Модуль p.10 · Урок 5
Урок 5: RFP-шаблон для закупки industrial AI — что спрашивать у вендоров, чтобы не купить воздух
Содержание
- Чему вы научитесь
- Структура RFP: какие блоки должны быть обязательно
- Блок 1. Архитектура — 5 обязательных вопросов
- Блок 2. Модели — 5 обязательных вопросов
- Блок 3. Данные — 5 обязательных вопросов
- Блок 4. ИБ и compliance — 7 обязательных вопросов
- Блок 5. SLA и качество — 6 обязательных вопросов
- Блок 6. Стоимость и TCO — 6 обязательных вопросов
- Блок 7. Delivery, support и команда — 6 обязательных вопросов
- Блок 8. Exit clauses и ownership — 6 обязательных вопросов
- RACI matrix: кто отвечает за что
- Как запускать RFP-процесс без хаоса
- Красные флаги в ответах на RFP
Чему вы научитесь
- Строить RFP по industrial AI так, чтобы на выходе получить не красивую презентацию, а сравнимые коммерческие и технические ответы
- Формулировать вопросы к вендору по архитектуре, данным, ownership, ИБ, санкциям, SLA и exit clauses
- Отделять «мы всё умеем» от реально проверяемых обязательств в контракте и приложениях к нему
- Сразу закладывать RACI: кто отвечает за данные, модель, интеграцию, обучение пользователей и production-поддержку
- Выявлять красные флаги в ответах вендора до пилота, а не после подписания договора
Плохой RFP по AI выглядит так: «Нам нужен искусственный интеллект для повышения эффективности производства. Просим дать коммерческое предложение». На такой документ в ответ прилетает набор маркетинговых слайдов, три красивые цифры, архитектура «в общих чертах» и ноль договорных гарантий.
Хороший RFP устроен наоборот. Он заставляет вендора назвать:
- где живут данные и модель;
- кто владеет кастомной моделью и артефактами;
- как считается SLA и качество;
- как выглядит трёхлетний TCO;
- как вы выходите из договора без потери данных, модели и логики процесса.
Ниже — рабочий шаблон, который можно брать за основу для закупки industrial AI. Он не заменяет юриста и ИБ, но резко повышает шанс купить не «воздух», а управляемый проект.
Структура RFP: какие блоки должны быть обязательно
| Блок | Что выясняем | На какой модуль опирается |
|---|---|---|
| Архитектура | Где будет жить решение: cloud, on-prem, edge, hybrid; как оно подключается к текущему ландшафту | p.2/01, p.2/06 |
| Модели и MLOps | Какие модели используются, как они обновляются, кто контролирует retraining и drift | p.2/02, p.9/06 |
| Данные | Что именно вендор забирает, где хранит, на чём учится и как удаляет | p.3/01 |
| ИБ и compliance | 152-ФЗ, 187-ФЗ, ФСТЭК, санкции, лицензии, supply chain | p.3/02, p.3/03, p.3/05 |
| SLA и качество | Uptime, latency, response time, accuracy, FP/FN, инциденты | p.4/01 |
| Экономика | CapEx, OpEx, токены, железо, support, обучение, 3-year TCO | p.2/06, p.4/01 |
| Поддержка и delivery | Кто внедряет, кто дежурит, кто делает rollout и обучение | p.10/01 |
| Exit clauses | Как забрать данные, embeddings, модели, пайплайны и роли при расторжении | текущий урок |
Блок 1. Архитектура — 5 обязательных вопросов
- В каком контуре разворачивается решение: public cloud, private VPC, dedicated tenant, on-prem, edge или hybrid?
- Какие компоненты работают в нашем контуре, а какие остаются у вас или у третьей стороны?
- Как выглядит схема интеграции с нашими SCADA, MES, ERP, historian, CMMS, DWH и корпоративным AD/IDM?
- Какие протоколы и интерфейсы вы поддерживаете: REST, OPC UA, MQTT, Kafka, файловый обмен, SQL, API-шлюзы?
- Какие части системы являются обязательными, а какие могут быть заменены нашими собственными компонентами?
Практический смысл этих вопросов в том, чтобы сразу отсечь продавца «чёрного ящика». Если вендор не может показать схему архитектуры и границы ответственности по компонентам, значит внедрять он будет хаотично.
Блок 2. Модели — 5 обязательных вопросов
- Какие именно модели используются: точное название, версия, дата релиза и лицензия?
- Какие модели являются внешними зависимостями: open-source, third-party API, proprietary models?
- Возможна ли замена модели без полной пересборки всей системы?
- Как устроены дообучение, fine-tuning, prompt updates и rollout новой версии модели?
- Кто несёт ответственность за деградацию качества после обновления модели или пайплайна?
Блок 3. Данные — 5 обязательных вопросов
- Какие данные вы запрашиваете на пилот и на промышленный rollout: raw, агрегаты, документы, логи, изображения, телеметрию?
- Будут ли наши данные использоваться для обучения общей модели или только для нашего выделенного контура?
- Где физически и логически будут храниться данные, embeddings, feature store и журналы запросов?
- Какой механизм удаления данных, артефактов и резервных копий при расторжении договора?
- Какие данные остаются нашей собственностью, а какие становятся частью вашего сервиса или модели?
Для юридического блока эти вопросы связываются с уроком p.3/01. Для технологического — с ownership модели и будущим lock-in.
Блок 4. ИБ и compliance — 7 обязательных вопросов
- Подходит ли решение для объектов КИИ и какие ограничения у вас есть по 187-ФЗ?
- Есть ли on-prem или полностью локальный вариант для regulated-контура?
- Какие меры защиты вы применяете по требованиям ФСТЭК и как отражаете AI-угрозы в модели угроз?
- Как устроены журналирование, аудит действий, разграничение прав и интеграция с SIEM/SOC?
- Какие внешние зависимости используются: облака, SDK, контейнерные образы, SaaS-сервисы, сторонние API?
- Каков ваш санкционный статус: есть ли риск блокировки лицензии, поставок, модели или техподдержки для РФ?
- Есть ли у вас SBOM, результаты сканирования контейнеров и порядок уведомления о критических уязвимостях?
Здесь уже нельзя экономить на точности формулировок. Для ПД — p.3/01. Для КИИ — p.3/02. Для ФСТЭК и AI-угроз — p.3/03.
Блок 5. SLA и качество — 6 обязательных вопросов
- Какой SLA по доступности сервиса вы даёте: uptime в процентах, режим плановых окон и исключения?
- Как измеряется response time и latency для нашего сценария: p50, p95, p99?
- Какие KPI качества вы готовы фиксировать: accuracy, recall, false positive rate, false negative rate, human acceptance rate?
- Кто и как проводит приёмку качества на пилоте и в production?
- Какие штрафы, service credits или иные последствия наступают при нарушении SLA?
- Как быстро вы обязуетесь реагировать на критический инцидент и эскалировать его до ответственного инженера?
Вендор почти всегда любит обещать «высокое качество». Но procurement-подход требует другой язык: какой именно KPI качества и какая ответственность за его нарушение.
Блок 6. Стоимость и TCO — 6 обязательных вопросов
- Разложите стоимость на CapEx, OpEx, лицензии, токены, железо, интеграцию, поддержку и обучение пользователей.
- Что входит в базовую цену, а что продаётся как professional services, premium support, custom integration и retraining?
- Как выглядит TCO на
3года с тремя сценариями нагрузки: pilot, scale-out, industrial production? - Как меняется цена при росте числа пользователей, активов, камер, документов, GPU или токенов?
- Какие hidden costs вы видите у нашего ландшафта: доработка сети, серверов, IAM, observability, CMMS/MES integration?
- Что будет стоить выход из решения: выгрузка данных, миграция, переобучение, перенос на другой стек?
Это уже прямая связь с уроком p.4/01 и уроком p.2/06. Если vendor economics нельзя перевести в 3-year TCO, закупку пока рано защищать перед CFO.
| Что попросить у вендора в цифрах | Зачем это нужно | Если ответа нет |
|---|---|---|
TCO на 3 года | Сравнить SaaS, self-hosted и hybrid | Невозможно защищать бюджет |
Сценарии pilot / 100 users / enterprise scale | Понять нелинейный рост стоимости | Высокий риск «дёшево на демо, дорого в жизни» |
| Cost of change | Оценить lock-in | Вы можете купить ловушку |
| Стоимость retraining / доработок | Понять цену поддержки | Иначе ROI будет ложным |
Блок 7. Delivery, support и команда — 6 обязательных вопросов
- Кто именно будет внедрять проект: ваш staff, локальный партнёр, интегратор или подрядчик подрядчика?
- Есть ли русскоязычная команда внедрения и поддержки, доступная в нашем часовом поясе?
- Кто дежурит при production-инциденте ночью, в выходные и на площадке?
- Как выглядит escalation path: L1, L2, L3, архитектор, vendor management?
- Кто обучает операторов, инженеров, ИТ и ИБ-команду работе с решением?
- Какие компетенции вы оставляете нам, а какие останутся у вас как у поставщика?
Блок 8. Exit clauses и ownership — 6 обязательных вопросов
- Кто владеет кастомно дообученной моделью, prompt templates, retrieval rules, embeddings и feature engineering?
- В каком формате и в какие сроки вы обязуетесь передать нам данные, артефакты модели и эксплуатационную документацию при выходе?
- Можно ли перенести решение на другой runtime, облако или интегратора без вашего участия?
- Какие ограничения по лицензии сохранятся после расторжения договора?
- Есть ли у нас право на продолжение эксплуатации решения после termination в transitional period?
- Что именно перестаёт работать при отключении вашей лицензии или подписки?
RACI matrix: кто отвечает за что
Технически хороший RFP почти бесполезен, если внутри проекта не разведена ответственность. Ниже — минимальный RACI-шаблон для industrial AI.
| Область | Заказчик бизнеса | ИТ/архитектура | ИБ/юрист | Вендор | Интегратор |
|---|---|---|---|---|---|
| Бизнес-KPI и ROI | A | C | I | I | C |
| Данные и доступы | C | A | C | I | R |
| Архитектура и контур | C | A | C | R | R |
| 152-ФЗ / КИИ / ФСТЭК | I | C | A | C | R |
| Настройка модели и пайплайна | I | C | I | A | R |
| Интеграция с SCADA/MES/ERP | I | A | I | C | R |
| Обучение пользователей | A | C | I | R | R |
| Production support | I | A | C | R | R |
| Exit / передача артефактов | A | C | A | R | R |
Где:
A— accountable, конечный владелец результата;R— responsible, исполнитель;C— consulted;I— informed.
Если вендор отказывается заполнять RACI, это серьёзный сигнал. Значит, в случае инцидента начнётся известная игра «это не у нас, это у интегратора / у клиента / у инфраструктуры».
Как запускать RFP-процесс без хаоса
Сначала сделайте short list. Не рассылайте RFP рынку целиком. Сначала отфильтруйте по классу задачи и санкционной применимости — см. урок p.10/01.
Разведите обязательные и желательные требования. On-prem, ownership, SBOM, интеграция с AD — это не wishlist, а mandatory requirements.
Требуйте единый формат ответа. Иначе вы получите пять красивых PDF, которые нельзя сравнить.
Сразу закладывайте pilot acceptance criteria. Не «сделать пилот», а «достигнуть KPI X на данных Y в контуре Z».
Проверяйте не только vendor demo, но и delivery team. Кто придёт на площадку, кто будет внедрять, кто реально отвечает за production.
- Фиксируйте выход из решения до входа в него.
Красные флаги в ответах на RFP
| Ответ вендора | Что это значит | Как реагировать |
|---|---|---|
| «Точную архитектуру покажем после контракта» | Архитектура не проработана или её скрывают | Не допускать в финальный short list |
| «On-prem возможен, но только в индивидуальном порядке» | Скорее всего, продукт cloud-first и enterprise on-prem не зрел | Просить отдельный подтверждённый кейс и договорные условия |
| «Мы не даём ownership кастомной модели» | Жёсткий lock-in | Сразу обсуждать exit и цену выхода |
| «SLA по quality не фиксируем» | Вендор не готов отвечать за результат | Переводить quality KPI в pilot acceptance criteria или исключать |
| «Про санкции не знаем, но всё будет работать» | Неприемлемый уровень зрелости для РФ-контра | Подключать ИБ/юриста и ставить стоп |