Modélisation et vérification de protocoles en utilisant Spin

TD 4

Ce document est disponible à l'URL http://www.liafa.jussieu.fr/~sighirea/logver/td_spin.html

1 Description générale

Spin est un outil pour la vérification et la simulation des systèmes concurrents, en particulier les protocoles de communication.

Pour être étudié, un système est d'abord décrit en Promela (Protocol Meta Language), le langage de modélisation de Spin. Promela est un langage impératif qui se ressemble au langage C agrémenté de quelques primitives de communication. Pour communiquer, les processus peuvent utiliser des canaux de communication fifo, prendre rendez-vous ou utiliser des variables partagées.

Spin comporte essentiellement deux modes :

Simulation : le système est exécuté pas à pas, ce qui permet de se familiariser avec son comportement.
Vérification : les états du système sont explorés exhaustivement pour vérifier que le système satisfait bien certaines propriétés exprimées, par exemple, en LTL.

2 Promela

Un programme Promela est une liste de déclarations de processus, de canaux et des variables.

Déclaration de variables :

On indique le type (un des bit, byte, short, or int), le nom de la variable et optionnellement sa valeur initiale.

bool b1 = false, b2 = false;
bit k = 0;

Les variables de type tableau sont déclarées comme en C, par exemple :

bit porteouverte[3];

Déclaration de canaux :

On l'introduit par le mot clé chan, suivi du nom du canal et optionnellement de la longueur du fifo et du type des messages qui circulent. Par exemple :

chan Ouvreporte=[0] of {byte, bit},
     Transfert=[2] of {bit, short, chan};

ouvreporte est un canal synchrone, car sa longueur est 0, ce qui correspond à un rendez-vous ; sur ce canal circulent des messages ayant une partie byte et une partie bit. Transfert est un canal asynchrone, car il peut stocker (au plus) deux messages.

Déclaration de processus :

La forme la plus simple de déclaration de processus est :

proctype nom ( paramètres_formels )
{ instructions }

Un processus est instancié en utilisant l'instruction run :

run nom ( paramètres_actuels )

Par exemple :

proctype P (bit i) {
 ...
}
proctype porte (byte i) {
 ...
}
proctype ascenseur () {
 ...
}

Opérations sur les canaux :

Sur un canal on peut envoyer (opération ``!'') ou recevoir (opération ``?'') des messages. Par exemple :

ouvreporte!i,0;
ouvreporte?i,1;
ouvreporte?eval(etage),1

La fonction ``eval'' force l'égalité des valeurs reçues avec etage, la variable etage n'est pas changée.

Expressions :

Un expression peut être utilisée comme une instruction si elle ne fait pas des effet de bord (opérations ``--'' et ``++'' de C). Dans ce cas, elle est exécutable quand sa valeur devient vraie (par le changement des valeurs des variables partagées). Par exemple :

(a == b);

est équivalent à :

while (a != b) skip;

Instruction ``init'' :

L'exécution du système commence par le processus init (c'est le main de Promela). Par exemple :

init {
    run porte(1); run porte(2); run porte(3); 
    run ascenseur()
}

Instruction ``atomic'' :

L'exécution d'une séquence d'instructions préfixée par ``atomic'' peut être rendue indivisible, c'est-à-dire sans l'entrelacement des actions des autres processus. Par exemple :

    atomic {
        run porte(1); run porte(2); run porte(3); 
        run ascenseur()
    }

Instruction ``if'' :

Un branche de l'instruction ``if'' est exécutable si la première instruction de la branche, appelée aussi sa garde, est vraie. L'instruction ``if'' bloque jusque à ce qu'une branche devient exécutable, dans quel cas la branche est exécutée. Si plusieurs branches sont exécutables, l'une est choisie aléatoirement (non-déterminisme).

L'exemple suivant incrémente ou décrémente la valeur de count une fois.

if
:: count = count + 1
:: count = count - 1
fi

Instruction ``do'' :

Similaire à l'instruction ``if'', sauf que l'instruction est exécutée et puis la sélection est répétée jusque à l'exécution d'une instruction ``break''.

proctype ascenseur () {
    show byte etage = 1;
    do
    :: (etage != 3) -> etage++
    :: (etage != 1) -> etage--
    :: ouvreporte!etage,1; ouvreporte?eval(etage),0
    od
}

3 Exercices

Exercice 1 :

Les exemples donnés dans la section 2 modéliser le système d'un ascenseur pour trois étages.

Complétez la modélisation du processus ``porte''.
(en TP) Simulez la spécification complète du système.
Ecrivez en LTL la propriété ``p₁ : si la porte du première étage est ouverte, elle sera fermée l'état suivant''.
Ecrivez en LTL la propriété ``p₂ : inévitablement, une des trois portes sera ouverte''.
(en TP) Vérifiez les deux propriétés en utilisant Spin.

Exercice 2 :

Modélisez en Promela et vérifiez avec Spin la propriété d'exclusion mutuelle pour l'algorithme suivant :

vars b₁, b₂ : bool := false, k : 1..2 := 2

process P₁ is

while true do begin

l'₁: noncritical section

l'₂: b₁ := true;

l'₃: while k != 1 do begin

l'₄: while b₂ do skip;

l'₅: k := 1;

end;

l'₆: critical section

l'₇: b₁ := false;

end;

process P₂ is

while true do begin

l''₁: noncritical section

l''₂: b₂ := true;

l''₃: while k != 2 do begin

l''₄: while b₁ do skip;

l''₅: k := 2;

end;

l''₆: critical section

l''₇: b₂ := false;

end;

Exercice 3 :

L'algorithme d'exclusion mutuelle suivant est connu sur le nom de l'algorithme de Peterson :

vars y₁, y₂ : bool := false, s : 1..2 := 1

process P₁ is

repeat forever begin

l'₁: noncritical section

l'₂: (y₁,s) := (true,1);

l'₃: await ¬ y₂ + s!=1;

l'₄: critical section

l'₅: y₁ := false;

end

process P₂ is

repeat forever begin

l''₁: noncritical section

l''₂: (y₂,s) := (true,2);

l''₃: await ¬ y₁ + s!=2;

l''₄: critical section

l''₅: y₂ := false;

end

Modélisez cet algorithme en Promela et vérifiez avec Spin la propriété d'exclusion mutuelle.

Ce document a été traduit de L^AT_EX par H^EV^EA.