Skip to main content
QUICK REVIEW

[論文レビュー] Regular Model Checking Upside-Down: An Invariant-Based Approach

Javier Esparza, Mikhail Raskin|arXiv (Cornell University)|Jan 1, 2022
Formal Methods in Verification被引用数 1
ひとこと要約

本稿では、到達可能な状態集合に上から近づく、不変式に基づく逆さまの正則モデルチェック手法を提案する。この手法は、段階的に精度を高める正則不変式を構築し、収束的に到達可能な状態集合に到達する。b-不変式を、高々b個の節を含むCNF式として定義し、その共通部分が正則であり、EXPSPACEで決定可能(b=1の場合はPSPACE完全)であることを証明する。59個の安全性性質のうち46個をIndInv1が正当化できるベンチマークにおいて、有効性を示している。

ABSTRACT

Regular model checking is a technique for the verification of infinite-state systems whose configurations can be represented as finite words over a suitable alphabet. It applies to systems whose set of initial configurations is regular, and whose transition relation is captured by a length-preserving transducer. To verify safety properties, regular model checking iteratively computes automata recognizing increasingly larger regular sets of reachable configurations, and checks if they contain unsafe configurations. Since this procedure often does not terminate, acceleration, abstraction, and widening techniques have been developed to compute a regular superset of the reachable configurations. In this paper we develop a complementary procedure. Instead of approaching the set of reachable configurations from below, we start with the set of all configurations and approach it from above. We use that the set of reachable configurations is equal to the intersection of all inductive invariants of the system. Since this intersection is non-regular in general, we introduce b-bounded invariants, defined as those representable by CNF-formulas with at most b clauses. We prove that, for every b ≥ 0, the intersection of all b-bounded inductive invariants is regular, and we construct an automaton recognizing it. We show that whether this automaton accepts some unsafe configuration is in EXPSPACE for every b ≥ 0, and PSPACE-complete for b = 1. Finally, we study how large must b be to prove safety properties of a number of benchmarks.

研究の動機と目的

  • 到達可能な状態に下からの探索ではなく、上からのアプローチで正則モデルチェックのフレームワークを構築すること。
  • 節数に上限を設けたCNF式に基づく、正則不変式の階層—b-不変式を定義すること。
  • 任意のb ≥ 0に対して、すべての帰納的b-不変式の共通部分が正則であり、EXPSPACEで決定可能であることを証明すること。
  • 特にb=1の場合に、パラメータ化されたシステムの安全性性質の検証において、b-不変式の実用的有効性を評価すること。
  • このアプローチをCEGARや学習技術と組み合わせることで、拡張可能な不変式合成を実現する可能性を検討すること。

提案手法

  • b-不変式を、高々b個の節を含むCNF式を満たす状態の集合として定義する。各リテラルは、特定の位置における文字を表す。
  • すべての帰納的b-不変式の共通部分、すなわちIndInvbが正則であり、それを認識する決定的有限オートマトン(DFA)を構築することを証明する。
  • IndInvbが不正な状態集合と交差するかどうかをチェックする計算量の上界をEXPSPACEとして確立し、b=1の場合はPSPACE完全であることを示す。
  • 有限トランスダクタと正則言語を用いて、言語をトランスダクタの下での像として不変式を生成する。
  • MONAと自動不変式合成ツールを活用して、特にb=1およびb=2の場合にIndInvbを計算する。
  • 自動化ツールがb>1の場合に失敗するケースに対しては、手動による推論と既存の不変式生成技術を適用する。

実験結果

リサーチクエスチョン

  • RQ1上からの不変式構築を行う正則モデルチェック手法は、従来の下からの手法と比較して、収束性と決定可能性の面で優れているか。
  • RQ2すべての帰納的b-不変式の共通部分が正則であるか。また、任意のb ≥ 0に対して効率的に計算可能か。
  • RQ3IndInvbが不正な状態を含むかどうかをチェックする計算量は何か。また、bの値に応じて変化するか。
  • RQ4実際のパラメータ化されたシステムの安全性性質の検証において、特にb=1のb-不変式はどれほど有効か。
  • RQ5b-不変式の階層は、RMCにおけるCEGAR風の精錬や学習ベースの不変式合成を誘導するのに利用可能か。

主な発見

  • 任意のb ≥ 0に対して、すべての帰納的b-不変式の共通部分IndInvbは正則であり、入力オートマトンとトランスダクタのサイズに対して二重指数関数的サイズのDFAによって認識可能である。
  • IndInvbが不正な状態集合と交差するかどうかのチェックはEXPSPACEに属し、b=1の場合はPSPACE完全である。
  • IndInv1は、相互排除やデッドロックの回避を含む多様なベンチマークにおいて、59個の安全性性質のうち46個を正当化できた。
  • 状態なしのフォークを備えたダイニング・フォーギュアーズの事例では、デッドロックの回避を示すためにIndInv3が必要かつ十分であり、かつIndInv3は到達可能な状態集合と等しい。
  • IndInv2は、BerkeleyおよびDragonキャッシュ整合性プロトコルで欠落していた整合性アサーションを回復でき、IndInv1では検証に失敗していた。
  • 本手法は、幅広い適用や加速の必要がないように構築されており、従来のRMCとは対照的に、全状態空間から出発する双対的な枠組みを提供する。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。