NASA 编程准则：为什么他们的代码逻辑异于常人，且值得你我借鉴？

过去十年，我一直待在“快速迭代、不惧犯错”这种文化的第一线。

我见过初创公司在周五下午硬要上线，见过在 30 秒内临时拼出来的“紧急修复”，也见过那句“完成胜过完美”被当成万能挡箭牌，用来掩盖那些足以让银行家抓狂的内存泄漏、竞争条件和技术债。

直到后来，我遇到了一位来自 JPL（喷气推进实验室）的软件工程师。

我问他平时用什么框架，他笑了；我又问他多久部署一次代码，他的笑声慢慢收住。

“当你的代码运行在 1.4 亿英里之外时，”他平静地说，“你根本没有重启服务器的机会。”

正当现代 Web 开发者还在为“React 服务端组件还是客户端组件”争论不休时，航空航天工程师们却在践行一门几乎失传的艺术：“生存导向开发”。

他们的代码不只是“能跑”，而是要“活下去”。它要扛住辐射，熬过宇宙射线，在长达二十年的任务里，一次也不重启地坚持下去。

秘诀在于：他们对待软件开发的态度，更像是在维护一座核反应堆，而不是在写一个简单的待办事项 App。

一套会改变一切的哲学

防御性设计：不信任任何人（甚至包括你自己）

在硅谷，我们写代码时总是假设一切顺利：API 肯定会响应，数据库肯定在线，用户也绝不会在“年龄”那一栏里输一个表情包。

而在航空航天领域，他们写代码时总是假设最坏情况——这就是防御性设计（Defensive Design）。

翻看火星探测器的代码时，我发现了很多“强迫症式”的细节：每个函数都要检查输入参数，每次给变量赋值都要再校验一遍。看起来好像有点“被迫害妄想症”。

我忍不住问：“你为什么要检查 speed 是不是数字？上一行不是刚把它设成数字吗？”那位工程师回答： “因为在强辐射环境下，内存里的‘比特翻转’（Bit Flip）是真实存在且被记录过的风险。一个 0 会莫名其妙变成 1，转眼间，探测器的时速就可能从 4 英里飙到 400 英里。”

// 硅谷风格：“大概率没事。”
function setRoverSpeed(targetSpeed) {
  this.currentSpeed = targetSpeed;
  // 如果 targetSpeed 是 "fast"（字符串）或 NaN，物理引擎会直接炸掉。
}

// NASA 风格：“相信物理定律，不要迷信变量。”
function setRoverSpeed(targetSpeed) {
  // 1. 检查数据类型
  if (typeof targetSpeed !== 'number') {
    return ERROR_INVALID_INPUT;
  }

  // 2. 校验物理约束（探测车最高时速 0.1 m/s）
  if (targetSpeed < 0 || targetSpeed > MAX_DESIGN_LIMIT) {
    logAnomaly("Speed request out of physical bounds");
    return ERROR_UNSAFE_OPERATION;
  }

  // 3. 冗余状态校验
  this.currentSpeed = targetSpeed;
  return SUCCESS;
}

这种心态上的转变，是彻底颠倒过来的：

• Web 开发者想的是： “要是崩了，就弹个报错窗口。”
• NASA 工程师想的是： “要是崩了，降落伞就打不开，20 亿美金会以终端速度‘啪’地砸在地上。”

硬核到有点“反人类”的“编程十诫”

NASA 的喷气推进实验室（JPL）遵循一套近乎苛刻的编码规范，被称为**“编程十诫”（The Power of Ten）**。

要是你在黑客马拉松上拿出这套规则，多半会被笑话“太老派”。但正是这套思路，让“旅行者号”在飞行了 47 年之后，还能从深空顽强地往地球发回数据。

规则一：严禁动态内存分配（初始化完成后） 在 JS 或 Python 里，我们随手就能创建对象：const user = new User()，剩下的烂摊子全交给垃圾回收机制（GC）去打扫。

但在 NASA 的飞行控制软件中，一旦完成初始化，就绝对禁止再申请动态内存。 火箭升空后，你没机会管系统再要更多内存。 所有的内存必须预先分配好。 为什么要这么死板？ 因为只要你不再开口要内存，“内存溢出”（OOM）这种破事儿就永远不会发生。而且，垃圾回收导致的系统停顿是不可控的风险。 心得：可预测性高于一切。

规则二：禁用递归 递归很优雅，甚至带有一种数学美。

但在 NASA，它被封杀了。 为什么？ 因为递归极易引发死循环或栈溢出。而像 for i in range(10) 这种固定的循环结构是“确定性”的——你一眼就能算出它跑完需要多长时间。

# “优雅”的 Web 写法（风险：死循环 / 栈溢出）
def find_root_node(node):
    if node.parent is None:
        return node
    return find_root_node(node.parent) # 如果链表有环怎么办？程序直接崩。

# “无聊”的航天写法（风险：接近 0）
def find_root_node(node):
    # 硬性上限：永远别假设数据结构一定正确
    MAX_DEPTH = 1000
    
    for _ in range(MAX_DEPTH):
        if node.parent is None:
            return node
        node = node.parent
        
    # 一旦达到上限就安全返回，而不是崩溃。
    return ERROR_TREE_CYCLE_DETECTED

其中的教训是：如果你无法证明一段程序何时停止，那么打一开始就不该运行它。

规则三：复杂度的天花板

函数必须短到能打印在一张 A4 纸上（大约 60 行以内）。

这不仅仅是为了代码整洁，更是为了**“可验证性”**。 如果一个函数超过 60 行，它的逻辑分支数量就会呈爆炸式增长。到那时候，想要穷尽所有的测试场景，几乎是不可能完成的任务。

“零缺陷”主义：玛格丽特·汉密尔顿的遗产

有一张非常著名的照片：玛格丽特·汉密尔顿（Margaret Hamilton）站在一叠和她人一样高的打印纸旁。那一叠纸，就是阿波罗计划导航计算机的全部源代码。

就是这叠代码，把人类送上了月球。

“在阿波罗 11 号降落期间，没有出现过任何会导致任务失败的代码 Bug。”

当时确实出现了硬件超载报警（著名的 1201 和 1202 错误），但软件的表现完全符合设计预期：它果断切掉了低优先级的任务（如雷达更新），把所有资源都倾斜给了核心任务（降落）。

这可不是撞大运，这叫**“异步执行调度”**。

现代 Web 应用可能因为你点按钮快了几次就直接崩溃，而阿波罗号的计算机在距离月球表面只有 15 分钟路程、负载爆表的情况下，只是冷静地说了句：“我很忙，雷达数据我先放一边了。”

“去自我化”的代码审查

在很多科技公司，代码审查（Code Review）简直是场“自尊心大乱斗”：“这儿干嘛不用 map 函数？”或者“这写法不符合 React 的规范啊”。

但在关键系统工程领域，他们践行的是**“无我编程”（Egoless Programming）**。

代码不是“你的”，它属于整个任务。 工程师们会坐满一间屋子，把代码投在墙上，逐行进行“解剖”。 如果有人在你的代码里发现了 Bug，你不会感到难堪或想要辩解，你只会感到如释重负。

你会说：“谢谢，你刚刚拯救了整个任务。 ”

他们审查的不是“代码风格”，而是：

• 如果这个输入值是 Null 会怎样？
• 如果这个循环跑了 100 万次会怎样？
• 如果传感器在这行代码执行时突然断开了，会怎样？

事实胜于雄辩

旅行者 1 号：终极“祖传代码” 旅行者 1 号发射于 1977 年。它的算力甚至还不如你手里那把汽车电子钥匙。

它目前远在 150 亿英里之外的星际空间。 就在前几年，旅行者 1 号传回的遥测数据开始出现乱码。 工程师们翻阅着那叠足有 50 年历史的技术文档，从地球上远程诊断出了一个损坏的内存芯片。然后，他们给这台“迪斯科流行时代”制造的计算机上传了一个补丁。 它竟然起死回生了。

对比一下：你家那台现代化的智能冰箱，可能仅仅因为厂家关掉了某台服务器，就变成了一堆废铁。

为什么这事儿跟你有关？（给 Web 开发者的“降温”指南）

你可能会想：“我只是个做电商网站的，又不是造火箭，没必要搞这套。”

不，你有必要。 因为“快速迭代，不惧犯错”这种文化，已经快把一切都搞砸了。

• 我们有在发工资当天直接瘫痪的银行 App。
• 我们有泄露患者隐私数据的医疗门户网站。
• 我们甚至有会一本正经胡说八道、甚至蹦出种族歧视词汇的 AI 聊天机器人。

我们居然接受了将“不稳定”作为追求速度的代价。NASA 证明了，这纯属扯淡。

如何在你的代码里应用“火箭科学”？

你不需要非得写汇编语言才能从中获益：

1. 静态分析就是你的安全网 NASA 使用各种工具从数学逻辑上证明代码的正确性。 对应到你的工作中：你可以开启 TypeScript 的“严格模式（Strict Mode）” ，用好各种 Linter。 把警告（Warnings）当成错误（Errors）来对待。 如果代码检查过不去，火箭就绝不升空。

2. 失败也要“优雅”，而不是“暴毙” 当一个 React 组件报错时，整张页面往往直接变白（即所谓的“白屏死机”）。 这叫 “硬性崩溃（Fail Hard）” 。 “故障自保（Fail Safe）”的逻辑应该是：如果“推荐商品”的小组件挂了，那“加入购物车”的按钮也必须能正常工作。 一定要隔离你的核心逻辑路径。

// “硬崩溃”写法（白屏死机）
try {
  loadRecommendations();
} catch (error) {
  // React 错误边界会拦截，但整页组件会被卸载
  throw new Error("Component Failed"); 
}

// “故障自保”写法（任务继续执行）
try {
  loadRecommendations();
} catch (error) {
  // 1. 崩溃前先把当前状态打进日志
  telemetry.log("Recs failed", systemState);
  
  // 2. 隐藏出问题的功能，不要让应用挂掉
  this.showRecommendations = false;
  
  // 3. 确保关键路径保持可用
  // 把“结算”按钮隔离出来，保证它还能正常工作
}

3. 日志要记录“为什么”，而不只是“发生了什么” 别只记一个枯燥的 Error: 500。

你要记录的是系统崩溃前的快照状态。 阿波罗号的工程师之所以能瞬间秒懂 1201 报警的含义，是因为系统设计初衷就是为了告诉他们为什么超载，而不仅仅是抛出一个“我超载了”的冷冰冰的消息。

4. 别让文档的“公交车指数”为 1 如果你明天不幸被公交车撞了，你的团队还能接手并部署你的代码吗？

NASA 的文档是业界传奇——他们写的操作手册是给那些还没出生的人看的。 写 README 的时候，请假设你的读者是在 20 年后的凌晨三点被迫起来修 Bug，而你本人正躺在冷冻舱里睡大觉。

这种文化层面的转变

从“码农（Coder）”到“工程师（Engineer）”的转变，本质上是思维的进化。

• 码农会问： “这玩意儿能跑通吗？”
• 工程师会问： “要是它跑不动了，会发生什么？”

我们生活在一个由软件驱动的世界。我们的汽车、心脏起搏器、电网系统，乃至我们的全部身家性命。 也许我们该停止把代码当成“一次性玩具”，转而把它当作“任务级精密仪器”来对待了。

你不需要非得去造火箭才能拥有“火箭科学家”的思维。 你只需要下定决心：在这里，失败不是选项。

你是否参与过那种“绝对不允许出错”的系统开发？这种经历是如何重塑你的编程风格的？欢迎在评论区聊聊。