Post on 05-Apr-2015
1
Computergestützte Verifikation
11.6.2002
2
5. Real Time Systeme
5.1 Timed Automata
5.2 TCTL
5.3 Abstraktion durch Regionen
5.4 Abstraktion durch Zonen
3
geometrische Veranschaulichung
0 c1
c2
c1>2
c2 – c1 0
c1 – c2 < 4
c2 > 1
c2 3
c1 4
4
Clock Difference Diagrams
ci - cj
[0,3) [3,17] (17,)
-Nachbildung aller BDD-Operationen, plus-Projektion-Öffnung-Schnitt
aber: lange Zeit offen: Normalisierung(inzwischen wohl gelöst für DDD)
5
Zusammenfassung RT-Systeme
Zwei Ansätze: Größe vs. Expressivität
bei gleicher Größe viel komplexer
kleine Erweiterungen der Syntax können fatale Folgenfür Entscheidbarkeit haben
Manchmal dienen Uhren nur für Fairness
6
Tools
UPPAAL
basiert auf Zonen
explizit + symbolisch (CDD)
spezialisiert auf einfache Erreichbarkeitsaussagen
Eingabe: Komponenten als Timed Automata
www.uppaal.com
7
Tools
KRONOS
TCTL-Model Checker
basiert auf Zonen und Abstraktionsverfeinerung
Eingabe: Komponenten als Timed Automata
www-verimag.imag.fr/TEMPORISE/kronos/index-english.html
8
Tools
RED
“region encoding diagrams”
Regionen + BDD
homepage.iis.sinica.edu.tw/farn/public_html/red/
9
6. Abstraktion
10
Worum geht es?
Studieren Beziehungen zwischen 2 Systemen C und A,die Eigenschaften vererben
Wie kann man diese Beziehungen “herstellen”?
Hintergrund: Prozessalgebra
11
Abstraktionsrelation
geg: 2 Systeme C und A
Verbindung wird über eine Relation hergestellt
rot
gelb
grün
Gas
Bremse
12
Beispiele für Abstraktionsrelationen
Symmetrien
s [s]
Real-Time Regionen
[d,v] [d,R]
Real-Time Zonen
[d,v] [d,Z]
ist sogar Funktion, d.h. zus in C ex. genau ein s’ in Amit s s’
13
Mengensichtweise
rot
gelbgrün
Gas Bremse
gelb
a {c | c a}
14
Vererbung elementarer Eigenschaften
Welche Eigenschaften erfüllt ein abstrakter Zustand
a p höchstens dann, wenn für alle c a: c p
Gas ¬ “rot”Gas “grün” Gas ¬ “grün”
“beschriften” abstraktes Transitionssystem mit geltendenelementaren Eigenschaften; nicht notwendigerweiseabgeschlossen bzgl. Negation
15
Abstraktion und Nachfolger
Vererbung elementarer Eigenschaften allein reicht nicht
“Ampel” G( ¬rot X X X ¬rot)“Ampel” G(¬rot X X ¬rot)
“Auto” G( ¬rot X X X ¬rot)“Auto” G(¬rot X X ¬rot)
16
Simulation
ist Simulationsrelation, wenn für alle c,a,c’:
Wenn c a und c c’ in C, so ex. ein a’ mit c’ a’ und a a’ in A
C
A
17
Simulation als Spiel
C und A sind Spieler, ziehen abwechselnd, C beginnt
C zieht (= Übergang in C).
A zieht (= Übergang in A).
A’s Ziel: Immer einen Zustand erreichen, der zum aktuellenC-Zustand in Relation steht
C’s Ziel: A in ausweglose Situation manövrieren
Simulation = (lokale) Gewinnstrategie für A
18
Simulation
C simuliert A falls eine Simulationsrelation von C nach Abesteht.
= jedes Verhalten in C kann in A nachgebildet werden A hat ein “reicheres” Verhalten als C
gelb
grün
rot
Gas
Bremse
ist keine Simulationsrelation
grün Gasgelb Bremserot Gas
19
Beispiel für Simulation
rot
gelb
grün
Gas
Bremse
Diesmal: Ampel simuliert Auto
20
“simuliert” ist nicht symmetrisch
A
B1 B
CD
A
B
C D
C A
C simuliert A, aber A simuliert nicht C
2
21
Simulation und Computation Tree
rot
gelb
grün
Gas
Bremse
22
Bewahrung von ACTL*
Fazit: Berechnungsbaum von C findet sich “als Teilbaum”des Berechnungsbaums von A wieder
ACTL* quantifiziert nuruniversell über Pfade
Satz: Wenn C A simuliert, so gilt jede ACTL*-Eigenschaft von A auch in C
23
Ein Transitionssystem simuliert seinensymmetrisch reduziertes System
s [s]
(Betrachten Eigenschaften, sie insensitiv sind bzgl. Symmetrie)
s s’
[s] [s’]
Jede ACTL*-Eigenschaft des symm. reduzierten Systems gilt auch im originalen System
24
Ein Real-Time-Transitionssystem simuliert seinen Zonengraph
Annahme für Simulation: Selbstschleifen an jedem Zustanddes Zonengraphsspäter: Schleifen weglassen, weil kein X in TCTL
a) Zeitverlauf
b) diskreter Übergang
25
Ein Transitionssystem simuliertjede Überapproximation
Sei [S,E,A] ein Transitionssystem
Wenn S S’ und E S’ , so ist [S’,E’,A] eineÜberapproximation von S
: Id
Wenn eine ACTL*-Eigenschaft in einer Überapproximation gilt, so auch im originalen System
Interessant für symbolische Verifikation
26
Konstruktion von Abstraktionen
geg: Konkretes System C = [S,E], Menge A von abstrakten Zuständen, Relation vonC in Ages: E’, so daß Simulationsrelation zwischen C und A wird
Lösung: a a’ gdw. es gibt c,c’ mit c a und c’ a’ undc c’
“Existential Abstraction”
27
Existential Abstraction vs Simulation
Wenn sich abstrakte Zustände überlappen können, fordertexistential abstraction mehr Ereignisse als die Def. von Simulation
Existential Abstraction: nach Def. Simulation reicht:
28
Abstraktionsfunktionen
Wenn abstrakte Zustände zu disjunkten konkretenZustandsmengen korreliert sind (c a und c a’ a = a’)dann fallen Simulation und Existential Abstraction zusammen,d.h. die durch Existential Abstraction definierte Ereignismengeist die kleinste, die zu einer Simulationsrelation macht.
RegionenSymmetrie
Simulation: Wenn c a und c c’, so ex. a’ mit c’ a’ und a a’
Ex. Abstraction: Wenn c a und c c’ und c’ a’ , so a a’
29
Existential Abstraction
Sehr praktikabel:
1. Wähle abstrakte Zustandsmenge (nach Kriterien wie z.B. Bewahrung elementarer Eigenschaften)
2. Ergänze kanonisch eine Übergangsrelation
rot
gelb
grün
Gas
Bremse
30
Beispiele
1. Vorzeichenabstraktion
Nat {< 0 , 0 , > 0}
2. Logarithmische Abstraktion
Nat Nat; i lg i = log2(i+1)
3. Bit-Abstraktion
AND/OR/NOT
Reg
AND/OR/NOT
Reg
I O I O
31
Übung 1
Geg: guarded command Programm:
init(x) = init(y) = 0
g1: x > 3 x := x – 2;g2: x = 0 y := y + 1;g3: true x := - y;g4: x < y y := y – x;
Ergänze abstrakte Zustandsmenge {x<0,x=0,x>0} x {y<0,y=0,y>0}zu einem abstrakten Transitionssystem, das vom konkreten System simuliert wird!
32
Übung 2
Bestimme eine Abstraktionsrelation derart, daß daslinke System das rechte System simuliert (Anfangszustand rot)!