Verification of timed automata : reachability, liveness and modelling Thanh Tung Tran To cite this version: Thanh Tung Tran. Verification of timed automata : reachability, liveness and modelling. Other [cs.OH]. Université de Bordeaux, 2016. English. NNT : 2016BORD0168. tel-01457094 HAL Id: tel-01457094 https://tel.archives-ouvertes.fr/tel-01457094 Submitted on 6 Feb 2017 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. THESE` PRESENT´ EE´ A` L'UNIVERSITE´ DE BORDEAUX ECOLE´ DOCTORALE DE MATHEMATIQUES´ ET D'INFORMATIQUE par TRAN Thanh-Tung POUR OBTENIR LE GRADE DE DOCTEUR SPECIALIT´ E´ : INFORMATIQUE Verification of timed automata: reachability, liveness, and modeling Date de soutenance : 04 Novembre 2016 Devant la commission d'examen compos´eede : Bernard Berthomieu . (CR), LAAS & CNRS . Examinateur Fr´ed´eric Herbreteau . (MCF), LaBRI, Univ. Bordeaux . Co-encadrant Colette Johnen . (PR), LaBRI, Univ. Bordeaux . Pr´esident Nicolas Markey . (DR), IRISA, CNRS & INRIA & U. Rennes . Rapporteur Pierre-Alain Reynier . (PR), LIF Marseille & CNRS . Rapporteur Igor Walukiewicz. (DR), LaBRI, CNRS & Univ. Bordeaux . Directeur 2016 iii Title Vérification d'automates temporisés: sûreté, vivacité et modélisation R´esum´e Cette th`eserevisite les algorithmes standards pour les probl`emes d'accessibilit´eet de vivacit´edes automates temporis´es. L'algorithme standard pour tester l'accessibilit´e consiste `a utiliser l'inclusion de zones pour explorer efficacement un arbre de recherche ab- strait. Cependant, l'ordre du parcours du graphe a une forte incidence sur l’efficacit´ede l'algorithme. Dans cette th`esenous introduisons deux strat´egies, nomm´ees ranking et waiting, et une combination des deux. De nombreux exemples montrent que la combination des deux strategies aide l'algorithme d'accessibilit´e`a´eviterdes explorations non n´ecessaires. Le probl`eme de vivacit´eest couramment v´erifi´eespar l'analyse des cy- cles dans l'automate temporis´e. Contrairement `al'algorithme d'accessibilit´e, l'algorithme pour l'analyse de vivacit´ene peut pas librement utiliser l'inclusion de zones. Par cons´equent, il y a des situations o`ul'algorithme doit faire une longue exploration avant de conclure l'existence d'un cycle. Nous proposons une analyse acc´el´er´eedes cycles, nomm´ees !-iterability checking, qui permet d'am´eliorerla performance de l'algorithme de vivacit´edes automates tempo- ris´es. En plus, nous proposons une mod´elisationdu m´ecanismede d´emarrage du protocole FlexRay. La mod´elisationpermet `av´erifierle m´ecanismedans configurations diff´erents du r´eseauFlexRay. Nous pr´esentons ´egalement un outil de visualisation qui aide `amieux comprendre le fonctionnement des al- gorithmes d'analyse. Mots-cl´es Automates temporis´es,parcours, accessibilit´e,vivacit´e,FlexRay, outil de visualisation. iv Title Verification of timed automata: reachability, liveness, and modeling Abstract This thesis revisits the standard algorithms for reachability and liveness analysis of timed automata. The standard algorithm for reachability analysis consists in using zone in- clusion to efficiently explore a finite abstract zone graph of a timed automaton. It has been observed that the search order may strongly affect the performance of the algorithm. For the same algorithm, one search order may introduce a lot more exploration than another. In order to deal with the search order problem, we propose two strategies, named ranking strategy and waiting strategy, and a combination of the two. We show on a number of examples, the combining strategy helps to reduce unnecessary exploration in the standard algorithms. The standard algorithm for liveness analysis consists in looking for reacha- bility of cycles in timed automata. But unlike the algorithm for safety analysis, the algorithm for liveness analysis cannot freely use zone inclusion. Conse- quently, there are situations where the algorithm has to perform a long explo- ration before reporting the result. In this thesis, we propose an accelerated checking for cycles in timed automata, named !-iterability checking, to im- prove the performance of the state-of-the-art algorithm for liveness analysis of timed automata. Furthermore, we present a new model for the startup procedure of FlexRay. The model allows to verify the procedure on different configurations of FlexRay networks. It also allows to evaluate the performance of our new strategies for safety analysis of timed automata. In addition, we present a methodology that uses visualization tools to get more insights into the execution of the algorithms. Keywords Timed automata, search order, reachability, liveness, FlexRay, visualization toolbox. Laboratoire d'accueil Laboratoire Bordelais de Recherche en Informa- tique, Unit´e Mixte de Recherche CNRS (UMR 5800), 351, cours de la Lib´erationF-33405 Talence cedex. iii Title Verification of timed automata: reachability, liveness, and modeling R´esum´e Les syst`emestemps-r´eeldoivent r´eagir`aleurs signaux d'entr´ee dans un laps de temps donn´e. Ces syst`emestemps-r´eelsont omnipr´esents dans notre vie quotidienne: d´etecteurs de fum´ee, contr^oleurs embarqu´es dans l'automobile, etc. Des erreurs dans ces syst`emes peuvent avoir des cons´equencesdramatiques. Des m´ethodes sont donc n´ecessairespour v´erifier automatiquement leur bon fonctionnement. Les automates temporis´essont une approche standard pour v´erifierau- tomatiquement les propri´et´esde s^uret´eet de vivacit´edes syst`emestemps-r´eel. Le syst`emetemps-r´eelet sa sp´ecificationsont mod´elis´espar des automates temporis´es. L'approche consiste alors `aanalyser les automates temporis´es pour d´ecidersi la sp´ecificationest satisfaite par le syst`eme. Les automates temporis´esest ´et´epropos´espar Alur et Dill au d´ebutdes ann´ees1990. Depuis lors, l'approche a ´et´eam´elior´eepar l'introduction de structure des donn´eeset de technique plus efficaces, notamment les zones, les Difference Bound Matrices (DBM), et les abstractions. Par cons´equent, l'analyse des automates temporis´esa p^u^etreutilis´eepour v´erifierdes syst`emes r´eelscomme le protocole \Fiber Distributed Data Interface (FDDI)" pour les transmission de donn´eesdans les r´eseauxlocaux, le protocole CSMA/CD sous- jacent `ala technologie Ethernet, ou bien, le protocole FlexRay utilis´edans les contr^oleursembarqu´esen automobile. Pourtant, l'utilisation des automates temporis´espour v´erifier de grands syst`emes,notamment ceux mod´elisants des syst`emesindustriels, souffre de l'explosion combinatoire du nombre d'´etats. La v´erificationprend trop de temps et d'espace m´emoirepour pouvoir ^etrer´ealis´ee. Pour lutter contre ce probl`eme,cette th`eserevisite les algorithmes standards pour les probl`emes d'accessibilit´eet de vivacit´edes automates temporis´es. Les automates temporis´esmod´elisent le temps `al'aide de variables r´eelles. L'ensemble des ´etatsd'un automate temporis´eest donc ind´enombrable. Depuis vingt ans, la recherche sur l'analyse des automates temporis´es s'est concentr´ee sur la manipulation efficace de la s´emantique des automates temporis´esafin de pouvoir repr´esenter et calculer symboliquement l'ensemble des ´etats. La premi`ere approche utilise les r´egions. Il s'agit d'un outil essentiellement iv th´eorique,permettant de construire des preuves de d´ecidabilit´e,qui est inutil- isable en pratique `acause du tr`esgrand nombre de r´egions.L'approche la plus efficace utilise des zones et des abstractions pour repr´esenter symboliquement la s´emantique d'un automate temporis´epar un graphe fini, appel´egraphe de zones. En cons´equence, les algorithmes standards d'accessibilit´eet de vivacit´edes automates temporis´esreposent essentiellement sur les algorithmes classiques de la th´eoriedes graphes. L'algorithme standard pour tester l'accessibilit´ese base sur un parcours classique, en profondeur d'abord ou en largeur d'abord, du graphe de zones. Il incorpore cependant une optimisation importante bas´eesur l'inclusion de zones. Les zones ´etant des ensemble d'´etatsde l'automate, l'algorithme n'a pas besoin de consid´ererles petites zones, c'est `adire celles qui sont incluses dans une zone d´ej`aexplor´ee. L'utilisation de l'inclusion de zones permet d'´eviterl'exploration de nombreuses zones. Cependant, l'ordre du parcours du graphe de zones a une forte incidence sur l’efficacit´ede l'algorithme. Un parcours du graphe peut introduire beaucoup plus d'explorations qu'un autre, selon qu'il visite d'abord les petites zones (qui sont alors explor´ees)ou d'abord les grandes zones (qui permettent d'´eviterl'exploration des petites zones qui seront d´ecouvertes ult´erieurement). Dans cette th`ese,nous introduisons deux strat´egies,nomm´ees ranking et waiting. Ces strat´egies utilisent la structure de l'automate pour d´eterminerun parcours du graphe de zones qui conduit priori- tairement aux grandes zones. De nombreuses exp´erimentations montrent qu'en combinant les deux strat´egies,l'algorithme ´evitede tr`esnombreuses petites zones, avec un gain significatif allant jusqu’`aplusieurs ordres de magnitudes. Dans une seconde partie, nous consid´eronsla v´erificationde propri´et´esde vivacit´edes automates temporis´es.Ces propri´et´essont usuellement v´erifi´eesen analysant les cycles du graphe de zones, par exemple en utilisant un algorithme nested-DFS ou de calcul de composantes connexes. L'optimisation consistant `a´eviterd'explorer les petites zones ne peut cependant pas ^etreutilis´eepar ces algorithmes: le graphe de zones r´esultant n'est pas complet pour les propri´et´es de vivacit´e.Par cons´equent, il y a des situations o`ul'algorithme doit faire une longue exploration avant de conclure l'existence d'un cycle.