Mục lục
Chương 1 Giới thiệu 1
1.1 Đặt vấn đề 1
1.2 Nội dung nghiên cứu của khóa luận 2
1.3 Cấu trúc khóa luận 2
Chương 2 Tổng quan về kiểm chứng mô hình và NuSMV 4
2.1 Tổng quan về kiểm chứng mô hình 4
2.1.1 Giới thiệu 4
2.1.2 Ý nghĩa của kiểm chứng mô hình 5
2.1.3 Sự khác nhau giữa kiểm chứng mô hình phần mềm và kiểm thử phần mềm 5
2.2 NuSMV 6
2.2.1 Giới thiệu 6
2.2.2 Kiến trúc của NuSMV 6
2.2.3 Sử dụng NuSMV để kiểm chứng mô hình 8
Chương 3 Giới thiệu về logic thời gian 9
3.1 Khái niệm 9
3.2 Các toán tử trong logic thời gian 9
3.2.1 Toán tử globally (toàn thể) 9
3.2.2 Toán tử next (tiếp theo) 10
3.2.3 Toán tử eventually (cuối cùng sẽ xảy ra) 10
3.3 TLT và CTL 10
3.4 Sử dụng temporal logic để mô tả một số thuộc tính cần kiểm chứng 11
3.4.1 Safety (tính an toàn) 11
3.4.2 Liveness (tính chạy được) 11
3.4.3 Fairness (tính công bằng) 12
Chương 4 Ngôn ngữ SMV 13
4.1 Tổng quan 13
4.2 Cấu trúc của chương trình viết bằng ngôn ngữ SMV 13
4.3 Các kiểu dữ liệu 13
4.3.1 Khai báo kiểu dữ liệu 13
4.3.2 Kiểu logic (boolean), kiểu số nguyên (integer) và kiểu liệt kê (enum) 14
4.3.3 Mảng 14
4.3.4 Mảng nhiều chiều 15
4.3.5 Kiểu cấu trúc 15
4.4 Biến và các phép gán 16
4.5 Các phép toán 16
4.5.1 Phép gán 16
4.5.2 Tóan tử next 17
4.6 Máy trạng thái 18
Chương 5 20
Áp dụng NuSMV kiểm chứng mô hình phần mềm giả lập máy ATM 20
5.1 Đề xuất quy trình đặc tả và kiểm chứng phần mềm sử dụng NuSMV 20
5.1.1 Những cơ sở để đưa ra quy trình 20
5.1.2 Mô tả quy trình 21
5.2 Đặc tả và kiểm chứng mô hình phần mềm giả lập máy ATM 21
5.2.1 Đặc tả yêu cầu 21
5.2.1.1 Mô tả bài toán 21
5.2.1.2 Các tác nhân của hệ thống 22
5.2.1.3 Mô hình ca sử dụng tổng thể hệ thống 22
5.2.1.4 Bật máy 23
5.2.1.5 Tắt máy 23
5.2.1.6 Phiên làm việc 24
5.2.1.7 Giao dịch rút tiền 24
5.2.1.8 Giao dịch chuyển tiền 24
5.2.1.9 Giao dịch vấn tin tài khoản 25
5.2.1.10 Sai mã PIN 25
5.2.2 Đặc tả các thuộc tính cần kiểm chứng 25
5.2.3 Thiết kế hệ thống 25
5.2.3.1 Biểu đồ trạng thái tổng thể hệ thống 25
5.2.3.2 Biểu đồ trạng thái quá trình thực hiện một phiên làm việc của hệ thống 26
5.2.3.3 Biểu đồ trạng thái quá trình thực hiện giao dịch của hệ thống 27
5.2.4 Mô hình hóa hệ thống bằng ngôn ngữ SMV 28
5.2.4.1 Mô hình hóa tổng thể hệ thống 28
5.2.4.2 Mô hình hóa quá trình thực hiện phiên làm việc 29
5.2.4.3 Mô hình hóa quá trình thực hiện giao dịch 31
5.2.5 Kiểm chứng mô hình 33
Chương 6 Kết luận 35
45 trang |
Chia sẻ: netpro | Lượt xem: 1827 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Khóa luận Kiểm chứng mô hình phần mềm sử dụng NuSMV, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
, kiểm chứng mô hình đòi hỏi phải mô hình hóa và đặc tả, công việc này rất khó và đòi hỏi người thực hiện có trình độ kinh nghiệm và kiến thức nhất định.
Tóm lại, kiểm chứng mô hình là một phương pháp hiệu quả nhất để kiểm chứng phần mềm. Tuy nhiên để sử dụng được nó một cách hiệu quả đòi hỏi phải mất nhiều thời gian và công sức để nghiên cứu và thực hiện.
NuSMV
Giới thiệu
NuSMV là một công cụ kiểm chứng mô hình được trường đại học Carnegie Mellon University (CMU) và viện per la Ricerca Scientifica e Tecnolgica (IRST). NuSMV được thiết kế với kiến trúc mở, mềm dẻo và được mô tả đầy đủ để phục vụ cho việc kiểm chứng mô hình phần mềm [4].
NuSMV có thể xử lý file viết bằng ngôn ngữ SMV. File này chứa hệ thống đã được mô hình hóa và các đặc tả thuộc tính mà hệ thống cần kiểm chứng. Sau khi xử lý, NuSMV sẽ đưa ra thông báo hệ thống có thỏa mãn các thuộc tính đó hay không, nếu hệ thống không thỏa mãn, NuSMV sẽ đưa ra phản ví dụ. NuSMV hỗ trợ cả đặc tả thuộc tính bằng LTL và CTL.
Kiến trúc của NuSMV
NuSMV có kiến trúc mở, dễ dàng chỉnh sửa, mở rộng hay nâng cấp. Kiến trúc của NuSMV được chia thành các module. Mỗi module đảm trách một tập hợp các chức năng và giao tiếp với các module khác qua những giao diện đã được định nghĩa rõ ràng. Phần lõi và phần ngoại vi của kiến trúc được tách biệt rõ ràng nhằm giúp cho các module bên trong có thể sử dụng lại một cách độc lập với ngôn ngữ dùng để mô hình hóa hệ thống.
Kiến trúc của NuSMV (hình 4.1) bao gồm các module sau:
Kernel: Phần lõi. Module này cung cấp các chức năng ở mức độ thấp như cấp phát bộ nhớ động, tổ chức các cấu trúc dữ liệu. Module này có thể được sử dụng lại như những hộp đen (black-box) với những hàm đã được mô tả rõ ràng.
Parser: Bộ phân tích ngữ pháp. Module này xử lý file viết bằng ngôn ngữ SMV, kiểm tra về mặt cú pháp và xây dựng cấu trúc cây biểu diễn cấu trúc bên trong của file được xử lý.
Compiler: Chương trình dịch. Module này có chức năng dịch file SMV sau khi đã phân tích ngữ pháp sang cây quyết định nhị phân (binary decision diagram - BDD). Mô hình hệ thống được chuyển thành máy hữu hạn trạng thái nhờ module này.
Model Checking: Bộ kiểm chứng mô hình. Module này kiểm tra các thuộc tính được mô tả bằng CTL và sinh ra các phản ví dụ nếu thuộc tính không được thỏa mãn bởi mô hình.
LTL: Module này có chức năng dịch các biểu thức LTL thành các hoạt cảnh (tableaux) thích hợp để NuSMV có thể xử lý được.
Interactive shell: Giao diện tương tác dòng lệnh. Module này cung cấp giao diện người dùng ở chế độ dòng lệnh.
Graphical user interface: Giao diện đồ họa người dùng. Module này được xây dựng bên trên module giao diện tương tác dòng lệnh nhằm cung cấp một giao diện đồ họa trực quan của chương trình cho người sử dụng.
Hình 2.2. Sơ đồ kiến trúc NuSMV [4].
Sử dụng NuSMV để kiểm chứng mô hình
Để kiểm chứng mô hình bằng NuSMV, chúng ta cần mô tả hệ thống và đặc tả các thuộc tính bằng ngôn ngữ SMV. Sau đó sử dụng lệnh:
nusmv tên_file
trong đó tên_file là tên của file được viết bằng ngôn ngữ SMV.
Giới thiệu về logic thời gian
Khái niệm
Logic thời gian dùng để mô tả các kí hiệu và hệ thống luật về giá trị đúng sai của các vị từ có tính đến yếu tố thời gian. Khác với logic mệnh đề trong đó mỗi mệnh đề có tính chất đúng sai rõ ràng mà không quan tâm đến thời điểm đang xem xét, logic thời gian cho phép biểu diễn các mệnh đề mà giá trị chân lý của nó phụ thuộc vào thời gian.
Một ví dụ: Với mệnh đề logic: Trời mưa. Theo logic vị từ, mệnh đề này luôn đúng họăc luôn sai trong bất kì thời điểm nào. Tuy nhiên, giá trị đúng sai của nó có thể thay đổi theo thời gian. Có thể ngày hôm nay trời mưa nhưng ngày mai trời không mưa.
Nếu trong logic vị từ, mỗi vị từ chỉ có thể có một giá trị hoặc đúng (bằng 1) hoặc sai (bằng 0) thì trong logic thời gian, mỗi vị từ được coi như một dãy các giá trị mà mỗi phần tử của dãy chỉ có thể có giá trị đúng hoặc sai [9]. Nhờ đó, logic thời gian có thể biểu diễn được sự thay đổi theo thời gian của giá trị các biểu thức logic.
Trong các nghiên cứu về kiểm chứng mô hình, hai loại logic thời gian hay được xem xét là LTL và CTL [1].
Các toán tử trong logic thời gian
Toán tử globally (toàn thể)
Toán tử globally kí hiệu là □. Giả sử ϕ là một biểu thức logic vị từ, khi đó biểu thức □ϕ có giá trị đúng nếu ϕ đúng trong mọi thời điểm. Người ta cũng thường kí hiệu toán tử này là G.
Toán tử next (tiếp theo)
Toán tử next kí hiệu là ○. Giả sử ϕ là một biểu thức logic. Có thể coi ϕ như một dãy trạng thái và trạng thái hiện tại đang xét đến là trạng thái thứ n. Khi đó biểu thức ○ϕ có giá trị đúng khi và chỉ khi phần tử ngay sau phần tử hiện tại trong dãy trạng thái ϕ (phần tử thứ n+1) có giá trị đúng. (bằng 1)
Toán tử next thường được kí hiệu bằng chữ cái X.
Toán tử eventually (cuối cùng sẽ xảy ra)
Toán tử eventually kí hiệu là ◊. Giả sử ϕ là một biểu thức logic và ϕ được coi như một dãy trạng thái mà mỗi phần tử chỉ có giá trị bằng 0 hoặc 1. Khi đó giá trị biểu thức ◊ϕ bằng 1 khi và chỉ khi ϕ có ít nhất một phần tử có giá trị bằng 1. Toán tử ◊ được định nghĩa thông qua toán tử □ như sau:
◊ϕ ≡ □ φ
Toán tử eventually thường được kí hiệu bằng chữ cái F.
TLT và CTL
Các biểu thức temporal logic không chỉ xét đến những dãy trạng thái đơn, mà còn xét đến những dãy trạng thái phức tạp trong đó từ một trạng thái có thể có nhiều trạng thái ngay tiếp sau nó. Trong các nghiên cứu về kiểm chứng mô hình, hai loại logic thời gian hay được xem xét là LTL và CTL:
LTL (linear-time-temporal logic): Logic thời gian tuyến tính. Thời gian có cấu trúc tuyến tính, mỗi trạng thái chỉ có một trạng thái ngay tiếp sau nó.
CTL (branching-time-temporal logic): Logic thời gian rẽ nhánh. Thời gian có cấu trúc tuyến tính, mỗi trạng thái có nhiều trạng thái ngay tiếp sau nó.
Tóm lại, nhờ khả năng xét đến yếu tố thời gian, temporal logic đã được sử dụng rộng rãi trong công nghệ kiểm chứng phần mềm. Temporal logic thường được sử dụng để mô tả các thuộc tính cần kiểm chứng.
Sử dụng temporal logic để mô tả một số thuộc tính cần kiểm chứng
Safety (tính an toàn)
Tính an toàn của một chương trình đảm bảo rằng sẽ không bao giờ xảy ra tình huống xấu trong chương trình (“something bad never happen”).
Tính an toàn có thể được biểu diễn bằng temporal logic như sau:
AG ϕ trong CTL
hoặc
G ϕ trong LTL
Trong đó ϕ là một biểu thức logic.
Ví dụ của tính an toàn:
Nhiệt độ của phản ứng không bao giờ quá 100 độ C.
Bất kì lúc nào chìa khóa xe chưa vặn tới vị trí khởi động, xe sẽ không nổ máy.
Liveness (tính chạy được)
Thuộc tính liveness của một chương trình đảm bảo rằng nó có thể thực thi được một chức năng “tốt” nào đó đã đặt ra. (“something good will happen eventually”).
Thuộc tính liveness có thể được biểu diễn bằng các phép kết hợp AF hoặc F trong temporal logic:
AF done
AG (req → AF grant)
AG AF tick
trong CTL hoặc
F done
G (req → F grant)
G F tick
trong LTL.
Ví dụ:
Khi chìa khóa xe vặn tới vị trí khởi động, xe sẽ nổ máy.
Bóng đèn sẽ chuyển sang màu xanh
Fairness (tính công bằng)
Tính công bằng đảm bảo rằng nếu một sự kiện nào đó ở trạng thái sẵn sàng được thực thi thì đến một lúc nào đó nó sẽ được thực thi.
Thuộc tính công bằng có thể được biểu diễn bằng các toán tử AF và phép suy ra:
AG (san_sang=0 → AF thuc_thi=0)
AG (san_sang=1→ AF thuc_thi =1)
Một ví dụ cho tính công bằng trong một hệ thống truyền-nhận tin là khi một gói tin được gửi đi thì đến một lúc nào đó nó sẽ đến được đích.
Ngôn ngữ SMV
Tổng quan
Ngôn ngữ SMV dùng để mô tả các hệ thống hữu hạn trạng thái. Các kiểu dữ liệu mà ngôn ngữ này cung cấp bao gồm: kiểu logic (boolean), kiểu số nguyên (bounded interger subrange) và các kiểu dữ liệu liệt kê symbolic enum.
Các mô tả của một hệ thống phức tạp có thể được chia nhỏ thành các module và mỗi một module này có thể được thực thi nhiều lần.
Cấu trúc của chương trình viết bằng ngôn ngữ SMV
Một chương trình viết bằng ngôn ngữ SMV có các phần như sau:
MODULE tên_module
VAR
Khai báo các biến.
ASSIGN
Mô tả các bước chuyển trạng thái của hệ thống.
Kết thúc câu lệnh là một dấu chấm phẩy (;).
Các kiểu dữ liệu
Khai báo kiểu dữ liệu
Các mô tả của một hệ thống phức tạp có thể được chia nhỏ thành các module và mỗi một module này có thể được thực thi nhiều lần.
Một biểu thức khai báo biến có định dạng như sau:
: ;
Trong đó là tên của biến cần khai báo, còn là kiểu dữ liệu của biến đó. Ví dụ, khai báo biến request với kiểu dữ liệu là boolean như sau:
request : boolean;
Kiểu logic (boolean), kiểu số nguyên (integer) và kiểu liệt kê (enum)
Kiểu logic chỉ chứa giá trị 0 hoặc 1. Ví dụ khi khai báo một biến logic:
var1:boolean
thì biến var1 chỉ có thể có giá trị bằng 1 hoặc 0.
Kiểu liệt kê là một tập hợp các giá trị. Ví dụ, câu lệnh
var1: {ready, willing, able};
khai báo một biến có thể có các giá trị là ‘ready’, ‘willing’, ‘able’. Ngoài ra, các giá trị của một kiểu biến liệt kê có thể là các số nguyên. Ví dụ như câu lệnh sau khai báo một biến có tên là count có thể có các giá trị là những số nguyên từ 0 đến 7:
count: 0..7;
Các giá trị số trong khai báo biến cũng có thể là các biểu thức chứa các chữ số và các toán tử như +, - , *, /, mod, > và **.
Mảng
Một mảng trong ngôn ngữ SMV được khai báo theo dạng sau:
: array .. of
Câu lệnh trên sẽ khai báo một mảng các phần tử có kiểu là , chỉ số của phần tử chạy từ đến . Ví dụ, câu lệnh:
var1 : array 2..0 of boolean;
tương đương với khai báo như sau:
var1[2] : boolean;
var1[1] : boolean;
var1[0] : boolean;
Một phần tử của mảng có thể được tham chiếu nhờ chỉ số của nó nằm trong dấu ngoặc vuông viết sau tên biến. Nhưng chỉ số này cần phải nằm trong khoảng đã khai báo.
Mảng nhiều chiều
Một mảng trong ngôn ngữ SMV được khai báo theo dạng sau:
Một mảng hai chiều có thể được coi như một mảng của mảng. Ví dụ, câu lệnh:
matrix : array 0..1 of array 2..0 of boolean;
Tương đương với khai báo sau:
matrix[0] : array [2..0] of boolean;
matrix[1] : array [2..0] of boolean;
Kết quả, ta đã định nghĩa một ma trận với 2 hàng và 3 cột như sau:
matrix[0][0] matrix[0][1] matrix[0][2]
matrix[1][0] matrix[1][1] matrix[1][2]
Số chiều của mảng là không giới hạn.
Chú ý rằng một mảng trong ngôn ngữ SMV không hoàn toàn là một kiểu dữ liệu. Nó đơn giản chỉ là một tập hợp các biến đơn lẻ. Điều đó có nghĩa là hoàn toàn có thể định nghĩa một mảng chứa các phần tử có kiểu dữ liệu khác nhau, bằng cách khai báo giá trị của từng phần tử trong mảng. Ví dụ:
state[0] : {ready, willing};
state[1] : {ready, willing, able};
state[2] : {ready, willing, able, exhausted};
Kiểu cấu trúc
Kiểu cấu trúc của SMV cũng giống như của các ngôn ngữ lập trình như C, Java ... Nó là một tập hợp các giá trị. Một biến có kiểu cấu trúc có thể được khai báo như sau:
foo : struct {
c1 : kiểu_1;
c2 : kiểu_2;
...
cn : kiểu_n;
}
Trong đó c1, c2 ... cn là các tên biến. Khai báo trên tương đương với khai báo sau:
foo.c1 : kiểu_1;
foo.c2 : kiểu_2;
..
foo.cn : kiểu_n;
Như vậy, kiểu cấu trúc cũng giống như kiểu mảng ở điểm có thể chứa nhiều phần tử với những kiểu dữ liệu khác nhau
Biến và các phép gán
Giá trị của một biến là một chuỗi các giá trị. Chuỗi này không giới hạn về độ dài và các giá trị của chuỗi phải thuộc kiểu dữ liệu của biến đó. Ví dụ, một biến kiểu logic có thể có giá trị bằng:
0;1;0;1;
Các phép toán
Như ta đã biết, giá trị của một biến có thể là một chuỗi các phần tử. Một phép toán tác động đến từng phần tử đó. Ví dụ, xét trường hợp phép toán NOT, ký hiệu là “~”, áp dụng cho biến sau:
foo = 0;1;0;1;...
ta được kết quả
~foo = 1;0;1;0;...
Một phép toán khác là phép toán AND, ký hiệu là “&”. Ví dụ:
foo = 0;1;0;1;...
và
bar = 0;0;1;1;...
khi đó
foo & bar = 0;0;0;1;...
Phép gán
Như ta đã biết, giá trị của một biến có thể là một chuỗi các phần tử. Một phép toán tác động đến từng phần tử đó. Ví dụ, xét trường hợp phép toán NOT, ký hiệu là “~”, áp dụng cho biến sau:
Phép gán là một biểu thức có dạng:
:= ;
Trong đó là một biểu thức kết hợp các biến và các phép toán như “~” và “&”. Sau khi thực hiện câu lệnh trên, biến ở vế trái sẽ có giá trị bằng giá trị của biểu thức ở vế phải. Ví dụ, với phép gán:
zip := foo & bar
với các giá trị của biến foo và bar ở trên ta được
zip := 0;0;0;1;...
Các phép gán trong ngôn ngữ SMV được thông dịch đồng thời. Như vậy thật ra hai phép gán liên tiếp nhau trong một chương trình không có nghĩa là chúng được thực hiện tuần tự. Ví dụ với hai phép gán trong một chương trình:
y := x + 1;
z := y + 1;
chúng ta có z := x + 2;
Tóan tử next
Các phép gán trong ngôn ngữ SMV được thông dịch đồng thời. Như vậy thật ra hai phép gán liên tiếp nhau trong một chương trình không có nghĩa là chúng được thực hiện tuần tự. Ví dụ với hai phép gán trong một chương trình:
Giả sử với x là một biến, khi đó next(x) sẽ là giá trị tiếp theo của x. Nói cách khác, giá trị thứ i của next(x) bằng giá trị thứ (i+1) của biến x. Ví dụ:
x = 0, 1, 2, 3 ...
thì next(x) = 1, 2, 3, 4 ...
Bằng cách gán giá trị cho giá trị “next” của một biến, chúng ta có thể định nghĩa được một máy tuần tự. Ví dụ với x và y là hai biến kiểu logic, câu lệnh
next(x) := y ^ x;
định nghĩa một biến x mà sẽ đảo ngược mỗi khi biến y bằng 1. Theo định nghĩa, (y^x) sẽ trả về giá trị bằng x nếu y sai và bằng ~x nếu y đúng. Tuy nhiên, vì chưa khai báo giá trị khởi đầu của biến x nên chúng ta sẽ thu được những dãy khác nhau tùy thuộc vào biến x khởi đầu là 1 hay là 0.
Chúng ta có thể khai báo giá trị khởi đầu của biến x bằng câu lệnh như sau:
init(x) := 0;
Với giá trị khởi đầu này, giả sử với
y = 0; 1; 0; 1 ...
ta được
x = 0; 0; 1; 1; 0 ...
Mặt khác, nếu ta khai báo
init(x) := 1;
Ta được
x = 1; 1; 0; 0; 1 ...
Máy trạng thái
Chúng ta có thể khai báo giá trị khởi đầu của biến x bằng câu lệnh như sau:
Một ví dụ về máy hữu hạn trạng thái: Trạng thái bắt đầu là “idle” và chờ đến khi xuất hiện tín hiệu “start”. Trong chu kì tiếp theo, nó chuyển sang trạng thái “cyc1”, tiếp đến là “cyc2”, rồi trở lại trạng thái “idle”. Ở trạng thái “cyc2”, nó tạo ra tín hiệu “done”.
start,done : boolean;
state : {idle,cyc1,cyc2};
next(state) :=
switch(state){
idle: start ? cyc1 : idle;
cyc1: cyc2;
cyc2: idle;
};
done := (state = cyc2);
Đoạn mã trên có sử dụng hai dạng câu lệnh rẽ nhánh. Toán tử switch cũng giống trong các ngôn ngữ lập trình như C hay Java. Trong trường hợp này nó nhận đối số đầu vào là giá trị của biến state và nhảy đến nhánh có gán nhãn là giá trị này. Ví dụ, ban đầu biến state có giá trị là idle, câu lệnh switch(state) sẽ nhảy đến câu lệnh vế phải của nhãn idle.
Một câu lệnh rẽ nhánh khác sử dụng toán tử “?”. Toán tử này cũng tương tự trong ngôn ngữ lập trình C. Ví dụ với câu lệnh:
Start ? cyc1 : idle
Nếu start là đúng thì trả về giá trị cyc1, ngược lại trả về idle.
Ngoài ra ngôn ngữ SMV cũng có toán tử if, then dùng để rẽ nhánh tương tự như trong ngôn ngữ Pascal. Đoạn mã lệnh sau cũng tương tự đoạn mã lệnh phía trên:
default done := 0;
in switch(state){
idle:
if start then next(state) := cyc1;
cyc1:
next(state) := cyc2;
cyc2:
next(state) := cyc2;
done := 1;
}
Tuy đoạn mã này có chức năng giống hệt đoạn mã trước nhưng có cấu trúc rõ ràng và dễ đọc hơn.
Tóm lại, ngôn ngữ SMV là một ngôn ngữ mô tả một máy trạng thái hữu hạn trong đó không có những phụ thuộc vòng và chuyển trạng thái nhập nhằng. Ngôn ngữ SMV có thể dùng để thiết lập mô hình dùng cho việc kiểm chứng.
Áp dụng NuSMV kiểm chứng mô hình phần mềm giả lập máy ATM
Đề xuất quy trình đặc tả và kiểm chứng phần mềm sử dụng NuSMV
Những cơ sở để đưa ra quy trình
Để kiểm chứng một mô hình cần phải thực hiện hai bước: đầu tiên phải mô hình hóa phần mềm cần kiểm chứng sau đó cần định nghĩa các thuộc tính cần kiểm chứng. Đối với trường hợp sử dụng NuSMV thì chúng ta cần hai bước là mô hình hóa bằng ngôn ngữ SMV và khai báo các thuộc tính cần kiểm chứng bằng temporal logic.
Việc xây dựng mô hình có ý nghĩa vô cùng quan trọng. Nếu mô hình được xây dựng không chính xác, nó sẽ không mô tả đúng hệ thống cần kiểm chứng. Khi đó, kết quả kiểm chứng sẽ không còn chính xác nữa. Ngoài ra, do việc xây dựng mô hình bằng ngôn ngữ SMV được thực hiện thủ công nên có thể xảy ra sai sót. Quy trình sau được đưa ra với mục đích làm cho việc mô hình hóa trở nên dễ dàng và đảm bảo độ chính xác cao.
Bản chất của ngôn ngữ SMV là một ngôn ngữ mô tả một máy hữu hạn trạng thái. Do đó một máy hữu hạn trạng thái và không có các chuyển trạng thái lặp vô hạn thì sẽ ánh xạ tương ứng một mô hình bằng ngôn ngữ SMV. Dựa vào tính chất này, chúng ta sẽ tìm cách xây dựng các biểu đồ trạng thái của hệ thống cần kiểm chứng rồi từ biểu đồ trạng thái xây dựng mô hình bằng ngôn ngữ SMV.
Mô tả quy trình
Mục tiêu của quy trình này là kiểm chứng phần mềm ở giai đoạn thiết kế hệ thống. Việc kiểm chứng được thực hiện sau khi đã xây dựng được các biểu đồ trạng thái của hệ thống cần xây dựng. Đối tượng của kiểm chứng chính là mô hình hoạt động dự kiến của phần mềm.
Sau đây là diễn giải quy trình một cách chi tiết:
Bước 1: Xây dựng các đặc tả của hệ thống như thường lệ. Ở bước này cần xác định rõ những thuộc tính cần kiểm chứng mà hệ thống đòi hỏi. Các thuộc tính này sẽ được sử dụng để biểu diễn bằng temporal logic trong bước 3.
Bước 2: Thiết kế hệ thống. Bước này được thực hiện như thường lệ. Mục tiêu của bước này là xây dựng được các biểu đồ trạng thái mô tả hoạt động của hệ thống cần xây dựng.
Bước 3: Từ biểu đồ trạng thái chúng ta xây dựng mô hình bằng ngôn ngữ SMV. Các thuộc tính cần kiểm chứng đã được xác định trong bước 1 được đặc tả bằng temporal logic. Đưa các đặc tả thuộc tính này vào file mô hình hóa bằng ngôn ngữ SMV.
Bước 4: Sử dụng NuSMV để kiểm chứng mô hình có thỏa mãn các thuộc tính đã đặc tả hay không.
Đặc tả và kiểm chứng mô hình phần mềm giả lập máy ATM
Đặc tả yêu cầu
Mô tả bài toán
Mục tiêu của quy trình này là kiểm chứng phần mềm ở giai đoạn thiết kế hệ thống. Việc kiểm chứng được thực hiện sau khi đã xây dựng được các biểu đồ trạng thái của hệ thống cần xây dựng. Đối tượng của kiểm chứng chính là mô hình hoạt động dự kiến của phần mềm.
Để đơn giản và dễ hiểu cho việc minh họa phương pháp trên, chúng ta xét bài toán: Thiết kế một chương trình phần mềm mô phỏng sự hoạt động của máy ATM.
Phần mềm này sẽ mô phỏng một máy ATM. Máy ATM này có một đầu đọc thẻ, một màn hình hiển thị, một khe để xuất tiền, một máy in để in hóa đơn, một công tắc để tắt và bật toàn bộ máy ATM. Máy ATM sẽ giao tiếp với máy chủ của ngân hàng qua mạng. Tuy nhiên phần giao tiếp với ngân hàng không đựơc xét đến trong ví dụ này.
Mỗi lần sử dụng, khách hàng sẽ phải đưa thẻ ATM vào và nhập mã PIN. Dữ liệu sẽ được kiểm tra. Sau đó khách hàng có thể thực hiện một hoặc nhiều giao dịch. Thẻ ATM sẽ vẫn ở trong máy cho đến khi người dùng không muốn thực hiện thêm bất kì giao dịch nào nữa và chọn lấy lại thẻ, ngoại trừ trường hợp sẽ nói đến sau đây.
Máy ATM sẽ cung cấp cho khách hàng những dịch vụ sau:
Khách hàng có thể rút tiền từ tài khoản.
Khách hàng có thể chuyển khoản.
Khách hàng có thể xem số dư tài khoản.
Sau khi khách hàng chọn việc thực hiện một giao dịch, máy ATM sẽ chuyển các dữ liệu về ngân hàng để kiểm tra. Nếu mã PIN của khách hàng không hợp lệ với giao dịch đó, máy ATM sẽ yêu cầu khách hàng nhập lại mã PIN. Nếu khách hàng nhập sai mã PIN ba lần, máy ATM sẽ giữ thẻ ATM và người dùng phải liên hệ với ngân hàng để lấy lại thẻ.
Nếu giao dịch không được thực hiện thành công, máy ATM sẽ hiển thị một thông báo lỗi.
Sau mỗi giao dịch, máy ATM sẽ hiển thị thông báo hỏi người dùng có muốn thực hiện giao dịch khác hay không.
Máy ATM cũng có một công tắc khởi động để bật và tắt toàn bộ máy.
Các tác nhân của hệ thống
Hệ thống có ba tác nhân sau:
Người điều hành: Người thực hiện các chức năng bật máy, tắt máy để bảo trì hệ thống.
Người dùng: Người sử dụng hệ thống để thực hiện các giao dịch.
Ngân hàng: Có vai trò kiểm tra thông tin và phê duyệt các giao dịch được hệ thống yêu cầu.
Mô hình ca sử dụng tổng thể hệ thống
Nếu giao dịch không được thực hiện thành công, máy ATM sẽ hiển thị một thông báo lỗi.
Người điều hành có thể bật máy hoặc tắt máy ATM để bảo trì. Trong một thời điểm, máy ATM chỉ thực hiện được một phiên làm việc để phục vụ người dùng. Phiên làm việc bao gồm nhiều giao dịch, tại đó người dùng có thể thực hiện việc chuyển tiền, rút tiền, vấn tin tài khoản. Trong mỗi giao dịch, máy ATM sẽ gửi yêu cầu giao dịch đến ngân hàng. Ngân hàng sẽ xác minh lại thông tin và quyết định phê duyệt giao dịch đó hay không. Nếu trong lúc giao dịch, người dùng nhập sai mã PIN nhiều lần thì máy ATM sẽ ngừng giao dịch đó lại và giữ lại thẻ của người dùng. Các ca sử dụng này được mô tả như trong hình sau:
Người điều hành
Người dùng
Ngân hàng
Bật máy
Tắt máy
Phiên làm việc
Giao dịch
Rút tiền
Chuyển tiền
Vấn tin tài khoản
Sai mã PIN
>
>
Biểu đồ ca sử dụng hệ thống máy ATM.
Bật máy
Người bảo trì hệ thống ATM bật máy lên để máy ATM có thể làm việc và phục vụ khách hàng.
Tắt máy
Người bảo trì hệ thống tắt máy ATM, máy ATM ở trạng thái ngưng họat động cho đến khi nào được bật lên.
Phiên làm việc
Máy ATM vào phiên làm việc. Một phiên làm việc bắt đầu khi khách hàng đưa thẻ ATM vào khe đọc thẻ. Máy ATM đưa thẻ vào trong và đọc thẻ (nếu bộ đọc thẻ không đọc được thẻ thì máy sẽ đưa thẻ ra). Hệ thống sẽ yêu cầu khách hàng nhập mã PIN, sau đó hệ thống sẽ đưa ra một danh sách các loại giao dịch để khách hàng lựa chọn. Sau khi một giao dịch đựơc thực hiện, hệ thống sẽ hỏi khách hàng có muốn thực hiện giao dịch nào khác hay không. Nếu khách hàng chọn không thực hiện giao dịch nào nữa thì máy ATM trả lại thẻ cho khách hàng. Nếu một giao dịch bị dừng do quá nhiều lần nhập sai mã PIN thì phiên giao dịch kết thúc và thẻ ATM của khách hàng bị giữ lại trong máy.
Khách hàng có thể kết thúc một phiên làm việc bằng cách ấn nút Cancel trong khi đang nhập mã PIN họăc chọn một loại giao dịch
Giao dịch rút tiền
Rút tiền. Hệ thống sẽ yêu cầu người dùng chọn tài khoản muốn rút. Sau đó yêu cầu người dùng chọn số tiền từ danh sách các số tiền có thể rút. Hệ thống sẽ kiểm tra xem hiện có đủ tiền để thực hiện giao dịch hay không. Nếu đủ, hệ thống sẽ gửi một yêu cầu phê duyệt tới ngân hàng, nếu không đủ, hệ thống sẽ yêu cầu người dùng chọn số tiền khác. Sau khi yêu cầu rút tiền được ngân hàng phê duyệt, số tiền tương ứng sẽ được đưa ra khỏi máy ATM cho người dùng và sau đó một hóa đơn được xuất ra.
Giao dịch rút tiền có thể được dừng lại và bỏ qua nếu người dùng ấn nút Cancel bất kì khi nào số tiền cần rút chưa được chọn.
Giao dịch chuyển tiền
Hệ thống sẽ yêu cầu người dùng chọn chuyển tiền từ tài khoản nào trong danh sách tài khoản. Sau đó yêu cầu người dùng chọn một tài khoản để chuyển tiền tới. Tiếp theo hệ thống yêu cầu nhập số tiền muốn chuyển. Sau đó hệ thống gửi yêu cầu phê duyệt đến ngân hàng. Nếu yêu cầu chuyển tiền hợp lệ và được ngân hàng phê duyệt, hệ thống sẽ thông báo giao dịch thành công.
Giao dịch vấn tin tài khoản
Hệ thống hiển thị ra một danh sách các tài khoản và yêu cầu người dùng chọn tài khoản cần vấn tin. Sau khi yêu cầu vấn tin được phê duyệt bởi ngân hàng, hệ thống hiển thị thông báo và in thông tin tài khỏan cho người dùng.
Sai mã PIN
Trường hợp này xảy ra trong khi thực hiện giao dịch, ngân hàng kiểm tra thông tin và xác định mã PIN không đúng. Hệ thống sẽ dừng giao dịch hiện hành và yêu cầu người dùng nhập lại mã PIN. Nếu mã PIN nhập lại đúng, giao dịch bị dừng sẽ được tiếp tục thực hiện. Nếu mã PIN được nhập sai 3 lần thì hệ thống sẽ giữ lại thẻ ATM của khách hàng và chấm dứt phiên làm việc.
Đặc tả các thuộc tính cần kiểm chứng
Về tổng thể hệ thống, chúng ta cần đảm bảo rằng hệ thống từ trạng thái đang ngừng họat động đến một lúc nào đó có thể đến trạng thái phục vụ người dùng (liveness).
Trong quá trình thực hiện một phiên làm việc, chúng ta muốn đảm bảo rằng, sau khi đưa thẻ vào, cuối cùng nó phải được trả lại người dùng hoặc giữ lại trong thẻ ATM.
Trong mỗi giao dịch, yêu cầu thực hiện giao dịch cần được gửi đến ngân hàng để phê duyệt. Do đó chúng ta cần đảm bảo rằng, không có giao dịch nào được thực hiện hoàn tất nếu trước đó nó chưa được gửi đến ngân hàng để phê duyệt.
Thiết kế hệ thống
Ở bước này, hệ thống được thiết kế. Sản phẩm của bước này là các biểu đồ tương tác, biểu đồ trạng thái, biểu đồ lớp ... Tuy nhiên, do trong quy trình kiểm chứng phần mềm chúng ta xây dựng mô hình dựa trên biểu đồ trạng thái nên ở đây, để cho ngắn gọn, chúng ta chỉ xét đến một số biểu đồ trạng thái nhằm minh họa cho việc thực hiện quy trình.
Biểu đồ trạng thái tổng thể hệ thống
Sau đây là biểu đồ trạng thái tổng thể hệ thống (bao gồm ca sử dụng bật máy và tắt máy)
Biểu đồ trạng thái tổng thể hệ thống ATM.
Biểu đồ trạng thái quá trình thực hiện một phiên làm việc của hệ thống
Sau đây là biểu đồ trạng thái quá trình thực hiện một phiên làm việc của hệ thống:
Đọc thẻ
Đọc mã PIN
Chọn giao dịch
Thực hiện giao dịch
Đưa thẻ ra
Dừng vì mã PIN nhập sai nhiều lần
Chọn giao dịch khác
Người dùng chọn “Kết thúc”
Giao dịch được chọn
Đọc mã PIN thành công
Đọc thẻ thành công
Các file đính kèm theo tài liệu này:
- Kiểm chứng mô hình phần mềm sử dụng nusmv.doc