AMR “分布式多世界”世界模型的工作原理说明

1. 概念界定

在工业场景中，AMR 系统并不运行在一个"单一、实时一致、全知全能"的世界模型之上。工厂现场的可观测性天然不完备、约束来源多元、决策时标分层，并且存在多主体（车辆、调度器、边缘交通控制、站点设备、业务系统与人）并发行动。由此，AMR 的"世界模型"必须被理解为一种分布式的多世界世界模型：

• 分布式（Distributed）：世界状态与约束被拆分到不同节点，各节点依据自身可观测性、实时性与职责维护其"可行动的局部世界"；

• 多世界（Multi-World） ：不同节点维护的世界并非同一份数据的拷贝，而是不同视角、不同粒度、不同裁决权的事实集合；

• 世界模型（World Model）：不止描述"世界是什么样"，更重要的是规定"在此世界下，什么行动被允许、何时可执行、如何退化与如何对齐"。

DMWM 的核心目标不是追求全局强一致，而是在现实约束下实现三件事：

1. 可行动：每个节点都能在自身时标内给出可执行决策；

2. 可协调：多主体行动不会互相破坏（冲突、死锁、互锁违规）；

3. 可治理：系统能被诊断、可回放、可回归、可审计与可演进。

---

2. 世界片段与职责分配

DMWM 将"世界"拆分为若干世界片段（World Fragments），分别驻留于典型的四类节点：车端、车队调度、边缘编排（L2.5）、物流执行系统（LES）。各世界片段的内容、时标与裁决权不同。

2.1 车端：行动层世界（Action World）

车端维护"近场可行动世界"，以安全与即时执行为第一优先级，主要包含：

• 自身状态（姿态、速度、控制模式、健康度）；

• 近场环境（障碍物、可通行区域、风险评估）；

• 执行状态机（任务阶段、站点交互进度、急停/软停状态）。

裁决权 ：车端对"是否安全、是否可立即行动"拥有最终裁决权。
时标：毫秒至秒级；允许局部正确，不要求全局一致。

2.2 车队调度：意图层世界（Intent World）

调度侧维护"全局意图世界"，以任务承诺、全局资源配置与整体性能为第一目标，主要包含：

• 任务队列、优先级、截止时间与任务状态机；

• 派单决策与全局路径意图（意图≠现场可达事实）；

• 车队状态摘要（可用性、能力、粗粒度位置/状态）。

裁决权 ：调度对"谁做什么、何时应完成"的承诺与全局意图拥有裁决权。
时标：秒级至十秒级；容忍信息滞后，通过统计与策略维持稳态。

2.3 边缘编排（L2.5）：协调层世界（Coordination World）

边缘侧维护"秩序与通行权世界"，以多车协调、交通秩序、资源互斥与互锁合规为第一优先级，主要包含：

• 路口仲裁、区块占用/预定、会车规则、死锁检测与解除；

• 站点互锁聚合（电梯/自动门/输送线/工位 ready 信号）与放行控制；

• 临时规则与局部地图变更（封路、限速、危险区域切换）。

裁决权 ：边缘对"通行权/资源占用/互锁放行"通常拥有最终裁决权。
时标：百毫秒至数秒级；在局部区域内更倾向于强一致或租约式一致。

2.4 LES：业务规则世界（Business/Rule World）

LES 维护"业务合法性与完成定义世界"，以制度一致性、可审计性与业务闭环为第一目标，主要包含：

• 订单/波次/补料策略、工艺窗口、班次规则与优先级制度；

• 任务"何为有效完成"的定义与确认机制（签收/扫码/PLC 信号等）；

• 例外工单与业务处置流程。

裁决权 ：LES 对"任务是否应被发起、是否合规、是否算完成"拥有裁决权。
时标：分钟级至小时级；强调制度一致与审计留痕。

---

3. "真相源"分布：裁决权机制

DMWM 的关键不在于"多处存一份世界"，而在于真相源（Source of Truth）分布式分配：

• 车端裁决"安全可行动性"；

• 边缘裁决"通行权与互锁"；

• 调度裁决"任务承诺与意图"；

• LES 裁决"业务合法性与完成定义"。

因此，DMWM 的一致性不是靠一个统一数据库实现，而是靠一套冲突裁决与优先级宪法实现。工程上通常遵循如下原则（可作为规范条款写入）：

1. 安全裁决优先于效率优化；

2. 互锁合规优先于调度意图；

3. 通行权优先于路径意图；

4. 业务规则以"准入门禁"形式进入控制链条，而非事后纠偏。

---

4. 对齐协议：多世界如何协同成为"一个系统"

在分布式多世界中，"对齐（Alignment）"不是一次性同步，而是持续的协议化协作。DMWM 依赖以下三类对齐协议将世界片段粘合成可运行整体。

4.1 版本对齐协议（Version Alignment）

为避免"同一道路/规则在不同世界中含义不同"，系统必须强制维护：

• 地图版本（map_version）、策略版本（policy_version）、规则集版本（rule_version）

  贯穿车端、边缘、调度与 LES。任何跨版本组合必须在"允许矩阵"中显式声明；否则视为不可发布状态。

4.2 事件对齐协议（Event Alignment）

DMWM 通过事件流而非强同步复制对齐事实：

• LES 发布任务与规则事件；

• 调度发布派单与意图事件；

• 边缘发布通行权/互锁放行事件；

• 车端发布执行回执与安全事件。

  系统以事件的"发生顺序、版本上下文与关联键"来建立可追溯的运行事实。

4.3 租约/预定协议（Lease & Reservation）

在交通与资源互斥问题上，靠"共享真相"难以实现实时一致；DMWM 采用租约/预定使未来行动可协调：

• 区块占用租约（block lease）、路口通行 token、电梯预约 token；

• 租约具有 TTL 与可撤销机制；

• 车辆在获得通行权后执行，若租约失效或冲突，则进入等待/重规划/降级。

租约机制的本质是：通过约束行动来制造一致性，从而把协调问题从"认知一致"转化为"通行权一致"。

---

5. 一致性策略：从"强一致幻觉"到"有界不一致"

DMWM 并不追求全局强一致，而追求有界不一致（Bounded Inconsistency）：

• 明确哪些状态必须局部强一致（如路口占用、互锁放行）；

• 明确哪些状态可最终一致（如车队位置摘要、任务统计）；

• 为每类状态规定 TTL、刷新频率、过期处理与降级策略。

当一致性超界（例如位置摘要过期、地图版本漂移、互锁状态不可用）时，系统必须进入预设降级：冻结派单、切换保守交通模式、局部封路、请求人工确认等。降级不是"故障应急"，而是 DMWM 的正常工作模式之一。

---

6. 证据链：让多世界可诊断、可回放、可回归

多世界系统若缺少证据链，将不可治理。DMWM 的证据链原则是：

• 任何一次关键决策（派单、仲裁、放行、急停）必须可追溯到"当时各世界看到的状态"；

• 证据链必须跨越节点边界，以统一关联键串联。

建议强制使用的关联键包括：

• event_time（统一时钟）、trace_id、robot_id、task_id、map_version、policy_version。

证据链按三层组织：

1. 车端证据（轨迹、避障、急停、健康）；

2. 系统证据（派单候选集、约束命中、仲裁记录、租约状态）；

3. 治理证据（版本对齐矩阵、配置快照、灰度开关、变更审计、回归覆盖）。

---

7. 工作机理总结：DMWM 的"运行循环"

DMWM 的工作过程可概括为一个持续循环：

1. 规则与任务注入（LES）：发布业务规则、任务与完成定义；

2. 意图生成（调度）：依据任务与车队摘要生成派单与路径意图；

3. 秩序制造（边缘）：将意图转换为可执行的通行权、互锁放行与局部秩序（租约/仲裁）；

4. 安全执行（车端）：在近场世界内执行动作，并以安全为硬约束进行必要干预；

5. 回执与对齐（全链路）：执行回执与异常事件回流，触发重规划、降级与治理闭环；

6. 证据固化与回归门禁（治理层）：将断点、证据与变更纳入回归套件，阻止同类失配再次进入系统。

该循环使 AMR 系统在"多源真相、分层时标、局部一致"的现实条件下仍可维持稳定现象：安全边界、时效分位数、吞吐下限与可恢复性。

---

8. 结语：DMWM 的工程价值

AMR 的 DMWM 并非"复杂化"，而是把工业现场的真实复杂性从"隐含假设"转为"显式机制"。其价值体现在：

• 通过裁决权分配与对齐协议，将多主体协作从"碰运气"变为"可验证的秩序"；

• 通过有界不一致与降级策略，使系统在不可避免的缺测与延迟下仍可安全运行；

• 通过证据链与回归门禁，使系统具备可治理与可演进能力，避免"越迭代越不可控"。

------以上即为 AMR 分布式多世界世界模型的工作原理说明。