[发明专利]一种基于路径的模型检测方法

说明书

技术领域

本发明涉及一种模型检测方法，特别涉及一种基于路径的模型检测方法。

背景技术

形式化验证技术使用严格的数学模型分析和验证系统的正确性，在计算机硬件、通信协议、控制系统、安全认证协议等方面有许多成功的应用。模型检测是基于模型的形式化验证的基本方法，是一种对待检测系统进行建模并自动分析验证的技术，最早由E.M.Clarke和E.A.Emerson以及J.P.Queille和J.Sifakis分别独立提出。

模型检测的基本问题是：把待检测系统的行为用严格的形式化语言描述出来，建成待检测系统的抽象模型；针对待检测系统提取出待检测需求，再把待检测需求形式化为用逻辑公式表达的属性规范；再利用模型检测工具验证抽象模型是否满足规范，若不满足，给出违反属性规范的反例。因此模型检测方法要解决的问题是：如何建立抽象模型，如何对抽象模型进行验证。

传统的模型检测方法是基于Kripke结构的，抽象模型是一个由Kripke结构描述的状态转换系统，属性规范是若干时序逻辑公式。Kripke结构描述的是一个非限定状态转换系统，可以用一个图来表示，图中的节点表示系统可以达到的状态，有向边表示状态的迁移。Kripke结构还定义了一个标记函数，标记出每个状态下为真的所有原子命题的集合。时序逻辑公式的语义就是基于Kripke结构进行解释的，Kripke结构在模型检测中负责描述待检测系统的行为。从Kripke状态转换图的初始节点出发，将该结构展开成一棵无限高度的树，树中的每一条路径就是待检测系统的一条状态转换序列，它表示待检测系统可能的一次运行状况。这棵树包含了所有可能的路径。实际应用时，待检测系统的路径往往很多很复杂，展开树的分支较多，计算机的主要工作就是展开这个树，并遍历所有可能的路径，找出是否存在违反属性规范的路径。若存在违反属性规范的路径，则给出该路径。

为了使用模型检测工具进行分析和验证，建模者需要建立待检测系统的Kripke结构模型，并在模型的基础上提出用时序逻辑公式描述的待检测属性。建模者需要将待检测系统运行生命周期可能到达的阶段划分为若干个状态，并明确标示出所有状态下系统的相应属性。这样，计算机才能完成自动搜索并分析验证的工作。

具体来说，传统的模型检测方法有如下几个步骤。

步骤1，建立逻辑系统。根据待检测系统的特点和待检测属性的需要，建立一个完整的一阶逻辑系统，即定义逻辑系统中的函数符号和谓词符号，并给出它们的语义。随后的步骤将基于这个一阶逻辑系统定义状态以及状态转换关系和描述待检测属性，因此，函数符号和谓词符号的定义应当满足待检测系统的特点和待检测属性的需要。

步骤2，构建Kripke状态转换图的节点。把待检测系统的运行过程划分成若干阶段，每个阶段对应待检测系统的一个状态，每个状态对应Kripke状态转换图中的一个节点。在此基础上，定义若干命题，这些命题是基于第一步建立的一阶逻辑系统的，它们的真假反映出每个状态的特征。

步骤3，定义标记函数。标记函数的定义域是状态节点的集合，值域是第二步中定义的所有命题的集合的幂集(一个集合的幂集是指该集合所有子集构成的集合)。给定一个状态，标记函数定义了该状态下所有为真的命题的集合，即定义了每个状态下每个命题的真值。在不同的状态下，这些命题的真值呈现出不同组合。

步骤4，建立状态转换规则，即构建Kripke状态转换图中的有向边。若状态A到状态B有一条有向边，则说明状态A可以转换到状态B。经过前四步建立了一个Kripke结构描述的状态转换图，这就是待检测系统的抽象模型。

步骤5，展开状态转换图并验证。以初始状态节点为根节点，把Kripke状态转换图展开成一棵树，这棵树是无限高度的，每一条从根节点到叶子节点的路径是一条可能的状态转换路径。搜索整棵树，遍历所有的路径，寻找违反待检测属性的路径。如果找到了这样一条路径，则说明待检测系统不满足属性规范，这一条路径就是反例。这一步的工作由计算机完成。

传统的模型检测方法要求建模者归纳出待检测系统所有可能的状态和状态转换关系，即需要建立一张完整的状态转换图，图中包含所有可能的状态和状态转换关系，然后才能交给计算机进行自动验证。有些待检测系统十分复杂，运行阶段变化较多，建模往往可以粗略地估计出待检测系统将会发生怎样的变化，有可能有哪些状态，但却难以把所有状态完整的列举出来。有些情况下状态空间甚至是无限扩张的，根本无法完全列举出来。这增大了模型检测的难度，使得模型检测的应用具有较大的局限性。

发明内容