12-EFT.WP.Methods.Repro v1.0 | 第9章 运行、审计轨与发布

目录 ／ 文档-技术白皮书 ／ 12-EFT.WP.Methods.Repro v1.0

第9章 运行、审计轨与发布

I. 范围与目标

1. 确立从运行编排到分级发布的统一口径，定义审计轨的可验证性与最小字段集，保障跨版本、跨站点的复现与可取证性。
2. 产出包括：
   • 运行监控与告警的 TS.* 指标族与最小观测点。
   • 审计轨事件模型、指纹与签名规则，链式防篡改构造。
   • 发布分层与回退策略、晋级门限与观察窗口。
   • 合规模板、归档与长期可取证存储规范。

II. 术语与符号

• TS.*：运行期观测指标族（示例：TS.lat_p95，TS.jitter，TS.drop_rate，TS.queue_depth，TS.hb_lag，TS.bp_state，TS.makespan）。
• hb / bp：心跳与背压语义（与《Core.Threads》一致）。
• EnvLock：环境锁定证据对象；PipelineCard / ParamCard：管线卡/参数卡。
• hash(·)，fingerprint：产物与环境的指纹函数与摘要。
• sig = sign( sk , m )：对消息 m 的签名，sk 为私钥；ver( pk , m , sig ) 为验签。
• delta_rep，R_coef，delta_psd，R_spectrum，r_tb：复现与谱一致性指标（见第8章与第6章）。
• 渠道：canary，stable，LTS；晋级窗口 T_obs；金丝样本比例 r_canary。
• 到达时两口径（若涉及）：T_arr = ( 1 / c_ref ) * ( ∫ n_eff d ell ) 与 T_arr = ( ∫ ( n_eff / c_ref ) d ell )，差异量 delta_form。

III. 公设与最小方程

1. P31-16 可取证运行公设
   当运行以 EnvLock 固定、PipelineCard 与 ParamCard 一致、TS.* 按规范采集时，其审计轨序列经公开密钥 pk 可独立验证，篡改将被检测为不一致。
2. P31-17 分级发布保守性公设
   在 canary 渠道通过门限前，任何对用户可见的效果仅限于比例 r_canary，且回退代价上界受控于 TS.makespan 与回退时钟 T_rollback。
3. S32-30 审计事件与链式哈希
   • 定义事件 e_k = { ts , actor , action , inputs.hash , outputs.hash , code.hash , env.fingerprint , seed , path , notes }。
   • 事件标识：id_k = hash( serialize( e_k ) )。
   • 链式累积：H_0 = hash( genesis )，H_k = hash( H_{k-1} || id_k )。
   • 绑定签名：sig_k = sign( sk , H_k )；验证 ver( pk , H_k , sig_k ) = true。
4. S32-31 发布晋级门限
   设观察窗口 T_obs，在该窗口内的合成评分满足
   score >= tau_score 且 delta_rep^+ <= gate.rep 且 delta_psd^+ <= tau_psd 且 r_tb <= tau_tb，则允许 canary → stable；
   连续 N_LTS 个 stable 窗口通过且 TS.incident_rate <= tau_inc，允许 stable → LTS。
5. S32-32 回退触发
   若任一窗口出现 score < tau_score 或 TS.hb_lag > tau_hb 或 TS.drop_rate > tau_drop，触发回退；回退完成时限 T_rollback，并生成事件 action = rollback。

IV. 数据与清单口径

1. 审计事件最小字段集
   audit.schema.version，e.id，e.ts，actor，action，run.id，EnvLock.fingerprint，PipelineCard.hash，ParamCard.hash，code.hash，rng.seed，inputs.hash，outputs.hash，H_k，sig_k，verifier.pk_ref，TS.snapshot，notes。
2. 发布包 ReleaseBundle
   • bundle.id = hash( manifest )；manifest = { version , channel , commit , artifacts:[ uri , hash ] , cards:[ pipeline , param ] , gates , scores , windows , provenance }；
   • sig_bundle = sign( sk , bundle.id )；第三方以 ver( pk , bundle.id , sig_bundle ) 验证。
3. 时基与到达时（若声明）
   报告 alpha,beta 满足 ts = alpha + beta * tau_mono；若使用 T_arr，并行发布两口径结果与 delta_form，同时给出路径 gamma(ell) 与测度 d ell。

V. 算法与实现绑定

1. I30-8 schedule_release(plan:dict) -> RollReport
   • 解析渠道、r_canary、T_obs 与门限；
   • 协调执行图与限流（hb/bp）并注入观测点 TS.*；
   • 汇总窗口评分与事件，返回晋级/回退决策与轨迹。
2. I30-9 generate_audit_bundle(run:any) -> AuditBundle
   • 归集 e_k 序列与 H_k，封装 verifier.pk_ref；
   • 生成 sig_bundle 与可验证清单；
   • 输出用于入湖与第三方验证的包。
3. I30-10 verify_bundle(bundle:any, pk:any) -> { valid:bool, diag:dict }
   • 校验 H_k 链与 sig_k/sig_bundle；
   • 比对 EnvLock、卡片哈希与运行产物指纹；
   • 报告差异定位与失败事件集合。
4. I30-11 orchestrate_run(card:dict, quota:dict) -> { run.id:string, TS:dict }
   • 依据执行图 G=(V,E) 安排资源与配额，监控 TS.makespan 与关键路径；
   • 对异常 E_ENV_DRIFT，E_TIMEBASE_SKEW，E_NONDETERMINISM 执行隔离与补偿。

VI. 计量流程与运行图

1. Mx-45 run-orchestrate
   • 载入 EnvLock 与卡片；
   • 构建执行图并设置 TS.* 采集；
   • 启动 canary 执行并限流至 r_canary；
   • 生成运行期事件 e_k 并滚动 H_k。
2. Mx-46 audit-trail-capture
   • 周期性固化 TS.snapshot 与产物指纹；
   • 事件链签名 sig_k 并写入只增存储；
   • 生成/更新 AuditBundle，对外暴露 verifier.pk_ref。
3. Mx-47 staged-release
   • 以 T_obs 为窗口合成评分 score 并对照 S32-31；
   • 满足门限则晋级渠道，否则触发 S32-32 回退；
   • 任何渠道变更形成事件 action ∈ { promote , rollback }。
4. Mx-48 compliance-archive
   • 归档 ReleaseBundle、BenchReport、公告包与验签结果；
   • 发布哈希索引与长期存取策略（WORM/多地冗余）；
   • 记录保留期与再验证计划。

VII. 验证与测试矩阵

1. 最小必测
   • 审计链一致性：构造 e_1..e_K，验证 H_K 与全体 sig_k，期望 valid = true。
   • 回退剧本：注入故障使 TS.drop_rate > tau_drop，期望在 T_rollback 内回退完成且生成事件 rollback。
   • 晋级门：在 T_obs 内满足 score >= tau_score 等条件，期望 canary → stable。
2. 边界与极端
   • 时钟漂移：引入 r_tb > tau_tb，期望阻断晋级与告警。
   • 密钥轮换：更换 pk 后历史包应保留旧 pk 验签路径，新包用新 pk，两者均 valid = true。
3. 统计功效
   对 score 的窗口均值 μ 与方差 s^2，窗口数 W 满足 W >= ceil( z_{1-β}^2 * s^2 / tau_score_margin^2 )，保证晋级判定的 II 类错误率不超过 β。

VIII. 交叉引用与依赖

• 《Core.Threads》：执行图、hb/bp、TS.* 指标定义与采集。
• 《Core.DataSpec》：清单与入湖模式、只增存储策略。
• 《Core.Metrology》：不确定度与窗口化、谱口径 S_xx(f)，U_w，ENBW。
• 第5章 环境与依赖锁定（EnvLock）；第6章 时基对齐与随机性；第7章 卡片结构；第8章 基准评分；第12章 验收与发布。

IX. 风险、限制与开放问题

• 风险
  指标选择偏置导致 score 高估；渠道切换窗口过短引发抖动；审计链集中式密钥托管的单点风险。
• 限制
  对超大规模分布式作业，TS.* 的粒度可能不足以定位细粒度失效；跨域网络时延抖动会放大 r_tb 的估计误差。
• 开放问题
  自适应 r_canary 与动态 T_obs 的最优控制；链上/链下混合存证的成本与可用性权衡；T_arr 两口径差异 delta_form 在发布评分中的权重学习。

X. 交付件与版本管理

1. 交付件清单
   • RunBook（运行编排与告警剧本）。
   • AuditBundle（含 H_K、sig_k、sig_bundle、verifier.pk_ref）。
   • ReleaseBundle（渠道、门限、评分与产物指纹）。
   • 公告包与第三方验证说明（验签步骤与期望输出）。
   • 归档索引与再验证计划。
2. 版本策略
   • 语义化版本与渠道同步发布；
   • 任一发布必须附带变更记录（见附录C）与可验证签名；
   • 回退版本沿原审计链追加记录，不得覆盖或删除历史事件。