Свойство линейного времени - Linear time property

В проверка модели, филиал Информатика, свойства линейного времени используются для описания требований модели компьютерной системы. Примеры свойств включают "торговый автомат не выдаст напиток, пока не будут введены деньги" ( свойство безопасности ) или «компьютерная программа в конечном итоге завершается» (a свойство живости ). Свойства справедливости могут использоваться для исключения нереалистичных путей модели. Например, в модели двух светофоров свойство живучести «оба светофора горят зеленым бесконечно часто» может быть истинным только при условии безусловного ограничения справедливости «каждый светофор меняет цвет бесконечно часто» (чтобы исключить случай, когда один светофор "бесконечно быстрее" другого).^[1]

Формально свойство линейного времени - это ω-язык над набор мощности «атомарных предложений». То есть свойство содержит последовательности наборов предложений, каждая последовательность известна как «слово». Каждое свойство можно переписать как "п и Q оба происходят "для некоторого свойства безопасности п и живучесть собственности Q. Инвариант системы - это то, что истинно или ложно для определенного состояния. Инвариантные свойства описывают инвариант, которому должно удовлетворять каждое достижимое состояние модели, в то время как свойства персистентности имеют форму «в конечном итоге навсегда сохраняется некоторый инвариант».

Временная логика Такие как линейная темпоральная логика описывать типы свойств линейного времени с помощью формул.

Определение

Позволять AP быть набором атомарных предложений. Слово за ${ displaystyle 2 ^ {AP}}$ (в набор мощности из AP) представляет собой бесконечную последовательность наборов предложений, таких как ${ displaystyle w: = {a } {a, b } emptyset {a, b } ^ { omega}}$ (для атомарных предложений ${ Displaystyle AP = {a, b }}$ ). Свойство линейного времени (LT) над AP это подмножество ${ displaystyle (2 ^ {AP}) ^ { omega}}$ т.е. набор слов.^[2] Пример свойства LT над множеством ${ Displaystyle {а, Ь }}$ это "набор слов, которые содержат а бесконечно часто ». Слово ш находится в этом наборе, потому что а содержится в ${ Displaystyle {а, Ь }}$ , что происходит бесконечно часто. Слово не в этом наборе ${ Displaystyle х: = {а } ( {Ь } emptyset) ^ { omega}}$ , так как а встречается только один раз (в первом наборе).

LT свойство - это ω-язык по алфавиту ${ Displaystyle Sigma = 2 ^ {AP}}$ (наоборот).

Обозначим через pref(ш) конечные префиксы ш (т.е. ${ Displaystyle { {а }, {а } {а, б }, {а } {а, б } emptyset, ... }}$ в приведенном выше случае). Закрытие LT собственности п является:

{ displaystyle closure (P): = { sigma in (2 ^ {AP}) ^ { omega}: pref ( sigma) substeq pref (P) }}

Приложения

А Структура Крипке над

{ displaystyle {p, q }}

. Он не удовлетворяет свойству LT "бесконечно часто q", из-за пути

{ displaystyle s_ {1} s_ {2} s_ {3} ^ { omega}}

. Он действительно удовлетворяет свойству "бесконечно часто п", потому что все возможные пути входят

{ displaystyle s_ {1}}

или же

{ displaystyle s_ {3}}

бесконечно часто.

Используя теорию конечные автоматы, программа или компьютерная система могут быть смоделированы Структура Крипке. Свойства LT затем описывают ограничения на следы (выходы) структуры Крипке. Например, если два светофор на перекрестке представлены структурой Крипке, тогда атомарные предложения могут быть возможными цветами каждого светофора, и может быть желательно, чтобы следы удовлетворяли свойству LT «светофор не может быть одновременно зеленым» (чтобы избежать проезда автомобиля столкновения).^[3]

Если каждый след структуры Крипке TS это след TS' то каждое свойство LT, которое TS' удовлетворяет удовлетворяется TS. Это полезно при проверке модели для обеспечения абстракции: если упрощенная модель системы удовлетворяет свойству LT, то фактическая модель системы также будет удовлетворять ему.^[4]

Классификация свойств линейного времени

Свойства безопасности

А свойство безопасности неофициально имеет форму «плохого не бывает».^[5] Например, если система моделирует банкомат (Банкомат), то таким свойством будет «нельзя выдавать деньги, если не введен ПИН-код».^[6] Формально свойство безопасности - это свойство LT, такое, что любое слово, которое нарушает свойство, имеет «плохой префикс», для которого ни одно слово с этим префиксом не удовлетворяет этому свойству. То есть,^[7]

{ displaystyle forall sigma in (2 ^ {AP}) ^ { omega} setminus P: exists { text {конечный префикс}} { hat { sigma}}: P cap { sigma ': { hat { sigma}} { text {- это префикс}} sigma' } = emptyset}

В примере с банкоматом минимальный плохой префикс - это конечный набор выполняемых шагов, в которых деньги выдаются на последнем шаге, а PIN-код не вводится ни на одном шаге. Чтобы проверить свойство безопасности, достаточно рассмотреть только конечные следы структуры Крипке и проверить, является ли любой такой след плохим префиксом.^[8]

LT свойство п является свойством безопасности тогда и только тогда, когда ${ displaystyle closure (P) = P}$ .^[9]

Инвариантные свойства

Инвариантное свойство - это тип свойства безопасности, в котором условие относится только к текущему состоянию.^[10] Например, пример банкомата не является инвариантом, потому что мы не можем сказать, нарушено ли свойство, увидев, что текущее состояние - «выдача денег», только увидев, что текущее состояние - «выдача денег», а предыдущее состояние не было «прочитано». ШТЫРЬ". Примером инварианта является указанное выше условие светофора «оба светофора не могут быть зелеными одновременно». Другой - "переменная Икс никогда не бывает отрицательным »в модели компьютерной программы.

Формально инвариант имеет вид:

{ displaystyle P = {A_ {0} A_ {1} .... in (2 ^ {AP}) ^ { omega}: forall j in mathbb {N}: A_ {j} { text {удовлетворяет}} Phi }}

для некоторых логика высказываний формула ${ displaystyle Phi}$ .^[10]

Структура Крипке удовлетворяет инварианту тогда и только тогда, когда каждое достижимое состояние удовлетворяет инварианту, что можно проверить с помощью поиск в ширину или же поиск в глубину.^[11] Свойства безопасности можно проверить индуктивно с помощью инвариантов.^[12]

Свойства живучести

А свойство живости неофициально имеет форму «в конце концов случается что-то хорошее».^[5] Формально, п свойство живучести, если ${ displaystyle pref (P) = (2 ^ {AP}) ^ {*}}$ т.е. любую конечную строку можно продолжить до действительной трассы.^[13]^[7] Примером свойства живости является предыдущее свойство LT "набор слов, которые содержат а бесконечно часто ". Никакой конечный префикс слова не может доказать, что слово не удовлетворяет этому свойству, так как слово может продолжать иметь бесконечно много ас.

Что касается компьютерных программ, полезные свойства живучести включают в себя «программа в конечном итоге завершается», а в параллельные вычисления, "каждый процесс в конечном итоге должны быть обслужены ".^[14]

Свойства стойкости

Свойство настойчивости - это свойство живучести формы «в конечном итоге навсегда ${ displaystyle Phi}$ ". То есть свойство формы:^[15]

{ Displaystyle P = {A_ {0} A_ {1} ... in (2 ^ {AP}) ^ { omega}: существует N in mathbb {N}: forall n geq N : A_ {n} { text {удовлетворяет}} Phi }}

Связь между безопасностью и живучестью

Нет собственности LT, кроме ${ displaystyle (2 ^ {AP}) ^ { omega}}$ (набор всех слов закончился ${ displaystyle 2 ^ {AP}}$ ) является одновременно свойством безопасности и живучести.^[16] Хотя не каждое свойство является безопасным или жизнеспособным (рассмотрите "а происходит ровно один раз »), каждое свойство является пересечением свойств безопасности и живучести.^[5]

В топология, набор всех слов ${ displaystyle (2 ^ {AP}) ^ { omega}}$ может быть оснащен метрика:

{ displaystyle d (w, x): = inf {2 ^ {- | s |}: s in pref (w) cap pref (x) }}

Тогда свойство безопасности - это закрытый набор а свойство живости - это плотный набор.^[17]

Свойства справедливости

Свойства справедливости предварительные условия накладывается на систему, чтобы исключить нереалистичные следы.^[18]^[19] Безусловная справедливость имеет вид «каждый процесс бесконечно часто получает свою очередь». Строгая справедливость имеет форму «каждый процесс бесконечно часто получает свою очередь, если он запускается бесконечно часто». Слабая справедливость имеет форму «каждый процесс бесконечно часто получает свою очередь, если он непрерывно запускается с определенной точки».^[20]

В некоторых системах ограничение справедливости определяется набором состояний, а "справедливый путь" - это путь, который проходит через некоторое состояние в ограничении справедливости бесконечно часто. Если имеется несколько ограничений справедливости, то правильный путь должен проходить бесконечно часто через одно состояние на каждое ограничение.^[21] Программа "удовлетворительно удовлетворяет" LT свойство п относительно набора условий справедливости, если для каждого пути либо путь не соответствует условию справедливости, либо удовлетворяет п. То есть свойство п удовлетворяется для всех честных путей.^[22]

Свойство справедливости реализуемо для структуры Крипке, если каждое достижимое состояние имеет справедливый путь, начиная с этого состояния. Пока набор условий справедливости реализуем, они не имеют отношения к свойствам безопасности.^[23]

Временная логика

Временная логика Такие как логика дерева вычислений (CTL) можно использовать для указания некоторых свойств LT.^[24] Все линейная темпоральная логика (LTL) формулы являются LT свойствами. Посредством подсчета аргументов мы видим, что любая логика, в которой каждая формула представляет собой конечную строку, не может представлять все свойства LT, так как должно быть счетное количество формул, но существует несчетное количество свойств LT.

Примечания

^ Байер и Катоэн (2008), п. 126.
^ Байер и Катоэн (2008) С. 97–98.
^ Байер и Катоэн (2008) С. 97–99.
^ Байер и Катоэн (2008), п. 102.
^ ^а ^б ^c Альперн и Шнайдер (1987).
^ Байер и Катоэн (2008), п. 109.
^ ^а ^б Финкбайнер и Торфа (2017), п. 4.
^ Байер и Катоэн (2008), п. 112.
^ Байер и Катоэн (2008), п. 113.
^ ^а ^б Байер и Катоэн (2008), п. 105.
^ Байер и Катоэн (2008) С. 105–106.
^ Керн и Гринстрит (1999), п. 135.
^ Байер и Катоэн (2008), п. 119.
^ Д'Сильва, Кроенинг и Вайссенбахер (2008), п. 5.
^ Байер и Катоэн (2008), п. 197.
^ Байер и Катоэн (2008), п. 121.
^ Байер и Катоэн (2008) С. 123–124.
^ Байер и Катоэн (2008), п. 124.
^ Керн и Гринстрит (1999) С. 131–132.
^ Байер и Катоэн (2008) С. 126–127.
^ Кларк, Грумберг и Кренинг (2018) С. 32–33.
^ Байер и Катоэн (2008), п. 132.
^ Байер и Катоэн (2008) С. 137–139.
^ Керн и Гринстрит (1999), п. 127.

дальнейшее чтение

Эмерсон, Э. Аллен (1990). «Временная и модальная логика». Справочник по теоретической информатике. B.
Пнуэли, Амир (1986). «Применение темпоральной логики к спецификации и проверке реактивных систем: обзор текущих тенденций». Текущие тенденции в области параллелизма: 510–584.

[FOOTNOTEBaierKatoen2008126-1] Байер и Катоэн (2008), п. 126.

[FOOTNOTEBaierKatoen200897–98-2] Байер и Катоэн (2008) С. 97–98.

[FOOTNOTEBaierKatoen200897–99-3] Байер и Катоэн (2008) С. 97–99.

[FOOTNOTEBaierKatoen2008102-4] Байер и Катоэн (2008), п. 102.

[FOOTNOTEAlpernSchneider1987-5] а ^б ^c Альперн и Шнайдер (1987).

[FOOTNOTEBaierKatoen2008109-6] Байер и Катоэн (2008), п. 109.

[FOOTNOTEFinkbeinerTorfah20174-7] а ^б Финкбайнер и Торфа (2017), п. 4.

[FOOTNOTEBaierKatoen2008112-8] Байер и Катоэн (2008), п. 112.

[FOOTNOTEBaierKatoen2008113-9] Байер и Катоэн (2008), п. 113.

[FOOTNOTEBaierKatoen2008105-10] а ^б Байер и Катоэн (2008), п. 105.

[FOOTNOTEBaierKatoen2008105–106-11] Байер и Катоэн (2008) С. 105–106.

[FOOTNOTEKernGreenstreet1999135-12] Керн и Гринстрит (1999), п. 135.

[FOOTNOTEBaierKatoen2008119-13] Байер и Катоэн (2008), п. 119.

[FOOTNOTED'SilvaKroeningWeissenbacher20085-14] Д'Сильва, Кроенинг и Вайссенбахер (2008), п. 5.

[FOOTNOTEBaierKatoen2008197-15] Байер и Катоэн (2008), п. 197.

[FOOTNOTEBaierKatoen2008121-16] Байер и Катоэн (2008), п. 121.

[FOOTNOTEBaierKatoen2008123–124-17] Байер и Катоэн (2008) С. 123–124.

[FOOTNOTEBaierKatoen2008124-18] Байер и Катоэн (2008), п. 124.

[FOOTNOTEKernGreenstreet1999131–132-19] Керн и Гринстрит (1999) С. 131–132.

[FOOTNOTEBaierKatoen2008126–127-20] Байер и Катоэн (2008) С. 126–127.

[FOOTNOTEClarkeGrumbergKroening201832–33-21] Кларк, Грумберг и Кренинг (2018) С. 32–33.

[FOOTNOTEBaierKatoen2008132-22] Байер и Катоэн (2008), п. 132.

[FOOTNOTEBaierKatoen2008137–139-23] Байер и Катоэн (2008) С. 137–139.

[FOOTNOTEKernGreenstreet1999127-24] Керн и Гринстрит (1999), п. 127.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]