Теории выполнимости по модулю

В информатике и математической логике теория выполнимости по модулю SMT ) представляет собой проблему определения математической формулы выполнимости . ( Он обобщает проблему логической выполнимости (SAT) на более сложные формулы, включающие действительные числа , целые числа и/или различные структуры данных , такие как списки , массивы , битовые векторы и строки . Название происходит от того факта, что эти выражения интерпретируются в рамках («по модулю») определенной формальной теории в логике первого порядка с равенством (часто без учета кванторов ). Решатели SMT — это инструменты, целью которых является решение проблемы SMT для практического подмножества входных данных. Решатели SMT, такие как Z3 и cvc5, использовались в качестве строительного блока для широкого спектра приложений в области информатики, в том числе для автоматического доказательства теорем , анализа программ , проверки программ и тестирования программного обеспечения .

Поскольку булева выполнимость уже NP-полна , проблема SMT обычно NP-трудна и для многих теорий неразрешима . Исследователи изучают, какие теории или подмножества теорий приводят к разрешимой проблеме SMT, а также вычислительную сложность разрешимых случаев. Полученные процедуры принятия решений часто реализуются непосредственно в решателях SMT; см., например, разрешимость арифметики Пресбургера . SMT можно рассматривать как проблему удовлетворения ограничений и, таким образом, как определенный формализованный подход к программированию в ограничениях .

Формально говоря, экземпляр SMT — это формула в логике первого порядка , где некоторые символы функций и предикатов имеют дополнительные интерпретации, а SMT — это проблема определения выполнимости такой формулы. Другими словами, представьте себе пример задачи булевой выполнимости (SAT), в которой некоторые двоичные переменные заменяются предикатами над подходящим набором недвоичных переменных. Предикат — это двоичная функция недвоичных переменных. Примеры предикатов включают линейные неравенства (например, ${\displaystyle 3x+2y-z\geq 4}$) или равенства, включающие неинтерпретированные термины и функциональные символы (например, ${\displaystyle f(f(u,v),v)=f(u,v)}$ где ${\displaystyle f}$ — некоторая неопределённая функция двух аргументов). Эти предикаты классифицируются в соответствии с каждой соответствующей теорией. Например, линейные неравенства над действительными переменными оцениваются с использованием правил теории линейной вещественной арифметики , тогда как предикаты, включающие неинтерпретированные термины и функциональные символы, оцениваются с использованием правил теории неинтерпретируемых функций с равенством (иногда называемой пустой теорией ). Другие теории включают теории массивов и списочных структур (полезны для моделирования и проверки компьютерных программ ) и теорию битовых векторов (полезны для моделирования и проверки аппаратных средств ). Возможны также подтеории: например, разностная логика — это подтеория линейной арифметики, в которой каждое неравенство ограничено и имеет вид ${\displaystyle x-y>c}$ для переменных ${\displaystyle x}$ и ${\displaystyle y}$ и постоянный ${\displaystyle c}$.

В приведенных выше примерах показано использование линейной целочисленной арифметики для решения неравенств. Другие примеры включают в себя:

• Выполнимость: Определите, если ${\displaystyle x\vee (y\wedge \neg z)}$ является удовлетворительным.
• Доступ к массиву: найти значение для массиватакой, что A[0]=5.
• Арифметика битовых векторов: определите, являются ли x и y разными 3-битными числами.
• Неинтерпретируемые функции: найдите значения x и y такие, что ${\displaystyle f(x)=2}$ и ${\displaystyle g(x)=3}$.

Большинство решателей SMT поддерживают только кванторов . фрагменты своей логики, не содержащие ^{[ нужна ссылка ]}

Существует существенное совпадение между решением SMT и автоматизированным доказательством теорем . Как правило, автоматизированные средства доказательства теорем сосредотачиваются на поддержке полной логики первого порядка с помощью кванторов, тогда как средства решения SMT больше сосредотачиваются на поддержке различных теорий (интерпретируемых символов предикатов). ATP превосходно справляются с задачами с большим количеством кванторов, тогда как решатели SMT хорошо справляются с большими задачами без кванторов. ^[1] Граница настолько размыта, что некоторые ATP участвуют в SMT-COMP, а некоторые решатели SMT участвуют в CASC . ^[2]

Экземпляр SMT — это обобщение булевого экземпляра SAT , в котором различные наборы переменных заменяются предикатами из множества основных теорий. Формулы SMT предоставляют гораздо более богатый язык моделирования , чем это возможно с помощью логических формул SAT. Например, формула SMT позволяет моделировать операции тракта данных микропроцессора на уровне слов , а не на уровне битов.

Для сравнения, программирование набора ответов также основано на предикатах (точнее, на атомарных предложениях, созданных из атомарных формул ). В отличие от SMT, программы набора ответов не имеют кванторов и не могут легко выражать ограничения, такие как линейная арифметика или разностная логика - программирование набора ответов лучше всего подходит для булевых задач, которые сводятся к свободной теории неинтерпретируемых функций. Реализация 32-битных целых чисел в виде битовых векторов в программировании набора ответов сталкивается с большинством тех же проблем, с которыми сталкивались первые решатели SMT: «очевидные» тождества, такие как x + y = y + x, трудно вывести.

Программирование логики ограничений действительно обеспечивает поддержку линейных арифметических ограничений, но в совершенно другой теоретической структуре. ^{[ нужна ссылка ]} Решатели SMT также были расширены для решения формул в логике высшего порядка . ^[3]

Ранние попытки решения примеров SMT включали их преобразование в логические экземпляры SAT (например, 32-битная целочисленная переменная кодировалась 32 однобитовыми переменными с соответствующими весами, а операции на уровне слов, такие как «плюс», заменялись более низкими значениями). логические операции над битами) и передачу этой формулы логическому решателю SAT. Этот подход, который называется нетерпеливым ), имеет свои преимущества: путем предварительной обработки формулы SMT в эквивалентную логическую формулу SAT существующие решатели Boolean SAT могут использоваться «как есть», а их производительность и мощность могут быть использованы « как подходом (или побитовой очисткой есть». улучшения, полученные с течением времени. С другой стороны, потеря высокоуровневой семантики лежащих в основе теорий означает, что логическому решателю SAT приходится работать намного усерднее, чем необходимо, чтобы обнаружить «очевидные» факты (такие как ${\displaystyle x+y=y+x}$ для сложения целых чисел.) Это наблюдение привело к разработке ряда решателей SMT, которые тесно интегрируют логические рассуждения поиска в стиле DPLL с решателями, специфичными для теории ( T-солверами ), которые обрабатывают соединения (И) предикатов из заданного числа. теория. подход называется ленивым . подходом Этот ^[4]

Дублированный DPLL(T) , ^[5] эта архитектура возлагает ответственность за логические рассуждения на решатель SAT на основе DPLL, который, в свою очередь, взаимодействует с решателем теории T через четко определенный интерфейс. Решателю теории нужно только беспокоиться о проверке осуществимости соединений предикатов теории, переданных ему от решателя SAT, когда он исследует булево пространство поиска формулы. Однако для того, чтобы эта интеграция работала хорошо, решатель теории должен иметь возможность участвовать в распространении теории и анализе конфликтов, т. е. он должен быть в состоянии выводить новые факты из уже установленных фактов, а также предоставлять краткие объяснения неосуществимости, когда теория противоречит. возникнуть. Другими словами, решатель теории должен быть инкрементальным и иметь возможность обратного отслеживания .

Исследователи изучают, какие теории или подмножества теорий приводят к разрешимой проблеме SMT, а также вычислительную сложность разрешимых случаев. Поскольку полная логика первого порядка является лишь полуразрешимой , одно направление исследований пытается найти эффективные процедуры принятия решений для фрагментов логики первого порядка, таких как эффективно пропозициональная логика . ^[6]

Другое направление исследований включает разработку специализированных разрешимых теорий , включая линейную арифметику над рациональными и целыми числами , битвекторы фиксированной ширины, ^[7] арифметика с плавающей запятой (часто реализуется в решателях SMT посредством побитовой обработки , т. е. приведения к битовым векторам), ^{[8] [9]} струны , ^[10] (co)-типы данных , ^[11] последовательности (используются для моделирования динамических массивов ), ^[12] конечные множества и отношения , ^{[13] [14]} логика разделения , ^[15] конечные поля , ^[16] и неинтерпретированные функции среди прочего.

Булевы монотонные теории — это класс теорий, которые поддерживают эффективное распространение теории и анализ конфликтов, что позволяет их практическое использование в решателях DPLL(T). ^[17] Монотонные теории поддерживают только логические переменные (единственный сорт — логические ), и все их функции и предикаты p подчиняются аксиоме

${\displaystyle p(\ldots ,b_{i-1},0,b_{i+1},\ldots )\implies p(\ldots ,b_{i-1},1,b_{i+1},\ldots )}$

Примеры монотонных теорий включают достижимость графа , обнаружение столкновений для выпуклых оболочек , минимальные разрезы и логику дерева вычислений . ^[18] Любую программу Datalog можно интерпретировать как монотонную теорию. ^[19]

Большинство распространенных подходов SMT поддерживают разрешимые теории. Однако многие системы реального мира, такие как самолет и его поведение, можно моделировать только с помощью нелинейной арифметики над действительными числами, включающей трансцендентные функции . Этот факт мотивирует расширение проблемы SMT на нелинейные теории, например, для определения того, выполнимо ли следующее уравнение:

${\displaystyle {\begin{array}{lr}&(\sin(x)^{3}=\cos(\log(y)\cdot x)\vee b\vee -x^{2}\geq 2.3y)\wedge \left(\neg b\vee y<-34.4\vee \exp(x)>{y \over x}\right)\end{array}}}$

где

${\displaystyle b\in {\mathbb {B} },x,y\in {\mathbb {R} }.}$

Однако такие проблемы в целом неразрешимы . (С другой стороны, теория вещественных замкнутых полей и, следовательно, полная теория действительных чисел первого порядка разрешима исключения с помощью кванторов . Это заслуга Альфреда Тарского .) Теория натуральных чисел первого порядка со сложением ( но не умножение), называемая арифметикой Пресбургера , также разрешима. Поскольку умножение на константы может быть реализовано как вложенное сложение, арифметика во многих компьютерных программах может быть выражена с использованием арифметики Пресбургера, что приводит к разрешимым формулам.

Примерами решателей SMT, работающими с логическими комбинациями теоретических атомов из неразрешимых арифметических теорий над действительными числами, являются ABsolver, ^[20] который использует классическую архитектуру DPLL (T) с пакетом нелинейной оптимизации в качестве (обязательно неполного) подчиненного теоретического решателя, iSAT , основанного на унификации решения DPLL SAT и распространения интервальных ограничений, называемого алгоритмом iSAT, ^[21] и cvc5 . ^[22]

В таблице ниже приведены некоторые функции многих доступных решателей SMT. Столбец «SMT-LIB» указывает на совместимость с языком SMT-LIB; многие системы с пометкой «да» могут поддерживать только более старые версии SMT-LIB или предлагать лишь частичную поддержку этого языка. Столбец «CVC» указывает на поддержку языка CVC . В столбце «DIMACS» указана поддержка DIMACS формата .

Проекты различаются не только функциями и производительностью, но и жизнеспособностью окружающего сообщества, его постоянным интересом к проекту и его способностью предоставлять документацию, исправления, тесты и улучшения.

Существует множество попыток описать стандартизированный интерфейс для решателей SMT (и автоматизированных средств доказательства теорем — термин, часто используемый как синоним). Наиболее известным является стандарт SMT-LIB. ^{[ нужна ссылка ]} который предоставляет язык, основанный на S-выражениях . Другими обычно поддерживаемыми стандартизированными форматами являются формат DIMACS. ^{[ нужна ссылка ]} поддерживается многими решателями Boolean SAT и форматом CVC ^{[ нужна ссылка ]} используется автоматическим средством доказательства теорем CVC.

Формат SMT-LIB также включает ряд стандартизированных тестов и позволяет проводить ежегодное соревнование между решателями SMT под названием SMT-COMP. Первоначально конкурс проходил в рамках конференции по компьютерной верификации (CAV). ^{[23] [24]} но с 2020 года конкурс проводится в рамках семинара SMT, который является частью Международной совместной конференции по автоматизированному рассуждению (IJCAR). ^[25]

Решатели SMT полезны как для проверки, доказательства корректности программ, тестирования программного обеспечения на основе символьного выполнения , так и для синтеза , генерации фрагментов программы путем поиска по пространству возможных программ. Помимо проверки программного обеспечения, решатели SMT также использовались для вывода типов. ^{[26] [27]} и для моделирования теоретических сценариев, включая моделирование убеждений действующих лиц в контроле над ядерными вооружениями . ^[28]

При компьютерной проверке компьютерных программ часто используются решатели SMT. Распространенным методом является преобразование предусловий, постусловий, условий цикла и утверждений в формулы SMT, чтобы определить, могут ли сохраняться все свойства.

построено множество верификаторов На базе решателя Z3 SMT . Boogie — это промежуточный язык проверки, который использует Z3 для автоматической проверки простых императивных программ. Верификатор VCC для параллельного C использует Boogie, а также Dafny для императивных объектно-ориентированных программ, Chalice для параллельных программ и Spec# для C#. F* — это зависимо типизированный язык, использующий Z3 для поиска доказательств; компилятор проводит эти доказательства для создания байт-кода, несущего доказательства. Инфраструктура проверки Viper кодирует условия проверки в Z3. Библиотека sbv обеспечивает проверку программ Haskell на основе SMT и позволяет пользователю выбирать среди ряда решателей, таких как Z3, ABC, Boolector, cvc5, MathSAT и Yices.

Существует также множество верификаторов, построенных на основе решателя Alt-Ergo SMT. Вот список зрелых приложений:

• Why3 , платформа для дедуктивной проверки программ, использует Alt-Ergo в качестве основного средства доказательства;
• CAVEAT, C-верификатор, разработанный CEA и используемый Airbus; «Альт-Эрго» был включен в квалификацию DO-178C одного из своих последних самолетов;
• Frama-C , фреймворк для анализа C-кода, использует Alt-Ergo в плагинах Jessie и WP (предназначенных для «дедуктивной проверки программ»);
• SPARK использует CVC4 и Alt-Ergo (за GNATprove) для автоматизации проверки некоторых утверждений в SPARK 2014;
• Atelier-B может использовать Alt-Ergo вместо своего основного испытателя (увеличение успеха с 84% до 98% в тестах проекта ANR Bware );
• Rodin , фреймворк B-метода, разработанный Systerel, может использовать Alt-Ergo в качестве серверной части;
• Cubicle — средство проверки моделей с открытым исходным кодом для проверки свойств безопасности переходных систем на основе массивов.
• EasyCrypt — набор инструментов для анализа реляционных свойств вероятностных вычислений с состязательным кодом.

Многие решатели SMT реализуют общий формат интерфейса, называемый SMTLIB2 (такие файлы обычно имеют расширение « .smt2"). LiquidHaskell Инструмент реализует верификатор на основе уточняющего типа для Haskell, который может использовать любой решатель, совместимый с SMTLIB2, например, cvc5, MathSat или Z3.

Важным применением решателей SMT является символьное выполнение для анализа и тестирования программ (например, concolic-тестирование ), направленного, в частности, на поиск уязвимостей безопасности. ^{[ нужна ссылка ]} Примеры инструментов этой категории включают SAGE от Microsoft Research , KLEE , S2E и Triton . Решатели SMT, которые использовались для приложений символьного выполнения, включают Z3 , STP, архивировано 6 апреля 2015 г. на Wayback Machine , семейство решателей Z3str и Boolector . ^{[ нужна ссылка ]}

Решатели SMT были интегрированы с помощниками по проверке, включая Coq. ^[29] и Изабель/ХОЛ . ^[30]

• Программирование набора ответов
• Автоматизированное доказательство теорем
• SAT-решатель
• Логика первого порядка
• Теория чистого равенства