WO2000026824A1 - Verfahren und anordnung zum vergleich einer ersten eigenschaft mit vorgegebenen eigenschaften eines technischen systems - Google Patents

Verfahren und anordnung zum vergleich einer ersten eigenschaft mit vorgegebenen eigenschaften eines technischen systems Download PDF

Info

Publication number
WO2000026824A1
WO2000026824A1 PCT/DE1999/003486 DE9903486W WO0026824A1 WO 2000026824 A1 WO2000026824 A1 WO 2000026824A1 DE 9903486 W DE9903486 W DE 9903486W WO 0026824 A1 WO0026824 A1 WO 0026824A1
Authority
WO
WIPO (PCT)
Prior art keywords
comparison
technical system
property
methods
nodes
Prior art date
Application number
PCT/DE1999/003486
Other languages
English (en)
French (fr)
Inventor
Jörg LOHSE
Peter Warkentin
Original Assignee
Siemens Aktiengesellschaft
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Aktiengesellschaft filed Critical Siemens Aktiengesellschaft
Priority to JP2000580131A priority Critical patent/JP4418591B2/ja
Priority to EP99959229A priority patent/EP1127323A1/de
Publication of WO2000026824A1 publication Critical patent/WO2000026824A1/de
Priority to US09/848,584 priority patent/US6581026B2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F30/00Computer-aided design [CAD]
    • G06F30/30Circuit design
    • G06F30/32Circuit design at the digital level
    • G06F30/33Design verification, e.g. functional simulation or model checking
    • G06F30/3323Design verification, e.g. functional simulation or model checking using formal methods, e.g. equivalence checking or property checking

Definitions

  • the invention relates to a method and an arrangement for comparing a first property with specified properties of a technical system.
  • Model Checking is a technique for verifying the properties of a technical system using certain methods.
  • MC Model Checking
  • a first approach to combinatorial circuit verification attempts to generate functional implications by generating test patterns and comparing them
  • the SAT comparison method is characterized in that for any Boolean notation of the form
  • the object on which the invention is based is to compare a first property with specified properties of a technical system, in particular ensuring an automatic solution to the comparison problem.
  • a method for comparing a first property with specified properties of a technical system in which at least two comparison methods are provided, each of which can carry out a comparison of the first property with the specified properties of the technical system.
  • the at least two comparison methods are processed in a predetermined order until a result of the comparison is determined. It is particularly advantageous that different comparison methods are automatically processed.
  • a further development consists in the fact that the result of the comparison is an equality or a difference of the first property from the properties of the technical system.
  • the comparison can be broken off as soon as a single difference is discovered.
  • Another development provides that the first property is verified by the technical system on the basis of equality.
  • the at least two comparison methods can in particular be two of the following comparison methods: a) SAT comparison method; b) simulation methods; c) BDD procedure; d) ATPG procedure; e) Procedure based on internal equivalence points.
  • the BDD method can be a ROBDD method.
  • the ROBDD method can be carried out with regard to its leaves or with respect to the cutting planes.
  • the technical system can be a circuit, in particular an electrical digital circuit.
  • Comparison method an approach to represent the problem to be solved (here: the entire comparison). This is taken up in another comparison method as an intermediate result, which results in a saving in computing time and / or storage space.
  • diagnostic information is preferably displayed that enables a user to determine the cause of the inequality.
  • the technical system is described as a finite automaton.
  • the first property can be represented as a Boolean function.
  • the behavior of the technical system over a predetermined time interval can be described by the first property.
  • a hybrid proofer ie a process with several comparison methods, can be used to solve one Verification task can be used.
  • a hybrid prover is a framework that contains a lot of partial provers (individual comparison procedures).
  • the hybrid demonstrator coordinates the way the partial provers work. The goal is to solve verification tasks by using different provers that no provers would have solved on their own. If none of the partial provers can solve a given verification task, the verification task is broken down. For this purpose, each sub-demonstrator is assigned sub-tasks that he can work on by specifying resources. If a threshold value for the allocation of associated resources is exceeded, the verifier stops processing. The hybrid creator then decides whether the subtask is to be dealt with by another subprover, whether the resources should be increased, or whether another subtask should be continued.
  • a threshold value for resources to be provided e.g. storage space or computing power
  • time to be provided for carrying out the comparison method is determined for each comparison method, the respective comparison method being terminated as unsuccessful if the threshold value is exceeded.
  • sequence of the comparison methods to be carried out is adapted dynamically. This is preferably done by logging which comparison method has determined the most results, this "best" comparison method for future ones Comparisons are used first. Accordingly, the order is sorted using the "second best", the “third best”, etc. comparison method.
  • the result of the comparison can be used to design, adapt or control the technical system.
  • the result of the described comparison if it is positive, can be implemented directly by a predetermined description form initiating a production process of the circuit.
  • Properties of a technical system which has a processor unit which is set up such that a) at least two comparison methods are provided, each of which can carry out a comparison of the first property with the specified properties of the technical system; b) processing the at least two comparison methods in a predetermined sequence until a result of the comparison can be determined.
  • Fig.l is a block diagram for the operation of a hybrid verifier; 2 shows a block diagram for the selection of elementary proofers as parts of a hybrid proofer;
  • Fig. 3 is a block diagram for an internal equivalence point verifier
  • Fig. 4 is a block diagram illustrating the execution of a full simulation
  • FIG. 5 shows a block diagram with steps of a ROBDD detection method
  • FIG. 6 shows a processor unit
  • a procedure for Model Checking (MC) is in particular as follows:
  • t is an arbitrary fixed point in time. Properties are formulated with reference to this point in time.
  • a property (over n points in time) is a Boolean combination of finitely many time-related elementary statements
  • finite automata systems of this type are, for example, circuits (in the form of VHDL programs or EDIF network lists).
  • a finite, deterministic automaton is a 5-tuple of the form
  • MAA is a set of atomic statements (AA) and P: S x I - »power set (MAA) is an evaluation function.
  • the evaluation function P indicates which atomic statements (AA) are fulfilled in a state.
  • a characteristic function ⁇ j ? of a property E is used to determine the validity of the property E.
  • the characteristic function ⁇ jr is a function
  • denotes a path of length n if s k + ⁇ is a successor state of s k , ie if it holds
  • a property E over n points in time is met if and only if:
  • the combinatorial comparison compares two finite, deterministic automatons with output. These machines can e.g. represent two digital circuits.
  • a finite, deterministic automaton with output is a 5-tuple
  • M 2 are bijective images
  • the automatons Mi, M 2 are called combinationally equivalent with respect to a common coding according to equation (25) if and only if
  • a binary coding of S, I, 0 converts this into a (finite) number of equality relations between Boolean functions.
  • equation (31) In a first step, the functions according to equation (31) are represented by a directed acyclic graph.
  • the individual methods, also referred to as partial provers, are based on this graph structure.
  • a directed, acyclic graph is a set K of nodes and a set (c K x K) of directed edges, each connecting two nodes.
  • the graph does not include cycles.
  • a node k 2 is called the son of the node ki, if a directed edge connects the node k with the node k 2 .
  • Leaves are knots with no edges. Roots are knots with no edges. Directed edges run from top to bottom so that roots are at the top and leaves are at the bottom of the graph.
  • a base (also: section plane) of a graph is a subset of nodes with the property "every path from a root to a leaf runs through a node of the base".
  • the crowd forms all
  • k be a node in the graph structure G.
  • the so-called Cone of Influence of k is the smallest substructure G k of G for which the following applies: the node k belongs to G k and with a node k 'all belong Sons from k 'to G k .
  • a directed, acyclic graph represents a Boolean function:
  • a Boolean operation op k is assigned to each node k that is different from a leaf.
  • the sons of node k are the operands of op k .
  • Leaves (roots) represent the arguments (the value) of the Boolean function.
  • a leaf can also be a constant with a value "0" or a value "1".
  • Each node of the graph structure G represents a Boolean function boole k , which is dependent on the primary inputs.
  • the representation of a Boolean function as a graph is not canonical, ie there are generally many different representations. Nodes that represent the same Boolean function are called equivalent.
  • edges can be marked to symbolize single-digit operations, eg not. For example, in [1] in the node only a two-digit and-approved operation. The (single-digit) emergency operation is identified by marking the edge.
  • ATPG procedure automatic test pattern generation
  • SAT method Boolean satisfiability algorithms
  • each leaf is assigned a value "0" or "1". If a value has been assigned to each son of a node k, the value of the node k is determined by means of the operation op k .
  • ROBDDs Reduced Ordered Binary Decision Diagrams, (see [2]) represent a Boolean function as an acyclic graph. For a given permutation of the arguments, the variable order, this representation is unambiguous. In many cases, the variable order is decisive for the size of the graph If it is possible to represent the Boolean function as a ROBDD (taking into account existing restrictions on memory and runtime), the uniqueness of the representation means that the question of the equality of different technical systems is solved immediately. The success of this method depends on the Boolean function and the selected order of variables.
  • a BDD variable is assigned to each base node. This is important because the assignment of variables in particular is determined by this assignment. Are the ROBDDs for everyone Calculates sons of a node k, the ROBDD of node k can also be generated. If the size of a ROBDD exceeds a given limit, the ROBDD generation is aborted. (In [1] a new variable is assigned to the node and further calculated.)
  • ROBDDs is the main representative from a series of similar representations for Boolean functions (compare in particular [2]). Any of the representations listed there can be used here.
  • the Boolean functions (31) are represented by a directed, acyclic graph G. For each function Fj_j there is a node kj_j in graph G which represents Fj_j. The equations Fj ⁇ F 2 j are now sorted with respect to the
  • the hybrid verifier is called up successively for each pair of nodes (k ⁇ _j, k 2 jl, starting with pairs of nodes close to the leaves.
  • Fig.l a hybrid proof is shown.
  • Two nodes k, k 2 of the graph G serve as input into the proofer (see block 1 in FIG. 1).
  • the goal is to decide whether the functions represented by the nodes k, k boolek-,, boole k ;? are identical, ie whether
  • the graph G represents a global data structure that can be accessed by every partial verifier (elementary verifier, see block 102 and Fig. 2).
  • the partial provers try to simplify the graph G step by step by combining equivalent nodes, so that finally, for example by means of a complete simulation, the equation (34) can be proved or refuted.
  • C0I (k ⁇ , k 2 ) denotes the "Cone of Influence”. of ki, k 2 in graph G.
  • a block 103 is used to prove internal equivalence points (see also Fig. 3).
  • Each individual proofer can give the results "FALSE” 104, i.e. the technical systems to be compared are different, “TRUE” 106 if the systems are the same, or "OPEN” 105 if the prover could not come to a result.
  • Step 1 Complete simulation, see Fig. 2, block 201 and Fig. 4:
  • Step 2 ROBDDs regarding leaves, see block 202: choose the set of all leaves of COI (k, k 2 ) as a basis. Calculate ROBDDs on COI (k, k 2 ) up to a given size. If redundant nodes are present in C0I (k ⁇ , k 2 ), ie nodes with the same ROBDD representation occur, these redundant nodes are eliminated and step 2 is repeated.
  • Step 3 ROBDDs regarding cutting planes, see block 203 and Fig. 5:
  • Step 3 is repeated by moving the base towards the leaves (see block 504).
  • step 3 ended (see blocks 505 and 506).
  • Step 4 ATPG, see block 204:
  • Step 5 SAT, see block 205:
  • the statement (34) is converted into a conjunctive normal form and passed on to a SAT prover (e.g. [3] or [4]).
  • a SAT prover e.g. [3] or [4]
  • Step 6 Proof of internal equivalence points, see block 103 and Fig. 3: Step 6.1: (RPS - Random Pattern Simulation): The nodes of the graph structure G are broken down into equivalence classes (see block 301): starting from a breakdown ⁇ K ⁇ , an existing breakdown is refined by means of a simulation step. A class AK is broken down into two subclasses AKn, AK, AKi representing the set of all nodes e AK to which the value i is assigned by the simulation. The simulation uses a random generator for the value assignment of the
  • An equivalence class represents a set of nodes that potentially represent the same function.
  • Step 6.2 One after the other all potentially equivalent
  • the pair of nodes (u ⁇ , u 2 ) is actually equivalent: a node is redundant and can be eliminated (see block 307); b. the pair of nodes (u, u 2 ) is not equivalent: an assignment of the variables (leaves of the "Cone of Influence" of ui, u) was found on the the two functions boolean Ul and boolean u "differ. After assigning random values for the remaining sheets of graph G, graph G is simulated and the previous equivalence class decomposition is refined. This reduces the number of potentially equivalent node pairs (see block 308); c. the proof of equivalence is due
  • the processor unit PRZE comprises a processor CPU, a memory SPE and an input / output interface IOS, which is used in different ways via an interface IFC: an output is visible on a monitor MON and / or on a printer via a graphic interface PRT issued. An entry is made using a mouse MAS or a keyboard TAST.
  • the processor unit PRZE also has a data bus BUS, which ensures the connection of a memory MEM, the processor CPU and the input / output interface IOS.
  • additional components can be connected to the data bus BUS, for example additional memory, data storage (hard disk) or scanner.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Geometry (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Tests Of Electronic Circuits (AREA)
  • Design And Manufacture Of Integrated Circuits (AREA)

Abstract

Im Rahmen eines Model Checkings wird versucht, eine Eigenschaft an einem technischen System nachzuweisen. Dazu wird ein Vergleich durchgeführt, bei dem mehrere Vergleichsverfahren derart zu koordinieren sind, daß der Vergleich zu einem Ergebnis führt. Insbesondere ist der Vergleich beendet, sobald ein Vergleichsverfahren den Nachweis erbringt, daß die Eigenschaft in dem System vorliegt bzw. daß die dort Eigenschaft nicht enthalten ist.

Description

Beschreibung
Verfahren und Anordnung zum Vergleich einer ersten Eigenschaft mit vorgegebenen Eigenschaften eines technischen Systems
Die Erfindung betrifft ein Verfahren und eine Anordnung zum Vergleich einer ersten Eigenschaft mit vorgegebenen Eigenschaften eines technischen Systems.
Model Checking (MC) ist eine Technik, um Eigenschaften eines technischen Systems mit bestimmten Verfahren zu verifizieren. Beim Einsatz an dem technischen System ergibt sich bisher gelegentlich ein großes Komplexitätsproblem (State Explosion Problem) . Aufgrund dessen werden erhebliche Anstrengungen unternommen, um aus einem zu verifizierenden System einen Teil herauszulösen, der für die Analyse relevant und praktisch verifizierbar ist. Selbst dann scheitert die Verifikation oft an bestehenden Resourcenlimits (Rechenleistung, Speicherplatz) .
Aus [1] ist bekannt, einen Vergleich zweier Schaltungen mittels Binary Decision Diagrams (BDDs) durchzuführen. Insbesondere wird dabei abgestellt auf digitale Schaltkreise hoher Komplexität, die miteinander verglichen werden sollen bzw. für die strukturelle Ähnlichkeiten ermittelt werden (kombinatorische Schaltkreisverifikation) .
Ein erster Ansatz der kombinatorischen Schaltkreisverifikation versucht funktionale Implikationen zu erzeugen, indem Testmuster generiert und auf die zu vergleichenden
Schaltkreise angewandt werden (ATPG-Verfahren) . Dabei wird das Ziel verfolgt, zu beweisen, daß eine Exklusiv-Oder- Funktion zwischen zwei zu vergleichenden Ausgabewerten nicht mit einer logischen "1" belegt werden kann. Ein anderer Ansatz zur kombinatorischen Schaltkreisverifikation beruht auf einer kanonischen Beschreibung Boolescher Funktionen. Eine solche kanonische Beschreibung wird dargestellt durch BDDs oder spezielle Varianten der BDDs, z.B. durch Reduced Ordered BDDs (ROBDDs), vergleiche insbesondere [2] . Ein spezielles Problem der BDDs ist ihr exponentiell steigender Speicherplatzbedarf.
Ein sogenanntes SAT-Vergleichsverfahren (auch: SAT- Vergleicher; SAT = "Satisfiability") ist aus [3], [4] oder. [7] bekannt. Das SAT-Vergleichsverfahren zeichnet sich dadurch aus, daß für beliebige Boolesche Notationen der Form
(ki v k2) Λ (k3 v k5) Λ (k2 v k4) (1)
systematisch Lösungen gesucht werden. Ist bei der Suche der gesamte Suchraum ausgeschöpft und keine Lösung gefunden, so ist das zugrundeliegende Boolesche Problem nicht lösbar.
Die der Erfindung zugrundeliegende Aufgabe besteht darin, eine erste Eigenschaft mit vorgegebenen Eigenschaften eines technischen Systems zu vergleichen, wobei insbesondere eine automatische Lösung des Vergleichsproblems sichergestellt wird.
Diese Aufgabe wird gemäß den Merkmalen der unabhängigen Patentansprüche gelöst. Weiterbildungen der Erfindung ergeben sich auch aus den abhängigen Ansprüchen.
Zur Lösung der Aufgabe wird ein Verfahren zum Vergleich einer ersten Eigenschaft mit vorgegebenen Eigenschaften eines technischen Systems angegeben, bei dem mindestens zwei Vergleichsverfahren vorgesehen sind, deren jedes einen Vergleich der ersten Eigenschaft mit den vorgegebenen Eigenschaften des technischen Systems durchführen kann. Die mindestens zwei Vergleichsverfahren werden in einer vorgegebenen Reihenfolge solange abgearbeitet, bis ein Ergebnis des Vergleichs bestimmt wird. Dabei ist es insbesondere von Vorteil, daß automatisch unterschiedliche Vergleichsverfahren abgearbeitet werden.
Eine Weiterbildung besteht darin, daß das Ergebnis der Vergleichs eine Gleichheit oder eine Verschiedenheit der ersten Eigenschaft von den Eigenschaften des technischen Systems ist.
Insbesondere kann der Vergleich abgebrochen werden, sobald eine einzelne Verschiedenheit entdeckt wird.
Eine andere Weiterbildung sieht vor, daß anhand der Gleichheit die erste Eigenschaft durch das technische System verifiziert wird.
Bei den mindestens zwei Vergleichsverfahren kann es sich insbesondere um zwei der folgenden Vergleichsverfahren handeln: a) SAT-Vergleichsverfahren; b) Simulationsverfahren; c) BDD-Verfahren; d) ATPG-Verfahren; e) Verfahren basierend auf internen Äquivalenzpunkten.
Insbesondere kann das BDD-Verfahren ein ROBDD-Verfahren sein. Weiterhin kann das ROBDD-Verfahren bezüglich seiner Blätter oder bezüglich der Schnittebenen durchgeführt werden.
Das technische System kann eine Schaltung, insbesondere eine elektrische Digitalschaltung sein.
Weiterhin ist es möglich, zumindest einen Teil des Vergleichs durchzuführen, wobei ein Zwischenergebnis eine Komplexität des gesamten Vergleichs reduziert. Durch eine auf diese Art reduzierte Komplexität kann mittels eines Vergleichsverfahrens, das ursprünglich an dem gesamten Vergleich scheiterte, ein Ergebnis erzielbar sein. Weiterhin ist es möglich, das Zwischenergebnis eines Vergleichsverfahrens, das nicht zu Ende durchführbar war, in einem weiteren Vergleichsverfahren zu nutzen (Ausnutzung von Seiteneffekten) . So bietet ein abgebrochenes BDD-
Vergleichsverfahren einen Ansatz zur Darstellung des zu lösenden Problems (hier: des gesamten Vergleichs) . Dieser wird in einem anderen Vergleichsverfahren aufgegriffen als Zwischenergebnis, was in einer Einsparung von Rechenzeit und/oder Speicherplatz resultiert.
Ergibt ein Vergleich als Ergebnis Ungleichheit, so werden bevorzugt Diagnoseinformationen dargestellt, die es einem Benutzer ermöglichen, die Ursache für die Ungleichheit zu ermitteln.
Im Rahmen einer Weiterbildung wird das technische System als ein endlicher Automat beschrieben. Ferner kann die erste Eigenschaft als eine Boolesche Funktion dargestellt sein. Zusätzlich kann durch die erste Eigenschaft ein Verhalten des technischen Systems über einem vorgegebenen Zeitintervall beschrieben sein.
Digitale Schaltungen werden zunehmend größer. Ein Test auf korrektes Verhalten wird damit komplexer, zeitaufwendiger und teurer. MC für Schaltungen realer Größe ist damit ein entscheidender ökonomischer Faktor. Durch das vorgestellte Verfahren und die zugehörige Anordnung wird die Handhabbarkeit der Technik für den Nutzer erheblich vereinfacht. Der hier beschriebene Ansatz beschränkt sich nicht auf einen Hardware-Entwurf, sondern kann auch zur Verifikation von Software, deren Verhalten bevorzugt durch einen endlichen Automaten beschreibbar ist (z.B. SDL- Programme, Protokolle) , eingesetzt werden.
Im vorliegenden Ansatz kann ein hybrider Beweiser, d.h. ein Prozeß mit mehreren Vergleichsverfahren, zur Lösung einer Verifikationsaufgabe eingesetzt werden. Ein hybrider Beweiser ist ein Rahmenwerk, welches eine Menge von Teilbeweisern (einzelne Vergleichsverfahren) enthält. Der hybride Beweiser koordiniert die Arbeitsweise der Teilbeweiser . Ziel ist es, durch den Einsatz verschiedener Beweiser Verifikationsaufgaben zu lösen, die kein Beweiser alleine gelöst haben würde. Kann keiner der Teilbeweiser eine gegebene Verifikationsaufgabe lösen, so wird die diese Verifikationsaufgabe zerlegt. Dazu werden jedem Teilbeweiser Unteraufgaben übertragen, die er unter Vorgabe von Ressourcen bearbeiten kann. Bei Überschreitung eines Schwellwertes für die Belegung zugehöriger Ressourcen, bricht der Beweiser seine Bearbeitung ab. Der hybride Beweiser entscheidet dann, ob die Unteraufgabe von einem anderen Teilbeweiser behandelt wird, ob die Ressourcen erhöht werden sollen oder ob mit einer anderen Unteraufgabe fortgefahren wird.
Im Rahmen einer zusätzlichen Ausgestaltung wird für jedes Vergleichsverfahren ein Schwellwert für bereitzustellende Ressourcen (z.B. Speicherplatz oder Rechenleistung) und/oder zur Durchführung des Vergleichsverfahrens bereitzustellende Zeit bestimmt, wobei bei Überschreitung des Schwellwerts das jeweilige Vergleichsverfahren als nicht erfolgreich beendet wird.
Dies ist besonders dann von Vorteil, wenn ein einzelnes Vergleichsverfahren, z.B. durch schnell ansteigende Komplexität, einen Rechner, auf dem es abläuft, blockiert oder keine Lösung in einem vorgegebenen Zeitintervall bestimmt wird. In so einem Fall ist es oft besser, eine Lösung mit dem nächsten Vergleichsverfahren zu erwirken.
Auch ist es eine Weiterbildung, daß die Reihenfolge der durchzuführenden Vergleichsverfahren dynamisch angepaßt wird. Dies geschieht bevorzugt dadurch, daß mitprotokolliert wird, welches Vergleichsverfahren die meisten Ergebnisse bestimmt hat, wobei dieses "beste" Vergleichsverfahren für zukünftige Vergleiche als erstes eingesetzt wird. Entsprechend erfolgt eine Sortierung der Reihenfolge mit dem "zweitbesten", dem "drittbesten", usf. Vergleichsverfahren.
Das Ergebnis des Vergleichs kann eingesetzt werden, um einen Entwurf, eine Anpassung oder eine Steuerung des technischen Systems durchzuführen.
Insbesondere bei der Schaltkreissimulation kann das Ergebnis des beschriebenen Vergleichs, so es positiv ist, direkt umgesetzt werden, indem eine vorgegebene Beschreibungsform einen Produktionsprozeß des Schaltkreises einleitet.
Zur Lösung der Aufgabe wird weiterhin eine Anordnung zum Vergleich einer ersten Eigenschaft mit vorgegebenen
Eigenschaften eines technischen Systems, angegeben, die eine Prozessoreinheit aufweist, die derart eingerichtet ist, daß a) mindestens zwei Vergleichsverfahren vorgesehen sind, deren jedes einen Vergleich der ersten Eigenschaft mit den vorgegebenen Eigenschaften des technischen Systems durchführen kann; b) die mindestens zwei Vergleichsverfahren in einer vorgegebenen Reihenfolge solange abarbeitet, bis ein Ergebnis des Vergleichs bestimmbar ist.
Diese Anordnung ist insbesondere geeignet zur Durchführung des erfindungsgemäßen Verfahrens oder einer seiner vorstehend erläuterten Weiterbildungen.
Ausführungsbeispiele der Erfindung werden nachfolgend anhand der Zeichnung dargestellt und erläutert.
Es zeigen
Fig.l ein Blockdiagramm für die Arbeitsweise eines hybriden Beweiser; Fig.2 ein Blockdiagramm für die Auswahl elementarer Beweiser als Teile eines hybriden Beweisers;
Fig.3 ein Blockdiagramm für einen Beweiser für interne Äquivalenzpunkte;
Fig.4 ein Blockdiagramm, das die Durchführung einer vollständigen Simulation veranschaulicht;
Fig.5 ein Blockdiagramm mit Schritten eines ROBDD- Beweisverfahrens;
Fig.6 eine Prozessoreinheit.
Eine Vorgehensweise beim Model Checking (MC) ist insbesondere wie folgt:
• das technische System wird als ein endlicher Automat dargestellt; • eine Eigenschaft beschreibt das Verhalten des technischen Systems über einem endlichen Zeitintervall;
• die Eigenschaft wird als Boolesche Funktion dargestellt; • die Verifikationsaufgabe wird auf den Beweis der
Gleichheit von Booleschen Funktionen zurückgeführt;
• die Gleichheit von zwei Booleschen Funktionen wird mit einem hybriden Vergleicher gelöst.
EIGENSCHAFTEN
Eigenschaften beschreiben das Verhalten eines technischen Systems über eine vorgegebene endliche Anzahl von Zeitpunkten (=Invarianten über einem endlichen Zeitintervall) . Ausgehend von einer Menge von atomaren Aussagen (AA) wird eine mögliche Eigenschaftssprache definiert. Eine elementare Aussage (EA) (state expression) ist eine beliebige Boolesche Verknüpfung von AA.
Im folgenden sei t ein beliebiger fester Zeitpunkt. Eigenschaften werden mit Referenz auf diesen Zeitpunkt formuliert.
Eine elementare Aussage zum Zeitpunkt t+k (EA ) (timed State expression; k ist eine ganze Zahl größer gleich 0) ist ein Ausdruck der Gestalt
at t+k: EA ( 2 :
Eine Eigenschaft (über n Zeitpunkte) ist eine Boolesche Verknüpfung von endlich vielen zeitbehafteten elementaren Aussagen
EA mit k < n (3)
Um Eigenschaften (besser) zu strukturieren, kann man sie in einen Annahmeteil (assume) und einen Beweisteil (prove) unterteilen; dies ist gleichbedeutend mit der Implikation
assume => prove (4) .
Beispiel für eine Eigenschaft:
assume: at t+0: not reset and at t+1: not reset;
prove: at t+0: request implies at t+1: acknowledge
Hierbei sind "reset", "request", "acknowledge" atomare Aussagen. Die Eigenschaft drückt aus, daß unter der Voraussetzung "not reset" ein "request" (zum Zeitpunkt 0) nach einem Zeitschritt mit einem "acknowledge" quittiert wird.
SEMANTIK
Nachfolgend werden insbesondere technische Systeme betrachtet, die als endliche Automaten darstellbar sind. Derartige Systeme sind bspw. Schaltungen (in Form von VHDL- Programmen oder EDIF-Netzlisten) . Ein endlicher, deterministischer Automat ist ein 5-Tupel der Form
(S, I, T, MAA, P) (5) ,
wobei
S eine endliche Menge von Zuständen,
I eine endliche Menge von Eingabesymbolen,
T c: S x I x S eine Übergangsrelation,
MAA eine Menge von atomaren Aussagen (AA) und P: S x I -» Potenzmenge (MAA) eine Bewertungsfunktion bezeichnen.
Die Bewertungsfunktion P gibt an, welche atomaren Aussagen (AA) in einem Zustand erfüllt sind.
Vereinbart wird eine charakteristische Funktion χj? einer Eigenschaft E. Die charakteristische Funktion χjr wird eingesetzt, um eine Gültigkeit der Eigenschaft E zu bestimmen.
Es seien AA eine atomare Aussage und B = {0,1} die Boolesche Menge. Die charakteristische Funktion χj wird definiert durch
χAA:S x I → B (6)
mit XAÄ(S' i) = 1 genau dann wenn AA e P(s, i), d.h. AA ist in (s,i) erfüllt. Weiterhin sei
EA = B(AA]_, ... , AAm) (7)
eine Boolesche Verknüpfung von atomaren Aussagen (d.h. eine elementare Aussage). Somit wird definiert:
XEA = B(λAA! > ■ ■ ■ > XAAm ) (8)
Nachfolgend werden Aussagen betrachtet, die sich auf mehrere Zustände beziehen. Es gelte
σ = ((s0, in), • • • , (sn-l, in-l)) e (S x if (9)
und
σ (sk, ik) (10)
und E sei eine Eigenschaft über n Zeitpunkte. Die charakteristische Funktion χjr ist eine Funktion
Figure imgf000012_0001
mit
λE(σ) = XEA(σk) (12)
falls
E = EAk (13)
eine elementare Aussage ist, und
Figure imgf000013_0001
falls
Figure imgf000013_0002
eine Boolesche Verknüpfung von elementaren Aussagen ist.
Eigenschaften (über n Zeitpunkte) werden über Pfade (der Länge n) eines Automaten interpretiert. Es sei
χτ: S x I x S → B (16)
die charakteristische Funktion der Übergangsrelation T. σ bezeichnet einen Pfad der Länge n, wenn sk+ι ein Nachfolgezustand von sk ist, d.h. wenn gilt
(sk, ik, sk + 1) e T (17)
oder
Xτ(sk' ik, sk+l) = 1 für k=0,l, ... ,n-2 (n > 2) (18)
Daraus folgt:
XPfad(σ) = Xτ(s0 iO' sl) Λ ■ • • Λ Xτ(sn-2' n-2 sn-l) (19)
Eine Eigenschaft E über n Zeitpunkte ist erfüllt genau dann wenn gilt:
(Xpfad => Xε)(σ) = 1 : 2o :
für alle Pfade σ der Länge n. Ein Gegenbeispiel zur Eigenschaft E ist eine Belegung an, so daß gilt
(Xpfad Λ notχE0) = 1 (21) .
Die nachfolgend vorgestellten Methoden können auf beliebige Funktionen gemäß Gleichung (11) angewandt werden. Die vorgestellte Eigenschaftssprache stellt nur eine mögliche Instanz dar, um Eigenschaften zu beschreiben. Ebenso wäre es möglich, den Definitionsbereich (s x ϊf1 zu erweitern, z.B. zu
(s x if1 x S, um eine mächtigere Sprache zu definieren.
Im weiteren wird von einer binären Kodierung des endlichen Automaten ausgegangen, d.h.
Figure imgf000014_0001
Die Verifikation ist damit auf den Beweis der Gleichheit einer Booleschen Funktion mit der konstanten Funktion 1 zurückgeführt.
SPEZIALFALL: KOMBINATORISCHER VERGLEICH
Beim kombinatorischen Vergleich werden zwei endliche, deterministische Automaten mit Ausgabe miteinander verglichen. Diese Automaten können z.B. zwei digitale Schaltungen darstellen. Ein endlicher, deterministischer Automat mit Ausgabe ist ein 5-Tupel
(S, I, 0, δ, λ) (23),
wobei
S eine endliche Menge von Zuständen, I eine endliche Menge von Eingabesymbolen,
0 eine endliche Menge von Ausgabesymbolen, δ: S x I —> S die Übergangsfunktion, λ: S x I — 0 die Ausgabefunktion bezeichnen.
Es seien
Mi = (Si, Iif Oif δi λ±) mit i=l,2 (24 )_
zwei endliche, deterministische Automaten mit Ausgabe. Unter einer gemeinsamen Kodierung von Mι_, M2 werden bijektive Abbildungen
bijs : Sl → S2, bijjili → I2 , ^: Oχ → 02 (25)
wobei mit 'b j' eine Bijektion bezeichnet wird, verstanden.
Die Automaten Mi, M2 heißen kombinatorisch äquivalent bzgl. einer gemeinsamen Kodierung gemäß Gleichung (25) genau dann, wenn gilt
bijs(δι(s,i)) = δ2(bijs(s),bij1(i)) (26)
und
biJQ(λι(s,i)) = λ2(bijs(s)bijl(i)) (27)
für alle s e Sι_ , i e I]_ . Nach Identifikation von
Si = Ξ2 = S, Ii = I2 = I, Oi = 02 = 0 (28)
ergeben sich daraus die Bedingungen
δι(s,i) = δ2(s, i) (29)
und λ!(s, i) = λ2(s, i) ( 30 ) .
für alle s e S]_ und i e I]_ .
Eine binäre Kodierung von S, I, 0 überführt dies in eine (endliche) Anzahl von Gleichheitsrelationen zwischen Booleschen Funktionen.
BEWEISER
Es seien
Flj, 2j, j=l,2,...,n (31;
Boolesche Funktionen. Zur Behandlung des Problems
"Gilt Fij ≡ F2j für j=l, 2, ... , n?" (321
gibt es unterschiedliche Methoden (Vergleichsverfahren) . Jede Methode hat dabei eigene Stärken und Schwächen. Durch Nutzung einer geeigneten Auswahl solcher Methoden werden die Schwächen einzelner Methoden eliminiert und damit die Robustheit des Lösungsansatzes deutlich erhöht. Durch überlappende Anwendung der Methoden können deutlich größere Systeme verglichen werden, als dies mit je einer einzelnen Methode möglich wäre.
In einem ersten Schritt werden die Funktionen nach Gleichung (31) durch einen gerichteten azyklischen Graphen dargestellt. Auf dieser Graphenstruktur setzen die einzelnen Methoden, auch als Teilbeweiser bezeichnet, auf.
Ein gerichteter, azyklischer Graph ist eine Menge K von Knoten und eine Menge ( c K x K ) von gerichteten Kanten, die jeweils zwei Knoten miteinander verbinden. Der Graph umfaßt keine Zyklen. Ein Knoten k2 heißt Sohn des Knotens ki, falls eine gerichtete Kante den Knoten k mit dem Knoten k2 verbindet. Blätter sind Knoten, von denen keine Kanten ausgehen. Wurzeln sind Knoten, in die keine Kanten münden. Gerichtete Kanten verlaufen von oben nach unten, so daß Wurzeln ganz oben und Blätter ganz unten im Graphen liegen.
Unter einer Basis (auch: Schnittebene) eines Graphen wird eine Teilmenge von Knoten mit der Eigenschaft "jeder Pfad von einer Wurzel zu einem Blatt läuft durch einen Knoten der Basis" verstanden. Insbesondere bildet die Menge aller
Blätter eine Basis. In [5] wird ein Algorithmus beschrieben, mit dessen Hilfe eine Basis bestimmbar ist.
Sei k ein Knoten in der Graphenstruktur G. Der sogenannte Abhängigkeitskegel (engl.: Cone of Influence) von k ist die kleinste Substruktur Gk von G für die gilt: der Knoten k gehört zu Gk und mit einem Knoten k' gehören auch alle Söhne von k' zu Gk.
Mit folgender Interpretation stellt ein gerichteter, azyklischer Graph eine Boolesche Funktion dar: Jedem von einem Blatt verschiedenen Knoten k ist eine Boolesche Operation opk zugeordnet. Die Söhne des Knotens k sind die Operanden von opk. Blätter (Wurzeln) stellen die Argumente (den Wert) der Booleschen Funktion dar. Ein Blatt kann auch eine Konstante mit einem Wert "0" oder einem Wert "1" sein. Jeder Knoten der Graphenstruktur G repräsentiert eine Boolesche Funktion boolek, die von den primären Eingängen abhängig ist. Die Darstellung einer Booleschen Funktion als Graph ist nicht kanonisch, d.h. es gibt i.a. viele unterschiedliche Darstellungen. Knoten, welche dieselbe Boolesche Funktion darstellen, heißen äquivalent.
Um eine kompakte Darstellung zu erhalten, dürfen Kanten markiert sein, um einstellige Operationen, z.B. not, zu symbolisieren. Beispielsweise wird in [1] in den Knoten nur eine zweistellige and-Operation zugelassen. Die (einstellige) not-Operation wird durch Markierung der Kante gekennzeichnet.
Beim Aufbau des Graphen wird über eine Hashtabeile die Eindeutigkeit eines Knotens sichergestellt. Nach jeder Veränderung des Graphen (d.h. Zusammenlegung von zwei oder mehreren verschiedenen, äquivalenten Knoten) werden mehrfach auftretende identische Knoten zusammengelegt; somit bleibt die Eindeutigkeit eines Knotens erhalten. Dieser Vorgang heißt Rehashing.
Eine Aufgabe der Beweiser ist es, den zugrundeliegenden Graphen zu vereinfachen bis Problem (32) lösbar ist: In verschiedenen Phasen des Verfahrens werden Knoten bestimmt, die die gleiche Funktion darstellen, also äquivalent sind. Unter diesen Knoten wird dann ein Knoten als Repräsentant ausgewählt, alle anderen Knoten werden durch diesen Repräsentanten ersetzt. Dieser Prozeß heißt Elimination redundanter Knoten. Unmittelbar nach einer Elimination wird jedesmal ein Rehashing durchgeführt.
Zu Beginn eines jeden Beweisschritts, um beispielsweise eine Gleichheit
boolekl = boolej2 (33)
für zwei verschiedene Knoten k]_, k2 nachzuweisen, wird zuerst der "Cone of Influence" der beteiligten Knoten bestimmt und dann auf diesem "Cone of Influence" weitergerechnet.
Im folgenden wird eine mögliche Auswahl von
Methoden/Beweisern vorgestellt, die in einer Implementierung genutzt werden. Dies sind:
• vollständige Simulation; • ROBDD-Verfahren (bzgl. Blätter);
• ROBDD-Verfahren (bzgl. Schnittebenen);
• ATPG-Verfahren (Automatische Testmustergenerierung) ; • SAT-Verfahren (Boolesche Erfüllbarkeitsalgorithmen) ;
• Beweiser für interne Äquivalenzpunkte.
Auf die einzelnen Beweiser/Methoden wird nachfolgend detailliert eingegangen.
SIMULATION
Die Simulation (vergleiche [6]) erfolgt von den Blättern zu den Wurzeln: Zuerst wird jedem Blatt ein Wert "0" oder "1" zugeordnet. Ist jedem Sohn eines Knoten k ein Wert zugeordnet worden, so wird der Wert des Knotens k mittels der Operation opk bestimmt.
ROBDDS
ROBDDs (Reduced Ordered Binary Decision Diagrams, (siehe [2]) stellen eine Boolesche Funktion als azyklischen Graphen dar. Für eine gegebene Permutation der Argumente, die Variablenordnung, ist diese Darstellung eindeutig. Die Variablenordnung ist in vielen Fällen entscheidend für die Größe des Graphen. Ist es möglich, die Boolesche Funktion als ROBDD (unter Berücksichtigung bestehender Restriktionen an Speicher und Laufzeit) darzustellen, so ist auf Grund der Eindeutigkeit der Darstellung die Frage der Gleichheit verschiedener technischer Systeme unmittelbar gelöst. Der Erfolg dieser Methode hängt von der Booleschen Funktion und der gewählten Variablenordnung ab.
Die Berechnung eines ROBDDs für die Wurzeln eines Graphen G geht von einer Basis (Schnittebene) des Graphen G aus und schreitet in Richtung der Wurzeln fort. Zuerst wird jedem Basisknoten eine BDD-Variable zugeordnet. Dies ist von Bedeutung, da insbesondere durch diese Zuordnung die Variablenordnung festgelegt wird. Sind die ROBDDs für alle Söhne eines Knotens k berechnet, kann auch das ROBDD des Knotens k erzeugt werden. Überschreitet die Größe eines ROBDD eine vorgegebene Schranke, wird die ROBDD Generierung abgebrochen. (In [1] wird dem Knoten eine neue Variable zugeordnet und weitergerechnet.)
ROBDDs ist der Hauptvertreter aus einer Reihe von ähnlichen Darstellungen für Boolesche Funktionen (vergleiche insbesondere [2]). Jede der dort angeführten Darstellungen kann hier eingesetzt werden.
EIN HYBRIDER BEWEISER
Um die Aussage (32) entscheiden zu können, werden die Booleschen Funktionen (31) durch einen gerichteten, azyklischen Graphen G dargestellt. Zu jeder Funktion Fj_j gibt es in dem Graphen G einen Knoten kj_j, der Fj_j repräsentiert. Die Gleichungen Fj ≡ F2j werden nun sortiert bzgl. des
Abstandes des entsprechenden Knotenpaares (kι_j, k2j) von den
Blättern des Graphen G. Der hybride Beweiser wird nacheinander für jedes Knotenpaar (kι_j, k2jl aufgerufen, beginnend mit Knotenpaaren nahe bei den Blättern.
In Fig.l ist ein hybrider Beweiser dargestellt. Als Eingabe in den Beweiser dienen zwei Knoten k , k2 des Graphen G (vergleiche Block 1 in Fig.l). Ziel ist es, zu entscheiden, ob die durch die Knoten k , k dargestellten Funktionen boolek-, , boolek;? identisch sind, d.h. ob
boolek-, ≡ boolek? (34)
gilt. Der Graph G stellt eine globale Datenstruktur dar, auf die jeder Teilbeweiser (elementarer Beweiser, siehe Block 102 und Fig.2) zugreifen kann. Die Teilbeweiser versuchen, den Graphen G durch Zusammenlegung äquivalenter Knoten schrittweise zu vereinfachen, so daß schließlich, z.B. mittels vollständiger Simulation, die Gleichung (34) bewiesen oder widerlegt werden kann.
Im folgenden bezeichnet C0I(kι,k2) den "Cone of Influence". von ki, k2 in dem Graphen G.
Führen die Teilbeweiser, subsummiert unter Block 102 in
Fig.l, nicht zum Erfolg, so erfolgt in einem Block 103 ein Beweisverfahren für interne Äquivalenzpunkte (siehe auch Fig.3). Jeder einzelne Beweiser kann die Ergebnisse "FALSCH" 104, d.h. die zu vergleichenden technischen Systeme sind verschieden, "WAHR" 106, falls die Systeme gleich sind, oder "OFFEN" 105, falls der Beweiser nicht zu einem Ergebnis kommen konnte, liefern.
Nachfolgend werden einzelne Durchführungsschritte des hybriden Beweisers dargestellt und erläutert.
Schritt 1: Vollständige Simulation, siehe Fig.2, Block 201 und Fig.4:
Für 'kleine' COI(kι,k2) (siehe Block 401): Alle möglichen Wertebelegungen werden simuliert und daraufhin getestet, ob sie die Gleichung (34) erfüllen oder nicht (siehe Block 402) .
Schritt 2: ROBDDs bezüglich Blätter, siehe Block 202: Wähle als Basis die Menge aller Blätter von COI(k ,k2). Berechne ROBDDs auf COI(k ,k2) bis zu einer vorgegebenen Größe. Falls in C0I(kι,k2) redundante Knoten vorhanden sind, also Knoten mit gleicher ROBDD-Darstellung auftreten, werden diese redundante Knoten eliminiert, und es wird Schritt 2 wiederholt. Schritt 3: ROBDDs bezüglich Schnittebenen, siehe Block 203 und Fig.5:
Wähle als Basis eine Menge von Knoten 'nahe' bei den Wurzeln k , k (siehe [5]). Berechne ROBDDs auf COI(kι,k2) bis zu einer vorgegebenen Größe (siehe Block 501). Falls in COI(k ,k2) redundante Knoten, d.h. Knoten mit gleicher ROBDD-Darstellung auftreten, werden diese .. redundanten Knoten eliminiert (siehe Block 502) .
Falls die gewählte Basis nicht nur aus Blättern besteht
(siehe Block 503) , kann eine gefundene Widerlegung falsch sein, denn die Basisknoten können voneinander abhängig sein (false negatives) .
Durch Verschiebung der Basis in Richtung zu den Blättern (siehe Block 504) wird Schritt 3 wiederholt.
Erst wenn die Berechnung der ROBDDs zu groß wird, die Gleichung (34) bewiesen ist oder die Basis gänzlich aus Blättern besteht, wird Schritt 3 beendet (siehe Blöcke 505 und 506) .
Schritt 4: ATPG, siehe Block 204:
Die Frage, ob eine Boolesche Funktion den Wert "0" oder "1" annimmt, bzw. die Frage nach der Gleichheit zweier Boolescher Funktionen, läßt sich als Problem im Bereich der automatischen Testmustergenerierung (Automatic Test Pattern Generation - ATPG) formulieren.
Schritt 5: SAT, siehe Block 205:
Die Aussage (34) wird in eine konjunktive Normalform überführt und einem SAT-Beweiser (z.B. [3] oder [4]) übergeben.
Schritt 6: Beweiser für interne Äquivalenzpunkte, siehe Block 103 und Fig.3: Schritt 6.1: (RPS - Random Pattern Simulation): Die Knoten der Graphenstruktur G werden in Äquivalenzklassen zerlegt (siehe Block 301) : Ausgehend von einer Zerlegung {K} wird durch einen Simulationsschritt eine bestehende Zerlegung verfeinert. Dabei wird eine Klasse AK zerlegt in zwei Teilklassen AKn, AK , wobei AKi die Menge aller Knoten e AK darstellt, denen durch die Simulation der Wert i zugeordnet wird. Die Simulation benutzt einen Zufallsgenerator für die Wertebelegung der
Blätter (Random Pattern Simulation = RPS) . Dieser Verfeinerungsschritt wird mehrmals durchlaufen.
Eine Äquivalenzklasse stellt eine Menge von Knoten dar, die potentiell die gleiche Funktion darstellen.
Knoten aus unterschiedlichen Äquivalenzklassen können nicht dieselbe Funktion darstellen.
Schritt 6.2: Nacheinander werden alle potentiell äquivalenten
Knotenpaare auf tatsächliche Äquivalenz untersucht, d.h. es wird geprüft, ob sie dieselbe Boolesche Funktion darstellen (siehe Blöcke 302, 303 und 304) .
Es wird jeweils das noch nicht behandelte, potentiell äquivalente Knotenpaar (u ,u2) bestimmt, daß am 'nächsten' bei den Blättern liegt (siehe Block 305). Für dieses Knotenpaar (u ,u2) werden die Schritte 1-5 durchlaufen (siehe Block 306) . Danach ergibt sich eines der drei Ergebnisse:
a. das Knotenpaar (uι,u2) ist tatsächlich äquivalent: ein Knoten ist redundant und kann eliminiert werden (siehe Block 307); b. das Knotenpaar (u ,u2) ist nicht äquivalent: es wurde ein Belegung der Variablen (Blätter des "Cone of Influence" von ui, u ) gefunden, an der sich die beiden Funktionen booleUl und booleu„ unterscheiden. Nach Zuweisung von Zufallswerten für die restlichen Blätter des Graphen G, wird der Graph G simuliert und die bisherige Äquivalenzklassenzerlegung verfeinert. Dies vermindert die Anzahl von potentiell äquivalenten Knotenpaaren (siehe Block 308) ; c. der Äquivalenznachweis ist wegen
Komplexitätsgrenzen nicht entscheidbar: es wird das nächste Knotenpaar überprüft.
Nach jeder Überprüfung eines potentiell äquivalenten Knotenpaares wird getestet, ob das ursprüngliche Knotenpaar (ki, k2) äquivalent ist. Falls dies nicht der Fall ist, wird im letzten Schritt das Knotenpaar
(ki, k2) getestet.
In Fig.6 ist eine Prozessoreinheit PRZE dargestellt. Die Prozessoreinheit PRZE umfaßt einen Prozessor CPU, einen Speicher SPE und eine Input/Output-Schnittstelle IOS, die über ein Interface IFC auf unterschiedliche Art und Weise genutzt wird: Über eine Grafikschnittstelle wird eine Ausgabe auf einem Monitor MON sichtbar und/oder auf einem Drucker PRT ausgegeben. Eine Eingabe erfolgt über eine Maus MAS oder eine Tastatur TAST. Auch verfügt die Prozessoreinheit PRZE über einen Datenbus BUS, der die Verbindung von einem Speicher MEM, dem Prozessor CPU und der Input/Output-Schnittstelle IOS gewährleistet. Weiterhin sind an den Datenbus BUS zusätzliche Komponenten anschließbar, z.B. zusätzlicher Speicher, Datenspeicher (Festplatte) oder Scanner. Literaturverzeichnis :
[1] A. Kuehlmann, F. Krohm: "Equivalence Checking Using Cuts and Heaps", 34th ACM/IEEE Design Automation Conference, 1997, pp.263-268.
[2] J. Jain, N. Narayan, M. Fujita, A. Sangiovanni- Vincentelli: "A Survey of Techniques for Formal Verification of Combinational Circuits", Proc. Int. Conf. On Computer Design (ICCD), 1997, pp.445-454.
[3] J. P. M. Silva: "An Overview of Backtrack Search Satisfiability Algorithms", 5th Int. Symposium on Artificial Intelligence and Mathematics, 1998.
[4] R. J. Bayardo Jr . , R.C. Schräg: "Using CSP Look-Back
Techniques to Solve Real-World SAT-Instances" , Proc. Of the National Conf. On Artificial Intelligence, pp.203- 208, July 1997.
[5] Y. Matsunaga: "An Efficient Equivalenc Checker for
Combinational Circuits", 33rd ACM/IEEE Design Automation Conference, 1996, pp.629-634.
[6] F. Krohm, A. Kühlmann, A. Mets: "The Use of Random Simulation in Formal Verification", Proc. Int. Conf. on Computer Design (ICCD), 1996, pp.371-376.
[7] M. Davis, H. Putnam: "A Computing Procedure for
Quantification Theory", Journal or the Association for Computing Machinery, Vol.7, Number 3, July 1960, pp.125-139.

Claims

Patentansprüche
1. Verfahren zum Vergleich einer ersten Eigenschaft mit vorgegebenen Eigenschaften eines technischen Systems, a) bei dem mindestens zwei Vergleichsverfahren vorgesehen sind, deren jedes einen Vergleich der ersten Eigenschaft mit den vorgegebenen Eigenschaften des technischen Systems durchführen kann; b) bei dem die mindestens zwei Vergleichsverfahren in einer vorgegebenen Reihenfolge solange abgearbeitet werden, bis ein Ergebnis des Vergleichs bestimmt wird.
2. Verfahren nach Anspruch 1, bei dem das Ergebnis des Vergleichs eine Gleichheit oder eine Verschiedenheit der ersten Eigenschaft von den Eigenschaften des technischen Systems ist.
3. Verfahren nach Anspruch 2, bei dem anhand der Gleichheit die erste Eigenschaft durch das technische System verifiziert wird.
4. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die mindestens zwei Vergleichsverfahren insbesondere aus den folgenden Vergleichsverfahren bestimmt werden: a) SAT-Vergleichsverfahren; b) Simulationsverfahren; c) BDD-Verfahren; d) ATPG-Verfahren; e) Verfahren basierend auf internen Äquivalenzpunkten.
5. Verfahren nach Anspruch 4, bei dem das BDD-Verfahren insbesondere ein ROBDD- Verfahren ist.
6. Verfahren nach Anspruch 5, bei dem das ROBDD-Verfahren bezüglich Blätter oder bezüglich Schnittebenen durchgeführt wird.
7. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das technische System eine Schaltung, insbesondere eine elektrische Schaltung, ist.
8. Verfahren nach einem der vorhergehenden Ansprüche, bei dem das technische System als ein endlicher Automat dargestellt wird.
9. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die erste Eigenschaft als eine Boolesche Funktion dargestellt wird.
10. Verfahren nach einem der vorhergehenden Ansprüche, bei dem durch die erste Eigenschaft ein Verhalten des technischen Systems über einem vorgegebenen Zeitintervall beschrieben wird.
11. Verfahren nach einem der vorhergehenden Ansprüche, bei dem für jedes Verlgeichsverfahren ein Schwellwert für bereitzustellende Ressourcen und/oder zur Verfügung gestellte Zeit bestimmt wird, wobei durch eine Überschreitung des Schwellwerts das jeweilige Vergleichsverfahren als nicht erfolgreich beendet wird.
12. Verfahren nach einem der vorhergehenden Ansprüche, bei dem die Reihenfolge der durchzuführenden
Vergleichsverfahren angepaßt wird, indem dasjenige Vergleichsverfahren zuerst aufgerufen wird, durch das die meisten Vergleiche gelöst werden konnten.
13. Verfahren nach einem der vorhergehenden Ansprüche, bei dem anhand des Ergebnisses des Vergleichs ein Entwurf, eine Anpassung oder eine Steuerung zumindest eines technischen Systems durchgeführt wird.
14. Verfahren nach einem der vorhergehenden Ansprüche, bei dem durch Seiteneffekte bereits aufgerufener Vergleichsverfahren der Vergleich vereinfacht wird.
15. Anordnung zum Vergleich einer ersten Eigenschaft mit vorgegebenen Eigenschaften eines technischen Systems, mit einer Prozessoreinheit, die derart eingerichtet ist, daß a) mindestens zwei Vergleichsverfahren vorgesehen sind, deren jedes einen Vergleich der ersten Eigenschaft mit den vorgegebenen Eigenschaften des technischen Systems durchführen kann; b) die mindestens zwei Vergleichsverfahren in einer vorgegebenen Reihenfolge solange abgearbeitet werden, bis ein Ergebnis des Vergleichs bestimmbar ist.
PCT/DE1999/003486 1998-11-03 1999-11-02 Verfahren und anordnung zum vergleich einer ersten eigenschaft mit vorgegebenen eigenschaften eines technischen systems WO2000026824A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2000580131A JP4418591B2 (ja) 1998-11-03 1999-11-02 技術システムの予め設定された特性と第1の特性とを比較するための方法及び装置
EP99959229A EP1127323A1 (de) 1998-11-03 1999-11-02 Verfahren und anordnung zum vergleich einer ersten eigenschaft mit vorgegebenen eigenschaften eines technischen systems
US09/848,584 US6581026B2 (en) 1998-11-03 2001-05-03 Method and configuration for comparing a first characteristic with predetermined characteristics of a technical system

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE19850669.4 1998-11-03
DE19850669 1998-11-03

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US09/848,584 Continuation US6581026B2 (en) 1998-11-03 2001-05-03 Method and configuration for comparing a first characteristic with predetermined characteristics of a technical system

Publications (1)

Publication Number Publication Date
WO2000026824A1 true WO2000026824A1 (de) 2000-05-11

Family

ID=7886553

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE1999/003486 WO2000026824A1 (de) 1998-11-03 1999-11-02 Verfahren und anordnung zum vergleich einer ersten eigenschaft mit vorgegebenen eigenschaften eines technischen systems

Country Status (4)

Country Link
US (1) US6581026B2 (de)
EP (1) EP1127323A1 (de)
JP (1) JP4418591B2 (de)
WO (1) WO2000026824A1 (de)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2482960A (en) * 2010-08-17 2012-02-22 Fujitsu Ltd Annotating a model characteristic function representing sensor data
US8495038B2 (en) 2010-08-17 2013-07-23 Fujitsu Limited Validating sensor data represented by characteristic functions
US8572146B2 (en) 2010-08-17 2013-10-29 Fujitsu Limited Comparing data samples represented by characteristic functions
US8583718B2 (en) 2010-08-17 2013-11-12 Fujitsu Limited Comparing boolean functions representing sensor data
US8620854B2 (en) 2011-09-23 2013-12-31 Fujitsu Limited Annotating medical binary decision diagrams with health state information
US8719214B2 (en) 2011-09-23 2014-05-06 Fujitsu Limited Combining medical binary decision diagrams for analysis optimization
US8781995B2 (en) 2011-09-23 2014-07-15 Fujitsu Limited Range queries in binary decision diagrams
US8812943B2 (en) 2011-09-23 2014-08-19 Fujitsu Limited Detecting data corruption in medical binary decision diagrams using hashing techniques
US8838523B2 (en) 2011-09-23 2014-09-16 Fujitsu Limited Compression threshold analysis of binary decision diagrams
US8874607B2 (en) 2010-08-17 2014-10-28 Fujitsu Limited Representing sensor data as binary decision diagrams
US8909592B2 (en) 2011-09-23 2014-12-09 Fujitsu Limited Combining medical binary decision diagrams to determine data correlations
US8930394B2 (en) 2010-08-17 2015-01-06 Fujitsu Limited Querying sensor data stored as binary decision diagrams
US9002781B2 (en) 2010-08-17 2015-04-07 Fujitsu Limited Annotating environmental data represented by characteristic functions
US9138143B2 (en) 2010-08-17 2015-09-22 Fujitsu Limited Annotating medical data represented by characteristic functions
US9176819B2 (en) 2011-09-23 2015-11-03 Fujitsu Limited Detecting sensor malfunctions using compression analysis of binary decision diagrams
US9177247B2 (en) 2011-09-23 2015-11-03 Fujitsu Limited Partitioning medical binary decision diagrams for analysis optimization

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005043419A1 (ja) * 2003-10-31 2005-05-12 Fujitsu Limited 検証支援装置、検証支援方法、検証支援プログラムおよび記録媒体
JP2007528059A (ja) * 2004-01-22 2007-10-04 エヌイーシー ラボラトリーズ アメリカ インク ソフトウェアのモデル化、抽象、および分析のためのシステムと方法
US7093218B2 (en) * 2004-02-19 2006-08-15 International Business Machines Corporation Incremental, assertion-based design verification
US8359561B2 (en) * 2007-12-06 2013-01-22 Onespin Solutions Gmbh Equivalence verification between transaction level models and RTL at the example to processors

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5754454A (en) * 1997-03-03 1998-05-19 Motorola, Inc. Method for determining functional equivalence between design models
EP0878769A2 (de) * 1997-05-16 1998-11-18 Fujitsu Limited Verfahren zur Verifikation kombinatorischer Schaltungen mit einem filter-basierenden Ansatz

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6308299B1 (en) * 1998-07-17 2001-10-23 Cadence Design Systems, Inc. Method and system for combinational verification having tight integration of verification techniques

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5754454A (en) * 1997-03-03 1998-05-19 Motorola, Inc. Method for determining functional equivalence between design models
EP0878769A2 (de) * 1997-05-16 1998-11-18 Fujitsu Limited Verfahren zur Verifikation kombinatorischer Schaltungen mit einem filter-basierenden Ansatz

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
BISCHOFF G P ET AL: "FORMAL IMPLEMENTATION VERIFICATION OF THE BUS INTERFACE UNIT FOR THE ALPHA 21264 MICROPROCESSOR", PROCEEDINGS OF THE INTERNATIONAL CONFERENCE ON COMPUTER DESIGN. VLSI IN COMPUTERS AND PROCESSORS,US,LOS ALAMITOS, CA: IEEE, 1997, pages 16 - 24, XP000799845, ISBN: 0-8186-8207-8 *
GUPTA A ET AL: "Integrating a Boolean satisfiability checker and BDDs for combinational equivalence checking", PROCEEDINGS ELEVENTH INTERNATIONAL CONFERENCE ON VLSI DESIGN (CAT. NO.98TB100217), PROCEEDINGS ELEVENTH INTERNATIONAL CONFERENCE ON VLSI DESIGN, CHENNAI, INDIA, 4-7 JAN. 1998, 1997, Los Alamitos, CA, USA, IEEE Comput. Soc, USA, pages 222 - 225, XP002134530, ISBN: 0-8186-8224-8 *
KROHM F ET AL: "THE USE OF RANDOM SIMULATION IN FORMAL VERIFICATION", PROCEEDINGS OF THE INTERNATIONAL CONFERENCE ON COMPUTER DESIGN. ICCD. VLSI IN COMPUTERS AND PROCESSORS,US,LOS ALAMITOS, IEEE COMP. SOC. PRESS, 1996, pages 371 - 376, XP000729904, ISBN: 0-8186-7554-3 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8874607B2 (en) 2010-08-17 2014-10-28 Fujitsu Limited Representing sensor data as binary decision diagrams
US8495038B2 (en) 2010-08-17 2013-07-23 Fujitsu Limited Validating sensor data represented by characteristic functions
US8572146B2 (en) 2010-08-17 2013-10-29 Fujitsu Limited Comparing data samples represented by characteristic functions
US8583718B2 (en) 2010-08-17 2013-11-12 Fujitsu Limited Comparing boolean functions representing sensor data
GB2482960A (en) * 2010-08-17 2012-02-22 Fujitsu Ltd Annotating a model characteristic function representing sensor data
US8645108B2 (en) 2010-08-17 2014-02-04 Fujitsu Limited Annotating binary decision diagrams representing sensor data
US9138143B2 (en) 2010-08-17 2015-09-22 Fujitsu Limited Annotating medical data represented by characteristic functions
US9002781B2 (en) 2010-08-17 2015-04-07 Fujitsu Limited Annotating environmental data represented by characteristic functions
US8930394B2 (en) 2010-08-17 2015-01-06 Fujitsu Limited Querying sensor data stored as binary decision diagrams
US8620854B2 (en) 2011-09-23 2013-12-31 Fujitsu Limited Annotating medical binary decision diagrams with health state information
US8838523B2 (en) 2011-09-23 2014-09-16 Fujitsu Limited Compression threshold analysis of binary decision diagrams
US8909592B2 (en) 2011-09-23 2014-12-09 Fujitsu Limited Combining medical binary decision diagrams to determine data correlations
US8812943B2 (en) 2011-09-23 2014-08-19 Fujitsu Limited Detecting data corruption in medical binary decision diagrams using hashing techniques
US8781995B2 (en) 2011-09-23 2014-07-15 Fujitsu Limited Range queries in binary decision diagrams
US8719214B2 (en) 2011-09-23 2014-05-06 Fujitsu Limited Combining medical binary decision diagrams for analysis optimization
US9176819B2 (en) 2011-09-23 2015-11-03 Fujitsu Limited Detecting sensor malfunctions using compression analysis of binary decision diagrams
US9177247B2 (en) 2011-09-23 2015-11-03 Fujitsu Limited Partitioning medical binary decision diagrams for analysis optimization

Also Published As

Publication number Publication date
JP2003503763A (ja) 2003-01-28
US6581026B2 (en) 2003-06-17
EP1127323A1 (de) 2001-08-29
US20020013680A1 (en) 2002-01-31
JP4418591B2 (ja) 2010-02-17

Similar Documents

Publication Publication Date Title
EP1127323A1 (de) Verfahren und anordnung zum vergleich einer ersten eigenschaft mit vorgegebenen eigenschaften eines technischen systems
DE69223787T2 (de) System fuer qualitative schlussfolgerung mit paralleler verarbeitung
DE69025543T2 (de) Leistungsmessung bei einem erweiterten endlichen Automaten
DE3856079T2 (de) Verfahren für einen Blockdiagramm-Simulator
DE69212673T2 (de) Prüfmustererzeugungseinrichtung
EP1020815A2 (de) Vorrichtung und Verfahren zur automatischen Diagnose eines technischen Systems mit effizienter Wiederverwendung von Informationen
DE102020205539A1 (de) Verfahren und Vorrichtung zum Prüfen eines technischen Systems
EP2897011B1 (de) Verfahren und Simulationsanordnung zur Simulation einer automatisierten Industrieanlage
EP0580663B1 (de) Verfahren zur verifikation datenverarbeitender systeme
EP3188053A1 (de) Verfahren zum konfigurieren einer co-simulation für ein gesamtsystem
DE69127798T2 (de) Verfahren und Gerät zum Organisieren und Analysieren von Zeitsteuerungsinformationen
EP3812949A1 (de) Konfigurierbarer digitaler zwilling
DE112018006331B4 (de) Testfallgenerierungsvorrichtung, Testfallgenerierungsverfahren und Testfallgenerierungsprogramm
EP1771799B1 (de) Verfahren zur bewertung der güte eines testprogramms
DE10324594A1 (de) Verfahren zum Bereitstellen einer verbesserten Simulationsfähigkeit eines dynamischen Systems außerhalb der ursprünglichen Modellierungsumgebung
DE68910461T2 (de) GERäT ZUR RECHNERGESTÜTZEN ERZEUGUNG VON PRÜFPROGRAMMEN FÜR DIGITALE SCHALTUNGEN.
DE69323753T2 (de) Diagnoseeinrichtung
DE102008043374A1 (de) Vorrichtung und Verfahren zur Generierung redundanter, aber unterschiedlicher Maschinencodes aus einem Quellcode zur Verifizierung für ein sicherheitskritisches System
EP1068580B1 (de) Verfahren zum vergleich elektrischer schaltungen
EP2302554A2 (de) Verfahren zur Kennzeichnung eines in einem Computerspeichersystem enthaltenen Computerprogrammabschnitts
DE69329007T2 (de) Kompilierungsmechanismus für Simulationsmodelle
WO2000026825A1 (de) Verfahren und anordnung zum vergleich technischer systeme untereinander
DE19924242C2 (de) Vektorrestauration mit beschleunigter Validation und Verfeinerung
DE102017104049B4 (de) Verfahren und vorrichtung zum überprüfen der zuverlässigkeit eines chips
DE102020206327A1 (de) Verfahren und Vorrichtung zum Prüfen eines technischen Systems

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH CY DE DK ES FI FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
WWE Wipo information: entry into national phase

Ref document number: 1999959229

Country of ref document: EP

ENP Entry into the national phase

Ref country code: JP

Ref document number: 2000 580131

Kind code of ref document: A

Format of ref document f/p: F

WWE Wipo information: entry into national phase

Ref document number: 09848584

Country of ref document: US

WWP Wipo information: published in national office

Ref document number: 1999959229

Country of ref document: EP