### IRIT - EQUIPE TRACES

# Rapport de Stage - M2R IT Spé. SRLC

01 Mars 2014 - 03 Août 2014

# Détermination de propriétés de flot de données pour l'amélioration du temps d'exécution pire-cas

Auteur : Jordy Ruiz Encadrant : Hugues Cassé

Année 2013 - 2014



# Table des matières

| 1 | Intr                              | Introduction                                           |    |  |
|---|-----------------------------------|--------------------------------------------------------|----|--|
|   | 1.1                               | WCET, les enjeux                                       | 2  |  |
|   | 1.2                               | La recherche de chemins infaisables                    | 2  |  |
|   | 1.3                               | Langages supportés                                     | 3  |  |
|   | 1.4                               | ~ ~                                                    | 5  |  |
| 2 | Brouillon                         |                                                        |    |  |
|   | 2.1                               | Choix du solveur SMT                                   | 6  |  |
|   | 2.2                               | Représentation en graphe de flot de contrôle           | 7  |  |
|   | 2.3                               | Analyse d'un graphe de flot de contrôle                | 8  |  |
|   | 2.4                               | Analyse des instructions sémantiques d'un bloc de base | 11 |  |
|   | 2.5                               | Identification de chemins infaisables minimaux         | 14 |  |
| 3 | Solution 1                        |                                                        |    |  |
| 4 | Structures de données utilisées 1 |                                                        | 14 |  |
| 5 | Structure de l'algorithme         |                                                        | 16 |  |
| 6 | Trac                              | Fraduction en contraintes ILP 1                        |    |  |
|   | 6.1                               | Cas avec deux if en séquence                           | 16 |  |
|   | 6.2                               | Cas avec trois if en séquence                          | 17 |  |
|   | 6.3                               |                                                        | 19 |  |
|   | 6.4                               | Limitations des contraintes ILP                        | 19 |  |

## 1 Introduction

## 1.1 WCET, les enjeux

À Toulouse même, les besoins des industriels en termes de vérification de logiciel sont présents. Le calcul du pire temps d'exécution, ou WCET en anglais (Worst Case Execution Time) est un de ces multiples processus de vérification. La grande majorité des logiciels développés n'ont pas besoin de tels procédés de vérification, les bugs y sont gênants mais la plupart du temps on redémarre sans trop chercher à comprendre. Pour les systèmes dits **temps-réel critiques** (algorithme dans un satellite, frein d'une voiture, pilotage d'une rame de métro...), une erreur ou un échec peuvent entraîner de lourdes pertes économiques ou humaines : le plantage du logiciel d'un satellite nécessite des interventions très coûteuses, le temps de réponse exceptionnellement long d'un frein de voiture peut entraîner un accident...

Le problème est simple : il peut exister dans ces systèmes temps-réel critiques des cas extrêmement rares, indétectables par une batterie de tests, où le temps d'exécution explose anormalement. On pourrait par exemple imaginer un algorithme qui sauvegarde (disons hebdomadairement) le contenu de ses données sur un disque externe. Si tout est géré de manière synchrone et qu'un ordre critique arrive à ce moment-là, on pourrait se retrouver avec un temps d'exécution très élevé. On peut imaginer plein d'autres exemples (une plage de données très fragmentée qui entrainerait des défauts de page en masse, etc...).

Dans le cadre de mon étude, je fais abstraction de certains problèmes très bas niveau comme la gestion du cache ou le fonctionnement du pipeline et des prédictions de branchement. Ces problèmes ne sont pas ignorés, ils sont simplement traités par d'autres travaux, d'autres outils que les miens.

Le calcul du WCET consiste en une **surestimation** : on ne donne certes pas une mesure exacte du pire temps d'exécution, mais on garantit que cette mesure est en tout cas supérieure au pire temps réel. Le but de mon étude est d'améliorer, d'affiner, donc de **réduire** la surestimation du WCET calculée par notre outil OTAWA, tout en restant correct. On cherche à avoir le plus petit majorant possible.

La stratégie que je vais mettre en oeuvre pour la réduction de notre évaluation du WCET est la recherche de chemins infaisables.

#### 1.2 La recherche de chemins infaisables

L'idée est la suivante : pour (sur)estimer le WCET, notre outil OTAWA fonctionne par énumération implicite des "chemins" du programme, ou IPET en anglais (Implicit Path Enumeration Technique), il prendra ensuite le temps d'exécution du chemin le plus coûteux du programme pour le calcul du WCET. Les programmes étudiés contiennent souvent de nombreux chemins infaisables (une étude avait observé 99.9% de chemins infaisables dans un programme de gestion des vitres d'une voiture). Prenons par exemple le programme suivant :

Ce programme contient 4 chemins :

```
Données: n
Résultat: k
si n > 10 alors
| k = 0; // (1) |
| sauvegarder();
sinon
| k = 1; // (2) |
fin
si n > 0 alors
| k = k + 1; // (3) |
sinon
| k = k - 1; // (4) |
| sauvegarder();
fin
```

**Algorithme 1 :** Exemple d'un programme avec chemin infaisable

```
Un chemin c<sub>1</sub> qui passe par (1) et (3);
Un chemin c<sub>2</sub> qui passe par (1) et (4);
Un chemin c<sub>3</sub> qui passe par (2) et (3);
Un chemin c<sub>4</sub> qui passe par (2) et (4).

Le chemin c<sub>5</sub> qui passe par (1) et (4) est infaisable puisqu'il implication.
```

Le chemin  $c_2$ , qui passe par (1) et (4) est **infaisable**, puisqu'il implique n > 10 et  $n \ne 0$ .

On pourrait maintenant imaginer que la fonction sauvegarder fait une opération relativement coûteuse, comme par exemple une écriture sur un fichier du système. Dans ce cas, le WCET calculé correspondra au temps d'exécution du chemin  $c_2$ , qui vaut à peu près à deux fois le temps d'exécution de la fonction sauvegarder.

Or, ce chemin est infaisable, c'est-à-dire qu'il ne sera jamais emprunté par le programme. Dans la réalité, ce programme n'exécuterait au plus qu'une fois cette fonction de sauvegarde, nous avons donc estimé le WCET (à peu près) au double du WCET réel!

En détectant ce chemin infaisable  $c_2$ , on pourrait indiquer à OTAWA de ne pas considérer ce chemin, et ainsi réduire effectivement l'estimation du WCET obtenue de moitié.

Le but de mon étude est donc de détecter ces chemins infaisables et de transmettre cette information à l'outil avant qu'il ne démarre son analyse pour l'estimation du WCET.

# 1.3 Langages supportés

Notre analyse portera sur des programmes écrits en **langage assembleur**, qui est le langage de programmation le plus proche de la machine. Le travail sur le code source a effectivement de multiples inconvénients : il faut prouver le(s) compilateur(s) qui viennent avec (un travail très conséquent), et cela nous



Fig. 1 – OTAWA permet aux analyses de s'abstraire de l'architecture

restreint aussi aux programmes dont nous disposons des sources complètes (certaines bibliothèques ne sont pas open-source).

Le langage assembleur, aussi appelé langage machine, est en revanche bien sûr beaucoup moins facile à analyser : les registres ne sont en général pas typés, et il n'y a pas réellement d'instructions if, then, else ou while, for (celle-ci est particulièrement dure à détecter dans le code assembleur) : il s'agit seulement d'instructions de comparaison et de branchements conditionnels.

Il n'y a pas non plus d'appels de fonctions avec des paramètres et des valeurs de retours explicites, il s'agit là encore de branchements (BL, Branch with Link dans le cas du langage d'assembleur ARM [1]).

Un autre problème des langages machines est qu'il sont spécifiques à une architecture, les exécutables compilés à partir d'un même langage source seront différent selon qu'on est sur une architecture ARM ou PowerPC... Fort heureusement, notre outil OTAWA nous permet de nous **abstraire de l'architecture** en transformant les instructions du langage assembleur en **instructions sémantiques** génériques, universelles à tous les langages assembleur.

Ainsi, l'analyse que je développerai avec OTAWA supportera toutes les architectures supportées par OTAWA, et pour supporter une nouvelle architecture, il suffit de rajouter celle-ci dans OTAWA. OTAWA fonctionne comme une interface entre l'analyse et le code (écrit dans un langage spécifique à une architeture). Cette interface est schématisée sur la figure 1.

Voici, sans donner plus de détails pour le moment, à quoi ressemble la traduction de code assembleur (celui-ci a été généré avec gcc) en instructions sémantiques. Les tX sont des variables temporaires utilisées pour la traduction en instructions sémantiques et les ?X sont les registres. Pour chaque instruc-

tion assembleur, on trouve dessous une ou plusieurs instructions sémantiques équivalentes, en commentaire :

```
ldr r0, [pc, #20]
@ seti ?15, 0x8310
@ seti t2, 0x14
@ add t1, ?15, t2
@ load ?0, t1, uint32

mov r1, #0
@ seti ?1, 0x0

mov r2, r1
@ set t1, ?1
@ set ?2, t1

bl 8574
@ seti t1, 0x8574
@ seti ?14, 0x8318
@ branch t1
```

De plus amples explications à ce sujet seront données dans la suite de ce mémoire.

#### 1.4 Restrictions

Nous travaillons dans le cadre de cette étude exclusivement sur des programmes sans boucles. Le problème de la gestion des boucles est un problème complexe qui ne pouvait pas se traiter en l'espace de quelques mois. Cette hypothèse n'est pas complètement irréaliste puisqu'il existe des programmes, ou même des langages assembleur sans boucles. Plus tard quand ce travail sera continué en thèse, il faudra les traiter mais nous ne savons pas encore à quel point ce traitement sera limité en efficacité.

Un autre vaste problème se pose, celui de la gestion de la mémoire. Il s'agit de se représenter dans le programme l'état de la mémoire (ou du moins les quelques parties sur lesquelles on sait quelque chose) et de déduire des propriétés sur la valeur du registre de destination d'un LOAD en mémoire. Le traitement des instructions mémoire est à l'heure que j'écris ces lignes quasiment terminé mais il reste assez limité.

Notre programmme ne traite pour l'instant pas les instructions sémantiques d'OTAWA spécifiques aux "unsigned" (entiers représentés non signés). En effet, pour une même valeur binaire dans un registre, selon qu'on l'interprète comme un entier signé ou non, son interprétation peut être différente. Un exemple sur 4 bits est donné sur la figure 2.

Toutefois, l'interprétation de la valeur d'un registre est identique tant que le bit de poids fort est à 0, c'est à dire tant que la valeur interprétée appartient à l'intervalle  $[0, 2^{n-1} - 1]$ , où n est le nombre de bits du registre.



Fig. 2 – Différentes interprétations de la valeur d'un registre

Et bien sûr, toutes les instructions qui ne sont pas supportées par OTAWA (impossibles à traduire en expression sémantiques) ne sont pas non plus supportées par notre programme, même si ce type d'erreur est géré de manière à ne pas être critique : on va perdre de l'information et donc peut-être détecter moins de chemins infaisables, mais l'analyse n'échoue pas.

#### 2 Brouillon

### 2.1 Choix du solveur SMT

Pour le choix de notre solveur SMT, nous avons dressé un petit état de l'art en nous basant principalement sur des résultats de la SMT-COMP [2], une compétition entre solveurs, en éliminant d'office les solveurs qui ne présentaient pas d'API utilisable en C++:

- Z3 [4]
  - Gagnant de la SMT-COMP 2011
  - Apparemment encore le plus performant en termes de temps d'exécution
  - Développé par Microsoft Research
  - Distribué sous la licence Microsoft Research License Agreement Non-Commercial Use Only
- CVC4 [5]
  - CVC3 a l'air insuffisant et limité mais le solveur a été globalement réécrit pour CVC4, bien qu'il semble y avoir une certaine continuité dans les features proposées
  - CVC4 a tourné sur de multiples benchmarks et a toujours eu de bons ou très bons résultats
  - Open source, sans restriction pour un usage commercial ou à fins de recherches
- MathSAT 5 [6]
  - API disponible seulement en C
  - Bons résultats pour MathSAT5-smtcomp12
  - "An SMT solver for Formal Verification", ouverture possible sur la vérification formelle
- Boolector [7]
  - API disponible seulement en C

BB 3 (000082bc) 000082bc mov r2, #1 000082c0 ldr r3, [pc, #72] 000082c4 str r2, [r3, #0]

Fig. 3 – Un exemple de bloc de base en langage machine ARM

- Quelques très bons résultats à la SMT-COMP mais qui ne semblent pas porter sur des critères intéressants pour notre usage.
- SONOLAR [8]
  - Modeste dans ses performances
- N'a été testé que sur benchmarks notés "BV", restrictions aux booléens?
- MISTRAL [9]
  - Pas évalué à la SMT-COMP 2012
- VeriT [10]
  - Pas évalué à la SMT-COMP 2012
- Barcelogic [11]
  - Pas évalué à la SMT-COMP 2012

Notre choix s'est finalement porté sur **CVC4**, pour ses bonnes performances, son API riche et bien documentée, et sa licence très libre.



être suffisamment indépendant du reste pour permettre de changer de solveur SMT si besoin sans trop de difficultés.



Lors de notre analyse, nous considérerons le programme sous la forme d'un graphe connexe enraciné, appelé **graphe de flot de contrôle, ou CFG** (Control Flow Graph). Dans le cas des programmes sans boucles que nous traitons, il s'agit même d'un arbre.

Un CFG est donc un graphe dont les noeuds sont appelés des **blocs de bases**, et qui sont constitués d'une suite d'instructions exécutées *séquentiellement*. Il ne peut donc y avoir d'appels de fonctions, de conditions, de boucles, ou tout autre branchement à l'intérieur d'un bloc de base (excepté en dernière instruction). La figure 3 en montre un exemple.

Les arêtes représentent les chemins d'exécution du programme, elles correspondent à des branchements où à l'exécution séquentielle du programme. Il y a deux types de branchements : les branchements conditionnels et les branchements inconditionnels.

Parmi les **branchements conditionnels**, ceux qui correspondent à l'arc "pris", c'est-à-dire au cas où la condition évoquée est vérifiée, sont annotés





Fig. 4 – Exemples de branchements conditionnels

Fig. 5 – Exemples de branchements inconditionnels

sur le CFG avec l'étiquette "taken", l'arc dit "non pris" n'a conventionellement pas d'étiquette.

Parmi les **branchements inconditionnels**, il peut s'agit de l'exécution séquentielle du programme ou d'un branchement non conditionnel (ce qui revient en assembleur à changer le registre pointeur d'instruction pc ou r15) auquel cas l'arc n'est pas annoté, ou il peut s'agit d'un appel de fonction (*Branch with Link* en assembleur), auquel cas l'arc est dessiné en pointillés et annoté "call".

Les figures 4 et 5 montrent des exemples de ces branchements.

Prenons pour exemple l'algorithme 1 que nous avions présenté plus haut. Le CFG en pseudo-code correspondant est exhibé sur la figure 6. On y voit bien apparaître les 4 chemins cités précédemment.

La figure 7 montre le CFG généré par OTAWA à partir du code ARM correspondant à l'algorithme 1 (compilé à partir d'un fichier C). On y observe à peu près la même structure que sur le CFG en pseudo-code, avec des calls à la fonction sauvegarder et des instructions ARM plus volumineuses à l'intérieur des blocs.

# 2.3 Analyse d'un graphe de flot de contrôle

Comme nous travaillons sans boucles, l'algorithme ci-dessous n'est pas correct, ou du moins ne terminera pas si on le fait fonctionner sur un CFG avec boucles. Nous initialisons d'abord l'algorithme de parcours de graphe de contrôle avec le premier bloc de base du CFG, qui nous est donné par OTAWA.

Voici donc l'algorithme en pseudo-code, qui prend en paramètre un bloc de base :



Fig. 6 – CFG de l'algorithme 1



Fig. 7 – CFG généré par OTAWA

```
Données: bb: BasicBlock, lpreds: LabelledPredicate list
Résultat : Chemins infaisables trouvés
si bb est un bloc de sortie (EXIT) alors
   retourner [] // Fin de l'analyse de ce chemin
fin
Appeler le solveur SMT avec lpreds;
si on a trouvé une insatisfiabilité alors
   Extraire la liste des chemins infaisables;
   retourner cette liste // Fin de l'analyse de ce chemin
fin
preds = parseBasicBlock(bb); // Analyse linéaire des instructions
sémantiques
pour tous les arcs sortants edge de bb faire
   Labeller les prédicats preds avec l'arc edge comme étiquette;
   Ajouter ces prédicats labellés à lpreds;
   Appel récursif de cette fonction avec pour paramètres (
       le bloc de base vers lequel edge pointe,
       la nouvelle liste lpreds
   );
fin
```

# 2.4 Analyse des instructions sémantiques d'un bloc de base

Le programme parcourt les blocs de base linéairement en mettant à jour la liste de prédicats.

Nous définissons d'abord une fonction d'invalidation d'une variable dans la liste de prédicats, qui consiste à supprimer tous les prédicats qui utilisent cette variable.

```
invalidate var p =
  {predicate ∈ p | var ∉ predicate}
```

Il s'agit maintenant de définir l'effet de la lecture de chaque instruction sur la liste de prédicats. Exemple sur un premier cas trivial :

```
t [NOP] p =
   p (* rien ne change *)
```

La fonction de traduction t opère sur une instruction (ici NOP) et la liste de prédicats p.

Regardons maintenant comment est traitée l'instruction d'assignation d'une variable à une autre variable (SET) :

```
t [SET d a] p = (d = a) @ (invalidate d p)
```

Un nouveau prédicat d = a est généré après qu'on ait invalidé d, c'est-àdire qu'on ait supprimé tous les prédicats qui contiennent t. De même pour l'instruction SETI qui assigne une constante à une variable.

```
t [SETI d cst] p =
   (d = a) @ (invalidate d p)

t [CMP d a b] p =
   (d = a ~ b) @ (invalidate d p)
```

Cet opérateur ~ bien spécifique aux langages d'assembleur sert à se souvenir que d contient des informations sur la comparaison entre a et b.

Pour la suite nous allons avoir besoin de la fonction update qui sert à remplacer toutes les occurences d'une variable var par l'expression expr dans la liste de prédicats p :

```
update var expr p =
  {predicate[expr / var] | predicate ∈ p}
```

où la syntaxe predicate [expr / var] dénote ici le prédicat où le terme var est remplacé par l'expression expr.

```
t [ADD d a b] p =
   if (d = a) then (* d <- d+b *)
       (update d (d - b) p)
   else if (d = b) (* d <- a+d *)
       (update d (d - a) p)
   else
       (d = a + b) @ (invalidate d p)
t [SUB d a b] p =
   if (d = a) then
       if (d = b) then (* d <- d-d *)
          (update d 0 p)
       else (* d <- d-b *)
          (update d (d+b) p)
   else
       if (d = b) then (* d <- a-d *)
           (update d (a-d) p)
       else (* d <- a-b *)
          (d = a - b) @ (invalidate d p)
t [MUL d a b] p =
   if (d = a) then
       if (d = b) then (* d <- d*d *)
           (* impossible de remplacer d par \sqrt{d}, on invalide *)
           (0 \le d) @ (invalidate d p)
```

```
else (* d <- d*b *)
          (* on rajoute un predicat pour indiquer que d est
             divisible par b *)
          (d \% b = 0) @ (update d (d/b) p)
   else
       if (d = b) then (* d <- a*d *)
          (d \% a = 0) @ (update d (d/a) p)
       else (* d <- a*b *)
          (d = a * b) @ (invalidate d p)
t [DIV d a b] p =
   if (d = a) then
       if (d = b) then (* d \leftarrow d/d *)
          (d = 1) @ (invalidate d p)
       else (* d <- d/b *)
           (* impossible de remplacer d par (d*b),
             on a perdu de l'information ! *)
           (invalidate d p)
   else
       if (d = b) then (* d <- a/d *)
          (invalidate d p)
       else (* d <- a/b *)
           (d = a / b) @ (invalidate d p)
```

Pour illustrer le problème de l'instruction DIV, prenons le cas où l'on a  $\{t1 = 7, t2 = 3\}$  et une instruction [DIV t1 t1 t2]. En remplaçant t1 par t1 \* t2, on obtiendrait  $\{(t1 * t2 = 7), (t2 = 3)\}$ , c'est-à-dire (t1 \* 3 = 7), ce qui est impossible puisqu'on travaille sur des entiers!

```
t [MOD d a b] p =
  if (d = a or d = b)
    (invalidate d p)
  else
    (d = a % b) @ (invalidate d p)
```

Nous utiliserons dans la suite une fonction eval qui cherche la valeur **constante** pour une variable. La fonction eval parcourt donc la liste des prédicats à la recherche de prédicats du type (var = 2) permettant d'identifier la valeur de var.

```
t [ASR d a b] p =
  let b_val = eval b in
  if b_val = undefined then
      (invalidate d p)
  else
      let factor = 2 ** b_val in
```

#### 2.5 Identification de chemins infaisables minimaux

Une fois qu'un appel au solveur SMT avec une conjonction de prédicats en paramètre a renvoyé une insatisfiabilité (code "UNSAT"), le travail pour trouver le chemin infaisable en question n'est pas encore terminé. En effet, nous n'avons certes pas la liste complète de tous les arcs du chemin que nous avons parcouru, et seulement la liste des arcs qui ont généré un prédicat appartenant à la liste de prédicats que le SMT a détectée insatisfiable, mais c'est loin d'être minimal.

Nous aurons souvent une liste d'une dizaine de prédicats qui ont peu de rapport entre eux et deux ou trois prédicats qui à eux seuls ont causé l'insatisfiabilité. Le but de cet étape de l'algorithme et d'**identifier les prédicats responsables de l'insatisfiabilité** pour inclure le moins d'arcs possibles dans le chemin insatisfiable renvoyé.

L'intérêt de faire cette réduction est que, comme nous le verrons plus loin, que l'exploitabilité des chemins infaisables trouvés (pour réduire l'estimation du WCET) diminue plus le chemin infaisable contient d'arcs.

#### 3 Solution

Explication : calcul de WCET par IPET, max d'un système ILP Solution = Recherche de chemins infaisables pour améliorer l'estimation du WCET

Parler des outils choisis (OTAWA)

#### 4 Structures de données utilisées

La représentation des prédicats (associés à un Edge) => représentation également de la mémoire Traduction des prédicats dans le solveur SMT

| Instruction         | Sémantique                                                    |  |
|---------------------|---------------------------------------------------------------|--|
| NOP                 | (rien)                                                        |  |
| BRANCH              |                                                               |  |
| TRAP                | Indicateurs du flot du programme                              |  |
| CONT                |                                                               |  |
| IF cond sr jump     | si la condition cond sur le registre sr est vraie, continuer, |  |
|                     | sinon sauter jump instructions                                |  |
| LOAD reg addr type  | $reg \leftarrow \texttt{MEM}_{type}$                          |  |
| STORE reg addr type | $\texttt{MEM}_{\texttt{type}} \leftarrow \texttt{reg}$        |  |
| SCRATCH d           | $d \leftarrow \top (invalidation)$                            |  |
| SET d a             | $d \leftarrow a$                                              |  |
| SETI d cst          | $d \leftarrow cst$                                            |  |
| SETP d cst          | $page(d) \leftarrow cst$                                      |  |
| CMP d a b           | d ← a ~ b                                                     |  |
| CMPU d a b          | $d \leftarrow a \sim_{unsigned} b$                            |  |
| ADD d a b           | $d \leftarrow a + b$                                          |  |
| SUB d a b           | $d \leftarrow a - b$                                          |  |
| SHL d a b           | $d \leftarrow unsigned(a) << b$                               |  |
| SHR d a b           | $d \leftarrow unsigned(a) >> b$                               |  |
| ASR d a b           | $d \leftarrow a \gg b$                                        |  |
| NEG d a             | $d \leftarrow -a$                                             |  |
| NOT d a             | d ← ¬a                                                        |  |
| AND d a b           | $d \leftarrow a \& b$                                         |  |
| OR d a b            | $d \leftarrow a \mid b$                                       |  |
| XOR d a b           | $d \leftarrow a \oplus b$                                     |  |
| MUL d a b           | $d \leftarrow a \times b$                                     |  |
| MULU d a b          | $d \leftarrow unsigned(a) \times unsigned(b)$                 |  |
| DIV d a b           | $d \leftarrow a / b$                                          |  |
| DIVU d a b          | $d \leftarrow unsigned(a) / unsigned(b)$                      |  |
| MOD d a b           | d ← a % b                                                     |  |
| MODU d a b          | $d \leftarrow unsigned(a) \% unsigned(b)$                     |  |
| SPEC                | (instruction spéciale non supportée par OTAWA)                |  |

En gris : les instructions qui ne sont pas (encore) traitées par notre analyse.

 $Fig.\ 8-Liste\ des\ instructions\ s\'emantiques\ d'OTAWA$ 

# 5 Structure de l'algorithme

CFG: Représentation du programme sous la forme de graphe On parcourt tous les chemins On les représente sous la forme de prédicats (on y associe un arc du CFG On fait des appels au SMT pour vérifier la satisfiabilité Retourne la liste de prédicats On génère les contraintes ILP

## 6 Traduction en contraintes ILP

Une fois les chemins infaisables trouvés, il faut générer des contraintes ILP sur le CFG utilisables par OTAWA pour affiner (du moins on l'espère) l'estimation du WCET.

# 6.1 Cas avec deux if en séquence

Commençons avec un exemple simple de deux if... then... else ... en séquence (figure 9). La première condition est notée x et la deuxième y, nous avons étiquettés les 4 arcs correspondants aux branchements conditionnels : x,  $\neg x$ , y,  $\neg y$ .

Nous notons  $n_x$ ,  $n_{\neg x}$ ,  $n_y$  et  $n_{\neg y}$  les variables qui représentent le nombre de fois que sont exécutés les arcs respectifs x,  $\neg x$ , y, et  $\neg y$ .

Le problème est le suivant : nous savons que le chemin x-y (je note ainsi le seul chemin qui passe par les arcs notés x et y) est infaisable. Quelles contraintes ILP peut-on en déduire?

Âttention, nous ne cherchons pas à trouver une équivalence (chemin infaisable  $\Leftrightarrow$  contraintes ILP) mais simplement une implication (chemin infaisable  $\Rightarrow$  contraintes ILP).

Pour un tel chemin infaisable x-y, l'unique contrainte ILP que nous générons est la suivante :

$$n_x \leq n_{\neg y}$$

Intuitivement, cette contrainte est valide (c'est-à-dire qu'elle est toujours vraie si x-y est un chemin infaisable) :

En effet, si x-y est un chemin infaisable, alors tous les chemins qui passent par x passeront forcément par ¬y. Donc le nombre de fois que l'arc ¬y est exécuté, noté  $n_{\neg y}$ , est nécessairement *supérieur ou égal* au nombre de fois que l'arc x est exécuté, c'est-à-dire  $n_x$  (c'est supérieur s'il existe des chemins ¬x-y). Cela se traduit bien par

$$n_x \leq n_{\neg y}$$

On pourrait observer que de même, puisque x-y est un chemin infaisable, alors tous les chemins qui passent par y passeront forcément par ¬x, et donc que :

$$n_y \leq n_{\neg x}$$

Nous allons maintenant montrer que  $n_x \le n_{\neg y} \Leftrightarrow n_y \le n_{\neg x}$  et que par conséquent générer ces deux contraintes au lieu d'une seule est *superflu*. Pour cela nous allons utiliser la propriété de flots de graphes qui dit que

$$n_x + n_{\neg x} = n_y + n_{\neg y} = N$$

où N est une constante (qui représente le nombre total d'exécutions du programme). Nous avons ainsi :

$$n_{x} \leq n_{\neg y}$$

$$\Leftrightarrow n_{x} + (n_{\neg x} - n_{\neg x}) \leq n_{\neg y} + (n_{y} - n_{y})$$

$$\Leftrightarrow (n_{x} + n_{\neg x}) - n_{\neg x} \leq (n_{\neg y} + n_{y}) - n_{y}$$

$$\Leftrightarrow N - n_{\neg x} \leq N - n_{y}$$

$$\Leftrightarrow -n_{\neg x} \leq -n_{y}$$

$$\Leftrightarrow n_{y} \leq n_{\neg x}$$



Fig. 9 – Premier exemple : deux if en séquence

# 6.2 Cas avec trois if en séquence

Voyons maintenant ce qui se passe lorsque l'on rajoute un autre if... then... else ... en séquence, ainsi que deux arcs notés z et ¬z.

Supposons que x-y-z soit un chemin infaisable. Inutitivement, on en déduit que si un chemin passe par x, alors il passera par ¬y ou par ¬z. C'est-à-dire, exprimé en termes de nombre d'exécution des arcs :

$$n_x \leq n_{\neg y} + n_{\neg z}$$

De manière similaire, on trouve aussi que "x-y-z chemin infaisable" entraîne :



$$n_y \le n_{\neg x} + n_{\neg z}$$
$$n_z \le n_{\neg x} + n_{\neg y}$$

Une fois de plus, nous allons prouver que ces trois assertions sont équivalentes. Nous avons toujours la propriété de flots de graphes (cette sorte de loi des noeuds) qui dit que :

$$n_x + n_{\neg x} = n_y + n_{\neg y} = n_z + n_{\neg z} = N$$

Montrons alors ces équivalences :

$$\begin{aligned} n_x &\leq n_{\neg y} + n_{\neg z} \\ \Leftrightarrow n_x &\leq n_{\neg y} + (n_y - n_y) + n_{\neg z} \\ \Leftrightarrow n_x &\leq (n_{\neg y} + n_y) - n_y + n_{\neg z} \\ \Leftrightarrow n_x &\leq N - n_y + n_{\neg z} \\ \Leftrightarrow n_x + n_y &\leq N + n_{\neg z} \\ \Leftrightarrow n_y &\leq N - n_x + n_{\neg z} \\ \Leftrightarrow n_y &\leq (n_x + n_{\neg x}) - n_x + n_{\neg z} \\ \Leftrightarrow n_y &\leq n_{\neg x} + n_{\neg z} \\ \Leftrightarrow n_y &\leq n_{\neg x} + n_{\neg z} \\ \Leftrightarrow n_y &\leq n_{\neg x} + (N - n_z) \\ \Leftrightarrow n_z &\leq n_{\neg x} + N - n_y \end{aligned}$$

Générer une seule de ces trois contraintes est donc suffisant. On peut remarquer que cela entraîne également la propriété suivante :

$$\left. \begin{array}{l} n_x \leq n_{\neg y} + n_{\neg z} \\ n_y \leq n_{\neg x} + n_{\neg z} \\ n_z \leq n_{\neg x} + n_{\neg y} \end{array} \right\} \Longrightarrow n_x + n_y + n_z \leq 2(n_{\neg x} + n_{\neg y} + n_{\neg z})$$

Nous voyons apparaître un motif qui se répète, que nous allons tenter de généraliser dans la prochaine section.

#### 6.3 Généralisation

**Theorème 1** Pour un CFG composé de k if... then... else... en séquence, où les arcs pris (then) de chacune de ses conditions sont notés  $x_1, x_2, ..., x_k$  et les arcs non pris (else) sont notés  $\neg x_1, \neg x_2, ..., \neg x_k$ , on note le nombre de fois qu'un arc  $x_i$  (resp.  $\neg x_i$ ) est emprunté  $n_{x_i}$  (resp.  $n_{\neg x_i}$ ).

Si  $x_1$ - $x_2$ -...- $x_k$  est un chemin infaisable, alors on en déduit les k contraintes ILP suivantes :

$$\forall i \in [1,k], \ n_{x_i} \leq \sum_{j \in [1,k] \setminus \{i\}} n_{\neg x_j}$$

et chacune de ces contraintes est équivalente. De plus, il est immédiat que :

$$\sum_{i\in [\![1,k]\!]} n_{x_i} \leq (k-1) \sum_{i\in [\![1,k]\!]} n_{\neg x_i}$$

On pourra remarquer que les CFG contenant des conditions du type if... then... sans else... ne diffèrent pas du cas étudié (avec else) puisqu'il y a toujours deux arcs sortant du bloc de base qui calcule la condition, la différence étant que l'arc non pris pointe sur le bloc de fin de condition au lieu de pointer sur un bloc qui lui-même pointera vers ce bloc de fin de condition.

#### 6.4 Limitations des contraintes ILP

Les contraintes ILP manquent toutefois d'expressivité pour représenter toute l'information contenue dans la notion de "chemin infaisable", comme expliqué dans un article du WCET 2005 workshop:

"This is because the usual ILP formulation introduces formal variables for the execution counts of the nodes and edges in the Control Flow Graph (CFG) of the program. Since the variables denote aggregate execution counts of basic blocks, it is not possible to express certain infeasible path patterns as constraints on these variables." [3]

En effet, si on considère l'exemple de la figure 11, où les valeurs entre paranthèses sur chaque arc représentent le nombre de fois que l'arc est exécuté dans le scénario considéré, il est impossible de déterminer si l'on a un chemin infaisable (en tout cas un chemin qui n'est jamais pris) ou non à partir des seules variables  $n_x$ ,  $n_{\neg x}$ ,  $n_y$ ,  $n_{\neg y}$ !

Il se pourrait, par exemple, que les 20 exécutions du CFG consistent en 10 fois le chemin x-y et 10 fois le chemin  $\neg x-y$ . Dans ce cas, le chemin x-y n'est effectivement jamais pris.

Mais il se pourrait aussi, que l'on ait 10 exécutions qui passent par le chemin x-y!

Dans ces conditions, on ne peut pas signifier à OTAWA si ce scénario (avec ces comptes d'exécution) est viable ou non, et il sera donc inclus dans le calcul du WCET. Les contraintes ILP ne permettent pas d'exprimer tout ce que l'on sait à partir de l'hypothèse "chemin infaisable".

Il faut prendre conscience de cette limitation à l'étape "utilisation des chemins infaisables trouvés", de cette perte d'information, mais cela ne signifie pas nécessairement que le choix de la génération de contraintes ILP est mauvais. L'autre alternative serait de faire de la réécriture de graphe pour faire apparaître (ou plutôt disparaître en l'occurence) les chemins infaisables sur le CFG, mais c'est bien plus coûteux, et aussi plus compliqué.

Étant donné qu'un membre de l'équipe TRACES travaille justement sur la réécriture de CFG, une collaboration sur ce sujet est envisageable pour ma thèse.



Fig. 11 – Exemple du manque d'expressivité des contraintes ILP

# Conclusion

Petit récap... Tout ce qu'il y a à faire en thèse! Parler un peu de la théorie, analyse statique...

## Références

- [1] ARM Instruction Set Quick Reference Card. http://infocenter.arm.com/help/topic/com.arm.doc.qrc00011/QRC0001\_UAL.pdf
- [2] SMT-COMP : Satisfiability Modulo Theories Competition. Édition 2012. http://smtcomp.sourceforge.net/2012/
- [3] T. Chen, T. Mitra, A. Roychoudhury, and V. Suhendra. Exploiting branch constraints without exhaustive path enumeration. In Int'l Workshop on WCET Analysis, 2005.
- [4] SMT solver Z3. http://z3.codeplex.com/
- [5] SMT solver CVC4. http://cvc4.cs.nyu.edu/web/
- [6] SMT solver MathSAT 5. http://mathsat.fbk.eu/documentation.html
- [7] SMT solver Boolector. http://fmv.jku.at/boolector/
- [8] SMT solver SONOLAR. http://www.informatik.uni-bremen.de/~florian/sonolar/
- [9] SMT solver MISTRAL. http://www.cs.wm.edu/~tdillig/mistral/ index.html
- [10] SMT solver VeriT. http://www.verit-solver.org/veriT-download.php
- [11] SMT solver Barcelogic. http://www.lsi.upc.edu/~oliveras/bclt-main.html