通过例子学TLA+(二) -- DieHard

最新推荐文章于 2024-05-14 23:13:17 发布
最新推荐文章于 2024-05-14 23:13:17 发布
阅读量560 收藏 2
点赞数
分类专栏: TLA+ 文章标签: 开发语言 TLA+ 形式化验证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adwen2009/article/details/122487519
版权

第二个例子DieHard

这是一个倒水的例子,初始一个3升容量的桶,一个5升容量的桶,水不限,如何倒出一个容量刚好是4升的水。在一部老电影DieHard中主角就面临这个问题,这里就将module名命名为DieHard。

如果要倒出一个4升容量的水,那这4升水最后一定在5升的桶里。具体实现方式不止一种,这里举一个例子说明倒水的过程:假设5升桶为big,3升桶为small

1、装满small桶,将small水倒入big桶中:此时small为0,big为3

2、装满small桶,将small水倒入big桶中:此时small为1,big为5

3、将big桶倒掉,big=0,将small桶中水倒入big桶,此时,small=0,big=1

4、装满small桶,将small桶中水倒入big桶,此时,small=0,big=4。 big桶中就有了4升水。

TLA+实现过程

假设small表示3升桶,big表示5升桶,初始化桶中无水,即都等于0。

VARIABLES big , small
Init == big = 0 /\ small = 0
TypeOK == small \in 0..3 /\ big \in 0..5  \* 这是一个检查项,用TypeOK检查small与big的值是否正确

将上述倒水的过程进行拆解,可能的操作为:

1、装满small桶,big桶不变

FillSmallJug == small' = 3 /\ big' = big  
\* 这里用 small',big'表示变更后的状态,=左边不能使用small,big这样的原变量

2、装满big桶,small桶不变

FillBigJug ==  big' = 5  /\ small' = small  \* 逻辑同上

3、将small桶中水倒掉

EmptySmallJug == small' = 0 /\ big' = big  \* 逻辑同上

4、将big桶中水倒掉

EmptyBigJug == big' = 0 /\ small' = small  \* 逻辑同上

5、将small桶中水倒入big桶中

Min(m,n) == IF m < n THEN m ELSE n  \* 定义一个取小函数

SmallToBig ==  big' = Min(big + small, 5) /\ small' = small - (big' - big)
\* small桶倒入big桶时,有可能溢出,因此需要判断一下
\* 对于big桶,if small+big < 5,THEN big' = big + small ELSE 5
\* 对于small桶,剩余水为减去倒入到big桶的量(big'-big),即 small' = small - (big'-big)

6、将big桶中水倒入small桶中

BigToSmall == small' = Min(big + small, 3) /\ big'   = big - (small' - small) \* 逻辑同上

上述6种操作覆盖了所有的可行操作,其他的如倒水的时候即没倒满也没倒完这样的情况是无法达到目标的,因此不需要考虑。因此基于初始化状态,可行的动作就是上述6中操作中的一种。

上述代码汇总如下:

------------------------------ MODULE DieHard ------------------------------- 
EXTENDS Naturals    \* 这里使用Integers Module替代 Naturals Module也是可以的

VARIABLES big, small  

Init == big = 0 /\ small = 0

TypeOK == small \in 0..3 /\ big \in 0..5  \* 这是一个检查项,用TypeOK检查small与big的值是否正确
\* 需要将TypeOK添加到model的Invariants中来实现TLC的自动检查
\* 删除TypeOK不会对此Module有影响

FillSmallJug == small' = 3 /\ big' = big  
\* 这里用 small',big'表示变更后的状态,=左边不能使用small,big这样的原变量

FillBigJug ==  big' = 5  /\ small' = small  \* 逻辑同上

EmptySmallJug == small' = 0 /\ big' = big  \* 逻辑同上

EmptyBigJug == big' = 0 /\ small' = small  \* 逻辑同上

Min(m,n) == IF m < n THEN m ELSE n  \* 定义一个取小函数

SmallToBig ==  big' = Min(big + small, 5) /\ small' = small - (big' - big)
\* small桶倒入big桶时,有可能溢出,因此需要判断一下
\* 对于big桶,if small+big < 5,THEN big' = big + small ELSE 5
\* 对于small桶,剩余水为减去倒入到big桶的量(big'-big),即 small' = small - (big'-big)

BigToSmall == small' = Min(big + small, 3) /\ big'   = big - (small' - small) \* 逻辑同上
        
Next ==  \/ FillSmallJug 
         \/ FillBigJug    
         \/ EmptySmallJug 
         \/ EmptyBigJug    
         \/ SmallToBig    
         \/ BigToSmall    
    
==================================================================

检查与运行

新建一个model,在Init处输入Init,在Next处输入Next

在Invariants处增加TypeOK 和 big # 4。 如果上述TLA+代码中删除了TypeOK,这里就不用添加TypeOK的检查。

添加big # 4是为了将状态转换过程 通过 Error-trace打印出来:基于初始状态Init,经过多次Next的状态变化,当出现big == 4 时将会停机,并将从Init状态出发到big == 4时的过程打印出来。
在这里插入图片描述
点击运行,可以看到Error-trace的状态变化过程。
在这里插入图片描述
经过多次运行,会出现Error-trace跟上面图中不一样的情况,那是另外一种实现方法。

刘小京
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLA+的
Maybe_do_it的博客
10-27 1096
简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性 小example: 问题:您正在为银行编写软件。你有 Alice 和 Bob 作为客户,每个人的账户里都有一定数量的钱。Alice想寄一些钱给Bob。你如何建模?假设您只关心他们的银行账户 --- MODULE transfer ---- EXTENDS Naturals, TLC (* --algorithm transfer variables alice_acc
Learn-TLA-cn:[WIP]TLA+教程中文翻译
04-30
TLA+教程中文翻译(待完成)原作:作者:译者:Gitbook地址: (需要科上网)阅读方式: 或者直接下载写在前面TLA+属于比较小众的领域,其中的资料更是少之又少。在经过原作者的允许下,翻译这本TLA+的教程供大家入门。这本...
TLA+ 术语解释及中文翻译
01-07
state 状态 A state is an assignment of values to variables. 一个状态就是一组为变量赋值的操作。 state function 状态函数 A state function is an ordinary [removed]one with no ′’′ or □\square□) that can contain variables and constants. 一个状态函数就是一个普通的表达式,包含变量和常量,但不包含 ′’′ 和 □\square□操作符. state predicate 状态谓词 A state predica
DrTLAPlus:TLA +系列博士-习算法和协议,研究规范
02-02
DrTLAPlus:TLA +系列博士-习算法和协议,研究规范
vscode-tlaplus:TLA +语言对Visual Studio Code的支持
04-29
TLA + for Visual Studio代码 此扩展为VS Code添加了对支持。 它还支持在TLA +规范上运行TLC模型检查器。 特征 TLA +和PlusCal语法突出显示和代码段。 运行PlusCal-to-TLA +转换器和模块解析器。 在TLA +规范上运行TLC模型检查器。 模型检查过程和结果可视化。 评估常量表达式。 将TLA +规范转换为LaTeX和PDF文档。 代码完成。 代码按类型格式化。 由提供支持。 文献资料 提供有关如何安装,配置和使用扩展的信息。 故障排除 贡献 我们欢迎所有形式的捐助! 随时提交错误,提出改进建议,提出问题,发送其他反馈。 如果您决定参与并编写一些代码,则本文档将为您提供有用的信息: CONTRIBUTING.md 。 TLA +资源 如果您不熟悉TLA + ,但想了解它,那么下面的资源清单是一个很好的起点:
tla-rust:在TLA +的协助下,在Rust中编写正确的无锁和分布式状态系统
02-05
tla-rust:在TLA +的协助下,在Rust中编写正确的无锁和分布式状态系统
365. 水壶问题
qq_45564691的博客
10-27 371
有两个容量分别为 x升 和 y升 的水壶以及无限多的水。请判断能否通过使用这两个水壶,从而可以得到恰好 z升 的水? 如果可以,最后请用以上水壶中的一或两个来盛放取得的 z升 水。 你允许: 装满任意一个水壶 清空任意一个水壶 从一个水壶向另外一个水壶倒水,直到装满或者倒空 示例 1: (From the famous "Die Hard" example) 输入: x = 3, y = 5...
Die Hard Problem(水壶问题)--算法中的数思想
ATFWUS的博客
03-21 2640
0x01.问题 难度中等89收藏分享切换为英文关注反馈有两个容量分别为 x升 和 y升 的水壶以及无限多的水。请判断能否通过使用这两个水壶,从而可以得到恰好 z升 的水? 如果可以,最后请用以上水壶中的一或两个来盛放取得的 z升 水。 你允许: 1-装满任意一个水壶 2-清空任意一个水壶 3-从一个水壶向另外一个水壶倒水,直到装满或者倒空 C++函数形式为 bool canMeasure...
通过例子TLA+(一)-- HourClock
adwen2009的博客
01-13 1086
前言 刚接触TLA+,将习过程中的理解整理记录下来,用于加深理解和备忘。有对TLA+感兴趣的可以私信我,一起习。 TLA+简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性。它可以用来对几乎任何形式的离散系统进行精确的、正式的描述,特别适合于描述异步系统。 TLA+提供了一个工具用来编写TLA+,同时提供了语法检查,参数设置,程序运行等功能,该工具就是TLA+ Toolbox,下载路径为:https://github
通过例子TLA+(五)--FIFO & Sequences
adwen2009的博客
01-20 749
FIFO 本例子是一个先进先出FIFO的Buffer。Sender向Buff发送数据,Buffer接收数据存储在Sequence中,然后,Buffer将Sequence中第一个数据取出发送给Receiver。可以理解为上一例子的复杂应用。 TLA+提供了 Sequences module可以直接使用,该module提供了 Append,Tail,Head,Len 等常见接口。 \* module使用之前要先Extend EXTENDS Sequences \* 初始化一个seq VARIABLE q q
通过例子TLA+(十一)--命题逻辑与实例
adwen2009的博客
02-13 674
命题逻辑与实例 逻辑符在之前的例子中已经用过了,主要是 \A ,\E, => 等符号。 \E E是"exists"的首字母,意思是存在。当写下 \E x \in S : P(x) 意味着在S中至少存在一个x使得P为真。采用\E 开头的表达式返回值是布尔类型。 \E x \in {1,2} : x > 0 为 true \E x \in {} : x > 0 为 false \E 是存在一个满足条件的元素的意思,~\E 则是不存在满足条件的元素 \A A的"All"的首字母,当
PlusCal-Examples:兰波特 TLA+ 的算法语言 PlusCal 中的算法示例
06-12
这些是用 PlusCal 编写的算法示例,PlusCal 是 Leslie Lamport 的 TLA+ 算法规范系统的算法语言。 这些文件是在 TLA+ 工具箱中创建的,因此大多数文件都是在工具箱中运行和使用 TLC 算法验证检查器的支持文件。 ...
两个水壶相互倒水—水壶问题
程序萌部落
04-27 3295
点击此处快速跳到程序部分 水壶问题有两个容量分别为 x升 和 y升 的水壶以及无限多的水。请判断能否通过使用这两个水壶,从而可以得到恰好 z升 的水?如果可以,最后请用以上水壶中的一或两个来盛放取得的 z升 水。 你允许:装满任意一个水壶清空任意一个水壶从一个水壶向另外一个水壶倒水,直到装满或者倒空 示例1: (From the famous "D...
杯子倒水
PasserbyX的专栏
12-05 942
导读:   http://acm.pku.edu.cn/JudgeOnline/problem?id=1606   /**   *  *   * Jugs   * In the movie "Die Hard 3", Bruce Willis and Samuel L. Jackson were   * confronted with the following puzzle. They
洛谷P1432 倒水问题(CODEVS.1226)
weixin_30478619的博客
05-22 206
To 洛谷.1432 倒水问题 题目背景 In the movie "Die Hard 3", Bruce Willis and Samuel L. Jackson were confronted with the following puzzle. They were given a 3-gallon jug and a 5-gallon jug and were asked to fill...
形式化之模型检测TLA+实践一
wabcic的博客
08-08 286
结合最大公约数算法,介绍了TLA+语言在Vscode工具和TLA+ Toolbox工具的使用方法
TLA+是什么
软件工程小施同学 的专栏
04-08 1328
对于一套系统的设计,通常我都是想好了,然后直接捋起袖子写代码了。 写完了,在开始加很多 test 来保证它的正确性。 但其实,我并不能保证设计是完全正确的。也就是说,我的实现满足了该系统的需求,但也有可能在一些 corner case 上面并没有考虑周全。 同时, 虽然后面可以写很多 test,但并不一定能 cover 到所有的分支。 所以,为了更好的确保设计的正确性,我们需要使用 TLA+ 或者其他类似的工具。 TLA+ 是一门形式规格说明语言(formal specification l.
用精确的数语言防止设计 Bug,Linux 基金会重磅推出 TLA+ 基金会!
CSDN资讯
04-24 2885
整理 | 陈静琳 责编 |屠敏出品 | CSDN(ID:CSDNnews)2023 年 4 月 21 日,非营利性组织Linux基金会于宣布成立 TLA+ 基金会,其中创始成员包括亚马逊、甲骨文和微软。与此之前,该组织通过开源实现大规模创新,现成立 TLA+ 基金会以促进 TLA+ 编程语言的采用及社区的发展。TLA+ 是几十年前由计算机科的开拓者 Leslie Lamport(现为...
从需求角度介绍PasteSpider(K8S平替部署工具适合于任何开发语言)
最新发布
05-14 1100
Kubernetes的强大毋庸置疑,但是你有问自己这么个大杀器真的适合你么?这里推荐一款更加小巧的容器部署工具,集报表,发布,环境,通知于一身的PasteSpider! 支持git/svn发布,支持平滑升级,支持环境隔离,支持用户隔离,支持运行变量设定等,关键易上手!
ma tla矩阵最左侧输出代码
06-13
在 MATLAB 中,可以使用 `disp()` 函数打印矩阵或向量的内容。如果想在输出时将矩阵或向量的最左侧对齐,可以使用 `fprintf()` 函数。 以下是一个示例代码,可以将矩阵的最左侧对齐输出: ```matlab A = [1 2 3; 4 5 6; 7 8 9]; % 示例矩阵 [nrows, ncols] = size(A); % 获取矩阵的行数和列数 for i = 1:nrows for j = 1:ncols fprintf('%-5d', A(i,j)); % 输出矩阵元素并左对齐 end fprintf('\n'); % 换行 end ``` 其中,`%-5d` 表示输出一个整数并左对齐,占用 5 个字符的宽度。可以根据需要调整宽度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值