# *Bounded Model Checking*

Nesta aula vamos estudar *model checking*, uma das t√©cnicas mais utilizadas para verifica√ß√£o autom√°tica de propriedades de sistemas din√¢micos (sistemas caracterizados por um estado que evolui ao longo do tempo). O *model checking* tem por objectivo verificar automaticamente se uma propriedade (tipicamente especificada numa l√≥gica temporal) √© v√°lida num modelo do sistema (tipicamente formalizado como um sistema de transi√ß√£o). Mais concretamente vamos estudar uma t√©cnica de *bounded model checking*, onde o objectivo √© verificar se uma propriedade √© v√°lida considerando apenas um dado n√∫mero m√°ximo de estados da execu√ß√£o do sistema.

## *First-order Transition Systems* (FOTS)

FOTS s√£o modelos de sistemas din√¢micos que s√£o determinados por um espa√ßo de estados, uma rela√ß√£o de transi√ß√£o de estados e um conjunto de estados iniciais. Nos FOTS o conjunto de estados iniciais √© descrito por um predicado un√°rio (*init*) sobre o vector de vari√°veis associado ao espa√ßo de estados, e a rela√ß√£o de transi√ß√£o √© descrita por um predicado bin√°rio (*trans*) sobre dois vectores de vari√°veis que representam o estado antes e depois da transi√ß√£o.

### Modela√ß√£o de programas com FOTS

Um programa pode ser modelado por um FOTS da seguinte forma:
- O estado √© constitu√≠do pelas vari√°veis do programa mais uma vari√°vel para o respectivo *program counter*
- Os estados iniciais s√£o caracterizados implicitamente por um predicado sobre as vari√°veis de estado
- As transi√ß√µes s√£o caracterizadas implicitamente por um predicado sobre pares de estados

Considere, por exemplo o programa seguinte, anotado com uma pr√©-condi√ß√£o que restringe o valor inicial de $x$:

```Python
{ x >= 3 }
0: while (x>0):
1:    x = x-1
2: stop
```

Neste caso o estado do FOTS respectivo ser√° um par de inteiros, o primeiro contendo o valor do $\mathit{pc}$ (o *program counter* que neste caso pode ser 0, 1 ou 2) e o segundo o valor da vari√°vel $x$. O estado inicial √© caracterizado pelo seguinte predicado:

$$
\mathit{pc} = 0 \wedge x \ge 3
$$

As transi√ß√µes poss√≠veis no FOTS s√£o caracterizadas pelo seguinte predicado:

$$
\begin{array}{c}
(\mathit{pc} = 0 \wedge x > 0 \wedge \mathit{pc}' = 1 \wedge x' = x)\\
\vee\\
(\mathit{pc} = 0 \wedge x \le 0 \wedge \mathit{pc}' = 2 \wedge x' = x) \\
\vee\\
(\mathit{pc} = 1 \wedge \mathit{pc}' = 0 \wedge x' = x - 1) \\
\vee\\
(\mathit{pc} = 2 \wedge \mathit{pc}' = 2 \wedge x' = x)
\end{array}
$$

Note que este predicado √© uma disjun√ß√£o de todas as poss√≠veis transi√ß√µes que podem ocorrer no programa. Cada transi√ß√£o √© caracterizada por um predicado onde uma vari√°vel do programa denota o seu valor no pr√©-estado e a mesma vari√°vel com ap√≥strofe denota o seu valor no p√≥s-estado. √â usual exigir que cada estado do FOTS tenha pelo menos um sucessor, pelo que o estado final do programa √© caracterizado por uma transi√ß√£o para ele pr√≥prio (um lacete).

Usando estes predicados podemos usar um SMT solver (nomeadamente o Z3) para, por exemplo, gerar uma poss√≠vel execu√ß√£o de $k\!-\!1$ passos do programa (em que $k>0$). Para tal precisamos de criar $k$ c√≥pias das vari√°veis que caracterizam o estado do FOTS e depois impor que a primeira c√≥pia satisfaz o predicado inicial e que cada par de c√≥pias consecutivas satisfazem o predicado de transi√ß√£o.

A seguinte fun√ß√£o cria a $i$-√©sima c√≥pia das vari√°veis de estado, agrupadas num dicion√°rio que nos permite aceder √†s mesmas pelo nome.

In [1]:
from z3 import *

def declare(i):
    state = {}
    state['pc'] = Int('pc'+str(i))
    state['x'] = Int('x'+str(i))
    print(state)
    return state

### Exerc√≠cio 1

Defina a fun√ß√£o `init` que, dado um poss√≠vel estado do programa (um dicion√°rio de vari√°veis), devolva um predicado Z3 que testa se esse estado √© um poss√≠vel estado inicial do programa.

In [2]:
def init(state):
    # pc=0‚àßùë•‚â•3
    return And(state['pc'] == 0, state['x'] >= 3)

### Exerc√≠cio 2

Defina a fun√ß√£o `trans` que, dados dois poss√≠veis estados do programa, devolva um predicado Z3 que testa se √© poss√≠vel transitar do primeiro para o segundo.

In [3]:
def trans(curr,prox):
    # (pc=0‚àßùë•>0‚àßpc‚Ä≤=1‚àßùë•‚Ä≤=ùë•)
    transita01 = And(curr['pc'] == 0, curr['x'] > 0, prox['pc'] == 1, prox['x'] == curr['x'])
    
    # (pc=0‚àßùë•‚â§0‚àßpc‚Ä≤=2‚àßùë•‚Ä≤=ùë•)
    transita02 = And(curr['pc'] == 0, curr['x'] <= 0, prox['pc'] == 2, prox['x'] == curr['x'])
    
    # (pc=1‚àßpc‚Ä≤=0‚àßùë•‚Ä≤=ùë•‚àí1)
    transita03 = And(curr['pc'] == 1, prox['pc'] == 0, prox['x'] == curr['x']-1)
    
    # (pc=2‚àßpc‚Ä≤=2‚àßùë•‚Ä≤=ùë•)
    transita04 = And(curr['pc'] == 2, prox['pc'] == 2, prox['x'] == curr['x'])
    return Or(transita01, transita02, transita03, transita04)

### Exerc√≠cio 3

Complete a fun√ß√£o de ordem superior `gera_traco` que, dada uma fun√ß√£o que gera uma c√≥pia das vari√°veis do estado, um predicado que testa se um estado √© inicial, um predicado que testa se um par de estados √© uma transi√ß√£o v√°lida, e um n√∫mero positivo `k`, use o Z3 para gerar um poss√≠vel tra√ßo de execu√ß√£o do programa de tamanho `k`. Para cada estado do tra√ßo dever√° imprimir o respectivo valor das vari√°veis.

In [8]:
def gera_traco(declare,init,trans,k):
    s = Solver()
    
    # it's like an authomata
    # declare all k to states
    trace = [declare(i) for i in range(k)]
    
    # initializate state 0
    s.add(init(trace[0]))
    
    # create a link between two spaces
    for i in range(k-1):
        s.add(trans(trace[i], trace[i+1]))
        
    
    if s.check() == sat:
        m = s.model()
        for i in range(k):
            print(i)
            for v in trace[i]:
                print(v,'=', m[trace[i][v]])
        
gera_traco(declare,init,trans,10)

{'pc': pc0, 'x': x0}
{'pc': pc1, 'x': x1}
{'pc': pc2, 'x': x2}
{'pc': pc3, 'x': x3}
{'pc': pc4, 'x': x4}
{'pc': pc5, 'x': x5}
{'pc': pc6, 'x': x6}
{'pc': pc7, 'x': x7}
{'pc': pc8, 'x': x8}
{'pc': pc9, 'x': x9}
[And(pc0 == 0, x0 >= 3)]
0
pc = 0
x = 5
1
pc = 1
x = 5
2
pc = 0
x = 4
3
pc = 1
x = 4
4
pc = 0
x = 3
5
pc = 1
x = 3
6
pc = 0
x = 2
7
pc = 1
x = 2
8
pc = 0
x = 1
9
pc = 1
x = 1


## L√≥gica temporal linear (LTL)

Sobre este FOTS podemos querer verificar v√°rias propriedades temporais, como por exemplo:
1. $x$ √© sempre positivo
2. $x$ √© sempre diferente de 1
3. $x$ chega inevitavelmente a 0
4. $x$ chega inevitavelmente a um valor negativo
5. o programa termina

Estas propriedades s√£o de natureza muito diferente. As duas primeiras s√£o *propriedades de seguran√ßa* (*safety*) que, em geral, garantem que "nada de mau ir√° acontecer". Neste caso em particular s√£o invariantes, ou seja, propriedades que devem ser verdade em todos os estados da execu√ß√£o do programa. As tr√™s √∫ltimas s√£o *propriedades de anima√ß√£o* (*liveness*) que, em geral, garantem que "algo de bom ir√° acontecer".

A l√≥gica LTL introduz *operadores temporais* que nos permitem escrever estas propriedades formalmente. Os operadores mais conhecidos s√£o o $G$, que informalmente significa "*√© sempre verdade que*", e o $F$, que informalmente significa "*√© inevit√°vel que*". Com estes operadores, as propriedades acima podem ser especificadas formalmente do seguinte modo
1. $G\ (x \ge 0)$
2. $G\ (x \neq 1)$
3. $F\ (x = 0)$
4. $F\ (x < 0)$
5. $F\ (pc = 2)$

## *Bounded Model Checking* (BMC) para LTL

Como √© √≥bvio, nem todas estas propriedades s√£o v√°lidas. Em particular a 2¬™ e a 4¬™ n√£o o s√£o. O objectivo da verifica√ß√£o √© precisamente determinar se uma propriedade temporal √© v√°lida num FOTS ou n√£o. Este procedimento designa-se *model checking* e, quando uma propriedade n√£o √© v√°lida, produz um contra-exemplo (um tra√ßo do FOTS correspondente a uma execu√ß√£o do programa onde a propriedade falha). Nesta aula vamos estudar uma t√©cnica particular de *model checking* designada *bounded model checking*, onde o objectivo √© determinar se uma propriedade temporal √© v√°lida nos primeiros $K$ estados da execu√ß√£o do FOTS.

A ideia passa por usar um SMT solver (neste caso o Z3) para tentar descobrir um contra-exemplo para uma dada propriedade. Para simplificar vamos abordar apenas dois casos: verifica√ß√£o de invariantes da forma $G\ \phi$ e propriedades de anima√ß√£o simples da forma $F\ \phi$, em que $\phi$ √© uma f√≥rmula sem operadores temporais.

### BMC de invariantes

Para fazer BMC de um invariante, por exemplo $G\ (x \ge 0)$ basta-nos usar o Z3 para encontrar um contra-exemplo com no m√°ximo $K$ estados onde a propriedade $(x \ge 0)$ seja inv√°lida nalgum estado. Para tal podemos implementar um procedimento iterativo que tenta encontrar esse contra-exemplo com tamanhos crescentes, come√ßando com tamanho 1 at√© ao tamanho m√°ximo $K$. Para cada tamanho $0 < k \le K$ basta tentar encontrar um poss√≠vel tra√ßo onde o invariante a verificar seja inv√°lido no √∫ltimo estado. Para tal podemos usar um c√≥digo muito semelhante ao da fun√ß√£o `gera_traco`. O procedimento √© interrompido mal um contra-exemplo seja encontrado, sendo garantido que esse √© um contra-exemplo m√≠nimo para essa propriedade.

### Exerc√≠cio 4

Complete a defini√ß√£o da fun√ß√£o de ordem superior `bmc_always` que, dada uma fun√ß√£o que gera uma c√≥pia das vari√°veis do estado, um predicado que testa se um estado √© inicial, um predicado que testa se um par de estados √© uma transi√ß√£o v√°lida, um invariante a verificar, e um n√∫mero positivo `K`, use o Z3 para verificar se esse invariante √© sempre v√°lido nos primeiros `K-1` passos de execu√ß√£o do programa, ou devolva um contra-exemplo m√≠nimo caso n√£o seja.

In [13]:
def bmc_always(declare,init,trans,inv,K):
    for k in range(1,K+1):
        s = Solver()
        # it's like an authomata
        # declare all k to states
        trace = [declare(i) for i in range(k)]

        # initializate state 0
        s.add(init(trace[0]))

        # create a link between two spaces
        for i in range(k-1):
            s.add(trans(trace[i], trace[i+1]))
            
        s.add(Not(inv(trace[k-1])))
        
        if s.check() == sat:
            m = s.model()
            for i in range(k):
                print(i)
                for v in trace[i]:
                    print(v,'=', m[trace[i][v]])
            return
        
    print ("Property is valid up to traces of length "+str(K))
        
# 1.
def positive(state):
    return (state['x'] >= 0)

bmc_always(declare,init,trans,positive,20)

Property is valid up to traces of length 20


### Exerc√≠cio 5

Use o procedimento `bmc_always` para encontrar um contra-exemplo para a segunda propriedade especificada acima.

In [14]:

#contra exemplo 2.
def notOne(state):
    return (state['x'] != 1)

bmc_always(declare,init,trans,notOne,20)

0
pc = 0
x = 3
1
pc = 1
x = 3
2
pc = 0
x = 2
3
pc = 1
x = 2
4
pc = 0
x = 1


### BMC de propriedades de anima√ß√£o

Para fazer BMC de propriedades de anima√ß√£o da forma $F\ \phi$ o prodimento √© ligeiramente mais complicado. Neste caso n√£o basta encontrar um tra√ßo aberto com no m√°ximo $K$ estados onde $\phi$ nunca seja v√°lida, pois tal contra-exemplo n√£o seria convincente: nada garante que $\phi$ n√£o pudesse ser v√°lida num ponto mais tarde da execu√ß√£o. Neste caso, o contra-exemplo teria que ser uma execu√ß√£o completa do programa que demonstre inequivocamente que a propriedade n√£o √© v√°lida. √â poss√≠vel encontrar uma execu√ß√£o completa do programa com no m√°ximo $K$ estados se a mesma tiver um *loop* no √∫ltimo estado, mais concretamente, uma transi√ß√£o para um dos estados precedentes. 

### Exerc√≠cio 6

Complete a defini√ß√£o da fun√ß√£o de ordem superior `bmc_eventually` que, dada uma fun√ß√£o que gera uma c√≥pia das vari√°veis do estado, um predicado que testa se um estado √© inicial, um predicado que testa se um par de estados √© uma transi√ß√£o v√°lida, uma propriedade cuja inevitabilidade se pretende verificar, e um n√∫mero positivo `K`, use o Z3 para encontrar um contra-exemplo para essa propriedade considerando apenas os primeiros `K` estados de execu√ß√£o do programa. Note que neste caso um contra-exemplo tem que ser necessariamente um *loop* (no sentido acima referido) onde a propriedade desejada nunca seja v√°lida.

In [21]:
def bmc_eventually(declare,init,trans,prop,k):
    for k in range(1,k+1):
        s = Solver()
        trace = [declare(i) for i in range(k)]

        # initializate state 0
        s.add(init(trace[0]))

        # create a link between two spaces
        for i in range(k-1):
            s.add(trans(trace[i], trace[i+1]))
 
        s.add(Not(prop(trace[k-1])))
    
        # force a loop existence
        s.add(Or([trans(trace[k-1], trace[i]) for i in range(k)]))
        
        
        if s.check() == sat:
            m = s.model()
            for i in range(k):
                print(i)
                for v in trace[i]:
                    print(v,'=', m[trace[i][v]])
            return
        
            
        
    print ("Property is valid up to traces of length "+str(k))

    

def zero(state):
    return (state['x'] == 0)

bmc_eventually(declare,init,trans,zero,20)

def terminates(state):
    return (state['pc'] == 2)

bmc_eventually(declare,init,trans,terminates,20)

Property is valid up to traces of length 20
Property is valid up to traces of length 20


### Exerc√≠cio 7

Modifique a fun√ß√£o `bmc_eventually` para n√£o s√≥ imprimir os estados do contra-exemplo, mas tamb√©m o estado onde come√ßa o *loop*. Sugere-se a utiliza√ß√£o da fun√ß√£o `eval` do Z3 para detectar esse estado. Utilize esta fun√ß√£o modificada para encontrar um contra exemplo para a quarta propriedade acima referida.

In [26]:
def bmc_eventually(declare,init,trans,prop,k):
    for k in range(1,k+1):
        s = Solver()
        trace = [declare(i) for i in range(k)]

        # initializate state 0
        s.add(init(trace[0]))

        # create a link between two spaces
        for i in range(k-1):
            s.add(trans(trace[i], trace[i+1]))
 
        s.add(Not(prop(trace[k-1])))
    
        # force a loop existence
        s.add(Or([trans(trace[k-1], trace[i]) for i in range(k)]))
        
        
        if s.check() == sat:
            m = s.model()
            for i in range(k):
                print(i)
                if m.eval(trans(trace[k-1][i])):
                    ptint("Loop Starts here")
                for v in trace[i]:
                    print(v,'=', m[trace[i][v]])
            return
        
            
        
    print ("Property is valid up to traces of length "+str(k))

    

def negative(state):
    return (state['x'] < 0)

bmc_eventually(declare,init,trans,negative,20)

0


KeyError: 0