誤解:「接手需要懂命令列」
在上一篇文章,我們描述了 xGrid 的 Hub-Spoke 設計。其中最強大的能力是任何 Spoke 都能接手成為新的 Hub——帶走、接電、就地接手。
很多人讀完後的直覺反應是:「所以我需要一台筆電、會打命令列才能操作?」
不需要。
在災難現場,執行接手的人很可能不是工程師,而是護理師、EMT、或指揮官。他們手上有的是平板,不是筆電。
所以 xGrid 的接手不是「一個給工程師的指令」。它是一套分層存取的設計。
三層存取:複雜度由使用者決定
同一個「接手」能力,提供三種深度的入口:
- 最底層,給工程師與系統管理員:精細控制與診斷。
- 中間層,給進階操作員:可程式化地觸發。
- 最上層,給任何人:在畫面上按一個按鈕。
每一層都有自己的防護——誤觸要再確認、避免重複點擊、若狀態不對就拒絕、逾時保護、而且整個動作是「整體成功或整體回到原狀」,不會卡在半成品。
三層的意義是:操作的複雜度由使用者決定,不是由系統強制。 工程師可以做精細控制;護理師只需要按一個按鈕。同一個能力,三種人都能用,各取所需。
從零到接手:掃碼即用
每台機器旁邊都貼著一張護貝的連線卡。卡片上有兩個 QR Code:一個掃了連上這台機器的無線網路,一個掃了打開系統。不需要手動輸入網路名稱和密碼,也不需要記任何網址。
平時,平板就這樣連著最近的機器運作。當 Hub 真的斷線,畫面頂端會自動跳出紅色提示:「Hub 離線,要接手嗎?」
操作員按下「升級為 Hub」,跳出確認對話框,確認後畫面顯示「正在接手,請稍候……」。片刻之後頁面刷新,這台就成為新的 Hub,帶著原本不久前的所有病患資料。
全程不需要命令列。不需要筆電。不需要記任何指令。自動偵測,不是手動操作
注意這個設計選擇:不是在選單裡藏一個「升級」按鈕讓使用者自己去找。 而是在 Hub 真的斷線時,提示自動跳出來問你。
這是刻意的。
接手不是日常操作,是緊急操作。你不希望有人在好奇心驅使下按了按鈕——那會讓系統突然多出一個 Hub(split-brain)。所以按鈕只在需要的時候出現:Hub 確實離線、你確實是一個能接手的節點。
而且,就算真的有人誤觸,系統也會自我修正——較舊的那個 Hub 重新連上網路時會自動讓位。
設計不是讓錯誤不可能發生,而是讓錯誤發生後能自動修正。底層存取是後備,不是主路徑
最上層的一鍵介面覆蓋了絕大多數場景。少數情況工程師仍然需要底層存取——本機測試、預演、把一台 Hub 降回 Spoke、或在失敗時查看原因。
但那是後備,不是主要路徑。就像飛機有手動駕駛模式——你希望它永遠不需要用到,但它必須在那裡。
平板能做底層操作嗎?能,但你不需要
平板當然也能裝底層工具。但重點是:你不需要。
分層存取的存在,就是為了讓底層變成選項,而不是必要條件。在災難現場,你不會要求護理師去安裝什麼工具。你給她一張卡片:掃一下連網、掃一下開系統、需要接手時按一個按鈕。
這是整個設計的核心理念:把系統管理員的能力,包裝成任何人都能操作的介面。
延伸閱讀:拔線即走 — 為斷線而生的 Hub-Spoke 設計 · 「離線優先」不是「離線堪用」 · 拔線測試 — 你的系統敢斷網運作嗎?