# TP2
## Grupo 15

Carlos Eduardo Da Silva Machado A96936

Gonçalo Manuel Maia de Sousa A97485

## Problema 1

### Descrição do Problema

É nos dado um Control Flow Automaton (CFA) que descreve um programa imperativo cujo objetivo é implementar a multiplicação de dois inteiros a,b, fornecidos como "input" e um n, também fornecido como "input", de precisão limitada.
Para alem disso, temos de ter em conta os seguintes aspetos:
- Existe a possibilidade de alguma das operações do programa produzir um erro de “overflow”;
- Os nós do grafo representam ações  que actuam sobre os “inputs” do nó e produzem um “output” com as operações indicadas;
- Os ramos do grafo representam ligações que transferem o “output” de um nodo para o “input” do nodo seguinte. Esta transferência é condicionada pela satisfação da condição associada ao ramo.

### Abordagem do Problema

Para resolver este problema, vamos construir um First Order Transition System (FOTS) usando $BitVector$'s de tamanho $n$ de forma a descrever o comportamento do autómato acima mencionado.

São parâmetros do problema $a$, $b$, $n$, e $k$ tais que:
1. $a$ é o valor inicial de $x$
2. $b$ é o valor inicial de $y$
3. $k$ é o número máximo de estados num traço do problema, toma o valor de $n+1$, este valor é o resultado do seguinte calculo: 
$$
2.\log(2^{\frac{n}{2}-1})-1 \approx 2.\log(2^{\frac{n}{2}})-1 = 2\frac{n}{2}-1 = n-1;\\
\text{Este é o número de operações para o pior caso, com } y = 2^\frac{n}{2}-1, \text{pois são realizados }\\ \log(2^{\frac{n}{2}-1}) \text{ shifts e }\log(2^{\frac{n}{2}-1})-1\text{ subtrações no } y \\
\text{Para utilizar este valor resta apenas adicionar }2\text{, pois para além de }n-1\text{ estados é necessário incluir o estado inicial e o estado final.} 
$$  
4. $n$ é o número de $bit$'s máximo das variáveis

O autómato consiste na seguinte estrutura:
1. Um estado final ($pc=1$).
2. Um estado de erro ($pc=2$) que marca o estado de $overflow$
3. Um estado de operações ($pc=0$) no o qual todas as operações sobre as variaveis serão realizadas

De modo a tratar de casos de $overflow$ as variáveis $x$, $y$ e $z$ são declaradas como $BitVector$'s de tamanho $n+1$. Assim se o primeiro bit de uma delas for $1$ podemos transitar para o estado de $overflow$

Além disso, por motivos de optimização no caso da variavel $b$ ser maior do que $a$, são trocadas para que o número de transições seja minimizado.

Para além do FOTS, também vamos verificar se $P≡(x∗y+z=a∗b)$ é um invariante do comportamento que estamos a estudar.


## Código Python

#### Algoritmo básico

variaveis -> x,y,z,pc 

0: while(y!=0):

 	if even(y) then x,y,z = 2*x,y/2,z

	if odd(y)  then x,y,z = x,y-1,z+x

1: stop


Vamos Utilizar a biblioteca do $\textit{Pysmt}$ e a biblioteca $\textit{random}$ para resolver este exercício.

In [1]:
from pysmt.shortcuts import *
from pysmt.typing import INT
import random as rn
import itertools 

Construção do FOTS:

Função de declaração:

In [2]:
def declare(i,n):
    state = {}
    state['pc'] = Symbol('pc'+str(i),types.BVType(n+1))
    state['x'] = Symbol('x'+str(i),types.BVType(n+1))
    state['y'] = Symbol('y'+str(i),types.BVType(n+1))
    state['z'] = Symbol('z'+str(i),types.BVType(n+1))
    return state
def genState(vars,s,i,n):
    state = {}
    for v in vars:
        state[v] = Symbol(v+'!'+s+str(i),types.BVType(n+1))
    return state

Função de inicialização: 

In [3]:
def init(state,a,b,n):
    if b > a:
        a,b = b,a
        
    tPc = Equals(state['pc'],BVZero(n+1)) # Program counter a zero
    tZ = Equals(state['z'],BVZero(n+1)) # Z a zero
    tX = Equals(state['x'], BV(a,n+1)) # x inicilizado com valor de a
    tY = Equals(state['y'], BV(b,n+1)) # y inicilizado com valor de b
    return And(tPc,tX,tY,tZ)

Função de Transição:

 $$\mathsf{trans}(x,y,z,pc,x',y',z',pc')\;\equiv\;$$
 $$
 \left\{\begin{array}{lr}
 (pc=0)\land even(y) \land (y > 0) \land (x'=2x)\land (y'= \frac{y}{2}) \land (z'=c) \land (pc'=0) & \lor \\ 
 (pc=0) \land odd(y) \land (x'=x) \land (y'=y- 1) \land (z'=x+z) \land (pc'=0)  & \lor \\
 (pc=0)\land (y = 0) \land overflow(z) \land (x'=x)\land (y'=y) \land (z'=c) \land (pc'=1) & \lor \\
 (pc=1)\land(x'=x)\land (y'=y)\land (z'=z)\land (pc'=1)& \lor \\
 (pc=0)\land overflow(y) \land overflow(x) \land overflow(z) \land (x'=x)\land (y'=y) \land (z'=c) \land (pc'=2) & \lor \\ 
 (pc=2) \land (x'=x) \land (y'=y) \land (z'=z) \land (pc'= 2) & \end{array}\right.
 $$

In [4]:
def BVFirst(n):
    return BV(2**(n-1),n)

def tEven(curr,prox,n):
    tPcZero = Equals(curr['pc'],BVZero(n+1))
    tYLast = Equals(BVAnd(curr['y'],BVOne(n+1)),BVZero(n+1))#ultimo bit = 0
    tYGt = BVUGT(curr['y'],BVZero(n+1))#y > 0
    tX = Equals(prox['x'], BVLShl(curr['x'],BVOne(n+1)))#2*x
    tY = Equals(prox['y'], BVLShr(curr['y'],BVOne(n+1)))#y/2
    tZ = Equals(prox['z'],curr['z'])#z
    tPc = Equals(prox['pc'],BVZero(n+1))
    return And(tPcZero,tYLast,tYGt,tX,tY,tZ,tPc)

def tOdd(curr,prox,n):
    tPcZero = Equals(curr['pc'],BVZero(n+1))
    tYLast = Equals(BVAnd(curr['y'],BVOne(n+1)),BVOne(n+1))
    tX = Equals(prox['x'], curr['x'])
    tY = Equals(prox['y'],BVSub(curr['y'],BVOne(n+1)))
    tZ = Equals(prox['z'],BVAdd(curr['x'],curr['z'])) 
    tPc = Equals(prox['pc'],BVZero(n+1))   
    return And(tPcZero,tYLast,tX,tY,tZ,tPc)

def tStop(curr,prox,n):
    tPcZero = Equals(curr['pc'],BVZero(n+1))
    tYZero = Equals(curr['y'],BVZero(n+1))#y=0
    tZFirst = Equals(BVAnd(curr['z'],BVFirst(n+1)),BVZero(n+1))#primriro bit de z = 0
    tX = Equals(prox['x'],curr['x'])
    tY = Equals(prox['y'],curr['y'])
    tZ = Equals(prox['z'],curr['z'])
    tPc = Equals(prox['pc'],BVOne(n+1))
    return And(tYZero,tZFirst,tPcZero,tX,tY,tZ,tPc)

def tEnd(curr,prox,n):
    tPcOne = Equals(curr['pc'],BVOne(n+1))
    tX = Equals(prox['x'],curr['x'])
    tY = Equals(prox['y'],curr['y'])
    tZ = Equals(prox['z'],curr['z'])
    tPc = Equals(prox['pc'],BVOne(n+1))
    return And(tPcOne,tX,tY,tZ,tPc)

def tError(curr,prox,n):
    tPcZero = Equals(curr['pc'],BVZero(n+1))
    tYFirst = Equals(BVAnd(curr['y'],BVFirst(n+1)),BVFirst(n+1))
    tXFirst = Equals(BVAnd(curr['x'],BVFirst(n+1)),BVFirst(n+1))
    tZFirst = Equals(BVAnd(curr['z'],BVFirst(n+1)),BVFirst(n+1))
    tX = Equals(prox['x'], curr['x'])
    tY = Equals(prox['y'],curr['y'])
    tZ = Equals(prox['z'],curr['z'])
    tPc = Equals(prox['pc'],BV(2,n+1))
    return And(tPcZero,Or(tYFirst,tXFirst,tZFirst),tX,tY,tZ,tPc)

def tEndError(curr,prox,n):
    tPcTwo = Equals(curr['pc'],BV(2,n+1))
    tX = Equals(prox['x'], curr['x'])
    tY = Equals(prox['y'],curr['y'])
    tZ = Equals(prox['z'],curr['z'])
    tPc = Equals(prox['pc'],BV(2,n+1))
    return And(tPcTwo,tX,tY,tZ,tPc)

def trans(curr,prox,n):
    tToStop = tStop(curr,prox,n)
    tToEven   = tEven(curr,prox,n)
    tToError  = tError(curr,prox,n)
    tToEndError = tEndError(curr,prox,n)
    tToOdd    = tOdd(curr,prox,n)
    tToEnd    = tEnd(curr,prox,n)
    return Or(tToStop,tToEven,tToError,tToEndError,tToOdd,tToEnd)



Função que usa $\textit{SMT solver}$ para gerar um possível traço de execução do programa, imprimindo, para cada estado, as variáveis x,y,z e o program counter e função que auxiliar na conversão das variáveis para inteiro.

In [5]:
def toInt(s):
    return sum([int(x)*2**(len(s)-i-1) for i,x in (enumerate(s))])

In [6]:
def resolve(a,b,n,k):
    with Solver(name="msat") as s:
            # cria k copias do estado
            trace = [genState(['pc','x','y','z'],'X',i,n) for i in range(k)]
            #print(trace)
            # criar o traço
            s.add_assertion(init(trace[0],a,b,n))
            #print(init(trace[0]))
            for i in range(k-1):
                s.add_assertion(trans(trace[i], trace[i+1],n))

            if s.solve():
                for i in range(k):
                    print(i)
                    print("pc=", pc := s.get_value(trace[i]['pc']).bv_str())
                    print("x=", s.get_value(trace[i]['x']).constant_value())
                    print("y=", toInt(s.get_value(trace[i]['y']).bv_str()))
                    print("z=", toInt(s.get_value(trace[i]['z']).bv_str()))
                    print()
                    if pc in (1,2):
                        break
            else:
                print('Não foi possível resolver')

O invariante $P≡(x∗y+z=a∗b)$ como função **invariant(state,a,b)** e a função de ordem superior **bmc_always(declare,init,trans,inv,K,a,b,n)** que testa se o invariante é verificado para traços de tamanho maximo $k$.

In [7]:
def invariant(state,a,b):
    return Equals(BVAdd(BVMul(state['x'], state['y']), state['z']), BVMul(BV(a, n+1), BV(b, n+1)))


def bmc_always(declare,init,trans,inv,K,n,a,b):
    for k in range(1,K+1):
        with Solver(name="z3") as s:

            trace = [declare(i,n) for i in range(k)]
    
            s.add_assertion(init(trace[0],a,b,n))
            for i in range(k-1):
                s.add_assertion(trans(trace[i], trace[i+1],n))
            
            s.add_assertion(Not(inv(trace[k-1],a,b)))
            if s.solve():
                for i in range(k):
                    for v in trace[0]:
                        print(v,'=',s.get_value(trace[0][v]))
                return
            
    print("A propriedade é válida para traços de tamanho até " + str(k))


In [8]:
def baseName(s):
    return ''.join(list(itertools.takewhile(lambda x: x!='!', s)))

def rename(form,state):
    vs = get_free_variables(form)
    pairs = [ (x,state[baseName(x.symbol_name())]) for x in vs ] # Descobrir os pares # symbol_name dá o nome aka string da var
    return form.substitute(dict(pairs)) # recebe um dicionário e substitui as chaves do dicionário pelo o que está no value

def same(state1,state2): # ver se as duas vars têm o mesmo valor
    return And([Equals(state1[x],state2[x]) for x in state1])

def invert(trans,n):
    return (lambda u, v: trans(v,u,n))

In [9]:
def error(state,n):
    tYFirst = Equals(BVAnd(state['y'],BVFirst(n+1)),BVFirst(n+1))
    tXFirst = Equals(BVAnd(state['x'],BVFirst(n+1)),BVFirst(n+1))
    tZFirst = Equals(BVAnd(state['z'],BVFirst(n+1)),BVFirst(n+1))
    return Or(tYFirst,tXFirst,tZFirst)


In [10]:
def model_checking(vars,init,trans,error,N,M,a,b,tamanho):
    with Solver(name="msat") as s:
        
        # Criar todos os estados que poderão vir a ser necessários.
        X = [genState(vars,'X',i,tamanho) for i in range(N+1)] # Com a função genState, criar todos os estados que possam ser necessário, TODOS. # X SFOTS original
        Y = [genState(vars,'Y',i,tamanho) for i in range(M+1)] # Y SFOTS invertido

        # Estabelecer a ordem pela qual os pares (n,m) vão surgir. Por exemplo:
        order = sorted([(a,b) for a in range(1,N+1) for b in range(1,M+1)],key=lambda tup:tup[0]+tup[1]) # Estabelecer ordem que criamos o n e o m # ideia da stora: usar o sorted,
                                                                                                         # gerar todos os pares possíveis 
                                                                                                         # e ter como critério de ordenação as soma dos elementos dos pares
        
        for (n,m) in order: # Seguir o algoritmo
            # completar
            I = init(X[0],a,b,tamanho) # o X é uma lista de estados
            Tn = And([trans(X[i],X[i+1],tamanho) for i in range(n)])
            Rn = And(I,Tn) # estados acessíveis em n transições
            #print(X[0])
            E = error(Y[0],tamanho)
            Bm = And([invert(trans,tamanho)(Y[i],Y[i+1]) for i in range(m)])
            Um = And(E,Bm) # estados inseguros em m transições
            
            Vnm = And(Rn,same(X[n],Y[m]),Um) # temos de testar se dois estados estão iguais e, portanto, usamos a função same dada acima
            
            #pprint(Vnm.serialize())
            
            if s.solve([Vnm]):
                print("unsafe")
                return 
           
            # Se for insatisfazível, temos de criar o interpolante para n fórmulas
            C = binary_interpolant(And(Rn,same(X[n],Y[m])), Um)
            if C is None:
                print("Interpolante None")
                continue
            
            C0 = rename(C,X[0]) # Rename do C com o estado envolvido, neste caso o X[0] 
            C1 = rename(C,X[1])
            # Trabalhamos com X[0] e X[1] porque T pode ser escrito como T = (X0,X1)
            
            T = trans(X[0],X[1],tamanho)
            
            if not s.solve([C0,T,Not(C1)]):
                print("Safe")
                return
            else:
                    #### gerar o S (Parte que descreve o Majorante S)
                
                #Passo 1:
                S = rename(C,X[n])
                while True:
                    #Passo 2:
                    A = And(S,trans(X[n],Y[m],tamanho))
                    if s.solve([A,Um]):
                        print("Não foi possível encontrar o majorante.")
                        break
                    else:
                        CNew = binary_interpolant(A,Um) # as duas formulas têm de ser inconsistentes para que faça sentido para usar binary_interpolant
                        Cn = rename(CNew,X[n])
                        
                        if s.solve([Cn,Not(S)]):
                            S = Or(S,Cn)
                        else:
                            print("Safe")
                            return
            
        print("unknown")     

In [11]:
model_checking(['pc','x','y','z'], init, trans, error, 100, 100,4,3,7)   

Safe


### Exemplos e Testes de Aplicação

#### Exemplo 1

In [12]:
n = 7
a = 1
b = 1
k = n+1

print('x = ', BV(a,n).bv_str())
print('y = ', BV(b,n).bv_str())

x =  0000001
y =  0000001


#### Resolução do Exemplo 1

Este exemplo é apenas uma mostra de uma multiplicação básica.

In [13]:
resolve(a,b,n,k)

0
pc= 00000000
x= 1
y= 1
z= 0

1
pc= 00000000
x= 1
y= 0
z= 1

2
pc= 00000001
x= 1
y= 0
z= 1

3
pc= 00000001
x= 1
y= 0
z= 1

4
pc= 00000001
x= 1
y= 0
z= 1

5
pc= 00000001
x= 1
y= 0
z= 1

6
pc= 00000001
x= 1
y= 0
z= 1

7
pc= 00000001
x= 1
y= 0
z= 1



In [14]:
bmc_always(declare,init,trans,invariant,k,n,a,b)

A propriedade é válida para traços de tamanho até 8


#### Exemplo 2

Neste exemplo procuramos apresentar um dos piores casos em termos de transições de estado.

In [15]:
n = 6
a = 7
b = 7
k = n+1
k_inv = 1

print('x = ', BV(a,n).bv_str())
print('y = ', BV(b,n).bv_str())

x =  000111
y =  000111


#### Resolução do Exemplo 2

In [16]:
resolve(a,b,n,k)

PysmtTypeError: Trying to redefine symbol 'pc!X0' with a new type. Previous type was 'BV{8}' new type is 'BV{7}'

In [None]:
bmc_always(declare,init,trans,invariant,k,n,a,b)

#### Exemplo 3

Neste exemplo procuramos mostrar a optimização feita de modo a que sejam efetuadas o menor número de transições possiveis.

In [None]:
n = 15
a = 1
b = 32767
k = n+1

print('x = ', BV(a,n).bv_str())
print('y = ', BV(b,n).bv_str())

#### Resolução do exemplo 3

In [None]:
resolve(a,b,n,k)

In [None]:
bmc_always(declare,init,trans,invariant,k,n,a,b)

#### Exemplo 4

Neste exemplo procuramos mostrar um caso de $overflow$.

In [None]:
n = 32
a = 65535
b = 131069
k = n+1

print('x = ', BV(a,n).bv_str())
print('y = ', BV(b,n).bv_str())

#### Resolução do exemplo 4

In [None]:
resolve(a,b,n,k)

In [None]:
bmc_always(declare,init,trans,invariant,k,n,a,b)

#### Exemplo 5

Este exemplo serve para ser possivel efetuar testes repetidos com variaveis aleatórias.

In [None]:
n = 32
a = rn.randrange(1, 2**(n))
b = rn.randrange(1, 2**(n))
k = n+1

print('x = ', BV(a,n).bv_str())
print('y = ', BV(b,n).bv_str())

#### Resolução do exemplo 5

In [None]:
resolve(a,b,n,k)

In [None]:
bmc_always(declare,init,trans,invariant,k,n,a,b)