메트로 시스템 개발 경험과 교훈

초록

본 논문은 메트로 시스템 사례를 Event‑B와 Rodin 플랫폼으로 모델링하면서 요구사항 정의부터 단계적 정제(refinement)까지의 과정을 기록한다. 대규모 시스템에 필요한 요구공학, 분해, 일반화 인스턴스화 플러그인 등을 활용한 실무적 노하우와 현재 도구가 부족한 부분, 강점·약점을 체계적으로 제시한다.

상세 분석

본 연구는 메트로 시스템이라는 복합적인 교통 인프라를 형식적 방법론인 Event‑B로 모델링함으로써, 정형 검증과 단계적 정제의 실제 적용 가능성을 검증한다. 초기 요구사항 단계에서는 UML‑like 텍스트와 표준화된 요구공학 플러그인을 이용해 트레이스 가능성을 확보했으며, 이는 이후 정제 단계에서 변수와 이벤트의 일관성을 유지하는 데 핵심 역할을 했다. 정제 과정에서는 시스템을 서브시스템(열차 제어, 신호 시스템, 승객 흐름)으로 분해하고, Rodin의 ‘Decomposition’ 플러그인을 활용해 각 서브모델을 독립적으로 검증하면서도 전체 모델과의 인터페이스를 명시적으로 정의하였다. 이때 발생한 주요 문제는 인터페이스 변수의 공유와 충돌 관리였으며, 이를 해결하기 위해 ‘Context Extension’과 ‘Machine Refinement’ 규칙을 엄격히 적용하고, 자동 생성된 PO(Proof Obligation)들을 수동 검토하여 누락된 전제조건을 보완하였다. 또한, 메트로 시스템의 반복적인 구조(예: 동일한 열차 제어 로직을 여러 구간에 적용) 때문에 ‘Generic Instantiation’ 플러그인을 도입해 파라미터화된 모델을 재사용하였다. 이 접근법은 모델 크기를 30 % 이상 감소시키고, 증명 부하를 크게 경감시켰다. 그러나 현재 Rodin은 대규모 모델에 대한 자동 증명 효율성이 떨어지고, 플러그인 간 호환성 문제가 빈번히 발생한다는 한계가 있다. 특히, 복합 이벤트 간의 동시성 검증은 수동 증명에 의존해야 하며, 시각화 도구가 부족해 이해관계자와의 커뮤니케이션이 어려웠다. 이러한 경험을 바탕으로 저자들은 플러그인 통합 프레임워크와 증명 자동화 알고리즘 개선, 그리고 모델 시각화·시뮬레이션 기능의 확장이 향후 도구 발전에 필수적이라고 제언한다.