# TP3 - Grupo 14

André Lucena Ribas Ferreira - A94956

Paulo André Alegre Pinto - A97391

## Enunciado do Problema

O seguinte sistema dinâmico denota 4 inversores ($A, B, C, D$) que lêm um bit num canal input e escrevem num canal output uma transformação desse bit.

![](https://paper-attachments.dropboxusercontent.com/s_9896551CC5FAD2B2EB6E4EBC08522545FA66314D29FE6A5BE8E593259F8E8A37_1669554332522_inversores.png)

 1. Cada inversor tem um bit $s$ de estado, inicializado  com um valor aleatório.
 2. Cada inversor é regido pelas seguintes transformações:
 $$
   \mathbf{invert}\mathtt(in,out) \\
   x \gets \mathsf{read}(\mathtt{in}) \\
   s \gets \neg x\;\;\|\;\; s\gets s\oplus x \\
   \mathsf{write}(\mathtt{out},s) \\
 $$
 3. A escolha neste comando é sempre determinística; isto é, em cada inversor a escolha do comando a executar é sempre a mesma. Porém qual é essa escolha é determinada aleatoriamente na inicialização do sistema.
 4. O estado do sistema é um tuplo definido pelos 4 bits $s$, e é inicializado com um vetor aleatório em $\{0,1\}^4\;$.
 5. O sistema termina em ERRO quando o estado do sistema for $(0,0,0,0)$.

Prentede-se o seguinte:
 1. Construa um SFOTS que descreva este sistema e implemente este sistema, numa abordagem BMC (“bouded model checker”) num traço com $n$ estados.
 2. Verifique se o sistema é seguro usando BMC, k-indução ou model checking com interpolantes.


## Análise

O problema exposto tem certas considerações a ter em conta.

Em primeiro lugar, considera-se o $in$ de cada um dos inversores igual ao $out$ do estado anterior, ou seja, o estado anterior com uma rotação cíclica das variáveis, exceto no caso do estado inicial. A ordem da rotação é a descrita nos canais, $a \rightarrow b \rightarrow d \rightarrow c$

No caso do estado inicial, decidiu-se gerar o $in$ aleatoriamente tal como se gera o $s$ para cada inversor, isto é, o estado inicial.

Em segundo lugar, como cada inversor funciona em paralelo com cada outro inversor, as variáveis de cada estado vão ser apenas cada um dos elementos de cada tuplo de $\{0,1\}^4$, não existindo variável que seja considerada o contador do programa. 

Em terceiro lugar, deve-se definir aleatoriamente cada um dos comportamentos dos inversores, que será mantido durante a execução inteira.

### Definição do SFOTS

Tal como pretendido, o sistema dinâmico será modelado através um SFOTS, nomeadamente um tuplo:
$$ \Sigma \; \equiv \; <\mathcal{T},X,next,I,T,E> $$

Onde se verifica o seguinte, para representar o sistema em específico:
 1. $\mathcal{T}$ representa um SMT apropriada, que pertence à FOL, que vamos representar no nosso Solver;
 2. $X$ é o conjunto das variáveis base do problema;
 3. $next$ é um operador que gera "clones" das variáves em $X$;
 4. $I$ é um predicado unário que determina quais os estados iniciais;
 5. $T$ é um predicado binário que determina as transições entre dois estados;
 6. $E$ é um predicado unário que determina os estados de erro.

$X$ neste caso é constituído por uma variável binária para cada um dos estados dos inversores, $\{s_a,s_b,s_c,s_d\}$. Dependendo da transição ciclica, um dos estados de um dos inversores será considerado o valor de entrada de outro. Ou seja, $in_a = s_c$, $in_b = s_a$, $in_c = s_d$ e $in_d = s_b$.

Considerando o estado inicial, não existem condições que limitam as variáveis, já que é possível o primeiro estado ser um estado de erro. No entanto, isto invalida o interesse da definição aleatória do comportamento dos inversores no que diz respeito à verificação de segurança. Nesse sentido, deverá ser possível evitar começar num estado de erro:

$$ I \quad \equiv \quad s_a \neq 0 \wedge s_b \neq 0 \wedge s_c \neq 0 \wedge s_d \neq 0$$

O predicado de transição depende da definição aleatória no início da execução. No seu geral, é definido por uma conjunção entre todos os inversores, cada um que pode ser um de dois predicados. Por exemplo, para o inversor $A$:

$$ T_a \; \equiv \; s_a' = \neg\; s_c \quad \text{ou} \quad T_a \; \equiv \; s_a' = s_a \oplus s_c$$

O estado de erro, tal como definido no enunciado, ocorre quando cada um dos $s$ é igual a $0$.

$$ E \quad \equiv \quad s_a = 0 \wedge s_b = 0 \wedge s_c = 0 \wedge s_d = 0$$

## Implementação

In [1]:
from pysmt.shortcuts import *
from pysmt.typing import BOOL

from numpy.random import binomial
import itertools 

In [2]:
def genState(vars,s,i):
    state = {}
    for v in vars:
        state[v] = Symbol(v+'!'+s+str(i),BOOL)
    return state

In [7]:
vars = ['s_a','s_b','s_c','s_d'] #in_a = s_c, in_b = s_a, in_c = s_d, in_d = s_b

def init1(state):
    s = genInitialRandom()
    return And(Iff(state['s_a'], Bool(s['a'])), Iff(state['s_b'], Bool(s['b'])), 
               Iff(state['s_c'], Bool(s['c'])), Iff(state['s_d'], Bool(s['d'])))
    
def error1(state):
    return And(Iff(state['s_a'], Bool(False)), Iff(state['s_b'], Bool(False)), 
               Iff(state['s_c'], Bool(False)), Iff(state['s_d'], Bool(False)))
    
def trans1(curr, prox, a, b, c, d):
    t_a = Iff(Not(curr['s_c']), prox['s_a']) if a else Iff(Xor(curr['s_c'], curr['s_a']), prox['s_a'])
    t_b = Iff(Not(curr['s_a']), prox['s_b']) if b else Iff(Xor(curr['s_a'], curr['s_b']), prox['s_b'])
    t_c = Iff(Not(curr['s_d']), prox['s_c']) if c else Iff(Xor(curr['s_d'], curr['s_c']), prox['s_c'])
    t_d = Iff(Not(curr['s_b']), prox['s_d']) if d else Iff(Xor(curr['s_b'], curr['s_d']), prox['s_d'])
    #in_cond = And(Iff(curr['in_a'], prox['in_b']), Iff(curr['in_b'], prox['in_d']), Iff(curr['in_c'], prox['in_a']), Iff(curr['in_d'], prox['in_c']))
    return And(t_a, t_b, t_c, t_d)

In [8]:
def genInitialRandom():
    s = {}
    s['a']= binomial(1,0.5) == 1
    s['b'] = binomial(1,0.5) == 1
    s['c'] = binomial(1,0.5) == 1
    s['d'] = binomial(1,0.5) == 1
    print("Estados inciais:",s['a'],s['b'],s['c'],s['d'])
    return s

def genTransRandom():
    t = {}
    t['a'] = binomial(1,0.5) == 1
    t['b'] = binomial(1,0.5) == 1
    t['c'] = binomial(1,0.5) == 1
    t['d'] = binomial(1,0.5) == 1
    print("Transição Determinada:", "Neg" if t['a'] else "XOR", "Neg" if t['b'] else "XOR", "Neg" if t['c'] else "XOR", "Neg" if t['d'] else "XOR")
    return t

In [9]:
def genTrace(vars,init,trans,error,n):
    t = genTransRandom()
    with Solver(name="z3") as s:
        X = [genState(vars,'X',i) for i in range(n+1)]   # cria n+1 estados (com etiqueta X)
        I = init(X[0])
        Tks = [ trans(X[i],X[i+1],t['a'],t['b'],t['c'],t['d']) for i in range(n) ]
        
        if s.solve([I,And(Tks)]):      # testa se I /\ T^n  é satisfazível
            for i in range(n):
                print("Estado:",i)
                for v in X[i]:
                    print("          ",v,'=',s.get_value(X[i][v]))

In [10]:
genTrace(vars, init1, trans1, error1, 5)

Transição Determinada: Neg Neg Neg XOR
Estados inciais: True False True True
Estado: 0
           s_a = True
           s_b = False
           s_c = True
           s_d = True
Estado: 1
           s_a = False
           s_b = False
           s_c = False
           s_d = True
Estado: 2
           s_a = True
           s_b = True
           s_c = False
           s_d = True
Estado: 3
           s_a = True
           s_b = False
           s_c = False
           s_d = False
Estado: 4
           s_a = True
           s_b = False
           s_c = True
           s_d = False


## Verificação

### Verificação de Segurança

In [11]:
def induction_always(vars,gen_state,init,trans,inv,t):
    with Solver(name="z3") as s:
        state0 = gen_state(vars, 'X', 0)
        state1 = gen_state(vars, 'X', 1)
        s.push()
        s.add_assertion(And(init(state0), Not(inv(state0))))
        if s.solve():
            print("A propriedade não é válida no estado inicial.")
            for v in state0:
                print(v,"=",s.get_value(state0[v]))
            return
        s.pop()
        
        s.add_assertion(And(inv(state0), trans(state0,state1,t['a'],t['a'],t['a'],t['a']), Not(inv(state1))))
        if s.solve():
            print("O passo indutivo não preserva a propriedade.")
            for v in state0:
                print(v,"=",s.get_value(state0[v]))
            return
        print("A propriedade é valida.")

Este invariante não é provável por indução, já que não nos impede de chegar ao estado $(0,0,0,0)$ quando este não é acessível.

In [12]:
def inv1(state):
    return Not(error1(state))

In [119]:
t = genTransRandom()
induction_always(vars, genState, init1, trans1, inv1,t)

Transição Determinada: Neg XOR Neg Neg
Estados inciais: True False False False
O passo indutivo não preserva a propriedade.
s_a = True
s_b = True
s_c = True
s_d = True


Sem `k-indução`, ou outro método, não se consegue verificar a acessibilidade dos estados inseguros, considerando o sistema inseguro mesmo que não o seja.

In [27]:
def kinduction_always(vars, gen_state,init,trans,inv,k,t):
    with Solver(name="z3") as solver:
        traco = [gen_state(vars, 'X', i) for i in range(k+1) ]
        solver.push()
        solver.add_assertion( init(traco[0])  )
        for e in range(k-1):
            solver.add_assertion( trans (traco[e], traco[e+1], t['a'], t['b'], t['c'], t['d'] ) )
        solver.add_assertion( Or([Not(inv(traco[i])) for i in range(k) ]) )

        if solver.solve():
            print("A propriedade não é valida para os k estados iniciais")
            i = 0
            for trace in traco:
                print("Estado:",i)
                i+=1
                i += 1
                for v in trace:
                    print("          ",v,'=',solver.get_value(trace[v]))
            return
        solver.pop()

        solver.push()
        for e in range(k):
            solver.add_assertion( trans (traco[e], traco[e+1], t['a'], t['b'], t['c'], t['d'] ) )
            solver.add_assertion( inv(traco[e]) )

        solver.add_assertion( Not(inv(traco[k])) )

        if solver.solve():
            print(f"O passo indutivo %d não preserva a propriedade" % k)
            i = 0
            for trace in traco:
                print("Estado:",i)
                i += 1
                for v in trace:
                    print("          ",v,'=',solver.get_value(trace[v]))
            return
        solver.pop()

        print("A propriedade é valida para todos os estados acessíveis ")

In [122]:
t = genTransRandom()
kinduction_always(vars, genState,init1,trans1,inv1,5,t)

Transição Determinada: XOR XOR Neg XOR
Estados inciais: False True False False
A propriedade é valida para todos os estados acessíveis 


In [29]:
def invert(trans,a,b,c,d):
    return (lambda curr,prox: trans(prox, curr, a, b, c, d))

In [30]:
def init_notrandom(state,a,b,c,d):
    return And(Iff(state['s_a'], Bool(a)), Iff(state['s_b'], Bool(b)), 
               Iff(state['s_c'], Bool(c)), Iff(state['s_d'], Bool(d)))

In [31]:
def baseName(s):
    return ''.join(list(itertools.takewhile(lambda x: x!='!', s)))

def rename(form,state):
    vs = get_free_variables(form)
    pairs = [ (x,state[baseName(x.symbol_name())]) for x in vs ]
    return form.substitute(dict(pairs))

def same(state1,state2):
    return And([Iff(state1[x],state2[x]) for x in state1])

In [129]:
def model_checking(vars,init,trans,error,N,M,s,t):
    with Solver(name="z3") as solver:
        
        # Criar todos os estados que poderão vir a ser necessários.
        X = [genState(vars,'X',i) for i in range(N+1)]
        Y = [genState(vars,'Y',i) for i in range(M+1)]
        
        # Estabelecer a ordem pela qual os pares (n,m) vão surgir. Por exemplo:
        order = sorted([(a,b) for a in range(1,N+1) for b in range(1,M+1)],key=lambda tup:tup[0]+tup[1]) 
        
        #falta testar para n = 0 e m = 0
        
        for (n,m) in order:
            I = init(X[0],s['a'],s['b'],s['c'],s['d'])
            E = error(Y[0])
            Tn = And([trans(X[i], X[i+1],t['a'],t['b'],t['c'],t['d']) for i in range(n)])
            Bm = And([invert(trans,t['a'],t['b'],t['c'],t['d'])(Y[j], Y[j+1]) for j in range(m)])
            Rn = And(I, Tn)
            #print(Rn)
            Um = And(E, Bm)
            Vnm = And(Rn, Um, same(X[n], Y[m]))
            
            #1º Passo
            if solver.solve([Vnm]):
                print("Unsafe!")
                return
            
            #2º Passo
            C = binary_interpolant(And(Rn, same(X[n], Y[m])), Um)
            #print("C:",C)
            if n == 1 and m == 1:
                print("C, n = 1 e m = 1:", C)
            if C is None:
                print("Interpolante None!")
                continue
            #3ª Passo
            C0 = rename(C, X[0])
            C1 = rename(C, X[1])
            T = trans(X[0], X[1],t['a'],t['b'],t['c'],t['d'])
            if not solver.solve([C0, T, Not(C1)]):
                print("Safe!")
                return
            
            #4º Passo - gerar o S
            S = rename(C, X[n])
            while True:
                A = And(S, trans(X[n], Y[m],t['a'],t['b'],t['c'],t['d']))
                if solver.solve([A, Um]):
                    """print("Xn:")
                    for v in X[n]:
                        print("          ",v,'=',solver.get_value(X[n][v]))
                    for i in range(m+1):
                        print(f"Y%d:" % i)
                        for v in Y[i]:
                            print("          ",v,'=',solver.get_value(Y[i][v]))"""
                    print("Não se encontrou o Majorante.")
                    break
                Cnew = binary_interpolant(A, Um)
                if Cnew is None:
                    print("Interpolante None!")
                    break
                Cn = rename(Cnew, X[n])
                if solver.solve([Cn, Not(S)]):
                    S = Or(S, Cn)
                else:
                    print("Safe!")
                    break
                
            
        print("unknown")                        

Os seguintes dados iniciais geram um sistema seguro, mas a geração dos interpolantes apenas gera condições que não limitam suficientemente

In [130]:
s = {'a':False, 'b':True, 'c':False, 'd':False}
t = {'a':False, 'b':False, 'c':True, 'd':False}

In [131]:
model_checking(vars, init_notrandom, trans1, error1, 10, 10,s,t)

C, n = 1 e m = 1: (s_c!Y1 & (! s_a!Y1))
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
Não se encontrou o Majorante.
