反例に基づく抽象化の洗練

反例誘導抽象化改良（CEGAR ）は、記号モデル検査の手法である。^{[1] [2]また、}様相論理のタブロー 計算アルゴリズムの効率を最適化するためにも適用されている。 ^[3]

コンピュータ支援によるプログラムの検証および解析において、計算モデルは多くの場合、状態から構成されます。しかし、小規模なプログラムのモデルであっても、膨大な数の状態を持つ場合があります。これは状態爆発問題として認識されています。^[4] CEGARはこの問題に、状態をグループ化してモデルを簡素化する抽象化と、抽象化の精度を高めて元のモデルにより近づける改良という2つの段階で対処します。

プログラムの望ましい特性が抽象モデルにおいて満たされていない場合、反例が生成される。CEGARプロセスは、反例が偽物であるかどうか、つまり、反例が抽象化不足モデルにも当てはまるが、実際のプログラムには当てはまらないかどうかをチェックする。もしそうであれば、反例は抽象化の精度不足に起因すると結論付ける。そうでなければ、プロセスはプログラムにバグを発見する。反例が偽物であると判明した場合、洗練が実行される。^[5]反復手順は、バグが発見されるか、抽象化が元のモデルと同等になるまで洗練された時点で終了する。

プログラムの正しさ、特に並行性のための時間の概念を含むプログラムの正しさを推論するために、状態遷移モデルが用いられる。特に、有限状態モデルは時相論理と併用することで自動検証に用いられる。^[6]このように、抽象化の概念は2つのクリプキ構造間のマッピングに基づいている。具体的には、プログラムは制御フローオートマトン（CFA）を用いて記述することができる。^[7]

クリプキ構造をと定義する。ここで ${\displaystyle M}$${\displaystyle \langle S,s_{0},R,L\rangle }$

• ${\displaystyle S}$有限の状態集合である。
• ${\displaystyle s_{0}}$は、 の初期状態であり、${\displaystyle S}$
• ${\displaystyle R}$は全遷移関係であり、
• ${\displaystyle L}$各状態に、そこに成立する命題名のセットでラベルを付ける関数です。

の抽象化は によって定義され、はのすべての状態を の状態にマッピングする抽象化マッピングです。^[5]${\displaystyle M}$${\displaystyle \langle S_{\alpha },s_{0}^{\alpha },R_{\alpha },L_{\alpha }\rangle }$${\displaystyle \alpha}$${\displaystyle S}$${\displaystyle S_{\alpha}}$

モデルの重要な特性を維持するために、抽象化マッピングは、元のモデルの初期状態を抽象モデルの対応する状態にマッピングします。また、抽象化マッピングは、2つの状態間の遷移関係が保持されることを保証します。 ${\displaystyle s_{0}}$${\displaystyle s_{0}^{\alpha}}$

各反復処理において、抽象モデルに対してモデル検査が実行される。例えば、境界付きモデル検査では命題式が生成され、SATソルバーによってブール充足可能性が検査される。^[5]

反例が見つかった場合、それが偽例、つまりモデルの抽象化不足から生じた不正な例であるかどうかを検査します。偽例ではない反例はプログラムの誤りを反映しており、プログラム検証プロセスを終了させ、プログラムが誤りであると結論付けるのに十分な場合があります。改良プロセスの主な目的は、偽例を処理することです。抽象化の粒度を高めることで、偽例を排除します。

精緻化プロセスは、行き止まり状態と不良状態が同じ抽象状態に属していないことを保証する。行き止まり状態とは、出力遷移を持たない到達可能な状態であるのに対し、不良状態とは、反例を引き起こす遷移を持つ状態である。^[2]

様相論理はクリプキ意味論で解釈されることが多く、クリプキフレームはプログラム検証に関係する状態遷移システムの構造に似ているため、CEGAR技術は自動定理証明にも実装されています。^[3]