[论文解读] Regular Model Checking Upside-Down: An Invariant-Based Approach
本文提出一种基于不变量的、自上而下的正则模型检测方法,通过从上方逐步构建越来越精确的正则不变量,最终收敛到可达配置集合。定义 b-不变量为最多包含 b 个子句的 CNF 公式,证明其交集是正则的,且在 EXPSPACE 内可判定(当 b=1 时为 PSPACE-完全)。在基准测试中,该方法在 59 个安全性质中有 46 个得到验证,优于 IndInv1 的表现。
Regular model checking is a technique for the verification of infinite-state systems whose configurations can be represented as finite words over a suitable alphabet. It applies to systems whose set of initial configurations is regular, and whose transition relation is captured by a length-preserving transducer. To verify safety properties, regular model checking iteratively computes automata recognizing increasingly larger regular sets of reachable configurations, and checks if they contain unsafe configurations. Since this procedure often does not terminate, acceleration, abstraction, and widening techniques have been developed to compute a regular superset of the reachable configurations. In this paper we develop a complementary procedure. Instead of approaching the set of reachable configurations from below, we start with the set of all configurations and approach it from above. We use that the set of reachable configurations is equal to the intersection of all inductive invariants of the system. Since this intersection is non-regular in general, we introduce b-bounded invariants, defined as those representable by CNF-formulas with at most b clauses. We prove that, for every b ≥ 0, the intersection of all b-bounded inductive invariants is regular, and we construct an automaton recognizing it. We show that whether this automaton accepts some unsafe configuration is in EXPSPACE for every b ≥ 0, and PSPACE-complete for b = 1. Finally, we study how large must b be to prove safety properties of a number of benchmarks.
研究动机与目标
- 开发一种新型正则模型检测框架,从上方而非下方逼近可达配置。
- 基于子句数量受限的 CNF 公式,定义一组基于正则不变量的层次结构——b-不变量。
- 证明所有归纳 b-不变量的交集是正则的,且对任意 b ≥ 0,其判定复杂度为 EXPSPACE。
- 评估 b-不变量(尤其是 b=1)在参数化系统安全性质验证中的实际有效性。
- 探索将该方法与 CEGAR 或学习技术结合,以实现可扩展的不变量合成。
提出的方法
- 将 b-不变量定义为满足最多包含 b 个子句的 CNF 公式的配置集合,其中每个文字表示特定位置的字符。
- 证明所有归纳 b-不变量的交集(记为 IndInvb)是正则的,并构造一个识别该集合的确定性有限自动机(DFA)。
- 建立检查 IndInvb 是否与不安全配置相交的 EXPSPACE 上界,当 b=1 时为 PSPACE-完全。
- 使用有限状态转换器和正则语言,通过转换器下对语言的像生成不变量。
- 利用 MONA 和自动化不变量合成工具计算基准测试中的 IndInvb,尤其针对 b=1 和 b=2 的情况。
- 在自动化工具对 b>1 失败时,采用人工推理和已有不变量生成技术处理相关情况。
实验结果
研究问题
- RQ1一种从上方构建不变量的正则模型检测方法,是否能在收敛性和可判定性方面优于传统自下而上的方法?
- RQ2所有归纳 b-不变量的交集是否为正则语言?是否能对任意 b ≥ 0 有效计算?
- RQ3检查 IndInvb 是否包含任何不安全配置的计算复杂度是多少?该复杂度是否随 b 变化?
- RQ4b-不变量(尤其是 b=1)在实践中验证参数化系统安全性质的有效性如何?
- RQ5b-不变量层次结构能否用于指导 CEGAR 风格的细化或基于学习的不变量合成?
主要发现
- 对任意 b ≥ 0,所有归纳 b-不变量的交集 IndInvb 是正则的,且可由大小为输入自动机和转换器双指数级的 DFA 识别。
- 检查 IndInvb 是否与不安全配置相交属于 EXPSPACE,当 b=1 时为 PSPACE-完全。
- IndInv1 在一组多样化的基准测试中成功验证了 59 个安全性质中的 46 个,包括互斥和死锁避免性质。
- 对于无状态叉子的哲学家就餐问题,IndInv3 是证明死锁避免的必要且充分条件,且 IndInv3 等于可达配置集合。
- IndInv2 足够恢复伯克利和龙缓存一致性协议中缺失的一致性断言,而 IndInv1 未能验证这些断言。
- 该方法通过构造避免了对广义化或加速技术的需求,为传统 RMC 提供了一种对偶方法,后者从完整配置空间出发。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。