附录 C:人类决策与自动化边界
哪些决策永远不该自动化?
为什么需要这个边界
量化系统的终极诱惑是:让一切自动化。
但历史告诉我们,完全自动化是危险的:
- 2010 年闪崩:高频算法相互反馈,道指 5 分钟跌 1000 点
- Knight Capital:45 分钟亏损 4.4 亿美元,无人及时干预
- LTCM:模型说"安全",人类判断被忽略,结果爆仓
本附录帮助你划定边界:
- 什么可以自动化?
- 什么需要人在回路?
- 什么必须人工决策?
决策分类框架
五级自动化详解
Level 1:完全自动化(Full Automation)
定义
系统自主决策并执行,无需人工确认。
适用场景
| 场景 | 理由 | 条件 |
|---|---|---|
| 订单执行 | 速度要求高 | 在预设规则内 |
| 数据清洗 | 规则明确 | 有异常告警 |
| 信号生成 | 模型输出 | 不直接交易 |
| 日志记录 | 纯记录 | 无决策成分 |
风险控制
即使完全自动化,也需要:
□ 硬性限制(单笔上限、日亏损上限)
□ 异常检测(偏离历史行为则告警)
□ 事后审计日志
□ 紧急停止按钮Level 2:高度自动化(High Automation)
定义
系统自动执行,但有预设的安全边界。
适用场景
| 场景 | 自动部分 | 人工触发部分 |
|---|---|---|
| 止损止盈 | 触发后自动执行 | 修改止损位需审批 |
| 仓位调整 | 在限制范围内自动 | 超限需人工确认 |
| 再平衡 | 按规则自动执行 | 偏离阈值需人工 |
案例:智能止损
规则:
- 亏损 2% → 自动止损 50% 仓位
- 亏损 5% → 自动止损剩余仓位
- 亏损 10% → 自动止损 + 通知人工
人工保留权:
- 可在亏损前手动调整止损位
- 但不能在亏损后取消止损Level 3:人在回路(Human-in-the-Loop)
定义
系统建议,人工确认后执行。
适用场景
| 场景 | 系统做什么 | 人做什么 |
|---|---|---|
| 策略切换 | 识别 Regime,建议切换 | 确认切换 |
| 风控降级 | 检测异常,建议降级 | 批准降级 |
| 异常交易 | 检测异常,暂停执行 | 决定继续或取消 |
| 大额订单 | 拆单建议 | 批准执行 |
设计原则
1. 时间限制
- 人工必须在 X 分钟内响应
- 超时则自动执行安全默认动作
2. 信息充分
- 系统必须提供足够信息供决策
- 不是简单的"确认/取消"
3. 追责机制
- 记录谁在什么时间做了什么决定
- 便于事后复盘Level 4:人工审批(Human Approval)
定义
需要明确的人工批准才能执行。
适用场景
| 场景 | 为什么需要人工 |
|---|---|
| 参数修改 | 可能影响系统行为 |
| 系统升级 | 需要测试和回滚计划 |
| 新策略上线 | 需要完整的审核流程 |
| 资金调配 | 涉及大额资金 |
| 权限变更 | 安全相关 |
审批流程示例
参数修改流程:
1. 研究员提交修改请求
- 修改内容
- 修改理由
- 预期影响
- 回滚方案
2. 风控审核
- 是否增加风险
- 是否符合限制
3. CTO/PM 审批
- 是否必要
- 时机是否合适
4. 执行
- 先在模拟环境测试
- 再在小资金实盘测试
- 最后全量上线
5. 监控
- 上线后 24 小时密切监控
- 异常立即回滚Level 5:纯人工决策(Manual Only)
定义
不应该自动化,必须完全由人类决策。
适用场景
| 场景 | 为什么不能自动化 |
|---|---|
| 资金分配 | 涉及公司/客户资金 |
| 合规决策 | 法律责任 |
| 危机响应 | 需要综合判断 |
| 与外部沟通 | 需要人际交互 |
| 战略决策 | 涉及公司方向 |
危机响应案例
2020 年 3 月市场暴跌
自动化系统可以做:
✓ 检测危机状态
✓ 触发预设的降仓规则
✓ 发送告警
必须人工决策:
✗ 是否完全清仓
✗ 是否暂停所有策略
✗ 是否与投资者沟通
✗ 是否赎回其他基金
✗ 如何向监管报告边界判断清单
当你不确定是否应该自动化时,问自己:
□ 这个决策的后果可逆吗?
- 可逆 → 倾向自动化
- 不可逆 → 倾向人工
□ 这个决策有时间压力吗?
- 毫秒级 → 必须自动化
- 分钟级 → 可以人在回路
- 小时级以上 → 可以纯人工
□ 这个决策有法律/合规影响吗?
- 有 → 倾向人工
- 无 → 倾向自动化
□ 这个决策影响多大资金?
- 小额 → 可以自动化
- 大额 → 需要人工确认
□ 这个决策需要情境判断吗?
- 需要综合多种信息 → 倾向人工
- 规则明确 → 倾向自动化
□ 错误的代价是什么?
- 代价小、可恢复 → 倾向自动化
- 代价大、不可恢复 → 倾向人工人机协作的最佳实践
1. 明确划分职责
系统的职责:
- 收集和处理信息
- 执行规则明确的操作
- 提供决策建议
- 记录所有操作
人的职责:
- 设定目标和约束
- 处理异常情况
- 做出价值判断
- 承担最终责任2. 设计良好的交互
差的交互:
"是否执行?[是/否]"
好的交互:
"检测到以下情况:
- 市场状态: 危机
- 当前回撤: 8%
- 建议动作: 降仓至 50%
历史类似情况:
- 2020.03: 降仓后避免了 15% 损失
- 2018.12: 降仓后错过了 5% 反弹
选项:
1. 执行降仓(建议)
2. 暂不执行,继续监控
3. 修改降仓目标
4. 与团队讨论"3. 建立信任但验证
信任系统:
- 在正常情况下,按系统建议执行
- 不要因为"感觉"而频繁覆盖系统
验证系统:
- 定期审计系统决策的质量
- 追踪人工覆盖 vs 遵循系统的结果
- 如果人工覆盖胜率 < 50%,考虑减少干预4. 保留紧急通道
无论自动化程度多高,始终需要:
□ 一键停止按钮
□ 紧急联系人清单
□ 灾难恢复流程
□ 备用操作方式(如手动下单)
□ 24/7 值班安排(至少在重要时期)自动化成熟度评估
评估你的系统自动化水平:
| 维度 | Level 1 | Level 2 | Level 3 | Level 4 | Level 5 |
|---|---|---|---|---|---|
| 执行 | 手动下单 | 半自动 | 自动+确认 | 全自动 | 智能拆单 |
| 监控 | 人工巡检 | 定时报告 | 实时仪表盘 | 自动告警 | 预测告警 |
| 风控 | 事后检查 | 阈值告警 | 自动降级 | 自动熔断 | 智能风控 |
| 异常处理 | 完全人工 | 规则处理 | 人机协作 | 自动+升级 | 自愈系统 |
建议进化路径:
- 先在执行层实现自动化
- 然后是监控和告警
- 接着是规则明确的风控
- 最后是异常处理
- 始终保留人工覆盖通道
总结
自动化的黄金法则:
1. 能自动化的尽量自动化(效率)
2. 不可逆的决策需要人工(安全)
3. 始终保留人工干预通道(应急)
4. 人工决策需要追责机制(责任)
5. 定期审计自动化决策质量(改进)
最终目标:
不是取代人,而是放大人的能力
让系统处理繁琐的事,让人处理重要的事记住:完全自动化的系统在正常时很高效,在异常时很危险。最好的系统是人机协作——机器处理速度和规模,人类处理判断和责任。