[发明专利]可执行模型的离线形式验证

说明书

背景技术

总体而言，系统开发过程包括需求开发阶段、设计和开发阶段以及验证阶段。需求可表征为特定产品或服务应当如何实施的文件化需要。更具体地，需求可指的是识别系统的必要功能、属性、性能、特性或质量的语句。需求规格书形式的需求被用作系统开发过程的设计阶段的输入，以设计对于特定系统而言什么样的元素和功能是必需的。

需求规格书可以使用多种语言表示。这些语言本质上可以是图形的或文字的，且可以包括但不限于转换系统(例如，状态机)、事件序列表(例如，情形或序列图表)以及结构化英语语言。系统使用软件或硬件或两者实施，通常使用接口，所述接口采用感测环境(包括使用者)输入的传感器和控制硬件的致动器来实施。在复杂系统中，尤其是在主要关注安全性的系统中，需要进行系统的穷举测试和验证以确保系统的性能满足系统的需求规格书。

测试和验证系统的常用方法是形式验证。广而言之，形式验证是使用一类状态空间试探方法来相对于形式规格书(也称为属性)证实或反驳系统下面的预期算法的正确性的过程。一种形式验证方法是模型检查，模型检查是模型性能的自动的、系统的、穷举的试探。通常，这包括通过使用智能和域特定的抽象技术来试探模型中的所有状态和转换，以在单次操作中考虑整个状态组并减少计算时间。实施技术包括状态空间枚举、符号状态空间枚举、抽象解释、符号模拟以及抽象精化。要验证的属性通常以时序逻辑描述，例如，线性时序逻辑(LTL)或计算树逻辑(CTL)。

已知形式验证方法通常仅可应用于设计阶段的系统模型或者系统的软件部分。虽然理论上可能，但是整个系统的模型会是不可能实施的，或者最好也不过是极度大的，从而现有形式方法技术不能缩放以跟踪得到的大状态空间。因而，使用系统模拟的测试是相对于其需求规格书验证系统的唯一方式。然而，由于测试案例(系统的测试输入和期望输出)由测试者写出，因此他们通常仅测试简单规格书。这是因为针对复杂时序规格书写出测试案例是易错的。此外，根据复杂时序规格书相对于期望输出来检查模拟运行也是耗时的和易错的。因而，需要提供能缩放至任何尺寸系统的可执行系统的自动形式验证的系统和方法。

发明内容

一种可执行系统的自动形式验证的系统和方法包括：剖析器，所述剖析器配置成使用布尔命题来产生表示规格书中的声明的命题公式；滤波器，所述滤波器配置成产生命题符号的真值赋值(truth assignment)的迹线；以及迹线验证器，所述迹线验证器配置成使用命题符号的真值赋值的迹线和命题公式来验证所述声明。

一种相对于规格书中的声明来验证系统的方法，包括：使用布尔命题来产生表示规格书中的声明的命题公式，其中，每个布尔命题与声明中的原子声明相关联；以及生成迹线，所述迹线表示相对于声明的系统配置序列，其中，所述迹线包括迹线配置数据，所述迹线配置数据表示响应于具体迹线的系统配置。所述方法还包括：将所述迹线配置数据转换为一组命题符号的真值赋值；使用命题符号的真值赋值来产生系统迹线；以及使用命题符号的真值赋值的迹线和命题公式来验证所述声明。

方案1.一种相对于规格书中的声明来验证可执行系统的方法，所述方法包括以下步骤：

使用布尔命题来产生表示规格书中的声明的命题公式，每个布尔命题与声明中的原子声明相关联；

生成迹线，所述迹线表示相对于声明的系统配置序列，其中，所述迹线包括迹线配置数据，所述迹线配置数据表示响应于具体迹线的系统配置；

将所述迹线配置数据转换为一组命题符号的真值赋值；

使用命题符号的真值赋值来产生系统迹线；以及

使用命题符号的真值赋值的迹线和命题公式来验证所述声明。

方案2.根据方案1所述的方法，其中，所述迹线配置数据包括输入、状态变量、状态信息以及输出变量的序列。

方案3.根据方案1所述的方法，其中，规格书中的声明以形式语言书写。

方案4.根据方案1所述的方法，还包括生成关联表，所述关联表识别原子声明和命题符号之间的关系。

方案5.根据方案4所述的方法，其中，将迹线配置数据转换为命题符号包括使用所述关联表将迹线配置数据转换为布尔符号。

方案6.根据方案1所述的方法，其中，所述迹线是包括多个迹线的测试组集。

方案7.一种计算机可读介质，有形地实施计算机可执行指令，所述指令用于：

使用布尔命题来产生表示规格书中的声明的命题公式，每个布尔命题与声明中的原子声明相关联；