Une Boite `a Outils Pour la Preuve Formelle de Syst`emes Séquentiels

Recommendations

Info

5.5. CONCLUSION 117 graphes de la fonction de transition. Cependant, si on utilise l’ensemble des états valides Valid pour simplifier les arguments de la composition, la validation est instantanée, car la fonction ok est égale à 1 sur l’ensemble Valid, ce qui implique que (ok⇓Valid) = 1. Il est à remarquer que la formule AG(ok) est une propriété de sûreté, donc elle appartient à la classe de formules qui peuvent être vérifiées en comparant la machine sur laquelle doit être validée cette formule avec un automate construit à partir de la formule. On peut donc utiliser la technique de vérification présentée dans la Section 3.2. Dans ce cas précis, il suffit de vérifier que la sortie ok est toujours égale à 1 sur l’espace des états valides de la machine. Valider la propriété en utilisant cette méthode ne requiert que 58 secondes, le calcul des états valides étant effectué en 20 étapes. Cette exemple semble montrer que si la formule peut être validée en utilisant une comparaison de machines (l’une étant le modèle universel), alors il est préférable d’appliquer cette technique plutôt que l’algorithme général de vérification des formules CTL. En pratique, on trouve en effet des machines qui ne peuvent être traversées en arrière, alors que leur ensemble d’états valides peut être symboliquement calculé. Ceci n’est qu’une illustration du Théorème 5.3, où nous avons montré que calculer l’image réciproque est intrinsèquement plus difficile que calculer l’image 3 . ParallèlementànotretechniquedepreuvesymboliquedeformuleCTLsurunemachine séquentielle, l’équipe d’Edmund Clarke de Carnegie Mellon University a développé une technique de preuve très similaire [29]. Elle diffère de la notre en ce qu’elle utilise la relation de transition de la machine pour la résolution des équations de points fixes (voir Section 5.2), alors que nous utilisons la composition sur la fonction de transition (voir Section 5.3). Cette technique a été utilisée pour la vérification d’opérateurs arithmétiques “pipeline”[30], possèdantjusqu’à10 120 étatsutiles, cequirendinapplicableslestechniques énumératives. Cette méthode a été aussi utilisée pour valider des protocoles décrits en CCS [60]. Retenons surtout ce qui me semble être l’application la plus probante, la détection d’erreurs dans un protocole de communication entre les caches mémoires d’une machine multi-processeurs, erreurs qui n’avaient pas été détectées durant la période de test [88]. 5.5 Conclusion Nous avons présenté dans le Chapitre 3 une procédure automatique de validation de formules CTL sur une machine séquentielle, qui s’appuie sur des manipulations de formules propositionnelles quantifiées. Cette procédure de preuve ne requiert ni la construction du diagramme d’état de la machine, ni la construction de la relation de transition de la machine. 3 A propos des deux stratégies possibles pour vérifier une propriété de sûreté, certains ont affirmé que le nombre d’itérations requis pour atteindre le point fixe par un parcours en arrière est inférieur à celui requis par un parcours en avant. C’est évidemment faux. Pour n 1 ≥ 0 et n 2 ≥ 0 quelconques, on peut exhiber un modèle sur lequel le nombre d’itérations nécessaire pour atteindre le point fixe en avant (respectivement en arrière) est égal à n 1 (respectivement à n 2 ). Il n’y a aucune relation entre n 1 et n 2 .
118 CHAPITRE 5. CALCUL DE L’IMAGE RÉCIPROQUE D’UNE FONCTION Nous avons montré que cet algorithme de vérification symbolique de formules temporelles (Section 3.3.2) est essentiellement tributaire de l’évaluation de Pre, puisque c’est la seule opération NP–difficile utilisée durant le calcul des points fixes. La difficulté de Pre est due à l’occurrence d’une composition dans son expression. Nous avons donc présenté plusieurs techniques afin d’évaluer au mieux cette composition. L’algorithme de preuve symbolique que nous avons défini permet de vérifier des propriétés temporelles sans construire aucun diagramme d’états, au contraire des techniques proposées dans le passé, telle que le Model Checking. Il est essentiel que la complexité de notre algorithme ne dépend pas du nombre d’états valides. Il peut donc être appliqué à des machines ayant un nombre d’ètats utiles dépassant largement la capacité des techniques précédemment connues.
Page 1 and 2:
THESE présentée pour obtenir le t
Page 3 and 4:
A mes parents A Toi, si délicieuse
Page 5 and 6:
2 2.4.4 Forme sans quantificateur d
Page 8 and 9:
Liste de Figures Représentation de
Page 10 and 11:
Liste de Tableaux Représentation d
Page 12 and 13:
INTRODUCTION 9 Introduction Motivat
Page 14 and 15:
INTRODUCTION 11 la vérification de
Page 16 and 17:
INTRODUCTION 13 Le Chapitre 2 étud
Page 18:
Partie I Logique propositionnelle q
Page 21 and 22:
18 CHAPITRE 1. LOGIQUE PROPOSITIONN
Page 23 and 24:
Page 25 and 26:
Page 27 and 28:
Page 29 and 30:
Page 31 and 32:
28 CHAPITRE 2. REPRÉSENTATION DES
Page 33 and 34:
Page 35 and 36:
Page 37 and 38:
Page 39 and 40:
Page 41 and 42:
Page 43 and 44:
Page 45 and 46:
Page 47 and 48:
Page 49 and 50:
Page 51 and 52:
Page 53 and 54:
Page 55 and 56:
Page 57 and 58:
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70: 66 CHAPITRE 2. REPRÉSENTATION DES
Page 72 and 73: Chapitre 3 Problèmes sur les machi
Page 74 and 75: 3.2. COMPARAISON DE MACHINES SÉQUE
Page 76 and 77: 3.2. COMPARAISON DE MACHINES SÉQUE
Page 78 and 79: 3.3. VÉRIFICATION DE PROPRIÉTÉS
Page 80 and 81: 3.3. VÉRIFICATION DE PROPRIÉTÉS
Page 82 and 83: 3.4. MINIMISATION DE MACHINES SÉQU
Page 84 and 85: 3.4. MINIMISATION DE MACHINES SÉQU
Page 86 and 87: 3.5. CONCLUSION 83 suivants.
Page 88 and 89: Chapitre 4 Calcul de l’image d’
Page 90 and 91: 4.2. CALCUL DIRECT DE IMG( ⃗ F,χ
Page 92 and 93: 4.3. DÉCOMPOSITION DU CALCUL DE L
Page 94 and 95: 4.3. DÉCOMPOSITION DU CALCUL DE L
Page 96 and 97: 4.4. RESTRICTEUR D’IMAGE 93 du Th
Page 98 and 99: 4.5. L’OPÉRATEUR “CONSTRAIN”
Page 104 and 105: 4.6. CHOIX D’UNE COUVERTURE 101 l
Page 106 and 107: 4.7. RÉSULTATS EXPÉRIMENTAUX ET D
Page 108 and 109: 4.7. RÉSULTATS EXPÉRIMENTAUX ET D
Page 110 and 111: 4.8. CONCLUSION 107 4.8 Conclusion
Page 112 and 113: Chapitre 5 Calcul de l’image réc
Page 114 and 115: 5.2. CALCUL DE PRE( F,CNS,χ) ⃗
Page 116 and 117: 5.3. EVALUATION DE PRE( ⃗ F,CNS,
Page 118 and 119: 5.3. EVALUATION DE PRE( ⃗ F,CNS,
Page 122 and 123: CONCLUSION 119 Conclusion Lavérifi
Page 124: Annexes 121
Page 127 and 128: 124 ANNEXE A. TERME, RÉÉCRITURE,
Page 129 and 130: 126 ANNEXE B. AUTRES GRAPHES TYPÉS
Page 135 and 136: 132 ANNEXE C. DÉNOTATION D’ENSEM
Page 137 and 138: 134 ANNEXE D. ENSEMBLE DE FONCTIONS
Page 139 and 140: 136 ANNEXE D. ENSEMBLE DE FONCTIONS
Page 141 and 142: 138 ANNEXE E. RÉDUCTION ET MINIMIS
Page 147 and 148: 144 BIBLIOGRAPHIE [14] G. Berry,
Page 149 and 150: 146 BIBLIOGRAPHIE [47] O. Coudert,
Page 151 and 152: 148 BIBLIOGRAPHIE [78] J.Hsiang,“
Page 153 and 154: 150 BIBLIOGRAPHIE [108] D. E. Ross,
Page 155 and 156: 152 BIBLIOGRAPHIE
Page 157 and 158: 154 INDEX ⇓ (restrict), 111, 138
Page 159: 156 INDEX redondante, 80 vectochar,
show all

Une Boite `a Outils Pour la Preuve Formelle de Syst`emes Séquentiels

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?