제약 기반 무한대기 검사와 ProB의 산업 적용

초록

본 논문은 ProB 제약 솔버를 이용해 고수준 사양의 무한대기(Deadlock) 여부를 검증하는 방법을 제시한다. 직접적인 모델 검사와 달리 제약 기반 접근은 상태공간 크기에 민감하지 않으며, Bosch의 크루즈 컨트롤 사례에서 수십 페이지 규모의 무한대기 자유 제약을 몇 초 만에 반례를 찾아냈다. 논문은 직접 접근의 한계와 이를 보완하기 위한 알고리즘 개선(가시성 분할, 가정 단순화, 관심 사전 지정) 및 Prolog 커널의 재구현(멤버십·산술 제약 재구성) 등을 상세히 기술한다. SAT/SMT와의 비교 실험에서도 제약 기반 방식이 우수함을 확인한다.

상세 분석

이 논문은 형식 방법론에서 무한대기 검증이 모델 검사에 비해 갖는 근본적인 한계를 정확히 짚어낸다. 모델 검사는 상태공간이 무한하거나 전이 수가 폭발적으로 증가할 때 실행 가능성이 급격히 떨어지며, 특히 초기화 이후 가능한 모든 상태를 탐색해야 하는 경우 비현실적인 시간·메모리를 요구한다. 반면 제약 기반 접근은 무한대기 자유를 나타내는 논리식(Deadlock‑Freedom, DLF)을 직접 만족 여부로 전환함으로써, 실제 실행 경로와 무관하게 모델 자체의 논리적 일관성을 검증한다. 핵심은 A∧I∧¬G₁∧…∧¬Gₙ 형태의 제약식(DLN)을 구성하고, 이를 ProB의 제약 솔버에 넘겨 SAT와 유사한 탐색을 수행하는 것이다. 그러나 초기 설계에서는 변수·상수의 불필요한 포함, 사용자가 관심 없는 무한대기 유형, 존재량자(∃)에 의한 비효율적 제약 전파 등 세 가지 주요 문제점이 드러났다. 이를 해결하기 위해 논문은 다음과 같은 개선을 제안한다. 첫째, 제약식에서 실제 가드와 연관된 변수·상수만을 추출해 연결된 서브컴포넌트로 분할함으로써 중복 연산을 제거한다. 둘째, 사용자가 관심 있는 상태(P)만을 추가함으로써 무한대기 탐색 범위를 제한하고, 불필요한 이벤트를 사전 필터링한다. 셋째, 가드에 포함된 존재량자를 정형화된 패턴(예: ∃x·x∈S → S≠∅)으로 단순화하는 전처리 단계를 삽입한다. 이러한 전처리는 Prolog 기반의 재귀적 제약 전파와 CLP(FD) 정수 제약을 효율적으로 결합하도록 설계되었으며, 특히 멤버십·산술 제약을 재구성(reification)하여 논리식과 수치 연산을 동일한 해석기에서 동시에 처리한다. 결과적으로 알고리즘은 “AI ∧ Deadlock”이라는 복합 제약을 서브컴포넌트별로 독립적으로 해결하고, 가장 빈번히 사용되는 서브식부터 탐색 순서를 재정렬함으로써 탐색 깊이를 크게 줄인다. 실험에서는 Bosch 크루즈 컨트롤 모델의 30페이지 규모 무한대기 자유 제약을 2초 이내에 반례를 도출했으며, 동일 모델에 SAT·SMT 솔버를 적용했을 때는 시간 초과 혹은 메모리 부족으로 실패했다. 이는 제약 기반 방식이 고차원 집합·관계 연산을 자연스럽게 다루는 ProB의 강점을 입증한다. 또한, 다른 산업 사례(철도 네트워크, 데이터 검증)에서도 동일 기법이 성공적으로 적용된 점을 들어, 제약 기반 무한대기 검증이 실무에 바로 활용 가능한 수준임을 강조한다. 전체적으로 논문은 형식 검증 도구들의 상호 보완적 사용—모델 검사, 정리 증명, 제약 해결—을 통해 복잡 시스템의 안전성을 확보하는 체계적 방법론을 제시한다.