신뢰성 시스템 사양 도출 방법론

초록

본 논문은 시스템의 형식 사양을 체계적으로 도출하기 위한 방법을 제시한다. 핵심 아이디어는 정상 동작과 비정상(오류) 동작을 각각 별도의 계층으로 구분하는 Layered Fault Tolerant Specification(LFTS)와 오류 주입기(Error Injector, EI)를 활용한 환경 간섭 모델링이다. DEPLOY 프로젝트의 교통·자동차 사례를 통해 방법론의 적용 가능성을 검증하였다.

상세 요약

이 연구는 전통적인 사양 기술이 “무엇을 해야 하는가”에 집중하는 반면, 신뢰성(Dependability) 요구를 만족시키기 위해서는 “오류가 발생했을 때 어떻게 복구·대응할 것인가”를 명시해야 함을 강조한다. 이를 위해 저자들은 먼저 ‘방법(method)’이라는 메타 개념을 정의하고, 기존에 언어와 도구는 풍부하지만 체계적인 방법론이 부족하다는 점을 비판한다. 그 다음 제안된 LFTS는 사양을 최소 두 개의 층으로 나눈다. 1층은 정상 동작을 기술하고, 2층 이상은 비정상 상황을 기술한다. 비정상 층에서는 오류 주입기(EI)를 도입해 환경으로부터 발생 가능한 간섭을 모델링한다. EI는 의도적으로 오류를 발생시키는 가상의 컴포넌트로, Rely‑Guarantee 프레임워크와 결합해 시스템이 견뎌야 할 인터페이스와 보장을 명시한다. Rely‑Guarantee는 병행 시스템에서 상호 간섭을 수학적으로 다루는 기법으로, 정상 층의 보장은 “보장(Guarantee)”으로, 비정상 층의 가정은 “신뢰(Rely)”로 표현된다. 이렇게 하면 설계자는 각 층별로 독립적인 검증을 수행할 수 있어 복잡도가 크게 감소한다. 논문은 또한 DEPLOY 프로젝트의 두 사례를 통해 LFTS와 EI가 실제 시스템 설계에 어떻게 적용되는지를 보여준다. 교통 시스템에서는 신호 제어 로직을 정상 층에 두고, 센서 결함이나 통신 지연을 EI가 생성하는 오류 시나리오로 모델링하였다. 자동차 사례에서는 제동 제어 알고리즘을 정상 사양으로, 전자 제어 유닛(ECU) 고장 및 외부 전자기 간섭을 EI가 주입하는 비정상 시나리오로 다루었다. 실험 결과, 각 층별 사양 검증이 독립적으로 수행될 수 있었으며, 오류 시나리오에 대한 대비책을 사전에 설계함으로써 시스템 전체의 신뢰성을 향상시켰다. 이와 같이 LFTS와 EI를 결합한 방법론은 기존의 단일 사양 접근법이 놓치기 쉬운 오류 전파 경로를 체계적으로 포착하고, 형식 검증 도구와의 연동을 용이하게 만든다. 또한, 방법론 자체가 언어에 독립적이므로 다양한 모델링 언어와 도구에 적용 가능하다는 장점이 있다. 그러나 EI의 설계가 실제 환경을 얼마나 정확히 반영하느냐에 따라 검증 효율이 좌우될 수 있으며, 복수의 비정상 층을 관리하는 복잡성도 남는다. 향후 연구에서는 EI 자동 생성 기법과 층 간 인터페이스 자동 추출 방법을 개발해 방법론의 실용성을 더욱 높일 필요가 있다.