CN102663190B - Pptl符号模型检测方法 - Google Patents

Abstract

本发明是一种PPTL符号模型检测方法，属可信计算领域，本发明使用具有完全正则表达能力的规范语言PPTL描述待验证系统期望性质；使用Kripke结构M＝(S，R，L)描述系统模型，借助ROBDD对符号化系统模型M进行搜索，通过构建标记正则图检查期望性质公式是否可满足，节省后续操作时间，提高检测效率。本发明仅需基于时序操作符“○”的检测过程，降低了检测复杂度。本发明提升了模型检测可处理问题的规模，有效缓解状态空间爆炸问题，同时具有描述状态敏感、顺序和闭包性质的能力，可以应用于工业、农业、军事、科研等领域硬件系统设计缺陷的检测，软件系统控制逻辑错误的检查以及通信协议正确性的形式化验证。

Description

PPTL符号模型检测方法

技术领域

本发明属于可信计算领域，主要涉及系统形式化建模与验证技术领域，尤其涉及命题投影时序逻辑(PPTL)和符号模型检测方法(SMC)，具体是一种PPTL符号模型检测方法。可应用于工业、农业、军事、科研等领域硬件系统设计缺陷的检测，软件系统控制逻辑错误的检查以及通信协议正确性的形式化验证。

技术背景

近几年来，随着各种计算机应用软件，硬件电路、嵌入式系统和网络通信协议等在工业、农业、军事、科研等领域的广泛应用，这些系统及协议的复杂度日益增加俱增，对于可靠性的需求不断提高。形式化验证技术的发展和不断成熟使得我们可以利用计算机来解决上述问题。形式化验证技术起源于20世纪60年代的软件危机。当前，较为流行的形式化验证方法分为三类，分别是定理证明、等价性验证和模型检测。定理证明可以应用于有穷和无穷系统的验证，但是其自动化程度不高，证明过程耗时且容易出错，并且不能在证明失败时给出反例；等价性验证技术可用于验证不同抽象层次系统模型的等价性，但是它只能发现设计中的错误，不能发现其中的缺陷；模型检测技术是一种自动化的形式化验证方法，它通过穷举搜索状态空间的方式决定待验证系统模型是否满足期望的性质，并且在不满足期望性质时给出反例。

在模型检测中，通常将验证系统期望的性质用时序逻辑(TL)公式描述，将待验证系统建模为有限状态机，如Kripke结构、迁移系统或者自动机。然后，遍历待验证系统模型的状态空间以检查待验证系统是否满足期望性质，并在期望性质不满足时提供反例，以定位设计错误和缺陷。传统的模型检测方法大多基于显式状态空间描述，当验证问题规模过大时，系统状态数目会随着系统并发执行部件数目的上升呈现指数级增长，从而引发状态空间爆炸问题。在本领域内提出了许多压缩状态空间的方法。常用的方法有抽象模型检测(AMC)，限界模型检测(BMC)，组合模型检测(CMC)和符号模型检测(SMC)等方法。

符号模型检测方法由McMillan于1992年提出，其主要思想是：将待验证系统模型的状态空间编码为布尔公式，然后使用归约有序二叉决策图(ROBDD)的压缩存储机制，降低存储和搜索状态空间所需的内存空间，从而缓解状态空间爆炸问题。

虽然，近几年来学术界提出了很多用于验证并发系统性质的时序逻辑，如计算树逻辑(CTL)和线性时序逻辑(LTL)等，但是这些时序逻辑的描述能力有限，至少有两种类型的性质是CTL和LTL都无法描述的：(1)状态敏感性质，例如，性质Q在第x个状态成立或者Q在第x个状态和第y个状态之间成立；(2)顺序性质和闭包性质，例如，性质Q在性质P成立之后成立，或者性质Q周期性的成立。进而导致使用模型检测对系统正则性质进行验证比较困难。命题投影时序逻辑(PPTL)引入了顺序(Chop)和投影(Projection)时序算子，其表达能力达到完全正则。使用PPTL可以方便地描述CTL和LTL无法描述的状态敏感、顺序和闭包性质。

因此，如何应对状态空间爆炸问题并扩展期望性质的描述能力成为模型检测技术领域研究和亟待解决的关键问题之一。

发明内容

本发明主要针对现有模型检测方法中，被验证系统模型存在过多并发执行部件引发的状态空间爆炸以及现有时序逻辑语言描述能力不足问题，提出一种高效、简洁的、状态空间紧凑、期望性质描述能力更强的PPTL符号模型检测方法。

下面对本发明进行详细说明：

本发明是一种PPTL符号模型检测方法，本发明使用具有完全正则表达能力的规范语言PPTL描述待验证系统的期望性质；使用Kripke结构M＝(S，R，L)描述待验证系统模型，进而将编码得到的布尔公式使用ROBDD表示，借助于ROBDD的压缩存储和有效地布尔公式操作机制高效地对被验证系统模型M进行搜索。

PPTL符号模型检测的具体步骤包括：

步骤1：首先对待验证系统建模，采用Kripke结构描述模型M＝(S，R，L)，并将模型M中的状态集合S和迁移关系R分别编码为形如x₁·x₂·...·x_n和(x₁·x₂·...·x_n)·(x₁′·x₂′·...·x_n′)的布尔公式，其中“·”为逻辑与操作符，布尔公式的逻辑操作使用ROBDD实现，并将标记函数L定义为AP→2^S，其中AP为原子命题的集合，2^S为状态集合S的幂集；标记函数L将每个原子命题a_i∈AP映射到满足a_i的状态集合；

步骤2：使用PPTL描述待验证系统的期望性质，得到期望性质公式Q；

本发明的步骤1是对待验证系统建模并将模型M中的状态集合S和迁移关系R用布尔公式表示，步骤2是将待验证系统的期望性质使用规范语言PPTL进行描述，步骤1和步骤2可同时进行，也可先进行步骤1再进行步骤2。将步骤1和步骤2的结果相结合用于计算满足期望性质公式Q的状态集合的布尔编码。

步骤3：计算满足期望性质公式Q的状态集合的布尔编码B_Q；

步骤4：如果B_Q≠0，那么待验证系统的模型M满足期望性质公式Q，模型检测结果显示待验证系统满足期望的性质；如果B_Q＝0，那么待验证系统的模型M不满足期望性质公式Q，模型检测结果显示待验证系统不满足期望的性质；

步骤5：待验证系统的PPTL符号模型检测结束。

本发明通过将待验证系统的状态空间和迁移关系使用布尔公式符号化表示，并借助ROBDD对状态空间进行高效、简洁的操作，降低了存储和操作状态空间所需要的内存空间，提升了模型检测处理问题的规模，并且缓解了状态空间爆炸问题；本发明还通过使用PPTL描述待验证系统性质，实现了对于CTL和LTL等现有的时序逻辑无法描述的状态敏感、顺序和闭包性质的描述，将待验证系统期望性质的描述能力扩展到完全正则型。

本发明的实现还在于：对于任何以PPTL描述的期望性质公式Q，可以将Q改写为其正则形，记为NF_Q，并构建Q的完全正则图G_Q，步骤3中计算满足以PPTL描述的期望性质公式Q的状态集合的布尔编码B_Q的具体步骤包括：

步骤3.1：定义期望性质公式Q的正则形，对于任何以PPTL描述的期望性质公式Q，Q的正则形定义为：其中Q_P为Q中出现的原子命题的集合， l为Q_P中原子命题的数量，l＝|Q_p|，n为Q的正则形中描述当前性质的析取项Q_ej∧empty的数量，n₀为Q的正则形中描述未来性质的析取项Q_ci∧○Q_i′的数量，1≤n(n₀)≤3^l，m为状态公式Q_ej中原子命题的数目，m₀为状态公式Q_ci中原子命题的数目，1≤m(m₀)≤l；状态子公式q_jk和q_ih属于Q_P，对于任意公式r∈Q_P，表示r或者；Q_i′是一个PPTL时序公式；

步骤3.2：根据步骤3.1所述的正则形定义将期望性质公式Q改写为其正则形，记为NF_Q＝f₁∨f₂∨...∨f_n，其中包含n个用析取操作符“∨”连接的期望性质子公式f₁，...，f_n，用这些期望性质子公式组成期望性质子公式集合N_Q＝{f₁，...，f_n}；

步骤3.3：定义期望性质公式Q的标记正则图，对于任何以PPTL描述的期望性质公式Q，将Q的标记正则图(LNFG)定义为有向图G＝(V(Q)，E(Q)，V₀，L＝{L₁，L₂，...L_m})，其中V(Q)是结点集合，每个结点对应一个PPTL公式；E(Q)是有向边的集合，每条边记为(v_Q，Q_e，v_F)，即从结点v_Q到结点v_F有一条用状态公式Q_e标记的有向边；V₀是初始结点的集合；标记集合L中的每个子集合L_k(1≤k≤m)为带标签l_k～的结点集合，k为标签的计数变量；

步骤3.4：根据步骤3.3所述的标记正则图定义，构造期望性质公式Q的标记正则图，记为G_Q，如果G_Q中不包含v_empty结点，并且对于G_Q中的任意无限路径π，π中出现无限多次的结点的集合记为Inf(π)，存在一个标记结点集合L_i，使得Inf(π)是L_i的子集，那么满足Q的状态集合的布尔编码B_Q＝0，转到步骤3.8，反之转到步骤3.5；

步骤3.5：从期望性质子公式集合N_Q中任选一个期望性质子公式f_i，使用以布尔公式符号化表示的状态集合S和迁移关系R计算出满足期望性质子公式f_i的状态集合的布尔编码B_fi，如果f_i中包含状态公式，那么满足该状态公式的状态集合的布尔编码不经过形式判定，直接由符号化的状态集合S和标记函数L求得；

步骤3.6：从期望性质子公式集合N_Q中删除f_i，如果N_Q不为空则转到步骤3.5，反之转到步骤3.7；

步骤3.7：满足期望性质公式Q的状态集合的布尔编码B_Q＝B_f1+...+B_fn；

步骤3.8：计算满足期望性质公式Q的状态集合的布尔编码B_Q的过程结束。

本发明以布尔公式符号化表示待验证系统模型M的状态集合S和迁移关系R，使用期望性质公式Q的正则形NF_Q和标记正则图G_Q，并借助ROBDD对状态空间进行高效、简洁的搜索，获得满足以PPTL描述的期望性质公式Q的状态集合的布尔编码，降低了搜索状态空间所需要的空间和时间复杂度，提升了模型检测的效率。

本发明的实现还在于：对于任何期望性质公式Q，根据其正则形NF_Q都可以构造其标记正则图G_Q，步骤3.4中构建期望性质公式Q的标记正则图G_Q的具体步骤如下：

步骤3.4.1：如果期望性质公式Q的形式为P₁∨P₂∨...∨P_n，则为每个期望性质子公式P_i(1≤i≤n)构造一个与P_i对应的结点v_Pi，v_Pi∈V(Q)且v_Pi∈V₀；否则，仅为期望性质公式Q构造一个与Q对应的结点v_Q，v_Q∈V(Q)且v_Q∈V₀；

步骤3.4.2：将计数变量k的初值置为1；

步骤3.4.3：从可达结点集合V(Q)\{v_empty}中任选一个结点，记为v_Q1，如果v_Q1对应的PPTL公式Q₁形式为Q_i；Q_j，将Q₁改写为Q_i∧fin(l_k)；Q_j，v_Q1加入计数变量为k的标记结点集合L_k；

步骤3.4.4：将Q₁展开为其正则形构造一个与期望性质子公式empty对应的结点v_empty，v_empty∈V(Q)，对于所有1≤j≤h，有向边(v_Q1，Q_ej，v_empty)∈E(Q)；对于所有1≤i≤k，构造一个与时序公式Q_i′对应的结点v_Qi′，v_Qi′∈V(Q)，有向边(v_Q1，Q_cj，v_Qi′)∈E(Q)，从可达结点集合V(Q)\{v_empty}中删除v_Q1，并将计数变量k加1；

步骤3.4.5：如果可达结点集合V(Q)\{v_empty}不为空，则转到步骤3.4.3，否则转到步骤3.4.6；

步骤3.4.6：期望性质公式Q的标记正则图构建结束。

本发明使用期望性质公式的标记正则图中的有限路径(finite path)刻画期望性质公式的有穷模型(finite model)，使用标记正则图中的无限路径(infinite path)刻画期望性质公式的无穷模型(infinite model)，通过构建标记正则图快速检查满足期望性质公式的模型是否存在，即期望性质公式是否可满足，并在不可满足时直接返回满足期望性质公式的状态集合的布尔编码为0，节省了进行后续的操作过程所需的时间，提高了PPTL符号模型检测方法的效率。

本发明的实现还在于：期望性质子公式f_i的形式仅为Q_e∧empty和Q_ie∧○Q′_i两种形式，步骤3.5中，计算满足期望性质子公式f_i的状态集合的布尔编码B_fi的具体步骤包括：

步骤3.5.1：如果期望性质子公式P_i的形式为Q_e∧empty，那么B_fi＝B_Qe，其中B_Qe为待验证系统模型M中满足状态公式Q_e的状态集合的布尔编码，转步骤3.5.4，否则转到步骤3.5.2；

步骤3.5.2：如果期望性质子公式f_i的形式为Q_ie∧○Q′_i，且PPTL时序公式Q′_i之前未被标记过，那么，首先使用步骤3计算满足PPTL时序公式Q′_i的状态集合的布尔编码B_Q′i，然后，使用逻辑与操作符“·”连接满足状态公式Q_ie的状态集合的布尔编码B_Qie与B_Q′i在迁移关系R作用下的原象R^-1(B_Q′i)得到B_fi，即B_fi＝B_Qie·R^-1(B_Q′i)，然后标记Q′_i，转步骤3.5.4，否则转到步骤3.5.3；

步骤3.5.3：如果期望性质子公式f_i的形式为Q_ie∧○Q′_i，且PPTL时序公式Q′_i之前被标记过，那么，首先使用步骤3和不动点理论计算满足PPTL时序公式Q′_i的状态集合的布尔编码fixpoint(τ(B_Q′i))，然后使用逻辑与操作符“·”连接满足状态公式Q_ie的状态集合的布尔编码B_Qie与fixpoint(τ(B_Q′i)在迁移关系R作用下的原象R^-1(fixpoint(τ(B_Q′i)))得到B_fi，即B_fi＝B_Qie·R^-1(fixpoint(τ(B_Q′i)))；

步骤3.5.4：计算满足期望性质子公式fi的状态集合的布尔编码B_fi过程结束。

步骤3是一个递归过程，也可称为递归函数，递归是指函数在其定义或说明中有直接或间接调用自身的方法，如果将步骤3看做一个以PPTL公式作为输入、以布尔公式作为输出的函数，那么，步骤3的定义中，其子过程步骤3.5.2和3.5.3中计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i时直接调用了步骤3本身。

本发明使用递归过程把计算满足期望性质子公式f_i的状态集合的布尔编码B_fi复杂问题转化为一个与原问题相似的规模较小的问题来求解，简化了B_fi的计算过程，提高了模型检测过程的效率。本发明还将所有期望性质子公式归纳为Q_e∧empty和Q_te∧○Q′_i两种形式，这两种形式只包含一个时序操作符“○”；同现有的时序逻辑CTL和LTL为所有的时序操作符提供一个独立的模型检测过程相比，本发明仅需要提供基于时序操作符“○”的符号模型检测过程，降低了PPTL符号模型检测过程的复杂度。

本发明的实现还在于：计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i的过程中，如果出现已标记过的时序公式，借助不动点理论刻画B_Q′i，B_Q′i的布尔方程形如：τ(B)＝B_Qie·R^-1(B_Qje·R^-1(B_Qke·R^-1(B)))，步骤3.5.3中，计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i的具体步骤如下：

步骤3.5.3.1：将布尔方程τ(B)＝B_Qie·R^-1(B_Qie·R^-1(B_Qke·R^-1(B)))中的自变量B的初值置为B_Qie，即B＝B_Qie，同时将τ(B)的值赋给布尔变量B′；

步骤3.5.3.2：如果自变量B的值等于布尔变量B′的值，则转到步骤3.5.3.4，否则转到步骤3.5.3.3；

步骤3.5.3.3：将布尔变量B′的值赋给自变量B，将B更新之后的值代入布尔方程τ(B)，并将τ(B)的值赋给布尔变量B′，转到步骤3.5.3.2；

步骤3.5.3.4：B_Q′i的值为B的值，满足时序公式Q′_i的状态集合的布尔编码B_Q′i的计算过程结束。

本发明使用不动点理论刻画满足时序公式Q′_i的状态集合的布尔编码B_Q′i，通过将以B_Q′i为自变量的布尔方程τ(B)使用ROBDD表示，借助于ROBDD的高效布尔方程操作机制，加快了布尔方程τ(B)不动点的计算速度，提高了PPTL符号模型检测过程的效率。

总体而言，本发明提出的PPTL符号模型检测方法很好的扩充了现有模型检测方法可验证问题的规模以及期望性质的描述能力。本发明采用具有完全正则描述能力的PPTL公式描述待验证系统期望的性质，采用Kripke结构M＝(S，R，L)描述待验证系统模型，整个过程均使用以布尔公式编码状态集合S和迁移关系R，通过ROBDD的压缩存储和有效地布尔公式操作机制，可以高效地求得满足期望性质公式的状态集合的布尔编码。由于硬件电路和网络通信协议中包含许多取值范围为布尔域的变量，本发明特别适合于数字电路系统设计缺陷的检测和网络通信协议正确性的验证。因此，本发明是一种高效地、简洁的、实用方法。

与现有技术相比，本发明具体优点如下所述：

(1)由于使用PPTL公式描述待验证系统的期望性质，可以描述CTL和LTL等流行的时序逻辑无法描述的性质，如状态敏感性质、顺序性质和闭包性质，且PPTL的表达能力等价于完全正则语言，因此可以将符号模型检测中待验证系统期望性质的描述能力扩展到完全正则型。

(2)将待验证系统模型的状态集合S和迁移关系R使用布尔公式符号化表示，然后使用ROBDD表示状态集合S和迁移关系R对应的布尔公式，借助ROBDD的压缩存储和有效地布尔公式操作机制对待验证系统模型的状态集合S进行高效、简洁的搜索，降低了存储和操作状态空间所需要的内存空间，从而提升模型检测可以处理问题的规模，并且有效缓解状态空间爆炸问题。

(3)所有涉及状态空间S和迁移关系R的计算和操作过程均使用以ROBDD为基础的逻辑操作实现，同利用基本图形数据结构存储和操作状态空间相比，内存空间占用和计算复杂度更低，计算效率更高。

(4)使用期望性质公式Q的标记正则图G_Q中的路径刻画期望性质公式的有穷模型和无穷模型，通过构建标记正则图可以快速检查满足期望性质公式Q的模型是否存在，即期望性质公式是否可满足。在期望性质公式Q不可满足时，直接返回满足期望性质公式的状态集合的布尔编码为0，节省进行后续的操作所需的时间，提高了PPTL符号模型检测方法的效率。

(5)将所有期望性质子公式归纳为Q_e∧empty和Q_ie∧○Q′_i两种形式，这两种形式只包含一个时序操作符“○”，结合符号化的状态集合S、迁移关系R以及时序操作符“○”的语义，快速求出满足时序公式Q′_i的状态集合的布尔编码B_Q′i。同CTL和LTL的符号模型检测为每个时序操作符提供一个独立的处理过程相比，本发明仅需提供基于时序操作符“○”的符号模型检测过程，简化了计算过程，降低了PPTL符号模型检测过程的复杂度。

附图说明

图1是PPTL符号模型检测流程图；

图2是计算满足期望性质子公式f_i的状态集合的布尔编码B_fi的流程图；

图3是实施例4中基于不动点计算满足时序公式Q′_i状态集合的布尔编码B_Q′i的示意图，其中图3(a)是迁移关系R的布尔公式表示，图3(b)是满足命题a₁的状态集合的布尔编码Ba₁的ROBDD表示，图3(c)～图3(e)是利用ROBDD对布尔公式τ(B_a1)＝B_a1+B_a1·R^-1(B_a1)的不动点进行计算的过程，图3(f)为基于不动点计算满足时序公式Q′_i状态集合的布尔编码B_Q′i的流程图；

图4是对以Verilog硬件描述语言描述的3x+1问题数字电路系统进行PPTL符号模型检测的示意图，其中图4(a)为以Verilog硬件描述语言描述的3x+1问题数字电路系统的以及在输入端输入整数5时的该系统的具体模型，图4(b)为图4(a)中3x+1问题数字电路系统的抽象模型，图4(c)为图4(b)中3x+1问题数字电路系统抽象模型中迁移关系的布尔编码，图4(d)和4(e)为以PPTL描述的3x+1问题数字电路系统期望性质公式P及P的子公式的正则形，图4(f)～图4(k)为期望性质公式P及P的子公式的标记正则图。

具体实施方式

下面结合附图详细阐述本发明，图中的期望性质公式P即为期望性质公式Q：

实施例1

本发明是一种PPTL符号模型检测方法，参见图1，使用具有完全正则表达能力的规范语言PPTL描述待验证系统的期望性质；使用Kripke结构M＝(S，R，L)描述待验证系统模型，并将模型M的状态集合S和迁移关系R使用布尔变量进行编码，进而将编码得到的布尔公式使用ROBDD表示，借助于ROBDD的压缩存储和有效地布尔公式操作机制高效地对被验证系统模型M进行搜索，待验证系统也称为待检测系统，状态空间S也称为状态集合S。

PPTL符号模型检测的具体步骤包括：

步骤1：首先对待验证系统建模，采用Kripke结构描述模型M＝(S，R，L)，并将模型M中的状态集合S和迁移关系R分别编码为形如x₁·x₂·...·x_n和(x₁·x₂·...·x_n)·(x₁′·x₂′·...·x_n′)的布尔公式，其中“·”为逻辑与操作符，布尔公式的逻辑操作使用ROBDD实现，并将标记函数L定义为AP→2^S，其中AP为原子命题的集合，2^S为状态集合S的幂集；标记函数L将每个原子命题a_i∈AP映射到满足a_i的状态集合。

将待验证系统模型M中的状态集合S和迁移关系R编码为布尔公式的步骤包括：

步骤1.1：将状态集合S编码为布尔公式，设原子命题集合AP中有n个原子命题a₁，a₂，...，a_n，为每个原子命题a_i指派一个对应的布尔变量x_i，那么状态集合S中的每个状态s均可以表示成一个由n个布尔变量组成的布尔公式x₁·x₂·...·x_n，其中如果s∈L(a_i)，则x_i＝1；反之，x_i＝0；

步骤1.2：将迁移关系R编码为布尔公式，迁移关系R是状态迁移的集合，首先将R中的每个状态迁移s→s′表示为形如(x₁·x₂·...·x_n)·(x₁′·x₂′·...·x_n′)的布尔公式，其中s∈L(a_i)，则x_i＝1；反之，x_i＝0。同样地，s′∈L(a_i)，则x_i′＝1；反之，x_i′＝0。不带标记的布尔公式(x₁·x₂·...·x_n)表示状态迁移s→s′的当前状态s，带标记的布尔公式(x₁′·x₂′·...·x_n′)表示状态迁移s→s′下一状态s′，最后，将迁移关系R用其特征方程进行符号化表示，即用逻辑或操作符“+”连接R中所有状态迁移关系的布尔公式编码；

步骤1.3：状态集合S和迁移关系R的布尔编码过程结束。

本发明将待验证系统模型的状态集合S和迁移关系R使用布尔变量编码，然后使用ROBDD表示编码得到的布尔公式，并借助ROBDD的压缩存储和有效地布尔公式操作机制对待验证系统模型的状态集合S进行高效、简洁的搜索，从而降低存储和操作状态空间所需要的内存空间，提升模型检测可以处理问题的规模，并且有效缓解状态空间爆炸问题。

步骤2：使用PPTL描述待验证系统的期望性质，得到期望性质公式Q。

本发明使用PPTL公式描述待验证系统的期望性质，可以描述CTL和LTL等流行的时序逻辑无法描述的性质，如状态敏感性质、顺序性质和闭包性质，且PPTL的表达能力等价于完全正则语言，因此可以将符号模型检测中待验证系统期望性质的描述能力扩展到完全正则型。

步骤3：计算满足期望性质公式Q的状态集合的布尔编码B_Q。

对于任何以PPTL描述的期望性质公式Q，可以将Q改写为其正则形，记为NF_Q，并构建Q的完全正则图G_Q，步骤3中计算满足以PPTL描述的期望性质公式Q的状态集合的布尔编码B_Q的具体步骤包括：

步骤3.1：定义期望性质公式Q的正则形，对于任何以PPTL描述的期望性质公式Q，Q的正则形定义为：其中Q_P为Q中出现的原子命题的集合， l为Q_P中原子命题的数量，l＝|Q_p|，n为Q的正则形中描述当前性质的析取项Q_ej∧empty的数量，n₀为Q的正则形中描述未来性质的析取项Q_ci∧○Q_i′的数量，1≤n(n₀)≤3^l，m为状态公式Q_ej中原子命题的数目，m₀为状态公式Q_ci中原子命题的数目，1≤m(m₀)≤l；状态子公式q_jk和q_ih属于Q_P，对于任意公式r∈Q_P，表示r或者Q_i′是一个用时序操作符“○”修饰的PPTL时序公式；

步骤3.2：根据步骤3.1所述的正则形定义将期望性质公式Q改写为其正则形，记为NF_Q＝f₁∨f₂∨...∨f_n，其中包含n个用析取操作符“∨”连接的期望性质子公式f₁，...，f_n，用这些期望性质子公式组成期望性质子公式集合N_Q＝{f₁，...，f_n}；

步骤3.3：定义期望性质公式Q的标记正则图，对于任何以PPTL描述的期望性质公式Q，将Q的标记正则图(LNFG)定义为有向图G＝(V(Q)，E(Q)，V₀，L＝{L₁，L₂，...L_m})，其中V(Q)是结点集合，每个结点对应一个PPTL公式；E(Q)是有向边的集合，每条边记为(v_Q，Q_e，v_F)，即从结点v_Q到结点v_F有一条用状态公式Q_e标记的有向边；V₀是初始结点的集合；标记集合L中的每个子集合L_k(1≤k≤m)为带标签l_k～的结点集合，k为标签的计数变量；

步骤3.4：根据步骤3.3所述的标记正则图定义，构造期望性质公式Q的标记正则图，记为G_Q，如果G_Q中不包含v_empty结点，并且对于G_Q中的任意无限路径π，π中出现无限多次的结点的集合记为Inf(π)，存在一个标记结点集合L_i，使得Inf(π)是L_i的子集，那么满足Q的状态集合的布尔编码B_Q＝0，转到步骤3.8，反之转到步骤3.5；

对于任何期望性质公式Q，根据其正则形NF_Q都可以构造其标记正则图G_Q，步骤3.4中构建期望性质公式Q的标记正则图G_Q的具体步骤如下：

步骤3.4.1：如果期望性质公式Q的形式为P₁∨P₂∨...∨P_n，则为每个期望性质子公式P_i(1≤i≤n)构造一个与P_i对应的结点v_Pi，v_Pi∈V(Q)且v_Pi∈V₀；否则，仅为期望性质公式Q构造一个与Q对应的结点v_Q，v_Q∈V(Q)且v_Q∈V₀；

步骤3.4.2：将计数变量k的初值置为1；

步骤3.4.3：从可达结点集合V(Q)\{v_empty}中任选一个结点，记为v_Q1，如果v_Q1对应的PPTL公式Q₁形式为Q_i；Q_j，将Q₁改写为Q_i∧fin(l_k)；Q_j，v_Q1加入计数变量为k的标记结点集合L_k；

步骤3.4.4：将Q₁展开为其正则形构造一个与期望性质子公式empty对应的结点v_empty，v_empty∈V(Q)，对于所有1≤j≤h，有向边(v_Q1，Q_ej，v_empty)∈E(Q)；对于所有1≤i≤k，构造一个与时序公式Q_i′应的结点v_Qi′，v_Qi′∈V(Q)，有向边(v_Q1，Q_cj，v_Qi′)∈E(Q)，从可达结点集合V(Q)\{v_empty}中删除v_Q1，并将计数变量k加1；

步骤3.4.5：如果可达结点集合V(Q)\{v_empty}不为空，则转到步骤3.4.3，否则转到步骤3.4.6；

步骤3.4.6：期望性质公式Q的标记正则图构建结束。

本发明使用期望性质公式Q的标记正则图G_Q中的有限路径刻画期望性质公式的有穷模型，使用标记正则图中的无限路径刻画期望性质公式的无穷模型，通过构建标记正则图可以快速检查满足期望性质公式Q的模型是否存在，即期望性质公式Q是否可满足。如果G_Q不包含empty结点，那么满足期望性质公式Q的有穷模型不存在；如果对于G_Q中的任意无限路径π，均存在一个标记结点集合L_i，使得π中出现无限多次的结点的集合Inf(π)是该标记结点集合L_i的子集，那么满足期望性质公式Q的无穷模型不存在。如果上述2个条件同时成立，那么期望性质公式Q不可满足，直接返回满足期望性质公式的状态集合的布尔编码为0，节省进行后续的操作过程所需的时间，从而提高PPTL符号模型检测方法的效率。

步骤3.5：从期望性质子公式集合N_Q中任选一个期望性质子公式f_i，使用以布尔公式符号化表示的状态集合S和迁移关系R计算出满足期望性质子公式f_i的状态集合的布尔编码B_fi，如果f_i中包含状态公式，那么满足该状态公式的状态集合的布尔编码不经过形式判定，直接由符号化的状态集合S和标记函数L求得；

期望性质子公式f_i的形式仅为Q_e∧empty和Q_ie∧○Q′_i两种形式，步骤3.5中，计算满足期望性质子公式f_i的状态集合的布尔编码B_fi的具体步骤包括：

步骤3.5.1：如果期望性质子公式f_i的形式为Q_e∧empty，那么B_fi＝B_Qe，其中B_Qe为待验证系统模型M中满足状态公式Q_e的状态集合的布尔编码，转步骤3.5.4，否则转到步骤3.5.2；

步骤3.5.2：如果期望性质子公式f_i的形式为Q_ie∧○Q′_i，且PPTL时序公式Q′_i之前未被标记过，那么，首先使用步骤3计算满足PPTL时序公式Q′_i的状态集合的布尔编码B_Q′i，然后，使用逻辑与操作符“·”连接满足状态公式Q_ie的状态集合的布尔编码B_Qie与B_Q′i在迁移关系R作用下的原象R^-1(B_Q′i)得到B_fi，即B_fi＝B_Qie·R^-1(B_Q′i)，然后标记Q′_i，转步骤3.5.4，否则转到步骤3.5.3；

步骤3.5.3：如果期望性质子公式f_i的形式为Q_ie∧○Q′_i，且PPTL时序公式Q′_i之前被标记过，那么，首先使用步骤3和不动点理论计算满足PPTL时序公式Q′_i的状态集合的布尔编码fixpoint(τ(B_Q′i))，然后使用逻辑与操作符“·”连接满足状态公式Q_ie的状态集合的布尔编码B_Qie与fixpoint(τ(B_Q′i))在迁移关系R作用下的原象R^-1(fixpoint(τ(B_Q′i)))得到B_fi，即B_fi＝B_Qie·R^-1(fixpoint(τ(B_Q′i)))；

计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i的过程中，如果出现已标记过的时序公式，那么需要借助不动点理论刻画B_Q′i，B_Q′i的布尔方程形如：τ(B)＝B_Qie·R^-1(B_Qje·R^-1(B_Qke·R^-1(B)))，步骤3.5.3中，计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i的具体步骤如下：

步骤3.5.3.1：将布尔方程τ(B)＝B_Qie·R^-1(B_Qje·R^-1(B_Qke·R^-1(B)))中的自变量B的初值置为B_Qie，即B＝B_Qie，同时将τ(B)的值赋给布尔变量B′；

步骤3.5.3.2：如果自变量B的值等于布尔变量B′的值，则转到步骤3.5.3.4，否则转到步骤3.5.3.3；

步骤3.5.3.3：将布尔变量B′的值赋给自变量B，将B更新之后的值代入布尔方程τ(B)，并将τ(B)的值赋给布尔变量B′，转到步骤3.5.3.2；

步骤3.5.3.4：B_Q′i的值为B的值，满足时序公式Q′_i的状态集合的布尔编码B_Q′i的计算过程结束。

本发明使用不动点理论刻画期望性质公式Q的标记正则图G_Q中出现环路时满足时序公式Q′_i的状态集合的布尔编码B_Q′i。标记正则图G_Q中的环路是指一条从时序公式Q′_i对应的结点v_Q′i出发，最后回到v_Q′i结点的有向边，环路可以描述期望性质公式Q的无穷模型。这种迭代性质适合于使用不动点理论进行描述。与使用基本图形数据结构表示状态空间的模型检测计算不动点的方法相比，本发明通过定义以B_Q′i为自变量的布尔方程τ(B)，并将τ(B)使用ROBDD表示，借助于ROBDD的高效布尔方程操作机制，加快了布尔方程τ(B)不动点的计算速度，减少计算不动点需要的迭代次数，提高了PPTL符号模型检测过程的效率。

步骤3.5.4：计算满足期望性质子公式f_i的状态集合的布尔编码B_fi过程结束。

本发明还将所有期望性质子公式归纳为Q_e∧empty和Q_ie∧○Q′_i两种形式，这两种形式只包含一个时序操作符“○”，结合符号化的状态集合S、迁移关系R以及时序操作符“○”的语义，可以快速求出满足时序公式Q′_i的状态集合的布尔编码B_Q′i。同CTL和LTL的符号模型检测为每个时序操作符提供一个独立的处理过程相比，本发明仅需提供基于时序操作符“○”的符号模型检测过程，降低了PPTL符号模型检测过程的复杂度。

步骤3.6：从期望性质子公式集合N_Q中删除f_i，如果N_Q不为空则转到步骤3.5，反之转到步骤3.7；

步骤3.7：满足期望性质公式Q的状态集合的布尔编码B_Q＝B_f1+...+B_fn；

步骤3.8：计算满足期望性质公式Q的状态集合的布尔编码B_Q的过程结束。

如果将步骤3看做一个以PPTL公式作为输入、以布尔公式作为输出的函数，那么，步骤3是一个递归过程，因为步骤3定义中其子过程步骤3.5.2和步骤3.5.3计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i时直接调用了步骤3本身。本发明使用步骤3的递归过程把计算满足期望性质子公式f_i的状态集合的布尔编码B_fi这一复杂问题层层转化为一个与原问题相似的规模较小的问题来求解，提高模型检测过程的效率。

步骤4：如果B_Q≠0，那么待验证系统的模型M满足期望性质公式Q，模型检测结果显示待验证系统满足期望的性质；如果B_Q＝0，那么待验证系统的模型M不满足期望性质公式Q，模型检测结果显示待验证系统不满足期望的性质；

步骤5：待验证系统的PPTL符号模型检测结束。

本发明将待验证系统模型的状态集合S和迁移关系R使用布尔公式符号化表示，然后将状态集合S和迁移关系R的布尔公式表示为ROBDD。本发明以ROBDD为基础存储数据信息，所有涉及状态空间和迁移关系的计算过程均使用定义在ROBDD上的逻辑操作实现，借助ROBDD的压缩存储和有效地布尔公式操作机制可以对待验证系统模型的状态集合S进行高效、简洁的搜索，降低存储和操作状态空间所需要的内存空间，本发明仅需基于时序操作符“○”的检测过程，降低了检测复杂度，提升了模型检测可处理问题的规模，从而提升模型检测可以处理问题的规模，并且有效缓解状态空间爆炸问题。本发明还使用PPTL公式描述待验证系统的期望性质，可以描述CTL和LTL等流行的时序逻辑无法描述的状态敏感性质、顺序和闭包性质，且PPTL的表达能力等价于完全正则语言，可以将符号模型检测中待验证系统期望性质的描述能力扩展到完全正则型。因此，本发明提出的PPTL符号模型检测方法为状态空间爆炸问题和期望性质描述能力不足问题提供了一种高效、简洁、可行的解决方案。

实施例2

PPTL符号模型检测方法同实施例1，参见图1，本发明是一种PPTL符号模型检测方法，将以PPTL描述的期望性质公式Q，改写为其正则形，记为NF_Q，并构建Q的完全正则图G_Q，使用以布尔公式符号化表示的状态集合S和迁移关系R，借助于ROBDD高效地计算满足期望性质公式Q的状态集合的布尔编码。

计算满足以PPTL描述的期望性质公式Q的状态集合的布尔编码B_Q的具体步骤包括：

步骤3.1：定义期望性质公式Q的正则形，对于任何以PPTL描述的期望性质公式Q，Q的正则形定义为：其中Q_P为Q中出现的原子命题的集合， l为Q_P中原子命题的数量，l＝|Q_p|，n为Q的正则形中描述当前性质的析取项Q_ej∧empty的数量，n₀为Q的正则形中描述未来性质的析取项Q_ci∧○Q_i′的数量，1≤n(n₀)≤3^l，m为状态公式Q_ej中原子命题的数目，m₀为状态公式Q_ci中原子命题的数目，1≤m(m₀)≤l；状态子公式a_jk和q_ih属于Q_P，对于任意公式r∈Q_P，表示r或者Q_i′是一个PPTL时序公式；

步骤3.2：根据步骤3.1所述的正则形定义将期望性质公式Q改写为其正则形，记为NF_Q＝f₁∨f₂∨...∨f_n，其中包含n个用析取操作符“∨”连接的期望性质子公式f₁，...，f_n，用这些期望性质子公式组成期望性质子公式集合N_Q＝{f₁，...，f_n}；

步骤3.3：定义期望性质公式Q的标记正则图，对于任何以PPTL描述的期望性质公式Q，将Q的标记正则图(LNFG)定义为有向图G＝(V(Q)，E(Q)，V₀，L＝{L₁，L₂，...L_m})，其中V(Q)是结点集合，每个结点对应一个PPTL公式；E(Q)是有向边的集合，每条边记为(v_Q，Q_e，v_F)，即从结点v_Q到结点v_F有一条用状态公式Q_e标记的有向边；V₀是初始结点的集合；标记集合L中的每个子集合L_k(1≤k≤m)为带标签l_k～的结点集合，k为标签的计数变量；

步骤3.4：根据步骤3.3所述的标记正则图定义，构造期望性质公式Q的标记正则图，记为G_Q，如果G_Q中不包含v_empty结点，并且对于G_Q中的任意无限路径π，π中出现无限多次的结点的集合记为Inf(π)，存在一个标记结点集合L_i，使得Inf(π)是L_i的子集，那么满足Q的状态集合的布尔编码B_Q＝0，转到步骤3.8，反之转到步骤3.5；

步骤3.5：参见图2，从期望性质子公式集合N_Q中任选一个期望性质子公式f_i，使用以布尔公式符号化表示的状态集合S和迁移关系R计算出满足期望性质子公式f_i的状态集合的布尔编码B_fi，如果f_i中包含状态公式，那么满足该状态公式的状态集合的布尔编码不经过形式判定，直接由符号化的状态集合S和标记函数L求得；

步骤3.6：从期望性质子公式集合N_Q中删除f_i，如果N_Q不为空则转到步骤3.5，反之转到步骤3.7；

步骤3.7：满足期望性质公式Q的状态集合的布尔编码B_Q＝B_f1+...+B_fn；

步骤3.8：计算满足期望性质公式Q的状态集合的布尔编码B_Q的过程结束。

本发明以布尔公式符号化表示待验证系统模型M的状态空间S和迁移关系R，使用期望性质公式Q的标记正则图G_Q刻画Q是否可满足，使用期望性质公式Q的正则形NF_Q刻画满足Q的状态集合，然后借助于ROBDD对状态空间进行高效、简洁的搜索，获得满足以PPTL描述的期望性质公式Q的状态集合的布尔编码，降低了搜索状态空间所需要的空间和时间复杂度，提升模型检测的效率。

实施例3

PPTL符号模型检测方法同实施例1～2，参见图4(d)～(k)，PPTL符号模型检测方法中通过构建期望性质公式P标记正则图G_P，并检查满足期望性质公式P的模型是否存在，以确定期望性质公式P是否可满足。

以期望性质公式P或者P的子公式对应的结点为根结点构建标记正则图G_P的具体步骤包括：

首先，定义期望性质公式P的标记正则图。期望性质公式P的标记正则图G_P是有向图，G_P＝(V(P)，E(P)，V₀，L＝{L₁，L₂，...L_m})，其中V(P)是结点集合，每个结点对应一个PPTL公式；E(P)是有向弧的集合，每条边记为(v_P，P_e，v_M)，即从结点v_P到结点v_M有一条用状态公式P_e标记的有向弧；V₀是初始结点的集合；标记集合L中的每个子集合L_k(1≤k≤m)为带标签l_k～的结点集合，k为标签的计数变量。

期望性质公式P的标记正则图G_P生成方法如下：

步骤3.4.1：期望性质公式P≡P₁；P₂；(P₃)³；P₄的形式不为形如P₁∨P₂∨...∨P_n的析取范式，仅为P构造一个与P对应的结点v_P，v_P∈V(P)且v_P∈V₀；

步骤3.4.2：将计数变量k的初值置为1；

步骤3.4.3：从可达结点集合V(P)\{v_empty}中任选一个结点，由步骤3.4.1知，可达结点集合V(P)\{v_empty}开始只包含一个结点v_P，v_P对应的PPTL公式P形式为P₁；P₂；(P₃)³；P₄，将P改写为P₁∧fin(l₁)；P₂；(P₃)³；P₄，P加入计数变量为1的标记结点集合L₁；

步骤3.4.4：将P展开为正则形为图4(d)所示的正则形。为期望性质子公式empty构造对应的结点v_empty，将v_empty加入结点集合V(P)，将有向边(v_P，P_e，v_ε)加入有向边集合E(P)，其中状态公式P_e＝P₁∧P₂∧P₃∧P₄；为所有时序公式Q₀，Q₁，Q₂，Q₃，Q₄，Q₅构造对应的结点v_Q0，v_Q1，v_Q2，v_Q3，v_Q4，v_Q5，并将这些结点加入结点集合V(P)，将有向边(v_P，P_c0，v_Q0)，(v_P，P_c1，v_Q1)，(v_P，P_c2，v_Q2)，(v_P，P_c3，v_Q3)，(v_P，P_c4，v_Q4)，(v_P，P_c5，v_Q5)加入有向边集合E(P)，其中状态公式P_c0＝P₁，P_c1＝P₁∧P₂，P_c2＝P₁∧P₂∧P₃，P_c3＝P₁∧P₂∧P₃，P_c4＝P₁∧P₂∧P₃，P_c5＝P₁∧P₂∧P₃∧P₄从可达结点集合V(P)\{v_empty}中删除v_P，并将计数变量k＝k+1＝2；

步骤3.4.5：可达结点集合V(P)\{v_empty}＝{v_Q0，v_Q1，v_Q2，v_Q3，v_Q4，v_Q5}不为空，转到步骤3.4.3；

步骤3.4.5：有限次重复步骤3.4.3～3.4.5，依次构造出图4(f)～(k)的标记正则图，图4(f)为从结点v_P出发构建的标记正则图，图4(g)为从结点v_Q0出发构建的标记正则图，图4(h)为从结点v_Q1出发构建的标记正则图，图4(i)为从结点v_Q2出发构建的标记正则图，图4(j)为从结点v_Q3出发构建的标记正则图，图4(k)为从结点v_Q4和v_Q5出发构建的标记正则图；

步骤3.4.6：从可达结点集合v(P)\{v_empty}中的结点出发构建期望性质公式P的标记正则图G_P结束。

本发明使用期望性质公式P的标记正则图G_P中的有限路径精确刻画期望性质公式P的有穷模型，如图4(f)中从期望性质公式P对应的结点v_P到达期望性质子公式empty对应的结点v_empty的路径，使用G_Q中的无限路径精确刻画Q的无穷模型，如图4(g)中从期望性质子公式Q₀对应的结点v_Q0到v_Q0自身的路径。通过判断有穷和无穷模型的存在情况，提前确定期望性质公式Q是否可满足，如果期望性质公式Q可满足，再进行后续操作计算满足Q的状态集合的布尔编码，如果Q不可满足，那么满足它的状态集合的布尔编码一定为0。同CTL和LTL符号模型检测方法相比，本发明可以较早地得出待验证系统模型不满足期望性质公式Q的结论，节省后续操作所需的时间，提高了检测效率。

实施例4

PPTL符号模型检测方法同实施例1～3，PPTL符号模型检测中计算满足期望性质子公式f_i的状态集合的布尔编码B_fi的过程涉及到步骤3在其定义中有直接调用自身的过程，即递归调用过程。具体是将步骤3看做一个以PPTL公式作为输入、以布尔公式作为输出的函数Procedure_3，步骤3的定义中，其子过程步骤3.5.2和步骤3.5.3在计算满足PPTL时序公式Q′_i的状态集合的布尔编码B_Q′i时，调用了该函数以Q′_i为实际参数的实例Procedure_3(Q′_i)，即B_Q′i＝Procedure_3(Q′_i)。参见图4(e)，Procedure_3递归调用自身的计算满足PPTL时序公式Q₄的状态集合的布尔编码B_Q4时步骤包括：

(1)将PPTL时序公式Q₄展开为其正则形P₄∧empty∨P₄∧○Q₅∨○Q₄；

(2)Q₄的正则形中描述当前性质的析取项P₄∧empty中，满足状态公式P₄的状态集合的布尔编码B_P4可以由符号化的状态空间S和标记函数L直接求得；

(3)Q₄的正则形中描述未来性质的析取项P₄∧○Q₅∨○Q₄，满足状态公式P₄的状态集合的布尔编码B_P4可以由步骤(2)获得，Q₅为将Q₄展开为其正则形过程中新产生的PPTL时序子公式，那么，转到(4)，Q₄为已经出现过的PPTL时序子公式，转到(5)；

(4)调用步骤3，计算满足时序子公式Q₅的状态集合的布尔编码B_Q5＝Procedure_3(Q₅)；

(5)调用步骤3，并结合不动点理论计算满足时序子公式Q′_b的状态集合的布尔编码B_Q4＝fixpoint(Procedure_3(Q₄))；

(6)计算满足PPTL时序公式Q₄的状态集合的布尔编码B_Q4时，调用以Q₄为实际参数的实例Procedure_3(Q₄)，得到B_Q4＝Procedure_3(Q₄)＝B_P4+B_P4·Procedure_3(Q₅)+fixpoint(Procedure_3(Q₄))；

(7)Procedure_3自身递归调用过程结束。

本发明在步骤3定义中直接调用了步骤3本身，使用步骤3计算满足PPTL时序公式Q₄的状态集合的布尔编码B_Q4时，通过递归调用Procedure_3，将步骤3中Procedure_3(B_Q4)的计算过程转化为满足规模更小的PPTL时序子公式Q₅的状态集合的布尔编码B_Q5＝Procedure_3(Q₅)的计算过程。参见图4(e)，Q₁表示了一个图4(d)中期望性质公式P的子公式，计算满足Q₁的状态集合的布尔编码B_Q1的过程，可以通过递归，将该过程转化为满足规模更小的时序子公式Q₂，Q₃，Q₄，Q₅的状态集合的布尔编码B_Q2，V_Q3，B_Q4，B_Q5的计算过程，通过层层递归最终将满足这些子公式的状态集合的布尔编码的计算过程转化为形式最简单的时序子公式Q₅的状态集合的布尔编码B_Q5的计算过程，降低了计算满足PPTL时序公式状态集合的布尔编码复杂度，提高了模型检测的效率。

实施例5

PPTL符号模型检测方法同实施例1～4。参照图3，本发明使用不动点理论刻画满足PPTL时序公式Q′_i≡□a₁的状态集合的布尔编码B_Q′i的计算过程，在数字电路系统中经常含有可以用不动点理论刻画的周期性性质。

将Q′_i的展开为其正则形a₁∧empty∨a₁∧○□a₁，满足PPTL时序公式Q′_i≡□a₁的状态集合的布尔编码B_Q′i＝B_a1+B_a1·R^-1(B_Q′i)，因此B_Q′i为布尔方程τ(B)＝B_a1+B_a1·R^-1(B)的不动点，迁移关系R的布尔编码参见图3(a)，的ROBDD表示如图3(b)所示，基于不动点理论计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i的具体步骤如图3(f)所示：

步骤3.5.3.1：将布尔方程τ(B)＝B_a1+B_a1·R^-1(B)中的自变量B的初值置为B_a1，即B＝B_a1，τ(B_a1)＝B_a1+B_a1·R^-1(B_a1)，的计算过程参见图3(c)，表示布尔公式的ROBDD与图3(b)中表示B_a1的ROBDD相同，因此B_a1·R^-1(B_a1)的计算过程参见图3(d)，表示布尔公式B_a1·R^-1(B_a1)的ROBDD与图3(b)中表示B_a1的ROBDD相同，因此τ(B_a1)＝B_a1+B_a1·R^-1(B_a1)的计算过程参见图3(e)，因此将τ(B)的值赋给布尔变量B′，B′为临时变量用以保存中间数据；

步骤3.5.3.2：自变量B的值为布尔变量B′的值为由于B＝B′＝B_a1，因此B_a1为布尔方程τ(B)＝B_a1+B_a1·R^-1(B)的不动点，转到步骤3.5.3.4，否则转到步骤3.5.3.3；

步骤3.5.3.3：将布尔变量B′的值赋给自变量B，将B更新之后的值代入布尔方程τ(B)，并将τ(B)的值赋给布尔变量B′，转到步骤3.5.3.2，由于步骤3.5.3.2计算后B＝B′＝B_a1，不会转到步骤3.5.3.3，因此实际计算过程中本步骤从略；

步骤3.5.3.4：B_Q′i的值为B的值，即满足时序公式Q′_i的状态集合的布尔编码B_Q′i的计算过程结束。

本发明使用不动点理论刻画满足时序公式Q′_i的状态集合的布尔编码B_Q′i。与使用基本图形数据结构存储状态空间的模型检测计算不动点的方法相比，本发明通过定义以B_Q′i为自变量的布尔方程τ(B)，并将τ(B)使用ROBDD表示，借助于ROBDD的高效布尔方程操作机制，加快了布尔方程τ(B)不动点的计算速度，减少计算不动点需要的迭代次数，提高PPTL符号模型检测过程的效率。

实施例6

PPTL符号模型检测方法同实施例1～4，参见图4，本发明用于对硬件电路系统进行模型检测，待验证系统为采用Verilog硬件描述语言书写的3x+1问题数字电路系统，参见图4(a)，该系统的主要功能包括：

(1)初始状态下，从3x+1问题数字电路系统的输入端输入一个正整数x，并将其存储在6位数据寄存器register_x中；

(2)在每个时钟上升沿(posedge clk)对数据寄存器register_x中的正整数x进行判断，如果该x为偶数，转到(3)，如果x为奇数，转到(4)，如果x为1，转到(5)；

(3)将正整数x作为被除数，正整数2作为除数送入6位阵列除法器，并将阵列除法器返回的计算结果存储在数据寄存器register_x中，即x＝x/2，，转到(2)；

(4)将正整数x和正整数3送入6位并行乘法器，并将并行乘法器返回的计算结果跟正整数1一起送入全加器，然后将全加器返回的结果存储在数据寄存器register_x中，即x＝3x+1，转到(2)；

(5)6位数据寄存器register_x中x的值保持为1。

在3x+1问题数字电路系统的输入端输入正整数5时，该数字电路系统的期望性质公式为P₁；P₂；(P₃)³；P₄。其中期望性质子公式期望性质子公式期望性质子公式期望性质子公式 原子命题a₁表示当前时钟周期6位数据寄存器register_x中正整数的值为偶数，原子命题a₂为1表示当前时钟周期6位数据寄存器register_x中正整数x的值为上一个时钟周期6位数据寄存器register_x中正整数x的值乘以3加上1，原子命题a₃表示当前时钟周期6位数据寄存器register_x中正整数x的值为1。

3x+1问题数字电路系统以Kripke结构描述的待验证模型M＝(S，R，L)，参见图4(b)，其中原题命题集合AP＝{a₁，a₂，a₃}，对于1≤i≤3，a_i表示一个原子命题，状态集合S＝{s₀，s₁，s₂，s₃}，对于0≤i≤3，s_i表示一个状态，迁移关系R＝{(s₀，s₁)，(s₁，s₂)，(s₂，s₂)，(s₂，s₃)，(s₃，s₃)}，对于0≤i(j}≤3，(s_i，s_j)}∈R表示一个状态迁移，标记函数为表示s₀状态下满足的原子命题集合为空集，L(s₁)＝{a₁，a₂}，表示原子命题a₁，a₂在状态s₁成立，L(s₂)＝{a₁}，表示原子命题a₁在状态s₂成立，L(s₃)＝{a₃}，表示原子命题a₃在状态s₃成立。

3x+1问题数字电路系统的PPTL符号模型检测过程包括：

步骤1：将图4(b)中待验证系统模型M中的状态集合S和迁移关系R编码为布尔公式，其中状态s₀，s₁，s₂，s₃的布尔编码分别为000，110，100，001，状态集合S的布尔编码为迁移关系R的布尔编码表示参见图4(c)；

步骤2：使用PPTL描述待验证系统的期望性质，得到期望性质公式P≡P₁；P₂；(P₃)³；P₄；

步骤3：计算满足期望性质公式Q的状态集合的布尔编码B_Q；

步骤3.1：实际计算过程中，定义期望性质公式Q的正则形的步骤从略；

步骤3.2：将期望性质公式P展开为其正则形NF_P，参见图4(d)，NF_P包含7个析取项f₁，...，f₇，f₁＝P₁∧P₂∧P₃∧P₄∧empty，f₂＝P₁∧○Q₀，f₃＝P₁∧P₂∧○Q₁，f₄＝P₁∧P₂∧P₃∧○Q₂，f₅＝P₁∧P₂∧P₃∧○Q₃，f₆＝P₁∧P₂∧P₃∧○Q₄，f₇＝P₁∧P₂∧P₃∧P₄∧○Q₅，其中Q₀表示true；(P₂；(P₃；(P₃；(P₃；P₄))))，Q₁表示true；(P₃；(P₃；(P₃；P₄)))，Q₂表示true；(P₃；(P₃；P₄))，Q₃表示true；(P₃；P₄)，Q₄表示true；P₄，Q₅表示true；用这7个析取项组成期望性质子公式集合N_Q＝{f₁，...，f₇}；

步骤3.3：实际计算过程中，定义期望性质公式Q的标记正则图的步骤从略；

步骤3.4：构造的期望性质公式P的标记正则图，记为G_P，参见图4(f)～图4(k)，G_P中既包含有穷路径也包含无穷路径，因此，期望性质公式P可满足；

步骤3.5：计算所有满足期望性质子公式的状态集合的布尔编码，需要首先将期望性质子公式Q₀～Q₅展开为正则形，Q₀～Q₅的正则形参见图4(e)，然后分别计算满足期望性质子公式Q₀，Q₁，Q₂，Q₃，Q₄，Q₅的状态集合的布尔编码B_Q0，B_Q1，B_Q2，B_Q3，B_Q4，B_Q5：

B_P＝B_{P1∧P2∧P3∧P4}+B_{P1∧P2∧P3∧P4}·R^-1(B_Q5)+B_P1·R^-1(B_Q0)+B_P1∧P2·R^-1(B_Q1)+B_P1∧P2∧P3·R^-1(B_Q2+B_Q3+B_Q4)

B_Q0＝B_P2∧P3∧P4+B_P2∧P3∧P4·R^-1(B_Q5)+R^-1(B_Q0)+B_P2·R^-1(B_Q1)+B_P2∧P3·R^-1(B_Q2+B_Q3+B_Q4)

B_Q1＝B_P3∧P4+B_P3∧P4·R^-1(B_Q5)+R^-1(B_Q1)+B_P3·R^-1(B_Q2+B_Q3+B_Q4)

B_Q2＝B_P3∧P4+B_P3∧P4·R^-1(B_Q5)+R^-1(B_Q2)+B_P3·R^-1(B_Q3+B_Q4)

B_Q3＝B_P3∧P4+B_P3∧P4·R^-1(B_Q5)+R^-1(B_Q2)+B_P3·R^-1(B_Q3+B_Q4)

B_Q4＝B_P4+B_P4·R^-1(B_Q5)+R^-1(B_Q4)

B_Q5＝1

步骤3.6：计算满足期望性质子公式Q₄的状态集合的布尔编码B_Q4时，B_Q4为布尔公式τ(B)＝B_P4+B_P4·R^-1(B_Q5)+R^-1(B_Q4)的不动点，根据不动点理论计算出满足期望性质子公式Q₄的状态集合的布尔编码

步骤3.7：计算满足期望性质子公式Q₃的状态集合的布尔编码B_Q3时，将步骤3.6中得到的B_Q4带入步骤3.5中的B_Q3，得到B_Q3为布尔公式 的不动点，根据不动点理论计算出满足期望性质子公式Q₃的状态集合的布尔编码类似的，可以计算出 $B_{Q1}=B_{Q2}=\stackrel{-}{x_1}\stackrel{-}{x_2}\stackrel{-}{x_3}+x_1\stackrel{-}{x_3};$

步骤3.8：将步骤3.6～3.7得到的满足期望性质子公式Q₀，Q₁，Q₂，Q₃，Q₄，Q₅的状态集合的布尔编码B_Q0，B_Q1，B_Q2，B_Q3，B_Q4，B_Q5带入B_P，得到满足期望性质公式P的状态集合的布尔编码

步骤4：由于B_P≠0，因此待检测的模型M满足期望的性P≡P₁；P₂；(P₃)³；P₄，即以Verilog描述的3x+1数字电路系统，当输入端x的初始值为整数5时满足性质P₁；P₂；(P₃)³；P₄；

步骤5：待验证的3x+1问题数字电路系统的PPTL符号模型检测结束。

大量的数字电路系统、应用软件控制逻辑、以及网络通信协议中包含许多布尔变量，布尔变量和布尔公式均可以由唯一确定的ROBDD表示，本发明借助ROBDD操作布尔公式，特别适合于高效的检测和验证数字电路系统设计缺陷、应用软件控制逻辑错误以及网络通信协议的正确性。

综上所述，本发明属于可信计算领域，主要涉及系统形式化建模与验证技术领域，尤其涉及命题投影时序逻辑(PPTL)和符号模型检测方法(SMC)。本发明主要针对现有模型检测方法中出现的时序逻辑描述能力不足和状态空间爆炸问题，提出一种PPTL符号模型检测方法，使用规范语言PPTL描述待验证系统的期望性质，可以描述CTL和LTL等现有的时序逻辑无法描述的性质，如状态敏感性质、顺序性质和闭包性质，且PPTL的表达能力等价于完全正则语言，因此可以将符号模型检测中待验证系统期望性质的描述能力扩展到完全正则型。通过将待验证系统的状态空间和迁移关系使用布尔公式进行编码，借助ROBDD的压缩存储和有效地布尔公式操作机制对待验证系统模型的状态空间进行高效、简洁的搜索，降低了存储和操作状态空间所需要的内存空间，从而提升模型检测可以处理问题的规模，并且有效缓解状态空间爆炸问题。本发明可应用于工业、农业、军事、科研等领域硬件系统设计缺陷的检测，软件系统及控制逻辑错误的检查以及通信协议正确性的形式化验证。

Claims (1)

1.一种用于硬件电路系统的PPTL符号模型检测方法，其特征在于：使用具有完全正则表达能力的规范语言PPTL描述待验证系统的期望性质；使用Kripke结构M＝(S，R，L)描述待验证系统模型，并将模型M的状态集合S和迁移关系R使用布尔变量进行编码，进而将编码得到的布尔公式使用归约有序二叉决策图表示，借助于归约有序二叉决策图的布尔公式操作机制对被验证系统模型M进行搜索，

模型检测步骤包括：

步骤1：首先对待验证系统建模，采用Kripke结构描述模型M＝(S，R，L)，并将模型M中的状态集合S和迁移关系R分别编码为形式是x₁·x₂·...·x_n和(x₁·x₂·...·x_n)·(x₁′·x₂′·...·x_n′)的布尔公式，并将标记函数L定义为AP→2^S，其中AP为原子命题的集合，2^S为状态集合S的幂集；标记函数L将每个原子命题a_i∈AP映射到满足a_i的状态集合；

步骤2：使用PPTL描述待验证系统的期望性质，得到期望性质公式Q；

步骤3：计算满足期望性质公式Q的状态集合的布尔编码B_Q；

对于任何以PPTL描述的期望性质公式Q，将Q改写为其正则形，记为NF_Q，并构建Q的完全正则图G_Q，其中计算满足以PPTL描述的期望性质公式Q的状态集合的布尔编码B_Q的具体步骤包括：

步骤3.1：定义期望性质公式Q的正则形，对于任何以PPTL描述的期望性质公式Q，Q的正则形定义为：其中Q_P为Q中出现的原子命题的集合，l为Q_P中原子命题的数量，l＝|Q_p|，n为Q的正则形中描述当前性质的析取项Q_ej∧empty的数量，n₀为Q的正则形中描述未来性质的析取项Q_ci∧○Q_i′的数量，1≤n(n₀)≤3^l，m为状态公式Q_ej中原子命题的数目，m₀为状态公式Q_ci中原子命题的数目，1≤m(m₀)≤l；状态子公式q_ik和q_ih属于Q_P，对于任意公式r∈Q_P，表示r或者r；Q_i′是一个用时序操作符“○”修饰的PPTL时序公式；

步骤3.2：根据步骤3.1所述的正则形定义将期望性质公式Q改写为其正则形，记为NF_Q＝f_i∨f₂∨...∨f_n，其中包含n个用析取操作符“∨”连接的期望性质子公式f₁，...，f_n，用这些期望性质子公式组成期望性质子公式集合N_Q＝{f₁，...，f_n}；

步骤3.3：定义期望性质公式Q的标记正则图，对于任何以PPTL描述的期望性质公式Q，将Q的标记正则图(LNFG)定义为有向图G＝(V(Q)，E(Q)，V₀，L＝{L₁，L₂，…L_m})，其中V(Q)是结点集合，每个结点对应一个PPTL公式；E(Q)是有向边的集合，每条边记为(v_Q，Q_e，v_F)，即从结点v_Q到结点v_F有一条用状态公式Q_e标记的有向边；V₀是初始结点的集合；标记集合L中的每个子集合L_k(1≤k≤m)为带标签l_k～的结点集合，k为标签的计数变量；

步骤3.4：根据步骤3.3所述的标记正则图定义，构造期望性质公式Q的标记正则图，记为G_Q；

对于任何期望性质公式Q，根据其正则形NF_Q都可以构造其标记正则图G_Q，其中构建期望性质公式Q的标记正则图G_Q的具体步骤如下：

步骤3.4.1：如果期望性质公式Q的形式为P₁∨P₂∨...∨P_n，则为每个期望性质子公式P_i(1≤i≤n)构造一个与P_i对应的结点v_Pi，v_Pi∈V(Q)且v_Pi∈V₀；否则，仅为期望性质公式Q构造一个与Q对应的结点v_Q，v_Q∈V(Q)且v_Q∈V₀；

步骤3.4.2：将计数变量k的初值置为1；

步骤3.4.3：从可达结点集合V(Q)\{v_empty}中任选一个结点，记为v_Q1，如果v_Q1对应的PPTL公式Q₁形式为Q_i；Q_j，将Q₁改写为Q_i∧fin(l_k)；Q_j，v_Q1加入计数变量为k的标记结点集合L_k；

步骤3.4.4：将Q₁展开为其正则形构造一个与期望性质子公式empty对应的结点v_empty，v_empty∈V(Q)，对于所有1≤j≤h，有向边(v_Q1，Q_ej，v_empty)∈E(Q)；对于所有1≤i≤k，构造一个与时序公式Q_i′对应的结点v_Qi′，v_Qi′∈V(Q)，有向边(v_Q1，Q_cj，v_Qi′)∈E(Q)，从可达结点集合V(Q)＼{v_empty}中删除v_Q1，并将计数变量k加1；

步骤3.4.5：如果可达结点集合V(Q)\{v_empty}不为空，则转到步骤3.4.3，否则转到步骤3.4.6；

步骤3.4.6：期望性质公式Q的标记正则图构建结束；

如果G_Q中不包含v_empty结点，并且对于G_Q中的任意无限路径π，π中出现无限多次的结点的集合记为Inf(π)，存在一个标记结点集合L_i，使得Inf(π)是L_i的子集，那么满足Q的状态集合的布尔编码B_Q＝0，转到步骤3.8，反之转到步骤3.5；

步骤3.5：从期望性质子公式集合N_Q中任选一个期望性质子公式f_i，使用以布尔公式符号化表示的状态集合S和迁移关系R计算出满足期望性质子公式f_i的状态集合的布尔编码B_fi，如果f_i中包含状态公式，那么满足该状态公式的状态集合的布尔编码不经过形式判定，直接由符号化的状态集合S和标记函数L求得；

期望性质子公式f_i的形式仅为Q_e∧empty和Q_ie∧○Q′_i两种形式，其中计算满足f_i的状态集合的布尔编码B_fi的具体步骤包括：

步骤3.5.1：如果期望性质子公式f_i的形式为Q_e∧empty，那么B_fi＝B_Qe，其中B_Qe为待验证系统模型M中满足状态公式Q_e的状态集合的布尔编码，转步骤3.5.4，否则转到步骤3.5.2；

步骤3.5.2：如果期望性质子公式f_i的形式为Q_ie∧○Q′_i，且PPTL时序公式Q′_i之前未被标记过，那么，首先使用步骤3计算满足PPTL时序公式Q′_i的状态集合的布尔编码B_Q′i，然后，使用逻辑与操作符“·”连接满足状态公式Q_ie的状态集合的布尔编码B_Qie与B_Q′i在迁移关系R作用下的原象R^-1(B_Q′i)得到B_fi，即B_fi＝B_Qie·R^-1(B_Q′i)，然后标记Q′_i，转步骤3.5.4，否则转到步骤3.5.3；

步骤3.5.3：如果期望性质子公式f_i的形式为Q_ie∧○Q′_i，且PPTL时序公式Q′_i之前被标记过，那么，首先使用步骤3和不动点理论计算满足已标记过的PPTL时序公式Q′_i的状态集合的布尔编码fixpoint(τ(B_Q′i))；

计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i的过程中，如果出现已标记过的时序公式，那么需要借助不动点理论刻画B_Q′i，B_Q′i的布尔方程形如：τ(B)＝B_Qie·R^-1(B_Qje·R^-1(B_Qke·R^-1(B)))，其中，计算满足已标记过的时序公式Q′_i的状态集合的布尔编码fixpoint(τ(B_Q′i))的具体步骤如下：

步骤3.5.3.1：将布尔方程τ(B)＝B_Qie·R^-1(B_Qji·R^-1(B_Qke·R^-1(B)))中的自变量B的初值置为B_Qie，即B＝B_Qie，同时将τ(B)的值赋给布尔变量B′；

步骤3.5.3.2：如果自变量B的值等于布尔变量B′的值，则转到步骤3.5.3.4，否则转到步骤3.5.3.3；

步骤3.5.3.3：将布尔变量B′的值赋给自变量B，将B更新之后的值代入布尔方程τ(B)，并将τ(B)的值赋给布尔变量B′，转到步骤3.5.3.2；

步骤3.5.3.4：fixpoint(τ(B_Q′i))的值为B的值，满足时序公式Q′_i的状态集合的布尔编码fixpoint(τ(B_Q′i))的计算过程结束；

然后使用逻辑与操作符“·”连接满足状态公式Q_ie的状态集合的布尔编码B_Qie与fixpoint(τ(B_Q′i))在迁移关系R作用下的原象R^-1(fixpoint(τ(B_Q′i)))得到B_fi，即B_fi＝B_Qie·R^-1(fixpoint(τ(B_Q′i)))；

步骤3.5.4：计算满足期望性质子公式f_i的状态集合的布尔编码B_fi过程结束；

子过程步骤3.5.2和步骤3.5.3计算满足时序公式Q′_i的状态集合的布尔编码B_Q′i时直接递归调用了步骤3本身；

步骤3.6：从期望性质子公式集合N_Q中删除f_i，如果N_Q不为空则转到步骤3.5，反之转到步骤3.7；

步骤3.7：满足期望性质公式Q的状态集合的布尔编码B_Q＝B_f1+...+B_fn；

步骤3.8：计算满足期望性质公式Q的状态集合的布尔编码B_Q的过程结束；

步骤4：如果B_Q≠0，那么待验证系统的模型M满足期望性质公式Q，模型检测结果显示待验证系统满足期望的性质；如果B_Q＝0，那么待验证系统的模型M不满足期望性质公式Q，模型检测结果显示待验证系统不满足期望的性质；

步骤5：待验证系统的PPTL符号模型检测结束。