最近の検索
検索オプション
たとえば、人が近付くとアームを引っ込める処理があるとします。
でもアームを引っ込める処理をしたのにセンサはアームがどんどん飛び出していることを報告するかもしれない。
それでもまだ「異常事態には人に危害が及ばないようアームを引っ込めるべきだ!」といえますかね
ここでの異常とは「アームを引っ込める処理をしたのに反対の挙動になっている」というある種の論理バグの可能性が十分にあり、このとき開発者が考えるべきなのは「致命的におかしいアーム制御で、それでもどうにかアームを引っ込めてみせよう」ではなく、「これ以上動かして人やモノにぶつけると被害が大きくなるから、即座にアームを動かすのをやめよう」じゃないですかね。
それが「不変条件が満たされないことに気付いたら即座に殺せ」の意図です
もちろんアームの制御を停止したとき新たに発生するリスク (アームが固まらずに垂れるとか) もあるだろうけど、それはハードウェアとか別レイヤーで対応すべきことで、断じて「狂ったソフトウェアを使いこなしてアームを動かし続けることを試みる」べき理由にはならない