Une Boite `a Outils Pour la Preuve Formelle de Syst`emes Séquentiels

Recommendations

Info

3.3. VÉRIFICATION DE PROPRIÉTÉS TEMPORELLES 75 formalisme de la logique temporelle arborescente. Cette technique de vérification requiert la construction partielle ou totale du graphe de transition de la machine, et est basée sur des algorithmes de parcours de ce graphe de transition. Cette technique est limitée par la taille du graphe de transition, car coûteuse en mémoire et en temps de par l’explosion combinatoire. Nous montrons ici que les techniques de manipulations symboliques que nous avons décrites dans les deux premiers chapitres peuvent être utilisées pour la vérification de formules temporelles, sans qu’aucun diagramme d’état ne soit construit. Nous décrivons d’abord la syntaxe et la sémantique des formules CTL à vérifier, et le type de machines qui seront traitées. Puis nous donnons les algorithmes de vérification et nous montrons comment ceux-ci s’appuient sur l’opération Pre. 3.3.1 Syntaxe et sémantique de CTL Le machine séquentielle M que nous traitons est une machine de Moore incomplètement spécifiée. Elle est définie par un 6–uplet (n,m,r,ω,δ,Init), où ω ne dépend que de l’état de la machine. On suppose que la formule (∀⃗y ∃⃗x Cns(⃗y,⃗x)) est une tautologie, c’est à dire que tout état possède au moins un successeur. Ceci n’est pas restrictif, puisque la plupart des formules CTL n’ont aucun sens sur des états sans successeur [40]. Si cette condition n’est pas vérifiée, la fonction λ⃗y.(∀⃗x ¬Cns(⃗y,⃗x)) est la fonction caractéristique de l’ensemble EtatPuit des états sans successeur. Soit VersEtatPuit l’ensemble des états sans successeur ou conduisant nécessairement à un état sans successeur. L’ensemble VersEtatPuit est l’ensemble des états satisfaisant la formule CTL AF(EtatPuit), et peut donc se calculer par une équation de point fixe, comme on le verra ci-dessous. Le nouveau domaine à considérer pour la fonction δ est alors λ⃗y.λ⃗x.(¬VersEtatPuit(⃗y)∧Cns(⃗y,⃗x)). CTL permet d’exprimer des propriétés sur les états et les transitions d’une machine séquentielle [40]. Les formules temporelles considérées pour la vérification sont les formules d’état de CTL, qui décrivent des propriétés relatives aux états de la machine. Les formules d’état de CTL et leur sémantique vis-à-vis d’une machine de Moore M = (n,m,r,ω,δ,Init) sont les suivantes: 1. y 1 ,y 2 ,...,y n ,z 1 ,...,z r sont des formules d’état. Pour tout état ⃗y de la machine, ⃗y |= y k si et seulement si y k = 1. ⃗y |= z k si et seulement si la valeur de la k–ième composante de ω(⃗y) est 1. 2. Si f et g sont des formules d’état, alors (¬f), (f ∧g), (f ∨g), (f ⇔ g), et (f ⇒ g) sont des formules d’état. Les connecteurs logiques ont leur sens usuel, par exemple s |= (f ∧g) si et seulement si s |= f et s |= g. 3. Si f est une formule d’état, alors EX(f) et AX(f) sont des formules d’état. Pour tout état ⃗y, ⃗y |= EX(f) si et seulement si il existe une entrée ⃗x acceptée par la machinetellequeδ(⃗y,⃗x) |= f. OndéfinitlaformuleAX(f)parAX(f) = ¬EX(¬f).
76 CHAPITRE 3. PROBLÈMES SUR LES MACHINES SÉQUENTIELLES 4. Si f et g sont des formules d’état, alors E[fUg] est une formule d’état. Pour tout état ⃗y, ⃗y |= E[fUg] si et seulement si il existe un chemin (⃗y 0 ,⃗y 1 ,...), tel que ⃗y 0 = ⃗y et ∃k ((⃗y k |= g)∧(∀j (0 ≤ j < k ⇒ ⃗y j |= f))). 5. Si f et g sont des formules d’état, alors A[fUg] est une formule d’état. Pour tout état ⃗y de M, ⃗y |= A[fUg] si et seulement si pour tout chemin (⃗y 0 ,⃗y 1 ,...) tel que ⃗y 0 = ⃗y, et ∃k ((⃗y k |= g)∧(∀j (0 ≤ j < k ⇒ ⃗y j |= f))). Des abréviations commodes sont introduites : EF(f) = E[1Uf], i.e. il existe un chemin comprenant un état satisfaisant f; AF(f) = A[1Uf], i.e. sur tout chemin il existe un état où f est satisfaite; EG(f) = ¬AF(¬f), i.e. il existe un chemin où f est toujours satisfaite; AG(f) = ¬EF(¬f), i.e. f est vraie le long de tout chemin. 3.3.2 Algorithme de vérification de formules CTL On peut vérifier qu’une machine séquentielle M satisfait une propriété de sûreté f en comparant la machine avec un automate obtenu [22] à partir de la formule f. L’automate M f associé à une propriété de sûreté f est tel que pour toute machine M, on a M |= f si et seulement si M et M f sont équivalentes sur les signaux observables de M f . En substance, M f est le plus petit modèle de f qui décrive tous les comportements possibles des modèles de f. M f est aussi appelé modèle universel. Dans le cas des propriétés de sûreté, la preuve peut donc se faire directement par comparaison de machines. C’est cette approche qui a été retenue par l’équipe du langage LUSTRE de Grenoble [71]. Par exemple, pour vérifier la propriété “à tout moment, si y = 1 alors à l’instant d’après on a forcément z = 1 ”, qui correspond à la formule CTL AG(y ⇒ AX(z)), il suffit de comparerlessignauxy etz deMavecceuxdéfinisparlamachinedeMooredontlegraphe de transition est montré Figure 20. Mais la puissance d’expression de CTL est strictement supérieure à celle des propriétés de sûreté, ce qui néccessite un algorithme plus général. Figure 20. Modèle universel de AG(y ⇒ AX(z)). L’algorithme “Model Checking” [40] permet de vérifier si (⃗y |= f) pour un état ⃗y de la machine et une formule CTL f. Le Model Checking est basé sur des parcours du graphe d’états et de transitions de la machine, et requiert la construction de celui-ci. Cette technique est donc limitée par la taille du graphe d’états de la machine, car la preuve de (⃗y |= f) se fait en O(length(f)×(S +R)), où S est le nombre d’états et R le nombre de transitions [40]. Afin de s’affranchir de cette limite, les ensembles d’états seront considérés non pas en extention, mais en intention, dénotés par leurs fonctions caractéristiques. Au lieu de
Page 1 and 2:
THESE présentée pour obtenir le t
Page 3 and 4:
A mes parents A Toi, si délicieuse
Page 5 and 6:
2 2.4.4 Forme sans quantificateur d
Page 8 and 9:
Liste de Figures Représentation de
Page 10 and 11:
Liste de Tableaux Représentation d
Page 12 and 13:
INTRODUCTION 9 Introduction Motivat
Page 14 and 15:
INTRODUCTION 11 la vérification de
Page 16 and 17:
INTRODUCTION 13 Le Chapitre 2 étud
Page 18:
Partie I Logique propositionnelle q
Page 21 and 22:
18 CHAPITRE 1. LOGIQUE PROPOSITIONN
Page 23 and 24:
Page 25 and 26:
Page 27 and 28: 24 CHAPITRE 1. LOGIQUE PROPOSITIONN
Page 29 and 30: 26 CHAPITRE 1. LOGIQUE PROPOSITIONN
Page 31 and 32: 28 CHAPITRE 2. REPRÉSENTATION DES
Page 72 and 73: Chapitre 3 Problèmes sur les machi
Page 74 and 75: 3.2. COMPARAISON DE MACHINES SÉQUE
Page 76 and 77: 3.2. COMPARAISON DE MACHINES SÉQUE
Page 80 and 81: 3.3. VÉRIFICATION DE PROPRIÉTÉS
Page 82 and 83: 3.4. MINIMISATION DE MACHINES SÉQU
Page 84 and 85: 3.4. MINIMISATION DE MACHINES SÉQU
Page 86 and 87: 3.5. CONCLUSION 83 suivants.
Page 88 and 89: Chapitre 4 Calcul de l’image d’
Page 90 and 91: 4.2. CALCUL DIRECT DE IMG( ⃗ F,χ
Page 92 and 93: 4.3. DÉCOMPOSITION DU CALCUL DE L
Page 94 and 95: 4.3. DÉCOMPOSITION DU CALCUL DE L
Page 96 and 97: 4.4. RESTRICTEUR D’IMAGE 93 du Th
Page 98 and 99: 4.5. L’OPÉRATEUR “CONSTRAIN”
Page 104 and 105: 4.6. CHOIX D’UNE COUVERTURE 101 l
Page 106 and 107: 4.7. RÉSULTATS EXPÉRIMENTAUX ET D
Page 108 and 109: 4.7. RÉSULTATS EXPÉRIMENTAUX ET D
Page 110 and 111: 4.8. CONCLUSION 107 4.8 Conclusion
Page 112 and 113: Chapitre 5 Calcul de l’image réc
Page 114 and 115: 5.2. CALCUL DE PRE( F,CNS,χ) ⃗
Page 116 and 117: 5.3. EVALUATION DE PRE( ⃗ F,CNS,
Page 118 and 119: 5.3. EVALUATION DE PRE( ⃗ F,CNS,
Page 120 and 121: 5.5. CONCLUSION 117 graphes de la f
Page 122 and 123: CONCLUSION 119 Conclusion Lavérifi
Page 124: Annexes 121
Page 127 and 128: 124 ANNEXE A. TERME, RÉÉCRITURE,
Page 129 and 130:
126 ANNEXE B. AUTRES GRAPHES TYPÉS
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
132 ANNEXE C. DÉNOTATION D’ENSEM
Page 137 and 138:
134 ANNEXE D. ENSEMBLE DE FONCTIONS
Page 139 and 140:
136 ANNEXE D. ENSEMBLE DE FONCTIONS
Page 141 and 142:
138 ANNEXE E. RÉDUCTION ET MINIMIS
Page 143 and 144:
Page 145 and 146:
Page 147 and 148:
144 BIBLIOGRAPHIE [14] G. Berry,
Page 149 and 150:
146 BIBLIOGRAPHIE [47] O. Coudert,
Page 151 and 152:
148 BIBLIOGRAPHIE [78] J.Hsiang,“
Page 153 and 154:
150 BIBLIOGRAPHIE [108] D. E. Ross,
Page 155 and 156:
152 BIBLIOGRAPHIE
Page 157 and 158:
154 INDEX ⇓ (restrict), 111, 138
Page 159:
156 INDEX redondante, 80 vectochar,
show all

Une Boite `a Outils Pour la Preuve Formelle de Syst`emes Séquentiels

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?