УДК 004.052.42
Г. А. Чистяков
ФОРМИРОВАНИЕ КОНТРПРИМЕРА ПРИ ВЕРИФИКАЦИИ АЛГОРИТМОВ С ПОМОЩЬЮ МЕТОДОВ ЛОГИЧЕСКОГО ВЫВОДА
Предлагается модификация метода логического вывода делением дизъюнктов на основе определяющего элемента. Метод является одной из базовых составляющих программного комплекса для формальной верификации параллельных алгоритмов с помощью техники проверки моделей и математического аппарата теории логического вывода. Рассматриваемая модификация позволяет не только определять наличие или отсутствие ошибки в объекте анализа, но и, в случае ее обнаружения, восстанавливать цепочку событий, приводящих к возникновению некорректной ситуации. Полученная информация облегчает процесс локализации ошибки и способствует ее эффективному устранению. Вводится также понятие схемы процесса логического вывода применительно к решению задачи формальной верификации и предлагается набор графических примитивов для ее описания.
Ключевые слова: формальная верификация, логический вывод, деление дизъюнктов, схема процесса логического вывода.
Введение
Одной из наиболее важных проблем современной информатики является проблема проверки корректности (верификации) программного обеспечения. Ошибка в программном обеспечении, не обнаруженная на этапе разработки, способна привести к самым непредсказуемым и нежелательным последствиям. Примеры подобных ситуаций представлены в [1, 2].
В течение двух последних десятилетий активно развивался формальный подход к верификации [3]. Этот аппарат, в отличие от привычного тестирования или экспертиз различного рода, позволяет дать однозначный ответ на вопрос о корректности объекта проверки (программы или алгоритма). Такие результаты обеспечиваются благодаря применению строгих математических техник, суть которых состоит в анализе модели, эквивалентной исследуемому объекту и отражающей свойства, значимые с точки зрения его дальнейшей эксплуатации, на предмет соответствия заданной спецификации. Обзор основных формальных методов верификации содержится в [3].
Основным недостатком формального подхода, препятствующим его повсеместному применению и полному отказу от тестирования, является отсутствие универсальных методов, способных эффективно верифицировать программы и алгоритмы различной структуры. Как правило, каждый из известных методов хорошо показывает себя при проверке объектов только ограниченного числа классов. Например, символьные методы способны проверять программы и алгоритмы, модели которых насчитывают 10100-10200 состояний. Однако в ряде ситуаций сложность таких методов начинает возрастать экспоненциально, что приводит к нецелесообразности их применения вследствие высоких накладных расходов [3].
Таким образом, в настоящее время, в поисках путей устранения этого недостатка, формальный подход к верификации продолжает развиваться в направлении появления новых, эффективных для широкого спектра случаев, методов проверки корректности программ и алгоритмов.
Метод логического вывода делением дизъюнктов на основе определяющего элемента
В [4] предлагается метод формальной верификации параллельных алгоритмов на основе техники проверки моделей и математического аппарата теории логического вывода. Рассматриваемый там же метод логического вывода делением дизъюнктов на основе определяющего элемента (МЛВДДОЭ) в логике предикатов первого порядка хорошо зарекомендовал себя при анализе программ и алгоритмов, модели которых не могут быть эффективно верифицированы символьными средствами.
Задача, решаемая МЛВДДОЭ, может быть поставлена следующим образом. Для известной базы знаний КВ = , i = 1...| КВ |}, элементами которой являются секвенции, состоящие из
| Вг | литералов, требуется определить, выводима ли цель В, представленная однолитеральной секвенцией. Литералами являются предикатные константы определенного вида, возможно с символом отрицания. При этом база знаний может быть описана как КВ = КВ^ и КВГ,
КВ/ п КВГ = 0, где КВ/ - множество фактов (однолитеральных секвенций), а КВГ - множество утверждений. Элементы КВ/ определяют свойства модели объекта анализа, а элементы КВГ - требования, предъявляемые к объекту. Секвенции множества КВГ имеют вид
1 ^ р(а1,1, ..., а1, Р1 ) V Р2 (а2,1, ..., а2, Р2 ) V ... V рВ- |(а| В( |,1, ..., а|Вг |, Рщ ) .
В [5] показано, каким образом классическая задача верификации с использованием техники проверки моделей может быть сведена к задаче логического вывода в форме, подходящей для решения с помощью МЛВДДОЭ.
Суть МЛВДДОЭ заключается в последовательном применении операции деления дизъюнктов и порождении вспомогательных целей до тех пор, пока не будет доказана истинность или ложность первоначально выводимой секвенции. Кроме того, в ряде ситуаций используется операция разбиения дизъюнкта, заключающаяся в разделении текущей цели на несколько, с инверсией некоторых из них. Данная операция позволяет обеспечить полноту метода относительно задачи верификации. Формальное описание метода с доказательством его корректности изложено в [4]. Полезными могут оказаться также работы [6, 7], содержащие описание обобщенного метода логического вывода делением дизъюнктов.
МЛВДДОЭ может быть рассмотрен как группа взаимосвязанных процедур: шаг логического вывода (процедура вывода), деление дизъюнкта, полное образование остатков и ограниченное образование остатков. Взаимодействие между этими процедурами представлено на рис. 1.
Процедура вывода для дизъюнкта 6
Процедура деления дизъюнктов (От на 6)
Процедура ограниченного образования остатков
Процедура полного образования остатков
Процедура деления дизъюнктов (С ке на 6)
Процедура ограниченного образования остатков
Процедура полного образования остатков
3
...........................і..............................
-«Анализ результатов выполнения процедур деления дизъюнктов}^
Порождение вспомогательных целей ; Операция разбиения дизъюнкта I
Вынесение заключения о выводимости дизъюнкта б
£(2)
-£(3)
-[(4)
Рис. 1. Взаимодействие между процедурами МЛВДДОЭ
Основным недостатком верификации с использованием МЛВДДОЭ в базовом варианте является отсутствие возможности локализации ошибки в случае ее обнаружения. Задача получения этих сведений может быть решена путем модификации МЛВДДОЭ таким образом, чтобы вместе с формированием результата верификации выполнялось также построение схемы процесса вывода, отражающей цепочку событий, приводящих к некорректной ситуации. В терминах техники проверки моделей данная схема будет представлять собой контрпример - последовательность состояний модели, поочередное пребывание в которых приводит к нарушению спецификации. Локализация ошибки может быть выполнена путем анализа предметных констант, содержащихся в выводимых дизъюнктах.
Формирование схемы процесса логического вывода
Определим схему процесса логического вывода как ориентированное направленное дерево G < V, Е >, состоящее из множества взвешенных вершин и множества взвешенных дуг. Вершины графа соответствуют шагам вывода, а дуги отражают связи между шагами.
Каждой вершине графа сопоставляется следующая информация:
- множество номеров секвенций базы знаний, при делении на которые были получены какие-либо непустые остатки;
- промежуточный признак завершения вывода, полученный в результате выполнения данного шага;
- уникальный числовой идентификатор, используемый для ссылки на конкретный шаг.
Каждой дуге графа, соединяющей вершины с числовыми идентификаторами а и в, сопоставляется следующая информация:
- выводимый дизъюнкт, являющийся целью для шага в ;
- признак инверсии, показывающий, является ли выводимая на шаге в цель результатом, полученным в ходе выполнения операции разбиения дизъюнкта инверсным литералом;
- окончательный признак завершения вывода, принимающий значение «0» (вывод завершен успешно) или «1» (вывод завершен неудачно) и передаваемый с шага в на шаг а для вынесения заключения о выводимости цели шага а .
Таким образом, произвольная вершина V е V графа G может быть представлена как кортеж V < М, р, 1В >, где М - множество номеров секвенций - делимых, давших непустые остатки; р - промежуточный признак завершения вывода; 1В - уникальный идентификатор шага вывода. Произвольная дуга е е Е представляет собой кортеж е < а, в, d', -, Р > , где а ив -идентификаторы инцидентных вершин (дуга направлена от а к в); d' - целевой дизъюнкт для шага в ; - - признак инверсии; Р - окончательный признак завершения вывода.
Указанной информации оказывается достаточно для восстановления хода процесса логического вывода.
Для возможности формирования графа G требуется модифицировать МЛВДДОЭ и в ходе выполнения процедур метода осуществлять следующие дополнительные действия.
1. Перед выполнением процедуры вывода для первоначальной цели требуется инициализировать пустое множество вершин V и множество дуг Е , состоящее из единственного элемента с а = 0, d' = В и - = 0. Кроме того, следует обнулить счетчик идентификаторов СТ1В = 0 .
2. В начале выполнения процедуры вывода для некоторого дизъюнкта d (позиция (1) на рис. 1) следует увеличить значение счетчика идентификаторов СТ1В = СТ1В +1, добавить к множеству вершин графа G новый элемент V , задав для него М = {} и 1В = СТ1В , и установить значение элемента в входящей в вершину V дуги е в 1В .
3. После завершения процедуры деления дизъюнктов (позиция (2) на рис. 1) следует проанализировать полученные результаты и установить признак окончания вывода р вершины V в одно из четырех возможных значений {0, 1, F, G} . Кроме того, если р Ф F, необходимо поместить в множество М соответствующей вершины V номера тех секвенций базы знаний, при деление которых на текущую цель были получены непустые остатки.
4. В ходе порождения новых выводимых целей (позиция (3) на рис. 1) необходимо добавить к множеству дуг требуемое количество элементов. При этом для каждой добавляемой дуги е :
- в а следует занести идентификатор соответствующей вершины V ;
- признак - необходимо установить в «1», если цель шага, для которого данная дуга будет являться входной, представляет собой инверсию литерала, полученного в ходе выполнения операции разбиения дизъюнкта, и в «0» в противном случае;
- в d' следует занести порожденную вспомогательную цель.
5. После вынесения заключения о выводимости некоторого дизъюнкта d (позиция (4) на рис. 1) следует установить окончательный признак завершения вывода Р входной для соответствующей вершины V дуги е в одно из двух возможных значений {0,1} .
Для визуализации и последующего анализа графа G предлагается воспользоваться специальными графическими примитивами. Примеры использования этих примитивов изображены на рис. 2.
Ре(5а! у-Рд(51] у-Ра(5-|] Рд (51'
............►
Ре($в) V - Ра(51'
Рю(^2-] / Рк
Рис. 2. Примеры использования графических примитивов для изображения схемы процесса логического вывода
Шаг вывода изображается в виде окружности, разделенной горизонтальной чертой на две половины. В верхней части вершины (над горизонтальной чертой) перечисляются номера секвенций базы знаний, при делении на которые были получены какие-либо непустые остатки (множество М). Нижняя часть вершины (под горизонтальной чертой) содержит информацию о значении промежуточного признака завершения вывода, полученного в результате выполнения данного шага (признак р). В левой верхней области символа указывается уникальный идентификатор шага (1В).
Выражение, расположенное рядом с входящей дугой, соответствует целевому дизъюнкту d', выводимость которого устанавливается на данном шаге. Выражения, расположенные рядом с выходящими дугами, определяют новые выводимые дизъюнкты (вспомогательные цели), полученные в ходе выполнения шага. Обратная стрелка с символом «0» или «1», находящаяся рядом с каждой дугой, соответствует окончательному признаку завершения вывода. Пунктирная дуга показывает ситуацию анализа выводимости однолитеральной секвенции, полученной в результате выполнения операции разбиения дизъюнкта (признак инверсии - = 1).
Для сокращения размера схемы предлагается использовать два специальных примитива -символ шага со штриховкой и двойную выходную дугу. Символ шага со штриховкой означает, что результат данного шага не влияет на процесс вывода. В таком случае обратная стрелка с возвращаемым значением опускается. Данный символ может быть применен в тех ситуациях, когда результат шага не сказывается на выносимом в родительской вершине заключении вследствие получения решения в параллельной ветви вывода. Двойная выходная дуга означает, что полученная вспомогательная цель имеет существенное значение в контексте решаемой задачи, однако процесс ее вывода по каким-либо причинам не представлен на схеме.
Пример схемы процесса логического вывода
Рассмотрим схему процесса логического вывода на примере. Пусть требуется верифицировать алгоритм, модель которого описывается следующими секвенциями (фактами).
1. 1 — Parent (s0, Sj)
2. 1 — Parent (s0, s2)
3. 1 —— —-End (s 0)
4. 1 — —Event (s0, a)
5. 1 — —Event (s0,P)
6. 1 — End (Sj)
7. 1 — Event (s1, a)
8. 1 — —Event (s1,P)
9. 1 — Parent(s 2, Sj)
10. 1 — Parent (s2, s4)
11. 1 —— —1End (s 2)
12. 1 — —Event (s2, a)
13. 1 — Event (s2,P)
14. 1 — —Event (s4, a)
15. 1 — —Event (s4,P)
16. 1 — End (s4)
Здесь предикатная константа Parent (а, в) означает, что в модели алгоритма существует переход из состояния а в состояние в ; End (а) - из состояния а не существует ни одного перехода; Event(a, у) - в состоянии а происходит событие у. Предикаты, предваренные симво-
лом инверсии, имеют прямо противоположное значение.
Кроме того, база знаний содержит следующие утверждения, отражающие предъявляемые к объекту верификации требования.
17. 1 ^P(x) v —Event(х, а)
18. 1 ^ Р3(х) v —Event(х, в)
19. 1 Р2(х) v Р(х) v—End (х)
20. 1 ^ —P (х) v р (х) v —Parent(х, у) v P (у)
21. 1 Р4(х) v Рз(х)
22. 1 ^ —P (х) v —Parent (х, у) v P (у)
23. 1 ^ Р5(х) v P4 (х)
24. 1 ^ Р(х) v— Р2(х) v—Р5(х)
Целью вывода является доказательство истинности выражения 1 ^ — P(s0).
Схема процесса вывода, полученная в результате применения модифицированного МЛВДДОЭ, представлена на рис. 3.
Первый шаг вывода завершен с промежуточным признаком p = F, т. к. исходная цель не может быть выведена из имеющихся утверждений. В результате применения операции разбиения дизъюнкта задача была преобразована к задаче проверки истинности отрицания цели.
Второй шаг привел к получению остатка —P2(s0) v— P5(s0), что свело решаемую задачу к независимой проверке выводимости утверждений 1 ^ P2 (s0) и 1 ^ P5 (s0). При этом анализ истинности первого из них был произведен через проверку выводимости инверсии единственного литерала.
В процессе вывода утверждения 1 ^ P5 (s0) на третьем шаге была получена новая секвенция 1 ^ — P?(So)v — P4 (S1 ) v — P4(s2) . Далее дизъюнкт —P3(s0) v — P4(S1)v —P4 (s2) был разделен на два выражения P3(s0) и —P4(Sj)v—P4(s2). Из-за получения отрицательного результата в ходе вывода P3(s0) обработка вспомогательной цели — P4(S1)v — P4(s2) не потребовалась, и дизъюнкт —P3(s0) v — P4(S1)v — P4 (s2) был исключен из рассмотрения.
Рис. 3. Схема процесса логического вывода
На девятом шаге вывода были сформированы два множества остатков -N19 = {P1(s0) v —End(s0)} и N20 = {P1 (s0) v P2 (s1), P1 (s0) v P2 (s2)} . B соответствии с алгоритмом выполнения процедуры деления дизъюнктов [4], единственный остаток множества N19 был исключен на основании того, что в базе знаний имеется факт —End(s0). B результате построения конъюнкции остатков из множества N20 были получены два новых утверждения, вывод которых, ввиду получения признаков p = 1 для вспомогательных целей P1(s2) (шаг не представлен на схеме) и P1(s4) (шаг 17), завершился с положительным результатом. Bосьмой шаг вывода завершился с отрицательным результатом.
Таким образом, вывод первоначального утверждения 1 ^ —P(s0) завершен успешно.
Результатом верификации будет заключение о выводимости исходной посылки и, следовательно, несоответствии модели анализируемого алгоритма сформулированной спецификации. Анализ схемы процесса логического вывода позволяет локализовать ошибку. Положительный результат обусловлен получением на восьмом шаге окончательного признака P = 1, которое объясняется успешным выводом обеих вспомогательных целей на шаге девять. Те, в свою очередь, были выведены через P = 1 на шагах 11 и 17, P = 0 на шаге 14 и неотраженный на схеме успешный вывод (P = 0 ) вспомогательной цели — Pl(sl) v — P1(s2). Таким образом, доказано, что одной из некорректных ситуаций будет являться, например, нарушение моделью требования P1 в состоянии s4 (шаг 17), переход в которое возможен с помощью перемещений через состояния s0 и s2.
Заключение
Представленная в работе модификация метода логического вывода делением дизъюнктов на основе определяющего элемента позволяет не только отвечать на вопрос о соответствии модели объекта верификации сформулированным требованиям, но и выполнять построение схемы процесса логического вывода. Данная схема, в случае нарушения моделью спецификации, может быть использована для эффективной локализации места ошибки и ее последующего устранения.
Модифицированный метод нашел применение в прототипе программного комплекса для верификации параллельных алгоритмов DDVerifier.
СПИСОК ЛИТЕРАТУРЫ
1. Карпов Ю. Г. Model Checking. Beрификaция параллельных и распределенных программных систем I Ю. Г. Карпов. СПб.: БХБ-Петербург, 2009. 552 с.
2. Baier C. Principles of Model Checking I С. Baier, J.-P. Katoen. Cambridge: The MIT Press, 2008. 994 p.
3. Кулямин В. В. Методы верификации программного обеспечения / В. В. Кулямин. Всерос. конкурс. отбор обзор.-аналит. статей по приоритетному направлению «Информационно-телекоммуникационные системы», 2008. 117 с. // URL: http://window.edu.ra/window/Hbrary?p_rid=56168.
4. Мельцов В. Ю. Формальная верификация параллельных алгоритмов с помощью техники проверки моделей и методов логического вывода / В. Ю. Мельцов, Г. А. Чистяков / Вят. гос. ун-т. Киров, 2013. 140 с. Деп. в ВИНИТИ РАН 10.12.2013, № 358-В2013.
5. Мельцов В. Ю. Формирование базы знаний на основе структуры Крипке и формул темпоральной логики / В. Ю. Мельцов, Г. А. Чистяков. Фундаментальные исследования. 2013. № 8, ч. 4. С. 847-852.
6. Страбыкин Д. А. Логический вывод в системах обработки знаний / Д. А. Страбыкин. СПб.: Изд-во СПбГЭТУ, 1998. 164 с.
7. Strabykin D. A. Logical method for predicting situation development based on abductive inference / D. A. Strabykin // Journal of Computer and Systems Sciences International. 2013. Vol. 52, iss. 5. P. 759-763.
Статья поступила в редакцию 19.04.2014
ИНФОРМАЦИЯ ОБ АВТОРЕ
Чистяков Геннадий Андреевич - Россия, 610000, Киров; Вятский государственный университет; аспирант кафедры «Электронно-вычислительные машины»; д[email protected].
G. A. Chistyakov
FORMATION OF THE REVERSE EXAMPLE AT VERIFICATION OF THE ALGORITHMS USING THE METHODS OF LOGICAL INFERENCE
Abstract. This paper proposes a modification of the inference method by clause division based on the defining element. The method is one of the basic components of the software complex for parallel algorithms formal verification using the technique of model checking and mathematical apparatus of the theory of inference. The considered modification can not only detect the presence or absence of an error in the object of the analysis, but also, in case of error detection, restore the course of events leading to the occurrence of abnormal situation. The obtained information facilitates the process of error localization and contributes to its effective elimination. The study also introduces the concept of inference process scheme in relation to the problem of formal verification and proposes a set of graphic primitives for its description.
Key words: formal verification, logical inference, clause division, inference process scheme.
REFERENCES
1. Karpov Iu. G. Model Checking. Verifikatsiia parallel’nykh i raspredelennykh programmnykh sistem [Verification of parallel and distributed programming systems]. Saint-Petersburg, BKhV-Peterburg, 2009. 552 p.
2. Baier C., Katoen J.-P. Principles of Model Checking. Cambridge: The MIT Press, 2008. 994 p.
3. Kuliamin V. V. Metody verifikatsii programmnogo obespecheniia [Methods of verification of programming software]. Vserossiiskii konkursnyi otbor obzorno-analiticheskikh stateipo prioritetnomu napravleniiu «Informatsionno-telekommunikatsionnye sistemy», 2008. 117 p. Available at: http://window.edu.ru/window/library?p_rid=56168.
4. Mel'tsov V. Iu., Chistiakov G. A. Formal'naia verifikatsiia parallel’nykh algoritmov s pomoshch'iu tekh-niki proverki modelei i metodov logicheskogo vyvoda [Formal verification of parallel algorithms using the technique of checking the models and methods of logical inference]. Viatskii gosudarstvennyi universitet. Kirov, 2013. 140 p. Deponirovano v VINITI RAN 10.12.2013, № 358-V2013.
5. Mel'tsov V. Iu., Chistiakov G. A. Formirovanie bazy znanii na osnove struktury Kripke i formul tempo-ral'noi logiki [Formation of knowledge base using the structure Kripke and the formulas of temporal logics]. Fun-damental'nye issledovaniia, 2013, no. 8, part 4, pp. 847-852.
6. Strabykin D. A. Logicheskii vyvod v sistemakh obrabotki znanii [Logical inference in the systems of knowledge processing]. Saint-Petersburg, Izd-vo SPbGETU, 1998. 164 p.
7. Strabykin D. A. Logical method for predicting situation development based on abductive inference. Journal of Computer and Systems Sciences International, 2013, vol. 52, iss. 5, pp. 759-763.
The article submitted to the editors 19.04.2014
INFORMATION ABOUT THE AUTHOR
Chistyakov Gennadiy Andreevich - Russia, 610000, Kirov; Vyatka State University; Postgraduate Student of the Department "Computers"; [email protected].