Futásidőbeli verifikáció

Átírás

1 Futásidőbeli verifikáció Szoftver- és rendszerellenőrzés előadás dr. Majzik István Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék

2 Tartalomjegyzék Célkitűzések Használati esetek Futásidőbeli verifikációs technikák o Verifikáció referencia automaták alapján o Verifikáció temporális logikai követelmények alapján o Verifikáció LSC követelmények alapján o Verifikáció scenario követelmények alapján Implementációs tapasztalatok 2

3 Célkitűzések és használati esetek

4 Mit jelent a futásidejű verifikáció? Definíció: o Rendszerek viselkedésének ellenőrzése o működés közben (on-line), o formálisan specifikált követelmények alapján Motiváció o Megbízhatósági és biztonsági elvárások Biztonságkritikus rendszer: Elviselhető veszélygyakoriság IT infrastruktúra: Szolgáltatási szint biztosítása, o Futásidőbeli hibák elkerülhetetlenek Hardver komponensek véletlen hibái Szoftver tervezési, implementációs, konfigurálási hibák 4

5 Cél: Futásidőbeli hibadetektálás Futásidőbeli hibadetektálás a hibakezelés alapja o Klasszikus: Hardver hibák detektálása a forráskód alapján Pl. CFG ellenőrzés (watchdog processzorok) Csak működési hibákra, implementáció alapján o Ellenőrzés a követelmények alapján Szisztematikus (tervezési, kódolási, konfigurációs) hibákra is o Futásidőbeli verifikáció formalizált követelmények alapján Precíz követelmény megfogalmazás Automatikus ellenőrző (monitor) szintézisének lehetősége Példa: Reaktív hibakezelés o Hibadetektálás majd beavatkozás (pl. helyreállítás, biztonságos állapot beállítása, ) 5

6 Futásidőbeli verifikáció Használati eset 1: Futásidőbeli verifikáció Monitorok használata futásidőbeli hibadetektálásra o Formalizált követelmények ellenőrzése Pl. reaktív hibakezelés támogatása o A működési, konfigurációs és környezeti hibák detektálása Követelmények Monitor szintézis Működő rendszer Monitor 1 Monitor 2 Monitor n 6

7 Teszt oracle Használati eset 2: Teszt kimenet értékelése Monitorok használata mint teszt oracle o Teszt követelmények teljesítésének kiértékelése o Tervezési és megvalósítási hibák detektálása Követelmények Monitor szintézis Teszt végrehajtó Tesztelt rendszer (SUT) Monitor 1 Monitor 2 Monitor n 7

8 Ellenőrzési módszerek Kihívások o Követelmények formalizálása o Verifikációs algoritmusok kidolgozása Felműszerezés o Ellenőrzéshez szükséges információ megfigyelhetővé tétele o Erőforrásigény minimalizálása Elméleti eredmények gyakorlati aspektusai o Monitor szintézis o Kis erőforrásigényű, skálázható megvalósítás Alkalmazás beágyazott biztonságkritikus rendszerekben 8

9 Kihívások Ellenőrzési módszerek o Követelmények formalizálása ovégrehajtási Ellenőrzési algoritmusok szekvencia (trace) és ezek alapján megvalósítása specifikált temporális tulajdonságok ellenőrzése Felműszerezés Temporális logikák Referencia automaták o Ellenőrzéshez szükséges információ megfigyelhetővé tétele o Overhead Reguláris minimalizálás kifejezések Szerződés (design-by-contract) alapú monitorozás Kiértékelhető állítások (executable assertions) Elméleti eredmények mérnöki aspektusai Általános (specification-less) elvárások monitorozása o Monitor szintézis Konkurens végrehajtás követelményei (pl. holtpont, versenyhelyzet, sorosíthatósági konfliktus detektálása) o Kis erőforrás igényű, skálázható megvalósítás o Alkalmazás beágyazott biztonságkritikus rendszerekben 9

10 Kihívások Ellenőrzési módszerek o Követelmények formalizálása o Ellenőrzési algoritmusok és ezek megvalósítása Felműszerezés o Ellenőrzéshez szükséges információ megfigyelhetővé tétele oaktív Overhead és passzív minimalizálás felműszerezés Aktív: kódrészletek beillesztése Passzív: beavatkozás nélküli megfigyelés Elméleti eredmények mérnöki aspektusai Aktív felműszerezés megvalósítási technológiák Aspektus-orientált programozás (AOP) Tracematch: AspectJ kiterjesztés esemény-mintákhoz o Monitor szintézis o Kis erőforrás igényű, skálázható megvalósítás Szinkron és aszinkron monitorozás o Alkalmazás beágyazott biztonságkritikus rendszerekben 11

11 Példa: Keretrendszer monitor szintézishez MOP: Monitoring-Oriented Programming o FSM -- Finite State Machines o ERE -- Extended Regular Expressions o CFG -- Context Free Grammars o PTLTL -- Past Time Linear Temporal Logic o LTL -- Linear Temporal Logic o PTCaRet -- Past Time LTL with Calls and Returns o SRS -- String Rewriting Systems 13

12 Az itt bemutatott megoldások Alkalmazás: Vezérlés-orientált esetekben o Állapot alapú, eseményvezérelt viselkedés o Pl. biztonsági funkciókhoz (protokollokhoz) Hierarchikus (skálázható) futásidőbeli verifikáció o Lokális: Egy-egy komponens (vezérlő, ECU) viselkedése Referencia automata: vezérlési és egyszerű adathibák Lokális temporális logikai (TL) követelmények o Rendszerszintű: Komponensek interakciója Rendszerszintű temporális követelmények Scenario (LSC) alapú követelmények Kapcsolódás a modellvezérelt fejlesztéshez o Modell alapú kódgenerálás, felműszerezéssel 14

13 Hierarchikus monitorozás Rendszerkövetelmények Modellellenőrzés LSC monitor szintézis TL monitor szintézis Rendszerszintű monitorok Formális modell Tervezési verifikáció CFG monitor szintézis Automatikus kódgenerálás Felműszerezés Lokális vezérlési folyam monitorok Felműszerezett komponens Futásidőbeli verifikáció 16

14 Futásidejű verifikáció referencia automaták alapján Időzített automata modell alapján Állapottérkép modell alapján

15 Hierarchikus monitorozás Rendszerkövetelmények Modellellenőrzés LSC monitor szintézis TL monitor szintézis Rendszerszintű monitorok Formális modell Tervezési verifikáció CFG monitor szintézis Automatikus kódgenerálás Felműszerezés Lokális vezérlési folyam monitorok Felműszerezett komponens Futásidőbeli verifikáció 18

16 Monitorozás időzített automata alapján Monitor komponens Automata referencia Működési hibák (tranziens) (Kézi kódolás hibái) Interakciók (szinkron kommunikáció) Belső megvalósítás Automatikus felműszerezés: Jelzőszámok az állapotokról 19

17 Automatikus kódgenerálás Időzített automata (formalizmus) Formális szintaxis (metamodell) Formális szemantika (jelentés) Konkrét modell reprezentáció Forráskód minták Platform szolgáltatások Olvassa és bejárja Összeállítja Hivatkozza Kódgenerátor 20

18 Felműszerezés a forráskódban Inicializálás Rendszerciklus Felműszerezés Belépő függvény Állapotváltozók beállítása Csatornák figyelése Időzítések beállítása + Jelzőszámok küldése monitornak Várakozó függvény Felműszerezés Kilépő függvény Automata szint Állapot szint 21

19 Jelzőszám alapú monitorozás Komponens Felműszerezés Jelzőszámok: állapotok Detektálható hibák: Hibás állapot / átmenet szekvencia Leragadás (timeout) Időzítések megsértése Lokális vezérlési folyam monitor Referencia automata Kódgenerálás alapja Referencia automata 22

20 Monitorozás állapottérkép alapján Monitor komponens Állapottérkép referencia Működési hibák (tranziens) (Kézi kódolás hibái) Eseménysor Állapottérkép megvalósítás Automatikus felműszerezés: Jelzőszámok az állapotokról, átmenetekről, akciókról,... 23

21 Ellenőrzés állapottérkép referencia alapján Szisztematikus transzparens felműszerezés: o Explicit jelzések a monitor számára Elhagyott állapotok, belépett állapotok Végrehajtott akciók o Megvalósítási példa: Aspektus-orientált programozás ObservedApp Run-time Monitor Monitor RTCContext TransitionContext 25 25

22 Ellenőrzés állapottérkép referencia alapján Átmenet tüzelése Szisztematikus transzparens felműszerezés: Starting o Explicit jelzések a monitor transition számára üzenet Elhagyott állapotok, belépett állapotok Forrás konfiguráció Végrehajtott akciók elhagyása o Megvalósítási példa: Aspektus-orientált programozás Akciók végrehajtása ObservedApp Run-time MessageQueue msgq Monitor Cél konfigurációba Run-time + Monitor sendtrstarting Monitor való belépés Monitor Transition finished üzenet RTCContext TransitionContext 26 26

23 Ellenőrzés állapottérkép referencia alapján Extra kód átmenet tüzeléséhez (Java AOP) Szisztematikus transzparens felműszerezés: public aspect BehavioralMonitoring { // Define pattern matching pointcut firingtransitionpattern call (StatechartBase+.fireTransition(Transition t)); o Explicit jelzések a monitor számára Elhagyott állapotok, belépett állapotok Végrehajtott akciók o Megvalósítási // példa: Define instrumentation Aspektus-orientált to be applied programozás around(): firingtransitionpattern() { msgq.sendtrstarting(...); proceed(); Run-time Monitor ObservedApp msgq.sendtrfinishing(...); Monitor } } RTCContext TransitionContext 27 27

24 Ellenőrzés állapottérkép referencia alapján Szisztematikus transzparens felműszerezés: o Explicit jelzések a monitor számára Elhagyott állapotok, belépett állapotok Végrehajtott akciók RTC kontextus Inicializálás Esemény-feldolgozás kezdete és vége (állapotok) Átmenet kontextus részére o Megvalósítási példa: Aspektus-orientált programozás üzenetek ObservedApp Run-time Monitor Monitor RTCContext Állapotátmenet kontextus Állapotból kilépés, állapotba belépés, akciók TransitionContext 28 28

25 Run-to-completion context (RTCContext) initstarting initfinishing[ifok] Uninitialized Initialization Stable initentry [ieok] evtprocstarting [epsok] evtprocfinishing [epfok] trstarting [tsok] / createtrctx Transient dispatch 29 29

26 Run-to-completion context (RTCContext) Uninitialized Inicializálás közben initentry: A megfigyelt alkalmazás belépett egy kezdőállapotba ieok őrfeltétel: (i) az állapot a kezdő állapotkonfigurációba tartozik, (ii) inaktív volt és (iii) minden szülő állapota is aktív. initstarting initfinishing[ifok] Initialization Stable initentry [ieok] evtprocstarting [epsok] evtprocfinishing [epfok] trstarting [tsok] / createtrctx Transient dispatch 30 30

27 Run-to-completion context (RTCContext) initstarting initfinishing[ifok] Stable Uninitialized Inicializálás befejezése A megfigyelt alkalmazás initentry [ieok] belépett a kezdő állapotkonfigurácóba. Initialization ifok őrfeltétel: A kezdő állapotkonfiguráció minden állapota aktív. evtprocstarting [epsok] evtprocfinishing [epfok] trstarting [tsok] / createtrctx Transient dispatch 31 31

28 Run-to-completion context (RTCContext) initstarting initfinishing[ifok] Uninitialized Initialization Stable initentry [ieok] evtprocstarting [epsok] evtprocfinishing [epfok] Eseményfeldolgozás indul A megfigyelt alkalmazás elkezdett feldolgozni egy eseményt. trstarting [tsok] / createtrctx Transient dispatch 32 32

29 Run-to-completion context (RTCContext) initstarting initfinishing[ifok] Átmenet tüzelése A megfigyelt alkalmazás elkezdte egy átmenet tüzelését. tsok őrfeltétel: (i) a trigger esemény az éppen feldolgozott esemény, (ii) forrás állapotok aktívak, (iii) prioritások és őrfeltételek Uninitialized megfelelőek. createtrctx akció: új átmenet kontextus létrehozása (transition context). Ebben folytatódik az ellenőrzés (dispatch adja át az információt) Initialization Stable initentry [ieok] evtprocstarting [epsok] evtprocfinishing [epfok] trstarting [tsok] / createtrctx Transient dispatch 33 33

30 Run-to-completion context (RTCContext) initstarting initfinishing[ifok] Stable Uninitialized Eseményfeldolgozás vége A megfigyelt alkalmazás befejezte az Initialization eseményfeldolgozást. epfok őrfeltétel: minden átmenet tüzelése befejeződött initentry [ieok] evtprocstarting [epsok] evtprocfinishing [epfok] trstarting [tsok] / createtrctx Transient dispatch 34 34

31 Hibadetektálás az RTCContext esetén Hibadetektálás Őrfeltétel hamis, vagy nem várt üzenet jön initstarting initfinishing[ifok] Uninitialized Initialization Stable evtprocstarting [!epsok] initentry [ieok] evtprocstarting [epsok] evtprocfinishing [epfok] initfinishing[!ifok] initentry [!ieok] trstarting [tsok] / createtrctx Transient evtprocfinishing [!epfok] Fault detected trstarting [!tsok] dispatch 35 35

32 Állapotátmenet kontextus (TransitionContext) Exiting states exitstate [xsok] / markinactive trassociated [taok] Entering states enterstate [esok] / markactive trfinishing [tfok] 36 36

33 Állapotátmenet kontextus (TransitionContext) Állapot elhagyása A megfigyelt alkalmazás elhagyott egy állapotot átmenet tüzelés közben. Őrfeltétel: (i) az állapot az átmenet forrása vagy ennek finomítása, (ii) az állapot aktív, (iii) egy finomítása sem aktív. Akció: a konfiguráció frissítése. Exiting states exitstate [xsok] / markinactive trassociated [taok] Entering states enterstate [esok] / markactive trfinishing [tfok] 37 37

34 Állapotátmenet kontextus (TransitionContext) Exiting states Az átmenet akciójának végrehajtása A forrás állapotok elhagyása megtörtént és az akció végrehajtása valósul meg. Őrfeltétel: Minden forrásállapot elhagyása exitstate [xsok] / markinactive megtörtént és a megfelelő akció zajlik. trassociated [taok] Entering states enterstate [esok] / markactive trfinishing [tfok] 38 38

35 Állapotátmenet kontextus (TransitionContext) Belépés a cél állapotokba A megfigyelt átmenet belép egy állapotba a tüzelése során.. Őrfeltétel: (i) az állapot exitstate a célállapotok [xsok] / egyike, (ii) inaktív és (iii) minden markinactive szülő állapota aktív. Akció: az állapotkonfiguráció frissítése. Exiting states trassociated [taok] Entering states enterstate [esok] / markactive trfinishing [tfok] 39 39

36 Állapotátmenet kontextus (TransitionContext) Exiting states exitstate [xsok] / markinactive trassociated [taok] Entering states Az átmenet tüzelés befejezése A megfigyelt átmenet tüzelése befejeződik. Őrfeltétel: minden célállapot enterstate [esok] / aktív lett az új állapotkonfiguráció szerint. markactive trfinishing [tfok] 40 40

37 Hibadetektálás a TransitionContext esetén Exiting states Hibadetektálás Őrfeltétel hamis, vagy nem megfelelő üzenet érkezik. exitstate [xsok] / markinactive exitstate [!xsok] trassociated [taok] trassociated [!taok] Fault detected Entering states trfinishing [tfok] enterstate [esok] / markactive enterstate [!esok] trfinishing [!tfok] 41 41

38 Futásidejű verifikáció temporális követelmények alapján Lineáris temporális logikai követelmények UPPAAL CTL követelmények (teszteléshez is)

39 Hierarchikus monitorozás Rendszerkövetelmények Modellellenőrzés LSC monitor szintézis TL monitor szintézis Rendszerszintű monitorok Formális modell Tervezési verifikáció CFG monitor szintézis Automatikus kódgenerálás Felműszerezés Lokális vezérlési folyam monitorok Felműszerezett komponens Futásidőbeli verifikáció 43

40 TL követelmények ellenőrzése TL követelmények Felműszerezés Felműszerezés Felműszerezés Komponens 1 Komponens 2 Komponens 3 Trace: Jelzőszámok: atomi kijelentések elemei (állapotok, változók, órák) TL monitor szintézis TL monitor 45

41 Monitorozás LTL kifejezések alapján Egy LTL kifejezés ellenőrzése a trace egy lépése esetén o Függőség az aktuális lépéstől: Boole logikai operátorok a lokális atomi kijelentéseken + lokális ( jelen idejű ) része a temporális operátoroknak o Függőség jövőbeli lépésektől: jövő idejű része a temporális operátoroknak A temporális kifejezés újraírása: Részkifejezések elválasztása o Az aktuális lépésben (Boole operátorokkal) kiértékelhető részkifejezések o A következő lépésben (egy X operátor után) kiértékelhető részkifejezések exp1 U exp2 = exp2 (exp1 X(exp1 U exp2)) Következő állapotra vonatkozó kifejezések 46

42 Kifejezések újraírása Definíció: Csatlakoztatási normálforma o A kifejezésben szereplő összes Until (U) temporális operátor valamely Next (X) temporális operátor hatókörében van, és o a kifejezés minden olyan része, amely nem esik Next temporális operátor hatókörébe, kizárólag And, valamint Not operátorokat tartalmaz Átalakítás csatlakoztatási normálformára o Boole operátorokra: De Morgan azonosságok o Temporális operátorokra: Visszavezetés X és U operátorokra Átalakítás: P U Q = Q (P X(P U Q)) = ( Q (P X(P U Q))) 48

43 Kiértékelő blokkok Belső logika: Az aktuális lépés kiértékelése (Boole logika) Kimenet: A trace jelen lépésében a kifejezés kiértékelése Bemenetek: o Lokális atomi kijelentések o Következő lépésben történő kiértékelés eredménye Ez a trace következő lépésében, az X operátor utáni kifejezéseket kiértékelő blokkok kimenete lesz (így blokkok láncolata képezhető) G(r (pud)) r d p T X(pUd) X(TU(rÙÙ(pUd))) 49

44 Példa: Kiértékelés a trace lépésein 1 2 s 0 s 1 s 2 d r d Ù d pud Ù G(r (pud)) Ù Ù Ù T X(TU(rÙÙ(pUd))) Ù p X(pUd) Ù X(pUd) pud Ù Ù X(pUd) p p r d TU(rÙÙ(pUd)) Ù Ù Ù Ù T X(TU(rÙÙ(pUd))) d Ù X(pUd) p pud Ù Ù X(pUd) p r TU(rÙÙ(pUd)) Ù Ù Ù Ù T X(TU(rÙÙ(pUd))) d Ù X(pUd) p Példa: G(r (pud)) felírása A G operátor definíciója Az U operátor felbontása e 1 Ue 2 = e 2 (e 1 X(e 1 Ue 2 )) = ( e 2 (e 1 X(e 1 Ue 2 ))) Normál forma: U csak X argumentumaként r Ù d G(r (pud)) Ù Ù p Ù T X(TU(rÙÙ(pUd))) Ù X(pUd) 50

45 Példa: A blokkok optimalizálása Ismétlődő részkifejezések egyszeri kiértékelése 51

46 Példa: Blokk típusok azonosítása s 0 1 s 1 2 s 2 r p d r p d r p d X(pUd) pud X(pUd) pud X(pUd) G(r (pud)) X(TU(r (pud))) TU(r (pud)) X(TU(r (pud))) TU(r (pud)) X(TU(r (pud))) 52

47 A blokk típusok meghatározása 53

48 Műveletek háromértékű logikával Blokk belseje: Háromértékű (ternáris) logika o A következő lépésben történő kiértékelés eredménye ismeretlen o Az ismeretlen legkésőbb a trace végén feloldható Műveletek háromértékű logikával: 54

49 Működési logika: 1. lépés G(r (pud)) r, p s 0 L(s 0 ) r d p T X(pUd) X(TU(rÙÙ(pUd))) False Unknown True 56

50 Működési logika: 2. lépés G(r (pud)) r, p s 0 L(s 0 ) r d p T X(pUd) X(TU(rÙÙ(pUd))) pud TU(rÙÙ(pUd)) p r T s 1 L(s 1 ) d p X(pUd) X(TU(rÙÙ(pUd))) False Unknown True 57

51 Működési logika: 3. lépés (trace vége) G(r (pud)) r, p s 0 L(s 0 ) r d p T X(pUd) X(TU(rÙÙ(pUd))) pud TU(rÙÙ(pUd)) p r T s 1 L(s 1 ) d p X(pUd) X(TU(rÙÙ(pUd))) pud TU(rÙÙ(pUd)) False Unknown True d s 2 L(s 2 ) r d p T X(pUd) X(TU(rÙÙ(pUd))) 58

52 Működési logika: Ismeretlenek feloldása G(r (pud)) r, p s 0 L(s 0 ) r d p T X(pUd) X(TU(rÙÙ(pUd))) pud TU(rÙÙ(pUd)) p r T s 1 L(s 1 ) d p X(pUd) X(TU(rÙÙ(pUd))) pud TU(rÙÙ(pUd)) False Unknown True d s 2 L(s 2 ) r d p T X(pUd) X(TU(rÙÙ(pUd))) 59

53 Monitor szintézis LTL alapú monitorozáshoz Monitor szintézis lépései o Kiértékelő blokk típusok generálása az LTL kifejezés átírása alapján (csatlakoztatási normál forma) o A kiértékelő blokk típusok belső logikájához tartozó forráskód generálása (adatstruktúra és kiértékelő fügvények háromértékű logikával) o Kiértékelő kontextus generálása a kiértékelő blokk típusok futásidőbeli példányosítására (a blokkok láncának építése) A monitorozás memóriaigénye o Legfeljebb lineáris a trace hosszával o Ismétlődő blokkok redukálhatók Összevetés más implementációkkal: o Symbolic term-rewriting: szor lassabb o Alternating automata: szer lassabb 60

54 CTL alapú monitorozás (UPPAAL TCTL) Használható trace-ek halmazának ellenőrzésére o Útvonal kvantorok: A: Minden útvonal, E: Létezik útvonal A monitorok mint teszt oracle használhatók egy teszt készlet esetén a lefutások halmazának ellenőrzésére o Speciális események: <New trace>, <End of last trace> Monitor szintézis o Egy trace ellenőrzése: Mint az LTL alapú ellenőrzés o Trace-ek sorozatának ellenőrzése (test suite): Megfigyelő automata Példa: Megfigyelő automata AF temporális operátorhoz 63

55 Futásidejű verifikáció LSC követelmények alapján Live Sequence Charts követelmények verifikációja

56 Hierarchikus monitorozás Rendszerkövetelmények Modellellenőrzés LSC monitor szintézis TL monitor szintézis Rendszerszintű monitorok Formális modell (időzített automaták) Tervezési verifikáció CFG monitor szintézis Automatikus kódgenerálás Felműszerezés Lokális vezérlési folyam monitorok Felműszerezett komponens Futásidőbeli verifikáció 65

57 LSC alapú követelmények Cél: Interakciók ellenőrzése intuitív leírás alapján o Szinkronizáció, üzenetek küldése és fogadása, lokális feltételek Formalizmus: Live Sequence Charts variáns o Message Sequence Chart kiterjesztése (Damm és Harel, 2001) o Precíz szemantika (UPPAAL: korlátozásokkal) o LSC alaptípusok, aktiválási módok, hideg és forró feltételek Prechart Main chart 66

58 LSC követelmények ellenőrzése LSC követelmények Felműszerezés Felműszerezés Felműszerezés Komponens 1 Komponens 2 Komponens 3 Trace: Jelzőszámok: interakciók elemei (üzenetek, állapotok, változók, órák) LSC monitor szintézis LSC monitor 67

59 LSC alapú monitor szintézise LSC követelmény Megfigyelő automata Monitor forráskód LSC monitor példány LSC monitor végrehajtási környezet 68

60 LSC alapú monitor szintézise A A B 2 C B C 5 C B 4 69

61 LSC monitorok végrehajtása Ütemező (végrehajtási környezet) szükséges o Egy-egy monitor indítása, leállítása o Visszajelzések kiértékelése, továbbítása LSC alaptípusok támogatása o Egzisztenciális: minta viselkedés (lefutásokra) o Univerzális: szükséges viselkedés (minden lefutásra) LSC aktiválási módok támogatása o Kezdeti o Invariáns o Iteratív 71

62 Futásidejű verifikáció scenario követelmények alapján Kontextusfüggő viselkedés monitorozása

63 Speciális kihívások Autonóm rendszerek (pl. robotok) ellenőrzése o Kontextusfüggő viselkedés (környezet érzékelése) o Adaptív rendszer (célok, végrehajtási stratégia) Követelmények specifikálása: Scenariok o Viselkedés: Események és akciók szekvenciája; Feltétel rész és kötelező (assert) rész o Hivatkozások a kontextusra (szituációkra) Kontextusfüggő viselkedés monitorozása: o Megfigyelni a futásidőbeli kontextus változásait o Ellenőrizni a rendszer viselkedését 73

64 A monitorozás szerepe vagy Követelmények Valós teszt környezet Megfigyelt események, akciók, kontextus változások Futási trace-ek Szimulátor Kihívás: Egy-egy trace hatékony ellenőrzése a scenario követelmények alapján Kiértékelés a monitorral 74

65 Követelmények formalizálása MSC (vagy LSC) alapú esemény- és akció szekvenciák Kiterjesztve kontextus hivatkozásokkal Kontextus (objektumok és relációk) egy adott lépésben Események az érzékelőktől Akciók a beavatkozók felé CF2 sd REQ2 Perception SUT : Robot Actuators SUT : Robot tooclose L : LivingBeing AE : AppearEvent assert loop(0,*) { Context: CF2 } hornbell Referencia egy kontextus fragmensre CF3 SUT : Robot near L : LivingBeing { Context: CF3 } Kontextus nézet (kontextus fragmensek) Scenario nézet (események és akciók sorozata) 75 Kötelező viselkedés

66 A monitor feladatai Megfigyelt trace: Események és akciók a SUT-tól A kontextus konkrét konfigurációi sd REQ2 Perception SUT : Robot Actuators CF2 sd REQ2 assert { Context: CF2 } SUT : Robot tooclose L : LivingBeing assert loop(0,*) hornbell AE : AppearEvent loop(0,*) CF3 { Context: CF3 } SUT : Robot near L : LivingBeing Események, akciók illesztése: Megfigyelő automata Kontextus fragmensek illesztése: Gráfminta illesztés 76

67 A megfigyelő automata konstrukciója Egy-egy megfigyelő automata a követelmény scenariokhoz o Állapotok: vágások a diagramon (mint az LSC esetén) o Tranzíciók: események, akciók, kontextus változások o Állapot típusok: teljesítve / megsértve / nem triggerelt sd REQ1 alt assert SUT : Robot { Context: CF1 humandetected animaldetected stop 0 1 t5:?humandetected t4:?animaldetected 2 3 t6: true 4 5 t9:!stop t1: true t2: context(cf1) t3: ~(?humandetected) ~(?animaldetected) t7: true t8: ~(!stop) A követelmény nem triggerelt A követelmény megsértve, ha itt áll meg A követelmény teljesítve, ha itt áll meg 77

68 Gráfminta illesztés A trace-ben megfigyelt kontextus szekvencia illesztése o A kontextusok gráf alapú reprezentálása o Gráf minták (követelmény kontextus fragmensek) illesztése gráf szekvenciákhoz (megfigyelt kontextus a trace-ben) Kontextus fragmens (követelmény): CF3 SUT : Robot near L : LivingBeing Megfigyelt kontextus sorozat: robot1 chair23 robot1 chair23 robot1 chair23 human2 table23 dog4 table23 dog4 table23 78

69 Megoldandó problémák Minden követelmény scenario illesztése egy trace-hez o A kontextus fragmensek dekompozíciója a közös részek egyszeres tárolásához és illesztéséhez A követelmény kontextus fragmensek illesztése egy trace minden lépésében o Konkurens monitorok indítása, amennyiben illeszkedik Az absztrakt relációk (pl. közel ) és az objektum hierarchia (pl. az asztal egy bútor ) feloldása o A trace előfelfolgozása az absztrakt relációk származtatásához o A típusok kompatibilitásának kezelése a kontextus elemek illesztésekor 79

70 Megvalósítási tapasztalatok Erőforrásigények felmérése

71 Megvalósítás Beágyazott platformokon o mitmót moduláris beágyazott rendszer vezetéknélküli kommunikációval Ipari esettanulmány: bit szinkronizációs protokoll o mbed mikrokontroller gyors prototípuskészítéshez Oktatási demonstrátor környezet 82

72 Jellemző erőforrásigények Az ellenőrzés időigénye (mbed platform) ( state change) Kisebb, mint 12% többletidő ( state change) Nagy overhead gyors vezérlési funkciókra 83

73 Jellemző erőforrásigények Kódméret növekedés (mbed platform) Kisebb, mint 5% kódméret növekedés 84

74 Scenario alapú monitorozás Prototípus megvalósítás o Scenario követelmények: Eclipse UML2 alapon o Monitor (teszt oracle): Java alkalmazás Komplexitás: a gráfminták illesztése o Legjobb eset: O(IM), legrosszabb eset: O(NI M M 2 ) N: a követelmény gráf minták száma M: a követelmény gráf minták átlagos mérete I: a trace-ben illesztendő kontextus gráf csúcsainak száma o A követelmény gráf minták (kontextus fragmensek) általában kicsik (így M értéke alacsony) 85

75 Összefoglalás Monitor szintézis futásidőbeli verifikációhoz o Automata alapú referencia viselkedés ellenőrzés Időzített automata modellek alapján UML állapottérkép modellek alapján: Monitorozás precíz szemantika szerint o LTL követelmények hatékony verifikációja Ellenőrző blokkok konstrukciója és példányosítása o LSC követelmények futásidőbeli verifikációja o Kontextusfüggő viselkedés ellenőrzése scenario követelmények alapján Események, akciók és kontextus fragmensek illesztése 87