fix: 系统性预防角色测试高频问题（5 方案落地）

P0 — 默认拒绝 + 强制守卫:
- 创建 routeConfig.ts 作为前端路由权限的单一真相源
- TypeScript 强制每个路由声明非空权限数组，不可能遗漏
- 自动生成 ROUTE_PERMISSIONS 和 FROZEN_ROUTES
- 修正 3 个前端权限码不匹配后端

P0 — CI 权限扫描:
- 新增 tools/check_permissions.py 校验脚本
- 发现并修复 tenant.manage 未注册问题

P1 — 聚合接口容错:
- erp-core 新增 safe_aggregate 工具函数
- 仪表盘统计 handler 重构

P1 — 状态机一致性自检:
- validation.rs 新增 3 个自检测试

fix: lint-staged eslint Windows 兼容性

crates/erp-core/src/aggregate.rs

@@ -0,0 +1,35 @@
+//! 聚合查询容错工具
+//!
+//! 仪表盘等聚合统计端点通常包含多个独立子查询。
+//! 单个子查询失败不应导致整个接口 500。
+//! `safe_aggregate` 让每个子查询独立容错，失败时返回默认值并记录警告日志。
+
+use std::future::Future;
+
+/// 执行一个子查询，失败时返回 `T::default()` 并记录警告日志。
+///
+/// # 使用场景
+///
+/// 仪表盘统计 API 聚合多个指标（患者数/咨询数/随访数等），
+/// 任一子查询失败不应阻塞其他指标返回。
+///
+/// # 示例
+///
+/// ```rust,ignore
+/// let patients = safe_aggregate(
+///     stats_service::get_patient_statistics(&state, tenant_id),
+///     "患者统计",
+/// ).await;
+/// ```
+pub async fn safe_aggregate<T: Default, E: std::fmt::Display>(
+    fut: impl Future<Output = Result<T, E>>,
+    label: &str,
+) -> T {
+    match fut.await {
+        Ok(v) => v,
+        Err(e) => {
+            tracing::warn!("聚合子查询 [{label}] 失败，使用默认值: {e}");
+            T::default()
+        }
+    }
+}

crates/erp-core/src/lib.rs

@@ -1,3 +1,4 @@
+pub mod aggregate;
 pub mod audit;
 pub mod audit_service;
 pub mod crypto;