Observations

А что, формальная верификация софтверных программ имеет реальное применение? В какой области? Я знаком только с формальной верификацией хардвера (поверхностно), и с динамической верификацией хардвера (coverage-driven constraint-random verification, SystemVerilog/VMM).

From:

Это мой следующий вопрос: а что, собственно, это за штука такая, верификация программ? Верификация хардвера, для меня по крайней мере, имеет какой-то смысл, потому что хардвер конечен.

From:

"Нет такой буквы в этом слове."

Практически, задача у верификации - доказать, что система не выдаст ошибочного значения. Правда, самая надёжная система - та, которая выключена. Но это тоже удовлетворяет условию задачи, хоть мало кто об этом любит говорить.

Приличные системные требования, что я видел, описывались в таблицах переходов. (Хотя, софтверные люди и утверждали, что это прошлый век и не модно.) Естественно, размеры таблиц очень невелики.

From:

Хардвер не совсем конечен. Хотя пространство состояний принципиально меньше, чем у софтвера, перебрать все пространство состояний и переходов даже простого устройства нереально. Именно для этого изобретены методологии с комбинацией динамической симуляции, формальной верификации, coverage и constraint random. Кроме этого в хардвере везде параллельность, что усложняет дело.

То, что верификация хардвера существует (как распостраненное занятие), а верификация софтвера - нет, объясняется не только "конечностью" хардвера, но и более высокими требованиями к качеству, чем у софтвера (после отправления дизайна на фабрику его не поменяешь (за исключением FPGA)). Верификация софтвера (I guess) наверное имеет практический смысл только для RTOS, которые маленькие, сильно параллельные, и имеют четко определенные абстракции (threads, mailbox, semaphore) и т.д.

From:

и выдаст правильное значение

Ну я ж русским языком пишу "практически"

В большинстве случаев она выдаёт правильное значение. В остальных - падает кверху лапками и производит перезапуск. Если может.

From:

Грубо говоря, по стандартам весь mission critical софт должен верифицироваться. В большинстве случаев, правда, это некий ручной процесс, близкое знакомство с которым лишает всяческих светлых иллюзий.

From:

mr-aleph.livejournal.com

м, непонятно что значит верифицировать программу конечным автоматом.

From:

По ссылке написано в основном про хардвер (combinational circuits, digital circuits with internal memory) и специальные случаи софтвера (cryptographic protocols, ..., and software expressed as source code.) Программные продукты для верификации хардвера на рынке существуют (например программы, которые доказывают те или иные свойства для RTL (register-transfer-level) дизайнов на Verilog, или которые определяют эквивалентность двух дизайнов, или верификация с помощью симуляции с хитрыми методами генерации случайных транзакций, подсчета покрытия и state space exploration. См. http://pikibook.com/electrical-engineering/digital-electronics/verilog-hdl/advanced-verification-techniques-summary

А вот программные продукты для верификации софтвера я не знаю, поэтому и спрашиваю. Я предполагаю, что они должны существовать для RTOS, которые маленькие, сильно параллельные, и имеют четко определенные абстракции (threads, mailbox, semaphore) и т.д. Но тогда встает вопрос - что для таких программ верификации является входным языком, который они парсируют? С/C++/Java? Эти языки труднее верифицировать, чем RTL-подмножество верилога ИМХО, ибо в них главную роль играют всякие динамические структуры (деревья с поинтерами), семантика которые на уровне языка не особенно видна (в то время как из кода на верилоге можно извлечь state machine).

From:

В принципе, у оператора есть кнопка горячего перезапуска. Ну, или детонатор для автономной системы.

From:

О, спасибо, это я и спрашивал

From:

Уважаемый, писать что-то для такого софта можно не на языке С, С++ или Паскале, а только на строго ограниченном подмножестве.
Тут в каждой строчке нарушены базовые требования любого стандарта на кодирование.

From:

huzhepidarasa.livejournal.com

Хм. Вот есть программа
ispal x = x == reverse x
Можно ли верифицировать ее правильность конечным автоматом? Это же практически определение палиндрома, доказывать нечего. Может ли конечный автомат проверить, правильно ли записано определение? Хрен его знает, почему бы и нет? Во всяком случае, к какому классу относится язык, принимаемый программой, здесь вроде бы не играет роли. Нам больше интересен язык, на котором она написана.

From:

Первым делом, в приличных системах не одна программа, а минимум две, работающих параллельно.

Вторым, обычно идёт бесконечный цикл чтения входных значений и выдача выходных. Если программа в том же самолёте остановится, то пилотам придётся очень туго. А Арианы, те просто взрываются.

Весёлым же местом в таких системах являются не зацикливания, а дидлоки. Беда в том, что о существовании асинхронных не все специалисты подозревают. А оттестировать такое дело очень и очень сложно.

From:

На всякий случай:
Любой тезис можно доказать, приведя левый, не относящийся к делу аргумент.

From:

Второй линк особенно прикольный. Сейчас, 14 лет спустя, было бы интересно вернуться к этому вопросу, действительно ли они что-то доказали в системе предотвращения наводнений в Голландии.

From:

Вот и у меня такое же впечатление. :)

From:

О! Вы переводите разговор на совершенно несущественные рельсы. Этот пример, выше - прекрасный пример, очень содержательный. И разговаривать о нём надо по существу.

From:

У меня такое ощущение, что собеседник немножко поплыл.

From:

Мне тоже, на самом деле.

From:

Да. Хороший вопрос. Можно?

From:

совершенно несущественные рельсы

По существу, верифицировать можно только вполне определённый класс задач на вполне определённом множестве. Кстати, палиндромов это тоже касается.

Короче говоря, если мы говорим о поезде, то он ездит по рельсам. Если не по рельсам, то это уже не поезд.

А так, да. Разговор идёт мимо.

From:

Я не поплыл. Тут просто четыре часа ночи и мне очень влом.

From:

Ну можно же и не спешить вступать в бой в 4-то часа ночи, а? :)

From: