Skip to main content
QUICK REVIEW

[論文レビュー] Shield Synthesis: Runtime Enforcement for Reactive Systems

Roderick Bloem, Bettina Koenighofer|arXiv (Cornell University)|Jan 12, 2015
Security and Verification in Computing参考文献 8被引用数 26
ひとこと要約

本稿では、複雑な反復的ハードウェアシステムにおける重要な安全特性の強制のためのスケーラブルな代替手法として、シールド合成を提案する。モデルチェックイングやリアクティブ合成に代わる方法として、必要最小限の修正のみで出力を補正するランタイム強制コンponentを合成することで、非重要動作を保持したまま正しさを保証する。実験結果により、ハードウェアベンチマークおよびLTLパターンを用いた合成が、k-安定化メカニズムを用いて効率的に行えることが示された。

ABSTRACT

Scalability issues may prevent users from verifying critical properties of a complex hardware design. In this situation, we propose to synthesize a "safety shield" that is attached to the design to enforce the properties at run time. Shield synthesis can succeed where model checking and reactive synthesis fail, because it only considers a small set of critical properties, as opposed to the complex design, or the complete specification in the case of reactive synthesis. The shield continuously monitors the input/output of the design and corrects its erroneous output only if necessary, and as little as possible, so other non-critical properties are likely to be retained. Although runtime enforcement has been studied in other domains such as action systems, reactive systems pose unique challenges where the shield must act without delay. We thus present the first shield synthesis solution for reactive hardware systems and report our experimental results. This is an extended version of [5], featuring an additional appendix.

研究の動機と目的

  • モデルチェックイングやリアクティブ合成が複雑さのため失敗する、複雑なハードウェア設計の形式的検証におけるスケーラビリティの制限に対処すること。
  • IPコアなどの未検証または第三者のコンponentsを含む設計において、重要な安全特性を実用的に強制するソリューションを提供すること。
  • 非重要動作への干渉を最小限に抑えるために、シールドが必要最小限かつ限定された回復フェーズ内でのみ出力を変更することを保証すること。
  • 完全なシステム仕様ではなく、少数の重要な特性に焦点を当てた、スケーラブルで実用的な合成手法を開発すること。
  • 全体の複雑な設計を検証するのではなく、シールドの検証のみで安全なシステムの認証を可能にすること。

提案手法

  • k-安定化メカニズムを導入し、安全特性の違反が避けられない場合に、設計の出力から最大k連続ステップ逸脱できるようにする。
  • シールド合成問題を安全ゲームの解法に還元することで、既存のゲーム理論的合成アルゴリズムを用いて正しくかつ最小限のシールドを計算可能にする。
  • シールドは設計の入力と出力をリアルタイムで監視し、安全特性の違反が予想されたり、発生している場合にのみ干渉する。
  • 設計が安全特性に違反しても、組み合わせシステム(シールド ∘ 設計)においてすべての指定された安全特性が満たされることを保証することで、正しさを確保する。
  • 合成手順は、LTL安全特性を入力として受け取り、ラッチとAIGゲートを備えた有限状態機械としてシールドを生成するプロトタイプツールとして実装されている。
  • 反応時間の上限を課すことにより、有界リビビリティ特性をサポートし、それらを合成用に安全特性に変換する。

実験結果

リサーチクエスチョン

  • RQ1形式的検証が非現実的である反復的ハードウェアシステムにおいて、ランタイム強制コンponentを自動合成して重要な安全特性を強制できるか?
  • RQ2すべての入力シーケンスに対して正しさを保証しつつ、非重要動作への干渉を最小限に抑えるにはどうすればよいか?
  • RQ3何らかの形式的メカニズムにより、限定された回復時間内で避けられない違反を処理できるか? これにより正しさと実用性が保証されるか?
  • RQ4シールド合成問題を既知のゲーム理論的問題に還元できるか? これにより、効率的かつ正しく合成が可能になるか?
  • RQ5安全特性およびシステムの状態空間の複雑さが増加するに従い、合成の性能とシールドサイズはどのようにスケーリングするか?

主な発見

  • ARM AMBAバスアーキテクチャのベンチマークにおいて、シールド合成法は正しくかつ最小限のシールドを生成した。ほとんどの特性セットについて、合成時間は10秒未塔であった。
  • LTL仕様パターンにおいては、ほとんどの特性について合成時間が1秒未塔であり、シールドサイズ(ラッチとAIGゲート)は小さく管理可能であった。
  • 複雑なリビビリティから安全特性への変換を含むProperty 10については、合成時間が著しく増加(最大377秒)し、複雑なパターンにおけるスケーラビリティの課題が示された。
  • 状態数および入出力信号数が大きくなるとタイムアウトが発生したが、これは、少数の重要な特性を有するシステムに対しては、この手法が実用的であることを示唆している。
  • 有界リビビリティ特性(例:Property 6および8)に対しても、反応時間の上限が大きくても、シールドサイズと合成時間は低く保たれた。これは、一般的なパターンに対して高い耐性を示している。
  • 実験結果により、シールド合成は、完全な仕様や検証が非現実的である場合に、モデルチェックイングやリアクティブ合成の代替として実用的であることが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。