무한 상태 모델 검증을 위한 전이 관계 학습

초록

본 논문은 무한 상태 시스템의 안전성을 증명하기 위해 전이 관계에 전이(전달) 관계를 추가해 시스템의 직경을 유한하게 만든다. 재귀 분석과 모델 기반 투사 기법을 결합해 합성적·분리적(합성·분리) 관계를 자동으로 학습하고, 이를 Bounded Model Checking에 통합한 TRL(Transitive Relation Learning) 알고리즘을 제안한다. 구현체인 LoAT은 기존 도구들과 비교해 경쟁력 있는 성능을 보인다.

상세 분석

이 논문은 무한 상태 시스템의 안전 검증을 전통적인 Bounded Model Checking(BMC)과 재귀 분석을 결합한 새로운 프레임워크로 접근한다. 핵심 아이디어는 시스템의 전이 관계 τ에 “전이 관계”(learned relation) π를 동적으로 추가함으로써 전체 시스템의 직경 D를 유한하게 만드는 것이다. 직경이 유한해지면, D 단계 안에 모든 도달 가능한 상태가 포함되므로 D 단계까지 전이 전개를 수행하고 오류 상태가 발견되지 않으면 안전성을 확정할 수 있다.

전이 관계 학습은 두 가지 기술적 토대를 가진다. 첫째, 기존 재귀 분석은 루프의 반복 효과를 합성적(합집합) 형태로 요약하지만, 분기가 있는 루프에서는 합성적 요약만으로는 충분하지 않다. 논문은 이를 보완하기 위해 “분리적(디스정) 요약”을 도입한다. 구체적으로, 상태 공간을 모델 기반 투사(cvp)와 변형된 전이 투사(transitive projection)를 이용해 루프 내부의 변수들을 부분적으로 제거하고, 루프가 실제로 실행될 수 있는 구체적인 모델(valuation)을 추출한다. 이 모델을 기반으로 루프의 시작과 끝 상태 사이에 새로운 전이 관계 π를 구성한다.

둘째, 전이 관계를 학습할 때는 두 가지 제약을 둔다. (1) 학습된 관계 π는 현재 모델에서 실제로 만족해야 하며, (2) 동일한 루프에 대해 동일한 모델을 이용해 무한히 많은 관계를 생성하지 않도록, “가능한 관계 집합”이 유한함을 보장한다. 이를 통해 알고리즘이 실질적으로 종료할 가능성을 높인다. 또한, 학습된 관계는 “블로킹 절(clause)” 형태로 SMT 솔버에 추가되어, 동일한 관계가 연속으로 두 번 사용되는 것을 방지한다. 이 메커니즘은 직경을 효과적으로 1로 축소시키는 역할을 한다.

알고리즘(TR L)은 다음과 같은 흐름을 가진다. 초기 상태를 인코딩하고, 매 단계마다 오류 상태를 추가해 SAT 검사를 수행한다. 오류가 발견되지 않으면 현재 단계까지 전이를 전개하고, 모델을 추출한다. 모델에 루프가 포함되어 있으면, 해당 루프를 분석해 새로운 전이 관계를 학습하고, 블로킹 절을 삽입한다. 이후 필요에 따라 백트래킹을 수행해 루프 시작점으로 돌아가며 탐색을 계속한다. 전이 관계가 충분히 축적되어 더 이상 새로운 상태가 생성되지 않으면, SMT 문제는 UNSAT가 되고 안전성이 증명된다.

기술적 난점으로는 (i) 전이 관계가 정수 산술을 포함할 경우, 전통적인 볼록 껍질(convex hull)이나 다면체(projection) 연산이 비용이 많이 드는 점을 지적하고, 이를 모델 기반 투사(cvp)와 전이 투사(transitive projection)로 대체해 연산 비용을 크게 낮춘다. (ii) 학습된 관계가 과도하게 일반화되면 안전성을 위협할 수 있으므로, 블로킹 절을 통해 동일 관계의 중복 사용을 억제한다.

실험에서는 구현체 LoAT을 사용해 다양한 무한 상태 벤치마크를 평가했으며, Z3/Spacer, LAWI, IMC, TP‑A, PDKIND 등 최신 도구와 비교했을 때, 특히 초기 상태가 약간 변형된 경우에도 안정적으로 안전성을 증명한다는 점에서 우수성을 보였다. 이는 전이 관계 학습이 기존 보간 기반 기법이 민감하게 반응하는 입력 변동에 강인함을 의미한다.

전체적으로 이 논문은 무한 상태 시스템의 안전 검증을 위한 새로운 이론적·실용적 프레임워크를 제시하며, 전이 관계 학습과 SMT 기반 BMC의 결합이 무한 상태 모델 검증에 실질적인 진전을 가져올 수 있음을 입증한다.