안전 요구사항 형식화와 제어 자동자

초록

본 논문은 시스템 사고의 근본 원인인 비안전한 상호작용을 차단하기 위해, 인터페이스 자동자와 이를 제어하는 메타 자동자를 결합한 C‑System 모델을 제안한다. 안전 엔지니어가 정의한 제어 자동자는 제품 자동자의 동작을 메타 수준에서 제한함으로써, 안전 요구사항을 형식적으로 표현하고 자동으로 안전한 시스템을 합성한다.

상세 분석

C‑System은 기존 인터페이스 자동자(IA)와 별도로 설계된 제어 자동자(CA)로 구성된다. IA는 컴포넌트 간의 입력·출력 인터페이스와 전이 관계를 기술해 시스템의 기능적 행동을 모델링한다. 반면 CA는 “안전한 전이”만을 허용하는 메타 규칙 집합을 정의한다. 이 메타 규칙은 전이 라벨(행동)뿐 아니라 전이 전후의 상태 조합까지 고려하여, 위험한 상태 조합이 발생하지 않도록 제약한다. 논문은 두 자동자를 동기화(synchronization) 연산을 통해 곱집합 형태로 결합함으로써, 결과 C‑System이 IA의 모든 동작을 포함하되 CA가 허용한 전이만을 실제 실행 가능하게 만든다.

핵심 기여는 다음과 같다. 첫째, 안전 요구사항을 “제어 자동자”라는 형식적 객체로 승격시켜, 안전 엔지니어와 제품 엔지니어의 역할을 명확히 분리한다. 둘째, 제어 자동자는 메타 수준에서 동작하기 때문에, 기존 모델 검증 기법과 달리 사후 검증이 아니라 설계 단계에서 안전성을 보장한다. 셋째, 자동 합성 알고리즘은 IA와 CA의 동기화 연산만으로 안전 시스템을 생성하므로, 인간이 직접 위험 전이를 일일이 검토할 필요가 없어진다.

또한 논문은 전통적인 모델 체킹이 상태공간 탐색을 통해 안전성을 검증하는 반면, C‑System은 제어 자동자가 사전에 위험 전이를 차단함으로써 탐색 자체를 축소한다는 점을 강조한다. 이는 특히 대규모 분산 시스템에서 상태 폭발 문제를 완화시키는 장점으로 작용한다. 제어 자동자의 설계는 정규 언어와 자동자 이론에 기반하므로, 형식적 검증 도구와의 연계가 용이하고, 안전 요구사항의 변경이 발생할 경우 CA만 수정하면 전체 시스템에 자동으로 반영된다.

마지막으로, 논문은 C‑System 프레임워크를 적용한 사례 연구를 통해, 기존 시스템에 안전 제약을 추가했을 때 발생할 수 있는 기능 손실을 최소화하면서도 모든 정의된 위험 시나리오를 차단함을 실증한다. 이는 안전 요구사항을 형식화하고 자동화된 합성을 제공하는 접근법이 실제 산업 현장에서 실용적임을 입증한다.