lijiaoqiao/review/rounds/round4_reliability_wargame_review.md

# Round-4 可靠性与回滚演练评审输出

- 评审日期：2026-03-29
- 对应任务：`EXP-005`

## 0. Skills 预审输入（2026-03-17）

来源：`docs/subapi_design_comprehensive_review_findings_v1_2026-03-17.md`
补充来源：`docs/subapi_role_based_review_wargame_optimization_v1_2026-03-18.md`

预置问题（会前必须预读）：

1. `FND-P0-01`：网络边界与 mTLS 未闭环时，回滚演练是否具备生产可信度。
2. `FND-P1-03`：数据覆盖率不足时是否应禁止升波与验收。
3. `FND-P1-05`：恢复后客户沟通与赔付机制是否同步触发。
4. `GAT-002`：三层降级策略是否已完成演练并可在 30 分钟止血。
5. `UXR-002`：账务争议 SLA 是否可在恢复后同步执行。
6. `CB-REL-01`：凭证边界指标（M-013~M-016）是否在故障与回滚场景下仍持续达标。

## 1. 评审结论

- [ ] GO
- [x] CONDITIONAL GO（预审建议，待会议确认）
- [ ] NO-GO

## 2. 演练结果

| 项目 | 目标值 | 实际值 | 是否达标 |
|---|---|---|---|
| 自动回滚触发时间 | <= 10 分钟 | 待演练（REL-003/GAT-002） | 待验证 |
| 服务恢复时间 | <= 30 分钟 | 待演练（REL-005） | 待验证 |
| 数据一致性 | 无错误账务 | 待演练（UB-003 抽样） | 待验证 |
| 用户通知时效 | <= 15 分钟 | 待演练（UXR-001） | 待验证 |
| 凭证泄露事件数（M-013） | = 0 | 待演练 | 待验证 |
| 平台凭证入站覆盖率（M-014） | = 100% | 待演练 | 待验证 |
| 绕过平台直连事件数（M-015） | = 0 | 待演练 | 待验证 |
| query key 外部拒绝率（M-016） | = 100% | 待演练 | 待验证 |

## 3. 故障复盘摘要

1. 预设故障场景：契约升级失败 + 上游 5xx 突增 + 流式中断组合。
2. 目标止血路径：10 分钟内自动回切，30 分钟内恢复可用并完成用户通知。
3. 复盘要求：输出链路证据（触发时刻、回切动作、恢复确认、账务抽样、凭证边界指标快照）。

## 4. 后续整改项

| 编号 | 等级 | 整改项 | Owner | 截止日期 |
|---|---|---|---|---|
| R4-REL-001 | P0 | 三层降级策略演练脚本未形成发布门禁（GAT-002） | `ARCH` + `SRE` | 2026-03-25 |
| R4-REL-002 | P1 | 用户账务争议流程未与回滚演练联动验证（UXR-002） | `产品` + `FIN` | 2026-03-25 |
| R4-REL-003 | P1 | 升波证据包模板未在演练中完成实操（TST-003） | `QA` + `SRE` | 2026-03-23 |
| R4-REL-004 | P0 | 凭证边界回滚演练未纳入发布门禁（M-013~M-016） | `SEC` + `SRE` + `QA` | 2026-03-27 |

## 5. 证据链接

1. `/home/long/project/立交桥/docs/router_core_s2_acceptance_test_cases_v1_2026-03-17.md`
2. `/home/long/project/立交桥/docs/subapi_integration_risk_controls_execution_tasks_v1_2026-03-17.md`
3. `/home/long/project/立交桥/docs/acceptance_gate_single_source_v1_2026-03-18.md`
4. `/home/long/project/立交桥/docs/llm_gateway_subapi_evolution_plan_v4_2_2026-03-24.md`