通过例子学TLA+(五)--FIFO & Sequences

已于 2022-01-21 10:59:08 修改
阅读量749 收藏
点赞数
分类专栏: TLA+ 文章标签: TLA+ 形式化验证
于 2022-01-20 17:36:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adwen2009/article/details/122597589
版权

FIFO

本例子是一个先进先出FIFO的Buffer。Sender向Buff发送数据,Buffer接收数据存储在Sequence中,然后,Buffer将Sequence中第一个数据取出发送给Receiver。可以理解为上一例子的复杂应用。
在这里插入图片描述
TLA+提供了 Sequences module可以直接使用,该module提供了 Append,Tail,Head,Len 等常见接口。

\* module使用之前要先Extend
EXTENDS Sequences

\* 初始化一个seq
VARIABLE q
q = <<>>  \* q为空sequence

Seq(S) \* 集合S中所有元素序列的集合,例如<<3,7>>是Seq(<<3,7,9>>)的一个元素
Head(s) \* 取sequence s中的第一个元素,例如Head(<<3,7>>)等于3
Tail(s)  \* 取sequence s中的最后一个元素,例如Tail(<<3,7>>)等于7
Append(s,e) \* 将元素e添加到sequence s的最后,例如Append(<<3,7>>,9) 等于 <<3,7,9>>
s \o t    \* 连接两个sequence,例如<<3,7>> \o <<5,9>> 等于 <<3,7,5,9>>
Len(s) \* 返回sequence s的长度,例如 Len(<<3.7>>) 等于2

TLA+实现过程

本例子可以理解为上一例子Interface的复杂版本,在FIFO中,相当于,sender与buffer之间,buffer与receiver之间的两个interface。根据之前的例子可以看出,TLA+的实现过程通常分为以下几步:1、引入module,定义变量,2、定义变量合法范围,3、定义初始化状态,4、定义可操作动作,5、定义基于初始化状态的下一步动作

1、先导入需要打module,定义需要的变量

----------------------------- MODULE FIFO ------------------------------ 
EXTENDS Naturals,Sequences 
CONSTANT Message   \* 集合Message为Sender发送的数据范围
VARIABLE inval,inrdy,inack  \* sender发送的数据和发送标识
VARIABLE outval,outrdy,outack \* receiver接收的数据与接收标识
VARIABLE q  \* q为sequence

2、定义上述变量的合法范围

InChannelTypeInvariant == inval \in Message /\ inrdy \in {0,1} /\ inack \in {0,1}
OutChannelTypeInvariant == outval \in Message /\ outrdy \in {0,1} /\ outack \in {0,1}
\* q 的合法范围为集合Message的元素序列的集合
TypeInvariant == InChannelTypeInvariant /\ OutChannelTypeInvariant /\ q \in Seq(Message)

3、定义初始化状态

\* Sender 初始化状态如下
InChannelInit == InChannelTypeInvariant /\ inrdy = inack 

\* Receiver 初始化状态如下
OutChannelInit == OutChannelTypeInvariant /\ outrdy = outack 

\* Buff 初始化状态如下
BufInit == q = <<>> 

\* 整体状态初始化如下
Init == InChannelInit /\ OutChannelInit /\ BufInit

4、定义可操作性动作

在Interface例子中,有Sender发送数据,Receiver接收数据两个动作,在本例子中,则会有以下动作:

\* sender发送数据给buff
CanInSend == inrdy = inack
Send(d) == CanInSend /\ inval' = d /\ inrdy' = 1 - inrdy /\ UNCHANGED <<inack,outval,outrdy,outack,q>>

\* buff接收数据
CanBufRev == inrdy # inack
BufRev == CanBufRev /\ q' = Append(q,inval) /\ inack' = 1- inack /\ UNCHANGED <<inval,inrdy,outval,outrdy,outack>> 

\* buff发送数据给receiver
CanBufSend == outrdy = outack
BufSend == CanBufSend /\ q # <<>> /\ outval' = Head(q) /\ q' = Tail(q) /\ outrdy' = 1 - outrdy /\ UNCHANGED <<inval,inrdy,inack,outack>> 

\* eceiver接收数据
CanOutRev == outrdy # outack
Rev == CanOutRev /\ outack' = 1 - outack /\ UNCHANGED <<inval,inack,inrdy,outrdy,outval,q>>

5、下一步动作

Next == \E d \in Message:Send(d)
        \/ BufRev
        \/ BufSend
        \/ Rev
=========================================================================

在上述第4步中,有很多的UNCHANGED 数据,在TLA+的代码中,如果有变量的状态未发生变更,一定要用UNCHANGED 进行标记,否则当前步骤执行完毕后,未使用UNCHANGED标记出来的变量的值将变更为NULL,这将影响到下一步操作的执行。

运行

按下图设置Init,Next,设置Message的范围,然后运行。在这里插入图片描述
上述运行时间会很长,TLC检测到的状态也会很多,主要原因是上述TLA+代码是一个无边界限制的状态搜索,在无边界的状态下,q的值是不定的,在上述例子中,q的值可以是<<1>>,<<1,2>>,<<1,2,2>>,<<1,1,1,1,1,1,1>>等。
如果需要增加边界检查,可以增加q的长度检查,比如限制q的长度小于5。
在上图中TypeInvariant的检查项下面增加Len(q) < 5即可。
在这里插入图片描述
这样程序运行很快就会结束,并通过Error-trace打印出Len(q)==5的过程。

刘小京
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PlusCal-Examples:兰波特 TLA+ 的算法语言 PlusCal 中的算法示例
06-12
概述 这些是用 PlusCal 编写的算法示例,PlusCal 是 Leslie Lamport 的 TLA+ 算法规范系统的算法语言。 这些文件是在 TLA+ 工具箱中创建的,因此大多数文件都是在工具箱中运行和使用 TLC 算法验证检查器的支持文件。 用于审核的重要(非自动生成)文件是以.tla结尾的.tla ,例如Euclid/Euclid.tla和HourClock/HourClock.tla 。 我已经写了\* BEGIN TRANSLATION行上方的部分,PlusCal 代码位于(*和*)注释标记之间,从--algorithm XXX指示器开始。
tla-rust:在TLA +的协助下,在Rust中编写正确的无锁和分布式状态系统
02-05
tla-rust:在TLA +的协助下,在Rust中编写正确的无锁和分布式状态系统
Learn-TLA-cn:[WIP]TLA+教程中文翻译
04-30
TLA+教程中文翻译(待完成) 原作: 作者: 译者: Gitbook地址: (需要科上网) 阅读方式: 或者直接下载 写在前面 TLA+属于比较小众的领域,其中的资料更是少之又少。在经过原作者的允许下,翻译这本TLA+的教程供大家入门。这本教程也仅供入门,系统的TLA+还是需要参考大量原版的资料: 关于TLA+习,欢迎与我讨论: License
DrTLAPlus:TLA +系列博士-习算法和协议,研究规范
02-02
DrTLAPlus:TLA +系列博士-习算法和协议,研究规范
vscode-tlaplus:TLA +语言对Visual Studio Code的支持
04-29
TLA + for Visual Studio代码 此扩展为VS Code添加了对支持。 它还支持在TLA +规范上运行TLC模型检查器。 特征 TLA +和PlusCal语法突出显示和代码段。 运行PlusCal-to-TLA +转换器和模块解析器。 在TLA +规范上运行TLC模型检查器。 模型检查过程和结果可视化。 评估常量表达式。 将TLA +规范转换为LaTeX和PDF文档。 代码完成。 代码按类型格式化。 由提供支持。 文献资料 提供有关如何安装,配置和使用扩展的信息。 故障排除 贡献 我们欢迎所有形式的捐助! 随时提交错误,提出改进建议,提出问题,发送其他反馈。 如果您决定参与并编写一些代码,则本文档将为您提供有用的信息: CONTRIBUTING.md 。 TLA +资源 如果您不熟悉TLA + ,但想了解它,那么下面的资源清单是一个很好的起点:
TLA+的
Maybe_do_it的博客
10-27 1096
简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性 小example: 问题:您正在为银行编写软件。你有 Alice 和 Bob 作为客户,每个人的账户里都有一定数量的钱。Alice想寄一些钱给Bob。你如何建模?假设您只关心他们的银行账户 --- MODULE transfer ---- EXTENDS Naturals, TLC (* --algorithm transfer variables alice_acc
形式化之模型检测TLA+实践一
wabcic的博客
08-08 284
结合最大公约数算法,介绍了TLA+语言在Vscode工具和TLA+ Toolbox工具的使用方法
TLA+是什么
软件工程小施同学 的专栏
04-08 1327
对于一套系统的设计,通常我都是想好了,然后直接捋起袖子写代码了。 写完了,在开始加很多 test 来保证它的正确性。 但其实,我并不能保证设计是完全正确的。也就是说,我的实现满足了该系统的需求,但也有可能在一些 corner case 上面并没有考虑周全。 同时, 虽然后面可以写很多 test,但并不一定能 cover 到所有的分支。 所以,为了更好的确保设计的正确性,我们需要使用 TLA+ 或者其他类似的工具。 TLA+ 是一门形式规格说明语言(formal specification l.
用精确的数语言防止设计 Bug,Linux 基金会重磅推出 TLA+ 基金会!
CSDN资讯
04-24 2885
整理 | 陈静琳 责编 |屠敏出品 | CSDN(ID:CSDNnews)2023 年 4 月 21 日,非营利性组织Linux基金会于宣布成立 TLA+ 基金会,其中创始成员包括亚马逊、甲骨文和微软。与此之前,该组织通过开源实现大规模创新,现成立 TLA+ 基金会以促进 TLA+ 编程语言的采用及社区的发展。TLA+ 是几十年前由计算机科的开拓者 Leslie Lamport(现为...
形式化验证工具TLA+:程序员视角的入门之道
阿里云技术
10-26 544
一 引言 女娲是飞天分布式系统中提供分布式协同的基础服务,支撑着阿里云的计算、网络、存储等几乎所有云产品。在女娲分布式协同服务中,一致性引擎是核心基础模块,支持了Paxos,Raft,EPaxos等多种一致性协议,根据业务需求支撑不同业务状态机。如何保证一致性库的正确性是一个很大挑战,我们引入了TLA+、Jepsen等工具保证一致性库的正确性。本文即从程序员视角介绍形式化验证工具TLA+。 从理论上证明一个程序或者算法的正确性往往是困难的,工程中一般使用测试来发现问题,但再多的测试也无法保证覆盖到了..
TLA+ 术语解释及中文翻译
01-07
state 状态 A state is an assignment of values to variables. 一个状态就是一组为变量赋值的操作。 state function 状态函数 A state function is an ordinary [removed]one with no ′’′ or □\square□) that can contain variables and constants. 一个状态函数就是一个普通的表达式,包含变量和常量,但不包含 ′’′ 和 □\square□操作符. state predicate 状态谓词 A state predica
白皮书:对数放大器选择方法
山音水月
03-14 4212
白皮书:对数放大器选择方法 一、对数放大器介绍对数放大器是输出信号幅度与输入信号幅度呈对数函数关系的放大器件。现代接收机系统输入信号的动态范围很宽,输入信号接近于噪声电平时,要求接收机在检波之前有足够高的增益,而当输入信号很大时,高增益又会带来严重失真。因此,接收机面临如何处理输入信号大幅度变化的问题。连续信号或事实上接近连续的信号(AM、单边带调制信号等),可以用自动增益控制(AGC)系统进行处理。频率是重要的信号...
开源Bluespec bsc编译器和可重用示例设计
最新发布
DatenLord的博客
01-12 1036
与其他直接表达架构的HDL一样,BSV/BH是通用的,不针对任何特定的应用领域。在2000年,Lennart Augustsson在一种新的语言BH(Bluespec Haskell)中实现了这些想法,该语言使用Haskell的语法和语义,包括具有多态和类型类的类型系统、单子和高阶函数,从而使其具有静态展开能力和非常强大的类型抽象和类型检查能力[2],[14]。与其他HDL不同的是,BSV/BH中的模块间通信是通过从规则(或从其他方法)中调用方法的概念来表达的,而不是基于输入和输出信号线路来表达的。
通过例子TLA+(四)-- Send & Rev & Print
adwen2009的博客
01-18 597
Send & Rev 稍微复杂点的程序中都会涉及数据的发送与接收,本例子基于发送器Sender与接收器Receiver来实现数据的变更。假设Sender发送一个数据给Receiver,Receiver接收后将确认信息发送给Sender,增加两个状态rdy,ack来表示发送者状态和确认状态,当rdy等于ack时允许sender发送数据,当rdy与ack不一致时则意味着Receiver有数据需要接收,用val来缓存sender发送的数据,Receiver用data来存储缓存的val数据。 创建Modul
通过例子TLA+(一)-- HourClock
adwen2009的博客
01-13 1085
前言 刚接触TLA+,将过程中的理解整理记录下来,用于加深理解和备忘。有对TLA+感兴趣的可以私信我,一起习。 TLA+简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性。它可以用来对几乎任何形式的离散系统进行精确的、正式的描述,特别适合于描述异步系统。 TLA+提供了一个工具用来编写TLA+,同时提供了语法检查,参数设置,程序运行等功能,该工具就是TLA+ Toolbox,下载路径为:https://github
通过例子TLA+(十一)--命题逻辑与实例
adwen2009的博客
02-13 674
命题逻辑与实例 逻辑符在之前的例子中已经用过了,主要是 \A ,\E, => 等符号。 \E E是"exists"的首字母,意思是存在。当写下 \E x \in S : P(x) 意味着在S中至少存在一个x使得P为真。采用\E 开头的表达式返回值是布尔类型。 \E x \in {1,2} : x > 0 为 true \E x \in {} : x > 0 为 false \E 是存在一个满足条件的元素的意思,~\E 则是不存在满足条件的元素 \A A的"All"的首字母,当
通过例子TLA+(二) -- DieHard
adwen2009的博客
01-14 560
第二个例子DieHard 这是一个倒水的例子,初始一个3升容量的桶,一个5升容量的桶,水不限,如何倒出一个容量刚好是4升的水。在一部老电影DieHard中主角就面临这个问题,这里就将module名命名为DieHard。 如果要倒出一个4升容量的水,那这4升水最后一定在5升的桶里。具体实现方式不止一种,这里举一个例子说明倒水的过程:假设5升桶为big,3升桶为small 1、装满small桶,将small水倒入big桶中:此时small为0,big为3 2、装满small桶,将small水倒入big桶中:此时
【技术分享】如何用 TLA+ 思维为分布式算法建模
涛思数据
05-24 298
对于开发过分布式系统的朋友们,相信大家都遇到过这种场景:系统开发完成后,通过了所有的测试用例,于是我们信心满满地将系统上线。可是线上系统跑着跑着,不知哪一天突然莫名其妙地出现了一些 bug。当我们打开日志,打开 gdb,准备追踪定位这些问题时,它们又无法复现了。可如果放任不管,不知什么时候,它们又会诡异的冒出来了。这种 bug 非常棘手,甚至让开发者很崩溃。这个问题本质上...
通过例子TLA+(八)--表达式
adwen2009的博客
02-10 591
表达式 在之前的例子中,已经多次用到了表达式,常见的表达式中会用到 大于,小于,等于,不等于等这样条件判断。还有一些其他的用法,比如逻辑连接,IF-ELSE 等 逻辑连接 逻辑连接在之前的例子中是用过的,主要是 /\ (and) ,/ (or),用来将表达式连接起来,有个点需要注意的是,逻辑连接符是空格敏感的,如果以缩进方式开始连接,则TLA+将其视为前一表达式的子表达式。例如 /\ TRUE \/ TRUE /\ FALSE \* 相当于 (TRUE \/ TRUE) /\ FALSE /
ma tla矩阵最左侧输出代码
06-13
在 MATLAB 中,可以使用 `disp()` 函数打印矩阵或向量的内容。如果想在输出时将矩阵或向量的最左侧对齐,可以使用 `fprintf()` 函数。 以下是一个示例代码,可以将矩阵的最左侧对齐输出: ```matlab ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值