Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Software-Verifikation 1 Deduktive Verifikation

Veröffentlicht von:Insa Langenberg Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Software-Verifikation 1 Deduktive Verifikation"—  Präsentation transkript:

1 Software-Verifikation 1 Deduktive Verifikation
Prof. Dr. Holger Schlingloff Institut für Informatik der Humboldt Universität und Fraunhofer Institut für offene Kommunikationssysteme

2 Herzlich Willkommen! Prof. Dr. Holger Schlingloff
Prof. für Softwaretechnik (Spezifikation, Verifikation und Testtheorie) am Institut für Informatik der HU wissenschaftlicher Leiter des System Quality Center am Fraunhofer FOKUS ... immer auf der Suche nach guten Studierenden ... ... für Projekt- und Bachelorarbeiten ... ... melden Sie sich einfach!

3 Organisatorisches (0) Goya, Moodle, Facebook, Twitter:  , Webseite: 

4 Organisatorisches (1) Ungefähre Struktur: Einführung Aussagenlogik
Prädikatenlogik While-Programme, Hoare-Kalkül Schleifeninvarianten, Sicherheitseigenschaften Behandlung von Arrays und Pointern Varianten, Terminierung und Lebendigkeit WP-Kalkül, einfache Funktionskontrakte Parallele Programme, Deadlocks, Livelocks Spezifikation von Datentypen Objektorientierte Programme

5 Organisatorisches (2) Nächste Woche: VL zur Übungszeit (15-17)
VL entfällt ? am Do., 14. Mai (Himmelfahrt) am Do., 28. Mai (Tag der Informatik) Prüfung: voraussichtlich mündlich, 30 min. nach Ferienende (Sept./Okt.)

6 Organisatorisches (3) Die Übung ist inhärenter Bestandteil des Moduls
Eine chinesische Weisheit: „Sage es mir und ich vergesse es, zeige es mir und ich erinnere mich, lasse es mich tun und ich behalte es!“ D.h. regelmäßige Teilnahme, Abgabe aller Aufgaben ist Pflicht Diskussion über Mindestpunktzahl etc. gehört m.E. in den Kindergarten Falls Sie mal verhindert sind, lassen Sie es uns wissen und arbeiten später selbständig nach „Reasonable person principle“: Sie wollen was lernen Teilnehmer stellen ihre eigenen Lösungen vor

7 Literatur K.R. Apt, E.R. Olderog: Programmverifikation. Sequentielle, parallele und verteilte Programme. Springer 1994 J. Loeckx, K. Sieber: The foundations of program verification. Stuttgart : Teubner, 1984 E.-R. Olderog and H. Dierks: Real-Time Systems - Formal Specification and Automatic Verification. Cambridge University Press, 2008 R. Backhouse: Programmkonstruktion und Verifikation. Prentice-Hall. 1986 G. Futschek: Programmentwicklung und Verifikation. Springer 1989 B. Hohlfeld, W. Struckmann: Einführung in die Programmverifikation. BI-Wissenschaftsverlag 1992 N. Franchez: Program Verification. Addison-Wesley 1992 F. Nielson, H.R. Nielson, Ch. Hankin: Principles of Program Analysis. Springer-Verlag, 1999 Weitere nach Ansage, Buchkapitel wird verteilt

8 Motivationsbeispiel: Mars Polar Lander
Aufgabe: Landung auf der Marsoberfläche und Übertragung von Messdaten Suche nach Wasser / Klimaänderung/ Lebensspuren Stimuliert von extrem erfolgreichen Vorgängermissionen “faster, cheaper, better” - Politik der NASA (z.B. keine Telemetrie während der Landung) LAUNCHED: Jan 3, LOST: Dec 3, 1999 Sonde meldet sich nach der Abtrennung nicht mehr

9 Chronik einer Katastrophe (1)
December 3, a.m. PST NASA's Mars Polar Lander is performing flawlessly and poised to land on the layered terrain near the red planet's south polar region shortly after noon Pacific time today. "It seems to be coming in pretty much right on the target line," said Michael Watkins, manager of JPL's navigation and mission design section. December 3, p.m. PST Mission controllers for NASA's Mars Polar Lander mission are awaiting the next opportunity to communicate with the spacecraft, whose transmissions have not yet been received since it landed on Mars today. "I'm very confident the lander survived the descent," said Mars Polar Lander Project Manager Richard Cook at JPL. "Everything looked very good. I think we're a long way from getting concerned. It is not unexpected that we would not hear from it during the first opportunity." A variety of hardware problems from which the lander could recover may be responsible for the delay in initial telecommunications.

10 Chronik einer Katastrophe (2)
December 4, :45 p.m. PST One scenario that would explain why engineers have not yet heard from the lander is that the spacecraft entered standby, or "safe mode," about 20 minutes after landing shortly after 12 noon PST Friday, Dec. 3. If the lander entered safe mode at that time, it would not be able to receive any communication until it "wakes up" this evening. ?

11 Chronik einer Katastrophe (3)
December 7, :45 AM PST Mission controllers for NASA's Mars Polar Lander acknowledge that they hold out very little hope of communicating with the spacecraft, but they vow to learn from the experience and continue exploring the Red Planet. December 10, 1999 Review boards will be set up within JPL and at NASA to study the cause of the apparent loss and explore ways to prevent a recurrence January 17, 2000 The Mars Polar Lander flight team has ended all attempts to regain communications with the spacecraft March 28, 2000 Mars review reports are now available z.B.

12 Projektverlust: $110 million for spacecraft development, $10 million mission operations; total $120 million (not includding launch vehicle or Deep Space 2 microprobes) Schlimmer noch: A CDROM with over 932,000 names was carried on the lander

13 Was war passiert? Analyse der möglichen Fehlerursachen
Loss of control due to center-of-mass offset Heatshield fails due to micrometeoroid impact Loss of control due to dynamic effects Backshell/parachute contacts lander Premature shutdown of descent engines Landing site not survivable Surface conditions exceed landing design capabilities Bewertung durch Simulation und Berechnung der Eintretenswahrscheinlichkeit Da keine Flugdaten aufgezeichnet wurden, existiert kein ultimativer Beweis

14

15

16 Fehleranalyse

17 wahrscheinlichste Ursache

18 Data Variables Used: IndicatorHealth=(GOOD, FAILED) IndicatorState=(TRUE, FALSE) EventEnabled=(ENABLED, DISABLED) TouchdownMonitor=(STARTED, NOT-STARTED) Addidional Data Variables Used: LastTouchdownIndicator=(TRUE, FALSE) CurrentTouchdownIndicator=(TRUE, FALSE)

19

20 Command Call Sequence:
TDM_Start // Initialise every 100 ms: TDM_Execute when height < 1500m deploy legs; TDM_Enable // checks health, enables shutdown

21 Ausfallursache Wahrscheinlichste Ausfallursache: Absturz
Magnetsensoren in Landegestell zur Abschaltung der Landetriebwerke bei Bodenkontakt ein Sensor pro Bein, Abschaltung beim ersten Kontakt Beine werden in 1500m Höhe ausgefahren Sensoren geben manchmal bereits beim Ausfahren der Beine ein Signal 10 ms sampling Zeit (100 Hz) Signal wird um Rauschen korrigiert (nur gültig wenn es mehrere Zyklen andauert) kommt mit hoher Wahrscheinlichkeit vor (5-33 ms im Test) Software beachtet dieses Signal als gültiges Anzeichen der Landung schaltet Bremstriebwerke 40 m über dem Boden ab Aufprall mit 22 m/s (80 km/h) auf die Marsoberfläche

22 ein Patch Für Programmierer

23 Demo

24 Hintergründe zunächst ein reines Programmier-Problem
falsche Variablenbelegung Komplizierte Parallelausführung mit gemeinsamem Speicher Ursache wurde quasi „zufällig“ beim Test der Software für die nächste Mission gefunden Tester drückt Knopf um Sensorausfall in großer Höhe zu simulieren; wundert sich dass trotz Loslassen des Knopfes die Triebwerke abgeschaltet werden Missachtung einer informell spezifizierten Anforderung Probleme mit der Übertragung von Systemanforderungen in Softwareanforderungen weitergehende Probleme  Software-Verifikation!

25 Übrigens: Das Wrack wurde im Mai 2005 gesichtet und identifiziert!
(Identifikation einzelner Pixel in 150 Megapixel Bild) Weitere hochauflösende Aufnahmen (0.5m/Pixel) um den Fall endgültig zu klären

Herunterladen ppt "Software-Verifikation 1 Deduktive Verifikation"

Ähnliche Präsentationen

Ich habe nie gelernt, Aufgaben zu lösen

Ich habe nie gelernt, Aufgaben zu lösen
Telling Time in German Deutsch 1 Part 1 Time in German There are two ways to tell time in German. There are two ways to tell time in German. Standard.

Telling Time in German Deutsch 1 Part 1 Time in German There are two ways to tell time in German. There are two ways to tell time in German. Standard.
Prof. Dr. Holger Schlingloff

Prof. Dr. Holger Schlingloff
20.10.2011 Software Verification 1 Deductive Verification Prof. Dr. Holger Schlingloff Institut für Informatik der Humboldt Universität und Fraunhofer.

Software Verification 1 Deductive Verification Prof. Dr. Holger Schlingloff Institut für Informatik der Humboldt Universität und Fraunhofer.
Eingebettete Systeme Qualität und Produktivität

Eingebettete Systeme Qualität und Produktivität
Zeit, Tempus und Aspekt im Englischen Loose Ends.

Zeit, Tempus und Aspekt im Englischen Loose Ends.
Ich bau eine Stadt für dich “I am building a city for you”

Ich bau eine Stadt für dich “I am building a city for you”
Don`t make me think! A Common Sense Approach to Web Usability

Don`t make me think! A Common Sense Approach to Web Usability
Beinah “almost” Clueso

Beinah “almost” Clueso
The Male Perspective! Ever got sick of those luvy-duvy emails that women seem to love to proliferate? Die Perspektive des Mannes! Schon mal genug gehabt.

The Male Perspective! Ever got sick of those luvy-duvy s that women seem to love to proliferate? Die Perspektive des Mannes! Schon mal genug gehabt.
Wortschatz angenehm comfortable anstrengend tiring ausgezeichnet outstanding bequem comfortable berühmt famous besser better blöd stupid einfach easy fantastisch.

Wortschatz angenehm comfortable anstrengend tiring ausgezeichnet outstanding bequem comfortable berühmt famous besser better blöd stupid einfach easy fantastisch.
You need to use your mouse to see this presentation © Heidi Behrens.

You need to use your mouse to see this presentation © Heidi Behrens.
Wortschatz der Schulhof the playground die Aula the hall

Wortschatz der Schulhof the playground die Aula the hall
Little Prayer Ein kleines Gebet Autor unbekannt.

Little Prayer Ein kleines Gebet Autor unbekannt.
“wish” “as if” “if only it were so”

“wish” “as if” “if only it were so”
The most obvious or direct use of auch is to mean also. Ich möchte auch Gitarre lernen. Auch ich möchte Gitarre lernen. I would like to learn Guitar. Someone.

The most obvious or direct use of auch is to mean also. Ich möchte auch Gitarre lernen. Auch ich möchte Gitarre lernen. I would like to learn Guitar. Someone.
Comenius Projekt Liceo F.Petrarca Trieste a.s. 2011/12 M. Lamba, V. Munaò, A. Pascazio.

Comenius Projekt Liceo F.Petrarca Trieste a.s. 2011/12 M. Lamba, V. Munaò, A. Pascazio.
Deutsch Zwei 6.2.2013 7.2.2013.

Deutsch Zwei
1 von 7 ViS:AT BMUKK, IT – Systeme für Unterrichtszwecke 05/11 EZ, CR Social Networks – Soziale Netzwerke Virtuelle Science Cafes & Diskussionsforen für.

1 von 7 ViS:AT BMUKK, IT – Systeme für Unterrichtszwecke 05/11 EZ, CR Social Networks – Soziale Netzwerke Virtuelle Science Cafes & Diskussionsforen für.
Who is this Dirty Dusty? With those fickle 2-way prepositions… Deutsch 1 Herr Reierstad 5. Februar 2014.

Who is this Dirty Dusty? With those fickle 2-way prepositions… Deutsch 1 Herr Reierstad 5. Februar 2014.

Ähnliche Präsentationen

Google-Anzeigen