시스템 수준 형식 사양으로부터 제어 소프트웨어 자동 합성

초록

본 논문은 이산시간 선형 하이브리드 시스템(DTLHS) 모델과 AD 변환 비트 수, 안전·활성화 요구를 입력으로 받아, WCET가 AD 비트 수에 선형적으로 의존하고 형식 사양을 만족하는 제어 소프트웨어를 자동으로 생성하는 알고리즘과 도구 QKS를 제시한다. 버크 DC‑DC 컨버터와 역진자 사례를 통해 실험적 타당성을 검증한다.

상세 분석

이 논문은 임베디드 시스템에서 제어 소프트웨어와 물리 플랜트를 하나의 폐루프 시스템으로 바라보고, 전통적인 제어 설계와 소프트웨어 구현을 분리하는 방식의 한계를 지적한다. 특히 양자화(AD 변환)와 실시간 제약(WCET)이 설계 후반에야 고려되어 설계 재작업을 초래하거나 설계 공간 탐색을 제한한다는 점을 강조한다. 이를 해결하기 위해 저자들은 플랜트를 DTLHS 형태로 모델링한다. DTLHS는 연속·이산 상태 변수를 포함하고, 전이 관계를 선형 제약식들의 합성으로 표현한다. 시스템 수준 안전·활성화 요구는 선형 술어 집합으로 기술되며, 이는 목표 상태 집합(활성화)과 금지 상태 집합(안전)으로 구분된다. 논문은 이러한 모델에 대해 제어 존재 여부가 일반적으로 불가능(undecidable)함을 증명하고, 따라서 완전한 알고리즘 대신 충분조건·필요조건을 제공하는 반완전(semicomplete) 알고리즘을 설계한다. 핵심 아이디어는 양자화된 상태공간을 격자 형태로 이산화하고, 각 격자점에 대해 제어 가능 영역을 역추적(backward reachability)하는 것이다. 이 과정에서 MILP 솔버와 BDD(CUDD) 라이브러리를 활용해 선형 제약식의 만족성을 검사하고, 상태 전이 그래프를 효율적으로 구축한다. 알고리즘이 충분조건을 만족하면, 두 개의 C 함수인 Control_Law와 Controllable_Region을 자동 생성한다. Control_Law는 양자화된 피드백 제어기를 구현하며, 실행 시간은 AD 비트 수에 선형적으로 제한된다(WCET = O(n)). 또한, 이 함수는 모델 불확실성(파라미터 변동)에도 강인하도록 설계되었다. 도구 QKS는 이러한 흐름을 통합하여, 입력 모델·양자화·형식 사양을 받아 자동으로 코드와 제어 가능 영역을 출력한다. 실험에서는 10‑bit 양자화 버크 DC‑DC 컨버터와 역진자 시스템에 적용했으며, 40시간 이내 CPU 시간과 100 MB 메모리로 제어 로직을 합성했다. 합성된 제어기의 정착 시간과 리플은 기존 전력 전자 커뮤니티에서 보고된 결과와 비교해 경쟁력을 보였으며, 실시간 제약을 만족하는 WCET도 검증되었다. 전체적으로 이 연구는 형식 검증과 실시간 제약을 동시에 고려한 제어 소프트웨어 자동 합성 프레임워크를 제시함으로써, 설계 초기 단계에서 설계 공간을 체계적으로 탐색하고, 재설계 비용을 크게 절감할 수 있음을 입증한다.