Kapitel 2. Temporale Logik. Inhalt. Computergestützte Verifikation Zusammenfassung Kapitel 1. Inhalt. Warum nicht einfach PK 1?

Transkript

1 Inhalt Computergetützte Verifikation Kapitel 1: Syteme Simulation Gegenbeipiel Fehlerbeeitigung Verfeinerung Sytem Abtraktion Präziierung Modell - Model Checker + Spezifikation Formaliierung log. Formel Überlauf 1 2 Zuammenfaung Kapitel 1 Al Modell wird dem Model Checker eine implizite Sytembechreibung übergeben Kapitel 2 E gibt viele Bechreibungprachen Hinter jeder impliziten Bechreibung teckt ein Tranitionytem Kontruktion de Tranitionytem it Aufgabe de Model Checker Temporale Logik 3 4 Inhalt Kapitel 1: Syteme Kapitel 2: Temporale Logik Warum nicht einfach PK 1? Fehlerbeeitigung Simulation Verfeinerung Gegenbeipiel Beipiel: Wenn Proze A eine Nachricht an B endet, o wird (irgendwann paeter) Proze B eine Betätigung zurückchicken. Sytem Abtraktion Präziierung Modell - Model Checker + t (end(a,b,t) t (end(b,a,t ))) Spezifikation Formaliierung log. Formel Überlauf Viel zu kompliziert Rechnen zu chwer 5 6 1

2 Wa it Temporale Logik? E geht nicht um Zeit E geht um Eigenchaften von Zutänden und deren Änderung in Sytemabläufen E it (bei un) eine Erweiterung der Auagenlogik Real Time Logik 7 Die Temporale Logik CTL* (Computation Tree Logic) Augangpunkt: Eigenchaften von Zutänden Sei AP eine Menge von atomaren Auagen. Jede Element von AP it eine Zutandformel in CTL* Jeder Zutand liefert eine Belegung der atomaren Auagen mit Wahrheitwerten: (p) {W,F} Ein Zutand erfüllt p AP gdw. (p) = W. p a,c c a,c b 8 Zutandeigenchaften Mailbox it leer bin bei Anweiung k x[17] > 35 nil dereferenziert Pfade in Tranitionytemen ,n x,k k,,n Annahme: (p) mit vernachläigbarem Aufwand berechenbar au Repräentation von im Rechner Wir betrachten nur unendliche Pfade (ggf. unendliche Wiederholung de Endzutande) 10 CTL* -Triviale Pfadformeln π: a a, b c c c,d... Jede Zutandformel it eine Pfadformel Ein Pfad erfüllt eine Zutandformel gdw. ein erter Zutand ie erfüllt. π a π c π true CTL* - Der NACHFOLGER-Operator π: a a, b c c c,d... Wenn φ eine Pfadformel it, o auch X φ Ein Pfad ( ) erfüllt X φ gdw. ( ) erfüllt φ. π X a π X X X b 11 Tautologien: X φ X φ X (φ ψ) X φ X ψ 12 2

3 CTL* - Der IRGENDWANN-Operator π: a... a, b c c c,d... Fall φ eine Pfadformel it, o auch F φ Ein Pfad ( ) erfüllt F φ gdw. ([i] [i+1] [i+2] [i+3]... ) erfüllt φ, für ein i 0. π F b π X a F( b X c) Tautologien: φ F φ X φ F φ F φ F F φ X F φ F X φ F (φ ψ) F φ F ψ F φ φ X F φ F (φ ψ) F φ F ψ 13 CTL* - Der IMMER-Operator π: a... a, b, a,c,c... Wenn φ eine Pfadformel it, o auch G φ Ein Pfad ( ) erfüllt G φ gdw. ([i] [i+1] [i+2] [i+3]... ) erfüllt φ, für alle i 0. π G (a ) Tautologien: G φ φ G φ X φ G φ F φ G φ G G φ G φ F φ G φ G ψ G (φ ψ) G φ G ψ G (φ ψ) G φ φ X G φ 14 Kombinationen von F and G G F φ = φ gilt unendlich oft... F G φ = φ tabiliiert... G ( φ F ψ) = φ führt zu ψ... Tautologien: F G F φ G F φ G F G φ F G φ 15 CTL* - Der BIS-Operator π: a a,d a, c, a,c,c... Wenn φ und ψ Pfadformeln ind, o auch φ U ψ Ein Pfad ( ) erfüllt φ U ψ gdw. ([i] [i+1] [i+2] [i+3]... ) erfüllt ψ, für ein i 0, und ([j] [j+1] [j+2]... ) erfüllt φ, für alle j < i. π a U c Tautologien: ψ φ U ψ F φ true U φ φ U ψ ψ φ φ U ψ ψ (φ X (φ U ψ)) 16 Temporale Operatoren auf Pfaden Zuammenfaung Symbol X / F / ( eventually O / ( (once) G / alway B / (alway been) U engl. Name nexttep until Vergangenheitverion P / (previou) S (ince) + atomare Auagen + Booleche Operatoren = Linear Time Temporal Logic (LTL) 17 Sicherheit und Lebendigkeit Eine Pfadeigenchaft kann aufgefaßt werden al die Menge derjenigen Pfade, die die Eigenchaft erfüllen S it eine Sicherheiteigenchaft, wenn zu jedem π S ein (endl.) Anfangtück π exitiert, o daß jede unendliche Fortetzung von π ebenfall S it. Alo: Verletzung einer Sicherheiteigenchaft kann nach endlicher Zeit fetgetellt werden und it permanent. Beipiele: G f X f 18 3

4 Sicherheit und Lebendigkeit L it eine Lebendigkeiteigenchaft, wenn zu jedem endlichen Pfad π eine Fortetzung π L exitiert. Alo: Für keinen Pfad kann ich mir nach endlicher Zeit icher ein, daß er die Eigenchaft verletzt. Sicherheit und Lebendigkeit in der Praxi: Unterteilung in Sicherheit und Lebendigkeit ehr natürlich Sicherheit = nicht Schlimme kann jemal paieren Beipiele: F f GF f FG f Lebendigkeit = Etwa Erwünchte wird irgendwann paieren Satz: Jede Pfadeigenchaft it äuivalent zu einer Konjunktion au einer Sicherheit- und einer Lebendigkeiteigenchaft Der Berechnungbaum Der Berechnungbaum a,b c a,b a, c 3 5 it unendlich in jedem Zweig Zu jedem (Anfang-)zutand gibt e genau einen Berechnungbaum a, Berechnungbaum hat die gleichen a,b a, Pfade wie zugrundeliegende Tranitionytem (beim gleichen Anfangzutand) c c 22 a,b a,d c E F c A X a CTL* -Pfaduantoren Wenn φ eine Pfadformel it, o it E φ eine Zutandformel erfüllt E φ gdw. e einen Pfad π gibt, der bei beginnt und π φ Wenn φ eine Pfadformel it, o it A φ eine Zutandformel erfüllt A φ gdw. für alle Pfade π, die bei beginnen, gilt: π φ Tautologien: A φ E φ A φ E φ 23 CTL* - Komplexe Formeln CTL* = Atomare Zutandauagen + Booleche Operatoren + Temporale (Pfad-) Operatoren + Pfaduantoren a a a a G E F a Zutandformel Pfadformel a a 24 4

5 CTL* - Zuammenfaung Computation Tree Logic (CTL) ehr audrucktark Keine effizienten Algorithmen bekannt E gibt effiziente Algorithmen für Fragmente von CTL* CTL* CTL = atomare Zutandauagen + Booleche Operatoren + Paare [ Pfaduantor, Temporaloperator ] AG (invariant) AF (irgendwann) AX (in allen Nachf.) A(. U. ) (bi) LTL CTL EG (mgl.weie immer) EF (möglich) nur Pfadformeln Nur Zut.- formeln 25 EX (in einem Nachf.) E(. U. ) (bi) 26 CTL AG und EF CTL EG und AF EF grün AG blau AF grün EG blau Tautologien: AG φ EF φ AG AG φ AG φ EF EF φ EF φ AG EF AG EF φ φ EF φ AG φ φ AG EF φ Tautologienb: EG φ AF φ EG EG φ EG φ AF AF φ AF φ φ AF φ EG φ φ EF AG EF AG φ EF AG 27φ 28 CTL AX und EX CTL AU und EU EX grün AX blau E(grün U gelb) A(blau U rot) Tautologien: AX φ EX φ AX φ EX φ 29 Tautologien: EF φ E(true U φ) AF φ A(true U φ) A(φ U ψ) EG ψ E( ψ U ( φ ψ)) 30 5

6 ! Einige relevante CTL-Eigenchaften Gegenbeipiele AG icher - nicht Schlimme paiert jemal AG eine Aktion enabled EF Menüpunkt - Verklemmungfrei - man kann ich zu ihm durchklicken Fehlerbeeitigung Simulation Verfeinerung Gegenbeipiel AF Ziel - Irgendwann wird man e chaffen AG(re AF ack) -Auf jeden Re folgt ein Ack Sytem Abtraktion Präziierung Modell - Model Checker + AG AF verfügbar -...e macht Sinn zu warten Spezifikation Formaliierung log. Formel Überlauf AG EF exit - man kann immer auber beenden Gegenbeipiele für A-Formeln Gegenbeipiel für... = AG φ AF φ Zeugenpfad für... EF φ EG φ (AX φ) (EX φ) A(φ U ψ) EG ψ oder E( ψ U ( φ ψ)) Baen für die Temporaloperatoren LTL : X und U F φ " true U φ G φ "$# F # φ CTL: (E/A)X und EU und AU AX φ "$# EX # φ ont analog LTL oder (E/A)X und EU und EG A(φ U ψ) " # (EG # ψ % E(# ψ U (# φ& # ψ))) Gültigkeit in Tranitionytemen Ein Tranitionytem erfüllt eine CTL*-Formel φ, fall zu jedem Anfangzutand der zugehörige Berechnungbaum φ erfüllt. Ein Tranitionytem erfüllt eine LTL-Formel φ, fall jeder bei einem Anfangzutand beginnende Pfad φ erfüllt. Ein Tranitionytem erfüllt eine CTL-Formel φ, fall jeder Anfangzutand φ erfüllt. Intereante Probleme 1. Erfüllbarkeit: Geg.: Formel φ Frage: Gibt e ein Tranitionytem, in dem φ gilt? 2. Axiomatiierbarkeit: Frage: Gibt e eine endl. Menge von Formeln und Regeln, au denen ich alle Tautologien ableiten laen? 3. Model Checking: Geg.: Formel φ und Tranitionytem TS Frage: Erfüllt TS φ? CTL*: O(2 φ TS ) LTL: O(2 φ TS ) LTL: O( φ TS ) Tautologie: φ ' A φ

7 Übung 1 Gegeben it folgender Pfad. Die Notation (... ) * oll bedeuten, daß ich die eingeklammerte Seuenz bi in Unendliche wiederholt. Welche Pfadeigenchaften ind erfüllt? Übung 2 Welche der folgenden Formeln ind Tautologien? a a,b d a,d b c a,c ( a,c b,c c )* G ((a & d) ' X X G c) G (a ' F b) G ( a ' X b ) (# c) U b (F b) U c F ψ " F ( φ U ψ) φ U ψ ' φ U X ψ G ( φ U ψ) ' G F ψ φ U (ψ U χ) ' (φ % ψ) U χ Übung 3 Formaliiere folgende Spezifikationen in CTL* (wähle dazu geeignete atomare Auagen)! Eine im Bahnhof tehende S-Bahn chließt die Türen, bevor ie abfährt E it nie möglich, vom 2. Gang in den 4. Gang zu chalten, ohne zwichendurch in den 3. Gang gechaltet zu haben Zwei parallele Prozee chreiben nie gleichzeitig auf die geteilte Variable x. Jede Variable it initialiiert, bevor ie da erte Mal benutzt wird. Hinwei: Man braucht wirklich keine Vergangenheitoperatoren! 39 7