- Văn bản
- Lịch sử
3.4 Connecting InVeSt with SALSo fa
3.4 Connecting InVeSt with SAL
So far we have described specialized SAL components that provide core features for the analysis of concurrent systems, but we have also integrated the standalone InVeSt [5] into the SAL framework. Besides compositional techniques for constructing abstraction and features for generating counterexamplesfrom failed verification attempts, InVeSt introducesalternative methods for invariant generation to SAL. InVeSt not only serves as a backend tool for SAL but also has been connected to the IF laboratory [10], Aldebaran [9], TGV [17] and Kronos [15].
The salient feature of InVeSt is that it combines the algorithmic with the deductive approaches to program verification in two different ways. First, it integrates the principles underlying the algorithmic (e.g. [11,28]) and the deductive methods (e.g. [24]) in the sense that it uses fixed point calculationas in the algorithmicapproachbut also the reduction of the invariance problem to a set of first-order formulas as in the deductive approach. Second, it integrates the theorem prover PVS [27] with the model checker SMV [25] through the automatic computation of finite abstractions. That is, it provides the ability to automatically compute finite abstractions of infinite state systems which are then analyzed by SMV or, alternatively, by the model checker of PVS. Furthermore, InVeSt supports the proof of invariance properties using the method based on induction and auxiliary invariants (e.g. [24]) as well as a method based on abstraction techniques [2,12–14,21,22]. InVeSt uses PVS as a backend tool and depends heavily on its theorem proving capabilities for deciding the myriad verification conditions.
3.4.1 Abstraction
InVeSt provides also a capability that computes an abstract system from a given concrete system and an abstraction function. The method underlying this technique is presented in [4]. The main features of this method is that it is automatic and compositional. It computes an abstract system , for a given system and abstraction function , such that simulates is guaranteed by the construction. Hence, by known preservation results, if satisfies an invariant then satisfies the invariant . Since the produced abstract system is not given by a graph but in a programming language, one still can apply all the known methods for avoiding the state explosion problem while analyzing . Moreover, it generates an abstract system which has the same structure as the concrete one. This gives the ability to apply further abstractions and techniques to reduce the state explosion problem and facilitates the debugging of the concrete system. The computed abstract system is optionally representedin the specification languageof PVS or in that of SMV.
The basic idea behind our method of computing abstractions is simple. In order to construct an abstraction of , we construct for each concrete transition an abstract transition . To construct we proceed by elimination starting from the universal relation, which relates every abstract state to every abstract state, and eliminate pairs of abstract states in a conservative way, that is, it is guaranteed that after elimination of a pair the obtained transition is still an abstraction of . To check whether a pair of abstract states can be eliminated we have to check that the concrete transition does not lead from any state with to any state with
. This amounts to proving a Hoare triple. The elimination method is in general too complex. Therefore, we combine it with three techniques that allow many fewer Hoare triples to be checked. These techniques are based on partitioning the set of abstract variables, using substitutions, and a new preservation result which allows to use the invariant to be proved during the construction process of the abstract system.
We implemented our method using the theorem prover PVS [27] to check the Hoare triples generated by the elimination method. The first-order formulas corresponding to these Hoare triples are constructed automatically and a strategy that is given by the user is applied. In [1] we developed also a general analysis methodology for heterogeneous infinite-state models, extended automata operating on variables which may range over several different domains, based on combining abstraction and symbolic reachability analysis.
3.4.2 Generation of Invariants
There are two different way to generate invariants in InVeSt. First, we use calculation of pre-fixed points by applying the body of the backward procedure a finite number of times and use techniques for the automatic generation of invariants (cf. [3]) to support the search for auxiliary invariants. The tool provides strategies which allow derivation of local invariants, that is, predicates attached to control locations and which are satisfied whenever the computation reaches the corresponding control point. InVeSt includes strategies for deriving local invariants for sequential systems as well as a composition principle that allows combination of invariants generated for sequential systems to obtain invariants of a composed system. Consider a composed system and control locations and of
and , respectively. Suppose that we generated the local invariants and at and , respectively. Let us call interference independent,if does not contain a free variable that is written by with . Then, depending on whether is interference independent we compose the local invariants and to obtain a local invariant at as follows: if is interference independent, then we can affirm that is an invariant at and if both and are interference dependent, then is an invariant at . This composition principle proved to be useful in the examples we considered. However, examples showed that predicates obtained by this composition principle can become very large. Therefore, we also consider the alternative option where local invariants are not composed until they are needed in a verification condition. Thus, we assign to each component of the system two lists of local invariants. The first corresponds to interference independent local invariants and the second to interference dependent ones. Then, when a verification condition is considered, we use heuristics to determine which local invariants are useful when discharging the verification condition. A useful heuristic concerns the case when the verification condition is of the form , where asserts that computation is at the local control locations and . In this case, we combine the local invariants associated to and and add the result to the left hand side of the implication.
Second, we use abstraction generating invariants at the concrete level: Let the result of the abstraction of a concrete system , the set of reachable states denoted by is an invariant of (the strongest one includingthe initial configurationsin fact). We developed a method that extract the formula which characterizes the reachable states from the BDD. Hence, is an invariant of the concrete model . This invariant can be used to strengthen and show that it is an invariant of .
3.4.3 Analysis of Counterexamples
The generation of the abstract system is completely automatic and compositional as we consider transition by transition. Thus, for each concrete transition we obtain an abstract transition(which might be nondeterministic). This is a very important property of our method, since it enables the debugging of the concrete system or alternatively enhancing the abstraction function. Indeed, the constructed abstract system may not satisfy the desired property, for three possible reasons:
1. The concrete system does not satisfy the invariant,
2. The abstraction function is not suitable for provingthe invariant, or
3. The proof strategies provided are too weak.
Now, a model checker such as SMV provides a trace as a counterexample, if the abstract system does not satisfy the abstract invariant. Since we have a clear correspondence between abstract and concrete transitions, we can examine the trace and find out which of the three reasons listed above is the case. In particular if the concrete system does not satisfy the invariant then we can transform the trace given by SMV to a concrete trace, thus generating a concrete counterexample.
So far we have described specialized SAL components that provide core features for the analysis of concurrent systems, but we have also integrated the standalone InVeSt [5] into the SAL framework. Besides compositional techniques for constructing abstraction and features for generating counterexamplesfrom failed verification attempts, InVeSt introducesalternative methods for invariant generation to SAL. InVeSt not only serves as a backend tool for SAL but also has been connected to the IF laboratory [10], Aldebaran [9], TGV [17] and Kronos [15].
The salient feature of InVeSt is that it combines the algorithmic with the deductive approaches to program verification in two different ways. First, it integrates the principles underlying the algorithmic (e.g. [11,28]) and the deductive methods (e.g. [24]) in the sense that it uses fixed point calculationas in the algorithmicapproachbut also the reduction of the invariance problem to a set of first-order formulas as in the deductive approach. Second, it integrates the theorem prover PVS [27] with the model checker SMV [25] through the automatic computation of finite abstractions. That is, it provides the ability to automatically compute finite abstractions of infinite state systems which are then analyzed by SMV or, alternatively, by the model checker of PVS. Furthermore, InVeSt supports the proof of invariance properties using the method based on induction and auxiliary invariants (e.g. [24]) as well as a method based on abstraction techniques [2,12–14,21,22]. InVeSt uses PVS as a backend tool and depends heavily on its theorem proving capabilities for deciding the myriad verification conditions.
3.4.1 Abstraction
InVeSt provides also a capability that computes an abstract system from a given concrete system and an abstraction function. The method underlying this technique is presented in [4]. The main features of this method is that it is automatic and compositional. It computes an abstract system , for a given system and abstraction function , such that simulates is guaranteed by the construction. Hence, by known preservation results, if satisfies an invariant then satisfies the invariant . Since the produced abstract system is not given by a graph but in a programming language, one still can apply all the known methods for avoiding the state explosion problem while analyzing . Moreover, it generates an abstract system which has the same structure as the concrete one. This gives the ability to apply further abstractions and techniques to reduce the state explosion problem and facilitates the debugging of the concrete system. The computed abstract system is optionally representedin the specification languageof PVS or in that of SMV.
The basic idea behind our method of computing abstractions is simple. In order to construct an abstraction of , we construct for each concrete transition an abstract transition . To construct we proceed by elimination starting from the universal relation, which relates every abstract state to every abstract state, and eliminate pairs of abstract states in a conservative way, that is, it is guaranteed that after elimination of a pair the obtained transition is still an abstraction of . To check whether a pair of abstract states can be eliminated we have to check that the concrete transition does not lead from any state with to any state with
. This amounts to proving a Hoare triple. The elimination method is in general too complex. Therefore, we combine it with three techniques that allow many fewer Hoare triples to be checked. These techniques are based on partitioning the set of abstract variables, using substitutions, and a new preservation result which allows to use the invariant to be proved during the construction process of the abstract system.
We implemented our method using the theorem prover PVS [27] to check the Hoare triples generated by the elimination method. The first-order formulas corresponding to these Hoare triples are constructed automatically and a strategy that is given by the user is applied. In [1] we developed also a general analysis methodology for heterogeneous infinite-state models, extended automata operating on variables which may range over several different domains, based on combining abstraction and symbolic reachability analysis.
3.4.2 Generation of Invariants
There are two different way to generate invariants in InVeSt. First, we use calculation of pre-fixed points by applying the body of the backward procedure a finite number of times and use techniques for the automatic generation of invariants (cf. [3]) to support the search for auxiliary invariants. The tool provides strategies which allow derivation of local invariants, that is, predicates attached to control locations and which are satisfied whenever the computation reaches the corresponding control point. InVeSt includes strategies for deriving local invariants for sequential systems as well as a composition principle that allows combination of invariants generated for sequential systems to obtain invariants of a composed system. Consider a composed system and control locations and of
and , respectively. Suppose that we generated the local invariants and at and , respectively. Let us call interference independent,if does not contain a free variable that is written by with . Then, depending on whether is interference independent we compose the local invariants and to obtain a local invariant at as follows: if is interference independent, then we can affirm that is an invariant at and if both and are interference dependent, then is an invariant at . This composition principle proved to be useful in the examples we considered. However, examples showed that predicates obtained by this composition principle can become very large. Therefore, we also consider the alternative option where local invariants are not composed until they are needed in a verification condition. Thus, we assign to each component of the system two lists of local invariants. The first corresponds to interference independent local invariants and the second to interference dependent ones. Then, when a verification condition is considered, we use heuristics to determine which local invariants are useful when discharging the verification condition. A useful heuristic concerns the case when the verification condition is of the form , where asserts that computation is at the local control locations and . In this case, we combine the local invariants associated to and and add the result to the left hand side of the implication.
Second, we use abstraction generating invariants at the concrete level: Let the result of the abstraction of a concrete system , the set of reachable states denoted by is an invariant of (the strongest one includingthe initial configurationsin fact). We developed a method that extract the formula which characterizes the reachable states from the BDD. Hence, is an invariant of the concrete model . This invariant can be used to strengthen and show that it is an invariant of .
3.4.3 Analysis of Counterexamples
The generation of the abstract system is completely automatic and compositional as we consider transition by transition. Thus, for each concrete transition we obtain an abstract transition(which might be nondeterministic). This is a very important property of our method, since it enables the debugging of the concrete system or alternatively enhancing the abstraction function. Indeed, the constructed abstract system may not satisfy the desired property, for three possible reasons:
1. The concrete system does not satisfy the invariant,
2. The abstraction function is not suitable for provingthe invariant, or
3. The proof strategies provided are too weak.
Now, a model checker such as SMV provides a trace as a counterexample, if the abstract system does not satisfy the abstract invariant. Since we have a clear correspondence between abstract and concrete transitions, we can examine the trace and find out which of the three reasons listed above is the case. In particular if the concrete system does not satisfy the invariant then we can transform the trace given by SMV to a concrete trace, thus generating a concrete counterexample.
0/5000
3.4 kết nối đầu tư với SALCho đến nay chúng tôi đã mô tả đặc biệt thành phần SAL cung cấp tính năng cốt lõi phân tích hệ thống đồng thời, nhưng chúng tôi cũng đã tích hợp độc lập đầu tư [5] vào khuôn khổ SAL. Bên cạnh việc sáng tác kỹ thuật để xây dựng các trừu tượng và các tính năng để tạo ra counterexamplesfrom nỗ lực xác minh, phương pháp introducesalternative đầu tư cho các thế hệ bất biến để SAL thất bại. Đầu tư không chỉ phục vụ như một công cụ phụ trợ cho SAL nhưng cũng đã được kết nối để nếu phòng thí nghiệm [10], Aldebaran [9], TGV [17] và Kronos [15].Các tính năng nổi bật của đầu tư là rằng nó kết hợp các thuật toán với phương pháp tiếp cận suy để chương trình xác minh theo hai cách khác nhau. Đầu tiên, nó tích hợp các nguyên tắc cơ bản các thuật toán (ví dụ: [11,28]) và các phương pháp suy luận (ví dụ: [24]) trong ý nghĩa nó sử dụng cố định điểm calculationas trong algorithmicapproachbut cũng giảm vấn đề định đến một tập hợp các công thức đầu tiên đặt hàng như trong các phương pháp suy luận. Thứ hai, nó tích hợp định lý prover PVS [27] với việc kiểm tra mô hình SMV [25] thông qua tính hữu hạn abstractions, tự động. Có nghĩa là, nó cung cấp khả năng tự động tính toán abstractions hữu hạn của hệ thống nhà nước vô hạn mà sau đó được phân tích bởi SMV, hoặc cách khác, bằng cách kiểm tra mô hình của PVS. Hơn nữa, đầu tư hỗ trợ bằng chứng định thuộc tính bằng cách sử dụng phương pháp dựa trên cảm ứng và invariants phụ trợ (ví dụ: [24]) cũng như một phương pháp dựa trên kỹ thuật trừu tượng [2,12-14,21,22]. Đầu tư sử dụng PVS như một công cụ phụ trợ và phụ thuộc rất nhiều vào định lý chứng minh khả năng cho việc quyết định các điều kiện vô số xác minh.3.4.1 trừu tượngĐầu tư cũng cung cấp một khả năng tính một hệ thống trừu tượng từ một hệ thống nhất định và một chức năng trừu tượng. Các phương pháp cơ bản kỹ thuật này được trình bày trong [4]. Các tính năng chính của phương pháp này là nó là tự động và sáng tác. Nó tính một hệ thống trừu tượng, cho một hệ thống nhất định và chức năng trừu tượng, như vậy mà mô phỏng được đảm bảo bởi việc xây dựng. Do đó, từng được biết đến bảo tồn kết quả, nếu đáp ứng bất biến một sau đó đáp ứng bất biến. Kể từ khi hệ thống trừu tượng được sản xuất không được đưa ra bởi một đồ thị nhưng trong một ngôn ngữ lập trình, một trong những vẫn có thể áp dụng tất cả những phương pháp được biết đến để tránh vấn đề bùng nổ nhà nước trong khi phân tích. Hơn nữa, nó tạo ra một hệ thống trừu tượng mà có cùng cấu trúc như là một cụ thể. Điều này cho khả năng để áp dụng thêm abstractions và kỹ thuật để giảm bớt vấn đề bùng nổ nhà nước và tạo điều kiện cho gỡ lỗi hệ thống cụ thể. Hệ thống tính trừu tượng là tùy chọn representedin đặc điểm kỹ thuật languageof PVS hoặc trong đó SMV.Ý tưởng cơ bản đằng sau chúng tôi phương pháp tính toán abstractions là đơn giản. Để xây dựng một trừu tượng của, chúng tôi xây dựng cho mỗi chuyển đổi cụ thể một quá trình chuyển đổi trừu tượng. Để xây dựng chúng tôi tiến hành nhờ loại bỏ bắt đầu từ mối quan hệ phổ quát, liên quan đến mỗi trạng thái trừu tượng để mỗi trạng thái trừu tượng, và loại bỏ cặp quốc gia trừu tượng một cách bảo thủ, có nghĩa là, nó bảo đảm rằng sau khi loại bỏ một cặp chuyển tiếp thu được là vẫn còn một trừu tượng của. Để kiểm tra cho dù một cặp tóm tắt kỳ có thể được loại bỏ, chúng tôi đã kiểm tra rằng quá trình chuyển đổi cụ thể không dẫn từ bất cứ tiểu bang nào với bất kỳ trạng thái với. Số tiền này để chứng minh một ba Hoare. Các phương pháp loại bỏ là nói chung quá phức tạp. Vì vậy, chúng tôi kết hợp nó với ba kỹ thuật cho phép nhiều ít Hoare triples để được kiểm tra. Các kỹ thuật này dựa trên phân vùng bộ biến trừu tượng, bằng cách sử dụng thay thế, và kết quả bảo tồn mới cho phép để sử dụng bất biến để được chứng minh trong quá trình xây dựng hệ thống trừu tượng.Chúng tôi thực hiện phương pháp của chúng tôi bằng cách sử dụng định lý prover PVS [27] để kiểm tra ba Hoare được tạo ra bởi các phương pháp loại bỏ. Các công thức đầu tiên, để tương ứng với những ba Hoare được xây dựng tự động và một chiến lược mà được đưa ra bởi người sử dụng được áp dụng. [1] cũng chúng tôi phát triển một phương pháp phân tích tổng hợp cho mô hình nhà nước vô hạn không đồng nhất, mở rộng automata hoạt động trên biến mà có thể dao động trên nhiều lĩnh vực khác nhau, dựa trên kết hợp trừu tượng và phân tích biểu tượng reachability.3.4.2 thế hệ của InvariantsĐó là hai khác nhau cách để tạo ra invariants trong đầu tư. Trước tiên, chúng tôi sử dụng tính toán điểm cố định trước bằng cách áp dụng cơ thể của các thủ tục quay trở lại một số hữu hạn các lần và sử dụng kỹ thuật để tự động thế hệ invariants (x. [3]) để hỗ trợ tìm kiếm cho invariants phụ trợ. Công cụ cung cấp chiến lược cho phép lấy đạo hàm của địa phương invariants, có nghĩa là, predicates gắn liền với điều khiển địa điểm và đó hài lòng bất cứ khi nào những tính toán đạt điểm kiểm soát tương ứng. Đầu tư bao gồm các chiến lược cho bắt nguồn địa phương invariants cho tuần tự hệ thống cũng như một nguyên tắc thành phần cho phép sự kết hợp của invariants được tạo ra cho các hệ thống tuần tự để có được invariants của một hệ thống bao gồm. Xem xét một bao gồm hệ thống và điều khiển địa điểm vàvà, tương ứng. Giả sử rằng chúng tôi tạo ra các invariants địa phương và tại và, tương ứng. Hãy để chúng tôi gọi sự can thiệp của độc lập, nếu không chứa một biến miễn phí được viết bằng với. Sau đó, tùy thuộc vào việc liệu là sự can thiệp độc lập chúng tôi soạn invariants địa phương và để có được một bất biến địa phương tại như sau: nếu là can thiệp độc lập, sau đó chúng tôi có thể khẳng định đó là một bất biến tại và nếu cả hai và được sự can thiệp phụ thuộc, sau đó là một bất biến tại. Nguyên tắc thành phần này được chứng minh là hữu ích trong các ví dụ chúng tôi xem xét. Tuy nhiên, ví dụ cho thấy rằng predicates thu được bằng nguyên tắc thành phần này có thể trở nên rất lớn. Do đó, chúng tôi cũng xem xét lựa chọn thay thế nơi invariants địa phương không được bao gồm cho đến khi họ là cần thiết trong một tình trạng xác minh. Vì vậy, chúng tôi chỉ định cho mỗi thành phần của hệ thống hai danh sách của invariants địa phương. Người đầu tiên tương ứng với sự can thiệp độc lập địa phương invariants và thứ hai để can thiệp những người phụ thuộc. Sau đó, khi một tình trạng xác minh được coi là, chúng tôi sử dụng chẩn đoán để xác định những invariants địa phương là hữu ích khi xử lý tình trạng xác minh. Một heuristic hữu ích liên quan đến trường hợp khi các điều kiện xác minh của các hình thức, nơi khẳng định rằng tính toán là tại các địa điểm địa phương kiểm soát và. Trong trường hợp này, chúng tôi kết hợp các invariants địa phương liên quan đến và và thêm kết quả để bên trái của ngụ ý.Thứ hai, chúng tôi sử dụng trừu tượng tạo ra invariants ở cấp độ bê tông: Hãy kết quả của trừu tượng của một hệ thống cụ thể, tập thể truy cập kỳ biểu hiện bằng là một bất biến của (mạnh nhất một includingthe ban đầu configurationsin thực tế). Chúng tôi phát triển một phương pháp trích xuất công thức mà characterizes kỳ thể truy cập từ BDD. Do đó, là một bất biến của các mô hình cụ thể. Bất biến này có thể được sử dụng để tăng cường và thấy rằng nó là một bất biến của.3.4.3 phân tích của CounterexamplesCác thế hệ của hệ thống trừu tượng là hoàn toàn tự động và sáng tác như chúng ta xem xét chuyển tiếp bởi quá trình chuyển đổi. Vì vậy, cho mỗi chuyển đổi cụ thể chúng tôi có được một quá trình chuyển đổi trừu tượng (mà có thể được nondeterministic). Đây là một tài sản rất quan trọng của phương pháp của chúng tôi, vì nó cho phép gỡ lỗi cụ thể hệ thống hoặc cách khác nâng cao chức năng trừu tượng. Thật vậy, xây dựng hệ thống trừu tượng có thể không đáp ứng mong muốn bất động sản, cho ba lý do có thể:1. Hệ thống không đáp ứng bất biến,2. các chức năng trừu tượng là không thích hợp cho provingthe bất biến, hoặc3. các chiến lược bằng chứng cung cấp là quá yếu.Bây giờ, một kiểm tra mô hình như SMV cung cấp một dấu vết như counterexample một, nếu hệ thống trừu tượng không đáp ứng bất biến trừu tượng. Kể từ khi chúng tôi có một sự tương ứng rõ ràng giữa quá trình chuyển đổi trừu tượng và bê tông, chúng tôi có thể kiểm tra dấu vết và tìm ra ba lý do nêu trên là trường hợp. Đặc biệt nếu hệ thống không đáp ứng bất biến sau đó chúng tôi có thể chuyển đổi dấu vết được đưa ra bởi SMV để một dấu vết cụ thể, do đó tạo ra một counterexample bê tông.
đang được dịch, vui lòng đợi..
3.4 Kết nối đầu tư với SAL
thành phần SAL chuyên Cho đến nay chúng tôi đã mô tả cung cấp các tính năng cốt lõi để phân tích các hệ thống đồng thời, nhưng chúng tôi cũng đã tích hợp đầu tư độc lập [5] vào khung SAL. Bên cạnh đó các kỹ thuật sáng tác để xây dựng các khái niệm trừu tượng và các tính năng để tạo ra counterexamplesfrom thất bại nỗ lực xác nhận, đầu tư phương pháp introducesalternative cho thế hệ bất biến để SAL. Đầu tư không chỉ phục vụ như một công cụ phụ trợ cho SAL nhưng cũng đã được kết nối với các phòng thí nghiệm IF [10], Aldebaran [9], TGV [17] và Kronos [15].
Các tính năng nổi bật của đầu tư là nó kết hợp các thuật toán với các phương pháp suy luận để chương trình xác minh theo hai cách khác nhau. Đầu tiên, nó tích hợp các nguyên tắc cơ bản của thuật toán (ví dụ [11,28]) và các phương pháp suy luận (ví dụ [24]) trong ý nghĩa rằng nó sử dụng calculationas điểm cố định trong algorithmicapproachbut cũng giảm trong những vấn đề bất biến để một bộ công thức bậc nhất như trong các phương pháp suy diễn. Thứ hai, nó tích hợp các định lý Prover PVS [27] với các mô hình kiểm tra SMV [25] thông qua việc tính toán tự động trừu tượng hữu hạn. Đó là, nó cung cấp khả năng tự động tính toán trừu tượng hữu hạn của hệ thống nhà nước vô hạn mà sau đó được phân tích bởi SMV hoặc, cách khác, bởi mô hình kiểm tra của PVS. Hơn nữa, đầu tư hỗ trợ các bằng chứng về tính bất biến bằng cách sử dụng phương pháp dựa trên cảm ứng và phụ bất biến (ví dụ [24]) cũng như một phương pháp dựa trên kỹ thuật trừu tượng [2,12-14,21,22]. Đầu tư sử dụng PVS như một công cụ phụ trợ và phụ thuộc rất nhiều vào khả năng lý minh của mình để quyết định các điều kiện xác minh vô.
3.4.1 Abstraction
đầu tư cũng cung cấp một khả năng mà tính ra một hệ thống trừu tượng từ một hệ thống cụ thể nhất định và một chức năng trừu tượng. Các phương pháp cơ bản kỹ thuật này được trình bày trong [4]. Các tính năng chính của phương pháp này là nó là tự động và sáng tác. Nó tính ra một hệ thống trừu tượng, cho một hệ thống và trừu tượng chức năng nhất định, mà như mô phỏng được đảm bảo bởi việc xây dựng. Do đó, theo kết quả bảo quản được biết, nếu thỏa mãn một bất biến sau đó đáp ứng các bất biến. Kể từ khi hệ thống trừu tượng sản xuất không được đưa ra bởi một đồ thị mà trong một ngôn ngữ lập trình, ta vẫn có thể áp dụng tất cả các phương pháp được biết để tránh các vấn đề bùng nổ nhà nước trong khi phân tích. Hơn nữa, nó tạo ra một hệ thống trừu tượng mà có cấu trúc giống như một trong bê tông. Điều này cho phép khả năng áp dụng khái niệm trừu tượng và kỹ thuật hơn nữa để giảm bớt vấn đề bùng nổ nhà nước và tạo điều kiện cho việc gỡ lỗi của hệ thống cụ thể. Hệ thống tính trừu tượng là tùy representedin các đặc điểm kỹ thuật PVS languageof hoặc tại của SMV.
Ý tưởng cơ bản đằng sau phương pháp của chúng ta về tính trừu tượng là đơn giản. Để xây dựng một trừu tượng của, chúng ta xây dựng cho mỗi sự chuyển tiếp cụ thể một quá trình chuyển đổi trừu tượng. Để xây dựng, chúng tôi tiến hành bằng cách loại bỏ bắt đầu từ mối quan hệ phổ quát, mà liên quan tất cả các bang trừu tượng để mọi trạng thái trừu tượng, và loại bỏ các cặp của các quốc trừu tượng trong một cách bảo thủ, có nghĩa là, nó được đảm bảo rằng sau khi loại bỏ một cặp chuyển đổi thu được vẫn là một trừu tượng của. Để kiểm tra xem một cặp của các quốc trừu tượng có thể được loại bỏ, chúng ta phải xem xét rằng việc chuyển bê tông không dẫn từ bất kỳ nhà nước với bất kỳ nhà nước với
. Số tiền này để chứng minh một Hoare ba. Phương pháp loại trừ là nói chung quá phức tạp. Do đó, chúng tôi kết hợp nó với ba kỹ thuật cho phép nhiều ít Hoare gấp ba để được kiểm tra. Những kỹ thuật này dựa trên phân vùng tập hợp các biến trừu tượng, sử dụng thay thế, và kết quả bảo tồn mới cho phép sử dụng bất biến phải được chứng minh trong suốt quá trình xây dựng hệ thống trừu tượng.
Chúng tôi thực hiện phương pháp của chúng tôi bằng cách sử dụng định lý Prover PVS [27] để kiểm tra bộ ba Hoare tạo ra bằng phương pháp loại trừ. Các công thức đầu tiên đặt hàng tương ứng với các bộ ba Hoare được xây dựng tự động và một chiến lược được đưa ra bởi người sử dụng được áp dụng. Trong [1], chúng tôi cũng đã phát triển một phương pháp phân tích tổng hợp cho các mô hình hữu hạn nhà nước không đồng nhất, automata mở rộng hoạt động trên các biến số có thể dao động trên các lĩnh vực khác nhau, dựa trên kết hợp trừu tượng và phân tích reachability tượng trưng.
3.4.2 Thế hệ bất biến
Có hai khác nhau cách để tạo ra bất biến trong đầu tư. Đầu tiên, chúng tôi sử dụng tính điểm trước khi cố định bằng cách áp dụng cơ thể của thủ tục lạc hậu một số hữu hạn các lần và kỹ thuật sử dụng cho các thế hệ tự động của bất biến (x [3]) để hỗ trợ việc tìm kiếm các bất biến phụ trợ. Công cụ này cung cấp các chiến lược cho phép nguồn gốc của bất biến địa phương, đó là, các vị từ kèm theo để kiểm soát vị trí, mà là hài lòng bất cứ khi nào tính toán đến các điểm điều khiển tương ứng. Đầu tư bao gồm các chiến lược để phát sinh bất biến địa phương cho các hệ thống tuần tự cũng như một nguyên tắc cho phép thành phần kết hợp của bất biến tạo ra cho hệ thống tuần tự để có được bất biến của một hệ thống điềm tĩnh. Hãy xem xét một hệ thống sáng tác và địa điểm kiểm soát và của
và, tương ứng. Giả sử chúng ta tạo ra các bất biến địa phương và tại và, tương ứng. Hãy để chúng tôi gọi sự can thiệp độc lập, nếu không có một biến miễn phí được viết bởi với. Sau đó, tùy thuộc vào việc can thiệp là độc lập, chúng tôi soạn các bất biến địa phương và để có được một bất biến tại địa phương như sau: nếu là can thiệp độc lập, sau đó chúng tôi có thể khẳng định đó là một bất biến tại và nếu cả hai và là giao thoa phụ thuộc, sau đó là một bất biến tại . Nguyên tắc thành phần này được chứng minh là hữu ích trong các ví dụ, chúng tôi xem xét. Tuy nhiên, ví dụ cho thấy các vị thu được bằng nguyên tắc thành phần này có thể trở nên rất lớn. Do đó, chúng tôi cũng xem xét các lựa chọn thay thế mà bất biến địa phương không được sáng tác cho đến khi họ là cần thiết trong một điều kiện xác minh. Như vậy, chúng ta gán cho mỗi thành phần của hệ thống hai danh sách của bất biến của địa phương. Việc đầu tiên tương ứng để can thiệp bất biến độc lập trong nước và lần thứ hai cho những người phụ thuộc vào can thiệp. Sau đó, khi một điều kiện xác minh được coi là, chúng tôi sử dụng công nghệ tự động để xác định bất biến địa phương rất hữu ích khi xả điều kiện xác minh. Một heuristic, hữu ích liên quan đến các trường hợp khi điều kiện xác minh là các hình thức, nơi khẳng định rằng tính toán là tại các địa điểm kiểm soát địa phương và. Trong trường hợp này, chúng tôi kết hợp bất biến địa phương liên quan đến và đi và thêm kết quả cho phía bên tay trái của hàm ý.
Thứ hai, chúng tôi sử dụng bất biến trừu tượng tạo ở cấp độ cụ thể: Hãy để cho kết quả của sự trừu tượng của một hệ thống cụ thể, tập của các quốc gia có thể truy cập được ký hiệu bởi là một bất biến của (mạnh nhất includingthe configurationsin ban đầu thực tế). Chúng tôi đã phát triển một phương pháp trích xuất các công thức đặc trưng cho các quốc gia truy cập từ các BDD. Do đó, là một bất biến của mô hình cụ thể. Bất biến này có thể được sử dụng để tăng cường và cho thấy rằng nó là một bất biến của.
3.4.3 Phân tích các Counterexamples
Thế hệ của hệ thống trừu tượng là hoàn toàn tự động và bố cục như chúng ta xem xét quá trình chuyển đổi của quá trình chuyển đổi. Như vậy, mỗi lần chuyển bê tông chúng ta có được một sự chuyển tiếp trừu tượng (mà có thể là không xác định). Đây là một tài sản rất quan trọng của phương pháp của chúng tôi, vì nó cho phép gỡ lỗi của hệ thống bê tông hoặc cách khác tăng cường các chức năng trừu tượng. Thật vậy, các hệ thống trừu tượng xây dựng có thể không đáp ứng các tài sản mong muốn, vì ba lý do có thể:
1. Hệ thống bê tông không đáp ứng bất biến,
2. Các chức năng trừu tượng là không thích hợp cho provingthe bất biến, hoặc
3. Các chiến lược bằng chứng được cung cấp là quá yếu.
Bây giờ, một kiểm tra mô hình như SMV cung cấp một dấu vết như là một phản, nếu hệ thống trừu tượng không đáp ứng bất biến trừu tượng. Kể từ khi chúng tôi có một sự tương ứng rõ ràng giữa chuyển trừu tượng và cụ thể, chúng ta có thể kiểm tra các dấu vết và tìm ra trong ba lý do được liệt kê ở trên là trường hợp. Đặc biệt nếu hệ thống bê tông không đáp ứng bất biến thì chúng ta có thể chuyển đổi các dấu vết do SMV để một dấu vết cụ thể, do đó tạo ra một phản ví dụ cụ thể.
thành phần SAL chuyên Cho đến nay chúng tôi đã mô tả cung cấp các tính năng cốt lõi để phân tích các hệ thống đồng thời, nhưng chúng tôi cũng đã tích hợp đầu tư độc lập [5] vào khung SAL. Bên cạnh đó các kỹ thuật sáng tác để xây dựng các khái niệm trừu tượng và các tính năng để tạo ra counterexamplesfrom thất bại nỗ lực xác nhận, đầu tư phương pháp introducesalternative cho thế hệ bất biến để SAL. Đầu tư không chỉ phục vụ như một công cụ phụ trợ cho SAL nhưng cũng đã được kết nối với các phòng thí nghiệm IF [10], Aldebaran [9], TGV [17] và Kronos [15].
Các tính năng nổi bật của đầu tư là nó kết hợp các thuật toán với các phương pháp suy luận để chương trình xác minh theo hai cách khác nhau. Đầu tiên, nó tích hợp các nguyên tắc cơ bản của thuật toán (ví dụ [11,28]) và các phương pháp suy luận (ví dụ [24]) trong ý nghĩa rằng nó sử dụng calculationas điểm cố định trong algorithmicapproachbut cũng giảm trong những vấn đề bất biến để một bộ công thức bậc nhất như trong các phương pháp suy diễn. Thứ hai, nó tích hợp các định lý Prover PVS [27] với các mô hình kiểm tra SMV [25] thông qua việc tính toán tự động trừu tượng hữu hạn. Đó là, nó cung cấp khả năng tự động tính toán trừu tượng hữu hạn của hệ thống nhà nước vô hạn mà sau đó được phân tích bởi SMV hoặc, cách khác, bởi mô hình kiểm tra của PVS. Hơn nữa, đầu tư hỗ trợ các bằng chứng về tính bất biến bằng cách sử dụng phương pháp dựa trên cảm ứng và phụ bất biến (ví dụ [24]) cũng như một phương pháp dựa trên kỹ thuật trừu tượng [2,12-14,21,22]. Đầu tư sử dụng PVS như một công cụ phụ trợ và phụ thuộc rất nhiều vào khả năng lý minh của mình để quyết định các điều kiện xác minh vô.
3.4.1 Abstraction
đầu tư cũng cung cấp một khả năng mà tính ra một hệ thống trừu tượng từ một hệ thống cụ thể nhất định và một chức năng trừu tượng. Các phương pháp cơ bản kỹ thuật này được trình bày trong [4]. Các tính năng chính của phương pháp này là nó là tự động và sáng tác. Nó tính ra một hệ thống trừu tượng, cho một hệ thống và trừu tượng chức năng nhất định, mà như mô phỏng được đảm bảo bởi việc xây dựng. Do đó, theo kết quả bảo quản được biết, nếu thỏa mãn một bất biến sau đó đáp ứng các bất biến. Kể từ khi hệ thống trừu tượng sản xuất không được đưa ra bởi một đồ thị mà trong một ngôn ngữ lập trình, ta vẫn có thể áp dụng tất cả các phương pháp được biết để tránh các vấn đề bùng nổ nhà nước trong khi phân tích. Hơn nữa, nó tạo ra một hệ thống trừu tượng mà có cấu trúc giống như một trong bê tông. Điều này cho phép khả năng áp dụng khái niệm trừu tượng và kỹ thuật hơn nữa để giảm bớt vấn đề bùng nổ nhà nước và tạo điều kiện cho việc gỡ lỗi của hệ thống cụ thể. Hệ thống tính trừu tượng là tùy representedin các đặc điểm kỹ thuật PVS languageof hoặc tại của SMV.
Ý tưởng cơ bản đằng sau phương pháp của chúng ta về tính trừu tượng là đơn giản. Để xây dựng một trừu tượng của, chúng ta xây dựng cho mỗi sự chuyển tiếp cụ thể một quá trình chuyển đổi trừu tượng. Để xây dựng, chúng tôi tiến hành bằng cách loại bỏ bắt đầu từ mối quan hệ phổ quát, mà liên quan tất cả các bang trừu tượng để mọi trạng thái trừu tượng, và loại bỏ các cặp của các quốc trừu tượng trong một cách bảo thủ, có nghĩa là, nó được đảm bảo rằng sau khi loại bỏ một cặp chuyển đổi thu được vẫn là một trừu tượng của. Để kiểm tra xem một cặp của các quốc trừu tượng có thể được loại bỏ, chúng ta phải xem xét rằng việc chuyển bê tông không dẫn từ bất kỳ nhà nước với bất kỳ nhà nước với
. Số tiền này để chứng minh một Hoare ba. Phương pháp loại trừ là nói chung quá phức tạp. Do đó, chúng tôi kết hợp nó với ba kỹ thuật cho phép nhiều ít Hoare gấp ba để được kiểm tra. Những kỹ thuật này dựa trên phân vùng tập hợp các biến trừu tượng, sử dụng thay thế, và kết quả bảo tồn mới cho phép sử dụng bất biến phải được chứng minh trong suốt quá trình xây dựng hệ thống trừu tượng.
Chúng tôi thực hiện phương pháp của chúng tôi bằng cách sử dụng định lý Prover PVS [27] để kiểm tra bộ ba Hoare tạo ra bằng phương pháp loại trừ. Các công thức đầu tiên đặt hàng tương ứng với các bộ ba Hoare được xây dựng tự động và một chiến lược được đưa ra bởi người sử dụng được áp dụng. Trong [1], chúng tôi cũng đã phát triển một phương pháp phân tích tổng hợp cho các mô hình hữu hạn nhà nước không đồng nhất, automata mở rộng hoạt động trên các biến số có thể dao động trên các lĩnh vực khác nhau, dựa trên kết hợp trừu tượng và phân tích reachability tượng trưng.
3.4.2 Thế hệ bất biến
Có hai khác nhau cách để tạo ra bất biến trong đầu tư. Đầu tiên, chúng tôi sử dụng tính điểm trước khi cố định bằng cách áp dụng cơ thể của thủ tục lạc hậu một số hữu hạn các lần và kỹ thuật sử dụng cho các thế hệ tự động của bất biến (x [3]) để hỗ trợ việc tìm kiếm các bất biến phụ trợ. Công cụ này cung cấp các chiến lược cho phép nguồn gốc của bất biến địa phương, đó là, các vị từ kèm theo để kiểm soát vị trí, mà là hài lòng bất cứ khi nào tính toán đến các điểm điều khiển tương ứng. Đầu tư bao gồm các chiến lược để phát sinh bất biến địa phương cho các hệ thống tuần tự cũng như một nguyên tắc cho phép thành phần kết hợp của bất biến tạo ra cho hệ thống tuần tự để có được bất biến của một hệ thống điềm tĩnh. Hãy xem xét một hệ thống sáng tác và địa điểm kiểm soát và của
và, tương ứng. Giả sử chúng ta tạo ra các bất biến địa phương và tại và, tương ứng. Hãy để chúng tôi gọi sự can thiệp độc lập, nếu không có một biến miễn phí được viết bởi với. Sau đó, tùy thuộc vào việc can thiệp là độc lập, chúng tôi soạn các bất biến địa phương và để có được một bất biến tại địa phương như sau: nếu là can thiệp độc lập, sau đó chúng tôi có thể khẳng định đó là một bất biến tại và nếu cả hai và là giao thoa phụ thuộc, sau đó là một bất biến tại . Nguyên tắc thành phần này được chứng minh là hữu ích trong các ví dụ, chúng tôi xem xét. Tuy nhiên, ví dụ cho thấy các vị thu được bằng nguyên tắc thành phần này có thể trở nên rất lớn. Do đó, chúng tôi cũng xem xét các lựa chọn thay thế mà bất biến địa phương không được sáng tác cho đến khi họ là cần thiết trong một điều kiện xác minh. Như vậy, chúng ta gán cho mỗi thành phần của hệ thống hai danh sách của bất biến của địa phương. Việc đầu tiên tương ứng để can thiệp bất biến độc lập trong nước và lần thứ hai cho những người phụ thuộc vào can thiệp. Sau đó, khi một điều kiện xác minh được coi là, chúng tôi sử dụng công nghệ tự động để xác định bất biến địa phương rất hữu ích khi xả điều kiện xác minh. Một heuristic, hữu ích liên quan đến các trường hợp khi điều kiện xác minh là các hình thức, nơi khẳng định rằng tính toán là tại các địa điểm kiểm soát địa phương và. Trong trường hợp này, chúng tôi kết hợp bất biến địa phương liên quan đến và đi và thêm kết quả cho phía bên tay trái của hàm ý.
Thứ hai, chúng tôi sử dụng bất biến trừu tượng tạo ở cấp độ cụ thể: Hãy để cho kết quả của sự trừu tượng của một hệ thống cụ thể, tập của các quốc gia có thể truy cập được ký hiệu bởi là một bất biến của (mạnh nhất includingthe configurationsin ban đầu thực tế). Chúng tôi đã phát triển một phương pháp trích xuất các công thức đặc trưng cho các quốc gia truy cập từ các BDD. Do đó, là một bất biến của mô hình cụ thể. Bất biến này có thể được sử dụng để tăng cường và cho thấy rằng nó là một bất biến của.
3.4.3 Phân tích các Counterexamples
Thế hệ của hệ thống trừu tượng là hoàn toàn tự động và bố cục như chúng ta xem xét quá trình chuyển đổi của quá trình chuyển đổi. Như vậy, mỗi lần chuyển bê tông chúng ta có được một sự chuyển tiếp trừu tượng (mà có thể là không xác định). Đây là một tài sản rất quan trọng của phương pháp của chúng tôi, vì nó cho phép gỡ lỗi của hệ thống bê tông hoặc cách khác tăng cường các chức năng trừu tượng. Thật vậy, các hệ thống trừu tượng xây dựng có thể không đáp ứng các tài sản mong muốn, vì ba lý do có thể:
1. Hệ thống bê tông không đáp ứng bất biến,
2. Các chức năng trừu tượng là không thích hợp cho provingthe bất biến, hoặc
3. Các chiến lược bằng chứng được cung cấp là quá yếu.
Bây giờ, một kiểm tra mô hình như SMV cung cấp một dấu vết như là một phản, nếu hệ thống trừu tượng không đáp ứng bất biến trừu tượng. Kể từ khi chúng tôi có một sự tương ứng rõ ràng giữa chuyển trừu tượng và cụ thể, chúng ta có thể kiểm tra các dấu vết và tìm ra trong ba lý do được liệt kê ở trên là trường hợp. Đặc biệt nếu hệ thống bê tông không đáp ứng bất biến thì chúng ta có thể chuyển đổi các dấu vết do SMV để một dấu vết cụ thể, do đó tạo ra một phản ví dụ cụ thể.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- Mẹ của Neytiri, thủ lĩnh tâm linh của cả
- Với sự kết hợp và phối hợp hành động của
- lướt qua
- How many fingers do most people have?
- the west coast's leading specialists in
- You known that Liz’s brother works. You
- Duncan Ledbetter is the director of Fish
- Giữ khoảng cách với người khác
- tiếp theo, tôi sẽ nói về những thức ăn k
- You known that Liz’s brother works. You
- sứ mệnh mang tính nhân văn
- i was born and grew in cantho city
- tiếp theo, tôi sẽ nói về những thức ăn k
- có thể nói thêm cho tôi chi tiết về vật
- Tôi
- Trong trường hợp này, nếu mâu thuẫn xảy
- Toi dang xin noi khac lam
- Toi đang tim viec lam tra cong cao hon
- tiếp theo, tôi sẽ nói về những thức ăn k
- xu hướng thời trang nước ngoài
- Reach the masters leagua
- Duncan Ledbetter is the director of Fish
- How many fingers do most people have?
- xu hướng thời trang nước ngoài
