임베디드 시스템 설계 검증을 위한 PRES+ 모델 등가성 검사

초록

본 논문은 임베디드 시스템 모델링에 사용되는 PRES+(Petri net 기반 표현) 모델을 FSMD(Finite State Machine with Datapath) 모델로 변환하는 알고리즘을 제안하고, 변환된 두 FSMD 모델 간의 등가성을 기존 검증 도구로 확인한다. 이를 통해 PRES+ 모델에 대한 등가성 검사 방법이 부재한 현 상황을 해소하고, 설계 단계에서의 형식적 검증 가능성을 제시한다.

상세 분석

PRES+ 모델은 전통적인 Petri Net에 토큰 데이터와 타이밍 정보를 추가함으로써 동시성, 데이터 흐름, 실시간 특성을 동시에 표현할 수 있는 강력한 수단이다. 그러나 토큰이 복합 정보를 담고 있기 때문에 상태 공간이 급격히 폭발하고, 기존의 등가성 검사 기법을 직접 적용하기 어렵다. 논문은 이러한 난점을 우회하기 위해 PRES+를 FSMD 형태로 변환하는 절차를 설계한다. 변환 과정은 (1) 각 프리플레이스와 트랜지션을 FSMD의 상태와 전이로 매핑, (2) 토큰에 포함된 변수와 연산을 FSMD의 레지스터와 연산 블록에 대응, (3) 타이밍 제약을 클럭 사이클 또는 지연 요소로 표현하는 단계로 구성된다. 특히, 동시 실행되는 트랜지션들의 상호 배제 관계를 분석해 순차적 전이 시퀀스로 재구성함으로써 FSMD의 결정론적 특성을 유지한다.

알고리즘의 핵심은 “동시성 보존”과 “데이터 의존성 유지” 두 축을 동시에 만족시키는 매핑 규칙에 있다. 저자는 토큰의 데이터 값을 함수형식으로 추출하고, 이를 FSMD의 조건식에 삽입함으로써 원본 PRES+ 모델이 수행하는 연산 로직을 정확히 재현한다. 또한, 타이밍 정보를 클럭 사이클 수로 근사화하면서도 최소한의 오버헤드만을 추가하도록 설계했다.

변환 후 검증 단계에서는 기존에 널리 사용되는 FSMD 등가성 검사 도구(예: Model Checking 기반)의 입력으로 활용한다. 논문은 실제 자동차 제어 시스템의 두 버전 PRES+ 모델을 변환하고, 변환된 FSMD 모델 간에 기능적 등가성을 확인함으로써 제안 방법의 실효성을 입증한다. 실험 결과, 변환 과정에서 발생하는 상태 수 증가가 제한적이며, 검증 시간도 기존 FSMD 검증과 비교해 크게 차이 나지 않음을 보고한다.

하지만 몇 가지 한계점도 존재한다. 첫째, 변환 알고리즘이 복잡한 비선형 연산이나 동적 토큰 생성·소멸을 포함하는 PRES+ 모델에 대해선 명시적인 처리 규칙이 부족하다. 둘째, 타이밍 정보의 근사화가 실제 실시간 시스템의 엄격한 시간 제약을 완전히 반영하지 못할 가능성이 있다. 셋째, 변환 후 발생하는 FSMD 모델의 규모가 원본보다 크게 증가할 경우, 기존 검증 도구의 스케일링 한계에 부딪힐 위험이 있다. 이러한 점들을 보완하기 위해서는 토큰 데이터 구조의 정형화, 동시성 보존을 위한 부분적 순서화 기법, 그리고 실시간 제약을 직접 다루는 확장 검증 엔진이 필요하다.

전반적으로 본 연구는 PRES+ 모델에 대한 형식적 등가성 검증을 가능하게 하는 첫 번째 시도이며, 임베디드 시스템 설계 흐름에 모델 변환 기반 검증 파이프라인을 도입하는 데 중요한 발판을 제공한다.