IV113 Validace a verifikace
Ověřování modelu s využitím řešičů SAT a SMT
(Bounded Model Checking)
Jiří Barnat
Připomenutí – SAT a SMT
Problém splnitelnosti – SAT
Nalezení valuace boolovských proměnných formule
výrokové logiky takové, že formule je v této valuaci
pravdivá.
Satisfiability Modulo Theory – SMT
Problém rozhodnout splnitelnost formule prvořádové
logiky s rovností, predikáty a funkčními symboly kódující
jednu či více zvolených teorií.
Typické teorie SMT
Aritmetika neomezených celých a desetinných čísel.
Aritmetika celých čísel omezené velikosti (bitové vektory).
Teorie datových struktur (seznamy, pole, . . . ).
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 2/30
Připomenutí – Řešiče SAT a SMT
ZZZ aka Z3
Nástroj vyvíjený v Microsoft Research.
WWW interface — http://www.rise4fun.com/Z3
Binární API pro použití v jiných aplikacích.
SMT-LIB
Standardizace jazyka pro zadávání SMT dotazů.
Volně dostupná knihovna s implementací SMT.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 3/30
Připomenutí – Splnitelnost a platnost
Pozorování
Formule je platná právě když její negace není splnitelná.
Důsledek
Řešiče SAT a SMT lze využít jako nástroje pro
dokazování platnosti formulovaných tvrzení.
Syntéza modelu
Řešiče SAT nejen rozhodují splnitelnost formulí, ale
v případě splnitelnosti vrací požadovanou valuaci
proměnných, pro níž je formule pravdivá.
Na rozdíl od dokazovacích nástrojů tak poskytují
"protipříklad" v případě neplatnosti dokazovaného tvrzení.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 4/30
Sekce
Ověřování safety vlastností redukcí na problém SAT
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 5/30
Bounded Model Checking (BMC)
Hypotéza
Je-li v systému chyba, pro její reprodukci stačí malý počet
kontrolovaných kroků systému.
Myšlenka metody
Používáme-li metodu ověřování modelu pro detekci chyb,
je smysluplné zkoumat, zda k porušení specifikace dojde
během prvních k kroků systému.
Literatura
Armin Biere, Alessandro Cimatti, Edmund M. Clarke, Yunshan Zhu:
Symbolic Model Checking without BDDs. TACAS 1999: 193-207, LNCS
1579.
Henry A. Kautz, Bart Selman: Planning as Satisfiability.Proceedings of
the 10th European conference on Artificial intelligence (ECAI’92):
359-363, 1992, Kluwer.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 6/30
Redukce problému BMC na problém SAT
Předpoklady
Množinu prefixů délky k všech běhů Kripkeho struktury M
lze kódovat boolovskou formulí [M]k
.
Porušení vlastnosti typu safety, které se projeví po
provedení k kroků systému, lze kódovat formulí [¬ϕ]k
.
Redukce na problém SAT
Ověřuje se splnitelnost formule [M]k
∧ [¬ϕ]k
.
Splnitelnost indikuje existenci protipříkladu délky k.
Nesplnitelnost formule prokazuje neexistenci protipříkladu
délky k.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 7/30
Kripkeho struktura jako boolovské formule
Předpoklady
Mějme Kripkeho strukturu M = (S, T, I) s iniciálním
stavem s0 ∈ S.
Libovolný stav s ∈ S lze reprezentovat jako bitový vektor
délky n, tj. stav s = a0, a1, . . . , an−1 .
Kódování M skrze boolovské formule
Init(s) – formule, která je splnitelná právě pro takovou
valuaci proměnných a1, a2, ..., an, které popisují stav s0.
Trans(s, s ) – formule, která je splnitelná pro stavové
vektory s, s , právě tehdy když valuace proměnných
a1, a2, ..., an, a1, a2, ..., an popisuje stavy, mezi kterými
existuje přechod, tj. (s, s ) ∈ T.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 8/30
Kódování konečných běhů M
Popis běhů systému délky k
Běh délky k je tvořen k + 1 stavy s0, s1, . . . , sk.
Množina všech běhů délky k struktury M je označena jako
[M]k
a je popsána následující formulí:
[M]k
≡ Init(s0) ∧
k
i=1
Trans(si−1, si )
Příklad [M]3
∧ [¬ϕ]3
Init(s0)∧Trans(s0, s1)∧Trans(s1, s2)∧Trans(s2, s3)∧¬ϕ(s3)
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 9/30
Sekce
Úplnost metody BMC
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 10/30
Úplnost BMC pro detekci porušení safety vlastností
Problém – nedetekované porušení vlastnosti typu safety
Porušení invariantu je cestou délky k nedosažitelné.
Cesty kratší než k nejsou v [M]k
kódovány.
Ohraničení k shora
Pokud k ≥ d, kde d je průměr grafu, všechny místa
možného porušení invariantu jsou pokryta.
Průměr grafu lze omezit konstantou 2n
, kde n je počet
bitů stavového vektoru.
Řešení problému
Realizace procedury BMC postupně pro k ∈ [0, d].
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 11/30
Automatická detekce průměru grafu
Fakta
Určení konstanty d uživatelem je nereálné.
Bezpečné horní odhady jsou velmi vzdálené realitě.
Chtěli bychom, aby samotná procedura verifikace
detekovala, zda má smysl nadále zvyšovat k.
Kostra algoritmu pro úplný BMC
k = 0
while (true) do
if (existuje protipříklad délky k)
then return "Invalid"
if (neexistuje protipříklad délky větší než k)
then return "Valid"
k = k + 1
od
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 12/30
Značení I
Předpoklady
Kripkeho struktura M = (S, T, I).
Stavy popsány bitovými vektory fixní délky.
Trans je SAT reprezentace binární relace T.
Cesta délky n
path(s[0..n]) ≡
0≤i<n
Trans(si , si+1)
Platnost tvrzení Q podél celé cesty
all.Q(s[0..n])
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 13/30
Značení II
Cesta bez cyklů
loopFree(s[0..n]) ≡ path(s[0..n]) ∧
0≤i<j≤n
si = sj
Existence cesty délky n z s0 do sn
pathn(s0, sn) ≡ ∃s1 . . . sn−1.path(s[0..n])
Nejkratší cesta
shortest(s[0..n]) ≡ path(s[0..n]) ∧ ¬
0≤i<n
pathi (s0, sn)
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 14/30
Ekvivalentní formulace problému
Verifikace
Chceme ukázat, že není dosažitelný stav z iniciální
konfigurace, který by porušoval specifikaci ϕ, tedy chceme
ukázat, že
∀i.∀s0 . . . si . Init(s0) ∧ path(s[0..i]) =⇒ ϕ(si )
Alternativně
Chceme ukázat, že z chybového stavu není směrem zpět
dosažitelný iniciální stav
∀i.∀s0 . . . si . Init(s0) ⇐= path(s[0..i]) ∧ ¬ϕ(si )
Ekvivalentně
∀i.∀s0 . . . si . ¬ Init(s0) ∧ path(s[0..i]) ∧ ¬ϕ(si )
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 15/30
Terminace procedury BMC – Acyklické cesty
Podmínka terminace v kostře algoritmu pro BMC
Není delší acyklická cesta z počátečního stavu. tj.
následující formule je nesplnitelná:
Init(s0) ∧ loopFree(s[0..i+1])
Platí i symetricky pro zpětnou dosažitelnost
z chybových stavů.
Řešení 1
not SAT loopFree(s[0..i+1]) ∧ Init(s0)
∨
not SAT loopFree(s[0..i+1]) ∧ ¬ϕ(si+1)
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 16/30
Terminace procedury BMC – Acyklické cesty II
Vyšší účinost terminačního kritéria
Při zpětné dosažitelnosti z ¬ϕ stavů není třeba uvažovat
cesty, které jdou přes další ¬ϕ stavy.
Symetricky platí i pro dopřednou variantu pro systémy, ve
kterých je definováno více iniciálních stavů, tj. pro detekci
úplnosti není třeba uvažovat cesty, které procházejí
dalšími iniciálními stavy.
Řešení 2
not SAT loopFree(s[0..i+1])∧Init(s0)∧all.¬Init(s[1..i+1])
∨
not SAT loopFree(s[0..i+1]) ∧ ¬ϕ(si+1) ∧ all.ϕ(s[0..i])
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 17/30
BMC, které nezačíná pro k = 0
Pozorování
Pro malé hodnoty k, dotazy na řešiče SAT nevedou
k nalezení protipříkladu ani k ukončení výpočtu.
Chceme proceduru BMC začít s k větším než 0.
Reformulace testu na protipříklad
Původní test na existenci protipříkladu pro dané k
SAT Init(s0) ∧ path(s[0..k]) ∧ ¬ϕ(sk)
je nutno reformulovat, abychom neminuli protipříklady, jež
jsou kratší než výchozí hodnota k.
Nový test na přítomnost protipříkladu:
SAT Init(s0) ∧ path(s[0..k]) ∧ ¬all.ϕ(s[0..k])
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 18/30
k-indukce v BMC
Pozorování
Testy lze reformulovat tak, aby připomínaly strukturu
matematické indukce.
TAUT je test na tautologii (nesplnitelnost negace).
Báze
Test na přítomnost protipříkladu.
SAT ¬ Init(so) ∧ path(s[0..i]) =⇒ all.ϕ(s[0..i])
Indukční krok
Test na úplnost.
TAUT ¬Init(s0) ⇐= all.¬Init(s[1..(i+1)]) ∧ loopFree(s[0..i+1])
∨
TAUT loopFree(s[0..i+1]) ∧ all.ϕ(s[0..i]) =⇒ ϕ(si+1)
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 19/30
Acyklické versus nejkratší cesty v BMC
Pozorování
Průměr grafu (d) je délka nejdelší z nejkratších cest mezi
každými dvěma vrcholy grafu.
Acyklická cesta v grafu může být výrazně delší než je
průměr grafu.
BMC s nejkratšími cestami
Algoritmus BMC je korektní, pokud se místo loopFree
použije shortest.
Predikát shortest ale vyžaduje použití kvantifikátorů,
nejedná se tedy o čistou aplikaci SAT.
Pro více detailů viz ...
Mary Sheeran, Satnam Singh, and Gunnar Stålmarck: Checking Safety
Properties Using Induction and a SAT-Solver, FMCAD 2000, 108-125,
LNCS 1954, Springer.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 20/30
Sekce
Ověřování modelu LTL metodou BMC
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 21/30
Verifikaci LTL pomocí BMC
Pozorování 1
LTL je dobře definováno pouze pro nekonečné běhy.
Pro vyhodnocování LTL na konečných cestách použijeme
tříhodnotovou logiku (platí, neplatí, nelze říci).
Platnost některých LTL formulí nelze rozhodnout na
žádné konečné cestě (např. GF a).
Pozorování 2
Cykly tvořené malým počtem stavů jsou procedurou BMC
vždy rozbaleny do acyklické cesty délky k.
Umožníme kódovat cesty, jež mají tvar lasa.
Tzv. (k, l)-cyklické cesty.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 22/30
(k,l)-cyklické cesty
(k,l)-cyklické běhy
Běh π = s0s1s2 . . . Kripkeho struktury M = (S, T, I, s0) je
(k, l)-cyklický pokud
π = (s0s1s2 . . . sl−1)(sl . . . sk)ω
,
kde 0 < l ≤ k a sl−1 = sk.
Pozorování
Pokud π je (k, l)-cyklický, pak π je též
(k + 1, l + 1)-cyklický.
Nahlížení konečné cesty délky jako (k, k)-cyklické je
nekorektní (může vytvořit neexistující běh M).
Každá cesta délky k je acyklická nebo je (k, l)-cyklická.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 23/30
Sémantika LTL na konečných prefixech běhů
Sémantika LTL pro konečné prefixy
Mějme π běh Kripkeho struktury M.
Nechť je dáno k.
π = π0
πi
|=nl X ϕ iff i < k ∧ πi+1
|=nl ϕ
πi
|=nl ϕ U ψ iff ∃j.i ≤ j ≤ k, πj
|=nl ψ and
∀m.i ≤ m < j, πi
|=nl ϕ
Sémantika |=k pro LTL při BMC
Pro (k, l)-cyklické cesty platí, že π |=k ϕ ⇐⇒ π |= ϕ.
Pro necyklické cesty platí, že π |=k ϕ ⇐⇒ π0
|=nl ϕ.
|=k=⇒|=k+1, |=k aproximuje |=
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 24/30
BMC pro LTL
Cíl
Konstruujeme boolovskou formuli [M, ϕ, k], která je
splnitelná právě když Kripkeho struktura M má běh π
takový, že π |=k ϕ.
[M, ϕ, k] ≡ [M]k
∧ [ϕ, k]
Kódování
[M]k
kóduje všechny cesty délky k
[ϕ, k] ≡ _[ϕ, k]0 ∨ k
l=1 l [ϕ, k]0
_[ϕ, k]0 kóduje, že cesta je acyklická a |=nl ϕ
l [ϕ, k]0 kóduje, že cesta je (k, l)-cyklická a |= ϕ
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 25/30
Triky v BMC pro LTL
Fragment LTL-X
Redukce počtu přechodů (redukce velikosti zadání SAT).
Podobné principy jako redukce částečným uspořádáním.
Pro zájemce
Keijo Heljanko: Bounded Model Checking for Finite-State Systems
http://users.ics.aalto.fi/kepa/qmc/slides-heljanko-2.pdf
Keijo Heljanko and Tommi Junttila: Advanced Tutorial on Bounded
Model Checking
http://users.ics.aalto.fi/kepa/acsd06-atpn06-bmc-tutorial/
lecture1.pdf
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 26/30
Sekce
Shrnutí pro BMC
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 27/30
Výhody BMC
Obecné
Redukce na standardní problém SAT, vývoj v oblasti
řešičů SAT se projevuje i na BMC přístupu.
Často vrací protipříklady minimální délky (ne vždy).
Boolovské formule mohou být kompaktnější než OBDD
reprezentace.
Verifikace HW
Díky k-indukci velmi úspěšná metoda.
Verifikace SW
Dle Software Verification Competition (SV-COMP) je
aktuálně BMC (rozšířené o využití SMT) mezi nejlepšími
metodami pro verifikaci (spíše falsifikaci) software.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 28/30
Nevýhody BMC
Obecné
Obecně neúplná metoda.
Velké instance SAT jsou stále neřešitelné.
Verifikace SW
Problematická analýza dynamických datových struktur.
Problematická analýza cyklů.
Neefektivní pro úplnou aritmetiku (částečně zvládá SMT).
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 29/30
Nástroje a k zamyšlení ...
Nástroje
CBMC – BMC pro ANSI-C.
ESBMC – využívá SMT, nadstavba CBMC.
LLBMC – BMC nad LLVM bitkódem.
K zamyšlení ...
Čím se liší moderní SMT-BMC od symbolické exekuce?
Koncepčně velmi podobné, rozlišení je v omezeném
rozbalení cyklů a v jiném pořadí prohledávání
(prořezaného) stromu symbolické exekuce.
IV113 Úvod do validace a verifikace: Bounded Model Checking str. 30/30