符号模型检验（8）符号、模型、检验——OBDD，Kripke，CTL

$\Uparrow \Uparrow \Uparrow \Uparrow \Uparrow$ 上方专栏内有更多内容$\Uparrow \Uparrow \Uparrow \Uparrow \Uparrow$

符号模型检验

模型检验是一种自动验证有限状态系统正确性的形式化方法。在模型检验中，用户提供所要验证系统的模型（可能的行为）和需求分析的规格（要求的行为）；计算机通过执行算法穷举搜索状态空间中的每一个状态，进而给出确认系统模型是否满足系统规格的结论。模型检验具有：完全自动、支持部分验证、给出不满足规格的反例等优点。不足之处在于：状态组合制约了可以求解的应用问题的规模。上世纪80年代末期，OBDD引入模型检验所产生的符号模型检验技术，将OBDD 用作为表示布尔函数的数据结构。新的数据结构可以实现系统及其规格的精确表示和高效操作，从而有效改善了模型检验所能验证的系统规模。

不动点原理

CTL相关理论可查看上方专栏中符号模型检验（2）时态逻辑
Emerson和Clarke于1981年证明了CTL公式的不动点性。CTL模型检验算法正是基于这一性质建立的。为了理解不动点性，我们首先介绍代数结构以及函数中的一些相关知识。

对于集合S上的一个二元关系R，如果该二元关系具有自反、反对称、传递性质，即，满足：① $\forall a,b\in S，aRa$; ②$\forall a,b\in S,aRb\wedge bRa\Rightarrow a=b$；③ $\forall a,b,c\in S,aRb\wedge bRc\Rightarrow aRc$, 那么称关系R为A上的一个偏序关系。具有偏序关系R的集合S，称为偏序集，记为$⟨S,R⟩$ 或$⟨S,\le ⟩$。关系R也可以用“$\le$”表示。

例如：集合S的幂集$2^S$上的集合包含关系$\subseteq$是一个偏序关系，$⟨2^S,\subseteq ⟩$是一个偏序集。

对于偏序集$⟨S,\le ⟩$以及子集合$B\subseteq S$，如果$\forall b\in B$，存在$a\in S$满足$b\le a$，则称$a$为$B$的一个上界；对于$B$的上界$a$，如果$\forall c\in S$，$c$是$B$的上界且$a\le c$，则称$a$为$B$的最小上界，并记为$\top$或$\bigsqcup B$。同理，对于偏序集$⟨S,\le ⟩$以及子集合$B\subseteq S$，如果$\forall b\in B$，存在$a\in S$满足$a\le b$，则称$a$为$B$的一个下界；对于$B$的下界$a$，如果$\forall c\in S$，$c$是$B$的下界且$c\le a$，则称$a$为$B$的最大下界，并记为$\perp$或$\sqcap B$。

完全格 对于偏序集$⟨S,\le ⟩$，如果$\forall B\subseteq S$，存在$B$的最小上界$\top$和最大下界$\perp$，那么称$⟨S,\le ⟩$为完全格。

例如，对于集合 S = { 0 , 1 , 2 } S =\{0,1,2\} S={0,1,2}，考察偏序集合$⟨2^S,\subseteq ⟩$：{0,1}和{0,2}的最小上界为{0,1,2}、最大下界为{0}；{0,1,2}的最小上界为{0,1,2}、最大下界为空集$\varnothing$。
对于偏序集$⟨S,\le ⟩$上的函数$f:S\to S$，如果$\forall a,b\in S$且$a\le b\Rightarrow f(a)\le f(b)$，则称$f$为$S$上的一个单调函数。显然，单调函数保持了集合上元素的偏序性。

不动点 对于函数$f:S\to S$，$\forall a\in S$，若$f(a)=a$，则称$a$为$f$的不动点。若 ∀ b ∈ { S ∣ f ( b ) = b } , a ≤ b \forall b\in \{S|f(b)=b\},a\le b ∀b∈{S∣f(b)=b},a≤b，那么$a$称为$f$的最小不动点；若 ∀ b ∈ { S ∣ f ( b ) = b } , b ≤ a \forall b\in \{S|f(b)=b\},b\le a ∀b∈{S∣f(b)=b},b≤a，那么$a$称为$f$的最大不动点。
定理 完全格上的任一单调函数都有唯一的最大不动点和最小不动点。

完全格$⟨S,\le ⟩$上单调函数$f$的最小不动点可以通过${\bigsqcup }_i{f}^i(\perp )$来计算，亦即，最小上界序列$\perp ,f(\perp ),f(f(\perp )),f(f(f(\perp ))),\dots$。该序列为$\le$下的全序，即$f^i(\perp )\le f^{i+1}(\perp )(i=1,2,\dots )$。

该结论的理由在于：由于$\perp$为格$⟨S,\le ⟩$的最小元，那么$\forall a\in S$有$\perp \le a$，而$f(\perp )\in S$，故 $\perp \le f(\perp )$；由$f$的单调性，可知$f(\perp )\le f(f(\perp ))$；…；依次类推可得 $f^i(\perp )\le f^{i+1}(\perp )(i=1,2,\dots )$。同理，完全格$⟨S,\le ⟩$上单调函数f的最大不动点可以通过${\sqcap }_i{f}^i(\top )$来计算，亦即，最大上界序列$\top ,f(\top ),f(f(\top )),f(f(f(\top ))),\dots$。该序列为$\le$下的全序，即，$f^{i+1}(\top )\le f^i(\top )(i=1,2,\dots )$。该结论的理由在于：由于$\top$为格$⟨S,\le ⟩$的最大元，那么$\forall a\in S$有$a\le \top$，而$f(\top )\in S$，故$f(\top )\le \top$；由$f$的单调性，可知$f(f(\top ))\le f(\top )$；…；依次类推可得$f^{i+1}(\top )\le f^i(\top )(i=1,2,\dots )$。

下面基于Kripke结构考察CTL公式的不动点性。对于Kripke结构$M=(S,R,L)$和CTL公式$\varphi$和$\phi$，建立M上满足公式$\varphi$和$\phi$的状态组成的集合:
⟦ ϕ ⟧ = { s ∈ S ∣ M , s ⊨ ϕ } ⟦ φ ⟧ = { s ∈ S ∣ M , s ⊨ φ } \llbracket\phi\rrbracket= \{s\in S | M,s\models\phi\} \quad \llbracket\varphi\rrbracket= \{s\in S | M,s\models\varphi\} [[ϕ]]={s∈S∣M,s⊨ϕ}[[φ]]={s∈S∣M,s⊨φ}
并定义公式$\varphi$和$\phi$之间的关系$\le :\varphi \le \phi$ 当且仅当$[[\varphi ]]\subseteq [[\phi ]]$
显然，关系$\le$是CTL公式上的一个偏序关系，$⟨\mathrm{CTL},\le ⟩$是一个偏序集。
根据集合的运算性质，$[[\varphi ]]\cap [[\phi ]]$和$[[\varphi ]]\cup [[\phi ]]$分别是$[[\varphi ]]$和$[[\phi ]]$的一个下界和一个上界，并且有
$$[[\varphi ]]\cap [[\phi ]]=[[\varphi \wedge \phi ]][[\varphi ]]\cup [[\phi ]]=[[\varphi \vee \phi ]]$$
由于CTL公式集合在合取（$\wedge$）和析取（$\vee$）运算下封闭，任意CTL公式$\varphi$和$\phi$的都存在上、下界。$⟨\mathrm{CTL},\le ⟩$的最小元素是$\mathrm{false}([[\mathrm{false}]]=\varnothing )$，最大元素为$\mathrm{true}([[\mathrm{true}]]=\mathrm{S})$。
由于$⟨2^S,\subseteq ⟩$是一个完全格，$2^S$上集合的包含$\subseteq$是一个偏序关系，而且对于任意两个子集$S_1,S_2\in 2^S$，$S_1\cap S_2$和$S_1\cup S_2$都有定义，$2^S$的任一子集都存在最小上界和最大下界，所以格$⟨2^S,\subseteq ⟩$的最小元素是空集$\varnothing$，最大元素为$S$。因为$\varphi \le \phi \iff [[\varphi ]]\subseteq [[\phi ]]$所以偏序集$⟨\mathrm{CTL},\le ⟩$是完全格。

如下重复我们在之前已经给出CTL公式的一些扩展公理：
$$\begin{gathered} E(\varphi ⊳\phi )\equiv \phi \vee (\varphi \wedge E◯(E(\varphi ⊳\phi )))A(\varphi ⊳\phi )\equiv \phi \vee (\varphi \wedge A◯(A(\varphi ⊳\phi ))) \\ E\square \varphi \equiv \varphi \wedge E◯(E\square \varphi )A\square \varphi \equiv \varphi \wedge A◯(A\square \varphi ) \\ E◊\varphi \equiv \varphi \vee E◯(E◊\varphi )A◊\varphi \equiv \varphi \vee A◯(A◊\varphi ) \end{gathered}$$

不难看出，如果定义了相应的函数$f:\mathrm{CTL}\to \mathrm{CTL}$，则$E(\varphi ⊳\phi )、A(\varphi ⊳\phi )、E\square \varphi 、A\square \varphi 、E◊\varphi 、A◊\varphi$都可以成为$f$的不动点。例如，如果定义$f:f(z)=\phi \vee (\varphi \wedge E◯z)$，则有$f(E(\varphi ⊳\phi ))=\phi \vee (\varphi \wedge E◯(E(\varphi ⊳\phi )))=E(\varphi ⊳\phi )$，即$E(\varphi ⊳\phi )$是函数$f(z)=\phi \vee (\varphi \wedge E◯z)$的不动点。

定理（CTL公式的不动点特性） 对于Kripke结构模型$M=(S,R,L)$，
① $[[E(\varphi ⊳\phi )]]$是函数 f ( z ) = ⟦ ϕ ⟧ ∪ ( ⟦ φ ⟧ ∩ { s ∈ S ∣ ∃ u ∈ ( R ( s ) ∩ z ) } ) f (z) =\llbracket\phi\rrbracket\cup (\llbracket\varphi\rrbracket\cap\{s\in S | \exist u\in(R(s) \cap z)\}) f(z)=[[ϕ]]∪([[φ]]∩{s∈S∣∃u∈(R(s)∩z)})的最小不动点；
② $[[A(\varphi ⊳\phi )]]$是函数 f ( z ) = ⟦ ϕ ⟧ ∪ ( ⟦ φ ⟧ ∪ { s ∈ S ∣ ∀ u ∈ ( R ( s ) ∩ z ) } ) f (z) =\llbracket\phi\rrbracket\cup (\llbracket\varphi\rrbracket\cup\{s\in S | \forall u\in(R(s) \cap z)\}) f(z)=[[ϕ]]∪([[φ]]∪{s∈S∣∀u∈(R(s)∩z)})的最小不动点；
③ $[[E\square \varphi ]]$是函数 f ( z ) = ⟦ ϕ ⟧ ∩ { s ∈ S ∣ ∃ u ∈ ( R ( s ) ∩ z ) } f (z) =\llbracket\phi\rrbracket\cap\{s\in S | \exist u\in(R(s) \cap z)\} f(z)=[[ϕ]]∩{s∈S∣∃u∈(R(s)∩z)}的最大不动点；
④ $[[A\square \varphi ]]$是函数 f ( z ) = ⟦ ϕ ⟧ ∩ { s ∈ S ∣ ∀ u ∈ ( R ( s ) ∩ z ) } f (z) =\llbracket\phi\rrbracket\cap\{s\in S | \forall u\in(R(s) \cap z)\} f(z)=[[ϕ]]∩{s∈S∣∀u∈(R(s)∩z)}的最大不动点；
⑤ $[[E◊\varphi ]]$是函数 f ( z ) = ⟦ ϕ ⟧ ∪ { s ∈ S ∣ ∃ u ∈ ( R ( s ) ∩ z ) } f (z) =\llbracket\phi\rrbracket\cup\{s\in S | \exist u\in(R(s) \cap z)\} f(z)=[[ϕ]]∪{s∈S∣∃u∈(R(s)∩z)}的最小不动点；
⑥ $[[A◊\varphi ]]$是函数 f ( z ) = ⟦ ϕ ⟧ ∪ { s ∈ S ∣ ∀ u ∈ ( R ( s ) ∩ z ) } f (z) =\llbracket\phi\rrbracket\cup\{s\in S | \forall u\in(R(s) \cap z)\} f(z)=[[ϕ]]∪{s∈S∣∀u∈(R(s)∩z)}的最小不动点。
其中，$R(s)=t\in S|(s,t)\in R$为状态s的所有直接后继状态组成的集合。 （证明从略）

基于CTL公式的不动点特性，就可以设计出相应算法，来求出满足$E(\varphi ⊳\phi )、A(\varphi ⊳\phi )、E\square \varphi 、A\square \varphi 、E◊\varphi 、A◊\varphi$等CTL公式的所有状态。下面给出了计算$E(\varphi ⊳\phi )、A(\varphi ⊳\phi )$的算法SatEU( )和SatAU ( )。

//E（Exists a path）,A（All paths）,X（Next-time）,U（Until）,F（Future）,G（Global）
States function SatEU(Formula phi,Formula psi):
	States Q_old, Q_new
	Q_old=Empty_Set
	while(Q_old!=Q_new):
		Q_old=Q_new
		Q_new= Sat(psi) UNION 
					(Sat(phi) INTERSECT 
						{s|EXISTS u BELONG_TO (R(s) INTERSECT Q_new)}
					)
	return Q_old

//E（Exists a path）,A（All paths）,X（Next-time）,U（Until）,F（Future）,G（Global）
States function SatAU(Formula phi,Formula psi):
	States Q_old, Q_new
	Q_old=Empty_Set
	while(Q_old!=Q_new):
		Q_old=Q_new
		Q_new= Sat(psi) UNION 
					(Sat(phi) INTERSECT 
						{s|R(s) SUBSET_OF Q_new}
					)
	return Q_old

//E（Exists a path）,A（All paths）,X（Next-time）,U（Until）,F（Future）,G（Global）
States function Sat(Formula phi):
	if phi==true return Universal_Set
	if phi==false return Empty_Set
	//原子命题
	if phi BELONG_TO Atomic_Proposition return {s|phi BELONG_TO label(s)}
	//以下判断都是说明phi分解为子命题的形式
	if phi==NOT phi_1 return (Universal_Set DIFFERENCE_OF Sat(phi_1))
	if phi==phi_1 AND phi_2
		return (Sat(phi_1) INTERSECT Sat(phi_2))
	if phi==E(X(phi_1))
		return {s|((s,u) BELONG_TO R) AND (u BELONG_TO Sat(phi_1))}
	if phi==E(U(phi_1,phi_2)) return SatEU(phi_1,phi_2)
	if phi==A(U(phi_1,phi_2)) return SatAU(phi_1,phi_2)

算法SatEU(phi,psi:Formula)实质上是计算$f(z)$ 的最小不动点${\bigsqcup }_i{f}^i(\varnothing )$。由于Kripke结构模型的状态以及CTL公式的有限性，该算法一定可以终止。该算法也可以理解为：开始时任何一个状态都没有标记$E(\varphi ⊳\phi )$，也就是这时公式$E(\varphi ⊳\phi )$在所有的状态下均为假$f^0(\varnothing )=\varnothing$；第一次循环，得到$f^1(\varnothing )$，即$[[\phi ]]$，把$[[\phi ]]$的所有状态都标记为$E(\varphi ⊳\phi )$；第二次循环中，计算$f^2(\varnothing )$，除了那些已经标记的状态，对使$\varphi$为真的状态，以及使$\phi$为真的直接后继状态，均标记为$E(\varphi ⊳\phi )$。按这种方式一直进行下去，直到对某个k，计算出$f^k(\varnothing )$，这时所有应标记的状态都标记为$E(\varphi ⊳\phi )$，程序结束。

由于任意CTL公式都可以用原子命题、$\neg {\psi }_1$、${\psi }_1\wedge {\psi }_2$、$E◯{\psi }_1$、$E({\psi }_1⊳{\psi }_2)$、$E◊{\psi }_1$等六种基本形式进行表示(称为CTL的存在形式)，因此，对于待检验的CTL公式$\psi$，将其进行等价转换后，应用上述三个函数便可以完成模型检验。设$\psi$为仅含上述六种基本形式的待检验的CTL公式，则对于任意状态$s\in S$，$s\models \psi$当且仅当$s\in Sat(\psi )$。

例如，图示Kripke结构M = (S, R, L)，其中，S={s0, s1, s2, s3}、R= {<s0, s1>,<s1, s2>, <s2, s1>, <s3, s2>}、L(s0)={p}、L(s1)={p}、L(s2)={q}、L(s3)= $\varnothing$。对CTL公式$E(p⊳q)$进行检验。
最后得到Sat($E(p⊳q)$) ={s0, s1, s2}，即状态s0、s1、s2都满足CTL公式$E(p⊳q)$。

SatEU(p, q)基于不动点计算满足E(p$⊳$q)的所有状态的执行过程如下：
① 初始时 $Q_{new}=f(\varnothing )=Sat(q)=s_2$
② 进行第一次循环后
Q n e w = f 2 ( ∅ ) = S a t ( q ) ∪ ( S a t ( p ) ∩ { s ∣ ∃ u ∈ ( R ( s ) ∩ { s 2 } ) } ) = { s 2 } ∪ ( { s 0 , s 1 } ∩ { s 1 , s 3 } ) = { s 2 } ∪ { s 1 } = { s 1 , s 2 } Q_{new} = f^2(\varnothing)\\ =Sat(q) \cup (Sat(p)\cap\{s | \exist u\in(R(s)\cap \{s_2\})\})\\ =\{s_2\}\cup (\{s_0, s_1\}\cap\{s_1, s_3\})\\ =\{s_2\}\cup\{s_1\}\\ =\{s_1,s_2\} Qnew​=f2(∅)=Sat(q)∪(Sat(p)∩{s∣∃u∈(R(s)∩{s2​})})={s2​}∪({s0​,s1​}∩{s1​,s3​})={s2​}∪{s1​}={s1​,s2​}
③ 进行第二次循环后
Q n e w = f 3 ( ∅ ) = S a t ( q ) ∪ ( S a t ( p ) ∩ { s ∣ ∃ u ∈ ( R ( s ) ∩ { s 1 , s 2 } ) } ) = { s 2 } ∪ ( { s 0 , s 1 } ∩ { s 0 , s 1 , s 2 , s 3 } ) = { s 2 } ∪ { s 0 , s 1 } = { s 0 , s 1 , s 2 } Q_{new} = f^3(\varnothing)\\ =Sat(q) \cup (Sat(p)\cap\{s | \exist u\in(R(s)\cap \{s_1,s_2\})\})\\ =\{s_2\}\cup (\{s_0, s_1\}\cap\{s_0,s_1, s_2,s_3\})\\ =\{s_2\}\cup\{s_0,s_1\}\\ =\{s_0,s_1,s_2\} Qnew​=f3(∅)=Sat(q)∪(Sat(p)∩{s∣∃u∈(R(s)∩{s1​,s2​})})={s2​}∪({s0​,s1​}∩{s0​,s1​,s2​,s3​})={s2​}∪{s0​,s1​}={s0​,s1​,s2​}
④ 进行第三次循环后
Q n e w = f 4 ( ∅ ) = S a t ( q ) ∪ ( S a t ( p ) ∩ { s ∣ ∃ u ∈ ( R ( s ) ∩ { s 0 , s 1 , s 2 } ) } ) = { s 2 } ∪ ( { s 0 , s 1 } ∩ { s 0 , s 1 , s 2 , s 3 } ) = { s 2 } ∪ { s 0 , s 1 } = { s 0 , s 1 , s 2 } = f 3 ( ∅ ) Q_{new} = f^4(\varnothing)\\ =Sat(q) \cup (Sat(p)\cap\{s | \exist u\in(R(s)\cap \{s_0,s_1,s_2\})\})\\ =\{s_2\}\cup (\{s_0, s_1\}\cap\{s_0,s_1, s_2,s_3\})\\ =\{s_2\}\cup\{s_0,s_1\}\\ =\{s_0,s_1,s_2\}=f^3(\varnothing) Qnew​=f4(∅)=Sat(q)∪(Sat(p)∩{s∣∃u∈(R(s)∩{s0​,s1​,s2​})})={s2​}∪({s0​,s1​}∩{s0​,s1​,s2​,s3​})={s2​}∪{s0​,s1​}={s0​,s1​,s2​}=f3(∅)

符号模型检验

随着程序或系统规模的增大，其状态数目将呈指数增加而引起组合爆炸，使得模型检验技术无法实用化。随着OBDD技术的出现和发展，McMillan等与1992年将其应用到模型检验技术中，建立了符号模型检验技术，有效地缓解了状态组合爆炸问题。符号模型检验技术的核心是：用OBDD隐含地表示Kripke结构和CTL公式，并且利用OBDD操作实现不动点计算。

从前面的讨论中，我们知道OBDD可以有效地表示和操作布尔函数，因此符号模型检验的第一步是用布尔函数隐式地表示Kripke结构的状态、转移关系、原子命题。

对于Kripke结构M = (S, R, L)，S中的状态可以用$n=\lceil {\log }_2(|S|)\rceil$维0-1向量 $\mathbf{X}=(x_1,x_2,\dots ,x_n)$或二进制串$[x_1{x}_2\dots x_n]$进行编码，这样集合S可用如下布尔函数表示：
$$f_S(\mathbf{X})=\{\begin{array}{ll}1& \mathbf{X}=encoded(s),s\in S\\ 0& others\end{array}$$

集合$S_1$、$S_2$的并、交、补等运算，可以用各自对应的布尔函数$f_{S_1}(\mathbf{X})$、$f_{S_2}(\mathbf{X})$的逻辑与（$\cdot$）、或（$+$）、非（${}^{\prime }$）等来实现：
$f_{S_1\cup S_2}(\mathbf{X})=f_{S_1}(\mathbf{X})+f_{S_2}(\mathbf{X})f_{S_1\cap S_2}(\mathbf{X})$
$f_{S_1-S_2}(\mathbf{X})=f_{S_1}(\mathbf{X})(f_{S_2}(\mathbf{X}){)}^{\prime }$

转移关系R为状态之间的序偶集合，对于$\forall ⟨a,b⟩\in R$，设状态$a、b$的编码分别为$\mathbf{X}$和$\mathbf{Y}$，那么可以用2n维0-1向量$(x_1,x_2,\dots ,x_n,y_1,y_2,\dots ,y_n)$或二进制串$[x_1{x}_2\dots x_n{y}_1{y}_2\dots y_n]$表示序偶，对应的布尔函数为
$$f_{⟨a,b⟩}(\mathbf{X},\mathbf{Y})=\{\begin{array}{ll}1& \mathbf{X}=encoded(a),\mathbf{Y}=encoded(b),⟨a,b⟩\in R\\ 0& others\end{array}$$
转移关系R对应的布尔函数为：
$$f_R(\mathbf{X},\mathbf{Y})=\sum _{⟨a,b⟩\in R}{f}_{⟨a,b⟩}(\mathbf{X},\mathbf{Y}).$$
由于标记函数L标注了状态中成立的原子命题，所以可以将状态中所标注的原子命题用所对应状态的状态编码表示，即，L(s)用状态s对应的n维0-1向量$\mathbf{X}$表示。

符号模型检验的第二步是用布尔函数隐式地表示CTL公式。为此，引入全称量词和存在量词：${\exists }_{(x_1,x_2,\dots ,x_n)}f$表示$x_1,x_2,\dots ,x_n$中的某些布尔变量使得f为真，${\forall }_{(x_1,x_2,\dots ,x_n)}f$表示x_1,x_2,…,x_n中的所有布尔变量使得f为真，即，
∃ ( x 1 , x 2 , … , x n ) f = ∑ x 1 , x 2 , … , x n ∈ { 0 , 1 } f ( x 1 , x 2 , … , x n ) \exist_{(x_1,x_2,…,x_n)} f = \sum_{ x_1,x_2,…,x_n \in\{0,1\}} f(x_1,x_2,…,x_n) ∃(x1​,x2​,…,xn​)​f=∑x1​,x2​,…,xn​∈{0,1}​f(x1​,x2​,…,xn​)
∀ ( x 1 , x 2 , … , x n ) f = ∏ x 1 , x 2 , … , x n ∈ { 0 , 1 } f ( x 1 , x 2 , … , x n ) \forall_{(x_1,x_2,…,x_n)} f = \prod_{ x_1,x_2,…,x_n \in\{0,1\}} f(x_1,x_2,…,x_n) ∀(x1​,x2​,…,xn​)​f=∏x1​,x2​,…,xn​∈{0,1}​f(x1​,x2​,…,xn​).

例如，根据CTL语义，$[[E◯\varphi ]]$中的状态$\mathbf{X}=(x_1,x_2,\dots ,x_n)$满足：存在一个状态$\mathbf{Y}=(y_1{y}_2\dots y_n)$，使得$⟨\mathbf{X},\mathbf{Y}⟩\in R$且$Y\in [[\varphi ]]$，即，
$$f_{E◯\varphi }(\mathbf{X})={\exists }_{(y_1{y}_2\dots y_n)}(f_R(\mathbf{X},\mathbf{Y})\cdot f_{\varphi }(\mathbf{Y}))$$
其中，$f_{\varphi }(\mathbf{Y})$为公式$\varphi$成立的状态集对应的布尔函数。类似地，$[[A◯\varphi ]]$中的状态$\mathbf{X}=(x_1,x_2,\dots ,x_n)$满足：所有$⟨\mathbf{X},\mathbf{Y}⟩\in R$的状态$\mathbf{Y}=(y_1{y}_2\dots y_n)$使得$Y\in [[\varphi ]]$成立，即，
$$f_{A◯\varphi }(\mathbf{X})={\forall }_{(y_1{y}_2\dots y_n)}((f_R(\mathbf{X},\mathbf{Y}){)}^{\prime }+f_{\varphi }(\mathbf{Y}))$$

图示具有4个状态的Kripke结构，状态s0、s1、s2和s3可依次编码为(0,0)、(0,1)、(1,0)、(1,1)，从而，状态集合S、转移关系R对应的布尔函数为：
$f_S(\mathbf{X})=x_1^{\prime }{x}_2^{\prime }+x_1^{\prime }{x}_2+x_1{x}_2^{\prime }+x_1{x}_2=1$
$$\begin{gathered} fR(X,Y)=x_1^{\prime }{x}_2^{\prime }{y}_1^{\prime }{y}_2^{\prime }+x_1^{\prime }{x}_2^{\prime }{y}_1^{\prime }{y}_2+x_1^{\prime }{x}_2^{\prime }{y}_1{y}_2^{\prime }+x_1^{\prime }{x}_2{y}_1{y}_2+x_1{x}_2^{\prime }{y}_1^{\prime }{y}_2+x_1{x}_2^{\prime }{y}_1{y}_2+x_1{x}_2{y}_1^{\prime }{y}_2^{\prime } \\ =x_1^{\prime }{x}_2^{\prime }{y}_1^{\prime }+x_1^{\prime }{x}_2^{\prime }{y}_1{y}_2^{\prime }+x_1^{\prime }{x}_2{y}_1{y}_2+x_1{x}_2^{\prime }{y}_2+x_1{x}_2{y}_1^{\prime }{y}_2^{\prime } \end{gathered}$$

下面考察$A◊p$的符号模型检验，由前面内容知$[[A◊p]]$是函数 f ( z ) = ⟦ p ⟧ ∪ { s ∈ S ∣ ∀ u ∈ ( R ( s ) ∩ z ) } f(z) =\llbracket p\rrbracket\cup \{s\in S | \forall u\in (R(s) \cap z)\} f(z)=[[p]]∪{s∈S∣∀u∈(R(s)∩z)}的最小不动点。状态集合 { s ∈ S ∣ ∀ u ∈ ( R ( s ) ∩ z ) } \{s\in S | \forall u\in (R(s) \cap z)\} {s∈S∣∀u∈(R(s)∩z)}对应的布尔函数为：
f { s ∈ S ∣ ∀ u ∈ ( R ( s ) ∩ z ) } ( X ) = ∀ ( v 1 , v 2 , … , v n ) ( f R ( X , V ) → f z ( V ) ) = ∏ v 1 , v 2 , … , v n ∈ { 0 , 1 } ( f R ( X , ( v 1 , v 2 , … , v n ) ) ′ + f z ( v 1 , v 2 , … , v n ) ) f_{\{s\in S | \forall u\in (R(s) \cap z)\}}(\bm X) = \forall (v_1,v_2,…,v_n) (f_R (\bm X,\bm V)\to f _z(\bm V))\\ = \prod_{ v_1,v_2,…,v_n \in\{0,1\}} ( f_R(\bm X,(v_1,v_2,…,v_n))'+ f_z(v_1,v_2,…,v_n)) f{s∈S∣∀u∈(R(s)∩z)}​(X)=∀(v1​,v2​,…,vn​)(fR​(X,V)→fz​(V))=∏v1​,v2​,…,vn​∈{0,1}​(fR​(X,(v1​,v2​,…,vn​))′+fz​(v1​,v2​,…,vn​))

显然，本例中有：
$f_{[[p]]}(\mathbf{X})=x_1{x}_2$
$f_R(\mathbf{X},\mathbf{V})=x_1^{\prime }{x}_2^{\prime }{v}_1^{\prime }+x_1^{\prime }{x}_2^{\prime }{v}_1{v}_2^{\prime }+x_1^{\prime }{x}_2{v}_1{v}_2+x_1{x}_2^{\prime }{v}_2+x_1{x}_2{v}_1^{\prime }{v}_2^{\prime }$

$\mathbf{V}=$	$f_R(\mathbf{X},\mathbf{V})=$
(0,0)	$x_1^{\prime }{x}_2^{\prime }+x_1{x}_2$
(0,1)	$x_1^{\prime }{x}_2^{\prime }+x_1{x}_2^{\prime }=x_2^{\prime }$
(1,0)	$x_1^{\prime }{x}_2^{\prime }$
(1,1)	$x_1^{\prime }{x}_2+x_1{x}_2^{\prime }$

其中，$\mathbf{V}=(v_1,v_2)$是所考察状态的编码；$f_R(\mathbf{X},\mathbf{V})=$是以状态$\mathbf{V}$为直接后继状态的状态组成的集合的布尔函数。可以实施如下符号计算：
$f(\varnothing )$对应的布尔函数
$x_1{x}_2+({\forall }_{(v1,v2)}(f_R(\mathbf{X},\mathbf{V})\to false))=x_1{x}_2$
$f^2(\varnothing )$对应的布尔函数
x 1 x 2 + ( ∀ ( v 1 , v 2 ) ( f R ( X , V ) → ( v 1 v 2 ) ) ) = x 1 x 2 + ∏ v 1 , v 2 ∈ { 0 , 1 } ( ( f R ( X , V ) ) ′ + v 1 v 2 ) = x 1 x 2 + ( f R ( X , ( 0 , 0 ) ) ′ ( f R ( X , ( 0 , 1 ) ) ′ ( f R ( X , ( 1 , 0 ) ) ′ ⋅ 1 = x 1 x 2 + ( x 1 ′ x 2 ′ + x 1 x 2 ) ′ ( x 2 ) ′ ( x 1 ′ x 2 ′ ) ′ = x 2 x_1x_2+(\forall_{(v1,v2)}(f_R (\bm X,\bm V)\to (v_1v_2)))\\ =x_1x_2+\prod_{v_1,v_2\in\{0,1\}}((f_R (\bm X,\bm V))'+v_1v_2)\\ =x_1x_2+(f_R (\bm X,(0,0))'(f_R (\bm X,(0,1))'(f_R (\bm X,(1,0))'\cdot 1\\ =x_1x_2+(x_1'x_2'+x_1x_2)'(x_2)'(x_1'x_2')'\\ =x_2 x1​x2​+(∀(v1,v2)​(fR​(X,V)→(v1​v2​)))=x1​x2​+∏v1​,v2​∈{0,1}​((fR​(X,V))′+v1​v2​)=x1​x2​+(fR​(X,(0,0))′(fR​(X,(0,1))′(fR​(X,(1,0))′⋅1=x1​x2​+(x1′​x2′​+x1​x2​)′(x2​)′(x1′​x2′​)′=x2​
$f^3(\varnothing )$对应的布尔函数
x 1 x 2 + ( ∀ ( v 1 , v 2 ) ( f R ( X , V ) → ( v 2 ) ) ) = x 1 x 2 + ∏ v 1 , v 2 ∈ { 0 , 1 } ( ( f R ( X , V ) ) ′ + v 2 ) = x 1 x 2 + ( f R ( X , ( 0 , 0 ) ) ′ ⋅ 1 ⋅ ( f R ( X , ( 1 , 0 ) ) ′ ⋅ 1 = x 1 x 2 + ( x 1 ′ x 2 ′ + x 1 x 2 ) ′ ( x 1 ′ x 2 ′ ) ′ = x 1 + x 2 x_1x_2+(\forall_{(v1,v2)}(f_R (\bm X,\bm V)\to (v_2)))\\ =x_1x_2+\prod_{v_1,v_2\in\{0,1\}}((f_R (\bm X,\bm V))'+v_2)\\ =x_1x_2+(f_R (\bm X,(0,0))'\cdot 1\cdot(f_R (\bm X,(1,0))'\cdot 1\\ =x_1x_2+(x_1'x_2'+x_1x_2)'(x_1'x_2')'\\ =x_1+x_2 x1​x2​+(∀(v1,v2)​(fR​(X,V)→(v2​)))=x1​x2​+∏v1​,v2​∈{0,1}​((fR​(X,V))′+v2​)=x1​x2​+(fR​(X,(0,0))′⋅1⋅(fR​(X,(1,0))′⋅1=x1​x2​+(x1′​x2′​+x1​x2​)′(x1′​x2′​)′=x1​+x2​
$f^4(\varnothing )$对应的布尔函数
x 1 x 2 + ( ∀ ( v 1 , v 2 ) ( f R ( X , V ) → ( v 1 + v 2 ) ) ) = x 1 x 2 + ∏ v 1 , v 2 ∈ { 0 , 1 } ( ( f R ( X , V ) ) ′ + v 1 + v 2 ) = x 1 x 2 + ( f R ( X , ( 0 , 0 ) ) ′ ⋅ 1 ⋅ 1 ⋅ 1 = x 1 x 2 + ( x 1 ′ x 2 ′ + x 1 x 2 ) ′ = x 1 + x 1 ′ x 2 ( = x 1 + x 2 ) x_1x_2+(\forall_{(v1,v2)}(f_R (\bm X,\bm V)\to (v_1+v_2)))\\ =x_1x_2+\prod_{v_1,v_2\in\{0,1\}}((f_R (\bm X,\bm V))'+v_1+v_2)\\ =x_1x_2+(f_R (\bm X,(0,0))'\cdot 1\cdot 1 \cdot 1\\ =x_1x_2+(x_1'x_2'+x_1x_2)'\\ =x_1+x_1'x_2(=x_1+x_2) x1​x2​+(∀(v1,v2)​(fR​(X,V)→(v1​+v2​)))=x1​x2​+∏v1​,v2​∈{0,1}​((fR​(X,V))′+v1​+v2​)=x1​x2​+(fR​(X,(0,0))′⋅1⋅1⋅1=x1​x2​+(x1′​x2′​+x1​x2​)′=x1​+x1′​x2​(=x1​+x2​)
由于$f^4(\varnothing )=f^5(\varnothing )$，算法执行终止。满足条件$A◊p$的所有状态${\bigsqcup }_i{f}^i(\varnothing )=x_1+x_1^{\prime }{x}_2$。值得注意的是，上面描述过程完全采用的是布尔函数的形式，但在实际符号模型检验实施中是采用的与之相应的OBDD描述的操作。