Docs • Governance • Safety Architecture

Governance của NOOS phải là một phần của runtime, không phải phần trang trí NOOS governance must be part of the runtime, not decoration around it

Nếu NOOS đi tới robot, energy sites, telemetry vùng xa, bio data hay hạ tầng quan trọng, governance phải được mã hóa thành approvals, trust boundaries, rollback paths, attestation và evidence records. Trang này tách riêng phần đó để nó có thể phát triển thành một lớp kiến trúc độc lập. If NOOS reaches robots, energy sites, remote telemetry, bio data or critical infrastructure, governance must be encoded as approvals, trust boundaries, rollback paths, attestation and evidence records. This page separates that layer so it can evolve as its own architecture.

System Map System Map Device Matrix Device Matrix Flagship Flagship

Năm nguyên tắc bất biến Five non-negotiable principles

Human approval by default Human approval by default

Các action phá hủy, firmware rollout, policy escalation và robot actuation ngoài kịch bản an toàn phải đi qua human review. Destructive actions, firmware rollout, policy escalation and robot actuation outside safe scripts must go through human review.

Rollback trước rollout Rollback before rollout

Không thay đổi nào hợp lệ nếu chưa có đường phục hồi có thể test. Điều này áp dụng cho firmware, configs, policy envelopes, command plans và cả policy override xuyên habitat. No change is valid unless there is a testable recovery path first. This applies to firmware, configs, policy envelopes, command plans and cross-habitat policy overrides.

Bounded autonomy Bounded autonomy

AI và automation chỉ được hành động trong policy envelopes có scope, expiry, allowed modes, localAutonomyMode và hard limits rõ ràng. AI and automation may act only inside policy envelopes with explicit scope, expiry, allowed modes, localAutonomyMode and hard limits.

PQC-rooted trust PQC-rooted trust

Gateways, robots, relay nodes và thiết bị quan trọng phải mang danh tính có thể attestation được, ưu tiên NIST PQC và QKD ở các relay quang giá trị cao. Gateways, robots, relay nodes and critical devices need attestable identity, favoring NIST PQC and QKD on high-value optical relays.

Evidence-first architecture Evidence-first architecture

Commands, telemetry, approvals và exceptions phải để lại EvidenceRecord đủ để review sau hành động, kể cả khi đi qua nhiều relay hops và contact windows. Commands, telemetry, approvals and exceptions must leave behind an EvidenceRecord suitable for review, even after many relay hops and contact windows.

Neural sovereignty Neural sovereignty

BCI, neural interface và health twin fleets phải có quyền ngắt kết nối và explicit veto trong PolicyEnvelope. Không lớp AI nào được ngầm override quyền nội tâm của con người. BCIs, neural interfaces and health twin fleets must include the right to disconnect and explicit veto in the PolicyEnvelope. No AI layer may silently override inner human sovereignty.

Habitat-local survival Habitat-local survival

Mỗi habitat phải có governance local và survival mode local. Solar coordinator chỉ federation khi có contact, không phải nơi ra lệnh thời gian thực. Each habitat must carry local governance and a local survival mode. The solar coordinator federates only when contact exists; it is not a real-time command center.

Lifecycle điều khiển Control lifecycle

1. Intent 1. Intent

Tác vụ xuất hiện dưới dạng CommandIntent có actor, target, workflow reference và rollback reference. A task appears as a CommandIntent with actor, target, workflow reference and rollback reference.

2. Policy check 2. Policy check

NOOS kiểm tra intent với PolicyEnvelope: có cần con người, có vượt hard limits, có chạm quyền ngắt kết nối hay veto BCI, có nằm đúng zone và contact window hay không. NOOS checks the intent against the PolicyEnvelope: whether a human is required, whether hard limits are crossed, whether the right to disconnect or BCI veto is triggered and whether the zone and contact window are valid.

3. Human review 3. Human review

Nếu action nhạy cảm, App trở thành human review surface với context, evidence, suggested action và risk summary. If the action is sensitive, the App becomes the human review surface with context, evidence, suggested action and risk summary.

4. Execute 4. Execute

Flow thực thi workflow và command steps có kiểm soát, giữ logs, retries, state transitions và bounded runtime behavior. Nếu mất link, local habitat Flow vẫn được phép xử lý trong localAutonomyMode. Flow executes the workflow and command steps under control, preserving logs, retries, state transitions and bounded runtime behavior. If the link is lost, the local habitat Flow may still operate inside localAutonomyMode.

5. Evidence + rollback 5. Evidence + rollback

Kết quả, exception và telemetry phản hồi tạo thành EvidenceRecord có relay path và attestation chain. Nếu sai, rollback path phải sẵn có và có thể kích hoạt. Results, exceptions and response telemetry become an EvidenceRecord with a relay path and attestation chain. If something goes wrong, the rollback path must already exist and be triggerable.

6. Federate on contact 6. Federate on contact

Chỉ khi contact graph cho phép, habitat mới đồng bộ Mission delta, Twin delta và policy override acknowledgements qua DTN store-and-forward. Only when the contact graph allows it does a habitat sync mission deltas, twin deltas and policy override acknowledgements through DTN store-and-forward.

Boundary by surface Boundary by surface

NOOS

Định nghĩa policy envelopes, trust requirements, risk classes, evidence obligations, neural sovereignty và mission governance. Defines policy envelopes, trust requirements, risk classes, evidence obligations, neural sovereignty and mission governance.

Habitat fabric Habitat fabric

Giữ governance local, survival mode local, energy shedding và delta sync cục bộ trước khi đi ra liên hành tinh. Maintains local governance, local survival mode, energy shedding and local delta sync before anything goes interplanetary.

Flow

Thực thi approval workflows, queues, retries, command dispatch, rollback playbooks và runtime logs. Executes approval workflows, queues, retries, command dispatch, rollback playbooks and runtime logs.

App

Trình bày context cho người, nhận quyết định, quản lý roles và hiển thị operational evidence. Presents context to humans, receives decisions, manages roles and displays operational evidence.

Readiness checklist Readiness checklist

Cho mọi mission mới For every new mission

Có `Mission` object với owner và risk class rõ ràng.A `Mission` object exists with a clear owner and risk class.
Có danh sách twin classes, energy profiles và boundaries cho actuation.Twin classes, energy profiles and actuation boundaries are defined.
Có escalation path sang con người khi autonomy vượt scope hoặc chạm lớp BCI/bio.There is an escalation path to humans when autonomy exceeds scope or touches BCI/bio layers.

Cho mọi rollout For every rollout

Firmware hoặc policy đều phải ký, versioned và quantum-resilient theo lộ trình.Firmware or policy must be signed, versioned and on a path toward quantum resilience.
Rollback path được viết ra trước khi rollout và test local trước federation.The rollback path is written before rollout and tested locally before federation.
Evidence records được lưu sau approval, sau execution và sau relay delivery.Evidence records are stored after approval, after execution and after relay delivery.

Cho mọi thiết bị quan trọng For every critical device

Có trust anchor phần cứng hoặc cơ chế identity mạnh tương đương, ưu tiên PQC cho relay nodes.There is a hardware trust anchor or equally strong identity mechanism, favoring PQC on relay nodes.
Thiết bị nằm trong asset inventory và twin registry.The device is present in the asset inventory and twin registry.
Có degraded mode an toàn khi mất link hoặc mất policy sync.There is a safe degraded mode when the link or policy sync is lost.

Cho mọi habitat hoặc relay For every habitat or relay

Có contact graph hoặc relay schedule rõ ràng cho mọi sync path.A contact graph or relay schedule exists for every sync path.
Có local survival mode và energy shedding khi mất contact.A local survival mode and energy shedding policy exist when contact is lost.
Có quyền ngắt kết nối và veto explicit cho mọi human-neural interface liên quan.Explicit right-to-disconnect and veto exist for every human-neural interface involved.