FTOS‑Verify: 결함 허용 시스템 비기능 특성 검증 도구

초록

FTOS‑Verify는 FTOS 모델링 환경에 비기능, 특히 결함 허용 메커니즘의 정형 검증을 통합한 Eclipse 플러그인이다. 결정론적 가정을 수학적으로 정의하고, 이를 만족하는 시스템의 로컬 속성이 동기식 검증 모델에서도 보존됨을 증명함으로써 하드웨어 검증 기법을 적용한다. 프로토타입 구현과 사례 연구를 통해 실용성을 입증하였다.

상세 분석

본 논문은 FTOS(Fault‑Tolerant Operating System)라는 모델 기반 설계 도구가 제공하는 코드 자동생성 기능을 비기능 요구사항, 특히 결함 허용 메커니즘에 대해 정형적으로 검증할 수 있는 프레임워크를 제시한다. 핵심 아이디어는 Giotto‑계열의 결정론적 실시간 시스템 모델에 ‘deterministic assumption(결정론적 가정)’을 추가함으로써, 비동기식·분산형 시스템에서도 동일한 로컬 속성이 동기식 시뮬레이션 모델에 그대로 매핑된다는 점을 보이는 것이다. 이를 위해 저자들은 FTOS 모델을 순수 수학적 구조(시스템 상태, 이벤트, 타이밍 제약 등)로 추상화하고, 결함 가설(fault hypothesis)과 결함 허용 메커니즘을 명시적 함수와 관계식으로 표현한다. 결정론적 가정은 “같은 입력·동작 순서에 대해 언제나 동일한 출력이 발생한다”는 조건을 의미하며, 이는 Giotto의 ‘time‑triggered’ 특성과 결합해 결함 발생 시에도 시스템이 예측 가능한 동작을 유지하도록 보장한다.

이러한 수학적 기반 위에 저자들은 두 가지 주요 정리를 제시한다. 첫째, 결정론적 가정을 만족하는 시스템은 비동기식 실행 모델을 동기식 ‘verification model’로 변환해도 로컬 속성(예: 특정 시점에 특정 변수값이 유지됨)이 보존된다는 정리이다. 둘째, 이 변환 과정에서 결함 가설에 따른 오류 시나리오를 동일하게 매핑할 수 있어, 기존 하드웨어 검증 도구(예: model checking, SAT/SMT solver)를 그대로 활용할 수 있음을 보인다. 결과적으로 복잡한 결함 허용 메커니즘을 설계 단계에서 자동으로 검증함으로써, 설계자들이 직접 오류 모델을 추적하거나 수동으로 테스트 케이스를 작성하는 부담을 크게 경감한다.

구현 측면에서는 Eclipse 기반 FTOS 플러그인으로 FTOS‑Verify를 개발하였다. 사용자는 FTOS 모델링 툴 내에서 결함 허용 메커니즘(예: 복제, 체크포인팅, 재시작)과 결함 가설을 정의하고, ‘Verify’ 버튼을 통해 자동으로 동기식 검증 모델을 생성한다. 생성된 모델은 NuSMV·UPPAAL·CBMC 등 기존 검증 엔진에 전달되어 속성 검증이 수행된다. 논문은 세 가지 사례 연구(자동차 전자제어, 항공기 비행 제어, 산업용 로봇)를 통해 도구의 적용 가능성을 입증한다. 각 사례에서 결함 허용 메커니즘이 설계 의도대로 동작함을 확인했으며, 특히 복제된 제어 루프가 특정 센서 결함 상황에서도 안정적으로 동작함을 모델 체킹으로 증명하였다.

이러한 접근은 기존 FTOS가 제공하던 ‘코드 자동생성’과 ‘시뮬레이션 기반 검증’ 사이의 격차를 메우며, 설계 초기 단계에서 비기능 요구사항을 정형적으로 검증할 수 있는 새로운 패러다임을 제시한다. 다만, 결정론적 가정이 모든 실시간 시스템에 적용 가능하지 않을 수 있고, 복잡한 비결정론적 스케줄링이나 동적 리소스 할당이 포함된 경우 추가적인 확장이 필요하다는 한계점도 논의한다.