高完整性系统工程(四):Formal Verification and Validation

最新推荐文章于 2023-12-29 02:38:40 发布
最新推荐文章于 2023-12-29 02:38:40 发布
阅读量690 收藏
点赞数
分类专栏: 高完整性系统工程 文章标签: 高完整性系统 Alloy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Abner98414/article/details/130976761
版权

目录

1. Specification Process

1.1 State Invariants

1.2 Exceptional Behaviour

1.3 Framing

1.4 Summary

2. V&V FOR SPECS

2.1 V&V for formal specs

2.2 Proof

2.3 Proof Assistants

2.4 Model Checking

1. Specification Process

Specification Process关注如何编写用于描述系统状态的断言和谓词。

1.1 State Invariants

这部分主要解释了状态机(State Machine)和状态断言的概念。这里的状态(State)指的是系统在给定时间点的状态。每一个操作都可能导致系统状态的改变。我们通常用一种称为断言(assertion)的方式来验证状态的性质。

例如,一个状态机可以用如下的方式进行描述:S0 (Init) --Opi-> S1 --Opj-> S2 ... --Opk-> Sn,其中S0, S1, S2...Sn代表不同的状态,Opi, Opj, Opk等代表可能的操作。

其中的Inv[s]是一个谓词(predicate),它用于描述系统状态s是否满足某种性质。验证Inv[s]是否对所有状态s都成立,可以通过以下两个断言:

assert invInit { all s : State | Init[s] => Inv[s] }
assert invOpi { always all s : State | Inv[s] and Opi[s] => after Inv[s] }

其中invInit确保所有初始状态都满足Inv[s]invOpi确保在执行操作Opi后,新的状态依然满足Inv[s]。这里的"always"和"after"关键词分别表示所有状态和操作后的状态。

1.2 Exceptional Behaviour

Distinguishing normal and exceptional behaviour in models

//Add a password for a *new* user/url pair
pred addNormal [pb : PassBook, url : URL, user : Username, 
			   pwd: Password, report : one Report] {
	addPre [pb, url, user]
	addPost [pb, url, user, pwd]
	report in Success
}

//Fail to add a password that already exists
pred addExceptional [pb : PassBook, url : URL, user : Username,
				report : one Report] {
	not addPre [pb, url, user]
	pb.password' = pb.password
	report in Failed
}

//Add a password for a *new* user/ url, otherwise, add nothing 
pred add [pb : PassBook, url : URL, user: Username, pwd: Password,
		report :one Report]s
	addNormal [pb, url, user, pwd, report]
	 or
	addExceptional [pb, url, user, report]
}

The point is to constrain what the system is meant to do in exceptional cases

//Fail to add a password that already exists
pred addExceptional [pb : PassBook, url : URL, user : Username,
				report : one Report] {
	not addPre [pb, url, user]
	pb.password' = pb.password
	report in Failed
}

Model it separately from normal behaviour
Where does it come from?
e.g. Hazard Analysis (HAZOP) etc

这部分讲述了正常和异常行为的区分以及如何在模型中描述这两种行为。

对于每个操作,我们都需要描述其正常情况下的预期行为以及异常情况下的行为。例如,在以下的密码添加示例中,addNormal定义了正常情况下的预期行为,而addExceptional定义了异常情况下的行为。

异常行为的来源可以通过危害分析(Hazard Analysis,如HAZOP)等方法进行识别。

1.3 Framing

这部分主要讨论了命题(predicate)的范围问题。

例如,在以下两个addExceptional的定义中,第二个版本去掉了pb.password' = pb.password这一句,因此在后续状态中,pb.password的值可以是任何值,这使得异常行为可以是任意的。

How are these two predicates different?

//Fail to add a password that already exists
pred addExceptional [pb : PassBook, url : URL, user : Username,
				report : one Report] {
	not addPre [pb, url, user]
	pb.password' = pb.password
	report in Failed
}


//Fail to add a password that already exists
pred addExceptional [pb : PassBook, url : URL, user : Username,
				report : one Report] {
	not addPre [pb, url, user]
	//pb.password' = pb.password
	report in Failed
}

Second allows pb.password in the post-state to be anything, and so allows add’s exceptional behaviour to be arbitrary

What does this spec say?

Imagine that Objs have two variable fields, x and y

Allows the y field to change arbitrarily. It should be:

另外一个例子展示了如何通过限制字段的变化来约束系统的行为。例如,addToX的第一个版本只限制了x字段的变化,而y字段可以随意变化。然而在第二个版本中,我们增加了o.y’ = o.y以确保y字段在执行addToX操作时保持不变。

1.4 Summary

  • State: 在理解状态机的时候,重要的是要知道状态和转换。状态表示系统的某一特定情况,而转换则表示从一个状态到另一个状态的动作或条件。在软件工程中,状态机经常用于建模系统的行为。

  • Exceptional Behaviour: 异常行为通常指系统的非正常或错误行为。在设计系统时,特别是关键系统(如医疗或航空系统),处理异常行为是非常重要的。如果未能妥善处理,异常行为可能会导致系统故障或更严重的后果。

  • Framing: Framing是指在进行操作时,明确指定哪些变量或属性应该发生变化,哪些应该保持不变。这是一个重要的概念,因为如果不进行framing,系统的行为可能会超出预期。在某些情况下,我们希望某些属性在执行操作时保持不变,这就需要使用framing来明确指定。

2. V&V FOR SPECS

2.1 V&V for formal specs

V&V代表验证与确认,是一个对系统或产品进行评估,确保其满足特定需求、功能和性能的过程。在我们的规格中,我们使用各种方法进行V&V,包括动画、模型检查、实现与测试、审查与检查、以及证明。

  1. Animation & Model Checking (以Alloy为例)

  • 动画(如Alloy的run命令):Alloy是一个轻量级的形式方法工具,能用于创建和分析模型。动画就是通过命令将模型实例化并进行模拟,让开发者可以看到模型的运行情况,对模型进行验证。

  • 模型检查(如Alloy的check命令):模型检查是一种自动化的技术,可以全面地检查一个系统的所有可能状态是否满足某个特性。在Alloy中,check命令用于验证一个模型是否满足一个或多个断言。

2.2 Proof

  • 证明是一个重要的V&V方法。幻灯片中的例子展示了如何使用证明来验证add操作。这个操作有两种情况,addNormaladdExceptional,对应着添加密码的正常和异常情况。

  • 对每一种情况,都需要证明在执行add操作后,系统的状态依然满足某种属性(即Inv[pb])。这个证明过程被分解成了几个步骤,包括原始情况(Case 1)和变化情况(Case 2)。

  • 幻灯片中使用的是一种称为Hoare逻辑的方法,其中的assert语句形式为{P}C{Q},其中P是程序C执行前的条件,Q是程序C执行后的条件。这种方法用于证明在满足某些条件的情况下,程序的执行会导致另一些条件的满足。

add[pb, user, url, pwd, res] =
    addNormal[pb, user, url, pwd, res] or
    addExceptional[pb, user, url, res]

在这里,我们有一个add函数,这个函数接收五个参数:pb(密码本),user(用户),url(地址),pwd(密码)和res(结果)。这个函数定义为addNormaladdExceptional两个函数的并集。也就是说,add函数要么按照正常情况添加密码(即addNormal),要么按照异常情况添加密码(即addExceptional)。

Invariants and Operation

all pb, user, url, pwd, res |
Inv[pb] and add[pb,user,url,pwd,res] =>
after Inv[pb]

这是一个表达式,表示的是对于所有的密码本(pb),用户(user),地址(url),密码(pwd)和结果(res)的组合,如果满足初始状态Inv[pb]并且执行了add操作,那么就会满足结束状态after Inv[pb]。这就是形式化验证中常见的前置条件和后置条件的写法。

在这一部分,我们看到两种添加密码的情况,addNormaladdExceptional。我们要对这两种情况进行分别考虑。

Case 1中,我们看到addNormal函数的定义和行为。

Case 1
addNormal[pb, user, url pwd, res] =
 no pb.password[user][url]
 pb.password’ = pb.password + (user->url->pwd)
 res in Success

all pb, user, url, pwd, res |
 Inv[pb] and addNormal[pb, user, url, pwd, res]) =>
after Inv[pb]

这表明,在正常添加情况下,首先确认密码本中没有该用户在此地址的密码(no pb.password[user][url])。然后,我们将新的密码添加到密码本中(pb.password’ = pb.password + (user->url->pwd)),并返回成功结果。

随后,我们有一系列的表达式,来证明如果在满足初始状态Inv[pb]并执行了addNormal操作后,我们依然满足after Inv[pb]

Case 1

addNormal[pb, user, url pwd, res] =
 no pb.password[user][url]
 pb.password’ = pb.password + (user->url->pwd)
 res in Success

all pb, user, url, pwd, res |
 Inv[pb] and no pb.password[user][url] and
 pb.password’ = pb.password + (user->url->pwd) =>
after Inv[pb]
Case 1

Inv[pb] = all user, url | lone pb.password[user][url]

all pb, user, url, pwd, res |
 Inv[pb] and no pb.password[user][url] and
 pb.password’ = pb.password + (user->url->pwd) =>
after Inv[pb]
Case 1

Two cases to consider: user2, url2 are user, url or not

all pb, user, url, pwd, res |
 (all user1, url1 | lone pb.password[user1][url1]) and
 no pb.password[user][url] and
 pb.password’ = pb.password + (user->url->pwd) =>
(all user2, url2 | lone pb.password’[user2][url2])

Case 1.1Case 1.2中,我们进一步考虑了用户和地址是否在密码本中的两种情况。

Case 1.1

user2, url2 are user, url

all pb, user, url, pwd, res |
 (all user1, url1 | lone pb.password[user1][url1]) and
 no pb.password[user][url] and
 pb.password’ = pb.password + (user->url->pwd) =>
(lone pb.password’[user][url])
Case 1.2

user2, url2 are not user, url

all pb, user, url, pwd, res |
 (all user1, url1 | lone pb.password[user1][url1]) and
 no pb.password[user][url] and
 pb.password’ = pb.password + (user->url->pwd) =>
(all user2, url2 | lone pb.password’[user2][url2])

Case 2中,我们看到了一个与Case 1类似的情况,但这次是对addExceptional函数的处理。也就是说,在异常情况下,我们也要保证如果在满足初始状态Inv[pb]并执行了addExceptional操作后,我们依然满足after Inv[pb]

Case 2

Similar.

all pb, user, url, pwd, res |
 Inv[pb] and addExceptional[pb, user, url, pwd, res]) =>
after Inv[pb]

2.3 Proof Assistants

  • 证明助手是一种工具,可以帮助自动化证明过程。例如,Isabelle,Coq,HOL4等是一些著名的定理证明工具,它们可以帮助程序员更高效地完成证明任务。

  • 另外,还有一些自动化的证明工具,如SAT和SMT求解器,例如MiniSAT和Z3。这些工具可以自动地找到满足某些条件的解,或者证明这样的解不存在。

2.4 Model Checking

  • 模型检查是另一种V&V方法,用于自动检查系统的所有状态是否满足某种属性。当检查失败时,模型检查工具可以给出一个反例,即一个使得属性不成立的状态。

  • 模型检查在硬件验证和安全协议验证等领域有很多成功的应用。

小羊和小何
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数字IC验证:几大功能验证(Functional Verification)技术有哪些?
IC Beginner的博客
07-21 7186
文章目录功能验证的目的五大验证技术1 静态验证 (Static Verification)2 功能仿真 (Functional Simulation)3 FPGA原型验证 (FPGA Prototyping)4 硬件仿真 (Emulation)5 UVM通用验证方法学 (Universal Verification Methodology)总结 写在前面:最近在实习中学习数字验证,每天学习的内容会整理记录下来。首先是对功能验证的理解。本文参考资料为维基百科-Functional Verification
formal_hw_verification:尝试使用形式化方法和工具来验证VerilogVHDL设计
02-08
您可以使用提供的hdlc/formal:all docker映像(推荐)。 或者您使用我在自己的机器上构建。 两者都有可用的最新工具版本。 铝 VHDL中的简单ALU设计。 形式检查包含由assert&cover指令使用的各种简单属性,这些属性...
formal verification
08-25
formal verification
EDA术语及资源链接
海岛Blog
12-29 782
时钟门控条件(clock gating condition)逻辑状态切换的频率(switching activity)与非图(AIG,and-inverter graph)形式化验证(Formal Verification)活性属性(Liveness Property)安全属性(Safety Property)模型检测(Model Checking)时钟门控(clock gating)触发器(Flip-Flop)前端(frontends)后端(backends)扇入(fan-out)扇入(fan-in)
斯坦福CS课程列表
weixin_33906657的博客
03-30 1990
http://exploredegrees.stanford.edu/coursedescriptions/cs/ CS 101. Introduction to Computing Principles. 3-5 Units. Introduces the essential ideas of computing: data representation, algorithms, program...
完整性系统(7)Formal Verification and Validation
qq_42902997的博客
06-06 500
Alloy是一种用于构建和检查抽象模型的语言和工具。当Alloy说所有断言都成立时,这意味着你的模型或规格在给定范围内已成功通过了所有的断言检查。换句话说,对于你所定义的所有属性,Alloy的分析器已经找到了证据来确认这些属性在你的模型中是正确的。然而,这并不一定意味着你的规格就是正确的。Alloy的分析器基于有限范围进行检查,所以只能证明在给定范围内没有找到反例。如果在更大的范围内有反例存在,Alloy就可能无法检测到。Alloy只能检查你明确编写的断言。
Forward: Verification and validation (software)
RBTesting的专栏
08-15 515
In software project management, software testing, and software engineering, verification and validation (V&V) is the process of checking that a software system meets specifications and that it f
软件测试确认和验证,Software Testing Verification and Validation:软件测试验证和确认.ppt...
weixin_42168750的博客
07-23 580
Software Testing Verification and Validation:软件测试验证和确认Ch.19 - Verification & Validation Software Testing: Verification and Validation Verification “Are we building the product right?” Validation ...
Formal Verification (一) 形式验证的分类、发展、适用场景
热门推荐
Holden_Liu的博客
02-25 1万+
定义 Formal Verification:利用数学分析的方法,通过算法引擎建立模型,对待测设计的状态空间进行遍历的验证。 分类 相比于动态仿真Simulation Veficiation,形式验证属于Static Verification,不需要手动灌入激励;通过数学分析的方式,对待测设计进行检查; 形式验证分为两大分支:Equivalence Checking 等价检查 和 Property Checking 属性检查 形式验证初次被EDA工具采用,可以追溯到90年代,被应用于RTL code和ga
software verification & software validation
青衫客36的博客
07-24 132
Software verification is a process used to check whether a software system meets specified requirements. It involves a set of activities that ensure the software correctly implements the intended functionality, and it doesn’t contain any bugs or errors.Ver
Formal verification of Real-Time Wireless Sensor Networks protocols Scaling Up
01-15
mainly two approaches are used for the formal verification of WSNs real-time protocols : Model Checking which consists in an exhaustive exploration of the behaviors of the system and Network Calculus...
Tutorial: Design and Validation of Protocols
08-04
instincts and forgo the formal proofs. The subtle logical flaws in a design thus get a chance to hide, and inevitably find the worst possible moment in the lifetime of the protocol to reveal ...
人工智能导论大学生期末复习测试题
06-07
人工智能导论大学生期末复习测试题
debugpy-1.6.7-cp38-cp38-macosx_10_15_x86_64.whl
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以效率、质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
wx_camera_1717740438095.jpg
06-07
wx_camera_1717740438095.jpg
widgetsnbextension-3.0.0a13-py2.py3-none-any.whl
最新发布
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以效率、质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
计算机二级考试简单试题
06-07
计算机二级考试是中国计算机技术职业资格(水平)考试中的一个级别,主要面向具备一定计算机应用能力的人员。考试内容通常包括理论知识和实践技能两个部分,旨在评估考生在计算机操作、编程、数据库管理等方面的综合能力。以下是对计算机二级考试的简介: - **考试目的**: 验证考生是否具备计算机应用的基本技能和一定的专业水平。 - **考试科目**: 考试科目多样,可能包括但不限于C语言程序设计、Java语言程序设计、数据库技术、办公软件应用、计算机网络基础等。 - **考试形式**: 包括笔试(理论知识测试)和上机考试(实践技能测试)。 - **考试题型**: 题型可能包括选择题、填空题、简答题、应用题和操作题等。 - **适用人群**: 适用于希望提升计算机应用能力的学生、职场人士以及对计算机技术感兴趣的自学者。 - **学习价值**: 通过考试可以系统学习计算机相关知识,提个人计算机操作和编程能力。 - **考试准备**: 考生需要根据考试大纲进行复习,掌握必要的理论知识和实践技能。 - **考试认证**: 考试合格者将获得由考试机构颁发的计算机二级证书,证明其计算机应用能

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值