Une Boite `a Outils Pour la Preuve Formelle de Syst`emes Séquentiels

116 CHAPITRE 5. CALCUL DE L’IMAGE RÉCIPROQUE D’UNE FONCTION
path de la fonction “produce-functions”), de façon à calculer les termes partiels du type
(S ◦ ⃗ f) des noeuds fils.
Chaque fois qu’une feuille 1 est atteinte, le graphe d’une des fonctions h k est généré.
Ce graphe est celui du terme (S 1 ◦f), ⃗ où S 1 est la somme de tous les chemins accèdant à 1
en passant par une unique branche terminale. Comme la formule g[y 1 ← f 1 ,..., y n ← f n ]
est aussi la somme de toutes ses interprétations (i.e. chemins) la satisfaisant, on a bien :
⎛ ⎞
∨
g[y 1 ← f 1 ,..., y n ← f n ] = ⎝ h k
⎠.
h k ∈ SetFun
L’éclatement de la composition (χ◦ ⃗ f) en une liste de graphes h 1 ,...,h q dont on sait que
la somme est (χ◦ ⃗ f), mais qui n’est pas réalisée, permet ensuite d’∃–éliminer les variables
⃗x indépendemment sur chaque graphe h k . Cet algorithme pourrait encore être amélioré
en éliminant directement les variables ⃗x dans les termes partiels (S◦ ⃗ f), de façon à réduire
le nombre de variables le plus tôt possible.
5.4 Résultats expérimentaux et discussion
La technique de vérification de formules CTL présentée ici a été appliquée à deux machines
chez BULL. La machine clm1 conçue chez BULL (voir Section 4.7.2, Table 5)
décrit une partie de l’interface entre deux bus. Elle est faite de 33 registres d’état et de
14 entrées. Les graphes qui représentent globalement sa fonction de transition ont plus
de 10000 noeuds, et cinq des registres ont une fonction de transition de plus de 2500
noeuds. Cette machine possède environ 3.8 10 5 états valides parmi les 2 33 états potentiels.
Le temps CPU nécessaire pour effectuer le calcul symbolique de ses états valides est de
88.5 secondes sur un Sun SPARC Station 1. La propriété temporelle à valider sur cette
machine requiert le calcul d’un seul point fixe demandant 38 itérations. Nous n’avons pu
construire le graphe de la relation de transition de cette machine, aussi la technique décrite
Section 5.2 ne peut être utilisée. La composition χ( ⃗ f(⃗y,⃗x)) utilisée à chaque itération a
cessé d’être raisonnablement calculable avec l’algorithme de composition standard après
seulement quelques itérations. Si on utilise la composition standard et la simplification
décrite Section 5.3.1, le point fixe est calculé en 1502 secondes. La fonction “restrict”
(utilisée conjointement avec le domaine D défini Section 5.3.1) est indispensable pendant
ce calcul, puisqu’il réduit les graphes de ⃗ f utilisés dans la composition de façon à ce que
pendantlecalculdupointfixe, aucundecesgraphesn’aunetaillesupérieureà186, soitun
gain de taille allant jusqu’à 10 pour chacune des fonctions de transition f k des variables
d’état. Le temps CPU est ramené à 623 secondes si on utilise en plus la minimisation
incrémentale de la Section 5.3.2 pour évaluer la composition.
La machine séquentielle sync est un synchronisateur ayant 21 registres d’états et 4
entrées. La propriété à valider exprime que la valeur d’une sortie ok est égale à 1 pour
tous les états valides de la machine. Ceci est traduit par la formule (Init |= AG(ok)). Le
temps CPU nécessaire pour prouver cette formule avec la composition standard et sans
utilisation des états valides est de 2080 secondes et le point fixe est atteint en 9 étapes.
L’opérateur “restrict” n’a ici été d’aucune utilité puisqu’il n’a pu réduire la taille des