21-EFT.WP.Metrology.Sync v1.0 | 附录B 契约库与策略卡（C60 全集）

目录 ／ 文档-技术白皮书 ／ 21-EFT.WP.Metrology.Sync v1.0

附录B 契约库与策略卡（C60 全集）

I. 使用范围与读取方式

• 本附录给出同步域标准契约 C60-* 与故障处置“策略卡”。所有断言在 tau_mono 上评估，对外以 ts 发布，并随附 offset/skew/J 与窗口 Delta_t。
• 契约以“可计算断言 + 阈值参数 + 处置动作”三元组落盘到 manifest.sync.contracts.*；所有公式、符号、定义均使用英文与文本格式。

II. 断言语法与评估通则

1. 统一符号
   • 时间误差：offset(t)；频率偏差：skew(t)（单位 s/s）；抖动：J_rms, J_pp；分组时延变化：PDV；非对称：asym。
   • 到达时两口径：
     T_arr_form1 = ( 1 / c_ref ) * ( ∫ n_eff d ell )，
     T_arr_form2 = ( ∫ ( n_eff / c_ref ) d ell )，
     delta_form = | T_arr_form1 - T_arr_form2 |。
2. 评估窗口
   • eval(expr, window=Delta_t, quantile=q)；默认 Delta_t=300 s，q ∈ {p50,p95,p99}。
   • 加权时声明 w(i) 并发布 n_eff = ( (∑ w)^2 ) / ( ∑ w^2 )。
3. 量纲与单位
   所有断言前执行 check_dim(expr)；时间单位以秒 s 为准；skew 以 s/s。
4. 结果分级
   pass / warn / fail 三值；fail 触发策略卡；warn 计入烧蚀率与观察期。

III. 严重性与处置等级

• S1/critical：时间服务丧失或误差失控，立即降级与回退。
• S2/major：越过 SLO 界但可控，调整参数与限流。
• S3/minor：短暂偏离或边界波动，进入观察与加密采样。
• S4/info：轻微趋势或环境变化，仅记录与提示。

IV. 契约分组与参数总览

V. 契约库（C60 全集）

1. 链路与时间戳（Link/Stamp）
   • C60-link-01 分组时延变化上界：
     断言 PDV_p99 = eval(PDV, Delta_t, p99) ≤ tol_PDV；失败级别 S2。
     处置：限流或路径重选，调用 I60-91。
   • C60-stamp-02 时间戳源一致：
     断言 source ∈ {hw, hybrid} for core paths；失败 S2。
     处置：I60-22 切换并进入观察窗 Delta_t_obs。
   • C60-path-03 非对称阈：
     断言 asym ≤ tol_asym；失败 S2。
     处置：I60-51/52 估计并补偿，记录补偿版本。
2. 协议与会话（PTP/NTP/SyncE/WR）
   • C60-proto-11 会话稳定：
     断言 flap_rate ≤ 1 / 10 min；失败 S3。
     处置：退回上一稳定配置档。
   • C60-bmca-12 主时钟抖动与切换频度：
     断言 bmca_switches_per_h ≤ max_bmca_switch_per_h；失败 S2。
     处置：固定优先级或健康门限上调，I60-34 重选。
3. 伺服与滤波（Servo/Filter）
   • C60-servo-21 闭环稳定：
     断言 damping > 0 ∧ bw_hz ∈ [bw_min, bw_max]；失败 S1。
     处置：I60-41 自动降带宽至安全域。
   • C60-servo-22 锁定时间：
     断言 t_lock ≤ t_lock_max；失败 S2。
     处置：增大 PI 积分或启用 FLL 预锁。
4. 误差与抖动（Offset/Skew/Jitter）
   • C60-sync-31 稳态时间误差：
     断言 eval( |offset|, Delta_t, p99 ) ≤ tol_offset；失败 S1。
     处置：降级到频率锁或回退路径。
   • C60-sync-32 频偏上界：
     断言 eval( |skew|, Delta_t, p99 ) ≤ tol_skew；失败 S2。
     处置：打开温补或启用辅助参考（SyncE）。
   • C60-sync-33 抖动能量：
     断言 J_rms ≤ tol_J_rms ∧ J_pp ≤ 5 * tol_J_rms；失败 S2。
     处置：加重滤或扩窗平均。
5. 噪声与稳定度（Allan/Hadamard）
   • C60-noise-41 Allan 偏差包络：
     断言 Adev(tau) ≤ Adev_spec(tau) for tau ∈ Tau_set；失败 S3。
     处置：换更高稳源或减小带宽。
   • C60-noise-42 Hadamard 指标：
     断言 Hdev(tau_large) ≤ Hdev_spec(tau_large)；失败 S3。
6. 保持与回退（Holdover/Failover）
   • C60-hold-51 保持能力：
     断言 t_holdover_1us ≥ min_holdover_1us；失败 S2。
     处置：启用校准漂移模型并缩短维护周期。
   • C60-fail-52 切换时延：
     断言 tswitchover ≤ max_tswitchover；失败 S1。
     处置：就近 BC 提升为次级 GM，优化链路。
7. 图同步与拓扑（Graph/Topo）
   • C60-topo-61 级联深度：
     断言 bc_layers ≤ bc_layers_max；失败 S2。
     处置：I60-92 重放置边界时钟。
   • C60-topo-62 关键路径余度：
     断言 path_redundancy ≥ R_min；失败 S2。
8. 到达时与路径一致（Arrival/Path）
   • C60-arr-71 两口径差：
     断言 delta_form ≤ tol_Tarr；失败 S1。
     处置：阻断发布，I60-101/102 重算与落盘。
   • C60-path-72 路径单调：
     断言 non_decreasing(ell)；失败 S2。
9. 质量、SLO 与面板（SLO/SLI）
   • C60-slo-81 SLI 覆盖：
     断言 coverage(window) ≥ 0.95；失败 S2。
     处置：补采或降低统计置信。
   • C60-slo-82 错误预算：
     断言 burn_rate = bad_time / window_total ≤ burn_max；失败 S2/S1 视倍率。
   • C60-slo-83 发布闸门：
     断言 contract_ok ∧ manifest_signed == true；失败 S1。
10. 边界与异常（虚拟化/GNSS/欺骗）
    • C60-edge-91 虚拟化抖动门限：
      断言 J_rms_vm ≤ tol_vm；失败 S3。
      处置：绑定 vCPU 或切换直通时钟。
    • C60-gnss-92 GNSS 质量与欺骗：
      断言 DOP ≤ DOP_max ∧ spoof_score ≤ spoof_max；失败 S1。
      处置：切入 holdover 与地面参考。
11. 审计与追溯（Audit/Provenance）
    • C60-audit-01 事件单调：
      断言 non_decreasing(ts_event[])；失败 S2。
      处置：重建索引与补齐事件。
    • C60-audit-02 签名与哈希：
      断言 verify(signature, hash_sha256(blob)) == true；失败 S1。

VI. 策略卡（Runbook）

1. S60-01 PDV Spike
   I60-21 复测链路 → 2. 检查拥塞与队列策略 → 3. 临时降频 sync 周期 → 4. I60-91 重算权重并绕行 → 5. 观察 Delta_t_obs=900 s，更新面板。触发：C60-link-01 失败。
2. S60-02 GM Switch Thrash
   锁定候选集 → 2. 上调健康阈值 → 3. 固定优先级短期冻结 → 4. I60-34 重选 → 5. 审计事件 EVT.GM_SWITCH。触发：C60-bmca-12 失败。
3. S60-03 Offset Drift
   I60-61 分解 offset/skew → 2. I60-41 降带宽并启用前馈 → 3. 若仍超阈，降级到频率锁并通知上游。触发：C60-sync-31 warn/fail。
4. S60-04 Asymmetry Detected
   I60-51 估计 asym → 2. I60-52 在线补偿 → 3. 落盘补偿版本与回滚点。触发：C60-path-03 失败。
5. S60-05 GNSS Loss/Spoof
   进入 holdover → 2. 切至网络参考（SyncE/PTP）→ 3. 启用反欺骗比对 → 4. 恢复后渐进重锁。触发：C60-gnss-92 失败或 EVT.GNSS_LOSS。
6. S60-06 Holdover Entry
   发布 t_holdover_x 预测 → 2. 收紧 SLO 并告警 → 3. 预热备用 GM。触发：上游失效。
7. S60-07 PTP Flapping
   对端协商参数回退 → 2. 降低 announce 频率 → 3. 检查二层环路与风暴控制。触发：C60-proto-11 失败。
8. S60-08 VM Jitter Blow-up
   绑定 vCPU/隔离中断 → 2. 启用硬件时间戳直通 → 3. 评估迁出到裸金属。触发：C60-edge-91 失败。
9. S60-09 Leap Event
   冻结 BMCA → 2. 序贯校验步进/平滑策略 → 3. 扩窗统计并豁免短期 SLO。触发：系统闰秒/偏移事件窗口。
10. S60-10 Audit Failure
    阻断发布 → 2. 重签名并复算 hash → 3. 生成审计报告并归档。触发：C60-audit-02 失败。

VII. 契约→接口→清单映射

• 例：C60-arr-71 → I60-101/102 → manifest.sync.contracts.arr.delta_form。
• 例：C60-sync-31 → I60-61/41 → manifest.sync.metrics.offset.* 与 manifest.sync.slo.*。
• 例：C60-link-01 → I60-21/91 → manifest.sync.link.pdv.*。

VIII. 发布闸门与回退序

• 发布判据：pass = check_dim ∧ all_required(C60-*) ∧ contract_ok ∧ manifest_signed。
• 回退顺序：参数回退 → 路径重选 → 级联深度削减 → 角色切换/降级 → 暂停发布。

IX. 版本与兼容

X. 交叉引用

• 时基与到达时：见《EFT.WP.Metrology.TimeBase v1.0》第9章与附录。
• 清洗与发布闸门：见《EFT.WP.Methods.Cleaning v1.0》第10章。
• 统计与 SLO：见《EFT.WP.Methods.CrossStats v1.0》第14章。