一幅极具冲击力的画面:一台智能电表亮着绿色状态指示灯,却在悄然传输已损坏的数据,呼应了本文关于无形基础设施故障的核心主题。
Artificial IntelligenceEnergyInternet of Things

73,000 台“智能”电表一夜之间集体陷入沉默——暴露出我们构建基础设施 AI 的方式全盘皆错

Ashutosh SinghalAshutosh Singhal2026年4月18日15 min

一位为一家中型水务公司管理运营的朋友,在一个周六早上给我打来电话。不是为了叙旧——而是来吐苦水。他的团队刚刚发现,上一周推送给智能电表机群的一次固件更新,悄悄损坏了数千个账户的计费数据。在仪表盘上,这些电表看起来一切正常,到处都是绿灯。但流入计费系统的数字全错了,直到一波客户投诉袭来,才有人注意到。

“供应商说这是一个已知问题,”他对我说,“他们正在做补丁。”

我问这些电表发送错误数据已经有多久了。他停顿了一下。“我们估计大约九天。”

那次谈话一直萦绕在我心头——并不是因为技术失灵了,而是因为这场故障是多么隐形。这些电表并不是掉了线。它们照旧嗡嗡运转着,传输着看似合理、实则悄然出错的数据。而当我开始顺着北美和英国的智能电表故障这条线索深挖时,我意识到,我朋友那个周六早上的危机,不过是一个大得多的故事里的一个脚注。

73,000 台电表陷入沉默的那一夜

在得克萨斯州的 Plano 市,市政府斥资 1,020 万美元,从 Aclara Technologies 购买了 87,000 台智能水表,预期它们能用二十年。可到了 2023 年,电池却提前耗尽。供应商的解决办法是什么?一次在 2024 年 11 月推送、旨在优化功耗的远程固件更新。

那次更新直接让 73,000 台电表沦为砖头。

不是“性能下降”,也不是“间歇性故障”。电子传输系统干脆彻底停摆。Plano——这座位于达拉斯-沃斯堡都会区、拥有近 30 万人口的城市——不得不雇用 20 名临时抄表员,重新挨家挨户地步行抄表。代价是:两年内 76.5 万美元,仅仅是人工费。

我一直放不下这其中苦涩的讽刺。这个固件本应修复电池问题。结果,它却把一个局部的硬件问题,变成了波及整个网络的崩溃。我开始把这称为“固件-电池悖论”——本为延长硬件寿命而设计的软件,反倒成了硬件失效的首要机制。

本为延长硬件寿命而设计的软件,往往反倒成了它失效的首要机制。

而 Plano 并非孤例。多伦多有 470,000 台发射器因过早老化而报废——初期整改成本达 560 万美元。孟菲斯电力、燃气与水务公司(Memphis Light, Gas and Water)的智能电表机群面临 8% 的系统性故障率,为维修预留了 900 万美元。在英国,自监管机构开始重视以来,已有超过 900,000 台智能电表被维修或更换。

关于这些故障背后的技术架构,我在我们研究的互动版本中做了更深入的探讨,但无论我看向何处,这一规律都是一致的:公用事业公司花了数十亿美元将电网数字化,而这些“智能”基础设施,却比它们所取代的机械电表坏得更快。

智能电表为何英年早逝?

一张带标注的示意图,展示了智能电表三种相互关联的故障模式——闪存老化、固件更新风险和无声的数据损坏——以及它们如何级联演变为无法察觉的故障。

当我的团队开始分析根本原因时,我们本以为会发现制造工艺粗糙或元器件廉价的问题。但现实更令人不安。

智能电表并不是简单的测量装置。它们是联网的计算机——集成了处理器、边缘 AI 芯片、安全通信协议,以及用于存储数据的闪存。而和任何计算机一样,它们也会遭遇机械电表从未有过的故障模式。

闪存问题尤其隐蔽。智能电表使用 NAND 闪存来存储固件和诊断日志。每一次写入操作都会产生过时数据,这些数据要通过一个叫做垃圾回收的过程来清除,而这一过程会从物理层面磨损存储单元。如果嵌入式文件系统没有经过优化——而在许多已部署的电表中,它们确实没有——存储器就会在设备理应报废的许多年之前,就开始损坏数据。

这就让我朋友那个周六早上的电话更说得通了。这种数据损坏往往是悄无声息的。电表不会报错,也不会掉线。它只是开始传输略有偏差的数字。等到有人注意到时,你已经积累了九天——甚至九个月——的错误计费数据,以及一个任何固件补丁都无法修复的客户信任问题。

然后是边缘情况危机。近年来,智能电表的软件复杂度大约翻了一番,但测试方法却没有跟上。一次固件更新在实验室里运行得完美无缺,可一旦把它部署到偏远地区、信号微弱、电池略有老化的电表上,你得到的就是 Plano 那样的结局。

研究中有一个细节真正让我警觉:现代智能电表出于管理便利,内置了一个远程“关闭”开关。如果某个固件逻辑错误在大规模范围内意外触发了这个开关,你面对的就不再是计费不准的问题——而是数百万户家庭同时断电。

当监管机构开始算账,会发生什么?

英国能源监管机构 Ofgem 认为他们已经受够了。从 2026 年 2 月起,他们将强制执行《绩效保障标准》(Guaranteed Standards of Performance),规定当智能电表服务标准未达标时,须自动向客户支付 40 英镑。安装预约等待超过六周?自动赔付。因供应商到场时未带对设备而导致安装失败?自动赔付。上报电表故障后,五个工作日内拿不出解决方案?自动赔付。

这可不是轻描淡写的警告。对于一家拥有数百万客户、外加一大批老化智能电表的公用事业公司而言,这笔账很快就会算得令人胆寒。合规压力已经促使英国维修了超过 900,000 台此前无法运行的电表。

我认为 Ofgem 此举所昭示的,远不止一个监管机构变强硬那么简单。它把一条本该从一开始就显而易见的原则正式确立了下来:如果你部署了“智能”基础设施,你就有责任让它保持智能。那种装好硬件、一走了之、然后寄望于万事大吉的时代,已经结束了。

如果你部署了“智能”基础设施,你就有责任让它保持智能。装完就撒手不管的时代已经结束了。

对于正在读这篇文章的公用事业领导者来说,其中的含义再清楚不过。维护一台出故障的电表所付出的代价——监管罚款、人工整改、客户流失以及计费纠纷——如今已经超过了部署实时、AI 驱动诊断系统的成本。经济账已经彻底反转了。

“直接用 GPT 不就行了”——那句让我夜不能寐的建议

一张并排对比示意图,将面向关键基础设施的 LLM 套壳方案架构与自主/私有 AI 部署架构相对照,突出显示了两者在数据流、安全性和可靠性上的关键差异。

在我发布了一些关于智能电表脆弱性的早期发现之后,我和一位潜在投资人有过一次至今仍让我回味的谈话。他看过固件故障的数据,认同这个问题确实存在,然后说:“那就做一个分析电表数据的 ChatGPT 套壳产品呗。三个月内上线。”

我试图解释为什么那样行不通。他打断了我。“每家 AI 初创公司都说自己需要构建定制模型。可他们大多数只是想太多了。”

我理解他的逻辑。市场上充斥着一批公司,它们本质上只是套在 OpenAI 或 Anthropic API 之上的一层薄薄的界面——也就是业内所说的“LLM 套壳”。其中一些在低风险场景里确实有用。但对于关键基础设施呢?这种做法从根本上就是错的,而我需要把为什么解释清楚。

数据到底流向了哪里?

当你使用公共 AI API 时,你的数据就离开了自己的网络,进入了第三方的服务器。对于一家公用事业公司来说,这些数据包括电网架构、客户用电模式、专有固件代码,以及可能涉密的基础设施漏洞。这并非假设性的风险——它意味着暴露在美国《CLOUD 法案》之下,以及暴露在这家 API 提供商本季度碰巧采用的任何数据留存政策之下。

我把这称为“安全表演”。这个工具看起来、用起来都像是一款私有的企业应用。仪表盘上印着你公司的 logo。但它的后端其实是一项公共服务,而你最敏感的运营数据,正流经别人的基础设施。

一个通用模型,真能理解你的电网吗?

一个公共 LLM 读遍了整个互联网。它抽象地知道智能电表是什么。但它不知道的是:你东北片区那些 Aclara 电表上运行的具体固件版本、为那片街区供电的变压器的维护历史,或者你那套老旧计费系统会以某种方式截断小数位、从而掩盖了微小测量误差这一事实。

公共 API 的上下文窗口会遗忘你特定基础设施的种种细微差别。它无法执行所需的二进制分析,来验证某次固件更新对于部署在某个特定气候区的某个特定硬件版本是否安全。让它去做这件事,就像向一个游客问路——他们也许听上去信心满满,但其实根本不知道自己要去哪儿。

当 API 变了,会发生什么?

这正是公用事业领导者往往要等到为时已晚才会想到的部分。如果你的“AI 解决方案”只是套在别人模型之上的一层提示词,那么你就受制于他们的定价、他们的模型更新、他们的正常运行时间,以及他们的商业决策。当 OpenAI 更改其 API 结构或弃用某个模型版本时,你的关键基础设施工具就会失灵,直到有人重写这些提示词为止。

关键基础设施,不能依赖于一家硅谷初创公司 API 定价页面的业务连续性。

深度 AI 真正的样子

那次与投资人的谈话之后,我沮丧了一个星期。然后,我花了三个月,去构建我心目中真正的答案。

在 Veriprajna,我们不转售 API 密钥。我们不做套壳。我们把完整的 AI 推理栈——像 vLLM、Text Generation Inference 和 BentoML 这样的引擎——直接部署到客户自己的基础设施上。部署到他们的 Kubernetes 集群里。他们的裸金属 GPU 上。他们的虚拟私有云(Virtual Private Cloud)中。

我们第一次为一家公用事业客户配置零出口(zero-egress)VPC 时——也就是说,从物理层面把网络配置成让数据无法离开其环境,哪怕有人某处配置出错也一样——他们的一位安全工程师看着架构图说:“这是第一次,有 AI 供应商没有要求我为我们的数据政策开一个例外。”那一刻让我确信,我们走在正确的道路上。

打造一个语义大脑

上下文问题——正是它让通用 LLM 在真正的基础设施工作中派不上用场——我们用我称之为“语义大脑”的东西来解决。我们把公用事业公司的专有文档纳入其中:技术手册、历史维护报告、固件源代码、事故记录。所有这些都会被索引到像 Milvus 或 Qdrant 这样的本地向量数据库中,绝不离开客户的环境。

但我最引以为豪的部分在这里:这套系统尊重既有的访问控制。如果某位员工无权查看 SharePoint 里的某份文档,那么 AI 在回答他的查询时,也不会去检索那份信息。我们没有把安全当作事后补丁硬加上去——我们从一开始就把这个智能层构建成能够继承组织现有安全态势的样子。

精度的最后一公里

我们采用像 Llama 3 这样的开放基础模型,并运用 LoRA(低秩适配,Low-Rank Adaptation)等技术,在公用事业公司特定的语料库上对它们进行微调。结果就是一个量身定制的模型,它能理解客户的专有术语、他们的老旧系统、他们运营中的种种怪癖。在我们的测试中,与基础模型相比,这种领域专属的微调把专业任务的准确率提升了最多 15%。

这 15% 听起来也许微不足道。其实不然。在固件验证中,85% 与 100% 准确率之间的差距,就是“拦下一次危险更新”和“任由它把 73,000 台电表变成砖头”之间的差距。

如何在固件漏洞流入现场之前将其揪出?

一张从左到右的流水线示意图,展示了固件验证流程:从二进制提取,经过反编译、AI 分析,直至数字孪生仿真测试。

这正是研究了 Plano 灾难之后一直驱动着我的问题。那次害死这些电表的固件更新并非恶意为之,也不是由无能的工程师写出来的。它只是没有针对自己将会遇到的全部真实世界条件进行过测试。

为此我们搭建了一条流水线。它从二进制识别开始——使用 EMBA 和 Firmwalker 这样的工具来提取和分析固件文件系统,哪怕在拿不到源代码的情况下也能做到。然后,我们用 Ghidra 对二进制文件进行反编译,我们的私有 LLM 则会分析反编译后的代码,查找逻辑缺陷、不安全的做法以及潜在的漏洞。

但真正改变了我对固件安全看法的,是数字孪生这一方法。在现场的物理设备上测试固件既缓慢、昂贵,又充满风险。为此,我们转而构建智能家居和电网片段的精细虚拟副本,再部署运用强化学习的 AI 智能体去与这些数字孪生体交互——系统性地探查人类测试员会漏掉的那些边缘情况。

在我们的研究中,这种方法发现漏洞的速度比随机测试方法快 38%。若想了解固件验证流水线与数字孪生方法论的完整技术剖析,我建议你去读那篇论文——但关键的洞见在于:我们如今已经能够模拟出当初导致 Plano 故障的那些条件,先于更新的推送。

我们如今已经能够在更新推送到现场之前,就模拟出那些曾导致灾难性固件故障的条件。

从被动应对到主动预测:当 AI 守护电网,会带来什么改变

传统的公用事业维护方式,要么是被动应对(坏了再修),要么是定期检修(不管需不需要,每隔 X 个月检查一次)。两者都成本高昂,也都会漏掉最要紧的那类故障——那些缓慢、无声的老化,它们直到已经造成损害,才会显露出来。

在高频传感器数据上训练出来的深度 AI 模型,会学习每一台设备、每一台变压器、每一段电网“正常”状态的样子。一旦出现偏离——异常的振动模式、与天气不符的温度波动、一批电表同时出现通信延迟上升——系统就会在它演变成危机之前把它标记出来。

在我们早期测试期间,有那么一刻,异常检测系统标记出一组电表,它们的响应延迟都出现了微妙的上升。并不惊人——大概比基线慢了 15 毫秒。我的团队争论这到底是噪声还是信号。我们的工程师认为这是环境因素造成的——与温度有关。我则坚持要进一步深查。结果证明,这是某一特定批次设备闪存老化的早期征兆。若放任不管,那些电表本会在几个月内就开始损坏数据。

正是这样的一次揪错,足以让整笔投资物有所值。数字也印证了这一点:AI 驱动的预测性维护已被证明能将基础设施故障减少 73%,将维护成本削减 18-25%,并将资产寿命延长最多 40%。

这套系统还运用了可解释 AI——当它标记出一个异常时,会向人工操作员展示原因,方式是借助像 GradCAM 这样的可视化工具。操作员可以核实、纠正,或推翻 AI 的判断。这样的反馈闭环意味着系统会随时间变得越来越聪明,减少误报,并积累起那种通常只存在于距退休还有五年的资深工程师脑子里的机构知识。

那投资回报率(ROI)呢?

人们总会质疑:部署私有 AI 基础设施,相比直接用一个 API,成本是不是太高。这是个合理的问题。运行自己的 GPU 集群、维护自己的模型,确实并不便宜。

但不妨想想另一条路要付出的代价。Plano:76.5 万美元用于人工抄表员,再加上如今已严重减值的 1,020 万美元最初投资。孟菲斯:900 万美元维修基金。多伦多:560 万美元,而且还在增加。英国的公用事业公司:900,000 台电表更换的累计成本,外加即将开始砸下来的监管罚款。

各行各业报告的平均停机成本为每小时 12.5 万美元。将停机时间减少 30-50%,不仅能收回 AI 的投入——更能重塑这家公用事业公司的财务面貌。当你再加上因资产寿命延长 40% 而递延的资本支出、组件供应链延误减少 28%,以及安全事故减少 40%,这笔投资回报率的账根本不用比就一目了然。

问题不在于公用事业公司是否负担得起自主的 AI 基础设施,而在于它们是否承受得起再来一次 Plano。

对一家公用事业公司而言,真正的护城河并不是 AI 模型本身——Llama 3 你可以免费下载。护城河在于与专有数据的深度整合、领域专属的微调,以及被编码进一套运行在你所掌控的基础设施之上的系统中的机构知识。那是一项会随时间不断增值的资产。而一份 API 订阅,只是一项随时可能被收回的成本。

我们正在迈向的那张电网

随着 IoT 设备数量预计到 2026 年将超过 300 亿台,复杂性问题不会消失。它正在加速。下一个前沿——也是我的团队正在积极迈向的方向——是自主智能体式 AI(agentic AI)工作流:那种不只是标记异常、更会采取行动的系统。自动隔离一台被入侵的 IoT 设备。根据预测的负载模式,实时调整变压器参数。一旦某次更新露出会引发问题的苗头,立即执行固件回滚。

边缘 AI 将把智能进一步向外推——智能电表将充当微型决策引擎,以低于 10 毫秒的延迟运行本地异常检测,无需等待往返云端一趟就能做出决策。

但如果地基是错的,这一切都无从谈起。而眼下,对大多数公用事业公司来说,地基就是错的。它们用 20 世纪的维护范式,运行着 21 世纪的基础设施;而当它们伸手去够 AI 时,抓住的却是最便宜、最省事的选项——一个套在别人智能之上的壳——而不是去构建自主的能力。

Plano、多伦多、孟菲斯以及整个英国出现的这些故障,并不是技术上的小毛病。它们是现代基础设施的复杂度,与我们用来管理它的工具之间系统性错配的必然结果。每一家部署了智能电表、却不投资于真正去治理它们的智能能力的公用事业公司,都是在打造一套注定会以自己无法察觉的方式失效的系统。

摆在公用事业领导者面前的选择,不是用 AI 还是不用 AI。那场争论已经结束了。真正的选择是:要么向那些对你电网可靠性毫无利害关系的供应商租用智能,要么去构建把你的运营数据转化为最宝贵资产的自主能力。前一条路通向下一个 Plano,后一条路则通向一张真正如我们一再承诺那般智能的电网。

相关研究

同步发布于

满怀信心地构建您的 AI。

与一支在打造新一代企业级 AI 方面拥有深厚经验的团队携手合作。让我们助您设计、构建并部署一套值得信赖的 AI 战略。

Veriprajna 深度科技咨询公司 专注于为医疗健康、金融和监管等领域构建安全攸关的 AI 系统。我们的架构均依据成熟的规范进行验证,并配有完善的合规文档。