Modelchecking 1. Motivation Beispiel: Mengen als Formeln Formeln ...

University of Paderborn 

Software Engineering Group 

E. Kindler 

1. Motivation 



E. Kindler 

Modelchecking 

Meist kurz nur 

OBDDs oder 

sogar nur BDDs 

VII. ROBDDs 

genannt!!! 

• Motivation 

• Definition 

• Operationen 

• Quantifizierte boolesche Formeln (QBF) 

• Die Anzahl der Zustände eines realistischen 

Systems ist extrem groß; selbst unter 

Vereinfachungen, bleibt die Anzahl riesig. 

• Deshalb wollen wir vermeiden, die Menge der 

Zustände explizit zu repräsentieren. 

• Eine Möglichkeit, Mengen von Zuständen zu 

repräsentieren, sind Formeln. 

Modelchecking: VII. ROBDDs 

2 

Beispiel: Mengen als Formeln 



E. Kindler 

Formeln 



E. Kindler 

c=0 

c=1 

a=0 a=1 

¬ c 

a 

a ⇔ c 

¬ a ∧ c 

Boolesche 


repräsentieren 

Zustandsmengen 

• Manche Operationen auf Mengen lassen sich mit 

Formeln sehr effizient ausführen: 

• Vereinigung: p ∨ q 

• Durchschnitt: p ∧ q 

• Komplement: ¬ p 

• Mengendifferenz: p ∧¬q 

• Allerdings gibt es verschiedene Formeln, die 

dieselbe Menge repräsentieren! 

• Es ist extrem aufwendig (NP-vollständig), 

herauszufinden, ob zwei Formeln dieselbe Menge 

repräsentieren. 

• Deshalb sind Formeln für unsere Zwecke nicht 

geeignet. 

Die Überprüfung der Gleichheit zweier Mengen ist 

beim Modelchecking eine sehr wichtige Operation! 


3 


4 




E. Kindler 

Binäre Entscheidungsbäume 



E. Kindler 

• Deshalb suchen wir eine Möglichkeit, Mengen 

auf eine Weise zu repräsentieren, daß 

• die Mengenoperationen und 

• die Überprüfung der Gleichheit 

• auf ihnen möglichst effizient durchführbar 

sind. 

Die Idee der Formeln geben wir dabei nicht 

ganz auf! Wir stellen sie nur geschickter dar. 

Wir gehen im folgenden davon aus, daß die 

Menge aller Zustände durch eine Menge von 

booleschen Variablen V repräsentiert ist. 

a=b ∧ c=d 

0 

c 

0 

b 

1 0 0 1 0 0 

a 

0 1 

b 

c c c 

d d d d d d d d 

0 

1 

0 0 0 0 0 0 1 0 0 1 

1 

1 


5 


6

Entscheidungsbäume 



E. Kindler 

Gleiche Teilbäume 



E. Kindler 

• Für jeden Zustand gibt es im (vollständigen) 

Entscheidungsbaum genau einen Pfad. 

• Am Ende des Pfades steht der Wert der 

Formel in dem entsprechenden Zustand. 

• Die Reihenfolge der Variablen auf den Pfaden 

wird zuvor festgelegt (Variablenordnung). 

a=b ∧ c=d 

c 

b 

a 

b 

c c c 

Problem: 

• Der Entscheidungsbaum ist extrem groß! 

d d d d d d d d 

1 0 0 1 0 0 

0 0 0 0 0 0 1 0 0 1 


7 


8 




E. Kindler 




E. Kindler 

a=b ∧ c=d 

a 

a=b ∧ c=d 

a 

b 

b 

b 

b 

c 

c 

c 

c 

c 

d d d d d d 

d d d d 

1 0 0 1 0 0 

0 0 1 0 0 1 

0 0 

0 0 1 0 0 1 


9 


10 




E. Kindler 

Löschen redundanter Knoten 



E. Kindler 

a=b ∧ c=d 

a 

a=b ∧ c=d 

a 

b 

b 

b 

b 

c 

c 

c 

c 

d d d 

d d d 

0 0 1 0 0 1 

0 1 0 0 1 


11 


12




E. Kindler 




E. Kindler 

a=b ∧ c=d 

a 

a=b ∧ c=d 

a 

b 

b 

b 

b 

c 

c 

c 

d d d 

d 

d 

0 1 0 0 1 

0 1 0 0 1 


13 


14 




E. Kindler 




E. Kindler 

a=b ∧ c=d 

a 

a=b ∧ c=d 

a 

b 

b 

b 

b 

c 

c 

d 

d 

d 

d 

0 0 0 1 

0 1 


15 


16 

Endergebnis 



E. Kindler 

2. Definition 



E. Kindler 

a=b ∧ c=d 

a 

b b 

c 

d d 

• Wenn es keine gleichen Teilbäume 

mehr gibt und keine redundante 

Knoten, haben wir ein ROBDD 

(Reduced Ordered Binary Decision 

Diagram, Reduziertes 

Entscheidungsdiagramm mit fester 

Variablenordnung) erzeugt. 

• Ein ROBDD ist im allgemeinen 

sehr viel kleiner als der 

entsprechende 

Entscheidungsbaum. 

• Entscheidungsdiagramme und 

boolesche Funktionen 

• Duplikate 

• Redundante Knoten 

• Variablenordnung 

• ROBDDs 

0 1 


17 


18

Entscheidungsdiagramme 


Streng genommen: Software Engineering Group 

E. Kindler 

binäres Entscheidungsdiagramm 

• Ein Entscheidungsdiagramm ist ein azyklischer 

Graph mit einem ausgezeichneten Wurzelknoten. 

• Wir unterscheiden 

• inneren Knoten, die jeweils mit einer b 

Variable aus V beschriftet sind und 

• Terminalknoten, die mit 0 oder 1 

beschriftet sind. 

• Jeder innere Knoten besitzt genau eine 

ausgehende Kante, die mit 0 beschriftet 

ist, und eine ausgehende Kante, die 

mit 1 beschriftet ist. 

• Terminalkonten besitzen keine ausgehende 

Kante. 

c 

0 1 

b 

0 1 

Keine weiteren Einschränkungen 



E. Kindler 

• In einem Entscheidungsdiagramm ist die 

Ordnung der Variablen auf dem Pfad noch 

nicht festgelegt (dieselbe Variable darf sogar 

mehrfach vorkommen). 

• Das Entscheidungsdiagramm muß kein Baum 

sein (ein Knoten darf mehrere eingehende 

Kanten besitzen). 

• Gleiche Teilbäume dürfen mehrfach 

vorkommen (müssen aber nicht). 


19 


20 

Boolesche Funktion 



E. Kindler 

Duplikate 



E. Kindler 

• Ein Entscheidungsdiagramm repräsentiert 

eindeutig eine boolesche Funktion bzw. eine 

Menge von Zuständen. 

(man verfolgt ausgehend vom Wurzelknoten 

jeweils die Kante, die mit Werte der Variablen 

im betrachteten Zustand beschriftet ist). 

• Zwei innere Knoten heißen Duplikate, wenn beide 

Knoten mit derselben Variablen v beschriftet sind 

und die beide ausgehenden Kanten, die mit 0 

beschriftet sind, beim selben Knoten enden und die 

beiden ausgehenden Kanten, die mit 1 beschriftet 

sind, beim selben Knoten enden. 

c c 

d 

• Zwei Terminalknoten heißen Duplikate, wenn beide 

Knoten gleich beschriftet sind. 

e 


21 


22 

Duplikate 



E. Kindler 

Redundante Knoten 



E. Kindler 

• Von zwei Duplikaten kann eines gelöscht werden; 

die Kanten, die auf den gelöschten Knoten 

verwiesen haben, werden auf das Duplikat 

„umgebogen“. 

c 

d 

a 

e 

c 

b 

⇒ 

Reduce 

c 

d 

a 

e 

b 

Der Wert der 

booleschen 

Funktion 

bleibt gleich! 

• Ein innerer Knoten eines Entscheidungsdiagramms 

heißt redundant, wenn beide ausgehenden Kanten 

zum selben Knoten führen. 

• Redundante Knoten kann man löschen, indem man 

alle Kanten, die auf den Knoten verweisen, auf 

seinen (eindeutigen) Nachfolger „umbiegt“: 

a 

a 

c 

d 

b 

⇒ 

Reduce 

d 

b 

Der Wert der 

booleschen 

Funktion 

bleibt gleich! 


23 


24

Variablenordnung 



E. Kindler 

ROBDDs 



E. Kindler 

• Sei eine totale Ordnung v 1 < v 2 < v 3 < … < v n auf der 

Menge der Variablen V definiert. 

• Ein Entscheidungsdiagramm respektiert die 

Variablenordnung

2. Operationen auf ROBBDs 



E. Kindler 

Negation 



E. Kindler 

• Negation 

• Restriktion und Shannonexpansion 

• Binäre Operationen 

• ROBDDs und Kripkestrukturen 

• Wir überlegen uns nun, wie man verschiedene 

boolesche Operationen auf durch ROBDDs 

repräsentierten booleschen Funktionen 

durchführen kann. 

• Einfaches Beispiel: Negation 

b 

d 

a 

c 

b 

d 

⇒ 

Negation 

b 

d 

a 

c 

b 

d 

In der Praxis wird 

Negation aber 

anders realisiert! 

Aufwand: O(1) 

0 1 

1 0 


31 


32 

Restriktion u. Shannonexpansion 



E. Kindler 

Restriktion auf ROBDDs 



E. Kindler 

• Für eine boolesche Funktion p über den 

Variablen v 1 , … ,v n und einen booleschen 

Wert t ∈ B ist die boolesche Funktion p| vi ← t 

definiert durch 

p| vi ← t(v 1 , … ,v n ) = p(v 1 , … v i-1 , t ,v i+1 , … , v n ) 

• p| vi ← t nennen wir eine Restriktion von p. 

• Es gilt (Shannonexpansion von ϕ): 

p = (¬ v ∧ p| v ← 0 ) ∨ ( v ∧ p| v ← 1 ) 

• Für eine durch ein ROBDD repräsentierte boolesche 

Funktion p können wir das ROBDD für die 

Restriktion p| v ← t einfach erzeugen: 

a 

c 

v 

t ¬t 

⇒ 

Restrict 

d e 

d e 

• Anschließend systematische Reduktion 

des resultierenden Entscheidungsdiagramms 

zu einem ROBDD. 

a 

c 

Aufwand: 

O(|p|) 

Größe des 

ROBDDs für p 

Aufwand: 

O(|p|⋅log (|p|)) 


33 


34 

Restriktion: Spezialfall 



E. Kindler 

Binäre boolesche Operationen 



E. Kindler 

• Ein wichtiger Spezialfall ist die Restriktion auf 

die erste Variable v 1 im ROBDD: 

p| v1 ← 0 bzw. p| v1 ← 1 

v 1 

p| v1 ← 0 p| v1 ← 1 

Aufwand: 

O(1) 

• Alle binären booleschen Operationen können 

wir mit Hilfe der Restriktion und der Shannonexpansion 

rekursiv formulieren: Rekursion 

• p ∧ q = (¬ v ∧ (p| v ← 0 ∧ q| v ← 0 ) ) ∨ 

( v ∧ (p| v ← 1 ∧ q| v ← 1 ) ) 

• p ∨ q = (¬ v ∧ (p| v ← 0 ∨ q| v ← 0 ) ) ∨ 

( v ∧ (p| v ← 1 ∨ q| v ← 1 ) ) 

• p ♣ q = (¬ v ∧ (p| v ← 0 ♣ q| v ← 0 ) ) ∨ 

( v ∧ (p| v ← 1 ♣ q| v ← 1 ) ) 

Beliebiger 

boolescher 

Operator 


35 


36

Binäre boolesche Operationen 



E. Kindler 

Zusammenfassung 



E. Kindler 

ROBDD für p ♣ q aus ROBDDs für p und q generieren: 

• Generiere ROBDDs für p| v ← 0 , q| v ← 0 , p| v ← 1 , und q| v ← 1 

• Konstruiere daraus rekursiv p| v ← 0 ♣ q| v ← 0 und p| v ← 1 ♣ q| v ← 1 

• Ein Entscheidungsdiagramm für p ♣ q ist dann 

v 

Gesamtaufwand 

(bei geschickter 

Implementierung): 

O( |p|⋅ |q|) 

p| v ← 0 ♣ q| v ← 0 p| v ← 1 ♣ q| v ← 1 

• Reduziere das Entscheidungsdiagramm systematisch zu 

einem ROBDD. 

• Solange die Größe der beteiligten ROBDDs klein 

bleibt, sind alle booleschen Operationen auf 

ROBDDs und der Test auf Gleichheit zweier 

ROBDDs relativ effizient ausführbar. 

• Es gibt inzwischen viele Programmbibliotheken für 

ROBDDs und die zugehörigen Operationen (dort 

sind insbesondere viele Heuristiken zur Optimierung 

der Variablenordnung realisiert). 

• In der Praxis werden alle ROBDDs in einer einzigen 

Datenstruktur verwaltet (mit mehreren Wurzeln). 

Der Test auf Gleichheit ist dann nur ein 

Pointervergleich (ist also extrem effizient)! 


37 


38 

ROBDDs und Kripkestrukturen 



E. Kindler 

4. Quantifizierte boolesche Formeln 



E. Kindler 

• Mit den booleschen Operationen können wir 

Formeln in ROBDDs umwandeln. Wir werden 

im folgenden oft nicht zwischen einer Formel 

und dem zugehörigen ROBDD unterscheiden. 

• Eine Kripkestruktur können wir durch ein 

ROBDD für die Anfangsbedingung S 0 (ROBDD 

(ROBDD über V ) und ein ROBDD für die 

Übergangsrelation R (ROBDD über V ∪ V´ ) 

repräsentieren. 

• Später werden wir in booleschen Formeln 

auch die Quantifikation von booleschen 

Variablen v (QBF) benutzen: ∃ v . p 

• ∃ v . p ist eine Abkürzung für p| v ← 0 ∨ p| v ← 1 

• ∃ v . p ist eine Abkürzung für 

∃ v 1 . ( ∃ v 2 . ( ... ( ∃ v n . p ) …) ) 

• Entsprechend steht ∀ v . p abkürzend für 

p| v ← 0 ∧ p| v ← 1 

• ∀ v . p steht abkürzend für 

∀ v 1 . (∀ v 2 . ( ... ( ∀ v n . p ) …) ) 


39 


40 

Relationsprodukt 



E. Kindler 

MCiE 



E. Kindler 

• Für eine Formel p(u,v) über U und V und eine Formel 

q(v, w) über V und W nennen wir 

∃ v . p(u,v) ∧ q(v, w) das Relationsprodukt von p(u,v) 

und q(v, w). 

• Das ROBDD für das Relationsprodukt läßt sich mit 

den vorangegangenen Abkürzungen mit Hilfe der 

booleschen Operationen konstruieren; das ist aber 

relativ aufwendig. 

• In der Praxis wird deshalb ein eigenes Verfahren für 

das Relationsprodukt implementiert (das in der 

Praxis effizient ist, im schlimmsten Falle aber 

exponentielle Komplexität besitzt). 

• In ROBDD-Bibliotheken werden viele weitere 

Optimierungen angewendet, um die Operationen 

auf ROBDDs möglichst effizient durchzuführen 

(z.B. Hash-Tabellen Vergleich auf Gleichheit 

zweier ROBDDs wird dann ein Pointervergleich). 

• Die Model-Checking-in-Education-Bibliothek (MCiE) 

implementiert viele dieser Optimierungen. 

• Sehen Sie sich diese Bibliothek unbedingt an 

(vgl. Übungen): 

http://www.upb.de/cs/kindler/Lehre/MCiE 


41 


42

Modelchecking 1. Motivation Beispiel: Mengen als Formeln Formeln ...

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?