# TP3 - Grupo 14

André Lucena Ribas Ferreira - A94956

Paulo André Alegre Pinto - A97391

## Enunciado do Problema

O seguinte sistema dinâmico denota 4 inversores ($A, B, C, D$) que lêm um bit num canal input e escrevem num canal output uma transformação desse bit.

![](https://paper-attachments.dropboxusercontent.com/s_9896551CC5FAD2B2EB6E4EBC08522545FA66314D29FE6A5BE8E593259F8E8A37_1669554332522_inversores.png)

 1. Cada inversor tem um bit $s$ de estado, inicializado  com um valor aleatório.
 2. Cada inversor é regido pelas seguintes transformações:
 $$
   \mathbf{invert}\mathtt(in,out) \\
   x \gets \mathsf{read}(\mathtt{in}) \\
   s \gets \neg x\;\;\|\;\; s\gets s\oplus x \\
   \mathsf{write}(\mathtt{out},s) \\
 $$
 3. A escolha neste comando é sempre determinística; isto é, em cada inversor a escolha do comando a executar é sempre a mesma. Porém qual é essa escolha é determinada aleatoriamente na inicialização do sistema.
 4. O estado do sistema é um tuplo definido pelos 4 bits $s$, e é inicializado com um vetor aleatório em $\{0,1\}^4\;$.
 5. O sistema termina em ERRO quando o estado do sistema for $(0,0,0,0)$.

Prentede-se o seguinte:
 1. Construa um SFOTS que descreva este sistema e implemente este sistema, numa abordagem BMC (“bouded model checker”) num traço com $n$ estados.
 2. Verifique se o sistema é seguro usando BMC, k-indução ou model checking com interpolantes.


## Análise

O problema exposto tem certas considerações a ter em conta.

Em primeiro lugar, considera-se o $in$ de cada um dos inversores igual ao $out$ do estado anterior, ou seja, o estado anterior com uma rotação cíclica das variáveis, exceto no caso do estado inicial. A ordem da rotação é a descrita nos canais, $a \rightarrow b \rightarrow d \rightarrow c$

No caso do estado inicial, decidiu-se gerar o $in$ aleatoriamente tal como se gera o $s$ para cada inversor, isto é, o estado inicial.

Em segundo lugar, como cada inversor funciona em paralelo com cada outro inversor, as variáveis de cada estado vão ser apenas cada um dos elementos de cada tuplo de $\{0,1\}^4$, não existindo variável que seja considerada o contador do programa. 

Em terceiro lugar, deve-se definir aleatoriamente cada um dos comportamentos dos inversores, que será mantido durante a execução inteira.

### Definição do SFOTS

Tal como pretendido, o sistema dinâmico será modelado através um SFOTS, nomeadamente um tuplo:
$$ \Sigma \; \equiv \; <\mathcal{T},X,next,I,T,E> $$

Onde se verifica o seguinte, para representar o sistema em específico:
 1. $\mathcal{T}$ representa um SMT apropriada, que pertence à FOL, que vamos representar no nosso Solver;
 2. $X$ é o conjunto das variáveis base do problema;
 3. $next$ é um operador que gera "clones" das variáves em $X$;
 4. $I$ é um predicado unário que determina quais os estados iniciais;
 5. $T$ é um predicado binário que determina as transições entre dois estados;
 6. $E$ é um predicado unário que determina os estados de erro.

$X$ neste caso é constituído por uma variável binária para cada um dos estados dos inversores, $\{s_a,s_b,s_c,s_d\}$. Dependendo da transição ciclica, um dos estados de um dos inversores será considerado o valor de entrada de outro. Ou seja, $in_a = s_c$, $in_b = s_a$, $in_c = s_d$ e $in_d = s_b$.

Considerando o estado inicial, não existem condições que limitam as variáveis, já que é possível o primeiro estado ser um estado de erro. No entanto, isto invalida o interesse da definição aleatória do comportamento dos inversores no que diz respeito à verificação de segurança. Nesse sentido, deverá ser possível evitar começar num estado de erro:

$$ I \quad \equiv \quad s_a \neq 0 \wedge s_b \neq 0 \wedge s_c \neq 0 \wedge s_d \neq 0$$

O predicado de transição depende da definição aleatória no início da execução. No seu geral, é definido por uma conjunção entre todos os inversores, cada um que pode ser um de dois predicados. Por exemplo, para o inversor $A$:

$$ T_a \; \equiv \; s_a' = \neg\; s_c \quad \text{ou} \quad T_a \; \equiv \; s_a' = s_a \oplus s_c$$

O estado de erro, tal como definido no enunciado, ocorre quando cada um dos $s$ é igual a $0$.

$$ E \quad \equiv \quad s_a = 0 \wedge s_b = 0 \wedge s_c = 0 \wedge s_d = 0$$

## Implementação

In [28]:
from pysmt.shortcuts import *
from pysmt.typing import BOOL

from numpy.random import binomial
import itertools 

In [2]:
def genState(vars,s,i):
    state = {}
    for v in vars:
        state[v] = Symbol(v+'!'+s+str(i),BOOL)
    return state

In [51]:
vars = ['s_a','s_b','s_c','s_d'] #in_a = s_c, in_b = s_a, in_c = s_d, in_d = s_b

def init1(state):
    a = binomial(1,0.5) == 1
    b = binomial(1,0.5) == 1
    c = binomial(1,0.5) == 1
    d = binomial(1,0.5) == 1
    print("Estados inciais:",a,b,c,d)
    return And(Iff(state['s_a'], Bool(a)), Iff(state['s_b'], Bool(b)), 
               Iff(state['s_c'], Bool(c)), Iff(state['s_d'], Bool(d)))
    
def error1(state):
    return And(Iff(state['s_a'], Bool(False)),Iff(state['s_b'], Bool(False)), 
               Iff(state['s_c'], Bool(False)), Iff(state['s_d'], Bool(False)))
    
def trans1(curr, prox, a, b, c, d):
    t_a = Iff(Not(curr['s_c']), prox['s_a']) if a else Iff(Xor(curr['s_c'], curr['s_a']), prox['s_a'])
    t_b = Iff(Not(curr['s_a']), prox['s_b']) if b else Iff(Xor(curr['s_a'], curr['s_b']), prox['s_b'])
    t_c = Iff(Not(curr['s_d']), prox['s_c']) if c else Iff(Xor(curr['s_d'], curr['s_c']), prox['s_c'])
    t_d = Iff(Not(curr['s_b']), prox['s_d']) if d else Iff(Xor(curr['s_b'], curr['s_d']), prox['s_d'])
    #in_cond = And(Iff(curr['in_a'], prox['in_b']), Iff(curr['in_b'], prox['in_d']), Iff(curr['in_c'], prox['in_a']), Iff(curr['in_d'], prox['in_c']))
    return And(t_a, t_b, t_c, t_d)

In [56]:
def genTrace(vars,init,trans,error,n):
    a = binomial(1,0.5) == 1
    b = binomial(1,0.5) == 1
    c = binomial(1,0.5) == 1
    d = binomial(1,0.5) == 1
    print("Transição Determinada:", a, b, c, d)
    with Solver(name="z3") as s:
        
        X = [genState(vars,'X',i) for i in range(n+1)]   # cria n+1 estados (com etiqueta X)
        I = init(X[0])
        Tks = [ trans(X[i],X[i+1],a,b,c,d) for i in range(n) ]
        
        if s.solve([I,And(Tks)]):      # testa se I /\ T^n  é satisfazível
            for i in range(n):
                print("Estado:",i)
                for v in X[i]:
                    print("          ",v,'=',s.get_value(X[i][v]))

In [57]:
genTrace(vars, init1, trans1, error1, 10)

Transição Determinada: False True False True
Estados inciais: False True True True
Estado: 0
           s_a = False
           s_b = True
           s_c = True
           s_d = True
Estado: 1
           s_a = True
           s_b = True
           s_c = False
           s_d = False
Estado: 2
           s_a = True
           s_b = False
           s_c = False
           s_d = False
Estado: 3
           s_a = True
           s_b = False
           s_c = False
           s_d = True
Estado: 4
           s_a = True
           s_b = False
           s_c = True
           s_d = True
Estado: 5
           s_a = False
           s_b = False
           s_c = False
           s_d = True
Estado: 6
           s_a = False
           s_b = True
           s_c = True
           s_d = True
Estado: 7
           s_a = True
           s_b = True
           s_c = False
           s_d = False
Estado: 8
           s_a = True
           s_b = False
           s_c = False
           s_d = False
Estado: 9
       

## Verificação

### Verificação de Segurança