Khóa luận Nghiên cứu về kiểm chứng phần mềm sử dụng công cụ spin

Tài liệu Khóa luận Nghiên cứu về kiểm chứng phần mềm sử dụng công cụ spin: ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Thị Vân Dung NGHIÊN CỨU VỀ KIỂM CHỨNG PHẦN MỀM SỬ DỤNG CÔNG CỤ SPIN KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Thị Vân Dung NGHIÊN CỨU VỀ KIỂM CHỨNG PHẦN MỀM SỬ DỤNG CÔNG CỤ SPIN KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin Cán bộ hướng dẫn: PGS. TS. Nguyễn Việt Hà Cán bộ đồng hướng dẫn: TS. Phạm Ngọc Hùng HÀ NỘI - 2010 Lời cảm ơn Lời đầu tiên, em xin đƣợc bày tỏ lòng biết ơn sâu sắc tới thầy TS. Nguyễn Việt Hà và thầy TS. Phạm Ngọc Hùng đã tận tình giúp đỡ em làm và hoàn thiện khóa luận trong suốt năm học vừa qua. Em xin đƣợc bày tỏ lòng biết ơn tới các thầy, cô trong khoa Công Nghệ Thông Tin, trƣờng Đại Học Công Nghệ, ĐHQGHN. Các thầy cô đã nhiệt tình dạy bảo và tạo mọi điều kiện học tập tốt nhất cho chúng em trong những năm học tập tại ĐHCN, đặc biệt là trong t...

pdf50 trang | Chia sẻ: haohao | Lượt xem: 1118 | Lượt tải: 0download
Bạn đang xem trước 20 trang mẫu tài liệu Khóa luận Nghiên cứu về kiểm chứng phần mềm sử dụng công cụ spin, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Thị Vân Dung NGHIÊN CỨU VỀ KIỂM CHỨNG PHẦN MỀM SỬ DỤNG CÔNG CỤ SPIN KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Thị Vân Dung NGHIÊN CỨU VỀ KIỂM CHỨNG PHẦN MỀM SỬ DỤNG CÔNG CỤ SPIN KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin Cán bộ hướng dẫn: PGS. TS. Nguyễn Việt Hà Cán bộ đồng hướng dẫn: TS. Phạm Ngọc Hùng HÀ NỘI - 2010 Lời cảm ơn Lời đầu tiên, em xin đƣợc bày tỏ lòng biết ơn sâu sắc tới thầy TS. Nguyễn Việt Hà và thầy TS. Phạm Ngọc Hùng đã tận tình giúp đỡ em làm và hoàn thiện khóa luận trong suốt năm học vừa qua. Em xin đƣợc bày tỏ lòng biết ơn tới các thầy, cô trong khoa Công Nghệ Thông Tin, trƣờng Đại Học Công Nghệ, ĐHQGHN. Các thầy cô đã nhiệt tình dạy bảo và tạo mọi điều kiện học tập tốt nhất cho chúng em trong những năm học tập tại ĐHCN, đặc biệt là trong thời gian thực hiện khóa luận tốt nghiệp. Tôi xin cảm ơn các bạn sinh viên lớp K51CC và K51CNPM Trƣờng Đại học Công nghệ, những ngƣời bạn đã cùng tôi học tập và rèn luyện trong suốt những năm học đại học. Cuối cùng con xin gửi tới Bố Mẹ và gia đình tình thƣơng yêu và lòng biết ơn. Bố Mẹ đã nuôi dƣỡng và luôn là chỗ dựa tinh thần cho con. Hà Nội, ngày 18 tháng 5 năm 2010 Trần Thị Vân Dung 1 Tóm tắt nội dung Kiểm chứng mô hình (model checking) là một phƣơng pháp hình thức dùng cho việc kiểm chứng hệ thống. Kiểm chứng mô hình khảo sát tất cả các trạng thái có thể của hệ thống và kiểm tra rằng chúng chứa sự đúng đắn đã đƣợc đặc tả. Việc sinh ra các trạng thái và kiểm tra có thể đƣợc thực hiện một cách tự động bằng phần mềm và Spin là một trong những bộ kiểm chứng (model checker) đƣợc sử dụng rộng rãi. Các bộ kiểm chứng không kiểm tra trực tiếp chƣơng trình mà kiểm tra một mô hình là thể hiện mức cao của hệ thống. Mô hình này mô tả hành vi của hệ thống. Để áp dụng đƣợc các công cụ kiểm chứng mô hình, việc đầu tiên là phải xây dựng mô hình của hệ thống. Các mô hình này cùng với đặc tả của thuộc tính cần kiểm tra là đầu vào của các bộ kiểm chứng. Khóa luận nghiên cứu việc kiểm chứng phần mềm sử dụng Spin, cụ thể là việc kiểm chứng mô hình máy hữu hạn trạng thái, sau đó đƣa ra một công cụ chuyển một mô tả ban đầu của hệ thống ở dạng máy hữu hạn trạng thái (chứa trong 1 tệp .txt) thành mô hình và kiểm chứng bằng Spin. MỤC LỤC 2 Mục Lục 1 Mở đầu 1.1. Đặt vấn đề ....................................................................................................... 6 1.2. Mục tiêu và phạm vi của đề tài ........................................................................ 7 1.3. Cấu trúc khóa luận .......................................................................................... 7 2 Sơ lược về Model Checking 2.1. Kiểm chứng hệ thống ...................................................................................... 8 2.2. Model Checking.............................................................................................. 9 2.2.1. Phƣơng pháp hình thức và Model Checking............................................ 9 2.2.2. Hoạt động của Model Checking .............................................................. 9 2.2.3. Ƣu nhƣợc điểm của Model Checking .................................................... ..10 3 Ngôn ngữ Promela 3.1. Kiểu dữ liệu và toán tử cơ bản ...................................................................... ..13 3.1.1. Kiểu dữ liệu cơ bản ............................................................................... ..13 3.1.2. Toán tử cơ bản ....................................................................................... ..13 3.2. Dữ liệu kiểu kênh trong Promela ................................................................... ..14 3.2.1.Cú pháp ............................................................................................... ..14 3.2.2. Kênh gặp (rendezvous channel) ......................................................... ..15 3.3. Các cú pháp .................................................................................................. ..15 3.3.1. Lệnh printf() ................................................................................ ..15 3.3.2. Lệnh lựa chọn if ............................................................................... ..15 3.3.3. Lệnh lặp do ....................................................................................... ..16 3.3.4. Lệnh nhảy goto .............................................................................. ..16 MỤC LỤC 3 3.3.5. Lệnh define ..................................................................................... ..16 3.4. run và atomic ............................................................................................ ..17 3.4.1. run và tiến trình init() ................................................................. ..17 3.4.2. atomic ............................................................................................. ..17 4 Kiểm chứng chương trình trong Spin 4.1. Kiểm chứng chƣơng trình trong Spin ............................................................ ..20 4.1.1. Giả lập ngẫu nhiên .............................................................................. ..20 4.1.2. Verify ................................................................................................ ..22 4.2. Logic thời gian tuyến tính (LTL)................................................................... ..24 4.2.1. Cú pháp.............................................................................................. ..25 4.2.2. Biểu diễn tính chất bất biến của hệ thống bằng LTL ........................... ..26 4.3. Cấu trúc Never Claim ................................................................................. ..26 5 Thực nghiệm 5.1.Mô hình máy hữu hạn trạng thái ..................................................................... ..28 5.1.1.Mô hình máy hữu hạn trạng thái .......................................................... ..28 5.1.2.Ví dụ về mô hình máy hữu hạn trạng thái ............................................. ..28 5.2.Thực nghiệm ................................................................................................... ..31 5.2.1.Áp dụng kiểm chứng mô hình hệ thống đèn ......................................... ..32 5.2.2.Áp dụng kiểm chứng mô hình không đáp ứng thuộc tính ..................... ..33 6 Kết luận 6.1. Kết quả của khóa luận ................................................................................... ..36 6.2. Hƣớng nghiên cứu tiếp theo .......................................................................... ..36 Phụ lục Phụ lục A: Tệp lampcode.txt ................................................................................. 37 MỤC LỤC 4 Phụ lục B: Tệp lampcode.pml khi chạy verify trong Spin ................................. ..38 Phụ lục C: Tệp lamp2code.txt ............................................................................... ..40 Phụ lục D: Tệp lamp2code.pml khi chạy verify trong Spin ................................... ..41 Phụ lục E: Mã nguồn của chƣơng trình ................................................................. ..43 Tài liệu tham khảo.................................................................................................... ..47 5 Danh sách hình vẽ 2.1 Sơ đồ việc kiểm chứng hệ thống ............................................................................... 8 2.2. Sơ đồ hoạt động của phƣơng pháp model checking ................................................ ..10 5.1. Mô hình máy hữu hạn trạng thái mô tả hoạt động của đèn ...................................... ..29 5.2. Kết quả khi chạy giả lập mô hình hệ thống đèn ở hình 5.1 ..................................... ..31 5.3. Kết quả kiểm chứng mô hình 5.1 của hệ thống đèn ................................................ ..33 5.4. Mô hình sai của hệ thống đèn ................................................................................. ..34 5.5. Kết quả kiểm chứng mô hình 5.4 của hệ thống đèn ................................................ ..35 CHƢƠNG 1: MỞ ĐẦU 6 Chương 1 Mở đầu 1.1.Đặt vấn đề Hiện nay chúng ta ngày càng phụ thuộc vào các hệ thống máy tính và phần mềm chuyên dụng hỗ trợ mọi mặt trong sản xuất và đời sống hằng ngày. Bất kỳ một lập trình viên nào đều hiểu một điều rằng chƣơng trình hầu nhƣ không thể chạy từ lần biên dịch đầu tiên và chƣa thể hoàn hảo ngay từ lần biên dịch thành công đầu tiên. Chƣơng trình trông có vẻ đúng luôn có thể tiềm ẩn lỗi ở đâu đó. Các phần mềm đƣợc phát triển trong 1 quy trình chuyên nghiệp luôn có thể chứa lỗi mà chỉ đƣợc phát hiện sau khi đã đƣợc phân phối và đƣa vào sử dụng. Trong thiết kế phần cứng và phần mềm, nỗ lực và thời gian của chúng ta tiêu tốn rất nhiều vào việc kiểm chứng và đôi khi nhiều hơn cả thời gian và nỗ lực dành cho việc xây dựng. Bên cạnh đó có những trƣờng hợp chúng ta không thể chấp nhận những ứng dụng có thể có lỗi dù là nhỏ nhất, đó là những ứng dụng mà sự trục trặc có thể dẫn đến tử vong, tổn thất nặng nề hay ảnh hƣởng đến môi trƣờng sống. Kỹ nghệ phần mềm dành cho các hệ thống này là vô cùng khó khăn. Cách giải quyết luôn là phân tích, lập trình cẩn thận, kiểm tra lại, kiểm thử. Bên cạnh đó, chúng ta luôn tìm kiếm các công nghệ và kĩ thuật giúp cho việc kiểm chứng các phần mềm trở nên nhẹ nhàng hơn trong khi tăng sự bao quát và chính xác của nó [1]. Công cụ Spin chạy kỹ thuật model checking nhận mô hình của hệ thống và khảo sát tất cả các trạng thái có thể của hệ thống theo kiểu vét cạn. Công việc chủ yếu là phát triển một mô hình đủ chi tiết để biểu diễn hệ thống một cách chính xác nhƣng cũng đủ đơn giản để Spin có thể chạy việc kiểm tra (với giới hạn về tài nguyên và bộ nhớ). Vấn đề đặt ra là xây dựng công cụ tự động chuyển 1 mô tả các hành vi, tính chất của hệ thống thành đoạn mã biểu diễn mô hình mà Spin có thể chạy. Do vậy, giảm nhẹ công sức giành cho việc kiểm chứng. CHƢƠNG 1: MỞ ĐẦU 7 1.2.Mục tiêu và phạm vi của đề tài Đề tài nghiên cứu việc kiểm chứng hệ thống sử dụng Spin, các mô hình hệ thống dành cho Spin đƣợc viết bằng ngôn ngữ Promela. Công cụ đƣợc xây dựng với mong muốn có thể tự động sinh mã Promela chính xác và đầy đủ phục vụ cho việc kiểm chứng trong Spin. Công cụ đƣợc xây dựng đã tự động sinh mô hình Promela cho những hệ thống đã đƣợc biểu diễn ở mô hình máy hữu hạn trạng thái. 1.3.Cấu trúc khóa luận Chƣơng 2 trình bày về Model checking, là kỹ thuật kiểm chứng mà đề tài nghiên cứu, những nguyên tắc hoạt động của Model checking. Chƣơng 3 trình bày về các cấu trúc của ngôn ngữ Promela, là ngôn ngữ để viết các mô hình cho Spin. Chƣơng 4 bắt đầu đi vào giai đoạn kiểm chứng một mô hình trong Spin Chƣơng 5 Trình bày kết quả thực nghiệm của khóa luận dựa trên các khái niệm đã nêu trong chƣơng 2 và 3 Chƣơng 6 tổng kết lại quá trình nghiên cứu, đƣa ra kết quả đạt đƣợc và hƣớng nghiên cứu tiếp theo. CHƢƠNG 2: SƠ LƢỢC VỀ MODEL CHECKING 8 Chương 2 Sơ Lược Về Model Checking Chƣơng này giới thiệu về kiểm chứng hệ thống, những lợi thế của kiểm chứng hệ thống. Sau đó là khái niệm về model checking, những ƣu nhƣợc điểm của phƣơng pháp model checking. 2.1.Kiểm chứng hệ thống Trong giai đoạn kiểm thử khi kỹ nghệ phần mềm, phần mềm đƣợc chạy trên một số hữu hạn những bộ dữ liệu đầu vào đã đƣợc thiết kế sẵn, phần mềm chạy đúng hay sai dựa trên việc so sánh dữ liệu đầu ra thực tế với đầu ra mong muốn. Việc chạy hết các trƣờng hợp có thể của dữ liệu đầu vào là không thể, do vậy kiểm thử không đảm bảo chắc chắn rằng phần mềm không chứa lỗi [1]. Bên cạnh đó, lỗi đƣợc phát hiện trong giai đoạn này là muộn và dẫn đến tiêu tốn nhiều nỗ lực khắc phục lỗi. Hình 2.1.Sơ đồ việc kiểm chứng hệ thống [1] CHƢƠNG 2: SƠ LƢỢC VỀ MODEL CHECKING 9 Kiểm chứng hệ thống thực hiện việc xác minh một thiết kế hay một sản phẩm phần mềm đảm bảo những tính chất cụ thể mà thƣờng đã đƣợc nêu ra trong đặc tả của hệ thống [2]. Đặc tả hệ thống trở thành cơ sở của mọi hoạt động kiểm chứng. Một thiếu sót đƣợc phát hiện khi hệ thống không thỏa mãn một trong các tính chất đã đƣợc đặc tả, hệ thống đƣợc chứng minh là đúng khi nó thỏa mãn tất cả các tính chất đƣợc nêu trong đặc tả hệ thống. Từ đó, kiểm chứng có khả năng phát hiện lỗi sớm [1]. 2.2.Model checking 2.2.1.Phương pháp hình thức và model checking Phƣơng pháp hình thức đƣợc xem nhƣ là toán học đƣợc áp dụng vào mô hình hóa và phân tích hệ thống [1]. Từ những nghiên cứu về phƣơng pháp hình thức, chúng ta đã có đƣợc những kỹ thuật kiểm chứng dựa trên mô hình, trong đó có model checking, đi kèm với chúng là các phần mềm để tự động hóa nhiều bƣớc kiểm chứng khác nhau. Cơ sở của kiểm chứng dựa trên mô hình là mô tả các hành vi của hệ thống theo một cách không nhập nhằng, điều này giúp phát hiện ra những điểm nhập nhằng, mâu thuẫn và chƣa hoàn thiện trong những đặc tả không hình thức của hệ thống [1]. Kỹ thuật này giúp tích hợp kiểm chứng vào quá trình thiết kế, nó trở thành công cụ để kỹ nghệ những phần mềm buộc phải hoạt động không có sai sót [2]. 2.2.2.Hoạt động của model checking Từ đặc tả của hệ thống, ta xây dựng một mô hình hệ thống thể hiện các hành vi của hệ thống, mô hình này có thể đƣợc viết bằng ngôn ngữ C, các ngôn ngữ tƣơng tự C hay Java. Cùng với đó ta biểu diễn các tính chất (cần kiểm chứng) của hệ thống dƣới dạng các biểu thức hình thức. CHƢƠNG 2: SƠ LƢỢC VỀ MODEL CHECKING 10 Hình 2.2.Sơ đồ hoạt động của phƣơng pháp model checking [1] Sau đó công cụ chạy model checking (bộ kiểm chứng) đƣợc dùng để sinh ra tất cả các trạng thái của hệ thống và kiểm tra chúng thỏa mãn các tính chất đó hay không, nếu không, model checking sẽ tìm đƣợc một phản ví dụ - một trạng thái của hệ thống không thỏa mãn – và chỉ ra tính toán dẫn đến trạng thái đó. Sử dụng phản ví dụ này cùng với việc chạy giả lập mô hình trong model checker, ta có thể tìm ra lỗi trong mô hình (có thể là sự không nhất quán, không rõ nghĩa trong đặc tả hệ thống) và sửa lỗi. 2.2.3.Ưu nhược điểm của model checking Model checking mang một số ƣu điểm nhƣ sau [1]  Là một phƣơng pháp kiểm chứng tổng quát áp dụng đƣợc cho một phạm vi lớn các ứng dụng: hệ thống nhúng, kỹ nghệ phần mềm, thiết kế phần cứng…  Hỗ trợ kiểm chứng cụ bộ, các tính chất có thể đƣợc kiểm tra một cách riêng lẻ từ đó có thể tập chung kiểm chứng một tính chất quan trọng trƣớc mà không cần tới một đặc tả hệ thống hoàn chỉnh.  Cung cấp các thông tin ý nghĩa cho việc gỡ lỗi khi phát hiện đƣợc môt tính chất không đƣợc thỏa mãn. CHƢƠNG 2: SƠ LƢỢC VỀ MODEL CHECKING 11  Model cheking đang càng ngày trở nên phổ biến hơn và đƣợc ƣa chuộng, đã xuất hiện thêm nhiều model checker.  Có thể đƣợc tích hợp một cách dễ dàng vào nhứng quy trình phát triển phần mềm hiện tại.  Model checking có nền tảng đúng đắn của toán học, nó dựa trên lý thuyết về thuật toán đồ thị, cấu trúc dữ liệu, và logic. Bên cạnh đó phƣơng pháp model checking cũng chứa những nhƣợc điểm [1]  Chủ yếu phù hợp với các ứng dụng tập trung vào điều khiển là chủ yếu, không phù hợp với các ứng dụng hƣớng dữ liệu do khối lƣợng dữ liệu thƣờng tăng vô tận.  Model checking kiểm chứng mô hình của hệ thống, không phải bản thân hệ thống, mọi kết quả đạt đƣợc đều chỉ về mô hình của hệ thống, do vậy cần đến những kỹ thuật khác bổ trợ nhƣ kiểm thử để tìm ra những lỗi chế tạo (đối với phần cứng) và lỗi lập trình (đối với phần mềm).  Model checking chỉ kiểm tra những tính chất đƣợc đặc tả, ta không thể biết đƣợc thông tin về các tính chất không đƣợc model checking kiểm chứng.  Việc sử dụng model checking đòi hỏi kinh nghiệm trừu tƣợng hóa hệ thống để cho ra một mô hình hệ thống và thể hiện các tính chất của hệ thống theo logic hình thức. CHƢƠNG 3: NGÔN NGỮ PROMELA 12 Chương 3 Ngôn Ngữ Promela Với Spin, ngôn ngữ Promela đƣợc sử dụng để xây dựng mô hình của hệ thống và các tính chất của nó, chƣơng này trình bày các thành phần và câu lệnh cơ bản của Promela đƣợc sử dụng trong khóa luận. Promela là ngôn ngữ không tất định, là một trong các ngôn ngữ có cú pháp và ngữ nghĩa tƣơng tự ngôn ngữ C [6]. Một chƣơng trình Promela bao gồm một hay nhiều tiến trình, mỗi tiến trình chứa một chuỗi các câu lệnh. Các tiến trình có thể có tham số hoặc không.Các tiến trình đƣợc khai báo với từ khóa active sẽ đƣợc khởi tạo và gán một giá trị pid (process id) duy nhất. active proctype P( ) { // tiến trình P không có tham số lenh_1; … lenh_n } Tiến trình khai báo mà không có từ khóa active sẽ không đƣợc pid và đó đó chƣa thể chạy. proctype P( ) { // tiến trình P không có tham số lenh_1; … lenh_n } CHƢƠNG 3: NGÔN NGỮ PROMELA 13 Tính không tất định của Promela thể hiện ở chỗ khi Spin chạy chƣơng trình, các tiến trình đƣợc chọn bất kỳ để thực thi, do vậy các lệnh trong các tiến trình đƣợc thực thi xen kẽ một cách ngẫu nhiên. Mỗi tiến trình có riêng một biến lƣu vị trí của câu lệnh sẽ đƣợc thực thi khi đến lƣợt nó chạy. 3.1.Kiểu dữ liệu và toán tử cơ bản 3.1.1.Kiểu dữ liệu cơ bản Bảng 3.1 nêu các kiểu dữ liệu cơ bản trong Promela Bảng 3.1.Kiểu dữ liệu cơ bản trong Promela Tên kiểu Kích thƣớc (bits) Dữ liệu bit, bool 1 0, 1, false, true byte 8 0…255 short 16 -32768…32767 int 32 -2 31 …2 31 -1 unsigned ≤32 0…2 n -1 Promela không có kiểu số thực, kiểu kí tự và kiểu xâu. Promela định nghĩa kiểu mtype mtype = { name_1, name_2,…name_n}; 3.1.2.Toán tử cơ bản Các toán tử trong promela tƣơng tự với các toán tử trong ngôn ngữ C CHƢƠNG 3: NGÔN NGỮ PROMELA 14 Bảng 3.2.Các toán tử cơ bản trong Promela xếp theo thứ tự độ ƣu tiên giảm dần Ký hiệu Tên = toán tử gán || (toán tử logic) hoặc && (toán tử logic) và = =, != (toán tử so sánh) bằng, khác ,>= các toán tử so sánh ++, - - tăng, giảm ! (toán tử logic) phủ định ( ) đóng mở ngoặc 3.2.Dữ liệu kiểu kênh trong Promela 3.2.1.Cú pháp Kiểu kênh trong Promela đi kèm với hai toán tử gửi: ! và nhận: ?, đƣợc khai báo với một kiểu dữ liệu (kiểu của thông điệp) mà nó có thể nhận và gửi [2]. Khai báo: chan ch = [ dung_luong ] of { kieu_du_lieu_1,...,kieu_du_lieu_n } ; Có 2 kiểu kênh trong Promela o Kênh gặp : đƣợc khai báo với dung lƣợng bằng 0. o Kênh đệm : đƣợc khai báo với dung lƣợng lớn hơn 0. Lệnh truyền dữ liệu trên kênh  Gửi : CHƢƠNG 3: NGÔN NGỮ PROMELA 15 ten_bien_kenh ! bieu_thuc_1, ..., bieu_thuc_n  Nhận : ten_bien_kenh ? bien_1, ..., bien_n  Giá trị của các biểu thức có kiểu tƣơng ứng với kiểu khi kênh đƣợc khai báo. Các biểu thức trong lệnh gửi sẽ đƣợc tính toán và giá trị thu đƣợc sẽ trở thành thông điệp truyền trên kênh, lệnh nhận đƣợc thực thi sau lệnh đó sẽ gán các giá trị này cho các biến của nó. Một lệnh nhận chỉ đƣợc thực khi tồn tại thông điệp đƣợc gửi lên kênh. 3.2.2.Kênh gặp Kênh gặp (đƣợc khai báo với dung lƣợng bằng 0) biểu thị rằng nơi gửi (tiến trình chứa lệnh gửi) và nơi nhận thông điệp (tiến trình chứa câu lệnh nhận) truyền dữ liệu một cách đồng bộ. Khi đó, tiến trình chứa lệnh gửi sẽ bị chặn cho đến khi lệnh nhận trong tiến trình nhận đƣợc thực thi [2]. Nếu trong một tiến trình có một lệnh gửi (hay nhận) đƣợc khởi tạo mà không có lệnh nhận (hay gửi) nào tƣơng ứng (về của kiểu thông điệp) thì tiến trình đó sẽ bị khóa [2]. 3.3.Các cú pháp 3.3.1.Lệnh printf( ) Câu lệnh prinf printf (“xau_ki_tu”, cac_bien) ; trong xâu kí tự có thể chứa các định dạng in tƣơng ứng với các biến nhƣ %d 3.3.2.Lệnh lựa chọn if if ::bieu_thuc_logic_1 → lenh_11; lenh_12;…lenh_1n ::bieu_thuc_logic_2 → lenh_21; lenh_22;…lenh_2n ... CHƢƠNG 3: NGÔN NGỮ PROMELA 16 ::bieu_thuc_logic_n → lenh_n1; lenh_n2;…lenh_nn fi; Ngoài ra, biểu thức logic có thể là else hoặc true. Chuỗi lệnh theo sau else sẽ đƣợc thực thi nếu các biểu thức logic còn lại đều nhận giá trị false. Chuỗi lệnh theo sau true luôn luôn đƣợc chọn để thực thi. Chuỗi lệnh theo sau biểu thức logic có thể trống, khi gặp chuỗi lệnh trống, chƣơng trình bỏ qua chuyển sang câu lệnh sau câu lệnh if. skip có ý nghĩa tƣơng đƣơng với một chuỗi lệnh trống. 3.3.3.Lệnh lặp do do ::bieu_thuc_logic_1 → lenh_11; lenh_12;…lenh_1n ::bieu_thuc_logic_2 → lenh_21; lenh_22;…lenh_2n .... ::bieu_thuc_logic_n → lenh_n1; lenh_n2;…lenh_nn ::bieu_thuc_logic → break od; Câu lệnh if và do thể hiện tính không tất định của Promela: nếu hai hay nhiều biểu thức logic có giá trị true, chuỗi lệnh theo sau một biểu thức bất kỳ trong số đó sẽ đƣợc thực thi. 3.3.4.Lệnh nhảy goto Giúp nhảy đến 1 đoạn chƣơng trình sau một nhãn với tên nhãn đặt trƣớc dấu hai chấm. goto: ten_nhan; 3.3.5.Lệnh define define là lệnh macro dùng để định nghĩa ký hiệu cho một biểu thức và đƣợc đặt ở đầu chƣơng trình CHƢƠNG 3: NGÔN NGỮ PROMELA 17 #define length 10 3.4. run và atomic 3.4.1.run và tiến trình init() run là một cách khác để khởi tạo một tiến trình. Trƣớc đó một tiến trình đƣợc khai báo mà không có từ khóa active proctype P(){ … } run P (); Với việc sử dụng run ta có thể khai báo tất cả các tiến trình có trong chƣơng trình sau đó “run” (khởi tạo) chúng trong một tiến trình có tên init(). Tiến trình init() luôn là tiến trình đầu tiên đƣợc khởi tạo và do vậy luôn có pid bằng 0. proctype P(){ … } proctype Q(){ … } init { run P(); run Q(); } 3.4.2. atomic  Chuỗi lệnh đặt trong atomic {} sẽ đƣợc thực hiện nhƣ một câu lệnh độc lập và không bị chen vào bởi một lệnh nào khác ngoài nó. Do vậy, sử dụng atomic giúp giảm sự phức tạp của mô hình cần kiểm chứng. CHƢƠNG 3: NGÔN NGỮ PROMELA 18 Ví dụ 3.1. Chuỗi lệnh dùng atomic atomic { temp = n; n = temp+1 } Đoạn mã trong ví dụ 3.1. tƣơng đƣơng với lệnh n=n+1;  Ta có thể sử dụng atomic để kết hợp các câu lệnh giữa các tiến trình chan ch = [0] of {int}; active proctype P(){ atomic {A;ch!1;B}} active proctype Q(){ atomic {ch?1 -> C} Trong ví dụ trên, sau khi khối lệnh A trong tiến trình P đƣợc thực thi, dữ liệu kiểu int với giá trị 1 đƣợc gửi lên kênh ch kiểu gặp (câu lệnh ch!1; đƣợc thực hiện), tiến trình Q nhận dữ liệu trên kênh (bởi ch?1) và khối lệnh C đƣợc thực thi, khi khối lệnh C kết thúc, việc thực thi sẽ tự động chuyển về tiến trình P và thực thi khối lệnh B.  atomic có thể đƣợc sử dụng để khởi tạo một số các tiến trình và đảm bảo rằng không một tiến trình nào bắt đầu chạy cho tới khi tất cả các tiến trình đƣợc khởi tạo hết. Trong ví dụ về khởi tạo hai tiến trình P, Q ở 3.4.1, do tiến trình init đã đƣợc khởi tạo và có thể chạy, một trong hai tiến trình P, Q có thể đƣợc chạy trƣớc khi tiến trình còn lại đƣợc khởi tạo, điều đó không có lợi cho chúng ta. Bổ sung atomic sẽ loại bỏ đƣợc điều này: proctype P(){ … } proctype Q(){ CHƢƠNG 3: NGÔN NGỮ PROMELA 19 … } init { atomic { run P(); run Q(); } } CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 20 Chương 4 Kiểm Chứng Chương Trình Với Spin Chƣơng này trình bày về thêm một số khái niệm trong Promela để mô hình hóa đƣợc một hệ thống thực tế, cách chạy môt chƣơng trình Promela trong Spin tại các chế độ khác nhau, giới thiệu về logic thời gian tuyến tính (LTL) là ngôn ngữ biểu diễn tính chất mong muốn (hay tính chất cần kiểm chứng) của hệ thống. 4.1.Kiểm chứng chương trình trong Spin 4.1.1.Giả lập ngẫu nhiên Trong chế độ giả lập, Spin biên dịch và chạy một chƣơng trình promela, sau đó in ra các trạng thái của chƣơng trình. Khóa luận sử dụng công cụ jSpin cho ta giao diện đồ họa của Spin và xem xét kết quả kiểm chứng một cách trực quan. Một trạng thái của chƣơng trình là một bộ các giá trị gồm của các biến, các giá trị của biến đếm vị trí của các tiến trình. Một tính toán của chƣơng trình là chuỗi các trạng thái bắt đầu bởi trạng thái khởi tạo và tiếp tục với những trạng thái xuất hiện khi mỗi câu lệnh đƣợc thực hiện [3]. Trong ví dụ 4.1 biến n đƣợc khởi tạo với giá trị 0, chƣơng trình bao gồm 2 tiến trình: P và Q tƣơng ứng gán biến n giá trị 1 hoặc 2 và in ra giá trị của n cùng tên tiến trình Ví dụ 4.1.Chƣơng trình với 2 tiến trình 1 byte n=0; 2 active proctype P(){ 3 n=1; 4 printf("Process P, n=%d\n",n); 5 } 6 active proctype Q(){ CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 21 7 n=2; 8 printf("Process Q, n=%d\n",n); 9 } Trong jSpin ta chạy Random, chƣơng trình không có lỗi và nhận đƣợc kết quả: Starting P with pid 0 0: proc - (:root:) creates proc 0 (P) Starting Q with pid 1 0: proc - (:root:) creates proc 1 (Q) 1 Q 7 n = 2 Process Statement n 0 P 3 n = 1 2 Process P, n=1 0 P 4 printf('Proces 1 Process Q, n=1 1 Q 8 printf('Proces 1 4: proc 1 (Q) terminates 4: proc 0 (P) terminates 2 processes created Trong ví dụ 4.1, đầu tiên P và Q lần lƣợt đƣợc tạo với pid (process id) là 0 và 1. Các lệnh trong cả hai tiến trình đƣợc thực thi xen kẽ một cách tùy ý jSpin hiển thị trạng thái của chƣơng trình sau mỗi câu lệnh đƣợc thực thi (theo thứ tự: pid, tên tiên trình chứa câu lệnh, vị trí câu lệnh, nội dung câu lệnh đã đƣợc cắt ngắn, giá trị của biến). Trong lần chạy ở trên các câu lệnh đƣợc thực hiện theo thứ tự: n=2 n=1 prinf(Q) CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 22 prinf(P) Do vậy hai hàm printf đều in ra n=1 4.1.2. Verify Assertion là cách đơn giản để kiểm tra chƣơng trình. Một assertion là một mệnh đề đƣợc đặt trong 1 chƣơng trình mà ta cho rằng mệnh đề sẽ luôn đúng tại vị trí đó. Spin sẽ tính toán các assertion trong quá trình tìm kiếm phản ví dụ trong không gian trạng thái của chƣơng trình. Ví dụ 4.2 tìm số lớn nhất trong 2 số a và b, trong câu lệnh if, nếu a >=b biến max sẽ đƣợc gán giá trị a, nếu b>=a biến max sẽ đƣợc gán giá trị b, ở cuối chƣơng trình ta kiểm tra lại bởi biểu thức logic (a >= b -> max = = a : max = = b) Ví dụ 4.2. Tìm số lớn nhất trong 2 số active proctype P() { int a = 5, b = 5; int max; if :: a >= b -> max = a :: b >= a -> max = b fi; assert (a >= b -> max == a : max == b) } Trong jSpin ta chạy Verify, kết quả là không có lỗi vi phạm nào đƣợc thông báo từ chƣơng trình. (Spin Version 4.3.0 -- 22 June 2007) + Partial Order Reduction Full statespace search for: never claim - (none specified) assertion violations + CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 23 cycle checks - (disabled by -DSAFETY) invalid end states + State-vector 24 byte, depth reached 2, ••• errors: 0 ••• 3 states, stored 1 states, matched 4 transitions (= stored+matched) 0 atomic steps hash conflicts: 0 (resolved) 2.302 memory usage (Mbyte) unreached in proctype P (0 of 8 states) Trong ví dụ 4.3, ta cũng tìm số lớn nhất trong 2 số a, b nhƣng khi b>=a, biến max lại đƣợc gán giá trị b+1, do vậy biểu thức (a >= b -> max = = a : max = = b) không đƣợc thỏa mãn. Ví dụ 4.3. Chƣơng trình có chứa lỗi active proctype P() { int a = 5, b = 6; int max; if :: a >= b -> max = a :: b >= a -> max = b+1 fi; assert (a >= b -> max == a : max == b) } Khi chạy Verify, jSpin sẽ đƣa ra thông báo assertion bị vi phạm. CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 24 pan: assertion violated ( ((a>=b)) ? ((max==a)) : ((max==b)) ) (at depth 0) pan: wrote max.pml.trail (Spin Version 4.3.0 -- 22 June 2007) Warning: Search not completed + Partial Order Reduction Full statespace search for: never claim - (none specified) assertion violations + cycle checks - (disabled by -DSAFETY) invalid end states + State-vector 24 byte, depth reached 2, ••• errors: 1 ••• 3 states, stored 0 states, matched 3 transitions (= stored+matched) 0 atomic steps hash conflicts: 0 (resolved) 2.302 memory usage (Mbyte) 4.2.Logic thời gian tuyến tính (LTL) Spin sẽ tính toán assertion tại một vị trí nhất định trong chƣơng trình mà ở đó assertion đƣợc thêm vào, do vậy assertion có hạn chế trong việc biểu diễn tính chất của mô hình. Ta cần dùng đến logic thời gian tuyến tính (LTL), LTL mạnh mẽ hơn trong việc biểu diễn tính chất của mô hình (hệ thống). Với LTL ta có thể diễn tả những tính chất chung cần đƣợc thỏa mãn mà không liên quan đến một vị trí nào trong chƣơng trình. LTL đặc biệt phù hợp với các hệ thống tƣơng tác khi tính đúng đắn của hệ thống không chỉ thể hiện ở kết quả tính toán mà ta phải kiểm tra sự giao tiếp và thực thi các tiến trình trong hệ thống [1]. CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 25 4.2.1.Cú pháp Bảng 4.1 mô tả các toán tử của LTL Bảng 1.4.Các toán tử của LTL Toán tử Ký hiệu phủ định ! và && hoặc | | phụ thuộc → tƣơng đƣơng ↔ LTL hình thức hóa các tính chất về thời gian bởi các toán tử thời gian. Bảng 4.2.Các toán tử thời gian của LTL Toán tử Ký hiệu luôn luôn [ ] tồn tại cho đến khi U Thời gian trong LTL là thời gian “trừu tƣợng” do LTL quan niệm thời gian một cách rời rạc, chỉ bao bao gồm những thời điểm đơn lẻ [1]. [ ] A: hệ thống luôn luôn mang tính chất A CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 26 A: nếu hệ thống có tính chất A tại một thời điểm nào đó trong tƣơng lai thì ta nói hiện tại hệ thống có tính chất A A U B: tại thời điểm hiện tại hệ thống có tính chất A U B có nghĩa là: nếu trong một thời điểm nào đó trong tƣơng lai hệ thống có tính chất B thì hệ thống có tính chất A tại tất cả các thời điểm từ hiện tại cho tới khi nó mang tính chất B. 4.2.2.Biểu diễn tính chất bất biến của hệ thống bằng LTL Trong nhiều trƣờng hợp, hệ thống xây dựng phải thỏa mãn một tính chất bất biến nào đó. Với LTL ta biểu diễn tính chất đó bởi toán tử [] Ví dụ 4.4: Tính chất “mỗi yêu cầu (request) cuối cùng đều dẫn tới một phản hồi (response)” ta biểu diễn nhƣ sau [ ] ( request → response) 4.3.Cấu trúc Never claim Có những tính chất mà ta mong muốn nó không bao giờ đƣợc xuất hiện trong hệ thống. Trong Promela nó đƣợc biểu diễn bởi never claim Ví dụ 4.5 #define A (divisor > 0) never { /* !([] a) */ T0_init: if :: (! ((A))) -> goto accept_all :: (1) -> goto T0_init fi; accept_all: skip } CHƢƠNG 4: KIỂM CHỨNG CHƢƠNG TRÌNH VỚI SPIN 27 Ở ví dụ trên hệ thống cần thỏa mãn rằng biến divisor luôn phải lớn hơn 0, do vậy trƣờng hợp ngƣợc lại không bao giờ đƣợc xảy ra hay !(a)luôn phải nhận giá trị false. Nhãn T0_init đảm bảo trong khi chƣơng trình đƣợc chạy (và sinh ra các trạng thái), cho đến khi nào A còn đúng, lệnh goto thứ hai luôn luôn đƣợc chọn và Spin sẽ liên tục kiểm tra A. Khi thuật toán của chúng ta là đúng và chƣơng trình không chứa lỗi, Spin sẽ kết thúc sau khi sinh ra tất cả các trạng thái và thông báo không có trạng thái nào vi phạm đƣợc tìm thấy. Nhƣng nếu chƣơng trình tính toán đến một trạng thái mà ở đó A sai (divisor nhỏ hơn hoặc bằng 0) lệnh goto thứ nhất sẽ đƣợc thực hiện, Spin nhảy tới nhãn accept_all và kết thúc chƣơng trình. Trong Spin ta chỉ cần biểu diễn tính chất của hệ thống dƣới dạng một biểu thức LTL sau đó đƣa vào Spin, Spin sẽ tự động chuyển biểu thức LTL sang cấu trúc never claim của Promela dùng vào việc kiểm chứng. Trong jSpin ta chỉ cần nhập biểu thức LTL và chạy Translate. Biểu thức LTL đƣợc lƣu lại trong tệp .prp có tên trùng với tên chƣơng trình. Đoạn mã never claim đƣợc Spin lƣu lại trong tệp .ltl Tính chất ở ví dụ 1.3 đƣợc qua biểu thức [] (divisor > 0) CHƢƠNG 5: THỰC NGHIỆM 28 Chương 5 Thực Nghiệm 5.1.Mô tả bài toán 5.1.1.Mô hình máy hữu hạn trạng thái Mô hình máy hữu hạn trạng thái (FSM – Finite State Machine) đƣợc sử dụng để mô tả hoạt động của nhiều hệ thống trong thực tế. Mô hình máy hữu hạn trạng thái bao gồm một số hữu hạn các trạng thái, các bƣớc chuyển trạng thái (sang một trạng thái khác). Ta đề xuất cách thức để chuyển FSM sang mô hình Promela nhƣ sau  Các bƣớc chuyển trạng thái đƣợc khai báo trong một biến kiểu mtype  Thông tin về sự chuyển trạng thái đƣợc truyền trên một biến message kiểu kênh nhận thông điệp thuộc loại mtype trên, kênh message sẽ gửi thông điệp trong tiến trình coltrol() là tiến trình điều khiển hoạt động của máy trạng thái.  Trạng thái của máy đƣợc thể hiện bởi biến state có giá trị đƣợc thay đổi trong tiến trình action(), kênh message sẽ nhận thông điệp trong tiến trình action().  Mỗi khi tiến trình điều khiển coltrol() gửi một thông điệp về sự chuyển trạng thái, dựa vào thông điệp nhận đƣợc và giá trị hiện tại của state, state sẽ đƣợc gán một giá trị mới tƣơng ứng với trạng thái mới. 5.1.2.Ví dụ về mô hình máy hữu hạn trạng thái Ta xem xét một cái đèn có 3 trạng thái: tắt (off), sáng yếu (low), sáng mạnh (high) với công tắc có hai nút up và down. Hoạt động của đèn đƣợc thể hiện bởi mô hình máy hữu hạn trạng thái nhƣ sau: CHƢƠNG 5: THỰC NGHIỆM 29 Hình 5.1.Mô hình máy hữu hạn trạng thái mô tả hoạt động của đèn Mô hình promela mô tả hoạt động của đèn đƣợc xây dựng nhƣ sau: mô hình promela gồm 2 tiến trình: lamp() và switch() (lần lƣợt tƣơng ứng với active() và control()). Để thể hiện tƣơng tác giữa công tắc và bóng đèn hai tiến trình trao đổi thông tin qua kênh updown nhận và gửi thông điệp thuộc kiểu mtype = { up, down } Mô hình promela của cái đèn (file lamp.pml): byte state=0; mtype={up,down}; chan updown=[0] of {mtype}; proctype lamp(){ do ::atomic {updown?up->if ::state=0 -> state=1 ::state=1->state=2 ::state=2->state=2 ::else -> skip fi } ::atomic {updown?down->if ::state=0-> state=0 off down up up down up low low high CHƢƠNG 5: THỰC NGHIỆM 30 ::state=1->state=0 ::state=2->state=1 ::else -> skip fi } od } proctype switch(){ do ::updown!up; ::updown!down; od } init{ atomic{ run lamp(); run switch();} } Trong mô hình trên giá trị của biến state là 0, 1, 2 lần lƣợt mô tả ba trạng thái của đèn là off, low, high. Với mô hình này, trong Spin ta chạy chế độ random, để có thể kiểm tra lỗi của bản thân chƣơng trình Promela. Trong chế độ này, khi tiến trình init đƣợc thực thi, Spin giả lập hoạt động của đèn, chuỗi các tín hiệu up và down đƣợc sinh ra một cách tùy ý (nhờ sự thực thi tiến trình switch()) và từ đó trạng thái của đèn thay đổi (nhờ sự thực thi tiến trình lamp()). Chƣơng trình không có lỗi cú pháp và Spin dừng sau khi đạt tới giới hạn 250 bƣớc. CHƢƠNG 5: THỰC NGHIỆM 31 Hình 5.2.Kết quả khi chạy giả lập mô hình hệ thống đèn ở hình 5.1 5.2.Thực nghiệm Phần thực nghiệm đã xây dựng đƣợc công cụ nhận môt mô tả thô của hệ thống ở dạng máy hữu hạn trạng thái và chuyển đổi thành mô hình promela để kiểm chứng trong Spin. Mô tả ban đầu của hệ thống là một file input.txt đã đƣợc tạo trƣớc, trong đó mỗi bƣớc chuyển trạng thái đƣợc viết trên một dòng: nếu hệ thống đang ở before_state mà nhận đƣợc tín hiệu message_1 thì hệ thống sẽ đƣợc chuyển sang after_state. before_state:message_1:after_state Các bƣớc chuyển có cùng before_state cần đƣợc viết trên các dòng liên tiếp nhau. Khi đọc vào file input.txt, chƣơng trình thống kê và lƣu lại các trạng thái của hệ thống. Các bƣớc chuyển nằm giữa 2 dấu hai chấm cũng đƣợc đọc và dòng mã Promela CHƢƠNG 5: THỰC NGHIỆM 32 định nghĩa kiểu mtype đƣợc sinh ra. Sau đó chƣơng trình đọc lại file input.txt lần thứ hai và sinh ra đoạn mã nằm trong tiến trình action() thể hiện các hành vi của hệ thống khi nhận đƣợc các thông điệp chuyển trạng thái. Nhờ các bƣớc chuyển trạng thái đã đƣợc ghi lại, chƣơng trình sinh tiếp ra đoạn mã nằm trong tiến trình control(). Cuối cùng, đoạn mã khởi tạo hai tiến trình control() và action() (đƣợc đặt trong init()) đƣợc sinh ra. Bảng thể hiện giá trị của biến state tƣơng ứng với mỗi trạng thái cũng đƣợc in ra ở dạng chú thích (nằm trong cặp dấu /* và */) Ta đƣa vào chƣơng trình 1 file chỉ bằng cách đổi tham số trong hàm read (inputFile, outputFile) 5.2.1.Áp dụng kiểm chứng mô hình hệ thống đèn Mô tả ban đầu của mô hình cái đèn ở hình 5.1 đƣợc lƣu trong file state.txt có dạng: off:up:low off:down:off low:up:high low:down:off high:up:high high:down:low Ta đƣa tham số cho hàm read(): read (lamp.txt, lampcode.txt); và chạy chƣơng trình, chƣơng trình sẽ tạo ra file lampcode.txt với nội dung tƣơng đƣơng với đoạn mã trong phần 4.1.2 mô hình hóa cái đèn (phụ lục A). Sau khi chạy giả lập ở chế độ random nhƣ ở phần 5.2.2 ta cần kiểm tra tính chất mà hệ thống cần thỏa mãn bằng việc chạy verify. Tính chất cần kiểm chứng trong trƣờng hợp này là: khi đèn ở trạng thái high, cần phải qua trạng thái low rồi mới có thể về trạng thái off. Biểu thức LTL mô tả tính chất trên là CHƢƠNG 5: THỰC NGHIỆM 33 [] !((state = = 2) && (state != 1) U (state = =0)) (không bao giờ xảy ra trƣờng hợp biến state bằng 2 và, nó luôn khác 1 cho tới khi nó bằng 0) Ta thêm vào mô hình promela định nghĩa các kí hiệu #define a0 (state = = 0) #define a1 (state != 1) #define a2 (state = = 2) Biểu thức LTL đƣa vào Spin là [] !(a2 && (a1 U a0)) Spin sẽ sinh ra cấu trúc never claim, ta thêm nó vào chƣơng trình (phụ lục B) và chạy verify, kết quả cho thấy không có lỗi vi phạm do vậy hệ thống thỏa mãn tính chất cần kiểm tra. Hình 5.3.Kết quả kiểm chứng mô hình 5.1 của hệ thống đèn CHƢƠNG 5: THỰC NGHIỆM 34 5.2.2.Áp dụng kiểm chứng mô hình không đáp ứng thuộc tính Hình 5.4.Mô hình sai của hệ thống đèn Ta xem xét một mô hình của hệ thống đèn không thỏa mãn tính chất đã nêu trong phần 5.2.1.Trong mô hình trên từ trạng thái high, cái đèn có thể chuyển về trạng thái off mà không qua trạng thái low. Tệp mô tả các trạng thái của đèn lamp2.txt: off:up:low off:down:off low:up:high low:down:off high:up:high high:down:off Sau khi dùng công cụ để chuyển mô hình trên sang mã promela (phụ lục C) và thêm cấu trúc never claim để kiểm chứng tính chất nhƣ đã nêu ở 5.2.1 ta có mô hình promela cho mô hình 2 của cái đèn (phụ lục D) và chạy verify, kết quả cho thấy Spin báo lỗi vi phạm, suy ra mô hình vừa đƣa vào không thỏa mãn tính chất cần kiểm tra. off low high down up up down down down CHƢƠNG 5: THỰC NGHIỆM 35 Hình 5.5.Kết quả kiểm chứng mô hình 5.4 của hệ thống đèn CHƢƠNG 6: KẾT LUẬN 36 Chương 6 Kết Luận 6.1.Kết quả của khóa luận Sau khi tìm hiểu tƣ tƣởng và cách tiếp cận của kỹ thuật model checking cùng với hoạt động của model checker Spin, ngôn ngữ Promela và mô hình máy hữu hạn trạng thái, em đã xây dựng đƣợc cách chuyển đổi mô hình máy hữu hạn trạng thái sang ngôn ngữ Promela. Từ đó em đã cài đặt đƣợc công cụ từ một mô tả thô của hệ thống (dƣới dạng máy hữu hạn trạng thái) sinh ra đoạn mã Promela mô hình hóa hệ thống, từ đó dùng để kiểm chứng hệ thống trong Spin. 6.2.Hướng nghiên cứu tiếp theo Tiếp theo, chƣơng trình sẽ đƣợc phát triển để từ đó mô tả thô của bài toán có thể đƣợc nhập trực tiếp từng dòng với một giao diện, và có thể báo lỗi khi tệp đƣa vào không đúng định dạng (nhƣ trƣờng hợp trên một dòng chỉ có một dấu hai chấm, nhƣ vậy chƣơng trình hiện tại chƣa xử lý đƣợc). 37 Phụ lục Phụ lục A: Tệp lampcode.txt /* Trang thai Gia tri state off 0 low 1 high 2 */ byte state = 0; mtype={up,down}; chan message=[0] of {mtype}; proctype action(){ do ::atomic {message?up -> if ::state=0 -> state = 1 ::state=1 -> state = 2 ::state=2 -> state = 2 ::else -> skip fi } ::atomic {message?down -> if ::state=0 -> state = 0 ::state=1 -> state = 0 ::state=2 -> state = 1 ::else -> skip fi } od } proctype control(){ do ::message!up; ::message!down; od } init{ atomic{ run action(); run control();} } 38 Phụ lục B: Tệp lampcode.pml khi chạy verify trong Spin /* Trang thai Gia tri state off 0 low 1 high 2 */ byte state = 0; mtype={up,down}; chan message=[0] of {mtype}; proctype action(){ do ::atomic {message?up -> if ::state==0 -> state = 1 ::state==1 -> state = 2 ::state==2 -> state = 2 ::else -> skip fi } ::atomic {message?down -> if ::state==0 -> state = 0 ::state==1 -> state = 0 ::state==2 -> state = 1 ::else -> skip fi } od } proctype control(){ do ::message!up; ::message!down; od } init{ atomic{ run action(); run control();} } #define a0 (state == 0) #define a1 (state != 1) #define a2 (state == 2) 39 never { /* !([](!(a2 && (a1 U a0)))) */ T0_init: if :: ((a0) && (a2)) -> goto accept_all :: ((a1) && (a2)) -> goto T0_S4 :: (1) -> goto T0_init fi; T0_S4: if :: ((a0)) -> goto accept_all :: ((a1)) -> goto T0_S4 fi; accept_all: skip } 40 Phụ lục C: Tệp lamp2code.txt /* Trang thai Gia tri state off 0 low 1 high 2 */ byte state = 0; mtype={up,down}; chan message=[0] of {mtype}; proctype action(){ do ::atomic {message?up -> if ::state==0 -> state = 1 ::state==1 -> state = 2 ::state==2 -> state = 2 ::else -> skip fi } ::atomic {message?down -> if ::state==0 -> state = 0 ::state==1 -> state = 0 ::state==2 -> state = 0 ::else -> skip fi } od } proctype control(){ do ::message!up; ::message!down; od } init{ atomic{ run action(); run control();} } 41 Phụ lục D: Tệp lamp2code.pml khi chạy verify trong Spin /* Trang thai Gia tri state off 0 low 1 high 2 */ byte state = 0; mtype={up,down}; chan message=[0] of {mtype}; proctype action(){ do ::atomic {message?up -> if ::state==0 -> state = 1 ::state==1 -> state = 2 ::state==2 -> state = 2 ::else -> skip fi } ::atomic {message?down -> if ::state==0 -> state = 0 ::state==1 -> state = 0 ::state==2 -> state = 0 ::else -> skip fi } od } proctype control(){ do ::message!up; ::message!down; od } init{ atomic{ run action(); run control();} } #define a0 (state == 0) 42 #define a1 (state != 1) #define a2 (state == 2) never { /* !([](!(a2 && (a1 U a0)))) */ T0_init: if :: ((a0) && (a2)) -> goto accept_all :: ((a1) && (a2)) -> goto T0_S4 :: (1) -> goto T0_init fi; T0_S4: if :: ((a0)) -> goto accept_all :: ((a1)) -> goto T0_S4 fi; accept_all: skip } 43 Phụ lục E: Mã nguồn của chương trình #include #include using namespace std; void read(char* inFile, char* outFile) { ifstream input(inFile, ios::in); ofstream output(outFile, ios::out); if(!input) { cerr<<"ERROR"; return; } string* state[10];//mang luu cac trang thai string* message[10];//mang luu cac thong diep chuyen trang thai int i=0,j=0,k1=1,k2=1; //Doc file string s; input >> s; int len = s.length(); while (s[i] != ':' && i <= len) i++; state[0] = new string[10]; *state[0] = s.substr(0,i); string tmp1 = *state[0]; j = i+1; while (s[i+1] != ':' && i < len) i++; message[0] = new string[10]; *message[0] = s.substr(j,i-j+1); string tmp2 = *message[0]; while (input >> s) { 44 len = s.length(); i = 0; while(s[i]!=':' && i<= len) i++; string tm = s.substr(0,i); if (tm != tmp1) { tmp1 = tm; state[k1] = new string[10]; *state[k1] = tm; k1++; } j = i+1; while(s[i+1]!=':'&& i<len) i++; string tmp2 = s.substr(j,i+1-j); int kt=0; for(int m=0;m<k2;m++) if (tmp2 == *message[m]) { kt = 1; break; } if (kt == 0) {*message[k2] = tmp2; k2++;} if(input.eof()) break; } input.close(); //In file output<<"/*\nTrang thai\tGia tri state\n"; for(int m=0;m<k1;m++) output<<*state[m]<<"\t\t"<<m<<"\n"; output<<"*/\n"; output << "byte state = 0;\nmtype={"; for(int m=0;m<k2;m++) if(m == (k2-1)) output<<*message[m]<<"};"; else output<<*message[m]<<","; output<<"\nchan message=[0] of {mtype};\nproctype action(){\n\tdo"; 45 for(int m=0;m<k2;m++) { output if\n\t\t"; ifstream input(inFile, ios::in); while (input >> s) { len = s.length(); i=0; while(s[i] != ':' && i <= len) i++; j=i+1; while(s[i+1] != ':' && i < len) i++; if (s.substr(j,i-j+1) == *message[m]) { for(int n=0;n<k1;n++) if (s.substr(0,j-1) == *state[n]) { output state = "; break; } for (int n=0;n<k1;n++) if (s.substr(i+2,len-i) == *state[n]) { output<<n<<"\n\t\t"; break; } } } output skip fi\n\t\t}"; input.close(); } output<<"\n\tod\n\t}\nproctype control(){\n\tatomic{"; for(int m=0;m<k2;m++) output<<"\n\t\tmessage!"<<*message[m]<< ; output<<"\n\t\t}\n\t}"; output<<"\ninit{\n\tatomic{\n\t\trun action();\n\t\trun control();}\n\t}"; } int main() 46 { read("lamp.txt", "lampcode.txt"); return 0; } 47 Tài liệu tham khảo [1] C. Baier, JP Katoen, K. Larsen, Principale of Model Checking, MIT Press, May 2008. [2] Clarke, Grumberg, and Peled, Model Checking, MIT Press, 2000. [3] Mordechai Ben-Ari, Principale of the Spin Model Checker. [4] Dang Van Hung, Model-Checking and the Spin Modelchecker, The United Nations University, International Institute for Software Technology. [5] Sagar Chaki, Introduction to Spin and Promela, Carnegie Mellon University. [6]

Các file đính kèm theo tài liệu này:

  • pdfLUẬN VĂN-NGHIÊN CỨU VỀ KIỂM CHỨNG PHẦN MỀM SỬ DỤNG CÔNG CỤ SPIN.pdf
Tài liệu liên quan