15、基于时钟限制图的复杂实时系统符号验证

基于时钟限制图的复杂实时系统符号验证

1. 引言

在硬件系统中，使用 BDD 数据结构的全符号模型检查已取得巨大成功，成为电子设计自动化（EDA）的标准技术之一。如今，人们期望在复杂系统的模型检查中重现这一成功，这些复杂系统可能包含队列、堆栈、时钟和通信通道等结构，使用类似 BDD 的数据结构对其进行验证往往会面临巨大挑战。

本文以一个基于 HTML 的应用层网络摄像头项目为例，探讨如何应对验证中的难题。我们在模型检查工具中采用了新开发的时钟限制图（CRD），它是一种类似 BDD 的数据结构，旨在提高定时自动机验证的空间效率。然而，简化 CRD 在区域包含性测试方面效率不高，而新提出的级联 CRD 则显著提升了性能，使我们能够成功验证网络摄像头的多个实现。

2. 定时自动机

我们采用广泛接受的定时自动机作为模型。定时自动机是一种有限状态自动机，配备了一组可以持有非负实数值的时钟。它的结构是一个有向图，节点表示模式（控制位置），弧表示转换。模式标有不变条件，转换标有触发条件和在转换期间要重置的一组时钟。

以下是定时自动机的相关定义：
- 定义 1 自动机 ：定时自动机 A 是一个元组〈X, Q, q₀, I, µ, T, γ, τ, π〉，其中 X 是时钟集合，Q 是模式集合，q₀ 是初始模式，I 是时钟的初始条件，µ 定义了每个模式的不变条件，T 是转换的有限集合，γ 描述了转换的源和目标模式，τ 定义了每个转换的触发条件，π 定义了每个转换要重置的时钟集合。
- 定义 2 状态 ：给定定时自动机 A，A 的状态 v 是 X ∪{mode}