28-EFT.WP.Propagation.PathRedshift v1.0 | 第12章契约与指标（质量/完整性/安全） | 能量丝理论

第12章契约与指标（质量/完整性/安全）

一句话目标：定义路径红移 z_path 与到达时 T_arr 的质量/完整性/安全三类指标与契约 C65-*，以两口径并行 + 量纲合规 + RefCond 可追溯为核心，给出可计算、可判定、可落盘的规则与接口。

I. 范围与对象

输入
- 分项与合成：z_parts = {z_kin,z_grav,z_med,z_cos,z_inst,z_proc}, 合成 z_path；
- 到达时：T_arr^{form1/form2}, 一致化 T_arr*，delta_form；
- 观测与融合：z_meas（第9章）、RefCond 与同步 offset/skew/J（第10章）；
- 运行与面板：窗口化度量、覆盖/新鲜度、证据 URI。
输出
- 指标族：Q_z/Q_T（质量）、Int_*（完整性）、Sec_*（安全）与分位统计；
- 契约断言与处置建议；
- 清单 manifest.redshift.contracts.*（规则、报告、阈值、策略卡）。
边界
指标与契约仅约束发布行为；分项建模与数值实现见第2–11章；不确定度传播见第13章与附录 C/E。

II. 名词与变量

两口径差：delta_form = | T_arr^{form1} - T_arr^{form2} |。
质量残差：resid_z = z_meas - z_path；偏置与漂移：z_bias = ⟨resid_z⟩_W，z_drift = d⟨resid_z⟩/dt。
到达时一致：ΔT_obs = | T_arr* - t̂_cont |（第8/第9章）。
覆盖与新鲜度：coverage（空间/时间覆盖），age(source)（距当前时间）。
安全/完整性：E_balance_z（分项合成一致）、Spec_anom（观测谱异常，由第9章提供）、Timing_anom（到达时一致门，见第8/第10章）。
量纲：unit(z)=1, unit(T)=[T], unit(age)= [T], unit(coverage)=1。

III. 公设 P65-12x

P65-1201（两口径并行）：任何发布窗口必须并行给出 T_arr^{form1/form2} 与 delta_form，并记录在清单与面板。
P65-1202（解析 vs 观测并行）：必须并行给出 z_path 与 z_meas，记录 resid_z 与分位统计。
P65-1203（量纲与 RefCond）：所有指标 check_dim( y - f(x) ) 通过；每条记录绑定 RefCond.hash 与来源 hash。
P65-1204（窗口化与测度）：指标采用显式窗口与测度 ( ∫_{t∈W} · dt )，或分位 {p50,p95,p99}；窗函数/重采样口径落盘。
P65-1205（Fail-Closed）：关键契约失败时应降级/旁路/回滚到上一个签名版本，并落盘策略卡与证据 URI。

IV. 最小方程 S65-12x

S65-1201（两口径到达时）：delta_form = | T_arr^{form1} - T_arr^{form2} |。
S65-1202（解析 vs 观测红移）：resid_z = z_meas - z_path；窗口分位 resid_z,p95 = quantile(|resid_z|,0.95)。
S65-1203（偏置与漂移）：z_bias = ⟨resid_z⟩_W，z_drift = d⟨resid_z⟩/dt（回归/差分）。
S65-1204（到达时一致）：ΔT_obs = |T_arr* - t̂_cont|；窗口分位 ΔT_obs,p95。

S65-1205（RefCond 覆盖与新鲜度）：coverage = (有效样本 / 总样本)；age(source)= ts_now - ts_source。
S65-1206（分项合成一致）：E_balance_z = | z_path - compose(z_kin,z_grav,z_med,z_cos,z_inst,z_proc) |。
S65-1207（时间/相位一致）：Timing_anom = ΔT_obs / T_sym（需要 T_sym 时基）。

S65-1208（谱/观测异常占位）：Spec_anom = 1_{D_spec>τ_spec or ACLR<ACLR_min or OBB>OBB_max}（由第9章计算）。
S65-1209（源一致性）：Params_cons = 1_{age(source) ≤ Δt_max ∧ coverage ≥ cov_min}。

V. 计量流程 M65-12（就绪→计算→断言→落盘）

就绪：固化 RefCond、窗口 W 与分位集合 {p50,p95,p99}；加载 z_meas/z_path, T_arr^{form1/form2}, t̂_cont 与源数据哈希。
计算：按 S65-12x 计算所有 Q/Int/Sec 指标，形成窗口分位与 EWMA。
断言：执行 C65-12x 契约，生成 contracts.report 与触发策略卡（必要时）。
落盘：manifest.redshift.contracts = {rules, report, thresholds, window, metrics:{Q,Int,Sec}, RefCond.hash, evidence_uri[], signature}。

VI. 契约与断言 C65-12x（建议阈值）

两口径与到达时
- C65-1201：delta_form_p95 ≤ tol_Tarr（见第2章；建议 tol_Tarr = 1e-3·T_arr 或链路特定）。
- C65-1202：ΔT_obs_p95 ≤ tol_align（见第8/第9章；建议 tol_align = 0.02·T_sym 或 1e-3·T_f）。
解析 vs 观测
- C65-1203：resid_z_p95 ≤ tol_z（随 SNR/窗口设定）。
- C65-1204：|z_bias| ≤ z_bias_max，|z_drift| ≤ z_drift_max（工程建议：z_bias_max ~ 1e-12–1e-10，按用例配置）。
完整性/安全
- C65-1205：age(source) ≤ Δt_max 且 coverage ≥ cov_min；否则降级或拒发。
- C65-1206：E_balance_z_p95 ≤ τ_zbal；Timing_anom_p95 ≤ τ_T。
- C65-1207：Spec_anom = 0（或异常率 ≤ τ_spec_rate）。
量纲与新鲜度
C65-1208：所有指标 check_dim 通过；面板与清单更新间隔 ≤ Δt_panel_max。

VII. 实现绑定 I65-12*（接口原型、输入输出、不变量）

I65-121 evaluate_quality(z_meas, z_path, Tarr_forms, t_cont, W) -> {delta_form_p95, resid_z_stats, ΔT_obs_p95}
I65-122 evaluate_integrity(sources, RefCond, z_parts) -> {coverage, age_stats, E_balance_z, Timing_anom}
I65-123 evaluate_security(obs_metrics) -> {Spec_anom, Params_cons}
I65-124 assert_redshift_contracts(metrics, rules) -> {report, pass, actions[]}
I65-125 plan_guardband(metrics, risk_policy) -> {tol_updates, runtime_overrides}
I65-126 emit_contract_manifest(results, policy) -> manifest.redshift.contracts
不变量：two_forms_present=true；unit/dim 校核通过；RefCond.hash 与证据 URI 可追溯；阈值与策略版本可复验。

VIII. 交叉引用

IX. 质量与风控

面板主键：delta_form_p95, resid_z_p95, ΔT_obs_p95, z_bias/z_drift, age(source)_p95, coverage, Spec_anom_rate, panel_freshness。
回退序列：guardband↑ → 缩窗 → 模型回写/重估 → 旁路/回滚，所有动作入 strategy.cards[]。
审计：阈值来源与版本、证据 URI、合规模块报告、签名链与回放脚本。

小结

本章把质量（Q）/完整性（Int）/安全（Sec）指标与契约标准化，贯穿两口径/量纲/RefCond三大刚性要求；
结合 I65-12* 接口与清单 manifest.redshift.contracts，实现路径红移发布的可度量、可处置、可回退治理闭环，支撑第13章不确定度与后续运行发布（第14章）。