Débogage de modèles comportementaux par analyse de contre-exemple / Debugging of Behavioural Models using Counterexample Analysis

Barbon, Gianluca

14 December 2018

Le model checking est une technique établie pour vérifier automatiquement qu’un modèle vérifie une propriété temporelle donnée. Lorsque le modèle viole la propriété, le model checker retourne un contre-exemple, i.e., une séquence d’actions menant à un état où la propriété n’est pas satisfaite. Comprendre ce contre-exemple pour le débogage de la spécification est une tâche compliquée pour plusieurs raisons: (i) le contre-exemple peut contenir un grand nombre d’actions; (ii) la tâche de débogage est principalement réalisée manuellement; (iii) le contre-exemple n’indique pas explicitement la source du bogue qui est caché dans le modèle; (iv) les actions les plus pertinentes ne sont pas mises en évidence dans le contre-exemple; (v) le contre-exemple ne donne pas une vue globale du problème.Ce travail présente une nouvelle approche qui rend plus accessible le model checking en simplifiant la compréhension des contre-exemples. Notre solution vise à ne garder que des actions dans des contre-exemples pertinents à des fins de débogage. Pour y parvenir, on détecte dans les modèles des choix spécifiques entre les transitions conduisant à un comportement correct ou à une partie du modèle erroné. Ces choix, que nous appelons neighbourhoods, se révèlent être de grande importance pour la compréhension du bogue à travers le contre-exemple. Pour extraire de tels choix, nous proposons deux méthodes différentes. La première méthode concerne le débogage des contre-exemples pour la violations de propriétés de sûreté. Pour ce faire, elle construit un nouveau modèle de l’original contenant tous les contre-exemples, puis compare les deux modèles pour identifier les neighbourhoods. La deuxième méthode concerne le débogage des contre-exemples pour la violations de propriétés de vivacité. À partir d’une propriété de vivacité, elle étend le modèle avec des informations de préfixe / suffixe correspondants à cette propriété. Ce modèle enrichi est ensuite analysé pour identifier les neighbourhoods.Un modèle annoté avec les neighbourhoods peut être exploité de deux manières. Tout d’abord, la partie erronée du modèle peut être visualisée en se focalisant sur les neighbourhoods, afin d’avoir une vue globale du comportement du bogue. Deuxièmement, un ensemble de techniques d’abstraction que nous avons développées peut être utilisé pour extraire les actions plus pertinentes à partir de contre-exemples, ce qui facilite leur compréhension. Notre approche est entièrement automatisée par un outil que nous avons implémenté et qui a été validé sur des études de cas réels dans différents domaines d’application. / Model checking is an established technique for automatically verifying that a model satisfies a given temporal property. When the model violates the property, the model checker returns a counterexample, which is a sequence of actions leading to a state where the property is not satisfied. Understanding this counterexample for debugging the specification is a complicated task for several reasons: (i) the counterexample can contain a large number of actions; (ii) the debugging task is mostly achieved manually; (iii) the counterexample does not explicitly point out the source of the bug that is hidden in the model; (iv) the most relevant actions are not highlighted in the counterexample; (v) the counterexample does not give a global view of the problem.This work presents a new approach that improves the usability of model checking by simplifying the comprehension of counterexamples. Our solution aims at keeping only actions in counterexamples that are relevant for debugging purposes. This is achieved by detecting in the models some specific choices between transitions leading to a correct behaviour or falling into an erroneous part of the model. These choices, which we call "neighbourhoods", turn out to be of major importance for the understanding of the bug behind the counterexample. To extract such choices we propose two different methods. One method aims at supporting the debugging of counterexamples for safety properties violations. To do so, it builds a new model from the original one containing all the counterexamples, and then compares the two models to identify neighbourhoods. The other method supports the debugging of counterexamples for liveness properties violations. Given a liveness property, it extends the model with prefix / suffix information w.r.t. that property. This enriched model is then analysed to identify neighbourhoods.A model annotated with neighbourhoods can be exploited in two ways. First, the erroneous part of the model can be visualized with a specific focus on neighbourhoods, in order to have a global view of the bug behaviour. Second, a set of abstraction techniques we developed can be used to extract relevant actions from counterexamples, which makes easier their comprehension. Our approach is fully automated by a tool we implemented and that has been validated on real-world case studies from various application areas.

Analyse de contre-Exemple

Modèles comportementaux

Behavioural models

Model checking

004

Construction Incrémentale de Spécifications de Systèmes Critiques intégrant des Procédures de Vérification

Luong, Hong-Viet

01 October 2010

Cette thèse porte sur l'aide à la construction de machines d'états UML de systèmes réactifs. Elle vise à définir un cadre théorique et pragmatique pour mettre en oeuvre une approche incrémentale caractérisée par une succession de phases de construction, évaluation et correction de modèles. Ce cadre offre des moyens de vérifier si un nouveau modèle est conforme à ceux définis durant les étapes précédentes sans avoir à demander une description explicite des propriétés à vérifier. Afin de pouvoir analyser les machines d'états, nous leur associons une sémantique LTS ce qui nous a conduit à définir une procédure de transformation automatique de machines d'états en LTS. Dans un premier temps, nous avons défini et implanté des techniques de vérification de relations de conformité de LTS (red, ext, conf, et confrestr). Dans un second temps, nous nous sommes intéressés à la définition d'un cadre de construction incrémentale dans lequel plusieurs stratégies de développement peuvent être mises en \oe uvre en s'assurant que le modèle final élaboré sera une implantation conforme à la spécification initiale. Ces stratégies reposent sur des combinaisons de raffinements qui peuvent être de deux types : le raffinement vertical pour éliminer l'indéterminisme et ajouter des détails ; le raffinement horizontal pour ajouter de nouvelles fonctionnalités sans ajouter d'indéterminisme. Enfin, nous transposons la problématique de construction incrémentale d'une machine d'états à la construction d'architectures dont les composants sont des machines d'états. Des conditions sont définies pour assurer la conformité entre des architectures dans le cas de la substitution de composants.

Construction incrémentale

machine d'états UML

relation de conformité

raffinement

extension

réduction

graphe d'acceptance

architecture de modèles comportementaux

Détection et diagnostic basés cohérence pour les systèmes à événements discrets : vers la prise en compte des erreurs de modélisation

Lopez-Varela, Carmen Guadalupe

17 December 2007

Cette thèse propose une méthode de détection et diagnostic basée cohérence pour les systèmes à événements discrets. La méthode prend en compte la possibilité d'erreurs dans les modèles utilisés comme référence du bon comportement du système. La détection est réalisée par la vérification de cohérence entre le comportement observé et le comportement décrit par les modèles du système. Dans la mesure où les modèles utilisés ne sont pas exempts d'erreurs, la perte de cohérence détectée peut correspondre à une réelle défaillance au niveau du procédé ou à une erreur dans les modèles. Pour distinguer ces deux cas, il est nécessaire de déterminer les sous-modèles communs. Chaque observation émanant du procédé apporte une information utile pour l'identification de la ou des types de configuration entre les modèles. L'identification est réalisée en ligne et repose sur le parcours d'un graphe décrivant exhaustivement l'ensemble des configurations des modèles. Enfin, le rétablissement de la cohérence avec les observations par modification des modèles constitue le principe du diagnostic

Systèmes à événements discrets

Détection

Diagnostic

Vérification de cohérence

Modèles comportementaux

Erreurs de modélisation

Réseau de Petri

Behavioral Application-dependent superscolor core modeling / Modélisation comportementale dépend de l’application pour cœurs superscalaires

Velásquez Vélez, Ricardo Andrés

19 April 2013

Ces dernières années, l'effort de recherche est passé de la microarchitecture du cœur à la microarchitecture de la hiérarchie mémoire. Les modèles précis au cycle près pour processeurs multi-cœurs avec des centaines de cœurs ne sont pas pratiques pour simuler des charges multitâches réelles du fait de la lenteur de la simulation. Un grand pourcentage du temps de simulation est consacré à la simulation des différents cœurs, et ce pourcentage augmente linéairement avec chaque génération de processeur. Les modèles approximatifs sacrifient de la précision pour une vitesse de simulation accrue, et sont la seule option pour certains types de recherche. Les processeurs multi-cœurs exigent également des méthodes de simulation plus rigoureuses. Il existe plusieurs méthodes couramment utilisées pour simuler les architectures simple cœur. De telles méthodes doivent être adaptées ou même repensées pour la simulation des architectures multi-cœurs. Dans cette thèse, nous avons montré que les modèles comportementaux sont intéressants pour étudier la hiérarchie mémoire des processeurs multi-cœurs. Nous avons démontré que l'utilisation de modèles comportementaux permet d'accélérer les simulations d'un facteur entre un et deux ordres de grandeur avec des erreurs moyennes de moins de 5%. Nous avons démontré également que des modèles comportementaux peuvent aider dans le problème de la sélection des charges de travail multiprogrammées pour évaluer la performance des microarchitectures multi-cœurs. / In recent years, the research focus has moved from core microarchitecture to uncore microarchitecture. Cycle-accurate models for many-core processors featuring hundreds or even thousands of cores are out of reach for simulating realistic workloads. A large portion of the simulation time is spend in the cores, and it is this portion that grows linear with every processor generation. Approximate simulation methodologies, which trade off accuracy for simulation speed, are necessary for conducting certain research. Multicore processors also demand for more advanced and rigorous simulation methodologies. Many popular methodologies designed by computer architects for simulation of single core architectures must be adapted or even rethought for simulation of multicore architectures.In this thesis, we have shown that behavioral core modeling is a competitive option for multicore studies where the research focus is in the uncore microarchitecture and considering independent tasks. We demonstrated that behavioral core models can bring speedups between one and two orders of magnitude with average CPI errors of less than 5%. We have also demonstrated that behavioral core models can help in the problem of selecting multiprogram workloads for the evaluation of multicore throughput.

Informatique

Ordinateurs

Multiprocesseurs

Simulation par ordinateur

Modèles approximatifs

Modèles comportementaux

Multiprogrammation

Computer Science

Muticore processors

Computer simulation

Approximate models, behavioral models

Multiprogrammed workloads