摘要：在超出300公里/小时（≈83米/秒）的竞速环境下，危险意识的提升成为一个车辆通信问题：100毫秒的时间已经相当于在警报影响制动、路线选择或扭矩传递之前的8.3米盲行距离。因此，在信号覆盖不稳定和往返延迟变化的情况下，仅依赖云端的遥测系统是 insufficient 的，而传统的赛道边和维修区通信方式也无法实现车辆间的直接危险信息传递。我们提出了混合认知卸载（Hybrid Epistemic Offloading，简称HEO）技术，这是一种基于边缘节点、网络节点和云端的架构，用于高移动性的车对车（V2V）/车对一切（V2X）危险信息传播。该架构明确定义了临时性安全信息处理机制和持久性云数据分析机制的分离。车载边缘节点通过CAN总线接收高频率的ECU/IMU数据，并将完整的数据轨迹保存到标准化的ASAM MDF容器中，从而实现容错缓冲、确定性重放以及在信号覆盖间隙下的事后审计功能。为了实现实时安全通信，摩托车之间会形成一个本地V2V网络，利用具有自适应扩散能力的 gossip 模式、基于TTL的时间限制和冗余机制，通过V2X链接传递简化的危险信息。危险信息在传输过程中会考虑定位误差和传播延迟。我们通过两个阶段对系统进行了评估：（i）采用可复制的移动性耦合仿真/仿真方法来验证网络信息的传播和从边缘节点到网关再到云端的传输过程；（ii）在赫雷斯赛道（Jerez）进行的实际测试，以评估系统的稳定性。在测试条件下，持久性的MQTT通信路径实现了83.4毫秒的中位数延迟、175.9毫秒的95%概率最大延迟和303.74毫秒的最大端到端延迟，并且没有出现数据丢失的情况。在赫雷斯的测试中，共同设计流程将车轮打滑率从6.26%降低到了3.75%（减少了40.10%），将控制波动性指标从0.1290降低到了0.0212（减少了83.58%）。

1. 引言
在300公里/小时（≈83米/秒）的速度下，延迟不仅仅是一个软件上的不便，它还是一个具有直接物理后果的车辆通信限制：100毫秒的时间意味着车辆已经行驶了约8.3米，而200毫秒的时间内，警报无法影响制动、路线选择或扭矩传递。在高速摩托车运动中，控制裕度受到轮胎摩擦力、瞬态负载转移和有限决策窗口的限制，这样的延迟可能导致危险信息的更新超出了驾驶员-车辆系统的处理范围。因此，限制传播延迟、减少尾部延迟和保证信号覆盖的连续性成为设计中的首要约束，而不仅仅是次要的实现细节。我们不是采用简单的“云端 vs. 边缘”二分法来解决问题，而是从职业比赛的运营和管理约束出发进行设计。赛道边的遥测系统和维修区监控主要服务于驾驶员-车队之间的通信，但在比赛中，移动中的摩托车与车队之间的双向通信受到严格限制，只有少数例外情况，如计时应答器、GPS、维修区显示屏和组织者管理的广播链接。因此，任何可靠的赛程中协助措施都必须以本地优先和提供建议为主，而高延迟的基础设施中介通信则用于持久性学习、审计和赛后的优化。

2. 系统架构
我们提出的混合认知卸载（HEO）技术基于边缘节点、网络节点和云端的架构，根据信息的重要性和持久性来区分信息的处理方式。临时性的关键信息（如危险事件和微环境数据）在本地以有限的有效期内传播，而持久性信息（如审计日志、操作摘要和长期学习数据）则异步整合以便进行工程分析。

2.1 关键路径区分（安全性 vs. 持久性）
在本文中，云端连接并不被视为关键的安全信息传输路径。临时性的危险事件通过V2V网络以具有时间限制的消息形式在车辆间传播，而MQTT从边缘节点到网关再到云端的路径则用于需要持久性功能的处理，如审计、溯源、重放和长期学习。这种分离的设计避免了将云端往返延迟与本地危险信息传播直接对比的做法。

2.2 技术实现细节
我们采用了三层的遥测系统：青铜级（Edge）：车载节点通过CAN总线接收原始的ECU/IMU数据，并将其保存到标准化的ASAM MDF 4.x容器中，以实现高频率的数据持久性、确定性重放和审计功能。银级（Mesh）：使用gossip/epidemic算法在本地网络中传播简化的危险信息，无需依赖回程连接。金级（Cloud/Offline）：汇总操作级摘要数据（如通过MQTT传输），用于长期分析、可解释的诊断和共同设计支持。

2.3 工程目标
我们的第二个工程目标是在保证数据可复现性的前提下实现系统功能：我们将25毫秒作为本地安全通信的工程目标，对应于83米/秒速度下大约2.1米的行驶距离。这个时间值不应被解释为驾驶员的生理反应阈值或适用于所有车辆系统的通用标准，而是为了确保在赛速下警告信息能在短期内传递，并区分本地安全处理机制和慢速的持久性云端处理机制。

2.4 可复现性
在评估系统中，我们确保了数据的可复现性。审稿人对于高移动性网络研究的质疑是合理的，因为不透明的“仿真”结果是不够的。因此，我们在方法论部分详细说明了安全信息处理机制的评估方法、通信假设和 packet-level 的V2V评估流程。

2.5 人机交互学习与共同设计
实时信息传播本身不足以满足工程需求，系统还需要在赛后支持操作层面的解释和优化。我们采用了嵌套学习架构，将比赛圈划分为技能原子（如车辆顶点稳定性和弯道出口），并根据对算法稳定性的考量进行调整。这种架构的设计目的是为了确保在云端连接不稳定或延迟的情况下，关键危险信息仍然可用。

3. 研究假设
我们提出了三个基于可测量输出的研究假设：
H1（持久性路径性能）：从边缘节点到网关再到云端的路径提供了有限延迟的传输，适用于持久性信息的传递，同时对即时危险警告的实施影响较小。
H2（不确定性下的临时危险信息传播）：基于gossip的V2V机制在数据丢失和密度变化的情况下仍能保证危险信息的有效传播，且在考虑了空间定位和传播延迟后，警报信息在战术上仍然有用。
H3（稳定性受限的共同设计）：基于波动性感知的共同设计减少了不稳定性和风险指标，同时避免了振荡性的推荐行为。

4. 贡献
本文提出了五项主要贡献：
1. 以通信为中心的危险信息传播架构：一种将临时性安全知识与持久性遥测分离的边缘-网络-云端设计方法，将本地V2V/V2X通信视为关键路径。
2. 关键路径与持久性的分离：通过明确的政策区分，确保基于ASAM MDF的边缘数据持久性可重放和可审计性，而MQTT卸载机制支持持久性分析，同时不影响关键时间的处理要求。
3. 有限有效期的网络信息传播：一种适用于高移动性环境的紧凑型信息传播机制，具有自适应扩散能力、基于TTL的时间限制和不确定性感知的危险语义。
4. 可复现性的评估方法：将持久性的MQTT路径与网络安全处理机制分开，使用基于移动性的V2V/V2X通信堆栈和密度敏感的传播指标进行评估。
5. 以人为中心的共同设计证据：基于技能原子和波动性感知的更新机制，提供了可审计的试验性证据。

5. 相关工作
我们的工作结合了四个领域的研究成果：（i）适用于时间受限的赛博物理应用的边缘计算，（ii）在广播压力下的高移动性V2X通信，（iii）与基础设施无关的情境感知的流行病学/ gossip 传播，以及（iv）赛后的操作层面分析和人机交互稳定性。我们通过一个以通信为中心的问题来探讨这些领域：需要哪些架构要素，才能在严格的延迟和新鲜度预算内传播与安全相关的危险信息，同时保持审计性并避免非关键路径上的不稳定适应过程。本文的重点不在于提出全新的物理层/MAC层或拥塞控制算法，而是在于设计一种端到端的解决方案，该方案能够在云端连接不稳定或延迟的情况下保证关键危险信息的可用性。以云为中心的管道非常适合持久存储、车队分析和事后的解释，但它们本身并不是一种实现有界延迟的本地感知的机制。我们的混合认知卸载（HEO）概念通过将短暂的关键知识路由到最接近的、能够满足时间预算的层（边缘/网格）来正式化这种分离，而持久的知识（模型、摘要、回放轨迹和工程证据）则异步地在云中整合。从数据工程的角度来看，这仍然与策划的分析抽象（如湖屋式整合）兼容，而不会迫使对延迟敏感的决策通过高变异性的远程路径进行[5]。2.2. 在广播压力下的高移动性V2X通信车辆网络研究长期以来已经认识到，移动性、短暂的接触时间和信道变异性挑战了传统的WLAN假设。DSRC/IEEE 802.11p [6]引入了针对车辆的优化堆栈，而蜂窝V2X（C-V2X/PC5侧链路）以及更近期的NR-V2X进一步针对基础设施独立的安全消息传递[7,8,9,10,11,12]。这些标准提供了通信基础，但在拥塞的广播、隐藏的终端、突发干扰和密度变化的情况下，安全信息的传播仍然困难。实证的VANET研究表明，在密集广播下，接收率和竞争程度会急剧下降[13,14]。实际的安全性能不仅取决于无线电接口，还取决于系统在竞争情况下如何调节信道负载和传播行为。在ITS-G5方面，ETSI规定了访问层和设施消息，如CAM/DENM、地理网络和分散式拥塞控制（DCC），以调节5 GHz频带的信道占用[15,16,17,18,19,20]。在蜂窝方面，3GPP侧链路支持分布式资源选择和半持续性调度模式，设计用于无需基础设施的操作[10,11,21]。这些机制直接影响了在广播压力下的接收概率、延迟尾部和消息的新鲜度，因此必须反映在任何声称具有有限邻域感知的架构中。最近的车载物联网（IoV）工作也开始将低延迟的车辆通信与基于学习的优化目标相结合。例如，在IoV众包服务中研究了语义通信和基于拍卖的协调，强调了在车辆边缘环境中通信高效的任务/价值交换的重要性[22]。同样，对于支持C-V2X的IoV，已经研究了基于深度强化学习的年龄感知优化，以共同管理信息的新鲜度和能量消耗[23]。这些工作与我们的设置是相邻的，而不是直接等同的：它们优化了更广泛IoV环境中的通信效用，而我们关注的是具有有限有效性的竞赛速度危险传播、本地邻域效用和可审计的持久性。赛车运动加剧了V2X问题。环境具有高速度和高后果性，最有价值的信息是短期的、本地的和时间敏感的（例如，突然的污染、瞬时的附着力丧失或转弯入口附近的微条件）。因此，PHY/MAC支持是必要的，但还不够：稳健的安全传播还需要一个应用层机制，该机制能够容忍丢失，优先考虑覆盖时间而不是完美的可靠性，并区分即时战术警告和延迟的云分析。2.3. 谣言传播、新鲜度和有限有效性感知流行病（谣言）协议在不可靠的链接下提供了可扩展的传播和概率收敛[24,25]。它们的发布/订阅视角进一步激发了去中心化的故障容忍事件摘要交换，而不是集中协调[26]。在车辆环境中，机会主义的本地知识交换长期以来被视为对基础设施依赖分布的实际替代方案，特别是当相关的感知范围是本地的和短暂的。我们采用谣言作为短暂的位置锚定危险摘要的基础。与传统的最终一致性复制不同，我们的正确性标准是在接近的邻域内有限时间的本地收敛。这在三个方面改变了设计目标：（i）警报必须通过严格的TTL/时间有效性语义在设计时过期，（ii）转发必须具有冗余意识，以避免在负载下广播放大，（iii）评估必须量化战术效用，而不仅仅是端到端的延迟。在这个意义上，HEO更接近于受新鲜度约束的邻域传播，而不是通用的复制消息。对于短暂的危险，效用由新鲜度而不是最终一致性决定。因此，传播更适当地通过覆盖时间度量（例如）和基于新鲜度的度量（如信息年龄（AoI）来评估，这些度量更好地捕捉了在高速度下警报是否仍然可行[27,28]。这也阐明了本文的贡献范围：我们不声称向所有节点保证可靠的传递，而是确保在相关时空范围内有效性的有限有效性传播。2.4. 信号对齐和操作级别表示赛车运动遥测管道中的第二个缺口是表示上的。当入口线、交通或微调引入看似相似操作的相位偏移时，信道级别的轨迹和圈/扇区汇总不适用于归因。没有对齐，对变化敏感的量可能会变得数学上脆弱或误导性。动态时间扭曲（DTW）和相关的对齐技术提供了一种在非线性时间扭曲下比较时间序列的原则性方法[29,30]。此外，异常检测文献强调了在重尾干扰和异常值下需要稳健的统计，这在赛车中是现实的，因为存在交通、骑手错误和赛道演变[31]。因此，我们的技能原子抽象被定位为一种工程表示，而不是网络原语。它为纵向比较提供了稳定的指标，并允许从对齐的轨迹帧标准化信号中计算特征（例如，偏航率峰值、急动能量和油门重新应用延迟），提高了可解释性并减少了虚假方差。车辆动力学文献为选择稳定性和风险代理提供了物理基础，如滑动和瞬态载荷转移[32,33,34,35,36]。然而，在本文的背景下，这一层次于通信贡献，主要支持会话后的协同设计解释。2.5. 临界路径之外的人工回路稳定性引入可以影响设置或解释的推荐算法创建了一个耦合的人机反馈系统。人类因素研究强调，在动态环境中，情境感知和认知负荷会影响控制性能[37]。在安全关键领域，调节不佳的适应可能导致振荡行为；飞行员引起的振荡（PIO）文献形式化了如果反馈和执行没有仔细控制，循环耦合如何破坏人机交互[38]。这些结果激发了显式的保护措施，如过滤、滞后和保持时间限制，以及不以稳定性为代价优化圈时间的目标。这一分支是相关的，因为HEO的一个组成部分使用操作级别证据进行会话后的协同设计。然而，它应与本地危险传播问题区分开来。在我们的公式中，人工回路推荐层不是即时警告路径的一部分；它是一个较慢的、可审计的层，其作用是防止不稳定的适应，同时保持工程可解释性。2.6. 可审计性、来源和操作员信任安全关键部署需要可追溯性：警报、警告和推荐应该能够根据原始证据进行审计，特别是在间歇性连接下。持久捕获层支持可重放性和来源性，而解释机制支持操作员信任和高风险环境下的事故后归因[39,40]。在我们的设置中，可审计的边缘层不是网络堆栈的附加部分；它使得延迟分析和设置推荐能够在可验证的遥测基础上保持根基，而不是不透明的事后推断。2.7. 用于耦合移动性和网络的可重复评估工具链车辆网络研究中一个反复出现的问题是可重复性。已经提倡双向耦合的交通和网络模拟，以避免关于移动性和接触模式的不切实际假设[41]。广泛使用的工具链包括用于交通/移动性的SUMO [42]和用于网络行为的包级模拟器，如ns-3和OMNeT++ [43,44]。特别是对于侧链路评估，开源工具支持使用C-V2X模式4/PC5和相应的分析性能模型进行包级实验[45,46]。这里的文献尤其相关，因为只有在明确报告信道模型、MAC假设、移动性耦合和传播指标时，关于有限传播延迟和邻域覆盖的主张才具有说服力。因此，我们的评估哲学遵循耦合移动性-网络研究的可重复性规范：安全平面传播堆栈必须被参数化并报告为包级V2V/V2X实验，而持久的MQTT路径必须作为基础设施中介的遥测通道单独评估。这种分离避免了将持久的云卸载与本地危险传输混淆，并使报告的延迟指标更易于解释。2.8. 设计要求和HEO解决的差距文献提供了强大的构建块，但没有提供具有可审计持久性和稳定意识的美赛速度本地危险传播的端到端蓝图。表1总结了领域要求以及相关工作的贡献。表1. 美赛速度危险传播的设计要求以及相关工作分支对它们的贡献。边缘计算和CPS理论激发了硬期限本地性[1,2]；V2X标准和拥塞控制文献解决了对移动性感知的通信问题，但仍然受到广播压力和新鲜度下降的挑战[7,13,19,21]；谣言在不确定性下提供了稳健的传播[25]；而新鲜度指标，如AoI，在高速度下更好地描述了战术效用[28]。对齐和稳健的统计对于操作级别归因至关重要[29,31]，而人工回路稳定性需要明确的 damping 机制[38]。HEO将这些分支实现了为竞技摩托车量身定制的单一连续体：一个具有有限有效性的本地危险传播平面；一个可审计的边缘持久层；以及一个延迟的协同设计路径，它位于即时安全循环之外。3. 系统架构3.1. 设计目标、控制划分和系统约束赛车运动操作在变速比为时，延迟转化为位移：约8.3米。在这种情况下，延迟是一个物理系统变量，对战术效用有直接影响。因此，架构必须：（i）在短暂的人为可操作范围内传播安全关键危险，（ii）在间歇性基础设施连接下保持功能，（iii）在覆盖间隙下保持可审计的高频率遥测，（iv）限制V2V开销，以便安全消息不会在广播压力下触发拥塞崩溃。为了避免误导性的“云 vs. 边缘”框架，我们明确区分了三个操作范围：本地安全范围（边缘/网格，目标<25–50毫秒）。邻里危险必须在受影响的部分变得物理上不可避免之前到达附近的摩托车。在变速比为时，25–50毫秒大约对应于2.1–4.2米的行驶距离，这激发了无需云往返的本地传播。战术监督范围（赛道侧/维修区墙射频，约50–200毫秒）。基础设施辅助的遥测支持监督和操作意识，但它不是去中心化的车对车危险通道。持久学习范围（云，几秒至几分钟）。审计、回放、模型细化和会话后协同设计能够容忍间歇性连接和更大的延迟变化。因此，我们根据时间敏感性和持久性来划分知识：短暂的关键知识（危险和即时微环境）保持本地和横向，而持久的知识（日志、摘要、回放轨迹和学习成果）则是机会主义的。这种划分与边缘/CPS设计中的硬期限本地性原则一致[1,2]，同时为延迟分析保留了可审计的数据管理[5]。3.1.1. 25毫秒目标的工程解释我们将25毫秒作为本地安全平面的工程设计目标，而不是作为生理学上的骑手反应常数或声称的通用车辆要求。其目的是将危险传播保持在竞赛速度下的短暂物理范围内（≈2.1米），并将本地警告平面与较慢的基础设施中介传输区分开来。因此，所有延迟结果后来都以中位数、四分位数和最大值而不是单一平均值报告，以便 typical 和尾部行为都可见。3.1.2. 电信级V2X约束本地安全平面旨在与基础设施独立的V2X操作兼容，其中邻域意识、信道负载和新鲜度是一级关注点。在ITS-G5方面，CAM/DENM和DCC明确解决了广播压力[15,16,17,19]。在蜂窝方面，3GPP C-V2X/NR-V2X侧链路（PC5）在TR 36.885/TR 37.885中提供了分布式资源选择和标准评估指导[10,21]。因此，云连接被明确排除在安全关键路径之外；它用于持久传输、回放、归因和长期学习。图2总结了这种划分。因此，核心架构主张不是“边缘而不是云”，而是关键路径的分离：即时危险知识在边缘-网格平面上本地传播，而持久证据和协同设计成果在云中异步整合。图2. 设计约束和混合认知卸载（HEO）连续体。架构沿三个耦合范围划分控制。左：知识被严格区分；短暂的危险被绑定到低延迟执行，而持久的学习容忍高延迟的云往返。右：系统架构在<50毫秒的人为可操作窗口内物理上体现了这种分离，将长期处理（云，蓝色）归为非关键路径。3.2. 混合认知卸载作为边缘-网格-云连续体我们将混合认知卸载（HEO）实现为一个三层连续体：1.边缘节点（车辆/青铜级）。安装在自行车上的计算通过CAN连接到ECU/IMU遥测。它执行确定性摄取、在线危险提取、特征生成、操作分割和在ASAM MDF 4.x中的容错持久性。2.网格层（网络/银级）。一个动态的V2V图，通过带有TTL、到期时间和冗余抑制的有限有效性谣言传播紧凑的危险摘要。3.云层（黄金级）。一个用于摘要聚合、审计/回放、归因和较慢的稳定性受限协同设计的持久路径。这一层对于即时危险信息的传播并非至关重要。这种分层结构应被视为一种政策分离的架构，而不仅仅是为了部署便利性。功能根据其时间要求和容错能力分配到相应的层次中：边缘层负责保存原始证据并立即发布摘要；网格层在数据丢失或竞争情况下优先考虑本地意识传递；云层则支持对可审计的遥测数据进行延迟处理。为了提高可重复性，实现和评估结果是按层面报告的，而不是作为一个整体的“系统延迟”指标来表示：耐用的MQTT传输路径与网格安全层是分开测量的，H3协同设计证据则是从可重放的MDF4支持的工件中提取的，而不是来自不透明的内部状态。

图3展示了混合认知卸载（HEO）连续体的物理和逻辑分层。该架构明确分为三个操作层次——青铜级、银级和金级——每个层次都针对特定的计算和时间限制进行了优化。边缘节点（青铜级）作为基础数据协调者，通过随机八卦机制将安全关键的危险微地图传递到V2V网格层（银级），同时 opportunistically 将聚合的摘要卸载到云层（金级）。这种严格的认知划分确保了即时危险信息的传播完全不受云性能间歇性的影响。

3.3. 边缘节点：ECU接口、时钟、原子化和持久性
每辆摩托车上都安装有一个车载边缘节点，通过CAN 2.0B/CAN-FD连接到赛车ECU/IMU堆栈。边缘节点是该架构的本地协调者：它为传入信号添加时间戳，保存原始证据，提取危险候选项，并将输出发送到网格安全层或耐用的云处理流程。
边缘软件被有意地划分为控制部分，以便在温度和工作负载压力下关键功能仍能保持调度能力：
- 低抖动的数据采集：使用面向实时的数据采集路径（例如，优先级调度、核心引脚固定和锁存内存）通过SocketCAN捕获CAN帧，以减少抖动和缓冲溢出。
- 共享时间基准：所有通道都基于GNSS PPS提供的公共单调时钟进行时间戳处理；如果GNSS失效，节点会回退到受监控的单调时钟源，必要时可以通过赛道同步进行改进。
- DBC解码和单位标准化：使用会话DBC将原始载荷转换为物理单位，以确保跨会话的特征语义稳定性。
- 容错持久性：高频遥测数据存储在ASAM MDF 4.x中，作为确定性地重放、会话后归因和覆盖间隙内测量可追溯性的权威原始证据来源。
- 危险提取和摘要发布：将与安全相关的异常（例如，滑动超出或代理丢失）汇总为紧凑的摘要，并立即发布到本地V2V安全层。
- 操控级别处理：在同一同步的遥测数据流上执行技能原子分割和对齐的特征提取，但这些输出不是即时危险传递所必需的。

3.3.1. 实施细节披露
为了解决可重复性问题，修订后的手稿将边缘节点的架构角色与特定于部署的硬件说明分开。确切的硬件/软件配置、代理放置和测量钩子将在实验设置中另行报告，而不是隐含其中。这使得架构部分保持技术基础性，不会将设计与某个特定的原型实例混淆。

3.3.2. 温度和实时安全环境
关键的数据采集、摘要构建和MDF日志记录在一个预留的CPU环境中执行，而计算密集型或可选的功能（例如，最佳努力特征重新计算、检索或更复杂的后处理）会在温度压力下首先失效。这确保了即使在非关键工作负载必须被限制的情况下，危险信息的传播和证据捕获仍然可以正常运行。
在高温状态下，非关键组件会首先被限制或禁用，而危险信息的传播和MDF日志记录仍按设计保持运行。图4总结了这种控制划分和资源隔离策略。

3.4. 网格层（银级）：用于临时危险信息传播的TTL限制的八卦机制
网格层实现了临时安全平面：一种以本地性为先的传播机制，即使在基础设施不可用时也能在附近的摩托车之间传播短期的危险知识。其设计目标是在相关邻近区域内实现有界的时间覆盖范围，而不是完美的全局可靠性。

3.4.1. V2X兼容性和评估边界
网格平面与独立于基础设施的V2X承载技术兼容，包括ITS-G5和C-V2X/NR-V2X旁链路。在评估中，我们使用第4.11节描述的标准对齐方法，在包级C-V2X Mode 4/PC5堆栈上实现了安全平面。重要的是，无线电承载技术并不是本文的新颖之处；贡献在于应用层的危险模型、有界有效性的传播逻辑以及与耐用云路径的可审计分离。

3.4.2. 危险摘要语义
危险信息被表示为一个紧凑的摘要，其中过期时间限制了其有效性，而走廊信息编码了下游接收器使用的不确定性感知的空间范围。TTL提供了一个额外的跳动次数限制，以防止不受控制的传播。过期时间和TTL共同确保了传播的有界性：过时的危险信息会自我抑制，而不会在网络中持续存在。

3.4.3. 带有抑制机制的随机八卦
当检测到危险信息时，边缘节点将其摘要插入高优先级的传播队列中。节点通过推拉反熵机制交换紧凑的摘要，并且每轮只转发有限数量的消息。广播范围根据本地密度进行调整，接近过期的摘要会被降级处理，同一区域的重复更新会被抑制。因此，目标不是最终的一致性，而是在战术窗口关闭前的及时本地意识传递。

3.4.4. 可扩展性讨论
HEO的可扩展性是局部的，而不是整个网络的。目标部署是一个节点数量有限、拓扑结构明确的有界竞赛车队，而不是不受限制的城市VANET。随着节点密度或危险事件率的增加，传播成本呈非线性增长，因为竞争加剧，协议通过冗余抑制和有限范围的广播来有意减少有效传播。换句话说，密度的增加并不意味着无限制的泛洪；系统趋向于一种竞争有限的机制，在这种机制下，控制机制通过牺牲传播广度来保持信息的新鲜度。这在结果部分使用PRR/PDR和基于新鲜度的指标进行了定量讨论。

3.4.5. 绩效指标和正确性标准
网格平面通过时间覆盖指标（例如），PRR/PDR、数据包接收行为以及基于不确定性和传输距离得出的可操作性走廊来评估其性能。在适当的情况下，还会报告基于新鲜度的指标，如信息年龄。这使得正确性标准更加明确：警报只有在接收器的时空范围内仍然具有可操作性时才有意义。

图5概念化了在极端移动性条件下的动态V2V网格层。在竞赛速度下，架构必须克服显著的多普勒偏移，同时保持对承载技术的无关性（例如IEEE 802.11p或C-V2X PC5）。图表展示了检测节点如何根据相对运动学和链路质量定义其邻近区域。系统路由目标严格局限于本地化：为跟随者集合实现有界的时间感知，以便执行物理规避动作。

3.5. 网关和云层（金级）：耐用的卸载、可审计性和长视野学习
云层实现了持久知识平面：长期聚合、重放/审计和模型更新，这些对于反射式安全来说是非关键的。耐用的传输使用边缘→网关→云的流程，能够容忍间歇性的连接性，而车载MDF存储仍然是原始证据的权威来源。

3.5.1. 耐用遥测管道和缓冲
车载MDF日志在覆盖间隙内提供容错持久性。当连接可用时，边缘节点或赛道旁的网关生成紧凑的摘要（例如，原子级统计信息、异常计数器和选定的时间窗口），并通过MQTT将其流式传输到云存储和分析服务。在回传链路丢失的情况下，网关会缓存摘要以供后续传输，而原始MDF仍然可以在本地用于审计/重放。

3.5.2. 湖库风格的数据管理（青铜/银/金）
我们采用了一种受湖泊存储原则启发的数据管理方式：边缘的原始MDF日志（青铜级）保留原始信息和来源；网格级的危险摘要和邻域上下文（银级）捕获临时的安全知识；云级的聚合（金级）整理了用于分析、可解释的归因和协同设计的持久摘要。这种结构支持可追溯性，而不会通过高变异性的云路径强制进行反射式决策。

3.5.3. 安全性和操作可追溯性
耐用的数据流和存储的工件都设计为可审计的：每个摘要都与其MDF时间窗口以及相关的原始危险摘要ID相关联，以便在事件发生后的重建和问责。这种分层可追溯性满足了安全关键CPS部署中的操作员信任要求。

3.5.4. 关注点的分离
按照设计，安全关键的控制循环在边缘/网格层闭合，而云层执行战略学习和事后推理。这种划分防止了反射式安全继承LTE/5G的延迟问题，并将评估与架构声明的关键路径对齐。

3.6. 轨道危险的空间-时间不确定性预算
轨道危险不是一个点估计，而是一个时空不确定性区域，其战术实用性取决于速度、采样率、延迟和定位精度。设表示报告摩托车的（仅GNSS或融合GNSS/INS的）（1）位置不确定性，表示接收摩托车的（1）位置不确定性。从检测到应用层接收的端到端延迟为，其中捕获了采样/量化延迟（对于周期性感知通常是），是检测加上摘要构建时间，是调度/排队延迟，是网络传播延迟（针对网格/旁链路安全平面，而不是MQTT耐用路径）。在高移动性环境中，用尾部统计量（例如）来限定通常比平均值更有意义。

3.6.1. 沿轨道与跨轨道不确定性
使用保守的加性界限，接收摩托车的不确定性走廊可以近似为，其中是接收器的速度。这明确了一个关键含义：即使是很小的延迟也会在竞赛速度下将沿轨道的危险走廊扩大数米。实际上，警报是使用置信范围（例如，在高斯假设下的覆盖范围内）来呈现的。

3.6.2. 摘要足迹和战术实用性
因此，危险摘要编码了一个量化的足迹（例如），而不仅仅是单个坐标。接收器将足迹投影到已知的轨道几何结构（扇区+曲线偏移s）上，并将警报可视化为一个动态风险走廊，其实用性取决于新鲜度。这种框架与GNSS/INS不确定性的原则性导航/估计处理[47]以及基于新鲜度的时间关键状态信息评估[27,28]是一致的。

图7展示了分解：跨轨道误差主要由定位限制，而沿轨道的不确定性随线性增长，这促使基于足迹的危险传播。图7. 竞赛速度下的时空不确定性预算。在高速情况下，由于端到端延迟，局部化危险被拉伸成一个不确定性走廊。

3.7. 用于危险微地图的随机八卦
每个节点维护一个由键控的本地危险微地图，其中OFFSET是一个曲线轨道坐标（例如，沿中心线的米数），TYPE编码了危险类别（油污/碎片/丢失/不稳定性）。接收到的危险信息被表示为一个紧凑的摘要，其中走廊编码了足迹/风险走廊（第3.6节），过期时间限制了传播的跳动次数以避免泛洪。

3.7.1. 接受逻辑（四阶段门控）
只有当来自对等方的摘要通过以下所有门控时才会被接受并合并到中：
1. 新鲜度/时间戳优势：摘要比当前存储的相同键的条目更新（在基于时间的优势上判断，并在id上平局时打破平局），并且其有效过期时间低于接受阈值（例如，在战术窗口内）。
2. 有效性（时间到期+TTL）：摘要尚未过期，并且保留了传播预算。过期的危险信息按设计被丢弃；接近过期的危险信息会被降低优先级，以保持通信通道的容量。3. 安全模式的有效性。摘要数据满足本地安全策略（第3.10节）：允许的模式、完整性/身份验证检查以及本地信任约束。4. 物理上的合理性。更新在物理上是合理的且非攻击性的：它遵守每个扇区的速率限制，遵守邻近性/连续性约束（例如，不会“传送”到非相邻的段），并且在有可用数据时（例如，滑动/代理界限）与单车上的证据保持一致。被接受的摘要数据会触发本地警报，并可能被显示为风险走廊（第3.6节）。被拒绝的摘要数据会自动抑制，防止陈旧或格式错误的更新占用带宽。3.7.2. 随机化八卦传播与推拉式抗熵机制传播是通过随机选择邻居节点进行的，具有扇出k、八卦周期和TTL预算，并结合了推拉式抗熵修复[24,25]。在每一轮中，节点从其当前邻域中抽取大小为k的子集并交换：（i）最近摘要ID的紧凑摘要（以便快速设置协调）和（ii）最高优先级的摘要数据（最新的、严重性/置信度最高的以及距离到期时间最远的）。检测到缺失相关摘要数据的邻居节点会请求这些数据（拉取），从而在无全局协调的情况下提高鲁棒性。3.7.3. 有界时间局部收敛目标正确性目标是有限时间内的局部收敛（例如，对于定义的邻域），而不是完美的可靠性。靠近危险区域的节点通过接近度和接触机会被优先处理，而陈旧的危险信息会通过到期时间和TTL自动抑制。图8总结了接受门和传播循环。图8. 危险微地图接受逻辑和随机化八卦传播。节点在将传入的摘要数据合并到本地微地图之前，会对其进行四个严格的接受门检查。被接受的更新会触发具有扇出k、周期和TTL预算的随机化八卦传播，并结合推拉式抗熵修复[24,25]。被拒绝或陈旧的摘要数据会自动抑制，从而防止陈旧或格式错误的更新占用带宽。3.8. HEO连续体拓扑图9描绘了HEO操作连续体。每辆摩托车嵌入了一个边缘节点，该节点通过CAN接收ECU/IMU的遥测数据，在设备上进行分割成技能原子，并提取紧凑的危险摘要。该架构严格分离了不同类型的任务：（i）临时性的安全知识通过V2V安全平面（关键路径）进行横向传播，而（ii）持久性知识（原子摘要、审计指针和模型更新）在覆盖可用时通过边缘→网关→云的路径机会性地进行卸载。这种划分防止了反射循环继承LTE/5G的延迟问题，并将评估与声明的关键路径对齐。图9. HEO连续体拓扑和关键路径与持久路径的分离。每辆车都在设备上进行数据摄入、原子化和危险提取。红色（关键）：临时性危险通过V2V安全平面使用TTL/时间到期摘要和随机化八卦（）以及推拉式修复进行横向传播。蓝色（非关键）：持久性原子摘要和审计指针通过LTE/5G使用MQTT机会性地进行卸载，以支持回放和长期学习。3.9. V2V危险摘要：紧凑消息定义（考虑不确定性）在广播压力下的安全传播得益于具有明确有效性语义的极紧凑消息。因此，我们定义了一个用于频繁更新和拥堵V2V通道的最小危险摘要。基础摘要仅携带以下信息：（i）在已知轨道几何上进行战术定位；（ii）根据第3.6节进行不确定性感知的渲染，以生成足迹/风险走廊。身份验证是通过政策控制的，并且仅在本地安全模式需要时才添加（第3.10节）。3.9.1. 语义模型（比特的含义）危险信息通过一个粗略的SECTOR_ID和一个量化的扇区内偏移量OFFSET_Q与轨道坐标关联。FOOTPRINT_Q字段编码了接收器用于将危险信息渲染为风险区域而非点的走廊范围。时间有效性通过（i）一个TIMESTAMP和一个由政策衍生的接受窗口（）以及（ii）一个限制传播范围的TTL来确保，以防止泛滥。快速完整性由CRC8提供；更强的身份验证（MAC/签名）在有条件的情况下添加。图10显示了基础载荷的32位对齐布局（84位，约10.5字节），表2提供了字段级别的定义。图10. V2V危险摘要的位级结构（32位对齐视图）。基础载荷被故意设计得非常紧凑（84位/10.5字节），以支持在拥堵V2V通道下的频繁安全更新。OFFSET_Q和FOOTPRINT_Q（红色）实现了不确定性感知的渲染，而TTL限制了传播范围，CRC8提供了快速完整性。强身份验证是根据政策条件附加的（第3.10节）。表2. 基础V2V危险摘要的位级定义（84位约10.5字节）。优化用于小于25毫秒的传播和不确定性感知的渲染。3.9.2. 轨道离散化注释使用SECTOR_ID作为uint8提供了256个可寻址的轨道段，这安全地超出了标准大奖赛和封闭电路微段的要求。因此，对于预定的摩托车运动领域来说，这个字段是有意保守的，同时在广播压力下仍然足够紧凑，以便频繁传播。3.10. 网格警报的安全性和信任模型HEO在广播压力和间歇性连接下采用了一种以时效性为先的安全策略来传播危险信息。目标是在本地警告路径上以最小的延迟拒绝损坏、重放和不可信的更新，同时在显著提高战术用处的情况下保留更强的加密保护。3.10.1. 安全性声明的范围本文中的安全模型是一种架构设计贡献，而不是完整的对抗性能评估。我们指定了支持本地优先危险信息传播所需的威胁类别、数据包级检查和基于政策的身份验证模式，但我们并不声称在这些手稿中已经彻底验证了欺骗、DoS或Sybil抗性。这些场景留作未来工作的明确任务。3.10.2. 威胁模型我们考虑了以下情况：（T1）意外损坏和截断；（T2）陈旧或重放的摘要；（T3）欺骗性危险注入；（T4）在高密度广播下的突发或通道耗尽尝试；以及（T5）会话内的有限Sybil式行为。交互式握手和在线PKI有意被排除在关键路径之外。3.10.3. 分层检查每个传入的摘要数据会经过四个轻量级阶段：1. 快速完整性（CRC级别的损坏检测）；2. 新鲜度/防重放（接受窗口和重复抑制）；3. 物理合理性（扇区邻近性、速率限制和简单动态约束）；4. 针对高严重性或权威来源的危险信息的基于政策的身份验证。3.10.4. 操作模式模式M0是一个没有加密身份验证的时效性导向的基线；它依赖于新鲜度、合理性和可选的多源确认，然后再进行高级别的升级。模式M1为高严重性的摘要数据添加一个紧凑的MAC，而模式M2为权威发布的警报保留，其中更强的真实性和防重放保证需要更高的开销。3.10.5. 实际解释这种分级设计反映了安全平面的核心权衡：在严重竞争情况下，系统优先保留新鲜度的单次检查，而不是复杂的加密程序。因此，本文将安全性视为基于政策的并且意识到延迟的，同时明确表示专门的对抗性基准测试目前不在评估范围内。3.10.6. 模式和密钥假设表3定义了三种操作安全模式。M0是一个仅关注时效性的基线，没有加密身份验证；它依赖于新鲜度+合理性+（可选的）多源确认来进行升级。M1为高严重性的摘要数据添加一个紧凑的MAC，其中真实性显著提高了决策质量。M2针对权威发布的警报（例如，赛道协调员/基础设施网关），使用AEAD提供完整性和防重放功能，并带有明确的随机数。关键材料假设在会话前已经提供（例如，每队/每次会话的组密钥），并在粗略的时间基础上轮换；在骑行过程中不需要交互式密钥交换。表3. 危险摘要的数据保护模式（基础载荷84位）。系统根据危险严重性和通道拥堵动态地升级保护。3.10.7. 实际信任门控为了保持时效性，节点可以传播通过L1-L3阶段的M0摘要数据，但只有当（i）摘要数据经过验证（M1/M2）或者（ii）在短时间内至少有m个不同来源的确认时，才会升级为高可见度的UI警报。这个“确认或验证”规则减少了误报，并限制了单个欺骗源的影响，而不需要在每个数据包上使用复杂的加密。图11总结了决策流程。图11. 考虑到延迟的网格警报信任门控。在本地警告路径上始终强制执行完整性、新鲜度和合理性。根据危险严重性和源策略选择性地应用更强的身份验证，以确保安全开销不会无差别地消耗战术用途所需的相同时间预算。3.11. 云层：持久性知识、可审计性和稳定性受限的共同设计云层明确位于直接的危险警告路径之外。它的作用是保存和维护持久性知识：可重放的证据、操作级摘要、归属链接和延迟的共同设计建议。这种分离确保了即时警告不会继承LTE/5G的间歇性问题或云端的延迟。3.11.1. 持久性摄入和可追溯性原始遥测数据仍然锚定在本地ASAM MDF 4.x文件中。当连接可用时，系统通过边缘→网关→云的流程上传紧凑的摘要、事件引用和审计指针。因此，每个持久性工件都链接回可重放的证据，使得在会话后可以重建和解释，而无需云参与本地安全循环。3.11.2. H3解释和范围共同设计组件应被视为一个基于试点证据的会后分析层，而不是比赛中的实时自动控制器。在修订后的手稿中，H3是基于从同步的MDF支持的数据汇总的操作/会话证据进行明确评估的，统计计算是在适当的聚合单元上进行的，而不是在原始的自相关样本上。这保持了云层的架构角色与实际呈现的证据一致。3.11.3. 泛化边界当前设计是为具有固定轨道几何形状、有限节点数量和高质量先前轨道图的受限比赛环境量身定制的。要将设计泛化到更广泛的车辆场景，将需要不同的密度假设、不同的地图/更新语义，以及可能更强的安全性和拥塞控制策略。因此，我们将HEO作为一个用于高流动性封闭电路危险信息传播的电信架构提出，而VANET的更广泛泛化则留作未来的工作。3.11.4. 稳定性受限的建议逻辑为了避免算法上的“狩猎”行为，云辅助的建议通过平滑处理、滞后和保持时间限制来控制。只有在改进信号持续足够长时间以证明有理由进行有限更新时，才会发出行动。这种意图是保守的，面向操作员的：系统提出小的、可解释的、可逆的设置变更，而不是激进的自动执行。为了应对人机不稳定性这一核心批评，循环中的机械设置共同设计过程使用滞后和保持时间限制来进行安全控制（图12）。系统不是对单圈波动做出反应，而是通过指数加权移动平均（EWMA）维持一个过滤后的不稳定状态，并仅在改进信号持续且有限制的情况下触发干预：（1）其中H是保持窗口，是滞后阈值，是平滑因子。当门打开时，优化器在信任区域约束下提出一个有限的更新，限制变化的幅度和速率，以防止振荡行为并保持操作员的信任。实际上，这起到了一个“不造成伤害”的保护作用：建议是保守的、可解释的、可逆的，系统可以配置为在重大变化前需要多次会话的确认。图12. 基于信任的会后共同设计逻辑。云辅助的建议是根据持久性证据生成的，并通过滞后和保持时间限制进行过滤，然后再提出任何有限的设置更新。这一层故意设计得比本地警告路径更慢、更保守，以减少振荡建议行为的风险。4. 方法论本节规定了在连续体架构（第3节）之上实施的端到端方法。我们正式定义了：（i）通过技能原子进行的操作级表示；（ii）在高速率感测下的审计就绪同步、预处理和对齐特征提取；（iii）通过与上下文参考定义的虚拟对手进行配对比较的竞争力跟踪；（iv）从原始遥测数据中派生的控制波动性的明确定义；（v）带有防振荡保护的波动性门控安全框架；以及（vi）带有信任区域更新的二级设置共同设计。最后，我们为H1-H3定义了一个统计上可防御的评估协议，其中分析单元是事件、原子、配对窗口、扇区聚合或圈次，而不是原始的过度采样遥测数据，从而避免了无效的独立同分布假设。方法论上，H1和H2对应于通信平面的证据，而H3被视为来自连续真实会话的试点案例研究证据，这些会话中有机械设置的变化。因此，H3的声明限于观察到的研究条件，不作为跨骑手、赛道或环境条件的广泛概括。图13总结了从原始遥测数据到有限设置更新的五个操作阶段。图13. 端到端方法论概述。这个五阶段流程将原始遥测数据转换为可审计的操作对象、竞争力/波动性估计和有限设置更新。评估协议与架构保持一致：H1和H2是通信层面的测量数据，而H3则是从连续的实际会话中分析得出的试点证据，这些会话涉及机械设置的更改，评估是在聚合单元（事件、原子、配对窗口、扇区聚合和圈数）上进行的，而不是基于原始的自相关样本。4.1. 数据完整性、时间同步和预处理高速摩托车的遥测数据具有多速率特性，并会受到数据包丢失、时钟漂移和振动引起的伪影的影响。为了保持审计性并实现统计上有效的下游分析，处理流程强制执行了同步的时间基准、保守的过滤以及明确的不确定性标记。4.1.1. 时间基准和同步所有边缘信号都使用硬件参考时钟（如果可用的话，如GNSS PPS或IEEE 1588/PTP在赛道基础设施中）映射到一个共同的单调时间线上[48,49]。设t表示同步时间，j表示流的原始时间戳。我们通过最小化信标对齐的残差（PPS边缘或PTP同步点）来估计逐会话的分段仿射校正。这可以防止毫秒级的漂移变成米级的空间错位。4.1.2. 过滤和伪影拒绝信号使用物理上保守的运算符进行过滤：(i) 中值过滤器用于脉冲尖峰；(ii) 低通滤波器用于超出传感器带宽的振动；(iii) 基于变化率的合理性门限。只有在有界的时间间隔内，缺失值才会被前向填充。当间隔超过政策定义的阈值时，受影响的原子会被标记为不确定，并从推理测试中排除，但仍可用于审计/回放。4.2. 技能原子形式化高频率的遥测数据在语义上非常密集且具有很强的自相关性。为了获得可解释和统计上可用的单元，该方法将遥测数据转换为称为“技能原子”的离散操控对象。技能原子的定义如下：其中t表示同步时间间隔，m表示操控类型（例如，顶点稳定性或转角退出），c表示操作上下文（赛道/扇区/会话状态），s表示状态签名，r表示控制签名，f表示反馈/风险签名，v表示对齐的固定长度特征向量，o表示有界的原子结果得分，u表示由缺失、同步质量和传感器置信度引起的不确定性描述符。4.3. 通过触发式有限状态机（带滞后保护）进行边缘分割分割在边缘上作为低延迟的有限状态机运行，由物理上可解释的触发器驱动，并带有滞后和最小持续时间保护来抑制噪声引起的转换。在本研究中，我们报告了两种原子类型：顶点稳定性（AS）和转角退出（CE）。状态规则如下：这里α定义了顶点接近区间，β强制实施倾斜率稳定性，δ是最小原子持续时间。这将数千个原始样本转换为每圈少量可审计的操控单元。4.4. 特征工程、归一化和时间对齐（DTW）由于速度、路线选择和交通情况的不同，操控窗口的持续时间各不相同，因此直接进行样本间的比较是不合理的。因此，我们使用两阶段对齐过程。阶段1：相位归一化。每个原子窗口都被重新采样到一个具有m个点的标准化相位网格上。阶段2：DTW细化。当上下文模板可用时，使用动态时间规整（DTW）进行细化。设r表示参考序列，j表示当前原子序列。DTW产生的结果需满足单调性和连续性约束。对齐后的特征包括稳健的统计量（中位数和MAD）、时间描述符（峰值相位和上升时间）以及安全指标（滑移偏差和TC激活）。4.5. 原子结果评分和明确成本定义每个原子都被分配一个有界的得分，该得分基于时间、风险和不确定性的明确成本进行平衡：其中t表示上下文中的操控时间损失代理，c表示稳定性/风险惩罚（例如，滑移偏差、TC饱和和包络违规），d惩罚由于缺失或数据质量低导致的不确定结果。有界的结果得分的计算公式如下：权重r实现了以稳定性为先的政策，并且在风险项增加时可能会向上调整。4.6. 通过配对比较三元组（虚拟对手）进行能力建模评分系统自然是为双人比较定义的。我们通过为每种原子类型和上下文c定义的虚拟对手，将Glickman风格的配对比较公式适应于单骑士试验。对于每对数据，我们维护一个能力三元组，其中r表示上下文能力，u表示其不确定性，v表示波动性项。4.6.1. 参考基准定义虚拟基准是根据骑士自己最佳稳定的历史原子在匹配的赛道/扇区/条件约束下形成的滚动上下文参考集建立的。如果匹配的参考池太小，则系统回退到会话级别的中位数基线，并相应提高u以反映较低的置信度。这避免了在数据稀疏情况下出现不切实际的激进基准。4.6.2. 连续匹配得分定义有符号的上下文边际，并将其映射为连续的匹配得分：这避免了脆性的二进制胜负标签，从而获得了更平滑的能力更新。4.6.3. 波动性的明确数学定义为了使波动性具有操作性而不仅仅是纯粹的定性描述，我们为每个原子定义了一个原始数据控制波动性代理：其中x表示用于表征控制不规则性的对齐通道集，y表示对齐相位网格上的首差分量，z表示通道q的上下文参考分散度。直观地说，z衡量了控制/响应轨迹相对于稳定上下文基线的波动程度。然后，三元组波动性组件作为一个有界过滤后的状态更新：其中α是更新因子，β强制执行了可接受的范围。在本手稿中，因此x表示从对齐的原始遥测数据中得出的过滤后的上下文控制波动性状态。4.7. 作为波动性门控监督的安全框架如果在辅助系统对瞬态波动反应过于剧烈，引入指导机制可能会引起耦合振荡。因此，我们使用具有滞后和保持时间限制的波动性感知监督。设γ为监督风险指数。激活阈值定义为如下：如果γ超过某个阈值，系统进入以稳定性为先的模式，并且只有在γ满足条件时才退出。干预措施受到速率限制，并且至少持续H个原子以防止快速切换。4.8. 双层设置协同设计优化（信任区域+稳定性加权）设置适应被公式化为一个双层优化问题。外层循环选择设置变量（例如，电子映射和阻尼设置），而内层循环估计在骑士当前的能力和安全状态下的可实现性能：这里的α随着波动性的增加而增加，当控制的可重复性较低时优先考虑稳定性。为了防止设置搜索，我们应用：(i) 信任区域界限；(ii) 粗略的更新频率限制；(iii) 只在多个原子/圈数中一致改进后才会承诺变更的接受门控。在本手稿中，这种协同设计层是作为从连续的实际会话中分析得出的试点证据，这些会话涉及机械设置的更改，是在会话后进行分析的，而不是作为比赛中的实时自主控制器。4.9. 方法到架构的映射该方法映射到以下连续体：Edge/Bronze：同步、预处理、分割、对齐特征提取、得分计算、三元组更新和MDF持久性；Mesh/Silver：通过TTL限制的随机八卦程序传播紧凑的危险摘要；Cloud/Gold：长时间范围的聚合、报告和在原子摘要和MDF支持的协同设计上的稳定性约束。4.10. 评估协议和统计分析（H1–H3）我们使用与报告的伪影和架构的关键路径分离相一致的协议来验证H1–H3。在所有情况下，推理统计都是在适当的聚合单元（事件、原子、配对窗口、扇区聚合和圈数）上计算的，从未在原始的过采样遥测样本上进行。4.10.1. 实现披露和可重复性实现通过报告的边缘节点硬件/软件配置、MQTT代理部署、时间戳仪器点、消息大小和包级模拟参数来记录实现，以便评估不依赖于隐含的原型假设。4.10.2. H1（耐用通信性能）我们通过测量离散事件间的跳数级和端到端延迟来评估耐用的MQTT管道（边缘→网关→云），报告最大值和观察到的损失。结果也可以解释为以比赛速度行驶的距离。4.10.3. H2（在不确定性下的短暂V2V危险传播）我们使用第4.11节描述的分组级堆栈来评估网格安全平面。主要输出包括覆盖时间指标（TTC）、PPR/PDR、数据包接收行为以及从定位不确定性和传播延迟中得出的可操作性走廊。在适当的情况下，还包括了以信息新鲜度为导向的度量，如信息年龄（AoI）。4.10.4. H3（稳定性约束的协同设计有效性）H3是在配对的基线会话与经过同步的MDF4证据支持下，针对原子/窗口/圈数级别进行评估的。由于原子内的遥测数据是自相关的，统计测试仅在聚合单元上进行。因此，报告的证据是在观察到的研究条件下的试点案例研究证据。我们报告了配对的非参数测试（例如，在适当的情况下使用Wilcoxon符号秩检验）、自助法95%置信区间和效应大小。4.10.5. 支持性验证：分割保真度技能原子分割作为支持性证据而不是主要假设进行报告，使用精确度/召回率/F1和相对于标记区间的时间IoU来计算，每个原子类型在同步时间线上计算。表4总结了H1–H3使用的评估伪影、聚合单元和主要输出。表4. H1–H3的评估伪影和统计框架。指标按功能单元（事件、原子、配对窗口、扇区聚合和圈数）进行聚合，以在非独立同分布（non-i.i.d.）的赛车遥测数据下保持有效性。4.11. V2V网格评估堆栈（ns-3 + SUMO, C-V2X Mode 4/PC5）为了满足电信评审员对标准对齐的V2X评估的期望，我们使用与SUMO移动性耦合的ns-3进行分组级模拟。无线电承载者被实例化为C-V2X侧链模式4（PC5），而危险传播逻辑（TTL/到期时间、随机八卦、抑制和反熵）在应用层实现。4.11.1. 参考模拟器和标准对齐我们基于与3GPP TR 36.885和TR 37.885中的评估方法一致 olan ns-3 C-V2X Mode 4实现。报告的参数包括通道/负载假设、消息周期性、资源池配置、移动性密度、传播范围k、八卦周期、时间有效性范围、TTL预算和随机种子。4.11.2. 移动性和赛车场景在SUMO中生成闭环移动性轨迹，并为赛车操作参数化（高速度、短车间距、车队形成和稀疏/中等/密集车队）。当有记录的圈数轨迹可用时，它们被重新播放作为移动性真实值；否则，使用参数化的赛车线路基线。4.11.3. 对比框架为了在不夸大面对面证据的情况下描述安全平面的好处，手稿使用了两个互补的比较层次。首先，H2研究报告了在控制的稀疏/中等/密集车队条件下提出的有界有效性协议的绝对分组级传播指标。其次，第7.4节提供了云中介警报和本地边缘-网格传播之间的架构比较，阐明了为什么安全关键路径必须保持本地化。专门的针对简化重新广播基线的分组级面对面比较留给未来的工作。4.11.4. 报告的指标我们报告：(i) 为定义的接近邻域计算的时间到覆盖指标；(ii) PRR/PDR和数据包接收分布；(iii) 如有必要时的信息新鲜度度量，如AoI；(iv) 通过将延迟映射到行驶距离来获得的可操作性走廊。所有模拟器配置都是固定的并记录下来，以便能够进行可重复的重新运行。5. 算法实现本节指定了由网格（silver）安全平面实现的传播协议。该协议定义如下：(i) 在固定大小的危险摘要上，接受、合并和转发决策是确定性的；(ii) 通过到期时间和TTL跳数预算明确分离时间有效性和跳数有效性；(iii) 政策门控的身份验证可以在不改变基础摘要的语义的情况下附加。基础负载保持为84位，而仅在本地安全策略需要时应用更强的身份验证。该协议的安全贡献是架构上的并且具有延迟意识：实现暴露了M0/M1/M2验证的显式挂钩，同时将专用的欺骗、DoS和Sybil压力攻击留给未来的工作。5.1. 状态、时间语义和传播目标设V为车辆集合。在时间t，车队诱导出一个时变连接图每个节点维护本地状态，其中v是本地危险微映射，由KEY标识。它存储最新接受的值（包括SEV和FOOTPRINT_Q）、观察时间戳、验证的安全模式以及用于升级门控的可选确证集合。v是一个有界的重复/防止回放的缓存。由于MSG_ID表示消息类别/版本而不是全局唯一的包标识符，重复抑制使用了一个派生的键，其中SRC表示链路层发送者身份，或者在M1/M2激活时表示经过认证的发送者身份。这防止了在同一毫秒内多个摩托车报告同一区域时的碰撞。w是从周期性信标和本地链路上下文（相对航向、接近度和可选的赛道进度相关性）派生的动态维护的邻居集合。5.1.1. 赛道离散化注使用SECTOR_ID作为uint8提供了256个可寻址的赛道段，这安全地覆盖了标准的大奖赛和闭环微赛道定义，同时保持足够的紧凑性以便在广播压力下频繁传播。5.1.2. 时间有效性 vs.跳数有效性
该协议区分了两种有效性：
- 时间有效性，通过使用TIMESTAMP和策略定义的有效窗口来实现，通过一个过期时间来限制；
- 跳数有效性，通过4位的TTL字段来实现，该字段在每次转发时递减。因此，时间有效性决定了危险信息何时变得无关紧要，而TTL则决定了其传播的范围。

5.1.3. 传播目标
对于节点上新生成的任何危险信息摘要，该协议旨在最大化附近邻居在限定时间内接收摘要的概率，并且不依赖于基础设施。这是通过以下方式实现的：
- 立即将摘要推送到一个评分较高的子集；
- 每隔一段时间进行反熵轮次，使用推拉修复机制[24,25]。

5.2. 数据包格式、模式检测和序列化
每个危险信息更新都作为固定大小的基本危险信息摘要进行传输：
安全性是通过符合第3.10节的只追加扩展来实现的。接收方从接收到的帧长度或等效的链接头部中推断出活动安全模式：
- M0：仅基本摘要（CRC-8）；
- M1：基本摘要+8字节截断的MAC标签；
- M2：基本摘要+用于权威发起的警报的AEAD随机数/标签元数据。
这保持了确定性的基本语义，并最小化了在拥挤的安全通道上的开销。

5.3. 接受条件和合并规则
5.3.1. 接受条件
当节点接收到数据包时，只有在满足以下所有条件时才会接受该数据包：
1. 完整性；
2. 新鲜度/过期时间：数据包在接收方的接受窗口内；
3. 无重复/防重放机制；
4. 遵循M0/M1/M2策略，并且在需要时验证MAC/AEAD；
5. 物理合理性：扇区相邻性、有限的更新速率以及简单的连续性约束。

5.3.2. 合并规则
只有当新接收到的数据包严格更新了当前存储的记录时，才会将其合并到现有记录中。如果时间戳相同但发送者不同，数据包仍然可以更新确认集，而不会替换已存储的值。这样可以保持时间戳的优先级，同时允许多源确认用于升级逻辑。

5.4. 邻居选择和相关性偏好
为了限制车对车（V2V）的开销，同时避免采用简单的泛洪式传播方式，传播机制会考虑邻近节点的情况。候选邻居根据某些标准进行评分。如果有关于路径进展的曲线信息，我们会偏向于更接近危险区域的邻居，从而优先考虑可能在该区域内到达危险点的节点。

5.5. 调度和拥塞行为（k, TTL等参数）
算法1暴露了四个主要参数：
- 泛洪范围k；
- 反熵周期；
- 时间过期窗口；
- 跳数预算TTL。
为了降低高频道占用率下的崩溃风险，节点会根据本地观测数据（如队列占用率或频道繁忙度）来调整k和TTL。首先减少k的值，只有在压力持续存在时才增加TTL。相比之下，其他参数在会话期间保持固定，以确保协议语义的可重现性，并保持有限有效性的解释。

5.6. 反熵修复：紧凑摘要和选择性拉取
反熵机制交换一个活跃的、未过期的危险信息的紧凑摘要。对等方仅请求缺失或更新后的密钥，然后仅返回相应的紧凑摘要。因此，修复带宽随着最近活跃危险信息数量的增加而增加，而不是随着总扇区数量的增加而增加。

5.7. 有界时间收敛（操作视图）
该协议不依赖于渐进式的最终一致性声明。相反，收敛性被操作性地解释为有界时间的邻居覆盖范围：过期时间限制了时间相关性，TTL限制了空间传播范围，而反熵机制提高了在数据丢失情况下的鲁棒性。因此，评估报告的是实际覆盖范围、PRR/PIR值以及可操作性指标，而不仅仅是平均延迟。

5.8. 安全性和可审计性（与第3.1节一致）
实现遵循第3.1节中定义的分级信任策略：
- 在任何合并之前使用CRC-8进行验证；
- 刷新度加上接收方的接受窗口W；
- 时间戳优先的合并语义；
- 在需要时对M1/M2应用策略门控，并验证MAC/AEAD；
- 采取 epidemic 备份和推拉修复机制以提高韧性。

5.8.1. 范围说明
这些机制定义了一个考虑延迟的安全信息传播信任架构，但不应将其解释为全面的对抗性验证活动。在本手稿中，安全层面已经指定并整合到协议语义中；专门的欺骗、DoS和Sybil基准测试仍然是未来的工作。

5.8.2. 可审计性
所有被接受的摘要、合并决策、发送方确认以及验证的安全模式都会与事件触发的MDF快照一起本地记录。这即使在云连接不可用时，也能够事后重建危险信息的来源并进行一致性检查。

算法1：用于危险信息微地图的随机传播（有界时间，TTL限制；策略门控的安全性）
输入参数包括泛洪范围k、反熵周期、时间过期窗口、接受窗口W和初始跳数预算。每个节点维护一个副本缓存（有界LRU），以及邻居列表。

函数定义如下：
- function Key(pkg)
- function DKey(pkg,SRC)
- function RequireAuth(SEV)
- function ModeValid(pkg)
- function OnDetectHazard(sector, offsetQ, type, sev, footprintQ)
- function OnReceive(pkg,SRC)
- function AntiEntropyRound()
- function Merge()

5.9. 推荐的参数化和可追溯性到H1–H3
算法1管理了用于临时安全知识的网状关键路径，并且明确与基础设施无关。相比之下，H1评估用于可审计性和长期学习的持久性边缘→网关→云MQTT路径，而H2则通过覆盖时间、PRR/PIR、AoI和可操作性走廊来评估网状/侧链危险信息的传播。H3评估在连续真实会话中具有机械设置的变更后的联合设计的稳定性约束。

表5总结了用于竞赛速度下有界时间危险信息传播的推荐默认参数范围。这些值是保守的默认值，以确保可重现性；部署可以根据本地频道负载在线进行调整，而不改变协议语义。

6. 实验设置和验证协议
本节描述了用于验证NMLP的实验协议，并确保第7节中报告的证据的可重现性和可审计性。与第3节中介绍的架构分离一致，我们区分了三个层面：
- 通过边缘→网关→云MQTT路径传输的低频率持久事件（H1）；
- 在网状/侧链平面上进行的临时安全信息传播（H2；使用ns-3+SUMO Mode 4/PC5栈在第4.11节中进行评估）；
- 在本地记录的高频率遥测数据（MDF4），用于确定性重放、机动级别分析和试点协同设计评估（H3和支持性分割验证）。

6.1. 测试平台和测量点
图14总结了循环中的遥测（TiL）管线及其测量点。边缘节点作为协调者，分为三个部分：
- 日志记录平面（MDF4，无损证据）；
- 持久性MQTT平面（H1延迟分解）；
- 安全网状平面（危险信息摘要+八卦审计日志）。
测量点MP1–MP4定义了用于跳数级别 accounting 和可审计性的时间戳和决策日志的记录位置。

6.2. 时钟、偏移校准和延迟计算（MQTT平面）
- 跳数级别的计算不需要节点间的时钟同步，只在每个阶段计算本地接收时间减去传输时间的差值，并通过消息标识符进行连接。

6.3. 新鲜度接受窗口
为了与新鲜度和重放检查对齐，我们定义了一个接受窗口W，使得如果事件在窗口内，则被视为新鲜的。这个窗口限制了残余偏移误差和良性抖动，同时仍然限制了重放值的误判。

6.3. 循环中的遥测（TiL）和本地日志（MDF4）
- 信号摄入和确定性重放：CAN帧使用会话DBC解码，并作为MDF4（ASAM MDF 4.x）保存，以实现无损重放。这允许对以下内容进行确定性重处理：
- 技能原子边界；
- 机动级别特征和结果；
- 能力/波动性更新。

6.3.3. H3证据来源
H3的证据基于连续的真实驾驶会话，在这些会话中，在基线会话之后测试了机械调整后的配置。MDF4重放用于重新计算原子边界、对齐的特征和稳定性指标，但这些证据来自真实会话数据，而不是合成模拟或隐藏的优化器状态。

6.4. H2网状/侧链评估协议（ns-3 + SUMO，C-V2X Mode 4/PC5）
H2使用第4.11节中标准对齐的包级栈来评估临时安全平面。移动性轨迹表示高速下的封闭电路竞赛车队。算法1的传播逻辑在应用层高于侧链实现。

6.4.1. 覆盖时间定义
对于源节点在时间t注入的每个危险信息摘要，我们记录目标邻域中每辆车辆v的第一次接收时间。然后定义最小的t值，使得相应的条件得到满足。

6.4.2. 负载下的接收指标
PRR/PDR计算为在应用层成功接收到的摘要比例。PIR报告为在时间段内接收到的连续相关危险信息的中间到达时间。

6.5. 数据集和真实情况
6.5.1. H1（MQTT持久路径）
延迟分解使用MP1–MP2之间的联合消息标识符和离散事件。

6.5.2. H2（网状/侧链）
传播指标是从ns-3日志中计算得出的，使用重复的种子、重复的危险信息注入和标准化的场景定义。

6.5.3. H3（具有机械变化的连续真实会话）
H3的证据基于连续的真实驾驶会话，在这些会话中测试了机械调整后的配置。MDF4重放用于重新计算原子边界、对齐的特征和稳定性指标，但这些证据来自真实会话数据，而不是合成模拟或隐藏的优化器状态。

6.6. H2网状/侧链评估协议（ns-3 + SUMO，C-V2X Mode 4/PC5）
H2使用第4.11节中标准对齐的包级栈来评估临时安全平面。移动性轨迹表示高速下的封闭电路竞赛车队。

6.5.4. 数据集和真实情况
6.5.1. H1（MQTT持久路径）
延迟分解使用MP1–MP2之间的联合消息标识符和离散事件。

6.5.2. H2（网状/侧链）
传播指标是从ns-3日志中计算得出的，使用重复的种子、重复的危险信息注入和标准化的场景定义。

6.5.3. H3（具有机械变化的连续真实会话）
协同设计证据来自连续的真实驾驶会话，比较了基线设置和机械调整后的设置。然后使用MDF4重放来重新计算试点指标，确保比较结果的可审计性和确定性。推理单位是配对窗口、原子、圈次或扇区聚类，而不是原始的1 kHz样本。支持的分割验证
技能原子的边界保真度是在具有经过验证的时间边界的专家标记片段（50个AS + 50个CE）上评估的。表8总结了从假设到工件和有效分析单元的映射关系。表8. 验证总结和将假设与数据工件及有效分析单元联系起来的实验规模。
6.6. 有效性的威胁
6.6.1. 连接性泛化（H1）
MQTT统计数据反映了带有仪表的部署情况，不应在不同无线电条件、切换制度、代理位置和网关配置下未经复制就进行泛化。
6.6.2. 建模假设（H2）
模式4的侧链性能取决于SPS配置、信道模型和流量假设。我们通过记录的参数和密度扫描来缓解这个问题，但更广泛的信道条件和硬件在环验证仍是未来的工作。
6.6.3. 时钟偏移残差（H1）
端到端的计算依赖于偏移校准（第6.2节）。因此，我们除了报告端到端延迟外，还报告了跳级分布。
6.6.4. 分割范围（支持）
原子标记仍然是有限的，并且仅限于AS/CE。更广泛的原子词汇和多会话验证将更好地量化在不同条件下的边界歧义。
6.6.5. 因果归因限制（H3）
尽管H3基于带有机械变化的连续实测会话，但归因仍然受到观察到的会话及其环境背景的限制。需要更广泛的复制A/B协议、反事实控制和更大的骑手/会话群体来隔离设置效应、骑手适应、轮胎演化和学习效应。
7. 系统实现和结果
为了验证所提出的连续体和嵌套学习方法（第3节、第4节和第5节），我们实现了一个名为NMLP（嵌套摩托车学习平台）的原型。本节报告了：（i）覆盖边缘-网关-云和网格安全平面的原型栈，（ii）支持H1-H3的定量证据，以及（iii）使报告结果可追溯到可重放原始证据的审计工件。在整个过程中，我们明确区分了持久性卸载（MQTT，非关键）和临时性安全传播（边缘-网格/侧链和关键路径），这与之前引入的架构分离保持一致。
为了避免过度声称，H1和H2作为通信平面的证据进行呈现，而H3则作为来自带有机械设置变化的连续实测会话的试点案例研究证据进行呈现，这些证据由确定性的MDF4重放和会话后的聚合分析支持，而不是由实时的自主比赛控制器支持。
7.1. 原型栈、仪器和数据结构（边缘-网关-云+网格）
实现遵循第3节中描述的连续体：
边缘（青铜级）：一个Jetson级别的Linux嵌入式节点通过SocketCAN接收ECU遥测数据，执行低延迟的技能原子分割，计算原子元数据和与波动性相关的状态，并将原始/高速率信号以及与原子对齐的元数据持久化到ASAM MDF 4.x中，以便进行确定性重放和审计。
网格（银级）：安全平面通过TTL限制的随机八卦协议（算法1）传播危险微地图，使用具有明确时间有效性（TTL）和跳级有效性的固定大小危险摘要。
网关/代理（连续体主干）：一个轻量级的MQTT阶段接收来自边缘的低速率事件和原子摘要消息，并将它们传递到云。这个阶段通过跳级时间戳明确进行仪表化，以支持H1。
云（金级）：存储、聚合、报告以及基于上传的摘要和会话工件的会后协同设计。
表9总结了用于延迟分解和损失核算的具体栈和测量钩子。表9. 原型实现栈和测量钩子。该表通过报告组件、关键配置假设以及捕获延迟时间戳的位置，使原型可审计。
每个会话产生的可审计工件
原型产生了四个核心工件，足以重现报告的表格：（i）包含同步原始通道、原子标记和三元组状态的MDF4追踪；（ii）边缘事件日志（msg-id、类型、严重性、扇区和摘要字段）；（iii）网关跳级日志（）；以及（iv）云数据摄取日志（）。对于安全平面，网格合并日志还存储DKey、合并结果和TTL衰减，使得可以事后重建本地微地图状态。
7.2. 面向人类的层：可解释的协同设计设置账本（示例性）
一个反复出现的系统问题是模型输出与比赛工程实践之间的桥梁：究竟基于什么证据推荐了什么，以及有什么治理跟踪？NMLP通过面向人类的设置账本来解决这个问题，该账本将原子级别的证据转换为可执行的机械提议，同时保持与原始遥测和事件标识符的明确链接。
7.2.1. 账本的角色
设置账本旨在：（i）将机械师明确纳入设置变更的循环中；（ii）将每个提议与一个或多个技能原子以及相关的稳定性状态联系起来；（iii）通过引用MDF4快照和消息标识符来保持“何时知道什么”的可追溯性。
7.2.2. 证据支柱
每个账本条目绑定：
1. 触发器和范围：异常类别、原子类型和赛道上下文。
2. 稳定性状态：监控门使用的当前波动性/风险指标。
3. 可选的对齐人类上下文：映射到相同原子窗口的骑手笔记。
4. 有界提议：受信任区域限制的提议，加上支持的技术参考和证据指针。
7.2.3. 说明性状态
账本UI是说明性的，而不是定量声明的来源；其在手稿中的目的是澄清操作员的工作流程和治理，而不是引入额外的测量性能指标。
7.3. H1：持久性连续体通信性能（MQTT延迟分解）
H1通过分解在边缘、网关和云日志中通过消息标识符连接的离散事件上的MQTT延迟来验证持久性知识平面。我们报告了跳级和端到端的百分位数、最大观察到的延迟和观察到的损失。表10报告了跳级和端到端的延迟分解，表11将端到端统计转换为比赛速度盲距离。表10. MQTT延迟分解总结（H1；事件）。数值以毫秒为单位。表11. H1的延迟到距离解释。
7.3.1. 解释
这些结果仅描述了持久性平面。即使端到端的延迟也相当于比赛速度下的大约15米行程，最大延迟超过了25米。这正是为什么HEO不将MQTT/云路径视为反射性警告渠道的原因。
7.3.2. 范围说明
报告的MQTT统计数据来自特定的仪器化运行，不应泛化到所有代理位置、切换条件或无线电制度。因此，手稿除了报告端到端汇总外，还报告了跳级分布。
7.4. 辅助架构基线：为什么安全平面必须是本地的
表12中的值是用于说明云中介可见性与本地安全传播之间数量级差异的架构参考值。本地值与稀疏包H2制度对齐，而云中介值是基础设施中介警报延迟的保守参考值。
7.5. H2：在不确定性下的临时V2V危险传播（网格/侧链）
H2评估了临时性安全平面：在网格/侧链层上有限时间传播的基于不确定性的危险摘要。评估遵循之前描述的包级栈（ns-3 + SUMO，C-V2X模式4/PC5），包括重复的种子、重复的危险注入和密度控制的比赛包场景。
7.5.1. 场景定义
移动性轨迹代表了高速度下的封闭电路比赛包，对应于稀疏、中等和密集条件。传播指标是在目标包上计算的，/相对于每个危险摘要的注入时间进行测量。
7.5.2. 报告的指标
我们报告：（i）覆盖时间（），（ii）PPR/PDR，（iii）数据包重传率（PIR），以及（iv）通过沿轨道扩展解释的可操作性。表13总结了在稀疏、中等和密集包条件下的传播指标。表13. H2传播指标（网格/侧链）在C-V2X模式4/PC5上。指标是在重复种子、重复危险注入和标准化的稀疏/中等/密集比赛包场景上聚合的。
7.5.3. 在不确定性下的可操作性
在，密集包的毫秒对应于沿轨道大约米的扩展。通过第3.6节的不确定性走廊进行解释，这对于有限范围的本地意识平面在战术上是有用的：接收者不需要危险点的精确定位，而需要及时了解在受影响段落变得不可避免之前的风险走廊。
7.5.4. 可扩展性解释
随着包密度的增加，的增加是非线性的，但不应理解为不受控制的崩溃。在我们的解释中，曲率反映了由于SPS竞争/信道占用率增加以及协议本身在负载下的保守扩展行为而造成的竞争限制。换句话说，系统开始在达到完全广播崩溃之前牺牲广度以保持新鲜度；它并不是线性扩展的，因为它是故意设计为在压力下保持有界和抑制意识的。
7.6. 支持验证：技能原子分割保真度（AS和CE）
技能原子分割保真度作为支持操作级聚合和归因的证据进行报告，而不是作为主要假设。表14总结了在专家标记的间隔（50个AS + 50个CE）上的精确度、召回率、F1分数和平均IoU。表14. 技能原子分割总结（支持验证；专家标记的间隔）。解释
AS显示出完美的召回率，但精确度较低，这与有意保守地进入顶点稳定带一致；CE实现了接近理想的重叠和边界一致性。这支持使用技能原子作为后续归因和协同设计的聚合单元。
7.7. H3：稳定性驱动的协同设计和归因（赫雷斯试点案例研究）
H3通过两个互补的工件来评估协同设计：（i）在配对基线与优化窗口上计算的稳定性结果；以及（ii）一个代表性的行业级别归因表，将时间差分解为设置、骑手和交互组件。
7.7.1. 物理环境和证据范围
H3基于带有机械设置变化的连续赫雷斯会话，通过确定性的MDF4重放进行审计和重新计算，而不是基于隐藏的模拟器状态或在线自适应控制器。报告的基线和优化条件是从同步遥测离线重新计算的配对窗口，以便可以从相同的原始证据重新生成原子边界、对齐的特征、波动性更新和归因。因此，证据应被视为在观察到的研究条件下的试点案例研究证据，而不是跨骑手、赛道、轮胎状态或环境条件的广泛概括。
7.7.2. 信道和采样
对于配对基线与优化的比较，重放使用37个同步信道和每条件1 kHz的样本，对应于10秒基线+10秒优化窗口。1 kHz的速率支持短操作阶段和稳定的导数估计（例如，急动和滑动动态），而不会出现明显的混叠。
7.7.3. 稳定性结果（窗口化聚合）
在配对窗口上，优化条件将车轮滑移代理从减少到，并将控制波动性从减少到。这些值在窗口化聚合上报告，并且与以稳定性为先的协同设计目标一致。表15总结了配对稳定性结果。表15. H3的稳定性结果（配对基线与优化窗口；赫雷斯试点案例研究）。
7.7.4. 代表性行业归因
我们使用表16中报告的约定将代表性的行业时间差分解为设置、骑手和其他/交互份额：
表16. 行业代表性的时间损失归因。约定：
7.7.5. 解释和限制
行业归因表作为可审计的工件包括在内，而不是作为跨所有混杂因素的因果分离的声明。与稳定性表一起，它支持面向机械师的有限更新协同设计工作流程，但证据仍然是试点案例研究的证据。值得注意的是，在分析的试点窗口中，机械调整的条件在总体行业级别上没有产生净时间收益；因此观察到的好处主要被解释为稳定性方向的转变，而不是直接的圈时间改进。
7.8. 证据和可追溯性总结
实现产生了三个可以直接追溯的证据组：
H1（持久性平面）：连接的MQTT日志，带有跳级分解，在仪器化运行中没有观察到损失，以及延迟到距离的解释。
H2（安全平面）：在密度控制的ns-3+SUMO模式4场景中的包级别传播输出（、PRR/PDR、PIR和可操作性走廊）。
H3（试点协同设计）：配对的MDF4支持的窗口、稳定性聚合，以及将设置建议与可重放遥测链接起来的代表性归因工件。
总的来说，这些工件支持了论文的核心架构主张：时间关键的危险知识应保留在本地的有界有效性安全平面上，而持久性学习、重放和协同设计可以通过云异步整合。
8. 讨论
第7节提供了所提出的连续体和嵌套学习架构（NLA）作为一种可审计的人机工作流程的混合验证，该流程在NMLP中实现。综合来看，所报告的证据支持了与H1–H3相符的三个操作性结论：(i) 对时间敏感的安全意识本质上是局部的，不应依赖于云端的确认；(ii) 对于易逝性危险，在间歇性连接和广播压力下，使用具有TTL限制的转发和推拉式修复机制的有限有效性传播是合适的；(iii) 以稳定性为先的协同设计可以通过减少观察到的骑手-机器配对中的操作级波动性和滑动代理值，使其向更安全的操作状态转变。与论文的范围一致，H1和H2被解释为通信层面的证据，而H3则是基于连续真实会话中的骑手证据，并得到了确定性MDF4回放和操作级聚合的支持。表17总结了H1–H3的证据到结论的链条，并将讨论锚定在第7节报告的工件中。表17. 证据到结论的合成（H1–H3），可追溯到第7节。8.1. 延迟作为一个安全量：从毫秒到盲距在赛马速度下，延迟不是一个抽象的网络指标，而是一个物理安全量。因此，我们将持久边缘→网关→云端的延迟对实时影响的表达为在平台可见低频事件之前行驶的盲距：(18) 使用MQTT层面的测量E2E分布（表10），中位数盲距约为6.94米，而尾部事件可以超过约25.31米（表11）。这种映射使架构划分在操作上变得明确：云/策略层面适合审计和长期学习，但需要云端确认的安全层面与赛马速度下的危险微环境不兼容。8.1.1. 设计含义生产部署应强制执行与HEO连续体一致的路由策略：(i) 短暂危险必须能够在有限的有效期内通过网状层面横向传递，(ii) 持久证据应本地捕获（MDF4），以便在回程间歇性下保持可审计性。云端卸载对于复制证据和离线分析仍然有价值，但它不应位于即时警告路径上。8.1.2. 可追溯性说明所有盲距值都是直接从表10中的E2E分位数计算得出的，并在表11中明确报告。任何诊断图表都应在不引入超出第7节之外的额外测量声明的情况下重现这些值。8.2. H2解释：在广播压力下的有限时间覆盖范围网状层面使用标准于本地意识研究的传播指标进行评估（表13）。随着打包密度的增加，出现了两种预期行为：(i) 覆盖时间尾部增加（从12.5毫秒增加到48.9毫秒）和（ii）接收质量下降（PRR/PDR从99.8%下降到91.2%），以及相应的PIR膨胀（15.0毫秒增加到72.4毫秒）。重要的是，即使在密集打包下，也仍然在安全层面针对的短本地范围内，这支持了在测试的机制中，短暂危险警告可以在没有云端中介的情况下保持战术上的有用性。8.2.1. 在不确定性预算下的可操作性使用空间-时间不确定性模型（第3.6节），传播延迟扩展了沿轨道的危险走廊。表18将测量得到的值转化为在300公里/小时下的保守距离扩展。这些值激发了基于足迹的摘要（第3.9节）：系统不是声称点精度，而是呈现了一个其范围直接由延迟和定位不确定性决定的风险走廊。表18. 在赛马速度下的H2可操作性解释。距离对应于表13中的时间到覆盖指标。8.2.2. 为什么缩放是非线性的随着密度的增加，延迟的增加并不是被解释为不受控制的崩溃，而是在更密集的侧链竞争和保守的传播控制下的争议限制机制。换句话说，系统开始通过有限的传播范围、抑制和修复来权衡广度和新鲜度的保持，以避免达到完全的广播故障。这是压力下本地有限有效性安全层面的预期行为。8.2.3. 网状与云端的差异一个关键的架构含义是持久云端尾部（H1；E2E意味着m盲距）和密集打包网状含义（约4.1米）之间的数量级差异。这一差距支持了连续性设计：云端是一个持久的知识库，而网状保持了短期的战术实用性。8.3. 为什么八卦适用于易逝性危险边缘-网状层有意优先考虑及时性而非全局确定性。集中式系统可以强制实施单一的全局真相，但在赛马速度下，它有可能违反时间预算。随机化的八卦能够容忍本地危险地图之间的短期分歧，同时在丢失情况下实现快速的冗余驱动覆盖。陈旧性受到时间到期和跳数TTL的限制（算法1），而抗熵修复在不需要泛洪的情况下补偿了数据包丢失。一个实际的解释是，危险是易逝的信息：部分传播但新鲜的危险可以防止事故，而完全传播但延迟的危险在操作上是不相关的。TTL衰减、时间到期（）、缓存抑制和选择性推拉修复共同实现了无需基础设施连接性的易逝性语义。表19总结了危险网状的主要部署调节器及其操作上的权衡，与第5节和表6保持一致。表19. 危险网状的部署调节器（与第5节和表6保持一致）。8.4. 从描述性遥测到通过波动性的规范性控制传统的遥测管道主要是描述性的：它们解释了事后发生的事情。NLA通过将能力波动性提升为监督逻辑中的一类变量，变得更加规范性（第4.7节）。高波动性信号表示执行不稳定和风险增加；因此，系统在追求性能之前会先进行干预以实现稳定。这也是一种信任机制：由稳定性证据（滑动代理、包络违规和波动性）证明的建议比不透明的启发式方法更容易操作化。在报告的试点案例研究中（表15），波动性从0.1290降低到0.0212，滑动代理从6.26%降低到3.75%。因为这些值来自具有机械设置变化的连续真实会话，它们最好被解释为在观察到的研究条件下的机制转变的证据，而不是普遍的性能法则。8.5. H3解释：来自连续真实会话的试点证据H3基于具有机械设置变化的连续真实驾驶会话，而不是基于纯合成优化循环。使用MDF4回放来确定性地重新计算原子边界、对齐的特征、波动性状态和归因，但底层比较对应于观察到的基线和机械调整后的驾驶条件。这一区别对于解释很重要。一方面，它增强了结果的实际相关性：稳定性改进来自于实际应用了设置变化的工程工作流程。另一方面，它也需要谨慎：观察到的差异仍可能反映了骑手的适应、环境漂移、轮胎状况以及会话间的其他效应。因此，归因表最好被解读为一个有助于组织证据和支持机械信任的工程解释工件，而不是一个最终的因果分解。8.6. 支持验证：分割保真度、原子歧义和更新鲁棒性支持分割的结果表明，原子可分离性是依赖于原子的（表14）。CE具有高度可分离性，而AS则较为困难：保守的分区可以提供完美的召回率，但精度较低。由此产生了两个部署含义：(i) 能力和波动性更新应该根据边界稳定性进行置信度加权（例如，IoU代理/触发器边际），(ii) 短期或模糊阶段受益于依赖于原子的滞后效应和最小持续时间保护，以防止脆弱的更新。8.7. 可重现性和治理：MDF4 + 事件/合并日志作为“何时知道”证据一个核心系统要求是可审计性：平台应支持重建它知道什么以及何时知道。NMLP结合了：(i) 用于确定性回放的MDF4无损痕迹，(ii) 跨跳数的低频事件日志（通过msg-id的MQTT连接），以及(iii) 网状合并日志（摘要接受/合并决策）。这些工件使得从警告到原始证据以及到传播动态（TTL衰减和修复）的事后关联成为可能，即使云端是间歇性的。8.8. 有效性的限制和威胁当前的证据对于架构可行性和可追溯性来说是有力的，但它的范围仍然是有限的。8.8.1. 连通性泛化H1反映了一个仪器化的部署；更广泛的声明需要在不同的RF机制、经纪人位置、网关设计和交接条件下进行复制。8.8.2. 建模假设（H2）模式4的侧面链路性能取决于SPS配置和频道假设。我们通过记录参数和扫描密度来缓解这个问题，但未来的工作应增加更丰富的频道条件和硬件在环验证。8.8.3. 原子词汇和多会话漂移支持分割的证据仅限于AS/CE和标记的段。扩展到更广泛的原子词汇和多会话条件（轮胎磨损、温度和燃油负载）是必要的，以便在漂移下量化边界歧义。8.8.4. 因果隔离（H3）尽管H3基于具有机械变化的连续真实会话，但因果归因仍然依赖于观察到的会话。需要多圈复制的A/B协议、更严格的环境控制和更大的骑手/会话群体，以便将设置效应与骑手适应、温度、轮胎演变和学习效应区分开。8.8.5. 安全姿态新鲜度和TTL降低了回放价值，但开放部署应通过严重性门控的身份验证（第3.10节）和物理一致的合理性检查进一步增强伪造抵抗能力。9. 结论和未来展望本文提出了一种以电信为中心的边缘-网状-云端架构，用于高移动性危险的传播，以及其在NMLP中的原型实现。解决的中心问题不是通用的云端遥测，而是在间歇性连接和广播压力下保持短期危险知识在赛马速度下可操作性的通信和系统挑战。在这种情况下，延迟最好被理解为一个物理量，架构决策必须根据它们是否保持或破坏短期战术实用性来进行评估。在报告的验证中，结果支持两个主要结论和一个有限的试点发现：(i) 对时间敏感的危险知识应保持局部和横向（边缘-网状/侧面链路），而不是依赖于云端的确认；(ii) 对于高移动性V2V/V2X环境中的易逝性危险，使用具有TTL限制的转发和推拉式修复的有限有效性传播是一个合适的机制；(iii) 当被视为会话后的监督层时，以稳定性为先的协同设计可以将骑手-机器配对推向更安全的操作状态。这些结论基于第7节报告的可追溯工件（表10、表11、表13、表15和表16）。9.1. 贡献总结（可追溯到H1–H3）该研究为高速度延迟受限系统贡献了三个可操作的进步：1.边缘-网状-云端连续体中的关键路径分离（H1）。我们正式化了一个边缘-网状-云端连续体，在其中反射性危险意识保持局部，而云端用于持久聚合、回放和长期学习。仪器化的MQTT管道量化了分阶段和端到端的延迟（表10）及其在300公里/小时下的物理意义，即盲距（表11），表明为什么安全警报不应依赖于回程确认。2. 具有有限有效性的短暂危险传播（H2）。我们通过紧凑的不确定性感知危险摘要和具有TTL/时间到期的有限有效性传播协议实现了易逝性危险意识，以及推拉式修复（第3.9节和第5节）。在C-V2X模式4下对网状/侧面链路的评估报告了覆盖时间（）和接收指标（PRR/PDR和PIR）跨越打包密度（表13），提供了与安全层面标准对齐的验证。3. 以稳定性为先的协同设计，带有可审计的试点证据（H3）。我们将操作级结果和波动性感知的门控与会话后的协同设计工作流程相结合（第4节），并报告了一个可追溯的归因工件，该工件将签名时间差分解为设置/骑手/其他组件（表16）。稳定性结果（滑动代理和波动性）作为来自具有机械设置变化的连续真实会话的聚合试点证据进行报告（表15），支持了一个可解释的人在环工程工作流程，而无需声称广泛的因果概括。支持验证（分割）AS/CE的技能原子分割保真度（表14）被报告为支持操作级聚合和归因的证据，而不是作为主要假设。9.2. 定量收获和工程意义为了使结论可追溯而不夸大其词，表20总结了从第7节获得或直接计算的操作相关量。表20. 定量发现的执行摘要和操作解释。这些值是从第7节的结果中汇总的。9.3. 实际影响两个实际影响直接来自报告的证据。9.3.1. 本地传播是一个要求，而不是优化相关的设计立场不是“云端与边缘”的对比，而是关键路径分离：一个用于有限有效性危险传播的本地/横向安全层面，以及一个用于分析、回放和会话后优化的持久云端层面。在赛马速度下，这不仅仅是一种实现偏好；这是由延迟期间行驶的距离强加的安全要求。9.3.2. 操作级抽象使会话后的工程可审计技能原子不仅对可解释性有用，而且作为支持有限更新、可重放性和工程治理的计算单元。它们与ASAM MDF4中的原始痕迹一起持久存在，使得稳定性指标和后来的协同设计决策可以确定性地重新计算。9.4. 未来展望未来的工作应在三个方向上加强保证和概括：1.NR-V2X和更广泛的频道机制。1. 将传播研究的范围从C-V2X模式4扩展到NR-V2X侧链以及更广泛的信道/干扰条件，继续在受控负载下报告覆盖时间、PPR/PIR和刷新度指标。

2. 对安全平面进行硬件在环（Hardware-in-the-loop）和现场验证。通过受控的实验室或轨道旁实验来补充仿真，以验证在现实的多路径和移动情况下的危险感知能力，并对基于延迟的信任策略进行压力测试。

3. 重复进行多会话、多骑行者的协同设计研究。通过在不同轨道、骑行者、温度、轮胎状态和燃油负荷下收集更大量连续的实时会话数据，将H3技术从当前的试点阶段进一步推进。方法论上，这需要使用重复的A/B协议和分层模型，以区分设置效应、骑行者适应性和环境变化的影响。

9.5. 结论性说明

本研究支持的主要论点是：高移动性的危险感知应通过分离策略的知识平面来构建：一个具有本地边界有效性的通信平面，用于即时战术应用；以及一个持久的云平台，用于数据回放、审计和延迟学习。在这种架构中，操作层面的变动性可以支持以人类参与为核心的首选稳定性设计。其更广泛的含义不仅仅是“更快的遥测数据”，而是具备审计功能的、以本地数据为基础的危险感知能力，并且支持会话后的有限适应性调整。