1. 서론

전통적 산업 제어 시스템의 표준은 PLC다. PLC는 결정론적 실행, 하드웨어 워치독, 산업용 등급 부품을 통해 높은 신뢰성을 확보하며, ISA-95 표준에 기반한 Purdue 참조 모델 [1][2]에 따라 SCADA/DCS·MES·ERP 계층과 통합되어 헤비인더스트리(석유화학·자동차·반도체 공장 등)의 제어 인프라를 떠받쳐 왔다.

그러나 오늘날의 분산 제어 현장에서 PLC 중심 시스템은 비용·시공·신뢰성·변경성·확장성의 다섯 차원에서 구조적 한계에 봉착해 있다. 이 한계들은 PLC 자체의 결함이라기보다, PLC 아키텍처가 **유선·집중·정적 배선**이라는 전제 위에 설계되었기 때문에 발생하는 구조적 귀결이다. 본 절은 그 한계를 체계적으로 진단한다.

1.1.1 비용의 하한 — 부품가 절감으로 풀리지 않음

16-DI/16-DO 소형 PLC 시스템의 부품 합계는 약 1,500~3,000달러이나, 캐비닛·배선·프로그래밍·HMI/SCADA 라이선스·엔지니어링·시운전을 포함한 포인트당 종합 구축 비용은 자동화 업계 통상 기준에서 약 200~500달러 수준이다. 부품가 절감으로는 이 하한이 풀리지 않는다 — 엔지니어링·라이선스·캐비닛·배선이 비용의 다수를 차지하기 때문이다.

1.1.2 케이블 집중의 지옥 — 시공이 프로젝트의 절반

PLC는 모든 현장 신호를 중앙 제어반으로 회귀시키는 집중형 토폴로지를 전제한다. 100 포인트면 신호선·전원선 합쳐 약 200~400가닥이 제어반으로 모이며, 시공·배선이 자동화 프로젝트 총 비용의 30~50%를 차지한다. 배선 도면이 한 가닥씩 함께 개정되어야 하므로 도면과 현장의 불일치 자체가 운영 리스크가 된다.

1.1.3 케이블 단락 — 진단 불가능한 다운타임 원인

현장 PLC 시스템의 다운타임 통계에서 가장 잦은 단일 원인은 케이블 단선·단락·접촉 불량이다. PLC는 단절 사실은 검출하지만 끊긴 위치를 추론할 수 없고, 끊긴 사이의 가용성을 구조적으로 흡수할 수단이 없다. 케이블이 PLC 아키텍처에서 가장 신뢰도 낮으면서 가장 흡수가 어려운 장애 모드다.

1.1.4 이중화의 곱셈 비용

PLC 이중화는 모듈만이 아니라 케이블·단자대·도면·시공 전체의 두 배를 동반한다. 이중화의 한계비용이 시스템 전체의 비례 증가이므로, 안전 인증이 강제되는 영역 외에는 경제적으로 적용되기 어렵다. 다중화 신뢰성이라는 정공법이 비용 구조상 막혀 있는 셈이다.

1.1.5 변경 불가능성과 시공 기간의 비용

PLC 시스템에서 포인트 하나를 추가하는 것은 케이블을 새로 끌고 도면을 개정하고 시운전을 다시 하는 일 — 사실상 재공사다. 운영 중 변경이 극히 드물고, 초기 시공 기간도 수개월~1년에 이르러 시공 기간 자체가 ROI를 갉아먹는다.

1.1.6 사고 전파 경로 — 케이블이 도메인을 묶는다

낙뢰 서지·접지 루프·외부 전기 사고는 케이블을 통해 시스템 전체로 전파된다. 케이블 한 가닥이 수십 미터 떨어진 두 보드를 같은 운명에 묶으므로, 국소 사고가 시스템 다운으로 확장되는 경로가 항상 열려 있다. 보드 차원의 방어로 완화될 뿐 매체 차원에서 차단되지 않는다.

1.1.7 토폴로지 제약 — 케이블이 닿지 못하는 자리

회전축, 이동 설비, 임시 가설 구조물, 격리 구획, 노후 건물의 막힌 벽 — 물리적으로 케이블을 끌 수 없는 자리에는 PLC 기반 자동화가 들어가지 못한다. 결과적으로 산업 현장의 상당한 영역이 자동화의 사각지대로 남는다.

1.1.8 기능적 비적용성 — 사전 예측이 본질적으로 불가

PLC는 결정론적 임계값과 사전 작성된 규칙으로 동작하므로, 시계열 데이터로부터의 이상 전조 학습이나 운영 데이터의 자기학습 같은 현대적 분산 제어 요구를 구조적으로 다룰 수 없다. 데이터 기반 지능형 운영은 PLC 아키텍처가 처음부터 다루도록 설계되지 않은 영역이다.

여기서 한 가지를 미리 짚어 둔다 — PLC의 빠른 내부 scan time(머신 제어 1~20ms)은 PLC의 강점으로 흔히 인용되나, 이는 PLC 내부 처리 사이클일 뿐 분산 노드까지의 실제 제어 응답이 아니다. 오히려 분산 다수 노드 환경에서는 PLC의 폴링 기반 필드버스가 구조적 병목이 된다 — 마스터가 슬레이브를 순차 폴링하므로 노드 수에 비례해 지연이 늘고, 노드가 자발적으로 이벤트를 올리지 못한다. TMCS는 바로 이 지점에서 PLC를 비용뿐 아니라 분산 제어 성능에서도 앞선다(상세 비교는 §3.3). 즉 본 백서의 "PLC 대체"는 분산 제어 영역에서 비용·성능 양면의 우위를 근거로 한 주장이다.

§1.1의 진단은 분산 제어 환경이 요구하는 대안의 사양을 직접 도출한다. 새로운 시스템은 다음을 만족해야 한다.

• 분산 토폴로지 — 케이블 회귀 없음. 각 제어 포인트가 자기 자리에서 완결되어, 수백 가닥이 제어반으로 회귀하는 구조 자체가 사라져야 한다.
• 매체 차원 장애 흡수. 단일 결선의 단락·단선이 시스템 다운으로 전파되지 않아야 한다. 유선의 가장 흡수가 어려운 장애 모드를 매체 선택으로 회피해야 한다.
• 다중화의 한계비용 ≈ 0. 이중·삼중 다중화가 비용의 곱셈이 아니라 노드 추가만으로 성립해야 한다. 이래야 신뢰성을 차수 단위로 끌어올리는 것이 경제적으로 가능하다.
• 변경·이동 자유. 포인트 추가가 재공사가 아닌 함체 추가로 끝나야 한다. 임시·이동 환경에도 적용 가능해야 한다.
• 결정론적 실시간성 유지. 단, 인터락·초고밀도 실시간 영역은 PLC에 양보. 그 외 모든 영역의 실시간 제어성은 새 시스템이 흡수해야 한다.
• 사고 격리. 국소 전기 사고가 매체를 따라 다른 노드로 전파되지 않아야 한다.
• 학습 기반 사전 예방. 결정론적 규칙으로 정의되지 않는 패턴을 학습 기반으로 탐지하여, 사고 발생 전에 조치를 유도해야 한다.
• 저비용. 위 모든 요구를 만족하면서 PLC 대비 약 1/5 비용에 달성되어야 한다. 그래야 PLC가 비용 구조상 들어가지 못하던 영역까지 자동화가 확장된다.

이 8개 요구를 동시에 만족하는 시스템이 본 백서가 제안하는 TMCS다. 다음 절은 TMCS가 위 요구를 어떤 설계 전략으로 풀었는지 정리한다.

TMCS의 답은 PLC와의 정면 대치로 요약된다 — PLC가 §1.1의 한계를 낳은 뿌리는 둘이다: 선(유선 필드버스)과 장비(PLC 그 자체). TMCS는 이 둘을 차례로 없앤다. 선을 없앤 자리는 강력한 무선 매체(BLE Coded PHY)가 메우고(전략 1), PLC라는 장비를 없앤 자리는 저가 노드의 다중 경로가 PLC급 강건성으로 메운다(전략 2). 그런데 장비를 없애면 PLC가 수행하던 제어·조정의 두뇌가 사라진다 — 그 두뇌를 장비가 아닌 소프트웨어(TMCC)로 되살리되, 브로커도 세션도 없는 무상태 구조로 구현한다(전략 3). 그리고 두뇌가 소프트웨어이고 서버에서 돌기에, PLC가 원천적으로 할 수 없던 AI까지 얹을 수 있다(전략 4). 앞의 셋이 PLC를 대체하는 핵심 골격이고, AI는 그 소프트웨어 두뇌 위에서만 가능한 귀결이다. 이 네 전략이 결합되어 §1.2의 8개 요구를 동시에 만족한다.

전략 1 — PLC는 유선이다, TMCS는 선을 무선으로 끊는다: 유선 필드버스를 software-defined 무선으로 대체. PLC는 신뢰성 있는 제어를 위해 유선 필드버스(배선·단자·포설)에 의존하며, 이것이 §1.1.2~§1.1.7의 한계 — 케이블 집중·단락·곱셈 비용·변경 불가능·사고 전파·토폴로지 제약 — 의 공통 뿌리다. TMCS는 이 유선 의존을 소프트웨어가 관리하는 무선 매체로 대체한다. TMCS는 BLE Coded PHY Adv 채널 기반의 실시간 제어 BaseStation(TMCB)을 도입한다. TMCD는 Adv 채널로 패킷을 broadcast하고, 권역 내 다수 TMCB가 모두 수신하여 RSSI 메타데이터와 함께 TMCC로 forward한다. 매체의 신뢰성 로직(retry·voting·경로 선택)이 하드웨어가 아니라 TMCC application layer라는 소프트웨어에 응집되고, TMCB는 stateless forwarder로만 동작한다. Coded PHY S=8 모드는 표준 1M PHY 대비 +12dB의 link budget과 약 4배의 도달 거리를 제공하여, 동일 송신 전력으로 약 16배 면적의 안정 통신 권역을 형성한다. 이 software-defined 무선 매체의 도입이 §1.1.2~§1.1.7의 한계를 매체 차원에서 동시에 무너뜨리며, 결정론적 안전 인터락과 초고밀도 실시간을 제외한 사실상 모든 PLC 적용 영역을 대체 범위로 편입시킨다.

전략 2 — PLC는 비싼 산업 등급 장비다, TMCS는 저가 노드를 다중 배치해 PLC급 강건성을 만든다: 이중화 하드웨어를 확률 구조로 대체. PLC는 신뢰성을 산업 등급 부품과 이중화 모듈이라는 하드웨어로 사며, 이중화는 §1.1.4에서 진단한 곱셈 비용을 동반한다. TMCS는 이 하드웨어 신뢰성을 소프트웨어 확률 구조로 대체한다. 무선 매체(전략 1)가 이미 케이블 회귀를 없앴으므로 노드를 늘려도 배선·단자·도면이 늘지 않는다 — 이중화의 한계비용이 0에 수렴한다. 개별 노드의 신뢰성을 확보할 수 없을 정도로 단가를 낮추되, 시스템 신뢰성은 다중 경로 배치의 수학적 확률로 확보한다. 동일 포인트에 2~3대의 저가 노드를 독립 배치하면, 단일 노드 장애 확률 Q가 예시적으로 1%인 경우 시스템 비가용 확률은 Q² = 10⁻⁴(2경로) 또는 Q³ = 10⁻⁶(3경로)로 차수의 차이로 낮아진다(이 수치는 노드 장애가 독립이고 공통 모드가 통제된 조건에서의 상한이며, 실제 운영 가용성은 §7.4의 F·Q^N+ε로 경계된다). 노드 1대 추가 비용이 약 10~20달러에 불과하므로, 신뢰성은 더 이상 부품 등급이 아니라 소프트웨어가 관리하는 배치 구조의 함수가 된다 (H1 가설). PLC 기반 동급 구성 대비 약 1/5 비용으로 동등 차수의 가용성을 달성하는 것이 본 전략의 목표이며, 첫 상용 사이트의 비용 측면 실측은 1/6 — 이는 §8에서 다룬다. 누적 가용성·평균 종단간 응답시간·다중 경로 보팅의 노드 장애 흡수율 등 운영 정량 검증은 상용 운영 누적 이후 후속 publication에서 다룬다.

전략 3 — PLC라는 장비를 없애면 제어 두뇌가 사라진다, TMCS는 두뇌를 장비가 아닌 소프트웨어로 되살린다: 미들웨어 스택을 무브로커·무상태로 제거. 선을 끊고(전략 1) 장비를 다중 노드로 흩어놓으면(전략 2), PLC가 중앙에서 수행하던 제어·조정의 두뇌가 빈자리로 남는다. 이 두뇌는 또 다른 장비가 아니라 소프트웨어여야 한다 — 그렇지 않으면 PLC를 없앤 의미가 사라진다. 그런데 PLC 기반 시스템이 분산 환경으로 갈 때 따라붙는 SCADA·게이트웨이·메시지 브로커(MQTT, AMQP, 클라우드 IoT Core)라는 미들웨어 스택은, 소프트웨어 두뇌를 또 다른 장비 의존(브로커라는 단일 장애점·디바이스당 영구 소켓·QoS와 세션 관리)으로 되돌리는 후퇴다. TMCS의 TMCC는 이 스택을 통째로 걷어내고 무브로커·무상태 트랜잭션으로 PLC의 제어 두뇌를 대신한다 — 통신의 방향을 역전하여, 모든 TMCD가 TMCC로 아웃바운드 무상태 요청-응답 트랜잭션을 시작한다. NAT는 더 이상 해결할 문제가 아니고, 인바운드 포트 포워딩·방화벽 구멍·중간 브로커가 모두 불필요하다. TMCB도 stateless forwarder이므로 통신 경로 전체가 application layer 외에는 어떤 상태도 보유하지 않는다. 미들웨어가 사라진 자리에 멱등성(idempotent) 보장, 영구 상태 부재, 즉석 플러그앤플레이 확장이라는 세 가지 장점이 따라오며, 이것이 소프트웨어 두뇌만으로 수천 노드까지 장비 증설 없이 확장 가능한 구조의 토대가 된다.

전략 4 — 두뇌가 소프트웨어이고 서버에서 돌기에, PLC가 못 하던 AI까지 얹는다: 규칙 기반 제어를 넘어선 학습 기반 사전 예측. 앞의 세 전략으로 PLC는 이미 대체된다 — 선은 무선으로, 장비는 다중 노드로, 두뇌는 소프트웨어로. 그런데 그 두뇌가 장비가 아니라 server에서 도는 소프트웨어이기 때문에, PLC가 결정론적 규칙과 임계값으로는 원천적으로 할 수 없던 일(§1.1.8)이 보너스로 가능해진다 — 학습 기반 사전 예측이다. TMCC AI 계층은 모든 다중 경로 노드의 시계열 리포트를 지속 모니터링하여 개별 노드의 장애 조짐을 미리 탐지하고 사전 교체를 유도하며, 도메인 측정값의 정상 패턴을 학습하여 환경·운영 이상의 사전 경보·자율 정책 결정에 활용하는 것을 목표로 한다. 두 차원 모두 결정론적 임계값으로는 정의할 수 없는 "지금까지 본 적 없는 패턴"을 학습 기반으로 검출하는 응용이며, 다중 경로 인프라(전략 2)가 자체 생성하는 풍부한 데이터셋이 그 학습 자산이 된다. AI는 새 기둥이 아니라, PLC를 소프트웨어로 옮긴 결과 쌓이는 데이터 위에서 소프트웨어 두뇌가 부리는 PLC 너머의 능력이다 (H2 가설). 모델 구조와 정량 검증은 상용 운영 누적 이후 후속 publication에서 다룬다.

본 백서는 위 설계 전략들이 실제 분산 제어 환경에서 작동할 것임을 두 가지 가설로 정식화한다. 본 백서는 이 가설들의 위에서 시스템을 설계·구축한 사상을 정리하며, 첫 상용 적용 사례(§8)에서 비용 효과가 실측으로 확인되었음을 보인다. 운영 데이터 기반의 정량 검증은 상용 운영 누적 이후 후속 publication에서 다룬다.

(H1) 다중 경로 신뢰성 가설: 동일 포인트에 다중 경로로 배치된 저비용 노드는 노드 신뢰성의 절대값에 의존하지 않고 다중 배치의 확률 구조로 시스템 비가용 확률을 차수 단위로 낮출 수 있으며, PLC 기반 이중화 구성과 동등한 차수의 가용성을 약 1/5 비용으로 달성할 수 있다.

(H2) AI 예측 분석 가설: 다중 경로 인프라가 자체 생성하는 시계열 데이터는 결정론적 임계값으로 정의할 수 없는 패턴 — 노드 장애 전조(인프라 차원) 및 도메인 운영 환경의 이상 징후(도메인 차원) — 를 학습 기반으로 사전 탐지하기에 충분한 자산을 제공하며, 이를 통해 사후 대응 기반의 PLC 시스템이 제공할 수 없는 사전 예방 차원의 가용성을 추가로 확보할 수 있다.

2. 관련 연구

산업 자동화의 참조 아키텍처는 1990년대 Purdue Enterprise Reference Architecture(PERA)에 기원을 두며 [2], 이후 ISA-95(IEC/ISO 62264) 표준으로 정립되었다 [1]. 이 모델은 물리 공정(Level 0)부터 기업 계획 시스템(Level 4)까지의 5계층 구조를 정의하며, 오늘날에도 ICS 보안 아키텍처의 근간으로 광범위하게 인용된다. 그러나 Purdue 모델은 Industry 4.0, IIoT, 클라우드 컴퓨팅의 부상과 함께 그 한계가 지적되어 왔다 [9]. 계층 간 엄격한 분리는 실시간 클라우드 연동과 수평적 데이터 흐름을 구조적으로 제약하며, 수백 개의 이질적 노드가 광범위하게 분산된 분산 제어 환경에는 설계 전제 자체가 부합하지 않는다는 비판이 제기되고 있다.

산업 제어의 내결함성을 위한 핵심 기법으로는 이중화(1+1 Redundancy), TMR(Triple Modular Redundancy), 그리고 IEC 61508 기반의 SIL(Safety Integrity Level) 인증 시스템 [4]이 널리 연구되어 왔다. 의존성·내결함 컴퓨팅의 분류 체계는 Avizienis 등 [3]에 의해 정립되었으며, TMR은 세 개의 독립 채널이 동시에 동작하고 2-out-of-3 다수결 보팅으로 출력을 결정하는 방식으로 단일 채널 고장에 대한 무중단 운영을 수학적으로 보장한다. 결정론적 실시간 제어 환경의 설계 원리는 Kopetz [7]에 의해 체계화되어 있다.

TMCS는 TMR의 보팅 원리를 채택하되, 전용 하드웨어 대신 소프트웨어 오케스트레이션 계층에서 이를 구현한다는 점에서 기존 접근과 근본적으로 구별된다. 신뢰성의 근거가 하드웨어 사양이 아니라 다중 배치의 수학적 확률에 있다.

엣지 컴퓨팅은 클라우드의 지연 시간 문제와 네트워크 의존성을 해소하기 위해 연산 자원을 데이터 발생원 근처에 배치하는 패러다임으로, 산업 자동화 아키텍처의 핵심 구성 요소로 자리잡았다 [9]. 기존 연구의 상당수는 고성능 산업용 PC 또는 전용 에지 게이트웨이를 별도 계층으로 전제한다. 이에 반해 TMCS는 별도의 에지 서버 계층을 도입하지 않는다. 평상시에는 TMCD가 TMCB를 통해 TMCC에 직접 접속하며, WAN 단절 시에만 Local TMCC가 동일한 오케스트레이션 소프트웨어로 현장 자율 제어를 인계받는다. 이 Local TMCC는 팬리스 싱글보드컴퓨터 3대의 3중화 구성으로 구현되어, 폴백 메커니즘 자체가 범용 저가 하드웨어의 다중 배치로 신뢰성을 확보한다.

본 절은 TMCS가 제거하는 미들웨어 스택의 대표격인 브로커 패턴을 검토한다. 본 비교의 목적은 TMCS를 메시징 시스템으로 자리매김하려는 것이 아니라, PLC 기반 분산 시스템이 통신을 위해 의존해 온 브로커 계층을 TMCS가 왜·어떻게 제거하는지를 보이는 데 있다. 오늘날 분산 제어 환경에서 가장 널리 사용되는 패턴은 디바이스와 응용 계층 사이에 브로커를 두는 구조다. MQTT, AMQP 같은 오픈 표준 프로토콜과 AWS IoT Core, Azure IoT Hub 같은 클라우드 벤더 서비스가 모두 이 패턴에 속한다. 브로커는 실제 공학적 문제를 해결한다 — 가정용·산업용 NAT 환경에서 디바이스로의 인바운드 명령 전달이 그것이다. 그러나 브로커가 NAT 문제를 푸는 방식은 새로운 문제를 동반한다.

• 브로커 자체가 단일 장애점이 된다. 브로커가 다운되면 전체 디바이스 플릿이 침묵한다. 브로커를 HA로 클러스터링하는 것은 split-brain 처리, 세션 복제, 큐 영속성 등이 운영 부담으로 떠오르는 비단순 작업이다.
• 디바이스마다 영구 상태 소켓이 유지되어야 한다. 모든 디바이스가 항상 켜진 TCP 연결을 유지하므로, 불안정한 네트워크에서 재연결 폭주(reconnection storm)가 브로커를 압박한다.
• QoS와 세션 관리 부담. 정확히 한 번 전달(QoS 2)은 4-way handshake와 메시지 영속화를 요구한다. 플릿 규모에서는 유의미한 운영 부하가 된다.
• 벤더 락인. 클라우드 브로커 서비스는 메시지당 과금이 일반적이므로, 플릿 규모에 비례하는 구조적 비용이 시간이 가도 사라지지 않는다.

부분 네트워크 장애가 일상인 미션 크리티컬 분산 환경에서, 우리는 브로커 모델을 구조적 후퇴(structural step backward)로 본다. TMCS는 통신 방향 자체를 역전시켜 NAT를 비문제로 만든다 — 디바이스가 아웃바운드로 시작하고, 서버는 응답한다. 중간에 실패하거나 큐잉되거나 메시지당 과금하는 것이 존재하지 않는다. TMCB가 경로상에 존재하지만, TMCB 자체가 stateless forwarder이므로 브로커가 보유하는 큐·세션·QoS 상태를 일체 가지지 않는다.

브로커 기반 vs TMCS 무상태 트랜잭션

브로커가 여전히 적합한 경우

정직한 평가를 위해 — 브로커는 디바이스들이 서로의 고빈도 이벤트 스트림을 구독해야 하거나, 양방향 비동기 메시징이 지배적 트래픽 패턴인 환경에서는 탁월하다. 다수 생산자 대 다수 소비자의 pub-sub 메시징은 MQTT가 설계된 영역이며, TMCS는 그 영역에서 브로커를 대체한다고 주장하지 않는다. 그러나 분산 제어의 지배적 패턴 — "디바이스가 상태를 보고하고, 서버가 명령을 반환한다" — 에서는 브로커는 불필요한 인프라이며, TMCS는 이를 제거했다.

DDS·Kafka와의 위치 관계

MQTT 외에도 분산 시스템의 메시징 표준으로 DDS(Data Distribution Service, OMG 표준)와 Kafka(분산 스트리밍 플랫폼)가 산업·엔터프라이즈 영역에서 널리 사용된다. 두 기술 모두 분산 제어 환경의 일부 요구사항을 다룰 수 있으나, TMCS와는 설계 전제가 본질적으로 다르다.

DDS — 산업용 실시간 분산 미들웨어. 발행-구독 모델 기반의 pub-sub 미들웨어로, 군사·항공·자율차량 등 결정론적 실시간 통신이 요구되는 도메인을 정조준한다. QoS 정책이 풍부하고 결정론적 지연 보장이 가능하지만, 그 대가로 (a) 복잡한 토픽·QoS 설계가 사전에 요구되고, (b) DDS 구현체(RTI Connext, OpenDDS 등) 자체가 상당한 운영·라이선스 비용을 수반하며, (c) 디바이스 측 메모리·CPU 풋프린트가 USD-10-class MCU에는 부담된다. TMCS는 이런 결정론적 실시간 도메인을 지향하지 않는다 — 분산 제어의 brief 트랜잭션 패턴은 BLE Coded PHY Adv 채널의 connection-less 모델로 충분히 처리되며, DDS의 풍부한 QoS는 과한 도구다.

Kafka — 고처리량 이벤트 스트리밍 플랫폼. 초당 수백만 메시지를 처리하는 영속화된 이벤트 로그 플랫폼으로, 데이터 파이프라인·실시간 분석·이벤트 소싱 등 백엔드 인프라가 본 적용 영역이다. 분산 제어와는 layer가 다르다 — Kafka는 디바이스를 직접 다루는 통신 프로토콜이 아니라 서버 간 메시지 영속화 기반시설이다. TMCS와 Kafka는 경쟁 관계가 아니며, 실제로 TMCC가 수집한 시계열 데이터를 Kafka로 다운스트림 분석 파이프라인에 흘려보내는 구성은 자연스럽다.

정리하면: TMCS는 MQTT/AMQP가 점유한 "디바이스↔서버 메시징" 자리를 무브로커·무상태 트랜잭션으로 대체하며, DDS의 결정론적 실시간 영역이나 Kafka의 백엔드 스트리밍 영역과는 다른 layer에서 작동한다. 세 기술이 같은 프로젝트에서 공존할 수 있다.

BLE의 connection-oriented 모드(GATT 등)는 모바일·웨어러블·근거리 IoT 영역에서 광범위하게 사용되어 왔으며 관련 연구도 방대하다. 그러나 BLE의 Adv 채널(Advertising Channel)을 산업 분산 제어의 통신 매체로 정식 활용한 시스템은 상대적으로 보고가 적다. Adv 채널을 메시 네트워크(BLE Mesh, IEEE 802.15.4 기반 Thread 등)나 비콘 응용(iBeacon, Eddystone)에 활용한 사례는 많지만, "다수 BaseStation 동시 수신 + 서버 application-layer 처리 + RSSI 기반 다운링크"의 비대칭 구조는 LoRaWAN의 network server architecture [14]가 가장 가까운 선행 모델이다.

TMCS의 TMCB는 LoRaWAN의 network-server-centric 사상을 BLE Coded PHY 위로 옮긴 구조에 해당한다. LoRaWAN과의 본질적 차이는 (a) 매체 자체의 link budget·throughput·latency 특성이 다르고, (b) 산업 분산 제어의 brief 트랜잭션 패턴에 맞춰 BLE Coded PHY S=8의 link budget을 활용하며, (c) 서버 측 voting·다중 경로 보팅과 자연 결합된다는 점이다.

분산 센서 네트워크 기반 제어 분야 — 빌딩 자동화, 환경 모니터링, 콜드체인, 농업 시설 등 — 에서는 온습도·CO₂·조도·전력 등 다양한 환경 파라미터를 실시간으로 수집하고 제어하는 시스템 연구가 활발하다. 기존 연구들은 주로 단일 센서 노드의 정확도 향상, 저전력 통신 프로토콜 최적화, 또는 클라우드 기반 데이터 분석에 초점을 맞추어 왔다. 그러나 노드 장애 또는 통신 단절 시 제어 연속성을 보장하는 현장 수준의 내결함성 아키텍처에 대한 연구는 도메인을 막론하고 상대적으로 부족하다. TMCS는 이 내결함성 공백을 다중 경로 구조로 메우며, 특정 도메인이 아닌 분산 센서 네트워크 제어 일반에 적용 가능한 시스템을 지향한다.

최근 산업 제어 분야에서는 AI 기법의 적용이 활발하다. 시계열 이상 탐지(Time-series Anomaly Detection)는 LSTM Autoencoder, Isolation Forest 등의 모델로 센서 데이터의 비정상 패턴을 검출하며, 예측적 유지보수(Predictive Maintenance)는 운영 데이터로부터 부품 수명과 장애 전조를 추정한다. 강화학습 기반 제어와 모델 예측 제어(MPC)는 환경-제어 결과 관계를 학습하여 적응형 정책을 도출한다.

그러나 이들 AI 기법의 산업 적용은 대체로 (a) 고가의 GPU 또는 산업용 비전 PC를 전제하거나, (b) 단일 도메인의 단발적 PoC 수준에 머무르며, (c) 시스템 신뢰성·내결함성과는 별개의 모듈로 다루어진다. AI가 신뢰성 메커니즘 자체에 통합되어 보팅·이상 탐지·정책 결정을 동시에 수행하면서, 그 위에서 도메인 자율 운영까지 담당하는 통합 구조는, to the best of our knowledge, 보고된 사례가 제한적이다. TMCS는 이를 통합 아키텍처로 구현한다.

무선 제어의 위변조 방어는 전통적으로 대칭 MAC·디지털 서명·종단간 암호 같은 암호학적 수단에 의존해 왔으며, 이는 노드별 키 분배·보관·갱신 부담과 협대역 매체의 통신 시간(airtime) 부담을 동반한다. 한편 RSSI 기반 위치추정과 물리 계층 인증(PHY-layer authentication), RF 지문(RF/RSSI fingerprinting) 기반 스푸핑 탐지는 센서 네트워크 분야에서 그 유효성이 잘 확립되어 있다 [17][18][19]. 특히 풍부한 산란 환경에서 무선 채널 응답이 공간적으로 빠르게 비상관화(decorrelate)되어 정당 송신원과 공격자를 구별할 수 있다는 물리 계층 인증의 기본 원리 [17]는, 본 시스템 공간 보안의 직접적 이론 토대다. 이러한 물리 계층 정보의 활용은 견고한 토대이며, TMCS의 공간 보안은 이 토대를 분산 제어 네트워크라는 새로운 맥락에서 재구성한다.

TMCS의 공간 보안(§3.6)의 본질적 기여는, 이 검증된 물리 계층 정보를 분산 제어 네트워크의 고유 토폴로지와 결합하여 위변조의 예방·탐지·복구를 하나의 흐름으로 엮어낸 데 있다 — (i) 다수 TMCB가 모든 패킷을 동시 관측하는 제어 네트워크 구조 위에서, (ii) 하향(제어) 명령을 노드가 2개 TMCB의 공간 지문 합의로 수용하고, (iii) 제어기가 자신이 발행하지 않은 명령의 관측 자체로 위변조를 탐지·위치추정하며, (iv) 멱등 상태 재지시로 복구하는 것을, 노드별 암호키 없이 하나의 제어 시스템으로 묶었다. 다중 관측이 만드는 감시망, 양방향 비대칭(1:N 보고검증 / N:1 명령수용), 멱등 복구가 서로 맞물려 동작하는 이 결합은, 개별 기법의 단순 합을 넘어선 시스템 차원의 구성이다. 본 모델은 암호학적 위조 불가능을 주장하지 않으며, 원격 위변조 비용을 물리 접근 수준으로 상승시키는 환경 의존적 확률 예방 + 탐지 + 복구 모델로서 자리매김한다(한계는 §9.2 차원 4).

기존 연구를 종합하면, 분산 제어 환경에서 TMCS가 통합 적용한 설계 원칙(저비용 단가, 차수 단위 다중 경로 신뢰성, BLE Coded PHY 기반 stateless 다중 BS 수신, AI 사전 예측, 무브로커·무상태 트랜잭션, RSSI 공간 지문 기반 공간 보안)을 모두 통합 적용한 시스템을 본 저자들은 발견하지 못했다. 개별 원칙 중에는 — 특히 공간 보안의 바탕이 되는 물리 계층 인증 기법은(§2.8) — 각 분야에서 이미 확립된 것도 있다. TMCS의 신규성은 어느 한 부품의 발명이 아니라, 이 원칙들이 모두 통합되어 단일 아키텍처에서 맞물려 작동한다는 사실, 그리고 그 통합 아키텍처가 분산 제어 사이트의 실제 납품으로 구현되었다는 사실에 있다.

3. TMCS 전체 구조

본 장은 "PLC라는 비싼 장비를 저가 노드의 다중 경로 소프트웨어 확률 구조로 대체한다"는 전략과, 그것을 떠받치는 3계층 구조(TMCC·TMCB·TMCD)를 다룬다.

원칙 1. 신뢰성은 하드웨어의 속성이 아니라 구조의 속성이다. 개별 노드의 품질을 높이는 대신, 동일 포인트에 복수의 노드를 배치하고 그 조합의 신뢰성을 소프트웨어가 보장한다.

원칙 2. 노드는 단순하게, 중앙은 똑똑하게. TMCD는 BLE Adv 송출과 필드버스 인터페이스만 책임지고, application 차원의 모든 복잡성(retry, voting, 경로 선택, 정책 결정)은 TMCC에 응집된다. TMCB는 그 사이의 stateless forwarder다.

원칙 3. 미들웨어 계층을 제거하고 노드가 서버에 의미상 직접 붙는다. 모든 TMCD는 TMCB를 통해 TMCC에 아웃바운드 방식으로 접속한다. TMCB는 stateless forwarder이므로 application layer 의미에서는 TMCD ↔ TMCC 직접 연결과 동일하다. 인터넷이 연결된 곳이라면 방화벽 설정 없이 즉시 배포 가능하다.

원칙 4. 통신은 무상태 트랜잭션이며, 영구 연결을 두지 않는다. 디바이스가 아웃바운드로 시작하는 무상태 요청-응답이 모든 통신의 단위이므로, 영구 소켓·세션·브로커가 존재하지 않는다. NAT는 자연 우회되고 단일 장애점은 구조적으로 제거된다.

원칙 5. 통신 매체는 산업 RF 적대성을 흡수해야 한다. 표준 무선 매체는 산업 환경에서 구조적으로 약하므로, TMCS는 BLE Coded PHY S=8을 매체 차원의 본질적 강건성 토대로 채택한다(상세 근거와 수치는 §5.2).

TMCC(TERACODE Multi-path Control Cloud)는 모든 TMCD를 오케스트레이션하는 중앙 서버 소프트웨어다. TMCC는 두 가지 성격이 다른 책임을 명확히 분리하여 수행한다. 첫째, 결정론적 신뢰성 계층은 다중 경로 노드의 리포트 수집, 통계 기반 다수결 보팅, 신뢰 경로 선택, 노드 장애 즉시 절체를 담당한다. 둘째, AI 지능 운영 계층은 다중 경로 시계열을 모니터링하여 노드 장애를 사전 예측하고 도메인 측정값의 이상 패턴을 학습 기반으로 탐지한다. 두 계층의 분업과 그 의도는 4장에서 자세히 기술한다. TMCC는 중앙 리눅스 서버에서 운영되며, 현장 네트워크 단절에 대비하여 팬리스 싱글보드컴퓨터 3대를 3중화 구성한 Local TMCC가 현장에 함께 배치된다. TMCC의 배치 단위는 사이트(Site)다. 하나의 TMCC는 하나의 현장을 단독으로 오케스트레이션한다.

TMCB(TERACODE Multi-path Control BaseStation)는 TMCD와 TMCC 사이의 통신을 forward하는 BLE Coded PHY 기반 stateless bridge다. 권역 내 다수 TMCB가 TMCD의 Adv 패킷을 모두 수신하여 RSSI 메타데이터와 함께 TMCC로 forward하며, 다운링크는 TMCC가 선택한 RSSI 상위 2대(1·2위)의 TMCB가 동일 명령을 동시에 BLE Adv로 송출한다. 이 다중 송출은 §3.6 공간 보안의 하향 수용 합의(노드가 2개 TMCB의 학습된 지문에 모두 부합하는 일치 명령만 수용)의 전제이자, 12바이트 수준으로 축소된 TMCP airtime 덕에 부담 없이 성립한다. retry·timing·matching 등 모든 application 로직은 TMCC가 담당한다. TMCB 자체의 양산·운용·이중화 메커니즘은 §6.10·§6.15에서 자세히 다룬다.

TMCD(TERACODE Multi-path Control Device)는 현장에 배치되는 초경량 MCU 기반 노드다. 센싱 노드와 제어 노드 두 계열로 구성되며, 모든 노드는 동일한 통신 구조와 펌웨어 아키텍처를 공유한다. 각 노드는 측정값·상태·이벤트를 BLE Coded PHY Adv 채널로 broadcast하고, TMCC로부터의 다운링크 응답을 BLE Adv로 수신한다.

TMCS가 PLC·필드버스와 구조적으로 갈라지는 지점은 제어·이벤트의 전달 방식이다. 성능을 정확히 보려면 PLC의 내부 scan time이 아니라 분산 노드까지의 end-to-end 제어 지연을 비교해야 한다. PLC scan time은 머신 제어에서 1~20ms로 빠르지만, 이는 PLC 내부 처리 사이클일 뿐이며 원격 노드에 대한 실제 제어 응답이 아니다 [16]. 게다가 그 영역(서보 모션·고속 카운팅·ms급 안전 인터록)은 TMCS의 경쟁 영역이 아니다 — TMCS의 전장은 밸브·환기·펌프·환경 제어 등 분산 설비 제어이며, 이 영역의 실제 제어 주기는 초~분 단위다(예: 환기는 건물 온도 기반, 사료는 분 단위 타이머, 디버터 제어는 1Hz 수준).

분산 노드 제어에서 PLC가 외부 장비에 명령을 전달하는 경로는 필드버스가 지배한다. PLC는 scan end 시점에 출력을 갱신하고, Modbus RTU(9600 baud 기준 디바이스당 50~100ms)나 Modbus TCP/MC 프로토콜(약 10ms) 트랜잭션으로 슬레이브에 전달하며, 슬레이브 처리 지연이 더해진다. 단일 노드만 보면 Modbus TCP(약 40ms)가 빠를 수 있으나, 분산 다수 노드에서는 구조가 무너진다 — Modbus는 마스터가 슬레이브를 순차 폴링하는 구조라, 노드 수가 늘면 폴 사이클이 선형으로 증가한다 [15][16]. 실제로 9600 baud 단일 RS-485 버스에 32개 디바이스를 물린 경우 최악 폴 사이클이 약 4초에 이른다. 수백 노드 규모에서는 단일 버스 수용이 불가하여 다중 세그먼트로 분할해야 하고, 분할하더라도 특정 노드에 제어를 내리려면 그 노드의 폴링 차례를 기다려야 한다.

더 결정적인 것은 event 응답이다. Modbus 슬레이브는 마스터가 질의할 때까지 응답할 수 없다 — 인터럽트나 비요청 메시지 능력이 없으므로, 화재·이상·임계 초과 같은 긴급 이벤트가 발생해도 자기 폴 차례가 올 때까지 그 이벤트를 들고 대기해야 한다. 폴 사이클이 수초면 알람도 수초 늦는다. 즉 폴링 아키텍처에서는 제어(다운링크)도 이벤트(업링크)도 모두 마스터 폴링 사이클에 직렬화된다.

TMCS는 양방향 모두 polling-free다. 다운링크는 게이트웨이가 UID로 특정 노드를 직접 타겟하여 송출하므로, 노드 수와 무관하게 특정 노드 제어가 일정하다 — 단일 노드 평균 약 24ms, 공간 보안 multi-path downlink(2대 합의) 기준 약 48ms다(§5.2). 폴 사이클이 존재하지 않는다. 업링크는 TMCD가 이벤트를 자발적으로 송출하는 event-driven 구조다 — 노드가 센서 임계 초과·상태 변화·이상을 감지하면 누가 묻기를 기다리지 않고 그 순간 즉시(anytime) 업링크를 broadcast하며, 항상 scan 중인 게이트웨이가 이를 즉시 수신한다. 업링크는 "누락 허용 + fire-and-forget"으로 설계되어, 이벤트는 발생 즉시(anytime), 정기 상태는 30초 주기로 분리된다 — 별도의 생존 하트비트를 두지 않으며, 30초 정기 상태 보고가 생존 신호를 겸한다. Modbus가 이 둘을 모두 폴링 하나에 가두는 것과 달리, TMCS는 긴급 이벤트를 폴 사이클에서 분리한다.

이는 단순 속도 차이가 아니라 아키텍처 차이다. BLE 광고의 broadcast 특성상 각 노드는 마스터의 허락 없이 자기 의지로 anytime 송신할 수 있다 — 한 번에 한 대만 말할 수 있는 RS-485 단일 버스가 마스터의 교통정리를 요구하는 것과 근본적으로 다르다. 결과적으로 TMCS는 제어(UID 타겟)도 이벤트(자발적 uplink)도 폴 사이클과 무관한, 양방향 polling-free event-driven 분산 제어를 실현한다. 정리하면 — Modbus가 "마스터가 물어봐야 답한다"면, TMCS는 "노드가 할 말 있으면 언제든 한다"이며, 이것이 폴링 기반 PLC·필드버스 구조로는 구조적으로 도달할 수 없는 영역이다.

2경로 구성(기본): 동일 포인트에 동일 모델 TMCD 2대 배치. 한 대가 리포트를 중단하면 TMCC는 즉시 나머지 한 대의 데이터를 채택한다.

3경로 구성(고신뢰): 동일 포인트에 동일 모델 TMCD 3대 배치. TMCC는 세 노드의 리포트를 대상으로 다수결 보팅을 수행한다. 한 노드가 이상값을 리포트하더라도 나머지 두 노드의 정상값이 채택된다.

동일 포인트의 노드들은 동일 모델·동일 측정 변수를 갖는 것이 핵심이다. 예를 들어 특정 구역의 공기 온습도를 측정하는 포인트에는 TMCD-TH 3대가 모두 같은 구역 공기를 측정하여 보고하며, TMCC가 그 값들을 보팅하여 신뢰값을 도출한다.

다중 경로 배치는 단순히 장애 시점의 가용성 확보에만 기여하지 않는다. 운영 중에도 시스템이 진화할 수 있게 한다. FOTA 펌웨어 업데이트는 한 노드를 짧은 시간 동안 재시작 상태에 둔다. 단일 노드 시스템이라면 이 시간이 곧 시스템 공백이지만, 다중 경로 시스템에서는 동일 포인트의 다른 노드가 리포트를 계속하므로 시스템 수준에서는 어떤 공백도 발생하지 않는다. 따라서 신규 알고리즘·보안 패치·기능 개선이 운영 중단 없이 전 노드에 순차 배포될 수 있으며, 시스템이 시간에 따라 학습하고 개선되는 구조가 가능해진다. 다중 경로는 신뢰성 메커니즘이자 동시에 진화 메커니즘이다.

TMCS는 노드(TMCD)·BaseStation(TMCB)·서버(TMCC) 세 계층으로 구성된다. WAN 또는 중앙 서버 장애에 대비하여 Local TMCC가 현장에 함께 배치되지만, 이는 별도의 계층이 아니라 동일한 TMCC 소프트웨어의 대리 인스턴스다. 평상시 Local TMCC는 운용 트래픽을 받지 않는 비활성(idle) 상태로 대기하며, TMCC로부터 최신 정책과 노드 상태 스냅샷을 주기적으로 동기화하여 비상 인계 준비 상태를 유지한다.

1단계 — 평상시 (TMCC 정상 운영): 모든 TMCD는 TMCB를 통해 TMCC에 리포트하고 정책을 수신한다. Local TMCC는 트래픽을 받지 않으며, 백그라운드로 정책 동기화만 수행한다.

2단계 — 비상시 (Local TMCC 인계): WAN 연결이 단절되거나 TMCC 응답이 일정 시간 내에 오지 않으면, TMCB는 즉각적으로 forward 목적지를 Local TMCC로 전환한다. Local TMCC는 동기화해 둔 최신 정책으로 즉시 TMCC 역할을 대리 수행한다. WAN이 복구되면 TMCB는 다시 TMCC로 forward를 복귀하고 Local TMCC는 비활성 상태로 돌아간다.

TMCS는 제어 노드별 비밀키 분배·암호 페이로드 없이, 다중 수신기 토폴로지 자체가 제공하는 물리적 정보로 무선 제어의 위변조를 다룬다. 보안의 뿌리를 비밀(secret)에서 공간(space)으로 옮기는 접근이며, 본 백서는 이를 공간 보안(spatial security)이라 칭한다. 이 메커니즘은 별도 하드웨어가 아니라 §5.3의 다수 TMCB 동시 수신 토폴로지와 §4의 멱등 모델이 이미 만들어내는 구조에서 자연 발생한다.

원리 — RSSI 공간 지문. 무선은 공유 매체이므로 임의의 송신은 권역 내 모든 TMCB에 동시 수신된다. 고정 위치의 송신원은 복수 TMCB에서 관측되는 RSSI 값들의 벡터로 특징지어지며, 본 백서는 이 벡터를 송신원의 공간 지문(spatial fingerprint)이라 한다. 핵심 성질은 수신기 간 RSSI 차이가 송신원 위치에 의해 결정되고 송신 전력에는 불변(전력은 차이에서 소거)이라는 점이다. 따라서 미인가 송신원이 출력만 조정해서는 벡터를 모사할 수 없다. 특히 금속·다중경로가 지배적인 산업 환경에서 공간 지문은 위치에 대해 파장 단위로 민감하여, 송신원 위치에 강하게 결속된다. 나아가 노드가 하향 명령 수용에 사용하는 기준 지문(각 TMCB에 대해 학습한 RSSI)은 노드 위치에서 로컬로 측정·보관될 뿐 어떤 패킷에도 실려 전송되지 않으므로, 공중에서 스니핑할 대상 자체가 없다(비관측성, unobservability). 공격자가 TMCB의 다운링크를 아무리 엿들어도 그것은 공격자 위치에서 측정한 RSSI이지 노드 위치의 값이 아니며, TMCB→노드 채널과 TMCB→공격자 채널은 파장 단위로 비상관화되어 다르다. 따라서 공격자는 맞춰야 할 기준값 자체를 원격에서 관측하거나 계산할 수 없고, header의 TMCB-ID가 평문이어서 사칭은 자유로워도 전력 조정만으로는 노드의 학습 지문에 부합시킬 수 없다 — 이 기준값을 알아내려면 노드 안테나 위치를 물리적으로 점유해야 하며, 그 순간 위협은 다시 물리 접근 공격으로 환원된다.

양방향 비대칭 사용. 공간 지문은 통신의 두 방향에서 비대칭으로 작동한다. 상향(보고)은 1:N — 단일 노드의 송신을 다수 TMCB가 관측한다. TMCC는 각 TMCB가 보고한 RSSI 벡터를 해당 노드에 대해 사전 학습된 기준 공간 지문과 대조하여, 부합하지 않는 보고를 위조로 거부한다(전력 불변이므로 위치가 다른 송신원은 벡터를 못 만든다). 하향(제어)은 N:1 — TMCC가 하나의 제어 명령을 RSSI 상위 2대(1·2위)의 TMCB를 통해 동시 송출한다(이를 multi-path downlink, 다중 경로 다운링크라 한다; §4). 대상 노드는 각 TMCB로부터 평소 수신하는 RSSI를 TMCB별 기준 지문으로 학습해 두고, 상호 일치하는 동일 명령을 2개의 TMCB로부터 각각 그 TMCB의 학습된 지문에 부합하는 RSSI로 수신한 경우에만 명령을 수용한다. 단일 공격자는 전력 조정으로 단일 지문은 흉내 낼 수 있으나, 서로 다른 위치의 2개 지문을 동시에 모사하기는 어렵다.

탐지·위치추정·복구. TMCC는 자신이 발행한 명령의 기록을 보유한다. 공격자의 위변조 명령 역시 다중 관측에 의해 TMCB들을 통해 TMCC에 전달되므로, "발행하지 않은 제어 패킷"의 관측 자체가 위변조 시도로 즉시 탐지되며, 복수 TMCB의 RSSI 벡터로 공격 송신원의 위치가 추정된다. 노드가 위변조에 일시 반응해 상태가 변한 경우, 그 상태 보고가 TMCC의 지시 이력과 불일치하므로 명령 엿듣기와 독립적인 제2의 탐지 경로가 된다. 비정상 상태가 탐지되면 TMCC는 멱등 상태(§4)를 재지시하여 일시 오작동을 즉시 원복한다. 재전송(replay) 공격은 별도 시퀀스 관리 없이 구조적으로 차단된다. 공격자가 과거의 정상 명령(예: "pump ON")을 캡처해 임의 시점에 재생하더라도, 그 송신은 공격자 위치의 공간 지문을 가지므로 노드가 학습한 정상 경로(RSSI 상위 2대 TMCB)의 지문과 불일치하여 수용 단계에서 거부된다 — 즉 재생된 패킷은 시점과 무관하게 애초에 명령으로 성립하지 않는다. 따라서 시퀀스 번호나 카운터로 "오래된 명령"을 식별할 필요 자체가 없다. 한편 정상 경로를 통한 동일 명령의 반복(재시도 등)은 멱등 상태 모델에서 동일 상태의 재확인일 뿐이어서 무해하다 — 위조의 거부와 정상 반복의 무해성은 별개의 두 성질이다.

보안 위상. 본 메커니즘의 목표는 "암호학적으로 위조 불가능"이 아니라, 원격 무선 위변조의 비용을 물리적 접근 공격 수준으로 상승시키고, 설령 일시 성공하더라도 즉시 탐지·위치추정·복구되도록 하는 것이다. 환경 의존적 확률 예방 + 탐지 + 복구의 3단 방어이며, 절대적 불가능을 주장하지 않는다(한계는 §9.2). 이 접근의 직접적 이득은 — 노드별 비밀키의 분배·보관·갱신이 불필요하고, 협대역 Adv 매체에 서명·암호 페이로드를 추가하지 않아 airtime 부담이 없으며, 다중 관측 구조가 별도 비용 없이 무선 감시망을 형성한다는 것이다. 이로써 페이로드는 평문으로 전송되며, TMCB는 어떤 보안 자산도 보유하지 않는 stateless forwarder 사상과 완전 정합한다.

4. TMCC 오케스트레이션 계층

본 장은 "두뇌가 소프트웨어이고 서버에서 돌기에 PLC가 못 하던 AI까지 얹는다"는 전략을 다룬다. TMCC는 PLC를 소프트웨어로 대체한 결과 쌓이는 데이터 위에서, PLC가 할 수 없던 사전 예방을 수행하는 계층이다.

TMCC는 TMCS의 지능이 집중된 계층이지만, 그 지능은 단일한 AI 모듈에 집중되지 않는다. TMCC는 두 가지 성격이 다른 책임을 명확히 분리하여 수행한다.

① 결정론적 신뢰성 계층 [실증·운영 검증]. 다중 경로 노드의 리포트 수집(멱등 처리로 중복 수신을 그대로 반영), 통계 기반 다수결 보팅을 통한 신뢰 경로 선택, 노드 완전 장애 감지 및 즉시 절체. 이 계층은 AI를 사용하지 않으며 결정론적 로직으로 동작한다. 신뢰성과 시스템 가용성에 직결되는 영역에서 결정론적 동작 보장이 우선되기 때문이다. 본 계층은 현재 운영 펌웨어와 TMCC 코드베이스에 구현되어 있으며, §8의 첫 상용 적용에서 작동한다.

② AI 지능 운영 계층 [설계·데이터 누적 단계]. 다중 경로 시계열 데이터를 지속 모니터링하여 개별 노드의 장애 조짐을 사전 탐지하도록 설계된 계층, 도메인 측정값의 이상 패턴 학습 기반 탐지. 이 계층은 결정론적 임계값으로 정의할 수 없는 패턴을 학습 기반으로 다루기 위해 도입되었다. 본 계층은 데이터 파이프라인과 inference 인프라가 설계 완료된 단계이며, 상용 운영 누적으로 충분한 학습 데이터셋이 형성된 이후 본격 작동한다. 현 단계에서 본 계층의 가치 명제는 학습 자산을 자체 생성하는 다중 경로 인프라(전략 2)와의 구조적 정합에 있으며, 모델 구조·예측 정확도·운영 효과의 정량 검증은 §8.2 차원 1에서 향후 과제로 다룬다.

이 분업 구조는 의도적이다. 가용성을 보장하는 신뢰성 메커니즘은 결정론적이어야 하고, 그 위에서 운영 품질을 끌어올리는 지능형 응용은 학습 기반에 적합하다. 두 계층은 동일한 데이터 파이프라인 위에서 병렬로 동작하도록 설계되며, §4.4에서 다루는 Local TMCC 폴백·복귀 메커니즘이 두 계층 모두에 적용된다.

모든 TMCD는 측정값·상태·이벤트가 발생할 때마다 TMCC에 trans-action 단위로 보고한다. 동일 TMCD의 한 트랜잭션은 권역 내 다수 TMCB로부터 RSSI 메타데이터와 함께 중복 수신되는 것이 정상 동작이다. TMCC의 신뢰 경로 선택은 결정론적 통계 로직으로 수행되며, 다음 단계로 동작한다.

• 단계 0 — 멱등 수신 (dedup 불필요): 동일 패킷이 다수 TMCB로부터 중복 수신되더라도, TMCS는 멱등성 보장 시스템이므로 별도의 중복 제거(dedup) 없이 모두 반영한다 — 같은 보고는 같은 상태의 재확인일 뿐이어서 무해하다. 다운링크는 RSSI 상위 2대(1·2위)의 TMCB를 통해 동시 송출하여, 노드가 §3.6의 공간 지문 합의로 명령을 수용하도록 한다.
• 단계 1 — 가용성 필터링: 직전 윈도우 내에 리포트가 수신된 노드만 후보로 간주한다. 리포트 미수신 노드는 즉시 장애 후보로 분류된다.
• 단계 2 — 다수결 보팅: 3경로 구성에서 각 노드의 값을 비교하여, 한 노드의 값이 나머지 두 노드와 통계적으로 유의미하게 이탈할 경우 이상 노드로 분류하고 나머지 두 노드의 다수결 값을 채택한다.
• 단계 3 — 연속성 평가: 이상값 필터링을 통과한 후보 노드 중 과거 일정 기간 안정적 이력을 유지한 노드를 주 경로로 선택하여 노이즈성 오절체를 방지한다.

저비용 다중 경로 인프라는 신뢰성의 토대를 제공하지만, 시간이 지남에 따라 개별 노드의 점진적 열화는 피할 수 없다. 센서 드리프트의 초기 단계, 간헐적 통신 지연, 미세한 분포 변동은 단일 시점의 보팅 로직으로는 검출되지 않는다. 이 영역이 학습 기반 분석이 결정적 가치를 제공할 수 있는 자리이며, 본 절은 TMCS가 그 응용을 어떻게 설계했는지를 다룬다. (H2) 가설에 해당하며, 모델 구조와 정량 검증은 상용 운영 누적 이후 후속 publication에서 다룬다.

TMCC의 사전 장애 예측 AI는 다음 입력을 활용하도록 설계된다.

• 다중 경로 비교 시계열: 동일 포인트의 2~3개 노드가 동시에 생성하는 데이터의 시간적 정합성. 한 노드의 값이 다른 노드들 대비 지속적으로 미세하게 표류하는 패턴 탐지.
• 리포트 메타데이터 시계열: 응답 지연, 패킷 결손, 재시도 빈도, TMCB-level RSSI 추세 등 통신 계층의 미세 신호.
• 환경 컨텍스트: 같은 환경에 있는 다른 노드들의 패턴과의 비교로, 진정한 노드 열화와 환경 변화에 의한 정상 변동을 구분.

출력은 노드별 장애 위험도 점수이며, 일정 임계값을 초과하면 운영자에게 사전 교체 알림이 전달되도록 설계된다. 이 시점에서 노드는 아직 정상 동작 중이므로 시스템 가용성에는 영향이 없으며, 운영자는 다음 정기 방문 시 해당 노드를 교체할 수 있다. 저비용 노드의 한계가 시스템 수준 신뢰성으로 보완되는 동시에, AI가 그 저비용 노드의 수명까지 미리 추정해 운영 효율을 극대화하는 구조이며 — 본 가치 명제의 정량 검증은 상용 운영 누적 후 별도 publication에서 다룬다.

TMCC는 평상시 모든 TMCD의 트래픽을 단독으로 처리하며, AI 모델 추론·학습·통합 관제·장기 데이터 저장·FOTA 배포를 담당한다. 클라우드 또는 온프레미스 리눅스 서버에서 운영되며, 현장 환경에 따라 폐쇄망에 배치된다.

Local TMCC는 별도의 운영 계층이 아니라 동일 소프트웨어의 비상 대리 인스턴스다. 평상시에는 TMCD 트래픽을 받지 않는 비활성(idle) 상태로 대기하면서, TMCC로부터 최신 정책·AI 추론 결과·노드 상태 스냅샷을 주기적으로 동기화한다. WAN 단절 또는 TMCC 무응답이 감지되면 TMCB는 forward 목적지를 Local TMCC로 전환하며, Local TMCC가 동기화해 둔 정책으로 즉시 TMCC 역할을 대리 수행한다. 정상 복구 시 다시 비활성 상태로 돌아간다. Local TMCC 자체는 팬리스 싱글보드컴퓨터 3대를 3중화 구성으로 운영하여, 비상 폴백 자산 자체에도 단일 장애점이 존재하지 않도록 한다.

5. TMCB BaseStation

본 장은 "PLC의 유선을 무선으로 끊는다"는 전략의 구현체인 TMCB를 다룬다. TMCB는 매체의 신뢰성 로직(retry·voting·경로 선택)을 하드웨어가 아니라 TMCC application layer에 응집시키는 stateless forwarder이며, 자기 자신은 어떤 application 상태도 보유하지 않는다.

TMCB는 TMCD와 TMCC 사이에 위치하는 BLE Coded PHY 기반 무선 매체 중계기다. 본 시스템의 다른 무선 게이트웨이 사상과 결정적으로 다른 점은, TMCB가 application layer 로직을 일체 보유하지 않는다는 것이다. retry 정책·timing·matching·라우팅·QoS — 이 모든 application 결정은 TMCC가 단독으로 수행하며, TMCB는 수신한 Adv 패킷에 RSSI 메타데이터만 부착하여 TMCC로 단순 forward한다.

여기서 "stateless"의 경계를 정확히 한다. TMCB가 보유하지 않는 것은 application 상태다 — 트랜잭션 컨텍스트, 세션, 명령 이력, retry/matching/voting 결정, 보안 자산은 일체 없으며, 같은 패킷을 받은 모든 TMCB는 application 의미에서 완전히 등가다(어느 TMCB가 forward해도 결과가 같다). 반면 backhaul의 transport 차원 동작은 보유한다 — 즉 TMCC로의 연결 헬스체크, 무응답 판정, forward 목적지를 Local TMCC로 절체하는 폴백(§3.5·§4.5)이다. 이는 "어디로 보낼지"를 결정하는 전송 계층 라우팅일 뿐, "무엇을·어떻게 처리할지"라는 application 판단이 아니다. 패킷의 내용·해석·제어 결정은 전적으로 TMCC에 남으므로, 목적지가 중앙 TMCC든 Local TMCC든 TMCB가 하는 일은 동일한 "바이트 부착·forward"이며 application stateless 사상은 깨지지 않는다.

이 stateless 사상의 직접적 귀결은 세 가지다. 첫째, TMCB는 어떤 보안 자산도 보유하지 않는다 — 암호 키, 세션 토큰, 인증서 모두 부재. 보안이 비밀이 아니라 공간(RSSI 공간 지문, §3.6)에 기반하므로, TMCB가 침해되어도 빼낼 키 자체가 없다. 침해된 TMCB가 위조 패킷을 주입하더라도, 그 TMCB 위치의 공간 지문은 정상 노드의 것과 다르므로 TMCC의 1:N 소스 검증과 노드의 N:1 합의 수용에 의해 자연 배제된다. 둘째, TMCB는 양산·교체·증설이 자유롭다. 새 TMCB를 권역에 추가하면 즉시 forward 풀에 합류하고, 고장 TMCB를 빼면 다른 TMCB가 동일 패킷을 자연스럽게 흡수한다. 셋째, TMCB 자체에 대한 운영 부담이 본질적으로 작다 — 펌웨어 업데이트·정책 동기화·세션 관리가 필요 없다.

TMCS의 무선 매체로 BLE Coded PHY S=8을 채택한 근거는 산업 RF 환경의 본질적 적대성에 있다. 산업 현장은 금속 차폐, 다층 간섭, 산업 무선 기기 밀집의 세 가지 적대 조건이 동시에 작용하며, 표준 무선 매체로는 안정 통신 권역을 확보하기 어렵다. BLE Coded PHY S=8은 BLE 5.0 표준에서 도입된 forward error correction 모드로, 표준 1M PHY 대비 +12dB의 link budget과 약 4배의 도달 거리를 제공한다. 동일 송신 전력으로 약 16배 면적의 안정 통신 권역이 형성된다.

Coded PHY S=8과 함께 connection-less Adv 모델을 채택한 것도 본 시스템의 핵심 결정이다. BLE의 connection-oriented 모드(GATT 등)는 association·세션 관리·QoS 협상의 오버헤드를 동반하며, 다수 디바이스의 brief 트랜잭션 패턴에 본질적으로 부적합하다. Adv 채널은 사전 association 없이 즉시 송수신이 가능하므로 — 노드 측 펌웨어는 단순 송신 루프와 수신 루프만 구현하면 되고, 새 노드의 등장은 권역 내 TMCB가 자연스럽게 수신하여 TMCC로 forward하므로 사이트 측 설정도 불필요하다.

Adv 채널 37·38·39를 모두 활용하여 단일 채널 간섭에 대한 자연 redundancy도 확보된다.

본 시스템의 핵심 신뢰성 메커니즘 중 하나는 다수 TMCB의 동시 수신이다. 권역 내 한 TMCD가 Adv 패킷을 broadcast하면, 권역 내 모든 TMCB가 동일 패킷을 수신하고 각자 RSSI 메타데이터와 함께 TMCC로 forward한다. TMCC는 application layer에서 이 중복 수신을 멱등하게 처리한다 — 별도 dedup 없이 모두 반영하며, 같은 보고는 같은 상태의 재확인이므로 무해하다.

이 구조의 결과로 통신 매체에 자연 redundancy가 형성된다 — 한 TMCB가 일시적으로 패킷을 놓치거나 장애가 나도, 다른 TMCB가 동일 패킷을 받았을 가능성이 높다. RSSI 메타데이터는 다운링크 시점에 활용된다 — TMCC는 같은 노드의 직전 패킷을 강한 RSSI로 수신한 TMCB들을 RSSI 순으로 정렬하여, 상위 2대(1·2위)의 TMCB를 통해 동일 명령을 동시에 송출한다. 이는 매체의 link budget을 동적으로 활용하는 동시에, 노드가 §3.6 공간 보안의 하향 수용 규칙(2개 TMCB의 학습된 지문에 모두 부합하는 일치 명령만 수용)을 적용할 수 있게 하는 전제가 된다. 노드가 권역 내에서 이동하거나 환경 RF 조건이 변해도 항상 그 순간의 상위 경로들로 응답이 송출된다.

그림 5의 의의. Connection-less 무선 매체 위에서 stateless forwarder 다수가 동시 수신하고 application layer가 통합 처리하는 본 구조는, 매체의 신뢰성을 매체 자체의 강건성이 아니라 소프트웨어의 다중화 처리로 확보하는 사상이다.

TMCB의 forward는 의도적으로 단순하다. 수신한 Adv 패킷에 대해 TMCB가 수행하는 작업은 (a) 패킷 무결성 검증(BLE 매체 차원 CRC), (b) 수신 RSSI 측정, (c) (TMCB ID, RSSI, timestamp) 메타데이터를 패킷에 부착, (d) TMCC로 UDP 또는 TCP forward, 네 단계뿐이다. 어떤 application 차원의 판단도 하지 않는다.

TMCC의 다운링크 경로 결정은 application layer에서 이루어진다. TMCC는 같은 UID의 최근 N개 업링크 패킷에 대해 각 TMCB의 RSSI 평균·분산·수신 성공률을 통계적으로 추적한다. 다운링크가 필요한 시점에 가장 안정적인 RSSI 프로파일을 가진 상위 2대(1·2위)의 TMCB를 선택하여, 그 TMCB들에 동일 명령의 다운링크 Adv 동시 송출을 지시한다. 선택된 TMCB들은 지정된 BLE 채널과 시점에 Adv를 송출하고, 노드의 Adv 수신 루프가 이를 수신하여 §3.6의 공간 지문 합의로 수용 여부를 판정한다. 매체 차원의 신뢰성 로직(retry·timeout·재시도)도 동일하게 TMCC application layer에 응집된다 — TMCB는 단순 송출 지시를 수행할 뿐이다.

6. TMCD 노드 설계

본 장은 "PLC의 유선을 무선으로 끊는다"는 전략이 노드 차원에서 어떻게 구현되는지를 다룬다. 각 TMCD는 다중 경로의 한 단위이자 BLE 무선 매체의 종단점이며, 두 통신 계층(TMCC 통신·필드버스)을 한 보드에서 결합한다.

TMCD는 초경량 MCU를 탑재한 자체 설계·제조 PCB로 구현되며, 센싱 계열과 제어 계열로 분류된다. 계열과 모델에 관계없이 모든 TMCD는 동일한 통신 구조, 펌웨어 아키텍처, 생명주기 관리 방식을 공유한다.

센싱 노드 계열

제어 노드 계열

TMCS의 모든 TMCD는 단순한 센서 단말이나 고정 기능 액추에이터가 아니다. 센싱 계열이든 제어 계열이든, 모든 TMCD는 동등한 연산 능력을 갖춘 스마트 노드(Smart Node)다. 160MHz 클럭의 초경량 MCU가 모든 노드에 탑재되어 있으며, 각 노드는 자체 펌웨어 위에서 독립적인 프로그램을 실행한다. FOTA를 통해 원격으로 펌웨어를 교체할 수 있으며, 펌웨어 교체만으로 노드의 역할 자체가 재정의될 수 있다.

TMCD의 핵심 운용 철학은 제로 컨피그(Zero Configuration)다. 노드는 출고 시 사이트별 식별 정보가 펌웨어에 내장되어 있으며, 전원을 연결하는 즉시 BLE Coded PHY Adv 채널로 Adv 패킷 송출을 시작한다. 별도의 IP 설정, 네트워크 자격증명, 디바이스 등록 절차, 현장 엔지니어의 개입이 모두 불필요하다. TMCC는 새 UID의 최초 트랜잭션 수신 즉시 노드를 자동 인식하고 오케스트레이션 대상에 편입한다. 노드 교체 시에도 동일한 원칙이 적용된다.

BLE Adv 매체의 connection-less 사상이 제로 컨피그 운용을 본질적으로 단순하게 만든다. association·페어링·세션 핸드셰이크가 없으므로 노드 측 펌웨어는 Adv 송출 루프와 Adv 수신 루프만 구현하면 되고, 추가 노드의 등장은 권역 내 TMCB가 자연스럽게 수신하여 TMCC로 forward하므로 사이트 측 설정도 불필요하다.

모든 TMCD의 펌웨어는 공통 계층과 모델별 계층으로 구성된다. 공통 계층은 BLE Coded PHY Adv 송수신, TMCC 트랜잭션 처리, Watchdog 및 자기 리셋, FOTA를 담당한다. 모델별 계층은 각 TMCD 모델의 고유 기능(센서 드라이버, 액추에이터 제어 등)을 담당한다. 노드는 평상시 Adv 송신/수신 루프에 머무르며, 자체 watchdog과 펌웨어 안정성 메커니즘으로 누적 결함을 방지한다.

TMCD와 TMCC 간의 모든 데이터 교환은 TMCP(TERACODE Multi-path Control Protocol)를 통해 이루어진다. TMCP는 고정 길이 바이너리 구조체로 정의되며, 별도의 암호 처리 없이 평문으로 BLE Coded PHY Adv manufacturer-specific data 영역에 적재된다 — 위변조 방어는 암호가 아니라 §3.6의 공간 보안(RSSI 공간 지문)이 담당한다. 구조는 다음과 같다.

전체 12바이트 평문 고정 프레임이다. 이 짧은 airtime이 두 가지를 가능케 한다 — 첫째, §4의 다운링크 다중 송출(RSSI 상위 2대 동시 송출)을 부담 없이 수행하여 공간 보안의 하향 수용 합의를 성립시킨다. 둘째, 매체 점유 시간이 짧아 단일 trial PER과 지연에 유리하다(§5.2). header 6바이트는 평문이므로 TMCB가 라우팅·RSSI 계산에 즉시 활용할 수 있으며, TMCB는 어떤 보안 자산도 보유하지 않는 stateless forwarder 사상과 정합한다. 위변조 예방·탐지·복구의 전모는 §3.6에서 다룬다.

TMCS는 brief 트랜잭션의 실시간 제어를 정조준한다. BLE Coded PHY Adv 채널의 connection-less 모델은 association·세션 관리·QoS 협상의 오버헤드 없이 매 트랜잭션을 독립적으로 처리하므로, "측정값 발생 → Adv 송출 → 다수 TMCB 수신 → TMCC application 처리 → 다운링크 응답"의 전 과정이 매우 짧은 시간 안에 완료된다.

이 실시간 제어 사상의 핵심은 노드 측에 어떤 통신 상태도 누적되지 않는다는 점이다. 노드는 Adv를 송출만 하고 즉시 다음 동작으로 진행하며, 응답 Adv는 Adv 수신 루프에서 자연스럽게 수신된다. 영구 소켓 유지·세션 재협상·QoS 큐 관리 같은 부담이 없으므로 매 트랜잭션이 독립적이고 멱등이며, 실패 시 단순 재송신으로 복원된다.

정량적으로, 단일 노드 제어는 멱등 재전송 + 매 송신 ACK 확인 모델에서 10,000건 실측 기준 4 trial 안에 99.99% 신뢰성에 도달하며(trial1 90.53% → trial4 99.99%, §5.2), 평균 제어 지연은 약 23.8ms·worst-case 약 130ms로 200ms 스펙 안에 든다. 성공 ACK의 99.3%가 단일 봉우리에 집중되어 제어 지터는 1ms 미만 수준이다 — 무선이면서도 PLC 스캔 사이클의 결정론성에 필적한다. 운영 제어는 공간 보안(§3.6)을 위해 RSSI 상위 2대 TMCB를 통한 multi-path downlink로 송출되며, 2대 직렬 송출 기준 제어 완료는 단일 노드의 약 2배(평균 ~48ms)다. 이는 분산 설비 제어 현장의 실제 요구(§3.3)를 한 자릿수 배수로 상회하는 응답이다.

TMCS의 통신은 두 계층으로 명확히 구분된다. 위 계층은 TMCD와 TMCC 사이의 정책·보고 채널(TMCB 경유)이고, 아래 계층은 TMCD와 외부 필드 장비 사이의 제어 버스다. 두 계층은 역할도, 매체도, 트래픽 특성도 다르다.

TMCC 통신 계층 (TMCD ↔ TMCB ↔ TMCC). 모든 TMCD는 이 계층에서 BLE Coded PHY Adv 채널을 통해 TMCC와 통신한다. TMCD가 TMCP 패킷을 권역 내 다수 TMCB로 broadcast하고, 각 TMCB가 RSSI 메타데이터와 함께 TMCC로 forward한다. TMCC는 application layer에서 voting을 수행하고, 다운링크는 RSSI 상위 2대(1·2위)의 TMCB를 통해 동시 송출되어 노드의 공간 지문 합의 수용(§3.6)을 가능케 한다. TMCB는 stateless forwarder로, retry·timing·matching 등 application 로직은 모두 TMCC가 담당한다.

필드버스 계층 (TMCD ↔ 외부 장비). 이 계층은 TMCD가 외부 산업 장비를 실제로 구동·감시하는 물리 인터페이스다. 매체는 장비 종류에 따라 달라진다 — 릴레이로 ON/OFF되는 장비(밸브·펌프·히터·환기팬·릴레이 부하 일반)는 TMCD-DIO의 디지털 출력/입력으로, RS-485 슬레이브를 노출하는 산업 장비(인버터, HVAC 냉난방기, 산업 컨트롤러)는 TMCD-485의 RS-485 차동쌍으로, 가변 출력 제어가 필요한 부하는 TMCD-PWM으로 결합된다.

두 계층은 대체 관계가 아니라 직교 관계다. 같은 TMCD-485 노드가 BLE Adv로 TMCC와 통신하면서 동시에 RS-485로 HVAC를 제어한다 — 노드 안에서 두 계층이 결합된다. 따라서 본 절의 "다중 경로" 개념은 두 계층 각각에 독립적으로 적용된다. TMCC 통신 계층의 이중화는 §6.15에서, 필드버스 계층의 이중화는 §6.13(DPDT 진단 폴 분리 결선)와 §6.14(RS-485 단일 결선점 수렴)에서 다룬다.

[ 보드 레벨 신뢰성 ]

이하 절은 노드가 산업 환경의 전기적 사고·결선 결함·EMC 위협을 보드 차원에서 어떻게 흡수하는지를 다룬다. 시스템 레벨 다중 경로 위에 보드 레벨 신뢰성이 결합되어야, 저비용 노드가 산업급으로 작동한다.

분산 제어 노드는 시스템 레벨 다중 경로 위에 노드 자체의 보드 레벨 신뢰성 설계가 결합되어야 산업 환경에서 작동한다. 본 장은 TMCS의 두 대표 제어 노드 — 외부 액추에이터(릴레이·밸브·펌프)를 직접 구동하는 TMCD-DIO와 RS-485로 인버터·HVAC를 제어하는 TMCD-485 — 를 사례로, 보급형 단가에서 산업급 신뢰성을 어떻게 확보하는지 정리한다. 구성 순서는 (1) 두 노드에 공통된 보드 기초 설계 §6.10~§6.12, (2) 각 노드별 이중화 메커니즘 §6.13(TMCD-DIO)·§6.14(TMCD-485), (3) 이 모두를 포섭하는 시스템 레벨 이중화 §6.15 순으로 전개한다.

TMCD-DIO 보드는 LOGIC 도메인(MCU·USB·3.3V 로직)과 FIELD 도메인(24V DC 산업 전원·외부 릴레이 코일·산업 케이블)을 회로 차원에서 완전 분리한다. 두 도메인 간 신호 통과는 옵토커플러 두 대(입력·출력 각 1ch, 5kVrms 절연)와 절연 DC-DC 컨버터(3kVDC 절연)의 패키지 자체 절연으로만 이뤄지며, PCB 상에서도 두 폴리곤 사이에 4mm 이상의 클리어런스를 두어 IEC 60664 reinforced isolation 기준(2.5kVrms)을 상회하는 마진을 확보한다. 결과적으로 외부 산업 전원·외부 케이블에서 발생하는 모든 전기적 사고(서지·EFT·접지 루프)는 LOGIC 도메인으로 전이되지 않으며, 노드 간 공통 모드 장애 경로 자체가 회로 차원에서 차단된다. 동일 절연 사상은 TMCD-485 보드에도 적용되어, RS-485 차동쌍 측이 LOGIC 도메인과 갈바닉 절연된다.

24V DC 산업 전원이 보드에 인입되는 지점에 (i) P-Ch MOSFET 기반 역결선 보호 — 현장에서 ± 단자를 잘못 결선해도 자동 차단, (ii) 자가복귀형 PolySwitch 메인 퓨즈, (iii) 양방향 TVS 다이오드 — IEC 61000-4-5 ±1kV 서지를 53V 이내로 클램프, (iv) 페라이트 비드 — 고주파 노이즈 차단의 4중 보호를 직렬 배치한다. DO 출력 분기에는 별도의 더 작은 PolySwitch를 추가로 두어, 외부 코일 단락 시 메인 퓨즈보다 분기 퓨즈가 먼저 트립되도록 selectivity를 확보한다. 결과적으로 외부 코일 단락이 발생해도 보드 본체의 전원·통신은 살아남아 사고 보고가 즉시 TMCC로 전달된다 — 장애 자체가 모니터링의 일부로 흡수되는 구조다. 본 보호 사상은 TMCD-DIO와 TMCD-485에 공통 적용된다.

TMCD-DIO·TMCD-485는 모두 DIN 35mm 레일 마운트 ABS 케이스에 5.08mm 산업 단자대로 구성되어, 기존 산업 캐비닛에 PLC와 동일한 방식으로 직접 삽입 가능하다. 이는 TMCS가 그린필드 설치뿐 아니라, 인터락·초고밀도 실시간을 제외한 PLC 제어 라인의 점진적 대체, 그리고 PLC 잔존 영역과의 캐비닛 내 공존(상호 연동)에도 적용 가능함을 의미한다. 결정론적 안전 인터락이 PLC 측에 잔존하는 경우에도, TMCS 노드는 동일 캐비닛에서 모니터링·제어·예측·자율 운영 계층을 담당하며 PLC와 디지털 I/O 또는 Modbus 슬레이브 채널로 상호 연동된다(TMCD-DIO 디지털 페어링, TMCD-485 RS-485 통신). 또한 본 보드 설계는 IEC 61000-4-2(ESD ±8kV)·-4-4(EFT ±2kV)·-4-5(Surge ±1kV)·-4-6(전도성 내성) 대응을 1차 양산 단계부터 회로에 반영했으며, KC EMC 적합 등록[11]을 통해 산업 환경 전자파 내성이 공인 검증되었다.

TMCS의 시스템 레벨 다중 경로는 동일 포인트에 복수의 노드를 배치하는 방식이지만, TMCD-DIO처럼 외부 액추에이터(릴레이 코일)를 직접 구동하는 출력 제어 노드의 경우 두 보드의 출력단을 단일 코일에 직접 병렬 연결할 수 있어야 진정한 무중단 인계가 가능하다. 본 절은 출력(DO)과 입력(DI)이 비대칭이라는 점에서 출발하여, 각각에 대한 보드 레벨 이중화 메커니즘을 기술한다.

출력(DO) 측 — Wired-OR. TMCD-DIO는 보드 내부에 두 종류의 격리 다이오드(Vin 측 역류 차단 + 출력 측 역방향 sneak path 차단)를 두어, 외부 시공 없이 두 보드의 출력 단자만 동일 코일에 단순 단락하면 wired-OR 동작이 성립하도록 설계되었다. 이는 시스템 레벨 다중 경로(노드 단위 이중화)와 별개의 보드 레벨 이중화(출력 채널 단위)를 동시에 작동시키는 두 차원의 이중화 구조다.

설계상 한 가지 미묘함이 있다. 다이오드의 비선형 순방향 전압 특성 때문에 두 보드를 동시에 ON 상태로 구동(active-active)해도 50:50 부하 분담은 발생하지 않으며, 순방향 전압이 미세하게 낮은 한 보드가 코일 전류 전체를 부담한다. 회로 안전성에는 영향이 없다 — 단일 보드의 부품 사양만으로도 100% 부담을 충분히 수용한다(출력 MOSFET 67배, 격리 다이오드 23배 마진). 다만 이중화의 본래 의도(부품 발열 분담)는 달성되지 않으므로 두 보드를 시간 축에서 번갈아 운용하는 active-standby가 권장 모드이며, 대기 보드는 fault detection·교체 대기 상태로 활용된다.

입력(DI) 측 — DPDT 진단 폴 분리 결선. 출력은 wired-OR로 OR 논리가 자연스럽지만, 입력은 wired-OR가 작동하지 않는다. 두 노드의 DI를 단순 병렬하면 한 노드의 입력 회로 단락이 다른 노드에 그대로 전파되며, 한 노드가 죽었을 때 신호 자체가 사라진다. 본 발명에서는 DPDT(Double Pole Double Throw) 릴레이의 진단 전용 폴을 사용하여 이 비대칭을 구조적으로 해결한다 [KR 10-2026-0085170, ㈜테라코드인텔리전스 출원, 2026]. DPDT는 단일 코일이 두 폴을 기계적으로 동기 동작시키므로, 액추에이터에 실제 전력을 공급하는 부하 폴(Pole 1)과 별개로 진단 전용 폴(Pole 2)이 동일하게 ON/OFF 상태를 표현한다. 진단 폴의 NO 접점을 노드 #A의 DI에, NC 접점을 노드 #B의 DI에 단독 결선하고, 진단 폴의 COM(공통)을 두 노드의 GND_DI와 공통 결선하여 진단 전류의 폐루프를 형성한다. 각 노드는 자체 내부의 pull-up 전원만으로 동작하며 외부 별도 신호 전원이 부재하다. 코일이 여자되면 #A의 DI가 활성화(LOW)되고 #B는 비활성(HIGH 유지), 비여자 시에는 그 반대 — 두 노드의 DI 신호는 단일 코일의 기계적 동기에 의해 항상 상보적이다.

이 한 부품(DPDT 단일 패키지) 결선만으로 다섯 가지 효과가 동시에 달성된다 — (1) 액추에이터 실제 상태 결정: 두 노드 보고를 합쳐 ON/OFF 확정, (2) 결선 단선 검출: 둘 다 OFF면 상보 위반으로 단선 또는 융착 식별, (3) 노드 고장 검출: 한 노드 응답 부재 시 다른 노드 단독 보고로 상태 부분 추정과 동시에 응답 부재 노드 알림, (4) 두 노드 입력 회로의 자연 격리: DPDT 두 폴 사이의 기계적 절연 저항(통상 ≥100MΩ)이 임피던스 분리 회로나 광커플러 없이도 노드 간 단락·과전압 전파를 차단, (5) 최소 부품 + 기계적 동기 보장: 두 changeover switch + 두 별개 코일을 쓰는 종래 dual-channel 사상 대비 부품을 단일 DPDT로 압축하면서, 두 폴의 동기를 전기적 동기가 아닌 단일 코일의 기계적 link로 보장. TMCC는 두 노드의 분산 보고를 통신 네트워크로 통합 수신하여 NO와 NC의 상보 무결성을 cross-controller 검증한다 — 두 노드 어느 쪽도 단독 SPOF가 아니다.

TMCD-485는 RS-485 필드버스로 외부 산업 장비(인버터·HVAC 냉난방기·산업 컨트롤러·압축기 등)를 직접 제어하는 노드다. 산업 HVAC 냉난방기 제어가 본 구조의 대표 적용 사례다. 여기서 "이중화"의 대상은 TMCC와의 통신 채널이 아니라 외부 장비를 향한 필드버스 제어 경로다 — TMCD가 정책을 TMCC로부터 TMCB를 통해 받아 그것을 RS-485 필드버스로 외부 장비에 인가하는 단계의 신뢰성을 다룬다.

RS-485는 산업 표준 차동쌍 필드버스로 EMI 내성이 우수하나, 단일 RS-485 디바이스에는 통상 단 하나의 A/B 단자만 존재한다. 즉 §6.13의 DPDT 같은 별도 진단 폴이 없고, 외부 액추에이터의 NO/NC 보조 접점도 없다 — 따라서 DI 분리 결선 사상이 그대로 적용되지 않는다.

본 발명은 이 제약을 다음 구조로 해결한다 [KR 10-2026-0085159, ㈜테라코드인텔리전스 출원, 2026]. 두 대의 TMCD-485 노드(#A·#B)가 각자의 별개 차동쌍 케이블을 통해 단일 RS-485 디바이스의 동일 A/B 단자(단일 버스 결선점)에 수렴 결선된다. 두 케이블은 단일 결선점 외에는 물리·전기적으로 분리되어 한 케이블의 단선이 다른 케이블의 정상 동작에 직접 영향을 주지 않는다. TMCC가 매 진단 사이클(상위 제어 주체)마다 두 노드 중 하나를 controller 역할(RS-485 트랜시버 DE 활성, 송신 수행)로, 다른 하나를 verifier 역할(DE 비활성, RE만 활성으로 수신 수행)로 일방적으로 지정한다. controller가 송출한 신호와 디바이스의 응답은 단일 결선점의 수렴 구조에 의해 verifier의 수신 회로에 자연 도달하며, verifier는 캡처한 트래픽 사본을 TMCC 통신 계층(TMCB)을 통해 TMCC에 보고한다 — 이때 TMCB는 필드버스 결함과 fault-isolated된 별개 보고 매체로 기능한다.

핵심 한정자 1 — 진단 사이클의 제어 사이클로부터의 독립 + 가상 진단 트랜잭션. 본 구조의 가장 본질적인 부분이다. 종래 다중화 시스템은 진단이 제어 명령 송출 시점에 종속되어, 제어가 발생하지 않은 idle 기간 동안의 결함이 다음 제어 명령 시점까지 잠복한다 (산업 환경에서 제어 명령은 분~시간 단위로 발생하므로 dormant fault 잠복창이 수분~수시간에 이를 수 있다). 본 발명은 진단 사이클을 제어 사이클로부터 분리하여 운영한다 — 매 진단 사이클 시점에 실 제어 명령이 큐에 있으면 해당 명령으로, 없으면 디바이스 상태에 영향을 주지 않는 가상 진단 트랜잭션(Modbus의 미할당 슬레이브 주소, 예: 0xFE를 헤더로 사용)으로 진단 트랜잭션을 송출한다. 디바이스(주소 0x01)는 어드레스 단계에서 가상 주소를 무시하므로 디바이스 상태는 영향받지 않으며, 단일 결선점에 수렴된 verifier는 송신 신호를 수신하여 controller·결선·verifier 회로의 동작성을 검증한다. 결과적으로 결함 발생부터 검출까지의 잠복 시간 상한이 진단 주기 길이에 의해 한정된다.

핵심 한정자 2 — 매 진단 사이클 강제 역할 순환. 정상 상태에서 어느 노드에도 결함이 검출되지 않더라도 매 진단 사이클의 controller/verifier 역할이 강제로 교대된다 (짝수 사이클 #A=controller·#B=verifier, 홀수 사이클은 그 반대). 어느 노드도 영구적 active도 영구적 standby도 아니다. 이 강제 순환에 의해 매 2 진단 사이클마다 두 노드의 송신 회로·수신 회로·각자의 케이블 양방향 동작성이 모두 교차 검증되며, 종래 hot-standby 구조에서 standby 채널의 동작성이 평상시 검증되지 못하는 구조적 맹점(절체 시점에 standby도 동시 결함이 발견되는 사고)이 구조적으로 회피된다. 또한 이번 사이클의 verifier가 다음 사이클의 controller가 되는 자기 검증형 역할 순환 루프가 형성되어, 검증 수행자 자신이 다음 사이클의 검증 대상이 되는 환류 구조로 작동한다 — 종래 passive monitor·sniffer가 자기 자신을 검증하지 못하는 한계를 구조적으로 극복한다.

응답 패턴에 의한 결함 분류. TMCC는 controller 송출, verifier 보고, 디바이스 응답의 세 신호의 시간 윈도우 일치 여부를 결합하여 결함 위치를 분류한다 — verifier 보고 부재 시 verifier 측 결함, 응답 부재 시 디바이스 또는 단일 버스 매체 결함, controller 송출 타임아웃 시 controller 측 결함. 결함이 의심되면 다음 진단 사이클의 강제 순환으로 의심 노드가 controller가 되어, 한 사이클 내 결함의 위치(송신 회로 vs 수신 회로)를 추가 핀포인트할 수 있다.

적용 일반성. 본 사상은 RS-485에 한정되지 않으며, 어드레스 기반 슬레이브 선택을 갖는 임의의 양방향 버스 매체(I2C, CAN, 기타 필드버스)에 동일하게 적용 가능하다. 어드레스 메커니즘이 부재한 매체(SPI, RS-232C 등)에서는 가상 슬레이브 주소 대신 invalid opcode 또는 undefined register access를 가상 진단 트랜잭션의 형태로 사용한다.

§6.13가 TMCD-DIO의 보드 레벨 이중화(DO Wired-OR + DPDT DI 분리 결선)를, §6.14가 TMCD-485의 보드 레벨 이중화(단일 결선점 + 상시 교차 진단 스캔)를 다룬다면, 본 절은 그 위 계층에서 작동하는 시스템 레벨 이중화 — 즉 TMCC 통신 계층 자체의 이중화를 다룬다. 외부 액추에이터 제어가 산업 운영의 안전·연속성과 직결되는 영역(밸브 개폐, 펌프 기동, 환기 제어 등)에서는 한 개의 장애 가능 지점이라도 남아 있으면 시스템 보장이 깨진다. 본 절의 설계 명제는 단순하다 — 통신 인프라, TMCD 노드, TMCB 모두에 동시 다발적 장애가 발생해도 TMCC는 반드시 외부 장비를 제어할 수 있어야 한다. 이를 위해 TMCS는 WAN 회선·TMCB·노드·결선 네 차원에서 동시에 이중화되도록 배치된다.

차원 1 — WAN 회선 이중화. TMCC와 현장 사이의 WAN 경로는 ISP 유선 회선과 LTE 이동통신 회선의 두 경로로 구성되며, 각 TMCB의 backhaul로 활용된다. 두 회선은 물리·논리 양면에서 독립이므로 동일 시점 동시 장애 확률이 구조적으로 낮다.

차원 2 — TMCB 다중화. 권역 내 다수의 TMCB가 동시에 동일 트래픽을 수신하는 자연 redundancy. 일부 TMCB 장애 시 다른 TMCB가 동일 트래픽을 흡수하므로 절체 지연이 본질적으로 없다. TMCC application layer가 다중 BS로부터의 중복 패킷을 멱등하게 처리하며(별도 dedup 없이 모두 반영), 다운링크는 RSSI 상위 2대(1·2위)의 TMCB를 통해 동시 송출된다. 다수 TMCB의 동시 장애를 위한 최후 폴백으로 Local TMCC SBC가 비상 BS 역할을 담당한다.

차원 3 — TMCD 노드 이중화. 동일 외부 장비를 두 대의 TMCD 노드(예: TMCD-DIO #A·#B 또는 TMCD-485 #A·#B)가 동시에 제어한다. 두 노드는 서로 다른 물리 위치에 설치되며 독립 전원으로 운영된다. 한 노드가 완전히 정지하더라도 다른 노드가 동일 장비를 계속 제어한다.

차원 4 — 결선 이중화. 두 노드의 결선 자체에도 이중화 원리가 적용된다. TMCD-DIO의 경우 §6.13에 기술된 출력 wired-OR + DPDT 진단 폴 DI 분리 결선이, TMCD-485의 경우 §6.14에 기술된 단일 결선점 수렴 + 상시 교차 진단 스캔이 그대로 활용된다. 즉 본 차원은 §6.13·§6.14의 보드 레벨 메커니즘을 시스템 레벨에서 재호출한다.

장애 시나리오별 보장

위 시나리오 중 어느 것도 TMCC의 외부 장비 제어 능력을 박탈하지 않는다 — 단일 장애점이 시스템 어디에도 존재하지 않는다는 뜻이다. 이는 §6.13·§6.14의 보드 레벨 신뢰성을 시스템 레벨로 끌어올린 결과이며, 산업 운영의 안전·연속성을 구조적으로 보장하는 핵심 설계다.

7. 신뢰성 분석

본 절은 TMCS의 신뢰성을 정량적으로 평가하기 위한 분석 모델을 제시한다. 분석은 다음과 같은 가정 위에서 수행된다 — (1) 개별 노드의 단위 시간 장애 확률을 Q로 표기하며, 동일 모델 노드들 사이에서 통계적으로 독립이라고 가정한다. (2) 다중 경로 배치 시 노드들은 서로 다른 위치에 설치되어 공통 모드 장애(전원 공동 손실, 같은 영역의 환경 사고 등)는 별도 항으로 다룬다. (3) 시스템 비가용 확률은 동일 포인트의 모든 노드가 동시에 장애 상태일 확률로 정의한다. (4) TMCB는 stateless forwarder이므로 노드/장비 가용성 분석에서 별도 항으로 포함되지 않는다 — TMCB 자체의 가용성은 §6.15 다중화 메커니즘으로 흡수되며 분석상 1에 가깝다.

동일 포인트에 N개의 노드를 다중 배치할 때, 시스템 비가용 확률 P는 다음 식으로 표현된다.

P = Q^N · F + ε

여기서 N은 다중 경로 수, F는 공통 모드 장애 보정 인자, ε은 분석에 포함되지 않은 외부 요인(상위 인프라 장애 등)이다. 단일 노드(N=1)에서 P = Q이지만, 2경로(N=2)에서 P ≈ Q², 3경로(N=3)에서 P ≈ Q³로 시스템 비가용 확률이 차수 단위로 감소한다. 예를 들어 단일 노드 장애 확률 Q = 1%(예시값)일 때 2경로 P ≈ 10⁻⁴, 3경로 P ≈ 10⁻⁶가 된다. 이는 노드 자체의 신뢰성을 끌어올리지 않고도 시스템 신뢰성이 차수 단위로 개선됨을 의미한다 — 단, 이 수치는 노드 장애의 통계적 독립을 전제한 상한이며, 공통 모드를 포함한 실제 운영 가용성의 경계는 §7.4에서 F·Q^N+ε로 다룬다.

TMCB 다중화에도 같은 사상이 적용된다. 사이트에 다수의 TMCB가 배치된 환경에서 시스템 통신 비가용 확률은 같은 형태의 식으로 표현된다 — P_TMCB = Q_TMCB^M, 여기서 M은 TMCB 다중화 수, Q_TMCB는 단일 TMCB의 비가용 확률이다. TMCB가 stateless forwarder이므로 application 상태가 BS별로 분기되지 않으며, M개 TMCB의 어떤 한 대라도 수신·forward에 성공하면 트랜잭션이 통과한다. 따라서 통신 가용성은 노드 다중 경로(N)와 TMCB 다중화(M)의 곱 차수로 결정된다 — P_total ≈ Q^N · Q_TMCB^M. 노드 측 단일 장애와 BS 측 단일 장애가 각각 독립적으로 차수 단위로 흡수되며, 두 차수가 곱해져 시스템 전체 비가용 확률이 비약적으로 낮아진다.

전통적 TMR(Triple Modular Redundancy)은 세 개의 독립 채널에서 2-out-of-3 보팅으로 단일 채널 장애에 무중단 운영을 수학적으로 보장한다. TMR이 가정하는 채널은 산업 등급 부품·전용 보팅 하드웨어로 구성되어 채널당 신뢰성이 매우 높지만 채널당 비용도 높다.

TMCS의 3경로 구성은 동일한 2-out-of-3 보팅을 소프트웨어 계층에서 수행한다. 신뢰성의 근거는 (a) 동일 포인트 노드들의 통계적 독립과 (b) 소프트웨어 보팅의 결정론적 성질이다. 노드 자체의 채널 신뢰성은 TMR 채널보다 낮지만, 채널당 비용이 매우 낮으므로 동일 가용성 목표에 도달하기 위한 시스템 비용이 TMR 대비 차수 단위로 낮아진다. TMCS의 3경로 시스템 비용은 일반 TMR의 약 1/10~1/20 수준이다.

다중 경로 신뢰성의 가장 큰 잠재 위협은 공통 모드 장애(Common Cause Failure)다. 동일 포인트의 모든 노드가 동시에 같은 원인으로 장애를 겪는 시나리오 — 예: 전원 공동 손실, 동일 영역 화재, 동일 네트워크 장비 장애 — 가 발생하면 다중 경로의 확률 구조가 무력화된다.

TMCS는 다음 설계로 공통 모드 장애를 구조적으로 완화한다.

• 전원 분산: 다중 경로 노드들은 서로 다른 전원 라인에서 급전되도록 설계 가이드라인이 제공된다.
• 물리적 위치 분산: 동일 포인트의 노드들은 가능한 한 서로 다른 물리 위치에 설치되어, 국소 사고(누수, 충격 등)의 동시 영향을 최소화한다.
• TMCC 통신 경로 다양성: §6.15의 4중 이중화 구조가 통신 인프라 차원의 공통 모드 장애를 흡수한다.
• BLE Coded PHY 매체 강건성: S=8 모드의 12dB link budget이 RF 간섭의 광역 충격에 대해 본질적 마진을 제공한다.

다만 이 완화책의 한계를 정직하게 적시한다. 첫째, 실제 달성 가용성은 독립 가정의 Q^N이 아니라 F·Q^N + ε로 경계지어야 한다 — §7.2의 "Q = 1% → 10⁻⁶"는 공통 모드가 없는 이상적 하한이며, 운영 가용성의 실제 바닥은 공통원인 보정 F와 상위 인프라 항 ε(TMCB·WAN·TMCC·전원 계통)이 지배한다. 위의 전원·위치 분산은 강제 규격이 아니라 설계 가이드라인이므로, F를 1에 가깝게 유지하는 것은 현장 시공 품질에 의존한다. 따라서 본 백서는 Q^N 수치를 시스템 보증값이 아니라 공통 모드가 통제된 조건에서의 상한으로 제시한다.

둘째, 가장 본질적인 공통원인은 소프트웨어 결함이다. 다중 경로 노드는 동일 모델·동일 펌웨어이므로(§3.4), 하드웨어 random failure에는 독립 가정이 성립하나 설계·펌웨어 결함은 구조적으로 공통원인이며, FOTA로 동일 버그를 전 경로에 동시 배포하는 순간 그것이 단일 논리 장애점이 된다. 본 시스템은 dissimilar/N-version 다중화를 채택하지 않으므로[3], 소프트웨어 CCF는 확률 구조가 아니라 운영 절차로 흡수한다 — (i) FOTA를 전 노드 일괄이 아닌 단계적(카나리) 배포로 적용하여 결함을 부분 노출 단계에서 차단하고, (ii) TMCC application layer의 보팅 불일치 탐지가 동일 입력에 대한 다중 경로 출력의 분기를 관측하여 펌웨어 이상을 조기 식별한다. 이 두 절차는 확률적 독립을 복원하지는 못하나, 소프트웨어 CCF의 동시 전파 창(window)을 운영 차원에서 좁힌다.

전통적 산업 제어 시스템에서 신뢰성은 부품 등급·이중화 하드웨어·인증 체계와 직결되며, 신뢰성 향상은 곧 비용 상승으로 이어진다. TMCS는 이 결합을 근본적으로 분리한다. 노드 단가가 낮아도 시스템 신뢰성은 다중 경로의 확률 구조로 확보되며, 비용 증가의 한 단위는 가용성의 한 단위가 아니라 차수의 단위로 환원된다. 첫 상용 적용 사례(§8)의 1/6 비용 구조가 그 직접적 근거다.

TMCB 차원에서도 같은 분리가 작동한다. TMCB가 stateless forwarder라는 사상은 BS 자산의 신뢰성과 application layer 가용성을 분리한다 — TMCB 자체의 비용·신뢰성·라이프사이클 정책은 application 무관하게 결정될 수 있으며, TMCB 자산 증설은 BS 다중화 차수를 높여 통신 가용성을 차수 단위로 개선한다.

8. 첫 상용 적용 사례 — 분산 환경 제어 시스템

본 장은 TMCS가 실 산업 현장에 처음으로 상용 적용된 사례를 실증예로 제시한다. 본 사례는 강원도 소재 대규모 컨테이너형 분산 환경 제어 시설로, 33개 독립 동(棟)에 걸쳐 총 495개의 센싱·제어 노드가 배치된 분산 제어 시스템이다. 정부 사업으로 발주되었으며, 2025년 시스템 납품이 완료되어 2026년 7월부터 상용 운영에 들어간다. 본 사례의 의의는 단순한 설치 실적이 아니라 — 앞 장들에서 도메인 무관하게 기술한 TMCS의 모든 핵심 설계가 단일 현장에서 통합 작동함을 본 저자들이 확인한 첫 사례라는 데 있다.

본 사이트에 적용된 시스템 구성은 다음과 같다. 통신 매체는 TMCB(BLE Coded PHY S=8 기반 stateless forwarder)이며, TMCD와 TMCC 사이의 모든 트랜잭션이 권역 내 다수 TMCB의 동시 수신과 TMCC application-layer 멱등 처리·voting을 거쳐 무상태 트랜잭션 모델로 처리된다. 환경 센싱은 TMCD-TH·TMCD-CO2 등 다중 경로 센싱 노드가, 환기·냉난방 등 설비 제어는 TMCD-DIO(릴레이 구동)와 TMCD-485(RS-485 HVAC 제어)가 담당한다. 모든 제어 포인트는 §3.4의 다중 경로로 배치되었고, §6의 보드 레벨 이중화 메커니즘(DPDT 진단 폴 DI 분리 결선, RS-485 상시 교차 진단 스캔)과 §6.15의 시스템 레벨 4중 이중화가 적용되었다. Local TMCC는 팬리스 SBC 3중화 구성으로 현장에 함께 배치되어 WAN 단절 시 자율 제어를 인계한다.

본 사례의 가장 직접적인 성과는 비용 효과의 실측이다. 동일 사양·동일 현장·동일 발주자 조건에서 PLC 기반 구축 견적은 약 1.5억 원이었으며, TMCS 적용 시 동등 비교 기준의 공급가는 약 2,500만 원이었다 — 약 1/6 수준이다. PLC 견적이 마진을 포함한 시장 공급가이므로, 동등 비교를 위해 TMCS 측도 실비(약 1,600만 원)가 아닌 마진을 포함한 공급가 기준으로 환산하였다. 이는 추정이나 외삽이 아닌 실제 납품 완료된 측정값에 기반하며, §1.2의 "PLC 대비 약 1/5" 설계 목표에 부합한다. 본 사이트가 33개 동에 걸친 대규모 다지점 구성이어서 PLC 측 캐비닛·엔지니어링·시운전 비용이 포인트 수에 비례해 급증한 반면, TMCS 측은 노드 단가와 제로 컨피그 배포로 규모의 영향을 적게 받았기 때문에, 대규모 구성일수록 비용 격차가 더 벌어지는 경향이 확인되었다.

본 사례는 특정 도메인(컨테이너형 환경 제어)에 적용되었지만, 적용된 것은 그 도메인 전용 솔루션이 아니라 도메인 무관 시스템 TMCS 그 자체다. 본 사이트에서 작동한 다중 경로 신뢰성·BLE Coded PHY 실시간 제어·무상태 트랜잭션·보드 레벨 이중화·AI 사전 예측은 어느 것도 환경 제어에 특화된 메커니즘이 아니며, 빌딩 자동화·콜드체인·분산 물류·정밀 제조 모니터링 등 다른 분산 제어 도메인에 동일하게 이식된다. 특히 본 사례의 495노드는 §3.3에서 기술한 polling-free 구조로 운영되어, Modbus 폴링이라면 다중 세그먼트 분할에도 폴 사이클 대기가 불가피한 규모에서 특정 노드 제어가 노드 수와 무관하게 일정하게 유지된다. 본 사례는 시스템의 도메인 횡단 이식성을 검증하는 첫 레퍼런스이며, 동일 시스템이 후속 도메인에 확장 적용되는 기반이 된다.

운영 데이터 기반의 정량 검증 — 누적 가용성, 평균 종단간 응답시간, 다중 경로 보팅의 노드 장애 흡수율, AI 사전 예측 적중률 — 은 2026년 7월 상용 운영 개시 이후 누적되며, 본 백서의 다음 단계 publication에서 별도로 다룬다.

9. 한계 및 향후 연구

TMCS는 두 영역에 적용되지 않는다. 첫째, 결정론적 안전 인터락이 본질적으로 필요한 영역 — SIL 인증 기능 안전 시스템, 안전과 직결되는 인터락(석유화학 긴급 차단·자동차 프레스 라인·반도체 fab 안전 인터락 등). 둘째, 마이크로초 단위의 초고밀도 실시간 동기 제어가 요구되는 영역 — 고속 모션 제어, 정밀 서보 동기 등. 이 두 영역은 PLC의 고유 영역이며, TMCS는 그 보완재로 모니터링·예측·자율 운영 계층을 담당할 수 있으나 해당 제어를 대체하지 않는다.

또한 TMCS는 분산 제어 환경 전반(빌딩 자동화·콜드체인·분산 물류·정밀 제조 모니터링·농업 시설 등)을 적용 대상으로 하는 범용 시스템이다. 헤비인더스트리의 안전 인터락 루프, 그리고 마이크로초 단위의 초고밀도 실시간 동기 제어가 요구되는 도메인만이 본 시스템의 대상 외다.

매체 차원의 한계. 본 백서의 TMCB는 BLE Coded PHY S=8 매체로 단일화되어 있다. 산업용 4G/5G NR, Wi-SUN, LoRa, 산업용 메시 매체 등은 본 백서 범위 외이며, TMCB 추상이 stateless forwarder라는 사상상 추가 매체 구현이 application layer 변경 없이 가능하지만, 각 매체의 RF 특성·전송 모델·운영 매개변수에 대한 별도 검증이 필요하다.

차원 1 — TMCB 운영 매개변수의 정량 보고. 본 백서는 TMCB의 아키텍처적 구조와 BLE Coded PHY S=8 매체 선택을 기술하고, 공개 가능한 매체 계층 결과 지표(단일 trial PER·99.99% 보장 재전송 수·평균/worst-case 지연·단일 노드 throughput·도달 거리)는 §5.2에 요약한다. 단, fine-tuned 운영 매개변수의 구체 수치와 매개변수 동결 과정의 정량 측정 결과·측정 방법론은 영업비밀로 별도 보호된다. 운영 차원 KPI(누적 가용성·종단간 응답시간·보팅 흡수율·AI 적중률)는 향후 데이터 추가 누적 후 학술 publication 시점에 별도로 공개할 예정이다.

차원 2 — AI 모델의 도메인 횡단 일반화. 첫 상용 적용 사례(§8)는 단일 도메인의 첫 사이트이다. 향후 동일 시스템을 다양한 도메인(빌딩 자동화·콜드체인·분산 물류·정밀 제조 모니터링)에 동시 적용하면서, 도메인 횡단으로 일반화되는 AI 모델 구조와 도메인별 fine-tuning 방법론을 정립할 필요가 있다.

차원 3 — 사이트 federation 계층. 현재 단일 TMCC가 단일 사이트(최대 ~500노드)를 오케스트레이션한다. 다수 사이트의 통합 관제를 위한 상위 federation 계층(데이터 통합·정책 통일·횡단 알람 등)은 본 백서 범위 외이며 향후 별도로 다룬다.

차원 4 — 보안 모델. 본 백서는 §3.6에서 RSSI 공간 지문 기반 공간 보안을 다루었으며, 노드별 비밀키·암호 페이로드 없이 위변조를 예방·탐지·복구하고 TMCB stateless 사상과 정합하는 보안 기준선을 제시했다. 본 모델의 본질적 성격과 한계는 명확하다 — 이는 암호학적 위조 불가능이 아니라 환경 의존적 확률 예방이다. 공간 지문은 다중경로가 지배적인 금속·산업 환경에서 위치에 강하게 결속되어 강건하나, 개활지·시야선(LoS) 환경에서는 기하학적 추정에 의한 모사 가능성이 상대적으로 높아지므로, 이 경우 미발행 명령 탐지·위치추정과 멱등 복구가 보완적으로 작용한다. 또한 공격자가 대상 노드에 물리적으로 근접하면 공간 지문 우위가 약화되므로, 본 모델은 원격 위변조 비용을 물리 접근 수준으로 상승시키는 것이지 물리 접근 공격까지 막는 것은 아니다. 향후 강화 경로는 (a) 공간 지문 학습·갱신 알고리즘의 정량 평가 및 LoS 환경 보강(필요 시 경량 인증 보조 수단 병용), (b) 산업 OT 보안의 본격 위협 모델(MITM, replay, 노드 가장, lateral movement)에 대한 정량 평가, (c) FOTA 배포 채널의 펌웨어 서명·검증 파이프라인 정식화, (d) IEC 62443 전 영역 및 NIST SP 800-82 등 산업 OT 보안 표준과의 인터페이스 매핑이다.

차원 5 — 산업 표준 호환과 인증. 본 백서는 ISA-95 모델의 한계 위에서 분산 제어 패러다임을 제안하지만, ISA-95·OPC UA·MTConnect 같은 산업 표준과의 인터페이스 매핑은 향후 별도 연구가 필요하다. SIL·CE·UL 같은 인증 체계 진입은 적용 영역 확장의 전제이며 단계적으로 추진된다.

10. 결론

본 백서는 분산 제어 영역에 두 가지 시장이 있음을 명확히 한다.

시장 1 — PLC 대체 시장. 결정론적 안전 인터락과 초고밀도 실시간 제어를 제외한 사실상 모든 PLC 적용 영역. 모니터링, 환경 제어, 분산 액추에이터 제어, 운영 자동화 전반이 여기에 속한다. 이 시장은 §1.1에서 진단한 PLC 중심 시스템의 구조적 한계 — 비용 하한, 케이블 집중의 시공 부담, 케이블 단락의 흡수 불가능성, 이중화의 곱셈 비용, 변경 불가능성, 사고 전파, 토폴로지 제약 — 가 누적되어 운영자와 발주처가 대안을 능동적으로 찾고 있는 시장이다. 과거 무선 매체의 한계로 실시간 제어가 어려웠던 분산 환경까지, BLE Coded PHY 기반 TMCB의 실시간 제어성 확보로 이 시장에 편입되었다. TMCS는 이 영역을 PLC급 가용성과 실시간 제어성을 유지하면서 약 1/5 비용에 대체한다(첫 상용 사례 실측은 1/6 — §8).

시장 2 — PLC가 비용 구조상 도달하지 못한 영역. 분산 농업 시설·콜드체인·분산 물류·중소 가공 라인·다지점 설비 등 PLC 단가 자체가 ROI를 무너뜨려 자동화가 진입하지 못하던 영역. 이 영역은 본질적으로 새로운 자동화 시장이며, TMCS의 도입은 신규 시장 창출이다.

본 백서는 (i) TMCC + TMCB + TMCD 3계층 무브로커·무상태 아키텍처(C1), (ii) 다중 경로 기반 저비용 신뢰성(C2), (iii) BLE Coded PHY 기반 실시간 제어 TMCB(C3), (iv) 분산 프로그래머블 스마트 노드 플랫폼(C4), (v) 상시 교차 진단 스캔 아키텍처(C5·TMCD-BUS), (vi) DPDT 진단 폴 분리 결선 구조(C6·TMCD-DI), (vii) RSSI 공간 지문 기반 공간 보안(C7)을 통합 제시했다. 이 가운데 다중 경로(C2)·BLE 실시간 제어 TMCB(C3)와 이들을 묶는 무브로커·무상태 아키텍처(C1)가 PLC를 정면 대체하는 핵심 골격이며, 제어 두뇌를 소프트웨어로 옮긴 결과 그 위에서 AI 기반 사전 장애 예측이 성립하는 귀결로 따라온다. 이 기여들은 개별적으로도 의미를 가지지만, 본 백서의 본질적 주장은 이들이 모두 하나의 통합 아키텍처에서 동시에 작동한다는 사실, 그리고 그 통합 시스템이 495노드 규모의 실 산업 현장에 본 저자들이 확인한 첫 상용 적용으로 구축되어 2026년 7월부터 운영에 들어간다는 사실에 있다. 매체 계층에서는 12바이트 프레임의 광고 이벤트 airtime 약 8ms를 기반으로, 단일 노드 제어가 4 trial 안에 99.99% 신뢰성(10,000건 실측, 실패 0)·평균 23.8ms 지연·지터 1ms 미만의 결정론성·1M PHY 대비 약 4배 도달 거리를 달성하며(§5.2), 다중 노드(495) 환경의 충돌 PER·누적 가용성 등은 2026년 7월 강원도 현장 운영에서 실측·확정된다.

PLC가 정의해 온 산업 제어의 표준은 결정론적 안전 인터락과 초고밀도 실시간 제어 영역에서 여전히 유효하다. 그러나 그 두 영역을 제외한 사실상 모든 분산 제어 영역에서는 PLC 패러다임이 §1.1에서 진단한 8개 차원 — 비용 하한, 케이블 집중, 단락 모드, 이중화 곱셈 비용, 변경 불가능성, 사고 전파, 토폴로지 제약, 학습 기반 예측 불가 — 에서 구조적 한계를 드러낸다. 그 한계의 뿌리는 둘이다 — PLC는 비싼 산업 등급 장비이고, 유선 필드버스에 묶여 있다. 선과 장비, 이 두 뿌리가 §1.1의 모든 한계를 낳는다.

본 백서가 제안한 TMCS의 본질은 이 두 뿌리를 정면으로 제거한 단일한 재정의에 있다 — 선은 강력한 무선 매체(BLE Coded PHY)로 끊고, PLC라는 장비는 저가 노드의 다중 경로가 PLC급 강건성으로 대신하며, 사라진 제어 두뇌는 장비가 아닌 소프트웨어(TMCC)로 무상태 구조로 되살린다. 그리고 그 두뇌가 소프트웨어이기에 PLC가 못 하던 AI까지 얹는다. BLE TMCB·다중 경로·무상태 TMCC는 PLC를 대체하는 핵심 골격이고, AI는 그 소프트웨어 두뇌 위에서만 성립하는 귀결이다 — 넷이 "PLC라는 비싼 유선 장비를 무선·저가·소프트웨어로 없앤다"는 하나의 사슬로 이어진다. 이 사슬이 동시에 성립하기에 신뢰성·실시간성·확장성·지능이 한 아키텍처에서 성립하며, 그 결과가 PLC 대비 약 1/5 비용이다. 특히 software-defined 무선 매체의 실시간 제어성 확보는 과거 유선이 불가피했던 분산 환경까지 대체 범위에 편입시켰다.

TMCS의 의미는 PLC를 전면 대체하는 것이 아니라, 산업 제어의 신뢰성을 하드웨어 구매에서 소프트웨어 설계로 옮김으로써 — 인터락·초고밀도 실시간을 제외한 광대한 PLC 적용 영역과 PLC가 도달하지 못하던 신규 영역 모두에, 산업급 자동화를 보급형 단가로 가져오는 데 있다.

TMCC(Cloud)·TMCB(BaseStation)·TMCD(Device)의 3계층 구조에서 TMCB는 시스템의 일관성 사상을 통신 매체 차원까지 확장한다. TMCD의 펌웨어 단순성, TMCC의 application layer 집중, 무상태 트랜잭션 모델 — 이 세 가지가 TMCB가 stateless forwarder라는 사상을 통해 매체 차원에서도 일관되게 작동한다. BLE Coded PHY Adv 채널의 connection-less 모델은 association·세션·QoS 협상 없이 brief 트랜잭션을 실시간으로 처리하며, 다수 TMCB의 동시 수신 자연 redundancy가 통신 신뢰성을 차수 단위로 확보한다. 이는 TMCS가 단순히 분산 제어를 저비용으로 푼 시스템이 아니라, 산업 RF 적대 환경에서도 일관된 실시간 제어 시스템이라는 위상을 갖게 한다.

11. 저자 및 회사 정보

서장석 (J. Seo) — TERACODE intelligence Inc. 대표이사. 본 시스템의 아키텍처·펌웨어·회로·네트워크 전반을 설계·구현했다. 삼성전자 부사장 및 소프트웨어연구소장을 역임했으며, 지난 35년간 회로 설계·펌웨어·네트워킹·그래픽·DTV/HHP SW 플랫폼 등 광범위한 도메인의 개발을 담당했다. 국내 19건·USPTO 12건의 특허를 보유하고 있다(상당수가 삼성전자 명의로 양도). 본 백서의 모든 IP는 ㈜테라코드인텔리전스 명의로 출원되었다.

㈜테라코드인텔리전스 / TERACODE intelligence Inc. — 본사 및 기업부설연구소 경기도 수원시. 2025년 2월 설립. 분산 제어 시스템(TMCS)이 주력 사업이며, TMCS = TMCC(Cloud) + TMCB(BaseStation) + TMCD(Device)의 3계층 구조 전 영역에 걸친 자체 설계·제조 역량을 보유한다. 본 백서에서 다룬 TMCD-BUS(KR 10-2026-0085159)와 TMCD-DI(KR 10-2026-0085170)를 핵심 IP로 보유한다. 2025년 강원도 컨테이너팜 33동 정부 사업으로 분산 제어 시스템 납품을 완료(495노드, PLC 견적 대비 약 1/6 비용)했으며, 2026년 7월 상용 서비스 개시를 앞두고 있다. 2026년에는 LGCNS 협력 공장형 농장 프로젝트 등 산업 도메인으로 확장 중이다.

Contact — jseo@teracode.kr

References