Federation Model
Federation koppelt autonome Compositions über klar deklarierte Kanäle. Keine Seite kann die andere implizit kontrollieren; Aktivierung ist nur mit gegenseitigem Consent und HITL-Gate erlaubt.
1. Was Federation im IIO-Kontext bedeutet
Federation ist eine Boundary-Form zwischen Compositions/Organisationen. Sie schafft Zusammenarbeit über Interfaces, ohne lokale Autonomie aufzugeben.
Autonomie bleibt erhalten
Mutual consent required
Scope-first governance
No unilateral federation
2. Harte Voraussetzungen
| Voraussetzung | Regel | Quelle |
|---|---|---|
| Mutual Consent | Beide Governance-Modelle müssen explizit zustimmen (channel_open TX auf beiden Seiten) | P-FED-001 |
| Scope Declaration | Scope muss bei Bildung deklariert und bleibt unveränderlich bis neuer Mutual-Consent-TX | P-FED-002 |
| Review Gate | Cross-Org Federation ist geschützt durch RG-003 (blocking=true) | review-gate-enforcement.yaml |
| Boundary Spec | Ein referenzierbarer Boundary-Spec ist Pflichtartefakt | RG-003 evidence_required |
3. RG-003: Federation Cross-Org Gate
Federation-Aktivierung ist ein blockierender Vorgang. Ohne gültige Evidence gibt es kein Continue.
| Feld | Anforderung |
|---|---|
| review_gate_id | RG-003 |
| actor_id | Human actor (nicht Agent) |
| timestamp_utc | ISO-8601, TTL 24h |
| boundary_spec_ref | Pflicht |
| human_decision_artefact | Pflicht (GO/NO-GO) |
| evidence_file_path | Pflicht |
missing_review_artefact → BLOCK
stale_artefact → BLOCK
non_human_actor → BLOCK
4. Formation Flow (minimal)
1. Composition A und B definieren Federation-Absicht
2. Scope deklarieren (was ist erlaubt, was nicht)
3. Delegates und boundary_spec_ref benennen
4. Auf beiden Seiten channel_open Transaction erzeugen
5. RG-003 Evidence einreichen (human GO/NO-GO)
6. federation_id in beiden Manifests eintragen
7. Federation aktiv (erst jetzt)Der kritische Punkt: Schritt 6 ist beidseitig notwendig. Einseitiger Eintrag aktiviert nichts.
5. Betriebsregeln nach Aktivierung
| Regel | Folge |
|---|---|
| Scope immutable by default | Änderung nur per neuem Mutual-Consent-TX |
| Delegate outside scope | Denied fail-closed |
| Federation Events | als Transactions mit Actor/Scope/Evidence loggen |
| Boundary breaches | kritisch eskalieren, Automation stoppen |
6. Beziehung zu Flows und Cosmos-Tier
Im Flow-Set ist federation-flow als eigenes Prozessmodell gelistet. Für Full-Federation als Cosmic-Feature gelten zusätzlich Capability- und Review-Anforderungen (RG-002 + Profile-Governance).
flow-registry:
- federation-flow
cosmos_feature_activation (RG-002):
full_federation -> requires risk_acknowledgement + human gate7. Premises
P-FED-001
P-FED-002
P-BOUND-001
P-BOUND-002
P-REVW-001
P-REVW-003
P-CAP-003