20-EFT.WP.Metrology.TimeBase v1.0 | 第14章 质量指标、SLO 与面板

目录 ／ 文档-技术白皮书 ／ 20-EFT.WP.Metrology.TimeBase v1.0

第14章 质量指标、SLO 与面板

一句话目标：以统一 SLI/SLO 口径度量时基服务的准确度、稳定性与可用性，形成可审计的面板与误差预算闭环。

I. 范围与对象

1. 覆盖对象
   • 内部 tau_mono 与对外 ts 的发布质量、同步链路健康、到达时一致化与抖动控制。
   • 统计窗口与聚合：滚动/切片窗口 Delta_t，分位数 pXX，误差预算与燃尽。
   • 可视化与审计：TS.sli.* 面板字段、阈值 tol_*、告警与回退联动。
2. 输入
   • 基础观测：offset, skew, J, offset_1pps, delta_form, adev(tau), mdev(tau), hdev(tau)。
   • 事件流：source_switch, holdover, leap_event, smear_active, failover, drift_alarm。
   • 策略：tol_offset, tol_skew, tol_J, tol_Tarr, 目标 SLO 与告警策略。
3. 输出
   • 质量报告：report.sli, report.slo, burn_rate.*, q_score。
   • 面板：总览/准确度/稳定性/同步源健康/事件与回退/合规模块。
   • 清单映射：manifest.time.sli.* 与 manifest.time.slo.*。

II. 名词与变量

• 精度相关：offset(s), skew(ppm), J(s), offset_1pps(s), p50/p95/p99(x)。
• 稳定性相关：adev(tau), mdev(tau), hdev(tau)；tau ∈ {1, 10, 100, ...}(s)。
• 到达时一致：T_arr 两口径与 delta_form；阈值 tol_Tarr(s)。
• 可用性与预算：good(t) ∈ {0,1}, SLO_target ∈ (0,1], EB(error budget), burn_rate。
• 面板字段：TS.sli.offset.p99, TS.sli.skew.p99, TS.sli.J.p99, TS.sli.adev.tau_*, TS.sli.delta_form.max。
• 单位/量纲：unit(x), dim(x), check_dim(expr)；全部以 SI 与 [T] 一致。

III. 公设 P514-*

• P514-1（窗口一致）：所有 SLI 在 tau_mono 上计算，在 ts 上发布，并附 offset/skew/J 的不确定度。
• P514-2（口径不变）：分位数、ADEV/MDEV/HDEV 口径与估计器固定，不得在窗口内动态更换。
• P514-3（误差预算可加）：误差预算跨窗口可串接，燃尽率可乘以窗口倍率用于多尺度告警。
• P514-4（两口径必检）：出现 T_arr 必并行记录两口径与 delta_form。
• P514-5（单调与可追溯）：non_decreasing(ts) 与签名追溯见第13章，面板仅引用已签名落盘的指标。
• P514-6（单位守恒）：发布前执行 check_dim(expr)，任一跨字段运算先做单位归一。

IV. 最小方程 S514-*

• S514-1（分位数定义）
  p_q(x) = inf{ z : ( ∑_{j=1..N} 1{ x_j ≤ z } ) / N ≥ q }，q ∈ (0,1)。
• S514-2（可用性与 SLO 评估）
  定义合格判据：g_i = 1{ |offset_i| ≤ tol_offset ∧ |skew_i| ≤ tol_skew ∧ J_i ≤ tol_J ∧ delta_form_i ≤ tol_Tarr }；
  窗口 SLI：SLI = ( ∑ w_i * g_i ) / ( ∑ w_i )；窗口 SLO 判据：pass = 1{ SLI ≥ SLO_target }。
• S514-3（误差预算与燃尽）
  EB = max( 0 , SLO_target - SLI )；
  burn_rate_W = ( bad_time_W / ( (1 - SLO_target) * W ) )，其中 W 为窗口时长。
  多尺度燃尽：burn_rate = max( burn_rate_W1 , burn_rate_W2 )。
• S514-4（RMS 抖动与 Allan 家族）
  J_rms = sqrt( (1/N) * ∑ (offset_i - mean(offset))^2 )；
  adev(tau), mdev(tau), hdev(tau) 估计遵循第7章口径（相位差分与重叠估计）。
• S514-5（到达时两口径差）
  delta_form = | ( 1 / c_ref ) * ( ∫ n_eff d ell ) - ( ∫ ( n_eff / c_ref ) d ell ) |，delta_form ≤ tol_Tarr。
  积分路径 gamma(ell) 与测度 d ell 必显式。

V. 度量与发布流程 M50-14（采集→聚合→评估→出图→落盘）

• 采集
  从同步与观测栈采集 offset/skew/J/1pps/adev/* 与事件；同时拉取 T_arr 两口径。
• 聚合
  以窗口 Delta_t 计算 p50/p95/p99、J_rms、adev(tau)；生成 TS.sli.*。
• 评估
  执行 S514-2 与 S514-3，计算 SLI, EB, burn_rate，生成 report.slo。
• 出图
  渲染面板：总览/准确度/稳定性/源健康/事件/合规，打上 release_tag 与 TraceID。
• 落盘
  写入 manifest.time.sli.* 与 manifest.time.slo.*，并签名入链（见第13章）。

VI. 契约与断言 C50-14*

• C50-141（分位门槛）：|offset|_p99 ≤ tol_offset ∧ |skew|_p99 ≤ tol_skew ∧ J_p99 ≤ tol_J。
• C50-142（ADEV 门槛）：adev(tau_k) ≤ adev_max(tau_k)，tau_k 为目标格点。
• C50-143（两口径差）：max(delta_form) ≤ tol_Tarr。
• C50-144（可用性 SLO）：SLI ≥ SLO_target，否则进入降级或回退。
• C50-145（燃尽告警）：burn_rate ≥ br_hi 触发高优先级告警，burn_rate ≥ br_mid 触发预警。
• C50-146（面板完整性）：required_fields ⊆ TS.sli.* ∧ check_dim(all) = pass ∧ signature_valid = true。
• C50-147（单调与空洞）：violations( non_decreasing(ts) ) = 0 ∧ missing_rate(TS.sli.*) ≤ m_thr。

VII. 实现绑定 I50-14*

• collect_sli(ds, sensors, window) -> sli_raw
• aggregate_sli(sli_raw, window, quantiles, taus) -> TS.sli.*
• compute_allan(ds, taus, mode) -> {adev, mdev, hdev}
• evaluate_slo(TS.sli.*, targets) -> {SLI, EB, burn_rate, pass}
• render_time_panels(TS.sli.*, report, layout) -> dashboard
• emit_sli_manifest(TS.sli.*, report) -> manifest.time.sli
• slo_alerts(report, policy) -> actions
  不变量：unique(TraceID)；mean(weights)=1（若使用加权）；unit/dim 校核通过；delta_form 字段存在且已评估。

VIII. 交叉引用

• 同步协议与伺服面板来源：见第5章。
• 偏移/频偏/抖动估计与鲁棒化：见第6章。
• Allan 家族定义与估计器：见第7章。
• 到达时计量与路径一致化：见第9章。
• 合规、契约与签名发布：见第13章。
• 流式运行与背压指标：见第11章。

IX. 面板设计与运维要点

1. 面板分区
   • 总览：offset_p50/p95/p99, J_p99, SLI, burn_rate, holdover_duration_s。
   • 准确度：offset 与 offset_1pps 的时间曲线与分位带。
   • 稳定性：adev/mdev/hdev 多 tau 曲线与目标带。
   • 源健康：pdop, cn0, source_switch_count, smear_active_flag。
   • 事件与回退：leap_event, failover, drift_alarm, rollback_to(tag) 记录。
   • 合规模块：contract_fail_rate, signature_valid, audit_gap_seconds。
2. 运维规则
   • 多窗口燃尽：短窗 W1（5 min）与长窗 W2（1 h）同时监视，取最大 burn_rate 触发。
   • 回退闭环：C50-144 失败或 burn_rate ≥ br_hi 即执行灰度降级与 rollback_to(last_good)。
   • 变更守则：任何阈值或口径变更需新建 release_tag 并重签 manifest。

小结

• 本章给出 P514-* 基线、S514-* 计算式、M50-14 流程、C50-14* 契约与 I50-14* 接口，形成从观测→聚合→评估→出图→落盘→告警的闭环。
• 依此面板与 SLO 体系，时基服务在准确度、稳定性与可用性上实现可衡量、可追溯、可回退的持续合规运行。