12-EFT.WP.Methods.Repro v1.0 | 第11章 故障注入与回退策略

目录 ／ 文档-技术白皮书 ／ 12-EFT.WP.Methods.Repro v1.0

第11章 故障注入与回退策略

I. 范围与目标

• 设计、实施与审计故障注入（简称 FI）以验证系统在复现目标下的韧性、可观测性与回退能力；保证任一注入均在隔离域中执行，不破坏 EnvLock、PipelineCard、ParamCard 与基线产物的可取证性。
• 目标：在满足 ts = alpha + beta * tau_mono、seed、EnvLock 固定的条件下，验证注入前后复现门 gate.rep、谱向门与运行期 SLO 不被非预期突破；若突破，则触发自动回退与补偿事务，并生成可验证的审计轨。

II. 术语与符号

• FI：故障注入单元；FI.plan 为注入计划；FI.ticket 为一次注入的签名工单。
• rollback：回退过程；compensation：补偿事务。
• safe window：注入安全窗；由 TS.*、hb、bp、makespan、critical path 与复现指标联合定义。
• z_risk：注入风险综合指标；gate.rep、tau_tb、tau_psd、eps_mass、eps_norm 为通过门与守恒门限。
• 异常枚举沿用并扩展：E_ENV_DRIFT，E_DATA_MISMATCH，E_TIMEBASE_SKEW，E_NONDETERMINISM，E_SEED_INVALID，E_SCHEMA_MISMATCH，E_HB_LOSS，E_BP_OVERFLOW，E_DEADLINE_EXCEEDED，E_RESOURCE_EXHAUST。
• 冲突名强制：T_fil 仅指张力；T_trans 仅指透射系数；n 与 n_eff 严格区分；涉及到达时 T_arr 必并行两口径并发布 delta_form。

III. 公设与最小方程

1. P31-20 注入隔离公设
   任一 FI 必在沙箱或影子通道执行，且对基线 golden 的可取证性保持不变：fingerprint(golden_after) = fingerprint(golden_before)。
2. P31-21 回退单调改进公设
   对同一工况，回退不应放大与基线之差：delta_rep(after_rollback) <= max( delta_rep(before_rollback) , gate.rep )。
3. S32-36 风险合成与触发
   • z_risk = w1*( delta_rep / gate.rep ) + w2*( r_tb / tau_tb ) + w3*( bp / bp_max ) + w4*( |hb - hb_ref| / hb_ref ) + w5*( eps_mass / tau_mass )；
   • 当 z_risk >= 1 或单项硬门限被突破，触发回退与补偿。
4. S32-37 注入幅度刻度
   • 数据级：inj.data = lambda * y（lambda 为幅度系数）；
   • 时基级：inj.time = {alpha_shift, beta_scale} 作用于 ts = alpha + beta * tau_mono；
   • 随机级：inj.seed = seed ⊕ mask；
   • 并发级：inj.sched = drop(hb, p) 或 delay(critical path, dt)。
5. S32-38 谱向守恒与能量约束
   • 注入前后需满足 var( x ) ≈ ( ∫ S_xx(f) df )；
   • 当注入关注谱畸变时，以 delta_psd = ( ∫ | S_xx^inj(f) - S_xx^ref(f) | df ) / ( ∫ S_xx^ref(f) df ) 计量，并与 tau_psd 比较。

IV. 数据与清单口径

1. 注入计划 FI.plan 最小字段
   • plan.id，target.stage，inj.type（env/data/time/rng/concurrency/network/io）
   • inj.params（如 lambda，alpha_shift，beta_scale，mask，dt，drop.p）
   • safe window（bp_max，hb_ref，T_obs，U_w，ENBW）
   • guard（触发/回退条件与 z_risk 权重 {w1..w5}）
   • audit.keys（fingerprint，hash(·)，verifier.pk_ref）。
2. 审计事件
   action = {inject|rollback|compensate|abort}，ts，actor，H_k = hash( H_{k-1} || event )，签名 sig_k，与关联 FI.ticket。
3. 样本与窗口
   明示 T_obs、窗函数 U_w 与 ENBW；若涉 T_arr，并列两口径计算并给出 delta_form；积分路径以 gamma(ell) 与测度 d ell 标注。

V. 算法与实现绑定

1. I30-16 inject_fault(plan:dict) -> FI.ticket
   • 校验 EnvLock 与 safe window；
   • 在影子通道应用 inj.type/params；
   • 发出审计事件 action=inject 并返回 FI.ticket。
2. I30-17 assert_invariants(metrics:dict, guards:dict) -> AssertReport
   • 计算 delta_rep、r_tb、delta_psd、eps_mass、eps_norm；
   • 合成 z_risk 并给出 pass 与触发项列表。
3. I30-18 trigger_rollback(ticket:any, policy:dict) -> RollbackReport
   • 将流量导回 stable/LTS；
   • 恢复 seed、ts、ParamCard 与缓存；
   • 审计 action=rollback 并校验 P31-21。
4. I30-19 compensate_txn(txn_id:any, policy:dict) -> CompReport
   • 根据幂等/补偿契约执行 undo/redo；
   • 验证守恒残差 eps_mass <= tau_mass、维度校核 check_dim(expr)=true。
5. I30-20 sandbox_replay(bundle:any, seed:any) -> ReplayReport
   • 固定 seed 与 EnvLock 重放注入前后样本；
   • 生成对照曲线、R_coef、差异分解。
6. I30-21 gate_and_cutover(canary:any, stable:any, rule:dict) -> CutoverReport
   • 以 rule 监控 TS.* 与复现指标；
   • 满足门限时分阶段切换或自动回退。

VI. 计量流程与运行图

1. Mx-60 plan-fi
   • 收集风险域与目标 SLO；
   • 产出 FI.plan 与 safe window；
   • 预演 sandbox_replay 验证可控性。
2. Mx-61 execute-and-observe
   • 执行 I30-16 并实时监控 TS.*；
   • I30-17 断续评估 z_risk，出界即触发 I30-18。
3. Mx-62 rollback-and-compensate
   • 执行回退与补偿事务 I30-19；
   • 二次校核 P31-21 与守恒约束；
   • 记录 H_k 与 sig_k。
4. Mx-63 analyze-and-harden
   • sandbox_replay 对照与根因分析；
   • 抽取回归用例，加入基准套（见第8章）；
   • 更新 PipelineCard/ParamCard 与告警规则。

VII. 验证与测试矩阵

1. 最小必测用例
   • 数据级注入：lambda 逐级增大，delta_rep 单调上升且在 lambda=0 时 R_coef=1；
   • 时基级注入：设定 alpha_shift、beta_scale，估计 r_tb 与回退触发；
   • RNG 注入：mask != 0 导致非确定性被 I30-17 检出 E_NONDETERMINISM；
   • 并发级注入：drop(hb,p) 触发 E_HB_LOSS，bp 上升不超过 bp_max 前提下系统稳定回退。
2. 边界与极端场景
   • 多故障并发：env+data+time 叠加，z_risk 仍应正确触发最早的硬门限；
   • 资源枯竭：E_RESOURCE_EXHAUST 时 makespan 激增，需在 T_cut 内回退完成。
3. 复现门限
   • 注入后回退窗口内：delta_rep <= gate.rep，delta_psd <= tau_psd，r_tb <= tau_tb，eps_mass <= tau_mass。
   • 通过标准与第8章评分函数 score 联动校验。

VIII. 交叉引用与依赖

• 依赖第5章 EnvLock、第6章 alpha/beta/seed、第7章 卡片与签名、第8章评分与门限、第9章审计轨与发布策略、 第10章跨域窗口与偏差预算。
• 《Core.Threads》提供 TS.* 指标语义；《Core.Metrology》提供 S_xx(f)、U_w、ENBW 口径；《Core.DataSpec` 提供入湖与追溯字段。

IX. 风险、限制与开放问题

• 风险
  注入耦合导致不可控级联（特别是 time × concurrency）；审计链断点使 H_k 不连续；补偿事务遗漏长尾副作用。
• 限制
  对强非线性系统，z_risk 的线性加权可能不足以刻画临界区；部分硬件级注入难以在沙箱完全等价模拟。
• 开放问题
  自适应 z_risk 权重学习；回退与 score 的联合优化；T_arr 两口径下的注入可比性与 delta_form 加权策略。

X. 交付件与版本管理

1. 交付件
   • FI.plan（注入类型、参数、门限与安全窗）；
   • FI.ticket（执行签名与审计链 H_k、sig_k）；
   • AssertReport（delta_rep，r_tb，delta_psd，z_risk 与触发项）；
   • RollbackReport 与 CompReport（回退时序、补偿事务、守恒校核）；
   • ReplayReport（对照曲线与 R_coef）与变更建议。
2. 版本策略
   • 新增注入类型或硬门限需提升次要版本并扩充第8章基准；
   • 回退剧本更新采用 canary → stable → LTS 逐层推广；
   • 任何失败注入不得删除，仅可追加状态并归档到长期可取证通道。