第2章
深水,新地平线
“一看就知道是复杂的计算机系统发生了错误,但还是有人因此被关进监狱。”
Ⅰ
艾丽卡·克里斯塔基斯(Erika Christakis)点击发送键,将邮件群发给寄宿学院的学生。 1 她从未想过这会在耶鲁大学的校园内激起争议,并且获得全美国的瞩目,愤愤不平的学生起来对抗她和她的丈夫尼古拉斯·克里斯塔基斯(Nicholas Christakis)教授。她和尼古拉斯共同担任耶鲁大学西利曼学院的院长。这是一个有400多名学生的住宿式社区,其中包括一所图书馆、一家电影院、一间录音室和一个餐厅。
万圣节前夜的前一天,耶鲁大学的跨文化事务委员会发来一份电邮,力促学生避免穿着带有种族与文化歧视意义的万圣节服装。艾丽卡发送电邮时,美国正陷入广泛的种族与特权争论之中。 2 起因是警察枪杀了黑人男子,一位白人至上主义者在南卡罗来纳州的一所教堂中开枪射杀9名黑人礼拜者,以及由“黑人的命很重要”(Black Lives Matter)运动活动分子领导的谈话和抗议活动。
艾丽卡是儿童早期开发问题的专家,她对这个委员会有关恰当衣着问题做出了回应,这让她和尼古拉斯卷入了有关万圣节前夜问题的争议。尽管艾丽卡的电邮理解该委员会对此事的关注,但她质疑管理人员限制学生行为的命令是不是一个妥善的解决方法。“从你们的观点出发,我们是否对年轻人通过社会准则行使自我甄别的能力丧失了信心呢?同样,从你们的观点出发,你们是否漠视或者排斥那些让你们感到不安的事物?……有关万圣节前夜服装的争论,表达了我们对年轻人的能力和判断力持有什么观点?”
作为回应,一批大学生贴出了一封公开信,发起了一场呼吁艾丽卡和尼古拉斯辞去学院院长职务的请愿。几天之后,争论升级。尼古拉斯走过西利曼学院的院子时遇到一群学生,他们抗议他对艾丽卡的电邮的支持,要求他道歉。 3
尼古拉斯告诉他们,他的职责是倾听学生的意见而不是道歉。他这样解释了他的立场:
我已经说过,很抱歉让你们感到烦恼……但这并不意味着我为我说过的话抱歉。我支持言论自由……即使有些话让某些人厌烦,并且尤其是让人厌烦的话,也有表达的自由……我同意你们所说的内容。我和你们一样反对种族主义。我和你们一样反对种族不平等。我一生都在关注这个问题……但这个问题与言论自由不是一个问题,言论自由是保障人们说出他们想说的话的权利,这些人包括你们。
但群情激愤,有人喊道:“他的话不值得听!”
另一个学生开始说话,但当尼古拉斯反驳时,她喝止他:“闭嘴!”
她争辩说,院长的首要职责是为学院的学生创建一个安全的环境,而不是创造讨论气氛。当尼古拉斯表示异议时,她发火了。“你这个老混蛋为什么要接受这个职务?是哪些老混蛋雇用了你?”她喊道,“你晚上不该睡觉!你真恶心!”
令人吃惊的不是这次争论的内容,而是这一争论迅速吸引了全国的关注。一位来访的活动分子录下了这次对抗的视频,并把它发到了网上。这类讨论在过去几年中只局限在校园里,如今却引爆了社交媒体。
而且社交媒体又进一步影响了现实世界。最后,艾丽卡和尼古拉斯辞去了院长职务 4 。那份流传极广的视频也影响了发火的那位学生。人们称她为“狂呼女郎”,发掘了她的身份背景,然后嘲笑她的特权地位。有一个网站揭露,她的家庭在康涅狄格州一个富裕的镇子里,住的是一所70万美元的房子。 5 揭露这些事实的当口,网站的评论却充斥着种族主义和威胁性的言辞。这个故事迅速扩散到国际媒体上,从中国香港到匈牙利。这显然不是耶鲁大学想要的那种宣传。
奇克·培洛在1984年出版了他有关系统崩溃的专著,当时还没有让这样的争议迅速形成燎原之势的科技。如今,智能手机的视频创造了复杂性,因为它们把并不总能联系在一起的事物联系了起来,在上面谈及的事件中,被联系起来的是大学校园和国际焦点。在社交媒体的放大效应之下,校园内拍摄的视频变成了紧密耦合系统的一个部分:它们被人火速分享,谁也无法压制。
1984年,大学还是一个松散耦合系统,如今已经不同了。自从奇克·培洛做出最初的分析以来,许多以往被他归类为线性或者松散耦合的系统已经变成了复杂系统和紧密耦合系统。各种系统都变成了危险区。
就拿大坝来说,当时培洛认为它们是紧密耦合系统,但复杂性低。如果发生问题,一座大坝或许会造成洪灾,祸乱下游地区。但培洛认为, 大坝是简单的线性系统,相互作用很少,因此它们不在危险区内。但是,现在情况已经不同了。
如果你在1980年代访问一座大坝,带着你参观的很可能是大坝看守者,他们是住在附近负责大坝安全的人员。现在你可能看不到任何人。操作员坐在遥远的控制室中,他们看上去和核电站的操作员非常类似,他们也在无法直接看到大坝的情况下做出决定。
一位名叫帕特里克·里根(Patrick Regan)的联邦大坝检查员最近重新评估了培洛的分析,结果他发现,自从20世纪90年代以来,新的科技和规定已经完全改变了大坝的运行模式。 6 大坝看守者管理的大坝是简单的系统。如果需要从大坝放水,看守者便走上坝顶,推动开关打开泄洪闸。看守者能够亲眼看到移动的闸门是否正确。
但是,现在遥控操作员在计算机屏幕上点击虚拟的按钮,然后“得到了闸门正在远离某种位置传感器的信号,”里根写道,“如果传感器给出了错误数据,操作员对于闸门是否移动或者移动了多远的真实信息一无所知。” 7
你很可能会猜到后果。就拿加利福尼亚州的一座大坝为例。 8 当位置开关从闸门上脱落时,遥控操作员就搞不清闸门的位置,而且意识不到他们到底放掉了多少水,下游地区可能会被过量的水淹没。即使避免了悲剧,系统事故也才开了个头。只是一个小小的机械故障和误导人的指示器,系统就迅速陷入了失控。
里根认为,如今的大坝与核电站一样,深陷复杂性和紧密耦合的危险区。大坝操作员依赖间接的指示器管理复杂的系统。里根写道,这便意味着麻烦,“控制我们大坝的系统变得愈来愈复杂,发生事故的可能性也愈来愈大”。
Ⅱ
培洛在他1984年的著作中没有太过关注金融问题,在他的复杂性和耦合方式矩阵中甚至没有包括财政系统。但在随后的30年间,金融却是复杂的紧密耦合系统中的一个完美例子。 9 以1987年的大崩盘为例,股市在一天之内暴跌了20%。在大崩盘的触发阶段,许多大投资者开始使用投资组合保险。这个交易策略让股市变得更复杂,因为它在不同的投资者之间造成了未曾预料到的联系。它也增加了耦合度,因为一旦价格开始下跌,投资组合保险程序便自动抛售更多的股票,进一步压低价格。
10年后,同样的价格螺旋上升影响了对冲基金长期资本管理公司(Long-Term Capital Management ,简称LTCM)。 10 这个庞大的基金从整个华尔街的公司手中借贷了1,000亿美元,投资高收益的资产,比如俄罗斯债券等,因为按照LTCM计算机模型的算法,这些债券都被低估了。于是,LTCM成了一个复杂的金融网络的中心。1998年股市大跌时期,因为俄罗斯债务违约,这个网络出现动荡。最终美联储只好组织了30亿美元紧急救市,控制了危机。
又一个10年后,抵押贷款衍生产品和信用违约调期(CDS)创造了复杂性和紧密耦合,造成雷曼兄弟倒闭,导致全球金融危机。情况甚至会更糟糕得多。就像安德鲁·罗斯·索尔金(Andrew Ross Sorkin)在他《大而不倒》( Too Big to Fail )一书中详细说明的那样,因为银行之间盘根错节的不透明关联,整个系统几乎全部崩溃。 11
2010年,培洛在一次访谈时说,金融系统的“复杂程度超过了我研究过的任何核电站” 12 。随后,2012年夏天,复杂性和紧密耦合造成了华尔街最大的交易公司之一的崩盘。
2012年8月1日本来应该是华尔街非常平淡的一个夏日。 13 不断发酵的欧洲债务危机暂时趋于稳定,重要的经济指标还未公布。但是纽约股市开盘时,瑞士医药公司诺华公司(Novartis)的股票却突然狂飙,高开之后急速下跌。短短10分钟内,诺华公司股票的交易量就达到了全天的量,而交易量还在不断暴涨。
在华尔街旁边的一座新古典式摩天大楼内,有一间小小的办公室,里面有一套自动交易系统,它在诺华股值达到预设风险限额并停止交易之前购进了数以千计的诺华股票。这个系统发出了嘟嘟的警报声,吸引了约翰·缪勒(John Mueller)的注意。缪勒毕业于麻省理工学院,是一名计算机科学家,他设计了公司的大部分交易平台,它们以极高的速度交易数以百计的股票,并从中获利。
交易系统为什么会响起警铃?缪勒认为这是因为他的彭博终端上有关诺华公司的新闻。尽管诺华公司的股票价值遭受了打击,但诺华公司并没有发表任何解释公告。像缪勒一样困惑的大有人在:这种奇怪的表现让整个华尔街的交易员大为吃惊。
显示屏上的电子表格显示了两种对立的观点。红字表示他早先买入的股票损失的金额,而这时诺华的股价还在持续下跌。另一栏是绿字,显示他的模型的预测:价格太低了,缪勒应该尽量多多买进。缪勒的目光在这两栏数字上跳跃,他看到了其他交易员也开始注意到的事情:其他股票也出现了同样令人困惑的状况,从通用汽车公司(General Motors)到百事可乐(Pepsi)。这意味着,问题不是出在个别公司的身上。不久,整个华尔街的交易场所就谣言满天飞了。有一种看法认为,一家名叫骑士资本(Knight Capital)的知名交易公司出了大问题。
汤姆·乔伊斯(Tom Joyce)是骑士资本的首席执行官,但人人都叫他TJ。谣言四起的时候他正四仰八叉地躺在沙发上观看体育电视节目《世界体育中心》( Sports Center )。平常他都待在骑士资本位于泽西城的办公室里,但那天他在位于康涅狄格州郊区达连湾的家中。他刚做过手术,膝盖上缠着冰袋和厚厚的绷带。
大约10点钟,他接到了首席交易员的电话:“你在看全美广播公司财经频道(CNBC)吗?我们遭遇了一次交易失误,大失误。”这是一次计算机故障,基于某种人们还不知道的细节,在开盘后的半小时之内,骑士资本囤积了65亿美元它不需要的股票。TJ只觉得头晕目眩:囤积了这么多无用的股票是一个管理噩梦,它可能会威胁骑士资本的生存。
骑士资本的交易系统狂飙了将近30分钟,每秒钟对140种股票发出数百个需求之外的订单。正是这些订单,造成了约翰·缪勒和整个华尔街的交易员在他们的显示器上看到的不正常现象。骑士资本的错误就这样曝光在所有人面前,震撼了整个市场,交易员因此得以反向推导仓位。如果说骑士资本是一位扑克牌玩家,那么现在他的对手完全清楚他手上有哪些牌了,而且这些牌已经全部到位。在这30分钟里,这家公司每分钟的损失超过1,500万美元。 14
坐在前往办公室的汽车里,TJ打出了他职业生涯中最重要的几个电话。他试图说服美国证监会主席玛丽·夏皮罗(Mary Schapiro),让她同意骑士资本撤销这些交易,因为它们显然是失误造成的。骑士资本有了一套新的交易软件,但公司的一位IT人员没有正确地把它复制到公司的所有服务器上。TJ争辩:“这的的确确是一次失误。”夏皮罗需要和她的下属讨论这个问题。一个小时后她回了电话:维持交易不变。
TJ面部肌肉抽搐着走出汽车,手里抓着拐杖,搭电梯到办公室,他怎么也想不到这样一个微不足道的失误会一下子打残了骑士资本:仅仅一位雇员的漫不经心,怎么会造成公司5亿美元的损失?
尽管骑士资本的崩盘源于一个软件的小故障,但其根源却要深刻得多。华尔街过去10年的技术革新为崩溃创造了条件。规则与科技将股票交易从片断、低效率且以关系为基础的行为,转变为一种紧密耦合的过程,其中计算机与算法占据了主导地位。像骑士资本这类过去使用场内交易人和电话实施交易的公司必须适应新世界。
2006年,美国引进了全国市场规则系统(Regulation National Market System,简称Reg NMS),绝大多数股票交易实现了自动化。权威人士统称的“股票市场”好像它是一个统一的整体一样,但实际上,美国股票市场由超过12个交易所组成,每一个交易所的规则又稍有不同,但它们都可以实施任何股票的交易。
Reg NMS带来了两项重大变化。第一,它规定交易所必须迅速地自动执行订单,从而把人类挤出交易回路。在此之前,投资者的订单在执行之前可能会滞留好几分钟,等待交易员与另一位投资者人工匹配并手工完成交易。第二,要求各家交易所相互连接并尊重彼此的市场,Reg NMS拉平了游戏场地。不妨试想,一位投资者向纽约证券交易所(NYSE)发出一份订单,买进100股IBM股票。过去,这份订单会暂时滞留在NYSE,即使另外一家交易所给出的价格较低。但Reg NMS要求所有交易所把自己收到的订单交给其他具有更有利价格的交易所,这便创造了一个真正的全国市场。
尽管华尔街之外的人很少听说过骑士资本这家公司,但它处理来自电子交易公司(E-Trade)、富达投资(Fidelity)和宏达理财(TD Ameritrade)这些股票经纪公司的小投资者的订单,以及退休基金这些大投资者的订单。这些订单进入骑士资本的服务器,那里有一段叫作智能订单路由器(Smart Order Router)的计算机代码,由它决定骑士资本应该如何处理:是把它直接发往一家交易所,还是将它与它自己的内部交易系统中的订单配对,或者以某种另外的方式处理。
骑士资本一直在更新自己使用的技术,来反映这些市场上的变化。由于有了Reg NMS,交易数量不断增长。而如纳斯达克(Nasdaq)和纽约证交所这些现有的交易所则已经调整了自己的规则,以便吸引更广泛的顾客,从职业交易商和巨型养老基金到小额的个人投资者。
向全电子市场的转化是金融界的一场革命。计算机的使用压低了费用,提高了交易速度,大大增加了交易者对订单的控制。 15 但Reg NMS也创造了一个更为复杂与紧密耦合的市场,它导致了一些令人吃惊的事件。例如,2010年5月6日,市场经历了所谓的闪电崩盘,其中一次小型接续断裂迅速向数以百计的股票扩散,令它们股价暴跌,其中有些低至每股1美分,但片刻之后便恢复正常。 16 这是华尔街历史上极为离奇的日子之一,而这已经能够说明一些问题了。接着就是骑士资本最新创造的足以成为头条的崩溃。
很难确定骑士资本崩溃的确切起始日,但是2011年10月是一个不错的开端。当月,纽约证交所提出了一种针对小投资者的新交易方式:零售流动性计划(Retail Liquidity Program,简称RLP)。这个程序为小规模投资者创造了某种影子市场,交易价格也比市场中的其他机构更优越。骑士资本的程序员每年都要更新他们的交易软件,这一次也不例外,以便让他们的顾客可以使用这个新方法。
顾客必须明确说明他们想要自己的订单参与RLP。为了做到这一点,骑士资本的程序员在他们的系统中添加了一面“旗子”。这面旗子是一种指示,说明对某项订单采取特别交易方法,它告诉骑士资本的系统,把订单送入RLP。一面旗子就像包裹上的“易碎品”标签:它不会影响包裹中的内容,但它说明这件包裹需要特殊处理。当富达这类公司向骑士资本发送RLP订单时,它们会在订单的特定位置上附上一面旗子,或许在上面标出大写字母P:
当骑士资本的智能订单路由器处理这种带有旗子的输入订单时,它会把订单送往系统中知道如何处理RLP订单的部分:
多年来,骑士资本一直使用同样的旗子来特别说明不同的订单类别即所谓的Power Peg订单。当交易员递交一份Power Peg订单时,骑士资本的系统会把它分割,小批量分别处理,目的是降低大笔订单可能造成的价格变动。Power Peg是一种老旧的技术,从2003年起,骑士的系统就不再支持这种技术。但程序员并没有把这个代码从交易系统中去掉,他们只是废弃了这个代码,让人无法使用。几年后骑士资本的系统发生了另一项变动,使得智能订单路由器无法再追溯Power Peg订单的交易情况。这应该没什么问题,因为Power Peg反正已经废弃了。谁也没有注意到这个失误。
从引入RLP,废弃Power Peg功能,无法追溯Power Peg交易,一直到重新使用Power Peg旗子,这些步骤全都看上去无关紧要,但它们共同造成了一次金融崩溃。在RLP程序投入使用之前,骑士资本的一位IT工作人员把新版交易软件装入系统。为了确保没有问题,他先在一两台服务器上试验了新的程序,一切正常后再把RLP代码写入所有的8台服务器上,至少他想要这样做。但是,不知道出于什么原因,他漏过了其中一台。只有7台计算机使用了更新的软件,第8台服务器还在使用较早的版本,就是使用Power Peg代码的版本。
到了8月1日上午,RLP订单不断提交给骑士资本的交易系统。在7台使用了新版本软件的服务器上,这些订单都被作为RLP订单正确地发送给了纽约证交所。而在第8台服务器上则是一片混乱。
当股市在9时30分开盘时,这台服务器开始处理顾客提交的RLP订单。但它没有RLP代码,无法把订单按照固定价格发送给纽约证交所,只是用不再工作的Power Peg代码确定价格,每秒钟处理数百份订单,不停发出订单。牵涉到100多家公司的股票订单潮水般地涌入纽约证交所,这些公司包括福特、通用汽车、百事可乐和约翰·缪勒看到的诺华公司。
尽管这些填好的订单没有出现在骑士资本的正式系统上,但它们被追溯不正常交易的监督程序发现了。然而监督程序无法更细节地显示这些仓位的来源,管理人员也就无法弄清这一错误的严重性。而且,跟三里岛核电站的计算机一样,程序输出的内容全都是些问号,骑士资本的监督程序很快就无法跟上事态发展。
骑士资本终于开始修正错误的时候,它已经濒临破产。
在30年前,骑士资本根本不会发生这种崩溃。计算机在交易中占据主导地位之前,绝大多数交易行为是在交易所内面对面进行的。这让人们易于理解交易的情况,减少了出现复杂的意外行为的可能性。如果确实有某位顾客提出了特别大的订单,交易员会在执行交易之前再次检查,这种情况下,市场的耦合很松散。即使存在错误理解,交易员可以进行讨论,直接取消不正确的交易。但不断兴起的以计算机为基础的交易让现代金融变得复杂无情了。
当TJ走进办公室时,他和他的高管团队努力从交易伙伴那里寻求保障紧急资金,因为这时骑士资本的股价暴跌。崩溃次日,拖着残腿的TJ出现在彭博电视台上,以求稳定投资者的信心。“仪器故障。这不是好事。我们也不想看到这种事。但仪器出了故障。”
TJ四处奔波,竭力挽救他的公司。他在周末弄到了一大笔救急资金。几个月后,骑士资本宣布与它过去的竞争对手全球电子交易公司(Getco)合并。合并之后不久,TJ离开了这家联合公司。
“我觉得,任何人都不会对这样的问题无动于衷,”TJ告诉我们说,“事后回想,人人都更聪明、跑得更快、跳得更高。在出问题之前,我们不知采取了多少防范措施。”但这些措施还是不够。像骑士资本这样的公司深陷危险区,超过任何人意识到的程度。
Ⅲ
28岁的凯莱布·霍洛韦(Caleb Holloway)身材瘦长。他是个钻机手,工作地点是世界上最复杂精密的石油钻井平台之一。霍洛韦和他的同事即将在英国石油公司(BP)控制的马康多勘探区完成一口难度颇高的探井,人人都期待着结束这项工作。一天上午,钻塔长吉米·哈勒尔(Jimmy Harrell)把霍洛韦叫到他的办公室里,举行了一个小型仪式。当着钻塔领导人的面,他把一块银色的手表送给这位青年钻机手,因为他在最近的一次检查中发现了一颗损坏的螺钉,这块表是给他的奖励。
不到12个小时之后,霍洛韦与死神擦肩而过。 17 泥浆和石油在探井的巨大压力下,喷溅而出,甚至超过“深水地平线号”钻井平台。几分钟之后,发动机也喷出一片气体云。平台工作人员有的紧急放下半空的救生船,有的直接跳进60英尺下的墨西哥湾深色海水中。还有些人永远留在了钻井平台上。这次事故造成了11人丧生。深水地平线在沉没之前燃烧了整整两天,火焰在30英里之外都能看见。 18
在随后的三个月里,石油不停从一英里深的井口喷涌,无论如何也堵不住。爆炸之后87天,BP终于堵住了这口井。那时已经有差不多500万桶石油侵入了墨西哥湾,在水上形成了一片庞大的活动浮油层。
深水地平线不仅仅是一个好听的名字。在它爆炸前一年,这座钻井平台在一英里深的水下钻透了五英里的地层,打出了当时世界上最深的探油井。BP这类租赁了这座钻井平台的公司需要深入地层之下钻探,寻找新的石油资源。但深层钻井把系统推向复杂性与紧密耦合。BP越来越深地进入了危险区。租赁深水地平线花费巨大,每天的费用就有100万美元,于是BP的工程师急切希望深水地平线加紧完成马康多的工作,转战下一个项目。
这次爆炸不是源于某个损坏的螺栓或是当班水手在安全检查中可以发现的其他失误,完全是因为BP未能控制油井的复杂性。
正如在核电站中的放射性辐射让人难以直接观察核反应堆芯一样,水下高压环境也让人无法知晓钻井的状况。钻机手无法直接“派一个人下去”看看地层几英里之下正在发生些什么。他们不得不依赖于计算机模拟、井压与水泵流量这些间接指标。
于是,BP做出了一系列冒险决定,如不理会令人担忧的压力读数 19 、跳过混凝土完整性测试等 20 ,于是最终问题掩盖在复杂性之下。深水地平线的员工立于灾难的刀刃上,他们对自己的状况却毫不知情。
当员工与井喷搏斗时,复杂性再次造成了障碍。钻井平台精密的应急系统极端复杂。一个安全系统需要多达30个按钮才能控制,而一份应急手册详细描述的偶发事件可能多到让人难以选择应对措施。事故发生时,水手团队完全不知所措。深水地平线的安全系统让他们陷入困境。
这座在墨西哥湾不稳定的地质构造上钻探的钻井平台是紧密耦合的。灾难来临之际,这个系统无法逆转、修复、重启。石油和天然气无处可去,只能向上喷发。
深水地平线是工程学上的一个奇迹,它曾不断创造钻井史上的新纪录。尽管它越来越复杂,越来越难以控制,但它依赖的安全措施仍然只适用于较为简单、更加宽容的环境。
瑞士越洋钻井公司(Transocean)是深水地平线的所有者,确实非常关注它的某些安全问题。据霍洛韦回忆,工作期间的“安全会议一而再再而三地召开。我们每周、每天都有安全例会” 21 。
工作人员甚至录制了一份保障平台安全的宣传视频 22 ,其中有这样的内容:
无时无刻,没有死角
让这里成为零事故的工作场所
还要从计划开始
不要乱动设备
让发动机手操作发动机
不要乱动发动机!
让电梯手操作升降机
不要乱动升降机!
让钻机手负责管道
不要乱动管道!
BP也警惕滑倒、坠楼和其他工作场所的伤害。一位前工程师解释道:“BP高层管理人员非常注重安全方面比较容易做到的部分,如抓住栏杆扶手等,他们会花好几个小时讨论侧方停车的优点和咖啡杯不盖盖子的危险。但他们对艰难的安全问题兴趣不大,比如对复杂的设备进行投资与维修。” 23
他们更关心洒出来的咖啡,而不是喷射的石油。 24
这种方式听上去很荒唐,但公司觉得很合理。员工被烫手、滑倒、摔跟斗、出车祸,都会损失工时,公司得为此破费。这类伤害最容易追踪,人们也很容易编纂事故率和安全改进的统计,也容易确定它们对公司利润有何种影响。按照季度数据来看,结果显而易见,事故会越来越少,于是支出减少了,盈利增加了。这种结果产生了安全的假象。不可思议的是,在深水地平线事故后,这种假象甚至仍然存在。“尽管在墨西哥湾发生了惨痛的伤亡,但是在总事故率和潜在严重事故率方面,我们还是取得了具有典范意义的安全统计记录,” 25 越洋公司在一份安全档案中这样写道,“按照这些测试标准,我们取得了有史以来的年度最佳安全纪录,这反映了我们的努力获得了成功,创造了一个没有死角的零事故的工作环境。”
年度安全最佳纪录?具有典范意义的安全统计记录?他们卷入了行业史上最惨痛的事故,但是按照他们的标准,这是有史以来最安全的一年。
或许他们的标准是错误的。或许事实上,他们的整个衡量标准都需要改变。
当我们的系统变化时,我们对系统的管理方式也必须随之变化。骑士资本、BP公司和越洋公司使用的都是过时的管理方式。就拿骑士资本来说,尽管科技早已成为它的业务核心,但它却没有将自己视为一家科技公司。当现场交易员在金融业中占据主导地位时,这种方式或许可以奏效。但是,这样的时代已经过去了。
与此类似,BP或者越洋公司对于安全的举措或许适用于一个更为简单的系统,如沿岸钻探作业的日常操作。在这种情况下,强调工人事故率,注重对诸如磨损的螺栓一类细节,或许足以应付局面。但深水地平线是一个复杂的远洋钻井平台。它的操作深陷系统崩溃的危险区。
当培洛于1984年发表《常态事故》时,他所描述的危险区还不多:其中包括核设施、化工厂和宇航事业。从那时以来,从大学和华尔街公司,到大坝和石油钻探业等各种系统已经变得更复杂、更紧密地耦合了。
似乎没有哪个系统能够避免这种变化,就连过去那些象征着简单与松散耦合的系统也不例外。比如微不足道如邮局。1984年,培洛将它放在矩阵中最安全的一角,远离危险区。它看上去是最不至于出现疯狂状况的系统之一。但是如今就连它也变了。
Ⅳ
21世纪头10年,英国的邮局引进了名为“地平线”的高档IT新系统。 26 这套系统耗资10亿英镑,并被人骄傲地称为“欧洲有史以来最大的IT项目之一”。 27 但几年之后,报纸对这个系统的报道是这样的:
英国的邮局是一个半私营化的公司,人们不但可以在邮局里邮寄信件,也可以登入他们的银行和养老金账户、终止预存话费手机、为各项业务付费等。在远离大城市的地方,邮局与特许经营商签订合同,这些小企业主在自己的商店里提供邮局的服务,人们称他们为邮局分支代理人。
邮局设计了地平线系统来管理成百上千种的产品,减少邮局分支代理人花在簿记上的时间。从许多方面来说,这个系统很成功。但在这一系统就位之后不久,有些邮局分支代理人抱怨,说地平线存在财会问题。他们报告了由于系统错误发生的现金和邮票短缺问题 31 ,自动提款机出现故障频频发生 32 。地平线的工作范围过宽,这可能是造成故障的部分原因。根据《金融时报》( Financial Times )报道 33 ,一份独立司法调查报告发现,问题在于“该系统过于复杂而无法与其他系统顺利连接,邮局对员工运用系统缺少合适的训练,以及邮局的商业模型将处理一切问题的责任委派给分支代理人”。这说明,地平线与跟它同名的深水地平线一样,都具有复杂与紧密耦合的特点。
作为邮局分支代理人,汤姆·布朗(Tom Brown)经历非常丰富,他担任这一工作长达30年,遭遇过5次持枪抢劫。 34 但是,就连他也觉得使用地平线困难重重。当他与邮局签订合同时,邮局告诉他的是:“没问题。任何事情它都能为你排忧解难。”
但是,在上线地平线后的那次审计中,他受到指控,称其贪污了85,000英镑。警察逮捕了他,搜查了他的房子和汽车。尽管对他的指控在5年后取消,但是布朗的名誉蒙受了巨大的污点。他损失了企业、房子和250,000英镑。
尽管一些邮局分支代理人报告了系统的不正常现象,邮局还是“对地平线计算机系统在各营业所的工作,以及一切以地平线为中心的财会工作抱有百分之百的信心,并绝对相信它在任何时候都能保持准确可靠” 35 。的确,当我们要求事实核查时,邮局的回答表达了自己被纳入一部有关系统崩溃的著作的关切。而且它指出,地平线现在“广泛应用于由邮局分支代理人、承包商和邮局自己的职工管理的11,600个营业点,每天成功处理600万份往来业务,其中包括代理英国大型银行的业务” 36 。
邮局对于这个系统的准确性极为自信,因此以盗窃、欺诈和假账罪对一些分支代理人提起诉讼,并要求他们退回所谓的资金缺口。 37 他们甚至在某些案子中提起刑事诉讼。 38 以下是乔·汉密尔顿(Jo Hamilton)的故事,她过去在一家乡村商店中代理邮局业务,结果面临一笔2,000英镑的不符账务:
我只好把房子抵押出去归还这笔钱。一开始,我被指控盗窃,但他们说,如果我把钱还回去,并对14条假账罪名认罪,他们就不再提起盗窃罪诉讼。我因此认为,如果我承认做假账,入狱的可能性要低于被诉盗窃,于是我就认罪了。如果我不认罪,他们就会起诉我盗窃。我没法证明我没有拿他们的任何东西,他们也没法证明我拿了,而当时他们告诉我,只有我一个人因为地平线惹上麻烦。 39
一些国会议员表示对邮局问题的担忧后,邮局指定了一家叫作“先见之明”(Second Sight)的独立法律财会公司实施调查。 40 先见之明公司发现,问题可能出在系统各部分之间的一些始料未及的相互影响上:“停电和交流失误,或柜台错误,这些事件不寻常地组合在一起,造成了这些后果。” 41
先见之明公司也发现,在面临网络犯罪分子对它们的巧妙攻击时,自动提款机可能遭到渗透,资金短缺或许也可以由此得到解释。 42 犯罪分子在系统内部安装了恶意软件,避开了内置软件的控制。事实上,邮局分支代理人报告过的一些出现无法解释的现金短缺的室外自动提款机都属于爱尔兰银行,表明了这些机器很有可能存在共同的脆弱环节。 43 但地平线系统的复杂性多年来掩盖了这些潜在问题。 44 而这些年中,一些邮局分支代理人因此破产或进了监狱。 45
尽管越来越多人抱怨地平线令人困惑的复杂性 46 ,邮局管理层仍然对他们的系统满怀信心,并对先见之明公司的报告表示质疑 47 。他们坚持认为:“经过两年的调查,没有发现任何证据说明这个计算机系统发生了系统问题。” 48 但这一问题仍然悬而未决:邮局仍然在为一项由500多名分支代理人发起的集体诉讼进行辩护 49 ,而刑事案件审查委员会正在对几件判决进行调查 50 ,地平线可能在其中发挥了很大的影响。
正如一位国会议员得出的结论:“邮局的分支代理人一直勤勤恳恳地为当地社区做贡献,有些长达数十年之久。突然有一天,他们发现自己能够对系统进行欺诈,这种说法完全是胡说八道。” 51 或者像一位曾经的分支代理人所说的那样:“有些人被投入监狱,但很明显,这是复杂的计算机系统造成的问题。” 52
