Eninformatique, lavérification de modèles, oumodel checking en anglais, est le problème suivant : vérifier si le modèle d'un système (souventinformatique ouélectronique) satisfait une propriété. Par exemple, on souhaite vérifier qu'un programme ne se bloque pas, qu'une variable n'est jamais nulle, etc. Généralement, la propriété est écrite dans un langage, souvent enlogique temporelle. La vérification est généralement faite de manière automatique. Sur le plan pratique, la vérification de modèles est devenue, au niveau industriel, la méthode de vérification de code et de systèmes matériels la plus populaire et la plus utilisée aujourd'hui^{[réf. nécessaire]}.

La vérification de modèles s'appuie sur lalogique temporelle dont l'un des pionniers estAmir Pnueli, qui reçut le prix Turing en 1996 pour« […] seminal work introducing temporal logic into computing science » (« […] travaux fondateurs qui introduisent la logique temporelle en informatique »)^[1]. Lemodel checking commence avec les travaux d'Edmund M. Clarke,E. Allen Emerson^[2],[3],[4],Jean-Pierre Queille^[5]etJoseph Sifakis^[6] au tout début des années 1980. Clarke, Emerson et Sifakis se sont vu attribuer leprix Turing 2007 pour leurs travaux sur le model checking^[7],[8].

Dans cette section, on précise ce que l'on entend par modèle et propriété puis par le problème de model checking.

Le système est modélisé par unsystème de transition d'états. Il s'agit d'ungraphe orienté : un sommet représente un état du système^[9] et chaque arc représente une transition^[10], c'est-à-dire une évolution possible du système d'un état donné vers un autre état. Chaque état du graphe orienté est étiqueté par l'ensemble des propositions atomiques vraies à ce point d'exécution (par exemple,i=2,le processeur 3 est en attente, etc.). Un tel graphe est aussi appelé unestructure de Kripke.

On donne ici l'exemple d'un distributeur de boissons qui peut être dans 4 états^[11] : attente d'une pièce de monnaie, sélection d'une boisson, distribution d'une bouteille d'eau minérale et distribution d'une bouteille de jus d'orange.

L'état du système est décrit par le niveau courant de l'ascenseur entre 0 et 3, l'état des appels (4 boutons, un par étage) et si l'ascenseur bouge et s'il patrouille vers le haut ou vers le bas^[12] (il y a donc 4 × 2⁴ × 2 × 2 =256 états).

La propriété à vérifier est écrite par une formule de logique temporelle. Par exemple, si l'on souhaite vérifier que x = 0 une infinité de fois, on peut écrire la formule GF(x = 0) qui se lit « toujours, dans le futur, x = 0 ». On distingue :

• les propriétés de sécurité (safety en anglais), comme « l'ascenseur bouge toujours avec les portes fermées » ;
• les propriétés de vivacité (liveneness en anglais), comme « si l'ascenseur est appelé à un certain étage, alors il ira à cet étage ».

Dwyer et al. ont identifié 55 types de spécification en logique temporelle linéaire qui apparaissent dans des applications industrielles^[13].

Par exemple, (GFa → (G(s → F(e ou j))) (si la machine attend une infinité de fois une pièce, alors toujours, dès que l'on sélectionne une boisson, dans le futur, une boisson (eau minérale ou jus d'orange) est délivrée) est une propriété vraie pour le distributeur de boissons.

L'entrée du problème du model checking est un modèle (typiquement un système de transition d'états) et une propriété (typiquement écrite dans une logique temporelle). En sortie, on souhaite savoir si la propriété est vérifiée et, le cas échéant, un contre-exemple d'une exécution du système qui falsifie la propriété.

Pour des propriétés de sûreté (toujours,p est fausse), on peut faire unparcours en profondeur du graphe et vérifier que chaque état vérifiep. Des algorithmes d'étiquetage existent pour lalogique temporelle arborescente (en) (CTL). D'autres méthodes sont fondées sur les automates. On transforme la négation de la formule à vérifier en un automate puis on fait leproduit cartésien synchrone de l'automate et du modèle. On se ramène alors à tester si le langage de l'automate produit est vide ou non.

Parcourir (ou énumérer) explicitement tous les mondes de la structure de Kripke peut être coûteux, c'est pourquoi des méthodes symboliques, introduites par Ken McMillan et Ed Clarke,sont plus pertinentes.^{[non neutre]} Une approche, répandue pour la vérification de propriétés exprimées dans la logique temporelle arborescente, est fondée sur la représentation symbolique du modèle. De nombreuses méthodes de représentation d'ensembles d'états ont vu le jour^{[réf. nécessaire]}. La plus connue utilise lesdiagrammes de décision binaire (BDD).

Au lieu de considérer l'ensemble des traces d'exécution du système, on peut se limiter à des traces finies, de longueur bornée : c'est lemodel checking borné^[14]. L'existence d'une trace vérifiant une certaine propriété est équivalente à la satisfiabilité d'une certaine formule booléenne. En effet, si un état du système est décrit par unk-uplet${\displaystyle \overrightarrow{x}}$ de booléens, et que l'on s'intéresse aux traces de longueur bornée par un certain n, on se ramène au problème de la satisfiabilité d'uneformule propositionnelle (problème SAT). Plus précisément, si une formule${\displaystyle I}$ identifie les états initiaux du système, une formule${\displaystyle F}$ les états dont on veut tester l'accessibilité, et une formule${\displaystyle T}$ est une relation de transition, alors on considère la formule booléenne${\displaystyle I({\overrightarrow{x}}_1)\wedge T({\overrightarrow{x}}_1,{\overrightarrow{x}}_2)\wedge \cdots \wedge T({\overrightarrow{x}}_{n-1},{\overrightarrow{x}}_n)\wedge F({\overrightarrow{x}}_n)}$ où${\displaystyle {\overrightarrow{x}}_i}$ sont des propositions atomiques qui représentent l'état à l'étape i de l'exécution du système. Il existe divers logiciels, appeléssolveurs SAT, qui peuvent décider « efficacement en pratique » le problème SAT. De plus, ces logiciels fournissent habituellement un exemple devaluation satisfaisant la formule en cas de succès. Certains peuvent produire des éléments d'une preuve de non-satisfiabilité en cas d'échec.

Une évolution récente^{[réf. nécessaire]} est l'ajout, en sus de variables booléennes, de variables entières ou réelles. Les formules atomiques ne sont alors plus seulement les variables booléennes, mais des prédicats atomiques sur ces variables entières ou réelles, ou plus généralement des prédicats pris dans une théorie (par exemple, etc.). On parle alors desatisfiabilité modulo une théorie (par exemple, on pourra considérer comme prédicats atomiques les égalités et inégalités linéaires).

Le modèle peut être plus riche que des automates finis. Il existe par exemple du model checking sur desautomates temporisés^[15]. Aussi, le concept de model checking se généralise enlogique mathématique. Par exemple, la vérification de structures avec une formule de lalogique du premier ordre est PSPACE-complet ; de même pour une formule de lalogique monadique du second ordre. La vérification destructures automatiques avec une formule du premier ordre est décidable.

Des techniques comme CEGAR (Counterexample-Guided Abstraction Refinement, « raffinement de l'abstraction guidé par les contre-exemples »)^[16] permettent de transformer un programme (écrit enC par exemple) en un modèle abstrait puis de raffiner successivement le modèle s'il est trop grossier.

Leslogiques modales forment une extension de lalogique propositionnelle permettant de représenter desmodalités. Parmi celles-ci, on trouve par exemple les logiques temporelles, telles queLTL, CTL,CTL* ou lemu-calcul, mais aussi deslogiques épistémiques, deslogiques déontiques...Différents algorithmes de model-checking ont été conçu afin de traiter ces différentes logiques^[17].

Dans lessystèmes multi-agents, on s'intéresse à des propriétésépistémiques comme « l'agent sait quex = 0 » d'où l'utilisation delogique épistémique et de logiques qui mélangent logique temporelle et épistémique^[18]. On s'intéresse à raisonner sur l'existence de stratégies dans unjeu : il existe des logiques pour écrire des propriétés sur les jeux comme « l'agent a une stratégie pour qu'un jourx = 0 » (alternating-time temporal logic (en))^[19].

• alloy^[20] ;
• ARC^[21] ;
• uPPAAL^[22] ;
• APMC^[23] ;
• cADP^[24] ;
• csml, Mcb^[25] ;
• cWB ;
• loTREC ;
• smv^[26] ;
• spin^[27],[28] ;
• spot^[29] ;
• nuSMV^[30] ;
• tina^[31] ;
• ROMEO.
• PAT

Depuis 2011, les outils qui le souhaitent participent auModel Checking Contest^[32] (MCC), compétition internationale scientifique permettant de comparer les performances des « model checkers » sur différents types de calculs.

Un aspect important de la recherche enmodel checking est de démontrer qu'une certaine classe de propriétés, ou une certaine logique, estdécidable, ou que sa décision appartient à une certaineclasse de complexité. La table suivante indique les complexités du model checking pour les trois logiques temporelles LTL, CTL et CTL*. La quantité |M| est la taille du modèle représenté explicitement. La quantité |φ| est la taille de la spécification en logique temporelle. La complexité de programme évalue la complexité du model checking lorsque la formule temporelle est fixée^[33].

Orna Kupferman et Moshe Y. Vardi ont introduit le problème du model checking de systèmes ouverts, abrégé enmodule checking^[35]. En module checking, l'entrée du problème est un système de transition où certains états sont contrôlés par le système proprement dit, et d'autres sont contrôlés par l'environnement. Une propriété temporelle est vraie dans un tel système de transition si elle est vraie quels que soient les choix de l'environnement. Plus précisément, étant donné un système de transition M, on considère son dépliage V_M, qui est un arbre infini. Une propriété est vraie dans ce système si elle est vraie dans tout arbre obtenu en élaguant/supprimant de V_M certains sous-arbres dont la racine est un successeur d'un état contrôlé par l'environnement. Pour le module checking, Orna Kupferman et Moshe Y. Vardi ont montré que les complexités atteignent celle du problème de satisfiabilité dans les logiques correspondantes :

Allur et al. ont étudié le model checking avec une extension de CTL et CTL* pour raisonner sur des stratégies dans un système multi-agent^[19]. La table suivante donne les résultats de complexité pour le model checking sur ATL et ATL*.

Comme le signalent Allur et al.^[19], le problème de model checking d'ATL* est proche du problème de synthèse LTL qu'ont développé Pnueli et Rosner^[36], lui 2EXPTIME-complet également.

Un autre aspect de la recherche enmodel checking est de rechercher des algorithmes efficaces sur des cas intéressants en pratique, de les implémenter, et de les appliquer à des problèmes réels.

• Diagramme de décision binaire
• Automate de Buchi
• Logique temporelle
• Méthodes formelles
• Test logiciel
• Structure de Kripke
• Réduction par ordre partiel

• Gérard BerryLa vérification de modèles (model checking), Leçon duCollège de France du25 mars 2015.

• (en) E. M.Clarke, E. A.Emerson et A. P.Sistla, « Automatic verification of finite state concurrent systems using temporal logic »,ACM Trans. on Programming Languages and Systems,vol. 8,n^o 2,‎1986,p. 244–263(DOI 10.1145/5397.5399)
• (en) Kenneth L.McMillan,Symbolic Model Checking, Kluwer,1993, 194 p.(ISBN 978-0-7923-9380-1 et0-7923-9380-5,lire en ligne)
• (en) Edmund M.Clarke, Jr., OrnaGrumberg et Doron A.Peled,Model Checking, Cambridge (Mass.),MIT Press,1999, 314 p.(ISBN 0-262-03270-8)
• (en) MichaelHuth et MarkRyan,Logic in Computer Science : Modelling and Reasoning About Systems,CUP,2004(DOI 10.2277/052154310X)

• Portail de l'informatique théorique

• Méthode de développement logiciel
• Méthode formelle
• Vérification de modèles

• Article à référence nécessaire
• Article contenant un appel à traduction en anglais
• Article avec passages non neutres
• Portail:Informatique théorique/Articles liés
• Portail:Informatique/Articles liés
• Portail:Mathématiques/Articles liés
• Portail:Sciences/Articles liés