- Mindsailors
- Blog
- wzornictwoprzemysłowe
- Projektowanie produktów IoT: Dlaczego tak trudno o sukces urządzeń połączonych

Urządzenia połączone - łączące sprzęt, firmware, łączność bezprzewodową i zazwyczaj zależność od chmury w jeden system - są powszechnie określane mianem produktów IoT (Internet of Things, czyli Internet Rzeczy). Ich budowa trwa dłużej, częściej kończy się niepowodzeniem i wymaga droższych zmian, niż zespoły deweloperskie zazwyczaj zakładają - nie dlatego, że poszczególne dyscypliny są źle realizowane, ale dlatego, że są ze sobą słabo skoordynowane.
Według raportu IoT Analytics opartego na danych z 2023 r., przeciętny produkt IoT potrzebuje aż 41 miesięcy, aby dotrzeć do pierwszego płacącego klienta - to prawie 80% dłużej niż w 2020 roku. Dane pochodzą głównie ze środowisk przemysłowych, ale podstawowe ograniczenia inżynieryjne - integracja RF (Radio Frequency), niezawodność aktualizacji OTA (Over-the-Air), certyfikacja i bezpieczeństwo - są wspólne dla większości kategorii urządzeń połączonych.
Badanie Cisco z 2017 r. przeprowadzone wśród blisko 1 845 decydentów wykazało, że tylko 26% firm zgłosiło pełny sukces swoich projektów IoT. Ten zagregowany wynik maskuje istotny podział: respondenci z działów IT raportowali sukces na poziomie około 35%, podczas gdy decydenci biznesowi - jedynie około 15%. 60% inicjatyw utknęło na etapie proof of concept. Nowszych, porównywalnych danych publicznych brakuje - ale strukturalne przyczyny tych wyników, takie jak brak spójności organizacyjnej i niedoszacowanie złożoności integracji, są w literaturze branżowej konsekwentnie potwierdzane od lat.
Oba zjawiska - wydłużony czas wejścia na rynek i niskie wskaźniki sukcesu - wskazują na jedno: ograniczenie strukturalne, nie chwilowe spowolnienie.
IoT to system sprzężony
Sprzężenie dyscyplin ma bezpośrednie konsekwencje dla harmonogramów, budżetów i architektury - a pośrednio dla tego, jak użytkownicy doświadczają urządzenia.
W konwencjonalnym procesie rozwoju produktu poszczególne dyscypliny mogą pracować sekwencyjnie - sprzęt się projektuje, firmware dostosowuje, UX buduje się na w miarę stabilnej platformie. W urządzeniach połączonych te granice zacierają się błyskawicznie. Komunikacja RF, ograniczenia zasilania, wymogi prawne i zależność od chmury tworzą fizyczne i logiczne zależności, które przecinają wszystkie dyscypliny jednocześnie.
Umiejscowienie anteny zmienia projekt obudowy. Strategia zasilania wpływa na powierzchnię płytki PCB (Printed Circuit Board - obwodu drukowanego) i właściwości termiczne. Wcześniejsze decyzje sprzętowe determinują architekturę firmware - a to ona decyduje o tym, czy bezpieczne aktualizacje OTA pozostaną wykonalne po premierze. Wymogi prawne kształtują zarówno warstwę sprzętową, jak i programową - na długo przed tym, zanim produkt zyska ostateczny wygląd.
Najczęstszym schematem porażki nie jest załamanie się pojedynczej dyscypliny. Jest nim decyzja podjęta w jednym obszarze, która po cichu przekreśla opcje we wszystkich pozostałych.
Bezpieczeństwo nie może być dodawane na końcu
Badanie Memfault i VDC Research z 2024 r., przeprowadzone wśród ponad 775 specjalistów ds. IoT, wykazało, że jedna trzecia z nich nie wierzy, że ich organizacja odpowiednio testuje cyberbezpieczeństwo swoich produktów. Bezpieczeństwo wciąż jest traktowane jako etap weryfikacji końcowej, a nie jako ograniczenie architektoniczne - i to jest właśnie problem.
Bezpieczny rozruch zależy od wyboru platformy. Niezawodność aktualizacji OTA zależy od układu pamięci i strategii rollback. Długoterminowe zarządzanie podatnościami wymaga decyzji podejmowanych przed powstaniem pierwszego prototypu. Tych wyborów nie da się łatwo cofnąć.
Dla urządzeń konsumenckich na rynku europejskim norma ETSI EN 303 645 wyznacza bazowy standard bezpieczeństwa. Rozporządzenie w sprawie cyberodporności (Cyber Resilience Act) idzie dalej - jest mandatowe i nakłada obowiązek zgłaszania podatności od 11 września 2026 r. Producenci muszą raportować aktywnie wykorzystywane luki w ciągu 24 godzin do krajowego CSIRT z jednoczesnym powiadomieniem ENISA - powiadomienie ENISA nie jest odrębnym, równoległym kanałem, lecz częścią routingu realizowanego przez CSIRT. Następnie producent przekazuje do CSIRT raport uzupełniający w ciągu 72 godzin, a pełny raport końcowy trafia do ENISA w ciągu 14 dni od uzyskania wiedzy o incydencie. Główne obowiązki produktowe obowiązują od 11 grudnia 2027 r. - daty warto zweryfikować z aktualną wersją Dziennika Urzędowego, ponieważ harmonogramy wdrożeniowe były już w przeszłości przesuwane. W odróżnieniu od rekomendacyjnych wytycznych takich jak NIST IR 8259, CRA to wymóg dostępu do rynku.
W produktach połączonych bezpieczeństwo nie jest funkcją - jest częścią definicji produktu.
Sprzęt to obszar, w którym sprzężenie staje się fizyczne
Niezaliczenie testów EMC (Electromagnetic Compatibility) za pierwszym podejściem to norma, nie wyjątek. Rohde & Schwarz podaje, że ponad 50% wszystkich produktów nie przechodzi testów EMC przy pierwszym podejściu - liczba ta jest spójna z szacunkami laboratoriów certyfikacyjnych dla różnych kategorii produktów. Wskaźniki różnią się w zależności od dojrzałości projektu, a szacunki dla urządzeń IoT bywają znacznie wyższe. Skala zjawiska jest na tyle duża, że niepowodzenie w pierwszej próbie certyfikacji powinno być wbudowane w harmonogram i budżet od pierwszego dnia planowania.
Wpływ na RF nie kończy się na module - zaczyna się na etapie projektu mechanicznego. Obudowa w urządzeniu bezprzewodowym nigdy nie jest neutralna. Wybór materiałów, odstępy, geometria wewnętrzna i rozmieszczenie anten wpływają na wydajność RF. Projekt, który działa w systemie CAD, może zawieść w docelowym środowisku mechanicznym.
Te ryzyka mają konkretną cenę - i zapada ona w momencie wyboru modułu. Certyfikacja FCC przy prostszych produktach lub modułach z certyfikatem wstępnym może kosztować od 1 000 do 10 000 dolarów. Przy niestandardowych projektach RF, zwłaszcza komórkowych, koszty sięgają 50 000–200 000 dolarów lub więcej. Podstawowe moduły BLE i Wi-Fi kosztują przy hurtowych zamówieniach zazwyczaj 1–10 dolarów, moduły wieloprotokołowe i komórkowe (LTE-M, NB-IoT) - 10–50 dolarów i więcej. Moduł z certyfikatem wstępnym zmniejsza ryzyko certyfikacyjne, ale podnosi koszt jednostkowy. Rozwiązanie niestandardowe może być opłacalniejsze przy dużej skali, ale wymaga głębszej wiedzy i wyższej tolerancji na ryzyko.
W obu przypadkach ważniejsze niż wybór modułu jest to, kiedy ta decyzja została podjęta. Późne zmiany architektury RF są przez doświadczone zespoły konsekwentnie wskazywane jako jedno z głównych źródeł przekroczeń harmonogramu i budżetu - ocena ta jest spójna z dokumentowanymi wzorcami niepowodzeń EMC i szerszymi danymi z projektów embedded, choć nie została jeszcze potwierdzona jednym, pojedynczym badaniem.
.png)
Interoperacyjność to źródło prawdziwej wartości
Badanie McKinsey z 2015 r. szacowało, że nawet około 40% wartości możliwej do uzyskania z IoT zależy od interoperacyjności między systemami. Badanie ma już ponad dekadę, a krajobraz zmienił się znacząco - pojawił się Matter, Thread, nowe klasy urządzeń. Kierunek wniosku pozostaje jednak aktualny: zamknięte, niezdolne do współpracy wdrożenia konsekwentnie zostawiają dużą część potencjalnej wartości niezrealizowaną.
Wybór między Wi-Fi, Bluetooth, Zigbee, Thread, LoRa, LTE-M i NB-IoT to nie tylko decyzja techniczna - każdy wybór kaskadowo wpływa na protokoły, procesy konfiguracyjne, powiązania z chmurą i złożoność integracji. Decyzja, która na wczesnym etapie wydaje się błaha, często staje się długoterminowym ograniczeniem.
Standardy takie jak Matter pomagają zredukować fragmentację, ale nie eliminują złożoności architektonicznej - przesuwają ją na wcześniejszy etap. Matter 1.5 (listopad 2025 r.) rozszerzył specyfikację o kamery, urządzenia zamykające, nowy typ urządzenia do obsługi taryf energetycznych z wymianą danych o cenach w czasie rzeczywistym i obsługę TCP. Od marca 2026 r. dostępna jest już aktualizacja Matter 1.5.1, wprowadzająca dalsze udoskonalenia obsługi kamer i większą elastyczność implementacyjną. Każda nowa kategoria to nowe obciążenia certyfikacyjne i architektoniczne.
Systemy wrażliwe na opóźnienia nie zawsze mogą polegać na scentralizowanym przetwarzaniu - ograniczenie to odzwierciedla 3GPP TS 22.261, standard definiujący wymagania opóźnień dla sieci 5G według klas usług (przywołana wersja 15.09.00 z 2019 r. - aktualne wydanie dostępne w repozytorium ETSI). Kiedy czas rzeczywisty ma znaczenie, architektura musi to odzwierciedlać od początku.
Fragmentacja nie kończy się na warstwie architektury. Kiedy standardy się mnożą, granice protokołów zacierają się, a zależności od chmury narastają - rodzaje awarii, z którymi spotykają się użytkownicy, stają się trudniejsze do zlokalizowania i trudniejsze do naprawienia.
UX to zachowanie systemu, a nie projektowanie interfejsu!
Systemy IoT zachowują się jak rozproszone sieci, a nie izolowane aplikacje. Kiedy coś zawodzi, użytkownicy rzadko wiedzą, gdzie leży przyczyna - w sprzęcie, sieci, chmurze, stanie konta czy logice automatyzacji. Ta niejednoznaczność fundamentalnie zmienia sposób, w jaki użytkownicy oceniają niezawodność produktu.
Porażki UX w IoT skupiają się wokół czterech powiązanych wymiarów:
- Widoczność stanu - użytkownicy muszą wiedzieć, co aktualnie robi system
- Zaufanie - zachowanie musi być na tyle spójne, by można było na nim polegać w czasie
- Przewidywalność - automatyzacje i harmonogramy muszą działać zgodnie z oczekiwaniami
- Odzyskanie kontroli - użytkownicy potrzebują jasnych ścieżek działania, gdy coś zawiedzie
Wymiary te są zakorzenione w badaniach UX systemów rozproszonych i wpisują się w ugruntowane zasady informacji zwrotnej oraz widoczności stanu systemu w literaturze human-factors - w szczególności wymóg ciągłej widoczności stanu systemu i ścieżek naprawczych zidentyfikowanych w fundamentalnych frameworkach użyteczności. To nie są kwestie projektowania interfejsu - to kwestie zachowania systemu, kształtowane przez architekturę.
Te wymiary mają znaczenie, ponieważ użytkownicy wchodzą w interakcję z systemami połączonymi przez wiele warstw jednocześnie: fizyczne elementy sterowania, aplikacje mobilne, usługi chmurowe, asystentów głosowych, harmonogramy i automatyzacje stron trzecich. Awarie często wynikają z interakcji między tymi warstwami, a nie z pojedynczego interfejsu.
Zmiana ustawień termostatu wywołana przez ukrytą automatyzację niszczy przewidywalność. Czujnik odłączający się bez powiadomienia zaburza widoczność stanu. Inteligentny zamek działający lokalnie, ale zawodzący zdalnie, podważa zaufanie. W każdym przypadku awaria ma charakter architektoniczny, zanim stanie się problemem w doświadczeniu użytkownika - dlatego widoczność stanu i ścieżki powrotu do normalnego działania muszą być zaprojektowane odgórnie, nie odkrywane podczas testów z użytkownikami.
Architektoniczne źródła tych problemów mają bezpośrednie przełożenie na koszty: każda decyzja, która pozostaje ukryta zbyt długo, materializuje się jako droga rewizja sprzętowa lub certyfikacyjna.
Kiedy decyzje kumulują koszty
Rewizja PCB to jeden z najbardziej dotkliwych przejawów tej logiki kosztów. Wymaga dodatkowych prac inżynieryjnych, ponownych testów, nowego oprzyrządowania, generuje opóźnienia w dostawach i przesuwa harmonogram premiery. Jedno późne przeprojektowanie układu RF może pochłonąć tygodnie pracy inżynierów i opóźnić certyfikację o długie miesiące.
Ta sama logika - że decyzje podjęte późno kosztują wielokrotnie więcej - dotyczy bezpieczeństwa i certyfikacji. Dokument NIST IR 8259 (Foundational Cybersecurity Activities for IoT Product Manufacturers) kładzie nacisk na myślenie w kategoriach pełnego cyklu życia produktu: utrzymania, wsparcia i planowania wycofania. Choć ma charakter rekomendacyjny, jego logika jest tożsama z wymogami rozporządzenia o cyberodporności (CRA): żadnej z tych kwestii nie można odłożyć na koniec. Właśnie dlatego kwestia zgodności EMC musi być uwzględniana wcześniej - przez projekt obudowy, strategię antenową, ekranowanie oraz wstępne testy precertyfikacyjne.
Wi-Fi 6E (IEEE 802.11ax) i Wi-Fi 7 (IEEE 802.11be) - w tym obsługa MLO (Multi-Link Operation - jednoczesna praca w wielu pasmach) wprowadzona przez Wi-Fi 7 - prywatne sieci 5G i lepszy zasięg LTE-M redukują część tarć wdrożeniowych, ale podnoszą oczekiwania co do niezawodności i opóźnień. Decyzja o obsłudze MLO musi zapaść zanim zostanie zaprojektowany układ anteny, płytka PCB i budżet energetyczny - na długo przed pierwszą linijką kodu aplikacji. Zespoły, które przyswoiły sobie równoległe, świadome ograniczeń projektowanie, lepiej radzą sobie z tym przyspieszeniem niż te, które wciąż pracują sekwencyjnie.
Projektowanie równoległe to odpowiedź strukturalna
Wydłużony czas wejścia na rynek urządzeń IoT odzwierciedla nie tyle złożoność techniczną, co rozbieżności organizacyjne - niezdolność do wczesnego ujawnienia sprzężonych decyzji projektowych, zanim stanie się za późno, by na nie zareagować.
Wyzwaniem często nie jest brak metodologii, lecz moment, w którym te decyzje stają się widoczne dla wszystkich zaangażowanych zespołów. Kiedy inżynierowie RF, projektanci industrial design, specjaliści ds. firmware i specjaliści ds. zgodności pracują we własnych harmonogramach, ograniczenia pozostają ukryte - aż do momentu, gdy ich usunięcie jest już kosztowne.
Projektowanie równoległe nie eliminuje tych ograniczeń. Sprawia, że ujawniają się wtedy, gdy reakcja jest jeszcze możliwa. W praktyce oznacza to, że rozmieszczenie anten, geometria obudowy i układ PCB są rozpatrywane łącznie, inżynierowie ds. zgodności uczestniczą w decyzjach architektonicznych od początku, a zespoły firmware rozumieją ograniczenia OTA i pamięci zanim zapadną decyzje sprzętowe. Wymaga to konkretnych mechanizmów: wspólnych przeglądów ograniczeń (constraint reviews) na etapie koncepcji, rejestru sprzężeń aktualizowanego przez wszystkie zespoły oraz zdefiniowanych punktów decyzyjnych, po których zmiana danego parametru wymaga formalnej oceny wpływu.
To właśnie ta spójność - bardziej niż jakiekolwiek pojedyncze narzędzie czy proces - decyduje o tym, czy sprzężone ograniczenia ujawnią się wcześnie, czy zbyt późno.
Projektowanie produktów IoT: Dlaczego tak trudno o sukces urządzeń połączonych
się
Umów się na spotkanie zapoznawcze. Opowiesz nam ogólnie o projekcie a my o naszych możliwościach i dopiero wtedy zdecydujesz czy chcesz podpisać NDA!
spotkanie



