Modellierung verteilter Systeme

Transkript

1 Modellierung verteilter Systeme (Grundlagen der Programm- und Systementwicklung II) 09 Eigenschaften Dr. Sebastian Voss fortiss GmbH Kompetenzfeldleiter Model-based Systeme Engineering

2 Themenübersicht 1. Einführung 2. Grundlagen: Verhalten, Interaktion, Nebenläufigkeit 3. Sequentielle Programme und Koroutinen 4. Datenflussmodelle 5. Kommunizierende Prozesse 6. Zustandsübergangssysteme 7. Koordination 8. Ausführungen 9. Verhaltensspezifikationen 10.Erweiterte Themen Modellierung verteilter Systeme 2

3 Themenübersicht 1. Einführung 2. Grundlagen: Verhalten, Interaktion, Nebenläufigkeit 3. Sequentielle Programme und Koroutinen 4. Datenflussmodelle 5. Kommunizierende Prozesse 6. Zustandsübergangssysteme 7. Koordination 8. Ausführungen 9. Verhaltensspezifikationen 1. Temporale Spezifikationen 2. Sicherheits- und Lebendigkeitseigenschaften 10.Erweiterte Themen Modellierung verteilter Systeme 3

4 Motivation: Spezifikationen Formen von Verhaltensspezifikationen: Konstruktiv: Beschreibung einer (abstrakten) Implementierung Ziel: (Ausführbare) Beschreibung, aus der alle Beobachtungen über das Systemverhalten erzeugt werden können Modelle: z.b. Transitionssysteme, Kripkestrukturen, Prozessalgebren Notationen: z.b. Zustandsdiagramme, Prozessterme Deskriptiv: Beschreibung beobachtbaren Verhaltens Ziel: Beschreibung gewünschter / erlaubter / verbotener Beobachtungen über das Systemverhalten Modelle: z.b. Abläufe, Stromfunktionen Notationen: z.b. Sequenzdiagramme, temporallogische Terme S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 4

5 Motivation: Temporale Eigenschaften Falls zu einem Zeitpunkt eine Münze eingeworfen wurde und zum nächsten Zeitpunkt Tee ausgewählt wurde dann wird zu einem späteren Zeitpunkt Tee ausgegeben Behauptungen über zustands-basierte Systeme: Behauptungen über Zustände Behauptungen über Ausführungen S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 5

6 Wiederholung: Ablauf stop stop redyellow green go yellow hold stop redyellow green go yellow hold red stop Ziel: Modellierung einer (partiellen) Ausführung eines Systems Konzept: Ablauf = (Endliche oder unendliche) Sequenz von aufeinanderfolgenden Zuständen und Interaktionen s1 a1 s2 a2 s3 a3 s4... Erster Zustand ist ein Anfangszustand: s1 S0 Folgende Zustände stehen in Transitionsbeziehung: (si, ai, si+1) T Beispiel: stop redyellow green go S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 6

7 Konzept: Beobachtbarer Ablauf stop stop redyellow green go yellow hold stop redyellow green go yellow hold red stop Ziel: Modellierung einer (partiellen) Ausführung eines System (wie an der Schnittstelle zu beobachten) Konzept: Ablauf = (endliche oder unendliche) Sequenz aufeinanderfolgender Interaktionen a1 a2 a3 a4... Aω Erster Zustand ist ein Anfangszustand: s1 S0 Folgende Zustände stehen in Relationsbeziehung: (si, ai, si+1) T Beispiel: redyellow green yellow red redyellow green yellow... S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 7

8 Konzept: Ausführung stop stop redyellow green go yellow hold stop redyellow green go yellow hold red stop Ziel: Modellierung einer (partiellen) Ausführung eines Systems Konzept: Ausführungs(sequenz) = (Endliche oder unendliche) Sequenz von aufeinanderfolgenden Zuständen s1 s2 s3 s4... Erster Zustand ist ein Anfangszustand: s1 S0 Folgende Zustände stehen in Transitionsbeziehung: (si, ai, si+1) T Beispiel: stop go S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 8

9 Eigenschaften: Temporallogik Ziel: Beschreibung von Beobachtungen über vollständige Systemausführungen Beschreibung von Aspekten der zeitlichen Reihenfolge Beschreibung unabhängig von Implementierung Konzept: Beobachtung, Timed Proposition, Ausführung Notation: Linear Temporal Logic, Computation Tree Logic S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 9

10 Konzept: Atomare Eigenschaft tea tea Teeauswahl ist bestätigt Kaffee im Ausgabeschacht Münze im Einwurf Ziel: Beschreibung von zeitabhängigen Eigenschaften Konzept: (Zeitlich) Atomare Eigenschaft Atomar: Nicht zerlegbar in Untereigenschaften Beobachtbar: Entweder gültig oder ungültig Punktuell: Bezieht sich auf (aktuellen) Zeitpunkt Beispiel: Münze im Einwurf, Tee in Ausgabeschacht S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 10

11 Konzept: Next-Eigenschaft tea tea Teeauswahl bestätigt Im nächsten Schritt Wird Kaffee oder Tee ausgewählt Kaffeeauswahl bestätigt Ziel: Beschreibung von zum nächsten Zeitpunkt gültigen Eigenschaften Konzept: NeXt-Eigenschaft Notation: P, X P ( Next P ) Interpretation: Eigenschaft P zum nächsten Zeitpunkt gütig, gilt im nächsten Zustand Beispiel: Teeauswahl im nächsten Schritt betätigt Teeauswahl betätigt S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 11

12 Konzept: Future-Eigenschaft tea tea Münze ist eingeworfen Münze wird irgendwann eingeworfen Ziel: Beschreibung von in der Zukunft gültigen Eigenschaften Konzept: Future-Eigenschaft Notation: P, F P ( Finally P ) Interpretation: Zu einem Zeitpunkt nach dem aktuellen wird P gültig, gilt irgendwann auf dem nachfolgenden Pfad Beispiel: Münze wird irgendwann eingeworfen Münze ist eingeworfen S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 12

13 Konzept: Global-Eigenschaft tea tea Ziel: Beschreibung von für immer gültigen Eigenschaften Konzept: Global-Eigenschaft Notationen: P, G P ( Globally P ) Interpretation: Ab dem aktuellen Zeitpunkt ist P stets gültig Beispiel: Stets wird Kaffee nach der Kaffeeauswahl ausgegeben Kaffee im Ausgeabeschacht ( Kaffeeauswahl betätigt Kaffee ausgegeben ) Kaffeeauswahl bestätigt S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 13

14 Notation: LTL Ziel: Notation zur Beschreibung von Eigenschaften von Abläufen von Systemen Notation: Lineare temporale Logik (LTL) Grundterme: Atomare Aussagen, true, false Aussagenlogische Operatoren: P, P Q, P Q, P Q Einstellige temporallogische Operatoren P / X P: P gilt zum nächsten Zeitpunkt P / G P: P gilt immer P / F P: P gilt irgendwann Zweistellige temporallogische Operatoren P U Q: P gilt bis Q ( until ) P R Q: P führt zu Q ( release ) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 14

15 Notation: LTL Bemerkung 1: Aus zwei der Operatoren lassen sich alle anderen ableiten Bemerkung 2: LTL erlaubt äquivalente Aussagenumformungen, z.b. (P Q) = P Q (P Q) = P Q P = P P= P P = P P = P U false P U Q = P U (P U Q) P U Q = Q (P (P U Q)) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 15

16 Konzept: Lineare temporale Eigenschaft P P P Ziel: Beschreibung von für komplette Abläufe gültige Eigenschaften Konzept: Lineare temporale Eigenschaft Modell: Ablauf E = s0 s1 s2 s3... Interpretation: Eigenschaft P gilt für Ablauf E=s0 s1 s2 s3... P atomar: P(s0) gilt P = Q: Q gilt für Ablauf s1 s2 s3... P = Q: Q gilt für Ablauf si si+1 si+2... für alle i >= 0 P = Q: P gilt für Ablauf si si+1 si+2... für ein i >= 0 Gültigkeit von P: Eigenschaft gilt für alle möglichen im Startzustand beginnenden Abläufe S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 16

17 Konzept: Ausführungsbaum tea tea Ziel: Modellierung der Ausführungspfade eines Systems Konzept: Ausführungsbaum Knoten: Mögliche Systemzustände Kanten: Verbinden Knoten entsprechenden Transitonsrelation tea coffe S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 17

18 Konzept: Ausführungspfad tea tea Ziel: Modellierung einzelner möglicher Ausführungen Konzept: Ausführungspfad Linearer Teilbaum (i.e. verzweigungsfreier Pfad) im Ausführungsbaum Vollständig (i.e. nicht erweiterbar) tea coffe S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 18

19 Konzept: Universelle Eigenschaft Ziel: Beschreibung Eigenschaften für alle möglichen Pfade Konzept: Universelle Baumeigenschaft Notation: A P ( All P ) Interpretation: P gilt für alle im aktuellen Zeitpunkt beginnenden Pfade Beispiel: In allen möglichen Ausführungen wird entweder Tee oder Kaffee im nächsten Schritt ausgewählt A (X ( Kaffeeauswahl betätigt Teeauswahl ätigt )) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 19

20 Konzept: Existentielle Eigenschaft Ziel: Beschreibung von mindestens in einem Pad gültigen Eigenschaften Konzept: Existentielle Baumeigenschaft Notation: E P ( Some P ) Interpretation: P gilt für mindestens einen Pfad, der zum aktuellen Zeitpunkt beginnt Beispiel: Es gibt mindestens einen Ausführungspfad, in dem irgendwann Kaffee ausgegeben wird E (F Kaffee im Ausgabeschacht ) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 20

21 Konzept: CTL* Ziel: Notation zur Beschreibung von Eigenschaften von Ausführungsbäumen Notation: Computation Tree Logics (CTL*) Basisterme: Atomare Aussage, true, false Aussagenlogik: P, P Q, P Q, P Q Zustandsoperatoren: E P: P gilt für einen Pfad, der im aktuellen Zustand beginnt A P: P gilt für alle Pfade, die im aktuellen Zustand beginnen Pfadoperatoren: X P: P gilt im nächsten Zustand G P: P gilt in allen folgenden Zuständen F P: P gilt in einem folgenden Zustand Zusätzliche Pfadoperatoren P U Q: P gilt bis Q ( Until ) P R Q: P führt zu Q ( Release ) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 21

22 Notation: CTL* Bemerkung: CTL: Teilmenge bei Beschränkung auf Zustand / Pfadoperatorenpaare (e.g., E F, A G) Bemerkung: Äquivalenzen von Termen Siehe LTL Minimale Menge definierender Temporaloperatoren in CTL: E G, E U, E X A X P = E X P A G P = E F P A F P = E G P S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 22

23 Konzept: Pfadeigenschaft Ziel: Beschreibung von Eigenschaft über Ausführungspfaden Konzept: Pfadeigenschaft Modell: Ausführungspfad E = s0 s1 s2 s3... Interpretation: Eigenschaft P gilt für E P = Q atomar: Zustandseigenschaft Q gilt für s0 P = X Q: Pfadeigenschaft Q gilt für s1 s2 s3... P = G Q: Pfadeigenschaft Q gilt für si si+1 si+2... für alle i >= 0 P = F Q: Pfadeigenschaft Q gilt für si si+1 si+2... für ein i >= 0 S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 23

24 Konzept: Zustandseigenschaft Ziel: Beschreibung von für einen Baum gültigen Eigenschaften Konzept: Zustandseigenschaft Modell: Zustand si eines Ausführungsbaums Interpretation: Eigenschaft P gilt in Zustand si P = Q atomar: Q(si) P = A Q: Pfadeigenschaft Q gilt für alle Pfade startend in si P = E Q: Pfadeigenschaft Q gilt für mindestens einen Pfad startend in si Gültigkeit von P für ein System S: P gilt im initialen Zustand s0 des Ausführungsbaumes von S S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 24

25 Beispiele: LTL / CTL tea tea Beispiele: LTL-Beispiele: Es wird (immer) irgendwann Tee bestellt: (G) F _tea Auf eine Teebestellung folgt Tee: (G)(_tea X tea) Es gibt keinen Kaffee ohne Bestellung: G ( R _) CTL-Beispiele: Es wird immer irgendwann Tee bestellt: AG AF _tea Es kann immer wieder Tee bestellt werden: AG EF _tea S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 25

26 Eigenschaften: Sicherheit / Lebendigkeit Ziel: Definition von Eigenschaftsklassen diskreter reaktiver Systeme Unabhängig von konkreter Systemeigenschaft Geprägt von Art des Gültigkeitsnachweises Konzept: Sicherheit (Safety), Lebendigkeit (Liveness) Modell: Ausführungen S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 26

27 Konzept: Sicherheitseigenschaft Ziel: Modellierung von Eigenschaften, die das Auftreten ungewünschter Aktionen einschränken Konzept: Sicherheitseigenschaft Intuition: Etwas Unerwünschtes tritt nicht ein Nachweisprinzip: Die Verletzung einer Sicherheitseigenschaft kann beim Auftreten eines bestimmten Ereignisses festgestellt werden Beispiel: Es wird nie Kaffee auf eine Teebestellung ausgegeben S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 27

28 Definition: Sicherheitseigenschaft Ziel: Klassifikation von Sicherheitseigenschaften Definition: Sicherheitseigenschaften Intuition: Eine Verletzung von Sicherheitseigenschaften kann in endlich vielen Schritten festgestellt werden Formalisierung: Sicherheitseigenschaft S als Eigenschaft (partieller oder vollständiger) Abläufe Verletzung: S(s0 s1 s2 s3...) Verletzender Schritt: s0 s1 s2 s3... sk für ein k Nat Kann nicht korrigiert werden: S(s0 s1 s2 s3... sk) S(s0 s1 s2 s3... sk s k+1 s k+2... ) für beliebige s k+1 s k+2... Beispiel: Tee wird ausgegeben nachdem Tee ausgewählt wurde S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 28

29 Beispiele: Sicherheit tea tea Beispiel: S = Tee wird ausgegeben nachdem Tee ausgewählt wurde Verletzung: S( -tea...) Verletzender Schritt: -tea Kann nicht korrigiert werden: S( -tea ) S( -tea... ) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 29

30 AutoFOCUS3 Tool Demo 30 Phoenix,

31 Konzept: Lebendigkeitseigenschaft Ziel: Definition von Eigenschaften, die das Auftreten einer gewünschten Aktion Erzwingen Konzept: Lebendigkeitseigenschaft Intuition: Etwas Gewünschtes tritt schließlich ein Nachweisprinzip: Die Verletzung von Lebendigkeitseigenschaften kann nur in einem vollständigen (unendlichen) Ablauf nachgewiesen werden Beispiel: Nach der Auswahl von Kaffee wird schließlich Kaffee ausgegeben S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 31

32 Definition: Lebendigkeitseigenschaft Ziel: Klassifikation von Lebendigkeitseigenschaften Definition: Lebendigkeitseigenschaft Intuition: Jede endliche Ausführung kann zu einer lebendigen Ausführung erweitert werden Formalisierung: Lebendigkeitseigenschaft L über vollständige Abläufe Endlicher (nicht-lebendiger) Ablauf : s0 s1 s2 s3... sk Erweiterter lebendiger Ablauf: L(s0 s1 s2 s3... sk s k+1 s k+2... ) Beispiel: Auf eine Anforderung folgt schließlich die Ausgabe S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 32

33 Beispiel: Lebendigkeit tea tea Beispiel: Auf eine Anforderung folgt schließlich die Ausgabe Endlicher (nicht-lebendiger) Ablauf : - - Erweiterter lebendiger Ablauf: L( - - ) S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 33

34 AutoFOCUS3 Tool Demo 34 Phoenix,

35 Auswahl: Temporallogische Muster Sicherheitsmuster: Invarianz: Eine Verletzung tritt nie auf: G violated Auslösung: Eine Aktion tritt nie ohne Auslöser auf: G ( response U trigger) Beschränke Antwort: Eine Antwort wird nach k Schritten ausgelöst: G (trigger Xk response) Lebendigkeitsmuster: Erfüllung: Die gewünschte Eigenschaft wird hergestellt: F Eigenschaft Schwache Fairness: Dauerhaft mögliche Aktionen werden schließlich ausgeführt: G ( F enabled F performed) Starke Fairness: Immer wieder mögliche Aktionen werden schließlich ausgeführt: GF enabled GF performed Beobachtung: Jede Eigenschaft kann als Kombination einer Sicherheits- und Lebendigkeitseigenschaft beschrieben werden. S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 35

36 Danke... TTHank you Dr. Sebastian Voss (Department Model-based Systems Engineering) fortiss GmbH AN-Institut Technische Universität München Guerickestraße München Germany tel fax S.Voss - Modellierung verteilter Systeme (Sommersemester 2017) 36