В индустрии ПЧ существует почти не подвергаемое сомнению убеждение:Больше функций означает более продвинутый — и более надежный — продукт.
Проблема в том, чтореальные объекты работают не так.
Функции появляются в самый неподходящий момент
В системах непрерывной работы мы видели множество случаев, когда сами функции были не ошибочны — они просто активировались в неподходящий момент:
- Редко используемые режимы управления, активируемые в нештатных условиях
- Многоуровневая логика автоматического переключения, создающая непредсказуемое поведение
- Функции по умолчанию, взаимодействующие таким образом, который никто не понимает до конца
- Ремонтные бригады сталкиваются с меню, не зная, что «думает» система
Ничего не сигнализирует об ошибке. Тем не менеедоверие к системе начинает подрываться.
Функции добавляют пути, а не уверенность
Каждая новая функция не просто добавляет возможности — она добавляетновый поведенческий путь.
В идеальных условиях эти пути управляемы. На реальных промышленных объектах они могут быть вызваны:
- Колебаниями напряжения
- Шумом датчиков
- Наследованием параметров
- Различиями в привычках эксплуатации
Как только количество путей превышает человеческое понимание, надежность начинает снижаться.
Почему продукты с богатым набором функций все еще хорошо продаются
Потому что функции легко продемонстрировать:
- Они аккуратно помещаются в брошюры
- Они выигрывают в сравнении спецификаций
- Их легко объяснить как преимущества для продажи
- Однако риск незаметно перекладывается на поле
Надежность, напротив, трудно поддается количественной оценке.
Наши компромиссы
В долгосрочных эксплуатационных проектах мы принимали решения, которые кажутся контринтуитивными:
- Удалениередко используемых функций, которые мешают основной логике
- Блокировкадиапазонов параметров для предотвращения непреднамеренных изменений
- Унификацияповедения системы, чтобы аномальные состояния выглядели безошибочно аномальными
- Приоритет предсказуемости над гибкостью
Результат не был драматичным. Привод не стал «умнее». Но система сталаболее надежной.
Заключительная мысль
По-настоящему надежный ПЧ — это не тот, который может делать все, а тот, который делаеттолько то, что должен — именно тогда, когда должен.
Если системе нужны десятки функций, чтобы чувствовать себя в безопасности, то, чего ей, возможно, на самом деле не хватает, — это не возможностей, а границ.
Ваше сообщение должно содержать от 20 до 3000 символов!
