37、基于抽象引导与启发式合成的符号模型检查技术解析

基于抽象引导与启发式合成的符号模型检查技术解析

在计算机科学领域，模型检查是验证有限状态系统属性的重要方法。本文将介绍一种基于启发式的符号模型检查算法——BDD - IDA∗，它能高效地证伪系统的不变属性，同时还会阐述与之相关的启发式合成过程。

1. 模型检查概述

模型检查常用于有限状态系统的属性验证，相较于定理证明，它具有高度自动化的特点，并且在发现给定属性不成立时能生成反例。系统的安全属性通常可由一个或多个系统不变量来描述，检查这些不变量的过程也被称为可达性分析，其目的是检测错误状态，而通向这些状态的路径则构成了不变量的反例，这些反例能为系统开发者提供有关系统潜在设计错误的宝贵信息。

目前，符号模型检查主要有两种常见方法：
- BDD - BFS ：该算法对系统状态空间进行广度优先搜索，并记录所有可达状态。搜索目标通常是那些违反不变量的状态。然而，它是一种“盲目”搜索，往往会不必要地搜索状态空间的许多区域，效率较低。此外，BFS 策略更适用于正确的模型，且需要存储所有可达状态，空间开销大。对于大型系统，BDD 的规模可能会呈指数级增长，使得实际情况下的状态空间探索几乎无法进行。
- 有界模型检查 ：将不变量的有界语义转换为布尔表达式，并使用 SAT 程序来确定其可满足性。通过逐步增加边界，算法迭代加深对状态空间的探索。如果在某个级别遇到错误状态，算法将终止并报告反例。一般来说，如果反例较短，基于 SAT 的算法由于 SAT 求解器固有的深度优先搜索（DFS）策略，往往能比 BDD - BFS 更快地检测到反例。但 SAT 方法可能会因需要输入大量子句到 SAT 求解器而受到限制。