21-EFT.WP.Metrology.Sync v1.0 | 第10章 保持与回退（Holdover/Failover）

目录 ／ 文档-技术白皮书 ／ 21-EFT.WP.Metrology.Sync v1.0

第10章 保持与回退（Holdover/Failover）

一句话目标：在上游参考失锁或劣化时，以可证明的误差上界保持本地时基，并在满足契约的前提下完成安全回退与切换。

I. 范围与对象

1. 适用对象
   • PTP/NTP/SyncE/White Rabbit 同步系统在参考丢失、路径异常或主时钟故障时的保持（holdover）与回退（failover）策略。
   • 单机本振（TCXO/OCXO/Rb）与集群多 GM 场景的切换与恢复。
2. 输入
   • 当前相位误差 x(t)、分数频率偏差 y(t)、伺服状态 state、噪声分型与稳定度曲线 adev/mdev/tdev/hdev。
   • 备选主时钟集合 {GM_i} 的质量指标与路径指标：class_i, priority_i, q_path_i, asym_i, sigma_t_i。
   • 时间轴与到达时信息：tau_mono, ts, T_arr 两口径与 delta_form。
   • 设备本振模型与温度/老化参数。
3. 输出
   • 持续时间内的误差预测 ETE(t) 与上界 E_bound(t)，回退决策与切换轨迹（slew/step 限制）。
   • 清单与审计：manifest.sync.holdover.*, manifest.sync.failover.*。

II. 名词与变量

• x(t)：时间误差（s），y(t) = d x(t) / d t（1）。
• ete(t)：estimated time error，预测时间误差。
• E_bound(t)：误差置信上界（如 P95/P99）。
• t_loss：失锁时刻；Delta_t = t - t_loss：保持历时。
• nu0：标称频率；D：线性频偏漂移（1/s）。
• tau：稳定度平均时间；tdev(tau)：时间稳定度（s）。
• slew_max：最大匀速拨时速率（s/s）；step_max：允许的最大瞬时跳变（s）。
• GM_i：候选主时钟，score_i：综合评分。
• 量纲约束：unit(x)="s", unit(y)="1", unit(tdev)="s"；check_dim(expr) 必过。

III. 公设 P610-*

• P610-1（时基统一）：保持与回退中的估计与窗函数均在 tau_mono 上评估，对外以 ts 发布。
• P610-2（无骤跳优先）：除非契约许可并记录审计，优先采用限速拨时（slew），禁止非必要的时间骤跳（step）。
• P610-3（谱—时域一致）：保持误差上界以 Allan 家族与本振模型联合给出，斜率分型与 tdev 匹配。
• P610-4（到达时一致）：切换前后路径修正维持 T_arr 两口径与 delta_form 记录与阈值。
• P610-5（回退可逆）：任何回退动作可幂等重放，支持回切（failback）且包含迟滞与最小驻留时间。
• P610-6（最小扰动）：切换轨迹在给定 slew_max、jerk_max 下最小化积分相位误差与业务影响。

IV. 最小方程 S610-*

• S610-1（保持动力学）
  dx/dt = y(t)
  dy/dt = epsilon(t)
  若近似线性漂移：y(t) ≈ y0 + D * ( t - t_loss )
  则 x(t) = x0 + y0 * Delta_t + 0.5 * D * Delta_t^2
• S610-2（稳定度到误差上界）
  以 tdev(tau) 近似保持窗口内的时间误差标准差：
  sigma_x(Delta_t) ≈ tdev(Delta_t)
  E_bound(Delta_t) = bias_bound + k_q * sigma_x(Delta_t)
  其中 k_q 为分位系数（如 1.96 对 P95，2.58 对 P99）。
• S610-3（量化与拨时限速约束）
  若需要矫正 Delta_step，限速拨时时间：
  T_slew ≥ | Delta_step | / slew_max
  拨时过程中引入的最大瞬时相位误差：
  x_peak ≤ 0.5 * | Delta_step |
• S610-4（候选 GM 综合评分）
  score_i = w_c * class_i + w_p * priority_i + w_q * ( 1 / sigma_t_i ) + w_a * ( 1 / | asym_i | ) + w_r * q_path_i
  选择 arg max_i score_i，并通过前置一致性校核。
• S610-5（切换前一致性）
  以双播或并行探测得到 Delta_t_i = t_ref(i) - t_local：
  pass_i ⇔ ( | median(Delta_t_i) | ≤ tol_pre_switch ) ∧ ( mad(Delta_t_i) ≤ tol_jitter )

V. 流程 M60-10（保持与回退）

1. 触发检测
   • 条件：上游告警、annTimeout、残差门限、q_path 跌落、delta_form 越界。
   • 标记 t_loss 并冻结当前伺服状态与估计协方差。
2. 进入保持
   • 切换到预测器：基于 y0, D 与噪声分型更新 ete(t) 与 E_bound(t)。
   • 将 E_bound(t) 与 SLO 对照，给出最大允许保持时长 T_hold_max = sup { t : E_bound(t) ≤ tol_hold }。
3. 候选评估
   • 并行评估 {GM_i} 的 score_i 与一致性校核 pass_i；记录各路径的 asym_i 与 delta_form。
   • 若无 pass_i，保持继续；若有多个，择优且应用迟滞与最小驻留时间。
4. 切换执行
   • 计算预期校正 Delta_step = median(Delta_t_i)；若 | Delta_step | ≤ step_max_forbidden 则采用限速拨时：
     生成匀速或 S 曲线拨时轨迹，满足 slew_max, jerk_max。
   • 应用新参考的路径修正与非对称参数，保持 tau_mono 连续。
5. 切换后验证
   • 在 Delta_t_verify 窗口内验证残差与抖动：| x_res | ≤ tol_post_switch，tdev(tau_ref) ≤ tol_tdev_ref。
   • 失败则回滚至保持或备选 GM。
6. 恢复跟踪
   • 渐进收敛至正常伺服带宽；更新本振模型（温度/老化）；清空保持标志。
   • 落盘 manifest.sync.failover.* 与事件审计。

VI. 契约与断言

• C60-101（保持上界）：E_bound(Delta_t) ≤ tol_hold 在保持期间的 P99 成立。
• C60-102（最大保持时长）：T_hold ≤ T_hold_max，超界必须回退或降级发布。
• C60-103（切换一致性）：pass_i 为真且 | Delta_step | ≤ tol_pre_switch 方可执行切换。
• C60-104（拨时限速）：slew_rate ≤ slew_max 且 jerk ≤ jerk_max；禁止无审计的 step。
• C60-105（切换后质量）：tdev(tau_ref) ≤ tol_tdev_ref，adev(tau_ref) ≤ tol_adev_ref，并维持 delta_form ≤ tol_Tarr。
• C60-106（审计与追溯）：保持/回退的决策、参数与轨迹写入清单并签名。

VII. 实现绑定 I60-10*

• enter_holdover(state, x0, y0, D, t_loss, noise_profile) -> ho_ctx
• predict_holdover_error(ho_ctx, t) -> {ete, E_bound}
• score_gm(candidates, path_metrics, weights) -> ranking
• pre_switch_check(gm, probes, tol_pre_switch, tol_jitter) -> pass
• plan_slew(delta_step, slew_max, jerk_max) -> trajectory
• execute_failover(trajectory, gm, path_fix) -> result
• post_switch_verify(window, tol_post_switch, tol_tdev_ref) -> report
• emit_holdover_manifest(ctx) -> manifest.sync.holdover
• emit_failover_manifest(event) -> manifest.sync.failover
  不变量：unit/dim 校核通过；tau_mono 连续；delta_form 落盘；轨迹与决策可复现。

VIII. 交叉引用

• 本振与稳定度建模：见本卷第7章与《EFT.WP.Metrology.TimeBase v1.0》第7章。
• 测量链路与时间戳：本卷第4章；非对称建模与修正：本卷第7章。
• 伺服滤波与估计：本卷第6章；主时钟层级与 BMCA：本卷第3章。
• 清洗、清单与合规：见《Methods.Cleaning v1.0》第10章与清单附录。

IX. 质量指标与风控

1. 指标
   • E_bound(t)_p95/p99, T_hold_max, time_in_holdover_ratio, failover_count, post_switch_tdev(tau_ref), Delta_step。
   • 事件：lost_sync, enter_holdover, switch_success, switch_rollback, over_budget.
2. 风控动作
   • E_bound 接近阈值 → 提前切换或降级发布（仅 ts、禁 T_arr）。
   • 多次回退失败 → 锁定至本地参考并提高告警等级；缩小服务范围。
   • 切换后质量不达标 → 自动回滚或改用次优 GM 并限速拨时。

小结