【系统分析与验证笔记】线性时间（Linear-Time，简称LT）

线性时间行为（Linear-Time Behavior）

• 路径和状态图
  • $TS$的状态图记作$G(TS)$，是顶点$V=S$和边 E = { ( s , s ′ ∈ S × S ∣ s ′ ∈ P o s t ( S ) } E=\{(s,s' \in S \times S | s' \in Post(S)\} E={(s,s′∈S×S∣s′∈Post(S)}的有向图$(V,E)$，其中$s$表示所有的状态集合
  • $Pos{t}^{\ast }(s)$表示从$s$出发，在状态图$G(TS)$中可达的状态。
  • 路径符号：有限路径$\pi$、无限路径$\hat{\pi }$、从状态$s$出发的所有路径记为$Paths(s)$，所有有限长的路径记为$Path{s}_{fin}(s)$
  • 对于$TS$的路径是有限路径
• 轨迹（$traces$）
  • 定义：一个$TS$系统可以用一系列轨迹来描述其行为的每一步，具体是，轨迹被定义为一串接连到达的状态$s_i$的标签函数$L(s_i)$的序列。因为$L\in 2^{AP}$，所以迹上的每个元素也是$AP$的子集。
  • 对于状态图上的一系列转移可以记作为路径：$s_0\stackrel{{\alpha }_0}{\to }{s}_1\stackrel{{\alpha }_1}{\to }{s}_2,\cdots$，简写为：$s_0{s}_1{s}_2\cdots$，对其中每个结点对应的状态用标签函数映射到$2^{AP}$上，得到的就是一个轨迹，可以用标签函数$L(s_0)L(s_1)L(s_2)\cdots$表示，这个轨迹的形式可以为： { a } , { a , b } , ∅ , ⋯ \{ a\},\{ a,b\},\varnothing,\cdots {a},{a,b},∅,⋯，其中$a,b\in AP$
  • 路径长度：一个状态$s_0$也可以叫做路径，比如 { s 0 } \{s_0\} {s0​}，它的路径长度为1。对于两个状态的路径 { s 0 s 2 } \{s_0s_2\} {s0​s2​}，它的的路径长度为2。
• 轨迹和轨迹片段
  • $TS=(S,Act,\to ,I,AP,L)$是一个没有终止状态的$TS$
    • 它的有限路径片段$\pi =s_0{s}_1...$，则轨迹被定义为$trace(\pi )=L(s_0)L(s_1)...$
    • 它的无限路径片段$\hat{\pi }=s_0{s}_1...s_n$，则轨迹被定义为$trace(\hat{\pi })=L(s_0)L(s_1)...L(s_n)$
  • t r a c e ( ∏ ) = { t r a c e ( π ) ∣ π ∈ ∏ } trace(\prod )=\{trace(\pi) | \pi \in \prod \} trace(∏)={trace(π)∣π∈∏}，表示每条路径的轨迹
  • $Traces(s)=trace(Paths(s))$，表示从$s$开始的所有路径的轨迹
  • $Traces(TS)=\bigcup _{s\in I}Traces(s)$，表示所有从$TS$的每个初始状态出发的所有路径对应的轨迹的集合
  • $Trace{s}_{fin}(s)=trace(Path{s}_{fin}(s))$，表示从$s$出发所有有限路径对应的轨迹的集合
  • $Trace{s}_{fin}(TS)=\bigcup _{s\in I}Trace{s}_{fin}(s)$，表示从$TS$的每个初始状态出发的所有路径对应的轨迹的集合
• 例题一：
  • 基于信号量的互斥示例
    $\pi =⟨n_1,n_2,y=1⟩\to ⟨w_1,n_2,y=1⟩\to ⟨c_1,n_2,y=0⟩\to ⟨n_1,n_2,y=1⟩\to ⟨n_1,w_2,y=1⟩\to ⟨n_1,c_2,y=0⟩\to ...$
    最多只能有一个进程处于临界区（$cri{t}_1$或$cri{t}_2$）
    请给出有限路径$\pi$的轨迹
  • 答案： t r a c e ( π ) = ∅ ∅ { c r i t 1 } ∅ ∅ { c r i t 2 } ∅ ∅ { c r i t 1 } ∅ ∅ { c r i t 2 } . . . . trace(\pi) = \varnothing \varnothing \{ crit_1 \} \varnothing \varnothing \{ crit_2 \} \varnothing \varnothing \{ crit_1 \} \varnothing \varnothing \{ crit_2 \} .... trace(π)=∅∅{crit1​}∅∅{crit2​}∅∅{crit1​}∅∅{crit2​}....
  • 解析：$n$表示$noncrit$，$w$表示$wait$，$y$表示锁，$y=0$表示“资源已上锁，不允许使用资源”，$y=1$表示“资源未上锁，可以使用资源”；对轨迹的解释：$⟨n_1,w_2,y=1⟩$表示第一个信号量的状态不处于临界区，第二个信号量的状态处于等待状态，没有锁，此时轨迹为$\varnothing$，$⟨c_1,n_2,y=1⟩$表示第一个信号量的状态处于临界区，第二个信号量的状态不处于临界区，有锁,此时轨迹为$cri{t}_1$。每一个$⟨⟩$内状态的转变都都应一个轨迹碎片（轨迹碎片只能是： ∅ , { c r i t 1 } , { c r i t 2 } \varnothing,\{ crit_1 \},\{ crit_2 \} ∅,{crit1​},{crit2​}当中的一个）。

有限字和无限字

• 对于原子命题集合 A P = { a , b } AP=\{a,b\} AP={a,b}，则$2^{AP}$是$AP$的幂集： 2 A P = { ∅ , { a } , { b } , { a , b } } 2^{AP}=\{ \varnothing,\{ a \},\{ b \},\{ a,b \} \} 2AP={∅,{a},{b},{a,b}}
• 如果用$(2^{AP}{)}^{\omega }$表示以$2^{AP}$中元素为字母构成的所有无限长的字符集合，称为$2^{AP}$上的无限字集合，这个集合可以表示为：
  ( 2 A P ) ω = { { a } { b } { a , b } { a , b } . . . , ∅ ∅ { a , b } { a } . . . , ∅ { a } ∅ { a } ∅ { a } . . . , . . . } \begin{aligned} (2^{AP})^\omega=\{ & \\ & \{a\}\{b\}\{a,b\}\{a,b\}..., \\ &\varnothing \varnothing \{a,b\}\{a\}...,\\ &\varnothing \{a\}\varnothing \{a\}\varnothing \{a\} ...,\\ &...\\ \} \end{aligned} (2AP)ω={}​{a}{b}{a,b}{a,b}...,∅∅{a,b}{a}...,∅{a}∅{a}∅{a}...,...​
• 如果用$(2^{AP}{)}^{\ast }$表示以$2^{AP}$中元素为字母构成的所有有限长的字符集合，称为$2^{AP}$上的有限字集合，这个集合可以表示为：
  ( 2 A P ) ∗ = { { a } { b } { a , b } { a , b } , ∅ ∅ { a , b } { a } , ∅ { a } ∅ { a } ∅ { a } , { a } , ∅ ∅ , . . . } \begin{aligned} (2^{AP})^*=\{ & \\ & \{a\}\{b\}\{a,b\}\{a,b\}, \\ &\varnothing \varnothing \{a,b\}\{a\},\\ &\varnothing \{a\}\varnothing \{a\}\varnothing \{a\},\\ & \{a\},\\ & \varnothing \varnothing,\\ &...\\ \} \end{aligned} (2AP)∗={}​{a}{b}{a,b}{a,b},∅∅{a,b}{a},∅{a}∅{a}∅{a},{a},∅∅,...​

无限字集合和有限字集合中的元素数目都是无限多的

线性时间性质（Linear-Time Property，或写作LT性质）

• 定义：线性时间性质指定了$TS$展开后得到的轨迹，指定了系统可接受或期望接受的行为。
• 当且仅当$TS$内所有轨迹都在线性时间性质内（或者说$TS$上所有轨迹都含于$P$）时，$TS$满足线性时间性质$P$成立，即：
  $TS\models PiffTraces(TS)\subseteq P$
• 下面是两个进程对一个互斥信号量资源使用的例子：
  
  他们并发转换为$TS$后的结果：
  
  每个状态都是由之前两$PG$的$Loc$和互斥信号量$y$的取值组成，其中红色和蓝色分别表示两个进程的$Loc$，$n$表示在非临界区，$w$表示想要进入临界区，$c$表示正处在临界区，$y=0$表示“资源已上锁，不允许使用资源”，$y=1$表示“资源未上锁，可以使用资源”；
  • $LTProperty$的互斥性：
    • 定义：至多只有一个进程进入临界资源。
    • 解释：原子命题集合 A P = { c r i t 1 , c r i t 2 } AP=\{crit_1, crit_2\} AP={crit1​,crit2​}，两进程$P1$和$P2$处在访问临界资源状态，但他们永远至多只有一个进程进入临界资源，这一$LTProperty$可表示为： P m u t e x = 对 于 无 限 字 A 0 A 1 A 2 ⋯ 的 集 合 ， 对 于 所 有 0 ⩽ i 都 有 { c r i t 1 , c r i t 2 } ⊈ A i P_{mutex}=对于无限字A_0A_1A_2\cdots的集合，对于所有0 \leqslant i都有\{ crit_1,crit_2\} \nsubseteq A_i Pmutex​=对于无限字A0​A1​A2​⋯的集合，对于所有0⩽i都有{crit1​,crit2​}⊈Ai​
    • 举例：像 { c r i t 1 } { c r i t 1 } { c r i t 2 } . . . , ∅ { c r i t 2 } ∅ { c r i t 1 } . . . , ∅ ∅ ∅ . . . , . . . } \{ crit_1\} \{ crit_1\} \{ crit_2\}...,\varnothing\{ crit_2\}\varnothing\{ crit_1\}...,\varnothing\varnothing\varnothing...,... \} {crit1​}{crit1​}{crit2​}...,∅{crit2​}∅{crit1​}...,∅∅∅...,...}都是合法的，但 { c r i t 1 , c r i t 2 } \{crit_1,crit_2\} {crit1​,crit2​}这种无限字如果出现在集合中就是非法的，因为$cri{t}_1$和$cri{t}_2$是互斥的，不能同时发生，所以像 { ∅ { c r i t 2 , c r i t 1 } { c r i t 2 } . . . } \{\varnothing\{crit_2,crit_1\}\{ crit_2\}... \} {∅{crit2​,crit1​}{crit2​}...}这样的轨迹就是非法的
  • $LTProperty$的无饥饿性：
    • 定义：一个想访问临界资源的进程最终一定能访问到临界资源。
    • 解释：原子命题集合 A P = { w a i t 1 , c r i t 1 , w a i t 2 , c r i t 2 } AP=\{wait_1,crit_1,wait_2, crit_2\} AP={wait1​,crit1​,wait2​,crit2​}， 对于不但要满足“至多只有一个进程进入临界资源”，还要满足“一个想访问临界资源的进程最终一定能访问到临界资源”的情况，$LTProperty$可表示为： P m u t e x = 对 于 无 限 字 A 0 A 1 A 2 ⋯ 的 集 合 ， 对 于 每 一 个 0 ∈ { 1 , 2 } 都 有 ( ∃ ∞ j .   w a i t i ∈ A j ) ⇒ ( ∃ ∞ j .   c r i t i ∈ A j ) P_{mutex}=对于无限字A_0A_1A_2\cdots的集合，对于每一个0 \in \{1,2\}都有(\overset{\infty}{\exists} j. \ wait_i \in A_j ) \Rightarrow (\overset{\infty}{\exists} j. \ crit_i\in A_j ) Pmutex​=对于无限字A0​A1​A2​⋯的集合，对于每一个0∈{1,2}都有(∃∞j. waiti​∈Aj​)⇒(∃∞j. criti​∈Aj​)
    • 举例：对每个进程$P_i$，当$wai{t}_i$无限经常次属于$A_j$时，那么$cri{t}_i$就无限经常次属于$A_j$。也叫做“无限经常次想要，最终会导致无限经常次获得”，这就是无饥饿性。

    $\stackrel{\infty }{\exists }$表示无规律地无限经常次

轨迹的等效性和线性时间性的关系（Trace equivalence and Linear-Time properties）

• 对于在同一个原子命题集$AP$上的转移系统：$TS$和$T{S}^{\prime }$，他们的轨迹集合可能存在以下两种关系：
  • 包含关系：
    $$\begin{gathered} Traces(TS)\subseteq Traces(T{S}^{\prime }) \\ ifandonlyif \\ foranyLTpropertyP:T{S}^{\prime }\models PimpliesTS\models P \end{gathered}$$
    • 解释：当且仅当对于任意线性时间性质$P$都有：$T{S}^{\prime }\models P$则$TS\models P$成立时，$Traces(TS)\subseteq Traces(T{S}^{\prime })$成立。换句话说就是，当$Traces(TS)\subseteq Traces(T{S}^{\prime })$且$T{S}^{\prime }\models P$时，$TS\models P$。
    • 含义：一个$TS$扩张了另一个$TS$的实现
  • 等价关系：
    $$\begin{gathered} Traces(TS)=Traces(T{S}^{\prime }) \\ ifandonlyif \\ TSandT{S}^{\prime }satisfythesameLTproperties \end{gathered}$$
    • 解释：当且仅当两个$TS$满足相同的$LT$属性时，这两个$TS$从$TS$初始状态出发的所有路径的轨迹都相互包含。
    • 含义：两个$LT$属性相同的系统的轨迹也是一致的。

  $Traces(TS)=Traces(T{S}^{\prime })$中的“=”在这里表示相互包含的意思

不变性（Invariants）

• 含义：在原子命题集$AP$上，$TS$的每一个状态都要满足的性质，这个性质叫做不变性，用$P_{inv}$表示。

• 公式表示： P i n v = { A 0 A 1 A 2 . . . ∈ ( 2 A P ) ω ∣ ∀ j ⩾ 0. A j ⊨ Φ } P_{inv}=\{ A_0A_1A_2... \in (2^{AP})^\omega | \forall j\geqslant 0.A_j \models \Phi \} Pinv​={A0​A1​A2​...∈(2AP)ω∣∀j⩾0.Aj​⊨Φ}

• 公式解释：对于无限字集合中的每个字（也就是$AP$的子集）$A_0{A}_1{A}_2...$都能满足$\Phi$，则该$LTproperty$具有不变性。

  $\Phi$是$AP$上的命题逻辑公式，叫做$P_{inv}$的不变条件

• $TS\models P_{inv}$表示$TS$满足某一不变性质$P_{inv}$，和下面三个命题等价：

  • 对$TS$的所有无限长的路径$trace(\pi )$都有：$trace(\pi )\in P_{inv}$
  • 对$TS$的所有路径上的所有的状态$s$都有：$L(s)\models \Phi$
  • 对$TS$的所有可达状态$s$都有：$L(s)\models \Phi$

  • $\Phi$必须满足所有的初始状态，并且$\Phi$的满足性在$TS$的可达片段中的所有转移下是不变的
  • 不变性性质只有一个不变性条件$\Phi$是可定制的，也就是一个$\Phi$即可决定整个不变性性质。
  • 对不变性的检查只需搜索（如深度优先遍历）整个$TS$的图结构，看看每个结点状态是不是都满足$\Phi$，而不需要真的找出所有的无限路径。

安全性（Safety Properties）

• 定义：在$TS$的有限路径上，坏的情况永远不会出现。记作$P_{safe}$
• 生活实例：比如一个ATM取款机，只有当输入了正确的PIN码后，才能取出现金，或者说，一栋房子，永远不会起火。如果房子永远不起火，则满足安全性，但如果未来某一天起火了，则违背了安全性。
• 安全性和不变性的区别：安全性是有限路径上每一个状态的性质，不变性是一条路径的性质，所有的不变性都属于安全性。
• 在$AP$上$P_{safe}$满足安全性的情况：对于所有$\sigma \in (2^{AP}{)}^{\omega }$或$\sigma \in P_{safe}$，都存在有限的前缀$\hat{\sigma }$，例如
  $$P_{safe}\cap \left\{{\sigma }^{\prime }\in (2^{AP}{)}^{\omega }|\hat{\sigma }是{\sigma }^{\prime }的一个前缀\right\}$$
• 坏前缀（bad prefix）：在有限路径上出现了坏的有限字$\hat{\sigma }$，则违背了安全性，这个坏的有限字叫做$P_{safe}$的坏前缀，所有的坏的有限前缀的集合叫做$BadPref(P_{safe})$。
• 最小坏前缀（minimal bad prefix）：$\hat{\sigma }\in BadPref(P_{safe})$，而且$\hat{\sigma }$不是$BadPref(P_{safe})$内任何片段的前缀。

  判断坏前缀是否为最小坏前缀的时候，将坏前缀最后面的状态删除，如果删除后满足安全性，则为最小坏前缀，如果仍然为坏前缀，那么原式不是最小坏前缀。

• 例题二：
  • 红灯（red）亮起前，必须有黄灯（yellow）亮起
  • 对于无限字$\sigma =A_0{A}_1{A}_3...$，若$red\in A_i$，则意味着，$i$的值大于零，且$yellow\in A_{i-1}$
  • A P = { r e d , y e l l o w } AP=\{ red,yellow\} AP={red,yellow}
  • 请观察下面几个有限字那些为最小坏前缀，那些为坏前缀，并画出相应的自动机
    • ∅ ∅ { r e d } \varnothing\varnothing \{red\} ∅∅{red}
    • ∅ { r e d } \varnothing \{red\} ∅{red}
    • { y e l l o w } { y e l l o w } { r e d } { r e d } ∅ { r e d } \{yellow\} \{yellow\}\{red\}\{red\}\varnothing \{red\} {yellow}{yellow}{red}{red}∅{red}
  • 答案：
    • ∅ ∅ { r e d } \varnothing\varnothing \{red\} ∅∅{red}为最小坏前缀
    • ∅ { r e d } \varnothing \{red\} ∅{red}为最小坏前缀
    • { y e l l o w } { y e l l o w } { r e d } { r e d } ∅ { r e d } \{yellow\} \{yellow\}\{red\}\{red\}\varnothing \{red\} {yellow}{yellow}{red}{red}∅{red}为坏前缀，但并不是最小坏前缀，因为上述有限字还可以缩小为 { y e l l o w } { y e l l o w } { r e d } { r e d } \{yellow\} \{yellow\}\{red\}\{red\} {yellow}{yellow}{red}{red}
    • 自动机：

    图中的$\neg yellow$表示下一动作不是$yellow$时执行，不是$yellow$的话，可以是$red,green$

• 例题三：
  • 自动售货机中，投入币的次数是至少是推出饮料的次数
  • 对于无限字$\sigma =A_0{A}_1{A}_3...$，满足 ∣ { 0 ⩽ j ⩽ i ∣ p a y ∈ A j } ∣ ≥ ∣ { 0 ⩽ j ⩽ i ∣ d r i n k ∈ A j } ∣ |\{ 0 \leqslant j \leqslant i| pay \in A_j\}| \geq |\{ 0 \leqslant j \leqslant i | drink \in A_j\}| ∣{0⩽j⩽i∣pay∈Aj​}∣≥∣{0⩽j⩽i∣drink∈Aj​}∣
  • A P = { p a y , d r i n k } AP=\{ pay,drink\} AP={pay,drink}
  • 请观察下面几个有限字那些为最小坏前缀，那些为坏前缀
    • ∅ { p a y } { d r i n k } { d r i n k } \varnothing \{ pay\}\{ drink\}\{ drink\} ∅{pay}{drink}{drink}
    • ∅ { p a y } { d r i n k } { d r i n k } { d r i n k } \varnothing \{ pay\}\{ drink\}\{ drink\}\{ drink\} ∅{pay}{drink}{drink}{drink}
    • ∅ { p a y } { d r i n k } ∅ { p a y } { d r i n k } { d r i n k } \varnothing \{ pay\}\{ drink\}\varnothing\{ pay\}\{ drink\}\{ drink\} ∅{pay}{drink}∅{pay}{drink}{drink}
  • 答案：
    • ∅ { p a y } { d r i n k } { d r i n k } \varnothing \{ pay\}\{ drink\}\{ drink\} ∅{pay}{drink}{drink}投入一次硬币推出两次饮料，不符合题目，为坏前缀，又无法再缩小，所以为最小坏前缀
    • ∅ { p a y } { d r i n k } { d r i n k } { d r i n k } \varnothing \{ pay\}\{ drink\}\{ drink\}\{ drink\} ∅{pay}{drink}{drink}{drink}投入一次硬币推出三次饮料，不符合题目，为坏前缀，可以删去最后一个 { d r i n k } \{ drink\} {drink}，依然为坏前缀，因此不是最小坏前缀
    • ∅ { p a y } { d r i n k } ∅ { p a y } { d r i n k } { d r i n k } \varnothing \{ pay\}\{ drink\}\varnothing\{ pay\}\{ drink\}\{ drink\} ∅{pay}{drink}∅{pay}{drink}{drink}投入一次硬币推出一次饮料，然后投入一次硬币推出两次饮料，不符合题目，为坏前缀，又无法再缩小，所以为最小坏前缀
• 对于没有结束状态和安全性$P_{safe}$的转移系统$TS$有：
  $TS\models P_{safe}$等价于$Trace{s}_{fin}(TS)\cap BadPref(P_{safe})=\varnothing$
  解释：$Trace{s}_{fin}(TS)\cap BadPref(P_{safe})=\varnothing$换一种表示形式为：$Trace{s}_{fin}(TS)\subseteq Pref(P_{safe})$
  上面的等价公式的意思就是，对于$TS$系统和$P_{safe}$性质而言，只有在$TS$的有限轨迹含于$P_{safe}$的前缀，即$Trace{s}_{fin}(TS)\subseteq Pref(P_{safe})$时，$TS$才能够推出$P_{safe}$性质

闭包（Closure）

• 定义：轨迹$\sigma \in (2^{AP}{)}^{\omega }$，$pref(\sigma )$为有限前缀集合，则 p r e f ( σ ) = { σ ^ ∈ ( 2 A P ) ∗ ∣ σ ^ 是 σ 的 一 个 有 限 前 缀 } pref(\sigma) = \{ \widehat{\sigma} \in (2^{AP})^* | \widehat{\sigma}是\sigma的一个有限前缀 \} pref(σ)={σ ∈(2AP)∗∣σ 是σ的一个有限前缀}
• 范例：$\sigma =A_0{A}_1...$那么 p r e f ( σ ) = { ε , A 0 , A 0 A 1 , A 0 A 1 A 2 , . . . } pref(\sigma)=\left \{\varepsilon,A_0,A_0A_1,A_0A_1A_2,... \right \} pref(σ)={ε,A0​,A0​A1​,A0​A1​A2​,...}

  $\epsilon$表示为空

• 定义LT的性质$P$的前缀，为所有无限字的前缀集合的并集：$pref(P)=\bigcup _{\sigma \in P}pref(\sigma )$
  那么，LT的性质$P$的闭包定义为前缀都在$pref(P)$中的那些无限字的集合（得到的还是一个LT性质）：
  c l o s u r e ( P ) = { σ ∈ ( 2 A P ) ω ∣ p r e f ( σ ) ⊆ p r e f ( P ) } closure(P)=\{σ∈(2^AP)^\omega ∣ pref(\sigma)\subseteq pref(P)\} closure(P)={σ∈(2AP)ω∣pref(σ)⊆pref(P)}
  也就是说，$P$的闭包是那些前缀也是$P$的前缀的无限字的集合。
  反过来看，$P$的闭包中的无限字不会以不是$P$的前缀的有限字为前缀。
• 作用：使用闭包可以判定一个LT性质是不是安全性。一个LT性质是安全性，当且仅当其闭包是其本身：$closure(P)=P$

活性（liveness）

• 定义：安全性是坏的事情不会出现，而活性则是指好的事情终会出现；安全性是在有限的路径内成立，而活性则是在无限的路径内成立。
• 活性的前缀集合表示：$Pref(P_{live})=(2^{AP}{)}^{\ast }$

  $Pref(P_{live})=(2^{AP}{)}^{\ast }$等价于$closure(P_{live})=(2^{AP}{)}^{\omega }$

• 活性分为三种：
  • 无限次（Eventually）：每个进程最终都会进入它的临界资源。
  • 无限经常次（Repeated eventually）：每个进程都会无限经常次进入临界资源。
  • 饥饿情况（Starvation freedom）：每一个等待进程（指想要访问临界资源的进程）最终都会进入临界资源。

非安全性也非活性的例子：

• 若定义LT性质为$P\subset (2^{AP}{)}^{\omega }$ ，则安全性和活性是不相交的。
• 若定义LT性质为$P\subseteq (2^{AP}{)}^{\omega }$ ，则仅有$(2^{AP}{)}^{\omega }$既是安全性又是活性。这可由“安全性的闭包是其自身，而活性的闭包是整个无限字”来验证。
• 并非所有LT性质都是安全性或者活性，但总能表示成一个安全性和一个活性的合取形式。
• 例如【一个机器初始吐出三瓶雪碧，接下来可以无限经常次地吐出啤酒】，这一用自然语言描述的性质。仅看前半句是安全性（因为能用坏前缀表述，如前三个至少有一个是啤酒，那么就是一个坏前缀）；仅看后半句是活性（注意，无限经常次吐出啤酒，并非是仅允许吐出啤酒，任何有限序列都无法说明是不是无限经常次吐出啤酒，这部分是活性）。
• LT性质的分类：
  
  • invariants不变性
  • safety properties安全性
  • liveness properties活性
  • safety and liveness property既是安全性又是活性
  • neither liveness nor safety properties既不是安全性又不是活性
• 分解定理（Decomposition theorem）：任何一个LT性质总能分解成安全性和活性的交集：$P=P_{safe}\cap P_{live}$
  • 一般地，因为闭包的闭包仍是自身（一定是安全性），总可以将其按闭包分解出来：$P=closure(P)\cap (P\cup ((2^{AP}{)}^{\omega }\setminus closure(P)))$

  $\setminus closure(P)$表示去掉坏前缀

• 例题四：
  $$\begin{gathered} Inc|||Reset \\ where \\ procInc=while(x⩾0dox:=x+1)od \\ procReset=x:=-1 \end{gathered}$$
  $x$是一个共享整数变量，初始值为0
  程序是否会终止？
  • 答案：
    $Inc|||Reset$表示进程$Inc$和进程$Reset$同时执行
    $procInc=while(x⩾0dox:=x+1)od$表示进程$Inc$的执行操作是：当x大于等于0时，$x$增加1
    $procReset=x:=-1$表示进程$Reset$的执行操作是：对$x$赋值为-1
    因为在计算机内，不会永远执行进程$lnc$，所以进程$Reset$一定会有执行的时候，当执行进程$Reset$后，$x$的值变为-1，因此进程$lnc$循环会结束，程序会终止

公平性（Fairness）

• 定义：一条路径执行过程中所有过程均符合实际情况，则表示这个路径具有了公平性。

  • 对于不满足公平性的路径，可以将不合实际的情况过程剔除，路径便具有了公平性。
  • 无饥饿性通常是在公平性的条件下产生的。
  • 公平性通常是建立活性问题的必要手段。

• 生活实例：

  • 对于十字路口的两个红绿灯进程进程交错执行：$TS=TrLigh{t}_1||TrLigh{t}_2$，给定一个活性性质的自然语言描述为：每个红绿灯都无限经常次处于绿灯的状态。这条性质表示红绿灯在无限次状态转化的过程中，会有无限次处于绿灯的状态。
    • 轨迹： { r e d 1 , r e d 2 } , { g r e e n 1 , r e d 2 } , { r e d 1 , g r e e n 2 } , { g r e e n 1 , r e d 2 } ⋯ \{red_1,red_2\},\{green_1,red_2\},\{red_1,green_2\},\{green_1,red_2\}\cdots {red1​,red2​},{green1​,red2​},{red1​,green2​},{green1​,red2​}⋯，像这样的轨迹，满足刚才我们所说的活性，那么这条轨迹也具有安全性。
    • 轨迹： { r e d 1 , r e d 2 } , { g r e e n 1 , r e d 2 } , { r e d 1 , r e d 2 } , { g r e e n 1 , r e d 2 } ⋯ \{red_1,red_2\},\{green_1,red_2\},\{red_1,red_2\},\{green_1,red_2\}\cdots {red1​,red2​},{green1​,red2​},{red1​,red2​},{green1​,red2​}⋯，像这样的轨迹，第二个红绿灯永远为红色，不满足刚才我们所说的活性，那么这条轨迹不具有安全性。

• 基于动作的公平性用A-fair表示，有三种情况：无条件公平性、强公平性、弱公平性

  • 对于一个没有初始状态的$TS=(S,Act,\to ,I,AP,L)$

    • 无初始状态
    • $A\subseteq Act$
    • 无限执行片段$\rho =s_0\stackrel{{\alpha }_0}{\to }{s}_1\stackrel{{\alpha }_1}{\to }{s}_2\cdots$

  • 无条件公平性（Unconditional A-fair）：若轨迹满足无条件公平性，则$A$中存在的一个或多个动作可以无限经常次执行。

    • 解释：当$\rho$是一个无条件公平性路径时，对于$A$中的动作在这条路径上无限经常此执行，比如 A = { ω } ⊆ A c t { N C , W , C } , ρ = s 0 → N C s 1 → W s 2 → C s 3 → N C ⋯ s n → N C ⋯ s m → N C ⋯ A=\{ \omega \} \subseteq Act\{ NC,W,C \},\rho=s_0 \overset{NC}{\rightarrow}s_1\overset{W}{\rightarrow}s_2\overset{C}{\rightarrow}s_3\overset{NC}{\rightarrow}\cdots s_n\overset{NC}{\rightarrow}\cdots s_m \overset{NC}{\rightarrow}\cdots A={ω}⊆Act{NC,W,C},ρ=s0​→NCs1​→Ws2​→Cs3​→NC⋯sn​→NC⋯sm​→NC⋯，动作$NC$在路径上经常次执行，这个路径就叫做无条件公平路径
    • 公式：
      $$true\Rightarrow \forall k⩾0,\exists j⩾k,{\alpha }_j\in A$$
      对轨迹中的动作序列的任一位置$k$，总能在$k$上或$k$后面找到一个位置$j$，该位置的动作${\alpha }_j\in A$

  • 强公平性（Strongly A-fair）：若轨迹满足强公平性，如果$A$中存在的动作无限经常次想要执行，则$A$中存在一个或多个动作可以无限经常次执行。

    • 公式：
      $$(\forall k⩾0,\exists j⩾k,Act(s_j)\cap A\ne \varnothing )\Rightarrow \forall k⩾0,\exists j⩾k,{\alpha }_j\in A$$
      对轨迹中的状态序列的任一位置$k$，若总能在$k$上或$k$后面找到一个位置$j$，使得状态$s_j$的所有直接动作$Act(s_j)$中存在$A$中的动作（即$Act(s_j)\cap A\ne \varnothing$，无限经常次想要执行），那么$A$中一定存在无限经常次执行的动作

  • 弱公平性（Weakly A-fair）：若轨迹满足弱公平性，如果$A$中的某位置开始，无限经常次有$A$中的动作想要执行，则$A$中存在一个或多个动作可以无限经常次执行。

    • 公式：
      $$(\exists k⩾0,\forall j⩾k,Act(s_j)\cap A\ne \varnothing )\Rightarrow \forall k⩾0,\exists j⩾k,{\alpha }_j\in A$$
      对轨迹中的状态序列的某一位置$k$，若总能在$k$上或$k$后面找到一个位置$j$，使得状态$s_j$的所有直接动作$Act(s_j)$中存在$A$中的动作（即$Act(s_j)\cap A\ne \varnothing$，无限经常次想要执行），那么$A$中一定存在无限经常次执行的动作

    其中， A c t ( s ) = { α ∈ A c t ∣ ∃ s ′ ∈ S , s → α s ′ } Act(s) = \{ \alpha \in Act | \exist s' \in S,s\overset{\alpha}{\rightarrow} s' \} Act(s)={α∈Act∣∃s′∈S,s→αs′}

  • 例题六：

    • 取动作 A = { e n t e r 1 , e n t e r 2 } A=\{enter_1,enter_2 \} A={enter1​,enter2​}，判断下面的红色轨迹是否满足强公平性？（红色轨迹从第2个位置开始，234位置的状态轮以闭圈的形式无限次执行）
      
    • 答案：
      • 在红色轨迹中，我们看到，状态$⟨w_1,n_2,y=1⟩$无限次想要执行$ente{r}_1$，状态$⟨w_1,w_2,y=1⟩$无限次想要执行$ente{r}_1$和$ente{r}_2$，轨迹最终的结果是无限经常次执行$ente{r}_2$，所以这个轨迹满足强公平性。

  • 例题七：

    • 取动作 A = { r e q 2 } A=\{req_2 \} A={req2​}，判断下面的红色轨迹是否满足弱公平性？（红色轨迹从第1个位置开始，123位置的状态轮以闭圈的形式无限次执行）
      

    • 答案：

      • 在红色轨迹中，我们看到，从第一个状态开始，每一个状态都无限经常次想要执行$re{q}_2$，但$A$中不存在无限经常次执行的动作，所以这个轨迹不满足弱公平性。

• 程序或进程在无条件公平性下终止的情况：
  $$\begin{array}{rl}procInc=& while⟨x⩾0dox:=x+1⟩od\\ procReset=& x:=-1\end{array}$$

  $x$是共享变量，初始值为0

• 公平性对路径的约束过强或过弱

  • 公平性的目的是排除“不合理”的路径，但如果我们去除了过度或者取出不足时，对验证结果会产生一定的影响。
  • 约束过强（去除过度时）：
    • 总的路径$\subseteq$合理的路径$\subseteq$验证用的路径
    • 如果验证结果为false，则可以说明合理的路径对应的模型是有问题的
    • 如果验证的结果为true，无法说明合理的路径对应的模型是正确的
  • 约束过弱（去除不足时）：
    • 总的路径$\subseteq$验证用的路径$\subseteq$合理的路径
    • 如果验证结果为true，则可以说明合理的路径对应的模型是正确的
    • 如果验证的结果为false，无法说明合理的路径对应的模型是错误的

公平性假设

• 公平性假设$\mathcal{F}$将无条件公平、强公平性、弱公平性分属成三个集合，表示为三元组：$\mathcal{F}=({\mathcal{F}}_{ucond},{\mathcal{F}}_{strong},{\mathcal{F}}_{weak})$

  • 其中 F u c o n d = { f u c o n d 1 , f u c o n d 2 , ⋯   } , { f s t r o n g 1 , f s t r o n g 2 , ⋯   } , { f w e a k 1 , f w e a k 2 , ⋯   } \mathcal{F}_{ucond}= \{ f_{ucond_1},f_{ucond_2},\cdots\}, \{ f_{strong_1},f_{strong_2},\cdots\}, \{ f_{weak_1},f_{weak_2},\cdots\} Fucond​={fucond1​​,fucond2​​,⋯},{fstrong1​​,fstrong2​​,⋯},{fweak1​​,fweak2​​,⋯}
    $f_{ucon{d}_i},f_{stron{g}_i},f_{wea{k}_i}\subseteq 2^{Act}$
    因此${\mathcal{F}}_{ucond},{\mathcal{F}}_{strong},{\mathcal{F}}_{weak}\subseteq 2^{Act}$
  • 执行片段$\rho$满足公平性假设$\mathcal{F}$，则称它为$\mathcal{F}$-fair，有三条性质：
    • 对于所有的动作$A$均满足$A\in {\mathcal{F}}_{ucond}$时，执行片段$\rho$是无条件限制的公平性
    • 对于所有的动作$A$均满足$A\in {\mathcal{F}}_{strong}$时，执行片段$\rho$是强公平性
    • 对于所有的动作$A$均满足$A\in {\mathcal{F}}_{weak}$时，执行片段$\rho$是弱公平性

• 对于例题六：
  

  • 当 F = ( ∅ , { { e n t e r 1 , e n t e r 2 } } , ∅ ) \mathcal{F} = (\varnothing,\begin{Bmatrix}\{enter_1,enter_2\}\end{Bmatrix},\varnothing) F=(∅,{{enter1​,enter2​}​},∅)时，也就是 F u c o n d = F w e a k = ∅ , F s t r o n g = { e n t e r 1 , e n t e r 2 } \mathcal{F}_{ucond}=\mathcal{F}_{weak}=\varnothing,\mathcal{F}_{strong}=\{enter_1,enter_2\} Fucond​=Fweak​=∅,Fstrong​={enter1​,enter2​}时，${\mathcal{F}}_{strong}$内只有一个公平性性质 f s t r o n g = { e n t e r 1 , e n t e r 2 } f_{strong}=\{enter_1,enter_2\} fstrong​={enter1​,enter2​}，这个公平性假设和例题六给出的强公平性性质是完全一样的。所以图上的执行是满足这个公平性性质$\mathcal{F}$的。
  • 当 F ′ = ( ∅ , { { e n t e r 1 } , { e n t e r 2 } } , ∅ ) \mathcal{F'} = (\varnothing,\begin{Bmatrix}\{enter_1\},\{enter_2\}\end{Bmatrix},\varnothing) F′=(∅,{{enter1​},{enter2​}​},∅)时，${{\mathcal{F}}^{\prime }}_{strong}$内有两个公平性性质，对于 f s t r o n g 2 = { e n t e r 2 } f_{strong_2}=\{enter_2\} fstrong2​​={enter2​}满足强公平性，但 f s t r o n g 1 = { e n t e r 1 } f_{strong_1}=\{enter_1\} fstrong1​​={enter1​}不满足强公平性。所以图上的执行是不满足这个公平性性质${\mathcal{F}}^{\prime }$的。

• 对于例题七：
  

  • F = ( ∅ , { { e n t e r 1 } , { e n t e r 2 } } , { { r e q 1 } , { r e q 2 } } ) \mathcal{F} = (\varnothing,\begin{Bmatrix} \{enter_1\},\{enter_2\} \end{Bmatrix}, \begin{Bmatrix} \{req_1\},\{req_2\} \end{Bmatrix}) F=(∅,{{enter1​},{enter2​}​},{{req1​},{req2​}​})
    需要考察每一个公平性属性，才能知道上图中的执行是否满足公平性假设$\mathcal{F}$
    • f s t r o n g 1 = { e n t e r 1 } f_{strong_1}=\{ enter_1\} fstrong1​​={enter1​}是满足的，因为$ente{r}_1$无限经常次使能且无限经常次进入了。
    • f s t r o n g 2 = { e n t e r 2 } f_{strong_2}=\{ enter_2\} fstrong2​​={enter2​}是不满足的，因为其中的全部动作$ente{r}_2$没有无限经常次想要执行，所以也不用看有没有无限经常次执行了。
    • f w e a k 1 = { r e q 1 } f_{weak_1}=\{ req_1\} fweak1​​={req1​}是满足的，因为状态$⟨n_1,n_2,y=1⟩$无限次想要执行$re{q}_1$，并且执行力无限次，所以这条轨迹满足$A=re{q}_1$的弱公平性$f_{wea{k}_1}$。
    • f w e a k 2 = { r e q 2 } f_{weak_2}=\{ req_2\} fweak2​​={req2​}是不满足的，虽然轨迹中的每个状态都想要执行$re{q}_2$，但在轨迹中并没有$A=re{q}_2$中无限经常次执行的动作。
  • 综上，上图中的执行不满足公平性假设$\mathcal{F}$

• 公平路径和轨迹：

  • 如果存在路径$s_0\stackrel{{\alpha }_1}{\to }{s}_1\stackrel{{\alpha }_2}{\to }{s}_2\cdots$，则路径$s_0\to s_1\to s_2\cdots$是$\mathcal{F}$-fair的

    • $FairPath{s}_{\mathcal{F}}(s)$表示从$s$开始的$\mathcal{F}$-fair路径集合
    • $FairPath{s}_{\mathcal{F}}(TS)={\bigcup }_{s\in I}FariPath{s}_{\mathcal{F}}(s)$表示从所有初始状态出发的$\mathcal{F}$-fair的路径的集合

  • 如果存在一条$\mathcal{F}$-fair的路径$\pi$且$\sigma =trace(\pi )$，则轨迹$\sigma$是$\mathcal{F}$-fair

    • $FairPath{s}_{\mathcal{F}}(s)=trace(FairPath{s}_{\mathcal{F}}(s))$
      表示从$s$出发的所有$\mathcal{F}$-fair的轨迹的集合
    • $FairPath{s}_{\mathcal{F}}(TS)=trace(FairPath{s}_{\mathcal{F}}(TS))$
      表示整个$TS$的所有$\mathcal{F}$-fair的轨迹的集合

• 公平性的满足性

  • 我们之前学到：$TS$满足LT属性$P$的条件是对于$TS$的所有轨迹都满足$P$
    $$TS\models P当且仅当Traces(TS)\subseteq P$$
  • 引入公平性假设后，$TS$则是被公平性假设$\mathcal{F}$约束后满足LT性质P（也可理解为：$TS$公平性满足LT属性$P$且满足公平属性$\mathcal{F}$），此时，只需考虑$TS$中的那些被公平性假设约束后的轨迹集合是P的子集即可，记为：
    $$TS{\models }_{\mathcal{F}}P当且仅当Traces(TS{)}_{\mathcal{F}}\subseteq P$$

  • 对于$TS$上的所有路径，如果全都满足$\mathcal{F}$-fair，则
    $$TS{\models }_{\mathcal{F}}P当且仅当TS\models P$$
  • 如果$TS$内的一些路径不满足$\mathcal{F}$-fair，则
    $$TS{\models }_{\mathcal{F}}P但是有可能出现TS⊭P的情况$$

• 公平性和安全性：

  • 关系：公平性假设$\mathcal{F}$的约束是在无限轨迹上的，而安全性是在有限轨迹上的，所以一个$TS$用公平性约束与否不会影响器是否满足某个安全性。
  • 对于在同一原子命题$AP$上的转移系统$TS$和安全性$P_{safe}$，对于任意的$s(s\in Reach(TS))$，满足：在$FairPath{s}_{\mathcal{F}(s)}\ne \varnothing$的情况下
    $$TS\models P_{safe}当且仅当TS{\models }_{\mathcal{F}}{P}_{safe}$$

  相对地，活性是在无限轨迹上的，一个$TS$用公平性约束，无法保证约束后的$TS$对某活性性质的满足性仍保持