Modellbasierte Software- Entwicklung eingebetteter Systeme Prof. Dr. Holger Schlingloff Institut für Informatik der Humboldt Universität und Fraunhofer Institut für offene Kommunikationssysteme FOKUS

Folie 2 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Gibt’s hier etwa Fragen? Was versteht man unter Modellprüfung (Model Checking)? Modellierung von Echtzeit mit UML Zustandsmaschinen? Timed Automata? Semantik? Erweiterte Syntax?

Folie 3 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme

Folie 4 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Verifikation In wie weit sind zeitbeschriftete Automaten analysierbar? Kann man entscheiden ob ein bestimmter Zustand erreichbar ist? Excerpted from

Folie 5 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Idee: Äquivalenzklassenbildung Partitionierung des unendlichen Zustandsraumes in endlich viele „Regionen“ alle Zustände einer Region weisen „ähnliches“ Verhalten auf

Folie 6 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Quotienten Def. Quotientenautomat bezüglich einer Partitionierung der Zustandsmenge  Abstraktion von gewissen Variablen (kleinerer Wertebereich oder ganz weglassen)  Zustände im Quotientenautomat sind Äquivalenzklassen von Zuständen im ursprünglichen  Vergröberung der Verhaltensbeschreibung: Menge aller möglichen Abläufe (akzeptierter Wortschatz) wird größer  Gesucht: Abstraktion die die Sprache nicht vergrößert Bei Zeitautomaten  Abstraktion der Uhrenvariablen?  Reduktion des Wertebereichs der Uhren?

Folie 7 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Sprachschatz für Zeitautomaten Wdh.: Jeder Pfad durch das Transitionssystem ist ein Ablauf des Automaten  Def.: Pfad = ((l 0, v 0 ) –c 0 –>(l 1, v 1 ) –c 1 –>(l 2, v 2 ) –c 2 –>…); l ist Ort, v ist Uhrenbelegung, c Ereignis oder Dauer  Bei Zeitschritten v i+1 =v i +t, bei Kontrollschritten v i+1 =v i [r:=0]  Ist diese Granularität erforderlich? z.B. (l 0 –c 0 –>l 1 –c 1 –>l 2 –c 2 –>l 3 …) ausreichend? oder (c 0 ––>c 1 ––>c 2 ––>c 3 ––>…) ? oder überhaupt nur (e 0 e 1 e 2 e 3 …) ?

Folie 8 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Sprachschatz für Zeitautomaten Def. Sprache eines Automaten  zeitlos: Menge aller (endlichen oder unendlichen) Wörter (ohne Berücksichtigung Uhren)  zeitabhängig: Menge von Folgen (e 0 –d 0 –>e 1 –d 1 –>e 2 –d 2 –>e 3 …)  Sprache des uhrlosen Automaten enthält zeitlose Sprache Def. Äquivalenz von Automaten  erzeugte Sprachen sind gleich  zwei verschiedene Äquivalenzbegriffe  zeitabhängig äquivalente Automaten sind auch zeitlos äquivalent Bsp. zeitlos äquivalent, aber nicht zeitabhängig äquivalent ab a x:=0 x>10 b

Folie 9 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Regionen und Zonen endliche Partitionierung des Zustandsraumes Definition Regionenäquivalenz: Sei c max die größte im Automaten vorkommende Konstante. v  R u gdw der integrale Teil aller Uhrenbelegungen ist gleich bzw. beidesmal >c max. der fraktionale Teil ist beidesmal =0 oder beidesmal >0 falls x<c max und y<c max, dann beidesmal x  y oder beidesmal y  x x y Eine Region (Äquivalenzklasse)

Folie 10 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Zonen endliche Mengen von Ungleichungen alle möglichen Beziehungen zwischen allen Uhrenvariablen Es reicht, sich auf Linearkombinationen von Variablen (c=k 1 *c 1 +…+k n *c n ) zu beschränken Definition: w  Z w’ gdw w und w’ erfüllen die selben Bedingungen der Form x i < c, x i = c, x i – x j < c, x i –x j =c wobei c  c max

Folie 11 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Endlichkeit des Zustandsraumes Die Relationen  haben einen endlichen Index  d.h. es gibt nur endlich viele erreichbare Regionen / Zonen  d.h. der Regionen/Zonengraph ist endlich Beweisidee (Regionen)  folgt aus der Definition von  R : endlich viele integrale Teile  c max und endlich viele Vergleiche der fraktionalen Teile Beweisidee (Zonen)  bei endlich vielen rationalen Zahlen gibt es nur endlich viele Linearkombinationen (Summierungsmöglichkeiten), die kleiner als eine vorgegebene Schranke sind  im Automaten werden nur endlich viele Konstante erwähnt  daher gibt es nur endlich viele unterschiedlich erfüllte Bedingungen der angegebenen Art

Folie 12 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Konstruktion des Regionengraphen Der Regionengraph als (endlicher) Automat ist zeitlos äquivalent zum ursprünglichen Zeitautomaten erfüllt die selben Sicherheitseigenschaften x y Successor regions, Succ(r) r Reset region r[y:=0] r[x:=0]

Folie 13 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme Beispiel |Regionen| = |Orte| * |Konstante| * |Uhren|! i.A. exponentiell in der Anzahl der Uhren und Konstanten (PSPACE-vollständig)

Folie 14 H. Schlingloff, SS2014 – modellbasierte Software-Entwicklung eingebetteter Systeme UppAal, Kronos, Rabbit… Tools zur Konstruktion des Regionengraphen  animierte Simulation  temporale Verifikation unterschiedliche interne Repräsentation  Mengen von Ungleichungen  BDDs  Differenzmatrizen, difference bound matrices