주기 제어 시스템을 위한 모드 다이어그램 모델링 프레임워크 MDM

초록

본 논문은 우주선 및 자동차와 같은 안전‑중심 임베디드 분야에서 널리 사용되는 주기 기반 제어 시스템을 위한 도메인 특화 모델링 언어 MDM을 제안한다. MDM은 모드와 전이, 주기적 실행 흐름을 시각적으로 표현하며, 구간 논리 기반의 속성 기술 언어와 결합해 통계적 모델 검증을 수행한다. 실제 산업 사례에 적용해 두 건의 설계 결함을 발견함으로써 실용성을 입증한다.

상세 분석

MDM은 “Mode Diagram Modeling”의 약자로, 전통적인 상태 머신이 주기적 실행을 명시적으로 다루지 못하는 한계를 보완한다. 각 모드는 외부 관측 가능한 시스템 상태와 내부 계산 작업을 동시에 포함하며, 모드 내부는 “주기(Period)”, “작업(Task)”, “조건(Guard)” 등 세부 요소로 구조화된다. 이러한 구조는 설계자가 시스템의 시간적 행동을 직관적으로 파악하도록 돕고, 복잡한 실시간 제어 로직을 계층적으로 분리한다는 장점을 제공한다.

논문은 MDM의 형식적 의미론을 두 단계로 정의한다. 첫 번째 단계는 모드 다이어그램 자체를 유한 상태 전이 시스템으로 해석하고, 두 번째 단계는 각 모드 내부의 작업 흐름을 연산적 의미(예: 변수 업데이트, 함수 호출)와 연결한다. 이를 통해 모델 전체가 시간 축을 따라 정확히 시뮬레이션될 수 있다.

시간적 요구사항을 표현하기 위해 저자들은 구간 논리(Interval Temporal Logic, ITL)를 기반으로 한 속성 기술 언어를 설계하였다. 구간 논리는 “시작-끝” 구간 내에서의 상태 변화를 서술할 수 있어, “한 주기 내에 센서 값이 일정 범위에 머물러야 한다”와 같은 요구를 자연스럽게 기술한다. 기존의 LTL이나 CTL과 달리 구간 논리는 연속적인 시간 구간을 직접 다루므로, 주기 제어 시스템의 특성을 보다 정확히 포착한다.

검증 단계에서는 전통적인 모델 체킹이 상태 폭발 문제에 직면하는 것을 회피하기 위해 통계적 모델 검증(Statistical Model Checking, SMC)을 채택한다. MDM 모델을 다수의 시뮬레이션 실행으로 샘플링하고, 구간 논리 속성에 대한 만족 확률을 추정한다. 이 방법은 확률적 보증을 제공하면서도 복잡한 실시간 계산을 포함한 대규모 모델에 적용 가능하도록 한다.

실제 산업 파트너와 공동으로 수행한 사례 연구에서는 두 개의 우주선 제어 시스템에 MDM을 적용하였다. 첫 번째 사례는 자세 제어 모드에서 주기적 센서 융합 로직을 모델링했으며, 시뮬레이션 결과 “특정 주기 내에 각도 오차가 허용 한계를 초과한다”는 결함을 발견했다. 두 번째 사례는 엔진 점화 시퀀스에서 타이밍 조건이 잘못 설정된 것을 확인하였다. 두 결함 모두 설계 단계에서 수정되어, 실제 배치 전 위험을 크게 감소시켰다.

기술적 기여는 다음과 같다. (1) 주기적 실행을 기본 개념으로 포함한 도메인 특화 시각 모델링 언어 MDM의 정의, (2) 구간 논리 기반 속성 언어와 통계적 모델 검증을 결합한 검증 흐름, (3) 실제 산업 사례에 대한 적용 및 설계 결함 탐지 실증. 한편, 제한점으로는 현재 MDM이 단일‑스레드, 단일‑프로세서 환경에 초점을 맞추고 있어 멀티코어 동시성이나 분산 제어 시스템에 대한 확장은 추가 연구가 필요하다. 또한, 통계적 검증의 정확도는 샘플 수와 신뢰 구간 설정에 크게 의존하므로, 안전‑중요 시스템에서는 보완적인 형식 검증 기법과의 혼합 사용이 권장된다.