形式化验证 线性时序逻辑

一阶逻辑和命题逻辑用来表达状态的性质，每一个公式代表了满足它的状态的集合。但是这样的代表状态集合的逻辑是静态的，没法表示状态间的动态演化。

由于上面原因，产生了模态逻辑（Modal logics）。模态逻辑对在程序执行期间不同状态之间的关系进行描述。这样的逻辑非常适合描述交互式的，同步的，或者分布式的系统。在这样的系统中，我们不仅仅关注系统执行始末的状态，还要关注执行过程中的状态序列的其他性质。

线性时序逻辑就是模态逻辑的一种实例！LTL是在静态的底层逻辑之上的，底层逻辑可以描述状态的性质，但是不能描述状态之间的转换，所以我们往往用命题逻辑和一阶逻辑作为底层逻辑。

LTL的语法和语义
下面我们看一下LTL的语法：

底层逻辑的每一个公式都是LTL的公式。

如果$\varphi$和$\psi$都是公式，那么$(\neg \varphi )$，$(\varphi \wedge \psi )$，$(\varphi \vee \psi )$，$(◯\varphi )$，$(♢\varphi )$，$(\square \varphi )$，$(\varphi \bigcup \psi )$，和$(\varphi \bigvee \psi )$都是公式

LTL公式是在无限状态序列$x_0{x}_1{x}_2...$上解释的。我们这样定义${\xi }^k$：它是$\xi =x_0{x}_1{x}_2...$的一个从$x_k$开始的后缀，也就是$x_k{x}_{k+1}{x}_{k+2}...$。

上面是LTL的语法，那么我们来定义一下LTL语义：

• ${\xi }^k\models \eta$，其中$\eta$是静态底层逻辑的一个公式，仅当$x_k\models \eta$
• ${\xi }^k\models (\neg \varphi )$，仅当${\xi }^k\models \varphi$不成立
• ${\xi }^k\models (\varphi \wedge \psi )$，仅当${\xi }^k\models \varphi$并且${\xi }^k\models \psi$
• ${\xi }^k\models (\varphi \vee \psi )$，仅当${\xi }^k\models \varphi$或者${\xi }^k\models \psi$
• ${\xi }^k\models (◯\varphi )$，仅当${\xi }^{k+1}\models \varphi$
• ${\xi }^k\models (♢\varphi )$，仅当存在一个$i\ge k$，令${\xi }^i\models \varphi$成立
• ${\xi }^k\models (\square \varphi )$，仅当对于每一个$i\ge k$，令${\xi }^i\models \varphi$成立
• ${\xi }^k\models (\varphi \bigcup \psi )$，仅当存在一个$i\ge k$，令${\xi }^i\models \psi$，并且对于每一个满足$k\le j<i$的$j$，${\xi }^j\models \varphi$
• ${\xi }^k\models (\varphi \bigvee \psi )$，仅当要么对于每一个$i\ge k$，${\xi }^i\models \psi$，要么对于某个$j\ge k$，${\xi }^j\models \varphi$并且对于每一个满足$k\le i\le j$的$i$，${\xi }^i\models \psi$

我们可以解释一下，其中第2、3、4个式子里面用到了布尔运算符，我们应该很熟悉，而后面的式子用到了模态运算符。其中，

• $◯\varphi$叫做nexttime，意思是$\varphi$在下一个状态$x_{k+1}$下成立。
• $♢\varphi$叫做eventually，意思是一定有一个$\xi$的后缀让$\varphi$成立。
• $\varphi \bigcup \psi$叫做until，意思是在$\psi$成立之前$\varphi$都成立。

如果用图形来更直观的表示就是像下面这样

利用LTL表示一些性质

• 可达性
  • 简单可达性：$◊\psi$
  • 多条件的可达性（conditional reachability）：$\varphi \bigcup \psi$
• 安全性
  • 不变性：$\square \varphi$
• 活性：
  • $\square (\varphi \Rightarrow ◊\psi )andothers$
• 公平性：
  • $\square ◊\varphi andothers$
• 对偶性定律
  • $\neg \square \varphi \equiv ◊\neg \varphi$
  • $\neg ◊\varphi \equiv \square \neg \varphi$
  • $\neg ◯\varphi \equiv ◯\neg \varphi$
• 幂等律
  • $\square \square \varphi \equiv \square \varphi$
  • $◊◊\varphi \equiv ◊\varphi$
  • $\varphi \bigcup (\varphi \bigcup \psi )\equiv \varphi \bigcup \psi$
  • $(\varphi \bigcup \psi )\bigcup \psi \equiv \varphi \bigcup \psi$
• 吸收律
  • $◊\square ◊\varphi \equiv \square ◊\varphi$
  • $\square ◊\square \varphi \equiv ◊\square \varphi$
• 分配律
  • $◯(\varphi \bigcup \psi )\equiv (◯\varphi )\bigcup (◯\psi )$
  • $◊(\varphi \vee \psi )\equiv ◊\varphi \vee ◊\psi$
  • $\square (\varphi \wedge \psi )\equiv \square \varphi \wedge \square \psi$

公平性
公平性是说在并发系统的交错执行上施加语法限制，保证运行的公平，比如避免某个程序一直被推迟执行，最后饿死。

公平性假设是用来排除我们建模的系统的不合理的无限执行。下面介绍几种常见的公平性假设：

• 弱进程公平性
  如果一个执行包含某个状态s，且总有至少一个属于进程$P_i$的转换可执行但在s之后没有$P_i$的转换被执行，那就排除这个执行。

• 强进程公平性
  如果在一个执行上进程$P_i$的转换可以被执行无限次，但仅仅被执行有限次，则排除这个执行。

• 弱转换公平性
  如果一个执行包含某个状态s，并且总有一个转换可执行但从未在s后被执行，则排除这个执行。

• 强转换公平性
  如果一个执行上有一个转换可以被执行无限次，但是仅仅被执行有限次，则排除此执行

那么我们回到LTL，我们会用到下面的转换命题：

• $exe{c}_{\alpha }$
  转换$\alpha$被执行，这个是一个包括可选的状态和转换的执行的一个例子，其中$\alpha$是一个转换的名字。

• $exe{c}_{p_i}$
  代表来自$P_i$的一个转换被执行，这个是${\bigvee }_{\alpha \in P_i}exe{c}_{\alpha }$的一个缩写。

下面是对于公平性假设的描述：

• 弱转换公平性
  $WTF=\underset{\alpha \in T}{\bigwedge }\neg ♢\square (e{n}_{\alpha }\wedge \neg exe{c}_{\alpha })$
  翻译成人话就是不会从某一个点开始始终\alpha可以执行但不会执行。

• 强转换公平性
  $STF=\underset{\alpha \in T}{\bigwedge }(\square ♢e{n}_{\alpha }\to \square ♢exe{c}_{\alpha })$
  翻译一下呢，就是对于每一个转换\alpha，如果从每个状态开始，$\alpha$终究都可执行，那么终究都会执行。

• 弱进程公平性
  $WTF=\underset{p_i}{\bigwedge }\neg ♢\square (e{n}_{P_i}\wedge \neg exe{c}_{P_i})$

• 强进程公平性
  $STF=\underset{P_i}{\bigwedge }(\square ♢e{n}_{P_i}\to \square ♢exe{c}_{P_i})$

这些公平性条件之间关系

​