# *Bounded Model Checking*

Nesta aula vamos estudar *model checking*, uma das técnicas mais utilizadas para verificação automática de propriedades de sistemas dinâmicos (sistemas caracterizados por um estado que evolui ao longo do tempo). O *model checking* tem por objectivo verificar automaticamente se uma propriedade (tipicamente especificada numa lógica temporal) é válida num modelo do sistema (tipicamente formalizado como um sistema de transição). Mais concretamente vamos estudar uma técnica de *bounded model checking*, onde o objectivo é verificar se uma propriedade é válida considerando apenas um dado número máximo de estados da execução do sistema.


Vamos usar a biblioteca [pySMT](https://github.com/pysmt/pysmt), apresentada na ficha 1, que permite que um programa em Python comunique com vários SMT solvers, tendo por base uma linguagem comum. 
A documentação do pySMT pode ser encontrada em https://pysmt.readthedocs.io/en/latest/index.html.

## *First-order Transition Systems* (FOTS)

FOTS são modelos de sistemas dinâmicos que são determinados por um espaço de estados, uma relação de transição de estados e um conjunto de estados iniciais. Nos FOTS o conjunto de estados iniciais é descrito por um predicado unário (*init*) sobre o vector de variáveis associado ao espaço de estados, e a relação de transição é descrita por um predicado binário (*trans*) sobre dois vectores de variáveis que representam o estado antes e depois da transição.

### Modelação de programas com FOTS

Um programa pode ser modelado por um FOTS da seguinte forma:
- O estado é constituído pelas variáveis do programa mais uma variável para o respectivo *program counter*
- Os estados iniciais são caracterizados implicitamente por um predicado sobre as variáveis de estado
- As transições são caracterizadas implicitamente por um predicado sobre pares de estados

Considere, por exemplo o programa seguinte, anotado com uma pré-condição que restringe o valor inicial de $x$:

```Python
{ x >= 3 }
0: while (x>0):
1:    x = x-1
2: stop
```

Neste caso o estado do FOTS respectivo será um par de inteiros, o primeiro contendo o valor do $\mathit{pc}$ (o *program counter* que neste caso pode ser 0, 1 ou 2) e o segundo o valor da variável $x$. O estado inicial é caracterizado pelo seguinte predicado:

$$
\mathit{pc} = 0 \wedge x \ge 3
$$

As transições possíveis no FOTS são caracterizadas pelo seguinte predicado:

$$
\begin{array}{c}
(\mathit{pc} = 0 \wedge x > 0 \wedge \mathit{pc}' = 1 \wedge x' = x)\\
\vee\\
(\mathit{pc} = 0 \wedge x \le 0 \wedge \mathit{pc}' = 2 \wedge x' = x) \\
\vee\\
(\mathit{pc} = 1 \wedge \mathit{pc}' = 0 \wedge x' = x - 1) \\
\vee\\
(\mathit{pc} = 2 \wedge \mathit{pc}' = 2 \wedge x' = x)
\end{array}
$$

Note que este predicado é uma disjunção de todas as possíveis transições que podem ocorrer no programa. Cada transição é caracterizada por um predicado onde uma variável do programa denota o seu valor no pré-estado e a mesma variável com apóstrofe denota o seu valor no pós-estado. É usual exigir que cada estado do FOTS tenha pelo menos um sucessor, pelo que o estado final do programa é caracterizado por uma transição para ele próprio (um lacete).

Usando estes predicados podemos usar um SMT solver para, por exemplo, gerar uma possível execução de $k\!-\!1$ passos do programa (em que $k>0$). Para tal precisamos de criar $k$ cópias das variáveis que caracterizam o estado do FOTS e depois impor que a primeira cópia satisfaz o predicado inicial e que cada par de cópias consecutivas satisfazem o predicado de transição.

Começamos por importar o módulo `pysmt.shortcuts` que oferece uma API simplificada que disponibiliza as funcionalidades para a utilização usual de um SMT solver.
Os tipos estão definidos no módulo `pysmt.typing` de onde temos que importar o tipo `INT`.

In [7]:
from pysmt.shortcuts import *
from pysmt.typing import INT


A seguinte função cria a $i$-ésima cópia das variáveis de estado, agrupadas num dicionário que nos permite aceder às mesmas pelo nome.

In [8]:
def declare(i):
    state = {}
    state['pc'] = Symbol('pc'+str(i),INT)
    state['x'] = Symbol('x'+str(i),INT)
    return state

### Exercício 1

Defina a função `init` que, dado um possível estado do programa (um dicionário de variáveis), devolva um predicado do pySMT que testa se esse estado é um possível estado inicial do programa.

In [9]:
def init(state):
    return And(Equals(state['pc'], Int(0)), GE(state['x'], Int(3)) )

### Exercício 2

Defina a função `trans` que, dados dois possíveis estados do programa, devolva um predicado do pySMT que testa se é possível transitar do primeiro para o segundo.

In [10]:
def trans(curr,prox):
    t0 = And( 
        Equals(curr['pc'], Int(0)),
        curr['x'] > Int(0),
        Equals(prox['pc'], Int(1)),
        Equals(prox['x'], curr['x'])
    )
    
    t1 = And( 
        Equals(curr['pc'], Int(0)),
        curr['x'] <= Int(0),
        Equals(prox['pc'], Int(2)),
        Equals(prox['x'], curr['x'])
    )
    
    t2 = And( 
        Equals(curr['pc'], Int(1)),
        Equals(prox['pc'], Int(0)),
        Equals(prox['x'], curr['x']-1)
    )
    
    t3 = And( 
        Equals(curr['pc'], Int(0)),
        GT(curr['x'], Int(0)),
        Equals(prox['pc'], Int(1)),
        Equals(prox['x'], curr['x'])
    )
    
    return Or(t0,t1, t2, t3)


### Exercício 3

Complete a função de ordem superior `gera_traco` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, e um número positivo `k`, use o SMT solver para gerar um possível traço de execução do programa de tamanho `k`. Para cada estado do traço deverá imprimir o respectivo valor das variáveis.

In [11]:
def gera_traco(declare,init,trans,k):

    with Solver() as s:
    
        trace = [declare(i) for i in range(k)]

        # adicionar o estado inicial
        s.add_assertion(init(trace[0]))
        
        for i in range(k - 1):
            s.add_assertion(trans(trace[i], trace[i+1]))
            
        if s.solve():
            
            for i in range(k):
                print("Passo ", i)
                for v in trace[i]:
                    print(v, "=", s.get_value(trace[i][v]))
                print("----------------")

gera_traco(declare,init,trans,20)

Passo  0
pc = 0
x = 9
----------------
Passo  1
pc = 1
x = 9
----------------
Passo  2
pc = 0
x = 8
----------------
Passo  3
pc = 1
x = 8
----------------
Passo  4
pc = 0
x = 7
----------------
Passo  5
pc = 1
x = 7
----------------
Passo  6
pc = 0
x = 6
----------------
Passo  7
pc = 1
x = 6
----------------
Passo  8
pc = 0
x = 5
----------------
Passo  9
pc = 1
x = 5
----------------
Passo  10
pc = 0
x = 4
----------------
Passo  11
pc = 1
x = 4
----------------
Passo  12
pc = 0
x = 3
----------------
Passo  13
pc = 1
x = 3
----------------
Passo  14
pc = 0
x = 2
----------------
Passo  15
pc = 1
x = 2
----------------
Passo  16
pc = 0
x = 1
----------------
Passo  17
pc = 1
x = 1
----------------
Passo  18
pc = 0
x = 0
----------------
Passo  19
pc = 2
x = 0
----------------


## Lógica temporal linear (LTL)

Sobre este FOTS podemos querer verificar várias propriedades temporais, como por exemplo:
1. $x$ é sempre não negativo
2. $x$ é sempre diferente de 1
3. $x$ chega inevitavelmente a 0
4. $x$ chega inevitavelmente a um valor negativo
5. o programa termina

Estas propriedades são de natureza muito diferente. As duas primeiras são *propriedades de segurança* (*safety*) que, em geral, garantem que "nada de mau irá acontecer". Neste caso em particular são invariantes, ou seja, propriedades que devem ser verdade em todos os estados da execução do programa. As três últimas são *propriedades de animação* (*liveness*) que, em geral, garantem que "algo de bom irá acontecer".

A lógica LTL introduz *operadores temporais* que nos permitem escrever estas propriedades formalmente. Os operadores mais conhecidos são o $G$, que informalmente significa "*é sempre verdade que*", e o $F$, que informalmente significa "*é inevitável que*". Com estes operadores, as propriedades acima podem ser especificadas formalmente do seguinte modo
1. $G\ (x \ge 0)$
2. $G\ (x \neq 1)$
3. $F\ (x = 0)$
4. $F\ (x < 0)$
5. $F\ (pc = 2)$

## *Bounded Model Checking* (BMC) para LTL

Como é óbvio, nem todas estas propriedades são válidas. Em particular a 2ª e a 4ª não o são. O objectivo da verificação é precisamente determinar se uma propriedade temporal é válida num FOTS ou não. Este procedimento designa-se *model checking* e, quando uma propriedade não é válida, produz um contra-exemplo (um traço do FOTS correspondente a uma execução do programa onde a propriedade falha). Nesta aula vamos estudar uma técnica particular de *model checking* designada *bounded model checking*, onde o objectivo é determinar se uma propriedade temporal é válida nos primeiros $K$ estados da execução do FOTS.

A ideia passa por usar um SMT solver para tentar descobrir um contra-exemplo para uma dada propriedade. Para simplificar vamos abordar apenas dois casos: verificação de invariantes da forma $G\ \phi$ e propriedades de animação simples da forma $F\ \phi$, em que $\phi$ é uma fórmula sem operadores temporais.

### BMC de invariantes

Para fazer BMC de um invariante, por exemplo $G\ (x \ge 0)$ basta-nos usar o solver para encontrar um contra-exemplo com no máximo $K$ estados onde a propriedade $(x \ge 0)$ seja inválida nalgum estado. Para tal podemos implementar um procedimento iterativo que tenta encontrar esse contra-exemplo com tamanhos crescentes, começando com tamanho 1 até ao tamanho máximo $K$. Para cada tamanho $0 < k \le K$ basta tentar encontrar um possível traço onde o invariante a verificar seja inválido no último estado. Para tal podemos usar um código muito semelhante ao da função `gera_traco`. O procedimento é interrompido mal um contra-exemplo seja encontrado, sendo garantido que esse é um contra-exemplo mínimo para essa propriedade.

### Exercício 4

Complete a definição da função de ordem superior `bmc_always` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, um invariante a verificar, e um número positivo `K`, use o SMT solver para verificar se esse invariante é sempre válido nos primeiros `K-1` passos de execução do programa, ou devolva um contra-exemplo mínimo caso não seja.

In [12]:
def bmc_always(declare,init,trans,inv,K):
    for k in range(1,K+1):
        with Solver(name="z3") as s:
            
            trace = [declare(i) for i in range(k)]

            # adicionar o estado inicial
            s.add_assertion(init(trace[0]))
        
            for i in range(k - 1):
                s.add_assertion(trans(trace[i], trace[i+1]))
            
            # adicionar a negação do invariante
            s.add_assertion( Not(And(inv(trace[i]) for i in range(k-1))))

            if s.solve():
                for i in range(k):
                    print("Passo ", i)
                    for v in trace[i]:
                        print(v, "=", s.get_value(trace[i][v]))
                    print("----------------")
                return 
        
    print(f"O invariante mantém-se nos primeiros {K} passos")


def nonnegative(state):
    return (state['x'] >= Int(0))

bmc_always(declare,init,trans,nonnegative,20)

O invariante mantém-se nos primeiros 20 passos


### Exercício 5

Use o procedimento `bmc_always` para encontrar um contra-exemplo para a segunda propriedade especificada acima.

In [13]:
def not_one(state):
    return Not(Equals(state['x'], Int(1)))

bmc_always(declare, init, trans, not_one, 20)

Passo  0
pc = 0
x = 3
----------------
Passo  1
pc = 1
x = 3
----------------
Passo  2
pc = 0
x = 2
----------------
Passo  3
pc = 1
x = 2
----------------
Passo  4
pc = 0
x = 1
----------------
Passo  5
pc = 1
x = 1
----------------


### BMC de propriedades de animação

Para fazer BMC de propriedades de animação da forma $F\ \phi$ o prodimento é ligeiramente mais complicado. Neste caso não basta encontrar um traço aberto com no máximo $K$ estados onde $\phi$ nunca seja válida, pois tal contra-exemplo não seria convincente: nada garante que $\phi$ não pudesse ser válida num ponto mais tarde da execução. Neste caso, o contra-exemplo teria que ser uma execução completa do programa que demonstre inequivocamente que a propriedade não é válida. É possível encontrar uma execução completa do programa com no máximo $K$ estados se a mesma tiver um *loop* no último estado, mais concretamente, uma transição para um dos estados precedentes. 

### Exercício 6

Complete a definição da função de ordem superior `bmc_eventually` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, uma propriedade cuja inevitabilidade se pretende verificar, e um número positivo `K`, use o SMT solver para encontrar um contra-exemplo para essa propriedade considerando apenas os primeiros `K` estados de execução do programa. Note que neste caso um contra-exemplo tem que ser necessariamente um *loop* (no sentido acima referido) onde a propriedade desejada nunca seja válida.

In [14]:
def bmc_eventually(declare,init,trans,prop,bound):
    for k in range(1,bound+1):
         with Solver(name="z3") as s:
            
            trace = [declare(i) for i in range(k)]

            # adicionar o estado inicial
            s.add_assertion(init(trace[0]))
        
            # adicionar a função de transição
            for i in range(k - 1):
                s.add_assertion(trans(trace[i], trace[i+1]))
            
            
            # a propriedade tem de ser sempre falsa em todos os estados do programa
            for i in range(k):
                s.add_assertion(Not(prop[trace[i]]))
            
            
            # testar se é loop
            s.add_assertion(Or([trans(trace[k-1]) for i in range(k -1)]))
            
            if s.solve():
                for i in range(k):
                    print("Passo ", i)
                    for v in trace[i]:
                        print(v, "=", s.get_value(trace[i][v]))
                    print("----------------")
                print("A prop. nunca é verdadeira")
                return
            
    print("verdade")
            
            
            
            
def zero(state):
    return (Equals(state['x'],Int(0)))

bmc_eventually(declare,init,trans,zero,20)

def terminates(state):
    return (Equals(state['pc'],Int(2)))

bmc_eventually(declare,init,trans,terminates,20)

TypeError: 'function' object is not subscriptable

### Exercício 7

Modifique a função `bmc_eventually` para não só imprimir os estados do contra-exemplo, mas também o estado onde começa o *loop*. Sugere-se a utilização do método `get_py_value` do pySMT para detectar esse estado. Este método permite avaliar uma expressão no modelo devolvendo o seu valor num tipo do Python.

Utilize esta função modificada para encontrar um contra exemplo para a quarta propriedade acima referida.

In [None]:
def bmc_eventually(declare,init,trans,prop,bound):
    for k in range(1,bound+1):
         with Solver(name="z3") as s:
            
            trace = [declare(i) for i in range(k)]

            # adicionar o estado inicial
            s.add_assertion(init(trace[0]))
        
            # adicionar a função de transição
            for i in range(k - 1):
                s.add_assertion(trans(trace[i], trace[i+1]))
            
            
            # a propriedade tem de ser sempre falsa em todos os estados do programa
            for i in range(k):
                s.add_assertion(Not(prop[trace[i]]))
            
            
            # testar se é loop
            s.add_assertion(Or([trans(trace[k-1], trace[i]) for i in range(k -1)]))
            
            if s.solve():
                for i in range(k):
                    
                    if s.get_py_value(trans(trace[k-1], trace[i]))
                    
                    print("Passo ", i)
                    for v in trace[i]:
                        print(v, "=", s.get_value(trace[i][v]))
                    print("----------------")
                print(f"A prop. nunca é verdadeira nos promeiros {bound}")
                return
    print("verdade")
            
            
        
  
    
def negative(state):
    return (state['x'] < 0)

bmc_eventually(declare,init,trans,negative,10)