链间更新

1）任务和风险的本质

• 版本差异（split-brain）和订单丢失/最终性；
• ABI/电路不兼容 →"无声"消息/挂钩；
• 违反合同（地理/年龄/制裁，数据出口）；
• 桥梁和DA级联故障。

目的是不间断地更新价值：保持严格的不变性，并提供可逆性，遥测和可控降解。

2）链间变化不变量

Order/Idempotency: strict-order per key;outbox/inbox、'idempotency_key'和seen表。
Finality-aware：考虑挑战/重组窗口；路由是通过最小的"FinalityLag"选择的。
兼容性第一：合同/ABI/事件图的 SemVer。
失败封闭：怀疑→块/手动法定人数。
合规门：DID/VC, ZK门槛（年龄/地理/制裁）,出口/退约政策。

Observability: `x_msg_id`, `route_id`, `bridge_id`, `governance_version`.

3）测试模型

3.1个版本系列

SemVer 合同/ABI：'MAJOR。MINOR.PATCH'（MAJOR-打破）。
事件计划注册：字段的版本和演变（附加第一，具有日落的表述）。
政策/政府版本：权重/配额/关税；每个升级都有"governance_version"。
Bridge/DA版本：独立的同意和最终渠道。

3.2 Version谈判（handshake）

Version-negotation：在连锁呼叫中,各方选择最不兼容的配置文件；否则-graceful reject。
功能标志：MAJOR更改通过窗口/角色/区域（canary → cohort → global）的标志激活。

4）链间更新的分类法

1.逻辑：新的业务逻辑，验证规则，关税/限制。
2.电路：事件字段，数据模型，索引。
3.协议：路由、消息签名、密码/签名。
4.基础设施：DA/马裤，音序器，POP/edge，Gas/fees。
5.合规政策：地区，ZK阈值，出口/重建。
6.经济/激励措施：QF，RiskAdj，池/分配。
7.安全性：按键/多人，闪烁规则，停止水龙头。

5）发布程序（滚动策略）

预飞：模拟/沙箱，重播历史流量，金套件测试。
Shadow/Observe：阴影读取答桉,并与当前的逻辑进行比较。
金丝雀：路线/角色/地区的一小部分，严格的Alerta。
Cohort rollout：按队列扩展（geo/chain/QoS）。
Dual-write/Dual-read：具有严格顺序障碍的两个版本的临时写入期。
日落：如果没有法定延期，自动回滚时间参数。
Rollback：带有安全状态迁移的单程返回（参见第8节）。

6）更新期间的实用程序

Utility(route    version) =
wL·Latency_p95 + wQ·QueueDepth + wF·FinalityLag
+ wC·Cost_per_unit + wR·RiskScore + wS·StabilityScore(version)
+ wG·Geo/PolicyPenalty

StabilityScore（版本）：对新产品处以罚款,直到通过soak/chaos。

权重配置文件是根据QoS： Q4 ↑wF，↑wS；Q1 ↑wC.

不变量：顺序∧ Idempotency ∧ Quotas ∧ Compliance=true。

7）RNFT合同： 升级后的权利

• "upgrade_rights"：由谁发起，其签名（multicig，k-of-n）；
• "freeze/stop"：紧急停车起重机和法定人数；
• "quorum＆veto"：治理-procedures（包括信任/质量的R修饰符）；
• "escrow/insurance"：涵盖迁移事件；
• "日落"：国旗/阈值的临时编辑；
• "finality_windows"：在升级期间延迟付款和桥梁窗口。

8）状态迁移和可逆性

State Delta Journal：迁移由Delta日志（默克利根，签名）保存；回滚-应用反向三角洲。
Replay障碍：Q3/Q4：停止→ snapshot → reattach；"分裂顺序"被禁止。
Idempotent Upcasters：通过电路转换器读取旧条目。
Cold/Warm switch：在低负载窗口中切换读者/作家。
Finality Holdback：将连锁付款推迟到目标终结。

9）兼容性： ABI/电路/消息

ABI：MAJOR更改-仅在前旗后面；MINOR — additive;PATCH-没有逻辑。
事件：新字段为"nullable"/default；删除-通过剥离和日落。
消息版本：'msg。版本"，"schema_hash"，强制性的"compat_min"。
顺序检查和去除：outbox/inbox，带有TTL 的seen表。

10）安全性和钥匙

Multicig/Threshold：关键升级-仅通过阈值签名。
Timelocks：输入MAJOR更改的窗口，以便审计/社区有时间做出反应。
ZK-asserts：在没有数据披露的情况下匹配关键不变量（例如平衡不变量）的证据。
关键轮换：继承权轮换计划，过渡期双签名。

11）合规性

Policy Preview：模拟合成策略和真实的"影子流量"。
Geo/age/sanctions：急流的ZK凹槽；不确定性-隔离。
出口/退出：按地区划分的DA/egress；resheny治理监管机构的日志。
税收/保管：桥梁终结时的临时保留。

12）可观察性和Alerta

Метрики: p50/p95/p99, retry/timeout, out-of-order/dup, DLQ depth, finality lag, cost/req, stability(version).

Отчеты: Upgrade Live, Finality & Bridges, Schema/ABI Health, Governance Queue.

Alerts： error-budget burn, TailAmplification的增长,drift电路,spike compliance故障,flap-rate路线。

13）测试/模拟/溷乱

单位合同：ABI/电路，兼容性规则。
跟踪重播：运行不变检查的故事。
基于Fuzz/Property：随机消息/顺序/终止脚本。
Chaos/Game-day： POP/Bridge/DA下降,reorg bursts,价格冲击。
Soak 24-72h： p95/p99/最终价值/价值稳定性。

14）升级经济学

Budget-caps：该时期的价值上限；过载时的惊吓处罚。
QF奖金：在升级窗口中经过SLO的提供商。
RiskAdj：违规行为的临时降薪乘数。
Treasury hooks：在确诊事件中的保险池赔偿。

15） 治理（程序和透明度）

Proposals：更改描述，风险分析，回滚计划，最终窗口。
法定人数/否决权：角色和权重；R-信任/质量修改器。
宣传：版本护照，diff逻辑，升级后报告。
日落编辑：自动回滚临时设置。

16） KPI连锁更新

可靠性：0严重秩序/最终违规；DLQ不会增长。
延迟：走廊上p95/p99；TailAmplification ≤目标。
最终性：FinalityLag不会超出预算；0个虚假确认。
经济学：预算/成本；≤门槛补偿。
行动：MTTR事件↓；路线的翻转率不会恶化。
合规性：100％通过gating；0出口违规行为。
治理：TTC propozala→apruva SLA；日落回扣的比例按时。

17）公式和地标

SuccessRate = 1 − (timeouts+errors)/requests

TailAmplification = p99/p50 (↓)

Headroom = (cap − current)/cap

FinalityScore = f(lag, variance, reorgs)

Stability(version) = 1 − norm(incidents, flap, drift)

QualityFactor (QF) = f(success, p95, DLQ, finality)

• Q4: success ≥ 99.99%、p95 ≤ 200毫秒、DLQ=0、MTTR ≤ 15分钟。
• Bridges/DA：最终性≤ 3 × T_block，reorg≈0。

18）实施花花公子（步骤）

1.发起：汽水，风险分析，回滚计划，最终性/合规性评估。
2.准备：SemVer/ABI，方案和升级器，幻灯片，RNFT权利/法定人数。
3.测试：unit/trace-replay/fuzz, policy-preview, ZK-asserts不变量。
4.可观察性：面板/Alerta，KPI参考阈值。
5.影子→金丝雀：阴影/比较，小队列，严格的异色。
6.Cohort rollout：区域/链/QoS分阶段；finality-holdback付款。
7.Dual-write/read：顺序障碍、复制和验证。
8.Soak/Chaos：耐力和故障脚本。
9.全球化：拆除旗帜，更新文件/徽章版本。
10.后太平间：otchet治理，更新签名/阈值/盖德。

19）准备就绪支票清单

[] SemVer/ABI и Schema Registry с upcasters

• Ficha标志、激活窗口、日落参数
• RNFT权利：法定人数，停止起重机，代管/保险池
• Outbox/inbox、idempotency、replay障碍
• 最终计划：bridge/DA窗口,holdback付款
• 观察：跟踪,升级/最终性/ABI面板
• 合规预览、ZK门槛、出口/政策重组
• 模拟,影子,金丝雀,cohort, soak/chaos
• Rollback计划和Delta财富杂志
• 公共报告和obnovleniye治理查

20）词汇表

SemVer/ABI：语义转换/合同接口。
Upcaster：读取时将旧条目转换为新方案。
FinalityLag：连锁事件不可逆的窗口。
Outbox/Inbox：保证交货/等效性。
RNFT：关系/权利/限制合同和KPI。
日落：时间参数的自动回滚。
Shadow/Canary/Cohort：分阶段发布策略。

21）结果

连锁更新是一个可管理的学科：版本→标志→分阶段启动→终端/兼容性→可观察性→回滚。通过严格的顺序和合规性不变性，RNFT权利，模拟和prozrachnoy治理生态系统，可以无痛且可预测地更新，从而保持参与者的持续价值和信心。