Werkzeuggestützte Softwareprüfungen: Model Checking I - CTL. Vortrag von Florian Heyer

Transkript

1 Werkzeuggestützte Softwareprüfungen: Vortrag von Florian Heyer

2 Gliederung Wiederholung Einführung CTL im Detail Anwendungsbeispiele Abschluss 2

3 Model Checking (Wiederholung) Überprüfung einer Systembeschreibung auf Anforderungen dies soll automatisiert ablaufen hierzu kommt ein Model Checker zum Einsatz: eine Software, die die Überprüfung des Systems durchführen kann Eingaben für den Model Checker sind: eine Beschreibung des zu untersuchenden Systems als Zustandsübergangssystem eine Menge von geforderten Eigenschaften des System, die hier in temporaler Logik formuliert sein sollen der Model Checker liefert eines der folgenden Ergebnisse: das System besitzt die geforderten Eigenschaften das System verletzt die Anforderungen; in diesem Fall liefert der Model Checker ein Beispiel eines Systemdurchlaufs, welcher eine geforderte Eigenschaft verletzt 3

4 Einführung Zustandsübergangssystem als Modell eines zu untersuchenden Systems Zustände Transitionen zwischen den Zuständen Zustandsaussagen Zustandsübergangssysteme können übersichtlich als Graphen dargestellt werden 4

5 Einführung durch Ausführung des Systems entsteht ein Berechnungsbaum, der alle möglichen unendlichen Abläufe des Systems darstellt Abläufe werden Pfade genannt 5

6 Einführung beim Model Checking müssen Anforderungen an das System formuliert werden hierfür werden temporale Logiken genutzt diese sind eine Erweiterung der Aussagenlogik um temporale Operatoren ermöglichen zeitliche Einschränkungen der Gültigkeit von Aussagen (z.b. immer oder manchmal ) temporale Logik ist eine spezielle modale Logik (Verwendung von Modaloperatoren zum Ausdruck von Modalitäten) 6

7 Temporale Logiken LTL - Linear-time Temporal Logic (~1960) älteste temporale Logik lineares Zeitmodell Aussagen gelten immer für alle Pfade CTL - Computation Tree Logic (~1980) Zeit als Baum Verzweigung in unterschiedliche Versionen der Zukunft (Pfade) Aussagen können auf bestimmte Pfade beschränkt werden CTL* (1986) später entwickelt als Erweiterung der Ausdrucksmöglichkeiten von CTL und LTL Zeit als Baum freie Verschachtelung der Temporaloperatoren 7

8 Temporale Logiken Ausdrucksumfang der temporalen Logiken es gibt Ausdrücke, die sich zwar in LTL, nicht jedoch in CTL ausdrücken lassen und umgekehrt CTL* ist Obermenge von LTL und CTL 8

9 Semantik von CTL-Formeln CTL-Formeln beziehen sich auf einen Zustand s im Modell M Für eine Formel φ überprüft der Model-Checker die Erfüllbarkeitsrelation M, s² häufigste Anwendung des Model Checkers: erfüllen alle Zustände des Modells eine bestimmte Anforderung (=CTL- Formel)? die Antwort ist entweder true oder false bei false wird meist der Durchlauf ausgegeben, welcher die Anforderung verletzt hat 9

10 Aufbau von CTL-Formeln CTL-Formeln bestehen aus den folgenden Elementen Konstanten true und false atomare Zustandsaussagen boolesche Operatoren (not, and, or, Implikation) zusammengesetzte Operatoren, bestehend aus Pfadquantoren und Temporaloperatoren Backus-Naur-Form von CTL-Formeln φ: φ ::= T p ( φ) (φ φ) (φ φ) (φ φ) <compositeop> <compositeop> ::= A<temporalOp> E<temporalOp> <temporalop> ::= X φ F φ G φ [φ U φ] 10

11 Zusammengesetzte Operatoren (<compositeop>) bestehen aus Paaren von Pfadquantor und Temporaloperator Pfadquantoren A - All: Aussage gilt für alle in s beginnenden Pfade E - Exists: Aussage gilt für mindestens einen Pfad, der in s beginnt Temporaloperatoren (bezogen auf die Zukunft) unär binär X next: Aussage gilt im nächsten Zustand F Future: Aussage gilt in Zustand in der Zukunft G Global: Aussage gilt für kompletten Pfad U Until: Aussage1 gilt für alle Zustände bis Aussage2 gilt und Aussage2 wird gelten es ergeben sich somit 2*4=8 zusammengesetzte Operatoren namens: AX, AF, AG, AU, EX, EF, EG, EU 11

12 Definition der Erfüllbarkeitsrelation die Erfüllbarkeitsrelation lässt sich fallweise definieren Konstanten Atomare Aussagen Boolesche Operatoren M, s² M, s 2 M, s² p gdw. p L s M, s² gdw. M, s 2 M, s² gdw. M, s² and M, s² M, s² gdw. M, s² or M, s² M, s² gdw. M, s 2 or M, s² 12

13 Definition der Erfüllbarkeitsrelation Zusammengesetzte Operatoren AX φ gdw. in jedem nächsten Zustand gilt φ AF φ gdw. man erreicht immer einen Zustand, der φ erfüllt AG φ gdw. in allen Pfaden gilt φ A[φ U ψ] gdw. es gilt immer φ bis zum ersten Auftreten von ψ EX φ gdw. in (mind.) einem nächsten Zustand gilt φ EF φ gdw. in (mind.) einem der folgenden Zustände gilt φ EG φ gdw. es gibt (mind.) einen Pfad, so dass φ entlang des ganzen Pfades gilt E[φ U ψ] gdw. es gibt einen Pfad für den gilt: bis zum ersten Auftreten von ψ gilt φ 13

14 Beispiele M, s 0 ² p q true M, s 0 ² EX q r true M, s 2 ² AG r true 14

15 Beispiele Ein aufwärts fahrender Lift in der 2. Etage wechselt nicht die Richtung, falls Passagiere in den 5. Stock wollen: AG(etage2 aufwärts taste5 A[aufwärts U etage5]) 15

16 Anwendungsbeispiele NuSMV NuSMV is a symbolic model checker NuSMV is a reimplementation and extension of SMV, the first model checker based on BDDs. UPPAAL Uppaal is an integrated tool environment for modeling, validation and verification of real-time systems modeled as networks of timed automata, extended with data types (bounded integers, arrays, etc.). The tool is developed in collaboration between the Department of Information Technology at Uppsala University, Sweden and the Department of Computer Science at Aalborg University in Denmark. 16

17 Äquivalente CTL-Formeln Semantische Äquivalenz von CTL-Formeln Definition: zwei Formeln sind dann äquivalent, wenn ein beliebiger Zustand aus einem beliebigen Modell, der die eine Formel erfüllt, auch die andere Formel erfüllt. ermöglicht Ersetzung von Ausdrücken durch äquivalente Ausdrücke es ergibt sich eine Menge von adäquaten temporalen Operatoren, mit denen sich CTL komplett ausdrücken lässt: AF, EU, EX die booleschen Operatoren und Konstanten lassen sich ebenfalls auf eine adäquate Menge beschränken:,, Beispiel: De-Morgan-Gesetze AF EG EF AG AX EX 17

18 Algorithmen für die Verifikation Markierungsalgorithmus (labelling algorithm) Eingabe: ein Modell M und eine CTL-Formel φ Ausgabe: alle Zustände in M, die φ erfüllen Effizienz O(f * V * (V + E)) mit f Anzahl der Operatoren in φ V Anzahl der Zustände E Anzahl der Zustandsübergänge somit linear zur Größe der Formel, quadratisch zur Größe des Zustandsübergangsgraphen Effizienz nach Optimierung: O(f * (V + E)) Symbolisches Model Checking erstmalig im Model Checker SMV verwendet (~1998) verwendet OBDD (ordered binary decision diagrams) 18

19 Fazit Model-Checking mit CTL wird durch vielfältige Tools gut unterstützt wird in der Praxis eingesetzt ist aktuelles Lehr- und Forschungsthema Aber: Abstraktion des realen Systems in ein formales Modell ist schwierig CTL-Formeln höchst komplex state explosion problem effiziente Datenstrukturen (OBDD) Abstraktion Partial order reduction: Reduktion der Zustandsmenge bei kommutativen parallelen Transitionen Dekomposition des betrachteten Systems 19

20 Quellen Michael Huth, Mark Ryan: Logic in Computer Science - Modelling and Reasoning about Systems, Cambridge University Press, Übersicht über Applikationen zum Thema Model Checking: Homepage zur Applikation UPPAAL: Homepage zu Applikation NuSMV: 20