25-EFT.WP.STG.Dynamics v1.0 | 附录B 契约库与策略卡（C70 全集）

目录 ／ 文档-技术白皮书 ／ 25-EFT.WP.STG.Dynamics v1.0

附录B 契约库与策略卡（C70 全集）

一句话目标：给出 STG 动力学从数据→图→算子→推进→同化→不确定度→运行时的可执行契约清单 C70-* 与“策略卡”处置流程，保证跨环境一致性与可审计性。

I. 范围与对象

• 对象：数据摄取与单位、图与算子、动力学与稳定、同化与滤波、物理一致性、不确定度与 guardband、两口径一致、运行时 SLO/SLI、版本与安全。
• 输出：contracts.rules、contracts.report、manifest.stg.contracts，与违约处置的“策略卡”执行记录。
• 约束：non_decreasing(tau_mono)；check_dim(y - f(x)) = 0；两口径并行并记录差异。

II. 名词与变量

• 关键量：L, A, H, K, F, B, Q, R, x̂, P, u_c, g, nu_eff, α, delta_form_stream, delta_form_unc。
• 参考条件：RefCond = {timezone, units, sensors, policy}。
• 时间字段：ts（事件时）、tau_mono（单调处理时）、wm(t)（水位线）。

III. 命名与分层

• 命名：C70-{层级}{序号}；层级前缀：00 数据、10 图与算子、20 动力学、30 同化、40 物理、50 不确定度、60 两口径、70 运行时、80 版本与安全。
• 断言形态：assert( metric ≤/≥ threshold )；单位声明 unit(metric)，量纲校核 check_dim(metric)。

IV. 数据与单位（摄取层）

• C70-0001 单位与量纲一致：所有输入信号 y、控制 u、状态 x 声明 unit(*)，通过 check_dim( y - H x )。违约→拒绝入库。
• C70-0002 参考条件落盘：每批次含 RefCond 与 wm(t)。缺失→补齐或拒绝。
• C70-0003 新鲜度与迟到：窗口内迟到比例 late_rate ≤ tol_late；超界→触发回放（见第14章）。
• C70-0004 缺测补齐标注：任何插补标注 impute.tag ∈ {forward, model, median}，并计入不确定度预算 u_model。

V. 图与算子（结构层）

• C70-1001 图连通合理：|E| ≥ |V|-1，巨型连通分量覆盖率 ≥ 0.95。
• C70-1002 拉普拉斯谱界：L 对称半正定，λ_max(L) ≤ λ_cap（由域设定）。
• C70-1003 观测矩阵可用性：rank(H) ≥ r_min，且对应传感器在线率 ≥ 1 - miss_tol。
• C70-1004 核稳定区间：若 K = g(L)，则谱半径 ρ(K) ≤ 1 + ε；近似阶数误差 ≤ ε_approx。

VI. 动力学与稳定（推进层）

• C70-2001 步长与刚性：Δt 满足稳定域；若检测刚性 stiff>thr→切换 solver ∈ {BDF, split}。
• C70-2002 能量/范数不发散：||x̂_{k+1}|| ≤ γ ||x̂_k|| + b，滚动超界→降阶/重置。
• C70-2003 控制输入安全：u 在白名单区间 [u_min, u_max]；越界→钳位并告警。

VII. 同化与滤波（统计层）

• C70-3001 KF 一致性（NIS）：NIS_p95 ∈ [ν_low, ν_high]。超界→调谐 Q/R 或重置 P0。
• C70-3002 PF 退化（ESS）：ESS/Np ≥ ess_min。不满足→重采样或增加 Np。
• C70-3003 协方差正定：P ≽ 0 且 cond(P) ≤ κ_max。失败→抬高对角线 εI。
• C70-3004 观测残差覆盖：Pr(|y - H x̂| ≤ g) ≥ 1 - α，滚动窗 coverage ≥ cov_min。

VIII. 物理一致性（守恒/非负/边界）

• C70-4001 守恒约束：||B x̂ - s||_2 ≤ ε_cons。超界→执行投影 x̂ ← x̂ - B^†(B x̂ - s)。
• C70-4002 非负与范围：min(x̂) ≥ -ε_neg 且 x̂ ∈ [l,u]。越界→可行域投影。
• C70-4003 源汇平衡漂移：drift = ( ∑in - ∑out - s ) / scale ≤ ε_drift。

IX. 不确定度与 guardband（GUM/MC）

• C70-5001 合成不确定度：u_c^2 = J V_x J^T + u_num^2 + u_model^2；check_dim(u_c) = "[X]"。
• C70-5002 覆盖率：guardband g = k * u_c，经验覆盖 ≥ 1 - α - ε_cov。
• C70-5003 有效自由度：nu_eff ≥ nu_min，否则提升样本或并行 MC。
• C70-5004 两口径不确定度差：delta_form_unc_p95 = |u_c^{LPU} - u_c^{MC}|_p95 ≤ 0.2 · median(u_c)。

X. 两口径一致（事件时/处理时）

• C70-6001 统计两口径：delta_form_unc_p95 ≤ tol_unc。
• C70-6002 时间两口径：delta_form_stream_p95 = |metric_evt - metric_proc|_p95 ≤ tol_stream。
• C70-6003 面板对齐：ts 与 tau_mono 对齐误差 ≤ ε_sync；超界→回放补齐。

XI. 运行时 SLO/SLI 与资源

• C70-7001 延迟 SLO：latency_p95 ≤ B_mod；p99 ≤ B_hard。
• C70-7002 丢弃与背压：drop_rate ≤ 0.1%；背压持续 > T_bp→触发降级。
• C70-7003 缓存命中：cache_hit ≥ 80%（若启用缓存）；不达标→调整 ttl/size/policy。
• C70-7004 重放覆盖：replay_gap_covered ≥ 99.5%。
• C70-7005 面板健康：关键指标更新间隔 ≤ Δt_panel_max；超界→健康检查与告警。

XII. 版本与安全

• C70-8001 哈希一致：graph.hash / L.hash / model.hash / policy.hash 必须与运行实例匹配，否则拒绝执行。
• C70-8002 语义版本：I70-x.y.z 不兼容变更→显式迁移；未迁移即拒绝。
• C70-8003 审计与签名：manifest.signature 验证通过；失败→只读降级。

XIII. 契约规则 DSL（最小可执行片段）

rule_id: C70-3001

title: KF NIS consistency

metric: NIS_p95

unit: "1"

assert: "NIS_p95 >= ν_low && NIS_p95 <= ν_high"

window: {type: sliding, Δt_win: "30m", Δt_slide: "5m"}

on_breach:

- action: tune_QR

params: {scale_Q: 1.5, scale_R: 0.8, cap: [Q_max, R_min]}

- action: reset_filter_if_persist

params: {duration: "15m"}

persist:

keys: [TraceID, graph.hash, L.hash, model.hash, RefCond]

XIV. 策略卡（处置流程库）

1. S-01：NIS 偏大（欠拟合观测）
   • 触发：C70-3001 高于 ν_high 连续 k 窗口。
   • 步骤：
     1. 调谐 Q↑ / R↓；
     2. 检查 H 与单位映射；
     3. 若仍超界→重置 x0,P0，并降级到鲁棒滤波（Huber/χ裁剪）。
   • 记录：contracts.report.actions = ["tune_QR","reset","robust_mode"]。
2. S-02：ESS 退化
   • 触发：ESS/Np < ess_min。
   • 步骤：系统性重采样→自适应 Np↑→正则化抖动→若算力受限改用 UKF。
3. S-03：守恒违约
   • 触发：C70-4001 超界。
   • 步骤：执行投影 x̂ ← x̂ - B^†(B x̂ - s)；定位异常源汇；必要时冻结异常子图。
4. S-04：刚性/发散
   • 触发：C70-2001/2002。
   • 步骤：切换 solver=BDF/StrangSplit；缩短 Δt；对 K 做谱裁剪 ρ(K)←min(ρ,1-ε)。
5. S-05：覆盖率不足（guardband）
   • 触发：C70-5002。
   • 步骤：重新估计 u_model 与 J；增大 k 或修正分布假设；若偏态→分位带替代。
6. S-06：两口径不一致
   • 触发：C70-6001/6002。
   • 步骤：对齐 ts/tau_mono；统一窗口权重；数值积分步长一致；保留差异根因。
7. S-07：SLO 违约
   • 触发：C70-7001..7005 任意失败。
   • 步骤：限流与背压转储；启用缓存旁路；降级模型（低阶核/稀疏 H）；恢复后回填。

XV. 生成与发布

• 生成：assert_runtime_contracts(state, rules) -> report（见 I70-14A），并通过 eval_contracts 汇总（见 I70-156）。
• 发布：emit_runtime_manifest(results, policy) -> manifest.stg.runtime 与 emit_case_manifest(...)（见 I70-14B/I70-157）。
• 落盘字段：contracts.rules、contracts.report、violations.*、actions.*、signature。

XVI. 交叉引用

• 数值积分与稳定：见第9章（刚性判据、分裂与事件）。
• 同化与滤波：见第12章（KF/UKF/PF 指标与实现）。
• 不确定度与 guardband：见第13章（u_c, g, nu_eff, α 的计算）。
• 运行时与流式：见第14章（窗口、水位线、缓存与回退）。
• 用例与面板：见第15章（契约在交通/电力/供水用例中的阈值示例）。

小结

• 本附录给出 C70-* 全集与可执行“策略卡”，覆盖从结构到统计、从物理到运行时的关键断言与处置流程。
• 所有契约必须声明单位/量纲、阈值来源与窗口化策略，违约动作与审计记录进入 manifest.stg.contracts，以支撑可复现、可监管与可演进的 STG 动力学系统。