LLM- und Agentenfunktionen im Leitstand: Governance zuerst, dann Komfort

Sprachmodelle und Agenten können Wartungs- und Diagnosearbeit beschleunigen. In sicherheitskritischen Umgebungen sind jedoch folgende UI-Elemente Pflicht:

  • Beobachtbarkeit der Agenten: Der Agentenstatus (Idle, Plan, Execute, Wait for Approval, Error) ist klar sichtbar. Jede geplante Aktion enthält Input-Quellen, Tool-Aufrufe und erwartete Side-Effects.
  • Redline-Politik im UI: Aktionen, die nie autonom ausgeführt werden dürfen (Redlines), sind global konfiguriert und sichtbar. Der Agent kann sie vorschlagen, aber nie vollziehen.
  • Prompt-/Kontext-Transparenz: Auf Anfrage zeigt das System die Eingabekontexte (z. B. Logs, Sensorfenster) an, die zur Antwort geführt haben, inklusive Versionsständen von Tools und Modellen.
  • Audit und Reproduzierbarkeit: Jede Interaktion ist reproduzierbar speicherbar (Inputs, Model-Version, Tool-Versionen, Antworten). Ohne diese Schicht ist Vertrauen in Agenten in der Industrie illusorisch.

Visuelle Gestaltung unter Umweltbelastungen

Design unter Handschuhen, Staub, Ölfilm und Sonnenlicht funktioniert anders als im Büro:

  • Touch-Ziele groß und tolerant: Bedienzonen mindestens im Zentimeterbereich, mit großzügigen Abständen und klaren Fokuszuständen. Touch-Feedback muss haptisch-visuell redundant sein (z. B. kurzer Vibrationsmotor, wenn vorhanden).
  • Kontrast und Blendfreiheit: Hoher Kontrast, matte Themes für Sonnenlicht, aber kontrollierte Luminanzspitzen für Nachtschichten. Kritische Farben unterstützen wir immer durch Form, Icon und Position.
  • Farbgebrauch robust gegen Farbfehlsichtigkeit: Keine reine Rot/Grün-Codierung. Alternierende Muster, Symbole und Text-Hints helfen zusätzlich.
  • Gesten sparsam: Komplexe Mehrfinger-Gesten sind mit Handschuhen unzuverlässig. Primär Tippen, Halten, klar definierte Wischrichtungen mit breiter Toleranz.
  • Audio als Zusatz, nicht als Primärkanal: Laute Umgebungen, Gehörschutz und Maschinenlärm limitieren Nutzen. Wenn Audio: kurze, differenzierbare Töne, keine Sprachabhängigkeit für Kritisches.

Rollenbasierte Dashboards: Jetzt, gleich, später

Ein gutes Dashboard trennt kognitive Horizonte:

  • Operator-Ansicht (0–30 s): Aktueller Zustand, Abweichungen, Notschalter. Maximal wenige Kennzahlen, große Interaktionsflächen. Unschärfe wird reduziert, nicht kaschiert.
  • Supervisor-Ansicht (30 s–5 min): Trends, Störungsentwicklung, Ressourcenstatus, Personal-/Wartungskonflikte. Handlungsoptionen für Umplanung statt Nur-Ansicht.
  • Engineering-Ansicht (5 min–24 h+): Ursachenanalyse, Korrelationen, Modell-Drift-Anzeichen, Datenqualitätsmetriken. Weniger visuelle Lautstärke, mehr Werkzeuge.

Diese Trennung beeinflusst auch Datenpipelines: Wir halten separate Datenpfade und Aggregationsebenen bereit, damit Operator-Ansichten auch bei hoher Last priorisiert versorgt werden.

Computer Vision im UI: Von Bounding Box zur Entscheidung

Bei visuellen Inspektionssystemen sind typische UI-Bausteine:

  • Overlay-Kanäle: Fehlerregionen als Overlays mit Confidence-Stufen. Einblendung on-demand, Default bleibt ruhig.
  • Referenzvergleiche: Ein-Klick-Vergleich gegen Golden Samples oder zuletzt akzeptierte Gutteile.
  • Serien- und Stück-Drilldown: Von Linienmetriken (Ausschussrate) zum Einzelteil mit Frame-Sequenz, inklusive Prozesskontext (z. B. Temperatur, Vibration zum Zeitpunkt).
  • Operator-Feedback: „Falschpositiv/Falschnegativ“-Knöpfe mit minimalem Reibungsaufwand. Dieses Feedback landet nachvollziehbar in einem Trainings-/Review-Puffer, nicht direkt im Produktionsmodell.

Sicherheitsargumentation: UI als Bestandteil der Safety Case

In sicherheitskritischen Anwendungen ist das UI Teil des Sicherheitsnachweises:

  • Hazard-Analyse verankern: Für jede UI-Funktion definieren wir Fehlbedienungs-Risiken, Erkennungsmechanismen und Mitigations.
  • Fehlerzustände gestaltbar machen: „Safe by default“-UI-States bei Verlust kritischer Daten (z. B. Sensor-Ausfall).
  • End-to-End-Nachvollziehbarkeit: Von Rohsensor über Feature bis zur Entscheidung. Das UI zeigt auf Wunsch den Pfad in menschenlesbarer Form.
  • Training und Simulation: Das gleiche UI unterstützt simulative Szenarien und Replays, damit Bediener seltene Ereignisse üben können.

Sicherheit und Rechte: Zero-Trust im lokalen Netzwerk

  • Minimale Standardrechte: Operator sieht und bedient nur, was in seiner Zelle notwendig ist. Eskalationspfade sind im UI verkürzt, aber kontrolliert.
  • Lokale Caches für Identitäten: Temporäre Offline-Authentifizierung mit Ablauf und lückenloser Nachführung, sobald die Verbindung steht.
  • Manipulationssichere Logs: Signierte Ereignisprotokolle, lokal gesichert und paketierbar für Audits.

Deployment- und Performance-Engineering für UX

Das beste UI ist nutzlos, wenn die Pipeline nicht hält:

  • Latenzbudgets definieren: Für Interaktion, Rendern, Datenbereitstellung pro Pfad. Diese Budgets steuern Architekturentscheidungen (Edge-Verarbeitung, GPU-Zuteilung, Caching).
  • Containerisierte HMIs: Frontends und Backends als getrennte Services mit Ressourcengrenzen, um UI vor fremder Last zu schützen.
  • Grafikpfad bewusst wählen: Hardwarebeschleunigung wo verfügbar, Fallbacks definiert. In Headless-Setups vorab testen.
  • Feature-Flags und canary: Neue UI-/Modellfunktionen schrittweise aktivieren, mit klarer Rückabwicklung im Feld.
  • Testbarkeit: Deterministische Replays für UI-Tests, synthetic time in den Clients, Property-based Tests für Zustandsautomaten.

Accessibility in rauer Umgebung

  • Handschuhe berücksichtigen: Mindestflächen, taktile Orientierung (wo möglich), keine feinen Sliders als Primärsteuerung.
  • Mehrsprachigkeit: Umschaltbar ohne Neustart, Begriffe domänenspezifisch konsistent, Abkürzungen erklärt.
  • Schichtübergabe: Integriertes Handover-Log mit strukturierten Notizen verknüpft zu Alarms/Events.
  • Blend- und Nachtbetrieb: Anzeigemodi mit definierter Luminanzobergrenze, die Nachtsicht respektiert; Modalwechsel sicher und schnell.

Konkrete UX-Bausteine (Pattern-Library)

  • Confidence-aware Action Button: Ein Button, dessen Aktivierungspfad (Tippen, Halten, Doppeltippen) dynamisch von Risiko und KI-Vertrauen abhängt. Sichtbar ist stets, warum eine Stufe nötig ist.
  • Alarm Combiner: Eine Komponente, die Kaskadenalarme gruppiert, Root Cause hervorhebt und Drilldown anbietet. Rate-Limits sind erkennbar konfiguriert.
  • Agent Interrogation Panel: Statusansicht für LLM-/Workflow-Agenten mit Plan, anstehenden Aktionen, benötigten Freigaben, Redlines und Live-Logs. Ein-Klick-Stopp und gezieltes Pausieren.
  • Data Freshness Indicator: Per-Sektion-Anzeige der Datenaktualität inkl. Quelle und anliegendem Sync-Status. Bei Überschreitung von Frische-Grenzen werden abhängige Aktionen gesperrt.
  • Explain Toggle: Globale Umschaltung, die Erklärartefakte (Heatmaps, Feature-Weights, alternative Hypothesen) einblendet, ohne das Standardlayout zu überfrachten.

Warum Souveränität Intelligenz ermöglicht