信息与通信工程专业科技英语翻译18

1、XVIII. Human Error and Computer System Design人为错误和计算机系统设计1988年苏联福波斯 I 号卫星失踪在飞向火星的途中。什么原因?根据科学杂志的说法,是 因为发射后不久地面控制中心在发往飞船的一系列数字指令中略去了一个字母。由于运气不好,这 个字母的缺少使代码被误译,从而触发了测试序列(测试序列存储在 ROM 中,只是准备飞船在地 面上时用于熟悉性能的 。福波斯折戟沉沙,就此无法恢复。多么奇怪的报告:只是“运气太坏”吗?为什么是运气坏而不是坏的设计?难道不是命令语言 设计的问题使这样一起异常事件导致了如此严重的后果?电噪声对于信号的检测、识别和可

2、靠性的影响是众所周知的。设计者会使用误码检测和纠错编 码来解决这一问题。让我们假定是某些已知来源的干扰破坏了传送到福波斯的信号,这样我们就不 会去责备地面控制者了。 我们会说系统的设计者没有遵从标准的工程惯例, 会重新考虑系统的设计, 以防止今后再出现这种问题。人们错了。 因为这就是生活的现实。 人不是精确设计的机器。 实际上人类是一种完全不同的 “装 置” 。我们的强项是创造性、适应性、灵活性。持续不断的警戒、行动或记忆的精确性则是我们的弱 点。我们容忍错误的能力是惊人的,甚至在有物理损伤也如此。我们非常灵活、健壮、富有创造能 力,具有极强的能力从不完整的和受干扰的证据中寻求解释和理解含义。

3、而导致健壮性和创造性的 同样秉性却也产生错误。解释不完整信息的本能虽然是我们的基本优势,却可以使一名操作者以这 样一种貌似有理的方式误解系统的行为,从而使这种误解难以被发觉。我们对人类行为,以及它是如何用于与系统之间交互的了解已经相当多了。人类所犯的好几类 错误已经得到确认和研究,可以事先确定,在什么情况下发生错误的可能性会增加。可以设计通信 系统使之具有容忍误码、检测误码、纠正误码的能力。类似地,我们可以发明一种容错、检错或使 人机交互降至最小的科学。在我们对信息处理系统硬件和软件的理解方面已经取得了许多进步,但是还有一个缺口,这就 是将操作者包括到系统分析之中。一个信息处理系统的行为并不只

4、是设计指标的产物,而是人和系 统交互作用的产物。设计者必须将系统中包括人在内的所有组成部分,以及他们之间的相互作用考 虑进去。这一领域的各种技术出版物表明了对软件和硬件的关注,可是缺乏对人类功能和能力的强 调。许多信息系统的失败要归咎于人为错误而不是设计问题。我们还将遭遇失败直到学会改变我们 的方法。需要做的第一件事就是改变态度。我们称之为人为错误的行为和系统噪声一样地可预测,也许 更甚。因此,不要责怪那些恰好与此有关的人,最好还是试图找出导致事故的系统特性,然后修改 设计以消除相应危险,或者至少将它对未来事件的影响减至最小。一个主要步骤是将“人为错误” 这个名词从我们的词汇表里去掉, 重新评

5、价是否应责怪具体人员。 第二个主要步骤是制定设计指标, 将人的作用考虑在内,并赋予它和系统其他部分相同的重视程度。根据美国科学杂志关于苏联探测火星事件的报道,好像是控制人员的无能造成了事故。 科 学采访了苏联飞船制造厂经理罗尔德·克莱姆涅夫。这份杂志对这次采访的报道是这样的:“发生 错误的控制人员受到了什么处分?克莱姆涅夫以阴沉的语气告诉科学杂志,他没有被送进监狱或发配西伯利亚。实际上正是他最终找到了程序中的错误。不过克莱姆涅夫说,这位控制人员未能 再参加以后福波斯的工作。 ” 采访者提出的问题和克莱姆涅夫的回答预先都已经有了责备的观念。 尽 管操作者查出了错误所在,他还是受到了惩罚

6、(不过至少没有被流放 。可是编程语言的设计者和所 用的软件或方法又怎样呢?没有提到。用这种态度进行处理所产生的问题是,它使我们不能从事故 中学到什么,使错误潜伏的情况依旧。由于“人为错误”而导致计算机系统失败的事件在每个行业都很容易找到,例如核电、航空、 商务、 股市, 当然还有计算机工业本身。 在 Communications of the ACM(美国计算机协会通信 1989年 8月出版的一期中,下列论述出现在新闻追踪栏目中:埃克森石油公司休斯顿总部一名计算机操 作员被解雇,该操作员漫不经心地销毁了数以千计文件的电脑拷贝,这些文件中包含与阿拉斯加石 油溢出有关的重要信息。 然而这位前雇员说

7、他只是替罪羊, 在他删除的磁带中没有任何一盘标有 “不 得销毁”的文字。关于这一事故提供的信息太少,不能得出结论。但如果系统设计中将人的因素考 虑了进去,那么磁带的保留就不会仅仅依赖于一条 “不得销毁”的(人为标签了。这样就既不会 发生事故,也不会提供貌似有理的借口了。也许现在是 ACM 在这一方面带头在计算机系统设计方 面采取措施的时候了。 ACM 的成员中有足够的专长,这些成员包括计算机和公共政策委员会,以及 一个专门关注相关问题的研究组:人机交互专门研究组(SIGCHI 。还有一个方便的起点可以启动这方面的工作。 在计算机网络上, Peter Neumann主持着一个很有 意义的论坛,即

8、关于计算机和相关系统中公众所面临风险的论坛,作为 ACM 计算机和公众政策委 员会的一项活动。这一“风险”论坛收集、报告、评论各种包括人为错误和设计问题的事故,但这 些对于该领域的专业性发展并不具备足够的准确性和权威性。信息来源通常是传媒的报告,而这些 报告是不完整的,通常是在全部有关信息收集齐全之前写就的,并受到其他不准确的和有偏向的消 息来源的影响。 (以上本人引述的科学杂志和 CACM 新闻反映了所有这些不可靠的来源。 通过 对设计失败的仔细分析可以得到许多潜在的好处, 其他学科领域学会了通过仔细检讨和分析而受益。 在回顾“风险”论坛中所讨论的案例中,为什么不将它们用作更好设计的指南呢?

9、其他行业中正在使用着的好几种系统可以提供一个范例。航空界一个有价值的主要咨询信息源 是称为航空安全报告系统(ASRS 的事故汇集(信息库 ,这是由美国宇航局 Ames 研究中心 (NASA-Ames 运作的,带有 Battelle 公司管理的计算机可读取的数据库。这里,见证或发生错误 或其他有关问题的航空界人员将对事故的描述,以及他们对事故的解释写下来,寄给 ASRS 。 ASRS 的调查人员可以召回他们以核对材料的准确性或取得更多的信息。但是一旦信息被确认和澄清,表 格中包含提供信息人员身份的有关部分就被返回本人。 ASRS 还将可确认身份的信息删除,使得人 们不可能确定谁是提供消息者和事故

10、的有关人员。这种匿名制度是保证数据库准确性和完整性的关 键。因为美国宇航局不具备统制权,而且有保护消息来源机密的良好记录,这一数据库得到了航空 界的信任。现在人们如果相信他们的报告将有助于改进航空安全,就会愿意叙述他们自己的行为。 驾驶员坐舱和飞机其它部分设计的许多改进都是经过设计者研究了数据库中能找到的错误情况后做 出的。ASRS 系统的一个关键因素就是,其中的报告不能被信息提供者的上司看到。其他行业的类似 尝试均告失败,因为他们的报告是通过一系列的权威机关提交的,其中包括有关人员的上司或工厂 管理层,他们是有偏向的,或者对报告进行处理以减轻责任,或者做出对报告的否定判断。这样一 来,关于核工业事故的报告系统对于实际的运作实践就不是一种无偏见的指南。连同确认和澄清体系一起,匿名制度和自我报告制度起到了它的作用,如美国宇航局的 ASRS 团队(主要由退休的航 空专业人士组成所做的那样。类似地,美国国家交通安全局(NTSB 也对交通事故进行详细分析,包括航空、高速公路、海 运、铁路、输油管。这些报告非常有价值,是相关行业提高安全性的重要因素。 (根据法令, NTSB 报告不得用于确定事故责任的司法程序。这种保护性措施在当前这种动不动就诉诸法律的社会中, 对