UPPAAL使用方法

由于刚开始学习时间自动机及其使用方法，对UPPAAL使用不太熟悉，网上能找到的教程很少，摸索了很久终于成功实现一个小例子，所以记录一下详细教程。

这里用到的例子参考【UPPAAL学习笔记】1：基本使用示例，详细信息可自行有链接查看，本文重点手把手教学UPPAAL方法，本人也是刚开始学习，有不足或理解有误的情况欢迎指出。

下面使用几个小例子展示使用 UPPAAL建模，验证的方法。

简单迁移

建模

首先，打开UPPAAL 后，【文件】→【新建模型】

新建模型如下所示：

需要建的模型如下图，为一个简单的TS模型

在【编辑器】的模板（【Template】）中，右侧通过添加位置、顶点（钉子）和边进行建模。

位置用名称和不变量标记。通过下面红框修改位置类型

通过【编辑location】，在【名字】处为位置命名，在【Invariant】处编辑不变量


通过下图添加位置

以相同的方法，将其命名为end，通过下图添加边，边用守卫条件（Guard）（例如，e == id）、同步（Sync）（例如，go?）和赋值（Update）（例如，x:=0）标记。

创建模型如下，可以在红框处修改模板名字，添加参数

在【模型声明】处将模型实例化，得到Process，此处实例化Template()，名称与模板名称相同，由于此处模板没有参数，故()内为空

// Place template instantiations here.
Process = Template();
// List one or more processes to be composed into a system.
system Process;

建模完成后，对模板进行语法检查，点击【工具】→【检查语法】，若右下角没有消息，则语法无误，可继续进行模拟或验证。

模拟

在【模拟器】中可以看到这个模型

选中例化对象Process，点击【下一步】，就可以往下走

当TS走到end状态后就无路可走了，故【使能迁移】里也没有选项了

验证

在【验证器】中，点击【添加】，在【待验证性质】中输入待验证性质

性质描述意义如下：

• E<> p：存在一条路径，其中最终成立p，可达属性（）。
• A[] p：对于所有路径，始终成立p，安全属性（安全属性的形式是：某些坏事永远不会发生）。
• E[] p：存在一条路径，其中始终成立p，安全属性。
• A<> p：对于所有路径，最终将成立p，活性属性（活性属性的形式是：某些事最终会发生）。
• p --> q：每当成立p时，最终将成立q，活性属性。
  
  此处验证两条性质：
  E<> Process.end
A<> Process.end

依次对性质进行验证，选中需验证的性质，点击【开始验证】即可。验证结果在下方【验证进度与结果】中。

此处，E<> Process.end表示存在一条路径，未来能让实例Process到达end状态，显然，验证结果通过；
A<> Process.end表示对所有路径，都能在未来让实例Process达到end状态，验证结果不通过。因为一个TS的Guard条件通过，只表示“这条迁移可以发生”，但不代表一定会发生，可能存在一直停留在start状态的情况，而不发生这条唯一的迁移，因此不满足这条性质。
若想让迁移在一定条件下一定发生，可以为状态设置不变性，一旦不变性不满足，就无法停留在这个状态，迫使其进行迁移。

互斥进入临界区

新增内容为：

1. 边的标记方法
2. 模板参数设置及实例化

建模

模型如下图

同步通道和时钟控制

新增内容：

1. 模板参数设置及实例化
2. 一个项目中使用两个进程模板
3. 为状态添加不变性条件

建模

模型如下图所示

需建立两个模板，新建模板方法为：【编辑】【添加模板】

建模方法同上，对边的标记方法为：右键需标记的边，选择【编辑edge】

依次填写，Guard（守卫条件，如，x>=2，e == id），同步通信（Sync，如，go?，reset?），赋值（Update，如，x:=0，e:=id）

建立模型如下图。
模板P1是一个自循环，Guard条件x>=2时进行Sync（同步通信），往通道reset上发送重置信号（!表示发送，?表示接收)

模板Obs（意为Observer，观察者），行为就是接收到通道reset上的信号之后，就将全局变量x设置为0（其实是表示时钟重置，要从后面声明的地方看出这一点）：

这里要注意taken上有个C，因为它勾选了Commited，被标记Commited的状态会冻结时间流逝，而且下一次转移一定从某个Commited状态开始（要把所有冻结时间的状态走出去，才能考虑普通的状态），如果多个状态被标Commited，它们就按Interleaving算。
模型声明部分，这里可以不去显式做例化（为啥？），直接两个模板拿来用：

// Place template instantiations here.
// Process = Template();
// List one or more processes to be composed into a system.
system P1, Obs;

设置全局变量（全局的【声明】），其中，x是时钟（clock），reset是通道（chan）：

// Place global declarations here.
clock x;
chan reset;

模拟

语法检查通过就可以去模拟，就是P1发信号然后Obs重置然后再回来,因为taken状态被标Commited，所以到必须使Obs走出这个状态才能桀纣往下走，即图中红框部分：总是先让Obs回到idle状态。

验证

此处验证两条性质：
A[] Obs.taken imply x>=2,即对所有路径的所有状态都有，如果Obs到达了taken状态，一定有时钟x满足x>=2，验证是通过的，因为x>=2才能发信号到reset通道上，让Obs同步接收之后进到taken状态。
E<> Obs.idle and x>3，即存在某个路径上某个状态，Obs在idle状态闲置时就有x>3了，验证也是通过的。这条性质直观上可能让人感觉不能通过（因为x>=2是P1迁移的条件），但是回想最开始学的，这些Guard条件满足时只表示“迁移可以发生”，而不是一定会发生，所以P1完全可以x超过3了还不发生迁移，也就不会往reset发信号，所以Obs也就处在最开始的idle状态了。

为状态添加不变性条件

对上述E<> Obs.idle and x>3性质的验证通过，是因为可以一直停留在某个状态，要解决这个问题，可以为状态添加一个有关时钟的不变性条件，当时间流逝使得这个条件不满足时，就不得不离开这个状态，发生迁移。
在模板P1中编辑位置loop(双击或右键编辑)，在【Invariant】里添加x<=3，为P1的loop状态添加了x<=3的限制，也就是说它最多可以在这里停留到时钟流到3，就必须执行迁移到别的状态去了.


验证性质A[] Obs.taken imply (x>=2 and x<=3)，即只要Obs到了taken状态，时钟x一定在2和3之间，验证通过。

验证性质E<> Obs.idle and x>2，即可能Obs在idle状态时，时钟x是大于2的，验证通过。因为这个也是满足loop里x不超过3的不变性的，完全可以等到2.999...。

但是它对性质E<> Obs.idle and x>3就是不满足的了，因为一旦x>3，P1就必须从loop迁移走，发出的信号让Obs也同步离开idle。

参考文献

【1】【UPPAAL学习笔记】1：基本使用示例