AndréPlatzer验证网络物理系统亚博体育苹果app官方下载

强调来自以下采访的普拉策的想法：

• Keymaera是用于网络物理系统的正式验证工具。亚博体育苹果app官方下载它看到了许多现实世界的应用程序，例如在欧洲火车控制系统亚博体育苹果app官方下载。
• Keymaera的功能来自Platzer的“差异动态逻辑”，该逻辑基于早期工作（例如）dynamic logic。
• Contra Levitt, Platzer isn’t convinced that autonomous robots will need to use decision theory, though they may.
• Platzer与正式验证（“我建立正确的系统？亚博体育苹果app官方下载在后者上取得进展的一种方法是开发Rushby所谓的“深层假设跟踪”。

卢克·穆尔豪瑟（Luke Muehlhauser）：您的一个项目是Keymaera，一种用于对混合系统进行正式验证的工具，包括用于火车，飞机和机器人的自主控制系统。亚博体育苹果app官方下载在这种情况下，什么算作“混合系统”？亚博体育苹果app官方下载您认为哪些商业或政府的应用在Keymaera的合理功能中，但是尚未使用Keymaera？

安德烈·普拉特（AndréPlatzer）：Keymaera是验证混合系统的工具。亚博体育苹果app官方下载混合系统（或更确切亚博体育苹果app官方下载地说是混合动力学系统）是离散动力学和连续动态相互作用的系统。换句话说，系统的一部分表现出一种离散的行为，通常是由计算亚博体育苹果app官方下载或通信引起的，并且系统的其他部分表现出连续的行为，例如空间中的身体运动或连续的化学反应。亚博体育苹果app官方下载经典工程中的系统主要具有连续的动力学，而计算机科学则通常探索离散的动态，因为毕竟，计算机计算了一件事，因此固有地离散了。交流是一种类似的离散现象，其中在某个时间点交换了一次信息，然后再在其他时间点再次交换。例如，在无线通道上，通信并非始终不断发生，只有偶尔会发生。无辜的旁观者可能会出现多么快。

Hybrid systems now start with the realization that exciting things happen as soon as you make discrete dynamics and continuous dynamics interact. All of a sudden, your systems can, for example, use discrete computers and the power of advanced software algorithms to control and influence continuous physical processes and make them safer.

但是我们再也无法孤立地理解系统的离散和连续部分，因为它们相互作用。亚博体育苹果app官方下载仅仅担心该软件是否会崩溃，还要担心它是否将正确的控制输入输入到实物系统中，以及这些输入对物理的影响。亚博体育苹果app官方下载同样，仅仅理解连续动态也不足以使其效果取决于计算机程序生成的控制输入。

这是混合系统开始和Keymaera进入的地亚博体育苹果app官方下载方。混合系统是网络物理系统（CPS）背后的通用核心数学模型，带来了令人兴奋的新能力，即我们如何更好地改变世界。但是，这些功能齐头并进，我们的责任是确保当我们非常需要时，系统不会让我们失望。亚博体育苹果app官方下载

As Jeannette Wing has aptly phrased: “How can we provide people with cyber-physical systems they can bet their lives on?”

应用领域包括航空，汽车，铁路，机器人技术，医疗设备，物理或化学过程控制，工厂自动化以及比我列出的更多区域。混合系统是一个亚博体育苹果app官方下载非常通用的数学模型，使它们在许多可能的应用领域中变得有趣。Keymaera的确已与汽车行业的工业合作伙伴，工业合作伙伴的移动机器人技术应用，在一项由政府实验室对外科机器人系统的研究中使用，我们目前正在与联邦航空管理局合作，如何使用Keymaera来使用Keymaera亚博体育苹果app官方下载对于下一代空降碰撞系统ACAS X。话虽如此，所有这些应用领域都提出了有趣的挑战。亚博体育苹果app官方下载由于野外的大多数软件仍然包含错误，因此潜力更大，并且在所有其他应用程序领域也存在更多挑战。

卢克：什么角色differential dynamic logic在Keymaera玩？您开发它的灵感是什么？

安德烈：差分动态逻辑是Keymaera背后的理论基础和机制。这是使Keymaera起作用的验证能力的原则。差异动态逻辑是您可以在其中指定和验证混合系统属性的逻辑。亚博体育苹果app官方下载逻辑以单个语言集成了混合系统的所有相关特征：用于描述其连续动态的微分方程，差异方程式 /离散动态和条件切换的离散分亚博体育苹果app官方下载配，非确定性选择以及重复。有了这些基本的动力学原理，所有其他相关的原理都可以表达。

当我开始博士学位时，我设计了不同的动态逻辑。我一直对混合系统的核心逻辑基础看起来非常好奇，只是迫不及待地想发现它们。亚博体育苹果app官方下载尤其是因为它们精美地汇集了数学的离散和连续部分，这些部分在经典上是单独考虑的。

But then someone showed me a model of the欧洲火车控制系统亚博体育苹果app官方下载（ETC）具有关键参数（例如何时开始制动），这些参数或多或少地根据其在一些模拟中的性能而随机选择。突然，我看到实践中确实需要差异动态逻辑提供的灵活性。只需要有一种更好，更纪律的方式来解决如何设计混合系统并安全选择其各自参数的问题。亚博体育苹果app官方下载重要的设计参数的任何特定数字显然只能在系统的所有其他参数的约束范围内安全。亚博体育苹果app官方下载而且，实际上，ETCS模型中开始制动点的选定参数值证明在稍微提高速度时会导致碰撞。

From this point on, I designed differential dynamic logic with a dual focus on both its core theory and its practical use in applications. This broader focus certainly made it more successful. Especially when practical applications raised interesting theoretical challenges and, conversely, questions considered for purely theoretical reasons later turned out to be critical in unsuspecting applications.

差异动态逻辑是我们后来用作实施定理竞争者keymaera的基础，此后一直为我们提供了很好的服务。自2005年第一稿以来，关于差异动态逻辑的文章很多，包括书。但是可以在LICS教程。

卢克：您以前在逻辑和微分方程中进行了哪些工作来创建差异动态逻辑？

安德烈：差分动态逻辑fortunately had all of science to build on. An exhaustive list of all the areas of logic, mathematics, and computer science that its development and theory are drawing from would be longer than the whole interview. And the list with connections to control and engineering would be just as long. In fact, this is one of the reasons why research on hybrid systems is so exciting. It is certainly a way of being able to explore any of your favorite areas of mathematics while still having important applications that other people care about.

幸运的是，Keymaeragives you all those powerful connections to other areas of science & engineering, but they are hidden behind the very elegant and intuitive language of differential dynamic logic. That means the user does not need to know all those areas of math and can play with the syntactical constructs of differential dynamic logic and its proof rules. Differential dynamic logic gives people a safe framework in which they can leverage and exploit all these areas without knowing all of them in depth. The computer can then check that the reasoning is combined in a correct way.

我构建的最中心的工作是dynamic logic最初是由于普拉特（Pratt）和许多人的开创性，包括哈雷尔（Harel），迈耶（Meyer），帕里克（Parikh），科尔（Kozh）以及索斯·莱（Sophus Lie）的连续代数和连续群体的理论。这两种发明都来自我出生之前，但在设计差异动态逻辑方面有很大帮助。

动态逻辑是常规离散程序的逻辑，我通过使用微分方程增强它并将其推广到具有相互作用的离散和连续动态的混合系统来杂交。亚博体育苹果app官方下载原始的动态逻辑也已实现并成功地用于供奉献者钥匙我们的供奉献者Keymaera所基于的。这种遗产还解释了有趣的名字Keymaera，这是独立的，因为Keymaera是一个同谐的人嵌合体, the hybrid animal from ancient Greek mythology.

In retrospect, it is obvious that dynamic logic has really been longing for hybrid systems for three decades without anybody noticing. Dynamic logic was originally formulated for nondeterministic systems in which programs can have more than one possible effect. This is a fundamental characteristic but really slightly at odds with the behavior of conventional programs, which is mostly deterministic, i.e. each program statement will have exactly one effect. Well in hybrid systems, the story is different, because CPS implementations are never as deterministic as you might think they would run, and because the environment always has more than one possible future behavior that you need to consider.动态逻辑和动态系统仅仅为彼此制造亚博体育苹果app官方下载。

比动态逻辑本身更基本的是逻辑的一般基本原理。他们使我意识到混合系统应该研究其逻辑特征。亚博体育苹果app官方下载混合系统曾经是亚博体育苹果app官方下载二等公民，因为他们具有挑战性，没有人为他们创造逻辑基础。现在，这些适当的逻辑基础已经到位，我们看到混合系统及其作为混合程序的程序表达不仅是某些外围伪像，而且实际上是自己的权利。亚博体育苹果app官方下载它们具有整合相互作用离散和连续行为的内在特征。这种相互作用的结果可能有点类似于当高能量物理对撞机实验中的根本不同来源碰撞时发生的情况。从历史上看，数学与科学的区域突然互动。真正令人惊讶的互动发生了，正在建造科学桥梁，以团结离散和连续计算通过混合动力学的中介性质。

说明逻辑对混合系统影响的后果的另一个例子是，证明理论以与Gentzen在逻辑中的开创性切割消除有关的方式导致了Lie的开创性结果的概括。亚博体育苹果app官方下载削减是证明中引理背后的逻辑基本机制，并且已证明是不必要的。但是，它们是离散的，因为剪切证明是（静态）引理，然后使用它。离散削减的对手称为差距证明了微分方程的属性，然后修改系统行为以符合此属性。亚博体育苹果app官方下载Differential cuts turn out to be fundamental而且，就我所知，Sophus Lie似乎并没有意识到这种逻辑机制对于微分方程的重要性。像这样的现象表明，当像Gerhard像Gerhard Extzen这样的逻辑学家与Sophus Lie这样的代数主义者互动时，就会发生惊人的科学。

然而，在一天结束时，出于所有这些思维方式的理论惊喜，肯定也令人放心地观察它们在验证和分析结果中对CPS应用程序的实践效果和相关性，而这是不可能的。每天都有有用的应用程序，将令人兴奋的理论具有令人兴奋的理论。

卢克：您认为动态逻辑的创建者或您构建的其他理论工作的创造者，以开发差异动态逻辑，以为他们的工作有一天对计划安全或验证有用吗？还是您是您从无关学科中提取理论结果并将其用于您自己的软件验证目的的实例？

安德烈：嗯，这些都是非常聪明的人。我发现很难想象动态逻辑的开拓者不会想到程序验证的可能用途。即使动态逻辑可能是从更多的理论 /逻辑研究开始的，我敢肯定，他们知道这一未来。而且我也不是第一个使用动态逻辑进行验证的人。但是，确实，与具有差异动态逻辑的情况不同，动态逻辑的理论，实践和应用的发展主要由不同的群体领导。也许这只是混合系统自然吸引力的一部分，我永远无法像我对他们的应用一样对他们的理论充满好奇。亚博体育苹果app官方下载

Having said that, an excellent question is whether the inventors of dynamic logic have thought of hybrid systems. I, of course, don’t know that. Dynamic logic predates the invention of hybrid systems by almost two decades. But hybrid systems have also almost always been around us. It’s just that until the 1990s, nobody noticed that they are a fascinating mathematical phenomenon in their own right.

Concerning the other primary source of inspiration, the seminal work of Sophus Lie, he might not have thought of possible uses in the verification of hybrid systems, because Sophus Lie’s results predate dynamic logic by a century. He invented what are now called Lie groups 1867-1873, which is long before computers were around. Yet, I do not want to leave the impression these were my only inspirations when developing differential dynamic logic and its theory and applications. There is significant influence also from ideas of Kurt Gödel, Gerhard Gentzen, Alfred Tarski, David Hilbert, Alonzo Church, Yiannis Moschovakis, Henri Poincaré, Joseph Doob, Eugene Dynkin, and many many others. I most certainly owe my results to what they have found out before.

卢克：Levitt (1999)认为，随着智能系统变得越来越自治，并在越来越多的不确定亚博体育苹果app官方下载性，未知的环境中运作，就不可能用控制理论等工具完全对其环境和可能的行为进行建模：

如果机器人要投入更多一般用途，则需要在不干预，户外，道路上以及在正常的工业和居住环境中进行操作，这些环境不可预测……事件通常会发生。每当机器人遇到意外事件或模棱两可的事件时，停止机器人动作是不可行的，甚至是安全的。

目前，商业机器人主要通过控制理论反馈来确定其行为。控制理论算法需要在软件程序中体现的世界可能发生的事情的可能性，这些模型可以使机器人对视觉事件的任何与任务相关的任何事件进行适当的操作响应。当在开放的，不受控制的环境中使用机器人时，将不可能向机器人提供先验可能发生的所有对象和动态事件的模型。

为了决定对世界上未建模，意外或模棱两可的解释事件采取的措施，机器人将需要扩大其处理之外的处理反馈响应，并参与决策过程。

因此，他认为，自治计划最终将需要做出决策理论。

您如何看待这个预测？通常，您认为哪些工具和方法与对未来高度自主系统的高度安全保证最相关？亚博体育苹果app官方下载

安德烈：Levitt definitely has a point about the necessity of stronger safety arguments for robots, especially in light of their challenging and uncertain environments.

但是，我不建议完全驳斥控制理论。我什至没有看到决策理论如何与控制理论相矛盾。毫无疑问，控制理论是在包括机器人在内的网络物理系统上贡献有价值的技术和观点。亚博体育苹果app官方下载网络物理系统的精神及其混合系统的数学模型是从中学习亚博体育苹果app官方下载全部涉及的各种学科并将概念汇集在一起​​，而不是将它们隔离。

虽然我同情莱维特的结论the possible use of decision-theoretical methods, I disagree with his argument. The reason why I do is a nice illustration of important principles behind cyber-physical systems. In the text you quoted and other places in his article, Levitt argues that control theory does not help because it requires models. He further argues that the solution would be to use decision theory, which, however, still needs models:

“对于完成机器人任务的计划中的每个步骤，[…]我们可以将机器人的即时可能的动作选择建模为决策。然后我们可以发展先验机器人动作可能与任务相关的结果的值集。”

In fact, this needs even more models: prior belief distribution models, models how perception updates beliefs, models of the cost of taking an action in a state.

认为使用模型的方法是使用更多的模型，即使此参数经常发生，也没有定论。同时，很难在不采用世界模型的情况下逃脱笛卡尔恶魔。只要我们承认我们的预测受到某种形式的模型的约束，无论使用模型，它们可能没有任何隐藏或数据驱动的模型。实际上，甚至有一个充分的理由考虑越来越灵活的模型。

Regardless, I agree with Levitt that robots live in an uncertain environment and, uncertainty, thus, needs to be included in models. Simple models are sufficient for understanding some phenomena in a system, while other aspects need more complicated models. But they are still models! Whether the right model is deterministic, probabilistic, nondeterministic, or adversarial depends on the exact purpose. In some situations, nondeterministic understandings of uncertainty are much better, in others, they have to be probabilistic, in yet others adversarial.

这是背后的核心指导原则之一多动力系统亚博体育苹果app官方下载，我将其定义为结合多个动态方面的系统，例亚博体育苹果app官方下载如离散，连续，随机，非确定性或对抗性动力学。多动力系统将混合系统推广，并提供亚博体育苹果app官方下载了混合系统缺失的网络物理系统的动力学特征。差异动态逻辑非常优雅地概括多动力系统的动态逻辑亚博体育苹果app官方下载。

This kind of flexibility is crucial for success in high assurance safety systems. It is simply a pity if all models, analysis results, and techniques need to be discarded entirely as soon as a dynamic aspect occurs that the techniques do not handle. If, instead, models and analysis techniques are as flexible as the差异动态逻辑家族, then there is no overwhelming cost associated with introducing or dropping nondeterminism or other dynamical aspects.

我的同事布鲁斯·克罗格（Bruce Krogh），戴维·加兰（David Garlan）和我们的学生也主张了这种模特的灵活性，在这种情况下，洞察力是考虑到通常更可行multiple heterogeneous modelsrather than a single all-embracing one.

Another frequent but faulty argument that Levitt expresses is

“实际上，我们声称，如果机器人的看法可以肯定，我们几乎没有与机器人行为相关的不确定性。”

“如果我们能感觉到，我们可以采取行动”的论点是一个普遍的谬论。它的隔离是非常真实的：如果我们看不到，几乎不可能安全地控制任何东西。但是，即使传感器恰好工作得很好，控制器中仍然有许多微妙和公然的错误机会。而且，从莱维特很容易被驳斥的行动影响的不确定性带来了更多的错误。为了强调，我只专注于讨论独立于感应和驱动不确定性的控制器错误。

例如，我们的验证工具Keymaera领导了我在约翰霍普金斯大学的应用物理实验室（JHU APL）的合作者之一Yanni Kouskoulas，在外科机器人系统的控制器中找到并修复了两个非常微妙的缺陷，用于Skull-Base手术。亚博体育苹果app官方下载这些控制器是根据安全至关重要系统的最佳实践状态开发的，并已受到开发人员的审查。亚博体育苹果app官方下载然而，开发人员有第二个想法，并与最终接近我们的Jhu APL接近。仅通过正式验证发现错误的事实表明，在没有正确的分析工具的情况下正确使网络物理系统正确正确是非常困难的。亚博体育苹果app官方下载但是我并不感到惊讶的是，它使用了声音验证工具来查找错误。一个是系统的惯性引起的正时错误。亚博体育苹果app官方下载另一个与非常微妙的表演和抵消控制有关，具体取决于精确的几何关系。

This is not an isolated case. We have observed similar benefits of using verification in our DARPA HACMS project. It was an interesting experience to observe the discrepancies that can arise when comparing formally verified parts of the robot to non-verified parts. That is always an eye-opening experience where all participants learn something important about the application domain.

莱维特低估了重大挑战：

“总而言之，我们声称对世界状态的评估在两种感觉上都是可以在计算上进行的。首先是我们可以指定有关世界状态的价值观先验并使用它们在任务执行期间动态重视操作。第二个估值的数量是在相对较少的涉及机器人任务（例如道路，交通信号，人类和动物）的世界实体的抽象类别中的秩序线性。”

But the complexity of decision making is quite a problem in practice. Even看似简单的计划实例是NP-HARD，贝尔曼（Bellman）在1950年代将其确定为维度的诅咒。半小时太晚的正确决定对于拯救机器人的安全任务并不是特别有用。实时响应至关重要。这就是为什么要进行预先验证的安全响应而不是进行无限的在线审议的原因之一。

与上面的报价指示的相反，几十年来，找出如何使模型正确，正确获取值并确保两者都转化为正确选择的操作，这是几十年来一直是一个开放的挑战。

考虑留住X,下一代空中科尔ision Avoidance System that the FAA tasked our collaborators at JHU APL and us to analyze with our verification techniques. Its design is built on decision theory in the form of Markov Decision Process optimization. On some level, it might sound trivial to identify that “no collisions ever” is the highest value in designing a collision avoidance system for aircraft. Yet, how exactly does this translate into math? What are the right secondary objectives that prevent unnecessary avoidance maneuvers? What is the right model to assume for an intruder aircraft? For pilot’s responses? After many years of careful and highly skilled design of ACAS X, I have still seen an “optimal” interim version that is just not what anybody would want. And that, fortunately, will not fly.

总体而言，我认为验证最终将网络物理系统的正确性降低到我们是否正确的模型的问题。亚博体育苹果app官方下载确定问题的正确模型是一个真正的挑战。但是一旦我们做到了，仍然有许多微妙的方法可以使答案错误。这些是验证消除的缺陷。话虽如此，验证也在验证我们是否首先获得正确的模型方面取得了进展。

For the record, I also strongly disagree with other claims Levitt made in that position paper. Especially:

“我们声称，使机器人成为可能的道德行为的核心能力是通过对感觉数据的自动解释来理解机器人外部的世界。机器人的看法与关于世界的真理或虚假的陈述与句法规则或类似的陈述具有根本不同的关系。”

This claim directly contradicts Alonzo Church’s seminal proofs from 1936. And my primary line of research on logic and proofs for cyber-physical systems shows exactly how such relationships can be established and successfully exploited for verification. Thus, I understand Levitt’s claims more as possible suggestions rather than conclusive arguments. That might be a logicians trait, though, to distinguish theorems from conjectures by whether or not they come with proof.

卢克：您写道：“验证也在验证我们是否首先获得正确的模型方面取得了进展。”你在那里想什么？对我而想起的是拉什比（2013），但我对减少问题（他所说的）“认知怀疑”的具体进展并不了解。

安德烈：约翰·拉什比（John Rushby）为区分逻辑怀疑（“我们有正确的论点吗？我同意他的观点，我们可以控制逻辑怀疑，并使它成为过去的问题。然而，这正是您需要的网络物理系统（例如差异动态逻辑）的强大声音推理框架。亚博体育苹果app官方下载最终的证据将只需要考虑到控制系统的控制，就必须考虑到系统的控制。亚博体育苹果app官方下载

从术语上讲，我通常将正式验证（“我是否构建系统？”）与正式验证（“我建立正确的系统吗？”）。亚博体育苹果app官方下载这主要是因为验证与验证在现场具有广泛的（但不是明确的）兼容含义。而且因为我想强调，我们不应该仅仅为了恰当地用作：

“因为专家这么说。”

但是，我们使用什么名字都没关系，确保该系统最终真正起作用仍然是我们的责任。亚博体育苹果app官方下载

我们的NSF Expedition项目CMAC（复杂系统的计算建模和分析），由我的同事Ed Clarke等人领导，我们还使用正式验证的元素使用，我们还通过对它们进行正式验证测试是否进行正式验证测试，以探测合理性的模型亚博体育苹果app官方下载他们满足了预期属性。这些不仅是最终的安全性特性，而且是平凡的特性，其唯一目的是验证模型是否按预期行为。当然，这是一种在芯片设计中也成功的技术。

为了跟进Rushby的建议，我完全同意他对我所说的深层假设跟踪的恳求。也就是说，确保所有的假设和结论都经过精心跟踪。再次使用多个异质模型进行验证的重要主题。如果某人的假设是错误的，则是未成年人和大打ic的普遍原因。或者，如果没有人知道他们，那么其他人就得出了错误的结论。这也是为什么隐含的模型假设不足的原因往往会对系统的行为产生最可怕的后果。亚博体育苹果app官方下载

例如，在我们关于自动驾驶机器人地面车辆的可靠障碍物避免障碍的工作中，我们的模型随后通过在有传感器和执行器和位置不确定的情况下，从静态到动态一直到动态障碍的障碍物的动态能力进行。由于我们在Keymaera中陪同每个模型都有正确的证明，因此我们不禁注意到在哪种情况下，系统是安全的，何时何时安全。亚博体育苹果app官方下载例如，在我们的模型中，从“障碍被卡住”到“障碍可以在任何想要的地方移动，无确定性”是一个简单的变化。但是，由于证明是不起作用的，因此您立即意识到您首先需要了解障碍速度的一些束缚。与光速相比，动态障碍物更快，很难防御。

后来，在未经验证的不同控制器实现的干燥过程中，有趣的是看到动作的差异。未经验证的机器人控制器有时会与障碍物相撞，这正是它不应该做的。验证系统的相应（仿真）运行在碰撞发生之前很久就否决了不安全的控制动作。亚博体育苹果app官方下载原因是原型的。谁设计了我们可以访问的未验证控制器的人做自然的事情：机器人首先考虑了所有障碍，并希望能够快速传感。好吧，这就是我们第一个经过验证的模型也假设的。但是我们的Keymaera证明立即进行了进一步的进一步研究，并调查了动态障碍的案例，这就是为什么我们建议考虑未验证控制器的动态障碍的原因。

未经验证的机器人仍然相撞。这次，原因更加微妙。简而言之，实施方式默默地假设墙壁不会在其他代理商的情况下移动。每天的经验听起来很合理。捕获是角落确实移动。好吧，他们不是真的。But as soon as your verification model says that obstacles either move or they don’t and that it’s their choice (nondeterministically!) where they move to, then you cannot help but notice in your proof that the system is only safe if your controller correctly addresses the case where an obstacle suddenly comes racing round a corner. And indeed, when we asked, we got the confirmation that troublemaker cases in practice were partially occluded obstacles.

Now it might be easy to blame the developers of the original robot controllers for this oversight and say that they just haven’t been paying enough attention. But that would be too easy. In fact, that would miss the point, entirely. The point is that robotics and any other kind of cyber-physical systems design is just darn challenging. These are very hard problems. Programming is incredibly difficult. And programming robots only makes things more difficult, because we’ve suddenly got to face the whole physical reality around us. There’s more ways to get them wrong, quite subtly, than there are ways of getting them right. We desperately need analytic support that helps us getting the designs right so that we can bet our lives on them.

后来与许多学术界和行业的许多人进行了交谈，他们中的大多数人都不明显，即使他们自己没有，也必须将环境空间的某些静态部分视为移动。这是一个错误，验证使我们无法做到。

但是猜猜我们是如何发现的。一个月前，我小组的PostDocs在一些例子上尝试了我们刚经过验证的控制器，并感到非常沮丧，因为它的口味太保守了。它回开狭窄的门口。我本人可能很困惑。但是后来我们意识到我们经过验证的控制器是正确的。如果障碍物可以移动到任何地方，它们也可能会从我们机器人无法看到的角落后面迅速移动。请注意，我们从未将这些知识纳入我们的模型，控制器或其他任何内容。我们只是从具有移动障碍物的飞机上的机器人运动的规范模型开始。然后，我们发现了我们的证明导致我们设计一个可验证的安全控制器的地方。他们带领我们进入了一个远离狭窄门口的控制器。 But that is what the robot simply has to do to stay provably collision-free.

后来，我们与行业合作者讨论了经过验证的控制器。他们不仅确认我们的控制器在预期的操作范围内工作，而且根本没有过分保守。但是，他们也只是喜欢突然的新功能，可以通过我们经过验证的模型的参数进行不同的实例化，以找出该设计是否会在其预期的操作方面有效地正常工作。无需在实验上设置所有这些不同的方案和系统配置。亚博体育苹果app官方下载并且经过验证的控制器自动化做正确的事情。切断弯道时，它会放慢速度以避免碰撞。当拐角处的边缘更大的边距移动时，它会愉快地加速。我们没有构建这一点。这只是根据我们的证明的安全限制。

尽管如此，我们可能还是在世界运动原则的模型和对环境的假设中犯了错误。这会给我们一个真实，不可否认的证据，这只是不适用于现实，因为它的假设没有得到满足。或者我们可能已经误导了我们关心的安全性。这就是正式验证的出现。确保模型适合现实的相关部分以及配方符合意图的技术。我们刚刚取得了一些有希望的进展，我敢肯定，仍然会发现更多令人兴奋的事情。

正式验证与形式验证一样令人兴奋。这就是为什么我正在开发网络物理系统的逻辑基础，因为当软件伸入我们的物理世界时，我们只需要如此强大的分析基础即可。亚博体育苹果app官方下载然而，凭借这些基础，通过设计网络物理系统，我们可以如何改变世界，从而使我们在日常生活中帮助我们在日常生活中，以比我们梦dream以求的更多的方式来改变世界。亚博体育苹果app官方下载毕竟，真正的网络物理系统将网络能力与物理能力相结合，以解决这两亚博体育苹果app官方下载个部分都无法单独解决的问题。

卢克：Thanks, André!