20-EFT.WP.Metrology.TimeBase v1.0 | 第13章 合规、契约与审计

目录 ／ 文档-技术白皮书 ／ 20-EFT.WP.Metrology.TimeBase v1.0

第13章 合规、契约与审计

一句话目标：以可执行契约作为质量闸门，形成“评估→签名→冻结→追溯”的闭环，确保 tau_mono 与对外 ts 的发布在法定/行业合规与技术 SLO 下稳定可审计。

I. 范围与对象

1. 覆盖对象
   • 时基发布与版本冻结：ts、tau_mono、warp(t)、manifest.time.*。
   • 契约库与评估：C50-* 断言集、tol_*、SLO。
   • 审计与追溯：TraceID、hash_sha256(blob)、signature、prev_hash 链。
2. 输入
   • 观测与统计：offset, skew, J, offset_1pps, delta_form, pdop/cn0, 事件与告警流。
   • 策略与阈值：policy.yaml（阈值、回退策略、保留期）。
3. 输出
   • 评估报告：report.contracts, report.slo, q_score。
   • 冻结与签名：manifest.time, signature, release_tag。
   • 审计资产：不可变日志、哈希链与重放证据。

II. 名词与变量

• 核心字段：ts, tau_mono, warp(t), offset, skew, J, leap_event, UTC_smear(t), holdover, active_src。
• 阈值与指标：tol_offset, tol_skew, tol_J, tol_Tarr, SLO.*, p99(x)。
• 追溯与签名：TraceID, hash_sha256(blob), prev_hash, signature, pubkey_ref。
• 不确定度：u(x), U = k * u_c（见附录 E）。
• 单位/量纲：unit(x), dim(x), check_dim(expr)。

III. 公设 P513-*

• P513-1（契约优先）：任何对外发布必须先通过 C50-* 契约评估与签名验证。
• P513-2（单调与口径）：non_decreasing(ts) 与 T_arr 两口径并行发布为不可协商项。
• P513-3（合规分层）：技术 SLO 达成是必要条件，法律/行业合规通过是充分条件；两者缺一不可。
• P513-4（可追溯不可变）：审计日志采用哈希链与签名，不允许追写与覆盖。
• P513-5（最小披露）：审计与发布仅暴露必要元数据，避免与业务数据的耦合泄露。
• P513-6（重放可验证）：任一发布可在隔离环境重放获得等价 manifest.time 与 signature。
• P513-7（跨卷一致）：契约字段与命名遵循 DataSpec 与 Methods.Cleaning/Imaging/CrossStats 的统一口径。

IV. 最小方程 S513-*

• S513-1（发布判据）
  pass_release = ( ∧_i 1{ test_i(report) = true } ) ∧ ( signature_valid = true )。
• S513-2（分位指标）
  p99(x) = inf{ z : ( ∑ 1{ x_j ≤ z } ) / N ≥ 0.99 }，适用于 offset/skew/J 等。
• S513-3（不确定度合成）
  U_offset = sqrt( ∑ u_k^2 )，发布 U = k * u_c 且 unit(offset)="s", dim(offset)="[T]"。
• S513-4（哈希与签名）
  h = hash_sha256(blob)；sig = Sign( privkey_ref , h )；验证 Verify( pubkey_ref , h , sig ) = true。
• S513-5（口径差约束）
  delta_form = | ( 1 / c_ref ) * ( ∫ n_eff d ell ) - ( ∫ ( n_eff / c_ref ) d ell ) | ≤ tol_Tarr。
• S513-6（冻结一致）
  manifest_frozen = h_config ⊕ h_data ⊕ h_contracts ⊕ h_binaries（直和仅表示组合生成的聚合哈希）。

V. 合规与发布流程 M50-13（就绪→评估→签名→冻结→发布→审计）

• 就绪
  锁定版本：配置、二进制、契约库 C50-*、阈值 tol_* 与公钥 pubkey_ref。
• 评估
  计算 offset/skew/J、p99(*)、delta_form、offset_1pps、源健康度等，执行 evaluate_time_contracts。
• 签名
  生成 manifest.time，计算 h 并 Sign，校验 Verify = true。
• 冻结
  freeze_release_time(tag)；物料与 manifest.time 入仓，生成 prev_hash → h 的链指针。
• 发布
  原子切换到新 tag，落盘 release_note 与对外 SLO 摘要。
• 审计
  输出 audit_bundle = {manifest, report, logs_chain}，并登记 TraceID；支持离线重放验证。

VI. 契约与断言（节选）

• C50-131（单调性）：violations( non_decreasing(ts) ) = 0。
• C50-132（偏移/频偏/抖动）：| offset |_p99 ≤ tol_offset ∧ | skew |_p99 ≤ tol_skew ∧ J_p99 ≤ tol_J。
• C50-133（到达时两口径）：delta_form ≤ tol_Tarr 且记录 T_arr 两口径。
• C50-134（闰秒/平滑一致）：若 leap_event ≠ 0，则 UTC_smear 满足 | d UTC_smear / dt - 1 | ≤ eps_smear 且仅生效一次。
• C50-135（源健康门控）：pdop ≤ pdop_max ∧ cn0 ≥ cn0_min ∧ spoof_score ≤ spoof_thr 未满足则 holdover=true。
• C50-136（链路预算）：| offset_1pps | ≤ tol_1pps；链路校正后 check_dim( offset ) = pass。
• C50-137（签名与整链）：Verify(pubkey_ref, hash_sha256(manifest), signature)=true ∧ prev_hash 连续。
• C50-138（回退可用）：last_good.tag 存在且 ttr_rollback ≤ ttr_max。
• C50-139（字段与单位）：required_fields ⊆ manifest.time.keys ∧ ( ∀x unit(x), dim(x) 已声明 )。

VII. 实现绑定 I50-13*

• evaluate_time_contracts(ds, rules) -> report
• export_time_manifest(tag, inputs, report) -> manifest.time
• sign_manifest(manifest, keyref) -> signature
• verify_manifest(manifest, signature, pubkey) -> ok
• freeze_release_time(tag) -> artifact
• audit_replay(bundle, sandbox) -> findings
• tamper_chain(logs) -> {ok, break_at}（验证 prev_hash 连续性）
• risk_score(report, weights) -> q_score
• rollback_to(tag_last_good) -> state
• retention_compactor(policy) -> archive_index
  不变量：unique(TraceID)；signature_valid=true；manifest_frozen 后只读；mean(weights)=1（指标加权归一）。

VIII. 交叉引用

• 同步与伺服约束：见第5章。
• 偏移/频偏/抖动估计：见第6章。
• Allan 家族与持时不确定度：见第7章。
• 到达时与路径口径：见第9章。
• 边界与异常处置：见第12章。
• 流式运行与背压闭环：见第11章（发布切换期间的限流与回退）。

IX. 质量度量与风控

1. SLI（示例）
   • offset_p50/p95/p99, skew_p99, J_p99, offset_1pps_p95。
   • ts_monotonic_violations, source_switch_count, holdover_duration_s。
   • contract_fail_rate, sig_verify_fail, audit_gap_seconds, smear_active_flag。
2. SLO（建议）
   offset_p99 ≤ tol_offset, J_p99 ≤ tol_J, contract_fail_rate ≤ 10^-3，ttr_rollback ≤ 5 min。
3. 风控与回退
   • 触发条件 → 自动 rollback_to(last_good)；holdover 优先于引入不健康外源；灰度升权恢复。
   • 周期性“闰秒/停滞/欺骗”注入演练，审计 tamper_chain=ok 且 audit_replay 一致。

小结

• 本章将合规、契约与审计落地为 P513-*、S513-*、M50-13、C50-13* 与 I50-13* 的闭环。
• 任何对外时基发布均以契约通过与签名验证为门槛，产生可重放、可追溯、可回退的 manifest.time，并与全卷时基建模与边界治理保持一致口径。