55-决策与变更记录 Template v1.0 | 第7章风险、触发条件与回滚

目录／文档-技术白皮书（V5.05）／ 55-决策与变更记录 Template v1.0

第7章风险、触发条件与回滚

I. 章节目标与适用范围（强制）

定义风险分级体系、触发器口径与回滚闭环（检测→判定→执行→验证→复盘→再实施），确保任一变更在出现偏离时可快速、可审计、可复原。
适用于跨卷口径、参数/数据契约、方法流程与实现绑定的变更；与第4章状态机、第6章影响评估、第9章实施与验证对齐。

II. 风险分级（L1–L4，强制）

L1 轻微：影响局部指标，无用户感知；可在窗口期内自然恢复。
L2 中等：影响单一子系统或单一地区，SLO 逼近阈值；需运维介入。
L3 严重：多子系统/全量用户受影响，SLO/SLA 明确越界；需快速降级或回滚。
L4 致命：安全/合规风险或广域核心功能失效；立即触发全量回滚与应急通告。

III. 触发器定义（强制）

命名统一：<trigger_name> := <metric><comparator><threshold>@<window>，与 gate 口径一致。
默认触发器集合（最小）：
- t_accuracy_low := gate_accuracy<0.98@7d
- t_latency_high := gate_latency>2h@7d
- t_incident_level := incident_level>=2@24h
- t_data_drift := data_drift>0.03@14d
- t_compat_break := compat_rate<0.99@replay
- t_budget_breach := unit_cost>1.1x@30d
判定逻辑：trigger = any(t in TRIGGERS satisfies policy(t))；策略可为瞬时或连续 K 次或移动窗口平均。

IV. 监控与告警（强制）

监控面：性能、延迟、错误率、事件等级、数据漂移、兼容性回放、资源与成本。
告警升级：T0(观察) → T1(值班) → T2(Owner) → T3(主管/发布)，在每级设定确认时限与处置动作。
证据留存：采样区间、原始日志摘要、度量快照、脚本与数据版本（script@commit、dataset@version）。

V. 回滚策略与决策树（强制）

策略类型：
- 热回滚：保持服务在线，切换版本/配置/特性开关（feature flag）。
- 冷回滚：短暂停机或按批次下线，恢复至已知稳定版本。
- 局部回滚：仅对受影响子系统/区域回退。
- 数据回滚：恢复参数/模型/数据契约快照，并重放校验。
决策树（简化）：
- 触发器判真且等级≥L2 → 评估影响面与隔离性；
- 可局部隔离 → 局部回滚 + 强化监测；否则进入全量热/冷回滚；
- 回滚完成 → 进入复原验证；未通过则升级为更强策略或进入 L4 应急。

VI. 回滚执行流程（强制）

冻结写入（必要时）：暂停新流量/写入或切回只读。
切换路径：回退到 release-<stable> 或启用 feature_flag.off。
恢复工件：参数/口径/数据契约/模型快照恢复（含版本核验与哈希校验）。
复原验证：运行复原验证套件与复原回归，对关键指标执行快速健康检查。
观测与解冻：按窗口期观察指标恢复曲线，满足门禁后解冻写入/逐步放量。
记录与通告：生成 RollbackReport，更新审计轨与对外通告策略（如需）。

VII. 复原验证与通过线（强制）

命名规则：gate_<metric><comparator><threshold>@<window>；示例：
gate_accuracy>=0.99@24h、gate_latency<=2h@24h、gate_error_rate<=1e-3@24h、compat_rate>=0.995@replay。
证据口径：数据来源、统计方法、置信区间、脚本定位、报告编号；未达硬门禁不得解冻。

VIII. 数据与契约的一致性（强制）

契约回滚：对 schema/api 标注版本区间与退化路径（fallback）；破坏性变更以 breaking=true 标记并强制回退。
重放要求：提供最小重放集与通过率阈值；跨环境一致性需≥既定下限。

IX. 沟通与签署（强制）

对内：Requester/Implementer 执行，Approver/Owner 签署，Auditor 见证审计要素。
对外：按发布矩阵通告受影响对象与缓解措施；保留窗口与复原时间线。

X. 机读 Schema（YAML；JSON 等价，可直接拷贝）

risk:

levels:

L1: { impact: "localized", action: "monitor", notify: ["oncall"] }

L2: { impact: "single-subsystem", action: "partial_rollback", notify: ["oncall","owner"] }

L3: { impact: "multi-subsystem/global", action: "full_rollback", notify: ["oncall","owner","release_mgr"] }

L4: { impact: "safety/compliance", action: "emergency_shutdown", notify: ["exec","legal","pr"] }

triggers:

- name: "t_accuracy_low"

rule: "gate_accuracy<0.98@7d"

policy: { mode: "consecutive", k: 2 }

- name: "t_latency_high"

rule: "gate_latency>2h@7d"

policy: { mode: "instant" }

- name: "t_incident_level"

rule: "incident_level>=2@24h"

policy: { mode: "moving_avg", window: "24h" }

- name: "t_data_drift"

rule: "data_drift>0.03@14d"

policy: { mode: "instant" }

- name: "t_compat_break"

rule: "compat_rate<0.99@replay"

policy: { mode: "instant" }

rollback_plan:

type: ["hot","cold","partial","data"]

freeze_io: true

steps:

- "switch_traffic: release-stable" # 热/冷回滚路径选择

- "restore_snapshot: params@2025-09-20" # 参数/模型/契约回滚

- "run_suite: restoration_smoke" # 复原快速检查

- "run_suite: restoration_regression" # 复原回归

- "observe: 24h"

artifacts:

snapshots: ["params@hash","schema@v2.3","model@a1b2c3"]

scripts: ["restore.py@d4e5f6","smoke.sh@a1b2c3","regress.py@9f8e7d"]

success_gates:

- "gate_accuracy>=0.99@24h"

- "gate_latency<=2h@24h"

- "gate_error_rate<=1e-3@24h"

- "compat_rate>=0.995@replay"

consistency:

api_schema:

version_range: "[2.0,3.0)"

fallback: "adapter_v1_enabled"

breaking: true

replay:

minimal_set: ["cmb_set_v3","lens_v1"]

pass_rate: ">=0.992"

communication:

internal: ["oncall","owner","auditor","release_mgr"]

external: { policy: "as_needed", channels: ["status_page","mailing_list"] }

audit_trail:

record:

- "timestamp"

- "actor"

- "risk_level"

- "trigger"

- "action"

- "evidence_hash"

- "notes"

XI. 人读 × 机读对位（强制）

人读段落	机读字段	校核要点
风险分级与定义	risk.levels.*	L1–L4 语义清晰、处置一致
触发器集合	triggers[]	命名与规则口径一致，含策略
回滚策略与流程	rollback_plan.*	冻结→切换→恢复→验证→观察闭环完备
复原验证与门禁	success_gates[]	全为硬门禁，可量化可回放
契约与重放一致性	consistency.*	版本区间、fallback、通过率阈值
沟通与签署	communication.*	角色覆盖与对外通告策略
审计轨	audit_trail.record[]	证据可追溯、字段完整

XII. 最小填写示例（可直接拷贝）

risk:

current_level: "L3"

reason: "gate_accuracy<0.98@7d & compat_rate<0.99@replay"

triggers_fired: ["t_accuracy_low","t_compat_break"]

rollback_plan:

type: ["hot","data"]

freeze_io: true

steps:

- "switch_traffic: release-stable"

- "restore_snapshot: schema@v2.2"

- "run_suite: restoration_smoke"

- "run_suite: restoration_regression"

- "observe: 24h"

success_gates:

- "gate_accuracy>=0.99@24h"

- "compat_rate>=0.995@replay"

audit_trail:

record_id: "RB-2025-0915-01"

timestamp: "2025-09-27T12:00:00Z"

actor: "Approver/Owner"

evidence_hash: "sha256:…"

communication:

internal: ["oncall","owner","auditor","release_mgr"]

external: { policy: "status_page" }

XIII. 路径/公式一致性要求（强制）

若风险涉及到达时判据，统一使用：
- 常量外提：T_arr = ( 1 / c_ref ) * ( ∫ n_eff d ell )
- 一般口径：T_arr = ( ∫ ( n_eff / c_ref ) d ell )
出现 T_arr 时，同段或紧邻段落显式声明路径 gamma(ell) 与测度 d ell；量纲校核要求 check_dim 通过。
禁混：T_fil≠T_trans，n≠n_eff，c≠c_ref；公式/符号/定义禁用中文。

XIV. 交叉引用与引用体例（强制）

文内固定写法：“见《<卷名> vX.Y》Ch.x S/P/M/I…”，优先锚点而非整卷。
在记录单 references.see 中提供机读清单（示例）：
- "EFT.WP.Core.Terms v1.0:P10-3"
- "EFT.WP.Core.Equations v1.1:S20-1"
- "EFT.WP.Core.Metrology v1.0:check_dim"
- "EFT.WP.Core.DataSpec v1.0:I30-2"

版权与许可：除另有说明外，《能量丝理论》（含文本、图表、插图、符号与公式）的著作权由作者（屠广林）享有。
许可方式（CC BY 4.0）：在注明作者与来源的前提下，允许复制、转载、节选、改编与再分发。
署名格式（建议）：作者：屠广林｜作品：《能量丝理论》｜来源：energyfilament.org｜许可证：CC BY 4.0
验证召集： 作者独立自费、无雇主无资助；下一阶段将优先在最愿意公开讨论、公开复现、公开挑错的环境中推进落地，不限国家。欢迎各国媒体与同行抓住窗口组织验证，并与我们联系。
版本信息： 首次发布：2025-11-11 ｜当前版本：v6.0+5.05