Design and Implementation of a Tool for Formal Verification of Systems Specified in RT-Logic Language

(1)

VYSOK ´

E U ˇ

CEN´I TECHNICK ´

E V BRN ˇ

E

BRNO UNIVERSITY OF TECHNOLOGY

FAKULTA INFORMA ˇ

CN´ICH TECHNOLOGI´I

´

USTAV INTELIGENTN´ICH SYST ´

EM ˚

U

FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INTELLIGENT SYSTEMS

N ´

AVRH A IMPLEMENTACE N ´

ASTROJE

PRO FORM ´

ALN´I VERIFIKACI SYST ´

EM ˚

U

SPECIFIKOVAN ´

YCH JAZYKEM RT LOGIKY

DESIGN AND IMPLEMENTATION OF A TOOL FOR FORMAL VERIFICATION OF SYSTEMS SPECIFIED IN RT-LOGIC LANGUAGE

DIPLOMOV ´

A PR ´

ACE

MASTER’S THESIS

AUTOR PR ´

ACE

Bc. JAN FIEDOR

AUTHOR

VEDOUC´I PR ´

ACE

Ing. JOSEF STRNADEL, Ph.D.

SUPERVISOR

(2)

Zad´

an´ı pr´

ace

1. Seznamte se s principy formáln´ı specifikace a verifikace; detailnˇeji prostudujte zejména metody verifikace pˇredpokládaj´ıc´ı specifikaci v jazyce logiky pracuj´ıc´ı s reálným ˇcasem (RT logiky, RTL).

2. Po vzájemné dohodˇe s Bc. Markem Gachem navrhnˇete blokové schéma a rozhran´ı nástroje schopného verifikovat vlastnosti systému specifikovaného jazykem RT logiky. 3. Po dohodˇe s vedouc´ım vytvoˇrte v pˇrirozeném jazyce neformáln´ı slovn´ı specifikaci

nˇekolika jednoduchých systém˚u pracuj´ıc´ıch v reálném ˇcase.

4. Systémy specifikované v pˇredchoz´ım bodˇe specifikujte formálnˇe pomoc´ı jazyka RT logiky.

5. Nástroj (blokovˇe navrˇzený v bodˇe 2) implementujte a jeho funkˇcnost ovˇeˇrte verifi-kac´ı vhodnˇe vybraných vlastnost´ı systém˚u specifikovaných jazykem RT logiky. Zvaˇzte implementaci metod vedouc´ıch k redukci stavového prostoru.

(3)

Abstrakt

Protoˇze komplexnost systém˚u poˇrád roste a s t´ım také riziko výskytu chyb, je potˇreba tyto chyby efektivnˇe a spolehlivˇe opravovat. U ˇrady systém˚u reálného ˇcasu tato potˇreba plat´ı dvojnásob, jelikoˇz byt’ jediná chyba m˚uˇze zp˚usobit jejich úplné zhroucen´ı, které m˚uˇze m´ıt katastrofáln´ı d˚usledky. Formáln´ı verifikace, na rozd´ıl od jiných metod, umoˇzˇnuje spolehlivé ovˇeˇrován´ı poˇzadavk˚u kladených na urˇcitý systém.

Kl´ıˇcov´

a slova

Formáln´ı verifikace, Logika reálného ˇcasu, RTL, QF UFIDL, graf omezen´ı, DFS, návrhový vzor, CORBA, ANTLR

Abstract

As systems complexity grows, so grows the risk of errors, that’s why it’s necessary to effecti-vely and reliably repair those errors. With most of real-time systems this statement pays twice, because a single error can cause complete system crash which may result in catastro-phe. Formal verification, contrary to other methods, allows reliable system requirements verification.

Keywords

Formal verification, Real-Time Logic, RTL, QF UFIDL, constraint graph, DFS, design pattern, CORBA, ANTLR

Citace

Jan Fiedor: Návrh a implementace nástroje pro formáln´ı verifikaci systém˚u specifikovaných jazykem RT logiky, diplomová práce, Brno, FIT VUT v Brnˇe, 2009

(4)

N´

avrh a implementace n´

astroje pro form´

aln´ı verifikaci syst´em˚

u

specifikovan´

ych jazykem RT logiky

Prohl´

aˇsen´ı

Prohlaˇsuji, ˇze jsem tento diplomov´y projekt vypracoval samostatnˇe pod veden´ım pana Ing. Josefa Strnadela, Ph.D.

. . . . Jan Fiedor 24. kvˇetna 2009

c

Jan Fiedor, 2009.

Tato práce vznikla jako ˇskoln´ı d´ılo na Vysokém uˇcen´ı technickém v Brnˇe, Fakultˇe in-formaˇcn´ıch technologi´ı. Práce je chránˇena autorským zákonem a jej´ı uˇzit´ı bez udˇelen´ı opr´ av-nˇen´ı autorem je nezákonné, s výjimkou zákonem definovaných pˇr´ıpad˚u.

(5)

Obsah

Obsah 2

1 Uvod´ 3

2 Systémy reálného ˇcasu [5] 4

3 Verifikace 5

3.1 Od testov´an´ı k verifikaci . . . 5

3.2 Obecn´e metody verifikace . . . 5

3.2.1 Symbolick´e logiky [1] . . . 5

3.2.2 Automaty a jazyky . . . 9

4 Verifikace systém˚u reálného ˇcasu [2] 11 4.1 Specifikace a bezpeˇcnostn´ı tvrzen´ı . . . 11

4.2 Model typu ud´alost-akce . . . 12

4.3 Logika re´aln´eho ˇcasu (RTL) . . . 12

4.4 Omezen´e RTL formule . . . 14

4.5 Graf omezen´ı . . . 16

4.6 Ovˇeˇren´ı nesplnitelnosti . . . 17

4.7 Prohled´avac´ı strom . . . 18

4.8 Optimalizace . . . 20

5 Návrh nástroje pro verifikaci 23 6 Realizace nástroje pro verifikaci 25 6.1 Implementaˇcn´ı prostˇred´ı . . . 25

6.2 Modularita . . . 26

6.3 Verifik´ator . . . 26

6.3.1 J´adro . . . 26

6.3.2 Proxy j´adra . . . 27

6.3.3 Pl´anovaˇc j´adra . . . 27

6.3.4 Ud´alostn´ı subsyst´em . . . 27

6.3.5 Subsyst´em rozˇs´ıˇren´ı . . . 28

6.3.6 Protokolovac´ı subsyst´em . . . 30

6.3.7 Konfiguraˇcn´ı subsyst´em . . . 31

6.3.8 Komunikaˇcn´ı subsyst´em . . . 32

6.3.9 Modul pro zpracov´an´ı omezen´ych RTL formul´ı . . . 33

(6)

6.3.11 Modul pro tvorbu grafu omezen´ı . . . 41

6.3.12 Modul pro tvorbu prohled´avac´ıho stromu . . . 44

6.4 Grafick´e uˇzivatelsk´e rozhran´ı . . . 46

6.4.1 Komponenty . . . 46

6.4.2 J´adro . . . 47

6.4.3 Proxy j´adra . . . 48

6.4.4 Pl´anovaˇc j´adra . . . 48

6.4.5 Ud´alostn´ı subsyst´em . . . 48

6.4.6 Subsyst´em rozˇs´ıˇren´ı . . . 48

6.4.7 Protokolovac´ı subsyst´em . . . 49

6.4.8 Konfiguraˇcn´ı subsyst´em . . . 49

6.4.9 Komunikaˇcn´ı subsyst´em . . . 50

6.4.10 Lokalizaˇcn´ı subsyst´em . . . 50

6.5 Komunikace . . . 51

6.5.1 Implementaˇcn´ı poˇzadavky . . . 51

6.5.2 Pˇrenos ud´alost´ı . . . 52

6.5.3 Konkr´etn´ı implementace . . . 53

7 Z´avˇer a zhodnocen´ı 55 7.1 Smˇery dalˇs´ıho v´yvoje. . . 55

7.2 Z´avˇer . . . 55

(7)

Kapitola 1

´

Uvod

Systémy reálného ˇcasu lze naj´ıt ve velkém mnoˇzstv´ı zaˇr´ızen´ı, od domác´ıch spotˇrebiˇc˚u, pˇres elektroniku a dopravn´ı prostˇredky, aˇz napˇr´ıklad po vesm´ırné sondy. Protoˇze komplexnost tˇechto systém˚u poˇrád roste a s t´ım také riziko výskytu chyb, je potˇreba tyto chyby efektivnˇe a spolehlivˇe opravovat. Neˇz m˚uˇze být ovˇsem nˇejaká chyba opravena, mus´ı být nejdˇr´ıve v˚ubec odhalena. Staré zp˚usoby hledán´ı chyb, jako kontrola implementace systému jiným ˇ

clovˇekem, jsou pˇri rozsáhlosti dneˇsn´ıch systém˚u velice neefektivn´ı a je tedy potˇreba uplatnit automatizovatelné metody pro hledán´ı a pˇr´ıpadnˇe i opravu chyb.

Formáln´ı verifikace umoˇzˇnuje spolehlivé ovˇeˇrován´ı poˇzadavk˚u kladených na urˇcitý sys-tém. Samozˇrejmˇe tato vysoká spolehlivost a efektivita z hlediska odhalován´ı chyb je vykou-pena ˇradou problém˚u. Formáln´ı verifikace vyˇzaduje pro svou ˇcinnost urˇcitou formu popisu specifikace systému a ovˇeˇrovaných vlastnost´ı, at’ jiˇz je to popis pomoc´ı logických formul´ı, automat˚u, speciáln´ıho programovac´ıho jazyka, petriho s´ıt´ı nebo tˇreba procesn´ı algebry. Pouˇzitý popis také pˇr´ımo ovlivˇnuje moˇznosti ovˇeˇrován´ı, urˇcitá forma popisu m˚uˇze být ve-lice vhodná pro ovˇeˇrován´ı specifické vlastnosti systému, ale zároveˇn také nepouˇzitelná pro ovˇeˇrován´ı vlastnost jiné. Dalˇs´ım problémem je sloˇzitost výpoˇctu, at’ jiˇz z hlediska ˇcasové ˇ

ci prostorové nároˇcnosti. Pouˇz´ıvané metody m´ıvaj´ı ˇcasto exponenciáln´ı sloˇzitost. ˇCasto se tedy mus´ı u sloˇzitˇejˇs´ıch systém˚u pˇristupovat k abstrakci pro zjednoduˇsen´ı sloˇzitosti ˇreˇsených problém˚u.

(8)

Kapitola 2

Syst´

emy re´

aln´

eho ˇ

casu

[

5

]

Hlavn´ım rozd´ılem mezi standardn´ımi systémy a systémy reálného ˇcasu je v poˇzadavc´ıch na korektnost tˇechto systém˚u. Hlavn´ım poˇzadavkem u standardn´ıch systém˚u je samozˇrejmˇe správnost výstup˚u. U systém˚u reálného ˇcasu je ovˇsem situace sloˇzitˇejˇs´ı, nebot’ kromˇe spr´ a-vnosti výstup˚u je d˚uleˇzitý také ˇcas, kdy byly tyto výstupy vyprodukovány.

Systém reálného ˇcasu by mohl být tedy definován jako systém, který mus´ı reagovat správnˇe a vˇcas na vstupn´ı podnˇety. Je d˚uleˇzité si uvˇedomit, ˇze term´ın vˇcas je relativn´ı, nemus´ı vˇzdy znamenat rychle, vyjadˇruje pouze nutnost dodrˇzen´ı urˇcitých ˇcasových mez´ı, aby byla splˇnena poˇzadovaná doba odezvy daného systému.

Systémy reálného ˇcasu lze dˇelit nˇekolika zp˚usoby. Sp´ıˇse neˇz rozdˇelen´ı podle poˇzadavk˚u na dobu odezvy se ale vyuˇz´ıvá dˇelen´ı podle charakteru selhán´ı systému, tedy jaké budou d˚usledky nedodrˇzen´ı poˇzadovaných ˇcasových mez´ı. Zde se vyuˇz´ıvá rozdˇelen´ı do tˇr´ı kategori´ı: 1. Soft RT systém - nedodrˇzen´ı ˇcasového omezen´ı má za následek pouze degradován´ı

výkonu systému, ale nezp˚usob´ı jeho selhán´ı.

2. Firm RT systém - nedodrˇzen´ı nˇekolika ˇcasových omezen´ı nevede k úplnému selhán´ı systému, ovˇsem vetˇs´ı poˇcet nedodrˇzených ˇcasových omezen´ı m˚uˇze vést k selhán´ı systému nebo dokonce katastrofˇe.

3. Hard RT systém - nedodrˇzen´ı jediného ˇcasového omezen´ı má za následek kompletn´ı selhán´ı systému, které m˚uˇze vyústit v katastrofu.

(9)

Kapitola 3

Verifikace

3.1 Od testov´

an´ı k verifikaci

Testován´ı je pravdˇepodobnˇe jednou z nejstarˇs´ıch technik pro odhalován´ı chyb v softwaru nebo hardwaru. Jde o spuˇstˇen´ı testovaného systému s vyuˇzit´ım koneˇcné mnoˇziny vstup˚u a následné ovˇeˇren´ı, zda z´ıskané výstupy nebo chován´ı systému odpov´ıdá jeho specifikaci. Na rozd´ıl od standardn´ıch systém˚u je u systém˚u pracuj´ıc´ıch v reálném ˇcase kromˇe hodnot vstup˚u d˚uleˇzitý také ˇcas, kdy byly tyto vstupy systému pˇredloˇzeny. Stejnˇe tak u ovˇeˇrován´ı je, kromˇe korektnosti výstup˚u, d˚uleˇzitý také ˇcas, kdy byly vyprodukovány. Protoˇze u vˇetˇs´ıch a sloˇzitˇejˇs´ıch systém˚u je poˇcet moˇzných vstup˚u obrovský, nˇekdy i nekoneˇcný, je tato tech-nika pro celkové ovˇeˇren´ı vlastnost´ı systému prakticky nepouˇzitelná.

Simulace, narozd´ıl od testován´ı, pracuje pouze s modelem existuj´ıc´ıho systému. Výhodou vyuˇzit´ı modelu je moˇznost provádˇen´ı test˚u, které by byly u reálného systému pˇr´ıliˇs ne-bezpeˇcné, jako napˇr´ıklad testován´ı ˇr´ızen´ı jaderné elektrárny, nebo dokonce nemoˇzné. Pro jeden reálný systém lze vytvoˇrit libovolný poˇcet jeho model˚u s r˚uznými úrovnˇemi abstrakce. To umoˇzˇnuje pˇri testován´ı ignorovat irelevantn´ı ˇcásti systému, které na ovˇeˇrován´ı testované vlastnosti nemaj´ı ˇzádný vliv, a urychlit t´ım celkovou simulaci. Nevýhodou simulace je, ˇze nen´ı moˇzné namodelovat vˇsechny sekvence událost´ı, které mohou v reálném modelu nastat. Pˇredchoz´ı dvˇe techniky jsou dobré pro odhalován´ı chyb v simulovaném nebo reálném systému, ale vˇetˇsinou nemohou garantovat, ˇze systém splˇnuje poˇzadavky, které jsou na nˇej kladeny. Verifikace dokáˇze zjistit, zda je ovˇeˇrovaná vlastnost vˇzdy platná nebo zda m˚uˇze doj´ıt k jej´ımu poruˇsen´ı. Nevýhodou verifikace je, ˇze vyˇzaduje pro svou ˇcinnost popis systému a poˇzadavk˚u kladených na tento systém pomoc´ı jazyka, vhodného pro verifikaci.

3.2 Obecn´

e metody verifikace

3.2.1 Symbolick´e logiky [1]

Symbolická logika je kolekce jazyk˚u, které pouˇz´ıvaj´ı symboly pro reprezentaci fakt˚u, událost´ı a akc´ı, a poskytuj´ı pravidla umoˇznuj´ıc´ı usuzován´ı nad tˇemito symboly. Pokud je k dispozici specifikace systému a jeho poˇzadovaných vlastnost´ı ve formˇe logických formul´ı, je moˇzné dokázat, ˇze tyto vlastnosti jsou logickým d˚usledkem specifikace tohoto systému. Mezi nej-pouˇz´ıvanˇejˇs´ı logiky pro popis a následnou verifikaci systém˚u patˇr´ı výroková logika a pre-dikátová logika.

(10)

3.2.1.1 V´yrokov´a logika

Základn´ımi prvky výrokové logiky jsou pravdivostn´ı symboly true a f alse a výrokové promˇenné, kterých existuje obecnˇe nekoneˇcný poˇcet. Kombinac´ı tˇechto prvk˚u vznikaj´ı výroky, oznaˇcované jako formule, jazyka výrokové logiky.

Bud’ P koneˇcná neprázdná mnoˇzina výrokových promˇenných. Pak p je atom pokud p ∈ P nebo p je jeden z pravdivostn´ıch symbol˚u true a f alse. Literál l je atom p nebo jeho negace ¬p. Formule F je bud’ samostatný literál l nebo vznikne aplikac´ı nˇekteré z následuj´ıc´ıch spojek na formule F1 a F2:

• Negace ¬F1 nebo ¬F2

• Konjunkce F₁∧ F₂

• Disjunkce F₁∨ F₂

• Implikace F1 → F2

• Ekvivalence F1 ↔ F2

Interpretace I pˇriˇrazuje kaˇzdé výrokové promˇenné právˇe jednu pravdivostn´ı hodnotu true nebo f alse a vyjadˇruje tak význam formule sloˇzené z tˇechto promˇenných. Pokud je dána formule F a j´ı odpov´ıdaj´ıc´ı interpretace I, lze vypoˇc´ıtat výslednou pravdivostn´ı hodnotu této formule. Nejjednoduˇsˇs´ı metodou pro urˇcen´ı pravdivostn´ı hodnoty formule F je vyuˇzit´ı pravdivostn´ı tabulky. Pravdivostn´ı tabulka3.1shrnuje pravdivostn´ı hodnoty formul´ı vzniklých aplikac´ı jednotlivých spojek výrokové logiky. Hodnota 1 odpov´ıdá pravdivostn´ı hodnotˇe true, hodnota 0 pravdivostn´ı hodnotˇe f alse.

F1 F2 ¬F1 F1∧ F2 F1∨ F2 F1 → F2 F1↔ F2

0 0 1 0 0 1 1

0 1 1 0 1 1 0

1 0 0 0 1 0 0

1 1 0 1 1 1 1

Tabulka 3.1: Pravdivostn´ı tabulka pro jednoduché formule výrokové logiky

Formule F je splnitelná, právˇe tehdy kdyˇz existuje interpretace I, pro kterou formule F nabývá hodnoty true, tedy formule F je pˇri daném ohodnocen´ı promˇenných pravdivá. Poté se ˇr´ıká, ˇze interpretace I je modelem formule F neboli I |= F . Formule F je va-lidn´ı, právˇe tehdy kdyˇz pro vˇsechny interpretace I plat´ı I |= F . Je d˚uleˇzité si uvˇedomit, ˇ

ze splnitelnost a validita jsou tzv. duáln´ı pojmy, tedy ovˇeˇrován´ı jedné vlastnosti lze jed-noduˇse pˇrevést na ovˇeˇrován´ı druhé. F je validn´ı, právˇe tehdy kdyˇz ¬F je nesplnitelná. D´ıky této dualitˇe je moˇzné vˇzdy ovˇeˇrovat pouze jednu z daných vlastnost´ı, tedy validitu nebo splnitelnost, podle toho, které ovˇeˇren´ı je z hlediska pouˇzitého postupu výhodnˇejˇs´ı.

Pro urˇcen´ı, zda formule popisuj´ıc´ı poˇzadovanou vlastnost systému je logickým d˚usledkem formul´ı specifikuj´ıc´ıch daný systém lze vyuˇz´ıt principu rezoluce. Rezoluce vyˇzaduje pˇ reve-den´ı formule do konjunktn´ı normáln´ı formy (CNF). CNF formule je tvoˇrena konjunkc´ı klauzul´ı, kde kaˇzdá klauzule je disjunkc´ı literál˚u. Rezoluˇcn´ı princip poté ˇr´ıká, ˇze pokud existuj´ı ve formuli dvˇe klauzule C1 a C2, kde l1 ∈ C1, l2 ∈ C2 a l1∧ l2 nabývá hodnoty f alse, tedy plat´ı, ˇze literál l1je negac´ı literálu l2, pak logickým d˚usledkem, tzv. rezolventou,

(11)

klauzul´ı C1 a C2 je klauzule vzniklá disjunkc´ı klauzul´ı C1 a C2 po odebrán´ı literál˚u l1 a l2 z tˇechto klauzul´ı. Formálnˇe lze tento pricip zapsat následovnˇe:

a1∨ . . . ∨ ai∨ . . . ∨ an, b1∨ . . . ∨ bj∨ . . . ∨ bm

a1∨ . . . ∨ ai−1∨ ai+1∨ . . . ∨ an∨ b1∨ . . . ∨ bj−1∨ bj+1∨ . . . ∨ bm

kde ai and bj jsou liter´aly ∀i ∈ 1..n, ∀j ∈ 1..m, aije negac´ı bj a oddˇeluj´ıc´ı pˇr´ımka vyjadˇruje je logick´ym d˚usledkem.

Pro ovˇeˇren´ı validity testované vlastnosti systému lze poté vyuˇz´ıt rezoluˇcn´ıho teorému, který ˇr´ıká, ˇze mnoˇzina klauzul´ı S je nesplnitelná, právˇe tehdy kdyˇz je odvozena prázdná klauzule z této mnoˇziny S. Pokud tedy jakoukoliv aplikac´ı rezoluˇcn´ıho principu nedojde k odvozen´ı prázdné klauzule, je výsledná mnoˇzina klauzul´ı, a tedy i formule, kterou tyto klauzule tvoˇr´ı, validn´ı.

Tento postup vyuˇz´ıvá ˇrada nástroj˚u pro ovˇeˇrován´ı splnitelnosti nebo validity formul´ı výrokové logiky. Nevýhodou je exponeciáln´ı sloˇzitost ˇreˇsen´ı tohoto problému, ikdyˇz existuj´ı efektivn´ı reprezentace a heuristiky pro sn´ıˇzen´ı jak prostorové, tak ˇcasové sloˇzitosti ˇreˇsen´ı. 3.2.1.2 Predikátová logika

Predikátová logika je logikou 1. ˇrádu. Má vˇetˇs´ı vyjadˇrovac´ı s´ılu a je tedy vhodnˇejˇs´ı pro usuzován´ı nad urˇcitým výpoˇctem. Rozˇsiˇruje výrokovou logiku o predikáty, funkce a kvan-tifikátory.

Základn´ım prvkem jazyka je term. Nejjednoduˇsˇs´ımi termy jsou promˇenné a kon-stanty, sloˇzitˇejˇs´ı termy jsou vytváˇreny pomoc´ı funkc´ı. N -árn´ı funkce f pˇrij´ımá n term˚u jako své argumenty, na konstanty lze také nahl´ıˇzet jako na 0-árn´ı funkce.

Výrokové promˇenné jsou zastoupeny ve formˇe predikát˚u. N -árn´ı predikát p pˇrij´ımá n term˚u jako své argumenty, 0-árn´ı predikát poté odpov´ıdá výrokové promˇenné známé z výrokové logiky. Atom je pravdivostn´ı hodnota true nebo f alse, nebo n-árn´ı predikát aplikovaný na n term˚u. Literál je atom nebo jeho negace. Formule predikátové logiky je samostatný literál, nebo vznikne aplikac´ı logické spojky ¬, ∧, ∨, →, ↔ na jednu nebo v´ıce formul´ı nebo aplikac´ı kvantifikátoru na danou formuli. V predikátové logice existuj´ı dva typy kvalifikátor˚u:

• Univerzáln´ı kvantifikátor ∀x.F [x] vyjadˇruj´ıc´ı, ˇze pro vˇsechny x plat´ı formule F . • Existenˇcn´ı kvantifikátor ∃x.F [x] vyjadˇruj´ıc´ı, ˇze existuje nˇejaké x, pro které plat´ı

for-mule F .

Promˇenná x se poté oznaˇcuje jako kvantifikovaná promˇenná a F [x] jako rozsah platnosti kvantifikátoru. Promˇenná x se oznaˇcuje jako vázaná ve formuli F [x], pokud se x vyskytuje v rozsahu platnosti kvantifikátoru ∀ nebo ∃. Promˇenná x se oznaˇcuje jako volná ve formuli F [x], pokud se ve formuli vyskytuje instance x, která nen´ı vázaná ˇzádným kvantifikátorem. Pokud formule neobsahuje ˇzádnou volnou promˇennou, pak se oznaˇcuje jako uzavˇrená.

Stejnˇe jako u výrokové logiky i zde mohou formule nabývat ohodnocen´ı true nebo f alse. U predikátové logiky je ovˇsem situace trochu sloˇzitˇejˇs´ı, protoˇze ohodnocen´ı term˚u m˚uˇze být kromˇe pravdivostn´ıch hodnot témˇeˇr jakékoliv, od celých ˇc´ısel aˇz napˇr´ıklad po jména lid´ı.

Interpretace I pˇriˇrazuje term˚um hodnoty z domény DI. Doména DI interpretace I je mnoˇzina hodnot nebo objekt˚u, jako celá ˇc´ısla, reálná ˇc´ısla, auta, lidi, nebo pouze abstraktn´ı objekty, kterých mohou nabývat jednotlivé termy. |DI| vyjadˇruje kardinalitu mnoˇzity, tedy celkový poˇcet tˇechto hodnot. Doména m˚uˇze být koneˇcná, spoˇcetnˇe nekoneˇcná

(12)

nebo nespoˇcetnˇe nekoneˇcná, vˇzdy ale mus´ı být neprázdná. Pˇriˇrazen´ı αI interpretace I poté mapuje symboly promˇenných, konstant, funkc´ı a predikát˚u na prvky, funkce a predikáty domény DI:

• Kaˇzdému symbolu promˇenné x je pˇriˇrazena hodnota x_I z domény DI

• Kaˇzdému symbolu n-árn´ı funkce f je je pˇriˇrazena n-árn´ı funkce fI : DIn→ DI

která mapuje n prvk˚u domény DI na jediný prvek této domény

• Kaˇzdé konstantˇe (0-árn´ı funkˇcn´ı symbol) je pˇrirazena hodnota z domény DI

• Kaˇzdému symbolu n-árn´ıho predikátu p je pˇriˇzazen n-árn´ı predikát pI: DIn→ {true, f alse}

kter´y mapuje n prvk˚u dom´eny DI na pravdivostn´ı hodnotu true nebo f alse

• Kaˇzdé výrokové promˇenné (0-árn´ı predikátový symbol) je pˇriˇrazena pravdivostn´ı hod-nota true nebo f alse

Interpretace I : (DI, αI) je tedy dvojic´ı skládaj´ıc´ı se z domény hodnot, kterých mohou symboly jazyka nabývat, a pˇriˇrazen´ı, které mapuje jednotlivé symboly na tyto hodnoty.

Pˇri pˇr´ıtomnosti kvantifik´ator˚u se situace trochu komplikuje. Nejprve je potˇreba defino-vat x-variantu interpretace I : (DI, αI) jako interpretaci J : (DJ, αJ), takovou, ˇze plat´ı n´asleduj´ıc´ı:

• D_I = DJ

• αI[y] = αJ[y] pro vˇsechny konstanty, volné promˇenné, funkce a predikátové symboly y kromˇe x

tedy interpretace I a J jsou stejné aˇz na ohodnocen´ı promˇenné x. Zápis J : I / {x 7→ v} poté ˇr´ıká, ˇze J je x-variantou I, kde αJ[x] = v pro nˇejakou hodnotu v ∈ DI. Pak plat´ı, ˇze:

• I |= ∀x.F pr´avˇe tehdy kdyˇz ∀v ∈ DI, I / {x 7→ v} |= F

• I |= ∃x.F pr´avˇe tehdy kdyˇz ∃v ∈ DI takov´e, ˇze I / {x 7→ v} |= F

neboli I je interpretac´ı ∀x.F , právˇe tehdy kdyˇz vˇsechny jej´ı x-varianty jsou interpretac´ı F . A I je interpretac´ı ∃x.F , právˇe tehdy kdyˇz nˇejaká x-varianta I je interpretac´ı F .

Pro snaˇzˇs´ı strojovou manipulaci a analýzu formul´ı se ˇcasto provád´ı úprava tˇechto formul´ı do specifického tvaru. Jedn´ım z ˇcasto vyuˇz´ıvaných tvar˚u je tzv. prenexn´ı normáln´ı forma, ve které jsou vˇsechny kvantifikátory pˇresunuty na levou stranu, tedy zaˇcátek, formule. Formálnˇe ˇreˇceno, formule F je v prenexn´ı normáln´ı formˇe, právˇe tehdy kdyˇz je ve tvaru

(Q1v1)(Q2v2) . . . (Qn−1vn−1)(Qnvn)(M )

kde kaˇzdý výraz (Qivi), pro i = 1..n, je bud’ (∀vi) nebo (∃vi) a M je formule bez jakýchkoliv kvantifikátor˚u. (Q1v1) . . . (Qnvn) se oznaˇcuje jako prefix a M jako matice formule F . Matice M m˚uˇze být poté upravena do konjunktn´ı normáln´ı formy (CNF), která obsahuje pouze konjunkce disjunkc´ı literál˚u.

(13)

Prenexn´ı CNF m˚uˇze b´yt d´ale upravena do Skolemovy standardn´ı formy procesem ozna-ˇ

covaným skolemizace. Pˇri skolemizaci dojde k nahrazen´ı existenˇcn´ıch kvantifikátor˚u Sko-lemovými funkcemi. Absence existenˇcn´ıch kvantifikátor˚u ˇcasto usnadˇnuje proces ovˇeˇrován´ı platnosti a validity formul´ı a také následnˇe umoˇzˇnuje velice jednoduˇse odstranit i univerzáln´ı kvantifikátory.

Necht’ Qi je existenˇcn´ı kvantifikátor v prefixu (Q1v1) . . . (Qnvn), pro i = 1..n. Pokud se nalevo od Qi nevyskytuje ˇzádný unverzáln´ı kvantifikátor, pak lze nahradit vˇsechny výrazy vi v matici M novou konstantou c, která se jeˇstˇe nevyskytuje v matici M , a odstranit výraz (Qivi) z prefixu. Jestliˇze (Qu1. . . Qum), pro 1 ≤ u1 < . . . < um< i, jsou univerzáln´ı

kvanti-fikátory nalevo od Qi, pak se vˇsechny výrazy vinahrad´ı novou m-árn´ı funkc´ı f (vu1, . . . , vum),

která se jeˇstˇe nevyskytuje v matici M , a (Qivi) se odstran´ı z prefixu. Výsledná formule bez existenˇcn´ıch kvantifikátor˚u je poté ve Skolemovˇe normáln´ı formˇe. Konstanty a funkce pouˇzité pˇri skolemizaci se oznaˇcuj´ı jako Skolemovy konstanty a Skolemovy funkce.

Dalˇs´ı, ˇcasto pouˇz´ıvanou, operac´ı pˇri zpracován´ı a ovˇeˇrován´ı formul´ı je substituce. Sub-stituce je syntaktická operace nad formul´ı, která m˚uˇze výraznˇe ovlivnit jej´ı sémantiku, tedy význam. Umoˇzˇnuje ovˇeˇrovat validitu celé mnoˇziny formul´ı pomoc´ı ˇsablon formul´ı. Je také jeden ze základn´ıch nástroj˚u pro manipulaci s formulemi pˇri jejich ovˇeˇrován´ı.

Obecnˇe je substituce σ mapov´an´ı z formule na formuli

σ : {F1 7→ G1, F2 7→ G2, . . . , Fn−17→ Gn−1, Fn7→ Gn}

kde dom´ena substituce σ, domain(σ) je

domain(σ) : {F1, F2, . . . , Fn−1, Fn}

a rozsah substituce σ, range(σ) je

range(σ) : {G1, G2, . . . , Gn−1, Gn}

Aplikace substituce σ na formuli F , F σ, nahrad´ı kaˇzdý výskyt formule Fi z domény σ od-pov´ıdaj´ıc´ı formul´ı Gi z rozsahu σ. Pˇri manipulac´ıch s formulemi se vˇetˇsinou nenahrazuj´ı celé formule, ale pouze jednotlivé termy, pˇreváˇznˇe promˇenné, za jiné promˇenné, konstanty nebo funkce. Dˇr´ıve zm´ınˇená skolemizace je také urˇcitou formou substituce.

Narozd´ıl od výrokové logiky se u predikátové logiky vetˇsinou nepouˇz´ıvaj´ı obecné me-tody pro ovˇeˇrován´ı validity a splnitelnosti. Ty jsou ˇcasto velice neefektivn´ı nebo dokonce nepouˇzitelné. Sémantika formul´ı predikátové logiky je charakterizována pomoc´ı teori´ı. Ty urˇcuj´ı, z jakých symbol˚u se dané formule mohou skládat a jaké axiomy pro dané formule mus´ı platit. Na základˇe pouˇzité teorie se poté vol´ı vhodná metoda pro ovˇeˇren´ı platnosti daných formul´ı.

3.2.2 Automaty a jazyky

Automat je schopen rozhodnout, zda sekvence slov patˇr´ı do specifického jazyka. Tento jazyk se skládá z mnoˇziny slov nad nˇejakou koneˇcnou abecedou. Pokud tato sekvence slov odpov´ıdá sekvenc´ı událost´ı a akc´ı, je moˇzné sestrojit automat, který bude pˇrij´ımat pouze správné sekvence tˇechto událost´ı a akc´ı z hlediska urˇcitého systému a t´ımto bude ˇreˇsit verifikaci zadaného problému v tomto systému.

Automaty mohou reprezentovat procesy nebo celkový systém. Pˇresnˇeji specifikaˇcn´ı au-tomat bude reprezentovat poˇzadovanou specifikaci systému a implementaˇcn´ı automat bude

(14)

modelovat implementaci, která se snaˇz´ı splnit poˇzadovanou specifikaci. C´ılem je poté zjis-tit, zda implementace splˇnuje zadanou specifikaci. Na tento problém lze nahl´ıˇzet jako na problém inkluze jazyk˚u, tedy jde o zjiˇstˇen´ı, zda jazyk, který je pˇrij´ımán implementaˇcn´ım automatem je podmnoˇzinou jazyka pˇrij´ımaného specifikaˇcn´ım automatem.

(15)

Kapitola 4

Verifikace syst´

em˚

u re´

aln´

eho ˇ

casu

[

2

]

Existuj´ı dvˇe formy specifikace systém˚u reálného ˇcasu, prvn´ı zachycuje strukturu a funkcio-nalitu systému, druhá pak pouze jeho chován´ı.

Strukturn´ı a funkcionáln´ı popis zahrnuje specifikaci mechanických, elektrických a elek-trotechnických komponent systému. Ukazuje jak jednotlivé komponenty pracuj´ı a jaké funkce a operace poskytuj´ı. Popisuje také propojen´ı jednotlivých komponent a jak akce jedné komponenty ovlivˇnuj´ı ostatn´ı komponenty systému.

Popis chován´ı specifikuje odezvu systému na r˚uzné akce a události. Ukazuje tedy pouze jak jednotlivé komponenty systému reaguj´ı na intern´ı a extern´ı události, ne jak takovýto systém sestrojit. Vzhledem k tomu, ˇze u systém˚u reálného ˇcasu jsou zaj´ımavé hlavnˇe ˇcasové vlastnosti, popis chován´ı bez zbyteˇcnˇe sloˇzité strukturn´ı specifikace ˇcasto postaˇcuje pro verifikaci splnitelnosti vˇetˇsiny ˇcasových omezen´ı kladených na daný systém. Kromˇe toho redukc´ı komplexnosti specifikace a analýzy lze omezit pouˇzité specifikaˇcn´ı jazyky tak, aby se zabývaly pouze ˇcasovými závislostmi.

4.1 Specifikace a bezpeˇ

cnostn´ı tvrzen´ı

Aby bylo moˇzné dokázat, ˇze systém splˇnuje urˇcitá bezpeˇcnostn´ı kritéria, je potˇreba identifi-kovat vztah specifikace systému k bezpeˇcnostn´ımu tvrzen´ı, které reprezentuje poˇzadovanou vlastnost systému. Samozˇrejmˇe se pˇredpokládá, ˇze implementace systému odpov´ıdá pˇ red-loˇzené specifikaci. Ikdyˇz specifikace pomoc´ı popisu chován´ı neukazuje, jak daný systém zkonstruovat, nen´ı velký problém dokázat, ˇze systém implementovaný na základˇe nˇejaké strukturn´ı a funkˇcn´ı specifikace splˇnuje poˇzadované chován´ı.

Jeden z následuj´ıc´ıch tˇr´ı pˇr´ıpad˚u m˚uˇze být výsledkem analýzy vztahu mezi specifikac´ı a bezpeˇcnostn´ım tvrzen´ım:

1. Bezpeˇcnostn´ı tvrzen´ı je teorém odvoditelný ze specifikace, takˇze systém je bezpeˇcný vzhledem k chován´ı popsanému bezpeˇcnostn´ım tvrzen´ım.

2. Bezpeˇcnostn´ı tvrzen´ı je nesplnitelné vzhledem ke specifikaci, takˇze systém je urˇcitˇe nebezpeˇcný, protoˇze specifikace zp˚usob´ı poruˇsen´ı bezpeˇcnostn´ıho tvrzen´ı.

3. Bezpeˇcnostn´ı tvrzen´ı je splnitelné za urˇcitých podm´ınek, je tedy nutné pˇridat dalˇs´ı omezen´ı systému pro zaruˇcen´ı bezpeˇcnosti.

Specifikace a bezpeˇcnostn´ı tvrzen´ı mohou být zapsané pomoc´ı jednoho z v´ıce speci-fikaˇcn´ıch jazyk˚u reálného ˇcasu. Volba jazyka urˇcuje, jaké algoritmy mohou být pouˇzity pro analýzu a verifikaci.

(16)

4.2 Model typu ud´

alost-akce

Model typu událost-akce zachycuje datové závislosti a ˇcasové uspoˇrádán´ı výpoˇcetn´ıch akc´ı, které mus´ı být provedeny jako odezvy na události v systémech reálného ˇcasu. Skládá se ze ˇ

ctyˇr z´akladn´ıch prvk˚u:

• Akce - plánovatelná jednotka práce, m˚uˇze být jednoduchá nebo sloˇzená. Jednoduché akce jsou atomické, nemohou nebo nemus´ı být rozdˇeleny na nˇekolik jednoduˇsˇs´ıch akc´ı pro potˇreby analýzy. Jejich vykonán´ı spotˇrebuje omezené mnoˇzstv´ı ˇcasu. Sloˇzené akce jsou ˇcásteˇcnˇe uspoˇrádané jednoduché nebo sloˇzené akce. Stejná akce se m˚uˇze vysky-tovat v jedné sloˇzené akci i v´ıcekrát. Rekurzivn´ı akce nebo cyklicky ˇretˇezené akce, kde jedna akce je podakc´ı svého pˇredch˚udce v daném ˇretˇezu úloh, nejsou povoleny. Sekvenˇcn´ı proveden´ı dvou akc´ı se oznaˇcuje zápisem A; B a vyjadˇruje, ˇze akce A je následována akc´ı B. Paraleln´ı proveden´ı dvou akc´ı je oznaˇcuje zápisem A k B a vy-jadˇruje, ˇze akce A je provedena soubˇeˇznˇe s akc´ı B.

• Stavový predikát - tvrzen´ı o stavu specifikovaného systému.

• Událost - ˇcasová znaˇcka oznaˇcuj´ıc´ı bod v ˇcase, který je významný pro popis chován´ı systému, existuj´ı ˇctyˇri typy událost´ı:

– Extern´ı událost - zp˚usobena událost´ı mimo specifikovaný systém. – Spouˇstˇec´ı událost - oznaˇcuje poˇcátek nˇejaké akce.

– Koncová událost - oznaˇcuje konec nˇejaké akce.

– Pˇrechodová událost - oznaˇcuje zmˇenu nˇejaké vlastnosti systému. • ˇCasové omezen´ı - tvrzen´ı o úplném ˇcasován´ı událost´ı v systému.

4.3 Logika re´

aln´

eho ˇ

casu (RTL)

Zápis specifikace podle modelu typu událost-akce nen´ı ovˇsem vhodný, protoˇze tento po-pis je obt´ıˇznˇe zpracovatelný poˇc´ıtaˇcem. Jako ˇreˇsen´ı totoho problému byla vytvoˇrena lo-gika reálného ˇcasu (real-time logic) neboli RTL. RTL je logika 1. ˇrádu speciálnˇe rozˇs´ıˇrená o moˇznosti zachycen´ı ˇcasových poˇzadavk˚u specifikovaného systému a pˇritom umoˇzˇnuj´ıc´ı jednoduché mechanické zpracován´ı této specifikace.

RTL je zaloˇzena na modelu typu událost-akce, ale je rozˇs´ıˇrena o nˇekolik nových vlast-nost´ı jako funkce výskytu @, která pˇriˇrazuje ˇcasové hodnoty výskyt˚um událost´ı. Zápis @(E, i) = x znamená, ˇze k i-tému výskytu události E dojde v ˇcase x. RTL rozliˇsuje celkem tˇri typy konstant - akce, události a celá ˇc´ısla. Akce jsou definovány stejnˇe jako v modelu typu událost-akce, aby se odliˇsily od promˇenných pouˇz´ıvaj´ı se pro jejich zápis velká p´ısmena. Subakce Bisloˇzené akce A se poté oznaˇcuje A.Bi. Události slouˇz´ı jako ˇcasové znaˇcky a stejnˇe jako u modelu typu událost-akce existuj´ı ˇctyˇri typy tˇechto událost´ı:

• Spouˇstˇec´ı událost oznaˇcuje zaˇcátek dané akce a je uvozena znakem ↑ • Koncová událost oznaˇcuje konec dané akce a je uvozena znakem ↓ • Pˇrechodová událost oznaˇcuje zmˇenu urˇcité vlastnosti systému • Extern´ı událost je uvozena znakem Ω

(17)

Pro snaˇzˇs´ı pochopen´ı pˇredkládaných metod a postup˚u budou jednotlivé kroky verifikace ilustrovány na jednoduchém pˇr´ıkladu ˇzelezniˇcn´ıho pˇrejezdu. Pˇrejezd obsahuje pouze jedinou kolej, v urˇcitý ˇcas tedy m˚uˇze proj´ıˇzdˇet pouze jediný vlak. Celý systém se bude skládat z komponent vlaku, vlakového senzoru, ovladaˇce závor a samotných závor. Úkolem ovladaˇce závor je zajistit, aby v dobˇe pr˚ujezdu vlaku ˇzelezniˇcn´ım pˇrejezdem se na kˇr´ıˇzen´ı cesty a kolej´ı nevyskytovalo ˇzádné auto. Pro zjednoduˇsen´ı situace lze pˇredpokládat, ˇze tento úkol je vˇzdy splnˇen, pokud jsou závory v dobˇe pr˚ujezdu vlaku sklopeny.

Specifikace systému (SP) v pˇrirozeném jazyce vypadá následovnˇe:

• Kdyˇz se vlak pˇribl´ıˇz´ı k vlakovému senzoru a je zachycen t´ımto senzorem, je zaslán signál ovladaˇci závor, který zaˇcne pomalu sklápˇet závory pˇred ˇzelezniˇcn´ım pˇrejezdem. – Závora bude sklopena do 30 sekund od doby, kdy se vlak pˇribl´ıˇzil a byl zachycen

senzorem.

– Sklopen´ı z´avory trv´a alespoˇn 15 sekund.

Bezpeˇcnostn´ı tvrzen´ı (SA) v pˇrirozeném jazyce lze pak vyjádˇrit následovnˇe:

• Pokud vlak potˇrebuje alespoˇn 45 sekund pro uraˇzen´ı cesty od senzoru k ˇzelezniˇcn´ımu pˇrejezdu a pr˚ujezd vlaku je dokonˇcen do 60 sekund od doby, kdy byl vlak zachycen senzorem, pak je zajiˇstˇeno, ˇze v dobˇe doraˇzen´ı vlaku k ˇzelezniˇcn´ımu pˇrejezdu jsou závory sklopeny a vlak opust´ı ˇzelezniˇcn´ı pˇrejezd bˇehem 45 sekund od doby, kdy bylo dokonˇceno sklápˇen´ı závor.

Pro potˇreby poˇc´ıtaˇcového zpracován´ı a verifikace je nyn´ı potˇreba pˇrevést výˇse uvedenou specifikaci a bezpeˇcnostn´ı tvrzen´ı na zápis v RTL.

Specifikace syst´emu v RTL:

∀x @(T rainApproach, x) ≤ @(↑ Downgate, x) ∧ @(↓ Downgate, x) ≤ @(T rainApproach, x) + 30 ∀y @(↑ Downgate, y) + 15 ≤ @(↓ Downgate, y) Bezpeˇcnostn´ı tvrzen´ı v RTL:

∀t∀u @(T rainApproach, t) + 45 ≤ @(Crossing, u) ∧ @(Crossing, u) < @(T rainApproach, t) + 60 →

@(↓ Downgate, t) ≤ @(Crossing, u) ∧ @(Crossing, u) ≤ @(↓ Downgate, t) + 45

Pro dokázán´ı, ˇze bezpeˇcnostn´ı tvrzen´ı je teorém odvoditelný ze specifikace systému, lze pouˇz´ıt existuj´ıc´ı metody pro dokazován´ı teorém˚u. Ovˇsem zápis v jazyce RTL nen´ı pro tyto metody pˇr´ıliˇs vhodný. Proto je potˇreba nejprve pˇrevést RTL formule výˇse do diferenˇcn´ı logiky, která je mnohem vhodnˇejˇs´ı a pˇrevod mezi tˇemito logikami je jednoduchý a dobˇre automatizovatelný. C´ılovou logikou zde bude celoˇc´ıselná diferenˇcn´ı logika (IDL) s neinter-pretovanými funkcemi.

Specifikace syst´emu v diferenˇcn´ı logice:

(18)

∀y g1(y) + 15 ≤ g2(y) Bezpeˇcnostn´ı tvrzen´ı v diferenˇcn´ı logice:

∀t∀u f (t) + 45 ≤ h(u) ∧ h(u) < f (t) + 60 → g₂(t) ≤ h(u) ∧ h(u) ≤ g2(t) + 45

V tˇechto formul´ıch, t, u, x a y jsou promˇenné a f , g1, g2 a h jsou neinterpretované celoˇc´ıselné funkce. f odpov´ıdá funkci výskytu události T rainApproach, g1 odpov´ıdá funkci výskytu oznaˇcuj´ıc´ı poˇcátek akce Downgate, g2 odpov´ıdá funkci výskytu oznaˇcuj´ıc´ı konec akce Downgate a h odpov´ıdá funci výskytu události Crossing.

Problém zjiˇstˇen´ı, zda bezpeˇcnostn´ı tvrzen´ı vyplývá ze specifikace systému je obecnˇe nerozhodnutelný pro celkovou mnoˇzinu RTL formul´ı, takˇze né vˇzdy lze naj´ıt ˇreˇsen´ı. Pro specifickou podmnoˇzinu RTL formul´ı je ale tento problém rozhodnutelný, ovˇsem ˇreˇsen´ı má exponenciáln´ı sloˇzitost.

Existuje nˇekolik zp˚usob˚u, jak lze zvýˇsit efektivitu ˇreˇsen´ı. Prvn´ım zp˚usobem je pouˇzit´ı aproximace pro z´ıskán´ı jednoduˇsˇs´ı mnoˇziny specifikace systému a bezpeˇcnost´ıch tvrzen´ı. Druhým zp˚usobem je zamˇeˇren´ı analýzy pouze na ˇcást specifikace systému, která se týká nebo m˚uˇze ovlivnit platnost bezpeˇcnostn´ıho tvrzen´ı. Tˇret´ım zp˚usobem je omezen´ı speci-fikaˇcn´ıho jazyka tak, ˇze bude ménˇe obecný, ale m˚uˇze být pouˇzita efektivnˇejˇs´ı analýza.

4.4 Omezen´

e RTL formule

Jedna tˇr´ıda omezených RTL formul´ı vycház´ı ze skuteˇcnosti, ˇze ve specifikaci mnoha systém˚u reálného ˇcasu:

1. se RTL formule skládaj´ı z aritmetických nerovnost´ı zahrnuj´ıc´ıch dva termy a celoˇ c´ı-selnou konstantu, kde term m˚uˇze být bud’ promˇenná nebo funkce

2. RTL formule neobsahuj´ı aritmetické výrazy obsahuj´ıc´ı funkce, které berou jako argu-ment instanci sebe sama

Takováto tˇr´ıda omezených RTL formul´ı umoˇzˇnuje potenciáln´ı vyuˇzit´ı pˇr´ıstup˚u známých z teorie graf˚u pro jejich analýzu. Napˇr´ıklad lze vyuˇz´ıt algoritmus hledán´ı nejkratˇs´ı cesty z urˇcitého bodu do vˇsech ostatn´ıch a ˇreˇsit jednoduchý problém celoˇc´ıselného programován´ı, kde kaˇzdá nerovnost je ve tvaru xi−xj ≤ ±aij kde xia xj jsou promˇenné a aij je celoˇc´ıselná konstanta. Nebo lze vyuˇz´ıt grafu omezen´ı pro reprezentaci mnoˇziny nerovnost´ı. Kaˇzdá promˇenná bude poté reprezentovat uzel v grafu a nerovnost xi ± aij ≤ xj bude reprezen-tovat orientovanou hranu s váhou aij jdouc´ı z uzlu xi do uzlu xj. Poté mnoˇzina nerovnost´ı reprezentována takovýmto grafem je nesplnitelná, právˇe tehdy kdyˇz existuje v grafu cyklus kladnou celkovou váhou.

Na základˇe pˇredchoz´ıch pozorován´ı je tedy potˇreba omezit RTL formule tak, aby obsa-hovaly aritmetické nerovnosti v následuj´ıc´ı formˇe:

f unkce v ýskytu ± celoˇc´ıselná konstanta ≤ f unkce v ýskytu

kdy formule @(E1, i) ± I < @(E2, j) lze zapsat jako @(E1, i) ± I + 1 ≤ @(E2, j) a formule ¬(@(E₁, i) ± I ≤ @(E2, j)) lze zapsat jako @(E2, j) ± I + 1 ≤ @(E1, i).

Vˇsechny formule, které se vyskytuj´ı v dˇr´ıve uvedeném pˇr´ıkladˇe, splˇnuj´ı výˇse popsaná omezen´ı a patˇr´ı tedy do definované tˇr´ıdy omezených RTL formul´ı. Ovˇsem napˇr´ıklad formule

(19)

která se nevyskytuje v pˇredchoz´ım pˇr´ıkladˇe, nepatˇr´ı do této tˇr´ıdy omezených RTL formul´ı, protoˇze prvn´ı argument nerovnosti ≤ je sumou funkce a promˇenné.

Aby bylo moˇzné sestrojit graf omezen´ı, který umoˇzn´ı analýzu ˇreˇseného problému, je nej-prve potˇreba transformovat RTL formuli F na odpov´ıdaj´ıc´ı formuli F0 v diferenˇcn´ı logice1_.

Kaˇzdá funkce výskytu @(E, i) je nahrazena funkc´ı fE(i) kde E je událost a i je ˇc´ıslo nebo promˇenná. Dále je nutné pˇrevést formuli F0 na formuli F00 v klauzáln´ı formˇe. Výsledná formule F00 je pak ve formˇe

C1∧ C2∧ . . . ∧ Cn−1∧ Cn kde Ci pro i = 1..n je disjunktn´ı klauzule ve tvaru

L1∨ L2∨ . . . ∨ Lm−1∨ Lm

a Lj pro j = 1..m je liter´al ve tvaru

v1± I ≤ v2

kde v1 a v2 jsou neinterpretované celoˇc´ıselné funkce odpov´ıdaj´ıc´ı funkc´ım výskytu a I je celoˇc´ıselná konstanta.

Pokud jsou k dispozici specifikace systému SP a bezpeˇcnostn´ı tvrzen´ı SA vyjádˇrené pomoc´ı omezených RTL formul´ı, zbývá dokázat, ˇze SA je teorém odvoditelný z SP , tedy ovˇeˇrit validitu výroku SP → SA. Ovˇeˇrován´ı validity formul´ı u logik 1. ˇrád˚u je ˇcasto pro-blematické, lze ovˇsem vyuˇz´ıt dualitu validity a splnitelnosti uvedenou v kapitole 3.2.1.1. Ovˇeˇren´ı validity formule SP → SA lze pak jednoduˇse pˇrevést na odpov´ıdaj´ıc´ı problém ovˇeˇren´ı nesplnitelnosti formule ¬(SP → SA). Protoˇze formule SP → SA lze zapsat jako ¬SP ∨ SA, staˇc´ı tedy dokázat, ˇze jej´ı negace, formule SP ∧ ¬SA, je nesplnitelná. Proces verifikace se tedy m´ısto potvrzen´ı platnosti bezpeˇcnostn´ıho tvrzen´ı bude snaˇzit vyvrátit jeho opak.

Pro vˇetˇs´ı názornost pˇredloˇzených postup˚u a úprav budou jednotlivé kroky demon-strovány na pˇr´ıkladˇe dále. Ten bude navazovat na pˇr´ıklad z minulé kapitoly, jehoˇz výsledkem byl zápis specifikace systému a bezpeˇcnostn´ıho pravidla ve formˇe RTL formul´ı. Nyn´ı je potˇreba pˇrevést tyto formule do klauzáln´ıho tvaru, který nav´ıc splˇnuje podm´ınky a ome-zen´ı prob´ırané v této kapitole.

Specifikace systému je vetˇsinou tvoˇrena celou mnoˇzinou formul´ı, které popisuj´ı jeho chován´ı. Vˇsechny tyto formule samozˇrejmˇe mus´ı platit zároveˇn, specifikaci celého systému lze tedy popsat jedinou formul´ı, která vznikne konjunkc´ı vˇsech formul´ı z této mnoˇziny. Specifikace systému v pˇr´ıkladˇe z pˇredchoz´ı kapitoly obsahuje pouze dvˇe formule, výsledná formule popisuj´ıc´ı celý systém bude vypadat následovnˇe:

f (x) ≤ g1(x) ∧ g2(x) ≤ f (x) + 30 ∧ g1(y) + 15 ≤ g2(y)

Je patrn´e, ˇze tato formule je jiˇz v klauz´aln´ı formˇe, tedy v tomto ohledu jiˇz nejsou potˇreba ˇ

zádné úpravy. Ovˇsem druhá klauzule stále nesplˇnuje omezen´ı kladené na tvar aritmetické nerovnosti klauzul´ı. Je tedy potˇreba provést jej´ı úpravu. Prvn´ı klauzule tvar aritmetické nerovnosti splˇnuje, hodnota celoˇc´ıselné konstanty je zde jednoduˇse 0, ekvivalentnˇe by mohla být zapsána ve tvaru f (x) + 0 ≤ g1(x), coˇz odpov´ıdá poˇzadavk˚um. Výsledná upravená formule se bude skládat celkem ze tˇr´ı klauzul´ı:

f (x) ≤ g1(x) 1

(20)

g2(x) − 30 ≤ f (x) g1(y) + 15 ≤ g2(y)

Bezpeˇcnostn´ı tvzen´ı je vyjádˇreno vˇzdy jedinou, ˇcasto sloˇzitˇejˇs´ı, formul´ı. Ikdyˇz nic neb-rán´ı existenci v´ıce samostatných bezpeˇcnostn´ıch tvrzen´ı, z pohledu analýzy se neprovád´ı ovˇeˇrován´ı vˇsech tˇechto tvrzen´ı zároveˇn. Je sice moˇzné slouˇcit tato tvrzen´ı do jediné formule, jak se to dˇelá u specifikace systému, z hlediska efektivity a pamˇet’ové nároˇcnosti je ovˇsem výhodnˇejˇs´ı ovˇeˇrovat kaˇzdé tvrzen´ı samostatnˇe. Protoˇze popsaná verifikace se snaˇz´ı vyvrátit opak bezpeˇcnostn´ıho tvrzen´ı, pracuje se dále s negac´ı tohoto tvrzen´ı, coˇz je formule

¬(∀t∀u f (t) + 45 ≤ h(u) ∧ h(u) < f (t) + 60 → g2(t) ≤ h(u) ∧ h(u) ≤ g2(t) + 45)

Tato formule obsahuje implikaci, takˇze urˇcite nen´ı v klauzáln´ı formˇe. Nejprve je tedy potˇreba pˇrevést formuli do této formy. Po odstranˇen´ı implikace vznikne formule

¬(∀t∀u ¬(f (t) + 45 ≤ h(u) ∧ h(u) < f (t) + 60) ∨ (g₂(t) ≤ h(u) ∧ h(u) ≤ g2(t) + 45))

Po proveden´ı negac´ı z˚ustane formule

∃t∃u (f (t) + 45 ≤ h(u) ∧ h(u) < f (t) + 60) ∧ (h(u) < g₂(t) ∨ g2(t) + 45 < h(u))

Pro koneˇcné pˇreveden´ı formule do klauzáln´ı formy je tˇreba eliminovat existenˇcn´ı kvan-tifikátory, coˇz lze jednoduˇse provést pomoc´ı skolemizace uvedené v kapitole 3.2.1.2, kde promˇenné t a u budou nahrazeny skolemovými konstantami T a U . Výsledná formule

f (T ) + 45 ≤ h(U ) ∧ h(U ) < f (T ) + 60 ∧ (h(U ) < g2(T ) ∨ g2(T ) + 45 < h(U ))

je jiˇz formul´ı v klauzáln´ı formˇe, ovˇsem nˇekteré klauzule opˇet nesplˇnuj´ı omezen´ı tvaru aritme-tické nerovnosti. Po patˇriˇcných úpravách obsahuje výsledná formule tˇri následuj´ıc´ı klauzule:

f (T ) + 45 ≤ h(U ) h(U ) − 59 ≤ f (T )

h(U ) + 1 ≤ g2(T ) ∨ g2(T ) + 46 ≤ h(U )

Tyto klauzuje jiˇz splˇnuj´ı veˇskerá omezen´ı. Specifikace systému i bezpeˇcnostn´ı tvrzen´ı jsou tedy nyn´ı ve tvaru, který je potˇrebný pro konstrukci grafu omezen´ı.

4.5 Graf omezen´ı

Algoritmus konstrukce grafu omezen´ı vyˇzaduje, aby formule zahrnuj´ıc´ı specifikaci systému a bezpeˇcnostn´ı tvrzen´ı splˇnovaly poˇzadavky uvedené v kapitole 4.4. Pro kaˇzdý literál ve tvaru v1± I ≤ v2 se poté zkonstruuje uzel oznaˇcený v1, uzel oznaˇcený v2 a hrana hv1, v2i s váhou ±I smˇeˇruj´ıc´ı z uzlu v1 do uzlu v2. Algoritmus pro konstrukci grafu omezen´ı je následuj´ıc´ı:

Vstup: Mnoˇzina klauzul´ı S V´ystup: Graf omezen´ı G Metoda:

(21)

• Pro kaˇzdou klauzuli Ci∈ S, pro kaˇzd´y liter´al Lj ∈ Ci, kde Lj je ve tvaru v1± I ≤ v2:

1. Najdi shluk s funkˇcn´ım symbolem termu v1. Pokud takov´yto shluk neexistuje, vytvoˇr nov´y.

2. Najdi uzel oznaˇcený v1 ve shluku nalezeném nebo vytvoˇreném v bodˇe 1. Pokud takovýto uzel neexistuje, pˇridej uzel oznaˇcený v1 do tohoto shluku.

3. Opakuj body 1 a 2 pro term v2.

4. Vytvoˇr orientovanou hranu hv1, v2i s v´ahou ±I jdouc´ı z uzlu v1 do uzlu v2.

Mnoˇzina klauzul´ı, kterou vyuˇz´ıvá algoritmus, se odv´ıj´ı od zp˚usobu ovˇeˇrován´ı platnosti bezpeˇcnostn´ıho tvrzen´ı. Zde se vyuˇz´ıvá pˇr´ıstup vyvrácen´ı platnosti opaku tohoto tvrzen´ı, tedy ovˇeˇren´ı platnosti formule F00 = SP ∧ ¬SA. Mnoˇzina klauzul´ı v tomto pˇr´ıpadˇe bude tedy obsahovat klauzule obsaˇzené ve formuli SP a znegované formuli SA. Na obrázku 4.1

je zobrazen graf omezen´ı pro prob´ıran´y pˇr´ıklad.

f(x) f(T) g2(x) g1(x) g2(T) h(U) shluk f shluk g2 0 15 1 46 45 -59 30

Obr´azek 4.1: Graf omezen´ı

4.6 Ovˇ

eˇ

ren´ı nesplnitelnosti

Pro ovˇeˇren´ı nesplnitelnosti formule F00lze nyn´ı vyuˇz´ıt zkonstruovaný graf omezen´ı G, který tuto formuli reprezentuje. D˚ukaz nesplnitelnosti formule F00 se provád´ı pomoc´ı identifikace kladných cykl˚u v grafu G. Pro nalezen´ı tˇechto cykl˚u je potˇreba nejprve definovat proces unifikace a pojmy cesta a cyklus v tomto typu grafu.

Unifikace: Unifikac´ı vi a vi0 se oznaˇcuje pˇr´ıpad, kdy existuje substituce σ takov´a, ˇze viσ = v_i0σ, kde viσ a v_i0σ jsou termy vznikl´e aplikac´ı substituce σ na vi a v_i0.

Cesta: Cestou z uzlu v0 do uzlu vn v grafu G se oznaˇcuje sekvence hran

(22)

pro kterou plat´ı, ˇze existuje substituce σ, pomoc´ı n´ıˇz lze provést párovou unifikaci vi a v0_i pro vˇsechna 1 ≤ i < n. Tedy pro kaˇzdý pár vi a v0i, kde 1 ≤ i < n, mus´ı platit, ˇze uzly vi a vi0 jsou totoˇzné nebo se nácházej´ı ve stejném shluku.

Cyklus: Cyklem v grafu G se oznaˇcuje sekvence hran

hv0, v1i, hv10, v2i, hv02, v3i, . . . , hvn−20 , vn−1i, hv0n−1, vni

která je cestou vytvoˇrenou na základˇe substituce σ a zároveˇn lze pomoc´ı této substituce σ provést unifikaci v0 a vn. Opˇet mus´ı platit, ˇze uzly v0 a vn jsou totoˇzné nebo se nácházej´ı ve stejném shluku. Cyklus je tedy jednoduˇse cesta, pro kterou lze unifikovat jej´ı poˇcáteˇcn´ı a koncový uzel. Váha cesty nebo cyklu je poté definována jako suma vˇsech vah hran, které tato cesta nebo cyklus obsahuj´ı.

Nyn´ı lze jiˇz dokázat, ˇze pokud existuje v grafu G, který odpov´ıdá formuli F00, pozi-tivn´ı cyklus, pak formule, která je sloˇzena s konjunkc´ı literál˚u odpov´ıdaj´ıc´ıch jednotlivým hranách v tomto cyklu, je nesplnitelná. Aplikován´ım substituce σ na kaˇzdý literál (nerov-nost) Li v cyklu, tedy na formuli tvaru:

v0σ + I0 ≤ v1σ ∧ v0₁σ + I1 ≤ v2σ ∧ .. . v_n−20 σ + In−2 ≤ vn−1σ ∧ v0_n−1σ + In−1≤ vnσ a slouˇcen´ım tˇechto nerovnost´ı vznikne formule

I0+ I1+ . . . + In−1+ In≤ 0

která je oˇcividnˇe nesplnitelná, protoˇze souˇcet I0+I1+. . .+In−1+Inje suma vah jednotlivých hran cyklu, a tato suma u kladného cyklu nem˚uˇze být menˇs´ı ani rovna nule. Nesplnitelnost této nerovnosti znamená, ˇze také p˚uvodn´ı RTL nerovnosti, odpov´ıdaj´ıc´ı tˇemto hranám, jsou nesplnitelné.

4.7 Prohled´

avac´ı strom

Pokud kaˇzdá hrana kladného cyklu odpov´ıdá literálu, který náleˇz´ı jednotkové klauzuli, tedy klauzule je tvoˇrena pouze t´ımto literálem, pak mus´ı být formule F00 nesplnitelná a bezpeˇcnostn´ı tvrzen´ı SA odvoditelné ze specifikace systému SP . Ovˇsem pokud hrana v nˇejakém cyklu odpov´ıdá literálu, který je souˇcást´ı nejednotkové klauzule, je potˇreba ukázat, ˇze zbylé literály této klauzule odpov´ıdaj´ı hranám z jiných kladných cykl˚u. Potˇreba tohoto d˚ukazu jednoduˇse plyne z faktu, ˇze klauzule jsou disjunktn´ı, takˇze pro dokázán´ı nesplnitelnosti celé klauzule je potˇreba ukázát, ˇze vˇsechny jej´ı literály (disjunkty) jsou ne-splnitelné. Napˇr´ıklad negace bezpeˇcnostn´ıho tvrzen´ı obsahuje klauzuli

h(U ) + 1 ≤ g2(T ) ∨ g2(T ) + 46 ≤ h(U )

Jestliˇze existuje pozitivn´ı cyklus obsahuj´ıc´ı hranu odpov´ıdaj´ıc´ı nerovnosti h(U )+1 ≤ g2(T ), pak je nav´ıc potˇreba ukázát, ˇze existuje jiný kladný cyklus, který obsahuje hranu od-pov´ıdaj´ıc´ı nerovnosti g2(T ) + 46 ≤ h(U ).

(23)

Samozˇrejmˇe, ˇze s poˇctem hran pozitivn´ıch cykl˚u, jejichˇz odpov´ıdaj´ıc´ı literály náleˇz´ı nejednotkovým klauzul´ım, roste kombinatoricky také potˇreba identifikace dalˇs´ıch kladných cykl˚u. Problém ovˇeˇren´ı nesplnitelnosti F00 je N P -úplný. Z d˚uvodu sloˇzitosti ˇreˇsen´ı tohoto problému je d˚uleˇzité proces verifikace maximálnˇe zefektivnit.

Jeden z algoritm˚u, který efektivnˇeji ˇreˇs´ı popsaný problém, vyuˇz´ıvá tzv. prohledávac´ıho stromu. Tento algoritmus vycház´ı z následuj´ıc´ıch pozorován´ı. Mˇejme formuli F00 v kon-junktn´ı formˇe, tedy ve tvaru

C1∧ C2∧ . . . ∧ Cn−1∧ Cn

kde kaˇzd´a klauzule Ci, i = 1..n, je v disjunktn´ı formˇe, tedy ve tvaru

Lk,1∨ Lk,2∨ . . . ∨ Lk,mk−1∨ Lk,mk

kde literály v ruzných klauzul´ıch mohou být stejné. Zápis Xi,1, Xi,2, . . . , Xi,ni−1, Xi,ni

bude oznaˇcovat nerovnosti odpov´ıdaj´ıc´ı hranám v i-tém kladném cyklu grafu G, kde Xi,j je literál odpov´ıdaj´ıc´ı j-té hranˇe v i-tém kladném cyklu a kaˇzdá nerovnost Xi,j se vyskytuje alespoˇn v jedné klauzuli Ck. Necht’

Pi= Xi,1∧ Xi,2∧ . . . ∧ Xi,ni−1∧ Xi,ni

Z kapitoly 4.6 je jiˇz známo, ˇze formule Pi je nesplnitelná. Pak F00 je ale splnitelná právˇe tehdy kdyˇz F00∧¬Pi je splnitelná. Ve vysledku je tedy existence kladného cyklu ekvivalentn´ı pˇridán´ı klauzule

¬P_i = ¬Xi,1∨ ¬Xi,2∨ . . . ∨ ¬Xi,ni−1∨ ¬Xi,ni

do formule F00, coˇz procesu verifikace umoˇzˇnuje vyuˇz´ıt nav´ıc klauzuli ¬Pi pˇri ovˇeˇrov´an´ı nesplnitelnosti F00.

Protoˇze popis algoritmu ve formˇe formáln´ıho zápisu ˇci pseudokódu nen´ı pˇr´ıliˇs srozumi-telný, bude jeho ˇcinnost popsána názornˇe na praktickém pˇr´ıkladˇe. Pro vˇetˇs´ı pˇrehlednost konstruovaného prohledávac´ıho stromu se nejprve pˇriˇrad´ı kaˇzdému literálu z mnoˇziny klau-zul´ı S formule F00 p´ısmeno abecedy, které bude tento literál reprezentovat. Odpov´ıdaj´ıc´ı pˇriˇrazen´ı jsou následuj´ıc´ı:

A = f (x) ≤ g1(x) B = g2(x) − 30 ≤ f (x) C = g1(y) + 15 ≤ g2(y) D = f (T ) + 45 ≤ h(U ) E = h(U ) − 59 ≤ f (T ) F ∨ G = h(U ) + 1 ≤ g2(T ) ∨ g2(T ) + 46 ≤ h(U )

Poté je potˇreba vytvoˇrit klauzule ¬Pi reprezentuj´ıc´ı kladné cykly v grafu G, které budou pˇridány ke klauzul´ım formule F00, mnoˇzina SC tˇechto klauzul´ı obsahuje:

¬F ∨ ¬G ¬B ∨ ¬D ∨ ¬F ¬A ∨ ¬C ∨ ¬G ∨ ¬E

(24)

Algoritmus následnˇe vytváˇr´ı prohledávac´ı stromu s vyuˇzit´ım klauzul´ı z mnoˇziny SC a pˇri jeho konstrukci ovˇeˇruje nesplnitelnost klauzul´ı z mnoˇzin S a SC. Kaˇzdá nová úroveˇn tvoˇreného stromu je výsledkem analýzy dalˇs´ı klauzule z mnoˇziny SC, tedy analýzy dalˇs´ıho kladného cyklu v grafu G. kaˇzdý uzel stromu je bud’ samostatný literál nˇejaké klauzule z mnoˇziny SC nebo konjunkce literál˚u z r˚uzných klauzul´ı mnoˇziny SC. Na obrázku 4.2 je nejhorˇs´ı pˇr´ıpad vytvoˇreného prohlédavac´ıho stromu ilustrovaného pˇr´ıkladu, kde jsou pro-zkoumány vˇsechny konjunkce jednotlivých literál˚u. Prvn´ı úroveˇn stromu je tvoˇrena od-pov´ıdaj´ıc´ımi literály prvn´ı klauzule z mnoˇzity SC, tedy literály ¬F a ¬G. Pro vytvoˇren´ı dalˇs´ı úrovnˇe se pˇridaj´ı ke vˇsem uzl˚um aktuáln´ı úrovnˇe literály dalˇs´ı, jeˇstˇe neanalyzované, klauzule. V tomto pˇr´ıpadˇe se pˇridaj´ı literály druhé klauzule, tedy literály ¬B, ¬D a ¬F . Tento postup se opakuje, dokud se neanalyzuj´ı vˇsechny klauzule z mnoˇziny SC, tedy veˇskeré kladné cykly. Z obrázku 4.2 je patrné, ˇze strom nar˚ustá exponenciálnˇe s poˇctem klauzul´ı mnoˇziny SC. Naˇstˇest´ı v praxi nen´ı potˇreba velké mnoˇzstv´ı uzl˚u v˚ubec analyzovat, tedy ani vytváˇret. Metody pro redukci stavového prostoru budou obsahem dalˇs´ı kapitoly.

Pro d˚ukaz, ˇze konjunkce klauzul´ı z mnoˇzin S a SC, tedy formule F00, je nesplnitelná, je potˇreba ukázát, ˇze kaˇzdý listový uzel stromu splˇnuje jednu z následuj´ıc´ıch podm´ınek:

1. Konjunkce literál˚u listového uzlu a alespoˇn jedné klauzule z mnoˇziny S je nesplnitelná, tedy nabývá ohodnocen´ı f alse.

2. Konjunkce literál˚u listového uzlu je sama nesplnitelná.

Prvn´ı podm´ınka vycház´ı z jednoduché logické úvahy. Pokud existuje formule Ck∧ ¬Ck, kde Ck je klauzule z mnoˇziny S a ¬Ck je konjunkc´ı literál˚u v listovém uzlu stromu, tedy formule je ve tvaru

(Lk,1∨ Lk,2∨ . . . ∨ Lk,mk−1∨ Lk,mk) ∧ (¬Lk,1∧ ¬Lk,2∧ . . . ∧ ¬Lk,mk−1∧ ¬Lk,mk)

pak je tato formule vˇzdy nesplnitelná. Staˇc´ı tedy jednoduˇse ukázat, ˇze nˇekterý z literál˚u Liv klauzuli ¬Ckje nesplnitelný, tedy ˇze existuje komplementárn´ı literál ¬Li, který je vˇzdy splnitelný. Napˇr´ıklad nesplnitelnost prvn´ıho listového uzlu v prob´ıraném pˇrikladˇe obsahuj´ıc´ı konjunkci ¬F ∧ ¬B ∧ ¬A m˚uˇze být dokázána pomoc´ı jedné z klauzul´ı A nebo B z mnoˇziny S. Obˇe tyto klauzule obsahuj´ı jediný literál, který tedy mus´ı být vˇzdy splnˇen, zároveˇn ale má být splnˇen i výraz v listovém uzlu, který vyˇzaduje platnost opaku obou tˇechto literál˚u. Konjunkce listového uzlu s jednou z tˇechto klauzul´ı, tedy napˇr. A ∧ (¬F ∧ ¬B ∧ ¬A), je tedy urˇcitˇe nesplnitelná. Protoˇze pro kaˇzdý listový uzel lze naj´ıt alespoˇn jednu klauzuli z mnoˇziny S, která dokáˇze jeho nesplnitelnost, lze ˇr´ıci, ˇze klauzule z mnoˇzin S a SC jsou nesplnitelné, a tedy i formule F00 je nesplnitelná.

4.8 Optimalizace

Jak jiˇz bylo ˇreˇceno v pˇredchoz´ı kapitole, v nejhorˇs´ım pˇr´ıpadˇe je prohledávac´ı strom vytvoˇren analýzou vˇsech kladných cykl˚u. ˇCasová sloˇzitost tohoto algoritmu je bohuˇzel exponenciáln´ı s ohledem na poˇcet kladných cykl˚u. Pokud graf omezen´ı G obsahuje celkem n kladných cykl˚u a kaˇzdý cyklus obsahuje m hran, pak mnoˇzina SC obsahuje celkem n klauzul´ı, kde kaˇzdá klauzule je disjunkc´ı m literál˚u. Pak prohledávac´ı strom vytvoˇrený z této mnoˇziny klauzul´ı bude obsahovat celkem mnlistových uzl˚u, které, v nejhorˇs´ım pˇr´ıpadˇe, bude potˇreba vˇsechny ovˇeˇrit. Ikdyˇz je výpoˇcetn´ı sloˇzitost algoritmu exponenciáln´ı, existuj´ı r˚uzné moˇznosti optimalizace, které ˇcasto výraznˇe redukuj´ı velikost stavového prostoru, tedy poˇcet uzl˚u stromu, a t´ım i ˇcasovou nároˇcnost ovˇeˇrován´ı.

(25)

¬F ¬G ¬F ∧ ¬B ¬F ∧ ¬D ¬F ¬G ∧ ¬B ¬G ∧ ¬D ¬G ∧ ¬F ¬F ∧ ¬B ∧ ¬A ¬F ∧ ¬B ∧ ¬C ¬F ∧ ¬B ∧ ¬G ¬F ∧ ¬B ∧ ¬E ¬F ∧ ¬D ∧ ¬A ¬F ∧ ¬D ∧ ¬C ¬F ∧ ¬D ∧ ¬G ¬F ∧ ¬D ∧ ¬E ¬F ∧ ¬A ¬F ∧ ¬C ¬F ∧ ¬G ¬F ∧ ¬E ¬G ∧ ¬B ∧ ¬A ¬G ∧ ¬B ∧ ¬C ¬G ∧ ¬B ¬G ∧ ¬B ∧ ¬E ¬G ∧ ¬D ∧ ¬A ¬G ∧ ¬D ∧ ¬C ¬G ∧ ¬D ¬G ∧ ¬D ∧ ¬E ¬G ∧ ¬F ∧ ¬A ¬G ∧ ¬F ∧ ¬C ¬G ∧ ¬F ¬G ∧ ¬F ∧ ¬E J J J J J J J J J J , , , , , , , , l l l l l l l l , , , , , , , , l l l l l l l l ((((( hhhhh H H H H_H (((( ( hhh_h_h H H H H_H ((((( hhhhh H H H H_H (((( ( hhhhh H H H H_H (((( ( hhh_h_h H H H H_H ((((( hhhhh H H H H_H

(26)

¬B ¬D ¬F ¬F ¬F ∧ ¬G ¬F ∧ ¬A ¬F ∧ ¬C ¬F ∧ ¬G ¬F ∧ ¬E J J J J J J J J J J , , , , , , , , (((( ( hhhhh H H H H_H

Obr´azek 4.3: Prohled´avac´ı strom pˇri pouˇzit´ı optimalizac´ı

Prvn´ı moˇznost´ı redukce prohledávac´ıho stromu je zastaven´ı generován´ı nových uzl˚u z uzlu, jeˇz sám ˇcin´ı mnoˇzinu klauzul´ı S nesplnitelnou. Protoˇze uzly obsahuj´ı konjunkce negac´ı literál˚u, mus´ı být pro celkovou platnost tohoto uzlu platné vˇsechny tyto literály. Pokud se dokáˇze neplatnost nˇekteré negace literálu v uzlu, pak pˇridán´ım dalˇs´ıch literál˚u k tomuto uzlu, tedy vygenerován´ım synovských uzl˚u, budou tyto uzly opˇet nesplnitelné, nemá tedy smysl je v˚ubec generovat. Napˇr´ıklad synovské uzly uzlu ¬F ∧ ¬B nen´ı potˇreba jiˇz generovat, protoˇze konjunkce tohoto uzlu s klauzul´ı B z mnoˇziny S je nesplnitelná, tedy tento uzel jiˇz zneplatˇnuje mnoˇzinu S, vˇsechny synovské uzly vygenerované z tohoto uzlu by opˇet vyˇzadovaly platnost ¬F ∧ ¬B, která urˇcitˇe nikdy nebude splnˇena.

Druhou moˇznost´ı optimalizace je pˇreskupen´ı poˇrad´ı analýzy klauzul´ı z mnoˇziny SC tak, aby bylo moˇzné aplikovat prvn´ı optimalizaci ˇc´ım jak nejdˇr´ıve. ˇC´ım bl´ıˇze koˇreni stromu se generován´ı uzl˚u zastav´ı, t´ım vˇetˇs´ı bude výsledná redukce tohoto stromu. Nevýhodou této op-timalizace je nutnost vyuˇzit´ı r˚uzných heuristik, které urˇc´ı poˇrad´ı analýzy klauzul´ı z mnoˇziny SC, nebo backtrackingu v pˇr´ıpadˇe zjiˇstˇen´ı, ˇze dané poˇrad´ı nevede k pˇr´ınosné redukci. V pˇredchoz´ım pˇr´ıkladˇe jiˇz zm´ınˇený uzel ¬F ∧¬B zp˚usoboval zneplatnˇen´ı mnoˇziny S, protoˇze jeho konjunkce s klauzul´ı B je nesplnitelná. Je zˇrejmé, ˇze literál ¬F jinak nepˇrisp´ıvá k zne-platnˇen´ı mnoˇziny S. Je tedy moˇzné odloˇzit analýzu prvn´ı klauzule z mnoˇziny SC a pˇ rednost-nˇe zaˇc´ıt analýzou druhé klauzule, která v´ıce napomáhá ovˇeˇrován´ı neplatnosti. Pˇrehozen´ı poˇrad´ı analýzy prvn´ıch dvou klauzul´ı zp˚usob´ı, ˇze jiˇz na prvn´ı úrovni stromu lze zastavit generován´ı synovských uzl˚u pro uzly ¬B a ¬D, protoˇze tyto uzly jiˇz zajiˇst’uj´ı nesplnitel-nost mnoˇziny S. Pouˇzit´ı obou zm´ınˇených optimalizac´ı má za následek výraznou redukci prohledávac´ıho stromu do podoby na obrázku4.3.

Tˇret´ı optimalizace vyuˇz´ıvá dˇr´ıve vygenerovaných uzl˚u, které jiˇz byly oznaˇceny jako nesplnitelné. Tedy novˇe vygenerovaný uzel v je nesplnitelný, jestliˇze jiˇz nˇekdy dˇr´ıve byl vygenerován uzel oznaˇcený v. Napˇr´ıklad nejniˇzˇs´ı uzel ¬F ∧ ¬G ve stromu na obrázku 4.3

se jiˇz nemus´ı ovˇeˇrovat, protoˇze tento stejný uzel byl jiˇz vygenerován a ovˇeˇren dˇr´ıve jako listový uzel.

(27)

Kapitola 5

N´

avrh n´

astroje pro verifikaci

Protoˇze metod verifikace je obecnˇe velké mnoˇzstv´ı a ˇrada metod m˚uˇze vyuˇz´ıvat r˚uzné optimalizace a heuristiky, je vhodné, aby byl nástroj dobˇre rozˇsiˇritelný. Samozˇrejmˇe je d˚uleˇzité, aby samotný nástroj byl rychlý a efektivn´ı, ale pokud moˇzno jednoduchý pro pouˇzit´ı. Na obrázku 5.1 je zobrazen návrh blokového schématu nástroje s pˇrihlédnut´ım k výˇse uvedeným základn´ım poˇzadavk˚um.

GUI SettingsPH Search Tree VisualizerPH Constraint Graph VisualizerPH LogsPH OutputPH InputPH _Observer

Settings Constraint Graph

Visualizer

Search Tree Visualizer Input Output Logs

Verifier CorePH07 CorePH08 CorePH06 CorePH05 CorePH04 CorePH03 CorePH02 CorePH01 Observer Core Formula Parser Constraint Graph Builder Formula Converter Search Tree Builder Optimalizator External Graphical Representation Observer Other Tool

Input Output Logs Settings

Obrázek 5.1: Blokové schéma nástroje

Nástroj se skládá ze dvou základn´ıch ˇcást´ı, verifikátor (Verifier ) a grafické uˇzivatelské rozhran´ı (GUI ). Verifikátor ˇreˇs´ı samotné ovˇeˇrován´ı vlastnost´ı systém˚u popsaných ve formˇe RTL formul´ı. Jako implementaˇcn´ı jazyk této ˇcásti lze pouˇz´ıt napˇr. jazyk C++, který

(28)

umoˇzˇnuje celkem snadnou tvorbu i sloˇzitˇejˇs´ıch program˚u, zat´ımco si zachovává sluˇsnou rychlost a efektivitu. Nav´ıc existuje pro tento jazyk ˇrada knihoven, které mohou být uˇziteˇ c-né, napˇr. knihovny pro vizualizaci graf˚u a strom˚u, nebo knihovny pro paralelizaci výpoˇct˚u. Jednotlivé ˇcásti procesu ovˇeˇrován´ı u metody popsané v kapitole 4 jsou zde zastoupeny ve formˇe modul˚u. Prvn´ı modul, Formula Parser, zajiˇst’uje zpracován´ı vstupn´ıch formul´ı a jejich pˇreveden´ı do intern´ı reprezentace. Druhý modul, Formula Converter, pˇrevád´ı for-mule do diferenˇcn´ı logiky, která je vyˇzadována pro konstrukci grafu omezen´ı. Tˇret´ı modul, Constraint Graph Builder, vytváˇr´ı samotný graf omezen´ı. ˇCtvrtý modul, Search Tree Buil-der, pak vytváˇr´ı prohledávac´ı strom a provád´ı ovˇeˇrován´ı jeho uzl˚u. Tento modul m˚uˇze nav´ıc vyuˇz´ıvat r˚uzné optimalizaˇcn´ı moduly. Nastaven´ı programu se m˚uˇze naˇc´ıtat napˇr. z extern´ıch XML soubor˚u. Verifikátor lze spouˇstˇet jako samostatný program z pˇr´ıkazové ˇrádky, ˇc´ımˇz poskytuje moˇznosti skriptován´ı a nezávislost na grafických rozhran´ıch.

Grafické uˇzivatelské rozhran´ı slouˇz´ı k zjednoduˇsen´ı pouˇzit´ı verifikátoru. Jako imple-mentaˇcn´ı jazyk lze pouˇz´ıt napˇr. jazyk Java, který umoˇzˇnuje jednoduˇse vytvoˇrit uˇzivatelské rozhran´ı, které je snadno pˇrenositelné mezi r˚uznými operaˇcn´ımi systémy. Kromˇe ovládán´ı verifikátoru, tedy nastaven´ı parametr˚u programu a zpracován´ı vstup˚u, výstup˚u a záznam˚u o ˇcinnosti, zde jsou i dalˇs´ı moduly. Modul Constraint Graph Visualizer slouˇz´ı k zobrazen´ı vytvoˇreného grafu omezen´ı a modul Search Tree Visualizer k zobrazen´ı prohledávac´ıho stromu. Tyto moduly mohou být uˇziteˇcné napˇr. pˇri kontrole správnosti procesu ovˇeˇrován´ı nebo pro ilustraci ˇcinnosti ovˇeˇrovac´ı metody pro studijn´ı úˇcely.

Posledn´ı d˚uleˇzitou ˇcást´ı návrhu je zp˚usob komunikace. Komunikace mezi jednotlivými moduly je celkem bezproblémová, jelikoˇz je to komunikace mezi ˇcástmi implementovanými ve stejném jazyce. Lze napˇr´ıklad vyuˇz´ıt rozhran´ı v jazyce Java a virtuáln´ı metody v jazyce C++. Komunikace mezi samotným verifikátorem a grafickým uˇzivatelským rozhran´ım je jiˇz sloˇzitˇejˇs´ı. Jednou z moˇznost´ı, která se zde nab´ız´ı, je vyuˇzit´ı systému CORBA. CORBA poskytuje univerzáln´ı rozhran´ı pro volán´ı metod objekt˚u, jej´ı implementace je k dispo-zici pro velkou ˇradu jazyk˚u, vˇcetnˇe jazyk˚u Java a C++. Umoˇzˇnuje tedy standardizovanou komunikaci nezávislou na pouˇzitém jazyce, coˇz je pˇresnˇe to, co je zde potˇreba. CORBA se vyuˇz´ıvá hlavnˇe u distribuovaných aplikac´ı, kde ˇcásti aplikace mohou být situovány na r˚uzných poˇc´ıtaˇc´ıch. Tato vlasnost je zde také pˇr´ınosná, protoˇze m˚uˇze být velice výhodné, a ˇcasto i nezbytné, aby verifikátor pracoval na jiném stroji neˇz samotné grafické uˇzivatelské rozhran´ı. Jednotlivé ˇcásti obsahuj´ı modul Observer, který zajiˇst’uje realizaci komunikace a v pˇr´ıpadˇe grafického uˇzivatelského rozhran´ı také koordinuje komunikaci mezi jednotlivými moduly, nav´ıc tento modul umoˇzˇnuje zprostˇredkován´ı komunikace s extern´ımi programy a t´ım jednoduché vyuˇzit´ı verifikátoru dalˇs´ımi nástroji.

(29)

Kapitola 6

Realizace n´

astroje pro verifikaci

Tato kapitola se zabývá celkovou realizac´ı nástroje pro verifikaci. Nástroj se skládá ze dvou celk˚u, z verifikátoru, programu ovˇeˇruj´ıc´ıho zadané vlastnosti vloˇzeného systému, a z gra-fického rozhran´ı, aplikace, jenˇz slouˇz´ı pro snadnˇejˇs´ı a uˇzivatelsky pˇr´ıvˇetivˇejˇs´ı pouˇzit´ı ve-rifikátoru. Následuj´ıc´ı podkapitoly popisuj´ı koneˇcný návrh obou tˇechto celk˚u a zabývaj´ı se ˇreˇsen´ım jednotlivých krok˚u verifikaˇcn´ıho procesu a dalˇs´ıch d˚uleˇzitých implementaˇcn´ıch problém˚u.

6.1 Implementaˇ

cn´ı prostˇ

red´ı

Vhodný výbˇer implementaˇcn´ıho prostˇred´ı výraznˇe ovlivˇnuje rychlost a efektivnost jak samotného vývoje, tak i vytvoˇreného programu. Je také d˚uleˇzité uvˇedomit si rozd´ılné poˇzadavky obou celk˚u nástroje.

Z pohledu verifikátoru je d˚uleˇzitá hlavnˇe rychlost výpoˇctu, implementaˇcn´ı prostˇred´ı mus´ı tedy poskytovat vysokou rychlost a efektivitu, ale zároveˇn také konstrukce na vyˇsˇs´ı ´

urovni abstrakce, aby byl ˇreˇsený problém zvládnutelný. Vˇsechny tyto poˇzadavky nejlépe splˇnuje jazyk C++, který byl také vybrán jako implementaˇcn´ı jazyk verifikátoru. Jazyk C++ je objektovˇe orientovaný programovac´ı jazyk umoˇzˇnuj´ıc´ı napˇr´ıklad polymorfismus, pˇretˇeˇzován´ı metod a operátor˚u nebo pouˇzit´ı vyj´ımek. Protoˇze jde o kompilovaný jazyk, programy v tomto jazyce jsou velice výkonné, narozd´ıl od vyˇsˇs´ıch programovac´ıch jazyk˚u. Moˇznou nevýhodou tohoto jazyka je vˇsak horˇs´ı pˇrenositelnost program˚u na jiné architektury a operaˇcn´ı systémy. Tento problém lze ovˇsem vyˇreˇsit podm´ınˇeným pˇrekladem a z´ıskaná rychlost a efektivita stále výraznˇe pˇrevyˇsuj´ı tuto, trochu nepˇr´ıjemnou, skuteˇcnost.

Grafické rozhran´ı si klade úplnˇe jiné priority z hlediska potˇreb implementace. Jelikoˇz celý verifikaˇcn´ı proces vykonává verifikátor, grafické rozhran´ı v˚ubec nevyˇzaduje rychlý a efek-tivn´ı chod. Nejd˚uleˇzitˇejˇs´ım poˇzadavkem je zde dobrá pˇrenostitelnost aplikace. Tato apli-kace slouˇz´ı jako grafická nádstavba nad verifikátorem, jenˇz má za úkol pouze shromaˇzd’ovat vstupn´ı data, zjednoduˇsit konfiguraci a vhodnˇe interpretovat a zobrazovat data výstupn´ı. K tomuto úˇcelu lze s výhodou vyuˇz´ıt platforem .NET nebo Java. Obˇe platformy kompiluj´ı vytvoˇrené programy pouze to speciáln´ıho mezikódu, který následnˇe interpretuj´ı. D˚usledkem je moˇznost spuˇstˇen´ı jiˇz zkompilovaného programu kdekoliv, kde je k dispozici daná plat-forma, tedy nezávisle na architektuˇre nebo operaˇcn´ım systému, na kterých tato platforma bˇeˇz´ı. Kromˇe této nezávislosti nav´ıc poskytuj´ı obˇe tyto platformy moˇznosti pro tvorbu grafického uˇzivatelského rozhran´ı a obsahuj´ı velké mnoˇzstv´ı vestavˇených knihoven. Ce-nou za veˇskeré tyto výhody je výrazné zpomalen´ı chodu program˚u, kód totiˇz mus´ı být

(30)

interpretován. Nepomáhaj´ı zde ani r˚uzné optimalizace za chodu, jenˇz tyto platformy ˇcasto provád´ı a zvyˇsuj´ı tak rychlost interpretace. Jelikoˇz platforma .NET stále nen´ı pˇr´ıliˇs rozˇs´ıˇrená v operaˇcn´ıch systémech jako je Linux, byla pro implementaci grafického rozhran´ı zvolena platforma Java a jej´ı stejnojmenný jazyk.

6.2 Modularita

Protoˇze je implementovaný program znaˇcnˇe rozsáhlý a sloˇzitý je vhodné jej vystavˇet mo-dulárnˇe. Modularitu lze pozorovat na dvou úrovn´ıch:

• Intern´ı modularita programu - C´ılem je rozdˇelit vnitˇrn´ı strukturu programu na jednotlivé ˇcásti, které se vyznaˇcuj´ı vysokou nezávislost´ı. Zde jsou tyto ˇcásti repre-zentované subsystémy, které pln´ı vˇzdy urˇcitou úlohu bez vˇetˇs´ı návaznosti na zbytek programu. Výhodou je zjednoduˇsen´ı a zpˇrehlednˇen´ı kódu a urˇcitá centralizace speci-fických sluˇzeb. Pˇri nutnosti modifikace jedné sluˇzby pak nehroz´ı nebezpeˇc´ı zavleˇcen´ı chyb do jiných ˇcást´ı programu. V pˇr´ıpadˇe potˇreby nové sluˇzby se jednoduˇse pˇridá nový subsystém a definuje se interakce tohoto subsystému s ostatn´ımi ˇcástmi pro-gramu, pokud je to potˇreba.

• Extern´ı modularita programu - C´ılem je zajistit jednoduchou rozˇsiˇritelnost pro-gramu bez nutnosti rekompilace nebo dokonce modifikace zdrojového kódu programu. Tato modularita je zajiˇstˇena zásuvnými moduly. Tyto moduly jsou reprezentovány po-moc´ı dynamických knihoven, sd´ılených objekt˚u nebo speciáln´ıch arch´ıv˚u v závislosti na pouˇzitém implementaˇcn´ım prostˇren´ı a jsou dynamicky naˇc´ıtány za chodu pro-gramu.

6.3 Verifik´

ator

Jak jiˇz bylo zm´ınˇeno v kapitole 6.1, verifikátor je napsán v jazyce C++. Návrh je vysoce modulárn´ı s c´ılem zajistit jednoduchou modifikovatelnost kódu, snadnou rozˇsiˇritelnost pro-gramu a ˇcásteˇcnou nezávislost na konkrétn´ıch implementac´ıch jednotlivých ˇcást´ı. K dosaˇzen´ı tˇechto c´ıl˚u výraznˇe pˇrisp´ıvá vyuˇzit´ı velkého poˇctu návrhových vzor˚u[3]. Blokové schéma na obrázku6.1 zachycuje detailn´ı strukturu verifikátoru.

Verifikátor se skládá celkem z ˇsesti ˇcást´ı - jádra a pˇeti subsystém˚u. Jádro a témˇeˇr vˇsechny subsystémy jsou inicializovány pˇri startu verifikátoru. Jedinou vyj´ımkou je komunikaˇcn´ı subsystém, který je nastartován pouze, pokud je verifikátor spuˇstˇen v tzv. módu serveru, jinak totiˇz nen´ı potˇreba.

6.3.1 J´adro

Jádro je reprezentováno tˇr´ıdou Core, jenˇz obsahuje vˇsechny subsystémy. Tato tˇr´ıda je im-plementována jako návrhový vzor singleton[3], vˇzdy tedy existuje pouze jediná instance této tˇr´ıdy a k této instanci je umoˇznˇen pˇr´ıstup v celém programu.

Hlavn´ım úkolem jádra je inicializace a konfigurace vˇsech potˇrebných subsystém˚u. Jádro zajiˇst’uje registraci intern´ıch a naˇcten´ı extern´ıch zásuvných modul˚u, zpracován´ı konfigurace a nastaven´ı jednotlivých subsystém˚u podle této konfigurace. Umoˇzˇnuje také spustit samotný proces verifikace.