docs: add pro runtime hardening workboard

README.md

@@ -93,12 +93,21 @@ internal/
   rds/            RDS encoder (IEC 62106, CRC, differential, group scheduler)
   stereo/         stereo encoder (19 kHz pilot, 38 kHz DSB-SC)
 docs/
-  config.sample.json      default config
-  config.plutosdr.json    PlutoSDR-specific config
+  config.sample.json                default config
+  config.plutosdr.json              PlutoSDR-specific config
+  pro-runtime-hardening-workboard.md  living workboard for pro runtime hardening
 scripts/
 examples/
 ```
 
+## Planning / workboard
+
+For the current pro-runtime-hardening track, see:
+
+- `docs/pro-runtime-hardening-workboard.md`
+
+This document is the detailed working board for status tracking, confirmed findings, open decisions, verification notes, and implementation progress.
+
 ## Legal note
 
 This project is intended only for lawful use within relevant license and regulatory constraints.

docs/pro-runtime-hardening-workboard.md

@@ -0,0 +1,506 @@
+# Pro Runtime Hardening Workboard
+
+Status: living document  
+Branch: `feature/pro-runtime-hardening`
+
+Dieses Dokument ist das **Arbeitsdokument** zur schrittweisen Umsetzung des Konzepts aus `fm-rds-tx_pro_runtime_hardening_concept.json`.
+
+Ziel ist **nicht** nur eine hübsche Roadmap, sondern ein Ort, an dem wir konkret markieren können:
+- **wo** wir im Code stehen,
+- **welche Lücken** bestätigt sind,
+- **welche Entscheidungen** gefallen sind,
+- **welche Arbeiten** offen / in Arbeit / erledigt sind,
+- **welche Risiken** noch bestehen,
+- **welche Akzeptanzkriterien** wirklich nachgewiesen wurden.
+
+---
+
+## 1. Arbeitsregeln für dieses Dokument
+
+### Statuswerte
+- `TODO` → noch nicht begonnen
+- `IN PROGRESS` → aktiv in Arbeit
+- `BLOCKED` → sinnvoll erkannt, aber blockiert
+- `DONE` → umgesetzt
+- `VERIFIED` → umgesetzt **und** sinnvoll geprüft
+- `DEFERRED` → bewusst nach hinten verschoben
+- `REJECTED` → bewusst verworfen
+
+### Nachweispflicht
+Ein Punkt gilt erst als wirklich fertig, wenn eingetragen ist:
+1. **Code-Ort(e)**
+2. **Was geändert wurde**
+3. **Wie verifiziert wurde**
+4. **Welche Restrisiken bleiben**
+
+### Update-Regel
+Wenn wir an einem Workstream arbeiten, soll dieses Dokument mitgezogen werden.  
+Kein „ist im Kopf klar“. Der Stand kommt hier rein.
+
+---
+
+## 2. Gesamtüberblick
+
+## Gesamtstatus
+- Projektphase: `Planung / Strukturierung`
+- Technischer Fokus aktuell: `noch offen`
+- Nächster sinnvoller Startpunkt laut Konzept: `WS-03 Semantische Korrektheit und harte Config-/Runtime-Konsistenz`
+
+## Repo-bezogene bestätigte Ausgangslage
+
+| Thema | Status | Notiz |
+|---|---|---|
+| TX-Engine aktuell als synchroner Single-Loop | CONFIRMED | `internal/app/engine.go` |
+| Persistenter DSP-Zustand im Generator vorhanden | CONFIRMED | `internal/offline/generator.go` |
+| HTTP-Control vorhanden | CONFIRMED | `internal/control/control.go` |
+| Config-Validation vorhanden, aber nicht überall semantisch konsistent | CONFIRMED | `internal/config/config.go` + Runtime-Pfade |
+| Device/Capability-Modell vorhanden, aber noch nicht streng genug | CONFIRMED | `internal/platform/soapy.go` |
+| Lock-freier SPSC-Audio-Ringbuffer vorhanden | CONFIRMED | `internal/audio/stream.go` |
+
+## Bereits bekannte bestätigte Inkonsistenzen
+
+| ID | Status | Beschreibung | Ort |
+|---|---|---|---|
+| CFG-SEM-001 | CONFIRMED | `fm.outputDrive` wird in Validation und Runtime nicht konsistent behandelt | `internal/config/config.go`, `internal/app/engine.go` |
+| CTL-UX-001 | CONFIRMED | `handleAudioStream()` referenziert `--audio-http`, was CLI-seitig überprüft werden sollte | `internal/control/control.go` |
+
+---
+
+## 3. Prioritätenmodell
+
+| Priorität | Bedeutung |
+|---|---|
+| P0 | Technische Perfektion und Determinismus |
+| P1 | Betriebssicherheit und Fehlerbeherrschung |
+| P2 | Hardware-Wahrheit und RF-Qualität |
+| P3 | Sichere und saubere Runtime-Steuerung |
+| P4 | Deployment-, Release- und Service-Reife |
+
+---
+
+## 4. Umsetzungstracker nach Workstream
+
+# WS-03 — Semantische Korrektheit und harte Config-/Runtime-Konsistenz
+**Priorität:** P0  
+**Gesamtstatus:** TODO
+
+## Ziel
+Ein einziger, eindeutig definierter Parameterraum. Jeder Wert hat exakt eine Bedeutung und identische Constraints in Config, HTTP-API, Runtime und Telemetrie.
+
+## Warum dieser Workstream zuerst
+Wenn Semantik und Grenzwerte nicht sauber vereinheitlicht sind, bauen spätere Runtime- und Fault-Mechanismen auf unstabilem Fundament.
+
+## Aufgaben
+
+### WS-03-T1 — Parameterinventar erstellen
+- **Status:** TODO
+- **Owner:** offen
+- **Code-Orte:**
+  - `internal/config/config.go`
+  - `internal/app/engine.go`
+  - `internal/control/control.go`
+  - ggf. weitere betroffene Pakete
+- **Ziel:**
+  Alle öffentlich und intern verwendeten Parameter inventarisieren mit:
+  - Name
+  - Typ
+  - Einheit
+  - Bereich
+  - Default
+  - hot-reload-fähig ja/nein
+  - safety class
+  - Telemetrie-Name
+- **Offene Fragen:**
+  - Wo leben heute implizite Parameter, die nicht sauber dokumentiert sind?
+  - Welche Runtime-Werte sind abgeleitet statt direkt konfigurierbar?
+- **Nachweis:**
+  - Parameterinventar im Repo vorhanden
+  - referenzierbar für Config/API/Runtime
+- **Restrisiken:**
+  - versteckte Semantik in Helper-Funktionen übersehen
+
+### WS-03-T2 — Validation vereinheitlichen
+- **Status:** TODO
+- **Owner:** offen
+- **Code-Orte:**
+  - `internal/config/config.go`
+  - `internal/app/engine.go`
+  - `internal/control/control.go`
+- **Ziel:**
+  `Config.Validate()`, Runtime-Update-Pfade und API-Patch-Validierung dürfen nicht divergieren.
+- **Bereits bekannter Startpunkt:**
+  - `fm.outputDrive`
+- **Nachweis:**
+  - bekannte Inkonsistenzen beseitigt
+  - Tests für gemeinsame Grenzwerte vorhanden
+- **Restrisiken:**
+  - weitere Inkonsistenzen erst beim Inventar sichtbar
+
+### WS-03-T3 — DesiredConfig / AppliedConfig einführen
+- **Status:** TODO
+- **Owner:** offen
+- **Code-Orte:**
+  - `internal/app/engine.go`
+  - `internal/control/control.go`
+  - ggf. Config-/Statusmodelle
+- **Ziel:**
+  API und Runtime sollen trennen zwischen:
+  - gewünschter Konfiguration
+  - tatsächlich angewandter Konfiguration
+  - aktuellem Runtime-Zustand
+- **Nachweis:**
+  - API kann beide Sichten getrennt ausgeben
+  - partielle oder abgelehnte Übernahmen werden sichtbar
+- **Restrisiken:**
+  - unsaubere Migration bestehender Statusantworten
+
+## WS-03 Entscheidungslog
+- Noch leer
+
+## WS-03 Verifikation
+- Noch leer
+
+---
+
+# WS-01 — Deterministische Echtzeit-TX-Pipeline mit entkoppeltem Writer
+**Priorität:** P0  
+**Gesamtstatus:** TODO
+
+## Ziel
+Generator/Upsampler und Hardwarewriter werden als getrennte Stufen mit kleinem, kontrolliertem Frame-Puffer betrieben.
+
+## Aktueller Stand
+- Der TX-Pfad ist laut Konzept aktuell noch synchron gekoppelt:
+  `GenerateFrame -> optional FMUpsampler.Process -> driver.Write`
+- Das ist elegant, aber nicht pro-level-hart gegenüber Write-Spikes und Blockaden.
+
+## Aufgaben
+
+### WS-01-T1 — FrameQueue einführen
+- **Status:** TODO
+- **Owner:** offen
+- **Code-Orte:**
+  - `internal/app/engine.go`
+  - ggf. neues internes Queue-Modul
+  - `internal/output/*`
+- **Ziel:**
+  Bounded Queue mit fester Kapazität, sichtbarem Füllstand und Countern.
+- **Zu entscheiden:**
+  - Puffern vor oder nach Upsampling?
+  - Referenzentscheidung im Konzept: eher Device-Frame-Ebene
+- **Akzeptanzpunkte:**
+  - keine unbounded queue
+  - Fill-Level live sichtbar
+  - Drop/Repeat/Mute niemals ohne Counter/Log
+
+### WS-01-T2 — Writer-Worker einführen
+- **Status:** TODO
+- **Owner:** offen
+- **Code-Orte:**
+  - `internal/app/engine.go`
+  - `internal/platform/*`
+- **Ziel:**
+  Nur noch ein dedizierter Worker besitzt `driver.Write()`.
+- **Akzeptanzpunkte:**
+  - Write-Latenz pro Frame messbar
+  - Timinginteraktionen klar isoliert
+
+### WS-01-T3 — Supervisor-Schicht einführen
+- **Status:** TODO
+- **Owner:** offen
+- **Code-Orte:**
+  - `internal/app/engine.go`
+- **Ziel:**
+  Queue-Füllstand, Late-Rate und Fehlerhäufigkeit überwachen und in Runtime-Zustände überführen.
+- **Akzeptanzpunkte:**
+  - State-Entscheidungen sind explizit
+  - kein implizites Weiterwursteln bei Schieflage
+
+## Offene Architekturfragen
+- Ist `capacity_frames = 3` ein guter Startwert oder nur Konzept-Default?
+- Sollte im Fault-Fall `repeat last safe frame` erlaubt sein oder von Anfang an nur `mute`?
+- Wie eng koppeln wir WS-01 mit WS-02, ohne Overengineering zu erzeugen?
+
+## WS-01 Entscheidungslog
+- Noch leer
+
+## WS-01 Verifikation
+- Noch leer
+
+---
+
+# WS-02 — Explizite Runtime-State-Maschine und Fault-Handling
+**Priorität:** P0  
+**Gesamtstatus:** TODO
+
+## Ziel
+Einführen eines klaren Betriebsmodells mit Fault-, Recovery- und Muted-Zuständen.
+
+## Zielzustände laut Konzept
+- `idle`
+- `arming`
+- `prebuffering`
+- `running`
+- `degraded`
+- `muted`
+- `faulted`
+- `stopping`
+
+## Aufgaben
+
+### WS-02-T1 — Fault-Klassifikation definieren
+- **Status:** TODO
+- **Owner:** offen
+- **Beispiele:**
+  - Treiberfehler
+  - Write-Time-Budget überschritten
+  - Queue leer
+  - Queue dauerhaft kritisch
+  - Selbsttest fehlgeschlagen
+  - unerlaubtes Live-Update
+
+### WS-02-T2 — Reaktionsstrategie definieren
+- **Status:** TODO
+- **Owner:** offen
+- **Ziel:**
+  Pro Fehlerklasse klar definieren:
+  - warn only
+  - degraded
+  - muted
+  - faulted
+
+### WS-02-T3 — Fault-Historie und Event-Log einführen
+- **Status:** TODO
+- **Owner:** offen
+- **Ziel:**
+  Zustandswechsel und Faults auditierbar machen.
+
+## Offene Designfragen
+- Wie fein granular darf die State-Maschine werden, ohne unwartbar zu werden?
+- Welche Transitionen sind wirklich produktiv relevant und welche nur „theoretisch schön“?
+
+## WS-02 Entscheidungslog
+- Noch leer
+
+## WS-02 Verifikation
+- Noch leer
+
+---
+
+# WS-04 — Observability, Telemetrie und Diagnosefähigkeit
+**Priorität:** P1  
+**Gesamtstatus:** TODO
+
+## Ziel
+Vollständige Sichtbarkeit auf Runtime, Queue, Writer, Generator, RF-Selbsttests und API-Aktivität schaffen.
+
+## Aufgaben
+
+### WS-04-T1 — Strukturiertes Logging
+- **Status:** TODO
+- **Owner:** offen
+
+### WS-04-T2 — Prometheus-/Metrics-Schicht
+- **Status:** TODO
+- **Owner:** offen
+
+### WS-04-T3 — Debug-/Profiling-Endpunkte
+- **Status:** TODO
+- **Owner:** offen
+
+## Gewünschte Beispielmetriken
+- `engine_chunks_generated_total`
+- `engine_late_buffers_total`
+- `engine_fault_transitions_total`
+- `writer_write_duration_seconds`
+- `queue_fill_ratio`
+- `queue_dropped_frames_total`
+- `queue_muted_frames_total`
+- `driver_write_errors_total`
+- `audio_stream_underruns_total`
+- `audio_stream_overflows_total`
+- `rf_selftest_pilot_db`
+- `rf_selftest_rds_57k_db`
+
+## WS-04 Entscheidungslog
+- Noch leer
+
+## WS-04 Verifikation
+- Noch leer
+
+---
+
+# WS-05 — Sichere und erwachsene Control-Plane
+**Priorität:** P1 / P3-nah  
+**Gesamtstatus:** TODO
+
+## Ziel
+API transport- und anwendungsseitig härten, state-aware machen und auditierbar gestalten.
+
+## Aufgaben
+
+### WS-05-T1 — Auth und Deploy-Modi definieren
+- **Status:** TODO
+- **Owner:** offen
+- **Zielmodi:**
+  - localhost-only
+  - trusted-lan
+  - secured-remote
+
+### WS-05-T2 — HTTP-Server härten
+- **Status:** TODO
+- **Owner:** offen
+- **Mindestpunkte:**
+  - ReadTimeout
+  - WriteTimeout
+  - IdleTimeout
+  - ReadHeaderTimeout
+  - Body-Size-Limits
+  - Content-Type-Validierung
+  - Method Enforcement
+
+### WS-05-T3 — API semantisch aufräumen
+- **Status:** TODO
+- **Owner:** offen
+- **Ziel:**
+  - DesiredConfig vs AppliedConfig vs RuntimeState
+  - idempotente Start/Stop-Endpunkte
+  - transaktionsartige Apply-/Reject-Antworten
+  - Audit-Log pro Eingriff
+
+## Frühe Quick-Wins
+Diese Punkte könnten ggf. vorgezogen werden, auch wenn WS-05 formal nach WS-01/02 kommt:
+- HTTP-Timeouts
+- Body-Limits
+- sicherer Standard-Bind-Modus
+
+## WS-05 Entscheidungslog
+- Noch leer
+
+## WS-05 Verifikation
+- Noch leer
+
+---
+
+# WS-06 — Hardware-in-the-loop und externe RF-Wahrheitsprüfung
+**Priorität:** P2  
+**Gesamtstatus:** TODO
+
+## Ziel
+Nicht nur intern richtig rechnen, sondern extern nachweisen, dass tatsächlich korrekt gesendet wird.
+
+## Status
+- Konzept vorhanden
+- noch kein eingetragener HIL-Arbeitsstand in diesem Dokument
+
+## Offene Kernfragen
+- Welches Referenz-Setup wird verbindlich?
+- Welche Testfrequenz / Standarddauer / Schutzmaßnahmen gelten?
+- Welcher externe Decoder / Empfänger gilt als Referenz?
+
+---
+
+# WS-07 — Device-aware Capability- und Kalibrierungsmodell
+**Priorität:** P2  
+**Gesamtstatus:** TODO
+
+## Ziel
+Fähigkeiten und Kalibrierungen nicht implizit, sondern explizit pro Device modellieren.
+
+## Noch offen
+- Capability-Schema konkretisieren
+- Kalibrierungsprofil definieren
+- Device-aware Validation einbauen
+
+---
+
+# WS-08 — Signal-Selbstüberwachung im Betrieb
+**Priorität:** P2  
+**Gesamtstatus:** TODO
+
+## Ziel
+Pilot, Stereo, RDS und Composite-Anomalien im Betrieb erkennen.
+
+## Noch offen
+- Goertzel/FFT-Strategie festlegen
+- Schwellwerte definieren
+- in Fault-Logik einspeisen
+
+---
+
+# WS-09 — Teststrategie erweitern
+**Priorität:** P3/P4-nah  
+**Gesamtstatus:** TODO
+
+## Ziel
+Von Unit-Tests zu echter Qualitätsabsicherung: Golden Vectors, Long-Run, Race, Fuzzing, API-Mutation, HIL.
+
+## Noch offen
+- Testpyramide konkretisieren
+- Nightly-/CI-Fähigkeit bestimmen
+
+---
+
+# WS-10 — Service-Reife, Packaging und Reproduzierbarkeit
+**Priorität:** P4  
+**Gesamtstatus:** TODO
+
+## Ziel
+Build-, Release- und Betriebsartefakte reproduzierbar und teamtauglich machen.
+
+## Noch offen
+- Build-Metadaten
+- Service-Units
+- Config-Versionierung / Migration
+
+---
+
+## 5. Übergreifende Regeln
+
+### Musts
+- Jeder neue Runtime-Zustand muss per API und Telemetrie sichtbar sein.
+- Jede Recovery-, Drop- oder Mute-Strategie braucht Counter, Logs und Tests.
+- Keine neue Config-Option ohne klaren Typ, Bereich, Einheit, Default und Hot-Reload-Klassifikation.
+- Hardware-nahe Änderungen brauchen mindestens Simulations- und HIL-Validierung.
+- Alle Faults müssen eine maschinenlesbare Ursache und eine menschenlesbare Zusammenfassung haben.
+
+### Must Not
+- Keine unbounded Queues.
+- Keine stillen Fallbacks ohne Telemetrie.
+- Keine teilweise angewandten Live-Config-Änderungen ohne explizite Rückmeldung.
+- Keine unterschiedlichen Grenzwerte zwischen Config, API und Runtime.
+- Keine sicherheitsrelevanten HTTP-Endpunkte ohne Härtung im Remote-Betrieb.
+
+---
+
+## 6. Aktuelle offene Entscheidungen
+
+| ID | Status | Frage | Notiz |
+|---|---|---|---|
+| DEC-001 | OPEN | Puffern wir auf CompositeFrame- oder DeviceFrame-Ebene? | Konzept empfiehlt Device-Frame-Ebene |
+| DEC-002 | OPEN | Fault-Recovery zuerst mit `mute`, `repeat last safe frame` oder beidem? | Muss technisch und RF-seitig sauber bewertet werden |
+| DEC-003 | OPEN | Ziehen wir minimale WS-05-Basis-Härtungen vor? | Timeouts/Body-Limits evtl. früher sinnvoll |
+| DEC-004 | OPEN | Wie gross/simpel halten wir die erste State-Maschine? | Gefahr von Overengineering |
+
+---
+
+## 7. Nächste sinnvolle Schritte
+
+### Empfohlener Start
+1. **WS-03-T1 Parameterinventar erstellen**
+2. **bekannte Inkonsistenzen (CFG-SEM-001, CTL-UX-001) konkret verifizieren**
+3. **DesiredConfig / AppliedConfig / RuntimeState Zielmodell grob skizzieren**
+4. Danach Architekturarbeit an **WS-01 + WS-02** starten
+
+### Vor dem ersten grossen Umbau klären
+- Was ist „minimal sinnvoll“ für Milestone 1?
+- Welche Dinge sind harte Must-haves und welche nur spätere Veredelung?
+- Wo wollen wir bewusst nicht sofort maximal abstrahieren?
+
+---
+
+## 8. Änderungsprotokoll
+
+| Datum | Änderung | Person / Agent |
+|---|---|---|
+| 2026-04-05 | Initiales Arbeitsdokument aus `fm-rds-tx_pro_runtime_hardening_concept.json` erstellt | Alfred |