소프트웨어 검증을 위한 Lyapunov 불변량 최적화

초록

이 논문은 프로그램을 이산‑시간 동적 시스템으로 모델링하고, Lyapunov 함수와 유사한 “Lyapunov 불변량”을 합성하여 오버플로, 0으로 나눔, 유한 시간 종료 등 다양한 안전·성능 사양을 검증한다. 불변량 탐색을 선형/반정밀(semidefinite) 혹은 SOS 형태의 볼록 최적화 문제로 전환함으로써 자동화된 증명 체계를 제시한다.

상세 분석

본 연구는 제어 이론의 핵심 개념인 Lyapunov 함수의 구조적 특성을 소프트웨어 검증에 직접 적용한다는 점에서 혁신적이다. 저자는 프로그램을 상태공간 X와 전이함수 f 으로 정의된 이산‑시간 동적 시스템 S(X,f,X₀,X_∞) 으로 해석한다. 여기서 X₀는 초기 상태 집합, X_∞는 종료(또는 오류) 상태 집합이며, f는 프로그램 명령어에 대응하는 다값 매핑이다. 이러한 일반 모델 위에 두 가지 구체적 표현인 Mixed‑Integer Linear Model(MILM)과 Graph Model을 제시한다. MILM은 부울 변수와 연속 변수를 결합해 다항식·조각선형 함수를 정확히 표현할 수 있음을 보이며, Proposition 1을 통해 모든 조각선형 함수가 선형 등식과 이진 변수의 조합으로 재구성 가능함을 증명한다. Graph Model은 프로그램 흐름을 노드·엣지 형태의 유향 그래프로 나타내어, 각 엣지에 ‘전이 라벨’(다항식 변환)과 ‘패스포트 라벨’(조건 집합)을 부착함으로써 실제 실행 경로를 집합론적으로 기술한다.

Lyapunov 불변량은 상태 변수 x 에 대한 실함수 V(x) 로 정의되며, 모든 가능한 전이 x→x’ 에 대해 V(x’) − V(x) ≤ −α (α>0) 혹은 V(x’) ≤ V(x) 와 같은 차이 부등식을 만족한다. 이러한 부등식은 프로그램이 지정된 안전 영역을 벗어나지 않으며, 종료 조건에 도달함을 보장한다. 불변량을 찾는 문제는 V의 구조를 다항식(또는 선형) 형태로 제한하고, 부등식을 SOS(합의 제곱) 혹은 SDP(반정밀 프로그램) 형태의 선형 행렬 부등식(LMI)으로 변환함으로써 볼록 최적화 문제로 전환된다. 최적화가 성공하면 해당 V는 자동으로 사양에 대한 증명서(certificates)를 제공한다.

이 접근법의 장점은 기존 모델 체킹이나 추상 해석이 연속 변수·비선형 연산을 다루기 어려운 점을 극복하고, 수치적 최적화 도구(CVX, MOSEK 등)를 활용해 대규모 프로그램에도 적용 가능하다는 것이다. 또한, MILM과 Graph Model 사이의 변환이 가능하므로, 코드 수준에서 직접 모델을 생성하거나, 기존 형식 검증 도구와 연계할 수 있다. 그러나 몇 가지 한계도 존재한다. 첫째, 불변량 후보 함수의 차수·형태를 사전에 제한해야 하므로, 복잡한 비선형 동작을 완전히 포착하지 못할 위험이 있다. 둘째, 볼록 최적화 문제의 규모가 프로그램 변수 수와 제어 흐름 복잡도에 비례해 급격히 증가해 계산 비용이 크게 늘어날 수 있다. 셋째, 부동소수점 오차와 같은 수치적 불확실성을 정확히 모델링하려면 추가적인 추상화가 필요하며, 이는 보수성을 야기한다. 그럼에도 불구하고, Lyapunov 불변량을 통한 검증 프레임워크는 제어·컴퓨터 과학 간의 교차 연구에 새로운 길을 제시한다.