Operator Governance
Scope, Eskalationskette, Emergency Freeze und Gate Override — das vollständige HITL-Operator-Governance-Modell.
1. HITL Operator — Rolle und Zweck1. HITL Operator — Role and Purpose
Der HITL Operator (Human-in-the-Loop Operator) ist die Brücke zwischen automatisierten Prozessen und menschlicher Aufsicht. Er interveniert dort, wo Gating, Sicherheitskontrollen oder Eskalation ein menschliches Urteil erfordern.
KernprinzipCore Principle
Der Operator interveniert — er hat keinen privilegierten Dauerzugriff. Jede Operator-Aktion muss als Transaction geloggt werden. Der Operator ist ein Actor, der innerhalb des normalen Governance-Rahmens agiert.
Der aktuell betreibende Tenant wird zudem maschinenlesbar im Space gehalten. Manual-Header und andere
Operator-Kontextanzeigen lesen diesen Zustand ueber specs/root/SPACE-OPERATOR-CONFIG.yaml und den daraus
synchronisierten public/data/workspace-state.js.
2. Scope-Schichten (P-OPS-001)2. Scope Layers (P-OPS-001)
Der Operator agiert in drei distinkten Scope-Zonen:
| Zone | SchichtenLayers | BedeutungMeaning |
|---|---|---|
| PRIMARY (volle Operator-Kontrolle) |
guardrails, runtime, operations, transaction, integration | Operator kann Gates setzen, Prozesse anhalten, Entscheidungen treffen. Direkte Intervention erlaubt. |
| READ-ONLY (nur beobachten) |
architecture, projection, learning, publishing, migration | Operator kann lesen und eskalieren, aber nicht direkt eingreifen. Änderungen erfordern Spec-Prozess. |
| UPSTREAM SPEC ONLY (kein direkter Zugriff) |
Alles außerhalb der obigen Kategorien | Operator hat keinen Operator-Zugriff. Änderungen nur über formellen Spec-Prozess mit vollständig definierten Artefakten. |
Wird eine Operator-Aktion außerhalb von PRIMARY ausgeführt, ohne Eskalation → Violation (P-OPS-001).
3. Eskalationskette (P-OPS-002)3. Escalation Chain (P-OPS-002)
Drei Eskalationsstufen, streng geordnet. Überspringen = Violation:
Responsible Owner
Gate blockiert. Automatisierter Prozess kann nicht fortschreiten ohne menschliche Freigabe.
Gleicher Werktag. Responsible Owner antwortet mit Gate-Entscheidung oder eskaliert selbst zu L2.
Space Lead
Responsible Owner nicht erreichbar ODER Owner konnte nicht entscheiden (z.B. Interessenskonflikt).
Ende nächsten Werktags. Eskalation muss als Escalation-TX geloggt werden (Actor ID + Timestamp + Grund).
Emergency Freeze
Space Lead nicht erreichbar ODER unmittelbares Sicherheitsrisiko (keine Zeit für L1/L2).
Alle Automatisierungen sofort einfrieren. Kein LLM-Aufruf erforderlich. Jeder aktive HITL Operator kann dies einleiten.
Eskalations-TX FormatEscalation TX Format
escalation_tx:
actor_id: <operator_id>
timestamp: <ISO-8601>
from_level: 1
to_level: 2
reason: "Owner unreachable after 4h business hours"
gate_ref: <gate_id>
prior_actions: [<action_tx_id_1>, ...]4. Emergency Freeze (P-OPS-003)4. Emergency Freeze (P-OPS-003)
⚠ Emergency Freeze — sofortige Vollbremsung
- Wird von jedem aktiven HITL Operator ausgelöst (kein LLM-Aufruf nötig)
- Hält alle Automatisierungen des Scope sofort an
- Gilt bis zur expliziten Aufhebung durch:
human_ownerODERspace_lead - Keine Self-Service-Aufhebung — Operator der eingefroren hat, kann nicht selbst aufheben
Pflichtfelder für Freeze-TXRequired Fields for Freeze TX
| FeldField | TypType | BeschreibungDescription |
|---|---|---|
actor_id | string | ID des auslösenden HITL Operators |
timestamp | ISO-8601 | Zeitpunkt des Freeze-Auslösens |
scope | list | Betroffene Schichten / Prozesse |
reason | string | Klarer, verifizierbarer Grund. Kein Freitext ohne Ursache. |
escalation_trail | list | Vorherige Eskalations-TXs (falls vorhanden) |
lift_authority | enum | Nur: human_owner | space_lead |
Lift-ProzedurLift Procedure
- Lift-Autorität (Owner oder Space Lead) loggt Lift-TX mit eigenem Actor ID + Review-Zusammenfassung
- Freeze-Grund wurde adressiert (oder als False-Positive klassifiziert)
- Betroffene Automatisierungen werden explizit neu gestartet (kein Auto-Resume)
- Follow-up Review-Meeting within 2 Werktage
5. Gate Override (P-OPS-004)5. Gate Override (P-OPS-004)
In extremen Ausnahmesituationen kann ein HITL Operator ein Review Gate manuell übersteuern. Dies ist das letzte Mittel — nicht ein normales Verfahren.
Bedingungen: alle 3 müssen erfüllt sein
- Automatisierter Gate-Check ist fehlgeschlagen im No-AI-Mode (nicht wegen inhaltlicher Ablehnung)
- Vollständige Eskalationskette wurde ausgeschöpft (L1 → L2 dokumentiert)
- Aktion ist zeitkritisch und Verzögerung verursacht messbar größeren Schaden
VERBOTEN bei Gate OverrideFORBIDDEN during Gate Override
Override-TX-PflichtfelderOverride TX Required Fields
gate_override_tx:
actor_id: <operator_id> # NICHT der Gate-Auslöser
timestamp: <ISO-8601>
gate_ref: <gate_id> # Welcher Gate übersteuert wird
override_reason: "..." # Präzise Begründung
escalation_evidence:
- <l1_tx_id>
- <l2_tx_id>
time_criticality_evidence: "..." # Messbarer Schaden durch Verzögerung
follow_up_review_committed_by: <ISO-date>
review_assignee: <actor_id>Nachverfolgungs-PflichtMandatory Follow-up
Jedes Override erfordert ein formelles Review-Meeting innerhalb von 5 Werktagen. Ergebnisse werden als Governance-Lektionen in die Spec rückgespielt. Drei Override-Incidents ohne Spec-Update = Eskalation zu Space Lead automatisch.
6. No-AI-Vollständigkeit (P-OPS-005)6. No-AI Completeness (P-OPS-005)
Alle Operator-Governance-Prozesse sind so gestaltet, dass ein erfahrener Operator ohne LLM-Unterstützung alle kritischen Entscheidungen ausführen kann.
| ProzessProcess | LLM-optional? | Human-only Fallback |
|---|---|---|
| Gate-Entscheidung | Ja | Operator liest Review-Artefakt direkt, entscheidet auf Basis von Checklist |
| Emergency Freeze | Ja | Operator führt Freeze-TX manuell aus (Vorlage in HITL Manual) |
| Eskalation L1→L2 | Ja | Operator loggt Escalation-TX manuell |
| Gate Override | Ja | Override-TX manuell, Review-Commitment schriftlich |
| Lift Emergency Freeze | Ja | Lift-TX manuell, kein automatischer Prozess |