안전‑중요 시스템 요구사항 형식화와 검증 방법론

본 논문은 안전‑중요 시스템 개발 과정에서 요구사항 검증이 설계 검증에 비해 상대적으로 미비한 현황을 지적하고, 이를 보완하기 위한 포괄적인 방법론과 구현 기술을 제시한다. 먼저, 요구사항이 “올바른지”에 대한 정의가 부재하고, 도메인 전문가가 자연어로 기술한 사양을 형식화하는 과정에서 높은 진입 장벽이 존재한다는 문제점을 제시한다. 이를 해결하기 위해 저자들은 세 가지 핵심 요소를 설계하였다. ① **표현력이 풍부한 사양 언어**: 1차‑차량 논리, 선형 시간 논리, 하이브리드 논리를 결합한 언어를 정의한다. 1차‑차량 논리는 객체와 그 관계, 복합 데이터 타입을 기술하고, 시간 논리는 상태 전이와 지속성을 표현한다. 하이브리드 확장은 연속 변수의 미분(d/dt)과 이산적 이벤트를 동시에 모델링할 수 있게 하여, 열차 속도·가속도와 같은 물리적 연속 현상을 자연스럽게 서술한다. 이 언어는 클래스 다이어그램을 기반으로 시그니처를 정의하고, “next”, “der”와 같은 연산자를 제공함으로써 도메인 전문가가 직관적으로 요구사항을 기술하도록 돕는다. ② **자동 포화가능성 검사 절차**: 제안된 언어는 이론적으로는 불완전하고 결정 불가능한 부분이 존재하지만, 실용적인 검증을 위해 두 단계의 근사화 전략을 적용한다. 첫째, 객체 수를 고정하고 양화자를 제거해 양화자‑없는 식으로 변환한다. 둘째, 하이브리드 식을 이산 시간 논리식으로 변환하고, 이를 공정 전이 시스템(Fair Transition System, FTS)으로 컴파일한다. 이후 Bounded Model Checking(BMC)과 Counterexample‑Guided Abstraction Refinement(CEGAR) 루프를 결합해 언어의 비공집합성을 검사한다. BMC는 라소 형태의 유한 트레이스를 탐색해 포화가능성을 빠르게 확인하고, CEGAR은 추상화된 시스템에서 발생한 허위 경로를 실제 시스템에 매핑해 정제함으로써 불완전성을 보완한다. 이 과정에서 SMT(Satisfiability Modulo Theories) 솔버를 활용해 연속 변수와 정수 변수의 제약을 동시에 처리한다. ③ **세 단계 검증 워크플로우**: (1) **비공식 분석** 단계에서는 요구사항을 조각화하고, 의존 관계에 따라 구조화한다. (2) **형식화** 단계에서는 각 조각을 위에서 정의한 사양 언어의 공식으로 변환하고, 비공식 텍스트와의 추적성을 유지한다. (3) **형식 검증** 단계에서는 세 가지 검증 문제를 정의한다. - **논리 일관성**: 모든 요구사항 조각이 동시에 만족 가능한지 확인한다. - **시나리오 호환성**: 특정 운행 시나리오(예: 급제동, 통신 장애)가 요구사항과 충돌하지 않는지 검사한다. - **속성 함의**: 기대하는 안전 속성(예: 속도 제한 위반 방지)이 요구사항에 의해 내포되는지 검증한다. 각 검증은 포화가능성 검사에 의해 수행되며, 실패 시 도구는 (a) 만족/위반 트레이스, (b) 최소 모순 집합(Unsat core) 등을 제공해 도메인 전문가가 원인을 빠르게 파악하고 수정할 수 있게 한다. 논문은 이 전체 방법론을 **ETCS(European Train Control System)** 프로젝트에 적용하였다. ETCS는 열차 속도·거리 감시, 양방향 통신, 다중 국가 간 상호 운용성을 요구하는 복합 안전‑중요 시스템이다. 프로젝트 팀은 실제 요구사항 문서를 추출·분류하고, 제시된 언어와 도구 체인(요구사항 관리, 모델 기반 설계, NuSMV 기반 모델체킹)을 통합해 형식화·검증 파이프라인을 구축했다. 검증 결과, 요구사항 간 모순(예: 속도 제한과 급제동 요구사항이 동시에 충족될 수 없는 경우)과 과도한 제약(특정 시나리오에서 요구사항이 지나치게 제한되어 정상 운행이 불가능한 경우)을 발견하였다. 또한, 속성 함의 검증을 통해 설계자가 기대한 안전 속성이 실제 요구사항에 충분히 포함되어 있음을 확인하거나, 부족한 경우를 식별했다. 이러한 피드백은 요구사항 수정·재검증 사이클을 통해 시스템 설계 초기 단계에서 품질을 크게 향상시켰다. 마지막으로 논문은 기존 연구와 비교해, 복합 논리와 하이브리드 모델링을 동시에 지원하면서 자동화된 검증을 제공한다는 점에서 차별성을 강조한다. 기존의 설계 검증 도구는 주로 1차‑차량·시간 논리에 국한되었으며, 요구사항 단계에서는 수동적 검증이나 제한된 형식화만 가능했다. 반면, 본 접근법은 도메인 전문가가 비교적 친숙한 언어로 요구사항을 기술하고, 자동 포화가능성 검사와 진단 정보를 통해 실시간 피드백을 제공한다. 결론적으로, 이 연구는 안전‑중요 시스템 개발에서 요구사항 단계의 형식화·검증을 실용적으로 구현한 사례를 제시함으로써, 전체 개발 프로세스의 신뢰성을 높이고 비용·시간 절감을 가능하게 한다.