# *Bounded Model Checking*

Nesta aula vamos estudar *model checking*, uma das técnicas mais utilizadas para verificação automática de propriedades de sistemas dinâmicos (sistemas caracterizados por um estado que evolui ao longo do tempo). O *model checking* tem por objectivo verificar automaticamente se uma propriedade (tipicamente especificada numa lógica temporal) é válida num modelo do sistema (tipicamente formalizado como um sistema de transição). Mais concretamente vamos estudar uma técnica de *bounded model checking*, onde o objectivo é verificar se uma propriedade é válida considerando apenas um dado número máximo de estados da execução do sistema.

## *First-order Transition Systems* (FOTS)

FOTS são modelos de sistemas dinâmicos que são determinados por um espaço de estados, uma relação de transição de estados e um conjunto de estados iniciais. Nos FOTS o conjunto de estados iniciais é descrito por um predicado unário (*init*) sobre o vector de variáveis associado ao espaço de estados, e a relação de transição é descrita por um predicado binário (*trans*) sobre dois vectores de variáveis que representam o estado antes e depois da transição.

### Modelação de programas com FOTS

Um programa pode ser modelado por um FOTS da seguinte forma:
- O estado é constituído pelas variáveis do programa mais uma variável para o respectivo *program counter*
- Os estados iniciais são caracterizados implicitamente por um predicado sobre as variáveis de estado
- As transições são caracterizadas implicitamente por um predicado sobre pares de estados

Considere, por exemplo o programa seguinte, anotado com uma pré-condição que restringe o valor inicial de $x$:

```Python
{ x >= 3 }
0: while (x>0):
1:    x = x-1
2: stop
```

Neste caso o estado do FOTS respectivo será um par de inteiros, o primeiro contendo o valor do $\mathit{pc}$ (o *program counter* que neste caso pode ser 0, 1 ou 2) e o segundo o valor da variável $x$. O estado inicial é caracterizado pelo seguinte predicado:

$$
\mathit{pc} = 0 \wedge x \ge 3
$$

As transições possíveis no FOTS são caracterizadas pelo seguinte predicado:

$$
\begin{array}{c}
(\mathit{pc} = 0 \wedge x > 0 \wedge \mathit{pc}' = 1 \wedge x' = x)\\
\vee\\
(\mathit{pc} = 0 \wedge x \le 0 \wedge \mathit{pc}' = 2 \wedge x' = x) \\
\vee\\
(\mathit{pc} = 1 \wedge \mathit{pc}' = 0 \wedge x' = x - 1) \\
\vee\\
(\mathit{pc} = 2 \wedge \mathit{pc}' = 2 \wedge x' = x)
\end{array}
$$

Note que este predicado é uma disjunção de todas as possíveis transições que podem ocorrer no programa. Cada transição é caracterizada por um predicado onde uma variável do programa denota o seu valor no pré-estado e a mesma variável com apóstrofe denota o seu valor no pós-estado. É usual exigir que cada estado do FOTS tenha pelo menos um sucessor, pelo que o estado final do programa é caracterizado por uma transição para ele próprio (um lacete).

Usando estes predicados podemos usar um SMT solver (nomeadamente o Z3) para, por exemplo, gerar uma possível execução de $k\!-\!1$ passos do programa (em que $k>0$). Para tal precisamos de criar $k$ cópias das variáveis que caracterizam o estado do FOTS e depois impor que a primeira cópia satisfaz o predicado inicial e que cada par de cópias consecutivas satisfazem o predicado de transição.

A seguinte função cria a $i$-ésima cópia das variáveis de estado, agrupadas num dicionário que nos permite aceder às mesmas pelo nome.

In [1]:
from z3 import *

def declare(i):
    state = {}
    state['pc'] = Int('pc'+str(i))
    state['x'] = Int('x'+str(i))
    print(state)
    return state

### Exercício 1

Defina a função `init` que, dado um possível estado do programa (um dicionário de variáveis), devolva um predicado Z3 que testa se esse estado é um possível estado inicial do programa.

In [2]:
def init(state):
    # pc=0∧𝑥≥3
    return And(state['pc'] == 0, state['x'] >= 3)

### Exercício 2

Defina a função `trans` que, dados dois possíveis estados do programa, devolva um predicado Z3 que testa se é possível transitar do primeiro para o segundo.

In [3]:
def trans(curr,prox):
    # (pc=0∧𝑥>0∧pc′=1∧𝑥′=𝑥)
    transita01 = And(curr['pc'] == 0, curr['x'] > 0, prox['pc'] == 1, prox['x'] == curr['x'])
    
    # (pc=0∧𝑥≤0∧pc′=2∧𝑥′=𝑥)
    transita02 = And(curr['pc'] == 0, curr['x'] <= 0, prox['pc'] == 2, prox['x'] == curr['x'])
    
    # (pc=1∧pc′=0∧𝑥′=𝑥−1)
    transita03 = And(curr['pc'] == 1, prox['pc'] == 0, prox['x'] == curr['x']-1)
    
    # (pc=2∧pc′=2∧𝑥′=𝑥)
    transita04 = And(curr['pc'] == 2, prox['pc'] == 2, prox['x'] == curr['x'])
    return Or(transita01, transita02, transita03, transita04)

### Exercício 3

Complete a função de ordem superior `gera_traco` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, e um número positivo `k`, use o Z3 para gerar um possível traço de execução do programa de tamanho `k`. Para cada estado do traço deverá imprimir o respectivo valor das variáveis.

In [8]:
def gera_traco(declare,init,trans,k):
    s = Solver()
    
    # it's like an authomata
    # declare all k to states
    trace = [declare(i) for i in range(k)]
    
    # initializate state 0
    s.add(init(trace[0]))
    
    # create a link between two spaces
    for i in range(k-1):
        s.add(trans(trace[i], trace[i+1]))
        
    
    if s.check() == sat:
        m = s.model()
        for i in range(k):
            print(i)
            for v in trace[i]:
                print(v,'=', m[trace[i][v]])
        
gera_traco(declare,init,trans,10)

{'pc': pc0, 'x': x0}
{'pc': pc1, 'x': x1}
{'pc': pc2, 'x': x2}
{'pc': pc3, 'x': x3}
{'pc': pc4, 'x': x4}
{'pc': pc5, 'x': x5}
{'pc': pc6, 'x': x6}
{'pc': pc7, 'x': x7}
{'pc': pc8, 'x': x8}
{'pc': pc9, 'x': x9}
[And(pc0 == 0, x0 >= 3)]
0
pc = 0
x = 5
1
pc = 1
x = 5
2
pc = 0
x = 4
3
pc = 1
x = 4
4
pc = 0
x = 3
5
pc = 1
x = 3
6
pc = 0
x = 2
7
pc = 1
x = 2
8
pc = 0
x = 1
9
pc = 1
x = 1


## Lógica temporal linear (LTL)

Sobre este FOTS podemos querer verificar várias propriedades temporais, como por exemplo:
1. $x$ é sempre positivo
2. $x$ é sempre diferente de 1
3. $x$ chega inevitavelmente a 0
4. $x$ chega inevitavelmente a um valor negativo
5. o programa termina

Estas propriedades são de natureza muito diferente. As duas primeiras são *propriedades de segurança* (*safety*) que, em geral, garantem que "nada de mau irá acontecer". Neste caso em particular são invariantes, ou seja, propriedades que devem ser verdade em todos os estados da execução do programa. As três últimas são *propriedades de animação* (*liveness*) que, em geral, garantem que "algo de bom irá acontecer".

A lógica LTL introduz *operadores temporais* que nos permitem escrever estas propriedades formalmente. Os operadores mais conhecidos são o $G$, que informalmente significa "*é sempre verdade que*", e o $F$, que informalmente significa "*é inevitável que*". Com estes operadores, as propriedades acima podem ser especificadas formalmente do seguinte modo
1. $G\ (x \ge 0)$
2. $G\ (x \neq 1)$
3. $F\ (x = 0)$
4. $F\ (x < 0)$
5. $F\ (pc = 2)$

## *Bounded Model Checking* (BMC) para LTL

Como é óbvio, nem todas estas propriedades são válidas. Em particular a 2ª e a 4ª não o são. O objectivo da verificação é precisamente determinar se uma propriedade temporal é válida num FOTS ou não. Este procedimento designa-se *model checking* e, quando uma propriedade não é válida, produz um contra-exemplo (um traço do FOTS correspondente a uma execução do programa onde a propriedade falha). Nesta aula vamos estudar uma técnica particular de *model checking* designada *bounded model checking*, onde o objectivo é determinar se uma propriedade temporal é válida nos primeiros $K$ estados da execução do FOTS.

A ideia passa por usar um SMT solver (neste caso o Z3) para tentar descobrir um contra-exemplo para uma dada propriedade. Para simplificar vamos abordar apenas dois casos: verificação de invariantes da forma $G\ \phi$ e propriedades de animação simples da forma $F\ \phi$, em que $\phi$ é uma fórmula sem operadores temporais.

### BMC de invariantes

Para fazer BMC de um invariante, por exemplo $G\ (x \ge 0)$ basta-nos usar o Z3 para encontrar um contra-exemplo com no máximo $K$ estados onde a propriedade $(x \ge 0)$ seja inválida nalgum estado. Para tal podemos implementar um procedimento iterativo que tenta encontrar esse contra-exemplo com tamanhos crescentes, começando com tamanho 1 até ao tamanho máximo $K$. Para cada tamanho $0 < k \le K$ basta tentar encontrar um possível traço onde o invariante a verificar seja inválido no último estado. Para tal podemos usar um código muito semelhante ao da função `gera_traco`. O procedimento é interrompido mal um contra-exemplo seja encontrado, sendo garantido que esse é um contra-exemplo mínimo para essa propriedade.

### Exercício 4

Complete a definição da função de ordem superior `bmc_always` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, um invariante a verificar, e um número positivo `K`, use o Z3 para verificar se esse invariante é sempre válido nos primeiros `K-1` passos de execução do programa, ou devolva um contra-exemplo mínimo caso não seja.

In [13]:
def bmc_always(declare,init,trans,inv,K):
    for k in range(1,K+1):
        s = Solver()
        # it's like an authomata
        # declare all k to states
        trace = [declare(i) for i in range(k)]

        # initializate state 0
        s.add(init(trace[0]))

        # create a link between two spaces
        for i in range(k-1):
            s.add(trans(trace[i], trace[i+1]))
            
        s.add(Not(inv(trace[k-1])))
        
        if s.check() == sat:
            m = s.model()
            for i in range(k):
                print(i)
                for v in trace[i]:
                    print(v,'=', m[trace[i][v]])
            return
        
    print ("Property is valid up to traces of length "+str(K))
        
# 1.
def positive(state):
    return (state['x'] >= 0)

bmc_always(declare,init,trans,positive,20)

Property is valid up to traces of length 20


### Exercício 5

Use o procedimento `bmc_always` para encontrar um contra-exemplo para a segunda propriedade especificada acima.

In [14]:

#contra exemplo 2.
def notOne(state):
    return (state['x'] != 1)

bmc_always(declare,init,trans,notOne,20)

0
pc = 0
x = 3
1
pc = 1
x = 3
2
pc = 0
x = 2
3
pc = 1
x = 2
4
pc = 0
x = 1


### BMC de propriedades de animação

Para fazer BMC de propriedades de animação da forma $F\ \phi$ o prodimento é ligeiramente mais complicado. Neste caso não basta encontrar um traço aberto com no máximo $K$ estados onde $\phi$ nunca seja válida, pois tal contra-exemplo não seria convincente: nada garante que $\phi$ não pudesse ser válida num ponto mais tarde da execução. Neste caso, o contra-exemplo teria que ser uma execução completa do programa que demonstre inequivocamente que a propriedade não é válida. É possível encontrar uma execução completa do programa com no máximo $K$ estados se a mesma tiver um *loop* no último estado, mais concretamente, uma transição para um dos estados precedentes. 

### Exercício 6

Complete a definição da função de ordem superior `bmc_eventually` que, dada uma função que gera uma cópia das variáveis do estado, um predicado que testa se um estado é inicial, um predicado que testa se um par de estados é uma transição válida, uma propriedade cuja inevitabilidade se pretende verificar, e um número positivo `K`, use o Z3 para encontrar um contra-exemplo para essa propriedade considerando apenas os primeiros `K` estados de execução do programa. Note que neste caso um contra-exemplo tem que ser necessariamente um *loop* (no sentido acima referido) onde a propriedade desejada nunca seja válida.

In [21]:
def bmc_eventually(declare,init,trans,prop,k):
    for k in range(1,k+1):
        s = Solver()
        trace = [declare(i) for i in range(k)]

        # initializate state 0
        s.add(init(trace[0]))

        # create a link between two spaces
        for i in range(k-1):
            s.add(trans(trace[i], trace[i+1]))
 
        s.add(Not(prop(trace[k-1])))
    
        # force a loop existence
        s.add(Or([trans(trace[k-1], trace[i]) for i in range(k)]))
        
        
        if s.check() == sat:
            m = s.model()
            for i in range(k):
                print(i)
                for v in trace[i]:
                    print(v,'=', m[trace[i][v]])
            return
        
            
        
    print ("Property is valid up to traces of length "+str(k))

    

def zero(state):
    return (state['x'] == 0)

bmc_eventually(declare,init,trans,zero,20)

def terminates(state):
    return (state['pc'] == 2)

bmc_eventually(declare,init,trans,terminates,20)

Property is valid up to traces of length 20
Property is valid up to traces of length 20


### Exercício 7

Modifique a função `bmc_eventually` para não só imprimir os estados do contra-exemplo, mas também o estado onde começa o *loop*. Sugere-se a utilização da função `eval` do Z3 para detectar esse estado. Utilize esta função modificada para encontrar um contra exemplo para a quarta propriedade acima referida.

In [26]:
def bmc_eventually(declare,init,trans,prop,k):
    for k in range(1,k+1):
        s = Solver()
        trace = [declare(i) for i in range(k)]

        # initializate state 0
        s.add(init(trace[0]))

        # create a link between two spaces
        for i in range(k-1):
            s.add(trans(trace[i], trace[i+1]))
 
        s.add(Not(prop(trace[k-1])))
    
        # force a loop existence
        s.add(Or([trans(trace[k-1], trace[i]) for i in range(k)]))
        
        
        if s.check() == sat:
            m = s.model()
            for i in range(k):
                print(i)
                if m.eval(trans(trace[k-1][i])):
                    ptint("Loop Starts here")
                for v in trace[i]:
                    print(v,'=', m[trace[i][v]])
            return
        
            
        
    print ("Property is valid up to traces of length "+str(k))

    

def negative(state):
    return (state['x'] < 0)

bmc_eventually(declare,init,trans,negative,20)

0


KeyError: 0