馬斯克迷信冗餘和民用低成本，然後瞎吹他的失敗是指日可待的_風聞

【本文由“guan_qiu”推薦，來自《特斯拉用的Linux是高度定製的，拿Linux是分時操作系統説事，不專業不客觀》評論區，標題為guan_qiu添加】

看來大家都對實時系統的概念混淆不清。實時是從real-time這個單詞翻譯過來的。但是對於實時的理解，軍工圈和民用圈完全不同。

民用圈子裏面是指的對事件響應的及時程度。好比你老婆短信問你下班了嗎？你秒回老婆説今天下班沒別的事兒，直接回家。對於你老婆來説你就是個秒回實時系統。但是你把手機放桌上，然後去茶水廳泡了杯咖啡，喝的時候還跟前台妹妹聊了聊春夏時尚。回到座上看見短信，再回説此刻回家。時間已經過去十分鐘了。 對你老婆來説你這就不是個實時系統。民用的定義是在一定約定俗成可以接受和容忍的時間間隔內（比如3分鐘）得到響應。就當這個是實時系統。雖然這個定義不對，但是一般人都這麼理解。

軍用和航太的實時系統就完全不是這麼回事兒！得用另外一個詞，叫做確定性時延。這個要做系統標定的。還是拿老婆來舉例，規定你必須在她的短信一分鐘（60秒）時候回信，59秒回不行，一分零一秒回也不行。這叫確定性時延，而且有可靠性的要求，就是要一百萬次她給你短信，你做到九十九萬九千九百九十九次一分鐘回。你這就是個6個西格瑪的1分鐘響應實時老公。假設你老婆每天問你4次，那麼你可以在685年的歲月裏面響應十個老婆而幾乎不會出錯。

實時系統主要的用處在高精度測控，比如空間站控制的指令收發應答: 空間站距離地面500公里軌道上，信號單程1.7-9毫秒，來回3.8-4毫秒，對應答機的要求就是5ms後必須收到應答信號，是，不是 或者加上校對信息：比如信號序號，內容大小，校驗位。這5毫秒裏面空間站能運行多遠呢？大約40米！如果為了空間避障，比如60公里外有危險障礙物，那麼只有4-5秒的時間窗口可以避開。

那麼理論上我發出的避障指令，應答機先回答收到，然後發出避障參數，應答機再回答收到，然後發出避障動作啓動；假設空間站的姿態噴嘴有確定性時延要求，比如是50ms，應答機再説收到；動作機作動，應答機再説已經啓動，這時多少毫秒過去？70毫秒，空間站移動了多少 560 米？假設避障最小距離20公里，那麼控制站有最多十次的機會挽救空間站。十次以後，基本上幹啥都來不及。所以高精尖系統的時延是至關重要，沒有打折扣，不執行，不理解，不收到，不反應的。指定時間發生指定動作。還要十年如一日！

高端系統設計的工程師為了做到確定性時延和響應付出的工程代價往往是民用系統的百倍以上。

民用系統有個啥特點呢？一個就是開發出門的時候，萬一用的架構師經驗少，便宜，一開始做架構就錯，然後整個團隊繼續打補丁，越打越爛越不可預測。跟那種便宜軟件公司設計的一個德行。另外一個特點就是民用產品涉及的產品用户覆蓋度廣，往往在迭代策略上選擇向下兼容，一個錯誤的架構會延續很長時間。所以特斯拉現在頭鐵死不承認是利益最大化的應對。一旦承認，那麼不管是找回還是銷售量下降都是滅頂之災。馬斯克這傢伙不管是做汽車還是做火箭，都是迷信低價冗餘，頻繁迭代，用民用件，用產量換低成本，然後瞎吹。他的失敗是指日可待的。從概率論上來講，民用實時做出來的系統大部分時候其實也是能用的。但是不能承擔關鍵任務肯定不允許失敗的寄託和指望。

所以你問我特斯拉車子能不能用，肯定能用，大部分時候能用，啥時候不管用這個不好説，薛定諤！看人當時的想法，用户最好訓練好“必須給我剎住！”，想法要堅定也許就剎住了。腦子裏千萬不要想：“完了，剎車失靈”，那肯定失靈。

希望各位用户：好人一生平安！