Chapitre 7 Automates de Büchi et SPIN Vérification de modèles:

Présentation au sujet: "Chapitre 7 Automates de Büchi et SPIN Vérification de modèles:"— Transcription de la présentation:

1 Chapitre 7 Automates de Büchi et SPIN Vérification de modèles:
(Holzmann Chap. 6) (réserve à la biblio) Chap 7

2 Propriétés d’états et exécutions (chaînes)
X=X/2 X=13 X=X/2+1 X>0 s0 s1 s2 s3 X≤0 X: entier et / a résultat entier (tronqué) Nous pouvons affirmer des propriétés pour: Des états: p.ex. à l’état s1, X=13 toujours (invariant) pas besoin de logique temporelle ici Des exécutions, p.ex.  x≤0 ou  x≤0, mais pas  x≤0. Observez que dans ce cas le contrôle est sur les transitions. État d’acceptation . INF6001 Chap 7

3 Comment vérifier les propriétés temporelles?
Nous avons une machine dont nous pouvons observer certaines propriétés, p.ex. qu’une variable a toujours une certaine valeur ou une propriété temporelle Solution: exécuter la machine en parallèle avec une autre machine qui observe et vérifie ces propriétés – composition synchrone nous pouvons aussi vérifier une propriété négative, c.-à.-d. que la machine ne satisfait pas une propriété never automata INF6001 Chap 7

4 Vérification de modèle
Composition synchrone Modèle à vérifier Automate exprimant des propriétés à vérifier On peut dire que les deux côtés sont des modèles: L’automate est un modèle d’une propriété logique à vérifier INF6001 Chap 7

5 s p Exemple AB pour vérifier p 1
Cet AB synchronise avec un autre automate seulement si la propriété p reste toujours vraie, à toutes les transitions Si elle reste toujours vraie, il est content... INF6001 Chap 7

6 Acceptation dans les automates de Büchi
Pour chaque expression de logique temporelle, il y a un AB qui accepte les chaînes qui satisfont cette expression Il existe un algorithme pour effectuer cette construction, pas discuté dans ce cours Un automate régulier accepte toutes les chaînes qui conduisent à un état final Un AB accepte toutes les chaînes infinies qui passent un nombre infini de fois par un état final INF6001 Chap 7

7 s s vrai p Exemple Ø p AB pour vérifierp 1
p 1 Cet AB est prêt à accepter des transitions où p est faux, mais il est content seulement quand p devient vrai. INF6001 Chap 7

8 Prouver  x≤0 pour ce modèle
Exercice: Prouver  x≤0 pour ce modèle X=X/2 X=13 X=X/2+1 X>0 s0 s1 s2 s3 X: entier et / a résultat entier (tronqué) X≤0 Automate de Büchi à utiliser INF6001 Chap 7

9 Schéma de Solution  x≤0 s1,s1
X=13, ¬X≤0 X=7, ¬X≤0 X=7, ¬X≤0 s1,s0 s2,s0 X=1, ¬X≤0 X=0, X≤0 X=0, vrai s2,s0 s3,s0 s2,s1 s0,s1 X=1, ¬X≤0 X=13, vrai Après ça, le système continue normalement mais la propriété est satisfaite, l’AB reste en état s1 s1,s1 X=7, vrai Etc. INF6001 Chap 7

10 Composition synchrone
Comme dans la composition synchrone, deux transitions peuvent être composées quand elles sont compatibles, p.ex. X=7, ¬X≤0 INF6001 Chap 7

11 = s s s p p Incomplétude des AB p Ø p
L’AB de gauche ne considère pas le cas de recevoir un Ø p Ceci simplifie la compréhension et la vérification, car les transitions qui ne conduisent pas au résultat désiré ne sont pas prises en considération p p p = s s s 1 2 1 Ø p réjet! INF6001 Chap 7

12 Non-déterminisme … Considérez la propriété:
soleil (enfin toujours soleil) Après un certain moment, il y aura toujours du soleil Mais à partir de quand? Si un jour il y aura du soleil, ce n’est pas nécessairement le début de l’époque du soleil… Donc advenant une journée de soleil, il faut en même temps Considérer la possibilité qu’elle soit la première journée de soleil de l’époque du soleil Ou la possibilité que non, l’époque du soleil viendra plus tard INF6001 Chap 7

13 Exemple de nondéterminisme
AB pour vérifier que p (enfin toujours p) vrai p s s p 1 ‘vrai’ accepte p et autres mais après un certain p, il n’accepte que des p après Cet AB est nondéterministe, mais avec raison … INF6001 Chap 7

14 Comparer avec AB déterministe
L’AB ci-dessous n’est pas bon pour p Car s’il y a un 1er p qui n’est pas suivi par p il rejette. Il faut dans ce cas continuer à chercher un p futur après lequel p ¬p p s s p 1 Cet AB montre aussi les limites de l’expressivité des opérateurs , car ce qu’il exprime (après le 1er p, toujours p) n’est pas exprimable avec ces opérateurs seulement. faut utiliser U: ¬ p U p INF6001 Chap 7

15 Nondéterminisme des AB
Le nondéterminisme est une caractéristique importante des AB p finalement toujours p Il est important de comprendre qu’une transition étiquetée vrai peut toujours être prise, même s’il y a des autres transitions possibles. Quand un p est rencontré, l’automate peut ou bien boucler sur s0, ou bien changer à s1. Ceci est justifié par le fait que s’il y a des p initiaux après lesquels p est faux, la propriété n’est pas nécessairement fausse! Donc des p peuvent être ignorés et la propriété peut encore être vraie plus tard INF6001 Chap 7

16 Exemple concret de fonctionnement de nondéterminisme
Nous voulons vérifier si p ici m1 q m2 p Nous commençons dans l’état global (m0,s0). La machine à vérifier produit son premier p: Nous ne savons pas si nous devons l’apparier avec un p  (m1,s1). ou avec un true  (m1,s0). Nous devons considérer les deux possibilités Plus tard nous saurons que l’apparier avec un true était le bon choix Le q suivant sera aussi apparié avec un true, puis enfin on peut apparier les p avec les p INF6001 Chap 7

17 Exécution non-déterministe avec échec de parcours
m0,s0 p, p p, true m1,s1 m1,s0 q, true m2,s1 p, p p INF6001 Chap 7

18 Exercices Faites-vous des autres exemples INF6001 Chap 7

19 Transformation Büchi  aut. déterm.
Étant donné un automate Büchi ou semblable, il est toujours possible de donner un automate ‘régulier’ et déterministe équivalent Cependant ce dernier pourrait être beaucoup plus complexe Avant tout, il faut compléter l’automate, y incluant toutes les transitions et états non spécifiés En deuxième, il faut enlever le nondéterminisme Si une transition p peut aller à un état s1 ou à un état s2, nous la faisons aller à l’état {s1,s2} Donc l’ensemble des états d’un automate déterministe D équivalent à un automate nondéterministe ND, qui a |ND| états, peut avoir jusqu’à 2|ND| -1 états Son ensemble d’états est l’ensemble de tous les sous-ensembles de ND -1 car l’ensemble vide n’est pas un état… Construction en principe exponentielle (pourquoi?) V. un manuel quelconque de théorie des automates INF6001 Chap 7

20 La même exécution, mais avec automate déterministe
m0,s0 p,p p, true m1,s0 m1, s1 q, true m2,s1 Nous voyons ici de manière implicite que l’état m1, s1 n’a pas de suite p, p INF6001 Chap 7

21 Exercice Trouver un automate déterministe qui fait le même travail que l’AB pour p Vous verrez qu’il existe, mais il est plus compliqué INF6001 Chap 7

22 Autre exemple impliquant U (until fort)
vrai s s q 1 p U q INF6001 Chap 7

23 Deux cas limites AB pour la tautologie: vrai, ou vrai, ou vrai ou pØp etc. Cet AB accepte toujours tout. AB pour la contradiction: faux, ou faux, ou faux ou pØp etc. Il n’y a pas d’AB pour la contradiction: il est vide Il n’y a pas de modèles pour les systèmes contradictoires Il n’est pas possible de vérifier un système contradictoire vrai s 1 INF6001 Chap 7

24 Exemples impliquant opérateurs propositionnels (utilisant http://www
F p || F q = F (p || q) p || Fq G F p && G q = G ( F p && q ) G ( F p || q ) INF6001 Chap 7

25 Quelques surprises … (possiblement)
Utilisant l’outil vous pourrez vérifier que: p U q peut être vrai sans aucun p  p ->  q a besoin seulement de q pour être vrai, mais il est aussi vrai si p est faux dorénavant  p -> ○q est vrai dans deux cas: p est dorénavant faux ou q est vrai dans le prochain état La logique temporelle n’est pas vraiment intuitive au début … INF6001 Chap 7

26 Efficacité de calcul Nous ne prenons pas en considération pour l’instant les aspects d’efficacité de calcul Cependant la présence de nondéterminisme implique le besoin de retour en arrière si on a pris la mauvaise branche… ou bien de tenir en compte de toutes les branches possible à chaque pas Tenir compte de ces possibilités cause inefficacité dans le calcul INF6001 Chap 7

27 s s Exemple  p vrai p vrai 1 toujours finalement p
(infiniment souvent p) vrai p s s 1 vrai Accepte seulement quand il continuera d’y avoir des p dans le futur INF6001 Chap 7

28 s s  p ¬p p p ¬p Parfois le nondéterminisme n’est pas nécessaire 1
toujours finalement p (infiniment souvent p) ¬p p p s s 1 ¬p INF6001 Chap 7

29 Exemple: utiliser les équivalences
p =   p toujours finalement  p vrai Ø p s s 1 vrai Un  p doit être trouvé, après on peut trouver autre chose, mais il faut retourner sur  p INF6001 Chap 7

30 Exemple (pas très intuitif, mais…)
(p   q) = ( p   q) Dorénavant, un p est suivi toujours par un q. Utilisant la formule de droite, nous voyons que: à cause du fait que (faux  vrai) = vrai, p n’a pas besoin de se produire afin que q se produise et rende la formule vraie INF6001 Chap 7

31 s s Exemple continuation vrai vrai q (p   q) = ( p   q)
Dorénavant, un p est toujours suivi par un q (p   q) = ( p   q)  p  q vrai vrai s s 1 q Accepte tant que  p  q est vrai, peut aussi passer à un état où un q doit se produire plus tard INF6001 Chap 7

32 Pour bien comprendre… Pour bien comprendre l’AB précédent, considérez le fait que un q peut se produire tout seul, même sans p Mais dès qu’un p se vérifie, l’automate passe à s1, qui n’est pas un état d’acceptation Il retourne et peut rester dans l’état d’acceptation seulement après un q À ce moment là, nous retournons à l’état initial dans lequel nous pourrons avoir (ou non …) des autres p et q INF6001 Chap 7

33 Autres exemples D’autres exemples plus complexes sont dans le livre de Holzmann, Chap. 6 En pratique, on a rarement besoin d’utiliser des formules complexes Ou on simplifie l’assertion pour les éviter... Un programme pour trouver un AB pour une formule LTL: Büchi store, base de données d’AB: INF6001 Chap 7

34 Puissance: LTL et AB Le formalisme des AB est plus puissant que celui de la LTL On peut construire des AB qui ne peuvent pas être exprimés en LTL Intuitivement, ceci peut être justifié par le fait qu’en LTL on ne peut définir que des propriétés de comportement générales, tandis que avec un AB on peut spécifier des comportements détaillés complexes et à plusieurs stages Exercice: Faites vos expériences à ce sujet! Cherchez à définir des AB qui n’ont pas un correspondant en LTL INF6001 Chap 7

35 Mais la construction du modèle est le problème!
Problème fondamental: Soit S l’automate global (modèle) du système en considération S est construit à partir des différentes composantes du système Nous avons vu (Chapitre 2) que le problème de construire S peut être de complexité exponentielle à cause du fait que nous devons considérer l’entrelacement des actions des composantes de S Bonne nouvelle, S n’a pas besoin d’être construit complet auparavant Il peut être construit au fur et à mesure qu’il est composé avec l’automate de Büchi et n’a pas besoin d’être gardé entièrement en mémoire ‘on the fly model checking’ INF6001 Chap 7

36 Deux manières de prouver ou refuser une propriété
Prouver que tous les comportements du système satisfont la propriété Chercher un comportement du système qui satisfait la négation de la propriété! (un contrexemple) Cette deuxième stratégie pourrait aboutir plus rapidement, car dès qu’un contrexemple est trouvé, nous savons que la propriété est fausse et nous n’avons pas besoin de continuer si on veut s’assurer que quelqu’un est honnête, il pourrait être difficile de le démontrer en principe donc on lui propose des comportements possibles et on attend de voir si jamais il se comporte de manière malhonnête … ce processus est une sorte de test systématique. INF6001 Chap 7

37 Test d’honnêtété: deux manières de contrôler
Comportements honnêtes Comportements malhonnêtes Comport. de A Comport. de A Dans ce cas, on examine tous les comportements de A et pour chacun on détermine s’il est honnête Dans ce cas, on cherche s’ily a des comportement contraires: il suffit d’en trouver un seul INF6001 Chap 7

38 L’importance des contrexemples
Il pourrait être possible de construire le modèle complet d’un système et de contrôler qu’un ensemble de propriétés est toujours valable, dans toute évolution possible du système. Dans ce cas, super! Sinon, les model checkers d’aujourd’hui permettent de développer le système pas par pas (on the fly) et de contrôler la violation de propriétés à chaque pas. Si à un certain point on trouve une violation, ceci est un contre-exemple à la propriété, une erreur qu’il faut corriger C’est encore une trouvaille importante. INF6001 Chap 7

39 Propriétés d’un système
Pour prouver qu’ un système jouit des propriétés spécifiées par des expression de logique temporelle, il faut montrer que tous les comportements du système ont ces propriétés Nous appelons ‘langage’ d’un automate l’ensemble de chaînes, l’ensemble des comportements, qu’il accepte Propriétés ou exigences positives Toutes les exécutions du système satisfont aux propriétés Pour prouver une exigence positive, nous devons prouver que le langage du système est inclus dans le langage de l’AB qui exprime l’exigence Propriétés ou exigences négatives Aucune exécution du système ne satisfait aux propriétés Le langage du système et le langage de l’exigence doivent avoir intersection vide Si l’intersection est non vide, les exécutions dans l’intersection sont des contre-exemples, montrant dans quelles situations la propriété est violée INF6001 Chap 7

40 ¬  x ≥ 4 Exemple simple  x<4
Supposons qu’on veuille contrôler que dans un système:  x<4 Nous pourrions chercher à développer le modèle complet pour voir si ceci est toujours vrai Ou nous pouvons chercher un contre-exemple après chaque pas de création du modèle, utilisant ¬  x ≥ 4 Au moment où nous trouvons la violation de cette propriété (x=5, p.ex.), nous avons trouvé un contre-exemple et donc probablement une erreur à corriger. INF6001 Chap 7

41 Never claims: exigences négatives
Donc il est plus efficace de contrôler l’absence de comportements défendus plutôt que de contrôler tous les comportements permis L’AB approprié est obtenu par négation d’une formule de logique temporelle INF6001 Chap 7

42 Exemple basé sur la formula précédente:
(p   q) = ( p   q) Dorénavant, un p est suivi toujours par un q Cette formule est fausse s’il y aura un p et puis aucun q INF6001 Chap 7

43 Automate négation: never automata
Supposons que nous voulions qu’un comportement niant la formule précédente soit détecté: (p   q) = par définition de  ( p   q) = par loi de dualité  ( p   q) = par loi de De Morgan (p   q) = par dualité (p   q) Øq true p  Øq s s 1 Si un comportement tombe dans l’état s1, il n’est pas conforme aux exigences INF6001 Chap 7

44 Un système à vérifier (source: H.v.d.Schoot) Exercice: calculer la machine globale de P1 et P2 (ils ne communiquent pas). INF6001 Chap 7

45 Une propriété à vérifier
Nous désirons voir si f = w  d Faisant la négation (never claim) ¬f = ¬(w  d) = ¬(¬w  d) = w  ¬ d = ¬f =w  ¬ d Un AB Büchi pour A¬f est celui-ci où = true = a  b  c  d  v  w S\{d} = ¬d = a  b  c  v  w S\{d,w} = ¬d  ¬w = a  b  c  v ¬d¬w ¬d true d s’est produit et ¬f est faux, f est vrai INF6001 Chap 7

46 Notation utilisée dans cet exemple
Σ est l’ensemble de toutes les actions possibles Donc Σ est équivalent à true, prend tout Si = {a, b,c, d}, alors Σ est (a v b v c v d) Σ \ {a,b} est l’ensemble de toutes les actions possibles moins d et w, donc il prend tout moins d et w, il est donc (¬a  ¬b) INF6001 Chap 7

47 Exemple (source: H.v.d.Schoot)
Nous désirons voir si ¬f =w  ¬ d ¬f est vrai pour P1XP2 ssi A¬f accepte au moins une des chaînes de P1XP2 Voici la composition de P1,P2, et A¬f Les états finaux sont des états où w s’est produit, et non d, car P1 a tombé dans un cycle de {a,b} V.cycles en jaune. La propriété ¬f est vraie, étant donné que nous venons de trouver des exemples pour ¬f . Donc la propriété f est fausse dans P1XP2. INF6001 Chap 7

48 Cycles d’acceptation Selon la définition d’acceptation dans les automates de Büchi, seulement les chaînes infinies qui passent un nombre infini de fois par un état final sont acceptées Seulement ces chaînes sont des contre-exemples Donc dans P1XP2 nous ne sommes pas intéressés aux calculs qui finissent dans l’état (13,22) Un exemple de cycle d’acceptation: v; w; a; b; a; b; a; b … Exercice: trouver les autres INF6001 Chap 7

49 Preuve d’exigences négatives
Étant donné un système S et une formule LTL f à contrôler pour S Construire un AB A¬f pour la négation de f Il n’accepte que les chaînes qui satisfont ¬f, qui violent f Calculer la composition synchrone des machines S et A¬f Contrôler si le langage accepté par cet automate est vide S’il est vide, toutes les exécutions de S satisfont f S’il a des exécutions, il y a au moins une exécution dans S qui est un contre-exemple pour f En pratique, la composition synchrone souvent n’a pas besoin d’être calculée dans sa totalité car dès qu’on trouve un contre-exemple on a prouvé que l’exigence n’est pas satisfaite INF6001 Chap 7

50 Efficacité de ces procédures
Par un argument théorique on montre que, pour un système S qui contient |S| états et un AB Af qui vérifie une propriété f et contient |Af| états Le nombre d’états à considérer pour la preuve d’inclusion est entre |Af| + |S| et |Af| x |S| Le nombre d’états à considérer pour la preuve d’intersection vide est entre 0 et |Af| x |S| En fait, la preuve de l’intersection vide peut aboutir tout de suite (un contrexemple est trouvé au tout début) Pour cette raison, la méthode utilisée par SPIN est celle de prouver l’exigence négative, l’intersection vide INF6001 Chap 7

51 Dans notre exemple Notez que dans l’exemple, pour trouver que la propriété never est satisfaite, il est suffisant de compléter la partie jaune du diagramme de composition Les autres états n’ont pas besoin d’être visités Réduction de complexité d’approx. 50% par rapport à exploration complète Il est suffisant de visiter 6 états sur 12 INF6001 Chap 7

52 En mots… Gerard J. Holzmann : The Model Checker SPIN. INF6001 Chap 7
IEEE TRANSACTIONS ON SOFTWARE ENGINEERING, VOL. 23, NO. 5, MAY 1997 A positive claim requires us to prove that the language of the system (i.e., all its executions) is included in the language of the claim. A negative claim, on the other hand, requires us to prove that the intersection of the language of the system and of the claim is empty. The size of the state space for a language inclusion proof is at most the size of the Cartesian product of the (automata representing) system and claim, and at least the size of their sum. The worst-case state space size to prove emptiness of a language intersection is still the size of the Cartesian product of system and claim, but, in the best case, it is zero. Note that if no initial portion of the invalid behavior represented by the claim appears in the system, the intersection contains no states. SPIN, therefore, works with negative correctness claims and solves the verification problem by language intersection. INF6001 Chap 7

53 Exploration de l’espace d’états global
Si une exécution erronée est détectée, l’exploration de l’espace d’états peut être arrêtée Sinon, l’exploration doit continuer jusqu’à ce que tous les états auront été explorés À moins que l’algorithme n’excède le temps ou la mémoire disponible… Nous devons donc utiliser un mécanisme qui soit capable de déterminer si nous venons de générer un état déjà généré précédemment INF6001 Chap 7

54 Algorithme “supertrace”
SPIN est fourni d’une méthode extrêmement efficace d’analyser les états d’énormes machines à états Concernant le problème de contrôler que tous les états ont été explorés Un bit par état: exploré ou non Algorithme d’hachage pour mettre en correspondance un état du système avec l’adresse du bit qui le représente L’adresse dira ‘vrai’ si l’état correspondent a été exploré, ‘faux’ sinon. Cependant nous pouvons avoir des faux résultats à cause des ‘doubles affectations’ possibles dans les algorithmes de hachage Pour une histoire complète, v. Section 11.4 INF6001 Chap 7

55 Autre problème: obtenir l’AB optimal
Un problème moins important, mais aussi important, est d’avoir un AB optimal Les algorithmes connus de génération d’AB à partir de formules de logique temporelle ne garantissent pas l’optimalité de l’AB généré Sujet de recherche encore ouvert… Même la définition d’optimalité n’est pas claire INF6001 Chap 7

56 AB déterministes et non
w  ¬ d s 1 Ød w  Ød = À noter que l’AB de gauche est déterministe, ce qui simplifie le calcul de la composition L’AB à droite est nondéterministe, il est plus facile à comprendre mais le calcul de la composition peut être plus complexe INF6001 Chap 7

57 Représentation de la machine never en SPIN
1 Ød w  Ød never { S0_init : if :: (!d) -> goto S0_init :: (w && !d) -> goto accept_S1 fi; accept_S1 : :: (!d) -> goto accept_S1 } INF6001 Chap 7

58 Stutter extension rule: extension bègue?
Pour prendre en considération le case des chaînes finies On peut supposer que toute exécution finie soit étendue par une séquence infinie d’événements vides qui ne causent pas de changements d’état: Événements ε: le bégaiement De cette manière, une propriété est vraie pour l’exécution étendue si elle est vraie pour l’exécution finie originale P.ex. p est vrai pour une exécution qui contient une seule transition pour laquelle p est vrai a a a ε INF6001 Chap 7

59 Exercice: Exemple avec non-déterminisme
Étudier l’exemple à la page 558 et suivantes du livre de Holzmann sur SPIN Basé cependant sur des concepts un peu différents de ceux que nous avons vu dans ce cours Notez qu’à partir de l’état (s0,s0,2,s0) il faut considérer deux possibilités. À cause de la transition true dans l’automate de Büchi qui est toujours possible. INF6001 Chap 7

60 Remerciements… Pour la partie suivante de ce cours, j’ai utilisé les notes de: Theo Ruys INF6001 Chap 7

61 Analyse de modèles, Model Checking
byte n; proctype Aap() { do :: n++ :: noot!MIES od } Modèle M [] (n<3) Propriété  Espace d’états Analyseur NON, + contre_exemple Explosion d’états. OUI Propriété satisfaite INF6001 Chap 7

62 Définition[Clarke & Emerson 1981]
Définition[Clarke & Emerson 1981] “Model checking is an automated technique that, given a finite-state model of a system and a logical property, systematically checks whether this property holds for (a given initial state in) that model.” INF6001 Chap 7

63 À quel point faisons-nous cette analyse
Approche traditionnelle: Dans le processus de conception, on crée un modèle abstrait du processus avant de commencer l’implantation L’analyse est faite sur ce modèle L’implantation est puis obtenue à partir du modèle par un procédé de raffinement Approche dite ‘moderne’: Le modèle est obtenu à partir de l’implémentation par un procédé d’abstraction Qui est automatisable, au moins en principe Cette dernière approche a été rendue nécessaire par le fait que les développeurs ne veulent pas faire des détours dans leur travail Elle demande des algorithmes extrêmement efficaces car les modèles obtenus à partir de l’implantation contiennent beaucoup de détails INF6001 Chap 7

64 Approches Classique et “Moderne”
Classic Approach ‘Modern’ Approach (initial) Design (manual) abstractions Abstract Verification Model Model Checker Abstract Verification Model refinement techniques abstraction techniques C, Java Implementation Implementation Abstraction is the key activity in both approaches. To cope with the state space explosion. INF6001 Chap 7

65 Promela et SPIN Promela est un langage pour la spécification des systèmes répartis SPIN est l’analyseur (model checker) et son point de départ est la théorie que nous venons de discuter INF6001 Chap 7

66 Promela/SPIN: un système pour l’analyse des modèles
Promela/SPIN est un système développé à partir du début des années 1990 par Gerhard Holzmann, un chercheur d’AT&T Labs 1991 version initiale 1995 réductions d’ordre partiel 1997 minimisation de l’AB 2003 inclusion de code C et Breadth-First Search … Il est un des analyseurs de modèles les plus connus et efficaces INF6001 Chap 7

67 Atouts de ce système Automatique, sans intervention humaine
Après la définition du problème Implantation très efficace en C Interface conviviale Excellent appui Il combine un grand nombre de connaissances sur le sujet Plusieurs chercheurs chevronnés ont participé à son dévéloppement Reconnu par l’ACM entre les réalisations majeures en informatique Software System Award avec Unix, TeX, Tcl/TK, Java INF6001 Chap 7

68 Promela Protocol/Process Meta Language Influencé par le CSP de Hoare
Et par C Mais il est un langage pour la spécification de modèles Pas un langage d’implantation De compréhension facile pour les implémenteurs Admet la communication Par variables globales partagées Synchrone, directe Asynchrone, par canaux INF6001 Chap 7

69 Promela Model A Promela model consist of: type declarations
channel declarations global variable declarations process declarations [init process] mtype, constants, typedefs (records) chan ch = [dim] of {type, …} asynchronous: dim > 0 rendez-vous: dim == 0 - simple vars - structured vars - vars can be accessed by all processes behaviour of the processes: local variables + statements initialises variables and starts processes INF6001 Chap 7

70 Example of a Promela model
mtype = {REQ,ACK}; typedef Msg { byte a[2]; mtype tp; } ; chan toR = [1] of {Msg}; bool flag; proctype Sender() { Msg m; ... m.a[0]=2; m.a[1]=7; m.tp = REQ; toR ! m; } proctype Receiver(byte n) { toR ? m; init { run Sender(); run Receiver(2); } message types (constants) “record” declaration channel declaration global variable Inputs/outputs A Promela model corresponds to a (usually very large, but) finite transition system, so no unbounded data no unbounded channels no unbounded processes no unbounded process creation local variable creates processes INF6001 Chap 7

71 A process type (proctype) consist of
Processes (1) A process type (proctype) consist of a name a list of formal parameters local variable declarations body formal parameters name proctype Sender(chan in; chan out) { bit sndB, rcvB; do :: out ! MSG, sndB -> in ? ACK, rcvB; if :: sndB == rcvB -> sndB = 1-sndB :: else -> skip fi od } local variables body Une sortie et puis -> The body consist of a sequence of statements. INF6001 Chap 7

72 Statements The body of a process consists of a sequence of statements. A statement is either executable: the statement can be executed immediately. blocked: the statement cannot be executed. An assignment is always executable. An expression is also a statement; it is executable if it evaluates to non-zero. 2 < 3 always executable x < 27 only executable if value of x is smaller 27 3 + x executable if x is not equal to –3 executable/blocked depends on the global state of the system. INF6001 Chap 7

73 Statements (2) The skip statement is always executable.
Statements are separated by a semi-colon: “;”. Statements (2) or by the equivalent “->” The skip statement is always executable. “does nothing”, only changes process’ process counter A run statement is only executable if a new process can be created (remember: the number of processes is bounded). int x; proctype Aap() { int y=1; skip; run Noot(); x=2; x>2 && y==1; skip; } Executable if Noot can be created… Can only become executable if some other process makes x greater than 2. INF6001 Chap 7

74 Statements (3) assert(<expr>);
The assert-statement is always executable. If <expr> evaluates to zero, SPIN will exit with an error, as the <expr> “has been violated”. The assert-statement is often used within Promela models, to check whether certain properties are always valid in a state. proctype monitor() { assert(n <= 3); } proctype receiver() { byte msg; toReceiver ? msg; assert(msg != ERROR); ... } INF6001 Chap 7

75 Interleaving Semantics
Promela processes execute concurrently. Non-deterministic scheduling of the processes. Processes are interleaved (statements of different processes do not occur at the same time). exception: rendez-vous communication. All statements are atomic; each statement is executed without interleaving with other processes. Each process may have several different possible actions enabled at each point of execution. only one choice is made, non-deterministically. INF6001 Chap 7 = randomly

76 Bit alterné en SPIN http://spinroot.com/spin/Man/Manual.html
30 proctype receiver(chan in, out) 31 { byte i; /* actual input */ 32 byte s; /* actual seqno */ 33 byte es; /* expected seqno */ 34 byte ei; /* expected input */ 35 36 do 37 :: in?mesg(i, s) -> 38 if 39 :: (s == es) -> assert(i == ei); 41 progress: es = 1 - es; ei = (ei + 1)%MAX; if 44 /* send, * :: out!ack(s,0) 45 /* distort */ :: out!err(0,0) 46 /* or lose :: skip fi :: (s != es) -> if 50 /* send, */ :: out!nak(s,0) 51 /* distort */ :: out!err(0,0) 52 /* or lose */ :: skip fi 54 fi 55 :: in?err -> 56 out!nak(s,0) 57 od 58 } 59 60 init { 61 chan s_r = [1] of { mtype,byte,byte }; 62 chan r_s = [1] of { mtype,byte,byte }; 63 atomic { 64 run sender(r_s, s_r); 65 run receiver(s_r, r_s) 66 } 67 } 1 #define MAX 5 2 3 mtype = { mesg, ack, nak, err }; 4 5 proctype sender(chan in, out) 6 { byte o, s, r; 7 8 o=MAX-1; 9 do 10 :: o = (o+1)%MAX; /* next msg */ 11 again: if :: out!mesg(o,s) /* send */ :: out!err(0,0) /* distort */ :: skip /* or lose */ fi; if :: timeout -> goto again :: in?err(0,0) -> goto again :: in?nak(r,0) -> goto again :: in?ack(r,0) -> 21 if 22 :: (r == s) -> goto progress 23 :: (r != s) -> goto again 24 fi fi; 26 progress: s = 1-s /* toggle seqno */ 27 od 28 } 29 We want to verify that data that is sent can only be delivered to the receiver without any deletions or reorderings, despite the possibility of arbitrary message loss. The assertion on line 40 verifies precisely that. Note that if it were ever possible for the protocol to fail to meet the above requirement, the assertion can be violated (autres détails intéressants dans le site) INF6001 Chap 7

77 Xspin in a nutshell Xspin allows the user to
edit Promela models (+ syntax check) simulate Promela models random interactive guided verify Promela models exhaustive bitstate hashing model additional features Xspin suggest abstractions to a Promela model (slicing) Xspin can draw automata for each process LTL property manager Help system (with verification/simulation guidelines) with dialog boxes to set various options and directives to tune the verification process INF6001 Chap 7

78 Conclusions sur SPIN Bases théoriques très solides
Logique temporelle linéaire et automates de Büchi Outil très performant L’outil de vérification le plus utilisé dans notre domaine Excellent survol pratique sur SPIN et plusieurs des concepts que nous avons vu: INF6001 Chap 7

79 Exemples très pratiques
Vérification de la conception d’un four microondes: Est-il possible que dans des situations particulières le four puisse cuir avec la porte ouverte? Vérification de la conception d’un avion: Est-il possible que les freins moteur puissent être activés avant que l’avion touche le sol? Conception de matériel Etc. etc. INF6001 Chap 7

80 Reconnaissance Les vastes applications du Model Checking ont motivé l’octroi du prix Turing à trois de ses inventeurs principaux: Sifakis, Clarke, Emerson INF6001 Chap 7

81 Application de la logique temporelle
Il faut savoir que: La logique temporelle linéaire LTL que nous venons de discuter n’est qu’une des logiques temporelles qui ont été étudiées Il y a aussi la logique linéaire à branchements Computational Tree Logic, le m calcul, etc. Elle ou ces autres logiques peuvent être utilisées pour n’importe quel système pour lequel il est possible de construire un automate global Donc avec SDL, LOTOS, Réseaux de Petri… INF6001 Chap 7

82 Structures de Kripke Au lieu des automates de Büchi, on utilise parfois des structures semblables qui s’appellent ‘structures de Kripke’. Différence principale est que les assertions logiques dans les automates de Büchi se trouvent sur les arêtes, dans les structures de Kripke se trouvent sur les états. Un type de structure peut être transformé dans l’autre. Le point important est que certaines analyses peuvent être faites plus facilement sur une structure que sur l’autre. INF6001 Chap 7

83 Example Kripke Büchi: p,q p p,q vrai p vrai p Ceci est {p,q}
(mais ce n’est pas toujours aussi simple que ça) Ceci est {p,q} Kripke p,q p Büchi: p,q vrai p vrai p Source: Notes de cours de Ofer Strichman, Technion INF6001 Chap 7