MOd ´elisation et VALidation

(1)

MOd ´elisation et VALidation

Franck Cassez

IRCCyN/CNRS UMR 6597, 1 rue de la No ¨e,

B.P. 92101, 44321 Nantes Cedex 03

e-mail : Franck.Cassez@irccyn.ec-nantes.fr 6 f ´evrier 2002

(2)

Quelques caract éristiques des syst èmes embarqu és – r éactivit é (contr ôler un environnement)

syst `emes d’exploitation, protocoles de communication

– complexit é (activit és parall èles, syst èmes r épartis et communicants) r éseaux, BDs r éparties

– criticit ´e (enjeux humains ou financiers)

transports, nucl éaire, t él éphone, m édical, etc – non-interop érabilit é ( . . . embarqu és . . . )

robots marsiens, etc

= ⇒

m éthodes de d éveloppement rigoureuses et v érification

M ´ethodes Formelles [8, 23]

(3)

Comment et quoi v ´erifier ?

quoi : des sp écifications formelles sur un mod èle formel du syst ème comment :

d ´emonstration automatique : . . . pas automatique – universel (on put th ´eoriquement tout prouver) – outils : theorems provers

model-cheking : automatique – limitation : taille du syst `eme – outils : model-chekers

test : pas exhaustif – possible sur des impl émentations de grande taille – outils : g én érateurs de tests

(4)

V érification d’un syst ème r éactif

description informelle

sp ´ecif.

fonctionnelle

mod `ele de comportement sp ´ecification

(MOVAL)

v ´erification

programmation (LGGCO)

(5)

Table des mati `eres

I Mod élisation et sp écification des syst èmes concurrents 6

1 Machines `a ´etats 7

2 Les Logiques Temporelles – temps discret 32

II Algorithmes de model-checking 54

3 Model-checking de LTL 56

4 Model-checking de CTL 68

5 Model-checking symbolique 72

III Syst `emes temporis ´es 89

6 Automates Temporis ´es 90

7 Logique Temporelle TCTL – temps continu 103

8 Model-Cheking de TCTL 110

(6)

I Syst `emes concurrents

Premi `ere partie :

Mod ´elisation et sp ´ecification

des syst `emes concurrents

(7)

I Syst èmes concurrents 1 Machines à états

Chapitre 1 : Machines `a ´etats

Sommaire

1.1 Syst `emes de transitions . . . . 8

1.2 Ex ´ecutions d’un SdeT . . . . 14

1.3 Synchronisation des SdeTs . . . . 15

1.3.1 Produit libre de SdeTs . . . . 16

1.3.2 Produit synchronis ´e de SdeTs . . . . 17

1.4 D ´eterminisme – non d ´eterminisme . . . . 25

1.5 Equit ´e (Fairness) . . . . 27

1.6 Equivalences de syst `emes de transitions . . . . 28

1.6.1 Equivalence de traces . . . . 29

1.6.2 Equivalence de traces . . . . 29

(8)

1.1– Syst `emes de transitions

D ´efinition 1 (Syst `eme de transitions (SdeT) [4]) Un SdeT

S

^{c’est :}

–

Q

un ensemble (fini) d’ ´etats, –

s

₀^{, un} ´etat initial

–

A

^un alphabet (fini) d’actions,

–

−→⊆ Q × A × Q

^une relation de transition.

σ = s

₀

−→

^l⁰

s

₁

. . . s

_n

−→

^lⁿ

s

_n+1

. . .

^{est un} ^chemin (ex ´ecution) de

S

^si

∀i ≥ 0, (s

_i

, l

_i

, s

_i+1

) ∈−→

–

l

₀

l

₁

· · · l

_n

· · ·

^{est la} ^trace ^de

σ

–

s

^est ^accessible

⇐⇒ ∃s

₀

−→

^w

s, w ∈ A

^∗

–

Reach(S )

est l’ensemble des ´etats accessibles dans

S

(9)

0 1

switch-on switch-off

switch-off

switch-on

FIG. 1.1 – SdeT repr ´esentant un interrupteur

(10)

0 1

switch-on switch-off

switch-off

switch-on

FÎG. 1.2 – SdeT étiquet é repr ésentant un interrupteur

L(0) = {

^On

,

^Init

} L(1) = {

^Off

}

L

⁻¹

(

^On

) = {0} L

⁻¹

(

^Off

) = {1}

(11)

0 1 2

3 4 5

in-card valide

code-not-OK

code-OK out-card

take

out-card

F^IG. 1.3 – SdeT repr ´esentant le fonctionnement d’un GAB

(12)

0 1 2

3 4 5

in-card valide

∧n := n + 1

code-not-OK

∧n ≤ 3

code-not-OK

∧n > 3

code-OK

out-card

n

take

:= 0

keep-card

n := 0

F^IG. 1.4 – Un GAB plus perfectionn ´e

(13)

Utilisation de variables discr `etes – ensemble

V

^{de valeurs} ^fini

⇐⇒

^SdeT ^fini

v := k

v := [i, j ]

^{, . . .}

– description concise

– nombre r ´eel d’ ´etats

≤ |V | × |Q|

– syst `eme r ´eel

=

^{d épliage} du syst ème avec variables – variantes des mod èles : voir [20]

Exemple : introduire une/des variables pour le code.

(14)

1.2– Ex ´ecutions d’un SdeT

langage : le langage

L(S )

^{accept ´e} par un SdeT

S

est l’ensemble des traces de toutes les ex ´ecutions du SdeT `a partir de

s

₀

arbre : l’arbre d’ex ´ecution

A(S )

associ é à un SdeT est d éfini par : – la racine :

(0, s

₀

)

– si

(n, s) ∈ A(S )

^et

(s, e, s

⁰

) ∈→

^alors

(s

⁰

, n + 1)

^{est un} ^fils ^de

(n, s)

Remarque :

L(S )

comprend des mots finis et/ou infinis –

A(S )

^peut

ˆetre un arbre infini.

(15)

1.3– Synchronisation des SdeTs

– un SdeT

=

description d’un composant d’un syst `eme

– un syst `eme r ´eel

=

un ensemble de modules interagissants – but : construire le syst ème global à partir des sous-syst èmes – moyen : d écrire l’interaction entre les sous-syst èmes

formalisation : produit synchronis ´e de SdeT

`a la Arnold-Nivat [4]

(16)

1.3.1– Produit libre de SdeTs

D ´efinition 2 (Produit libre (ou cart ´esien) [4])

S

_i

= (Q

_i

, s

ⁱ₀

, A

_i

, →

_i

)

^,

n

^{SdeTs. Le} produit libre

S

₁

k S

₂

· · · k S

n des SdeTs

S

i est un SdeT

S = (Q, s

₀

, A, →)

d ´efini par : –

Q = Q

₁

× Q

₂

× · · · × Q

_n^,

–

s

₀

= (s

¹₀

, s

²₀

, . . . , s

ⁿ₀

)

^,

–

A = A

₁

× A

₂

× · · · × A

_n^,

–

−→⊆ Q × A × Q

^:

(q

₁

, . . . , q

_n

) −−−−−→

^(a¹^,...,aⁿ⁾

(q

₁⁰

, . . . , q

_n⁰

) ⇐⇒ ∀i, q

_i

−→

^aⁱ

q

_i⁰

2

(17)

1.3.2– Produit synchronis ´e de SdeTs

D ´efinition 3 (Produit synchronis ´e [4])

S

_i

= (Q

_i

, s

ⁱ₀

, A

_i

, →

_i

)

^,

n

SdeTs.

I ⊆ A

₁

× A

₂

× · · · × A

_n ^une contrainte de synchronisation. Le produit synchronis ´e

(S

₁

k S

₂

· · · k S

_n

)

_Sync ^{des SdeTs}

S

_i est un SdeT

S = (Q, s

₀

, A, →)

d ´efini par : –

Q = Q

₁

× Q

₂

× · · · × Q

_n^,

–

s

₀

= (s

¹₀

, s

²₀

, . . . , s

ⁿ₀

)

^,

–

A = A

₁

× A

₂

× · · · × A

_n^,

–

−→⊆ Q × A × Q

^:

(q

₁

, . . . , q

_n

) −−−−−→

^(a¹^,...,aⁿ⁾

(q

₁⁰

, . . . , q

_n⁰

) ⇐⇒

( (a

₁

, . . . , a

_n

) ∈ I

∧ ∀i, q

_i

−→

^aⁱ

q

_i⁰

2

(18)

Communication par envoi/r ´eception de messages

– but : d écrire envoi/r éception de messages : communication synchrone – principe : étiquettes de transitions envoi

=!m

, r ´eception

=?m

implicitement :

!m

initie la communication

– description de la communication : synchronisation de

!m

^et

?m

Action “ne rien faire”

– nouvelle ´etiquette :

• =

“ne rien faire”

– modification de la d ´efinition 1 :

∀q ∈ S, q − →

^•

q

et alphabet

A ∪ {•}

– mod élisation de l’asynchronisme entre syst èmes : produit synchronis é (3) avec des

•

^:

(•, . . . , •, a

_k

, •, . . . , •, a

_j

, •, . . . , •)

(19)

Exemple : Le GAB (1.4) et un utilisateur

0 1 2

3 4 5

?in-card ?valide

∧n := n + 1

code-not-OK

∧n ≤ 3

code-not-OK

∧n > 3

code-OK

!out-card

!distrib

n := 0

keep-card

n := 0

F^IG. 1.5 – GAB avec messages

(20)

Exemple : Le GAB et un utilisateur (suite)

0

^!in-card

1

^!valide

2

^?out-card

3

?take

F^IG. 1.6 – Un bon utilisateur Contrainte de synchronisation

I

^{pour (GAB}

×

^{U) :}

( ?in-card, !in-card ) in

( ?valide, !valide )

valide

( !out-card, ?out-card ) out

( !take, ?take )

take

( code-OK,

•

⁾

code-O

( code-not-OK,

•

⁾

code-not-OK

•

keep-card

(21)

Exemple : Le GAB et un utilisateur (suite)

0

^!in-card

1

^!valide

2

^?out-card

3

?take

F^IG. 1.7 – Un bon utilisateur Contrainte de synchronisation

I

^{pour (GAB}

×

^{U) :}

( ?in-card, !in-card ) in

( ?valide, !valide ) valide

( !out-card, ?out-card ) out

( !take, ?take ) take

( code-OK,

•

⁾ ^code-O

( code-not-OK,

•

⁾ code-not-OK

( keep-card,

•

⁾ ^keep-card

(22)

Renommage

– synchronisation `a la Arnold-Nivat avec renommage

– d ´efinition 3 modifi ´ee :

f

^fonction ^partielle de synchronisation

f : A

₁

× A

₂

× · · · × A

_n

−→ A

^et

(q

₁

, . . . , q

_n

) − →

^b

(q

₁⁰

, . . . , q

_n⁰

) ⇐⇒

( f (a

₁

, . . . , a

_n

) = b

∧ ∀i, q

_i

−→

^aⁱ

q

_i⁰

Action invisible

– code-Ok, code-non-Ok, keep-card non vues par l’utilisateur (internes `a GAB)

– action sp ´eciale :

τ

(23)

(0, 0)

ⁱⁿ

(1, 1) (2, 2) (4, 2)

(5, 3)

(3, 2) (0, 2)

(1, 2)

valide

code-OK out

take

code-not-OK

n > 3

keep-card

code-not-OK

n ≤ 3

F^IG. 1.8 – Produit synchronis ´e GAB

×

U – contrainte

I

(24)

Synchronisation par variable(s) partag ´ee(s)

0 1 2

3 4 5

?in-card

c :=

^card-code ?valide

∧n := n + 1 τ ; c 6= c

⁰

∧ n ≤ 3

τ ; c 6= c

⁰

∧n > 3

c = τ c

⁰

!out-card

!distrib

n := 0

^keep-card

n := 0

FIG. 1.9 – GAB avec code

0

^!in-card

1

^!valide

∧c

⁰

:=

^pin

2

_?out-card

3

?take

(25)

Ex ´ecutions infinies – action

•

toujours possible

– deadlock

=

´etat dont on ne sort jamais

– ex écution finie compl ét ée en une ex écution infinie

s −−−−−→

^a¹^a²^···aⁿ

s

⁰ ^devient

s −−−−−→

^a¹^a²^···aⁿ

s

^{0 •}

− → s

^{0 •}

− → . . .

– ´etude des ex ´ecutions infinies

Etats ”puits”

deadlock : blocage non souhait é du syst ème – états sources d’aucune transition

– ´etats desquels on ne peut sortir

état final : état normal d’arr êt

diff ´erence

= ⇒

utiliser ´etiquetage (1) :

L(s) = terminal

(26)

1.4– D ´eterminisme – non d ´eterminisme

D ´efinition 4 (SdeT d ´eterministe) Un SdeT

S = (Q, s

₀

, A, →)

^est

d ´eterministe ssi

∀s, s

⁰

, s

⁰⁰

∈ S, ∀a ∈ A, s − →

^a

s

⁰

∧ s − →

^a

s

⁰⁰

= ⇒ s

⁰

= s

⁰⁰

Sinon il est non d ´eterministe.

2

– SdeT d ´eterministe : traces identiques

= ⇒

ex ´ecutions identiques (une ex ´ecution possible)

– SdeT non d éterministe : choix non d éterministe du syst ème (parmi un nombre fini de choix)

(27)

Exemple : Abstraction non d ´eterministe du GAB

0 1 2

3 4 5

?in-card ?valide

τ

τ τ

!out-card

!distrib

τ

FIG. 1.11 – GAB non d ´eterministe

(28)

1.5– Equit ´e (Fairness) [4, 8, 10]

–

S

un SdeT : toute ex ´ecution (infinie) de

S = ⇒

^une ^transition ^de

S

^est

infiniment souvent tir ´ee

–

S = S

₁

k S

₂ : ex ´ecution infinie de

S 6= ⇒

infiniment souvent une transition de

S

₁ ⁽

S

₂) soit tir ´ee

équit é forte : toute transition infiniment souvent tirable est infiniment souvent tir ée

équit é faible : toute transition toujours tirable à partir d’un certain moment est infiniment souvent tir ée

Exo : D éfinir formellement les crit ères d’ équit é. Relation équit és forte et

(29)

1.6– Equivalences de syst `emes de transitions [4]

– but : d ´efinir des ´equivalences pour 2 SdeTs

S

^et

S

⁰

– crit `eres :

– m ˆemes traces (

L(S ) = L(S

⁰

)

⁾

– m ˆemes structures

– formalisation de ces crit `eres

– propri ét és et relations entre les crit ères

exemple : ´equivalence de traces et bisimulation

(30)

1.6.1– Equivalence de traces

–

S = (Q, s

₀

, A, →)

^et

S

⁰

= (Q

⁰

, s

⁰₀

, A, →

⁰

)

^{des SdeTs}

–

L(S, q ) = {

traces des chemins commenc¸ants en

q

^dans

S }

–

q ∈ S, q

⁰

∈ S

⁰

, q ≈

^t

q

⁰

⇐⇒ L(S, q ) = L(S

⁰

, q

⁰

)

–

S ≈

^t

S

⁰

⇐⇒ s

₀

≈

^t

s

⁰₀

s

₀

s

₁

s

₂

s

₃

s

₄

a

b

c

τ

(a) Automate S

s

⁰₀

s

⁰₁

s

⁰₂

s

⁰₃

a b

c

τ

(b) Automate S⁰

F^IG. 1.12 – Automates traces- ´equivalents Extensions : traces acceptantes, refusantes, . . . autres ?

(31)

1.6.2– Equivalence de traces

–

S = (Q, s

₀

, A, →)

^et

S

⁰

= (Q

⁰

, s

⁰₀

, A, →

⁰

)

^{des SdeTs}

–

L(S, q ) = {

traces des chemins commenc¸ants en

q

^dans

S }

–

q ∈ S, q

⁰

∈ S

⁰

, q ≈

^t

q

⁰

⇐⇒ L(S, q ) = L(S

⁰

, q

⁰

)

–

S ≈

^t

S

⁰

⇐⇒ s

₀

≈

^t

s

⁰₀

s

₀

s

₁

s

₂

s

₃

s

₄

a

b

c

τ

(a) Automate S

s

⁰₀

s

⁰₁

s

⁰₂

s

⁰₃

a b

c

τ

(b) Automate S⁰

F^IG. 1.13 – Automates traces- ´equivalents Extensions : traces acceptantes, refusantes, . . . autres ?

(32)

Bisimulation

–

S = (Q, s

₀

, A, →)

^et

S

⁰

= (Q

⁰

, s

⁰₀

, A, →

⁰

)

^{des SdeTs}

–

S

^(resp.

S

⁰^{) peut} ^mimer chaque transition de

S

⁰ ^(resp.

S

⁾

– vu de l’ext ´erieur

S

^et

S

⁰ ^sont indiscernables

s

₀

s

₁

s

₂

s

₃

s

₄

a

b

c

τ

(a) Automate S

s

⁰₀

s

⁰₁

s

⁰₂

s

⁰₃

a b

c

τ

(b) Automate S⁰

F^IG. 1.14 – Automates non bisimilaires

(33)

Bisimulation

–

S = (Q, s

₀

, A, →)

^et

S

⁰

= (Q

⁰

, s

⁰₀

, A, →

⁰

)

^{des SdeTs}

–

S

^(resp.

S

⁰^{) peut} ^mimer chaque transition de

S

⁰ ^(resp.

S

⁾

– vu de l’ext ´erieur

S

^et

S

⁰ ^sont indiscernables

s

₀

s

₁

s

₂

s

₃

s

₄

a

b

c

τ

(a) Automate S

s

⁰₀

s

⁰₁

s

⁰₂

s

⁰₃

a b

c

τ

(b) Automate S⁰

F^IG. 1.15 – Automates non bisimilaires

(34)

D ´efinition 5 (Relation de bisimulation)

S = (Q, s

₀

, A, →)

^,

S

⁰

= (Q

⁰

, s

⁰₀

, A

⁰

, →)

deux SdeTs,

R ⊆ S × S

⁰ ^{est une} relation de bisimulation entre

S

^et

S

⁰ ^ssi

R

^est ^totale ^et

∀s ∈ S, s

⁰

∈ S

⁰

, sRs

⁰

∀(s − →

^a

s

₁

) = ⇒ ∃(s

⁰

− →

^a

s

⁰₁

) ∧ s

₁

Rs

⁰₁ ^(1.1)

∀(s

⁰

− →

^a

s

⁰₁

) = ⇒ ∃(s − →

^a

s

₁

) ∧ s

₁

Rs

⁰₁ ^(1.2)

S

^et

S

⁰ ^{sont en} bisimulation ssi il existe une relation de bisimulation

R

entre

S

^et

S

⁰ ^avec

s

₀

Rs

⁰₀. Si uniquement 1.1 alors

R

est une relation de

simulation entre

S

⁰ ^et

S

^et

S

⁰ ^simule

S

^.

2

Exo :

S

⁰ ^simule

S

^et

S

^simule

S

⁰

= ⇒ S

^et

S

⁰ sont bisimilaires ?

(35)

I Syst `emes concurrents 2 Les Logiques Temporelles – temps discret

Chapitre 2 : Les Logiques Temporelles – temps discret

Sommaire

2.1 Logique temporelle lin éaire (LTL) . . . . 37 2.1.1 Syntaxe de LTL . . . . 37 2.1.2 S émantique de LTL . . . . 38 2.1.3 Abbr éviations utiles . . . . 39 2.1.4 Equit é 1.5 en LTL . . . . 41 2.1.5 Quelques équivalences de formules . . . . 42 2.2 Logique temporelle arborescente : CTL . . . . 43 2.2.1 Syntaxe de CTL . . . . 43 2.2.2 S émantique de CTL . . . . 44 2.2.3 Abbr éviations utiles . . . . 45 2.2.4 Equit é en CTL . . . . 49 2.2.5 Quelques équivalences de formules . . . . 50

(36)

2.3.1 Syntaxe de CTL^∗ . . . . 51 2.3.2 S ´emantique de CTL^∗ . . . . 52

(37)

Logiques temporelles ?

– langages de sp écification de propri ét és d’un syst ème r éactif – but : sp écifier des comportements dynamiques

formules non statiques ; la valeur de v érit é change dans le temps exemple : toute demande d’argent sera satisfaite – on ne reçoit de l’argent que si on a entr é le bon code – l’imprimante 1 imprime – la

porte de l’ascenseur ne peut s’ouvrir que si le la cabine est arr êt ée, . . . Logiques adapt ées : logiques temporelles [8, 10, 15, 5, 26, 20]

– logique temporelle lin éaire (LTL) : propri ét és des ex écutions

– logique temporelle arborescente (CTL 2.2, CTL^∗ 2.3) : propri ét és des arbres d’ex écution

–

µ

-calcul ?? : calcul de points fixes

(38)

Types de propri ét és – Propri ét é

=

ensemble d’ex ´ecutions

– Temps

=

^discret ^{; instants}

=

états successifs des ex écutions (1) s ûret é (safety) : “quelque chose de mauvais n’arrive jamais”

P

propri ét é de s ûret é ssi :

σ ∈ P ⇐⇒

tous les pr ´efixes finis de

σ ∈ P

vivacit ´e (liveness) : “quelque chose de bon est toujours possible”

P

propri ét é de vivacit é ssi :

toute ex ´ecution finie

σ

peut ˆetre ´etendue en

σ

⁰

∈ P

Th éor ème [1] : Toute propri ét é est la conjonction d’une propri ét é de s ûret é et d’une propri ét é de vivacit é.

(39)

=

– Temps

=

P

σ ∈ P ⇐⇒

σ ∈ P

P

σ

⁰

∈ P

Th éor ème [1] : Toute propri ét é est la conjonction d’une propri ét é de s ûret é et d’une propri ét é de vivacit é.

(40)

=

– Temps

=

P

σ ∈ P ⇐⇒

σ ∈ P

P

σ

⁰

∈ P

Th éor ème [1] : Toute propri ét é est la conjonction d’une propri ét é de

(41)

Interpr ´etation des formules de logiques temporelles – mod `ele :

S = (Q, s

₀

, A, →, L)

SdeT ´etiquet ´e 1

ensemble de propri ét és atomiques sur les états

AP = {L(q ), q ∈ Q} ∪ {q, q ∈ Q} ∪ {

^tt

,

^ff

}

– interpr ´etation ( ´evaluation) des formules

φ

^sur

une ex ´ecution

σ

du SdeT en LTL

∀σ ∈ Exec(S ),

σ | = φ

⇐⇒ S | = φ

arbre d’ex ´ecution

A(S )

du SdeT en CTL

A(S ) | = φ ⇐⇒ S | = φ

(42)

S = (Q, s

₀

, A, →, L)

AP = {L(q ), q ∈ Q} ∪ {q, q ∈ Q} ∪ {

^tt

,

^ff

}

φ

^sur

σ

du SdeT en LTL

∀σ ∈ Exec(S ), σ | = φ ⇐⇒ S | = φ

A(S )

du SdeT en CTL

A(S ) | = φ ⇐⇒ S | = φ

(43)

S = (Q, s

₀

, A, →, L)

AP = {L(q ), q ∈ Q} ∪ {q, q ∈ Q} ∪ {

^tt

,

^ff

}

φ

^sur

σ

du SdeT en LTL

∀σ ∈ Exec(S ), σ | = φ ⇐⇒ S | = φ

A(S )

du SdeT en CTL

A(S ) | = φ

⇐⇒ S | = φ

(44)

S = (Q, s

₀

, A, →, L)

AP = {L(q ), q ∈ Q} ∪ {q, q ∈ Q} ∪ {

^tt

,

^ff

}

φ

^sur

σ

du SdeT en LTL

∀σ ∈ Exec(S ), σ | = φ ⇐⇒ S | = φ

A(S )

du SdeT en CTL

A(S ) | = φ ⇐⇒ S | = φ

(45)

2.1– Logique temporelle lin ´eaire (LTL) [10, 5, 26]

2.1.1– Syntaxe de LTL

objet de l’ étude : s équences d’ états infinies – (d éterminisme) D éfinition 6 (Formules de LTL) Les formules de LTL sont d éfinies inductivement par :

–

∀p ∈ AP, p ∈

^LTL

–

p, q ∈

^{LTL, alors}

p ∨ q, ¬p ∈

^LTL,

–

p, q ∈

^{LTL, alors}

X p, p U q ∈

^LTL

S ´emantique intuitive :

p p

X

p

^X

p

p p p q

p U q

(46)

2.1.2– S ´emantique de LTL – s ´equence

σ = s

₀

s

₁

. . . s

_n

. . .

–

σ

_n

= s

_n

. . .

–

∀k ≥ 0, L(s

_k

) ⊆ AP

(propositions atomiques vraies en

s

_k⁾

et

s

_i

∈ L(s

_j

) ⇐⇒ i = j

^{et tt}

∈ L(s

_i

),

^ff

6∈ L(s

_i

)

D ´efinition 7 (S ´emantique de LTL)

σ

une s ´equence : –

p ∈ AP, σ | = p ⇐⇒ p ∈ L(s

₀

)

–

σ | = p ∨ q ⇐⇒ σ | = p

^ou

σ | = q

–

σ | = ¬p ⇐⇒ σ 6| = p

^,

–

σ | = X p ⇐⇒ σ

₁

| = p

–

σ | = p U q ⇐⇒ ∃j, σ

j

| = q

^et

(∀k < j, σ

k

| = p)

(47)

2.1.3– Abbr ´eviations utiles – fatalement

p

^{: F}

p ≡

^tt

U p

p • • •

– toujours

p

^{: G}

p ≡ ¬

^F

¬p

⁽

p

^{est un} ^invariant)

p p p p p p p p p p p • • •

– infiniment souvent

p

^{: GF}

p

p p p p p • • •

– presque partout

p

^{: FG}

p

p p p p p p • • •

(48)

Exemple : Propri ´et ´es de

GAB × U

^(1.8)

– s ˆuret ´e : jamais carte rendue et code mauvais G

¬(U.3 ∧ n > 3)

– r ´eponse : obtenir de l’argent . . . G

(U.2 = ⇒

^F

U.3)

Exo : Proposer des formules LTL (si possible ?) pour les propri ´et ´es : 1. si l’utilisateur obtient de l’argent,

n ≤ 3

2. apr `es une demande l’utilisateur n’obtient de l’argent que si

n

^est

rest ´e

≤ 3

depuis sa demande

3. si le GAB revient infiniment souvent dans son ´etat initial, l’utilisateur obtient infiniment souvent de l’argent

4. si l’utilisateur a de l’argent, avant il y a forc ´ement eu une demande 5. il est toujours possible d’obtenir de l’argent

(49)

2.1.4– Equit ´e 1.5 en LTL

S = (Q, s

₀

, A, →)

un SdeT avec propri ´et ´es sur les transitions et les

´etats :

L : Q × A × Q → P

^;

L((s, a, s

⁰

)) ∈ P

s ´equence

= (

^´etat. transitions

)

^ω

L(s) = {

^enabled

(t), t = (s, a, s

⁰

) ∈→} L(t) = {

^Exec

(t), t ∈→}

´equit ´e faible : FG enabled

(t) = ⇒

^{GF Exec}

(t)

diff ´erence avec FG enabled

(t) = ⇒

^{F Exec}

(t)

^?

´equit ´e forte : FG enabled

(t) = ⇒

^{FG Exec}

(t)

Exo :

1. exprimer le blocage dans un ´etat

s

^{en LTL ;}

2. exprimer les crit ères d’ équit és forte et faible en LTL pour des SdeTs avec

– propri ét és sur les états uniquement ;

(50)

2.1.5– Quelques ´equivalences de formules

p = ⇒

^F

p

^X

p = ⇒

^F

p

^G

p = ⇒

^F

p pU q = ⇒

^F

q

^FG

p = ⇒

^GF

p

^FF

p ≡

^F

p

F

p ≡ p ∨

^XF

p

^G

p ≡ p ∧

^XG

p

pU q ≡ q ∨ (p ∧

^X

(pU q ))

(51)

2.2– Logique temporelle arborescente : CTL [8, 15, 10]

objet de l’ étude : arbres d’ex écutions (infinis) – (ind éterminisme) 2.2.1– Syntaxe de CTL

D éfinition 8 (Formules de Computation Tree Logic) Les formules de CTL sont les formules d’ états d éfinies inductivement par :

–

∀p ∈ AP, p ∈

formules d’ ´etat

–

p, q ∈

formules d’ ´etat CTL, alors

p ∨ q, ¬p ∈

formules d’ ´etat,

–

p ∈

formules de chemin de CTL, alors E

p,

^A

p ∈

formules d’ ´etats,

–

p, q ∈

formules d’ ´etats de CTL, alors

X p, p U q ∈

formules de chemin

(52)

2.2.2– S ´emantique de CTL – arbre d’ex ´ecution

≡

relation binaire

R

^(totale)

– chemin

σ = s

₀

s

₁

. . . s

_n

⇐⇒ ∀i, (s

_i

, s

_i+1

) ∈ R σ

_i

= s

_i

. . .

–

∀k ≥ 0, L(s

_k

) ⊆ AP

(propositions atomiques vraies en

s

_k⁾

D ´efinition 9 (S ´emantique de CTL)

σ

une s ´equence : –

p ∈ AP, s

₀

| = p ⇐⇒ p ∈ L(s

₀

)

–

s

₀

| = p ∨ q ⇐⇒ s

₀

| = p

^ou

s

₀

| = q s

₀

| = ¬p ⇐⇒ s

₀

6| = p

^,

–

s

₀

| =

^E

p ⇐⇒ ∃σ = s

₀

. . . , σ | = p

⁽

p

formule de chemins) –

s

₀

| =

^A

p ⇐⇒ ∀σ = s

₀

. . . , σ | = p

⁽

p

formule de chemins) –

σ | = X p ⇐⇒ σ

₁

| = p

⁽

p

formule d’ ´etat)

–

σ | = p U q ⇐⇒ ∃j, σ

_j

| = q

^et

(∀k < j, σ

_k

| = p)

⁽

p

^et

q

^formules

(53)

2.2.3– Abbr ´eviations utiles AF

p ≡

^A

(

^tt

U p)

• p p • • p

• • • p p p p p p •

EF

p ≡

^E

(

^tt

U p)

• • • • • •

• • • • • p • • p •

(54)

AG

p ≡ ¬

^EF

¬p p

p p p p p

p p p p p p p p p p

EG

p ≡ ¬

^AF

¬p p

• p • • •

• • • p • • • • • •

(55)

Exemples de propri ´et ´es de

GAB × U

^(1.8)

– s ˆuret ´e : jamais carte rendue et code mauvais AG

¬(U.3 ∧ n > 3)

– il est possible d’obtenir de l’argent apr `es chaque demande EG

(U.2 = ⇒

^AF

U.3)

– on obtient toujours de l’argent AG

(U.2 = ⇒

^AF

U.3)

– de tout état, on peut revenir à l’ état initial AG

(

^EFinit

)

(56)

Exo : Proposer des formules CTL (si possible ?) pour les propri ´et ´es : 1. si l’utilisateur obtient de l’argent,

n ≤ 3

^,

2. apr `es une demande il est possible que l’utilisateur obtienne de l’argent

3. apr `es une demande l’utilisateur n’obtient de l’argent que si

n

^est

rest ´e

≤ 3

depuis sa demande

4. si le GAB revient infiniment souvent dans son ´etat initial, l’utilisateur obtient infiniment souvent de l’argent

5. il est toujours possible d’obtenir de l’argent

Quelles sont les propri ´et ´es vraies sur le SdeT de la Fig. 1.8 ?

(57)

2.2.4– Equit ´e en CTL

– en LTL : FG et GF

impossible en CTL !

– Cf. syntaxe de CTL (8) : F et G ne peuvent ˆetre emboˆıt ´es – infiniment souvent

p

sur tous les chemins : AGAF

p

– il existe un chemin avec infiniment souvent

p

^:

EGEF

p

^? ^EGAF

p

^?

– il existe un chemin avec infiniment souvent

p

₁ ^et

p

₂ ^{. . .}

– extension de CTL : Fair CTL

=

CTL avec une s émantique fair d éfinir les chemins équitables

(58)

2.2.5– Quelques ´equivalences de formules

AG

p ≡ p ∧

^AXAG

p

^EG

p ≡ p ∧

^EXEG

p

AF

p ≡ p ∨

^AXAF

p

^EF

p ≡ p ∨

^EXEF

p

A

(pU q ) ≡ q ∨ (p ∧

^AXA

(pU q ))

^E

(pU q ) ≡ q ∨ (p ∧

^EXE

(pU q ))

(59)

2.3– LTL + CTL ⊆ ^CTL

^∗

^[8, ^10]

2.3.1– Syntaxe de CTL^∗

D ´efinition 10 (Formules de CTL^∗) Les formules de CTL^∗ sont d ´efinies inductivement par :

(

s

₁⁾

∀p ∈ AP, p ∈

formules d’ ´etat

(

s

₂⁾

p, q ∈

formules d’ ´etat, alors

p ∨ q, ¬p ∈

formules d’ ´etat, (

s

₃⁾

p ∈

formules de chemin, alors E

p,

^A

p ∈

formules d’ ´etat, (

p

₁⁾

p ∈

formules d’ ´etat, alors

p ∈

formules de chemin,

(

p

₂⁾

p, q ∈

formules de chemin, alors

p ∨ q, ¬p ∈

formules de chemin (

p

₃⁾

p, q ∈

formules de chemin, alors X

p, p U q ∈

formules de chemin

2

(60)

2.3.2– S ´emantique de CTL^∗

D éfinition 11 (S émantique de CTL^∗) La s émantique des formules de CTL^∗ est d éfinie inductivement par :

(

s

₁⁾

p ∈ AP,

formule d’ ´etat,

s

₀

| = p ⇐⇒ p ∈ L(s

₀

)

(

s

₂⁾

s

₀

| = p ∨ q ⇐⇒ s

₀

| = p

^ou

s

₀

| = q s

₀

| = ¬p ⇐⇒ s

₀

6| = p

^,

(

s

₃⁾

s

₀

| =

^E

p ⇐⇒ ∃σ = s

₀

. . . , σ | = p

⁽

p

formule de chemins) (

s

⁰₃⁾

s

₀

| =

^A

p ⇐⇒ ∀σ = s

₀

. . . , σ | = p

⁽

p

formule de chemins) (

p

₁⁾

p ∈

formules d’ ´etat,

s

₀

| = p ⇐⇒ σ = s

₀

. . . | = p

(

p

₂⁾

σ | = p ∨ q ⇐⇒ σ | = p

^ou

σ | = q

(

p

₃⁾

σ | = X p ⇐⇒ σ

₁

| = p

⁽

p

for. de chemin)

(

p

⁰₃⁾

σ | = p U q ⇐⇒ ∃j, σ

_j

| = q

^et

(∀k < j, σ

_k

| = p)

⁽

p

^et

q

^{for. de}

(61)

LTL, CTL, CTL^∗ ?

nature du temps ´equit ´e outils

LTL lin ´eaire oui SPIN [13, 14]

CTL arborescent non SMV [21]

CTL^∗ lin ´eaire et arborescent oui Autres logiques – TLA (Lamport) [16]

–

µ

-calcul [4] (MEC [3])

(62)

II Algorithmes de model-checking

Deuxi `eme partie :

Algorithmes de model-checking

(63)

II Algorithmes de model-checking

V ´erification sur mod `ele : Model-checking [8, 7, 22]

–

S

un SdeT ´etiquet ´e

–

φ

une formules de LTL, CTL ou CTL^∗ – question :

S

^{est-il un} ^{mod `ele} ^de

φ

^.

S | = φ

– r ´eponse oui ou non : algorithme de model-checking si oui ! ! si non

= ⇒

contre exemple

(64)

II Algorithmes de model-checking 3 Model-checking de LTL

Chapitre 3 : Model-checking de LTL

Sommaire

3.1 Automates de B üchi . . . . 57 3.2 Principe du model-checking pour LTL . . . . 61 3.3 Complexit é du model-cheking de LTL . . . . 62 3.4 Model-checking de LTL ” à la vol ée”(on-the-fly) . . . . 63 3.5 Construction de Bφ . . . . 64

Figures

(65)

3.1– Automates de B ¨ uchi [25]

D ´efinition 12 (Automate de B ¨uchi) Un automate de B ¨uchi

A

^{c’est :}

–

Σ

alphabet fini,

–

Q

ensemble fini d’ ´etats

–

−→⊆ Q × Σ × Q

relation de transition, –

s

₀ : ´etat initial,

–

F

^ensemble d’ ´etats accepteurs

ex ´ecution

=

s ´equence infinie de transitions (de

−→

⁾

ex ´ecution admissible

=

ex ´ecution passant infiniment souvent par un

´etat de

F

w

accept ´e par

A ≡ w

^{est la} ^trace d’une ex ´ecution admissible de

A

langage accept ´e par

A

^,

L(A) = {w,

accept ´es par

A}

(66)

s

₀

a, b

F^IG. 3.1 – Automate acceptant

(a ∪ b)

^ω

s

₀

s

₁

true {p} true

p

(67)

s

₀

s

₁

true {p}

F^IG. 3.3 – Automate acceptant

true 23 p

s

₀

s

₁

{p}

{q }

{p} ∨ {q }

FIG. 3.4 – Automate acceptant

2 (p U q )

(68)

D éfinition 13 (Automate de B ¨uchi G én éralis é) Un automate de B üchi g én éralis é

A

c’est un automate de B ¨uchi o `u :

–

I

est l’ensemble des ´etats initiaux,

–

F = {F

₁

, . . . , F

_n

}

est une famille d’ensembles d’ ´etats accepteurs ex ´ecution admissible

=

ex ´ecution issue d’un ´etat de

I

^{et passant}

infiniment souvent par un ´etat de chaque

F

_i

w

accept ´e par

A ≡ w

^{est la} ^trace d’une ex ´ecution admissible de

A

langage accept ´e par

A

^,

L(A) = {w,

accept ´es par

A}

Th éor ème 1 (Expressivit é des B ¨uchi g én éralis és) Tout langage accept é par un automate de B üchi g én éralis é est accept é par un

automate B ¨uchi.

2

(69)

3.2– Principe du model-checking pour LTL [8, 7, 22]

–

φ

ûne propri ét é

−→ B

_¬φ l’automate de B ¨uchi acceptant les ex ´ecutions satisfaisant

¬φ

–

S

un syst `eme de transitions

−→ S

est un automate de B üchi o ù tous les états sont accepteurs

– synchronisation de

S × B

_¬_φ ^:

(q, s) −→

^L(q)

(q

⁰

, s

⁰

)

–

(q, s)

^accepteur

⇐⇒ s

est accepteur dans

B

_¬φ

– Algorithme de model-cheking :

L(S × B

_¬_φ

) = ∅

^?

1. chercher cycle sur un ´etat accepteur

2. chemin d’un état initial à cet état accepteur

(70)

3.3– Complexit ´e du model-cheking de LTL

–

S

^{un SdeT :}

|S | = |Q| + |T |

–

|φ| =

nombre de sous formules de

φ

–

|B

_¬_φ

|

^{est en}

O (2

^|^φ^|

)

–

|S × B

_¬φ

|

^{est en}

O (|S |.|B

_¬φ

|)

–

L(S × B

_¬φ

) = ∅

^{est en}

O (|S × B

_¬φ

|)

Le model-checking de LTL est en O (|S |.2 ^|φ| )