improvements agendas and decisions

2026-03-09 06:44:19 +00:00 · 2026-03-09 06:44:19 +00:00 · 8883b8a21f
commit 8883b8a21f
parent bcf30f8c4a
1 changed files with 122 additions and 0 deletions
--- a/docs/runtime/decisions/010-asset-status-first-fault-and-return-contract.md
+++ b/docs/runtime/decisions/010-asset-status-first-fault-and-return-contract.md
@ -0,0 +1,122 @@
+# Decision Record - Asset Status-First Fault and Return Contract
+
+## Status
+
+Accepted
+
+## Contexto
+
+A agenda `006-asset-fault-semantics-and-surface.md` evidenciou inconsistencia no dominio `asset`:
+
+- `asset.status` ja usa status numerico;
+- `asset.load` ainda escalava erro operacional para `Panic`;
+- `asset.commit`/`asset.cancel` eram `void` com no-op silencioso para varios casos.
+
+Para alinhar o dominio com `16a`, foi fechado contrato status-first para `asset`.
+
+## Decisao
+
+### 1. Fronteira de fault class em `asset`
+
+`asset` segue:
+
+- `Trap`: violacao estrutural de ABI/chamada (tipo, aridade, capability, shape).
+- `status` (inteiro): erro operacional recuperavel de dominio.
+- `Panic`: apenas quebra de invariante interna de runtime/host.
+
+### 2. Surface canonica do dominio
+
+A surface final do MVP fica:
+
+- `asset.load(name, kind, slot) -> (status:int, handle:int)`
+- `asset.status(handle) -> status:int`
+- `asset.commit(handle) -> status:int`
+- `asset.cancel(handle) -> status:int`
+
+Regras:
+
+- `handle` so e valido quando `status == ASSET_OK`;
+- em falha de `load`, `handle` deve ser `0`.
+
+### 3. No-op silencioso proibido
+
+No-op silencioso nao e permitido para operacoes com erro operacional possivel.
+
+Casos como:
+
+- handle desconhecido;
+- transicao invalida de lifecycle;
+- slot invalido;
+- asset ausente;
+
+devem retornar `status` explicito.
+
+### 4. `asset.load` (request path)
+
+Falhas operacionais de request devem virar `status`, incluindo:
+
+- `ASSET_NOT_FOUND`;
+- `SLOT_KIND_MISMATCH`;
+- `SLOT_INDEX_INVALID`;
+- `BACKEND_ERROR`.
+
+`Panic` nao deve ser usado para falha operacional de `load`.
+
+### 5. `asset.status` (lifecycle path)
+
+`asset.status` permanece a fonte de verdade do lifecycle assíncrono.
+
+Codigos de lifecycle devem cobrir:
+
+- `PENDING`
+- `LOADING`
+- `READY`
+- `COMMITTED`
+- `CANCELED`
+- `ERROR`
+- `UNKNOWN_HANDLE`
+
+### 6. `asset.commit` e `asset.cancel`
+
+Ambas operacoes devem retornar `status`.
+
+Tabela minima de resposta:
+
+- `ASSET_OK` (acao aceita/concluida para o estado atual)
+- `UNKNOWN_HANDLE`
+- `INVALID_STATE`
+
+### 7. Relacao com dominio `bank`
+
+Erros de residency/slot permanecem no dominio `asset`.
+
+`bank` permanece dominio de inspecao (`info`, `slot_info`) e nao absorve erros operacionais de mutacao de asset lifecycle.
+
+### 8. Compatibilidade e migracao
+
+Nao ha requisito de compatibilidade retroativa para esta mudanca.
+
+E permitido:
+
+- alterar `ret_slots` de `asset.load`, `asset.commit`, `asset.cancel`;
+- ajustar registry/loader/dispatch/runtime com o novo contrato;
+- regenerar stress test com as assinaturas novas.
+
+## Consequencias
+
+### Positivas
+
+- remove `Panic` operacional indevido do dominio `asset`;
+- torna fluxo de lifecycle observavel e consistente;
+- elimina ambiguidade de no-op em `commit`/`cancel`.
+
+### Custos
+
+- exige migracao de ABI das syscalls `asset`;
+- exige atualizacao de testes e artefatos gerados.
+
+## Follow-up Obrigatorio
+
+- agenda `006-asset-fault-semantics-and-surface.md` deve ser considerada absorvida e removida;
+- specs `15` e `16a` devem absorver o contrato final quando a implementacao estiver estavel;
+- registry de syscall deve refletir o shape final (`ret_slots`) das operacoes `asset`.