本文已参与「新人创作礼」活动，一起开启掘金创作之路。

项目到模型的转换原因

当我们需要对一个项目进行验证时，我们无法对该项目直接验证，而是要转换成可以做验证的模型，比如一个C语言程序，要先将它转换为一阶逻辑公式，再将一阶逻辑公式转换为Kripke结构，之后我们才能进行验证分析，得到我们所需的结论。

本章基本词汇解释

State（状态）：系统在某一时刻的特性，也值程序中所有变量的值。例如：交通灯的红色、黄色、绿色。
Transition（转换/转移/迁移）：指从一个状态到另一个状态的演化。例如：交通灯由红色变为黄色。
在程序中，可以理解为
- 当前时刻：{x=1,y=2}
- 执行变迁：x=5,y=x+1
- 下一时刻：{x=5,y=6}
Action（动作）：过程之间的沟通机制。
Atomic Propositions（原子命题）：形式化临时特征。原子表示不可再分，命题表示这是具有判断能力的陈述句。例如：X=1；店里没有顾客。
Kripke Structure（状态迁移系统）：是一个基于原子命题AP的四元组，用 $M$ 表示， $M = （S,S_0,R,L)$
- $S$ 是有限状态集合
- $S_0$ 是初始状态集合
- $R$ 是状态之间的关系，如 $R\subseteq S \times S$ ，表示状态之间所有的关系。(这里的 $\times$ 表示笛卡尔积)
- $L$ 是一个标签函数，状态到原子命题集合的一个函数，如 $L(s_0)=\{a,b\}$
First order logic（一阶逻辑系统）：用一阶逻辑描述并发系统的状态，有四个属性：
- $V=\{v_1,\cdots,v_1\}$ 表示系统变量集合
- $D$ 表示变量的有限域，比如布尔值变量的有限域为{true,false}
- $A$ 表示变量 $V$ 到有限域 $D$ 的一个映射（也叫赋值）
- $state$ ：使它为真的公式就是状态。比如 $S=(v_1=2)\wedge(v_2=3)$ ，因为 $v_1=2$ 和 $v_2=3$ 都为真，所以 $(v_1=2)\wedge(v_2=3)$ 也为真，因此 $S$ 称之为状态。
- 如果 $D=\{2,3,4,5\}，S=\{(v_1=2)\wedge(v_2=3)\wedge(v_3\neq 5)\}$ ，则该 $S$ 其实表示了三个状态：
  - $S_1=\{(v_1=2)\wedge(v_2=3)\wedge(v_3 = 2 )\}$
  - $S_2=\{(v_1=2)\wedge(v_2=3)\wedge(v_3 = 3 )\}$
  - $S_3=\{(v_1=2)\wedge(v_2=3)\wedge(v_3 = 4 )\}$
- 状态之间的合并用 $\cup$ 表示，如 $S_1 \cup S_2 \cup S_3$
- 并发系统以一阶逻辑系统公式进行转换的过程：
  - $V$ 表示当前的变量集合， $V'$ 表示下一时刻变量的集合，如 $V=\{v_1,v_2,v_3\}$ ， $V'=\{v_1',v_2',v_3'\}$ ， $v1\leftarrow 2, v2\leftarrow3, v3\leftarrow5,v1'\leftarrow 1, v2'\leftarrow5, v3'\leftarrow4$
  - 转移过程： $(v_1=2\wedge v_2=3 \wedge v_3=5) \wedge (v_1'=1\wedge v_2'=5 \wedge v_3'=4)$
Transition System（转换系统，简称TS）：是一个六元组， $TS = (S, Act,\rightarrow , I,AP, L)$
- $Act$ 是组动作的合集；
- $\rightarrow$ 表示转换关系， $\rightarrow \subseteq S * Act * S$ ，是状态-动作-状态的转移关系集合；
- $I$ 是一组初始状态， $I \supseteq S$ ；
- $AP$ 是一组原子命题；
- $L$ 是一个标签函数， $S \rightarrow 2^{AP}$ ；

如果状态集 $S$ 、动作集 $Act$ 、原子命题 $AP$ 都是有限的，那么称这个 $TS$ 是有限的。

基本动作的转移公式： $S\overset{\alpha }{\rightarrow}S'$

含义： 动作 $\alpha$ 将状态 $S$ 转变为状态 ${S}'$ 。
备注：
- $S$ 的下一个状态 ${S}'$ 是不确定的，只有经历了动作 $\alpha$ 的转换， $S$ 的下一个状态 ${S}'$ 才被确定下来；
- 当初始状态集包含超过1个状态时，初始状态 $S$ 也是非确定的；
- 动作是为通信建模而引入的机制，其它操作无需在意动作所执行的内容。

标签函数（Label function）： $L(s)\in 2^{AP}$

状态s满足命题逻辑公式Φ如果L(s)使公式Φ真；即 $s \models \Phi \ iff \ L(s) \models \Phi$ ；
原子命题集合AP应当选择感兴趣的特征，也就是模型需要考虑的特征；
用法举例：L(select) = { paid }，表示在select状态时，取得的标签为paid。
$L(s)\in 2^{AP}$ 其实就是 $L(s)\subseteq AP$ ，原子性质集合

构建Kripke Sructure模型

需要根据程序的四个特征进行建模：顺序、分支、循环、并发

顺序程序（Sequential program）的建模

方法：对程序进行标签化
目的：将程序一条条处理
打标签的四个方法：
- 如果是一条普通的语句P，则标签为： $P^L =P$
- 如果是两条语句 $P=P_1;P_2$ ，则标签为： $P^L=P_1^L; l'' : P_2^L$
- 如果是分支语句 $P=if \ \ b \ \ then \ P_1 \ else \ P_2 \ endif$ ，则标签为： $P^L=if \ \ b \ \ then \ l_1:P_1^L \ else \ l_2:P_2^L \ endif$
- 如果是循环语句 $P=while \ b \ do \ P_1 \ endwhile$ ，则标签为： $P^L=while \ \ b \ \ do \ l_1:P_1^L \ endwhile$
程序初始状态集合： $S_0(V, pc) \equiv pre(V) \wedge pc=m$

$pre(V)$ 表示 $V$ 的初始值， $pc$ 表示当前的语句入口， $pc'$ 表示当前的语句出口，仅限于该条语句，而 $m$ 表示程序的入口， $m'$ 表示程序的出口，作用于整个程序（在后面的练习中可以深刻体会他们的区别）

$\equiv$ 表示左右两侧的公式等价，所代表的含义相同，只不过表达方法不同而已

翻译过程： $C(l,P,l')$ 表示程序入口为 $l$ ，出口为 $l'$ ，程序要执行的语句为 $P$ ， $C$ 表示这是一个要翻译的过程，翻译过程一般会有如下五种语句被翻译：
- 赋值语句： $C (l, v\leftarrow e, l' )\equiv pc=l \wedge pc'=l' \wedge v'=e \wedge same(V \backslash \{v\})$
- 空语句： $C (l, skip, l' )\equiv pc=l \wedge pc'=l' \wedge same(V)$
$skip$ 表示什么也不执行，空语句存在的目的是为了程序中对其语句等作用
- 顺序语句： $C (l,P_1;l'':P_2, l' ) \equiv C (l, P, l' )\vee C (l, P_2, l' )$
- 条件语句： $C (l, if \ b \ then l_1 : P_1 \ else \ l_2 : P_2 \ endif, l' ) \equiv \\ ( pc=l \wedge pc'=l_1 \wedge b \wedge same(V)) \\ \vee (pc=l \wedge pc'=l_2 \wedge \neg b \wedge same(V))\\ \vee C (l_1,P_1, l' ) \\ \vee C (l_2,P_2, l' )$
- 循环语句： $C (l, while \ b \ do \ l_1 : P_1 \ endwhile, l' ) \equiv \\ pc=l \wedge pc'=l_1 \wedge b \wedge same(V))\\ \vee pc=l \wedge pc'=l_1 \wedge \neg b \wedge same(V))\\ \vee C (l_1,P_1, l)$
- $same(V)$ 表示 $V$ 中变量不发生变化
- $same(V \backslash \{v\})$ 表示 $V$ 中变量只有 $v$ 发生变化
- 有些地方用 $l',l''$ 有些地方用 $l_1,l_2$ 的原因，个人感觉，应该是顺序语句用 $l',l''$ ，分支循环这种很多可能性的用 $l_1,l_2$
练习题：对如下程序进行标签化 $V=\{x,y,z\},initial \ value: x=y=z=0 \\ Program: \\ x=y+1; z=z+2;\\ for(y; y<=3; y++)\\ \quad if \ x<y \ then \ x++; else \ y++;$
答案（答案不唯一）：
- 初始化程序，先将程序标记分为三个标记语句 $P_1:x=y+1; z=z+2;\\ P_2:for(y; y<=3; y++)\\ P_3:if \ x<y \ then \ x++; else \ y++;$
- 对 $P_1$ 继续标记： $P_{11}:x=y+1\\ P_{12}:z=z+2\\ P_{1}^L=P_{11}^L;l_{12}=P_{12}^L\\ P_{11}^L=P_{11}\\ P_{12}^L=P_{12}$
- 对 $P_2$ 继续标记：首先将 $for$ 语句转变为 $while$ 语句 $y\\ while(y<=3)\\ do\\ \quad P_3\\ \quad y++\\ endwhile$ 然后进行标记 $P_{21}:y\\ P_{22}:y++\\ P_{2}^L=P_{21}^L;l_{23}''=P_{23}^L\\ P_{21}^L=P_{21}\\ P_{22}^L=P_{22}\\ P_{23}^L=while(y<=3) do l_3:P_3^L;l_{22}:P_{22}^L \ endwhile$
- 再对 $P_3$ 进行标记： $P_{31}:x++\\ P_{32}:y++\\ P_3^L:if \ x<y \ then \ l_{31}:P_{31}^L \ else l_{32}:P_{32}^L \ endif \\ P_{31}^L=P_{31}\\ P_{32}^L=P_{32}$
- 由上述标记公式，可得一阶逻辑公式：
  - $x=0 \wedge y=0\wedge z=0\wedge pc=m\wedge pc'=l_{11}$
  - $x'=y+1 \wedge same(V \backslash \{x \}) \wedge pc=l_{11}\wedge pc'=l_{12}$
  - $z'=z+2 \wedge same(V \backslash \{z \}) \wedge pc=l_{12}\wedge pc'=l_{2}$
  - $y<=3 \wedge same(V) \wedge pc=l_{2} \wedge pc'=l_{21}$
  - $\neg (y<=3)\wedge same(V) \wedge pc=l_{2} \wedge pc'=l_{22}$
  - $same(V)\wedge pc=l_{21} \wedge pc'=l_{3}$
  - $same(V)\wedge pc=l_{22} \wedge pc'=m'$
  - $x<y \wedge same(V) \wedge pc=l_{3} \wedge pc'=l_{31}$
  - $\neg (x<y) \wedge same(V) \wedge pc=l_{3} \wedge pc'=l_{23}$
  - $x'=x+1 \wedge same(V \backslash \{x \}) \wedge pc=l_{31} \wedge pc'=l_{23}$
  - $y'=y+1 \wedge same(V \backslash \{y \}) \wedge pc=l_{31} \wedge pc'=l_{23}$
  - $y'=y+1 \wedge same(V \backslash \{y \}) \wedge pc=l_{23} \wedge pc'=l_{2}$

IMP语言转一阶逻辑公式再转Kripke Structure程序

IMP语法规则：
- Aexp： $a::=n|x|a_0+a_1|a_0-a_1|a_0 \times a_1 , n\in [0,2]$
- Bexp： $b::=true|false|a_0==a_1|a_0 \leq a_1|\neg b|b_0\wedge b_1|b_0 \vee b_1$
- Com： $\qquad c::=cobegin \ p1||p2 \ coend \\ \qquad p::= skip; | x:=a; |p_0;p_1 |wait(b) |if \ b \ then \ p_0 \ else \ p_1|while \ b \ do \ p$
- 整形变量取值范围： $[0,1,2]$
- 布尔变量取值范围： $[0,1]$
- 变量名规则：单个小写字母，如 $a,b,c,\cdots$
样例1：
- 输入IMP语言： $x:= 1;\\ y:= 1;\\ x:= x + y;$
- 输出一阶逻辑公式： $D\equiv \{0,1,2\}\\ V \equiv \{x,y\}\\ S_0(x,y)\equiv x=1 \wedge y =1$ $R\equiv\\ x=1∧y=1∧pc=m∧pc'=l1\\ x'=x+y∧same(V \backslash \{x\})∧pc=l1∧pc'=m'$
- 输出Kripke Structure： $KS = ( S,S_0,R,L)$ $S=\{<1,1>,<2,1>\}$ $S_0=\{<1,1>\}$ $R(x,y,x',y')\equiv x' = (x+y)mod \ 3\wedge y' = y$ $L(S_0)=\{1,1\}$ $L(S_1)=\{2,1\}$
- 输出Kripke Structure图形形式：
样例2：某大佬程序里直接跑的结果：
答案：一个大佬用python写的程序：github.com/lypnol/impy 另一位大佬C++写的程序：git.code.tencent.com/fasasas/for…
- 如果你是华师大郭老师的课程，这两个程序只能参考，千万别照搬，这俩郭老师都看过了，不要抱侥幸心理哦
- 输入输出格式不唯一

并发程序（Concurrent programs）的建模

原因：由一组同时执行的进程组成，进程是顺序语句，我们假设CPU是单核的，所以程序只能异步执行，一次只能执行一条语句，所以我们要进行并发建模
组成： $V$ ：并发进程变量的集合 $pc_i$ ：第 $i$ 个并发进程 $pc$ ：并发进程的计数器 $PC$ ：并发进程的计数器的集合
表示方法： $P = Cobegin \ P_1||P_2|| \cdots ||P_n \ coend$
标记并发程序： $P^L=conbegin \ l_1 : P_1^L \ l_1' || l_2 : P_2^L \ l_2' || \cdots || l_n : P_n^L \ l_n \ coend$
并发程序初始状态： $S_0(V, pc) \equiv pre(V) \wedge pc=m \wedge \underset{i=1}{\overset{n}{\wedge}}(pc_i=\perp)$
并发程序执行过程：

$\perp$ 表示数值为空或否， $pc = \perp$ 表示程序未被激活

$\underset{i=1}{\overset{n}{\wedge}}(pc_i = \perp))$ 表示 $pc_1=\perp \wedge pc_2=\perp\wedge \cdots \wedge pc_n=\perp$

共享变量
- 原因：当一个变量被一个进程访问时，其他变量如果想访问，需要将此变量共享才可以
- 方法：
$P$ 初始状态： $S_0(V, pc) \equiv pc=m \wedge pc_0=\perp \wedge pc_1= \perp \wedge (turn = 0 \vee turn = 1)$
$P$ 的转移关系

并发还有没整理完，太多了，太难理解，以后有机会再整理

可满足性关系（Satisfaction relation）： $\models$

举个简单的例子： $\mu \models \ a>0 \ if \ a=1$ ，表示当a=1的时候，a>0的结果为true，最终 $\mu \models$ true，可满足性关系的式子成立。换句话说，就是当且仅当a=1时， $\mu$ 满足a>0（也就是 $\mu \models true$ ）。
true。此时 $\mu \models$ true也就是 $\mu\models$ 后面的这个结果为true或，才表示可满足性关系。
专业解释：对原子命题集合AP的定值是将其映射到0或1上，即 $\mu：AP\rightarrow \begin{Bmatrix}0,1\end{Bmatrix}$ ，记Eval(AP)是AP内命题的全部的真值指派方式组成的集合。可满足关系 $\models$ 是一个二元关系 $(\mu,\phi)$ ，它指示的是在 $\mu$ 这个定值方式下，命题逻辑公式 $\phi$ 的计算结果为真。
真值指派：此处可以理解成对变量的赋值影响相关原子命题的真值，例如设置a=2那么命题a>0的真值为真，将所有的命题计算得到的真假，即是对整个合取式的真值指派。
如果上面的文字还没能理解，那么我们再多举几个例子
- $\mu \models true$
- $\mu \models a \quad iff \quad \mu(a)=1$
- $\mu \models \phi_{1}\wedge\phi_{2} \quad iff \quad \mu \models \phi_{1} \quad and \quad \mu \models \phi_{2}$

非确定性的应用（Application of nondeterministic）

通过两进程交替执行对独立活动的并行执行进行建模；
对两个进程访问同一共享资源而出现的复杂状况建模；
用于抽象的目的或者不规范的场景；
对未知或不可预测环境下的接口建模。
例题：
- 向自动售货机内插入硬币后，可以选择购买啤酒或苏打水
- S = { pay , select, soda, beer }
- I = { pay }
- Act = { insert_coin, get_soda, get_beer, $\tau$ }
- 问题：请给出AP和L

  答案：
       AP = { paid , drink }
       L(pay) =  $\varnothing$
       L(soda) = L(beer) = { paid , drink }
       L(select) = { paid }

答案解析：paid表示投入了硬币，drink表示饮料取出喝掉，这两个状态的取值只能为真或假。一开始既没有付款也没有喝饮料，所以对pay取标签函数得到的是空集；在投入硬币进入select状态后，因为已经付款了，所以取标签得到的是{paid}；在出了饮料之后，即认为同时也可以喝了，所以取标签得到的是{paid,drink}。

这是一个非确定的系统，因为在投入硬币后，既可以选择提供啤酒，也可以选择提供苏打水。

当表示内部活动或者不相关活动时，使用一个特殊符号 $\tau$

Act 用于建模和数据通信

AP的集合总是根据题目所需的特征来选择

从一阶逻辑公式构造Kripke structure(KS)例题

题目：
- $V = \{ x,y \}$
- $D = \{ 0,1 \}$
- $S_0 = (x,y) \equiv x = 1 \wedge y = 1$
- $Transition:$ $R(x,y,x',y') \equiv x'= (x+y) \ mod \ 2 \ \wedge y' = y$
问题：
- $KS=(S,S_0,R,L)$
解析：
- 该系统的所有状态用 $<x,y>$ 有序对来表示，而 $x$ 和 $y$ 的值域均为 $D=\{0,1\}$ ，所以 $<x,y>$ 的所有取值就是 $D$ 和 $D$ 的笛卡尔积来计算， $S=D×D=\{<0,0>,<0,1>,<1,0>,<1,1>\}$
- 按照描述，系统的初始状态集合为 $S_{0}(x,y)\equiv x=1\wedge y=1$ ，所以初始状态 $S_{0}=\{<1,1>\}$
- 我们需要从系统的每一个状态开始，分别计算经过转移后系统所达到的新状态。首先计算 $x=0,y=0$ 的情况，一次转移后，即计算新的 $x$ 和 $y$ 值，得到 $<(0+0) \ mod \ 2, 0>$ ，计算mod后结果为 $<0,0>$ ，依次计算其余状态，我们可以得到 $<1,0> \rightarrow<1,0>，<1,1> \rightarrow<0,1>,<0,1> \rightarrow<1,1>$ ，将其用 $KS$ 的形式表示为 $R=\{(<0,0>,<0,0>),(<1,0>,<1,0>),(<0,1>,<1,1>),(<1,1>,<0,1>)\}$
- 标签函数代表着某状态下取值为真的原子命题，即 $L(<1,1>)=\{x=1,y=1\}，L(<0,1>)=\{x=0,y=1\}，L(<0,0>)=\{x=0,y=0\}，L(<1,0>)=\{x=1,y=0\}$

≡表示等同于，意思是执行S0(x,y)与执行x=1∧y=1的作用相同

∧表示左右两个式子同步执行，∨表示左右两个式子依次执行

$S_0 = (x,y) \equiv x = 1 \wedge y = 1$ 表示初始状态下， $x$ 的值为1，y的值也为1

$R(x,y,x',y') \equiv x'= (x+y) \ mod \ 2 \ \wedge y' = y$ 表示转移关系， $x'$ 的值为 $(x+y) \ mod \ 2$ ， $y'$ 的值仍然为y

图像表示为：
答案：
- $S = \{\{x=1\wedge y=1\},\{x=0\wedge y=1\}\}$
- $S_0 = \{\{x=1\wedge y=1\}\}$
- $R = \{\{x=1\wedge y=1 \wedge x' = 0 \wedge y ' =1\},\{x=0\wedge y=1 \wedge x' = 1 \wedge y ' =1\}\}$
- $L(S_0) = \{x=1\wedge y=1\}$
- $L(S_1) = \{x=0\wedge y=1\}$

直接前驱和直接后继（Direct Predecessors and Successors expanded）

对于转换状态 $TS = (S, Act,\rightarrow , I,AP, L)$ ，如果 $s \in S$ 且 $\alpha \in Act$

一组 $\alpha$ 的直接前驱定义为： $Pre(s,\alpha )=\begin{Bmatrix}s'\in S | s'\overset{\alpha }{\rightarrow}s\end{Bmatrix}$ $Pre(s)=\bigcup_{\alpha \in Act}Pre(s,\alpha)$
一组 $\alpha$ 的直接后继定义为： $Post(s,\alpha )=\begin{Bmatrix}s'\in S | s\overset{\alpha }{\rightarrow}s'\end{Bmatrix}$ $Post(s)=\bigcup_{\alpha \in Act}Post(s,\alpha)$
直接前驱和直接后继者扩展到子集： $Post(C, \alpha)=\bigcup_{s \in C}Post(s,\alpha)$ $Post(C)=\bigcup_{s \in C}Post(s)$ $Pre(C, \alpha)=\bigcup_{s \in C}Pre(s,\alpha)$ $Pre(C)=\bigcup_{s \in C}Pre(s)$
转换状态 $TS$ 的终止状态： $Post(C)=\varnothing$

对于顺序计算机程序，终止状态表示程序的终；对于并行系统，终止状态通常被认为是不理想的。

确定性的转换系统（Deterministic Transition System）

关于action的确定转换系统
- 对所有状态 $s$ 和动作 $\alpha$ ，都有 $|I|\leqslant1 \ and \ |Post(s,\alpha )|\leqslant 1$
- 表示任意状态经任意动作最多跳转到1个状态去
- 这种系统叫做行动决定（action-deterministic）
关于AP的确定转换系统
- 对所有状态 $s$ 和AP的子集 $A\in 2^{AP}$ ，都有 $|I|\leqslant1 \ and \ |Post(s)\cap \begin{Bmatrix} s'\in S|L(s')=A \end{Bmatrix} \leqslant| 1$
- 表示从某一状态出发的直接后继，其Label函数的计算结果一定是不一样的
- 这种系统叫做AP决定（AP-deterministic）

执行片段（Execution fragment）

对于转换状态 $TS = (S, Act,\rightarrow , I,AP, L)$ ，有两种执行片段
- 有限执行片段
  - 公式： $\rho = s_{0}\alpha _{1}s_{1}\alpha _{2}...\alpha _{n}s_{n}$ ，其中：对于所有的 $0 \leqslant i \leqslant n$ ，都有 $s_{i}\overset{\alpha_{i+1}}{\rightarrow}s_{i+1}$
  - 公式含义：初始状态 $s_{0}$ ，执行 $\alpha _{1}$ 后，状态变为 $s_{1}$ ，执行 $\alpha _{2}$ 后，状态变为 $s_{2}$ ……状态变为 $s_{n-1}$ ，执行 $\alpha _{n}$ 后，状态变为 $s_{n}$
- 无限执行片段
  - 公式： $\rho = s_{0}\alpha _{1}s_{1}\alpha _{2}...$ ，其中：对于所有的 $0 \leqslant i$ ，都有 $s_{i}\overset{\alpha_{i+1}}{\rightarrow}s_{i+1}$
  - 公式含义：初始状态 $s_{0}$ ，执行 $\alpha _{1}$ 后，状态变为 $s_{1}$ ，执行 $\alpha _{2}$ 后，状态变为 $s_{2}$ ……$

n表示有限片段的长度，n的值大于等于0

初始执行片段：最大执行片段要么是以终止状态结束的有限执行片段，要么是无限执行片段。
最大执行片段：如果执行片段以初始状态启动，则称为初始片段。
执行状态：一个初始的、最大的执行片段。
可达状态：一个初始的、有限的执行片段。
- 状态 $s \in S$ 是可达的，意为存在这样的初始、有限的执行片段： $s_{0}\overset{\alpha_{1}}{\rightarrow}s_{1}\overset{\alpha_{2}}{\rightarrow}...s_{n-1}\overset{\alpha_{n}}{\rightarrow}s_{n}= s$
- 记Reach(TS)表示TS中的可达状态集。

【系统分析与验证笔记】Transition System模型知识点