분산 이산 이벤트 시스템의 액추에이터·센서 결함에 대한 협조 제어와 내성 설계

초록

본 논문은 다중 서브시스템으로 구성된 분산 이산 이벤트 시스템에서 액추에이터와 센서의 영구적 결함을 모델링하고, 각 서브시스템에 대한 지역적 결함 내성 감독자를 설계한다. 또한, 가정-보장(assume‑guarantee) 프레임워크를 활용해 결함 발생 전후의 전역 사양을 만족하도록 협조 제어 구조를 제시한다. 다중 로봇 협업 사례를 통해 제안 방법의 실효성을 검증한다.

상세 분석

이 논문은 분산형 DES(Discrete Event System)에서 발생 가능한 두 종류의 결함—액추에이터 결함과 센서 결함—을 각각 ‘제어 가능성 상실’과 ‘관측 가능성 상실’로 정의한다. 액추에이터 결함은 특정 로컬 제어 이벤트 η가 갑자기 비제어 가능( uncontrollable) 상태가 되는 것으로 모델링되며, 이는 기존 감독자가 해당 이벤트를 차단할 수 없게 만든다. 센서 결함은 특정 관측 이벤트 σ가 감독자에게 완전히 숨겨지는 상황으로, 해당 이벤트를 관측 가능한 집합에 포함시키지 못하게 된다. 두 결함 모두 영구적이며 복구되지 않는다고 가정한다.

논문은 먼저 각 서브시스템 Gi에 대해 정상 상태에서의 감독자 Si를 합성하고, 전역 사양 L과 로컬 안전 사양 L_safe_i를 만족하도록 설계한다. 이후 결함이 발생하면, 해당 서브시스템은 ‘결함 프루닝(fault‑pruned)’된 모델 GF_i 로 전환된다. 여기서 핵심은 GF_i에 대해 새로운 지역 감독자 SF_i 를 합성하여 L_safe_i 를 여전히 보장하도록 하는 것이다. 이를 위해 저자는 기존의 제어 가능성(controllability)과 관측 가능성(observability) 조건을 결함 상황에 맞게 재정의하고, 각각의 충분·필요 조건을 정리한다. 특히, 액추에이터 결함에 대해서는 손실된 제어 가능성을 고려한 ‘확장된 제어 가능성’ 조건을, 센서 결함에 대해서는 관측 가능성 손실을 보완하기 위한 ‘안전 진단(safe diagnosis)’ 메커니즘을 제시한다.

다중 결함 상황을 다루기 위해 저자는 ‘스위칭 DES’ 모델을 도입한다. 이는 여러 결함 모드가 순차적으로 발생할 수 있음을 가정하고, 각 모드 전환 시점에 새로운 감독자를 재합성하거나 기존 감독자를 재구성하도록 설계한다. 이렇게 하면 시스템은 결함이 누적되더라도 단계별로 안전성을 유지할 수 있다.

전역 사양을 만족시키기 위한 협조 제어 단계에서는 assume‑guarantee 합성 기법을 적용한다. 각 서브시스템은 자신의 로컬 사양을 만족함과 동시에, 다른 서브시스템이 제공할 ‘가정(assumption)’을 기반으로 ‘보장(guarantee)’을 생성한다. 결함 발생 후에도 이러한 가정‑보장 관계가 유지되도록, 필요 시 지역 감독자를 추가적으로 제한하거나 강화한다. 이 과정은 모듈러 검증(modular verification)과 유사하게 복잡도를 크게 낮추면서 전역 사양 L을 달성한다는 장점을 가진다.

마지막으로, 다중 로봇 협업 시나리오를 통해 제안된 프레임워크를 실험한다. 로봇 각각이 이동, 물체 집기, 통신 등 여러 액추에이터와 센서를 보유하고 있으며, 일부 로봇에서 액추에이터 고장(예: 휠 구동 불능)과 센서 고장(예: 거리 센서 손실)이 동시에 발생한다. 실험 결과, 결함 후에도 각 로봇이 로컬 안전 규칙을 위반하지 않으며, 전체 팀이 목표 지점에 도달하는 전역 사양을 만족함을 확인한다.

이 논문의 주요 기여는 (1) 액추에이터와 센서 결함을 각각 제어 가능성 상실·관측 가능성 상실로 정형화한 점, (2) 결함 상황에 맞는 충분·필요 조건을 제시하고 지역 감독자를 체계적으로 합성한 점, (3) 스위칭 DES와 assume‑guarantee 기반 협조 제어를 결합해 전역 사양을 보장한 점이다. 특히, 기존 연구가 주로 중앙집중식 혹은 단일 시스템에 초점을 맞춘 반면, 본 논문은 분산 구조와 다중 결함을 동시에 고려한 최초의 포괄적 프레임워크를 제공한다는 점에서 학술적·실용적 의의가 크다.