16-EFT.WP.Methods.Cleaning v1.0 | 第10章 合规、契约与发布冻结

目录 ／ 文档-技术白皮书（V5.05） ／ 16-EFT.WP.Methods.Cleaning v1.0

第10章 合规、契约与发布冻结

一句话目标：以契约为发布闸门，形成可审计、可回放、可追溯的不可变发布物 A_release 与 manifest，保证 D_link 达到合规与质量SLO后方可冻结与对外发布。

I. 范围与对象

1. 处理对象
   • 输入：D_link（见第9章），附带 manifest.* 分项（时基、单位、到达时、缺失与异常、参照完整性）。
   • 合规资料：contract（断言库与阈值）、policy（处置策略）、keys = {pk, k_biz, FK}。
   • 加密与追溯：hash_sha256(blob), signature, TraceID。
2. 目标产物
   输出：A_release = freeze_release( D_link , manifest , tag )；manifest.release（含断言结果、阈值、签名与上游溯源）；report_gate（闸门报告）。

II. 名词与变量（记忆锚点）

1. 契约与测试
   • 测试集合：T = {test_i}；阈值：tol_i；权重：w_i ≥ 0。
   • 合规布尔量：pass_i ∈ {0,1}；总体：contract_ok ∈ {0,1}。
   • 严重性：sev_i ∈ {info, warn, error, block}。
2. 发布与标签
   • 发布标签：tag = channel:version+build，channel ∈ {stage, canary, prod}。
   • 发布标识：rid_release = hash_sha256( D_link || manifest )。
3. 质量与SLO
   • 指标：P99, drift, q_score, orphan_rate, dup_rate, delta_form。
   • 置信：U = k * u_c；单位与量纲校核：check_dim(expr)。

III. 公设（P110-*）

• P110-01 闸门优先公设
  发布必须经由 contract 判定，contract_ok = 1 方可冻结对外。
• P110-02 不可变发布公设
  A_release 内容地址化且不可变，任何变更以新 rid_release 与新 tag 表示。
• P110-03 可追溯签名公设
  signature = Sign( hash_sha256( A_release ) , sk )，外部以 pk 验证，验签通过为发布前置条件之一。
• P110-04 前置一致公设
  不得在发布环节改变 unit(x), dim(x), tau_mono/ts 映射与 gamma(ell) 定义；仅可读与断言。
• P110-05 口径守恒公设
  T_arr 两口径与 delta_form 必须在发布前重算与复核；阈值 tol_Tarr 不得放宽。
• P110-06 审计完备公设
  manifest.release 必含输入溯源、阈值、断言结果、例外豁免与签名字段，缺一不可。

IV. 最小方程（S110-*）

• S110-01 合规总判据
  pass = contract_ok ∧ signature_ok。
• S110-02 合同化断言聚合
  pass_i = 1_{ metric_i ≤ tol_i }；contract_ok = ∧_i ( pass_i ∨ waived_i )，
  其中 waived_i 必在 manifest.release.waiver 中登记且 sev_i ≠ block。
• S110-03 风险指数（用于灰度）
  risk = ( sum_i w_i * max( 0 , metric_i - tol_i ) ) / ( sum_i w_i )；要求 risk ≤ tol_risk 才可进入 canary。
• S110-04 到达时闸门
  delta_form = | ( 1 / c_ref ) * ( ∫ n_eff d ell ) - ( ∫ ( n_eff / c_ref ) d ell ) |；要求 delta_form ≤ tol_Tarr。
• S110-05 参照与唯一性闸门
  fk_valid = mean( 1_{ fk ∈ Parent.pk } ) = 1；unique(pk) = true；在声明域内 unique(k_biz) = true。
• S110-06 单调与时基闸门
  non_decreasing(ts) 与（如适用）non_decreasing(ell) 恒成立；offset/skew/J 在 tol_time 内。
• S110-07 计量一致闸门
  check_dim( y - f(x) ) = true；单位映射与量纲无冲突。
• S110-08 发布标识与签名
  rid_release = hash_sha256( D_link || manifest )；signature_ok = Verify( signature , rid_release , pk )。

V. 清洗流程（M10-10 发布闸门与冻结）

• 就绪条件确认
  验证第3–9章产物齐备：schema_ok, units_ok, time_ok, arrival_ok, missing_ok, outlier_ok, fk_ok。
• 构建契约与阈值
  unique(pk)、unique(k_biz@declared_scope)、assert_fk、check_dim、arrival_forms(delta_form, tol_Tarr)、time_monotone(ts|ell)、q_score ≥ q_min、drift ≤ tol_drift、dup_rate ≤ tol_dup、orphan_rate ≤ tol_orphan、P99(latency) ≤ tol_p99。加载 contract = {tests, tol_i, sev_i, w_i}；实例化必选断言：
• 执行断言与汇总
  计算 metric_i、生成 pass_i；形成 report_gate 与 risk。
• 灰度与豁免策略
  若 contract_ok = 0 且仅 sev ∈ {info,warn} 失败，可申请 waiver：waived_i = 1 并记录时效、责任人与回补计划；risk ≤ tol_risk 方可 canary。
• 冻结前复核
  复算 delta_form 与 check_dim；复核 equiv_map_digest、fk_repair_stats（见第9章）与 manifest.* 一致性。
• 冻结与签名
  生成 rid_release；序列化并计算 hash_sha256(blob)；出具 signature；写入 trace = TraceID。
• 发布与落盘
  A_release 写入只读存储；发布 tag 到目标 channel；落盘 manifest.release 与 report_gate。
• 回退预案与SLO监控
  生成 rollback_plan，登记 prev_tag 与回退触发条件；启动 post_release SLO 观察窗口 W_post。

VI. 契约与断言（标准库，示例）

• 唯一性与参照
  unique(pk), unique(k_biz@scope), assert_fk(parent, child, fk)。
• 到达时与路径
  arrival_forms(delta_form, tol_Tarr), non_decreasing(ell)（若存在）。
• 计量
  check_dim( expr_set ), unit_consistency(fields)。
• 时间
  non_decreasing(ts), |offset| ≤ tol_offset, |skew| ≤ tol_skew, J ≤ tol_J。
• 质量与异常
  q_score ≥ q_min, drift ≤ tol_drift, outlier_share ≤ tol_outlier，orphan_rate = 0 或隔离。
• 性能与可用性（发布环节）
  P99(gate_time) ≤ tol_p99_gate, idempotency_fail_rate = 0。

VII. 实现绑定（I10-10）

1. 接口原型
   • assert_contract(ds, contract) -> report_gate, contract_ok
   • export_manifest(ds, report_gate, tag) -> manifest
   • freeze_release(ds, manifest, tag) -> A_release, rid_release, signature
   • verify_release(A_release, signature, pk) -> signature_ok
   • prepare_rollback(current_tag, prev_tag) -> rollback_plan
   • apply_waiver(contract, waiver_spec) -> contract'
2. 不变量
   • 不修改 ds 内容；仅生成报告、标识与签名。
   • 多次对同一 rid_release 调用 verify_release 必得到一致结果（幂等）。
3. 失败语义
   E_CONTRACT_FAIL、E_SIGNATURE_FAIL、E_IMMUTABILITY_BREACH、E_QA_INCOMPLETE。

VIII. 交叉引用

• 模式与键空间：见第3章。
• 单位与量纲：见第4章。
• 时间轴与同步：见第5章。
• 路径与到达时：见第6章。
• 缺失与异常：见第7–8章。
• 去重与参照：见第9章。
• 流式与背压（灰度与SLO联动）：见第11章。
• 清单模板与签名流程：见附录C。

IX. 质量度量与风控

1. 发布层指标
   • gate_pass_rate, false_block_rate, waiver_rate, risk, P99(gate_time), verify_fail_rate。
   • 追溯：audit_latency, replay_success_rate，rid_release_coverage。
2. 风控护栏
   • waiver_rate > tol_waiver → 进入变更冻结，审计阈值收紧。
   • verify_fail_rate > 0 → 立即封版并吊销 tag。
   • post_release drift > tol_drift → 启动 rollback_plan 并回退至 prev_tag。

X. 边界与特例

• 法规域发布
  若目标域要求附加字段（如 PII_masking_proof），在 manifest.release.extras 中提供并加入强制断言。
• 多渠道并行
  tag 可在 {stage, canary, prod} 并存，但每个渠道 tag 必唯一映射到单个 rid_release。
• 增量发布
  对增量批 ΔD，要求 contract 同步评估在 ΔD 与累积视图 D* 两个口径：
  contract_ok = contract_ok(ΔD) ∧ contract_ok(D*)。

XI. 审计与清单最小键

• rid_release, tag, created_at(ts), producer, TraceID
• inputs = {rid_upstream, versions}, tests = {(name, metric, tol, pass_i, sev_i, waived_i)}
• timing = {offset, skew, J}, arrival = {delta_form, tol_Tarr}
• units = {unit(x), dim(x)}, integrity = {hash_sha256(blob), signature}
• policy_version, waiver, rollback_plan.digest

小结
本章以契约为中心，构建从断言执行、风险聚合、签名验证到不可变冻结的发布闭环：pass = contract_ok ∧ signature_ok。配套 manifest.release 与回退预案，实现对外发布的合规、可溯与可回放，为后续第11章的流式闭环与运维SLO提供稳定入口。