[SEV] Краткое описание и дата
1) Принципы и культура
Blameless. Ошибка — свойство системы, а не человека. Ищем «почему так получилось», а не «кто виноват».
Факты и инварианты. Любые выводы опираются на таймлайн, SLO, трассировки и логи.
Публичность внутри компании. Итоги и уроки доступны смежным командам.
Действия важнее протоколов. Документ без изменений ≡ потерянное время.
Быстрая публикация. Черновик постмортема — в течение 48–72 часов после инцидента.
2) Таксономия и критерии инцидентов
Серьезность (SEV):- SEV1 — полная недоступность/потеря денег/данных;
- SEV2 — существенная деградация (ошибки > SLO, p99 за пределами);
- SEV3 — частичная деградация/обходной сценарий существует.
- Влияние: затронутые регионы/тенанты/продукты, длительность, бизнес-метрики (конверсия, GMV, отказ платежей).
- SLO/ошибочный бюджет: сколько бюджета исчерпано, как это влияет на скорость релизов и эксперименты.
3) Роли и процесс инцидента
Incident Commander (IC): управляет процессом, приоритезирует шаги, назначает владельцев.
Communications Lead: информирует стейкхолдеров/клиентов по шаблону.
Ops/On-call: ликвидация, митигирующие действия.
Scribe: ведет таймлайн и артефакты.
Subject Matter Experts (SME): глубокая диагностика.
Этапы: обнаружение → эскалация → стабилизация → верификация → восстановление → постмортем → внедрение улучшений.
4) Шаблон постмортема (структура)
5) RCA Techniques (Root Cause Search)
5 Why - sequential clarification of causes to the system level.
Ishikawa (fish bone) - factors "People/Processes/Tools/Materials/Environment/Dimensions."
Event-Chain/Ripple - a chain of events with probabilities and triggers.
Barrier Analysis - which "fuses" (timeouts, breakers, quotas, tests) were supposed to stop the incident and why they did not work.
Change Correlation - correlation with releases, config digs, feature flags, provider incidents.
Practice: Avoid "root cause = person/one bug." Look for a system combination (debt + lack of guard rails + irrelevant runbooks).
6) Communications and transparency
Internal: single channel (war-room), short updates according to the template: status → actions → ETA of the next update.
External: status page/newsletter with facts without "guilt," with apologies and an action plan.
Sensitivity: do not disclose PD/secrets; legal wording to be agreed.
After the incident: a summary note with human language and a link to a technical report.
External update template (brief):
"31 Oct 2025, 13:40 UTC - some users encountered payment errors (up to 18 minutes). The reason is the degradation of the dependent service. We turned on bypass mode and restored operation at 13:58 UTC. Apologies. Within 72 hours, we will publish a report with actions to prevent recurrence"
7) Actions and implementation management
Each action is owner, deadline, acceptance criteria, risk and priority relationship.
Action classes:
1. Engineering: timeout budgets, jitter retreats, breakers, bulkheads, backprescher, stability/chaos tests.
2. Observability: SLI/SLO, alert guards, saturation, traces, steady-state dashboards.
3. Process: runbook update, on-call workouts, game day, CI gates, bipartisan review for risky changes.
4. Architecture: cache with coalescing, outbox/saga, idempotency, limiters/shading.
Gates: releases fail unless "post-mortem critical actions" are closed (Policy as Code).
Verification: retest (chaos/load) confirms the elimination of the risk.
8) Integration of feedback
Sources:
Telemetry: p99/p99 tails. 9, error-rate, queue depth, CDC lag, retray budget.
VoC/Support: topics of calls, CSAT/NPS, churn signals, "pain points."
Product/Analytics: user behavior, failure/friction, drop-off in funnels.
Partners/Integrators: webhook failures, contract incompatibility, SLA timing.
Signal → decision loop:
1. The signal is classified (severity/cost/frequency).
2. An architectural ticket is created with a hypothesis and the price of the problem.
3. Falls into the engineering portfolio (quarterly/monthly), ranked by ROI and risk.
4. Execute → measure effect → update SLI/SLO/cost baselines.
9) Post-mortem maturity metrics
% postmortems published ≤ 72 h (target ≥ 90%).
Average "lead time" from incident to closure of key actions.
Reopen rate of actions (quality of DoD formulations).
Repeated incidents for the same reason (target → 0).
Proportion of incidents caught by guards (breaker/limiter/timeouts) vs "breakthrough."
Saturation of dashboards (SLI covering critical paths) and "noise" of alerts.
Share of game-day/chaos scenarios that simulate detected failure classes.
10) Example of postmortem (summary)
Event: SEV2. Payment API: up p99 to 1. 8s, 3% 5xx, 31 Oct 2025 (13:22–13:58 UTC).
Impact: 12% of payment attempts with retrays, part - cancellation. Erroneous budget q4: − 7%.
Root Cause: "slow success" of currency dependence (p95 + 400 ms), retrai without jitter → cascade.
Barrier failure: the breaker is configured only for 5xx, not for timeouts; there was no rate-cap for low priority.
What worked: hand shading and stale-rates feature flag.
Actions:
Enter timeout budget and jitter retrays (DoD: p99 <400 ms at + 300 ms to dependency).
Breaker for "slow success" and fallback stale data ≤ 15 minutes.
Update runbook "slow dependency," add chaos script.
Add dashboard "served-stale share" and alert at> 10%.
Enter release-gate: without passing chaos-smoke - prohibit release.
11) Artifact patterns
11. 1 Timeline (example)
13: 22:10 Aлерт p99>800ms (gateway)
13: 24:00 IC назначен, war-room открыт
13: 27:30 Идентифицирован «медленный успех» currency-api
13: 30:15 Фича-флаг stale-rates ON (10% трафика)
13: 41:00 Stale-rates 100%, p99 стабилизирован 290ms
13: 52:40 Ограничение ретраев на gateway
13: 58:00 Инцидент закрыт, мониторинг 30мин
11. 2 Solutions and Validation (DoD)
Решение: включить breaker(slow_success)
DoD: chaos-сценарий "+300ms к currency" — p99 < 450ms, error_rate < 0.5%, stale_share < 12%
11. 3 Policy "gate" (check)
deny_release if any(postmortem_action.status!= "Done" and action.severity in ["critical"])
12) Анти-паттерны
«Охота на ведьм» и наказания → скрытие ошибок, потеря сигналов.
Протокол ради протокола: длинные документы без действий/владельцев/сроков.
РЦА уровня «баг в коде» без системных факторов.
Закрытие инцидента без ретеста и обновления базлайнов.
Отсутствие публичности внутри компании: повторение тех же ошибок в других командах.
Игнорирование обратной связи от саппорта/партнеров и «невидимых» деградаций (медленный успех).
Сводка «все починили, двигаемся дальше» — без изменений в архитектуре/процессах.
13) Чек-лист архитектора
1. Есть единый шаблон постмортема и SLA публикации ≤ 72 ч?
2. Роли (IC, Comms, Scribe, SME) назначаются автоматически?
3. Таймлайны основаны на телеметрии (трейсы/метрики/логи) и метках релизов/флагов?
4. Методики RCA применяются системно (5 Why, Ishikawa, Barrier)?
5. Действия имеют владельцев, сроки и DoD, связаны с риском и гейтами релизов?
6. Инцидент приводит к обновлению runbook/хаос-сценариев/алертов?
7. Встроены каналы VoC/Support, есть регулярный обзор «топ-болей»?
8. Ошибочный бюджет влияет на политику релизов и экспериментов?
9. Метрики зрелости отслеживаются (time-to-postmortem, reopen rate, повторяемость)?
10. Публичные внутрикомандные разборы и база знаний с поиском доступны?
Заключение
Постмортемы и обратная связь — это механизм обучения архитектуры. Когда разборы без обвинений, измеримый эффект действий и интеграция сигналов из продакшена становятся нормой, система каждую неделю становится устойчивее, быстрее и понятнее. Делайте факты видимыми, действия обязательными, а знания — доступными, и инциденты превратятся в топливо для эволюции вашей платформы.