模型检测

定义：在定理证明中，形式验证把待证明的性质直接作为一个数学定理来证明，也称为演绎式验证。
基本思想：和逐一证明一个结构下所有数据在一个公式下是否都正确相比，直接检验这个结构是否满足该公式来说更加容易。
原理：模型通常是迁移系统或有限状态的自动机，用 $\mathcal{M}$ 表示，系统的性质用逻辑公式进行规约，用 $\phi$ 表示，时态逻辑是极其重要的性质规约逻辑。把系统的性质用模型进行规约，表示为 $\mathcal{M} \vDash \phi$ ，核心是有穷状态空间上的遍历策略和算法。如果 $\mathcal{M} \vDash \phi$ 成立，则输出为Yes，如果 $\mathcal{M} \vDash \phi$ 不成立，则输出为No。

标记算法

通俗理解：就好像一个适配器，为了让CTL公式 $\phi$ 能够更好的用于模型检测，通过改变连接词的方式，将其转换为等价公式，有利于模型检测。需要考虑的连接词为 $\top,\perp,\wedge,AF,EU,EX$ ，当公式中出现这样的连接词时，我们才会考虑用标记算法让公式更有助于模型检测。
基本思想：若状态 $s$ 满足 $\phi$ ，则在 $s$ 处进行标记公式 $\phi$ ，具体是以 $\phi$ 的结构进行标记。
定义：设 $\psi$ 是 $\phi$ 的子公式且满足 $\psi$ 的所有直接子公式的状态都已标记了，现在来标记 $\psi$ ，标记算法如下：
- $\perp$ ：没有状态用 $\perp$ 标记
- $p$ ：若 $p \in L(s)$ ，则状态 $s$ 标记 $p$
- $\psi \wedge \psi$ ：若 $s$ 已标记了 $\psi_1$ 和 $\psi_2$ ，则 $s$ 标记 $\psi \wedge \psi$
- $\neg \psi_1$ ：若 $s$ 没有标记 $\psi_1$ ，则 $s$ 标记 $\neg \psi_1$
- $AF \psi_1$ ：
  - 若状态 $s$ 标记了 $\psi_1$ ，则状态 $s$ 标记 $AF \psi_1$
  - 若状态 $s$ 的所有后继都标记了 $AF \psi_1$ ，则状态 $s$ 标记 $AF \psi_1$ ，直到不再发生变化
- $E[\psi_1 U \psi_2]$ ：
  - 若状态 $s$ 标记了 $\psi_2$ ，则状态 $s$ 标记 $E[\psi_1 U \psi_2]$
  - 若状态 $s$ 标记了 $\psi_1$ 且 $s$ 有一个后继标记了 $E[\psi_1 U \psi_2]$ ，则状态 $s$ 标记 $E[\psi_1 U \psi_2]$ ，直到不再发生变化
- $EX \psi_1$ ：若状态 $s$ 的一个后继标记了 $\psi_1$ ，则状态 $s$ 标记 $EX \psi_1$

不动点

单调函数：设 $S$ 是一状态集， $2^S$ 是S的幂集， $F:2^S \to 2^S$ 是一函数
- 称 $F$ 是单调函数，若 $\forall X,Y \in 2^S$ ，当 $X \subseteq Y$ 时，有 $F(X) \subseteq F(Y)$
- $S$ 的子集 $X$ 称为 $F$ 的不动点，即 $F(X) = X$
符号 $F^i (X)$ 表示函数 $F$ 作用在集合 $X$ 上 $i$ 次，即 $F(X)= \left\{\begin{matrix} & X,&i=0 \\ & F(F^{i-1}(X)),&i\geq 1 \end{matrix}\right.$
Knaster-Tarski不动点定理：设 $S$ 是含有 $n+1$ 个元素的集合， $F：2^S \to 2^S$ 是单调函数，则 $F^{n+1}(\phi)$ 是 $F$ 的最小不动点， $F^{n+1}(S)$ 是 $F$ 的最大不动点
范例：设 $Y \in 2^S,s_0 \in S$ ，定义 $F(Y) = Y \cup \{s_0\}$ ，则 $F$ 是 $2^S$ 上的单调函数，且对于任一 $Y \subseteq S$ 都有 $F(Y)$ 是 $F$ 的不动点。最小不动点是 $\{s_0\}$ ，最大不动点是 $S$ 。
定义：给定模型 $\mathcal{M} =(S,\to,L)$ ，设 $Y \subseteq S$ 。定义：
- $pre_\exists (Y) = \{s \in S | 存在s' \in S，使得s \to s'且s' \in Y \}$ ，即若 $s$ 有一个后继在 $Y$ 中，则 $s$ 在 $pre_\exists (Y)$ 中。
- $pre_\forall (Y) = \{s \in S | 对于所有 s' \in S，若s \to s'则s' \in Y \}$ ，即若 $s$ 所有后继都在 $Y$ 中，则 $s$ 在 $pre_\forall(Y)$ 中。
$pre$ 表示沿迁移关系向后移动
$SAT_{AF}$ 定理：
- 设 $\phi$ 是一个CTL公式， $\mathcal{M} =(S,\to,L)$ 是一个模型，其中， $S$ 是含有 $n+1$ 个状态的集合。
- 定义函数 $F:2^S \to2^S$ 为 $F(X)=SAT(\phi) \cup pre_\forall (X),\forall X \in 2^S$ 则 $SAT_{AF}(\phi)=F^{n+1}(\phi)$ ，即 $SAT_{AF}(\phi)$ 是 $F$ 的最小不动点。
$SAT_{EU}$ 定理：
- 设 $\phi,\psi$ 是CTL公式， $\mathcal{M} =(S,\to,L)$ 是一个模型，其中， $S$ 是含有 $n+1$ 个状态的集合。
- 定义函数 $G:2^S \to2^S$ 为 $G(X)=SAT(\psi) \cup SAT((\phi) \cap pre_\exists(X)),\forall X \in 2^S$ 则 $SAT_{EU}(\phi,\psi)=G^{n+1}(\phi)$ ，即 $SAT_{EU}(\phi,\psi)$ 是 $G$ 的最小不动点。
$SAT_{EG}$ 定理：
- 设 $\phi$ 是CTL公式， $\mathcal{M} =(S,\to,L)$ 是一个模型，其中， $S$ 是含有 $n+1$ 个状态的集合。
- 定义函数 $F:2^S \to2^S$ 为 $F(X)=SAT(\phi) \cap pre_\exists (X),\forall X \in 2^S$ 则 $SAT_{EG}(\phi)=F^{n+1}(\phi)$ ，即 $SAT_{EG}(\phi)$ 是 $F$ 的最大不动点。

CTL模型检测算法的伪代码

基本标记算法的伪代码：
- 函数 $SAT$ ：将CTL公式作为输入并返回满足该公式的状态集合。 $\begin{aligned} &function \ SAT(\phi)&\quad\quad\quad\quad\quad\quad& \\ &begin \\ &\quad \ case \\ &\quad\quad \ \phi \ is \ \top:return \ S \\ &\quad\quad \ \phi \ is \ \top:return \ \phi \\ &\quad\quad \ \phi \ is \ automic:return \ \phi \\ &\quad\quad \ \phi \ is \ \neg \phi_1:return \ S - SAT(\phi_1)\\ &\quad\quad \ \phi \ is \ \phi_1 \wedge \phi_2:return \ SAT(\phi_1) \cap SAT(\phi_2)\\ &\quad\quad \ \phi \ is \ \phi_1 \vee \phi_2:return \ SAT(\phi_1) \cup SAT(\phi_2)\\ &\quad\quad \ \phi \ is \ \phi_1 \to \phi_2:return \ SAT(\neg \phi_1 \vee \phi_2)\\ &\quad\quad \ \phi \ is \ AX \phi_1 :return \ SAT(\neg EX \neg \phi_1)\\ &\quad\quad \ \phi \ is \ EX \phi_1 :return \ SAT_{EX}\\ &\quad\quad \ \phi \ is \ A[\phi_1 U \phi_2] :return \ SAT(\neg E[\neg \phi_2 U (\neg \phi_1 \wedge \neg \phi_2)] \vee EG \neg \phi_2)\\ &\quad\quad \ \phi \ is \ E[\phi_1 U \phi_2] :return \ SAT_{EU}(\phi_1,\phi_2) \\ &\quad\quad \ \phi \ is \ EF(\phi_1) :return \ SAT(E(\top \cup \phi_1)) \\ &\quad\quad \ \phi \ is \ EG(\phi_1) :return \ SAT(\neg AF \neg \phi_1) \\ &\quad\quad \ \phi \ is \ AF(\phi_1) :return \ SAT_{AF}(\phi_1) \\ &\quad\quad \ \phi \ is \ AG(\phi_1) :return \ SAT(\neg EF\neg \phi_1) \\ &\quad \ end \ case \\ &end \ function\ \\ \end{aligned}$
- 函数 $SAT_{EX}$ ：它通过调用 $SAT$ 计算满足 $\phi$ 的状态，然后，它沿着 $\to$ 向后寻找满足 $EX \phi$ 的状态。 $\begin{aligned} &function \ SAT_{EX}(\phi) \\ &local \ var \ X,Y\\ &begin \\ &\quad\quad X:=SAT(\phi); \\ &\quad\quad Y:=pre_E(X); \\ &\quad\quad return \ Y \\ &end \\ \end{aligned}$
- 函数 $SAT_{AF}$ ：它通过调用 $SAT$ 计算满足 $\phi$ 的状态，然后，按照标记算法中所描述的方式将满足 $AF \phi$ 的状态累计在一起。 $\begin{aligned} &function \ SAT_{AF}(\phi) \\ &local \ var X,Y \\ &begin \\ &\quad\quad X:=S; \\ &\quad\quad Y:=SAT(\phi); \\ &\quad\quad repeat \ until X = Y; \\ &\quad\quad begin \\ &\quad\quad\quad X:=Y; \\ &\quad\quad\quad Y:=Y \cup pre_\forall (Y); \\ &\quad\quad end \\ &\quad\quad return \ Y\\ &end \\ \end{aligned}$
- 函数 $SAT_{EU}$ ：通过调用 $SAT$ 计算满足 $\phi$ 的状态，然后按照计算中所描述的方式将满足 $E[\phi U\psi]$ 的状态累计在一起。 $\begin{aligned} &function \ SAT_{EU}(\phi,\psi) \\ &local \ var W,X,Y \\ &begin \\ &\quad\quad W:=SAT(\phi); \\ &\quad\quad X:=S; \\ &\quad\quad Y:=SAT(\psi); \\ &\quad\quad repeat \ until \ X = Y; \\ &\quad\quad begin \\ &\quad\quad\quad X:=Y; \\ &\quad\quad\quad Y:=Y \cup pre_\exists(Y); \\ &\quad\quad end \\ &\quad\quad return \ Y\\ &end \\ \end{aligned}$
伪代码解释：
- 主函数名称为 $SAT$ ，（单词satisfy的前三个字母大写），主函数将CTL公式作为输入
- 用 $return$ 来返回函数结果
- $local \ var$ 来声明局部变量
- $S-Y$ 表示不在 $Y$ 中的所有 $s \in S$ 的集合

状态爆炸问题

原因：尽管标记算法关于模型的规模为线性的，但因为规模本身通常关于变量个数以及并行执行的系统组件的数目是指数的，导致程序中增加一个布尔变量，性质验证的复杂度会加倍。
定义：使状态空间变得非常大的趋势称为状态爆炸问题。
解决方法：有效的数据结构，又称为有序二元决策图，它表示状态集合而不是单个状态，SMV就是有序二元决策图。除此之外，还有很多其他的解决办法。

【面向计算机的数理逻辑/软件理论基础笔记】面向CTL的模型检测

模型检测

标记算法

不动点

CTL模型检测算法的伪代码

状态爆炸问题