公式时钟自动机——一种新地形式化验证工具 (1).pdf

公式时钟自动机——一种新的形式化验证工具 第一章引言 在计算机科学领域内，自动机是分析模拟许多现象的有力工具，特别是在并 行有限状态系统中，自动机理论有着较重要的地位【l。21。在并行计算的轨迹模型 中，系统是用其行为来区别的，若用一个状态序列或事件序列来代表行为，那么 一个系统的所有可能的行为集合就构成了一个形式化语言。由此，系统就用产生 该语言的自动机来模拟(对于复杂的系统，我们分别用一个自动机模拟它的每一 个元素，然后对所有这些自动机的求积得到的自动机就是模拟此复杂系统的自动 机1。由于系统所有允许的行为也构成了一个形式化语言，我们可以用另钤一个 产生此形式化语言的自动机来模拟该系统的需求规范。形式化验证就是完备地证 明设计实现是否与设计规范相一致。我们用时间自动机【¨1进行形式化验证就是 将系统的实现用一个时间自动机(假设为AI)来模拟，用另外一个自动机(假设为 As)模拟系统的规范。那么系统验证就转化为检验L(A1)瘩L(As)是否成立。但求 解时间自动机的语言包含问题是PSPACE，完全问题{20‘21】，这类问题的复杂度太 高，无法直接求解。通常我们将此问题归结为检验L(AI)n～L(As)=m是否成立。 求～L(As)通常转化为求时间自动机As的补所识别的语言。若AS是非确定的时 间自动机，那么求As的补的问题是PSPACE一完全的；若As是确定的时间自动 机，那么As在补运算下不封闭。并且确定的时间自动机与非确定的时间自动机 的表达能力是不等价的。在对时间自动机研究的基础上，我们提出了公式时钟自 动机，即在状态转换中加入逻辑公式作为转换约束条件，并通过不同的逻辑公式 派生出多种形式的时钟自动机，同时我们证明了确定的公式时钟自动机与非确定 的公式时钟自动机的等价性，这种等价性对形式化验证是有意义的。 1．1有穷状态自动机的提出 有穷状态自动机[5-7]是许多重要类型的硬件和软件的有用模型。它在20世纪 40和50年代被提出。起初研究者建议用这些自动机来为人脑功能建立模型，但 后来发现其在许多其它领域极为有用，如数字电路的设计和性能检查、典型编译 器的“词法分析器”及只有有穷多个不同状态的系统的验证软件等等。一般而言， 公式时钟自动机——一种新的形式化验证工具 最简单的非平凡有穷状态自动机是鼹相开关。这个装置记住“开”状态或“关” 状态，允许用户按一个按钮，这个按钮根据开关状态起不同作用。也就是说，如 果开关处在关状态，按这个按钮就变成开状态；如果开关处在开状态，按这个按 钮就变成关状态。其有穷状态自动机模型如图l所示： Push ru曲 图1：为两相开关建立模型的有穷自动机 通常需要说明一个或多个状态是“终止”或“接受”状态。在经历一个输入 序列后进入这些状态之一，说明这个输入序列在某种程度上是好的。例如，可以 认为图1中的011状态是接受状态，因为在这个状态下，这个由开关控制的装置 将会运行。习惯上用双圆圈来说明接受状态，但在图1中没有做这样的说明。 在给出有穷状态自动机的形式化定义前，先给出转换表的定义。 定义1．1一个转换表A是一个四元组∑，S，So，E这里 (1)∑是输入字母表 (2)S是一个有穷状态集 (3)So∈S是开始状态集 (4)E￡S×S×∑是边的集合 对字母表∑上的一个字盯=盯l盯2…，我们称 r：s0—皿-sl—亟斗s2—亚u… siCS且在r中出现无穷次)。 行，定义inf(r)={sl 通过对转换表增加不同的接受条件，我们可以得到不同类型的自动机。这里 为MA)： 2 公式时钟自动机——一种新的形式化验证工具 ={盯IA在盯上有一个接受运行) a，b a 图2：Biichi自动机 为{soJ，接受状态集为{s1)，其接受的语言为(a+b)’a∞。