UX für KI-gestützte Industrie-Systeme: Sicherheit durch Gestaltung, nicht durch Hype

Wenn Bediener im Leitstand, in der Instandhaltung oder am Prüfstand Entscheidungen unter Zeitdruck treffen, entscheidet die UI-Architektur darüber, ob ein Vorfall entschärft wird oder eskaliert. In der Industrie ist UX kein Conversion-Thema, sondern ein Sicherheitsthema. Dieser Beitrag beschreibt konkrete Design- und Architekturprinzipien für industrielle, KI-gestützte Systeme – mit Blick auf reale Randbedingungen: air-gapped Netzwerke, DSGVO, On-Premises-Betrieb, schwankende Latenzen, Handschuhe, Staub, Sonnenlicht, und die Notwendigkeit lückenloser Nachvollziehbarkeit.

Problem zuerst: Wofür muss die UI in der Industrie zuverlässig sein?

Drei typische Nutzungssituationen bestimmen die UX-Anforderungen:

1) Leitwarte/Control Room

  • Aufgabe: Störungen erkennen, Ursache eingrenzen, Eskalation koordinieren.

  • Zeitdruck: Sekunden bis wenige Minuten.

  • Datenlage: Alarmfluten, Trends, korrelierte Sensorik über viele Assets.

  • Risiko: Alarmmüdigkeit, falsche Priorisierung.

2) Prüfstand/Produktion (z. B. visuelle Inspektion, Prozessüberwachung)

  • Aufgabe: Gut/Schlecht-Entscheidungen, Parameterjustierung, Freigabe blockierter Schritte.

  • Zeitdruck: Subsekunden bis Sekunden.

  • Datenlage: Live-Videostreams, ML-Inferenz, Maschinensignale.

  • Risiko: Fehlklassifikationen, Abbruch guter Teile oder Durchwinken schlechter Teile.

3) Feldservice/Instandhaltung

  • Aufgabe: Diagnose, Eingriff, Dokumentation.

  • Zeitdruck: Minuten bis Stunden, aber unter Umgebungsstress.

  • Datenlage: Intermittente Konnektivität, lokales Logging, begrenzte Sichtbarkeit.

  • Risiko: Fehlkonfiguration, unnötige Stillstandzeiten.

Aus diesen Situationen folgen harte Gestaltungsgrenzen: UI muss Wichtiges sofort sichtbar machen, Ungewissheit explizit zeigen, Aktionen absichern, Offline-Szenarien robust überstehen und alle Schritte nachvollziehbar protokollieren.

Die technischen Constraints, die das UX-Design dominieren

  • Netzwerk und Deployment: Viele Anlagen laufen air-gapped oder in streng segmentierten Netzen. Kein externer CDN, keine Telemetrie in US-Clouds, Updates nur in Wartungsfenstern. Das UI muss offline-fähig sein und deterministisch aktualisiert werden.
  • Hardware: Panel-PCs, robuste Laptops, teils Fanless-Edge-Boxen; Bildschirme mit wechselnder Helligkeit (Sonnenlicht) und Handschuhbedienung. Touch-Zielgrößen und Kontraste müssen das reflektieren.
  • OT/IT-Integration: Daten kommen über OPC UA, Modbus, MQTT und werden in on-prem Timeseries-Stores abgelegt. Die UI darf sich nicht auf „Live ist immer live“ verlassen, sondern muss Datenalter und eventuelle Lücken sichtbar machen.
  • Sicherheit und Rechte: Rollenbasierte Steuerung, nachvollziehbare Freigaben, Just-in-Time-Eskalation. Jede sicherheitsrelevante Aktion braucht einen prüfbaren Kontext.
  • KI-Komponenten: CV-Modelle, Klassifikatoren, LLM-Agenten – in der Regel on-prem oder am Edge, mit klaren Latenzbudgets und ohne Datenabfluss. Empfehlungen müssen mit Evidenz verknüpft sein und von Menschen übersteuerbar bleiben.

Designmuster für industrielle Dashboards

1) Alarm-First-Design statt KPI-Wallpaper

  • Oberste UI-Schicht beantwortet drei Fragen: Was ist neu? Was ist kritisch? Wo muss ich handeln?

  • Gruppieren Sie Alarme nach Ursache/Kontext statt alphabetisch. Vermeiden Sie Blink-Feuerwerke; nutzen Sie klare Stufen und konsistente Farb-/Form-Codierung.

  • Bieten Sie „Shelving“ mit Begründung, feste Cooldowns und automatische Reaktivierung. Die UI erzwingt, dass Wegdrücken kein Löschen ist.

2) Progressive Offenlegung statt Informationsflut

  • Erstansicht: Zustand, Drift, Top-Risiken. Zweite Ebene: Korrelationen und Hypothesen. Dritte Ebene: Rohdaten, Log-Auszüge, Zeitreihen.

  • Jeder Schritt tiefer muss ein Sprung ins Relevante sein: vordefinierte Sichten für Anlagen, Linien, Assets; keine generische „Alle-Sensoren“-Liste.

3) Zeit ist der Kontext

  • Jeder Chart zeigt sein Zeitfenster explizit. Verknüpfen Sie Crosshair-Cursor über Panels, sodass ein Zeitpunkt überall synchron sichtbar wird.

  • Markieren Sie Ereignisse und Bedieneraktionen als Event-Linien (z. B. „Ventil X geöffnet“, „Modell aktualisiert“). So lassen sich Ursache-Wirkung abgleichen.

  • Zeigen Sie Datenfrische: „Letztes Signal vor 2 s“ vs. „Stale seit 45 s“. Ein grauer „Stale“-Status ist kein Grün.

4) Einheitensicherheit und Range Awareness

  • Anzeigen sind einheitenbewusst: „bar“, „°C“, „mm/s“, nie nur „12,5“.

  • Gültige Bereiche werden visuell hinterlegt. Eingaben validieren Sie gegen physikalische und prozessuale Grenzen; außerhalb nur mit Begründung und Zweitfreigabe.

5) Ungewissheit ehrlich zeigen

  • Fehlerbalken, Vertrauensbereiche, OOD-Hinweise (Out-of-Distribution) sind sichtbarer als eine einstellige „Confidence %“.

  • Statt „87 % sicher defekt“: „4/5 Regeln verletzt; Segment A: ungewöhnliche Textur; Abgleich gegen 12 ähnliche Fälle in den letzten 24 h“. Das fördert korrektes Vertrauen.

6) Befehle sind sicherheitskritisch

  • Doppelschritt-Bestätigung mit Kontext: Was/wo/aktueller Zustand/erwarteter Effekt. Keine generischen „Sind Sie sicher?“-Dialoge.

  • Halten-zum-Ausführen bei Stopps, Sperre bei schwebenden Zuständen, Rate-Limits und Sperrzeiten. Die UI blockiert, wenn Interlocks fehlen, und erklärt warum.

7) Modus-Transparenz

  • Automatik/Manuell ist permanent sichtbar. Aktionen, die im Automatikmodus wirkungslos wären, sind deaktiviert und mit Begründung versehen.

  • Jede Modusänderung erzeugt ein Ereignis mit Benutzer, Ort, Grund.

8) Offline-first anstatt „Ladespinner“

  • Datenpuffer lokal, Kommandos werden gequeued mit Ablaufzeit und sichtbarer „ausstehend“-Markierung pro Asset.

  • Bei Reconnect: klare Konfliktstrategie (neueste gewinnt? Domänenspezifische Merge-Regeln?). Keine stillen Überschreibungen.

9) Alarmfluten zähmen

  • Kaskadierte Alarme werden zusammengefasst und mit einer vermuteten Root-Cause verknüpft. Der Operator arbeitet an Ursachen, nicht an Symptom-Listen.

  • Dynamische Unterdrückung: Wenn Asset A in Wartung, unterdrücke abgeleitete Folgealarme – aber logge die Unterdrückung und begründe sie.

UX für KI-gestützte Entscheidungsfindung

Ein KI-System ohne UX-Governance erzeugt nur mehr Unsicherheit. Für industrielle Einsätze bewähren sich folgende UI-Pattern:

1) Evidenz-Panel neben der Empfehlung

  • Jedes KI-Ergebnis verlinkt die Belege: Datenfenster, Bildausschnitte, Top-Features, Prozesszustände zum Zeitpunkt der Inferenz.

  • Zeigen Sie auch, was die KI nicht gesehen hat (Abdeckung). „Keine Vibrationen verfügbar zwischen 02:10–02:25“ ist entscheidend für die Einordnung.

2) Empfehlungen in Aktionskacheln, nie als Freitext

  • Statt „Verringern Sie Vorschub“: „Vorschub −5 % auf 320 mm/min (Grenzen 250–380), Gültigkeit 15 min“. Der Anwender versteht Rahmen und kann abwägen.

  • Aktionen sind rollengebunden. Die UI erlaubt „Vorschlag akzeptieren“, „modifiziert akzeptieren“ oder „ablehnen mit Grund“.