21-EFT.WP.Metrology.Sync v1.0 | 第13章 合规、契约与审计

目录 ／ 文档-技术白皮书 ／ 21-EFT.WP.Metrology.Sync v1.0

第13章 合规、契约与审计

一句话目标：以契约为闸门、以审计为追溯，为同步系统建立可验证、可签名、可回放的合规闭环，确保 ts/tau_mono、伺服与协议在发布前后均满足 SLO 与法定记录要求。

I. 范围与对象

1. 适用范围
   • PTP/NTP/SyncE/White Rabbit 域内的端点、边界时钟、主从时钟与分布式图同步。
   • ts 发布、tau_mono 计算、offset/skew/J 与到达时 T_arr 的契约化校核与留痕。
   • 合规对象含研发/测试/生产三态与回滚路径。
2. 输入
   • 指标流：offset(t), skew(t), J(t), asym(t), T_arr 两口径与 delta_form。
   • 运行态：gm_id, domain_id, link_mode, servo_state, holdover_state。
   • 策略与阈值：tol_sync, skew_max, J_rms_max, tol_asym, tol_Tarr, t_failover_max。
   • 元数据：TraceID, build_id, config_hash, key_id, operator.
3. 输出
   • 合规报告与断言结果：contract_report。
   • 发布清单与签名：manifest.sync.*、signature、hash_sha256(blob)。
   • 审计轨：事件、证据与度量的不可变记录。

II. 名词与变量

• 时间域与链路：ts, tau_mono, offset, skew, J（jitter）, asym（asymmetry）。
• 到达时与介质：T_arr, n_eff, c_ref, gamma(ell), delta_form。
• SLO 阈值：tol_sync, skew_max, J_rms_max, tol_asym, tol_Tarr, p99_window.
• 审计与签名：TraceID, manifest.sync, signature, key_id, audit_event.

III. 公设 P613-*

• P613-1（契约先于发布）：任何对外 ts 发布必须先通过契约断言；未通过者禁止 freeze_release。
• P613-2（两口径到达时强制）：T_arr 必须以两口径并行计算并记录 delta_form，约束 delta_form ≤ tol_Tarr。
• P613-3（量纲守恒）：所有进入断言的表达式须通过 check_dim(expr)。
• P613-4（证据可追溯）：合规证据以 hash_sha256(blob) 与 signature 落盘，可复验、可复算。
• P613-5（最小特权与隔离）：合规与审计的写入面向独立通道，运行时不可回写已冻结清单。
• P613-6（SLO 对齐）：契约阈值与面板 SLO 同源配置，避免双重口径。
• P613-7（失败可回退）：任何契约失败均需定义回退动作与时间预算，不得“无处置通过”。

IV. 最小方程 S613-*

• S613-1（同步误差度量）
  sync_error(t) = | ts_ref(t) - ts_local(t) |
  check_dim( sync_error ) → unit "s"
• S613-2（频偏与抖动）
  skew(t) = d ts_local / dt - d ts_ref / dt
  J_rms = sqrt( mean( ( offset(t) - mean(offset) )^2 ) )
• S613-3（非对称度量）
  asym = | ( delay_master_to_slave - delay_slave_to_master ) |
• S613-4（到达时两口径差）
  delta_form = | ( 1 / c_ref ) * ( ∫ n_eff d ell ) - ( ∫ ( n_eff / c_ref ) d ell ) |
• S613-5（发布判据）
  pass = ( p99(sync_error) ≤ tol_sync ) ∧ ( p99(|skew|) ≤ skew_max ) ∧ ( J_rms ≤ J_rms_max ) ∧ ( asym ≤ tol_asym ) ∧ ( delta_form ≤ tol_Tarr )

V. 流程 M60-13（合规→契约→审计→发布）

1. 就绪条件
   • 聚合最近 p99_window 的 offset/skew/J/asym 与 T_arr 两口径数据；校验 unit/dim。
   • 绑定元数据 build_id/config_hash/key_id/TraceID 与参考源身份。
2. 契约评估
   执行 S613-5 pass 与扩展断言集 C60-13x；对失败项附根因标签与回退建议。
3. 审计与签名
   打包证据 blob，生成 hash_sha256(blob)，使用 key_id 生成 signature，写入 audit_event。
4. 发布冻结
   freeze_release_sync(ds, tag) 产出 manifest.sync，标记不可变版本与上游哈希链。
5. 回退与复验
   若未通过：执行回退计划（降低权重、切源、进入 holdover），记录 mttr 并触发复验窗口。

VI. 契约与断言（摘录 C60-13x）

• C60-130（量纲守恒）：对所有表达式执行 check_dim(expr)，失败即拒绝发布。
• C60-131（同步误差 SLO）：p99(sync_error) ≤ tol_sync。
• C60-132（频偏上界）：p99(|skew|) ≤ skew_max。
• C60-133（抖动 RMS）：J_rms ≤ J_rms_max。
• C60-134（非对称阈）：asym ≤ tol_asym。
• C60-135（到达时两口径差）：delta_form ≤ tol_Tarr。
• C60-136（保持/回退预算）：t_failover ≤ t_failover_max 且 time_in_holdover ≤ holdover_budget。
• C60-137（BMCA 留痕）：gm_id 变更必须伴随 audit_event 且与 BMCA 决策一致。
• C60-138（证据完备性）：证据包包含 metrics.csv, events.json, config.yaml, manifest.prev.hash。
• C60-139（拨时限速）：|d offset/dt| ≤ slew_max，严禁超速拨时。
• C60-13A（配置闭包）：运行配置的哈希应匹配 config_hash，否则拒绝发布。

VII. 实现绑定 I60-13*

• calc_sync_metrics(ds, window) -> {sync_error_p50,p95,p99,skew_p99,J_rms,asym}
• evaluate_sync_contracts(metrics, rules) -> contract_report
• bundle_evidence(artifacts) -> blob
• sign_and_attest(blob, key_id) -> {hash_sha256, signature}
• export_sync_manifest(context, metrics, report) -> manifest.sync
• freeze_release_sync(manifest, tag) -> manifest'
• audit_log_sink(event) -> ack
  不变量：证据与清单哈希一致；pass 为真方可进入冻结；审计事件不可回写。

VIII. 交叉引用

• 延迟与非对称建模：见本卷第7章。
• 伺服建模与滤波：见本卷第6章。
• 保持与回退机制：见本卷第10章。
• 到达时与路径一致：见《EFT.WP.Metrology.TimeBase v1.0》第9章。
• 合规发布与清单：见《EFT.WP.Methods.Cleaning v1.0》第10章。
• 统计契约与错误控制：见《EFT.WP.Methods.CrossStats v1.0》第14章。

IX. 质量度量与风控

1. 关键指标
   sync_error_p99, skew_p99, J_rms, asym_p95, delta_form_breach_rate, t_failover, time_in_holdover, audit_gap_rate, mttr.
2. 风控策略
   • 按告警等级实施“降权→切源→holdover→隔离”的分层处置；
   • 对 delta_form 趋势升高启用路径重测与介质校准；
   • 审计缺口触发发布阻断与强制复验；
   • 周期性抽样复核 manifest.sync 与证书有效期。

小结