ModelCoder是一款由迪捷软件自主研发,支持多种嵌入式系统建模并可以自动生成高安全可靠的C代码的软件设计和开发工具。ModelCoder支持同步数据流以及状态机等嵌入式模型,其从模型生成代码的过程经过了形式化验证,以保证生成过程的正确无误性,能够用于飞行控制系统,航空电子系统,核电的DCS等多个安全关键领域的嵌入式软件的设计和开发。
在ModelCoder的核心代码生成器L2c的形式化验证证明过程中,有很多难点。其中之一就是最后一层CtempGen的证明。虽然经过层层化简,已将同步数据流程序Lustre化简到LustreC,其语法语义已经大幅简化;但LustreC与C的语法语义依然有较大的差异。尤其是二者的环境定义差异大,这就给CtempGen层的语义保持证明带来了较大的挑战。而其中能否完成证明的关键就在于二者环境匹配的定义。
LustreC语义的环境定义
LustreC的环境主要包括全局常量环境gc、存储节点本地变量的环境te、存储节点输入参数变量的ta和存储输出参数的e等四部分组成。每一部分都是被定义为locenv。locenv是一个树形存储空间,通过变量id作为存储的索引值,存储每个变量对应的mvl值及其类型。
Definition locenv:= PTree.t (mvl*type).
C语义的环境定义
C的环境主要包括全局环境geC、存储节点本地变量地址的环境eC、存储输入参数的环境leC、存储输出参数的环境teC和存储数据的内存m。
全局环境geC被定义为genv,其中存储着C程序的函数、全局常量和类型。
Definition genv := Genv.t fundef type.
存储节点本地变量地址的环境eC被定义为env,是一个由变量名索引的树形结构,每个叶子节点上存储着该变量在内存中的地址和该变量的类型。
Definition env := PTree.t (block * type).
存储输入参数的环境leC和存储输出参数的环境teC都被定义为temp_env,也是一个由变量名索引的树形结构,每个叶子节点上存储着该变量的值和该变量的类型
Definition temp_env := PTree.t (val*type).
存储数据的内存m被定义为mem,mem是由地址索引的内存块。每个内存块的大小为地址块对应的变量的类型的大小,每个内存块中由偏移映射到memval值。
CtempGen之前各层,已经将Lustre节点的输入输出变量包装到输入输出结构体中,每个输出结构体中还包含子节点的调用实例。所以在C函数执行时定义存储输入结构体的地址为bi,存储输出结构体的地址为bo。
全局常量环境匹配
全局常量的环境匹配定义了LustreC的全局常量环境gc和C的全局环境geC、内存m匹配。
Definition globconsts_match(gc: locenv)(geC: genv)(m: mem): Prop :=
forall id mv ty, gc ! id = Some (mv,ty) ->
(** 如果常量id在LustreC的全局常量环境gc中存储内存段mv和类型ty *)
exists l, Genv.find_symbol geC id = Some l
(** 则存在地址块l,在C的全局环境中能找到id对应的地址块l *)
/\ Plt l bi
(** 全局常量对应的地址块l小于主节点输入结构体所在地址块bi *)
/\ Mem.loadbytes m l 0 (Z_of_nat (length mv)) = Some mv.
(** 利用地址块l和mv的长度从C的内存m中读取的内存段等于mv *)
节点本地变量环境匹配
节点本地变量环境匹配定义了LustreC的节点局部环境te和C的地址环境eC、内存m匹配。
Definition locvars_match(te: locenv)(eC: env)(m: mem)(bs: block)(bl: list (block*(int*type))) : Prop :=
forall id mv ty, te!id = Some (mv,ty) ->
(** 如果变量id在LustreC的局部环境te中存储内存段mv和类型ty *)
exists b, eC!id = Some (b, ty)
(** 则在C的地址环境eC中存储有该id在C内存中的地址块b和类型ty。*)
/\ Ple bs b
(** 地址块b大于等于起始地址块bs *)
/\ ~ In b (map (@fst block (int*type)) bl)
(** 地址块b不在节点输出结构体地址块bl中。*)
/\ Mem.loadbytes m b 0 (sizeof ty) = Some mv.
(** 利用地址块b和类型ty从C的内存m中读取的内存段等于mv。*)
Definition locvars_none(te: locenv)(eC: env): Prop :=
forall id, te ! id = None -> eC ! id = None.
(** 变量不在LustreC的局部环境te中,也不在C的地址环境eC中 *)
节点输入变量环境匹配
节点输入变量环境匹配定义了LustreC的节点输入变量环境ta和C的局部环境leC、内存m匹配。
Definition locargs_match(ta: locenv)(leC: temp_env)(m: mem)(bs: block)(bl: list (block*(int*type))) : Prop :=
forall id mv ty, ta!id = Some (mv,ty) ->
(** 如果变量id在LustreC的输入变量环境ta中存储内存段mv和类型ty *)
exists v vc, load_mvl ty mv Int.zero v
(** 存在LustreC的值v,利用类型ty可从内存段mv中读取值v *)
/\ leC!id = Some (vc,trans_ptype ty)
(** 存在C的值vc,在C的局部环境leC中存储有该id的值vc和类型 *)
/\ arg_blocks_range bs bl vc ty
(** 起始块bs,节点输出结构体地址块bl、C的值vc和类型ty满足arg_blocks_range的性质 *)
/\ val_match m ty v vc.
(** LustreC的值v和C的值vc在内存m中匹配 *)
节点输出变量环境匹配
节点输出变量环境匹配定义了LustreC的节点输出变量环境e和C的返回值环境teC、内存m匹配。
Definition locrets_match(e: locenv)(teC: temp_env)(m: mem)(bl: list (block*(int*type))) : Prop :=
forall id mv ty, e!id = Some (mv,ty) ->
(** 如果变量id在LustreC的自定义环境e中存储内存段mv和类型ty *)
exists l o, teC!id = Some (Vptr l (Ptrofs.of_int o),Tpointer ty)
(** 则在C的返回值环境teC中存储有该id的指针值和类型ty *)
/\ In (l,(o,ty)) bl
(** id在C环境中的指针值在节点输出结构体地址块bl中 *)
/\ Int.unsigned o + Z_of_nat (length mv) <= Int.max_signed
(** 偏移o和内存段mv长度之和小于最大符号数 *)
/\ Mem.loadbytes m l (Int.unsigned o) (sizeof ty) = Some mv
(**利用地址块l、偏移o和类型ty从C的内存m中读取的内存段等于mv *)
/\ Mem.range_perm m l (Int.unsigned o) (Int.unsigned o + sizeof ty) Cur Writable
(** 地址块l、偏移o和类型ty对应的内存m中的位置可写 *)
/\ (alignof ty | Int.unsigned o).
(** 偏移o能整除类型ty的对齐数 *)
由于C的变量的值最终存储与内存m中,所以环境匹配定义中的难点在于:既要使得LustreC中不同类型的变量与C中对应的变量在环境中匹配,又要确保不同类型的变量之间相互隔离。这样才能保证在证明过程中,在内存中修改某个变量的值,既不影响同类型其他变量的值,也不影响不同类型变量的值。
网友评论