29-EFT.WP.TBN.Measurement v1.0 | 第12章 契约与策略卡（质量/完整性/安全）

目录 ／ 文档-技术白皮书 ／ 29-EFT.WP.TBN.Measurement v1.0

第12章 契约与策略卡（质量/完整性/安全）

一句话目标：以两口径并行 + 量纲合规 + RefCond 可追溯为刚性前提，定义 TBN 计量的质量（Quality）/完整性（Integrity）/安全（Security）三类契约 C50-* 与可执行“策略卡”处置流程，形成检测→处置→验证→回滚闭环。

I. 范围与对象

1. 输入
   • 量测产物：y(t), S_phi/S_y, sigma_y(τ), T_arr^{form1/form2}, T_arr*, lat_*, corr_env, ΔT_map, ΔT_obs。
   • 参考输入：RefCond(hash/age/coverage)、对时 offset/skew/J、锚与回放（第8–10章）。
   • 不确定度与门：u/U（第11章）、阈值与 SLO、面板窗口 W 与 RBW/ENBW。
2. 输出
   • 契约评估与处置：contracts.report（逐条 C50-*）、策略卡触发与执行记录、回滚指针。
   • 清单：manifest.tbn.contracts.*（规则、结果、阈值、证据 URI）。
3. 边界
   本章不新增估计/修正模型，仅约束发布行为与运行治理。

II. 名词与变量

• 两口径差：delta_form = |T_arr^{form1} - T_arr^{form2}|；对齐差：ΔT_obs = |T_arr* - t̂_cont|。
• 频谱/统计残差：resid_Sy(f) = S_y,meas - S_y,pred，resid_sigma_y(τ) = sigma_y,meas - sigma_y,pred。
• 源新鲜度与覆盖：age(source), coverage。
• 安全与完整性信号：Spec_anom、Timing_anom = ΔT_obs/T_sym、签名/脚本哈希一致性 Sig_ok。
• 量纲：unit(z)=1, unit(T)=[T], unit(age)=[T], unit(coverage)=1。

III. 公设 P512-*

• P512-1（两口径硬门）：任一发布窗口必须提供 T_arr^{form1/form2} 与 delta_form，未满足或超阈拒发/降级。
• P512-2（同窗同带宽同单位）：解析 vs 观测比较必须在同 W/RBW/ENBW/单位 下执行；不一致先重算。
• P512-3（量纲与追溯）：所有指标 check_dim( y - f(x) ) 通过；绑定 RefCond.hash 与来源哈希。
• P512-4（Fail-Closed）：关键契约失败默认 Fail-Closed（旁路/回滚/降级），并落盘策略卡与证据 URI。
• P512-5（可回放）：每次处置必须可由 replay.core 复现（第10章）。

IV. 最小方程 S512-*（核心契约量）

1. 质量（Q）

• S512-1：delta_form_p95 = quantile(delta_form,0.95)；ΔT_obs_p95 = quantile(ΔT_obs,0.95)。
• S512-2：resid_sigma_y,p95 = quantile(|sigma_y,meas - sigma_y,pred|,0.95)。
• S512-3：谱门（带内 B）：∥resid_Sy∥_{B} = ( ∫_B |resid_Sy(f)| df ) / ∫_B S_y,pred(f) df。

2. 完整性（Int）

• S512-4：age(source) ≤ Δt_max，coverage ≥ cov_min；Sig_ok = 1_{signature/manifest/hash 验证通过}。
• S512-5：映射一致：ΔT_map_p95 ≤ tol_map；E_balance = 1_{口径/窗/带宽一致}。

3. 安全（Sec）

• S512-6：谱异常：Spec_anom = 1_{ACLR<ACLR_min ∨ OBB>OBB_max ∨ D_spec>τ_spec}（第9章定义）。
• S512-7：时间完整：Timing_anom = ΔT_obs/T_sym（同窗）。

V. 计量流程 M50-12（检测→处置→验证→回滚）

1. 检测：在窗口 W 计算 S512-* 指标与 u/U；执行阈值门（见 VI）。
2. 处置（触发策略卡）
   • 轻度超阈：调整 RBW/ENBW/窗或缩窗重算；增 guardband；
   • 中度：模型回写（路径/环境/仪器），统一 form2 发布；
   • 重度：旁路/回滚到上版 manifest，冻结发布并生成回放包。
3. 验证：复算指标，检查策略卡 verify 条件；把残差曲线与证据 URI 入库。
4. 回滚：调用版本回滚接口，落盘 rollback_to 与影响面。
5. 落盘：
   manifest.tbn.contracts = {rules, window, thresholds, metrics:{Q,Int,Sec}, decisions:{cards,actions,verify}, RefCond.hash, evidence_uri[], signature}。

VI. 契约与断言 C50-12x（建议阈值）

1. 质量
   • C50-1201 两口径差：delta_form_p95 ≤ tol_Tarr（建议 1e-3·T_arr 或链路特定）。
   • C50-1202 对齐**ΔT_obs**：ΔT_obs_p95 ≤ tol_align（建议 0.02·T_sym 或 1e-3·T_f）。
   • C50-1203 Allan 一致：resid_sigma_y,p95 ≤ tol_sigma。
   • C50-1204 谱门：∥resid_Sy∥_{B} ≤ τ_Sy（带内相对误差）。
2. 完整性
   • C50-1211 新鲜度/覆盖：age(source) ≤ Δt_max，coverage ≥ cov_min。
   • C50-1212 映射一致：ΔT_map_p95 ≤ tol_map，并写入 u(ΔT_map)。
   • C50-1213 清单与签名：Sig_ok = 1；缺签或验签失败拒发。
3. 安全
   • C50-1221 谱异常为 0：Spec_anom = 0 或异常率 ≤ τ_spec_rate。
   • C50-1222 时间完整：Timing_anom_p95 ≤ τ_T。
4. 量纲/追溯
   • C50-1231 单位/量纲：所有发布字段 check_dim 通过；
   • C50-1232 追溯：RefCond.hash/models.hash/scripts.hash 可追溯。

VII. 策略卡（可执行 YAML 模板与典型卡）

模板

card_id: <string>

triggers: [C50-xxxx, ...]

sev: blocker|high|medium|low

decide:

if: "<metric> comparator <threshold>"

act:

- api: I50-xx

params: {...}

verify:

metric: <name>

window: "W=5min,p95"

rollback:

plan: "<bypass|lower_order|rollback_version>"

notes: "<why/impact/evidence_uri>"

典型策略卡

1. card.twoform_guard（两口径差超限）

• triggers：C50-1201；act：I50-66 twoform_consistency 复算→统一 form2 并 I50-116 design_guardband；verify：delta_form_p95 入门。

2. card.align_fix（对齐差超限）

• triggers：C50-1202；act：更新 offset/skew/J（I50-112）、缩窗重算；verify：ΔT_obs_p95 达标。

3. card.spectrum_recompute（谱门违约）

• triggers：C50-1204；act：重算 RBW/ENBW/window_fn（I50-33）或模型回写；verify：∥resid_Sy∥_{B} 达标。

4. card.mapping_dualpub（映射误差）

• triggers：C50-1212；act：相/群双口径并列发布、扩大 tol_map guardband；verify：ΔT_map_p95 入门。

5. card.source_refresh（新鲜度/覆盖不足）

• triggers：C50-1211；act：切源/缩窗/补采，I50-103 插值策略更新；verify：age/coverage 达标。

6. card.security_failclosed（谱/时间异常）

• triggers：C50-1221/1222；act：旁路/回滚、限流；verify：异常率回落；落盘证据。

VIII. 实现绑定 I50-12*（接口原型、输入输出、不变量）

• I50-121 evaluate_quality(ds, rules) -> {metrics.Q, report, pass}
• I50-122 evaluate_integrity(ds, rules) -> {metrics.Int, report, pass}
• I50-123 evaluate_security(ds, rules) -> {metrics.Sec, report, pass}
• I50-124 plan_guardband(metrics, u, risk) -> {gb_updates, policy}
• I50-125 run_strategy_cards(cards, context) -> {actions[], verify}
• I50-126 assert_tbn_contracts(reports, rules) -> {pass, summary}
• I50-127 emit_contract_manifest(results, policy) -> {uri, status}
  不变量：two_forms_present=true；同窗同带宽同单位；RefCond.hash 可追溯；策略卡执行可回放。

IX. 交叉引用

小结

• 本章把 TBN 计量的质量/完整性/安全规则与策略卡流程系统化，刚性要求两口径/量纲/追溯；
• 通过 M50-12/C50-12x/I50-12* 与 manifest.tbn.contracts，实现检测→处置→验证→回滚闭环，支撑第13–15章的运行与发布治理。