引文：

2019年3月10日，非洲埃航一架波音737MAX墜機(jī)。

五個(gè)多月前，2018年10月29日，印尼獅航所屬的一架波音737MAX墜機(jī)。

同一個(gè)型號(hào)的波音飛機(jī)相隔5個(gè)月連續(xù)兩次機(jī)毀人亡，數(shù)百人遇難。向遇難者致哀。

在這兩次波音事故中，我們自動(dòng)化行業(yè)人看到了幾個(gè)我們熟悉的詞語——傳感器、自動(dòng)化、可靠性、安全性。傳感器故障？自動(dòng)化程序錯(cuò)誤？這些關(guān)鍵詞最近成了全球關(guān)注的熱點(diǎn)，這聽起來有點(diǎn)耳熟的幾個(gè)詞，出現(xiàn)在波音737Max獅航事故報(bào)告之中，當(dāng)時(shí)報(bào)告直指獅航737Max事故的原因是機(jī)翼一側(cè)的傳感器壞了，導(dǎo)致飛機(jī)失控，后經(jīng)過不斷分析挖掘，發(fā)現(xiàn)自動(dòng)化操控程序MCAS系統(tǒng)是罪魁禍?zhǔn)字弧?/p>

黑匣子里的錄音，是飛行員最后十分鐘已知自動(dòng)化操作系統(tǒng)發(fā)生了錯(cuò)誤，大難臨頭了還在翻飛行操作手冊(cè)，尋找破解自動(dòng)化故障的解決方案，最后絕望地跟著飛機(jī)和機(jī)上幾百個(gè)乘客一起墜落。。

他山之石，可以攻玉。不要放過任何一場(chǎng)危機(jī)，為了做更好的自動(dòng)化。

初步調(diào)查表明：獅航空難是飛機(jī)信號(hào)系統(tǒng)接收到一個(gè)傳感器假信號(hào)，飛機(jī)仰角傳感器信號(hào)顯示飛機(jī)“抬頭”，所以飛機(jī)自動(dòng)失速控制系統(tǒng)持續(xù)給出了“低頭”的指令，機(jī)組人員與飛機(jī)自動(dòng)失速控制系統(tǒng)搏斗很長時(shí)間，但最終還是發(fā)生了墜機(jī)悲劇。而埃航空難在飛行過程中也發(fā)生了不正常的爬升與下降及飛行速度超速的現(xiàn)象，這表明獅航空難后，雖然波音公司做出了安全復(fù)查和的適航公告等措施，但是這些措施可能并沒有解決掉737MAX-8飛機(jī)的傳感器與自動(dòng)化操作系統(tǒng)安全隱患和設(shè)計(jì)缺陷，從而造成了埃航客機(jī)失事。

（來自英國金融時(shí)報(bào)中文版）

空難的原因直指?jìng)鞲衅鞴收吓c自動(dòng)化操作系統(tǒng)有問題！

一。傳感器有多重要

（來自英國金融時(shí)報(bào)中文版）

波音公司幾乎是承認(rèn)了自動(dòng)化操作系統(tǒng)配置傳感器的可靠性出了問題,提供了錯(cuò)誤的信息。

傳感器是自動(dòng)化控制可知與可控的數(shù)據(jù)信息源頭。沒有可靠的傳感器就談不上自動(dòng)化控制的可知與可控的閉環(huán)控制。

好比是，比聾子、瞎子（不裝傳感器）還要可怕的，是遇到了不靠譜的人，嘴上還跑火車，還不告知風(fēng)險(xiǎn)的瞎指引，那能把人帶到溝里去。

編碼器是傳感器的一種，位置、角度、速度的傳感器，是自動(dòng)化運(yùn)動(dòng)控制閉環(huán)的信息源頭。

傳感器——自動(dòng)控制邏輯功能——自動(dòng)控制實(shí)現(xiàn)的結(jié)果——信息反饋的閉環(huán)控制。

但是，傳感器出錯(cuò)狀態(tài)下的識(shí)別，對(duì)于錯(cuò)誤的可知與可控可能更加的重要！

出錯(cuò)的傳感器如果不可知其錯(cuò)了，錯(cuò)誤的信息將誤導(dǎo)自動(dòng)化程序。

我在1月份《傳動(dòng)網(wǎng)》年會(huì)上的演講中，提過一個(gè)概念：編碼器（傳感器）寧可它是壞了，也不可錯(cuò)了。傳感器壞了是可知的，可以通過自動(dòng)化系統(tǒng)邏輯判斷沒有反饋?zhàn)兓硕袛嗥鋲牧?，但是錯(cuò)了提供錯(cuò)誤的信息是不可知，這就會(huì)帶來錯(cuò)誤的程序執(zhí)行，甚至是事故災(zāi)難。

本公眾號(hào)前面的文章一再強(qiáng)調(diào)：

增量脈沖編碼器是有較大出錯(cuò)可能的，可能因?yàn)楦蓴_、停電而提供錯(cuò)誤的信息。

實(shí)際上編碼器用戶已經(jīng)知道了這個(gè)錯(cuò)誤可能，而采取了開機(jī)找零的策略。

內(nèi)部有計(jì)數(shù)器的偽絕對(duì)值編碼器，內(nèi)部有與增量編碼器同樣的計(jì)數(shù)器原理，因計(jì)數(shù)器出現(xiàn)錯(cuò)誤無法知道，也會(huì)提供錯(cuò)誤的信息。只是它出錯(cuò)率比增量編碼器略低，計(jì)數(shù)器頻次比增量編碼器低了，過一圈增或減一次。但是它仍然存在出錯(cuò)概率。而且因?yàn)橛脩舨豢芍?，出錯(cuò)后果風(fēng)險(xiǎn)強(qiáng)度更大。

更為險(xiǎn)惡的是某些賣進(jìn)口品牌編碼器的市場(chǎng)銷售，其故意隱瞞其所謂的“絕對(duì)值多圈編碼器”內(nèi)部是有多圈電子計(jì)數(shù)器功能的，（例如利用韋根原理微發(fā)電能量替代電池的“韋根微發(fā)電記憶體編碼器”），內(nèi)部存在計(jì)數(shù)器數(shù)據(jù)一旦出錯(cuò)而無法可知的風(fēng)險(xiǎn)，以“沒有電池”就是絕對(duì)值編碼器的某種“先進(jìn)新技術(shù)”誤導(dǎo)編碼器市場(chǎng)用戶。這是讓編碼器用戶處于對(duì)此所謂“絕對(duì)值編碼器”數(shù)據(jù)盲目信任風(fēng)險(xiǎn)中，但是編碼器是否真實(shí)有效絕對(duì)值編碼不可知，對(duì)于風(fēng)險(xiǎn)存在的不可控，致用戶的自動(dòng)化控制系統(tǒng)安全系數(shù)下降，存在安全風(fēng)險(xiǎn)于不顧。

自動(dòng)化系統(tǒng)選用的傳感器，需要知道一個(gè)面向傳感功能，可能有不同種原理的不同傳感器可選，每一種傳感器可靠性在不同使用場(chǎng)景下的表現(xiàn)是不同，需要使用前根據(jù)自身使用場(chǎng)景對(duì)選型的傳感器評(píng)估；

每一個(gè)傳感器的出錯(cuò)概率大小需要評(píng)估；

傳感器錯(cuò)誤能否被發(fā)現(xiàn)需要評(píng)估；

錯(cuò)誤產(chǎn)生的后果有多嚴(yán)重需要評(píng)估。

而在上述評(píng)估中，對(duì)于任何在賣產(chǎn)品時(shí)的銷售人員，有隱瞞與掩蓋真實(shí)性的有不誠信行為的廠家品牌，具有不誠信不靠譜基因的廠家品牌，從供應(yīng)商名單里剔除。選傳感器靠譜不靠譜，真的是很重要。至于怎么選擇靠譜的，請(qǐng)繼續(xù)往下看。

二。自動(dòng)化

因傳感器故障提供了錯(cuò)誤信息后的一連串悲劇

——自動(dòng)化操作系統(tǒng)故障無法識(shí)別傳感器的錯(cuò)誤繼續(xù)執(zhí)行

——導(dǎo)致執(zhí)行結(jié)果錯(cuò)誤

——而且自動(dòng)化系統(tǒng)錯(cuò)誤執(zhí)行后的不正常俯沖錯(cuò)誤的仍然無法識(shí)別

——沒有系統(tǒng)大閉環(huán)，對(duì)不正常執(zhí)行結(jié)果（飛機(jī)不正常俯沖）的安全監(jiān)控

——并且還無法脫離致命錯(cuò)誤的程序，即使飛行員發(fā)現(xiàn)了，拼命想控制住飛機(jī)

——自動(dòng)化操作強(qiáng)制繼續(xù)錯(cuò)誤下去的結(jié)果，飛行員控制失敗

——導(dǎo)致飛機(jī)失事，機(jī)毀人亡的悲?。?/p>

自動(dòng)化本來的目的是去幫助人的，結(jié)果是搶奪了飛行員的手動(dòng)可操作的權(quán)利，結(jié)果反而因?yàn)樯闲伦詣?dòng)化而送了人命！這有多荒唐！

某些自動(dòng)化技術(shù)打著“新技術(shù)”“先進(jìn)技術(shù)”“將來的必然趨勢(shì)”的旗子，卻增加了使用的復(fù)雜性，對(duì)于使用者的技術(shù)水平要求提高了很多，以技術(shù)足夠先進(jìn)的名義沒有交給使用者充分的選擇權(quán)與操作權(quán)利。這是過度宣傳自動(dòng)化新技術(shù)的“先進(jìn)性”，而對(duì)人的不尊重。新技術(shù)對(duì)于使用者需要市場(chǎng)教育與培訓(xùn)周期，以及一次次的技術(shù)升級(jí)成本、使用結(jié)果試錯(cuò)成本，這些是否告知與使用者？這些都被嚴(yán)重低估了。使用新技術(shù)的試錯(cuò)風(fēng)險(xiǎn)被低估了。

飛機(jī)操控越來越復(fù)雜，連特朗普都要發(fā)推特抱怨，所謂的技術(shù)越新，越復(fù)雜，反而是幫不到人了，難道都要麻省理工的電腦去開飛機(jī)嗎？空軍一號(hào)（美國總統(tǒng)座機(jī)就是737老型號(hào)）不需要愛因斯坦開飛機(jī)！

三。識(shí)錯(cuò)與容錯(cuò)性設(shè)計(jì)

難道是發(fā)展創(chuàng)新自動(dòng)化就有錯(cuò)了嗎？不是！

自動(dòng)化必須繼續(xù)向前發(fā)展，只是需要明明白白、腳踏實(shí)地的發(fā)展，要自動(dòng)化使用者明明白白的消費(fèi)。并要清楚做自動(dòng)化最終的目標(biāo)什么？不僅僅是如何實(shí)現(xiàn)目標(biāo)，還要如何普及性低成本的方便用戶使用，還要如何在系統(tǒng)中設(shè)計(jì)加入識(shí)別出錯(cuò)可識(shí)別、判斷錯(cuò)誤，如何有容錯(cuò)性設(shè)計(jì)的安全性使用。

一個(gè)沒有錯(cuò)誤預(yù)判、識(shí)別和沒有容錯(cuò)性設(shè)計(jì)的所謂自動(dòng)化新技術(shù)，只是不成熟的半成品，不該匆忙投入市場(chǎng)讓用戶去做小白鼠。

在波音事故中，傳感器選型什么原理的至今還沒有公開，從原理上分析是否選型準(zhǔn)確？是否在飛行這樣大環(huán)境下，從原理與功能實(shí)現(xiàn)上選型可靠性最高的？目前還沒有辦法知道。那么這種傳感器的出錯(cuò)可能性有沒有？如何識(shí)別？出錯(cuò)概率有多大？有沒有可能選用兩種不同原理的傳感器交叉互判識(shí)別？

我在今年傳動(dòng)網(wǎng)年會(huì)的演講中強(qiáng)調(diào)，作為絕對(duì)值編碼器（傳感器）寧可壞了，不可輸出的數(shù)據(jù)錯(cuò)了。選用“絕對(duì)值”的數(shù)據(jù)就是要求靠譜的，原始機(jī)械位置編碼就已經(jīng)絕對(duì)值的存在，而不是依賴計(jì)數(shù)器，電池記憶的和韋根微發(fā)電能量記憶的，多圈的信息仍然是用增量的原理計(jì)數(shù)器的，是偽絕對(duì)值。那么在后面的用戶就需要知道如何識(shí)別編碼器內(nèi)計(jì)數(shù)器的錯(cuò)誤。針對(duì)增量編碼器采取的措施是開機(jī)找零，而針對(duì)偽絕對(duì)值編碼器沒有識(shí)別，也沒有容錯(cuò)性措施設(shè)計(jì)。

另外，在機(jī)器開動(dòng)以后還要時(shí)時(shí)識(shí)別并且回去找零嗎？就好比飛機(jī)已經(jīng)在在天上了，不聽話了，飛行員還要翻飛行手冊(cè)找救命的招數(shù)，結(jié)果是找不到辦法絕望地奔向死亡？

傳感器的可靠性、傳感器容錯(cuò)性設(shè)計(jì)的冗余，傳感器的多種原理多個(gè)路徑的交叉識(shí)別的容錯(cuò)性設(shè)計(jì)，對(duì)于自動(dòng)化實(shí)現(xiàn)的有效性安全性真的很重要了。

四。第二傳感器，雙閉環(huán)

波音公司在第一次印尼獅航事故后，公開了需要兩個(gè)甚至三個(gè)傳感器，并且提供兩個(gè)傳感器的比較，如果兩個(gè)傳感器對(duì)不上就要警示燈給飛行員，由飛行員判斷并改為手動(dòng)操作。

裝兩個(gè)傳感器，相互比較，這算是事故后的緊急補(bǔ)救，但是升級(jí)套件是要航空公司自己買的，飛行員如何判斷并如何手動(dòng)操作需要飛行員培訓(xùn)，而波音公司大膽地使用了“數(shù)字化孿生技術(shù)”，讓飛行員用IPOD學(xué)習(xí)模擬飛行。第二次事故的飛行員是“自己沒有時(shí)間去學(xué)習(xí)升級(jí)技術(shù)”。大公司大品牌打著“先進(jìn)技術(shù)”的旗子，卻透露出一種冷冷的“傲慢”。

實(shí)際上加裝第二傳感器（對(duì)于編碼器而言是第二編碼器），確實(shí)是增加錯(cuò)誤的識(shí)別性與系統(tǒng)的容錯(cuò)性。但是波音公司的匆忙應(yīng)急的做法仍然沒有做到位：兩個(gè)傳感器應(yīng)該是原理不同，傳輸數(shù)據(jù)路徑不同，采集的設(shè)備不同的獨(dú)立交叉互判。

例如兩個(gè)傳感器只能判斷兩個(gè)傳感器里面總有一個(gè)是錯(cuò)的，究竟哪一個(gè)是錯(cuò)的？該聽誰的？

這一點(diǎn)波音的競(jìng)爭對(duì)手空客320就做得更到位了——

如果用同一個(gè)原理的傳感器，就必須用三個(gè)傳感器（或者三個(gè)以上的單數(shù)）——用投票法，選取多數(shù)并設(shè)定為是正確的。

在風(fēng)力發(fā)電變槳葉的自動(dòng)化控制上，就是從每個(gè)葉片裝一個(gè)編碼器，發(fā)展到裝兩個(gè)編碼器。但是原先裝了兩個(gè)電子多圈編碼器在相同的傳動(dòng)位置上仍然是不可靠的，一旦電子多圈編碼器數(shù)據(jù)出錯(cuò)，究竟哪一個(gè)對(duì)的？哪一個(gè)錯(cuò)的？“到底聽誰的”？誰也不聽就是停機(jī)檢修，停機(jī)造成的損失可以購買這兩個(gè)編碼器了。

對(duì)于編碼器及編碼器數(shù)據(jù)，我們就會(huì)有兩種容錯(cuò)性方案，一種是加裝在不同部位的不同原理的編碼器，例如一個(gè)在伺服電機(jī)上的編碼器，另一個(gè)在機(jī)械傳動(dòng)末端的低速端，以防止原理上共同被干擾到，或者同一個(gè)部位的機(jī)械故障而無法識(shí)別。

另一種是數(shù)據(jù)采集的多次(單數(shù))采集，用投票法選擇多數(shù)設(shè)定為正確。但是用投票法只適用于純絕對(duì)值編碼原理的編碼器，因?yàn)槊恳粋€(gè)數(shù)據(jù)唯一獨(dú)立與前次可能的錯(cuò)誤無關(guān)。而有任何計(jì)數(shù)器原理的增量編碼器或者偽絕對(duì)值編碼器，其中的數(shù)據(jù)是與前次有關(guān)而不獨(dú)立的，如果前一次已經(jīng)是錯(cuò)誤的，后一次也必定是錯(cuò)誤的，采樣多少次都是無濟(jì)于事的一回事，投票法已經(jīng)失去了意義。

第二編碼器原理：

例如下圖的醫(yī)療核磁共振移動(dòng)床的自動(dòng)化位移控制。無人化自動(dòng)移動(dòng)床的自動(dòng)化移動(dòng)控制是用某知名的日系伺服電機(jī)控制的。但是因?yàn)闄C(jī)房內(nèi)只留有一個(gè)病人待檢查，為保證自動(dòng)化移動(dòng)床的安全性，在機(jī)械部分絲杠上通過同步帶加裝的第二編碼器，（上海精浦的9600B系列的機(jī)械齒輪箱式真絕對(duì)值多圈編碼器），作為定位和安全的第二編碼器。

實(shí)際上醫(yī)療核磁共振床的磁場(chǎng)強(qiáng)度已經(jīng)達(dá)到了3T特斯拉，這個(gè)特強(qiáng)磁場(chǎng)強(qiáng)度對(duì)于普通設(shè)計(jì)的伺服電機(jī)的抗干擾能力存在了風(fēng)險(xiǎn)，醫(yī)療設(shè)備現(xiàn)場(chǎng)上某知名日系電機(jī)也確實(shí)多次出現(xiàn)過數(shù)據(jù)與定位出錯(cuò)（并不是此款電機(jī)的問題，是這款伺服電機(jī)選用的是17位單圈絕對(duì)值加電池記憶，再加多圈電子計(jì)數(shù)器，計(jì)數(shù)器過圈計(jì)數(shù)時(shí)受到了嚴(yán)重的電磁干擾），而第二編碼器選用的全行程絕對(duì)值多圈編碼器的數(shù)據(jù)不受干擾歷史影響的，選擇采樣三次（或以上）的讀數(shù)，用投票法判斷選擇數(shù)據(jù)，可以大大提高了數(shù)據(jù)可信度與系統(tǒng)的安全性。

這套系統(tǒng)用多少了？用多久了？在18個(gè)月周期后情況怎么樣？

實(shí)際上在經(jīng)歷五年上千套的在醫(yī)院使用下來沒有出現(xiàn)過一次數(shù)據(jù)錯(cuò)誤，保證了這款國產(chǎn)化的醫(yī)療核磁共振影像設(shè)備的大量使用。

（關(guān)于這個(gè)案例我后面再有文章繼續(xù)介紹）。

五。18個(gè)月周期

產(chǎn)品在市場(chǎng)上應(yīng)用的品質(zhì)性能可靠性反饋周期需要觀察18個(gè)月。

這是新技術(shù)新產(chǎn)品市場(chǎng)反饋表現(xiàn)追蹤的閉環(huán)思維。

2015年12月8日，美國華盛頓州倫頓，波音公司第一架737MAX8在當(dāng)?shù)爻鰪S。737MAX是波音737系列的最新型號(hào)。

大約18個(gè)月后(實(shí)際上是17個(gè)半月)——

2017年5月16日，在遭遇發(fā)動(dòng)機(jī)事故的短暫驚嚇之后，飛機(jī)制造商波音公司于周二，順利向馬來西亞運(yùn)營商馬印航空交付了首架波音737MAX客機(jī)。

大約18個(gè)月后(實(shí)際上是17個(gè)半月)——

2018年10月29日，印尼獅航所屬的波音737MAX墜機(jī)。

兩輪的“18個(gè)月”后大約是3年時(shí)間。自動(dòng)化新產(chǎn)品是需要看三年后的市場(chǎng)反饋結(jié)果的。

我在過去的文章里，在QQ群里，在今年《傳動(dòng)網(wǎng)》年會(huì)的演講中，已經(jīng)多次提到了這個(gè)“18個(gè)月”的反饋周期時(shí)間概念。

我們必須重視自動(dòng)化新產(chǎn)品的時(shí)間性客觀規(guī)律。做新產(chǎn)品必須要有耐心與定力等待這18個(gè)月的思想準(zhǔn)備。

作為想用新產(chǎn)品的用戶，可以去了解提供產(chǎn)品的這家廠家品牌在過去三年、五年前在干什么，在過去十年里在干什么？他們有沒有作過這樣的新產(chǎn)品跟蹤與關(guān)閉對(duì)用戶負(fù)責(zé)到底的質(zhì)量管理跟蹤關(guān)閉流程？他們是如何對(duì)待使用損壞產(chǎn)品的態(tài)度？這是真正好產(chǎn)品的試金石。如果沒有做過失效分析追溯，或者出現(xiàn)了問題是靠推卸責(zé)任，責(zé)備用戶自己沒有用好，市場(chǎng)宣傳隱瞞負(fù)面并公關(guān)掩蓋的話，或者做產(chǎn)品做壞了一個(gè)不做徹底，又轉(zhuǎn)向去做另一個(gè)新產(chǎn)品了，哪一個(gè)賺錢哪一個(gè)是熱點(diǎn)的就做哪一個(gè)了；是依靠大肆宣傳市場(chǎng)推廣的產(chǎn)品而建立所謂“大品牌”的了；那這家產(chǎn)品缺少一種把質(zhì)量做好的可信度的基因，對(duì)于選擇這家的新產(chǎn)品都需要謹(jǐn)慎對(duì)待了。

這里提供大家一個(gè)信息：據(jù)美國硅谷同學(xué)的介紹，全球的新產(chǎn)品統(tǒng)計(jì)后的三年存活率是大約僅僅10%。對(duì)于近幾年熱火朝天的互聯(lián)網(wǎng)，這三年時(shí)間也許就夠了，互聯(lián)網(wǎng)直接面對(duì)消費(fèi)市場(chǎng)，反饋周期快，迭代的更新?lián)Q代快。

但是對(duì)于工業(yè)自動(dòng)化，由于面對(duì)最終市場(chǎng)要隔了很多層，反饋周期長，工業(yè)的更新?lián)Q代周期就要長。對(duì)于使用工業(yè)新產(chǎn)品三年后就要找不到了，或者做不好也不提高，死豬不怕開水燙的，用戶為之設(shè)計(jì)配套投入都成了入套，究竟是繼續(xù)用下去，還是放棄改設(shè)計(jì)用其他的？這個(gè)風(fēng)險(xiǎn)不得不提前評(píng)估。

六。風(fēng)險(xiǎn)評(píng)估與第三方認(rèn)證

新自動(dòng)化系統(tǒng)在設(shè)計(jì)方案中，及投放市場(chǎng)前需要做安全風(fēng)險(xiǎn)評(píng)估，尤其是涉及公共安全和人生安全的更要交給第三方認(rèn)證。

對(duì)于產(chǎn)品功能、性能指標(biāo)的各項(xiàng)可靠性，關(guān)鍵的性能指標(biāo)也需要交由第三方認(rèn)證。

對(duì)于做自動(dòng)化產(chǎn)品的企業(yè)，也需要建立質(zhì)量管理體系，對(duì)于新產(chǎn)品的品質(zhì)可靠性進(jìn)行內(nèi)外實(shí)驗(yàn)室試驗(yàn)與走新產(chǎn)品上市前的管理流程。而ISO9001質(zhì)量管理體系也需要第三方認(rèn)證。

風(fēng)險(xiǎn)評(píng)估：對(duì)于系統(tǒng)中可能出現(xiàn)的錯(cuò)誤的風(fēng)險(xiǎn)做預(yù)判分析，以出現(xiàn)概率為一個(gè)系數(shù)，出現(xiàn)后果嚴(yán)重性為第二系數(shù)，出現(xiàn)錯(cuò)誤可識(shí)別性為第三系數(shù)，錯(cuò)誤出現(xiàn)后的可控制為第四個(gè)系數(shù)。

風(fēng)險(xiǎn)系數(shù)=錯(cuò)誤出現(xiàn)概率系數(shù)x錯(cuò)誤后果嚴(yán)重性系數(shù)x不可知系數(shù)x不可控性系數(shù)

我們?yōu)槭裁磁鹿砹?？不可知不可控是可怕的?/p>

第三方認(rèn)證，是在客觀公正的標(biāo)準(zhǔn)條件下的審核認(rèn)證。自動(dòng)化元器件的可靠性可以以各種功能性能，分別做第三方認(rèn)證。（例如，上海精浦公司的絕對(duì)值編碼器的可靠性要求，第三方實(shí)驗(yàn)認(rèn)證有EMC電磁兼容性、防水防塵（防潮濕）IP等級(jí)、抗震動(dòng)等級(jí)、ISO9001質(zhì)量管理體系，都要交給外部第三方做認(rèn)證）。

每一個(gè)產(chǎn)品因質(zhì)量可靠性問題，是否會(huì)引起用戶損失的風(fēng)險(xiǎn)，出現(xiàn)損失的后果如何承擔(dān)，質(zhì)保范圍及質(zhì)保期如何確定，都要評(píng)估都要做過。

但是，在激烈的市場(chǎng)競(jìng)爭中，有些公司為取得競(jìng)爭成本及時(shí)間上的優(yōu)勢(shì)，急于投放新產(chǎn)品了，因質(zhì)量可靠性而帶來的風(fēng)險(xiǎn)評(píng)估和第三方認(rèn)證沒有做好。即使如波音公司這樣的大公司也出現(xiàn)了錯(cuò)誤：

《紐約時(shí)報(bào)》20日披露，被稱為MCAS的自動(dòng)化機(jī)動(dòng)特性增強(qiáng)系統(tǒng)作為新的軟件程序，在安全認(rèn)證過程中沒有受到足夠的重視。報(bào)道稱，3名消息人士透露，F(xiàn)AA高層會(huì)聽取重大安全問題的吹風(fēng)，但他們對(duì)MCAS軟件系統(tǒng)并不知情。大多數(shù)飛行員在印尼獅航空難前都不了解MCAS。由于技術(shù)能力不足，F(xiàn)AA高度依賴波音公司自己的員工來認(rèn)證飛機(jī)的安全性。另一方面，為應(yīng)對(duì)競(jìng)爭，波音公司又推動(dòng)FAA加速審批認(rèn)證過程。曾在FAA從事安全監(jiān)管工作的航空安全專家邁克爾·德雷科恩說：“波音公司和FAA簡直就是共生關(guān)系，二者之間關(guān)系太密切了。”

波音公司對(duì)于傳感器故障以及自動(dòng)化程序錯(cuò)誤帶來的風(fēng)險(xiǎn)后果評(píng)估，最終居然是回到自己手上做的，風(fēng)險(xiǎn)等級(jí)被做低了。輕描淡寫的以為多加一個(gè)傳感器一個(gè)出錯(cuò)警示燈，就可以萬事大吉，剩下的就是交給航空公司自己買單，自己升級(jí)、自己做飛行員培訓(xùn)了。

同樣的，對(duì)于編碼器行業(yè)，對(duì)于韋根編碼器是否會(huì)出現(xiàn)內(nèi)部計(jì)圈計(jì)數(shù)器的錯(cuò)誤？編碼器自身及接收設(shè)備如何判斷這樣的錯(cuò)誤？由于用戶相信其是“絕對(duì)值的”而沒有做出一旦數(shù)據(jù)有錯(cuò)如何判別，出錯(cuò)后果的嚴(yán)重性有多壞的風(fēng)險(xiǎn)評(píng)估？當(dāng)有國內(nèi)的編碼器經(jīng)銷商或者編碼器用戶向這些國外公司詢問，這些韋根廠家從來沒有給出明確的答案！實(shí)際上國內(nèi)有一家賣“進(jìn)口編碼器”的已經(jīng)自己熟練掌握了拆開編碼器外殼，換其中零部件的技法，而市場(chǎng)上仍然還在彌漫著進(jìn)口的韋根編碼器沒有怎么出錯(cuò)的假信息。

七。失效追溯

失效追溯是自動(dòng)化新產(chǎn)品在上市后對(duì)于產(chǎn)品使用損壞的態(tài)度。

真正的好品牌不在于宣傳，而在于他們對(duì)于產(chǎn)品損壞后的態(tài)度是怎么樣的。

很多進(jìn)口自動(dòng)化產(chǎn)品出現(xiàn)問題，進(jìn)口銷售就常常把責(zé)任先推給“用戶自己不會(huì)用”，“沒看懂說明書”，“用戶現(xiàn)場(chǎng)接地自己沒做好”“自己系統(tǒng)的電磁兼容性EMC沒有做好”，“我們是進(jìn)口的，不會(huì)有錯(cuò)，在別的地方“都挺好”，別來找碴”——因?yàn)闊o論是用戶還是進(jìn)口銷售都信任進(jìn)口品牌，尤其是幾個(gè)大品牌，這樣反而就沒有機(jī)會(huì)認(rèn)真去做損壞產(chǎn)品及不正常數(shù)據(jù)的失效分析追溯的機(jī)會(huì)了。這是態(tài)度出現(xiàn)了問題，也就談不上會(huì)是好品牌了。

這次波音也是大公司大品牌，“大”到比目前中國市場(chǎng)上任何一家國內(nèi)國外的自動(dòng)化品牌都大吧？但是事故發(fā)生后透露出來的信息，我們吃驚地發(fā)現(xiàn)波音的失效追溯也做得失敗——態(tài)度出現(xiàn)問題了。

事實(shí)上在3月10日飛機(jī)失事之前，波音公司早就知道了傳感器可能出現(xiàn)故障，可能出現(xiàn)自動(dòng)化操作系統(tǒng)因此而會(huì)錯(cuò)誤操控的可能性，已經(jīng)不是“評(píng)估”的，而是“失效”真實(shí)存在了。但是波音對(duì)于失效事件并不重視，沒有做到追蹤的“窮盡法”“逐項(xiàng)排除法”，去做到“事故可疑歸零”與執(zhí)行措施關(guān)閉。

追溯分析問題，常常要用MECE法，盡可能找出各種失效可疑因素，并做到窮盡法深入追溯到頭：

中國航空公司所透露的波音給航空用戶的文件：

實(shí)際上波音已經(jīng)把鍋甩給了航空公司——糾正措施是讓用戶自己去承擔(dān)，去解決問題了。這個(gè)無法做到糾正措施執(zhí)行關(guān)閉，失事飛機(jī)的飛行員手上的手冊(cè)，臨死都沒有找到處置的解決方法。

——編碼器損壞歸類及數(shù)據(jù)出錯(cuò)追溯——根據(jù)我對(duì)于過去進(jìn)口編碼器應(yīng)用的各種損壞（國外各種品牌）的追溯分析，我們發(fā)現(xiàn)了一些規(guī)律：

第一，原理的不同

第二，結(jié)構(gòu)設(shè)計(jì)的不同

第三，外殼防護(hù)等級(jí)

第四，容錯(cuò)性設(shè)計(jì)

第五，電磁兼容性EMC設(shè)計(jì)

第六，溫度范圍

第七，抗振動(dòng)等級(jí)

第八，廠家的失效追溯體系與質(zhì)量品質(zhì)管理閉環(huán)

（有沒有做一品一碼，每一個(gè)編碼器都有獨(dú)立唯一的編號(hào)，看外殼標(biāo)簽，這是對(duì)損壞產(chǎn)品返回做失效追溯的依據(jù)，也就是前面說的對(duì)于損壞產(chǎn)品的態(tài)度）

關(guān)于上述介紹的文章，請(qǐng)等待本公眾號(hào)后續(xù)。

八。產(chǎn)品管理的閉環(huán)思維

如何提前可以面對(duì)新產(chǎn)品可能出現(xiàn)的錯(cuò)誤，以及后果？

包括提前讓用戶知道這種可能性？以及誰來承擔(dān)后果？

這是一種新產(chǎn)品管理的閉環(huán)思維。

例如醫(yī)生在開刀前都要找家屬談話，簽字了才能動(dòng)手術(shù)，這是提前風(fēng)險(xiǎn)告知。

據(jù)透露，在波音第一次飛機(jī)失事到第二次飛機(jī)失事的之間的5個(gè)多月內(nèi)，波音公司已發(fā)現(xiàn)了問題，也有一些糾正措施，但是沒有問題追溯歸零，糾正措施跟進(jìn)關(guān)閉，就還在繼續(xù)飛行。

失事的飛行員沒有接受新的培訓(xùn)、模擬操作與考核，他們沒有被告知風(fēng)險(xiǎn)，他們手中的飛行手冊(cè)里沒有出錯(cuò)危險(xiǎn)的處置的方法，黑匣子里面的錄音，飛行員臨死前還在翻手冊(cè)，還是沒有找到救命的辦法，眼睜睜看著飛機(jī)帶著157人向地面俯沖，，。

這太悲劇了！這事波音應(yīng)該受到譴責(zé)。

不到5個(gè)月的時(shí)間里，波音737MAX接連發(fā)生兩起空難，這導(dǎo)致美國檢察官和監(jiān)管機(jī)構(gòu)開始行動(dòng)，調(diào)查737MAX的設(shè)計(jì)、生產(chǎn)和認(rèn)證過程中是否倉促，波音公司是否忽略重大安全風(fēng)險(xiǎn)，同時(shí)低估飛行員培訓(xùn)重要性。這已經(jīng)是刑事調(diào)查了。

實(shí)際上這也是國內(nèi)自動(dòng)化行業(yè)同樣會(huì)面臨的問題：一旦用進(jìn)口編碼器壞了，要么是“用戶自己用壞的”，“用進(jìn)口的就不會(huì)有錯(cuò)的”，要么就是要送國外拆開維修，一修需要等2到3個(gè)月時(shí)間，而能告知用戶風(fēng)險(xiǎn)的很少（進(jìn)口的“都挺好”，哪有主動(dòng)告知風(fēng)險(xiǎn)的？）。而能幫助用戶做分析和做好糾正措施的也很少，不怕以后賣備件生意丟了。尤其是一些“大公司大品牌”，產(chǎn)品線鋪得太多了，要每一個(gè)產(chǎn)品樣樣仔細(xì)做好這件事，確實(shí)也是難為了做好這件事了?？纯醋詣?dòng)化行業(yè)的進(jìn)口維修與進(jìn)口備件生意，養(yǎng)活了多少家公司。

九。大公司大品牌的“外包”

這里就提到了大公司、大品牌的外包。波音是家大公司，波音是大品牌，波音的供應(yīng)商應(yīng)該也都是大品牌的正品。事件透露波音為節(jié)省成本，抓緊時(shí)間上新產(chǎn)品，軟硬件都有外包。

最近二十年來全球發(fā)生了一些變化，為了應(yīng)對(duì)市場(chǎng)競(jìng)爭降低成本下還要做大“作”強(qiáng)，全球的大公司都玩起了收購、并購、外包、貼牌。“大”確實(shí)是大了，而“強(qiáng)”卻可能是“作”出來的。大公司大品牌與外包、貼牌的現(xiàn)象已經(jīng)極為普遍性。前面文章有介紹耐克球鞋外包給越南，品質(zhì)監(jiān)管出現(xiàn)了問題，此次波音事件的傳感器與自動(dòng)化軟件據(jù)傳也都是外包的，外包的目的是降低成本，所以不太會(huì)去歐洲與日本，硬件傾向于東南亞，軟件被透露是外包給印度公司的。

為什么沒有外包給中國？關(guān)鍵核心的自動(dòng)化元器件與軟件很少會(huì)外包給中國。同時(shí)中國正在進(jìn)行大飛機(jī)計(jì)劃，，，

中國市場(chǎng)上的編碼器，外包與貼牌的現(xiàn)象也很普遍，而外包貼牌產(chǎn)品的風(fēng)險(xiǎn)評(píng)估、失效追溯與產(chǎn)品閉環(huán)管理很難很好實(shí)現(xiàn)，有了問題隔靴蚤癢，常常就把鍋甩回給了用戶了。

外包、貼牌，供應(yīng)商管理是否能夠都跟上？外媒對(duì)于波音提出了這樣的疑問。

新技術(shù)需要的一次次升級(jí)，升級(jí)成本付出誰來買單？

大量現(xiàn)場(chǎng)調(diào)試維護(hù)的培訓(xùn)誰來買單？

試錯(cuò)的成本、被迭代拋棄的成本誰來買單？

這些問題對(duì)于外包的產(chǎn)品很難回答。

這些問題可以多問問，這幾乎是對(duì)新技術(shù)、新產(chǎn)品推廣識(shí)別的試金石。

盡量了解編碼器是否貼牌的，能避免的就避免購買外包貼牌的。

十。自動(dòng)化新技術(shù)為誰而服務(wù)？企業(yè)文化

最后一個(gè)問題，我們?yōu)槭裁醋詣?dòng)化了？

我過去的文章（給和尚賣木梳）提到過一個(gè)疑問，自動(dòng)化新技術(shù)到底是為誰而服務(wù)？

傳感器——自動(dòng)化控制系統(tǒng)1——自動(dòng)化設(shè)備系統(tǒng)集成2——設(shè)備1——設(shè)備2——民生產(chǎn)品加工廠——物流銷售——消費(fèi)用戶

我們編碼器（傳感器）面對(duì)的客戶利益究竟是看到了哪一層？我們?yōu)槟膫€(gè)客戶利益負(fù)責(zé)？

這是企業(yè)文化問題。

如何面對(duì)市場(chǎng)競(jìng)爭與企業(yè)文化理念的平衡？

這是企業(yè)文化問題。

波音是一家優(yōu)秀的大公司。過去的企業(yè)文化很有名。

波音737老款飛機(jī)是1967年的產(chǎn)品，非常的經(jīng)典，曾經(jīng)被譽(yù)為最安全的飛機(jī)，美國總統(tǒng)乘坐的空軍一號(hào)就是這款波音737。老款737是液壓傳動(dòng)操控系統(tǒng)，幾乎所有飛行員都熟悉那樣的操控系統(tǒng)，737的模擬機(jī)是飛行員培訓(xùn)的基本。

那它為什么還要搞自動(dòng)化新技術(shù)呢？

據(jù)稱是因?yàn)闅W洲的競(jìng)爭對(duì)手空客?？湛虯320neo首先進(jìn)行了數(shù)字技術(shù)革命，并且發(fā)動(dòng)機(jī)更加省油。

自詡為世界上技術(shù)樣樣領(lǐng)先的美國人的臉掛不住了。外界披露的種種信息表明，為了盡快推出波音737MAX以應(yīng)對(duì)空客A320neo，波音在737上動(dòng)手腳，搞技術(shù)改進(jìn)的方案，是在幾個(gè)月里就匆忙做出來的，并且在所需的傳感器、自動(dòng)化軟件的選型上，在供應(yīng)鏈管控、質(zhì)量管理等方面都出現(xiàn)了一些問題。

波音的數(shù)字化電傳飛控系統(tǒng)，不成熟有問題，一次次升級(jí)補(bǔ)漏洞是要航空公司買單的，來不及補(bǔ)漏洞就要機(jī)毀人亡。

而實(shí)際上，波音公司這樣偉大的公司(特朗普心目中的美國冠軍企業(yè)），也是被匆忙就上新技術(shù)而害慘了。

面對(duì)各種“新概念”，“新技術(shù)”，既要學(xué)習(xí)，也要冷靜思考，對(duì)于某些“數(shù)字化轉(zhuǎn)型”的新概念的噱頭，實(shí)為國外某些大公司先期已經(jīng)投入的優(yōu)勢(shì)資源的包裝推廣，是其利益最大化的推銷手段。

我們需要學(xué)習(xí)國外的先進(jìn)技術(shù)，在對(duì)于各種新技術(shù)、新概念的崇拜、追捧中，我們也需要冷靜思考，我們?yōu)槭裁匆闲录夹g(shù)？目標(biāo)是什么？我們是否有這樣的技術(shù)實(shí)力，和是否有這樣的供應(yīng)鏈基礎(chǔ)？是否有等待18個(gè)月的閉環(huán)的思想準(zhǔn)備？

對(duì)于大部分企業(yè)，尤其是中小企業(yè)而言，需要等待新技術(shù)成熟，投入成本下來后，再去跟進(jìn)，以免一次次升級(jí)與試錯(cuò)成本，而被割了韭菜。

————

自動(dòng)化新技術(shù)究竟是為了誰？

是為企業(yè)的市場(chǎng)競(jìng)爭，生怕被新技術(shù)甩下？

是企業(yè)的產(chǎn)品更好賣，有更多的盈利？

是需要上新技術(shù)概念，拿到政府政策鼓勵(lì)補(bǔ)貼？

是需要做大做題材，為了上市？

還是去面對(duì)最終的國家利益、社會(huì)利益、民生需求？

去面對(duì)企業(yè)自身技術(shù)實(shí)力與管理實(shí)力與供應(yīng)鏈上的基礎(chǔ)？

對(duì)于波音飛機(jī)，事實(shí)上民眾坐飛機(jī)是為了快捷與更安全，究竟用了哪一項(xiàng)新技術(shù)對(duì)最終用戶來說，并不需要知道。只要更安全！

例如我理解的絕對(duì)值多圈編碼器，我們的產(chǎn)品究竟用到了哪里？技術(shù)支持服務(wù)與產(chǎn)品可靠性有多重要？做產(chǎn)品的企業(yè)的每一個(gè)員工是否有同樣的認(rèn)識(shí)？

這是企業(yè)文化。

國防——需要絕對(duì)值編碼器的可靠，確保各種情況下的可靠應(yīng)用，國防強(qiáng)大了就不會(huì)打仗，老百姓生活就幸福，這是不戰(zhàn)而屈人之兵依靠的是國防實(shí)力。這是這些絕對(duì)值多圈編碼器面對(duì)可能要打仗時(shí)，必須要有的高品質(zhì)可靠性要求。

水利系統(tǒng)的水閘自動(dòng)化聯(lián)網(wǎng)，關(guān)系到防洪防臺(tái)時(shí)人民群眾的生命財(cái)產(chǎn)安危，去年臺(tái)風(fēng)三次正面關(guān)照上海及上海周邊地區(qū)，幾百個(gè)水閘自動(dòng)化擔(dān)負(fù)起防洪防臺(tái)防澇的重壓，上海精浦絕對(duì)值多圈編碼器多年在水利閘門開度自動(dòng)化上無數(shù)據(jù)出錯(cuò)，可靠性經(jīng)得起考驗(yàn)。這是為了人民生命財(cái)產(chǎn)安全的保證產(chǎn)品高性能品質(zhì)的要求。

醫(yī)療影像設(shè)備：核磁共振床，X光機(jī)的槍與靶的同步等等，檢查時(shí)只留一個(gè)病人在房間內(nèi)，無人化自動(dòng)化程度高，關(guān)系到病人的安全與疾病檢查的準(zhǔn)確性，9600B絕對(duì)值多圈編碼器在3T（特斯拉）特強(qiáng)磁場(chǎng)干擾下，在經(jīng)歷五年上千臺(tái)在醫(yī)院高強(qiáng)度連續(xù)使用下，編碼器數(shù)據(jù)無一出錯(cuò)，同在現(xiàn)場(chǎng)的日系伺服編碼器也已經(jīng)常常有數(shù)據(jù)出錯(cuò)了，定位的準(zhǔn)確性安全性要求重壓都在我們的編碼器上，這是關(guān)系到病人的生命安全和查病準(zhǔn)確，對(duì)于我們編碼器高品質(zhì)可靠性的要求。

各種自動(dòng)化設(shè)備，絕對(duì)值編碼器是各種極限位置保護(hù)的最后一道數(shù)據(jù)保障，上極限防沖頂，下極限防碰撞，各種位置同步如果偏差就是機(jī)械拉偏，設(shè)備損壞，帶來用戶的財(cái)產(chǎn)損失，這是對(duì)絕對(duì)值多圈編碼器的高品質(zhì)可靠性的要求。

我們（上海精浦）的絕對(duì)值多圈編碼器必須承受這樣的高品質(zhì)要求重壓，這是我們企業(yè)對(duì)人的生命安全的尊重，是對(duì)社會(huì)的負(fù)責(zé)，不敢輕怠。

這是我們的企業(yè)文化。

文化不是拿來包裝的，文化是已進(jìn)入人的骨子里的氣質(zhì)。企業(yè)文化是每一個(gè)員工長期培訓(xùn)、教育，經(jīng)過長年的積累，已經(jīng)深入到每一個(gè)員工骨子里的氣質(zhì)。

我已經(jīng)做了十多年的品質(zhì)管理與企業(yè)文化建設(shè)。也許我作為質(zhì)量管理總工程師更適合。

這不是廣告，這是與國內(nèi)自動(dòng)化行業(yè)從業(yè)者的共同分享。中國自動(dòng)化更需要重視產(chǎn)品的可靠性，系統(tǒng)的安全性。

對(duì)于這兩次波音飛機(jī)失事引發(fā)的自動(dòng)化安全性危機(jī)，不要錯(cuò)過這樣一個(gè)可以借來分析、借鑒、警醒的機(jī)會(huì)。

后記：本文背景

今天上午九點(diǎn)鐘，ISO9001質(zhì)量管理第三方審查公司的質(zhì)量評(píng)審老師，來我公司進(jìn)行最新版ISO9001的評(píng)審。這也是我第十五個(gè)年頭接收質(zhì)量外審了。

目前我公司有質(zhì)量內(nèi)審員資格證書的員工人數(shù)，已占公司現(xiàn)有職工人數(shù)的三分之一。

本文是我在外審前，對(duì)公司質(zhì)量動(dòng)員會(huì)議的一部分。

對(duì)于波音失事分析，這不是事后諸葛亮，文中很多觀點(diǎn)在我前面的文章里都有，我們?cè)趯W(xué)問題分析已經(jīng)是常態(tài)了?？梢苑單仪懊娴奈恼?。

一年公眾號(hào)的編碼器文章目錄匯總在此

從一雙踩爆的球鞋引起耐克13億美元損失，到聊一聊編碼器性能與性價(jià)比

編碼器及自動(dòng)化器件的抗干擾能力怎么看？

以后有機(jī)會(huì)再與大家分享如何做質(zhì)量品質(zhì)管理的故事。

自動(dòng)化的安全可靠性需要引起重視，中國人學(xué)會(huì)了方法，下定了決心，是可以做好事情的。

而不是僅僅把“可靠性”盲目只是相信進(jìn)口，押寶在只以為選用進(jìn)口的就可以“萬事大吉”了，國外公司總是依據(jù)它自己的優(yōu)勢(shì)資源來推廣它的產(chǎn)品的，我們需要學(xué)習(xí)國外的先進(jìn)技術(shù)，也需要有一雙會(huì)分析的眼睛去識(shí)別真?zhèn)巍?/p>