Application : analyse de logiciels embarqu´es avioniques critiques

(1)

Application : analyse de logiciels embarqu´ es avioniques critiques

TAS : Typage et analyse statique M2, Master STL INSTA, Sorbonne Universit´e

Antoine Min´e

Ann´ee 2018–2019

Cours 14 4 avril 2019

(2)

Plan

Introduction

L’analyseur Astréede programmes C embarqués synchrones conception d’un analyseur spécialisé

exemples d’abstractions r´esultats exp´erimentaux

L’analyseur AstréeAde programmes C embarqués concurrents analyse modulaire thread à thread avec interférences

r´esultats exp´erimentaux

(3)

Introduction

(4)

V´ erification des logiciels avioniques

Les logiciels avioniques critiques doivent êtrecertifiés: obligation légale

processus r´egul´e par des standards internationaux(DO-178B, DO-178C)

plus de la moitiédes coûts de développement

essentiellement bas´e sur des campagnes massives detests et sur la relecture de codepar des pairs(par des humains)

Tendance :

l’utilisation dem´ethodes formellesest officiellement reconnue

(DO-178C, DO-333)

au niveau binaire, pour remplacer le test

auniveau du source, pourremplacer la relecture de code auniveau du source, pourremplacer le test

si la correspondance entre source et binaire est aussi certifiée pour vérifier la robustesse et l’absence d’erreur à l’exécution

=⇒les méthodes formelles permettent d’améliorer l’efficacité et de réduire le coût de la certification !

(5)

Introduction

M´ ethodes formelles chez Airbus

Preuve de programme : m´ethodes d´eductives

propriétés fonctionnellesdepetits morceaux de code séquentielC remplace le teste unitaire

pas enti`erement automatis´e outilCaveat(CEA, voir aussi FramaC)

Analyse statique sˆure :

analyseentièrementautomatique de grosses applications, pour des propriétésnon fonctionnelles

temps d’ex´ecution maximal, utilisation maximale de pile sur du binaire : aiT, StackAnalyzer(AbsInt)

absence d’erreur à l’exécution sur du code Cséquentiel: analyseurAstrée(AbsInt)

(dépassements de capacité, erreurs arithmétiques, dépassements de tableaux, etc.)

Compilation certifi´ee :

permet l’analyse au niveau dusourcedecertifieraussi lecode binaire

(s´equentiel)

compilateur C CompCert, certifi´e enCoq(INRIA)

(6)

Analyse statique sˆ ure

Avantages :

analyse directe du code source(pas d’un modèle séparé)

automatique(facile `a utiliser par le programmeur, peu d’interaction n´ecessaire)

efficace

approximée(pour contourner les problèmes d’indécidabilité et de performance)

Sˆuret´e :

basée sur la sémantique (spécification C, entiers machines, flottants, pointeurs, . . . )

couverture totale du contrˆole et des donn´ees

les propriétés démontrées par l’analyseur sont vraies de toutes les exécutions

=⇒aucune erreur n’est oubliée :pas de faux négatif la sûreté estimposéepar le standard DO-178

(7)

L’analyseur statique Astr´ee

L’analyseur statique Astr´ ee

(8)

L’analyseur statique Astr´ ee

Analyseur statique de programmes temps-r´eelsembarqu´es

développé à l’ENS(2001–2009)

B. Blanchet, P. Cousot, R. Cousot, J. Feret, L. Mauborgne, D. Monniaux, A. Miné, X. Rival industrialisé et commercialisé parAbsInt

(depuis 2009)

Astr´ ee

www.astree.ens.fr

AbsInt

www.absint.com

(9)

L’analyseur statique Astr´ ee

(10)

Analyseur statique sp´ ecialis´ e

Principe :

1 Partir d’un analyseursimple, rapide, peu pr´ecis

avec un domaine exprimant les propriétés d’intérêt(e.g., intervalles)

et d’un programme caractéristique dans la classe d’intérêt

2 Raffiner manuellementl’analyseur jusqu’à atteindre 0 fausse alarme déterminer quelles propriétés intermédiaires ne sont pas inférées ajouter un nouveau domaine abstrait

si la propriété n’est pas déjà exprimable

utilisation d’op´erateurs abstraits rapides et minimalistes,

limiter le p´erim`etre d’activation du domaine (variables, portions de programme) pour rester efficace

ou raffiner des op´erateurs abstraits dans les domaines existants ou ajouter des r´eductions entre domaines existants

ou raffiner les param`etres de pr´ecision

périmètre d’activation, paramètres d’itération, . . .

(11)

Analyseur statique sp´ ecialis´ e

Principe :

1 Partir d’un analyseursimple, rapide, peu pr´ecis

avec un domaine exprimant les propriétés d’intérêt(e.g., intervalles)

et d’un programme caractéristique dans la classe d’intérêt

2 Raffiner manuellementl’analyseur jusqu’à atteindre 0 fausse alarme déterminer quelles propriétés intermédiaires ne sont pas inférées ajouter un nouveau domaine abstrait

si la propriété n’est pas déjà exprimable

utilisation d’op´erateurs abstraits rapides et minimalistes,

limiter le p´erim`etre d’activation du domaine (variables, portions de programme) pour rester efficace

ou raffiner des op´erateurs abstraits dans les domaines existants ou ajouter des r´eductions entre domaines existants

ou raffiner les param`etres de pr´ecision

périmètre d’activation, paramètres d’itération, . . .

(12)

Analyseur statique sp´ ecialis´ e

R´esultat

analyseursˆurpar construction efficacepar parcimonie

0fausse alarme sur le programme cible encourage une conception modulaire et des abstractions r´eutilisables Justification th´eorique :

pour chaque programme et propriété, un domaine adéquat existe

mais sa construction effective n’est pas m´ecanisable

un domaine donn´e fonctionne sur un nombre infini de programmes toute combinaison finie de domaines ´echoue

sur un nombre infini de programmes

En pratique,un analyseur sera précis sur toute une classe de programmes La suppression des fausses alarmes au cas par cas nécessite un affinage des paramètres de précision (qui peut souvent être effectué par l’utilisateur)

(13)

L’analyseur sp´ ecialis´ e Astr´ ee

Sp´ecialis´e pour :

l’analyse deserreurs `a l’ex´ecution

dépassements arithmétiques, dépassements de tableaux, divisions par 0, etc.

les logicielsC embarqu´es critiques

pas d’allocation dynamique de mémoire, pas de récursivité

et en particulier les logiciels de contrˆole/commande

programmes réactifs, avec des calculs flottants intensifs structure de contrôle simple, structures de données simples

lavalidation

toutes les erreurs sont trouv´ees, et peu de fausses alarmes

Environ40 domaines abstraitssont utilis´es simultan´ement

(14)

Logiciels de contrˆ ole/commande synchrones

Code r´eactif con¸cu dans un langage graphique, puis compil´e en C

(Scade, Simulink)

Structure

initialisation desvariables d’´etat while ( clock ≤ 3 600 000 ) {

lireles entr´ees des senseurs (volatile) calculerles sorties et lenouvel ´etat

´ecrireles sorties dans les actuateurs attendre le prochaintickd’horloge }

l’espace d’´etat globalest tr`es grand ('10Kvariables)

les structures de donn´ees restent simples (tableaux)

nombreuxcalculs num´eriques flottants (interpolation, filtrage digital)

la structure de contrˆole est tr`es plate

(l’inlining de appels de fonctions est possible)

(15)

Diagramme de bloc : exemple de filtre digital

chaque bloc est une (petite) fonction C prédéfinie une boˆıte a des variables d’état, rémanentes (static) les entrées sont volatiles,

uniquement born´ees par des contraintes physiques(senseurs)

(16)

S´ emantique concr` ete d’Astr´ ee

Sémantique concrète : définie par lanorme C99(programmes portables)

lanorme IEEE 754-1985(calculs en virgule flottante)

des paramètres spécifiques à chaque architecture

(sizeof, endianess,struct, etc.)

des param`etres du compilateur et du linker (initialisation, etc.)

Propriétés d’intérêt : absence d’erreur à l’exécution pas dedépassement de capacitéen entier ni en flottant

pasd’op´eration arithm´etique invalide (/0,<<33)

pasd’acc`es de tableau ou de pointeur invalide respect des assertions introduites dans le programme

par le programmeur (assert)

i.e., l’inaccessibilit´e d’un ´etat de programme invalide

(17)

S´ emantique apr` es une erreur

Plusieurs sémantiques sont envisageablesaprès une erreur: arrêterle programme (i.e., l’opérateur retourne⊥)

division ou modulo par z´ero

d´epassement de capacit´e en flottant (selon la configuration du FPU)

´

echec d’unassert retourner une valeur arbitraire

(non d´eterminisme dans l’ensemble des valeurs autoris´ees par le type)

décalage de bit invalide résultat bien défini

arithm´etique modulo 2ⁿ en entiers non sign´es type-punning

(r´e-interpr´etation d’un motif de bits comme une valeur d’un autre type)

comportement totalement indéfini accès mémoire invalide

=⇒trait´e comme un arrˆet de programme

Certains comportements peuvent être paramétrés par l’utilisateur Toujours continuer l’analyse après une alarme si cela a un sens !

(18)

Vue g´ en´ erale de l’analyseur

pr´e-processeur C (cpp)

↓

analyse lexicale C99

↓

´edition de lien(linker)au niveau source

↓

génération de code intermédiaire et typage

↓

propagation des constantes et simplification du code

↓

analyse de d´ependances

↓

interpr`ete abstrait

nombreux points communs avec lefront-endd’un compilateur

(19)

L’interpr` ete abstrait d’Astr´ ee

↓

it´erateur sur la syntaxe

↓

domaine de partitionnement de traces l

domaine de structure m´emoire l

domaine de pointeurs l

(produit r´eduit de)domaines abstraits num´eriques

l l l l ...

intervalles octogones arbres de d´ecisions filtres . . .

(20)

Quelques domaines abstraits utilis´ es dans Astr´ ee

octogones congruences arbres de d´ecision bool´eens

±X±Y ≤c X≡a[b] disjonctions

[Min´e 2006] [Granger 1989] [Mauborgne]

–100 –80 –60 –40 –20 0 20 40 60 80 100

y

–100 –80–60–40–20 20406080100 x

ellipso¨ıdes exponentielles partitionnement de traces

filtres digitaux X≤(1 +α)^βt disjonctions

[Feret 2005] [Feret 2005] [Mauborgne Rival 2005]

(21)

Exemple : paquets d’octogones

Invariants :∧_ij±X_i±X_j ≤c_ij; coˆutcubique

Un coûtO(|V|ⁿ) avecn>1 est trop élevé en pratique

Solution

Ne pas mettre toutes les variablesVdans ununique octogone Cr´eer `a la place de nombreuxpetits “paquets” d’octogones:

déterminés par unepré-analyse de dépendance

ne relier dans un octogone que les variables modifiées ensemble interrompre les chaˆınes de dépendances aux frontières des blocs syntaxiques (limiter la clôture transitive)

Résultat : sur le type de programmes considérés

nombre d’octogones lin´eaire en|V|et donc|P| (taille du programme)

taille des octogones constante, petite ('4)

=⇒coˆut lin´eaire en pratique

(22)

Exemple : paquets d’octogones

Invariants :∧_ij±X_i±X_j ≤c_ij; coˆutcubique

Un coûtO(|V|ⁿ) avecn>1 est trop élevé en pratique

Solution

Ne pas mettre toutes les variablesVdans ununique octogone Cr´eer `a la place de nombreuxpetits “paquets” d’octogones:

déterminés par unepré-analyse de dépendance

ne relier dans un octogone que les variables modifiées ensemble interrompre les chaˆınes de dépendances aux frontières des blocs syntaxiques (limiter la clôture transitive)

Résultat : sur le type de programmes considérés

nombre d’octogones lin´eaire en|V|et donc|P| (taille du programme)

taille des octogones constante, petite ('4)

=⇒coˆut lin´eaire en pratique

(23)

Exemple : arbres de d´ ecision bool´ eens

Le flot de contrôle est souvent encodé dans desvariables booléennes Exemple

B = (X>0);

..

. code long ..

.

if (B) Y = 1/X;

(B = 1∧X >0)∨(B= 0∧X ≤0)non convexe

Il est n´ecessaire departitionnerX par rapport `a lavaleur deB

(24)

Exemple : arbres de d´ ecision bool´ eens

0

0 1 0 1

1

X Y X

Y

X Y B B₁

B₂

BDD 2

Numeric abstract domains

BDD : structure compactepour le partitionnement d’´etats variablesbool´eennes aux nœuds

domaines num´eriques aux feuilles(intervalles, octogones)

partage des sous-arbres identiques⇒meilleur efficacit´e Mais il y a trop de variables bool´eennes pour un seul arbre :

utiliser ungrand nombre d’arbres de petite taille(profondeur 3)

utiliser un crit`ere syntaxique pour choisir les variables `a relier

(25)

Exemple : filtrage num´ erique

filter.c int INIT = 1;

float P, X, E1,E2, S1,S2;

void filtre2(){ if (INIT) {

P = S1 = E1 = X;

} else {

P = (0.4677826 * X) -

(E1 * 0.7700725) + (E2 * 0.4344376) + (S1 * 1.5419) - (S2 * 0.6740477);

} E2 = E1;

E1 = X;

S2 = S1;

S1 = P;

}

void main() { while (1) {

X = input(); /* [-10,10] */

filtre2();

INIT = input(); /* [0,1] */

wait_tick();

} }

(26)

Exemple : filtrage num´ erique

calcul deXn=

αXn−1+βXn−2+Yn

In

aucunintervalle ou poly`edre n’est stable la surface stable la plus simple est uneellipse Y²−aYX−bX²≤c

X U F(X) X

F(X)

F(X) X

X U F(X)

intervalle instable ellipse stable

(27)

Exemple : calculs flottants

Nombres flottants :

cause d’erreurs additionnelles: dépassements de capacité arrondi : sûreté sur les réels6=⇒ sûreté sur les flottants

e.g. :if (x != 0) y = 1 / (x*x)

Rendre les domaines sˆurs sur les flottants : Intervalles

faciled’être sûr :arrondi vers l’extérieur [a,b]⊕[c,d] ^def= [a⊕−∞c,b⊕+∞d]

Domaines relationnels (octogones, poly`edres)

donner une s´emantiquedans les r´eelspar transformation d’expressions enajoutant explicitement l’effet de l’arrondi:

X⊕Y −→[1−,1 +]X+ [1−,1 +]Y+ [−ε, ε] (abstraction)

passer ces expressions réelles à undomaine sûr pour les réels le domaine lui-même peut êtreimplanté de manière sûre en flottants

(X+Y≤c)∧(−Y ≤d) =⇒ (X≤c⊕+∞d) (arrondi vers l’ext´erieur)

(28)

Exemple : calculs flottants

Nombres flottants :

e.g. :if (x != 0) y = 1 / (x*x)

X⊕Y −→[1−,1 +]X+ [1−,1 +]Y+ [−ε, ε] (abstraction)

(X+Y≤c)∧(−Y ≤d) =⇒ (X≤c⊕+∞d) (arrondi vers l’ext´erieur)

(29)

Exemple : calculs flottants

Nombres flottants :

e.g. :if (x != 0) y = 1 / (x*x)

X⊕Y−→[1−,1 +]X+ [1−,1 +]Y+ [−ε, ε] (abstraction)

(X+Y ≤c)∧(−Y ≤d) =⇒ (X≤c⊕+∞d) (arrondi vers l’ext´erieur)

(30)

Exemple : exponentielles

round.c void main() {

float X = input(); /* [0,100] */

while (1) { X = X / 101.;

...

X = X * 101.;

wait_tick();

} }

Probl`eme :

En flottant (X/101)×1016=X.

×et/ajoutent uneerreur d’arrondi;X peut croˆıtre un peu `a chaque it´eration

=⇒la borne deX croˆıtexponentiellement!

En pratique, la croissance est suffisammentlenteet la durée d’exécution petite pour assurer qu’il n’y apas de dépassement de capacité

Solution :

Domainerelationnel non lin´eairepour relierX ettick

|X| ≤α(1 +a)^tick+β (α,βetasont automatiquement inf´er´es)

R´eduction:tick≤MAX_TICK⇒borne surX

(31)

Exemple : mod` ele m´ emoire bas niveau

Type union union {

struct { uint8 al,ah,bl,bh } b;

struct { uint16 ax,bx } w;

} r;

r.w.ax = 258;

if (r.b.al==2) r.b.al++;

Type-punning

uint8 buf[4] = { 1,2,3,4 };

uint32 i = *((uint32*)buf);

Copie rapide float a,b;

*((int*)&a) = *((int*)&b);

Norme C : programmes mal typ´es, comportementsind´efinis En pratique :

il n’y apas d’erreur

la sémantique estbien définie (spécification de l’ABI)

(32)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

Principe : s´emantique concr`ete

découper la mémoire encellulesreprésentant un entier de 1 octet ou plus ajouter (et supprimer)dynamiquementles cellules à l’exécution

en fonction des acc`es par pointeur

un octet peut ˆetre couvert parplusieurs cellules

=⇒conjonctionde contraintes

=⇒possibilit´e desynth´etiserla valeur d’une nouvelle cellule

`

a partir des cellules déjà présentes tout octet n’est pas forcément couvert (>)

(33)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

´etat initial : pas de cellule (>)

(34)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

ax 258

cr´eer r.w.ax: celluleuint16`a l’offset 0

(35)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

ax 258 al

2

créer r.b.al: celluleuint8à l’offset 0 initialisée avec :r.w.ax mod 256

(36)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

al 3

modifier la celluler.b.al d´etruire la cellule invalider.w.ax

(37)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

ax

al

0,...,65535

2,3

mat´erialiser les cellules de toutes les branches et faire l’union des environnements possibles

(38)

Exemple : mod` ele m´ emoire bas niveau

Type union

r.w.ax = 258;

0 1 2 ...

ax

al

0,...,65535

2,3

Dans l’abstrait : associer `a chaque cellule

un intervalle qui sur-approxime l’ensemble de ses valeurs possibles ou, plus généralement, une dimension dans un domaine numérique

e.g. poly`edres, pour garder des relations entre cellules

(39)

Applications d’Astr´ ee

Airbus A340-300(2003) Airbus A380(2004)

(mod`ele de)ESA ATV(2008)

taille : de 70 000 `a 860 000 lignes de C temps d’analyse : de 45mn `a'40h

0 alarme :preuve d’absence d’erreur `a l’ex´ecution

(40)

R´ esum´ e

Objectif atteint

Astrée : il estpossiblede construire un analyseur statique à la fois : sûrvis à vis d’une sémantique réaliste du C

raisonnablement efficaceen temps et en m´emoire pr´ecissur uneclasse infinie de programmes

utilisable dans un cadre devalidationdes logiciels critiques

Recette

partir d’un analyseur simple(intervalles)

tant qu’il reste des fausses alarmes chercher leur cause et, au choix

régler les paramètre d’analyse, ou améliorer un domaine existant, ou

ajouter une r´eduction entre domaines existants, ou ajouter un nouveau domaine

(41)

L’analyseur statique Astr´eeA

L’analyseur statique Astr´ eeA

(42)

Les logiciels concurrents

Programmation concurrente :

d´ecomposerun programme en un ensemble deprocessus qui interagissent exploitation du parall´elisme des ordinateurs(multi-cœurs, cloud)

d´ecomposition du programme en tˆaches asynchrones

(serveurs, GUI, programmes r´eactifs, . . . )

Dans l’avionique : Integrated Modular Avionics int´egrer des fonctionnalit´es(moins de CPUs)

remplacer les bus physiques par une m´emoire partag´ee (moins de fils)

pour les tâches moins critiques(DAL C–E, certification plus légère)

allocationstatique des ressources(threads, locks, m´emoire)

ordonnancementtemps-r´eel(ARINC 653, POSIX threads real-time)

Difficult´es :

les logiciels concurrents sont plus difficiles à concevoir correctement etplus difficilesàvalideret àvérifier

le testestinefficace,

lesméthodes formelles d’analyse de source sont peu développées

(43)

S´ emantique informelle des programmes multi-thread

t1 t2

`1awhiletruedo ^`1bwhiletruedo

`2aifx<y then ^`2bify <100then

`3ax←x+ 1 ^`3by ←y+rand(1,3)

Mod`ele d’ex´ecution :

ensemble fini dethreads (logiciels embarqu´es)

la m´emoire est partag´ee(x,y)

chaque thread a son propre compteur de programme l’ex´ecution entrelace des pas de chaque threadt1andt2

en choisissantarbitrairementla prochaine thread `a ex´ecuter

(les affectations et les tests sont consid´er´es comme atomiques)

=⇒nous avons l’invariant global :0≤x ≤y ≤102

(44)

Retour sur l’analyse s´ equentielle

Deux m´ethodes d’analyse : Equationnelle :´





 X₁=>

X₂=F₂(X₁) X₃=F₃(X₁) X₄=F₄(X₃,X₄)

D´enotationnelle :

i = 0;

while (i < nb) { a[i] =12;

i++;

}

CJwhilecdobdoneKX ^def=

CJ¬c?K(lfpλY.X∪CJb?K(CJcKY)) CJifcthentfiKX ^def=

CJtK(CJc?KX)∪CJ¬c?KX . . .

dériver un système d’équations du CFG une variableX_i∈ D^]par point de programmei itérer (propager) le long du CFG

mémoire linéaire en latailledu programme stratégie de propagationflexible

facile `a adapter aux programmesconcurrents avec un produit de CFG

m´ethode vue en cours et en TME it´eration sur la structure syntaxique

mémoire linéaire en laprofondeurdu programme stratégie d’itérationfixée

(suit la structure du programme)

pas de d´efinition inductive du parall´elisme. . .

(45)

M´ ethode ´ equationnelle (exemple)

`1whiletruedo

`2ify <100then

`3y ←y+rand(1,3)

Syst`eme d’´equations : X1={[y 7→0]}

X2=X1∪CJy≥100KX2∪CJy ←y+rand(1,3)KX3

X3= CJy <100KX2

Le système est de la forme∀i∈ {1,2,3}:Xi=Fi(X1,X2,X3) et peut être résolu par itérations :

∀i∈ {1,2,3}: X_i⁰=⊥

X_i^k+1=F_i(X₁^k,X₂^k,X₃^k)

(46)

Produit de CFG

× =

Produitdes CFG des threads du programme :

´

etat de contrˆole = paire de points de programmes

=⇒explosion combinatoiredes ´etats abstraits duplication des fonctions de transfert

=⇒exponentiel en le nombre de threads

(47)

Produit de CFG (exemple)

t1 t2

`1awhiletruedo ^`1bwhiletruedo

`2aifx<y then ^`2bify <100then

`3ax←x+ 1 ^`3by ←y+srand(1,3)

Syst`eme d’´equations :

X_1a,1b={[x7→0,y7→0]}

X_2a,1b=X_1a,1b∪CJx≥yKX_2a,1b∪CJx←x+ 1KX_3a,1b X_3a,1b= CJx<yKX_2a,1b

X_1a,2b=X_1a,1b∪CJy≥100KX_1a,2b∪CJy←y+rand(1,3)KX_1a,3b X_2a,2b=X_1a,2b∪CJx≥yKX_2a,2b∪CJx←x+ 1KX_3a,2b∪

X_2a,1b∪CJy≥100KX_2a,2b∪CJy←y+rand(1,3)KX_2a,3b

X_3a,2b= CJx<yKX_2a,2b∪X_3a,1b∪CJy≥100KX_3a,2b∪CJy←y+rand(1,3)KX_3a,3b X_1a,3b= CJy<100KX_1a,2b

X_2a,3b=X_1a,3b∪CJx≥yKX_2a,3b∪CJx←x+ 1KX_3a,3b∪CJy<100KX_2a,2b X_3a,3b= CJx<yKX_2a,3b∪CJy<100KX_3a,2b

(48)

Analyse thread ` a thread avec interf´ erences simples

i = 0;

while (i < nb) { a[i] --;

i++;

}

i = 0;

while (i < nb) { a[i] ++;

i++;

}

Principe : éviter l’explosion combinatoire du contrôle analyser chaque thread séparément

collecterlesvaleurs´ecrites dans chaque variable par chaque thread

=⇒lesinterf´erences

abstraites dans un domaine abstrait, e.g., les intervalles

r´e-analyserles threads, eninjectantces valeurs `a chaque lecture

lire une variable retourne la dernière valeur lue, ou une interférence, de manière non déterministe

=⇒de nouveaux états et interférences sont découverts itérer les analyses jusqu’à la stabilisation

en appliquant un ´elargissementOsur les interf´erences

(49)

Analyse thread ` a thread avec interf´ erences simples

i = 0;

while (i < nb) { a[i] --;

i++;

}

i = 0;

while (i < nb) { a[i] ++;

i++;

}

(50)

Analyse thread ` a thread avec interf´ erences simples

i = 0;

while (i < nb) { a[i] --;

i++;

}

i = 0;

while (i < nb) { a[i] ++;

i++;

}

=⇒de nouveaux états et interférences sont découverts

it´erer les analyses jusqu’`a la stabilisation

(51)

Analyse thread ` a thread avec interf´ erences simples

i = 0;

while (i < nb) { a[i] --;

i++;

}

i = 0;

while (i < nb) { a[i] ++;

i++;

}

... ...

▽ ▽

(52)

Exemple d’analyse thread ` a thread

t1

`1awhiletruedo

`2aifx<ythen

`3ax←x+ 1

t2

`1bwhiletruedo

`2bify <100then

`3by ←y+rand(1,3)

Analyse concr`ete det₁

(1a):x=y = 0

(2a):x=y = 0

(3a):⊥

(53)

Exemple d’analyse thread ` a thread

t1

`1awhiletruedo

`2aifx<ythen

`3ax←x+ 1

t2

`1bwhiletruedo

`2bify <100then

`3by ←y+rand(1,3)

Analyse concr`ete det₂

(1b):x =y = 0

(2b):x = 0,y∈[0,102]

(3b):x = 0,y∈[0,99]

interf´erences d´ecouvertes :y←[1,102]

(54)

Exemple d’analyse thread ` a thread

t1

`1awhiletruedo

`2aifx<ythen

`3ax←x+ 1

t2

`1bwhiletruedo

`2bify <100then

`3by ←y+rand(1,3)

Nouvelle analyse det₁avec interférences causées part₂ interférences à appliquer :y ←[1,102]

(1a):x=y = 0

(2a):x∈[0,102], y = 0

(3a):x∈[0,102], y = 0

remplacerx <y parx <max(y,[1,102]) remplacerx ≥y parx ≥min(y,[1,102])

interf´erences d´ecouvertes :x←[1,102]

les analyses suivantes sont identiques :le point fixe est atteint

(55)

Exemple d’analyse thread ` a thread

t1

`1awhiletruedo

`2aifx<ythen

`3ax←x+ 1

t2

`1bwhiletruedo

`2bify <100then

`3by ←y+rand(1,3)

Invariants concrets :

nous avonsx,y ∈[0,102], mais pasx ≤y Analyse abstraite d´eriv´ee :

similaire à une analyse deprogrammes séquentiels, mais itérée

param´etr´ee par un domaine abstrait arbitraire

efficace(peu de r´e-analyses n´ecessaires en pratique)

les interf´erences sontnon relationnellesetinsensibles au flot de contrˆole

limite héritée de la sémantique concrète

(56)

Mod` ele de m´ emoire mat´ eriel : TSO

buﬀer2

mémoire partagée x ← 1

y ← 12 x ← 5 x ← 10

x=0 y=99 x ← 1 y ← 12 x ← 5 x ← 10 buﬀer1

thread1 thread2

Total Store Ordering :modèle d’Intel x86 chaque thread a une queue non relationnelles les queues sont vidées de manière non déterministe dans la mémoire partagée

une thread lit en priorité les valeurs présentes dans sa queue, ou la mémoire partagée si aucune valeur n’est disponible

(57)

M´ emoires faiblement coh´ erentes et sˆ uret´ e

La sémantique d’entrelacements(cohérence séquentielle)

n’est doncpas r´ealiste:

optimisations du CPU(buffers, r´e-ordonnancement d’instructions)

optimisations du compilateur (explicitement permises par la norme)

=⇒

une analyse sûre pour la cohérence séquentielle

n’est pas automatiquement sûre pour un modèle mémoire réalisteplus faible

modèle plus faible = moins de garanties = plus de comportements possibles exemple : y←1;ifx= 0then · · · ||x←1;ify= 0then · · · peut être exécuté comme : ifx= 0theny←1;· · · ||ify= 0thenx←1;· · ·

Résultat : l’analyse avec interférences simplesest sûre

vis à vis d’un grand nombre de modèles mémoires faibles

Justification : les interférences non relationnelles et insensibles au flot de contrôle sont invariantes par ré-ordonnancement des lectures et écritures

(58)

Verrous d’exclusion mutuelle

t1

t2 lock

lock unlock

unlock

W

R R R

W W W

Mutexes :

assure l’exclusion mutuelle

`

a tout instant, au plus une thread peut poss´eder un verrou donn´e

assure la cohérence de la mémoire, l’atomicité et la propagation des écritures

pas de r´e-ordonnancement `a traverslocketunlock

=⇒nous pouvonssupprimer des interférences irréalisableset améliorer la précision en ajoutant un petite degré desensibilité au flot de contrôle

(59)

Verrous d’exclusion mutuelle

t1

t2 lock

lock unlock

unlock

W

R R R

W W W

Interf´erences dedata-race:

paireslecture/écritureetécriture/écriturenon protégées

(60)

Verrous d’exclusion mutuelle

t1

t2 lock

lock unlock

unlock

W

R R R

W W W

Interf´erences dedata-race:

paireslecture/écritureetécriture/écriturenon protégées Interférences bien synchronisées :

la derni`ere´ecritureavant ununlockdet1

influence leslecturesentrelocket la premi`ere´ecrituredanst2

Nous partitionnons lesinterf´erencesen fonction de l’´etat des mutex.

(61)

Exemple

producteur consommateur (abstrait)

N consommateurs N producteurs

whiletruedo whiletruedo

lock(m) lock(m);

ifx>0thenx←x−1endif; x ←x+ 1;

ifx >100thenx←100endif;

unlock(m) unlock(m)

En supposantN producteurs etN consommateurs :

pas d’interf´erence dedata-race (preuve d’absence de data-race)

interf´erences bien synchronis´ees : consommateurs :x ←[0,99]

producteurs :x ←[1,100]

=⇒nous trouvons :x∈[0,100]

(sans lock, pourN>1, même la sémantique concrète ne peut pas bornerx)

(62)

Ordonnanceur temps r´ eel ` a priorit´ e

yield yield

yield

yield priority

Ordonnanceur temps r´eel :

chaque thread a une priorit´e stricte(pouvant ˆetre dynamique)

une thread peut être préemptée

uniquement par une thread de priorité strictement plus élevée une thread peut se suspendre pour un temps indéterminé(yield,lock)

Analyse :affiner les propagation d’interférences en tenant compte des priorités partitionnement des interférences par thread et par priorité

les threads deplus haute priorit´einjectent les interf´erences depuis leur yieldvers tous les points des threads

les threads deplus basse priorit´einjectent leurinterf´erence de data-race vers les points deyield

(63)

Analyse de deadlocks

Deadlock: cycle de threads bloqu´es

chacun attendant un mutex poss´ed´e par le suivant

t1 t2

lock(a) lock(a) lock(c) lock(b) unlock(c) unlock(a) lock(b) lock(a) unlock(b) unlock(a) unlock(a) unlock(b)

t1

t1 a

t1 a,b

t2

t2 b t2

b,a a

b a

t2

a a

b t1

a,c c

Pendant l’analyse, collecter :

lesconfigurationsR de mutexpossibles :R⊆threads× P(mutexes) lesinstructions de lock depuis ces configurationsR×mutexes

Ensuite, construire ungraphe de blocageentreinstructionslock ((t,m), `) bloque ((t⁰,m⁰), `⁰) si

t 6=t⁰ etm∩m⁰ =∅ (configurations non en exclusion mutuelle)

`∈m⁰ (lockbloquant)

Un deadlock est uncycle dans le graphe des blocages

g´en´eralisation possible aux cycles plus grands, avec plus de threads intervenants dans le deadlock

(64)

Analyse de deadlocks

Deadlock: cycle de threads bloqu´es

chacun attendant un mutex poss´ed´e par le suivant

t1 t2

lock(a) lock(a) lock(c) lock(b) unlock(c) unlock(a) lock(b) lock(a) unlock(b) unlock(a) unlock(a) unlock(b)

lock(b) blocks lock(a) blocks lock(a) blocks t1

t1 a

t1 a,b

t2

t2 b t2

b,a a

b a

t2

a a

b

t1

a,c c

Pendant l’analyse, collecter :

lesconfigurationsR de mutexpossibles :R⊆threads× P(mutexes) lesinstructions de lock depuis ces configurationsR×mutexes Ensuite, construire ungraphe de blocageentreinstructionslock

((t,m), `) bloque ((t⁰,m⁰), `⁰) si

t 6=t⁰ etm∩m⁰ =∅ (configurations non en exclusion mutuelle)

`∈m⁰ (lockbloquant)

Un deadlock est uncycledans le graphe des blocages

g´en´eralisation possible aux cycles plus grands, avec plus de threads intervenants dans le deadlock

(65)

Interpr` ete abstrait d’Astr´ eeA

it´erateur sur les threads

↓

it´erateur sur la syntaxe

↓

domaine de partitionnement de traces

↓

domaine de partitionnement des verrous l

domaindestructurem´emoire

l ↑

domaine des interf´erences ...

l ↓

domaine de pointeurs l

(produit r´eduit de)domaines num´eriques abstraits

l l l l ...

intervalles octogones arbres de d´ecision filtres . . .

(66)

Famille cible d’applications

Mod`ele de concurrence : ensemble fix´e de threads

ordonnancement temps réel préemptif sur un seul processeur mémoire partagée, locks

Application cible :

code avionique embarqu´e 1.6 Mlocde C,15threads

code r´eactif+ coder´eseau+listes,chaˆınes,pointeurs

nombreuses variables, tableaux, boucles, graphe d’appel peu profond pas d’allocation dynamique de mémoire, pas de récursivité

(67)

Contexte d’analyse

Environnement d’ex´ecution concret :

Application cible C Autres applications ARINC 653 OS, C+asm

Mat´eriel

L’application cible :

s’exécute en concurrence avec d’autres applications (séparation en mémoire)

interagit dynamiquement avec un OSde type ARINC 653

(contrˆole des threads, mutex lock et unlock, communications)

interagit avec d’autres applications via l’OS

cr´ee des objets syst`emes seulement pendant la phase d’initialisation

(l’ensemble des objets créé est inféré par l’analyse de la phase d’initialisation)

(68)

Contexte d’analyse

Environnement d’analyse abstraite :

Application cible, C mod`ele ARINC 653, C + built-in

L’application cible est enrichie avec unmodèle de l’OSécrit à la main 2.6 Kloc de C + built-ins Astrée bas niveau

simule tous les appels syst`emes de l’OS

implante les objets de l’OS avec des objets bas-niveau d’Astr´eeA

(e.g., les mutex d’Astr´eeA sont de simples entiers, ceux d’ARINC 653 ont un nom chaˆıne)

=⇒ réduction à l’analyse d’un programme “C”autonome sans symbole indéfini

(69)

R´ esultats

Précision : obtenus par spécialisation 2010 :12,257fausses alarmes 2015 :1,195fausses alarmes Efficacité :

sur une machine Intel i7 2.90 GHz temps de calcul :24h

nombre d’itérations :6 (pas d’élargissement nécessaire sur les interférences)

90 GBRAM

L’amélioration de la précision est obtenue grâce : au partitionnement des interférences par les verrous

`

a l’ajout d’interf´erences relationnelles(non vu en cours)

`

a l’ajout de domaine abstraits sp´ecialis´es au domaine d’application