离散时间区间时序逻辑模型检查.pdfVIP

离散时间区间时序逻辑模型检查* 1、2、+ 1 1 朱维军 段振华 张海宾 （1、西安电子科技大学计算理论与技术研究所，陕西西安，710071） （2、郑州大学信息工程学院，河南郑州，450052） + E-mail:zhuweijun76@163.com 摘要：目前还没有模型检查的方法自动检测时间自动机模型是否满足时间区间时序逻辑描述 的性质。我们约束时间域到离散时间，证明了离散时间区间时序逻辑的可满足性是可判定的， 因而是可模型检查的。通过从离散时间区间时序逻辑到离散时间自动机的构造，提出了基于 该逻辑的模型检查方法，该方法可以推广到其它的时序逻辑模型检查，并优于现有的从时序 逻辑到自动机的转换方法。 关键词：离散时间区间时序逻辑；离散时间自动机；可满足性判定；模型检查 文献标识码：A 中图分类号：TP301 0、问题的提出和相关的工作 为了验证软、硬件系统与网络协议的性质，模型检查技术近年被广泛研究与使用。在实 时领域，Alur 提出的时间自动机[1] 已经成为建立模型的事实标准，各种实时逻辑则被提出并 用来描述系统的实时性质[2][3][4] 。不幸的是，稠密时间域上的实时逻辑的可满足性是不可判 定的，因此不可用来模型检查。解决的办法有多种，比如不允许逻辑描述准点性质[2][5] ，不 允许时间约束在非算子下出现[6] 。然而，这样的限制降低了逻辑的表达能力，导制一些实时 性质不能被描述。多位研究者寻求更优的解决，结果表明，离散时间域上的实时逻辑可以满 足实时性质验证的需要[6][7] 。 经典实时逻辑是建立在基于连续点的语义基础上，公式只能在孤立的点上被满足，而 基于区间的实时逻辑[8][9][10] 的优点在于可以描述整个区间的性质。因而周巢尘提出的基于连 续时间观察序列（Timed observation sequence ）的时段演算（Duration calculus, DC ）被广泛 研究[10][11][12]并取得了成功。然而，已有的实时模型检查算法均遭遇到状态空间爆炸问题， 成为困扰研究人员的难题。这也导制了寻找逻辑规范可执行子集的努力，时间区间时序逻辑 [8][9] （Timed interval temporal logic, TITL ）的时序版EITL （Extend interval temporal logic ）具 有一个规范可执行的子集Extend tempura 语言[13][14][18][19] ，可通过执行规范的方法验证时序 性质。我们的研究正在把tempura 语言扩展到实时领域，这样，TITL 的子集将在实时区间 领域成为第一个规范可执行的逻辑。这就是使用TITL 逻辑实时区间验证的优势。本文介绍 阶段性成果，给出对TITL 逻辑描述性质的第一个模型检查方法。 我们的研究表明：如果不加约束，完全版的稠密时间TITL 的可满足性是不可判定的； 而离散时间TITL （下文用TITLdiscre 表示）的可满足性是完全可判定的。在真实的实时系统 中，不存在任意精度的时钟，它必然受到物理因素的限制，使得我们只能以有限精度时钟观 察系统的行为。我们可以选取∆∈Q ，只要∆足够小，就可以足够精度观察实时系统。在离 [7] 散时间域Tdiscre 中，时间以∆为单位推进，这样离散时间性质与模型对实时验证是足够的 ， 同时降低了验证复杂性[7] 。根据模型检查的需要，我们只研究逻辑的命题部分，不涉及一阶 部分。 1、离散时间区间时序逻辑 TITL 是对EITL 的实时扩展，它对EITL 的状态之间引入了时间变量和约束，以表达状 态之间的时间约束关系。在我们的定义中，采用正整数 N 做为时间域，得到的逻辑称为 TITLN ，（1.3 节证明TITLN 和Tdiscre 等价。） *本课题研究获得国家自然科学基金面上项目（No.60373