3) Gegenfragen ermöglichen

  • „Warum nicht X?“ zeigt, welche Policy oder welche Evidenz gegen X spricht.

  • „Was brauchst du, um sicherer zu sein?“ benennt fehlende Signale oder Kalibrierungen.

4) Human-in-the-Loop als Standard

  • Für Aktuatorik gilt: KI darf vorbereiten, der Mensch löst aus. Automatisierte Sequenzen sind nur innerhalb vorab definierter, eng begrenzter Policies aktivierbar.

5) Traceability by Design

  • Jede Interaktion speichert: Datenausschnitt, Modellversion, Prompt/Parameter (bei LLMs), Policy-Entscheidung, Benutzer und Ausgang. Reproduzierbarkeit ist ein UI-Feature, kein Backend-Detail.

  • UI zeigt für jeden Beschluss eine „Entscheidungskarte“: Wer, was, wann, warum, womit.

6) Degradation statt Totalausfall

  • Bei Modelldrift oder fehlenden Ressourcen fällt die UI auf heuristische Regeln zurück und markiert dies deutlich („Heuristik aktiv, keine KI-Überprüfung“).

  • Features, die nicht zuverlässig sind, verschwinden nicht – sie werden als temporär unbestimmt markiert.

Konkretes Beispiel 1: Visuelle Inspektion an der Linie

  • UI zeigt Live-Feed, Overlays der gefundenen Defekte mit Segmenten und Labels. Neben jedem Overlay: Regelhinweise, z. B. „Kratzerlänge > 3 mm“.
  • Bediener kann „Gut/Schlecht“ überstimmen. Bei Overrule fragt die UI nach Grundkategorien (Beleuchtung/Reflexion/Modellfehler/Edge-Case) und speichert Bild + Metadaten in einen Quarantäne-Datensatz.
  • Kein Online-Lernen im Produktionssystem. Das UI zeigt, wie viele Overrules in den letzten 24 h aufgetreten sind und ob ein Modell-Update ansteht. Aktualisierungen passieren in Wartungsfenstern, versioniert und reversibel.

Konkretes Beispiel 2: LLM-Agent für Schichtübergaben

  • Agent extrahiert aus Logs, Alarmen und Tickets die wichtigsten Ereignisse und schlägt einen Übergabetext vor. Die UI zeigt jeden Satz mit „Provenienz-Chips“ (z. B. Log-Zeitraum, Alarmliste).
  • Der Schichtleiter editiert, streicht, ergänzt. Nichts wird automatisch veröffentlicht. Das Ergebnis ist versioniert, inkl. der Roh-Extraktionen und des finalen Textes.
  • Keine externe Cloud-Nutzung: LLM läuft on-prem, Prompts/Templates sind versioniert und auditiert. PII wird vor Inferenz maskiert, die Maskierungsregeln sind in der UI einsehbar.

Architektur und Deployment, die UX tragen

Frontend

  • Web-App mit TypeScript und einem UI-System, das ohne externe CDNs auskommt (lokale Assets, signierte Bundles).

  • Design Tokens für Farben/Abstände/Kontraste, um Gerätekonfigurationen (Leitwarte vs. Feldtablet) umschaltbar zu machen.

  • Caching gezielt: Service Worker nur, wenn Updates deterministisch gesteuert werden (z. B. „Stage-then-Switch“ während Wartungsfenstern). Ansonsten explizite Cache-Buster und Versionsbanner.

  • Rendering-Pipeline mit Prioritäten: Alarme und Stale-Indikatoren haben Vorrang vor Trend-Neuzeichnung. Vermeiden Sie, dass das UI-thread-blockierende Charts kritische Indikatoren verzögern.

State und Daten

  • Ereignisgetriebene Architektur: UI konsumiert einen priorisierten Alarmkanal und getrennte Datenkanäle für Telemetrie und Metadaten.

  • Zeit ist normalisiert und synchronisiert (NTP/PTP-Strategie), Uhrenabweichungen werden gemessen und angezeigt.

  • Timeseries lokal, mit Read-optimierten Views für die häufigsten Dashboards. Kein Live-JOIN über 20 Quellen im Erst-View.

Backend und OT-Bridge

  • OT/IT-Entkopplung: Edge-Gateways konsolidieren Protokolle, säubern Daten und setzen Qualitätsflags (valid, interpoliert, stale).

  • Backpressure-fähige Streams: Wenn die UI nicht nachkommt, priorisieren Sie jüngere Daten und zeigen einen „Gap“-Marker; niemals stillschweigend droppen ohne Hinweis.

Sicherheit und Rechte

  • RBAC integriert in lokale Verzeichnisdienste. UI zeigt die aktuelle Rolle und erklärt, warum Aktionen gesperrt sind.

  • Just-in-Time-Eskalation: Temporäre Freigabe durch Vorgesetzte mit digitaler Signatur. UI führt durch den Prozess, speichert den Audit.

Observability der UX

  • Messen Sie nicht nur Backend-Latenzen, sondern die „Glance-Time“ bis zur ersten sinnvollen Anzeige und die „Action-Time“ bis zur bestätigten Steuerung.

  • UI-Telemetrie on-prem, anonymisiert und ohne externen Abfluss. Fehler werden mit UI-Zustand und Datenfrische korreliert.

Release-Strategie

  • Blue-Green- oder Canary-Updates innerhalb des Werknetzes, aber ohne experimentelle A/B für sicherheitskritische Flows.

  • Rollbacks sind ein UI-Schalter mit klarer Versionsanzeige. Nutzer sehen, welche Version aktiv ist und was sich ändert.

Edge-Inferenz

  • Planen Sie Latenzbudgets: z. B. 100–200 ms für Overlay-Rendering, 500–800 ms für CV-Inferenz auf Edge-GPU, mit sichtbarer „Letzte Inferenz: 420 ms“.

  • Wenn das Budget reißt, priorisiert die UI die letzte stabile Anzeige mit Frischeindikator statt eines Spinners.

Accessibility in rauen Umgebungen

  • Touch-Zielgrößen: mindestens 12 mm Kantenlänge, mit Handschuhen eher 18–20 mm. Zwischenräume großzügig, keine dicht gepackten Mikro-Buttons.
  • Gesten: Keine versteckten Zwei-/Drei-Finger-Gesten. Primary-Aktionen sind große, klar beschriftete Tasten; kritische Aktionen mit „Hold-to-Confirm“.
  • Kontrast und Sonnenlicht: Hohe Kontraste, reduzierte feine Linien. Testen Sie auf den realen Displays. Spiegelnde Flächen vermeiden; Indikatoren nicht nur farblich unterscheiden, sondern auch per Form/Muster.
  • Farbwahl: Keine reine Rot/Grün-Unterscheidung. Doppeltes Encoding (Farbe + Icon + Text). Blinkende Elemente nur sehr sparsam und nie bei Dauerzuständen.
  • Sprache und Einheiten: Einheitliche Fachterminologie, Mehrsprachigkeit bei Bedarf. 24-Stunden-Zeit, konsistente Dezimaltrennzeichen, keine Lokalisierungsüberraschungen.
  • Kognitive Last: Icons immer mit Labels. Tooltips sind kein Primärträger von Information. Keine Hover-Only-Interaktionen.
  • Audio/Haptik: In lauten Umgebungen nicht auf Ton verlassen. Wenn Geräte haptisches Feedback haben, nur als sekundäre Verstärkung nutzen.

Testen wie in der Realität – nicht im Konfi-Raum

  • Latenz- und Paketverlust-Tests: Simulieren Sie 1–5 % Paketverlust, Jitter, und prüfen Sie, ob kritische Indikatoren stabil bleiben.
  • Dark-Start: Wie schnell bekommt der Operator nach Kaltstart eine verlässliche Erstansicht? Keine Login-Wand; unterstützen Sie Badge/SSO im Kiosk, wenn sicher machbar.
  • Szenarien statt Klickwege: „Lagerdruck steigt schnell + Kamera fällt aus + vorgeschlagene Drosselung kollidiert mit Wartungsmode“. Testen Sie Ad-hoc-Entscheidungen.
  • Handschuhtests: Prototypen mit echten Handschuhen, echten Displays, echter Beleuchtung. Beobachten, welche Ziele verfehlt werden.
  • Safety-Reviews: Führen Sie Interaktions-FMEAs durch. Welche Fehlbedienung ist möglich? Was ist die Detektions- und Abmilderungsstrategie im UI?
  • Datenschutz-Drills: Prüfen Sie, dass Screenshots keine PII offenlegen oder dass mindestens Wasserzeichen und Export-Policies greifen.

Anti-Pattern und Korrekturen