推

第一百〇六章 推

方晓晨没有让他等太久。💬

第二天中午，项磊转来一条：「方总说泉华内部已经在协调，BasePlatform 那边今天上午给了初步回应，你直接看附件。」💬

附件是一封内部邮件的转发，抬头是 BasePlatform 的负责人，收件人里有方晓晨、工控产线负责人，以及几个陆衍不认识的名字。💬

他把邮件扫了一遍。💬

BasePlatform 的意思很清楚：`ERR_HANDLER` 有完整定义，有测试记录，在基础平台的内部文档里有专项说明，只是该文档不在此次提供给云帆的材料范围里。BasePlatform 认为函数逻辑无误，自 1997 年交付以来跑过多次设备场景，未发现行为异常。💬

工控产线那边也有一条回复，短很多：调用关系存在于 G1 历史版本里，该调用在正常运行路径下不会触发，属于异常处理分支。工控产线对该分支的设计意图理解是「安全兜底，非常规路径」。💬

两封邮件放在一起对了一遍。BasePlatform 说函数没问题，工控产线说路径不会触发。谁都没有说一句：这条链路整体跑过。💬

没有人敢说这句话。💬

当天下午，方晓晨单独发了一封邮件，没有抄送其他人，只有一个问题：💬

「你们审查 G1 历史激活记录时，ERR_HANDLER 有没有在实际设备运行中被触发过？」💬

陆衍把这个问题发给麦景行：「你去查一下，方总问的这个，三次激活记录里有没有走到 ERR_HANDLER。」💬

麦景行的回复花了将近一个半小时。💬

「查完了，三次激活日志我都翻了。」💬

「结论是什么？」💬

「1998，没有触发。」💬

「2021，日志完整，同样没有。」💬

麦景行停了几秒。💬

「2008 日志残缺，但现有记录里，也没有。」💬

「陆哥，三次旁路激活，三十年，ERR_HANDLER 一次都没跑过。」💬

他盯着这条消息，大概二十秒没有动。💬

三十年没出事，不代表安全。只代表这个雷，还没被踩到。💬

回方晓晨的邮件他写得很短：💬

「三次历史激活记录，均未发现 ERR_HANDLER 触发日志。传感器降级旁路三十年运行，该函数未曾执行过。」💬

又加了一行：💬

「该函数在真实设备场景下，三十年内未被触发，实际运行行为无历史记录可查。」💬

发出去。💬

他走到窗边站了一会儿，把刚才的逻辑在脑子里再绕了一遍。💬

旁路机制触发三次，三十年里三次，每次都顺利走完了。没有出现"旁路执行异常"这个场景，所以 ERR_HANDLER 一次都没运行。💬

这是好事。设备一直是正常状态。💬

但从另一个角度看，三十年里从未有人知道这个函数在真实设备下跑不跑得通。BasePlatform 有测试，是测试环境里跑的单独函数。工控产线知道调用点，不知道函数长什么样。两边都以为另一边验证过了。💬

后来他见过太多事故复盘。真正出事的，往往就是这些从没跑过的兜底逻辑，平时看不见，出了事才发现什么都做不了。💬

「陆哥，」麦景行又发来一条，「我又看了一遍 BasePlatform 那个邮件，他们说'未发现行为异常'，但这个测试，是单独跑的函数，输入是模拟参数，不是在 G1 旁路逻辑触发的上下文里跑的。」💬

「也就是说，BasePlatform 测的是函数单独能不能跑，没有测过 G1 旁路调用它的这条路径整体能不能通。」💬

「对。两段代码分别测了，但这条路整体没有跑过。」💬

方晓晨的回复是傍晚来的，这次很短：💬

「明白了，我需要和工控团队内部对一下，这个事情比我预期的要复杂。」💬

然后是一句：「如果需要我们扩大一下合同的评估范围，你们那边要多少时间？」💬

陆衍把这一句话截图发给乔木，没有说任何评论。💬

乔木的回复几乎是即时的：「这就是让我们报价的意思。」💬

然后又发来一条：「他们准备认账了。」💬

停了几秒，第三条：「这不是补充评估。这是重新定价。别按原合同算。」💬