PD-265-REVIEW-STEP3-SUMMARY

Review produite : 14 points identifiés (4 bloquants, 6 majeurs, 4 mineurs).

Les 4 bloquants sont :

  1. POINT-01 — Contradiction machine d'états : Le modèle mono-état (INV-265-11) interdit les transitions DEGRADED_* → DEGRADED_*, mais les invariants INV-265-01/02/05/07 imposent chacun un changement d'état inconditionnel. En cas de défaillances multiples simultanées (scénario production courant), ces invariants sont mutuellement exclusifs.

  2. POINT-02 — Blocage TST non spécifié : L'émission TST est explicitement bloquée en DEGRADED_NTS et DEGRADED_REVOCATION, mais rien n'est dit pour DEGRADED_TRUSTLIST, DEGRADED_KEY_LIFECYCLE et MAINTENANCE. Un implémenteur tiers ne peut pas décider.

  3. POINT-03 — Délai contractuel re-horodatage absent : INV-265-06 et TC-ERR-10 référencent un « délai contractuel de traitement » qui n'a aucune valeur numérique dans la spec. L'invariant est non testable.

  4. POINT-07 — Contrainte croisée ntsCheckInterval/maxDegradedDuration : Avec ntsCheckInterval=3600s (max autorisé), le retour à HEALTHY nécessite ≥7200s (2 contrôles), mais maxDegradedDuration peut valoir 5min. Configuration valide individuellement, impossible opérationnellement.

Fichier : ProbatioVault-backend/docs/epics/legal-compliance/PD-265-monitoring-tsa-lifecycle/PD-265-specification-review.md