Skip to main content
QUICK REVIEW

[論文レビュー] Applying Model Checking to Highly-Configurable Safety Critical Software: The SPS-PPS PLC Program

Borja Fernández Adiego, Lopez-Miguel, Ignacio D.|arXiv (Cornell University)|Jan 1, 2022
Radiation Effects in Electronics被引用数 5
ひとこと要約

この論文では、CERNが開発したモデル検査プラットフォームであるPLCverifを、非常に設定可能なSPS人命保護システム(PPS)PLCプログラムに適用し、システムの設置前において、要件の不足やPLCバグを検出できる能力を示している。このアプローチは、自動的なモデル生成と形式的検証を通じて、複雑な設定空間を効率的に扱い、安全上の重要なインターロック論理における深刻な問題を特定した。

ABSTRACT

An important aspect of many particle accelerators is the constant evolution and frequent configuration changes that are needed to perform the experiments they are designed for. This often leads to the design of configurable software that can absorb these changes and perform the required control and protection actions. This design strategy minimizes the engineering and maintenance costs, but it makes the software verification activities more challenging since safety properties must be guaranteed for any of the possible configurations. Software model checking is a popular automated verification technique in many industries. This verification method explores all possible combinations of the system model to guarantee its compliance with certain properties or specification. This is a very appropriate technique for highly configurable software, since there is usually an enormous amount of combinations to be checked. This paper presents how PLCverif, a CERN model checking platform, has been applied to a highly configurable Programmable Logic Controller (PLC) program, the SPS Personnel Protection System (PPS). The benefits and challenges of this verification approach are also discussed.

研究の動機と目的

  • 膨大な設定空間を有する安全上の重要な、高度に設定可能なPLCプログラムを検証する課題に対処すること。
  • 実際の産業用制御システムにおいて、要件と実装上の欠陥を検出するモデル検査の有効性を評価すること。
  • 隅々まで検証されない可能性のあるコーナーケースの動作を特定することで、SPS-PPSシステムの信頼性を向上させること。

提案手法

  • FBDまたはSTL形式のPLCコードから形式的モデルを自動生成するオープンソースプラットフォーム、PLCverifを活用する。
  • 3つの最先端のモデルチェッカー(nuXmv、Theta、CBMC)を統合し、包括的な検証を実現する。
  • 大規模な設定空間における状態空間の爆発を緩和するため、抽象化と低減技術を適用する。
  • 擬似形式要件から得たPLCverifの入力形式に従い、機能的要件をアサーションとして形式化する。
  • モード遷移やキーリリース論理などの安全上の重要な機能を、形式的アサーションを用いて検証する。
  • モデルチェッカーが生成する反例を分析することで、要件の誤りやPLCバグを診断する。

実験結果

リサーチクエスチョン

  • RQ1指数関数的に大きな設定空間を有する高度に設定可能なPLCプログラムに対して、モデル検査は効果的に適用可能か?
  • RQ2PLCverifは、安全上の重要なインターロックシステムにおいて、要件のギャップと実装上のバグをどの程度効果的に検出できるか?
  • RQ3形式的検証は、産業用制御システムにおける従来のテストをどの程度補完できるか?
  • RQ4実際の粒子加速器におけるPLCプログラムにモデル検査を適用する際の実用的課題は何か?
  • RQ5モデル検査は、すべての設定において複雑なシステム動作を理解するのを専門家にどの程度支援するか?

主な発見

  • PLCverifは、形式的アサーションに変数が欠落していたため、SIF-2機能に要件エラーを検出しており、これは文書だけでは明らかではなかった。
  • 反例の分析を通じて、SIF-2機能のキーリリース論理に深刻なバグが特定され、設置前の段階で修正が行われた。
  • SIF-2機能の形式的検証には147秒を要し、安全チェーン15のキーリリース条件に論理的不整合が判明した。
  • システムのモード遷移論理は93秒で形式的検証され、重要な安全条件が欠落していた不完全な要件仕様が明らかになった。
  • モデル検査は、専門家が手動で推論しにくい不適切なコーナーケースを効果的に特定し、要件の明確化を図った。
  • 本アプローチは、特に安全上の重要なシステムにおいて、すべての可能な設定での動作を検証する点で、ラボテストの補完として有効であることが実証された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。