解决什么问题
可靠性设计最危险的说法是“已经做了冗余,所以可靠”。FRER 有保护范围,也有保护不到的场景。把边界说清楚,才是负责任的工程结论。
本节解决残余风险问题:FRER 提高连续性,但不是无限承诺。
背景与直觉
安全带能降低事故伤害,但不能防止所有事故,也不能替代刹车和道路设计。FRER 类似,它解决一类网络路径故障,不等于系统所有风险都消失。
怎么解决
常见残余风险包括:
| 风险 | 为什么 FRER 不一定覆盖 |
|---|---|
| talker 故障 | 源头不发,副本也没有数据 |
| 复制点前链路故障 | 还没复制就已经丢失 |
| 共因故障 | 多条路径同时受同一故障影响 |
| 错误配置 | 多条路径可能复制同一个错误 |
| 资源不足 | 备用路径到达但迟到 |
| 消除窗口错误 | 重复、乱序或误删 |
设计报告应该写清:覆盖哪些故障,未覆盖哪些故障,未覆盖风险是否由其他机制处理,是否需要人工恢复或业务降级。
带来了什么新问题
写残余风险会让结论看起来不那么漂亮,但更可信。工程系统真正需要的是可解释的保护边界,而不是泛泛的可靠性宣传。
这也会帮助读论文。看到论文声称提高可靠性时,你可以追问它的故障模型、覆盖范围和残余风险。
检查点
- 为什么复制点之前的链路故障不能被复制点之后的 FRER 保护?
- 一份 FRER 设计报告应该怎样描述“覆盖”和“未覆盖”的故障?