Wright에서 CSP로 변환하는 Wr2fdr 도구의 유지보수와 확장

초록

본 논문은 형식적 ADL인 Wright의 모델을 CSP로 변환하는 Wr2fdr 도구를 점검·수정하고, 기존에 지원되지 않았던 속성 1(컴포넌트 일관성)과 속성 8(구성 관리)을 구현한다. 또한 Wright의 의미 분석기를 추가하여 문법·의미 오류를 사전에 탐지할 수 있게 하였다. 실험 결과, 수정·확장된 도구가 기존 버전 대비 오류 검출률이 크게 향상되었으며, FDR 기반 검증 흐름이 원활히 동작함을 확인하였다.

상세 분석

Wr2fdr는 Wright 아키텍처 설명어를 CSP 프로세스로 자동 변환한 뒤, 모델 검사기 FDR에 입력해 네 가지 정형 속성을 검증하는 파이프라인이다. 원본 구현은 속성 2(커넥터 내부 일관성)와 속성 3(커넥터 외부 인터페이스 일관성)만을 지원했으며, 속성 1(컴포넌트의 포트·컴포넌트 간 일관성)과 속성 8(구성 전체의 관리 일관성)은 누락된 상태였다. 논문에서는 먼저 기존 코드베이스를 정적·동적 분석하여 두 가지 주요 버그를 발견한다. 첫 번째는 커넥터의 알파 변환 과정에서 이벤트 이름 충돌을 제대로 방지하지 않아, 동일 이름 이벤트가 서로 다른 컨텍스트에서 혼동되는 현상이었다. 두 번째는 CSP 프로세스 생성 시, 파라미터화된 알파 집합을 잘못 정렬함으로써 FDR가 기대하는 시그니처와 불일치가 발생했다. 이를 해결하기 위해 이벤트 네임스페이스를 명시적으로 구분하고, 알파 집합을 정렬하는 유틸리티 함수를 재구현하였다.

속성 1 구현에서는 Wright의 포트와 컴포넌트 간 연결 규칙을 CSP의 동기화 연산으로 모델링하였다. 구체적으로, 각 포트는 입력·출력 이벤트 집합을 갖고, 컴포넌트는 포트별 프로세스를 병렬 합성(parallel composition)한 뒤, 공통 이벤트에 대해 동기화(sync) 연산을 적용한다. 이를 통해 포트가 기대하는 행동과 실제 컴포넌트 구현이 일치하는지를 FDR가 자동으로 검증할 수 있다.

속성 8 구현은 구성 수준에서 여러 컴포넌트·커넥터가 조합될 때, 전역적인 리소스(예: 공유 데이터 채널)의 접근 규칙을 검증한다. 논문은 이를 위해 구성 전체를 하나의 CSP 프로세스로 축소하고, 각 서브시스템이 공유 이벤트를 사용할 때는 순서 보장 및 상호 배제(mutual exclusion)를 명시적으로 기술하였다. 이렇게 하면 구성 관리자가 정의한 정책 위반을 FDR가 탐지한다.

마지막으로, Wright의 문법·의미 분석기를 추가함으로써, 사용자가 작성한 Wright 파일이 파싱 단계에서 이미 오류를 보고받게 되었다. 의미 분석기는 포트와 역할 간 타입 호환성, 커넥터의 알파·베타 집합 일관성, 그리고 구성 선언의 존재 여부 등을 검사한다. 이 단계는 변환 전 오류를 사전에 차단함으로써 전체 검증 파이프라인의 효율성을 크게 높인다.

전체적으로, 논문은 기존 Wr2fdr의 구조적 결함을 정밀히 파악하고, 정형 속성 검증을 위한 CSP 모델링을 확장함으로써 도구의 실용성을 크게 향상시켰다. 특히, 자동화된 의미 분석기의 도입은 사용자의 실수로 인한 검증 실패를 최소화하고, Wright 기반 설계 흐름에 신뢰성을 부여한다.