20-EFT.WP.Metrology.TimeBase v1.0 | 第12章 边界与异常（闰秒/虚拟化/GNSS 异常）

目录 ／ 文档-技术白皮书 ／ 20-EFT.WP.Metrology.TimeBase v1.0

第12章 边界与异常（闰秒/虚拟化/GNSS 异常）

一句话目标：在存在闰秒、虚拟化时钟与 GNSS 源异常的复杂边界条件下，保持 tau_mono 单调性与对外 ts 一致性，量化风险并提供可审计的治理闭环。

I. 范围与对象

1. 覆盖对象
   • 时间尺度与闰秒：TAI/UTC/GPS/UT1 映射、leap_event ∈ {+1,-1,0}、UTC_smear 策略。
   • 虚拟化与容器：vCPU 抢占、TSC 稳定性、客体与宿主的时钟源切换与单调保障。
   • GNSS 异常：spoof/jam、ionosphere 扰动、1PPS/ToD 失配、GPS week rollover、多星座容错。
2. 输入
   实时观测：offset/skew/J、1PPS 偏移、PDOP、CN0、stall_ms（来宾时钟停滞）、wn_rx（GNSS 周计数）。
3. 输出
   • 策略与控制：leap_apply 或 UTC_smear、holdover 模式、source_fallback、warp(t) 调整。
   • 清单：manifest.time.boundary.*（事件、阈值、处置与签名）。

II. 名词与变量

• 时间尺度与闰秒：TAI, UTC, GPS, UT1, leap(t), Δ_leap ∈ {+1 s,-1 s}, W_smear, UTC_smear(t)。
• 虚拟化：TSC（invariant_tsc ∈ {0,1}）, ts_guest, ts_host, stall_ms, kvmclock_offset, host_skew。
• GNSS：t_sat, t_rx, d_prop, d_iono, d_trop, PDOP, CN0, 1PPS, ToD, wn_rx, WN_full。
• 度量与契约：offset, skew, J, lat, tol_*, q_score, TraceID。

III. 公设 P512-*

• P512-1（尺度一致）：内部 tau_mono 不受闰秒影响；UTC/TAI/GPS 仅作为发布到 ts 的映射层。
• P512-2（闰秒一次性）：任一 leap_event 在系统内仅应用一次；禁止重复补偿与跨窗口累加。
• P512-3（虚拟化单调）：在任意 vCPU 抢占与迁移下，tau_mono 必须 non_decreasing；必要时降级为单源 TSC 或 monotonic_raw。
• P512-4（GNSS 准入）：GNSS 未通过完整性校验与环境门限前不得作为伺服基准（先隔离后准入）。
• P512-5（多源表决）：GNSS/PTP/NTP/OCXO 多源融合采用稳健表决/加权中位；单一源偏离不得直接驱动相位步进。
• P512-6（到达时两口径）：任何路径时延估计发布 T_arr 两口径并记录 delta_form。
• P512-7（可追溯）：边界事件均入 manifest.time.boundary.*，含原始观测、处置策略与不确定度。

IV. 最小方程 S512-*

• S512-1（尺度映射）
  UTC(t) = TAI(t) - leap(t)；GPS(t) = TAI(t) - Delta_tai_gps；UT1(t) = UTC(t) + Delta_UT1(t)。
• S512-2（闰秒平滑）
  UTC_smear(t) = UTC(t) + ( Δ_leap ) * g( ( t - t0 ) / W_smear )，其中 g(x) ∈ [0,1]、g(0)=0、g(1)=1、| d g / d x | ≤ k_smear。
• S512-3（虚拟化停滞探测）
  stall_ms = max( 0 , ( ts_host - ts_guest ) - expected_progress )；若 stall_ms > stall_thr 触发降级。
• S512-4（GNSS 观测与偏移）
  t_rx = t_sat + d_prop + d_iono + d_trop + eps_hw；offset_gnss = ( t_1pps - ts_ref )。
• S512-5（周翻转修复）
  WN_full = argmin_w | T_gps( wn_rx + w * WN_mod ) - T_ref |，WN_mod 为 GNSS 规范的周周期。
• S512-6（持时上界）
  | offset_holdover(t) | ≤ | offset0 | + | y0 | * t + 0.5 * | dy/dt | * t^2 + J_wander(t)。
• S512-7（稳健表决估计）
  offset_fused = median( { offset_src } )；skew_fused = median( { skew_src } )；异常源以 MAD 规则降权。
• S512-8（抖动与单调约束）
  J = sqrt( Var( Delta_ts ) )；发布流满足 non_decreasing(ts) 与 | d warp / dt - 1 | ≤ eps_warp。

V. 异常治理流程 M50-12（检测→分类→隔离→校正→复归→审计）

1. 检测
   连续监控 offset/skew/J、1PPS、PDOP、CN0、stall_ms、wn_rx。
2. 分类
   A 类闰秒事件；B 类虚拟化停滞/迁移；C 类 GNSS（欺骗/干扰/电离层/周翻转）。
3. 隔离
   暂停相位步进；GNSS 退出伺服环（入隔离）；虚拟化切换到 monotonic_raw 与 holdover。
4. 校正
   • 闰秒：按策略 leap_step 或 UTC_smear(t)；
   • 虚拟化：限频/绑核/启用 invariant_tsc 或 kvmclock 校正；
   • GNSS：多星座重选、PDOP/CN0 门限、WN_full 修复、antenna/cable 延迟回标、holdover 收敛后再并入。
5. 复归
   使用 median/MAD 逐步降低隔离源权重至 0 再试探增权；满足契约后恢复表决。
6. 审计
   生成 manifest.time.boundary.*：事件、阈值、处置、剩余不确定度 U 与签名。

VI. 契约与断言

• C50-121（闰秒一致）：leap_event 应用次数 =1；若 UTC_smear 则 | d UTC_smear / dt - 1 | ≤ eps_smear 且 W_smear 内完成。
• C50-122（单调性）：violations( non_decreasing(ts) ) = 0；warp 约束 | d warp / dt - 1 | ≤ eps_warp。
• C50-123（虚拟化上界）：stall_ms_p99 ≤ bound_stall；invariant_tsc=1 或等效策略生效。
• C50-124（GNSS 准入门控）：PDOP ≤ pdop_max ∧ CN0 ≥ cn0_min ∧ spoof_score ≤ spoof_thr ∧ wnro_ok = true。
• C50-125（1PPS 对齐）：| offset_1pps | ≤ tol_1pps；不满足时强制 holdover。
• C50-126（到达时两口径）：delta_form ≤ tol_Tarr 全时满足。
• C50-127（量纲校核）：check_dim( offset/skew/J ) = pass。

VII. 实现绑定 I50-12*

• handle_leap_event(leap_table, policy, W_smear) -> plan（policy ∈ {step, smear_linear, smear_sine}）
• apply_leap_smear(ts, plan) -> ts'
• virtual_clock_guard(env) -> {invariant_tsc, pinning, tick_hz}
• probe_tsc_stability(samples) -> report（检验 drift 与 stall_ms）
• detect_gnss_spoof(stream, rules) -> {spoof_score, flags}
• resolve_gps_week_rollover(wn_rx, ref) -> WN_full
• enter_holdover(clock, horizon) -> mode；switch_time_source(order) -> active_src
• fuse_multi_sources(offsets, skews, method) -> {offset_fused, skew_fused}（method=median_mad）
• emit_boundary_manifest(event, actions, U) -> manifest.time.boundary
  不变量：unique(TraceID)；leap_applied_once=true；ts' 单调；source_fallback 不破坏 offset_p99 契约。

VIII. 交叉引用

• 时钟与参考：见第3章（OCXO/Rb/GNSS 持时与回标）。
• 时间戳链路与延迟预算：见第4章（warp(t) 与链路校正）。
• 同步协议与伺服：见第5章（步进/平滑策略与环路参数）。
• 偏移/频偏/抖动估计：见第6章（stall_ms 与 skew 估计）。
• 相位/时间噪声与 Allan 家族：见第7章（holdover 漂移上界）。
• 缓冲与时基转换：见第8章（单调与重采样）。
• 到达时计量与路径一致：见第9章（T_arr 两口径与 delta_form）。
• 流式运行与背压：见第11章（异常期间的背压与限流协同）。

IX. 质量度量与风控

1. SLI
   • leap_applied_flag, smear_window_active, smear_slope_max；
   • stall_ms_p95/p99, guest_tsc_invariant, offset_1pps_p95；
   • gnss_use_ratio, spoof_alerts_count, wnro_events, holdover_duration_s。
2. 风控策略
   • 优先级：holdover > multi-source median > PTP > NTP > GNSS(隔离)；
   • 灰度：小权重并入→观测通过→权重提升；
   • 注入演练：定期闰秒模拟、虚拟机暂停注入、spoof/jam 沙箱，校验 C50-121..127。

小结

• 本章给出闰秒、虚拟化与 GNSS 异常三大边界情形下的尺度映射、检测门控与处置闭环。
• 通过 P512-*、S512-*、M50-12、C50-12* 与 I50-12*，可在极端条件下维持 tau_mono 单调与 ts 一致，确保到达时两口径与发布 SLO 持续达标。