breakpilot-compliance/backend-compliance/reference_scenarios/journey_matcher_demo.md

# Journey Matcher — Delta -> Journey (an echten Pattern validiert)

_Der Matcher fragt NICHT „welche Journey passt?", sondern „welche bekannten Journeys ERKLÄREN dieses Capability Delta?". Er sieht nur das Delta — keine Zertifikate, kein Regelwerk, kein Ziel. Journey = Erklärung, nicht Ursache. Deterministisch, kein ML/Embedding/LLM. Synthetischer Kunde, keine echten Namen._

## Eingang: ein echtes Capability Delta
- Multi-zertifiziertes Unternehmen will **CRA + MaschinenVO** → **9 fehlende Capabilities** (aus RS-005).
- Der Matcher bekommt **nur diese 9 Capabilities** — sonst nichts.

## Delta -> Journey: Rangliste (Anteil des Deltas, den die Journey erklärt)
> 3 Journeys erklaeren das Delta; beste: ISO27001 -> CRA + MaschinenVO (100% des Deltas)

| Journey (Capability-Cluster) | erklärt | Anteil |
|---|---|---|
| **ISO27001 -> CRA + MaschinenVO** | 9 von 9 fehlenden Capabilities | 100% |
| **ISO27001 -> CRA** | 5 von 9 fehlenden Capabilities | 56% |
| **ISO9001 -> CRA** | 4 von 9 fehlenden Capabilities | 44% |
| **ISMS -> TISAX** | 0 von 9 fehlenden Capabilities | 0% |

## Warum „ISO27001 -> CRA + MaschinenVO"? — auditierbar, keine Blackbox
- **Erklärte Capabilities (9):** `machine_safety_risk_assessment`, `mechanical_safety_and_guards`, `operating_instructions_and_safety_information`, `product_cyber_risk_assessment`, `protection_against_corruption_of_safety_functions`, `public_security_advisories` …
- **Nicht erklärt (Rest-Delta):** — (Journey erklärt das GESAMTE Delta)
- **Journey reicht darüber hinaus:** `ce_conformity_assessment_and_technical_documentation`, `coordinated_vulnerability_disclosure`, `exploited_vuln_and_incident_reporting`
- **Kontext-Signale:** gleiche Zielart

## Der Paradigmenwechsel

> Reihenfolge ist jetzt **`Goal → Required → Delta → Journey`**, nicht mehr `Goal → Journey → Delta`. Die Journey ist die **Erklärung** des Deltas. Der Matcher ist bewusst **dumm + deterministisch** (reine Mengenüberlappung) und damit auditierbar; ein lernendes Ranking kann später DAVOR gesetzt werden. Drei austauschbare Funktionen: `Evidence→Capability` (Company 2A) · `Capability→Delta` (RS-005) · **`Delta→Journey` (dieser Matcher)**. In keiner kommt „Regulation" als Sonderfall vor — CRA, TISAX, Ausschreibung, OEM-Spec und Umweltziel sind nur verschiedene Quellen des Required State.