2026年4月,一篇系统科学论文提出了反直觉观点:失败不是要避免,而是要设计。作者团队发现,高风险的复杂系统——从人机协作到航空着陆——都在用三种特定策略控制崩溃方向。这些策略让"搞砸"变成可预测、可管理、甚至可复用的工程资产。

这不是乐观主义的鸡汤。论文核心论点是:在混乱环境中运营,你必须预先规划失败。古罗马斯多葛学派称之为"预想恶事"(premeditatio malorum)——主动思考什么会出错。现代系统科学则使用"失效模式"(failure modes)一词:系统将以何种具体方式崩溃。你越能提前绘制这些失效模式,就越能设计系统穿越、越过或绕过它们的路径。

打开网易新闻 查看精彩图片

但失败并非平等。论文提出了三个区分失败的维度,每个维度对应不同的设计选择。我们逐层拆解。

维度一:向何处崩溃——"朝向"还是"远离"

第一个维度关乎崩溃的方向性。系统可以"朝向某物失败",也可以"远离某物失败"。

"朝向失败"意味着系统预先识别了正常运营模式之外的次级稳定点。这些点不理想,但足以维持降低水平的运行。人机协作团队采用这种模式。全负荷运转时,这类团队平衡复杂输入、执行复杂操作、在人类与人工智能元素之间共享决策权。纯人类决策是一个自然的次级稳定点,因此设计良好的人机团队可以被设置为在出错时向人类控制崩溃——人工智能组件先失效,人类元素继续推进任务。

这里的工程智慧在于:你不是在防止崩溃,而是在指定崩溃的终点。当主路径失效时,系统不是随机散落,而是滑向一个已知的、可操作的备用状态。

"远离失败"则相反:系统识别特定风险,并设计为方向性地远离它。论文举了两个例子。第一个是悬崖边行走:如果要绊倒,显然朝远离悬崖的方向摔倒更好,因此大多数人会本能地略微向内倾斜。第二个是飞机着陆:主要风险是与地面接触,因此当着陆序列跟踪不正确时,首选响应通常是飞越跑道、重新获得高度、再次绕场。此时并未激活特定备用计划,只是远离灾难性失败。

关键洞察:你越精确理解系统的次级稳定点和风险集中区域,就越能刻意设计它的倒塌方向。

维度二:何时崩溃——"提前"还是"延后"

第二个维度关乎崩溃的时机。系统可以选择"提前失败",在达到不可逆后果之前放弃行动路径。

这听起来像半途而废,因此需要主动识别并利用早期信号——某些行动路径不可避免地、不可逆地通向失败。论文从创业世界提取经典案例,但原文在此处中断。我们可推断其逻辑:初创公司在烧光资金前主动关闭,比拖到破产清算更有价值;投资者及时止损,比追加沉没成本更理性。

提前失败的核心悖论:系统理论上仍有继续运行的能力,但选择停止。这需要克服"再试一次"的本能,建立对早期预警信号的信任机制。

维度三:如何可视化——核心框架图

论文的核心贡献是将上述维度整合为可操作的设计框架。虽然原文未提供完整图示,但三个维度的交叉逻辑清晰可见:

横轴:崩溃方向(朝向/远离)

纵轴:崩溃时机(提前/延后)

深度轴:系统类型(人机协作/物理系统/组织决策)

每个象限对应不同的设计策略。人机协作团队适合"朝向+延后"——尽可能维持协作,必要时滑向人类控制。航空着陆适合"远离+提前"——稍有偏差立即复飞,绝不冒险触地。创业决策适合"提前+朝向"——及时关闭,将资源转向已知可行的次级路径。

为什么这很重要:从灾难恢复到灾难设计

传统工程思维将失败视为需要消除的噪声。这篇论文提出更激进的观点:失败是系统的固有属性,应当像设计成功一样设计失败。

这种视角转换有实际后果。对于运营高风险系统的团队——无论是自动驾驶、金融交易还是医疗决策——"优雅失败"不是美学追求,而是生存必需。当混乱不可避免时,控制崩溃方向比假装崩溃不会发生更有价值。

论文的终极建议:绘制你的失效模式。不是列出可能出错的事项,而是定义出错时系统将如何表现、向何处移动、何时停止。这种预先设计的失败,是现代复杂系统最可靠的保险。