☉〔美〕奧贊·瓦羅爾

◎李文遠(yuǎn) 譯

在日常生活中，“冗余”一詞是貶義的，但在火箭科學(xué)中，是否有冗余可能就決定了火箭發(fā)射的成敗，而成敗關(guān)乎生死。航空航天領(lǐng)域中的“冗余”是指創(chuàng)建備份，以避免因某個(gè)故障點(diǎn)而危及整個(gè)任務(wù)的情況發(fā)生。宇宙飛船的設(shè)計(jì)要滿足一個(gè)條件：即使出了故障，它也能正常運(yùn)行，也就是“有故障而不失效”。你開的汽車后面有備用輪胎，前面有緊急制動(dòng)裝置，也是同樣的道理。如果你的車胎沒(méi)氣或者剎車失靈，就得靠這些備用裝置維持正常運(yùn)轉(zhuǎn)。

例如，美國(guó)太空探索技術(shù)公司的獵鷹9號(hào)火箭配備了9個(gè)引擎。這些引擎彼此之間有充足的隔離空間，即使某個(gè)引擎發(fā)生故障，航天器也能完成任務(wù)。最重要的是，引擎的設(shè)計(jì)決定了它只會(huì)失效，不會(huì)損害其他組件或者危及航天任務(wù)。2012年，獵鷹9號(hào)在一次發(fā)射中，其中1個(gè)引擎在飛行過(guò)程中失靈，其他8個(gè)引擎卻持續(xù)轟鳴。飛行計(jì)算機(jī)關(guān)閉了有故障的引擎，并調(diào)整了火箭的飛行軌道，把引擎故障也考慮在內(nèi)?；鸺^續(xù)爬升，將需要運(yùn)送的貨物送入軌道。

航天器上的計(jì)算機(jī)也配備冗余裝置。在地球上，計(jì)算機(jī)往往無(wú)法避免崩潰或死機(jī)，而在太空環(huán)境中，計(jì)算機(jī)發(fā)生故障的概率有增無(wú)減，因?yàn)橛?jì)算機(jī)在太空中要經(jīng)歷無(wú)數(shù)次振動(dòng)、沖擊，電流變化和溫度波動(dòng)。正因如此，有的航天飛機(jī)的計(jì)算機(jī)是4倍冗余，即飛機(jī)上有4臺(tái)計(jì)算機(jī)在運(yùn)行著同樣的軟件。這4臺(tái)計(jì)算機(jī)會(huì)通過(guò)一個(gè)多數(shù)投票系統(tǒng)就下一步動(dòng)作進(jìn)行單獨(dú)投票。如果其中一臺(tái)計(jì)算機(jī)發(fā)生故障，開始輸出錯(cuò)誤的數(shù)據(jù)，其他3臺(tái)計(jì)算機(jī)就會(huì)投票將其排除在外。

冗余裝置要正常工作，就必須獨(dú)立運(yùn)行。一架航天飛機(jī)配備4臺(tái)計(jì)算機(jī)，這聽起來(lái)非常棒，但由于它們運(yùn)行著相同的軟件，所以只要一個(gè)軟件出現(xiàn)錯(cuò)誤，4臺(tái)計(jì)算機(jī)就會(huì)同時(shí)癱瘓。因此，航天飛機(jī)還配備了第5個(gè)備用飛行系統(tǒng)。該系統(tǒng)安裝有一款不同的軟件，這款軟件由不同的分包商提供。如果某個(gè)一般性的軟件錯(cuò)誤使4臺(tái)相同的主計(jì)算機(jī)癱瘓，備用系統(tǒng)會(huì)啟動(dòng)，并將航天飛機(jī)送回地球。

盡管冗余是一種很好的保險(xiǎn)措施，但它同樣遵循收益遞減定律。額外的冗余增加到某種程度之后，就會(huì)無(wú)謂地增加設(shè)備的復(fù)雜性、重量和成本。波音747客機(jī)當(dāng)然可以有24臺(tái)引擎而不是4臺(tái)引擎，但這樣你就得花上1萬(wàn)美元才能買到從洛杉磯到圣弗朗西斯科的狹窄經(jīng)濟(jì)艙座位。

過(guò)度的冗余還會(huì)適得其反，不僅無(wú)法提高可靠性，反而會(huì)對(duì)其造成影響。冗余設(shè)備增加了額外的故障點(diǎn)。如果波音747客機(jī)上的各臺(tái)引擎沒(méi)有正確隔離，那么一臺(tái)引擎發(fā)生故障就有可能損害其他引擎；而每增加一臺(tái)引擎，風(fēng)險(xiǎn)就會(huì)隨之增加。這樣的風(fēng)險(xiǎn)促使波音公司得出一個(gè)結(jié)論：引擎數(shù)量越少，事故發(fā)生的風(fēng)險(xiǎn)就越低。于是波音777客機(jī)上只安裝了2臺(tái)引擎。

冗余所提供的安全性能是顯而易見的，但人們可能會(huì)錯(cuò)誤地假設(shè)：即使出了問(wèn)題，也會(huì)有一個(gè)故障保護(hù)裝置保駕護(hù)航。換句話說(shuō)，冗余不能代替優(yōu)秀的設(shè)計(jì)。