This is an old revision of the document!

−Table of Contents

Formale Spezifikation und Verifikation
- Propositionallogik
- Model checking
  - CTL
  - SMV

Formale Spezifikation und Verifikation

Formal = Mittels Logik

Propositionallogik

Syntax

Propositionale Variablen	$A, B, C, \ldots$
Junktoren	$\neg, \wedge, \vee, \Rightarrow, \Leftrightarrow$
Formel	$\phi, \psi, \ldots$
Konstanten	$\top, \perp$

Semantik

Belegung	$\eta$
Foo	$⟦\phi⟧\eta$
Bar	$\&, \mid\mid$

Tautologie	$\forall \eta:⟦\phi⟧\eta$
Erfüllbar	$\exists \eta:⟦\phi⟧\eta$
Unerfüllbar	$\forall \eta:\neg⟦\phi⟧\eta$
Äquivalent	$\forall \eta:⟦\phi⟧\eta = ⟦\psi⟧\eta$
Erfüllbarkeitsäuivalenz	$(\phi \text{ und } \psi \text{ sind erfüllbar}) \vee (\phi \text{ und } \psi \text{ sind unerfüllbar})$

Normierung

Literal	$A$ und $\neg A$
Minterm	Konjunktion: $\ldots \wedge \ldots \wedge \ldots \wedge \ldots$ (Die wenigsten Belegungen sind $\top$ )
Maxterm / Klausel	Disjunktion: $\ldots \vee \ldots \vee \ldots \vee \ldots$ (Die meisten Belegungen sind $\top$ )
KNF	$(\ldots \vee \ldots \vee \ldots \vee \ldots ) \wedge ( \ldots \vee \ldots \vee \ldots \vee \ldots )$
DNF	$(\ldots \wedge \ldots \wedge \ldots \wedge \ldots) \vee (\ldots \wedge \ldots \wedge \ldots \wedge \ldots)$

$\bigwedge \emptyset = \top$
$\bigvee \emptyset = \perp$

$\phi$ … KNF	Größe	Zeit
Äquivalent	exponentiell	?
Erfüllungsäuivalent	linear	polynomiell

Tseitin Übersetzung

Nur erfüllungsäquivalent

Rekursive Funktion KNF
- Rein
  - (Nicht-Normalisierte) Formel
- Raus
  - Neuster (frischer) Variablenname
  - KNF
C ist frische Variable
Regel: $C \Leftrightarrow \phi$ als KNF
1. Tabelle Erstellen
2. Bei 0: Veroderung (Disjunktion) erstellen ( $A=0 \Rightarrow A$ / $A=1 \Rightarrow \neg A$ )
3. Verodrungen verunden (Konjunktion)

$KNF(A) = (A, \top)$

$\begin{array}{ll}KNF(\neg\phi) =&\text{let } (B, \Gamma) = KNF(\phi) \text{ in} \\ & (C, \Gamma \wedge (C \vee B) \wedge (\neg C \vee \neg B))\end{array}$

$\begin{array}{ll}KNF(\phi_1\vee\phi_2) =&\text{let } (B_1, \Gamma_1) = KNF(\phi_1) \text{ in} \\ &\text{let } (B_2, \Gamma_2) = KNF(\phi_2) \text{ in} \\ & (C, \Gamma_1 \wedge \Gamma_2 \wedge (\neg C \vee B_1 \vee B_2) \wedge (C \vee \neg B_1) \wedge (C \vee \neg B_2))\end{array}$

SAT-Solver

SAT

“ist $\phi$ erfüllbar?”
Entscheidungsproblem (NP-Hart)
Nur für KNF

Erweiterung auf nicht KNF: Tseitin Übersetzung
Erweiterung auf Äquivalenz von $\phi$ und $\psi$ : $\neg (\phi \Leftrightarrow \psi)$ unerfüllbar?

DPLL-Algorithmus

Rekursive Funktion DPLL
- Rein
  - (Teil) Besetzung
  - (Rest) KNF
- Raus
  - Bessere Belegung

Hier gibt es mehr. Aber das halte ich für Klausurirrelevant

Gleichheit von Schaltkreisen

Wenn gezeigt werden soll, das die Schaltungen $f$ und $f'$ bezüglich ihrer Eingänge $x\ldots$ das selbe liefern, dann darf $\neg \left( \left(f_1(x\ldots) \Leftrightarrow f'_1(x\ldots)\right) \wedge \left(f_2(x\ldots) \Leftrightarrow f'_2(x\ldots)\right)\right)$ keine Lösung liefern.

Nebenläufige Systeme

		Zeit
		0	1	…	n-1
Zustand	$z_1$	$x_{zt}$
	$z_2$
	…

$\bigwedge_t \bigwedge_{z \in Z} \bigwedge_{z' \ne z}\neg(x_{zt} \wedge x_{z't})$	Zu jeder Zeit ist nur ein zustand gesetzt
$\bigvee_{z \in I} x_{z0}$	Einer der Startzustände
$\bigwedge^{n-2}_{t=0} \bigvee_{z \rightarrow z'} x_{zt} \wedge x_{z'(t+1)}$	Zu jeder Zeit führt ein Zustand in einen Folgezustand
$\bigvee^{n-1}_{t=0} \bigvee_{z \in V} x_{zt}$	Zu einer Zeit ist ein verbotener Zustand erreicht

Dieses System darf keine Lösung haben.

BDD

nichtreduzierter BDDs

Gerichtet
Azyklisch
Knoten auf Pfad mit fixer Ordnung (es dürfen welche fehlen)

reduzierte BDDs (zusätzlich)

Keine Kanten mit identischen Start und Ziel (gleich ist OK)
Keine Redundanz (isomarphen Teilgraphen)
Nur True und False als Blätter (jeweils max. 1x)

nichtreduziert → reduziert

Knoten mit identischen Nachfolgern entfernen
Knoten: Name gleich & Nachfolger gleich ⇒ verschmelzen
True/False verschmelzen.

BDDs sind eindeutig: Gleiche Funktion ⇒ isomorphe BDDs

Shannon-Zerlegung: $f = (x \wedge f[x := \top]) \vee (\neg x \wedge f[x := \perp])$

Negation: True und False vertauschen

Variable setzen:

ersetzen/umlenken
reduzieren

Zweistellige Operationen: Rekursiv $(x \wedge (f[x := \top] \oplus g[x := \top])) \vee (\neg x (\wedge f[X := \perp] \oplus g[x := \perp]))$ (Gehe die Variablen der reihe nach durch. Ersetze die Nachfolger durch $\oplus$ aus den True-Zweigen und durch $\oplus$ aus den False-Zweigen.)

Alle möglichkeiten einer Variablen probieren: $\exists x: f := f[x := \top] \vee f[x :=\perp]$

Optiomierungen

Umordnen (extremfall: explonential)
Teilographen wiederverwenden (Hash-Funktion zum finden)

Es fehlen nebenläufige Systeme!!!

Model checking

Arten

Bounded (Beschränkt durch die Symulationszeit)
- SAT Solver
Symbolic
- BDDs

Dinge die Interessieren

Safty: Keine verbotenen Zustände erreichbar
Liveness: Reset-Zustand immer erreichbar? Kein verklemmen $AG(EF\bigwedge_p q_{p,sleep})$
Fairness: “Gute Eigenschaft” gilt für alle fairen Abläufe

CTL

Propositionale Variablen	$p, q, \ldots$	Jedes Aussgenlogische Formel ist CTL!
Junktoren	$\neg, \wedge, \vee, \Rightarrow, \Leftrightarrow$
Formel	$\phi, \psi, \ldots$
Konstanten	$\top, \perp$
Foo	$AX, EX, A[\phi U \psi], E[\phi U \psi], AG \phi, AF \phi, EG \phi, EF \phi$

$AG \Leftrightarrow \neg EF(\neg \phi)$

A	Auf allen Pfaden gilt …
E	Auf (mindestens) einem Pfad gilt …

…in…

X	Next	… (mindestens) einem unmittelbar folgenden Zustand
F	Final	… (mindestens) einem folgenden/selben Zustand
G	Globaly	… allen folgenden/selben Zuständen
U	Until	… allen folgenden/selben Zuständen $\phi$ , bis $\psi$ gilt. $\psi$ kann bereits im selben gelten

Transitinssystem

$(S, \rightarrow)$

Zustandsmenge: $\{(False, True), (True, False), (True, True)\}$
Transitionsrealtion: $\{\left(\left(Fals, True\right), \left(True, False\right)\right), \ldots\}$

Interpretationen

$Tr(\mathcal{I})$	$(S, \rightarrow)$	Transitionsystem	Durch $\mathcal{I}$ festgelegt
$\mathcal{I}(p)$	$\subseteq S$	Zustände in denen $p$ gilt
$s \models \mathcal{I} p$	$\{True, False\}$	Aussage: $p$ ist in Zustand $s$ gesetzt
$\mathcal{I}(\phi)$	$\subseteq S$	Zustände in denen $\phi$ gilt	Ableitbar
$s \models \mathcal{I} \phi$	$\{True, False\}$	Aussage: $\phi$ ist in Zustand $s$ gesetzt	Ableitbar

Interpretation enthält keine Formel.

Äquivalenz

(AE)(GF) vertauschen und 2xnegieren
- $AG(\phi) \Longleftrightarrow \neg EF(\neg \phi)$
- $AF(\phi) \Longleftrightarrow \neg EG(\neg \phi)$
- $EF(\phi) \Longleftrightarrow \neg AG(\neg \phi)$
- $EG(\phi) \Longleftrightarrow \neg AF(\neg \phi)$
$AG(\phi \wedge \psi) \Longleftrightarrow AG(\phi) \wedge AG(\psi)$
$AF(\phi) \Longleftrightarrow A[\top U \phi]$
$EF(\phi) \Longleftrightarrow E[\top U \phi]$
$A\[\phi U \psi\] \Longleftrightarrow \neg (E[\neg \phi U (\neg \phi \wedge \neg \psi)] \vee EG(\neg \phi))$

Labeling Algorithmus

Formel umformen (nur noch $\neg, \wedge, \perp, AF, E[\cdot U \cdot ]$ )
Teilformeln bis auf Variablen-Ebene finden
Teilformeln Bottom-up durchgehen, bis nichts mehr geht
1. Graph mit geltenden Teilformeln markieren, bis nichts mehr geht (dabei auf bereits markiertes berufen)

Markiere mit ..

$AF(\phi)$ , wo ..
- $\phi$
- Alle Nachfolger sind $AF(\phi)$
$E[\phi U \psi]$ , wo ..
- $\psi$
- $\phi$ und Folgezustand mit $E[\phi U \psi]$

Effizienter: $EG(\phi)$ anstatt $AF(\phi)$

$\neg\phi$ für Ausblenden/Ignorieren/Streichen
Starke Zusammenhangskomponenten markieren (Ring-Pfad durch Knoten)
Markiere Knoten, die in eine echte starke Zusammenhangskomponenten zeigen

Zeitkomplexität: Linear zu Transitionen

Aber state-explosion-problem: Exponentiell mit Anzahl zu modelierender Prozesse

SMV

Teile

MODULE
VAR
ASSIGN
INIT
TRANS
SPEC

Case sensitive
Wenn uterspezifiziert: Deterministisch
Wenn Block mehrfach: Konjunktion
Nur einzelnes Zeichen: & bzw. |
Nur Einfacher Strich: -> für ⇒
Negieren, um Lösung als Gegenbeispiel zu bekommen

MODULE

MODULE main

– oder –

MODULE p(x, y, z)

Keine Typ angaben

VAR

VAR
  a : boolean;
  b : {foo, bar};
  c : process otherModule(foo, bar);

… : … ;
boolean
Set: {}

ASSIGN

ASSIGN
  init(b) := foo;
  next(b) := {foo, bar};
  next(b) := case
               foo  : bar;
               TRUE : {foo, bar};
             esac;
  c := !b

… := …;
init()
next()
Invarianten
case … esac
Ersetzt INIT, TRANS und INVAR

Bei case: Boolscher Test: Wert/Set;

INIT

INIT
  b = foo;

… = … ;

TRANS

TRANS
    b = foo & next(b) = bar
  | b = bar & next(b) = foo
  | b = bar & next(b) = bar

Transition, wenn Formel erfüllt

INVAR

INVAR
  Ziege.pos = Wolf.pos -> Bauer.pos = Ziege.pos

Invariante

SPEC

SPEC
  AG(a -> AF b = foo)

DEFINE

DEFINE
  foo := myVar = foo & myOtherVAr = bar;

… := … ;