자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증 281

․이 논문은 2010년도 서울시립 학교 교내학술연구비에 의하여 연구되었음

† 종신회원

논문 수

심사완료

:

:

:

서울시립 학교 기계정보공학과 교수

inhye@uos.ac.kr

2011년 9월 29일

2011년 10월 18일

CopyrightⒸ2011 한국정보과학회ː개인 목 이나 교육 목 인 경우, 이 작

물의 체 는 일부에 한 복사본 혹은 디지털 사본의 제작을 허가합니다.

이 때, 사본은 상업 수단으로 사용할 수 없으며 첫 페이지에 본 문구와 출처

를 반드시 명시해야 합니다. 이 외의 목 으로 복제, 배포, 출 , 송 등 모든

유형의 사용행 를 하는 경우에 하여는 사 에 허가를 얻고 비용을 지불해야

합니다.

정보과학회논문지: 시스템 이론 제38권 제6호(2011.12)

자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증

(Formal Specification and Verification of AUTOSAR-based

Timing Requirements for Automotive Electronic Systems)

강 인 혜 †

(Inhye Kang)

요 약 안 이 필수 인 자동차 장 시스템은 신뢰성과 안 성을 하여 엄격한 실시간 제약조건을

만족해야 한다. AUTOSAR(AUTomotive Open System ARchitecture) 표 도 자동차에서의 이벤트 타

이 , 지연, 동기화 제약조건을 표 하기 하여 시간 확장(timing extension)을 지원한다. 이 논문은 이러

한 시간 제약조건을 한 타임드 오토마타(Timed Automata) 템 릿을 제공하고, 이 템 릿을 사용하여

자동차 시스템을 정형 검증하는 방법을 설명한다. 그리고 이 타임드 오토마타 템 릿을 AUTOSAR 명세

로의 변환하는 방법을 기술한다. 더 나아가 자동차 정속 주행 장치에 한 사례 연구를 통해 본 연구의

용 가능성을 보인다.

키워드 : 자동차 장 시스템, AUTOSAR, 정형 기법, 타임드 오토마타

Abstract Safety-critical automotive electronic systems must satisfy hard real-time constraints for

reliability and safety. AUTOSAR(AUTomotive Open System ARchitecture) standard supports timing

extensions to express event timings, latency, and synchronization constraints. This paper provides

timed automata templates for these timing constraints. We demonstrate how to formally verify

automotive systems with the templates. We also describe translation from timed automata templates

to AUTOSAR timing specifications. Furthermore, we conduct a case study on car cruise control

system to show applicability of our approach.

Key words : Automotive Electronic Systems, AUTOSAR, Formal Methods, Timed Automata

1. 서 론

자동차의 기능에 한 요구가 증가함에 따라 자동차

장 시스템의 복잡도는 증가하고 있다. 한 안 과 직

련 있는 워트 인이나 이크 시스템 같은

시스템을 가지고 있기 때문에 자동차 장 시스템의 안

성을 검증하는 것이 요한 문제로 떠오르고 있다. 많

은 센서들과 자 모듈들로 구성된 의 자동차 장

시스템은 시간 제약사항을 수하지 못하면 오작동이

발생할 수 있고 잠재 으로 사고의 원인이 될 수 있어

서 이러한 시간 제약사항에 한 검증도 필수 이다.

자동차 업계는 국제 표 을 통해 자동차 장 소 트

웨어의 안 성 요건을 강화하고 법제화함으로써 자동차

장 소 트웨어의 안 성 문제에 처하려 하고 있다.

AUTOSAR(AUTomotive Open System ARchitec-

ture)는 표 인 국제 표 자동차 장용 표 랫폼

으로 자동차 장 소 트웨어의 재사용성과 안 성을

높이는 것을 목표로 하고 있다[1]. 시간 명세에 한 필

요성이 증가하여 AUTOSAR 4.0은 시간 요구사항을 표

하기 한 시간 확장(timing extension)을 지원하고

있다.

자동차 장 시스템의 시간 요구사항은 이벤트 타이

제약사항, 지연(latency) 제약사항, 동기화 제약사항

으로 분류할 수 있다[2]. 이벤트는 주기 (periodic) 특

성을 가지거나 산발 (sporadic)으로 발생하거나 사 에

282 정보과학회논문지 : 시스템 이론 제 38 권 제 6 호(2011.12)

정해진 패턴에 따라 발생해야 하기도 한다. 지연 제약사

항은 자극(stimulus)과 응답(response) 사이의 허용되는

최 /최소 지연 시간을 정의한다. 동기화 제약사항은 서

로 다른 이벤트들의 동기화를 기술하기 하여 정의한

다. 를 들면 이크 작동 장치의 제동 신호도

한 제동을 보장할 수 있도록 네 개의 바퀴에서 거의 동

시에 동작해야 한다.

이 논문에서는 자동차 장 시스템의 시간 요구사항

각 타입에 따라 타임드 오토마타(timed automata) 템

릿(template)을 정의한다. 타임드 오토마타[3]는 실시간

시스템 명세와 검증을 한 정형기법으로써, 클럭이라는

시간 변수를 사용하여 다양한 시간 속성을 명세할 수

있고 UPPAAL 도구를 사용하여 시뮬 이션 모델

체킹(model checking)을 할 수 있다[4].

요구사항 타입에 따라 정의된 타임드 오토마타 템

릿에 라미터를 으로써 자동차 장 시스템의 시간

요구사항을 쉽게 타임드 오토마타로 나타낼 수 있다. 그

림 1과 같이 자동차 장 시스템의 행 를 타임드 오토

마타로 모델링 하면 이 행 모델이 주어진 시간 요구

사항을 만족하는지 UPPAAL 도구를 사용하여 쉽게 검

증할 수 있다.

그림 1에서 나타난 바와 같이 타임드 오토마타 템

릿은 AUTOSAR 4.0의 시간 제약사항으로 매핑이 가능

하다. 이를 통하여 UPPAAL로 검증된 시간 요구사항을

AUTOSAR 명세로 규칙 으로 변환시킬 수 있다. 이를

통해 요구사항 단계에서 개발된 정형 명세가 구 단계

명세로 이어질 수 있다.

이 논문은 다음과 같이 구성된다. 2장은 AUTOSAR

에 하여 기술하고 3장은 타임드 오토마타에 하여

소개한다. 4장은 자동차 시간 요구사항에 한 타임드

오토마타 템 릿을 정의하고 AUTOSAR 명세와의

계를 기술한다. 5장은 자동차 정속주행장치에 한 사례

연구, 6장은 련 연구, 마지막으로 7장은 연구 결과와

앞으로의 방향에 하여 기술한다.

그림 1 자동차 장 시스템의 시간 요구사항 검증

AUTOSAR 명세

2. AUTOSAR 개요

AUTOSAR[1]는 부품 단 로 개발되는 자동차 장

소 트웨어의 독립 인 개발과 통합을 한 표 소

트웨어 아키텍처로 BMW나 볼보 등 유럽의 다양한 완

성차 부품 업체가 연합하여 개발 제안하고 있는 국

제 표 으로서 여러 ECU의 하드웨어 기능과 소 트웨

어 간의 계층화를 통하여 개발의 용이성, 유지보수의 간

편화, 재사용성의 증 등을 꾀한다.

AUTOSAR는 장 시스템의 설계 시 컴포 트 기반

소 트웨어 설계 모델링이 가능하도록 한다. 소 트웨어

기능은 가상기능버스(Virtual Functional Bus, VFB)상

의 소 트웨어 컴포 트(Software Component, SWC)

에 의해 모델링 된다. 각 응용 SWC는 특정 기능을 수

행하는 최소한의 단 로 표 화된 인터페이스를 수하

여 SWC를 제작하도록 한다. VFB는 SWC를 연결하는

개념 인 계층으로 SWC는 VFB에서 출력을 내보내면

이 정보가 다른 SWC의 입력이 된다.

AUTOSAR 소 트웨어 아키텍처를 살펴 보면 하드

웨어 의존 인 기본소 트웨어계층(Basic Software Layer,

BSW), SWC간의 통신과 SWC-BSW 간의 통신을 담

당하는 실시간 환경(RunTime Environment, RTE), 실

제 기능을 담당하는 응용 계층(Application Layer)로

구성된다. BSW와 RTE는 설계 모델에서 VFB의 기술

실제화이다. 계층 구조는 SWC를 특정 하드웨어와

ECU(Electronic Control Unit)에 매핑시키는 것으로부

터 독립 으로 구 할 수 있도록 한다.

그림 2는 설계 모델로부터 시스템 구조를 만들기

한 AUTOSAR 방법론을 제공한다. 먼 SWC의 데이

터 타입, 인터페이스, 요구사항을 기술하고, VFB상에서

의 SWC 연결상태, 시스템에 하여는 ECU간 실제 물

리구성과 버스 정보 등을 기술한다. 다음으로 시스템 구

성 단계로 SWC를 각 ECU로 매핑하고 네트워크를 설

계하여 시스템 구성 명세서(System Configuration Des-

cription)를 기술한다. 마지막으로 각 ECU 정보를 추출

하여 ECU를 설계하고 시스템 구성 단계에서 분배된

SWC를 바탕으로 BSW를 구성한다. AUTOSAR는 XML

을 사용함으로써 데이터의 공유 달을 표 화한다.

AUTOSAR 방법론을 지원하기 하여 UML로 정의

된 메타모델이 개발되었고 이것은 XML로 매핑되도록

하 다. 시간 확장에 을 맞춘 메타 모델을 살펴보면

시간 확장은 TimingExtension 클래스로 기술되는데 속

성으로 TimingDescription과 TimingConstraint를 포함

하여 이벤트나 이벤트 체인에 하여 시간 제약사항을

부여할 수 있도록 한다. TimingDescription은 이벤트

(TimingDescriptionEvent)와 이벤트 체인(TimingDes-

자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증 283

그림 2 AUTOSAR 개발 방법론

crptionEventChain)이 있다. 이벤트는 기본 개체로 시

스템 내에서 찰 가능한 행 를 나타낸다. 기능 으로

연결된 일련의 이벤트는 이벤트 체인을 정의하고 자극

(이벤트 체인의 시작)과 반응(이벤트 체인의 마지막) 사

이의 시간을 부여할 수 있도록 한다. 시간 제약사항

TimingConstraint는 이벤트 타이 제약사항, 지연 제

약사항, 동기화 제약사항을 기술할 수 있도록 정의된다.

3. 타임드 오토마타 개요

타임드 오토마타(Timed Automata, TA)는 클럭 변

수에 의해 확장된 유한상태 머신(finite-state machine)

이다[3]. 클럭 변수의 값은 실수로서, 모든 클럭은 같은

속도로 진행된다. TA는 (L, l0, C, A, E, I) 로 나타내는

데, 여기에서 L은 치의 집합, l0은 기 치, C는 클

럭 집합, A는 액션 집합, E는 이집합, I는 치에서의

불변식(invariant)이다. TA에서의 이는 출발 치, 액

션, 조건식, 리셋되는 클럭의 집합으로 구성된다.

UPPAAL에서는 하나의 시스템은 TA들이 병렬로 놓인

네트워크로 모델링 된다. 여기에서 각 TA는 하나의

이가 실행될 수도 있고 다른 TA와 동기화 될 수 있다.

그림 3에 TA의 램 를 모델링한 간단한 를 보여

다[4]. 램 는 3개의 치 off, low, bright를 가지고 있

고 이때 기에는 off 치에 있다. 사용자가 버튼을

(a) 램 (b) 사용자

그림 3 램 시스템 타임드 오토마타

르면 즉, 출력 이벤트 press! 발생시키면 램 의 입력

이벤트 press? 와 동기화하게 되고 램 는 low 치로

이동하여 켜지게 된다. 사용자가 다시 버튼을 르면 꺼

지게 된다. 사용자가 빠르게 ( 를 들어 5 이내에) 두

번 버튼을 르면 램 는 밝게 켜지게 되고 이것은

bright 치로 이동하는 것으로 모델 된다. 사용자가 두

번 빠르게 르는 것은 클럭 y를 사용하여 나타내는데

이 조건 “y<5”를 통해서 기술할 수 있다. 체 시스

템은 SYSTEM = Lamp || User 로 정의된다.

UPPAAL을 통한 검증은 시뮬 이션과 모델체킹이 있

다. 시뮬 이션은 실행 가능한 이와 각 클럭 값의 범

, 각 이 별 상태의 변화를 보여주고 시스템의 실행

트 이스를 통해 검증하도록 한다. 그리고 모델체킹을

통하여 TA의 네트워크로 명세한 시스템이 제한된 TCTL

로 기술한 요구사항을 만족하는 지를 증명할 수 있다.

284 정보과학회논문지 : 시스템 이론 제 38 권 제 6 호(2011.12)

(a) 엄격한 주기 (b) 주기보다 작은 지터 (c) 주기보다 긴 지터

그림 4 주기 이벤트 발생

(a) PeriodicWithJitterTA(ev,Jitter,Period) (b) PriodicWithMinArrivalTA(ev,Jitter,MinArrivalTime)

그림 5 주기 이벤트를 한 TA 템 릿

4. 자동차 시간 요구사항의 Timed Automata

템 릿과 AUTOSAR로의 변환

4.1 이벤트 타이 요구사항

이벤트는 주기 (periodic), 산발 (sporadic), 패턴

(pattern), 버스트(burst), 임의의(arbitrary) 이벤트가 있

다. 여기에서 임의의 이벤트는 시간 제약사항의 만족 여

부를 증명이 필요하지 않기 때문에 나머지 4가지에

하여 타임드 오토마타 템 릿을 기술한다. 이에 한

AUTOSAR 시간 제약사항으로의 변환을 설명한다.

AUTOSAR에서 이벤트 제약조건에 한 메타모델은

EventTriggeringConstraint로 주어진다.

4.1.1 주기 제약조건

주기 이벤트는 그림 4(a)와 같이 엄격한 주기에 의

해서 이벤트가 발생한다. 여기에 지터를 허용하면 그림

4(b)와 같이 이벤트의 발생이 지터 만큼 지연이 가능하

다. 만약 지터가 주기보다 크면 그림 4(c)와 같이 주기

가 지나서 발생할 수 있는데 최소도착시간간격을 으

로써 두 이벤트의 간격을 제한한다.

그림 4(b)와 같이 지터가 주기보다 작은 경우는 그림

5(a)에 주어진 타임드 오토마타 탬 릿 PeriodicWith-

JitterTA(ev, Jitter, Period)에 의하여 나타낸다. 이 TA

는 자동차 장 시스템 모델에서 시간 요구사항을 만족

하면 치 wait와 start를 무한 반복하게 된다. 하지만

만족하지 않으면 다음과 같이 error 상태로 이하게 된

다. 1) 이벤트 ev가 주기 시작 후(sinit 와 start 치)

지터 이내에 발생하지 않으면 error 치로 진행되고 2)

이벤트 발생한 후(wait 치) 다음 주기가 되기 이 에

이벤트가 발생하면 error 치로 이동한다.

그림 4(a)와 같은 엄격한 주기를 갖는 요구사항은 4(b)

에서 지터가 0인 경우와 같으므로

StrictPeriodicTA(ev, Period) =

PeriodicWithJitterTA(ev, 0, Period)

로 표 한다.

그림 4(c)와 같은 경우, 즉 Jitter의 값이 Period 보다

크고 Period*2보다 작은 경우, 그림 5(b)와 같은 TA

템 릿 PeriodicWithMinArrivalTA(ev, Jitter, MinArrival-

Time, Period)로 정의한다. 여기에서 MinArrivalTime

는 최소도착시간간격이다. 이 TA에서 치 start는 하

나의 주기가 시작한 상태, 치 wait는 이벤트가 주기

내에 발생한 상태, 치 expired는 주기는 지났으나 지

터 기간 이내인 상태를 나타낸다. 시스템이 시간 요구사

항을 만족하지 않는 경우는 다음과 같이 error 상태로

이한다.

1) 이벤트 ev가 지터 이내에 발생하지 않음

(expired error)

2) 이벤트 발생한 후 다음 주기가 되기 이 에 이

벤트가 발생 (wait error)

3) 연속된 이벤트가 최소 간격을 반

(start error, expired error)

자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증 285

(a) ConcretePatternTA(ev, Length, Offset[1,N]) (b) BurstPatternTA(ev, MaxNumber, Min, Length)

그림 7 패턴을 가진 이벤트에 한 TA 템 릿

4.1.2 산발 이벤트

산발 이벤트는 이따 씩 혹은 하나씩 발생하는 이

벤트인데 여기에 두 연속된 이벤트 발생 사이에 시간간

격(최소도착시간간격 는 최 도착시간간격)에 한 제

약조건을 으로써 두 이벤트의 발생 시간 간격을 제한

할 수 있다.

본 논문에서 산발 이벤트 ev에 하여 최소도착시

간간격 Min, 최 도착시간간격 Max이 주어지면 해당

하는 TA 템 릿은 그림 6과 같이 SporadicTA(ev, Min,

Max)로 나타낸다. 이 TA는 자동차 장 시스템 모델

에서 주어진 요구사항을 만족하면 치 wait를 무한 반

복하게 된다. 이벤트 간격이 Min과 Max 사이면 정상

으로 동작하고 (wait 치에서 self-loop), 이벤트 발생

후 Max 시간 내에 발생하지 않으면 클럭 x의 값이

Max를 과하게 되어 error 상태에 도달하게 된다.

한 이벤트가 Min 내에 발생한 경우도 error 상태로 도

달한다.

그림 6 산발 이벤트에 한 TA 템 릿 SporadicTA

(ev, Min, Max)

4.1.3 패턴 이벤트

AUTOSAR에서 엄격한 패턴을 가진 이벤트 제약조

건은 ConcretePatternEventTriggering 클래스로 정의

되는데 속성으로는 패턴 길이와 패턴내의 이벤트 발생

시간 오 셋이 있다. 일정 시간 동안 알려진 패턴에 의

해 발생하는 이벤트를 기술하기 하여 패턴 간격, 패턴

내의 이벤트 발생 시간 오 셋 리스트를 다. 패턴 간

격이 12이고 오 셋이 [0,1,3,6,7,9,11]이면 첫 이벤트가

0ms, 둘째 이벤트가 1ms, 셋째 이벤트가 3ms 등 주어

진 시간제약사항을 따라 발생하여야 한다.

본 논문에서 이러한 엄격한 패턴 이벤트 ev에 하여

패턴간격 Length, 오 셋 Offset[1,N]이 주어지면 해당하

는 TA 템 릿은 그림 7(a)와 같이 ConcretePatternTA

(ev, Length, Offset[1,N])으로 기술한다. 이 TA는 정

상 인 경우 치 start, on, wait를 무한 반복하게 된

다. 이벤트 발생 시간이 과하도록 이벤트가 발생하지

않으면 on error 이가 일어나고, Length 내에 이벤

트가 N개 이생 발생하면 wait error로 이가 일어나

error 상태에 도달하게 된다.

4.1.4 버스트 이벤트

일정시간 동안 같은 이벤트가 한꺼번에 많이 발생하

는 경우 최 발생 횟수와 최소도착시간간격을 제한할

수 있다. 이러한 버스트 패턴을 가진 이벤트의 제약조건

은 그림 7(b)의 라미터를 가진 TA 템 릿은 Burst-

PatternTA(ev, MaxNumber, Min, Length)로 표 하

는데 여기에서 라미터 MaxNumber는 최 발생회수,

Min는 최소도착시간간격, Length는 패턴시간길이 이다.

이 TA는 정상 인 경우 치 start, on을 무한 반복하

게 된다. 이벤트 발생이 최소도착시간간격을 반하거나

최 발생 횟수를 과한 경우 error 상태에 도달하게

된다.

4.2 지연 제약조건

두 이벤트 사이의 발생 시간에 한 요구사항은 지연

요구사항이라고 하는데 자극 이벤트(stimulus)와 응답

이벤트(response)에 한 시간 제약 사항으로 주어진다.

지연 요구사항은 에이지(age)와 반응(reaction)이 있는

데 에이지는 자극 이벤트로부터 처리되지 않은 데이터

가 있으면 오래되지 않은 데이터를 가지고 처리하여 응

답하도록 하는 것을 나타내므로 응답이벤트에 향을

끼치는 마지막 자극 이벤트와의 시간을 요하게 고려

하고, 반응은 처음 자극에 주어질 때 이에 한 처음 응

답을 요할 때 사용되는데 처음 자극 이벤트에 하여

286 정보과학회논문지 : 시스템 이론 제 38 권 제 6 호(2011.12)

(a) LatencyforReaction(stimulus,response,Min,Max) (b) LatencyforAge(stimulus,response,Min,Max)

그림 8 지연 요구사항을 한 TA 템 릿

(a) ResponseSyncTA(stimulus,response[3],tolerance) (b) StimulusSyncTA(stimulus[3],response,tolerance)

그림 9 동기화 이벤트 요구사항에 한 TA 템 릿

처음 응답이벤트와의 시간을 요하게 고려한다[5].

각 지연 타입에 따른 지연제약조건에 한 TA 템

릿은 그림 8과 같이 나타내는데 여기에서 라미터는

자극 이벤트 stimulus, 응답 이벤트 response, 최 값

Max, 최소값 Min이 있다.

4.3 동기화 제약조건

동기화란 동시에 발생하는 이벤트들을 의미하는데 시

간 요구사항에서는 일정 시간 내에 발생해야 하는 이벤

트들을 나타낸다. 좀더 세분하면 응답 동기화(Response

Synchronization)와 자극 동기화(Stimulus Synchroni-

zation)이 있는데 응답 동기화는 같은 자극에 하여 응

답하는 이벤트들 사이에 허용되는 시간 간격을 나타내

고, 자극 동기화는 같은 응답에 하여 자극을 가하는

이벤트 사이에 만족해야 하는 시간 간격을 나타낸다.

TA의 표 력 제한에 의해 동기화 이벤트의 개수에

따라 TA 템 릿이 달라진다. 3개의 동기화 이벤트에

한 TA 템 릿은 그림 9와 같이 나타낸다. 여기에서

라미터로 허용값 Tolerance이 주어진다.

4.4 검증

자동차 시스템을 검증하기 해서는 그림 1과 같이

시스템 행 모델과 시스템 시간 요구사항에 한 라

미터가 필요하다. 만약 시간요구사항 “이벤트 Sensor-

Data는 20ms마다 발생하는데 지터는 30ms이고 이벤트

발생의 간격은 최소 5ms이다”이 주어지면, 이 요구사항

은 주기 인 이벤트이므로 이에 한 TA는 PeriodicTA

(SensorData,30,5,20)로 나타낸다. 시스템의 행 모델을

BehaviorTA라고 가정하면 체 시스템은

SYSTEM = BehaviorTA||PeriodicTA

(SensorData,30,5,20)

로 나타내고 이 시스템이 주어진 요구사항을 배하면

교착 상태(deadlock)가 발생하기 때문에 UPPAAL 도구

를 사용하여 “항상 교착 상태가 아니다”라는 다음과 같

은 TCTL에 하여 모델 검사를 수행한다.

A[] (not deadlock)

이 요구사항이 만족하면 UPPAAL은 “Property is

satisfied”라는 결과를 출력하고 반하면 “Property is

not satisfied”라고 결과가 출력되고 반하는 트 이스

(trace)를 제공하여 시뮬 이션을 통해 확인할 수 있다.

4.5 AUTOSAR 변환

검증된 타임드 오토마타 시간 명세에 한 AUTO-

SAR로의 변환은 각 타임드 오토마타 템 릿을 응하

는 AUTOSAR 시간 명세 클래스로 매핑하고, 타임드

오토마타 템 릿의 라미터들을 해당 클래스의 속성으

로 매핑함으로써 기계 으로 이루어진다.

자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증 287

표 1 타임드 오토마타 템 릿과 AUTOSAR 클래스의 응 계

시간 요구사항 타임드 오토마타 템 릿 AUTOSAR 클래스

주기 이벤트 StrictPeriodicTA EventTriggeringConstraint::

PeriodicEventTriggeringPeriodicWithJitterTA

PriodicWithMinArrivalTA

산발 이벤트 SporadicTA EventTriggeringConstraint::

SporadicEventTriggering

패턴 이벤트 ConcretePatternTA EventTriggeringConstraint::

ConcretePatternEventTriggering

버스트 이벤트 BurstPatternTA EventTriggeringConstraint::

BurstPatternEventTriggering

지연 제약 LatencyforReaction LatencyTimingConstraint

LatencyforAge

동기화 제약 ResponseSyncTA SynchronizationTimingConstraint

StimulusSyncTA

표 1은 시간 요구사항에 하여 타임드 오토마타 템

릿에 응하는 AUTOSAR 시간 명세 클래스를 나타

낸다.

AUTOSAR에서 이벤트 제약조건에 한 메타모델은

EventTriggeringConstraint로 다. 하 에는 Periodic-

EventTriggering, SporadicEventTriggering, Concrete-

PatternEventTriggering, BurstPatternEventTrigge-

ring 클래스가 있다. EventTriggeringConstraint는 하

나의 이벤트에 하여 제약사항을 기술한다. 반면에 지

연 제약사항을 기술하는 LatencyTimingConstraint는

이벤트 체인에 하여 제약사항을 기술한다. 이벤트 체

인은 연속 으로 발생하는 일련의 이벤트를 나타내기

해서 사용되는데 TimingDescriptionEventChain 클래

스로 나타내고 기본 으로 자극 이벤트(stimulus)와 응

답 이벤트(response)를 포함한다. 동기화 제약사항을 기

술하는 클래스 SynchronizationTimingConstraint는 이

벤트 체인 집합에 하여 제약사항을 기술한다.

타임드 오토마타 템 릿의 라미터들에 한 AUTO-

SAR 클래스의 속성으로 매핑은 다음과 같다.

4.5.1 주기 이벤트

클래스 PeriodicEventTriggering는 속성으로 지터,

최소도착시간간격, 주기를 포함한다. 주기 제약사항을

나타내는 세 타임드 오토마타 템 릿은 모두 이 클래스

로 매핑된다. 여기에서 StrictPeriodicTA(ev, Period)는

속성 에서 주기만 기술하고, PeriodicWithJitterTA

(ev, Jitter, Period)는 속성 에서 지터와 주기를 기술

하고 PeriodicWithMinArrivalTA(ev, Jitter, MinArri-

valTime, Period)의 세가지 속성 지터, 최소도착시간간

격, 주기 모두로 매핑된다.

4.5.2 산발 이벤트

클래스 SporadicEventTriggering는 속성으로 지터,

최소도착시간간격, 최 도착시간간격, 주기가 있다. 따라

서 SporadicTA(ev, Min, Max)는 SporadicEventTrig-

gering 제약 조건 최소도착시간간격, 최 도착시간간격

으로 용 가능하다. TA 라미터에 없는 주기와 지터

가 AUTOSAR 속성에 포함되는데 이는 AUTOSAR에

서는 산발 이벤트를 주기 이벤트의 일반화로 간주

하여 주기와 지터를 포함시켰지만 반드시 만족해야 하

는 속성이 아닌 보충 인 표 을 한 속성이다.

4.5.3 패턴 이벤트

클래스 ConcretePatternEventTriggering의 속성으로

는 패턴 길이와 패턴내의 이벤트 발생 시간 오 셋이

있다. 따라서 ConcretePatternTA(ev, Length, Offset

[1,N])의 라미터는 이 속성으로 그 로 용된다.

4.5.4 버스트 이벤트

BurstPatternEventTriggering 클래스의 속성으로는

최 발생회수, 최소도착시간간격, 패턴의 시간길이가 있

으므로 BurstPatternTA(ev, MaxNumber, Min, Length)

의 라미터는 이 속성으로 용된다.

4.5.5 지연 제약조건

클래스 LatencyTimingConstraint의 속성으로는 지연

타입, 최 값, 최소값, 명목(nominal)값, 이벤트 체인이

있다. 이벤트 체인은 기본 으로 자극 이벤트(stimulus)

와 응답 이벤트(response)를 포함한다. 지연 타입으로는

반응제약조건에 해당하는 “FIRST-STIMULUS-FIRST-

RESPONSE”와 에이지 제약조건에 해당하는 “LAST-

STIMULUS-FIRST-RESPONSE”가 있다. 따라서 TA

탬 릿 LatencyforReaction(stimulus,response,Min,Max)

의 지연 타입은 “FIRST-STIMULUS-FIRST-RESPONSE”

로 기술하고 LatencyforAge(stimulus,response,Min,Max)

의 지연 타입은 “LAST-STIMULUS-FIRST-RESPONSE”

로 주면 AUTOSAR 명세로 변환된다. 여기에서 템 릿

의 라미터에 없는 LatencyTimingConstraint 속성인

명목 값은 보충 인 표 으로 사용되기 때문에 검증이

288 정보과학회논문지 : 시스템 이론 제 38 권 제 6 호(2011.12)

그림 10 주기 이벤트에 한 제약조건의 AUTOSAR 명세

요구되지 않는다.

4.5.6 동기화 제약조건

클래스 SynchronizationTimingConstraint의 속성으

로는 이벤트 체인 집합, 동기화 타입, 허용(tolerance)값

이 있다. 단, 동기화 타입은 “responseSynchronization”

와 “stimulusSynchronization”이 있다. 타임드 오토마타

ResponseSyncTA(stimulus,response[3], tolerance)에

하여 자극과 반응은 3개의 이벤트 체인의 집합으로

정의된다. 각 이벤트체인의 자극과 반응은 stimulus와

response[i]로 주어지고, 동기화 타입은 “responseSyn-

chronization”이다. StimulusSyncTA(stimulus[3],res-

ponse, tolerance)에 하여 자극과 반응은 3개의 이벤

트 체인의 집합으로 정의되고 각 이벤트체인의 자극과

반응은 stimulus[i]와 response로 주어진다. 동기화 타

입은 “stimulusSynchronization”로 으로써 매핑이 가

능하다.

요구사항 “이벤트 SensorData는 20ms마다 발생하는

데 지터는 30ms이고 이벤트 발생의 간격은 최소 5ms

이다”에 한 TA는 PeriodicTA(SensorData,30,5,20)에

해당하는 AUTOSAR 명세는 그림 10에 XML 표 으

로 주어지는데 라미터를 매핑함으로 기계 으로 생성

될 수 있다.

5. 사례 연구

자동차 정속주행장치의 일부에 하여 사례연구를 통

하여 그림 1에서 제시한 방법을 용해 본다. 정속주행

장치의 주 제어기인 CruiseControl 시스템에서 정속주행

활성화(CC_Activation) 기능은 다음과 같이 기술된다[5].

기능요구사항: (1)운 자는 정속주행장치 기능의 시

작 버튼을 통해 정속주행장치를 시작한다. 만약 시작버

튼이 려지면, 재의 속도가 정의된 최소 임계 값을

과하는지 체크한다. 만약 주행속도가 임계값을 넘었다

면, 운 자의 요구는 받아들여지고, 장된 목표 속도를

표시함으로써 승인 확인을 한다. (2) 목표 속도가 표시

되면 운 자는 엑셀 페달에서 발을 떼고 토크는 제거되

며 정속주행장치 기능이 자동차 운 을 시작한다.

시간요구사항: 운 자의 정속주행장치 시작 요청이

후 500ms이내 정속주행장치를 시작해야 한다. 이를 세분

하여 (1) 정속주행장치 시작을 한 사용자의 요청은

400ms 이내 화면 출력으로 응답되어야 한다. (2) 화면

출력 후 100ms 이내 토크가 제거되어 정속주행장치 기

능이 작동한다.

본 논문에서는 기능요구사항(1)과 시간요구사항(1)에

하여 타임드 오토마타로 검증하는 것을 나타낸다.

CC_Activation 기능이 3개의 소 트웨어 컴포 트

Driver_Input, Control, Display_Signaling와 상호 연결

을 한 컴포 트 Bus로 설계한 경우 이에 한 타임드

오토마타는 그림 11과 같다.

Driver_Input에서 센서로부터 입력을 받아 데이터를

처리한 후 해당 신호를 생성하여 Control로 보낸다.

Control은 이 입력 신호와 속력감지기(velocity)로부터

속력을 받아 데이터를 처리한 후 해당 시그 을 Display_

Signaling로 보낸다. Display_Signaling에서는 신호를

받으면 그 데이터(목표 속도)를 디스 이 작동장치로

보낸다. Bus는 각 컴포 트 간의 신호가 10ms 내에

달되는 행 를 기술하고 ExternalBehavior는 검증을

하여 버튼입력, 속력입력, 작동장치데이터출력 행 를

기술하고 버튼입력에 한 시간 이벤트 buttonPressed,

작동장치데이터에 한 시간 이벤트 targetSpeed를 생

성함으로써 시간 요구사항 검증에 활용한다.

시간 요구사항(1)은 “이벤트 buttonPressed로부터 이

벤트 targetSpeed 까지 최 시간은 400ms”로 나타낼

수 있고 이것은 반응 타입의 지연요구사항이므로

LatencyforReaction(buttonPressed, targetSpeed, 0, 400)

로 기술할 수 있다. 체 시스템은

System = Driver_Input || Control ||

자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증 289

(a) Driver_Input

(b) Control

(c) Display_Signaling

(d) Bus (e) ExternalBehavior

그림 11 정속주행장치 CC_Activation에 한 TA

그림 12 지연 제약조건의 AUTOSAR 명세

Display_Signaling || Bus || ExternalBehavior ||

LatencyforReaction

로 주어지고 이를 UPPAAL을 사용하여 검증한다.

UPPAAL로 A[](not deadlock)에 하여 모델체킹하면

“Property is satisfied”라고 출력되어 해당 시스템은 주

어진 시간제약사항을 만족하는 것을 증명할 수 있다.

여기에 주어진 지연요구사항은 그림 12와 같은

AUTOSAR 명세에 해당한다. 여기서 ThisChain은

buttonPressed와 targetSpeed에 해당하는 AUTOSAR

이벤트를 자극과 반응으로 하는 이벤트 체인으로 정의

되어야 한다.

6. 련연구

자동차 장 소 트웨어의 검증을 해 보편 으로

사용하는 방법은 테스 과 시큘 이션이다[6,7]. 하지만

테스 은 테스트 이스의 양과 질에 따라 그 정확성이

290 정보과학회논문지 : 시스템 이론 제 38 권 제 6 호(2011.12)

달라질 수 있으며 한 시스템 구 이 거의 끝난 후 수

행되기 때문에 문제가 발생하면 그 문제 해결 비용이

상당할 수 있다는 단 을 가지고 있다. 이러한 단 을

극복하기 해 Matlab, Simulink, Rhapsody, STATE-

MATE와 같은 CASE 도구를 이용하여 장 시스템의

모델을 개발하고 주로 시뮬 이션을 사용하여 분석한다.

시뮬 이션은 시나리오의 정확성과 완 성에 향을 받

는 한계가 있다. ISO 26262는 고등 자동차안 보증등

(Automotive Safety-Integrity Level)의 경우 이러한

테스 과 시뮬 이션에 더하여 엄격한 설계 검증 기법

인 정형기법 사용을 요구하고 있다[8].

AUTOSAR와 련된 자동차 장 소 트웨어의 시

간분석에 한 연구는 살펴보면 논문 [9]에서는 자동차

장 소 트웨어의 시간 인 특성을 분류하 는데 여기

에서 종단간 지연에 하여 에이지와 반응으로 분류하

여 검증을 수행할 것을 권고하고 있다. Klobedanz[10]

은 Timed Augmented Description Language(TADL)

을 용하여 속도 감지 스티어링 시스템의 시간 특성

을 분석하고 있다. SymTA/S를 이용하여 각 ECU에

할당되는 CPU 사용량을 평가하여 스 링 가능성을

단하고 있으며 종단간 지연을 측정하고 있다.

실시간 시스템에서는 높은 신뢰성과 안 성을 요구하기

때문에 이러한 시스템의 시간 요구사항의 분석을 한 정

형 명세 검증에 한 많은 연구가 이루어져 왔다[11].

이러한 정형 기법은 철도 제어 시스템[12], 원자력 제어 시

스템[13], 의료 시스템[14], 실시간 로토콜[15] 등의 검

증에 성공 으로 용되어 왔다. 한 자동차 장 시스템

에서 정형기법의 사용을 살펴보면 내부 통신을 한

FlexRay 로토콜에 한 Colored Petri-net을 사용한

검증[16], 개발 로세스 과정에서 정리 증명에 의하여 단

계별 일 성 검증[17] 등의 연구 등이 진행되고 있다. 논문

[18]에서는 기존의 사용되고 있는 컴포 트로부터 재공학

을 통하여 행 모델을 추출하여 RTSC(real-time

statechart)로 기술하고 검증하는 방법을 제시하 다.

타임드 오토마타를 사용한 연구를 살펴보면 논문[19]

에서는 OSEK/VDX 기반의 자동차 응용 소 트웨어를

분석하 는데 소 트웨어 간의 자원 공유와 이벤트 동

기화에 한 운 체제의 모델을 타임드 오토마타로 기

술하고 이 에서 수행되는 응용 소 트웨어도 타임드

오토마타로 기술하여 UPPAAL을 사용하여 주어진 요

구사항을 만족하는지 검증하 다. 논문[20]에서는 Save

CCM(SaveComp Component Model)을 사용한 자동차

컴포 트에 한 의미를 타임드 오토마타로 기술함으로

써 UPPAAL로 검증가능하도록 한다. 이 두 방법은 본

연구에서 소 트웨어 행 모델을 타임드 오토마타로

기술하는데 활용될 수 있다.

7. 결 론

자동차 장 시스템의 소 트웨어 신뢰성과 안 성에

한 문제가 증가함에 따라 문제 해결을 해 다양한

설계 검증 방법이 제시되고 있다. 특히 ISO 26262와 같

은 자동차를 한 국제 안 성 표 에서는 이러한 설계

검증 방법 하나로 정형기법을 극 추천하고, 이러한

기법을 통해 설계 검증 된 시스템에게 높은 신뢰성 등

을 부여함으로써 그 시스템에 한 신뢰성을 인정하

고 있다.

자동차 장 소 트웨어의 문제 의 하나로 다양한

부품이 하나의 소 트웨어 시스템으로 통합되면서 발생

하는 시간 행 의 불일치이다. 본 논문에서는 장 시

스템에서의 시간 제약사항인 이벤트 제약사항, 지연 제

약사항, 동기화 제약사항에 하여 타임드 오토마타 템

릿을 정의한다. 정의된 타임드 오토마타 템 릿에

라미터를 으로써 자동차 장 시스템의 시간 요구사

항을 쉽게 타임드 오토마타로 생성할 수 있다. 한 타

임드 오토마타 템 릿으로부터 AUTOSAR 시간 명세

로의 매핑을 포함한다. 이를 통하여 얻을 수 있는 장

은 다음과 같다. 자동차 장 시스템의 행 에 한 타

임드 오토마타 모델 Mbeh이 주어지고 시간 제약사항에

의해 생성된 타임드 오토마타 모델 Mtime와 네트워크

를 구성하여 해당 시스템 Mbeh||Mtime에서 데드락 여

부로 행 모델이 주어진 시간 요구사항을 만족하는지

검증할 수 있고 이것은 UPPAAL 도구를 사용하여 쉽게

증명할 수 있다. 타임드 오토마타 템 릿은 AUTOSAR

4.0의 시간 제약사항으로 매핑이 가능하다. 이를 통하여

요구사항이나 설계 모델에서 검증된 시간 요구사항을

AUTOSAR 명세로 규칙 으로 변환시킬 수 있다.

향후 연구로는 설계 단계에서 나온 실제 시스템 자동

차 장 시스템 모델이 AUTOSAR 명세로 변환할 수

있도록 모델링하는 방법과 AUTOSAR 방법론에서

ECU 자원을 고려한 시간 제약사항 검증 방안 등에

한 연구를 진행하고 논문에서 제시한 사례연구보다 실

제 인 시스템에 본 연구 결과를 용하여 문제 을 확

인하고 보완하는 연구를 진행하고자 한다.

참 고 문 헌

[ 1 ] AUTOSAR - AUTomotive Open System ARchi-

tecture, http://www.autosar.org.

[ 2 ] AUTOSAR Specification of Timing Extensions,

AUTOSAR Std., 2009.

[ 3 ] Rajeev Alur, David L. Dill, "A theory of timed

automata," Theoretical Computer Science, vol.126,

pp.183-235, 1994.

[ 4 ] UPPAAL. http://www.uppaal.com.

[ 5 ] ITEA2 IST, TIMMO Timing Model, http://www.

자동차 장 시스템의 AUTOSAR 기반 시간요구사항 명세와 검증 291

timmo-2-use.org/timmo/index.htm.

[ 6 ] M. Krause, O. Bringmann, A. Hergenhan, G.

Tabanoglu, and W. Rosentiel, "Timing simulation

of interconnected AUTOSAR software-components,"

in Proceedings of the Conference on Design, Auto-

mation and Test in Europe, pp.474-479, 2007.

[ 7 ] A. Hamann, R. Henia, R. Racu, M. Jersak, K.

Richter, and R. Ernst, "SymTA/S symbolic timing

analysis for systems," http://www.symta.org, 2004.

[ 8 ] ISO 26262-6:2011, "Road vehicles-Functional safety

- Part 6: Product development at the software level,"

ISO, 2011.

[ 9 ] N. Feiertag, K. Richter, J. Nordlander, and J.

Jonsson, "A compositional framework for end-to-

end path delay calculation of automotive systems

under different path semantics," in Proceedings of

the IEEE Real-Time System Symposium, 2008.

[10] K. Klobedanz, C. Kuznik, A. Thuy, and W.

Mueller, "Timing modeling and analysis for AUTO-

SAR-based software development: a case study,"

in Proceedings of the Conference on Design,

Automation and Test in Europe, pp.642-645, 2010.

[11] Farn Wang, "Formal verification of timed sys-

tems: a survey and perspective," Proceedings of

the IEEE, vol.92, pp1283-1305, 2004.

[12] A. Platzer, J. Quesel, "European Train Control

System: A Case Study in Formal Verification,"

Formal Methods and Software Engineering, vol.5885,

2009.

[13] J. Yoo, E. Jae, S. Cha, "Formal Modeling and

Verification of Safety-Critical Software," IEEE

Software, vol.26, pp.42-49, 2009.

[14] E. Jee, S. Wang, J. Kim, J. Lee, O. Sokolsky, I.

Lee, "A Safety-Assured Development Approach

for Real-Time Software," IEEE International Con-

ference on Embedded and Real-Time Computing

Systems and Applications (RTCSA), 2010.

[15] P. Olveczky, J. Meseguer, C. Talcott, "Specifica-

tion and analysis of the AER/NCA active network

protocol suit in Real-time Maude," Formal Methods

in System Design, vol.29, pp.253-293, 2006.

[16] S. Gordon and S. Choosang, "Verification of the

Flexray transport protocol for AUTOSAR in-

vehicle communications," International Journal of

Vehicular Technology, 2010.

[17] J. Botaschanjan, L. Kof, C. Kuhnel, and M.

Spichkova, "Towards verified automotive software,"

SIGSOFT Software Engineering Notes, vol.30,

pp.1-6, May. 2005.

[18] H. Giese, S. Henkler, M. Hirsch, "Combining

formal verification and testing for correct legacy

component integration in Mechatronic UML,"

Architecting Dependable Systems V, Springer-

Verlag, 2008.

[19] L. Waszniowski, Z. Hanzalek, "Analysis of OSEK/

VDX based automotive applications," IFAC Advances

in Automotive Control, 2004.

[20] X. Yan, X. Liu, Z. Wang, X. Che, C. Mao, Y. Li,

W. Cheng, "Towards a Component-based Require-

ment Modeling for Automotive Systems," Applied

Mechanics and Materials, vols.40-41, pp.955-960,

2011.

강 인 혜

1987년 서울 학교 자계산기공학과 학사

1989년 서울 학교 자계산기공학과 석사

1997년 University of Pennsylvania 컴

퓨터학과 박사. 1998년～2000년 숭실

학교 정보과학 학 객원교수. 2000년～

2002년 (주)시큐아이닷컴 부장. 2003년～

재 서울시립 학교 기계정보공학과 부교수. 심분야는

정형기법, 소 트웨어공학, 정보보호