비기능 요구사항 · 용량 · 비용 (NFR-*)

요구. POST /v1/ingest/positions 요청 수신부터 202 ack 응답까지의 accept 지연이 반드시(MUST) p95 ≤ 200ms, p99 ≤ 400ms를 만족해야 한다(초기 확정 목표, 운영 베이스라인으로 조정). DO push·queue enqueue까지만 동기 경로에 포함하고, 지오펜스 평가는 비동기로 분리한다.

수용기준

• Given 28일 롤링 윈도의 인제스트 요청 모집단, When Analytics Engine으로 accept 지연을 집계, Then p95 ≤ 200ms AND p99 ≤ 400ms.
• Given 배치 요청이 서버 하드캡 500 samples/req(FR-ACQ-API-001)에 근접해도, When 처리, Then 무거운 작업이 동기 경로에 끼어들지 않아(흐름 1) 임계 유지.

요구. 위치 enqueue부터 enter/exit 판정 및 event INSERT 완료까지의 평가 lag이 반드시(MUST) p95 ≤ 5s, p99 ≤ 15s를 만족해야 한다. 임계는 Queue 설정 max_batch_timeout=5s와 정합한다(배치 타임아웃이 p95 lag의 지배 항).

수용기준

• Given 큐 소비 경로(consumer), When enqueue→INSERT lag을 측정, Then p95 ≤ 5s AND p99 ≤ 15s.
• Given 큐 백로그 발생, When lag이 p95 임계를 초과, Then HIGH 알림(소비자 스케일·핫스팟 점검)으로 전환(pipeline-ops 인시던트).

요구. 위치 push부터 단일 shipment 뷰 대시보드 broadcast까지의 실시간 반영 지연이 p95 ≤ 1.5s, p99 ≤ 3s를 만족하도록 권장한다(SHOULD). 적용 경로는 Durable Object WebSocket fan-out으로 연결된 단일-shipment 뷰(Flutter)다. 플릿 개요는 폴링 경로(아래 NFR-PERF-003b)로 분리한다(ADR-0010).

수용기준

• Given DO에 WS로 구독한 대시보드, When 위치 push 발생, Then broadcast까지 p95 ≤ 1.5s AND p99 ≤ 3s.

요구. console 플릿 개요(FleetMap, 6s 폴링 경로)의 핀 staleness 예산은 핀 >60s = stale 표시, >300s = drop으로 반드시(MUST) 적용한다. 단일-shipment의 WS 실시간성(NFR-PERF-003)과 달리, 플릿 다수 핀은 6s 폴링으로 staleness를 명시적으로 노출한다.

수용기준

• Given FleetMap 6s 폴링 스냅샷, When 핀의 last_seen이 60s 초과, Then UI에 stale 표시. When 300s 초과, Then 해당 핀 drop.

요구. 대시보드/API의 가용성(성공 응답 비율)이 반드시(MUST) ≥ 99.9% / 역월이어야 한다. 이는 월 에러버짓 0.1%/월 ≈ 43분을 의미한다. 엣지 자동 확장·무중단·리전 SPOF 회피(ADR-0001)를 전제로 한 초기 확정 목표이며, 운영 베이스라인으로 조정한다.

수용기준

• Given 역월 윈도의 API+Web 응답 모집단, When 성공 비율을 합성 점검+Web Analytics로 측정, Then ≥ 99.9%.
• Given 월 에러버짓 ≈ 43분, When 버짓이 소진, Then prod 승격 차단(릴리스 게이트) — 신규 기능보다 안정화·회귀 수정 우선(pipeline-ops 에러버짓 릴리스 게이트).

요구. 웹훅 전달 성공률(첫 시도 또는 재시도 내 2xx 수신 비율)이 반드시(MUST) ≥ 99.0% / 28일이어야 한다. 발신 타임아웃은 5s hard로 둔다. 재시도 래더와 auto-disable 정책은 FR-DLV-WH-001(8회 래더, 24h 수명, 8연속 실패 시 auto-disable)이 소유하며 여기서 참조한다.

수용기준

• Given 28일 롤링 윈도의 웹훅 시도 모집단, When 첫 시도 또는 재시도 내 2xx 비율을 측정, Then ≥ 99.0%.
• Given 발신, When 엔드포인트 응답이 5s 초과, Then hard timeout으로 실패 처리·재시도 래더 진입(FR-DLV-WH-001).

요구. 시스템은 API Key별로 레이트리밋을 반드시(MUST) 적용해야 한다: API Key당 600 req/min 지속, 버스트 100/10s; 리포트 10 req/min; 인제스트 1200 req/min. 초과 시 429 + Retry-After 헤더를 반환한다. 인제스트 한도(1200/min)는 §6 용량 모델의 핑 유입을 흡수하도록 일반 API(600/min)보다 높게 설정한다.

수용기준

• Given API Key가 600 req/min 지속 한도를 초과, When 추가 요청, Then 429 + Retry-After.
• Given 10초 내 100건 버스트 초과 또는 리포트 10 req/min 초과 또는 인제스트 1200 req/min 초과, When 요청, Then 각 한도에서 429.

요구. 모든 로그/메트릭에 request_id·shipment_id·tenant_id(개인정보 아닌 식별자) 상관 키를 반드시(MUST) 부착해 요청을 엣지→Queue→DO→D1로 추적할 수 있어야 한다. SLI(인제스트 지연·지오펜스 lag·웹훅 결과 등)는 Analytics Engine writeDataPoint로 차원(테넌트·이벤트타입·결과)을 부착해 반드시 방출해야 한다. 로그는 개인정보 최소화(좌표·실명 대신 식별자)한다.

수용기준

• Given 임의 인제스트 요청, When 엣지→Queue→DO→D1를 통과, Then 동일 request_id로 전 구간 상관 추적 가능.
• Given SLI 대상 이벤트, When 코드 계측 실행, Then METRICS.writeDataPoint가 차원 부착 데이터포인트를 방출(현재 TODO → SLI 미측정 갭 해소가 수용 조건).

요구. 배포는 무중단(zero-downtime)이어야 하며(SHOULD), 스키마 변경은 전진전용(forward-only) expand-first 마이그레이션으로 한정한다. 위험 기능은 feature flag로 게이트해 즉시 OFF(롤백 대체)할 수 있어야 한다. dev/staging/prod 3환경은 각각 독립 바인딩(별도 D1/KV/R2/Queues)을 갖는다. 거버넌스·CI 게이트·롤백·cron 락 상세는 pipeline-ops(OPS-*)가 소유한다.

수용기준

• Given 신규 배포, When wrangler 배포 진행, Then 진행 중 요청이 끊기지 않는다(무중단).
• Given 스키마 변경, When 마이그레이션 작성, Then 파괴적 DROP/RENAME 없이 expand-first(추가→이행→정리 2단계)로만 진행.
• Given 위험 기능, When 인시던트, Then feature flag OFF로 즉시 비활성(근본 수정은 그다음).

요구. 동시 활성 DO가 > 5,000 OR DO active-wall-time 월 임계를 초과하면, 반드시(MUST) 종료(완료) 화물을 DO에서 내리고 D1 60s 폴링으로 전환한다(활성 화물만 DO 유지). Hibernation으로 유휴 DO는 이미 비용 0이므로, 이 레버는 동시 활성 수가 임계를 넘을 때만 발동한다.

수용기준

• Given 동시 활성 DO 수 모니터, When > 5,000 또는 active-time 월 cap 도달, Then 종료 화물 D1 60s 폴링 전환 가동.

요구. D1 쓰기/이벤트량이 한계에 근접하면 단계적 레버를 권장 적용한다(SHOULD): ① 원시 GPS는 D1 제외·R2 아카이브 + 의미 이벤트만(이미 적용) → ② 그래도 부족하면 이벤트 샤딩 / Worker 분할 / 분석 레이어 분리 → ③ Queues 처리량이 Kafka급으로 커지면 외부 스트리밍으로 이행(천장). 천장(③)은 진입 단계엔 적용하지 않으며 이행 경로만 보유한다.

수용기준

• Given D1 쓰기 추세, When 일 예산 근접 알람(NFR-COST-001), Then 샤딩/분석 레이어 분리 검토 착수.
• Given Queues 처리량이 Kafka급 규모로 성장, When 이행 결정, Then 외부 스트리밍 경로로 이행(설계 보유).

요구. 비용·한도 근접을 사전 감지하기 위해 가드레일 알람을 반드시(MUST) 둔다: D1 쓰기 ≥ 70% 일 예산, R2 스토리지 ≥ 80% 티어, DO active-time 월 cap 도달 시 비용/한도근접 대시보드 알람. 임계 도달은 NFR-SCALE-001/002 레버 검토의 선행 신호다.

수용기준

• Given D1 일 쓰기량 모니터, When ≥ 70% 일 예산 도달, Then 대시보드 알람(아카이브·샤딩 레버 검토).
• Given R2 스토리지, When ≥ 80% 티어, Then 알람. Given DO active-time, When 월 cap 도달, Then 알람 + 폴링 분할 검토(NFR-SCALE-001).