SDD 设计文档模板

当变更提案已经可评审后，再使用设计文档。它决定“如何实现”，同时保留规格中的行为边界和约束。

design.md

# Design Doc

Spec:
Owner:
Status: Draft | Review | Approved

## Context
- 链接已评审的规格或变更提案。

## Architecture Decision
- 选择的方案：
- 选择原因：
- 拒绝的方案：

## Interfaces
- API:
- Events:
- Database:
- UI states:

## Constraints
- Compatibility:
- Security:
- Performance:
- Operational limits:

## Rollout Plan
- Phase 1:
- Phase 2:
- Stop signal:
- Rollback:

什么时候使用这份模板

规格影响 API、数据库、队列、权限或发布顺序。
团队需要在编码前比较两个实现方案。
AI 生成代码需要更窄的架构边界。
评审者需要知道为什么拒绝某个方案。

填好后应该是什么样

模板只有在写入真实决策、负责人和证据后才有价值。下面是一个可评审的片段。

## Architecture Decision
- 选择方案：退款创建保持同步，支付渠道确认放入异步 worker。
- 原因：客服需要立即看到 pending 状态，渠道超时可稍后确认。
- 拒绝方案：在请求链路内反复重试渠道调用，因为重复退款风险更高。

场景笔记：架构取舍应该写在哪里

退款规格已经通过，但团队还没决定渠道确认应该放在请求链路里，还是放到 worker。这个取舍应该进入设计文档，而不是藏在任务清单里。

容易出错的地方：如果取舍没有写明，实现很容易走向最快的局部方案：在同步请求里重试渠道调用，让重复行为更难推理。

评审动作：评审者需要先挑战被拒绝方案、接口列表和上线停止信号，再允许进入编码。
证据要求：有效证据包括事件顺序说明或序列图，以及覆盖 pending 状态、worker 重试和回滚行为的测试。

怎样把模板改成真实项目内容

不要只替换标题和日期。真正有价值的版本，应该把每个占位字段都变成一个可评审决定：谁负责、什么行为必须成立、哪些范围明确不做、合并前需要看到什么证据。如果某个字段暂时无法填写，就把它保留为开放问题，而不是用含糊段落盖过去。

使用这份 design.md 时，先写当前最可能导致返工的部分。对很多团队来说，那不是实现步骤，而是边界、例外、兼容性或发布证据。模板越早暴露这些问题，AI 编码或人工实现时越不容易顺手扩大范围。

推荐场景：规格影响 API、数据库、队列、权限或发布顺序。
评审重点：选定方案能回到已批准的规格。
强写法参考：退款请求链路保持幂等；先创建一条本地退款记录，再入队确认渠道状态。pending_provider_confirmation 期间阻止客服发起第二笔退款。

建议的评审路径

第一轮只看范围：目标是否单一，非目标是否能阻止常见扩张，影响系统是否被点名。第二轮看可验证性：验收标准是否描述了状态、触发和可观察结果，而不是“应该更好用”这类愿望句。第三轮看证据：测试、截图、日志、指标或手工检查是否能证明每条标准。

把这份模板交给 AI 编码工具前，应该先让人类评审者确认允许修改的文件、不可改动的接口、迁移顺序和停止信号。这样 AI 得到的是一份可执行规格，而不是一段看起来很完整但仍然模糊的提示词。

实现前：确认开放问题没有阻塞行为判断。
实现中：每个任务都回到这份模板里的标准或约束。
合并前：用证据证明结果，而不是只写“测试通过”。

实现前先检查这些点

选定方案能回到已批准的规格。
接口列出明确的 endpoint、事件、表或 UI 状态。
被拒绝方案写出原因，而不是只写名字。
上线和回滚计划足够具体。

弱写法 vs 强写法

弱写法

使用 worker，并补测试。

强写法

退款请求链路保持幂等；先创建一条本地退款记录，再入队确认渠道状态。pending_provider_confirmation 期间阻止客服发起第二笔退款。

什么时候可以认为它不是空模板

这类页面最容易变薄的地方，是只提供一个漂亮骨架，却没有说明如何判断填写质量。一个合格版本至少要能回答三件事：这个变更为什么需要现在做；哪些范围被明确排除；合并前用什么证据证明行为没有偏离。

如果你把模板用于真实工作，建议在 PR 描述里附上最终文件，并标出哪些段落在实现中发生过变化。规格不是一次性文档，它应该随着实现证据一起更新。读者复制这份模板时，也应该复制这种习惯：所有看起来像决定的内容，都要能被评审和追踪。

最低证据：至少一条自动化测试或契约 fixture。
高风险证据：补截图、日志查询、指标或回滚信号。
后续证据：对已知缺口写负责人和复查日期。

它在完整 SDD 包里负责什么

不要把所有内容都塞进同一个文件。design.md 只负责它最擅长的那一层：把某一类决定写到可以评审、可以引用、可以更新的地方。范围、设计、任务和证据应该彼此连接，但不应该互相吞掉。这样做的好处是，当实现过程中发现新事实时，团队能准确知道应该更新哪一个文件。

实际使用时，可以把这份模板和相关资源串成一条很短的链路：先写规格或提案，再补设计或任务，最后把证据回填到 PR。读者复制模板时，也应该复制这条链路。单独一个漂亮模板不会提高交付质量；可追溯的文件链路才会。

如果页面被拿来做团队规范，建议在仓库里保留一个填好后的样例，而不是只放空模板。样例能告诉新成员什么算“足够具体”，也能让 AI 编码工具学习团队真正接受的边界和证据格式。

上游输入：明确的用户问题、系统约束和已知失败模式。
下游输出：可执行任务、评审问题、测试证据或发布门禁。
维护方式：每次实现改变决定时，同步更新对应规格文件。

FAQ

每份规格都要设计文档吗？

不需要。只有当实现选择本身有风险时才需要。很小的 UI 文案修改可以跳过。

哪些内容放在这里？

产品行为放在规格；架构选择、权衡、约束、接口和上线顺序放在设计文档。

AI 代理怎么使用？

把规格和设计文档一起给代理，并要求代码变更映射到批准的接口和约束。

编辑说明

这份模板面向 spec-driven development 工作流，示例用于展示结构，不代表特定公司的内部流程。

作者: Daniel Marsh
编辑政策: 我们如何审阅和更新内容

建议把它放在仓库的 /docs/specs/ 或 /.specs/ 下，并在实现过程中持续更新。最后更新：2026 年 5 月 19 日。