Architecture de référence v0.1 · pré-production privée
Le système d'exploitation pour l'IA physique.
Un plan de coordination pour agents physiques distribués.
Arbitrage en temps réel sur des ressources physiques rares — kilowatts sur un poste de transformation, mètres carrés sur un sol d'usine, fenêtres de phase de signal à une intersection, spectre RF dans une exploitation agricole. Six types de ressources normatives, quatre classes de sécurité, préemption à réduction progressive.
ACS v0.1 · 32 cas
11,2 M d'états TLA+
6 verticales · 6 types de ressources
1973/s · p99 6 ms
Le Problème
Pourquoi l'IA physique est bloquée sur un site, un domaine, un fournisseur
Chaque verticale d'IA physique a développé son propre protocole — OCPP pour les chargeurs, ROS pour les robots, OpenADR pour la réponse à la demande du réseau, IEEE 2030.5 pour les DER. Aucun d'entre eux ne communique avec les autres. Un site avec des chargeurs, des batteries, des robots et des feux de signalisation ne dispose d'aucun langage d'arbitrage commun.
La plupart des plateformes de flotte s'effondrent dès que la connectivité est perdue. L'équilibrage de charge à l'échelle du site, la maintenance prédictive et la préemption d'urgence dépendent tous d'un aller-retour vers un tableau de bord hyperscaler américain. 15–25 % des temps d'arrêt des chargeurs publics sont imputables à cette dépendance.
Les opérateurs de points de charge utilisent une pile. Les opérateurs de flotte en utilisent une autre. Les opérations énergétiques du site en utilisent une troisième. Chacun réinvente l'authentification, la télémétrie, le RBAC et les mises à jour OTA. Le coordinateur qui décide quel agent obtient le kilowatt se trouve à l'intérieur du silo du fournisseur ayant remporté le contrat.
Lorsqu'un générateur d'hôpital tombe en panne, un chargeur de véhicule électrique doit réduire sa puissance avant un climatiseur. Lorsqu'un robot traverse une voie de chariot élévateur, le chariot élévateur doit céder le passage. Les plateformes existantes n'ont aucune notion de classe de sécurité, aucune spécification de réduction progressive, aucune piste d'audit prouvant que la bonne action a été effectuée — ou non.
Fonctionnement
Trois couches, un plan de coordination, le principe de subsidiarité
~330 microservices Go (couche cloud) sur K8s — analytique de flotte, entraînement de modèles, agrégation d'apprentissage fédéré, SaaS multi-locataires, roaming OCPI 2.2.1. NATS JetStream + PostgreSQL/TimescaleDB. Prend en charge les décisions à long terme qui s'étendent sur plusieurs sites et locataires : distribution de modèles, comptabilité du budget ε sous DP-SGD, agrégation robuste aux attaques byzantines. ~5 % du total des décisions.
~56 services sur K3s — le résolveur réside généralement ici. Le coordinateur de site arbitre les revendications de manière atomique sur les six types de ressources ACS. CCAR (Confidence-Calibrated Autonomous Resolution) se déclenche à ≥90 % de confiance ; ARA (Adaptive Retrieval-Augmented Reasoning) ancre chaque décision dans une documentation technique faisant autorité. P50 TTFT 28–48 ms. Continue de fonctionner entièrement hors ligne. ~30 % des décisions.
Firmware de chargeur / robot / feu de signalisation. Détient l'autorité de sécurité locale — un ESTOP matériel déclenche le contacteur en <10 ms indépendamment de tout aller-retour avec le coordinateur. AuralinkCharger en Rust (14 crates) pour les déploiements full-OS ; AuralinkAgent en Go comme sidecar non invasif pour les équipements conformes à OCPP. ~65 % des décisions s'exécutent ici.
Conformité · ce qui est vérifié
Trois niveaux de conformité ACS s'exécutent de bout en bout à chaque commit, sur un modèle formel TLA+ vérifié de manière exhaustive. Chaque chiffre correspond à un chemin dans tests/conformance/.
L1 · Référence
9/9
Taxonomie des ressources, BootClaim, protocole claim/grant/preempt
L2 · Sécurité
16/16
Quatre classes de sécurité, préemption TaperSpec, cascades de groupes de couplage
L3 · Fédéré
7/7
Transfert inter-coordinateurs, ancrage de témoins, agrégation DP-SGD
11,2 M d'états
Modèle formel TLA+ · os/spec/formal/
1973 claims/s
Charge L1+L2 · p99 6 ms · 0 crash · T8-LOAD-REPORT
805 tests
Firmware AuralinkCharger en Rust · 14 crates
Capacités
Ce que fait réellement le plan de coordination, avec une maturité honnêtement indiquée
11.2M
États TLA+ vérifiés de manière exhaustive par modèle formel (spécification formelle)
28–48ms
Inférence edge P50 TTFT ; préemption par classe de sécurité <10 ms
72h+
Fonctionnement autonome hors ligne, parité complète des fonctionnalités
5
Domaines : recharge de véhicules électriques, robotique, ville intelligente, énergie, IIoT
6
Types de ressources normatives dans ACS v0.1 (Power, Workspace, SignalPhase, Spectrum, TimeSlot, Token)
4
Classes de sécurité avec préemption à réduction progressive (TaperSpec) + chaîne d'audit SHA-256
Discipline d'ingénierie
Chaque chiffre ci-dessous est une entrée approuvée du registre de preuves de Hyperion, pas une estimation marketing.
78% autonomous incident resolution
the share of incidents the system resolves without a human step in the loop
400+ microservices
how many independently deployable services the system is decomposed into
~20 AI agents
how many distinct AI agents coordinate within the system
~1.7 million lines of code
the size of the codebase, measured in lines of code
À la date du 2026-07-11
Chaque chiffre est traçable jusqu'au registre de preuves. Consulter le registre de preuves
Domains
Le même protocole arbitre les revendications dans tous ces domaines. La maturité est indiquée honnêtement selon la matrice de conformité ACS.
OCPP 2.0.1 (les 48 types de messages), repli OCPP 1.6J, roaming OCPI 2.2.1, cadre ISO 15118-2/-20. Types de ressources Power + Token. Surface opérationnelle la plus mature. Statut : implémenté (certification OCTT en attente).
Runtime du pont ROS 2 avec détection de pose obsolète, failsafe et intégration e-stop. Types de ressources Workspace + Power. Prototypé en 2026-05. Statut : partiel — des lacunes documentées subsistent.
Réponse à la demande OpenADR 2.0b, coordination DER IEEE 2030.5. Types de ressources SignalPhase + Spectrum. Playbooks pour déploiements de villes intelligentes à grande échelle. Statut : démo.
La démonstration Energy Dance (`make demo-d1`) coordonne la batterie, le solaire et les charges de recharge sous un seul espace de revendications de type Power. Statut : partiel.
Maître de référence Modbus TCP. OPC UA dans la spécification, prévu pour l'implémentation. Types de ressources Spectrum + TimeSlot + Power. Statut : démonstration (OPC UA prévu).
Composition HVAC Power + Lighting SignalPhase. SDK smart-buildings prototypé en 2026 — le coordinateur arbitre entre la demande de puissance chauffage/refroidissement et la planification de l'éclairage.
ACS v0.1 en un coup d'œil
La spécification de coordination Auralink (ACS v0.1) définit un vocabulaire normatif réduit que chaque implémentation — coordinateur, chargeur, robot, tête de signalisation — utilise. Ci-dessous : les primitives sur lesquelles la spécification arbitre.
RESOURCEWatts sur un poste de transformation, une barre omnibus, un feeder ou un contacteur de chargeur individuel. Les revendications se composent à travers des bus hiérarchiques avec des limites physiques strictes.
RESOURCEMètres cubes sur un sol d'usine ou mètres carrés à une intersection. La primitive pour les réservations d'AGV robotisés et la préemption du trafic.
RESOURCEFenêtres temporelles sur une tête de signalisation de trafic. Arbitre la préemption des véhicules d'urgence, les demandes de priorité pour les transports en commun et les temporisations réactives à la demande.
RESOURCECanal RF + bande passante + temps. La primitive pour les environnements radio partagés — fermes, ports, mégaprojets avec un mélange de 5G/LoRa/Wi-Fi.
RESOURCEIntervalles planifiés discrets sur un actif physique partagé (cellule de production, bras robotisé, dock). Composable avec Power pour des plannings conscients de l'énergie.
RESOURCEPrimitive de comptabilité pour le roaming OCPI, les crédits d'énergie virtuels, le règlement V2G, l'allocation carbone. Le type de ressource 'soft'.
CLASS 1ESTOPs matériels, charge de secours pour hôpitaux, préemption pour la sécurité des vies. Déclenchement en moins de 10 ms, contourne le trajet aller-retour du coordinateur.
CLASS 2Prévention de l'emballement thermique, évitement des collisions, maintien de la stabilité du réseau. Préempte immédiatement la priorité et la routine, avec une piste d'audit complète.
CLASS 3Priorité de signalisation pour les véhicules de transport en commun, SLA des chargeurs de flotte, fenêtres de livraison pour les mégaprojets. Réduit progressivement les revendications de routine via TaperSpec.
CLASS 4Charge en arrière-plan, réservations de robots inactifs, demande hors pointe. Premier à être réduit lorsque des classes supérieures revendiquent. Par défaut pour les charges de travail opt-in.
Confiance dans la chaîne d'approvisionnement
Signature des images
Chaque image produite par Release est signée avec cosign. Le contrôleur d'admission Sigstore bloque les déploiements non signés au niveau du cluster.
Provenance + SBOM
Attestation de provenance SLSA sur chaque image. Attestation SBOM. scripts/verify-image.sh enchaîne les deux contrôles pour une vérification en aval.
Chaîne d'audit
Chaque claim+grant+preemption est chaîné en SHA-256 par locataire. Des ancrages de témoin Ed25519 périodiques sont publiés via NATS pour attestation externe.
Custodie des clés
Le signataire d'ancrage de témoin est pluggable. Fichier de clé Ed25519 scellé au repos avec une clé d'enveloppe gérée par l'opérateur. Pluggable matériel : TPM 2.0 / KMS / Vault Transit présentent tous la même interface.
Transport
SDK + coordinateur + distro utilisent tous des montages PEM fichier appariés. Métrique Prometheus coord_tls_enabled.
Secrets
Résolution des identifiants d'adaptateur via dispatcher URI (vault:// · file:// · env:// · literal:). ExternalSecret K8s avec ESO + Vault.
Plongée Approfondie
Plongez dans Auralink. Un NDA est requis pour y accéder.
Ces documents contiennent des détails d'architecture propriétaires, des benchmarks et des spécificités de mise en œuvre. Un NDA rapide protège les deux parties.
Pourquoi un plan de coordination est le primitif manquant pour l'IA physique distribuée, et ce qu'il débloque dans les domaines des véhicules électriques, de la robotique, des villes intelligentes et de l'IIoT.
ACS v0.1 — six types de ressources normatives, quatre classes de sécurité, préemption à réduction progressive, apprentissage fédéré sous confidentialité différentielle. Avec le modèle formel TLA+.
Architecture système complète : ~330 services de couche cloud, ~56 services edge, OS de chargeur en Rust, bundle agent en Go, topologie de déploiement, colonne vertébrale RAG, playbooks de mégaprojets.
Code Source
Consultez les dépôts GitHub et les modèles HuggingFace. Nécessite d'abord l'acceptation d'un NDA.
Veuillez signer le NDA avant de demander l'accès au code.
Partenariat
OCPP 2.0.1 + 1.6J aujourd'hui, pont ROS 2 prototypé, OpenADR 2.0b + IEEE 2030.5 en cours — à la recherche de partenaires sur les cinq domaines cartographiés opérationnellement.
Prise en charge OCPP 2.0.1 / 1.6J aujourd'hui, itinérance OCPI 2.2.1, cadre ISO 15118-2/-20. Le domaine de la recharge VE est la surface la plus mature opérationnellement — conçu pour un déploiement réseau avec des partenaires CPO.
Pont ROS 2 prototypé en 2026-05 avec stale-pose / failsafe / e-stop. Démos OpenADR 2.0b + IEEE 2030.5. Playbooks de mégaprojets pour des déploiements mixtes à grande échelle et industriels à très grande échelle sous apps/city/.
La spécification de coordination (ACS v0.1) est normative et stable ; les changements cassants nécessitent un RFC et une fenêtre de 90 jours. Construisez votre propre coordinateur, intégrez nos SDK ou exécutez l'implémentation de référence — aucun verrouillage pour le déploiement terrain.
Feuille de Route
Auralink est une implémentation de référence privée, en pré-production. La suite pour le plan de coordination.
Spécification normative pour six types de ressources, quatre classes de sûreté, préemption progressive. Coordinateur de référence en Go. Modèle formel TLA+ vérifié sur 11,2 M d'états. OCPP 2.0.1 + 1.6J, itinérance OCPI 2.2.1, cadre ISO 15118. Pont ROS 2 avec failsafe.
Tests en réseau réel OCPP 2.0.1 avec des partenaires CPO. Certification OCTT et interopérabilité ISO 15118. Validation matérielle sur NXP i.MX8M Plus (chargeur), AMD Ryzen AI Max+ et NVIDIA DGX Spark (edge). Premier essai sur le terrain d'un playbook de mégaprojet.
OpenADR 2.0b + IEEE 2030.5 pour les villes intelligentes promu de démonstration à implémenté. Adaptateur OPC UA pour l'IIoT passé de prévu à démonstration. Énergie site-wide (BESS+solaire) passée de partiel à implémenté. SDK pour développeurs (Python / TypeScript / Go) pour l'intégration de clients ACS.
Orchestration V2G (puissance bidirectionnelle), apprentissage fédéré avec confidentialité différentielle à grande échelle, agrégation robuste aux attaques byzantines sur des milliers de sites, suivi carbone (Scope 1/2/3), cryptographie post-quantique (migration NIST PQC).
Vous construisez une infrastructure physical-AI de production ou vous menez Auralink vers un déploiement réseau ? Le conseil Hyperion couvre la validation de pilote, le durcissement pour la production, la conformité à l'AI Act de l'UE et des missions d'intégration complètes.
Douze semaines vers un système multi-agent de qualité production servant de complément logiciel et plan de contrôle pour votre stack cyber-physique — intelligence de flotte, orchestration adjacente au SCADA ou opérations autonomes — avec le harness d'évaluation, la stack d'observabilité et le transfert SRE
Douze semaines pour durcir un pilote IA périphérique ou embarqué bloqué avant la production — sur matériel contraint, dans des enveloppes de sûreté, sous des exigences de latence et de fiabilité que le pilote n'était jamais censé respecter
La plupart des pilotes IA n'atteignent jamais la production. Recevez le guide de ceux qui y arrivent.
Désabonnez-vous à tout moment. Pas de spam, jamais.