下相似项目的开发来看,创思公司预期每一个步骤在10次中有 8 次能够成功。即每个项目研发 的 10 次中有 2 次失败的可能。 但因为每个步骤都是独立的,所以它们成功的概率是相乘的结果。公司最终能够成功研发产品的概率为26%——创思公司应当预测成功率为1 4. 所以,即使每个步骤都有 80% 的成功率,但综合来说,产品的成功率下降至 26%。
每当,我们为某个系统增加一个额外元素,整个系统成功运行的概率会相应下滑。
约翰寻思着投资一家生物技术的新兴企业。
创业教练兼教授约翰·纳斯罕参与 300 多家企业的创建,他在《高科技企业创业》中说,100 万个高科技点子中只有6 个能够成就上市公司。这么低的概率告诉我们企业成功上市的历史概率非常低。
拿生物科技企业来说。研究表明,在那些发现药物候选分子的1万 -3万家企业中,只有250 家企业能够把产品的研发成功地进行至临床评价阶段,这些企业中只有 5-10 家能够达到临床实验阶段,而最终只有一家能够得到批准。在产品进入商业流通前将面临许多因素, 比如说技术优点、 产 品安全性、成本效益比、生产阶段、专利问题、产品稳定性、 监管问题、 市场评价、 竞争优势、财政需要(以及产品的普及性) 等等。我们能否评价这些因素的成功概率?即使可以.这些因素还必须一起通力合作才能达到我们想要的目标方案。所以不妨问这些问题 : 在考虑投资这家企业之前,这类企业历史上的成功概率为多少?
沃伦·巴菲特曾如此评价生物技术 :有许多像这样一年能赚到几百万美元 的企业吗?并非如此。在资本主义社会,一个企业要想赚大钱谈何容易?每天都有许多人盯着你. 并盘算着怎么超过你,让产品价格更低,质量更好。
冒险行为得到的补偿实际上是理想结果与所有可能性结果之间相互作用而成。拿掷骰子来说, 连续 4 次掷到 6 的可能性有多大? 如果必须为这个游戏投资 1 美元,则拿到 1,296 美元才能算达到平衡。因为 1,296 个结果,而其中的理想结果只有 1 个(666).
发生不利事件的数量越多——或者所需发生的理想事件越多——我们为冒险行动所得到的补偿必须越丰厚。问自己 : 会发生什么样的事情和产生怎样的结果? 对无法预测到的困难做好准备。
在企业投资方面,不妨遵循巴菲特的建议 : 若是单一交易的风险过高,就须将资源分散到几个各自独立的方案上,如此一来,虽然每个方案都有可能带来损失或伤害,但只要确信每个独立的个案经过概率的加权平均后能让你获得满意的报酬就行。许多创业投资者用的就是这种方法,若是你也打算这样做的话,记得采取和赌场内轮盘赌老板同样的心态,即鼓励大家不断地下注,因为长期而言,概率对庄家有利,但记得千万要拒绝一次性的大赌注。
对于以上巴菲特的建议,我们不妨用数学表达出来。假设一家新创企业的成功率为 40%,10 家互不相干的新创企业(具有同样的成功概率) 全部成功的概率仅为 0.01%,但至少其中1 家企业能够成功的概率为99.4 这里假设每家企业的命运并不彼此相连,所以,一家新创企业的失败并不会影响其他企业的成功。 一一所有鸡蛋不放一个篮子。
“如果不展示一下企业的大好前途,怎么能为它筹到大笔资金?”
考虑由动机而产生的偏见。为了兜售企业,预期收益常常被夸大。 沃伦·巴菲特说 :“ 我们预期旗下所有的业务都有兴衰沉浮。( 只有在投资银行销售演示中, 盈利才会永远一路向前)。”
系统失败和事故
2000 年 7 月 25 日,一家从巴黎开往英国的协和式飞机在起飞不久后就坠毁。机上 109 人全部遇难,还造成地面上 4 人死亡。 另一家航空飞机掉落在跑道上的一块金属薄片是这起空难的罪魁祸首。金属片导致轮胎爆炸,而轮胎上的橡胶残骸击中了飞机油箱,这引起燃油泄漏并起火。
我们总是对一个事件发生的可能性方式预估不足。只要有可能的机会,事故都有可能会爆发。
天文学家卡尔·萨根在其著作《卡尔·萨根 : 宇宙中的生活》( Carl Sagan :a life in the cosmos) 中说 : “ 切尔诺贝利核电站事故和挑战者号的灾难提醒我们 : 在我们眼皮子底下投注了国家大量心血并被寄予厚望的的科技系统不一定能免于灾难性的失败。”
系统安全并不只与一个因素相关,而是所有因素的综合作用而成。如果一个关键部分失败,系统就有可能失败。假设一个航天飞机是由2,000 个独立部分或更小的系统组成的,每个部分运行成功的概率为 99.9%.每个零部件到位才能保证航天飞机的运行,一个零部件失灵从而导致飞机失控的最小概率为 86% ( 零部件越多,失败的概率也越高) 。
奥马哈地区上午 10 点半突然停电,之后发生了多米诺骨牌效应,美国全国电力系统相继开始瘫痪。
一些系统更易受到事故的侵袭,因为内部的组成部分繁多,各部分之间联系复杂,相互影响。一个系统增加的变量越多,互动的方式也更多样,系统越加复杂,该系统失败的几率就越高。在一个紧密相连的系统内部改善子系统功能对解决未来问题的效果不大,因为存在系统内部多个因素同时失效的概率,而一个系统越复杂,越难以预测未来可能性的失败。在当前系统崩溃时,有可替代性的后备系统是一种解决的方法。我们应确保后备系统不会产生不良后果,或者它的一些零件部分与原系统有共同的缺点。
把独立性和非独立性事件区分开来。飞机导航系统成功的概率为 99% ,而后备导航系统的成功率为 90% 。这是因为后者成功运行的概率并不受前者的影响,而两个导航系统均失灵的概率为 0.1%(0.01×0.1)。所以,导航系统稳定性为 99.9%( 至少确保一个导航系统能够成功)。
但如果两个系统相互依赖——前一个系统的失败将提高后备系统失败的几率——从而提高了整体系统失败的概率。我们不能理所当然地认为每件事都是互不相关的。连锁事件中后一事件的原因很可能是前一事件的结果。子系统之间可能会共享相同的部分。比如说,飞机发动机都是从同一个供油点和加油泵中加注燃油等。事件之间相互依赖还可能是由于各部分有相同的设计或同一家制造商等原因。
如果有足够的时间,一些看似不可能的事件也可能会发生。比如说,一事件在每年有1:20的发生概率( 假设概率保持不变),在 50 年间发生的可能性极高( 92.3% )。如果 把概率降低为1:40,则50年间至少发生一次的概率相应降低为 71.8%。
假设核事故每年可通过 40 多种方式发生,每个方式发生概率为1:1,000。所以,每年核事故的发生概率为3.9% 。 未来 10 年间,至少发生一起核事故的概率为 33%。
所以,我们必须大力减少事故发生的概率,虽然并不能彻底消除它们。
下午 3 点 42 分,旧金山经历了一次重大地震的袭击。
2003 年, 科学家根据发生频率和科学数据预期,旧金山湾区 2032 年前至少发生一起 6.7 级或更高级别地震的概 率为 62%(误差范围为 38%-87%)。所以每年发生强地震的概率为 3.2%(假设该概率在未来保持不变),未来5年内至少发生一次强震的概率为 15%。
除去我们预测地震时 考虑到种种因素以外,强震的发生还与偶然因素有关。
我们能预测未来地震发生的时间、地点和震级吗? 伯克利统计学教授戴维弗里德曼和菲利普斯达克表 在两人共同完成的报告《地震发生的概率》中指出,旧金山湾区发生一次更高级别的地震是无法避免的,地质时间表越来越逼近了 :“概率能分散人的注意力。美国地质勘探局与其忙着做预测,还不如着手建立相关制度,加强政府在应对下一场强震时的应变能力。旧金山湾地区居民应该采取合理的预防措施,包括加固自己的房屋,固定家里的热水器、书橱等其他较重物 品。还应该把最紧要的物品,如水和食物等随时放在手边,同时不必太过在意地质勘探局的概率预期。”
“我们的技术是万无一失的。怎么会发生这种事?”
许多系统的失败是归因于对机器的过分关注,而忽略了使用机器的人。比如说,一项对麻醉师的调查显示,许多可避免的事故中有 82% 系人为因素,其余的才归咎于机器设备问题。
即使技术性成功概率为 99.99%,人为因素,将使得系统可靠性低于纯技术的可靠性。人为因素体现在设计、执行和后续等各个环节中。剔除知识缺乏或者知识不足的因素后,考虑到人和其他因素之间互动的复杂度,可以说,导致事情出错的方式有许多种
1983年,韩国007客机飞入苏联境内,侵犯了苏联领空,结果被击落。机上269 人全部遇难。
这架客机 从预定轨道偏离了近 360 英里。之后的调查显示是一系列连锁事故使得飞机偏离了轨道。事故的苗头从飞机飞离阿拉斯加州安克雷奇市就开始了,机长和机组工作人员在飞机起飞时都处于疲劳状态。尽管途中出现的一系列事故每个都是微不足道的,却导致了大灾难的发生。
“对不起, 我把金属仪器留在你的肚子里了。”
医生有时也可能会犯错误——在诊断或者治疗病人时。比如说,外科医生把金属仪器留在病人的腹内, 给病人截错肢, 开错药,心脏病手术中搭错了动脉,或者是医生没有诊断出完全性心脏阻滞、结肠癌,误诊了肺栓塞,抑或错误地标识了血液制品。
在一次哈佛医疗执业研究(1991)中, 从纽约 51 家医院随机抽选了 3 万个病人的样本,试图通过检查医疗记录来发现由于医疗处理失当而造成的伤害。该研究显示,医疗处理失当使得 3.7% 的病人由于并发症推迟了住院时间,有些造成了残疾。之后的研究表示,医疗事故是导致美国每年 44,000–98,000 人死亡的原因, 而医疗事故是死亡的第八大杀手。
根据对内科医学上100 个诊断错误的案例研究显示,与 系统相关 的因素占其中的 65%,而认知因素占 74%。 但是认知因素和系统相关因素常常同时作用。导致认知失误最常见的原因是医生作出诊断后不再考虑其他可能性的病原解释。
根据对尸检状况的研究显示,美国一家尸检率(尸检能提供更全面,更准确的病理诊断,一个医院的医疗水平的高低常常与尸检率的高低相平行——译者注) 达到 5% 的医疗机构在诊断主要病理或者主要死亡病因时的误诊率约达到 24%, 甚至一家尸检率达到 100% 的医院误诊率也达到 8%。
亨利·福特说 :“不要埋怨,而要弥补."不要责怪他人的过失,而要找出原因和预防的方法。在系统中植入安全因素以防止未来的错误常常比惩罚过去的错误效果更好。指 责对于提高安全性或避免其他人重蹈覆辙毫无帮助。比方说,航空学中认为在判断错误后,不要一个劲地指责,找出原因更有效。这也是为什么美国联邦航空局旗下有航空安全报告系统来分析和报告航空事故的原因。美国联邦航空局还利用第三方机构——美国国家航天航空局(NASA)接受航空安全报告.该组织鼓励飞行员报告飞行中存在的实际或潜在的安全隐患。在接受报告过程中 NASA将确保这些报告和事故中所有当事人的隐私权,对他们的姓名保密。20多年来在NASA 管理下的航空安全报告系统一直遵守着这个保密原则。在10天内报告事故的飞行员将自动免于惩罚。
安全因素
“在设定安全因素时, 我们常常考虑系统的变化性和不可预测性。这种小心翼翼的程度犹如造桥一样,我们力求保守。”
古罗马为加强大桥设计和建造的安全,使用了激励措施。大桥的设计者在施工完成后自己必须站在桥下,而桥上由敞篷双轮马车开过。这也使得大桥设计者和使用者的性命攸关,所以设计者将力求保证大桥的承受力。
工程师以及建筑师是填补不确定性的一个安全性因素。 这种因素 取决于失败的后果、对风险的理解、系统特征和控制的程度等。
我们必须做好事故发生的心理预期,并在人和技术失灵,无法按预期计划进行的时候做好准备。系统的设计应大力减少负面事件的发生概率或在不幸事件发生后限制其造成的后果。我们可以从航空学中借鉴这样一个观点,即深入地研究已发生的事故,了解出错的原因,以便下一次能够做得更好——关键事件分析法。问问自己 : 一些事件是如何发生变化的?什么是影响它们的主要因素?它们之间有相同的模式或规律吗?
我们需要为已知或未知的风险增加安全因素。必须考虑临界点,建立防御系统和应急计划。我们还必须把设备和进程进行简化和标准化,并使用清单表来降低操作错误的可能性。
网友评论