通过例子学TLA+(一)-- HourClock

最新推荐文章于 2024-05-19 17:47:57 发布
最新推荐文章于 2024-05-19 17:47:57 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: TLA+ 文章标签: 形式化验证 TLA+
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adwen2009/article/details/122467954
版权

前言

刚接触TLA+,将学习过程中的理解整理记录下来,用于加深理解和备忘。有对TLA+感兴趣的可以私信我,一起学习。

TLA+简介

TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性。它可以用来对几乎任何形式的离散系统进行精确的、正式的描述,特别适合于描述异步系统。

TLA+提供了一个工具用来编写TLA+,同时提供了语法检查,参数设置,程序运行等功能,该工具就是TLA+ Toolbox,下载路径为:https://github.com/tlaplus/tlaplus/releases/latest

第一个例子:时钟

先从一个非常简单的时钟例子着手。先忽略时钟表示与实际时间的关系,一个时钟将表示为从1到12的周期性运动,即时钟的状态变化为【hour=1】=> 【hour=2】=>【hour=3】… =>【hour=12】=>【hour=1】。因此可以理解为时钟的状态总共有12个,即从1到12,其变化趋势是,当hour小于12时,下一个状态为hour+1,当hour等于12时,下一个状态为1。

用TLA+表示出来,代码如下:

----------------------------- MODULE HourClock -----------------------------
EXTENDS Naturals   

VARIABLES hr

HCini == hr \in (1 .. 12)   \* .. defined in Naturals

HCnxt == hr' = IF hr # 12 THEN hr + 1 ELSE 1

HC == HCini /\ [][HCnxt]_hr

THEOREM HC => []HCini

=============================================================================

可以打开TLA+ Toolbox将上述代码粘贴进去运行。具体步骤如下:

File -> Open Spec -> Add New Spec -> 选择Root-module file路径并输入文件名HourClock -> finish

时钟TLA+解析

上述例子中,

----------------------------- MODULE HourClock -----------------------------

表示module的起始,其中HourClock是module名称,module名与文件名相同。任何module的起始都是同样的开始与结尾。结尾是最后一行采用 ====== 表示。

在TLA+中,注释一般 使用 \* 来表示

EXTENDS Naturals  \* 涉及到数学运算的都会用到Naturals (TLA+内置module)
                  \* EXTENDS 是关键字,相当于其他语言中的import, include

VARIABLES hr      \* 定义一个变量hr,用来表示时钟的当前值

HCini == hr \in (1 .. 12)   \* 定义HCini为程序的初始状态,其中初始状态为hr,值的范围是1到12,
							\* (1 .. 12) 中的 .. 在Naturals module 中定义							                    \* 如果没有 EXTENDS Naturals,此处将报错,找不到..的定义
							\* == 表示等价的意思


HCnxt == hr' = IF hr # 12 THEN hr + 1 ELSE 1  
\* 用HCnxt表示时钟的下一状态,下一状态hr'为如果hr 不等于 12,这 hr'= hr+1 ,否则 hr'=1
\* 在TLA+中用 # 表示不等于,写成 /= 也是可以的
\* IF,THEN,ELSE跟其他语言中的意义相同
\* + 也是在 Naturals module中定义的

\* 代码至此已经定义了时钟的初始状态和基于初始状态的下一状态动作,实际上已经可以运行了。

Check & Run

在Spec Explorer 右键models,选择new model,输入model名称,点击OK,会出现Model Overview页面和TLC Errors页面,TLC Errors check 提示 No error information。

在What is the behavior spec 选项卡中 init 输入 HCini, Next 输入HCnxt。
在这里插入图片描述

然后点击左上角的运行按钮。运行完成后,可以在Model Checking Results页面看到Statistics中 HCnxt 的StatesFound是12,从数量上看是正确的。
在这里插入图片描述

但是目前的问题是,HCnxt的状态数量是正确的,但不代表状态值是正确的。因此需要增加不可变检查,在Model Overview 页面的 What to check -》 Invariants 中增加HCini,用来进行不可变检查。
在这里插入图片描述

然后点击左上角的run,运行后没有产生任何错误提示,即意味着状态都是正确的。

为了展示错误状态是如何呈现的,将代码中HCnxt 修改为以下代码:

HCnxt == hr' = IF hr # 12 THEN hr + 1 ELSE 0

即,当hr为12时,hr’的变更为0,这就超出了正确的时钟应该表示的值{1 … 12}。重新运行,会看到TLC Errors错误提示,在Error-trace中还能追踪到是当hr为12时出的错误。
在这里插入图片描述

遗留问题

代码中还遗留了以下两行代码,从上述的运行情况来看,注释掉以下两行代码对程序的检查和运行都没有影响。

HC == HCini /\ [][HCnxt]_hr

THEOREM HC => []HCini

因此,以上两行代码的真实作用目前还不清楚。后面搞清楚后再来补充。但从代码描述上看,HC是一个时序表达式,可以添加到Properties选项卡中进行检查,从运行情况看,没有看出来添加或者不添加的区别。

刘小京
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLA+的
Maybe_do_it的博客
10-27 1135
简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性 小example: 问题:您正在为银行编写软件。你有 Alice 和 Bob 作为客户,每个人的账户里都有一定数量的钱。Alice想寄一些钱给Bob。你如何建模?假设您只关心他们的银行账户 --- MODULE transfer ---- EXTENDS Naturals, TLC (* --algorithm transfer variables alice_acc
TLA习笔记.docx
03-01
本人TLA+时收集整理的资料
通过例子TLA+(十一)--命题逻辑与实例
adwen2009的博客
02-13 696
命题逻辑与实例 逻辑符在之前的例子中已经用过了,主要是 \A ,\E, => 等符号。 \E E是"exists"的首字母,意思是存在。当写下 \E x \in S : P(x) 意味着在S中至少存在一个x使得P为真。采用\E 开头的表达式返回值是布尔类型。 \E x \in {1,2} : x > 0 为 true \E x \in {} : x > 0 为 false \E 是存在一个满足条件的元素的意思,~\E 则是不存在满足条件的元素 \A A的"All"的首字母,当
探索TLA+ Examples:形式化验证的实践宝库
gitblog_00054的博客
04-09 402
探索TLA+ Examples:形式化验证的实践宝库 项目地址:https://gitcode.com/tlaplus/Examples 在软件工程领域,确保系统的正确性和可靠性至关重要。为此,我们引入了一个宝贵的资源库——TLA+ Examples,这是一个基于TLA+(Temporal Logic of Actions)的形式化验证工具集的实例集合。通过本篇文章,我们将深入探讨这个项目的精髓、...
TLA+:将简单C程序转换为TLA+程序
最新发布
girl_is_on_tiptoe的博客
05-19 635
将简单C程序转换为TLA+程序
TLA+是什么
软件工程小施同学 的专栏
04-08 1373
对于一套系统的设计,通常我都是想好了,然后直接捋起袖子写代码了。 写完了,在开始加很多 test 来保证它的正确性。 但其实,我并不能保证设计是完全正确的。也就是说,我的实现满足了该系统的需求,但也有可能在一些 corner case 上面并没有考虑周全。 同时, 虽然后面可以写很多 test,但并不一定能 cover 到所有的分支。 所以,为了更好的确保设计的正确性,我们需要使用 TLA+ 或者其他类似的工具。 TLA+ 是一门形式规格说明语言(formal specification l.
通过例子TLA+(五)--FIFO & Sequences
adwen2009的博客
01-20 763
FIFO 本例子是一个先进先出FIFO的Buffer。Sender向Buff发送数据,Buffer接收数据存储在Sequence中,然后,Buffer将Sequence中第一个数据取出发送给Receiver。可以理解为上一例子的复杂应用。 TLA+提供了 Sequences module可以直接使用,该module提供了 Append,Tail,Head,Len 等常见接口。 \* module使用之前要先Extend EXTENDS Sequences \* 初始化一个seq VARIABLE q q
【技术分享】如何用 TLA+ 思维为分布式算法建模
涛思数据
05-24 304
对于开发过分布式系统的朋友们,相信大家都遇到过这种场景:系统开发完成后,通过了所有的测试用例,于是我们信心满满地将系统上线。可是线上系统跑着跑着,不知哪一天突然莫名其妙地出现了一些 bug。当我们打开日志,打开 gdb,准备追踪定位这些问题时,它们又无法复现了。可如果放任不管,不知什么时候,它们又会诡异的冒出来了。这种 bug 非常棘手,甚至让开发者很崩溃。这个问题本质上...
通过例子TLA+(十二)-- 函数与实例
adwen2009的博客
02-13 481
函数和实例 函数 TLA+中除了 数字,字符串,布尔值,模型值 4种基本类型外,还有两种复杂类型,分别为集合和函数。函数构成了所有实用复杂类型的基础。 函数的形式看起来跟之前介绍过的操作符是一样的。函数定义的两种方式: Function == [s \in S |-> foo] \* 这里foo可以是任何方程式。注意这里用的是|->,不是: Function[s \in S] == foo 在函数定义中可以使用无限集合,如 Doubles == [n \in Nat |-> 2*n
TLA+习资料整理
qq_28258903的博客
07-06 2484
Github官方库 Raft TLA+形式化验证 lamport老爷子的官方视频入门教程 TLA+Proof:TLAPS: A TLA+ Proof System 冯遵宝知乎TLA+教程 TLA+官网 siddontang简书TLA+习笔记 离散数百度文库 推荐两本参考书籍Specifying Systems 当然还有IDE工具了啦 接下来会持续更新。。。 ...
vscode-tlaplus:TLA +语言对Visual Studio Code的支持
04-29
TLA + for Visual Studio代码 此扩展为VS Code添加了对支持。 它还支持在TLA +规范上运行TLC模型检查器。 特征 TLA +和PlusCal语法突出显示...如果您不熟悉TLA + ,但想了解它,那么下面的资源清单是一个很好的起点:
PlusCal-Examples:兰波特 TLA+ 的算法语言 PlusCal 中的算法示例
06-12
概述 这些是用 PlusCal 编写的算法示例,PlusCal 是 Leslie Lamport 的 TLA+ 算法规范系统的算法语言。 这些文件是在 TLA+ 工具箱中创建的,因此大多数文件都是在工具箱中运行和使用 TLC 算法验证检查器的支持文件。 用于审核的重要(非自动生成)文件是以.tla结尾的.tla ,例如Euclid/Euclid.tlaHourClock/HourClock.tla 。 我已经写了\* BEGIN TRANSLATION行上方的部分,PlusCal 代码位于(*和*)注释标记之间,从--algorithm XXX指示器开始。
TLA+ 术语解释及中文翻译
01-07
state 状态 A state is an assignment of values to variables. 一个状态就是一组为变量赋值的操作。 state function 状态函数 A state function is an ordinary [removed]one with no ′’′ or □\square□) that can contain variables and constants. 一个状态函数就是一个普通的表达式,包含变量和常量,但不包含 ′’′ 和 □\square□操作符. state predicate 状态谓词 A state predica
tlaplus:TLC是使用TLA +编写的规范的显式状态模型检查器。 TLA +工具箱是TLA +的IDE
02-03
有关更多信息,请访问 贡献 在开始进行之前,请阅读我们的。 我们还有一个。 执照 版权所有(c)199?-2003 HP Corporation 版权所有(c)2003-2020 Microsoft Corporation 根据
tla-rust:在TLA +的协助下,在Rust中编写正确的无锁和分布式状态系统
02-05
TLA+(Temporal Logic of Actions,动作时态逻辑)是Leslie Lamport开发的一种形式化方法,用于描述和验证并发系统的行为。它提供了一种强大的语言,能够精确地表述系统的规格,并借助模型检查工具进行验证,确保...
DrTLAPlus:TLA +系列博士-习算法和协议,研究规范
02-02
TLA+(Temporal Logic of Actions,动作的时态逻辑)是由计算机科家Leslie Lamport发明的一种形式化方法,用于设计、验证和分析复杂的系统,特别是并发和分布式系统。这个名为“DrTLAPlus”的项目,显然专注于利用...
Learn-TLA-cn:[WIP]TLA+教程中文翻译
04-30
TLA+教程中文翻译(待完成)原作:作者:译者:Gitbook地址: (需要科上网)阅读方式: 或者直接下载写在前面TLA+属于比较小众的领域,其中的资料更是少之又少。在经过原作者的允许下,翻译这本TLA+的教程供大家入门。这本...
通过例子TLA+(十三)--多进程与await
adwen2009的博客
02-15 525
多进程 之前使用的例子都是单进程的,现在用多进程来描述多个逻辑同时发生,TLA+中的多进程可以理解为其他高级语言中的多线程。为了方便理解,使用Pluscal语言来描述,TLA+ Toolbox可以将pluscal语言转化为TLA+,基本格式如下: ---- MODULE module_name ---- \* TLA+ code (* --algorithm algorithm_name \* 固定格式,algorithm_name根据需要填写 variables global_variables
通过例子TLA+(十)--集合
adwen2009的博客
02-11 523
集合 集合用大括号来表示,如{1,2},对于连续的数字集合有种特殊的表示方式,如 1…3 表示集合{1,2,3} 下表是集合的常见操作 Operator example 备注 \in 1 \in {1,2} 为true 1\in {{1},2}为false 在集合为true,不在为false \notin 1 \notin {} 为true {1} \notin {{1}}为false 与\in相反 \subseteq {1,2} \subseteq {1,2,3} 是子集为tru
TLA+规格说明:硬件与软件工程师的语言与工具
本书详细阐述了规格说明的重要性和方法,特别是通过使用TLA+(Temporal Logic of Actions,行为时态逻辑)这一形式化方法。TLA+是一种强大的工具,它允许工程师精确地定义和验证复杂系统的行为,无论是硬件设计还是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值