20-EFT.WP.Metrology.TimeBase v1.0 | 附录B 契约库与策略卡（C50 全集）

目录 ／ 文档-技术白皮书 ／ 20-EFT.WP.Metrology.TimeBase v1.0

附录B 契约库与策略卡（C50 全集）

一句话目标：提供时基计量与同步的可执行契约 C50-* 与策略卡模板，使偏移/频偏/抖动、Allan 家族、到达时两口径与分布式同步在生产中可度量、可告警、可回退。

I. 作用与范围

• 覆盖对象
  单机时基、链路时间戳、同步伺服（NTP/PTP/SyncE）、到达时与路径、缓冲与重采样、分布式图同步、审计与面板。
• 输出物
  契约清单 contracts.time.*、评估报告 report.contracts、策略执行轨迹 audit_log。
• 评估基线
  统计均在 tau_mono 上计算，对外以 ts 发布；所有涉及到达时的度量并行记录两口径与 delta_form。

II. 评估语义与规则文法

1. 规则原语
   • metric ⊲⊳ threshold within Δt using agg，其中 agg ∈ {mean, p95, p99, max}，⊲⊳ ∈ {≤, ≥, ∈}。
   • 组合：AND, OR, k-of-n，违约严重度分级 sev ∈ {warn, major, critical}。
2. 统计窗口
   Δt = [t0, t1] 滚动或翻转窗口；序贯场景附 alpha_spending 预算。
3. 不确定度发布
   若契约依赖估计量 x_hat，同时发布 U = k * u_c 与覆盖置信度或后验分位。
4. 量纲与单位
   每条规则必须声明 unit(metric) 与 dim(metric) 并通过 check_dim(metric - threshold)。

III. 基础契约簇 C50-1x（时基与时间戳）

1. C50-11 非递减时基
   • 规则：non_decreasing(tau_mono)；违约即数据拒收。
   • 触发动作：标注段落 m=1，隔离批次。
2. C50-12 ts 发布斜率
   • 规则：d ts / d tau_mono ∈ [1 - tol_skew_pub, 1 + tol_skew_pub] within Δt using max。
   • 默认阈：tol_skew_pub = 5 ppm。
3. C50-13 时间戳链路预算
   • 规则：latency_chain.p99 ≤ budget_chain.p99，并分解 phy/macf/stack/app 各自不超预算。
   • 交叉：见第4章与 I50-41/42。
4. C50-14 单位与量纲
   规则：check_dim(all) = pass；发布前强制执行。

IV. 同步与伺服契约簇 C50-2x（NTP/PTP/SyncE）

1. C50-21 PTP 锁定稳定性
   • 规则：offset.p95 ≤ tol_offset_p95 AND J.p99 ≤ tol_J_p99 within Δt。
   • 默认阈：tol_offset_p95 = 200 ns，tol_J_p99 = 1 μs（根据剖面调整）。
   • 依赖：I50-51/55/56。
2. C50-22 BMCA 唯一性
   • 规则：count(role == GM) = 1 within Δt；若 >1 则 critical。
   • 动作：执行 failover_policy 并写入 audit_log。
3. C50-23 NTP 频偏与合规
   • 规则：|skew|.mean ≤ tol_skew_ntp within Δt；slew_rate ≤ max_slew。
   • 默认阈：tol_skew_ntp = 100 ppm，max_slew = 50 ns/s。
4. C50-24 Holdover 预算
   • 规则：holdover_time ≤ holdover_budget 且 offset.p95 ≤ tol_offset_holdover。
   • 动作：超过预算则服务降级、限流或切换二级参考。
5. C50-25 Leap Smear 一致性
   • 规则：闰秒窗口内 |Δts_step| = 0 且 smear_profile == policy。
   • 违约：major，触发回退配置。

V. Allan 家族与噪声契约簇 C50-3x

1. C50-31 ADEV 包络
   • 规则：adev(τ) ≤ A_spec(τ) + margin for τ ∈ TauSet。
   • 默认：TauSet = {1 s, 10 s, 100 s, 1 ks}，margin = 20 %。
   • 依赖：第7章与 I50-73。
2. C50-32 MDEV/TDEV 上界
   • 规则：mdev(τ) ≤ M_spec(τ)，TDEV(τ) ≤ T_spec(τ)。
   • 典型：T_spec(1 s) = 100 ns，曲线随剖面给出。
3. C50-33 相位噪声积分
   • 规则：∫_{f1}^{f2} S_phi(f) df ≤ tol_phase_area。
   • 应用：抖动预算与 SER 限制场景。

VI. 到达时与路径契约簇 C50-4x

1. C50-41 两口径一致
   • 规则：delta_form = | ( 1 / c_ref ) * ( ∫ n_eff d ell ) - ( ∫ ( n_eff / c_ref ) d ell ) | ≤ tol_Tarr。
   • 默认：tol_Tarr = 100 ps（场景依赖可调）。
   • 依赖：第9章与 I50-91/92。
2. C50-42 路径单调与长度
   • 规则：non_decreasing(ell) 且 L_gamma = ( ∫_gamma 1 d ell ) ≥ 0。
   • 违约即拒收，并回写 TraceID。
3. C50-43 发布映射一致
   • 规则：T_arr 在 tau_mono 与 ts 发布映射间差异 ≤ tol_map。
   • 默认：tol_map = 10 ps。

VII. 缓冲、重采样与时基转换契约簇 C50-5x

1. C50-51 缓冲下溢/上溢保护
   • 规则：drop_rate ≤ tol_drop 且 latency_buffer.p99 ≤ tol_buf_p99。
   • 典型：tol_drop = 1e-6，tol_buf_p99 = 5 ms。
2. C50-52 重采样失真
   • 规则：ENBW_error ≤ tol_enbw 且 alias_power ≤ tol_alias。
   • 依赖：I50-82。
3. C50-53 时基转换可逆性
   • 规则：|| F^{-1}(F(ds)) - ds || ≤ tol_roundtrip。
   • 适用：高保真网元边界。

VIII. 分布式与故障切换契约簇 C50-6x

1. C50-61 参考树一致
   • 规则：graph_sync.plan.valid = true AND cycles = 0。
   • 依赖：第10章与 I50-101。
2. C50-62 失效域隔离
   • 规则：blast_radius ≤ tol_radius 在单点失效注入下测得。
   • 动作：策略卡触发 quarantine(zone) 与 traffic_shift。
3. C50-63 Failover 时间
   • 规则：t_failover ≤ tol_failover 且期间 offset.p99 ≤ tol_offset_failover。
   • 典型：tol_failover = 2 s，tol_offset_failover = 1 μs。

IX. 审计、SLO 与合规模板 C50-7x

1. C50-71 SLO 燃尽率
   • 规则：burn_rate_W = bad_time_W / ( (1 - SLO_target) * W ) ≤ tol_burn。
   • 分级：warn ≤ 2, major ≤ 6, critical > 6。
2. C50-72 签名与追溯
   • 规则：signature_valid = true AND hash_sha256(manifest) == recorded_hash。
   • 违约即拒绝发布。
3. C50-73 计量闭包
   规则：所有发布指标具 unit/dim/U 三件套；缺失以 m ∈ {0,1} 标注且占比 ≤ tol_missing。

X. 策略卡模板（可实例化）

1. 模板字段
   name, scope, triggers, metrics, thresholds, window Δt, actions, fallbacks, rollback, owner, TraceID。
2. 执行流
   • 侦测：评估相关 C50-*。
   • 决策：分级路由 warn/major/critical。
   • 动作：throttle, reparent_to_GM, enter_holdover, enable_smear, quarantine, degrade_service。
   • 审计：记录 audit_log 与 signature。
   • 回退：条件满足后自动撤销或人工批准。
3. 示例 A：PTP 锁丢失恢复
   • 触发：C50-21 连续 3 个窗口 major+。
   • 动作：切至 holdover，执行 failover_policy，降级对时服务；并启动 I50-55 servo_kalman 强稳态滤波。
4. 示例 B：到达时两口径越界
   • 触发：C50-41 违约。
   • 动作：暂停发布 T_arr，回退至上版映射，触发 recalibrate path，恢复后重放窗口并补审计。
5. 示例 C：分布式参考树重构
   • 触发：C50-61 或 C50-62 违约。
   • 动作：最小扰动重根选举，限制切换频度 ≤ 1 / T_min_switch，并对边缘区启用 traffic_shift。

XI. 契约打包与等级

1. 档位定义
   • Gold：C50-21/22/24/31/32/41/61/63/71/72 全启用，偏紧阈值。
   • Silver：核心契约启用，阈值放宽 1.5 倍。
   • Bronze：仅基础与审计必需，阈值放宽 2 倍。
2. 组合原则
   同一档位内采用 k-of-n 容忍机制，默认 k = n - 1；跨档位不得降级发布。

XII. 集成与落盘键

1. 清单映射
   • manifest.time.contracts = { id, rule, window, result, severity, action, ts, signature }。
   • 面板字段映射 TS.sli.* 与 report.slo 对齐。
2. 交叉引用
   第5章 同步伺服实现、第7章 Allan 家族度量、第9章 到达时路径一致化、第14章 SLO 面板。

小结