Temporale Operatoren auf Pfaden. Sicherheit und Lebendigkeit. Der Berechnungsbaum. CTL* -Pfadquantoren. Computergestützte Verifikation.

Transkript

1 Inhalt Computergetützte Verifikation Kapitel 1: Syteme Kapitel 2: Temporale Logik Fehlerbeeitigung Simulation Verfeinerung Gegenbeipiel Sytem Abtraktion Präziierung Modell - Model Cheker + Spezifikation Formaliierung log. Formel Überlauf 1 2 Temporale Operatoren auf Pfaden Symbol X / G / U engl. Name nexttep F / eventually O / (one) alway until Vergangenheitverion P / B / S (previou) (alway been) (ine) + atomare Auagen + Boolehe Operatoren = Linear Time Temporal Logi (LTL) 3 Siherheit und Lebendigkeit in der Praxi: Unterteilung in Siherheit und Lebendigkeit ehr natürlih Siherheit = niht Shlimme kann jemal paieren Lebendigkeit = Etwa Erwünhte wird irgendwann paieren 4 Der Berehnungbaum CTL* -Pfadquantoren a,b q a,q it unendlih in jedem Zweig Zu jedem (Anfang-)zutand gibt e genau einen Berehnungbaum Berehnungbaum hat die gleihen a,b a,q q Pfade wie zugrundeliegende Tranitionytem (beim gleihen Anfangzutand) q q q q a,b a,q 5 a,b a,d Wenn φ eine Pfadformel it, o it E φ eine Zutandformel erfüllt E φ gdw. e einen Pfad π gibt, der bei beginnt und π φ Wenn φ eine Pfadformel it, o it A φ eine Zutandformel erfüllt A φ gdw. für alle Pfade π, die bei beginnen, gilt: π φ E F A X a A φ E φ A φ E φ 6 1

2 CTL* - Zuammenfaung ehr audruktark Keine effizienten Algorithmen bekannt E gibt effiziente Algorithmen für Fragmente von CTL* CTL* Computation Tree Logi (CTL) CTL = atomare Zutandauagen + Boolehe Operatoren + Paare [ Pfadquantor, Temporaloperator ] AG (invariant) AF (irgendwann) AX (in allen Nahf.) A(. U. ) (bi) LTL CTL EG (mgl.weie immer) EF (möglih) nur Pfadformeln Nur Zut.- formeln 7 EX (in einem Nahf.) E(. U. ) (bi) 8 CTL AG und EF CTL EG und AF EF grün AF grün AG blau EG blau AG φ EF φ AG AG φ AG φ EF EF φ EF φ φ EF φ AG φ φ AG EF AG EF φ AG EF φ EF AG EF AG φ EF AG φ 10 9 EG φ AF φ EG EG φ EG φ AF AF φ AF φ φ AF φ EG φ φ CTL AX und EX CTL AU und EU EX grün E(grün U gelb) AX blau A(blau U rot) AX φ EX φ AX φ EX φ 11 EF φ E(true U φ) AF φ A(true U φ) A(φ U ψ) EG ψ E( ψ U ( φ ψ)) 12 2

3 Einige relevante CTL- Eigenhaften AG iher - niht Shlimme paiert jemal Gegenbeipiele AG eine Aktion enabled EF Menüpunkt - Verklemmungfrei - man kann ih zu ihm durhkliken Fehlerbeeitigung Simulation Verfeinerung Gegenbeipiel AF Ziel AG(req - Irgendwann wird man e haffen AF ak) -Auf jeden Req folgt ein Ak Sytem Abtraktion Präziierung Modell - Model Cheker + AG AF verfügbar -...e maht Sinn zu warten Spezifikation Formaliierung log. Formel Überlauf AG EF exit - man kann immer auber beenden Gegenbeipiele für A- Formeln Gegenbeipiel für... = Zeugenpfad für... AG φ EF φ AF φ EG φ (AX φ) (EX φ) EG ψ A(φ U ψ) oder E( ψ U ( φ ψ)) LTL : X und U F φ G φ Baen für die Temporaloperatoren true U φ F φ CTL: (E/A)X und EU und AU AX φ EX φ ont analog LTL oder (E/A)X und EU und EG A(φ U ψ) (EG ψ E( ψ U ( φ ψ))) Gültigkeit in Tranitionytemen Ein Tranitionytem erfüllt eine CTL*-Formel φ, fall zu jedem Anfangzutand der zugehörige Berehnungbaum φ erfüllt. Ein Tranitionytem erfüllt eine LTL-Formel φ, fall jeder bei einem Anfangzutand beginnende Pfad φ erfüllt. Ein Tranitionytem erfüllt eine CTL-Formel φ, fall jeder Anfangzutand φ erfüllt. Intereante Probleme 1. Erfüllbarkeit: Geg.: Formel φ Frage: Gibt e ein Tranitionytem, in dem φ gilt? 2. Axiomatiierbarkeit: Frage: Gibt e eine endl. Menge von Formeln und Regeln, au denen ih alle Tautologien ableiten laen? 3. Model Cheking: Geg.: Formel φ und Tranitionytem TS Frage: Erfüllt TS φ? CTL*: O(2 φ TS ) LTL: O(2 φ TS ) CTL: O( φ TS ) Tautologie: φ A φ

4 Progre und Fairne d e Löung: Fairneannahmen Eine Fairneannahme it eine Pfadeigenhaft und Betandteil der Sytembehreibung. a b p d e f a b p p p F p gilt niht!!?!?!?! 19 Gültigkeit unter Fairne: A = für jeden Pfad, der alle Fairneannahmen erfüllt, gilt... E = e gibt einen Pfad, der alle Fairneannahmen erfüllt und... aktionbaiert Fairne zutandbaiert 20 Progre (= hwahe Fairne) informal: Komponenten bleiben niht einfah o tehen aktionbaiert: Ein Pfad π behandelt eine Aktion a hwah fair, wenn: Wenn a in π von einem Zutand an unendlih lange aktiviert it, wird a bei einem Nahfolger von augeführt zutandbaiert: Eigenhaften der Form G F φ (φ it Zutandeigenhaft) werden Progre-Annahmen genannt (oder hwahe Fairneannahmen). Beipiele: G F p k GF input = 0 GF input = 1 21 Starke Fairne informal: Wenn ih mehrere Prozee wiederholt um geteilte Reouren bewerben, kommt jeder mal dran aktionbaiert: Ein Pfad p behandelt eine Aktion a tark fair, wenn: Wenn a in p unendlih oft enabled it, wird a auh unendlih oft augeführt zutandbaiert: Eigenhaften der Form (G F φ ) (G F ψ) werden tarke Fairneannahmen genannt. Beipiel: ( G F reoure beantragt ) ( G F reoure erhalten) 22 Fairne - Zuammenfaung Sytem = Tranitionytem + Fairneannahmen Beipiele Weheleitiger Auhlu S: G (p1 ritial p2 ritial ) L: G (p = requet F p = ritial ) Spezifikation = Siherheiteigenhaft + Lebendigkeiteigenhaft Fairneannahmen ind Lebendigkeiteigenhaften Voriht! k: reeive(m,mailbox) TS: Pr i (p: lokale Variable, em: globale Variable) init(p) = idle init(em) = 1 : p = idle p = idle /* do omething ele */ : p = idle p = requet : p = requet em = 1 em = 0, p = ritial : p = ritial p = idle, em = 1 G F p k G F (p k Mailbox= ) 23 F: hwah: tark: F : G F p ritial, (G F (p = requet em = 1)) (G F p = ritial ) 24 4

5 Beipiele Beipiele F: hwah: tark: F: hwah: tark: F : G F p ritial, (G F (p = requet em = 1)) (G F p = ritial ) F : G F p ritial, (G F (p = requet em = 1)) (G F p = ritial ) (,i,0) (r,i,1), (i,,0) hwah unfair, bzgl. (r,i,1) (,i,0) (i,,0) (,r,0) (r,,0) 25 (,r,0) (r,,0) 26 Beipiele Beipiele F: hwah: tark: F: hwah: tark: F : G F p ritial, (G F (p = requet em = 1)) (G F p = ritial ) hwah fair, aber tark unfair bzgl., (r,i,1) (,i,0) (i,,0) F : G F p ritial, (G F (p = requet em = 1)) (G F p = ritial ) fair, gewollter Ablauf wäre hwah unfair, bzgl. (r,i,1) (,i,0) (i,,0) (,r,0) (r,,0) 27 (,r,0) (r,,0) 28 Beipiele Eho : propagation of information with feedbak Proze initiator (1) Prozee other (n) Kommunikationrelation N (bidirektional, zuammenh.) Nahriht: [Empfänger, Abender, Inhalt] initiator: : p = idle = hooe, p = ative : p = ative end(n(myelf) x {myelf} x {}),p = waiting : p = waiting reeived({myelf} x N(myelf} x {}) p = ready other: g4: p = idle reeived([myelf,f,]) end(n(myelf) \ {f} x {myelf} x {}), p = pending g5: p = pending reeived(n(myelf) \ {f} x {myelf} x {}) end([f,myelf,]), p = terminated F: hwah: -g5 L: G (initiator.p = ative F initiator.p = ready) S: G (initiator.p = ready o. = initiator.) o in other 29 Sytem Spezifikation Wie geht e weiter? Fehlerbeeitigung Abtraktion Simulation Formaliierung Verfeinerung Präziierung Modell log. Formel Gegenbeipiel - Model Cheker Überlauf A) Finite tate ytem B) Infinite tate ytem

6 explizit: Model Cheking für finite tate ytem explizite Kontruktion eine Tranitionytem, da ih in bezug auf die unteruhte Eigenhaft äquivalent zum gegebenen verhält, aber in der Regel weentlih kleiner it. Eigenhaft wird durh Graphuhe nah Zeugen/ Gegenbeipielen verifiziert ymbolih: Datentruktur, die Mengen von Zutänden bzw. Pfaden behreibt, Operationen, die imultan die Nahfolger aller Zutände berehnet Eigenhaft wird durh Fixpunktoperationen auf der ymbolihen Datentruktur berehnet 31 explizit: Model Cheking für finite tate ytem 3.1: Tiefenuhe Kapitel 3 ymbolih: Kapitel 4 3.2: LTL-Model Cheking 3.3: CTL-Model Cheking 3.4: Fairne 3.5: Reduktion durh Symmetrie 3.6: Partial Order Redution 3.7: Tool 4.1: BDD-baierte CTL-Model Cheking 4.2: SAT-baierte Model Cheking 4.3: Tool 32 6