部署关注点
Fallback & Manual Override
说明连接、遥测、BAS 接收动作或设备条件变化时,ClimaMind 如何让现场运营人员保留控制权。
Fallback 是部署边界,不是营销承诺。批准后的现场设计必须定义 ClimaMind 何时只观察、何时建议、何时写入、何时暂停,以及何时回到 BAS 原生 fallback。
Fallback 触发条件
哪些情况应该暂停或收窄控制
具体阈值要按现场确定,但这些类别应在 supervised writes 启用前完成审查。
连接中断
如果 edge device、BAS 路径或批准后的网络路径不可用,ClimaMind 应停止依赖主动写入,并保持现场已批准的 fallback 状态。
遥测失效或过期
如果必需点位停止更新、超出可信范围,或与设备状态冲突,写入应在证据完整前暂停。
BAS 拒绝写入
被 BAS 拒绝的命令本身就是运行信号。系统不应在约定命令路径或数值限制之外持续重试。
人工接管
人工权限始终属于设施团队。operator 的修改、模式切换或手动命令应进入记录,并被优化 workflow 尊重。
控制状态
用明确的运行模式表达权限
当现场能区分观察、建议和受限写入权限时,部署边界会更清楚。
Read-only monitoring
ClimaMind 读取批准范围内的 BAS、计量和运行数据,但不建议或写入控制动作。
- 适合数据校验、安装后检查和问题调查。
- BAS 原生 fallback 是唯一主动控制路径。
Advisory mode
ClimaMind 可以生成建议,但设施团队或 SI 决定是否执行以及如何执行。
- 建议动作应包含原因、受影响点位、预期方向和已检查约束。
- 在可用情况下,应记录 operator 接受或拒绝。
Supervised writes
ClimaMind 只能写入部署审查中批准的点位、范围和变化速率。
- 写入权限应保持窄边界:点位清单、数值范围、变化速率、日程和运行模式。
- BAS 原生 fallback 和本地设备 safeties 仍然保留。
Operator Authority
现场团队应始终掌握什么
人工接管不只是紧急功能,而是 supervisory system 部署后的正常运行模型之一。
- 运营人员可以通过约定的现场 workflow 暂停、override 或反转优化。
- 在数据可用时,ClimaMind 应记录控制动作、连接中断、点位过期、人工接管、BAS 拒绝和恢复写入决策。
- 除非客户批准其他边界,BAS 仍是 operator interface、报警层、原生 sequence 层和本地安全权威。
- Fallback 行为应足够平稳:ClimaMind 控制丢失后,现场应回到明确的 BAS 控制状态,而不是混合控制的模糊状态。
恢复
恢复写入必须经过明确判断
一次 fallback 事件本身不能自动证明 closed-loop control 已经可以恢复。
- 确认遥测新鲜度、命令路径健康状态、BAS 接收情况和相关设备状态。
- 判断人工接管是紧急动作、维护动作,还是常规偏好反馈。
- 如果问题改变了批准后的运行边界,应先回到 read-only monitoring 或 advisory mode。
- 如果事件影响验收、M&V 解释或客户批准,supervised writes 恢复前应记录未关闭事项。