Hybrid Systems decidable, undecidable, and in between Eugene Asarin - PowerPoint PPT Presentation

Verification and reachability problems • Is automatic verification possible for HA? • Safety: are we sure that HA never enters a bad state? • It can be seen as reachability : verify that ¬ Reach ( Init, Bad ) • It is a natural and challenging mathematical problem. • Many works on decidability • Some works on approximated techniques EJCMI - Nancy - 2007 – p. 20/6

The reachability problem Given a hybrid automaton H and two sets A, B ⊂ Q × R n , find out whether there exists a trajectory of H starting in A and arriving to B . All parameters rational. EJCMI - Nancy - 2007 – p. 21/6

Exact methods: The curse of undecidability • Koiran et al.: Reach is undecidable for 2d PAM. • AM95: Reach is undecidable for 3d PCD. • HPKV95 Many results of the type : “3clocks + 2 stopwatches = undecidable” EJCMI - Nancy - 2007 – p. 22/6

Anatomy of Undecidability — Preliminaries Proof method: simulation of 2-counter (Minsky) machine, TM etc... • A counter: values in N ; operations: C + + , C − − ; test C > 0? • A Minsky (2 counter) machine q 1 : D + + ; goto q 2 q 2 : C − − ; goto q 3 q 3 : if C > 0 then goto q 2 else q 1 • Reachability is undecidable (and Σ 0 1 -complete) for Minsky machines. EJCMI - Nancy - 2007 – p. 23/6

Simulating a counter x 0 1 C 1 2 4 3 0 Counter PAM State space N State space [0; 1] x = 2 − n State C = n C + + x := x/ 2 C − − x := 2 x C > 0? x < 0 . 75? EJCMI - Nancy - 2007 – p. 24/6

Encoding a state of a Minsky Machine q 3 q 2 q 1 (0,3) (2,1) (3,3) Minsky Machine PAM State space { q 1 , . . . , q k } × N × N State space [1; k + 1] × x = i + 2 − m , y = 2 − n State ( q i , C = m, D = n ) EJCMI - Nancy - 2007 – p. 25/6

Simulating a Minsky Machine Minsky Machine PAM State space { q 1 , . . . , q k } × N × N State space [1; k + 1] × [0; 1] x = i + 2 − m , y = 2 − n State ( q i , C = m, D = n )  x := x + 1  q 1 : D + + ; goto q 2 if 1 < x ≤ 2 y := y/ 2   x := 2( x − 2) + 3  q 2 : C − − ; goto q 3 if 2 < x ≤ 3 y := y   x := x − 1  q 3 : if C > 0 then goto q 2 else q 1 if 3 < x < 4 y := y   x := x − 2  if x = 4 y := y  EJCMI - Nancy - 2007 – p. 26/6

. . . finally we have proved that Reach is undecidable for 2d PAMs. Undecidability proofs for other classes of HA are similar. PCD on the blackboard EJCMI - Nancy - 2007 – p. 27/6

Exact methods: Decidable classes Reach ( x, y ) ⇔ ∃ a trajectory from x to y Reach is decidable for • AD: timed automata • HKPV95: initialized rectangular automata, extensions of timed automata • LPY01: special linear equations + full resets. Method : finite bisimulation (stringent restrictions on the dynamics) KPSY: Integration graphs??? EJCMI - Nancy - 2007 – p. 28/6

Decidability 2 Reach is decidable for • MP94: 2d PCD + Key idea • CV96: 2d multi-polynomial systems. • ASY01: 2d “non-deterministic PCD” (wait a minute) EJCMI - Nancy - 2007 – p. 29/6

SPDI Simple Polygonal Differential Inclusion = the non-deterministic version of PCD= • A partition of the plane into polygonal regions • A constant differential inclusion for each region x ∈ ∠ b a if x ∈ R i ˙ EJCMI - Nancy - 2007 – p. 30/6

SPDI Simple Polygonal Differential Inclusion = R 3 e 3 R 4 e 2 R 2 e 1 x e 4 y R 5 R 1 e 8 e 5 e 7 e 6 R 6 R 8 R 7 EJCMI - Nancy - 2007 – p. 30/6

Difficulties Too many trajectories ( even locally ) e 3 e 2 e 4 e 1 e 5 e 8 e 6 e 7 EJCMI - Nancy - 2007 – p. 31/6

Difficulties Too many signatures e 2 e 3 e 4 e 1 e 9 e 12 e 10 e 11 e 8 e 5 e 6 e 7 EJCMI - Nancy - 2007 – p. 31/6

Difficulties Self-crossing trajectories e 2 e 3 e 4 e 1 e 9 e 12 e 10 e 11 e 5 e 8 e 7 e 6 EJCMI - Nancy - 2007 – p. 31/6

Plan of solution • Simplify trajectories • Enumerate types of signatures • Test reachability for each type using accelerations EJCMI - Nancy - 2007 – p. 32/6

Simplification 1: Straightening x ′ R i b a x EJCMI - Nancy - 2007 – p. 33/6

Simplification 2: Removing self-crossings x f x ′ y ′ e ′ e ′ 1 2 e 2 b a y x e 1 x 0 x f y ′ e ′ e ′ 1 2 e 2 b a x e 1 x 0 Bottom line: Reach ( x, y ) ⇔ ∃ a simple piecewise straight trajectory from x to y EJCMI - Nancy - 2007 – p. 34/6

Key topological remark Simple curves on the plane are very simple (Jordan, Poincaré-Bnedixson, applied by Maler-Pnueli ) EJCMI - Nancy - 2007 – p. 35/6

Signatures of simplified trajectories • Representation Theorem: Any edge signature can be represented as σ = r 1 ( s 1 ) k 1 r 2 ( s 2 ) k 2 . . . r n ( s n ) k n r n +1 • Properties • r i is a seq. of pairwise different edges; • s i is a simple cycle; • r i and r j are disjoint • s i and s j are different Proof based on Jordan’s theorem (MP94) EJCMI - Nancy - 2007 – p. 36/6

Classification of signatures Any edge signature belongs to a type r 1 ( s 1 ) ∗ r 2 ( s 2 ) ∗ . . . r n ( s n ) ∗ r n +1 s 1 s 2 s n r 1 r 2 r 3 r n r n +1 There are finitely many types! EJCMI - Nancy - 2007 – p. 37/6

How to explore one type? s 1 s 2 s n r 1 r 2 r 3 r n r n +1 Recipe: compute successors and accelerate cycles. EJCMI - Nancy - 2007 – p. 38/6

Successors (by σ ) One step ( σ = e 1 e 2 ) e 3 e 2 [ a 1 x + b 1 , a 1 x + b 1 ] I 2 e 4 x e 1 e 9 e 13 e 12 e 10 e 11 e 5 e 8 e 7 e 6 I ′ = Succ e 1 e 2 ( x ) = [ f b ( x ) , f a ( x )] = F ( x ) EJCMI - Nancy - 2007 – p. 39/6

Successors (by σ ) Several steps ( σ = e 1 e 2 e 3 ) e 3 e 2 ������������������ ������������������ I 3 ������������������ ������������������ ������������������ ������������������ e 4 x e 1 ������������������ ������������������ ������������������ ������������������ e 9 e 13 e 12 e 10 e 11 e 5 e 8 e 7 e 6 I ′ = Succ σ ( x ) = [ f ′ b ( x ) , f ′ a ( x )] = F ′ ( x ) EJCMI - Nancy - 2007 – p. 39/6

Successors (by σ ) Several steps ( σ = e 1 e 2 e 3 e 4 e 5 ) e 3 e 2 �������������������������� �������������������������� �������������������������� �������������������������� �������������������������� �������������������������� e 4 e 1 x �������������������������� �������������������������� �������������������������� �������������������������� e 9 �������������������������� �������������������������� e 13 e 12 �������������������������� �������������������������� e 10 �������������������������� �������������������������� e 11 �������������������������� �������������������������� e 5 �������������������������� �������������������������� �������������������������� �������������������������� e 8 e 7 e 6 I ′ = Succ σ ( x ) = [ f ′′ b ( x ) , f ′′ a ( x )] = F ′′ ( x ) EJCMI - Nancy - 2007 – p. 39/6

Successors (by σ ) One cycle ( σ = s = e 1 e 2 · · · e 8 e 1 ) e 3 e 2 ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ e 4 e 1 x ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ e 9 I 9 ������������������������������������ ������������������������������������ e 13 e 12 ������������������������������������ ������������������������������������ e 10 ������������������������������������ ������������������������������������ e 11 ������������������������������������ ������������������������������������ e 5 ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ e 8 ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ e 6 e 7 I ′ = Succ σ ( x ) = [ f ′′ b ( x ) , f ′′ a ( x )] = F ′′ ( x ) EJCMI - Nancy - 2007 – p. 39/6

Successors (by σ ) e 2 ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ e 3 ������������������������������������ ������������������������������������ e 4 x e 1 ������������������������������������ ������������������������������������ �������������� �������������� I ′ ������������������������������������ ������������������������������������ e 9 �������������� �������������� ������������������������������������ ������������������������������������ �������������� �������������� e 12 ������������������������������������ ������������������������������������ e 13 �������������� �������������� e 10 ������������������������������������ ������������������������������������ �������������� �������������� e 11 ������������������������������������ ������������������������������������ �������������� �������������� ������������������������������������ ������������������������������������ e 5 �������������� �������������� ������������������������������������ ������������������������������������ e 8 ������������������������������������ ������������������������������������ e 7 e 6 ������������������������������������ ������������������������������������ ������������������������������������ ������������������������������������ One cycle iterated: ≈ solution of fixpoint equation (acceleration) ( Succ σ ( I ) = I ) EJCMI - Nancy - 2007 – p. 39/6

The calculus of TAMF • Fact: All successors are TAMF • Affine function (AF): f ( x ) = ax + b with a > 0 • Affine multi-valued function (AMF): ˜ F ( x ) = [ f 1 ( x ) , f 2 ( x )] • Truncated affine multi-valued function F ( x ) = ˜ (TAMF): F ( x ) ∩ J if x ∈ S Lemma: AF , AMF and TAMF are closed under composition. Lemma: Fixpoint equations F ( I ) = I can be explicitely solved (without iterating) EJCMI - Nancy - 2007 – p. 40/6

Reachability Algorithm for each type of signature τ do test whether x τ → y To test x τ → y for τ = r 1 ( s 1 ) ∗ r 2 ( s 2 ) ∗ . . . r n ( s n ) ∗ r n +1 compute Succ r and accelerate ( Succ s ) ∗ EJCMI - Nancy - 2007 – p. 41/6

Main result for SPDI Reachability is decidable for SPDI EJCMI - Nancy - 2007 – p. 42/6

SPeeDI the tool 40 R 35 39 R 34 38 R 33 37 0 R 32 36 44 60 R 31 59 35 R 30 34 R 29 33 EJCMI - Nancy - 2007 – p. 43/6

Between Decidable and Undecidable EJCMI - Nancy - 2007 – p. 44/6

More complex 2d systems What happens if . . . • . . . we allow jumps? • . . . the PCD is on a 2d surface? • . . . ? The answer is: we know that we do not know. More precisely: it is equivalent to a well known open problem. EJCMI - Nancy - 2007 – p. 45/6

Reminder: the Reference Model • 1d piecewise affine maps (PAMs): f : R → R f ( x ) = a i x + b i for x ∈ I i a 1 x + b 1 a 4 x + b 4 R I 2 I 1 I 4 I 5 I 3 a 2 x + b 2 a 5 x + b 5 Old Open Problem. Is reachability decidable for 1d PAM? EJCMI - Nancy - 2007 – p. 46/6

LHA ≡ PAM Theorem. 2d LHA can simulate 1d PAM and vice versa Corollary. Reachability is decidable for 2d LHA iff it is decidable for 1d PAM EJCMI - Nancy - 2007 – p. 47/6

LHA ≡ PAM - proof • LHA simulates PAM x := a i x + b i ; y := 0 γ ( e ′ , x, y ) = ( e, a i x + b i , 0) y = 1 ∧ x ∈ I i I i e ′ x = 0 ˙ y = 1 ˙ 0 ≤ y ≤ 1 e (a) (b) • PAM simulates LHA e 4 e 3 A 4 x + B 4 x ′ = a 3 x + b 3 A 3 x + B 3 e 5 A 2 x + B 2 R e 2 e 0 I 1 e 1 I 1 I 2 e 2 e 3 e 4 I 3 I 2 e 0 x e 1 I 3 EJCMI - Nancy - 2007 – p. 48/6

PCD on surfaces ≡ iPAM R 1 R 2 R 3 R 4 EJCMI - Nancy - 2007 – p. 49/6

PCD on surfaces ≡ iPAM R 1 R 2 R 3 R 4 Reachability? EJCMI - Nancy - 2007 – p. 49/6

PCD on surfaces ≡ iPAM R 1 R 2 R 3 R 4 Reachability? EJCMI - Nancy - 2007 – p. 49/6

PCD on surfaces ≡ iPAM R 1 R 2 R 3 R 4 Reachability? EJCMI - Nancy - 2007 – p. 49/6

PCD on surfaces ≡ iPAM R 1 R 2 R 3 R 4 Reachability? EJCMI - Nancy - 2007 – p. 49/6

PCD on surfaces ≡ iPAM R 1 R 2 R 3 R 4 Reachability? Theorem. PCDs on 2d surfaces can simulate 1d injec- tive PAM and vice versa" Corollary. Reachability is decidable for PCDs on 2d surfaces iff it is decidable for 1d injective PAMs EJCMI - Nancy - 2007 – p. 49/6

Local Summary • Reachability undecidable for dim ≥ 2 in discrete time and dim ≥ 3 in continuous time EJCMI - Nancy - 2007 – p. 50/6

Local Summary • Reachability undecidable for dim ≥ 2 in discrete time and dim ≥ 3 in continuous time • Reachability decidable on the plane in continuous time without jumps. EJCMI - Nancy - 2007 – p. 50/6

Local Summary • Reachability undecidable for dim ≥ 2 in discrete time and dim ≥ 3 in continuous time • Reachability decidable on the plane in continuous time without jumps. • Difficult question for jumps on the plane or for 2d manifolds. EJCMI - Nancy - 2007 – p. 50/6

Local Summary • Reachability undecidable for dim ≥ 2 in discrete time and dim ≥ 3 in continuous time • Reachability decidable on the plane in continuous time without jumps. • Difficult question for jumps on the plane or for 2d manifolds. • General remark: it seems that undecidability is related to chaotic dynamics EJCMI - Nancy - 2007 – p. 50/6

Can realism help? Maybe even undecidability is an artefact? Maybe it never occurs in real systems? EJCMI - Nancy - 2007 – p. 51/6

Proof method – Abstract View • Proof by simulation of an infinite state machine by a DS • State of machine ↔ state of the DS • Dynamics of DS simulates transitions of the machine EJCMI - Nancy - 2007 – p. 52/6

Consequences for bounded DS witnessing undecidability • Important states (sets) of the DS are very dense (have accumulation points) • Dynamics should be very precise (at least around accumulation points) • It is difficult (impossible) to realize such systems physically • ...and also: dynamics should be chaotic... infinite state EJCMI - Nancy - 2007 – p. 53/6

The Conjecture Reachability is decidable for realistic, un- precise, noisy, “fuzzy”, “robust” systems Arguments: • The only known proof method uses unbounded precision (or unbounded state space) • Noise could regularize... • This world is nice and bad things never happen... • Engineers design systems and never deal with undecidability. EJCMI - Nancy - 2007 – p. 54/6

Noise: Some Thoughts and Results 1 • All the arguments are weak • The problem is interesting • I know 4 natural formalizations of “realism” • Non-zero noise: undecidable ( Σ 1 -hard) • uniform noise: open problem • Infinitesimal noise: undecidable and co-r.e. ( Π 0 1 -complete) • Stochastic noise: ∆ 0 2 -complete for TM EJCMI - Nancy - 2007 – p. 55/6

Noise: Some Thoughts and Results 2 • Both positive or negative solution would be interesting for the second one • Most of these effects are not specific for a class of systems, they can be ported to any reasonable class. • All this is very intriguing. EJCMI - Nancy - 2007 – p. 56/6

Approximate methods for reachability • In practice approximate methods should be used for safety verification. • Several tools, many methods. • General principles are easy, implementation difficult. EJCMI - Nancy - 2007 – p. 57/6

Abstract algorithm For example consider forward breadth-first search. F=Init repeat F=F ∪ SuccFlow(F) ∪ SuccJump(F) until fixpoint |(F ∩ Bad � = ∅ ) | tired A standard verification (semi-)algorithm. EJCMI - Nancy - 2007 – p. 58/6

How to implement it Needed data structure for (over-)approximate representation of subsets of R n , and algorithms for efficient computing of • unions, intersections; • inclusion tests; • SuccFlow; • SuccJump. EJCMI - Nancy - 2007 – p. 59/6

Known implementations • Polyhedra (HyTech - exact. Checkmate) • “Griddy polyhedra” (d/dt) • Ellipsoids (Kurzhanski, Bochkarev) • Level sets of functions (Tomlin) • Zonotopes (Girard) f(x)<0 EJCMI - Nancy - 2007 – p. 60/6

Does it work? Up to 10 dimensions. Sometimes. EJCMI - Nancy - 2007 – p. 61/6

Using advanced verification techniques • Searching for better data-structures (SOS, *DD) • Abstraction and refinement • Combining model-checking and theorem proving • Acceleration • Bounded model-checking EJCMI - Nancy - 2007 – p. 62/6

Beyond verification Generic verification algorithms + hybrid data structures allow: • Model-checking • Controller synthesis • Phase portrait generation EJCMI - Nancy - 2007 – p. 63/6