

## Universidad de Buenos Aires

### FACULTAD DE CIENCIAS EXACTAS Y NATURALES

#### DEPARTAMENTO DE COMPUTACIÓN

# Síntesis de Controladores Actualizables Dinámicamente: Herramienta MTSA

Tesis presentada para optar al título de Licenciado en Ciencias de la Computación

Leandro Ezequiel Nahabedian

Director: Nicolás Roque D'Ippolito

Buenos Aires, Argentina 2014

# SÍNTESIS DE CONTROLADORES ACTUALIZABLES DINÁMICAMENTE

Es esperado que muchos sistemas corran continuamente mientras el ambiente cambia y los requerimientos evolucionan, por lo tanto las implementaciones de dichos sistemas deben ser actualizados dinámicamente para satisfacer los cambios de requerimientos, respetando los cambios del ambiente. Lo complejo de este paso, es poder determinar en que puntos de la ejecución previa es seguro hacer la actualización, y si es seguro, como deberá seguir ejecutando el nuevo sistema. Tanto la máquina, como el ambiente y los requerimientos, pueden ser interpretados por modelos de comportamiento que son estructuras formales que definen acciones que pueden suceder. Mediante la síntesis de controladores podremos obtener modelos de forma correcta debido a que son obtenidos mediante construcciones.

El enfoque de esta tesis es definir y plantear formalmente mediante síntesis de controladores el problema de la actualización dinámica, detallando un conjunto de inputs necesarios para la solución del mismo. A su vez, desarrollaremos varios casos de test utilizando la herramienta MTSA (Modal Transition System Analyser) dejando constancia de que los inputs definidos son suficientes para obtener el controlador buscado.

Palabras claves: Ingeniería de requerimientos; Síntesis de controladores; Actualización dianámica; Especificación basada en eventos; MTSA framework; Concurrencia, LTS; Fluent; LTL.

## AGRADECIMIENTOS

Quiero aprovechar este espacio para agradecer

 $A\ mi\ familia\ con\ todo\ mi\ amor.$ 

# Índice general

| 1 | Intro | oducció  | n                                                                             | ]  |
|---|-------|----------|-------------------------------------------------------------------------------|----|
|   | 1.1.  | Motiva   | ación                                                                         | 1  |
|   | 1.2.  | Resum    | nen de la contribución                                                        | 2  |
|   | 1.3.  | Esquer   | ma de tesis                                                                   | 3  |
| 2 | Func  | damento  | os teóricos                                                                   | 5  |
|   | 2.1.  | El Mu    | ndo y la Máquina                                                              | 5  |
|   | 2.2.  | Sistem   | na de Transición Etiquetados (Labelled Transition System) $\ \ldots \ \ldots$ | 7  |
|   | 2.3.  | Lógica   | Lineal Temporal de Flujos (Fluent Linear Temporal Logic)                      | 8  |
|   | 2.4.  | Proble   | emas de síntesis de controladores                                             | E  |
|   | 2.5.  | Juegos   | s de dos jugadores                                                            | 11 |
|   | 2.6.  | Resolv   | riendo el problema de control LTS $SGR(1)$                                    | 12 |
|   |       | 2.6.1.   | Control LTS SGR(1) a juegos GR(1)                                             | 13 |
|   |       | 2.6.2.   | Traduciendo la estrategia a un Controlador LTS                                | 14 |
|   |       | 2.6.3.   | Algoritmo                                                                     | 15 |
|   | 2.7.  | Proces   | sos de estados Finitos (Finite State Process)                                 | 15 |
| 3 | MTS   | SA come  | o herramienta de modelado y síntesis                                          | 17 |
| 4 | Prob  | olema d  | e actualización de controladores dinámicamente                                | 19 |
| 5 | Valid | dando l  | os algoritmos                                                                 | 21 |
|   | 5.1.  | Casos    | de Estudio                                                                    | 21 |
|   | 5.2.  | Result   | ados                                                                          | 21 |
| 6 | Cone  | clusione | es y trabajos futuros                                                         | 23 |
|   | 6.1.  | Conclu   | asiones                                                                       | 23 |
|   | 6.2.  | Trabaj   | jo futuro                                                                     | 23 |

#### 1. INTRODUCCIÓN

#### 1.1. Motivación

Cuando trabajamos en ingeniería de requerimientos, nuestra tarea es relevar y documentar los objetivos y el funcionamiento del ambiente, para elaborar un conjunto de requerimientos cuya máquina a construir debe cumplir. Teniendo estas tres componentes, podemos formular la siguiente ecuación: R,  $D \models G$ . Donde R son los Requerimientos de la máquina, D las asunciones del dominio y G los objetivos que la máquina deberá satisfacer.

Entonces, un problema clave de la ingeniería de requerimientos puede ser visto como un problema de síntesis, tal que dado un modelo de la máquina, un modelo del mundo y un conjunto de objetivos del sistema, permite construir un modelo operacional el cual satisface los objetivos. La técnica que resuelve esta ecuación mediante los modelos mencionados es llamada síntesis de controladores y esta siendo estudiada exhaustivamente en varios aspectos de la ingeniería de los requerimientos.

La construcción de dichos modelos son una de las principales herramientas en el diseño de sistemas concurrentes, debido a que nos facilita la detección de errores de diseño en las primeras etapas de desarrollo. Por otro lado, estos modelos de comportamiento pueden resultar complejos de construir. Utilizar la técnica de síntesis anteriormente mencionada facilita la construcción tomando modelos pequeños y propiedades lógicas, que suelen ser más sencillas de especificar y de validar.

Por lo tanto, un problema de control consiste en generar automáticamente una máquina que restrinja la ocurrencia de eventos controlables basado en los eventos del mundo que se producen. Es decir, teniendo la especificación de un ambiente, asunciones, objetivos y un conjunto de acciones controlables, podemos definir una máquina cuyo comportamiento concurrente con el ambiente satisfaga las asunciones y los objetivos del sistema.

Este problema está siendo ampliamente estudiado en diferentes contextos, desde sistemas autoadaptativos hasta composición automática de web-services. Para diseñar softwa-

res autoadaptativos los más evolucionados fueron los basados en arquitectura y los basados en requerimientos. El primero de estos utiliza reglas de adaptación que serán utilizadas para monitorear condiciones del conjunto de operaciones del sistema y definir acciones en run-time si las condiciones son desfavorables. Por otro lado, los basados en requerimientos extienden las técnicas de ingeniería de los requerimientos con el fin de representar a los requisitos de adaptación y/o la incertidumbre inherente del medio ambiente en el que opera el sistema. El modelo más utilizado en la comunidad, hoy en día, para definir sistemas autoadaptables es el modelo arquitectural.

Actualmente, trabajos recientes en el área de sistemas auto adaptativos definen una técnica para lograr encontrar estados de la ejecución del controlador en los cuales es seguro realizar una actualización y seguir ejecutando el nuevo controlador sin tener que apagar y prender el primero. Sin embargo, dicho problema no ha sido estudiado en el marco de síntesis de controladores.

#### 1.2. Resumen de la contribución

Trabajos previos en el área de ingeniería de los requerimientos han estudiado la utilidad de diversas técnicas de sistemas adaptativos, debido a la necesidad de cambiar el ambiente o los requerimientos de un sistema sin frenar o interrumpir su ejecución.

La contribución central de esta tesis es la presentación de una técnica que produce la actualización automática de sistemas. Dicha técnica, propone mejorar ciertos problemas que las anteriores estrategias padecían, como la necesidad de conocer estados de la ejecución en los cuales es "seguro" actualizar, y si lo es, detectaremos cual es el estado equivalente en el sistema actualizado. Detallaremos en el capitulo BLA por qué y cómo resolvemos dichas complicaciones.

Por otro lado, lo novedoso del trabajo presentado es el enfoque usado. La actualización automática de sistemas ha sido estudiado en diversos enfoques pero no bajo el marco de síntesis de controladores. Al presentar dicha técnica bajo un marco no explorado abrimos a la comunidad científica un nuevo paradigma que podría potencialmente solucionar problemas en otras áreas relacionadas con la ingeniería de los requerimientos.

# 1.3. Esquema de tesis

#### 2. FUNDAMENTOS TEÓRICOS

### 2.1. El Mundo y la Máquina

Los primeros conceptos que detallaré estarán involucrados con la ingeniería de los requerimientos. Los puntos de vista mas relevantes son los de Zave y Jackson ([18, 3, 4]) por un lado, y los de Letier y Van Lamsweerde ([17, 15]) por el otro. Ambos puntos de vista distinguen a los problemas del *Mundo* y las soluciones de la *Máquina* como fundamentales para reconocer si las operaciones de la máquina soluciona los problemas planteados en el mundo. De hecho, el efecto de la máquina en el mundo y las suposiciones que hacemos acerca de este mundo son fundamentales para el proceso de toma de requerimientos. En el lado del mundo definimos una serie de problemas que existen en el mundo real que serán solucionados al construir una máquina. Fácilmente podremos notar que existen componentes en la máquina que interactúan directamente con el mundo siguiendo normas y procesos conocidos. Estas, forman parte de la intersección entre el mundo y la máquina. Por ejemplo un taladro, un brazo robótico o las reglas de procesamiento para cada elemento que entra en una linea de producción (véase la Fig. 2.1).

Así mismo, es esperado que la máquina proponga una solución al problema. Por ejemplo, en la Fig. 2.1 podemos ver que la célula de producción debe procesar cada produc-



Fig. 2.1: El Mundo y la Máquina

to, solo si están disponible en la bandeja de entrada en ese momento. Con la sentencia  $EnBandeja[p] \rightarrow get.Bandeja[p]$  muestro que se espera que el brazo del robot solo podrá tomar los productos de la bandeja cuando estén listos. Finalizando, los fenómenos compartidos entre el mundo y máquina, es decir, los que se encuentran en la intersección, representa a la interfaz, donde la máquina interactúa con el mundo. También, podemos definir a los fenómenos del mundo como el modelo del entorno ya que el conjunto de estos describen los eventos que suceden en el mundo real.

Las sentencias que detallan los distintos fenómenos, tanto en el mundo como en la máquina pueden variar en alcance y en forma [11, 3]. Además, estas pueden estar en modo indicativo u optativo. En otros trabajos, como en [16], las sentencias utilizadas son descriptivas y prescriptivas.

- Sentencias descriptivas: representan propiedades que son independientes de cómo se comporta el sistema. Se usan en modo indicativo. No pueden ser cambiadas ni removidas.
- Sentencia prescriptivas: afirman propiedades deseables que pueden estar presentes o
  no. Deben estar aplicadas por los componentes del sistema. Normalmente, pueden
  cambiar fortaleciéndose o debilitándose, o incluso pueden ser eliminadas.

Anteriormente, fue mencionado que los estados pueden variar en su alcance. Ambos tipos de sentencias pueden referirse a características de la máquina que no son compartidas por el mundo. En otras ocaciones, sentencias pueden referirse a fenómenos compartidos por el mundo y la máquina. Más precisamente, una propiedad de dominio es una sentencia descriptiva sobre el mundo. Durante todo este trabajo, vamos a llamar modelo ambiente, al conjunto de propiedades del dominio de un problema particular.

Por otro lado, un *supuesto de ambiente* es una sentencia que podría no suceder y debe ser satisfecha por el ambiente. Un requisito de software, o *requisito* de forma abreviada, es una sentencia prescriptiva que la máquina deberá satisfacer independientemente de cómo se comporta el problema detallado en el mundo y deben ser elaboradas en términos de fenómenos compartidos entre el mundo y la máquina.

Para finalizar y siguiendo lo publicado en [15, 17] podremos determinar a una acción como supervisada / controlable si dicha acción es supervisada / controlable por la máquina.

En este trabajo, llamaremos a las acciones supervisadas como acciones no controlables, ya que están controladas por el ambiente.

# 2.2. Sistema de Transición Etiquetados (Labelled Transition System)

En esta sección vamos a dar una notación para los sistemas de transiciones etiquetados o Labelled Transition System (LTS), la cual usaremos durante este trabajo. Dichos sistemas, son muy usados actualmente para modelar y analizar comportamiento en sistemas concurrentes y distribuidos. Un LTS es un sistema de transiciones de estados donde cada una de ellas esta etiquetada con una acción. El conjunto de todas las acciones que posee un LTS es llamado alfabeto.

**Definición 2.2.1.** (Sistema de Transición Etiquetado)[8] Sea States un conjunto universal de estados, Act un conjunto universal de etiquetas. Un Sistema de Transición Etiquetado (LTS) es una tupla  $E = (S_E, A_E, \Delta_E, s_{E_0})$ , donde  $S_E \subseteq$  States es un conjunto finito de estados,  $A_E \subseteq$  Act es un alfabeto finito,  $\Delta_E \subseteq (S_E \times A_E \times S_E)$  es una relación, y  $s_0 \in S_E$  es el estado inicial.

Si  $(s, \ell, s') \in \Delta_E$  diremos que  $\ell$  está activo desde s en E. Diremos también que un LTS E es determinístico si  $\forall_{(s,\ell,s'),(s,\ell,s'')\in\Delta_E}$  implica s'=s''. Para un estado s definiremos  $\Delta_E(s) = \{\ell \mid (s,\ell,s') \in \Delta_E\}$ . Dado un LTS E, vamos a referirnos a su alfabeto como  $\alpha E$ .

**Definición 2.2.2.** (Composición en Paralelo) Sean  $M = (S_M, A_M, \Delta_M, s_{M_0})$  y  $E = (S_E, A_E, \Delta_E, s_{E_0})$  LTSs. Una Composición en Paralelo(||) es un operador simétrico tal que E||M es el LTS definido de la siguiente manera  $E||M = (S_E \times S_M, A_E \cup A_M, \Delta, (s_{E_0}, s_{M_0})),$  donde  $\Delta$  es la relación mas pequeña que satisface las siguientes reglas, donde  $\ell \in A_E \cup A_M$ :

#### ESCRIBIR GARCHA DE LOGICA

**Definición 2.2.3.** (LTS Legal) Dado  $E = (S_E, A_E, \Delta_E, s_{E_0}), M = (S_M, A_M, \Delta_M, s_{M_0})$ LTSs,  $y \ A_{E_u} \in A_E$ . Decimos que M es un LTS Legal par E con respecto a  $A_{E_u}$  si para  $todos\ (s_E, s_M) \in E||M$  sucede lo siguiente:  $\Delta_{E||M}((s_E, s_M)) \cap A_{E_u} = \Delta_E(S_E) \cap A_{E_u}$ .

Intuitivamente, un LTS M es un LTS Legal para el LTS E con respecto a  $A_{E_u}$ , si para

todos los estados en la composición  $(s_E, s_M) \in S_{S||M}$  se cumple que, una acción  $\ell \in A_{E_u}$  es deshabilitada en  $(s_E, s_M)$  si y solo si también esta deshabilitada en  $s_E \in E$ . En otras palabras, M no restringe a E con respecto a  $A_{E_u}$ .

**Definición 2.2.4.** (Tranzas) Sea un LTS  $E = (S, A, \Delta, s_0)$ . Una secuencia  $\pi = \ell_0, \ell_1, ...$  es una traza en E si existe una secuencia  $s_0, \ell_0, s_1, \ell_1, ...$  donde para todo i tenemos  $(s_i, \ell_i, s_{i+1}) \in \Delta$ .

**Definición 2.2.5.** (Estados Alcanzables) Sea un LTS  $E = (S_E, A_E, \Delta_E, s_0)$ . Un estado  $s \in S_E$  es alcanzable (desde el estado inicial) en E si existe una secuencia  $s_0, \ell_0, s_1, \ell_1, ...$  donde para cada i tenemos  $(s_i, \ell_i, s_{i+1}) \in \Delta$  y  $s = s_{i+1}$ . Nos referimos a el conjunto de todos los estados alcanzables en E como Reach(E).

En el transcurso de esta tesis, vamos a estudiar solo aquellos LTSs E donde todos sus estados  $s \in S_E$  son alcanzables.

# 2.3. Lógica Lineal Temporal de Flujos (Fluent Linear Temporal Logic)

La Lógica Lineal Temporal (LTL) esta siendo ampliamente usada en la ingeniería de los requerimientos [7, 2, 17, 9]. La motivación para escoger a las LTL de flujos es que estas proveen un framework uniforme para especificar propiedades basados en estados sobre modelos basados en eventos [2]. Fluent Linear Temporal Logic (FLTL) [2] es una lógica de tiempo lineal, temporal, para razonar acerca de flujos. Un flujo Fl es definido por un par de conjuntos y un valor booleano:  $Fl = \langle I_{Fl}, T_{Fl}, Init_{Fl} \rangle$ , donde  $I_{Fl} \subseteq Act$  es el conjunto de acciones iniciadoras,  $T_{Fl} \subseteq Act$  es el conjunto de acciones finalizadoras y  $I_{Fl} \cap T_{Fl} = \emptyset$ . Un flujo puede ser inicializado con valor true o false indicado por  $Init_{Fl}$ . Toda acción  $l \in Act$  induce un flujo, que notaremos  $\hat{l} = \langle l, Act \{l\}, false \rangle$ . Por último, el alfabeto de un flujo es el que se obtiene mediante la unión del conjunto de acciones iniciadoras y el conjunto de acciones finalizadoras.

Sea  $\mathcal{F}$  el conjunto de todas las posibles flujos sobre Act. Una formula FLTL esta se define inductivamente utilizando los conectores booleanos estandar y operadores temporales como el  $\mathbf{X}$  (próximo),  $\mathbf{U}$  (antes fuerte) de la siguiente manera:

$$\varphi ::= Fl \mid \neg \varphi \mid \varphi \ \lor \ \psi \mid \mathbf{X} \varphi \mid \varphi \ \mathbf{U} \ \psi$$

donde  $Fl \in \mathcal{F}$ . Para comodidad sintáctica, vamos a introducir las operaciones de  $\land$ ,  $\diamondsuit$  (eventualmente) y  $\square$  (siempre). Sea  $\Pi$  el conjunto de trazas infinitas sobre Act, diremos que la traza  $\pi = l_0, l_1, ...$  satisface un flujo Fl en la posición i, notado  $\pi, i \models Fl$ , si y solo si una de las siguientes condiciones es válida:

$$\circ Init_{Fl} \land (\forall j \in \mathbb{N} : 0 \le j \le i \to l_k \notin T_{Fl})$$

$$\circ \exists j \in \mathbb{N} : (j \leq i \land l_j \in I_{Fl}) \land (\forall k \in \mathbb{N} : j < k \leq i \rightarrow l_k \notin T_{Fl})$$

Dada una traza infinita  $\pi$ , la fórmula que satisface  $\varphi$  en la posición i, denotada como  $\pi, i \vDash \varphi$ , es definida a continuación como se muestra en la semántica para el operador de satisfacción:

$$\begin{array}{lll} \pi, i \vDash Fl & \triangleq & \pi, i \vDash Fl \\ \\ \pi, i \vDash \neg \varphi & \triangleq & \neg(\pi, i \vDash \varphi) \\ \\ \pi, i \vDash \varphi \lor \psi & \triangleq & (\pi, i \vDash \varphi) \lor (\pi, i \vDash \psi) \\ \\ \pi, i \vDash \mathbf{X}\varphi & \triangleq & \pi, 1 \vDash \varphi \\ \\ \pi, i \vDash \varphi \mathbf{U}\varphi & \triangleq & \exists j > i : \pi, j \vDash \psi \land \forall i < k < j : \pi, k \vDash \varphi \end{array}$$

Diremos que  $\varphi$  se cumple en  $\pi$ , denotado como  $\pi \models \varphi$ , si  $\pi$ ,  $0 \models \varphi$ . Una fórmula  $\varphi \in$  FLTL es cierta si un LTS E (denotado como  $E \models \varphi$ ) si éste es cierto en toda traza infinita producida por E.

#### 2.4. Problemas de síntesis de controladores

Los problemas de síntesis de controladores son aquellos que producen una máquina, la cual, restringe las ocurrencias de los eventos controlables, basado en las observaciones, de los eventos no controlables que han ocurrido. Dicha máquina, al ser desplegada con un ambiente adecuando logramos satisfacer el conjunto de objetivos del sistema. Cabe destacar, que estos objetivos se cumplirán si se satisfacen las asunciones que se hacen sobre el ambiente. Resumiendo, tendremos una especificación del ambiente, asunciones, objetivos, y un conjunto de acciones controlables. Resolver el problema de síntesis de control es hallar una máquina, que al trabajar concurrentemente con el ambiente, que satisface las asunciones del dominio, satisfacemos el conjunto de objetivos del sistema.

Hecha esta introducción definiremos el problema de síntesis de control para modelos basados en eventos de la siguiente manera. Dada una LTS que detalla el comportamiento del ambiente, un conjunto de eventos controlables, un conjunto de formulas FLTL que describen los objetivos del sistema, el problema de control LTS consiste en encontrar una LTS que restringe solamente la ocurrencia de acciones controlables y garantiza que la composición paralela del ambiente con la LTS recién descripta estará libre de deadlocks y que, si las presunciones del ambiente valen, satisfacerá también los objetivos del sistema.

**Definición 2.4.1.** (Control LTS) Dada una especificación de un entorno en forma de una LTS E, un conjunto de acciones controlables  $A_c \in Act$  y un conjunto H de pares  $(A_{s_i}, G_i)$  donde  $A_{s_i}$  y  $G_i$  son fórmulas FLTL especificando presunciones y objetivos del sistema respectivamente, la solución al problema de control LTS  $\mathcal{E} = \langle E, H, A_c \rangle$  consiste en encontrar una LTS M de forma que M es legal a E sobre el conjunto de acciones no controlables  $A_U = \overline{A_c}$ , E||M se encuentra libre de deadlocks, y para cada par  $(A_{s_i}, G_i) \in H$  y para cada traza  $\pi$  en E||M se cumple que si  $\pi \models A_{s_i}$  entonces  $\pi \models G_i$ .

Ahora pasaremos a definir un subconjunto de problemas de control LTS que esta determinado por aquellos problemas de control que son computables en tiempo polinómico. Identificaremos estos problemas como problemas de control LTS SGR(1) (Safe Generalised Reactivity(1)). Estos se construyen a partir de GR(1) y problemas de seguridad pero en modelos basados en eventos. Dichos problemas, constan de un modelo del ambiente E que será un LTS determinístico para asegurar que el controlador tenga una visión completa de los estados del ambiente. Requerimos que H sea  $\{(\emptyset, I), (A_s, G)\}$ , donde I es un invariante de seguridad de la pinta  $\Box \rho$ , las asunciones  $A_s$  son una conjunción de sub-fórmulas FLTL de la pinta  $\Box \Diamond \phi$ , y el objetivo G una conjunción de sub-fórmulas FLTL de la pinta  $\Box \Diamond \gamma$  donde  $\rho, \phi$  y  $\gamma$  son combinación booleana de flujos.

**Definición 2.4.2.** (Control LTS SGR(1)) un problema de control LTS  $\mathcal{E} = \langle E, H, A_C \rangle$  es SGR(1) si E es determinístico,  $y H = \{(\emptyset, I), (A_s, G)\}$ , donde  $I = \square \rho$ ,  $A_s = \bigwedge_{i=1}^n \square \lozenge \phi_i, G = \bigwedge_{j=1}^m \square \lozenge \gamma_j, \ y \phi_i, \rho \ y \gamma_j$  son combinación booleana de flujos.

#### 2.5. Juegos de dos jugadores

Llamaremos juegos de dos jugadores a aquellos que consisten en dos jugadores, jugador 1 y jugador 2, donde el objetivo del jugador 1 es satisfacer una especificación independientemente de las acciones que el jugador 2 ejecute. Intuitivamente, el jugador 1 puede deshabilitar las acciones que él controla aunque no podrá deshabilitarlas todas ya que esto transformaría dicho estado a un estado de deadlock.

Durante el transcurso de esta tesis llevaremos los juegos de dos jugadores al marco de síntesis de controladores, donde el jugador 1 (el controlador) elije, del conjunto de acciones controlables, cual habilitar y el jugador 2 (el ambiente) elije que acciones tomar libremente. Formalmente podemos definir lo siguiente.

**Definición 2.5.1.** (Juego de dos jugadores) Un juego de dos jugadores es  $G = (S_g, \Gamma^-, \Gamma^+, s_{g_0}, \varphi)$ , donde S es un conjunto finito de estados,  $\Gamma^-, \Gamma^+ \subseteq S \times S$  son conjuntos de transiciones no controlables y controlables respectivamente,  $s_{g_0} \in S$  es el estado inicial,  $y \in S^\omega$  es la condición de ganada. Definimos  $\Gamma^-(s) = \{s' \mid (s,s') \in \Gamma^-\}$  y análogamente para  $\Gamma^+$ . Un estado s es no controlable si  $\Gamma^-(s) \neq \emptyset$  y controlable en el resto de los casos. Una jugada en G es una secuencia  $p = s_{g_0}, s_{g_1}, \ldots$  Una jugada p terminada en p0 es extendida por el controlador eligiendo un subconjunto p1 su proposition p2 su proposition p3 su proposition p4 su proposition p5 su proposition p6 su proposition p6 su proposition p7 su proposition p8 su proposition p9 su proposi

Un detalle importante es que si para un estado controlable  $\gamma$  el conjunto de opciones del controlador es vacía, esto puede llevar a un deadlock. Esto será considerado como prohibido mas adelante ya que el controlador definirá este estado como un estado perdedor. Para un estado no controlable el controlador puede decidir deshabilitar todas las acciones controlables. Las elecciones del controlador son formalizadas como estrategias y estas reglas son las que el controlador aplicará. Por lo general, las estrategias son elegidas dependiendo de la historia. Esto puede verse en la estrategia utilizando un valor de memoria  $\Omega$  y actualizando este valor de acuerdo a la evolución del juego.

Es importante destacar, que este tipo de juegos, con memoria, es diferente al definido en [12]. Piterman et al. define un juego en el cual el ambiente elige su movimiento y recién luego de este, el controlador podrá elegir cual será el siguiente paso.

**Definición 2.5.2.** (Estrategia con memoria) Una estrategia con memoria  $\Omega$  para el controlador es un par de funciones  $(\sigma, u)$ , donde  $\Omega$  es una memoria que tiene designado como valor inicial  $\omega_0, \sigma: \Omega \times S \to 2^S$  tal que  $\sigma(\omega, s) \subseteq \Gamma^+(s)$  y  $u: \Omega \times S \to \Omega$ .

Intuitivamente,  $\sigma$  le informa al controlador cuales estados debe habilitar como posibles sucesores y u define como actualizar la memoria en cada paso. Si  $\Omega$  es finita, diremos que la estrategia usa memoria finita.

**Definición 2.5.3.** (Consistencia y estrategia ganadora) una jugada finita o infinita  $p = s_0, s_1, ...$  es consistente con  $(\omega, u)$  si para cada n tenemos que  $s_{n+1} \in \sigma(\omega_n, s_n)$  donde  $\omega_{i+1} = u(\omega_i, s_{i+1})$  para toda  $i \geq 0$ . Una estrategia  $(\sigma, u)$  para el controlador desde el estado s es ganadora si cada jugada maximal empezando de s y consistente con  $(\sigma, u)$  es infinita y en  $\varphi$ . Diremos que el controlador gana el juego G si tiene una estrategia ganadora desde el estado inicial.

Diremos que chequear si un controlador gana un juego G es resolver el juego G. Una vez definido un juego de dos jugadores, pasaremos a traducir un problema de síntesis de controladores a este tipo de juegos. La transformación se basa en generar una estrategia ganadora para el controlador. Si dicha estrategia existe, diremos que el problema de control es realizable [10, 14]. Resultados estudiados anteriormente [13], demuestran que si un controlador gana el juego G y  $\varphi$  es  $\omega$ -regular, el juego puede ganarse utilizando una estrategia con memoria finita.

# 2.6. Resolviendo el problema de control LTS SGR(1)

En esta sección explicaremos como una solución para un problema de control SGR(1) puede ser obtenida por construcción utilizando técnicas existentes de síntesis de controladores (basados en estados), llamados GR(1). [12]

La construcción de la máquina para un problema de control LTS SGR(1) esta divido en dos pasos. Primero, se crea un juego GR(1) G en representación del ambiente E, las asunciones  $A_s$ , los objetivos O y el conjunto de acciones controlables  $A_C$ . Como segundo paso, se elabora una solución  $(\sigma, u)$  al juego GR(1) para construir una máquina M (i.e un controlador LTS) para  $\mathcal{E}$ . Esta solución al problema de control LTS SGR(1)  $\mathcal{E}$  existe, si y solo si, existe una solución al juego GR(1) G. Luego, podremos afirmar que el controlador LTS M creada a partir de  $(\sigma, u)$  es una solución a  $\mathcal{E}$ .

#### 2.6.1. Control LTS SGR(1) a juegos GR(1)

Convertiremos el problema de control LTS SGR(1) a un juego GR(1). Dado un problema de control LTS SGR(1)  $\mathcal{E} = \langle E, H, A_C \rangle$  construimos un juego GR(1)  $G = \langle S_g, \Gamma^-, \Gamma^+, s_{g_0}, \varphi_g \rangle$  tal que cada estado en  $S_g$  representa un estado en E y una valuación de todos los flujos que aparecen en  $A_s$  y en G.

Mas precisamente, y por la definición de control LTS SGR(1) (definición 2.4.2) tendremos que  $H = \{(\emptyset, I), (A_s, G)\}, E = (S_e, A, \Delta_e, s_{e_0}), A_s = \bigwedge_{i=1}^n \Box \lozenge \phi_i, I = \Box \rho \text{ y}$   $G = \bigwedge_{j=1}^m \Box \lozenge \omega_j$ . Sea  $fl = \{\dot{1}, ..., \}$  un conjunto de flujos usados en  $A_s$  y en G donde  $A_s = \{\dot{1}, \dot{1}, \dot{1}, \dot{1}, \dot{1}\}$ . Construimos al juego  $G = (S_g, \Gamma^-, \Gamma^+, s_{g_0}, \varphi_g)$  de la siguiente manera.

Construimos  $S_g$  a partir de E de tal forma, que los estados en  $S_g$  corresponden a un estado en E y los valores de verdad de los flujos en  $\varphi$ . Formalmente, tenemos que  $S_g = S_e \times \prod_{i=1}^k \{true, false\}$ . Consideramos un estado  $s_g = (s_e, \alpha_1, ..., \alpha_k)$ . Dado un flujo  $fl_i$ , diremos que  $s_g$  satisface  $fl_i$  si  $\alpha_i$  es true y  $s_g$  no satisface  $fl_i$  si no.

Además, definiremos las relaciones  $\Gamma^-$  y  $\Gamma^+$  aplicando las siguientes reglas. Sea  $s_g = (s_e, \alpha_1, ..., \alpha_k)$ . Si  $s_g$  no satisface  $\rho$  (es decir,  $s_g$  es no seguro) no agregaremos los sucesores a  $s_g$ . Si  $s_g$  satisface  $\rho$ , por cada transición  $(s_e, l, s'_e) \in \Delta_e$  agregaremos  $(s_g, (s'_e, \alpha'_1, ..., \alpha'_k))$  en  $\Gamma^\beta$ , donde  $\beta$  y  $\alpha'_i$  cumplen las siguiente condiciones:

$$\begin{array}{|c|c|c|c|} \hline \beta & \alpha_i' \\ \hline es +: si \ l \in A_C, & es \ \alpha_i : si \ l \notin I_{fl_i} \cup T_{fl_i}, \\ es -: si \ l \notin A_C. & es \ true : si \ l \in I_{fl_i} \ o \\ & es \ false : si \ l \in T_{fl_i}. \\ \hline \end{array}$$

El estado inicial  $s_{g_0}$  es  $(s_{e_0}, initially_1, ..., initially_k)$ .

Por último, construiremos la condición de ganada  $\varphi_g$ , definida como un conjunto infinito de trazas, para  $A_S$  y G de la siguiente manera: abusando de la notación denotaremos  $\phi_i$  al conjunto de estados  $s_g$  tales que  $s_g$  satisface las asunciones  $\phi_i$  y a  $\gamma_i$  al conjunto de secuencias que satisfacen  $gr((\phi_1,...,\phi_n),(\gamma_1,...,\gamma_m))$ . De esta forma, obtendremos que

$$G = (S_g, \Gamma^-, \Gamma^+, s_{g_0}, \varphi_g)$$
 es un juego GR(1).

Cabe destacar que las propiedades de seguridad (safety) que son parte de la especificación no están contempladas en la condición de ganada  $\varphi_g$  del juego GR(1), pero si se traducen a un problema de deadlock avoidance a la hora de construir  $\Gamma^-$  y  $\Gamma^+$ . De esta manera, la condicion de ganada es  $\Box \rho \wedge (\bigwedge_{i=1}^n \Box \Diamond \phi_i \Rightarrow \bigwedge_{j=1}^m \Box \Diamond \omega_j)$ .

#### 2.6.2. Traduciendo la estrategia a un Controlador LTS

Ahora pasaremos a explicar como conseguir un controlador LTS a partir de una estrategia ganadora para el juego en GR(1). Intuitivamente, la transformación es de la siguiente manera: dado un problema de control LTS SGR(1)  $\mathcal{E} = \langle E, H, A_C \rangle$ , el juego  $G = (S_g, \Gamma^-, \Gamma^+, s_{g_0}, \varphi_g)$  obtenido a partir de  $\mathcal{E}$  y de la estrategia ganadora para G, construimos  $M = (S_M, A, \Delta_M, s_{M_0})$  una solución para  $\mathcal{E}$  traduciendo a estados de  $S_M$  un estado de  $S_g$  y un estado de la memoria dada por la estrategia ganadora.

Mas formalmente, sea  $E = (S_e, A, \Delta_e, s_{e_0})$ ,  $fl = \{fl_1, ..., fl_k\}$  el conjunto de flujos que aparecen en  $\varphi$ ,  $G = (S_g, \Gamma^-, \Gamma^+, s_{g_0}, \varphi_g)$  el juego GR(1) construido a partir de E como explicamos anteriormente, y sea  $\sigma : \Omega \times S_g \to 2^{S_g}$  y  $u : \Omega \times S_g \to \Omega$  la estrategia ganadora para G. Construiremos la máquina  $M = (S_M, A, \Delta_M, s_{M_0})$  de la siguiente manera.

Para construir  $S_M \subseteq \Omega \times S_g$ , consideremos dos estados  $s_g = (s_e, \alpha_1, ..., \alpha_k)$  y  $s'_g = (s'_e, \alpha'_1, ..., \alpha'_k)$ . Decimos que esa acción  $\ell$  es posible desde  $s_g$  hacia  $s'_g$  si:

- 1.  $(s_g, s'_g) \in \Gamma^- \cup \Gamma^+$ ,
- 2. existe una acción  $\ell$  tal que  $(s_e, \ell, s'_e) \in \Delta_e$  y
- 3. para cada flujo  $fl_i$  valga alguna de las siguiente condiciones:
  - $\circ \ \ell \notin I_{fl_i} \cup T_{fl_i} \ y \ \alpha'_i = \alpha_i,$
  - $\circ \ \ell \in I_{fl_i} \ y \ \alpha'_i = true, o$
  - $\circ \ \ell \in T_{fl_i} \ u \ \alpha'_i = false.$

Para construir  $\Delta_M \subset S_M \times A \times S_M$ , consideremos la transición  $(s_g, s'_g) \in \Gamma^-$ . Por definición de  $\Gamma^-$  existe una acción  $\ell \notin A_C$  tal que  $\ell$  es posible desde  $s_g$  hacia  $s'_g$ . Si  $s'_g \in \sigma(\omega, s_g)$  entonces para cada acción  $\ell$  tal que  $\ell$  es posible desde  $s_g$  hacia  $s'_g$  agregamos  $((\omega, s_g), \ell, (u(\omega, s_g), s'_g))$  hacia  $\Delta_M$ . De forma similar, consideramos una transición  $(s_g, s'_g) \in \Gamma^+$ . Por definición de  $\Gamma^+$  existe una acción  $\ell \in A_C$  tal que  $\ell$  es posible desde  $s_g$ 

hacia  $s_g'$ . Si  $s_g' \in \sigma(\omega, s_g)$  entonces para cada acción  $\ell$  tal que  $\ell$  es posible desde  $s_g$  hacia  $s_g'$  agregamos  $((\omega, s_g), \ell, (u(\omega, s_g), s_g'))$  hacia  $\Delta_M$ .

El estado inicial de M esta definido como  $s_{M_0} = (\omega_0, s_{g_0})$  donde  $\omega_0$  es el valor inicial de la memoria  $\Omega$ . De esta forma completamos la definición de M.

#### 2.6.3. Algoritmo

En esta sección, presentaremos el algoritmo implementado en la herramienta MTSA [1] el cual está basado en las ideas de Juvekar y Piterman [6].

Este algoritmo realiza una búsqueda de ciclos de estados que satisfacen todas las asunciones pero no todos los objetivos restringiendo acciones controlables. De haber ciclos como estos podrían permitir tranzas en las que el controlador pierde el juego GR(1). Para lograr evitar estos ciclos, el algoritmo busca para cada estado, una estrategia que garantice la satisfacción de todos los objetivos. Para esto, se configura un orden en el cual satisfacer los objetivos. El algoritmo, mediante la técnica de punto fijo computa la mejor forma en que cada estado puede satisfacer el siguiente objetivo. A su vez, mide la "calidad" de cada uno de los diferentes sucesores para satisfacer un objetivo mediante un sistema de rankings [5]. El ranking de un sucesor particular mide la distancia (cantidad de transiciones utilizadas) al siguiente objetivo en términos de número de veces que las asunciones son satisfechas antes de alcanzar el objetivo. Si este número tiende a infinito, deduciremos que desde el estado actual existe una traza infinita en la cual las asunciones del ambiente valen infinitamente, pero los objetivos no se satisfacen. Es así, como el algoritmo reconoce estados que deben ser evitados para la construcción de la estrategia para el controlador.

El algoritmo

### 2.7. Procesos de estados Finitos (Finite State Process)

3. MTSA COMO HERRAMIENTA DE MODELADO Y SÍNTESIS

# 4. PROBLEMA DE ACTUALIZACIÓN DE CONTROLADORES DINÁMICAMENTE

## 5. VALIDANDO LOS ALGORITMOS

- 5.1. Casos de Estudio
- 5.2. Resultados

## 6. CONCLUSIONES Y TRABAJOS FUTUROS

- 6.1. Conclusiones
- 6.2. Trabajo futuro

#### Bibliografía

- [1] N. D'Ippolito, D. Fischbein, M. Chechik, and S. Uchitel. Mtsa: The modal transition system analyser. In Automated Software Engineering, 2008. ASE 2008. 23rd IEEE/ACM International Conference on, pages 475–476, Sept 2008.
- [2] D. Giannakopoulou and J. Magee. Fluent model checking for event-based systems. In Proceedings of the 9th European Software Engineering Conference Held Jointly with 11th ACM SIGSOFT International Symposium on Foundations of Software Engineering, ESEC/FSE-11, pages 257–266, New York, NY, USA, 2003. ACM.
- [3] M. Jackson. Software Requirements & Amp; Specifications: A Lexicon of Practice, Principles and Prejudices. ACM Press/Addison-Wesley Publishing Co., New York, NY, USA, 1995.
- [4] M. Jackson. The world and the machine. In Software Engineering, 1995. ICSE 1995. 17th International Conference on, pages 283–283, April 1995.
- [5] M. Jurdziński. Small progress measures for solving parity games. In H. Reichel and S. Tison, editors, STACS 2000, volume 1770 of Lecture Notes in Computer Science, pages 290–301. Springer Berlin Heidelberg, 2000.
- [6] S. Juvekar and N. Piterman. Minimizing generalized büchi automata. In T. Ball and R. Jones, editors, Computer Aided Verification, volume 4144 of Lecture Notes in Computer Science, pages 45–58. Springer Berlin Heidelberg, 2006.
- [7] R. Kazhamiakin, M. Pistore, and M. Roveri. Formal verification of requirements using spin: a case study on web services. In *Software Engineering and Formal Methods*, 2004. SEFM 2004. Proceedings of the Second International Conference on, pages 406–415, Sept 2004.
- [8] R. M. Keller. Formal verification of parallel programs. Commun. ACM, 19(7):371–384, July 1976.
- [9] E. Letier and A. van Lamsweerde. Agent-based tactics for goal-oriented requirements

- elaboration. In *Proceedings of the 24th International Conference on Software Engineering*, ICSE '02, pages 83–93, New York, NY, USA, 2002. ACM.
- [10] O. Maler, A. Pnueli, and J. Sifakis. On the synthesis of discrete controllers for timed systems (an extended abstract). In STACS, pages 229–242, 1995.
- [11] D. L. Parnas and J. Madey. Functional documents for computer systems. Science of Computer Programming, 25:41–61, 1995.
- [12] N. Piterman, A. Pnueli, and Y. Sa'ar. Synthesis of reactive(1) designs. volume 3855 of Lecture Notes in Computer Science, pages 364–380. Springer Berlin Heidelberg, 2006.
- [13] A. Pnueli and R. Rosner. On the synthesis of a reactive module. In Proceedings of the 16th ACM SIGPLAN-SIGACT Symposium on Principles of Programming Languages, POPL '89, pages 179–190, New York, NY, USA, 1989. ACM.
- [14] P. Ramadge and W. Wonham. The control of discrete event systems. Proceedings of the IEEE, 77(1):81–98, Jan 1989.
- [15] A. Van Lamsweerde. Goal-oriented requirements engineering: A guided tour. In Proceedings of the Fifth IEEE International Symposium on Requirements Engineering, RE '01, pages 249-, Washington, DC, USA, 2001. IEEE Computer Society.
- [16] A. van Lamsweerde. Requirements Engineering: From System Goals to UML Models to Software Specifications. Wiley, 2009.
- [17] A. Van Lamsweerde and E. Letier. Handling obstacles in goal-oriented requirements engineering. Software Engineering, IEEE Transactions on, 26(10):978–1005, Oct 2000.
- [18] P. Zave and M. Jackson. Four dark corners of requirements engineering. ACM Transactions on Software Engineering and Methodology, 6:1–30, 1997.