CN101013452A - 一种符号化的模型检测方法 - Google Patents

Abstract

一种符号化的模型检测方法是一种使模型检测实用化的方法，主要原理是利用量化布尔公式可满足性判定代替CTL的模型检测。其方法为：1.)提取待验证系统的状态机模型M及待验证属性的计算树时态逻辑描述；2.)以边界k为形式参数，描述属性f的k界语义；3.)以边界k为形式参数，将属性f的k界语义转换为量化布尔公式[M，f]_k：4.)递增的判定系统M是否满足可靠属性f：该方法综合了基于二叉判定图的符号化模型检测方法和基于命题公式可满足性判定的有界模型检测方法的优点，同时又克服了他们的缺点，即不依赖于布尔变量的排序，也不依赖于验证的属性为全称属性。

Description

一种符号化的模型检测方法

技术领域

本发明是一种符号化技术应用于硬件可靠性验证的解决方案，主要用于解决大规模集成电路的可靠性问题，属于集成电路、可靠系统的交叉技术领域。

背景技术

随着计算机软硬件系统日益复杂，如何保证其正确性和可靠性已经成为日益紧迫的问题。对于并发系统，由于其内在的非确定性，这个问题难度更大。在过去的几十年间，各国研究人员为解决这个问题付出了巨大的努力，取得了重要的进展。在为此提出的诸多理论和方法中，模型检测以其简洁明了和自动化程度高而引人注目。

模型检测的研究始于上世纪八十年代初，当时Clarke、Emerson等人提出了用于描述并发系统性质的计算树时态逻辑CTL，设计了检测有穷状态系统是否满足给定CTL公式的算法，并实现了一个原型系统。这一工作为对并发系统的性质的自动化验证开辟了一条新的路径，成为近二十五年来计算机科学基础研究的一个热点。随后不久出现的符号模型检测技术使这一方法向实际应用性迈出了关键的一步。模型检测已被应用于计算机硬件、通信协议、控制系统、安全认证协议等方面的分析与验证中，取得了令人瞩目的成功，并从学术界辐射到了产业界。许多公司，如Intel、HP、Phillips等成立了专门的小组负责将模型检测技术应用于生产过程中。

模型检测的基本思想是用状态转换系统M表示系统的行为，用时态逻辑公式φ描述系统的性质。这样“系统是否具有所期望的性质”就转化为数学问题“状态转换系统M是否是公式φ的一个模型？”，用公式表示为M|＝φ？。对有穷状态系统，这个问题是可判定的，即可以用计算机程序在有限时间内自动验证。

模型检测基于对系统状态空间的穷举搜索。对于并发系统，其状态的数目往往随着并发分量的增加呈指数增长，因此当一个系统的并发分量较多时，直接对其状态空间进行搜索在实际上是不可行的。这就是所谓的状态空间爆炸问题。状态空间爆炸问题是有效应用模型检测方法的主要困难所在，为此研究人员提出了两种主要的方法来克服状态空间爆炸问题：基于二叉判定图的符号化模型检测方法和基于命题公式可满足性判定的有界模型检测方法。但是每一种方法都有其特有的使用场景，到目前为止还不存在一个通用的方法。

基于二叉判定图的符号化模型检测方法及其缺陷

所谓基于二叉判定图的符号化模型检测方法就是用二叉判定图表示状态转换关系和计算树时态逻辑CTL公式，且模型检测中的所有运算都通过二叉判定图的操作实现。目前，该方法已经能够验证10²⁰个状态的电路，使得模型检测方法进一步实用化，进而推动了模型检测方法在工业界的应用。

但是，该方法验证的具有10²⁰个状态的系统只是个例，并不是所有的相同级数的系统都能够验证。这是因为：

在最坏的情况下，二叉判定图的大小会随着变量数的增加呈指数级增长，例如组合乘法。

二叉判定图的大小依赖于变量的顺序，寻找较优的变量序的时间复杂性相当高，甚至有的布尔函数不存在优的变量序。

因此，基于二叉判定图的符号化模型检测方法的通用性还是比较有限的。

基于命题公式可满足性判定的有界模型检测方法及其缺陷

所谓基于命题公式可满足性判定的有界模型检测方法就是在系统的有限运行空间上检测全称属性的失效性，并把属性的失效归约到命题公式的可满足性判定上。基于Davis-Putnam算法的命题公式可满足性判定过程中不存在基于二叉判定图的方法中状态空间快速增长的问题。且命题公式可满足性判定工具可以处理具有几千个变量的公式。这两点保证了有界模型检测方法的有效性。

虽然，基于命题公式可满足性判定的有界模型检测方法在集成电路、软件的可靠性的验证上获得了成功的运用。但是其通用性仍然比较有限，因为其有两个主要的缺点：

1.只能验证全称属性，对既包含全称算子又包含存在算子的属性，该方法无能为力。

2.该方法是通过寻找使属性失效的反例来达到说明属性不成立的目的，因此，实际上该方法是一种证伪的方法。

                          发明内容

技术问题：本发明的目的是解决模型检测大规模集成电路中的状态空间爆炸问题。设计一种基于量化布尔公式的符号化模型检测方法，利用量化布尔公式可满足性判定过程中空间需求的线性增长，确保系统的高可靠性。

技术方案：本发明的方法既具有基于二叉判定图的符号化模型检测方法和基于命题公式可满足性判定的有界模型检测方法的优点，同时又克服了他们的缺点。

一、体系结构

我们方法的基本原理是在系统的有限运行空间上检测CTL属性的有效性，并把属性的有效性归约到量化布尔公式可满足性判定上。因此，本发明方法包括：可靠性的CTL描述、分支时态逻辑CTL有界语义的刻画、CTL有界语义到量化布尔公式的转换，利用量化布尔公式的可满足性判定属性的有效性等四个模块。

1.可靠性的CTL描述

分支时态逻辑CTL已经广泛的用于描述集成电路、软件系统的可靠性，特别是安全性和活性。我们的发明方法能够验证任何用CTL描述的可靠性。

2.CTL的有界语义

CTL的无界语义依赖于系统的无穷运行。但是，在很多情况下系统在一定深度上的运行折射了无穷运行，因此在系统的有穷运行空间上刻画CTL的语义是非常合理的。CTL的有界语义刻画模块功能包括：

①在非循环路径上刻画AX、EX、AF、EF、AU、EU算子的有界语义；

②在循环路径上刻画AG、EG、AR、ER算子的有界语义，并确保必需状态空间的可达性。

3.转换

转换模块实现了CTL的有界语义到量化布尔公式的转换，具体功能包括：

①实现算子AX、EX、AF、EF、AU、EU、AG、EG、AR、ER的有界语义到量化布尔公式的转换；

②在①的基础上递归完成CTL的有界语义到量化布尔公式的转换。

4.判定属性是否成立

该模块的主要功能是以Davis-Putnam搜索算法为基础，判定量化布尔公式的可满足性，同时依据满足性判定的结果判定属性的有效性。

二、检测方法

1.)提取待验证系统的状态机模型M及待验证属性的计算树时态逻辑描述f：对于待验证的系统，从电路的顶级描述抽象出电路的运行行为，并以有限的抽象状态机M表示该行为；对于待验证的可靠属性，利用形式化的描述语言-计算树时态逻辑CTL描述该属性；

2.)以边界k为形式参数，描述属性f的k界语义：设M为待验证系统的有限状态机描述，以k为形式参数，描述待验证属性f的k界语义，k界语义表示为M|＝_kf；可靠属性f由十个时态算子：AX、EX、AF、EF、AU、EU、AG、EG、AR、ER和原子命题构成，首先描述十个时态算子的k界语义和原子命题的k界语义，然后按照时态算子的嵌套关系，由外向里递归的完成f的k界语义的描述；

3.)以边界k为形式参数，将属性f的k界语义转换为量化布尔公式[M，f]_k：首先完成十个时态算子：AX、EX、AF、EF、AU、EU、AG、EG、AR、ER和原子命题的有界语义到量化布尔公式的转换，然后按照时态算子的嵌套关系，由外向里递归的完成待验证属性的k界语义到量化布尔公式的转换；

4.)递增的判定系统M是否满足可靠属性f：

①从边界1开始，利用Davis-Putnam算法判定量化布尔公式[M，f]₁的可满足性；如果[M，f]₁是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加1；

②利用Davis-Putnam算法判定量化布尔公式[M，f]₂的可满足性；如果[M，f]₂是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加1；

③按照步骤①②所述方法一直继续下去；设当前边界为k，如果k大于系统M的状态数目，则待验证系统M不满足待验证的可靠属性f，否则利用Dayis-Putnam算法判定量化布尔公式[M，f]_k的可满足性；如果[M，f]_k是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加为k+1，按照③继续。

有益效果：我们发明的方法验证的属性是CTL，该属性既包含全称算子，又包含存在算子，是使用得比较广泛的一种集成电路可靠性形式化描述方式。和基于命题公式可满足性判定的有界模型检测方法相比，可验证的可靠性更加广泛全面。我们采用的验证算法是将CTL的有效性转换成相应的量化布尔公式的可满足性判定。基于Davis-Putnam的量化布尔公式可满足性判定算法在判定满足性的过程中不会出现空间的快速增长，且存在的量化布尔公式可满足性判定工具能够处理具有上千个变量的公式。这两点保证了我们的方法能够有效的克服模型检测过程中的状态空间爆炸问题。和基于二叉判定图的符号化模型检测方法相比，我们的方法不需要考虑变量的排序问题。

附图说明

图1是本发明方法的实施结构。

具体实施方式

下面根据附图1和实施例对本发明作更详细的描述。根据图1，本发明是一种克服模型检测过程中状态空间爆炸的符号化方法，从CTL有界语义的定义，量化布尔公式的建立，以及量化布尔公式的可满足性判定，整个过程都没有状态空间快速增长的问题。

一、提取待验证系统的状态机模型及待验证属性的计算树时态逻辑对于待验证的集成电路，从电路的顶级描述(可以形式化的，也可以是非形式化的)抽象出电路的基于状态的运行行为，并以有限的抽象状态机表示该行为。对于待验证的可靠属性，利用形式化的描述语言-计算树时态逻辑CTL描述该属性。

二、以边界为形式参数，描述属性的有界语义

设符号k为一个正整数，符号f为一可靠属性的计算树时态逻辑CTL描述，M为待验证电路的有限状态机描述。以k为形式参数，描述待验证属性f的k界语义，k界语义表示为M|＝_kf。可靠属性f至多由十个时态算子：AX、EX、AF、EF、AU、EU、AG、EG、AR、ER和原子命题构成。首先描述十个时态算子的k界语义和原子命题的k界语义，然后按照时态算子的嵌套关系，由外向里递归的完成f的k界语义的描述。

三、以边界为形式参数，将属性的有界语义转换为量化布尔公式

首先完成十个时态算子：AX、EX、AF、EF、AU、EU、AG、EG、AR、ER和原子命题的有界语义到量化布尔公式的转换。然后按照时态算子的嵌套关系，由外向里递归的完成待验证属性的有界语义到量化布尔公式的转换。

四、验证待验证系统M是否满足待验证的可靠属性f

①从边界1开始，利用Davis-Putnam算法判定量化布尔公式[M，f]₁的可满足性。如果[M，f]₁是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加1。

②利用Davis-Putnam算法判定量化布尔公式[M，f]₂的可满足性。如果[M，f]₂是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加1。

③按照①②所述方法一直继续下去。设当前边界为k，如果k大于系统M的状态数目，则待验证系统M不满足待验证的可靠属性f，否则利用Davis-Putnam算法判定量化布尔公式[M，f]_k的可满足性。如果[M，f]_k是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加为k+1，按照③继续。

验证实例

目前我们发明的验证方法已经用在JTAG调试器TapScope和由5个定时器组成的信号转换器的可靠性验证上。下面以他们为例，来详细说明我们的发明方法。

一、验证的实例之一：JTAG调试分析仪TapScope的可靠性验证

TapScope是一款用于调试边界扫描链路的调试分析工具，可以用来调试任意长度的由符合IEEE1149.1边界扫描标准的器件所构成的边界扫描链，也可以做为一种学习工具，帮助学生迅速理解和掌握边界扫描技术。

1.TapScope的结构及TAP控制器

TapSope调试分析仪包括硬件电路板模块和运行在PC机上的软件模块。硬件电路板模块主要包括三个部分，分别是：输入信号的电平转换模块，PCI总线接口模块和实现核心功能的FPGA模块。整个硬件电路模块的主要功能是实时采集JTAG信号，产生TAP状态，记录指令、数据信息，并通过PCI总线传送给电脑主机。软件模块的作用是显示硬件采集记录的信息。

边界扫描器件内部有一个TAP控制器，它是一个有16个状态的有限状态机，所有对边界扫描电路的操作，都必须在TAP控制器进入相应状态才能进行。TAP中的每个状态都有明确的定义，不论当前状态如何，在TMS保持5个TCK时钟为高后，TAP控制器都会回到复位状态，使测试电路不影响器件本身的工作。

2.TAP可靠性的验证

1)验证的属性

验证的属性：不论当前状态如何，在TMS保持5个TCK时钟为高后，TAP控制器都会回到复位状态，使测试电路不影响器件本身的工作。

属性的计算树时态逻辑CTL描述(s₀表示复位状态)：φ＝AG(s₀∨EXs₀∨EXEXs₀∨EXEXEXs₀∨EXEXEXEXs₀∨EXEXEXEXEXs₀)。

2)φ的有界语义

φ在k步可达空间中有效当且仅当：

①如果状态s是从初始状态k步内可达，那么s的任意后继均是从初始状态k步内可达；

②如果状态s是从初始状态k步内可达，那么状态s₀是从s5步内可达的。

3)量化布尔公式的建立

①TAP控制器中共有16状态，定义布尔变量：

s₀，s₁，s₂，s₃，s₄，s₅，s₆，s₇，s₈，s₉，s₁₀，s₁₁，s₁₂，s₁₃，s₁₄，s₁₅分别和每一个状态相对应，其中s₀表示复位状态。对每个0≤i≤15，s_i为真表示系统当前处于和s_i相对应的状态。

②状态转换关系的布尔表示

定义：R₀：＝(s₀→s₁)∨(s₀→s₀)；

R₁：＝(s₁→s₁)∨(s₁→s₂)；

R₂：＝(s₂→s₃)∨(s₂→s₄)；

R₃：＝(s₃→s₀)∨(s₃→s₅)；

R₄：＝(s₄→s₆)∨(s₄→s₈)；

R₅：＝(s₅→s₇)∨(s₅→s₉)；

R₆：＝(s₆→6_s)∨(s₆→s₈)；

R₇：＝(s₇→s₇)∨(s₇→s₉)；

R₈：＝(s₈→s₁₀)∨(s₈→s₁₄)；

R₉：＝(s₉→s₁₁)∨(s₉→s₁₅)；

R₁₀：＝(s₁₀→s₁₀)∨(s₁₀→s₁₂)；

R₁₁：＝(s₁₁→s₁₁)∨(s₁₁→s₁₃)；

R₁₂：＝(s₁₂→s₁₂)∨(s₁₂→s₁₄)；

R₁₃：＝(s₁₃→s₇)∨(s₁₃→s₁₅)；

R₁₄：＝(s₁₄→s₁)∨(s₁₄→s₂)

R₁₅：＝(s₁₅→s₁)∨(s₁₅→s₂)

整个电路的状态转换关系可以描述为：

R＝R₀∨R₁∨R₂∨R₃∨R₄∨R₅∨R₆∨R₇∨R₈∨R₉∨R₁₀∨R₁₁∨R₁₂∨R₁₃∨R₁₄∨R₁₅

③量化布尔公式的计算

对于自然数k，i，我们定义下面的记号：

$\∀S_k^i:=\∀s_0^i\∀s_1^i...\∀s_k^i$ 表示对任意的s₀ ⁱ，s₁ ⁱ，...，s_k ⁱ；

$\∃S_k^i:=\∃s_0^i\∃s_1^i...\∃s_k^i$ 表示存在s₀ ⁱ，s₁ ⁱ，...，s_k ⁱ；

${\mathrm{Path}}_k^i:=R(s_0^i,s_1^i)\mathrm{\Λ}R(s_1^i,s_2^i)\mathrm{\Λ}...\mathrm{\ΛR}(s_{k-1}^i,s_k^i)$ (Path_k ⁱ为真当且仅当s₀ ⁱ，s₁ ⁱ，...，s_k ⁱ为一条长度为k的运行路径)；

H(s，s′)：＝(s＝s′)(H(s，s′)为真当且仅当s，s′相等)；

s∈Path_k ⁱ当且仅当j∈{0，...，k}(H(s，s_j ⁱ))。

在上述符号的基础计算量化布尔公式：

${[M,\mathrm{\φ}]}_k=\∀S_k^0(\left(H(s_0,s_0^0)\mathrm{\Λ}{\mathrm{Path}}_k^0\right)\→(\∀0\≤i\≤5(\∃S_k^{i+1}({\mathrm{Path}}_5^{i+1}\mathrm{\Λ}$

$H(s_0^{i+1},s_i^0)\mathrm{\Λ}{s}_0\∈{\mathrm{Path}}_5^{i+1}\left)\right)\mathrm{\Λ}(R(s_k^0,s_{k+1}^0)\→\∃S_k^{k+2}({\mathrm{Path}}_k^{k+2}\mathrm{\Λ}{s}_{k+1}^0\∈{\mathrm{Path}}_k^{k+2})\left)\right)$

4)判定可靠属性φ是否成立

①[M，φ]₁不可满足，且边界1不大于系统状态数16；

②[M，φ]₂不可满足，且边界2不大于系统状态数16；

③[M，φ]₃不可满足，且边界3不大于系统状态数16；

④[M，φ]₄不可满足，且边界4不大于系统状态数16；

⑤[M，φ]₅不可满足，且边界5不大于系统状态数16；

⑥[M，φ]₆不可满足，且边界6不大于系统状态数16；

⑦[M，φ]₇不可满足，且边界7不大于系统状态数16；

⑧[M，φ]₈不可满足，且边界8不大于系统状态数16；

⑨[M，φ]₉可满足，且边界9不大于系统状态数16；

判定结果：[M，φ]₁，...，[M，φ]₈不可满足，[M，φ]₉可满足，因此属性φ成立，即任何状态都可以在5步以内复位到初始状态。

二、验证的实例之二：5个定时器控制的信号转换器的可靠性验证

1.可靠性验证

1)验证的属性

验证的属性：任何状态均可以到达初始状态，即任何状态都可以复位到初始状态。

属性的计算树时态逻辑CTL描述：φ＝AGEF(STATE0)(STATE0表示初始状态)。

2)有界语义

φ在k步可达空间中有效当且仅当：

①如果状态s从初始状态STATE0k步内可达，那么s的任意后继均是从初始状态STATE0k步内可达；

②如果状态s是从初始状态STATE0k步内可达，那么状态STATE0是从sk步内可达的。

3)量化布尔公式的建立

①定义布尔变量：

信号转换器中共有十个状态，定义：STATE0，STATE1，STATE2，STATE3，STATE4，STATE5，STATE6，STATE7，STATE8，STATE9为布尔变量分别和每一个状态相对应，其中STATE0表示复位状态。对每个0≤i≤9，STATEi为真表示系统当前处于和STATEi相对应的状态。

②状态转换关系的布尔表示

定义：R₀：＝(STATE0→STATE1)

R₁：＝(STATE1→STATE2)

R₂：＝(STATE2→STATE2)∨(STATE2→STATE3)∨(STATE2→STATE5)

R₃：＝(STATE3→STATE3)∨(STATE3→STATE4)

R₄：＝(STATE4→STATE4)∨(STATE4→STATE5)

R₅：＝(STATE5→STATE5)∨(STATE5→STATE6)

R₆：＝(STATE6→STATE7)∨(STATE6→STATE8)

R₇：＝(STATE7→STATE7)∨(STATE7→STATE0)

R₈：＝(STATE8→STATE8)∨(STATE8→STATE9)

R₉：＝(STATE9→STATE9)∨(STATE9→STATE0)

整个电路的状态转换关系可以描述为：

R＝R₀∨R₁∨R₂∨R₃∨R₄∨R₅∨R₆∨R₇∨R₈∨R₉

③量化布尔公式的计算

对于自然数k，i，我们定义下面的记号：

$\∀S_k^i:=\∀s_0^i\∀s_1^i...\∀s_k^i$ 表示对任意的s₀ ⁱ，s₁ ⁱ，...，s_k ⁱ；

$\∃S_k^i:=\∃s_0^i\∃s_1^i...\∃s_k^i$ 表示存在s₀ ⁱ，s₁ ⁱ，...，s_k ⁱ；

${\mathrm{Path}}_k^i:=R(s_0^i,s_1^i)\mathrm{\ΛR}(s_1^i,s_2^i)\mathrm{\Λ}...\mathrm{\ΛR}(s_{k-1}^i,s_k^i)$ (Path_k ⁱ为真当且仅当s₀ ⁱ，s₁ ⁱ，...，s_k ⁱ为一条长度为k的运行路径)；

H(s，s′)：＝(s＝s′)(H(s，s′)为真当且仅当s，s′相等)；

s∈Path_k ⁱ当且仅当j∈{0，...，k}(H(s，s_j ⁱ))

在上述符号的基础计算量化布尔公式计算[M，φ]_k：

${[M,\mathrm{\φ}]}_k=\∀S_k^0\left(\left(H\right(\mathrm{STATE}0,s_0^0)\mathrm{\Λ}{\mathrm{Path}}_k^0\right)\→$

$(\∀0\≤i\≤k(\∃S_k^{i+1}({\mathrm{Path}}_k^{i+1}\mathrm{\ΛH}(s_0^{i+1},s_i^0)\mathrm{\ΛSTATE}0\∈{\mathrm{Path}}_k^{i+1}))\mathrm{\Λ}$

$(R(s_k^0,s_{k+1}^0)\→\∃S_k^{k+2}({\mathrm{Path}}_k^{k+2}\mathrm{\Λ}{s}_{k+1}^0\∈{\mathrm{Path}}_k^{k+2})))$

4)判定可靠属性φ是否成立

①[M，φ]₁不可满足，且边界1不大于系统状态数10；

②[M，φ]₂不可满足，且边界2不大于系统状态数10；

③[M，φ]₃不可满足，且边界3不大于系统状态数10；

④[M，φ]₄不可满足，且边界4不大于系统状态数10；

⑤[M，φ]₅不可满足，且边界5不大于系统状态数10；

⑥[M，φ]₆可满足，且边界6不大于系统状态数10；

判定结果：[M，φ]₁，...，[M，φ]₅不可满足，[M，φ]₆可满足，所以属性φ成立。

Claims (1)

1.一种符号化的模型检测方法，其特征在于该检测方法为：

1.)提取待验证系统的状态机模型M及待验证属性的计算树时态逻辑描述f：对于待验证的系统，从电路的顶级描述抽象出电路的运行行为，并以有限的抽象状态机M表示该行为；对于待验证的可靠属性，利用形式化的描述语言-计算树时态逻辑CTL描述该属性；

2.)以边界k为形式参数，描述属性f的k界语义：设M为待验证系统的有限状态机描述，以k为形式参数，描述待验证属性f的k界语义，k界语义表示为M|＝_kf；可靠属性f由十个时态算子：AX、EX、AF、EF、AU、EU、AG、EG、AR、ER和原子命题构成，首先描述十个时态算子的k界语义和原子命题的k界语义，然后按照时态算子的嵌套关系，由外向里递归的完成f的k界语义的描述；

3.)以边界k为形式参数，将属性f的k界语义转换为量化布尔公式[M，f]_k：首先完成十个时态算子：AX、EX、AF、EF、AU、EU、AG、EG、AR、ER和原子命题的有界语义到量化布尔公式的转换，然后按照时态算子的嵌套关系，由外向里递归的完成待验证属性的k界语义到量化布尔公式的转换；

4.)递增的判定系统M是否满足可靠属性f：

①从边界1开始，利用Davis-Putnam算法判定量化布尔公式[M，f]₁的可满足性；如果[M，f]₁是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加1；

②利用Davis-Putnam算法判定量化布尔公式[M，f]₂的可满足性；如果[M，f]₂是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加1；

③按照步骤①②所述方法一直继续下去；设当前边界为k，如果k大于系统M的状态数目，则待验证系统M不满足待验证的可靠属性f，否则利用Davis-Putnam算法判定量化布尔公式[M，f]_k的可满足性；如果[M，f]_k是可满足的，则待验证系统M满足待验证的可靠属性f，否则将边界增加为k+1，按照步骤③继续。

Images