2. Model Checking. Вериф. парал. и распределенных программных систем. Карпов (2010) (1185529), страница 42
Текст из файла (страница 42)
~ от бзоктеммк ю рабо- проихдрЗтни другози :войсгза ымммм зм безо- ем; "из. Подобная формула со строгим оператором 0аб1: АС (-аглггбасу) вшачает, что ключ обязательно в конце конем будет вставлен. Вообще проверка свойств безопасности относительно проспк ее мщкно выполнить за конечное число шагов. Проверка формул с ааератарямн нронппии. Часто свойства безопасности вмрюкаютсл с помощью темпоральных операторов прошлого: Х з, Р, $. Эти темпоральные операторы имеют следующий смысл (см.
лк 2): братно Х, Р(стран)обратно йз(Р Р з), $ (от $1псе, с мех пор, кпк) обратно5. Примеры: .з "если сигнал тревоги установился, то в предыдущий момент времени был сигнал омказ": С(мрсегиа» Х З отказ) П "юпклый рак когда появляется сигнал абмщ, еюу пвсяе ипеиапнее срзмй не предшествует ггзег: С(айкю»( гюег)$сгагй) П "если сообщение пслучмю привмнююм, тв еип было поенаюгнерспатчн. ком по крайней мере за 1 шаг до этогзР: С(зесаю»Х зРзеЫ) Формальное определение сомангнки этих новых темпоральнык операаерсв очевидно: .з о'1=Х зр ио' ~р для 1> 0 — на вычислении о'=з,з.
зз„зг„з . выз -3 полюмтся ).Т1 формуле Х 'р, если зр выполняеюя в предылущем со. сюянин етого вычисления; э о'1=Рзр и(ззй:Окйхг):о~зрр — на вычислении о'=зз,,з, г„... юзполнястся (.П формула Рзр, если котла-то в прошлом сосгомзии вмчнг лепна а (вюиочая настоящее) формула зр выпслнилась; глава Е (2 О') Ефртмф:0626!)(ОГ~РЗ) И (З%:2<26!):О~~=Е,) — На ВЫ- чнслении о г,г,,з„зг„з ...
выполняется ЕТ1 формула Р<р, если когда-то / в прошлом состоянии вычисления о (включая настоящее) выполнилась формула Ез, а паоле ее вышшнения во всех состоаннях вычисления о до состояния г, включительно выполнялааь формула Е,. Оказывается, что можно проверить выполнение подобных угвержаений в Рамквх уже разработанной теории, не рааширяя логику темпоральными операторами прошлого. Для зтого вводятся так называемые наторические переменные. Покюкем эту технику на примерах. Пример 6.1 Пример струюуры Кринке с атомарнымн предиюпамн а(агш ичгпгл представлен на рнс.6.2.
Рассмотрим формулу С(а(штн~Х ~ сгаз(г) с темпоральным оператором прошлого Х '. Введем новый атомарный предикат (историческую переменную) Ь! твк, чтобы на развертке исходной струкгуры Кринке М значение й! было истинным в тех состояниях, в которых оператор прошлого Х ~ стай выполняется. Если мы зто сделаем, то формула С(а(агмсьЫ) превратится просто в свойство достижимости, выраженное в обычной логике Ьт(..
и малют быть легко проверена. Пометим оператором Ы жггяе все ребра, шплпие из состояний, в которых атомарный преднкат агава истинен, и оператором Ы ж (а(ге все ребре, идущие из сосгояннй, в которых юпмарный предикат стай ложен (рис.6.2, 6). Парейдем от системы переходов, ориентированной на сообщения, к системе переходов. ориентированной на состояния, т. е, преобразуем систему переходов так, чтобы состояния новой структуры Крнпке хранили те изменения, которые вызваны выполнением оперений на входящих в ннх переходах.
Если в одно н то же состояние исходной структуры входят переходы с различными операторами, то такие состояния продублируем (рнс. 6.2, е). В новой структуре Кринке вместо оператора прошлого Х сгагд мвкно использовшь атомарный преликат Ы . Пример 6.2 Рассмотрим теперь формулу С(а)агглю( гале!) 3 стай) с темпоральным оператором прошяого рйр, который имеет представленную выше семантику: преднкат р все время истииен с тех пор, как предикат а был истинен когда-та в прошлом. Г~а 6 нв вы- тгда-то нилась я о до еиий в юи опее пере- 6 пред- темпо- ан (нсуктуры опера- т ормула женнсс альным аманти- истинен оторых и. илу- 6.2, о).
:нстеме перехо. ененна. н. Если ечными !с труквть аго. Рнс. $2. Вееденнв аееораческон переменной Ы уь спмв 266' ры К~ горит Введг одела стоян ление та ую кола ~ на дв, го ав. выпа Хара ютасс; мною нсчна бой б 6 рие.б.в. Пщхенке ксторическоа переменной 62 и ( югщ) Ястагй непоч с чипг не вы вычис юй скол своде Прего безом пить е грамм ний с сеойсг нн, в Пример структуры Кринке с атомернымн прелнквтамн гюег и стог« представлен на рис.
6.3. Введем историческую переменную «2 и( пмег)Бстшй со следующими правилами ее определения: Н на начальной стрелке 62: ~аме, потому что свойство сгигй до начала работы системы не выполнялось; ьг на калевом переходе, везущем в состояние сгай, выполним присванванне 62 ж «тм, поскольку в атом сосгоянин сгагл станет истинным; г3 нв каждом переходе, ведущем в состояние гезег, установим 62:= Юйс, если в нем не выполняема сгагй; О на кюкдом переходе, ведущем в сосюяние гегег, переменная 62 не изменяется.
На рис. 63, а осыпано такое определение исторической переменной 62, а на рнс. 6.3, б — преобрпюввние структуры Криви тгиь чтобы изменения 62 были бы зафикснровены в состояниях. »нне йзе, из- а на Ь2 На преобрюованной струкгуре Кринке формула С(а)шими» Ь2) булет выразить свойство безопасности С(а)шш и»( екыг) $ сгазй) исходной структуры Кринке, которое мажет быть легко проверено разработанными выше алгоритм амн. Введение подобных переменных для операторов прошлого всегда моюю сделать. поскольку истории на структуре Кринке конечны, а начальное состояние не удалено в - ю.
Следует, однако, учесть, что в общем случае введение дополнительной двоичной переменной в качестве атомарного предиката удваивает число состояний. структуры Кринке. Например, в модели протокола РАК в иь 5 (см. Рнс, 54) начальное состояние О процесса А расщешмно иа два состоания, О и 2. Зтн состояния эквивалентны как состояния конечного автомата, но не эквивалентны с точки зрения истории: в состоянии О не выполняется атомарный предикат з», который имеет смысл ." К» (процесс А послал сообщение, занумерованное )). Характеризацнп евайства базепвспосчзь Дла формального определешш класса авойств безопаанасти рассмотрим язык, состоящий нз некоторого инажеапш бесконечных слов (м-слов) над ал4мвитом Е, т.е.
ЕСЕ", Конечная цепочках над Е называетая "ллаяии префиксам", если луп Е для любой бесконечной цепочки у ~ Ее. Иными славами, как бы нн продолжажюь цепочка з, полученная бесконечная цепочка не приналлмкит языку Е. Можно считать цепочку х контрпримером, показывающим, что некоторое свойство не выполняется. Свойство называется свойством безопасности, сопи любое вычисление, явлжощееся для этого свойства контрпримером, включает "вююи префикс". Поэтому свойства безопасности называются свойствами "с конечным анраееригением": любое вычисление, которое не удоааешоряст свойству безопасности ф, имеет конечный префикс, на котором ф нарушается.
6.4. Свойства живости (11чепеее) Программы, коюрые ничего не делают, всегда удовлетворяют требованиям бсюпасностн: в них ничего не происходит, поэтому н ничего плохого насту. пить не может. Очевидно, что требования безопасности в спецификации программ должны сопровождаться требованиями живости, прогресса вычисле.
ннй системы в нужном направлении. Например, взаимное нсключение— свойство безоаааности — будет выполняться в системе управления ресурсами, в которой планировщик вообще заблокирует испояьзоввние ресурса асе- гласа я ми процессами. Отсюда следует, что кроме авойаш безопасности у системы необходимо обшательно проверить и возможность прогресса. Прогресс з "прзвильномч направлении сбеспечиваегая свойствами живости. Свойство »кнвастн угверждает, что нечто хоро»нее е будуь;мм обязател~но лрошойдел», что выразамтся формулой СТЬ АЖр, илн нечто хорошее обязательно в будущем будет происходить леалределеиио числю, что выражается формулой ЬТЬ СВр. Примеры таких свойств: Пример 6.3 Любой запрос будет в конце концов обслужеш АС (тес а» А)гпп) в СТ1„ С(тес =» 1Ъи) в ЬТЬ Система всегда вернстя в евое начальное аостояние: АС ЖУ гли в СТЬ(в Ь'П формулы лля выражения этого свойства нет). После дождя выглянет, наконец, солнце: АС(долсдь ш АР солила) в СП.
нли С(дождь =» Рсаяльн) в ЬТЬ Очеви Форм» (з С1: Ыожн сгн, т шабх» Пример 6.6 Рассмотрим задачу построения контроллера — системы управления светофором на перекрестке (рна. 6.4). Кон»роллер должен обеспечивать безопасный к зффекгнвный проезд перекрестка ео всех направлениях: на аевер ( Н ), восток (Е ), юг (Я) и запал (И' ), Эти требовениа можно вырез»пь следующим образом: С) С1: Гарантиа отсу»сеня коллизий — невозможность ситуации, при которой разрешен проезд по пересекмощимся направлениям; О С2: Гарантия обеспечения сервиса — по кшкдому направлению должна быть обеапечена шпможность проев»ш (прогресс). Ва мн ш»они ° отар» иричи уа) Сущее ° рити~ ром о» шм, и» ° аша» Пример 6.4 Протокол выбора лидера аостоит в том, что раапределенные процессы долж- ны выбршь любой один процесс для координации их параллельной мггнвно- сти.
Существует множество различных аягоритмов выбора лидера, но для всех них должны быль выполнены свойатва: П число выбранных лидеров < 1 (свойство безопасноагн); С) в конце концов, точно один лидер будет выбран (свойапю живости). авва а АС(Е геск1у юг АР (Е Егеел)) аолжнвно.
о для чый и обра- стемы юсс в НГство едем, > е бу- мулой Рне. а А Упраавснне светофорами на верекресгке Очевидно, что С1 — это свойства безопасностя, С2 — свойства живоепь Формально для двух пересекмцшихся направлений: 0 С1: АС (Е йгеялл(йг Егвелтб йгеел)) А ~К реп 4 Е йгюиу% рунел)) Гу С2: АС(лг гегкгусьАЕ(лГ Егеел)) Можно считать, что свойство, выраженное в ЬТЬ, явллетсв свойством живо сгн, аслн оно не авляетсв свойспюм безопасности. Свойства живости более сложные, чем свойства безопасности: дая доказательства свойства впюонпг необходимо аналнзиромпь бесконечные цепочки.
6.$. Свойства справадпивости (Ь)рпевв) Во многих случаях выполнение свойств, определяющих корректное функционирование модели, должно проводиться только на тех вычислениях, на которых выполняема некоторое дополнительное условие, которое по разным причинам называется требованием справедливости (галиева): Глгпгам иг сеойсмео . Существует две причины формулировки требования справедливости. Первая причина состоит в том, что анализируемая система будет работать в некотором окружении, к функционированию которого мы предьявлвем эти требования, поскольку толью с этими дополнмгельнымн требованиями к окрулмнюо наша система может выполнять полезную функцнональвють.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
