"你们加的控制,反而让车更危险了?"
会议室里,产品经理的质问让陈薇哑口无言。
去年秋天,我在一个行业交流会上认识了陈薇。她是某自动驾驶公司的测试主管,三十出头,技术功底扎实,但那天她整个人都带着一种说不出的疲惫。
她告诉我,团队花了三个月时间,精心设计了一套12层的决策控制逻辑——从障碍物识别到紧急制动,层层嵌套,层层把关。架构师在会上拍着桌子说:"控制越多越安全,这是基本原则。"
可结果呢?这套逻辑上线后,事故率确实降了,但系统自己的bug引发了两起误刹车。一次是在高架桥上突然急刹,后车差点追尾;另一次是在小区门口,把路边飘起来的塑料袋识别成了障碍物。
陈薇说,她的测试团队连完整的测试用例都写不全——正常路径勉强覆盖,那些异常嵌套分支,早就成了无人敢碰的黑箱。没人知道那些代码在极端情况下会怎么走。
电话那头,陈薇的声音带着明显的疲惫:"老贺,我们到底做错了什么?"
好心办坏事的控制逻辑
说实话,陈薇和她的团队并没有做错什么——他们只是做了"太对"的事情。
架构师坚持的"控制越多越安全",是软件工程几十年来的金科玉律。每增加一个if-else,就是给系统加一道保险。这在传统软件里几乎是不证自明的真理——一个电商网站的登录校验,多加几个条件分支,确实能让系统更稳健。
但自动驾驶不一样。
陈薇忽略了一件事:控制逻辑本身也是代码,代码就会有bug。那些if-else不是站在岸上指挥交通的交警,而是冲进车流里试图拦截每一辆车的路障——它们自己就是事故隐患。
我让她算一笔账:12层嵌套,每层平均3个分支,理论上有多少条执行路径?
陈薇在电话那头沉默了一会儿,我听到她敲键盘的声音。我知道她跑的是什么——就是代码里自带的圈复杂度分析工具,不是什么黑科技,每个IDE里都有。几秒钟后她说:"53万条。"
"你们测了多少?"
"不到500条。"
这个数字让我倒吸一口凉气。53万条执行路径,只测了不到500条,覆盖率不到千分之一。这就相当于你买了一把有53万种开法的密码锁,然后只试了500种就说"这锁很安全"。
备注:"理论上有53万条(3¹²),实际跑圈复杂度工具出来大概在几万条的量级。但不管是53万还是5万,500条的覆盖都太少了。"
我给这种现象起了个名字叫"控制流债务"——就像你借钱迟早要还利息一样,每增加一个条件分支,系统能力确实提升了,但你欠下了一笔"测试债"。你需要测试这个分支在所有可能场景下的表现。当分支数量呈指数级增长,这笔债的"利息"——测试成本、运维风险、代码自身的bug风险——很快就会超过它的"本金",也就是功能收益。
更麻烦的是,这些控制逻辑的bug比模型预测错误更难发现。模型预测错了,你看输出就知道不对——比如它把卡车识别成云朵,一眼就能看出来。但控制逻辑的bug发生在"人类意图"与"机器执行"的映射断裂处——代码逻辑上完全正确,但组合起来的结果就是错的。比如那个把塑料袋识别成障碍物的case,从代码角度看,每个if-else都执行了它该执行的逻辑,但嵌套在一起就出了问题。这种bug,你光看代码是看不出来的,非得在实际场景里跑一遍才能发现。
陈薇的团队陷入了测试行话里说的"杀虫剂悖论":用同样的测试用例反复验证,就像反复喷同一种杀虫剂,虫子早就产生了抗药性,发现不了新问题。而那些未被覆盖的分支,恰恰是最可能出问题的地方。
控制失控的深层困境
"所以我们不该加控制?"陈薇问我。
"不是不该,是无法。"
这事儿我也没完全想明白,但有一点我能确定:完全消除控制流债务既不现实也无必要。
在自动驾驶这种系统里,紧急刹车必须有硬编码的兜底逻辑——你不能指望AI模型在最后一秒做出正确判断,毕竟模型也有犯困的时候。这种"防波堤"是必要的。问题不在于要不要建防波堤,而在于你到底清不清楚这条防波堤挡住了多少水、又能承受多大的浪。
我给陈薇讲了一个我自己的故事。
去年,我在参与ISTQB CT-GenAI大纲的本地化工作——就是那个国际软件测试工程师认证体系,国内很多测试工程师考的那个。我们讨论到第2章"面向高效软件测试场景的提示词工程"时,大纲里有个学习目标要求考生理解如何用提示词做测试分析。有专家觉得理解定义就够了,但我坚持要在实践环节加入动手实验。
我的理由很实际:如果测试工程师只会背定义,面对真实的DeepSeek或者通义千问时,根本不知道怎么设计一个有效的提示词来做测试分析——就像你给一个人一本菜谱但从来不让他下厨一样。
最终我们各退了一步:在实践环节补充了通过提示链加人工核验的方法,让学员循序渐进地分析用户故事、细化验收准则。
后来有参加过培训的人反馈说,正是那堂实验课让他们真正理解了"测试AI"和"被AI测试"的区别——前者是你用AI做测试工具,后者是你的测试工作被AI替代了。
这个故事和陈薇的困境有什么关系?
它们都在说同一件事:从"理解"到"驾驭"之间的鸿沟,远比我们想象的大。
陈薇的团队理解"控制越多越安全"的原则,但他们没有驾驭这个原则的能力边界。他们能写出控制逻辑,却无法验证这些逻辑在所有场景下的正确性。这就像你知道开车要踩刹车,但你不知道在冰面上踩刹车会打滑——原则没错,但你不知道它的适用边界。
这就形成了一个死循环——用不可靠的控制去控制不可靠的模型。控制流自身的不可靠性被严重低估了。
我们总想用更复杂的控制去驯服失控,却忘了控制本身也会失控。
承认无知,才能找到出路
陈薇问我:"那怎么办?把那12层全删了?"
"删了更危险。"
这听起来像个悖论:留着是债务,删了是灾难。
但问题的解法往往就藏在悖论里。
我给陈薇提了三个建议,不是什么高深的理论,都是我这些年踩坑踩出来的经验:
第一,建立"控制流债务清单"。
不是所有if-else都是等价的。你得先把它们分出来:哪些是关键路径,一旦出错车就会撞;哪些是非关键路径,出错了顶多是体验不好。关键路径上的控制逻辑,必须死磕验证覆盖;非关键路径上的,可以接受一定的不确定性——跟产品经理说清楚风险,让他们来做商业决策。
第二,量化"可控的不确定性"。
和产品经理、架构师坐下来,一起定义:什么程度的不确定性是可以接受的?不是100%覆盖就是好,80%覆盖但你知道剩下20%是什么,比95%覆盖但你对那5%一无所知要强得多。这不是推卸责任,而是让所有利益相关方在同一个量化指标上对齐。
第三,从"验证一切"转向"验证边界"。
测试工程师的角色需要转变——从"找bug的人"变成"制定规则的人"。你不需要测完所有场景,但你需要知道"边界在哪里":什么情况下系统会崩溃?什么输入会导致异常行为?把这些边界标出来、测透,比漫无目的地堆测试用例有效得多。
消除所有if-else就像消除所有风险——听起来完美,却让系统失去了适应复杂世界的脊柱。
陈薇听完,沉默了一会儿:"所以我不是测试失败了,而是验证目标本身就错了?"
"可以这么说。"
她追求的是100%覆盖,但这个目标在12层嵌套面前根本不现实。更糟糕的是,她没有意识到这个目标的不现实性,反而用"控制越多越安全"来安慰自己——就像明明知道这顿饭吃不完,还不停往碗里夹菜。
AI系统发展的真正瓶颈,不是模型不够智能,也不是控制无法验证,而是当系统复杂度逼近人类有效设计与验证极限时,如何在智能与控制之间找到动态平衡。
控制流债务的本质
陈薇的故事让我想起另一件事。
有次我帮一家传统制造企业做TMMi评估。简单说,TMMi是一个测试成熟度模型,有点像软件行业的"米其林评级"——Level 1是路边摊的"乱炖",Level 5是真正的"米其林三星"。这家企业想评估自己是否达到了Level 2。
按TMMi框架,Level 2有几个关键过程域需要考察,其中包括"测试方针与策略"、"测试策划"、"测试监控与控制"等。
评估时我发现一个有意思的现象:他们其实有测试流程文档,而且写得很规范——格式工整、措辞严谨、审批流程完整。但没人看。
我私下问了几个测试工程师,回答出奇一致:"那是质量管理部写的,给审核看的,不是给我们用的。"
后来我建议他们做一件事:让测试团队自己重新写一遍测试方针。不是改,是从头到尾重新写。
结果写出来的内容和原来几乎一样,但态度完全不同了——因为是"我们写的"。测试团队开始主动讨论:"这个流程不合理"、"那个标准太高了达不到"。他们不再把流程当枷锁,而是当工具。
这件事让我深刻理解了一个道理:过程改进必须是组织自驱动的,外部评估只是催化剂。你不能靠一个外部团队替你解决问题,就像你不能靠别人替你健身一样——教练可以指导你,但举铁还得靠你自己。
陈薇的困境也类似。她的团队一直在被动地"还债"——发现bug了赶紧补测试用例,出事故了赶紧加新的if-else——但从未主动地"管理债"。他们一直在应付眼前的事,从来没停下来问一句:我们到底欠了多少债?利息有多高?哪些债必须先还?
控制流债务不是纯粹的负债,它本质上是一种设计杠杆。你借债去扩张功能,这本身没问题。关键在于,你是否清楚自己在"借债",以及这个"利息"到底有多高。
在AI系统的语境下,这个"利息"包括三部分:测试成本(你花了多少时间测它)、运维风险(线上出了bug要花多大力气修)、以及最隐蔽的——控制逻辑自身的bug风险(代码本身的bug引发的连锁反应)。
说到测试成本,我去年在Tricentis的白皮书里看到一个数据,说AI辅助测试工具能将测试创建时间从1-2天缩短到20-30分钟,减少95%。但那个数据有个前提条件——他们测的是Web应用,测试用例本身是可设计的。对于自动驾驶这种开放世界系统来说,这个降幅会小得多,因为连"要测什么"都不好定义。
为什么自动驾驶的测试这么难?传统软件的测试逻辑是"输入A→处理→输出B",你给个输入,看输出对不对就行了。但自动驾驶面对的是开放世界——路上的场景是无限的:一只突然窜出来的猫、一个被风吹起来的塑料袋、一场突如其来的暴雨。你不可能穷尽所有场景。这就是为什么控制流债务在自动驾驶中特别致命——你加的每个if-else,都在指数级地扩大需要测试的场景空间。
给测试工程师的新角色
大概过了两个月,陈薇又给我打了个电话。
她说她按照我的建议做了。
她和团队花了两周时间,把那12层决策逻辑从头梳理了一遍,建立了控制流债务清单。结果是:6层是关键路径,必须保证验证覆盖;4层是非关键路径,可以接受概率性验证;剩下2层,经过和产品经理的讨论,直接删掉了——因为对应的场景压根不会发生。
"最让我意外的是,"陈薇说,"产品经理并没有责怪我们测不全,反而感谢我们把问题说清楚了。他们之前一直以为所有功能都一样重要,现在终于知道哪些地方绝对不能出问题,哪些地方出了也能接受。"
这才是测试工程师应该扮演的角色:不是承诺"我会测完所有场景",而是帮助团队理解"哪些场景值得测、哪些场景可以不测、哪些场景测了也白测"。
从"验证一切"到"在不确定性中构建可信边界",这不仅是方法的转变,更是认知的升级。
我这"领测老贺"的名号不是白叫的——干了三十年测试,见过太多团队在控制流债务的泥潭里越陷越深。他们以为只要足够努力、足够认真,就能覆盖所有场景。但现实是:有些东西本来就测不完,你得学会选择和取舍。
当系统复杂度逼近人类有效验证极限时,关键不是消除债务,而是动态调整成本风险比,接受"可控的不确定性"。
结尾:知道自己不知道
陈薇的故事没有完美的结局。她的团队仍然在为那6层关键路径的验证覆盖率努力,仍然时不时有新的bug冒出来。但至少,她不再因为"测不全"而焦虑了——因为她知道,有些东西本来就测不完。
重要的是,她从"找bug的人"变成了"制定规则的人"。
我把那个"控制流债务清单"的框架给陈薇时,她看了一眼,笑了:"这不就是个项目管理嘛。"
"对,"我说,"但你们之前从来没把它当成项目管过。"
知道哪些债可以不还,比知道哪些债必须还,更难。
控制流债务既是必要的代价,也是危险的积累。关键在于,你是否清楚自己在和什么样的不确定性共处。
如果你读完这篇文章,今天能做的最小的一件事是:打开你项目里圈复杂度最高的那个文件,跑一下静态分析工具。如果结果让你倒吸一口凉气——恭喜你,你已经迈出了最重要的一步。
承认自己不知道。
你的团队里,有多少if-else是你亲手写的?有多少是你敢保证测全了的?有多少是你知道测不完,但还在假装努力测的?
如果老贺这篇文章让你想起了自己代码里的某个"黑箱",不妨从明天开始,打开它,看看里面到底藏着什么。
文章评论