1. Model Checking en
Betrouwbaarheid van Software
Frits Vaandrager
Institute for Computing and Information Sciences
Radboud Universiteit Nijmegen
1

2. Computing Technology
(R)Evolution
1935
1946 2010
2
2

3. Iedereen heeft toch al een
PC, Internet, een
mobieltje, een Xbox en
een TomTom?
Informatietechnologie
is toch al af?
Duh!
3

4. Informatica staat pas aan het begin!
Wetenschappers MIT:
7 van de 10 meest
belangrijke opkomende
technologieën zijn ICT
gerelateerd
4

5. 40% kosten moderne auto is electronica
90% innovaties autoindustrie ICT gerelateerd!
5

6. Bionische Ogen?
6

7. Klimaatverandering
“ICT is a key sector in the fight
against climate change”
SMART 2020 Report. The
Climate Group, McKinsey &
Co, June 2008.
7

8. Voorbeeld: Permasense Project
8

9. Informatica is voor creatievelingen
9

10. “Computing is the transformative science of our age”
J. Moore
10

11. Onderzoek aan Radboud Universiteit (1):
Digitale Beveiliging
OV-chipkaart Electronisch Patiënten Dossier (EPD)
11

12. Onderzoek aan Radboud Universiteit (2):
Intelligente Systemen
Brain-computer interfaces
12

13. Onderzoek aan Radboud Universiteit (3):
Hoe maak je correcte software?
Onze samenleving is volledig
afhankelijk van computers
Is ons vertrouwen in computers
terecht?
13

14. Sint Servaasbrug Maastricht
“Uptime”:
ruim 700 jaar
14

15. Ariane 5 Raket
“Uptime”:
40 sec
15

16. Aandeel ICT in productiekosten auto’s
• 2000: 26%
• 2010: 48%
16

17. Software is absoluut het meest complexe
artefact dat de mens routinematig bouwt…
Tussen 1069 en 1081 atomen in 10 MB geheugen > 1020.000.000
het universum toestanden
Software is niet continu: wijziging van 1 bit in een
programma kan leiden tot volstrekt ander gedrag!
17

18. Geen verrassing dus dat het vrijwel
nooit foutloos werkt!
2004: Mars Rover bevriest 2005: Computer “kaapt” vliegtuig
2007: Computer crashes bij ProRail
2009: Volvo roept
26.000 auto’s terug
18

19. Onderzoek Radboud Universiteit
• Het bouwen van modellen
Beschrijf relevante
aspecten van systeem
formeel (in wiskundige
taal)
• Model checking
Gebruik computer om alle
toestanden van model te
doorzoeken
• Doel
Fouten (“bugs”) opsporen
19

20. Voorbeeld: Überlingen, 1 Juli 2002
• Boeing & Tupolew kruisen
B757-200 TU154M
• 21:33:03
!
– Alarm door het Collision
Avoidance System (TCAS)
20

21. Voorbeeld: Überlingen, 1 Juli 2002
• Boeing & Tupolew kruisen
B757-200 TU154M
• 21:33:03
!
– Alarm door het Collision
Avoidance System (TCAS)
• 21:34:49
– Opdracht verkeersleider
21

22. Voorbeeld: Überlingen, 1 Juli 2002
• Boeing & Tupolew kruisen
B757-200 TU154M
• 21:33:03
!
– Alarm door het Collision
Avoidance System (TCAS)
• 21:34:49
– Opdracht verkeersleider
• 21:34:56
– TCAS aanbeveling
22

23. Voorbeeld: Überlingen, 1 Juli 2002
• Boeing & Tupolew kruisen
B757-200 TU154M
• 21:33:03
!
– Alarm door het Collision
Avoidance System (TCAS)
• 21:34:49
– Opdracht verkeersleider
• 21:34:56
– TCAS aanbeveling
• 21:35:32
– Botsing
23

24. Voorbeeld: Überlingen, 1 Juli 2002
• Boeing & Tupolew kruisen
B757-200 TU154M
• 21:33:03
!
– Alarm
Officiële aanbeveling: door het Collision
Avoidance System (TCAS)
“piloten dienen adviezen van
• 21:34:49
TCAS op te volgen, onafhankelijk van
– Opdracht verkeersleider
eventuele strijdige adviezen door de
verkeersleiding”
• 21:34:56
– TCAS aanbeveling
Een computer vertrouwen!?
• 21:35:32
– Botsing
24

25. Formele Verificatie
• Kenmerken
– Gebruik taal van de wiskunde
Model van Model van – Computerondersteuning
Omgeving Software • Hybride Systeem
– continue omgeving
– discrete software
Nauwkeurige
Specificatie
25

26. Modelgebaseerd Ontwerpen
• Kenmerken
– Gebruik taal van de wiskunde
– Computerondersteuning
Model van Model van
Omgeving Software • Hybride Systeem
– continue omgeving
– discrete software
• Problemen
Bewijs
Nauwkeurige
(met hulp van – Bewijzen lukt alleen voor
Specificatie eenvoudige modellen
computer)
– Alle mogelijkheden moeten
doorlopen worden
toestandsexplosie
26

27. Modelgebaseerd Ontwerpen
• Kenmerken
– Gebruik taal van de wiskunde
– Computerondersteuning
Model van Model van
Omgeving Software • Hybride Systeem
– continue omgeving
– discrete software
• Problemen
Bewijs
Nauwkeurige
(met hulp van – Bewijzen lukt alleen voor
Specificatie eenvoudige modellen
computer)
– Alle mogelijkheden moeten
doorlopen worden
toestandsexplosie
TCAS deels
correct bewezen Garantie
Nancy Lynch et al, 2000 Correctheid
27

28. Turing Award voor Model Checking
28

29. Wat is Model Checking?
29

30. Demonstratie Model Checker
Zes vriendinnen hebben ieder
een roddel. Ze bellen elkaar op.
Wanneer twee vriendinnen
elkaar spreken wisselen ze alle
roddels uit die ze op dat
moment weten.
Hoeveel gesprekken zijn nodig
voordat iedereen alle roddels
kent?
30

31. Toestandsdiagram
31

32. Oplossing Model Checker
32

33. Toepassingen van Model Checking
• Draadloze sensornetwerken
• NASA DEEP SPACE 1 missie
• Stormvloedkering bij Rotterdam
• Copieermachines
• Radarsysteem voor auto’s
• ….
33

34. Doelen Cursus
1. Zelf leren werken met model checker Uppaal
 Bestaande modellen aanpassen
 Zelf eenvoudige modellen bouwen
 Eigenschappen formuleren en laten uitrekenen
2. Leren over gedistribueerde algoritmen
11 lessen + afsluitende toets
34