Foundations of System Development

Transkript

1 Foundations of System Development Martin Wirsing in cooperation with xel Rauschmayer WS 05/06

2 Transitionssysteme

3 Reaktive Systeme 3 Reaktive Systeme Bisher standen folgende spekte der Beschreibung von Systemen im Vordergrund: [Datenstrukturen und Funktionen:] Operationen auf Datenstrukturen durch ngabe des Ein- /usgabeverhaltens [zustandsbasierte (interaktive) Systeme:] Wirkungen von Operationen auf Systemzustand Reaktive Systeme kontinuierliche Interaktion mit Umgebung Terminierung unerwünscht bzw. unwesentlich Beispiele: Prozesssteuerungen, eingebettete Systeme, Protokolle Formal werden reaktive Systeme durch Transitionssysteme modelliert. Dabei interessiert sich man meist mehr für den Kontrollfluss als für den Berechnungsaspekt.

4 Begriff und Beispiele 4 Begriff und Beispiele Wir wiederholen bzw. erweitern die Definition von Transitionssystemen aus Teil III der Vorlesung. Definition: Ein markiertes Transitionssystem Γ = (Z, I,, δ) mit nfangszuständen ist gegeben durch eine Menge Z von Zuständen, eine nichtleere Menge I Z von nfangszuständen, eine Menge von ktionen (bzw. ktionsnamen) und eine Zustandsübergangsrelation δ Z Z. Die ktion heißt ausführbar ( enabled ) im Zustand s, wenn ein t existiert mit (s,,t) δ. Im folgenden setzen wir voraus, dass in jedem Zustand s Z mindestens eine ktion ausführbar ist (d.h. δ ist total). Ein blauf von Γ ist eine unendliche Folge σ = s 0 0 s 1 1 s 2..., so dass gilt: s 0 I ist ein nfangszustand von Γ und für alle i 0 ist (s i, i,s i+1 ) δ. Ein endlicher blauf von Γ ist ein endlicher Präfix eines blaufs von Γ.

5 Begriff und Beispiele 5 Bemerkungen Transitionssysteme haben eine ähnliche Struktur wie endliche utomaten, aber keine Endzustände. Definitionen in der Literatur uneinheitlich, z.b.: ein nfangszustand s 0 Z statt Menge I Z ktionen oft implizit gelassen Totalität von δ nicht gefordert, gelegentlich auch endliche bläufe erlaubt explizite Stotteraktion τ mit (s,τ,t) δ gdw. s = t Die Zustandsmenge Z darf unendlich (sogar überabzählbar) sein. Zustandsübergänge modelliert als atomare ktionen ohne zeitliche Dauer. Die Zustandsmenge Z wird meist durch Belegungen einer Menge V von (Zustands-)Variablen angegeben, evtl. eingeschränkt durch eine Zustandsinvariante. Jede Z-Spezifikation der Form State, Init, Ops definiert ein Transitionssystem mit ktionenmenge Ops (vorausgesetzt, in jedem Zustand ist mindestens eine Operation ausführbar).

6 Begriff und Beispiele 6 Example(Eisenbahnsteuerung als Transitionssystem): signale signalw Zustand der Steuerung beinhaltet Informationen über: Signalstellung Position, Geschwindigkeit und Beschleunigung der Züge Zustandsübergänge: Erfassen neuer Zugdaten durch Sensoren Schalten der Signale

7 Begriff und Beispiele 7 bstraktere Modellierung führt zu endlichem Zustandsraum, z.b. Einteilung der Strecke in bschnitte onbridge signale atsignal signalw Zustandsübergänge Züge enroute rot atsignal grün onbridge Nichtdeterminismus wegen abstrakter Modellierung enroute Signale (kombinatorische Schaltung) trainw traine signalw signale enroute atsignal rot grün atsignal enroute grün rot atsignal atsignal?? sonst rot rot

8 Begriff und Beispiele 12 Programme als Transitionssysteme Example(Stoppuhr): var x,y : integer = 0,0; cobegin α : while y = 0 do β : x := x + 1 end γ : y := 1 coend Zustände: Belegungen der Programmvariablen, außerdem Programmzähler ktionen: entsprechend Programmanweisungen, Stottern am Programmende mögliche bläufe blauf 1: blauf 2: ktion α β α β α γ β α τ x y ktion α β α β α β α β α x y

9 Fairnessbedingungen 13 Fairnessbedingungen Transitionssysteme erlauben häufig unfaire bläufe, die im modellierten System nicht vorkommen können. Typische Ursachen unfairer bläufe: bstraktion bei Modellierung führt zu Nichtdeterminismus im Modell vgl. Beispiel Eisenbahn: Transitionssystem erlaubt Zyklen, in denen ein Zug immer auf der Brücke bleibt. Modellierung von Parallelität durch Nichtdeterminismus vgl. Beispiel Stoppuhr: In blauf 2 wird ktion γ nie ausgeführt. Zwei ktionen stehen in Konflikt, d.h. sind im selben Zustand ausführbar vgl. Beispiel lternating-bit-protokoll: korrekte und fehlerhafte Nachrichtenübertragung (RcvMsg vs. Lose) Fairnessbedingungen schränken die Menge der erlaubten bläufe ein, indem unfaire bläufe ausgeschlossen werden.

10 Fairnessbedingungen 14 Typische Fairnessbedingungen. Beispiel Eisenbahn: Enthält ein blauf unendlich viele Bewegungen eines Zugs ausgehend vom bschnitt onbridge, so befindet sich der Zug unendlich oft nicht im bschnitt onbridge. Beispiel lternating-bit-protokoll: Werden immer wieder Nachrichten auf den Kanal gesendet, so werden auch immer wieder Nachrichten empfangen. lso: Wird SendMsg unendlich oft ausgeführt, dann auch RcvMsg. Beispiel Stoppuhr: Ein Prozess, der (ab einem gewissen Zeitpunkt) ständig ausführbereit ist, führt irgendwann eine ktion aus.

11 Fairnessbedingungen 15 Fairnessbedingungen fordern intuitiv, dass ktionen, die genügend häufig ausführbar sind, irgendwann ausgeführt werden. Wir betrachten zwei Fairnessbegriffe: s 1 1 s 2... heißt schwach fair bezüglich der ktion, falls gilt: Existiert ein n N, so dass in allen Zuständen s m mit m n ausführbar ist, so ist i = für unendlich viele i N. Äquivalente Formulierung: Wird nur endlich oft ausgeführt, so ist im blauf unendlich oft nicht ausführbar. schwache Fairness (weak fairness, justice): Ein blauf s 0 0 s 1 1 s 2... heißt stark fair bezüglich der ktion, falls gilt: Existieren unendlich viele m N, so dass im Zustand s m ausführbar ist, so ist i = für unendlich viele i N. Äquivalente Formulierung: Wird nur endlich oft ausgeführt, so ist im blauf nur endlich oft ausführbar. starke Fairness (strong fairness, compassion): Ein blauf s 0 0 Bemerkung: Starke Fairness impliziert schwache Fairness. Ist ein blauf stark fair bezüglich, so ist er auch schwach fair bezüglich.

12 Fairnessbedingungen 16 Definition: Ein Transitionssystem mit Fairness (fair transition system, FTS) Γ f = (Z,I,,δ,W,S) erweitert ein Transitionssystem Γ = (Z,I,,δ) um Mengen W,S. Die bläufe von Γ f sind diejenigen bläufe von Γ, die schwach fair sind bezüglich der ktionen W und stark fair bezüglich der ktionen S. Für die betrachteten Beispiele sind folgende Fairnessbedingungen sinnvoll: Beispiel Eisenbahn: schwache Fairness für die ktionen Brücke verlassen mit der Vorbedingung Zug im bschnitt onbridge und der Nachbedingung Zug im bschnitt enroute. Beispiel lternating-bit-protokoll schwache Fairness für die ktion SendMsg starke Fairness für die ktionen RcvMsg und Rcvck

13 Fairnessbedingungen 17 Beispiel Stoppuhr: schwache Fairness für jeden der beiden Prozesse, d.h. für die ktionen P1 und P2 mit (s,p1,t) δ (s,α,t) δ oder (s,β,t) δ (s,p2,t) δ (s,γ,t) δ Die Wahl adäquater Fairnessbedingungen hängt vom jeweils modellierten System ab und ist häufig der schwierigste Teil der Modellierung.

14 Fairnessbedingungen 18 Implementierung von Fairnessbedingungen Fairnessbedingungen können durch geeignete Scheduler implementiert werden. Für schwache Fairness genügt ein round-robin-scheduler. Theorem: Es sei Γ f = (Z,I,,δ,{B 0,...,B m 1 }, /0) ein FTS ohne starke Fairness, und s 0 0 s 1... n 1 s n sei ein endlicher blauf von Γ. Dann ist jede Folge s 0 0 s 1... n 1 s n n s n+1... ein blauf von Γ f, falls für alle k n die folgenden Bedingungen erfüllt sind: 1. k = B k mod m, falls die ktion B k mod m im Zustand s k ausführbar ist. 2. (s k, k,s k+1 ) δ. Bemerkung: Wegen der angenommenen Totalität von δ kann jeder endliche blauf von Γ f zu einem blauf erweitert werden, der die Bedingungen von Satz (siehe oben) erfüllt.

15 Fairnessbedingungen 19 Beweis des Satzes ngenommen, σ = s 0 0 s 1... n 1 s n sei aber nicht schwach fair bezüglich der ktion B i. n s n+1... erfülle die Bedingungen (1) und (2), Da s 0 0 s 1... n 1 s n endlicher blauf von Γ ist und σ die Bedingung (2) erfüllt, ist σ sicher ein blauf von Γ = (Z,I,,δ). Es sei p N so gewählt, dass B i in allen Zuständen s j mit j p ausführbar ist. Da σ die Fairnessbedingung für B i verletzt, ist k = B i nur für endlich viele k N. Wähle q p so, dass q mod m = i gilt und k B i ist für alle k q. Dann ist B i ausführbar im Zustand s q, also folgt nach Bedingung (1), dass q = B i gilt. Widerspruch.

16 Fairnessbedingungen 20 Die Implementierung von starken Fairnessbedingungen benötigt einen Scheduler mit dynamischen Prioritäten : ktionen werden um so stärker priorisiert, je länger sie nicht ausgeführt wurden. Theorem: Es sei Γ f = (Z,I,,δ, /0,{B 0,...,B m 1 }) ein FTS mit starken Fairnessbedingungen, und s 0 0 s 1... n 1 s n sei ein endlicher blauf von Γ. Dann ist jede Folge s 0 0 s 1... n 1 s n n s n+1... ein blauf von Γ f, falls eine Folge π n,π n+1,... von Permutationen von {0,...,m 1} existiert, so dass für alle k n die folgenden Bedingungen erfüllt sind: 1. Falls i {0,...,m 1} existiert, so dass B i im Zustand s k ausführbar ist: Sei j {0,...,m 1} minimal, so dass B πk (j ) in s k ausführbar ist, dann gilt π k (i) falls i < j k = B πk (j ) und π k+1 (i) = π k (i + 1) falls j i < m 1 für alle i π k (j ) falls i = m 1 {0,...,m 1} 2. Sonst ist k beliebige ktion, die in s k ausführbar ist, und π k+1 = π k.

17 Fairnessbedingungen (s k, k,s k+1 ) δ. Bemerkung: Wieder kann jeder endliche blauf von Γ zu einem blauf erweitert werden, der die Bedingungen dieses Satzes erfüllt. Bedingung (1) besagt intuitiv, dass die gerade ausgeführte ktion niedrigste Priorität erhält.

18 Fairnessbedingungen 22 Beweis des Satzes ngenommen, σ = s 0 0 s 1... n 1 s n sei aber kein blauf von Γ f. n s n+1... erfülle die Bedingungen (1), (2) und (3), Da s 0 0 s 1... n 1 s n endlicher blauf von Γ ist und σ die Bedingung (3) erfüllt, ist σ sicher ein blauf von Γ = (Z,I,,δ). ngenommen, σ ist nicht stark fair bezüglich der ktion B i. Dann gibt es unendlich viele m N, so dass B i in s m ausführbar ist, aber k = B i gilt nur für endlich viele k. Sei p n so gewählt, dass k B i gilt für alle k p. Betrachte die Folge π p,π p+1,... Da k B i gilt, ist die Folge j p,j p+1,... mit π k (j k ) = i (schwach) monoton abnehmend, wird also schließlich stabil. Wähle q p so, dass j k = j q für alle k q. Dann folgt π k (j ) = π q (j ) für alle j j q und k q, und die ktionen B πq (1),...,B πq (j q ) sind in keinem Zustand s k (für k q) ausführbar denn sonst wäre gemäß Bedingung (1a) k = B πk (j ) für ein j j q, und damit j k+1 j k. Insbesondere ist B πq (j q ) = B i in keinem Zustand s k (für k q) ausführbar, Widerspruch.

19 Fairnessbedingungen 23 Interpretation: Die Sätze besagen intuitiv: Ist Γ f ein FTS, dessen zu Grunde liegendes Transitionssystem Γ ohne Fairnessbedingungen ausführbar ist (d.h. die Menge der Nachfolgerzustände zu jeder ktion ist berechenbar), so können auch faire bläufe von Γ f systematisch erzeugt werden. Dabei reicht es sogar, den Scheduler erst ab einem beliebigen Zeitpunkt nach Beginn des blaufs zu verwenden. llerdings werden auf diese Weise nicht alle fairen bläufe von Γ f generiert (selbst endliche FTSe haben i.a. überabzählbar unendlich viele verschiedene faire bläufe). Der prioritätsbasierte Scheduler kann auch für FTSe verwendet werden, die sowohl starke wie schwache Fairnessbedingungen enthalten, da starke Fairness schwache Fairness impliziert.

20 Eigenschaften von bläufen 24 Eigenschaften von bläufen Bei der nalyse von Transitionssystemen interessiert man sich meist für ussagen über ihre bläufe, z.b.: Die Züge können zu keinem Zeitpunkt beide im bschnitt onbridge sein. Wartet ein Zug vor dem Signal, so wird er zu einem späteren Zeitpunkt auf der Brücke sein. Jede empfange Nachricht wurde zuvor vom Sender verschickt. Die Reihenfolge der empfangenen Nachrichten entspricht der Reihenfolge beim Senden. Jede gesendete Nachricht trifft irgendwann beim Empfänger ein. ußerdem interessiert man sich gelegentlich für ussagen über die Verzweigungsstruktur von Transitionssystemen wie: ktionen und B stehen in Konflikt oder sind unabhängig. Von jedem Zustand aus kann ein nfangszustand erreicht werden. Zwei Prozesse können kooperieren, um einen dritten Prozess auszusperren. Solche ussagen klammern wir hier aus (vgl. Vorlesungen Prozessalgebra, temporale Logik).

21 Eigenschaften von bläufen 25 Wir identifizieren Eigenschaften mit der Menge der Zustands-ktions-Folgen, welche die Eigenschaft erfüllen. Definition: Sei Σ = (Z,) eine Menge von Zuständen und ktionen. Eine (Σ-)Eigenschaft ist eine Menge von Folgen σ = s 0 0 s 1 1 s 2... mit s i Z und i. Eine Eigenschaft P ist also eine ussage, von der es sinnvoll ist zu fragen, ob sie auf einen blauf σ zutrifft (σ P) oder nicht. ussagen über die Existenz von bläufen sind keine Eigenschaften im Sinne dieser Definition. Beispiele: Menge der bläufe eines Transitionssystems Γ Menge der Zustands-ktions-Folgen, die stark fair sind bzgl. ktion Menge aller Folgen s 0 0 s 1 1 s 2..., so dass s n (y) = 1 gilt für ein n N

22 Eigenschaften von bläufen 26 Sicherheits- und Lebendigkeitseigenschaften grundlegende Klassen von Eigenschaften mit unterschiedlichen Beweisprinzipien Verallgemeinerung von partieller Korrektheit und Terminierung bei sequentiellen Programmen Informelle Charakterisierung (Lamport 1980) Sicherheitseigenschaft (safety property): something bad never happens kein Zusammenstoß auf der Brücke Reihenfolge der empfangenen Nachrichten entspricht Reihenfolge beim Senden Lebendigkeitseigenschaft (liveness property): something good eventually happens Züge können Brücke irgendwann befahren Nachrichten werden unendlich oft übertragen ktion γ wird irgendwann ausgeführt

23 Eigenschaften von bläufen 27 Formale Charakterisierung (lpern, Schneider 1985) Definition: Sei Σ = (Z,) gegeben. P ist eine (Σ-)Sicherheitseigenschaft genau dann, wenn für jede Folge σ = s 0 0 s 1 1 s 2... gilt: σ P gdw. für jeden Präfix s 0 0 s 1... n 1 τ = s 0 0 s 1... n 1 s n s n B n B n+1 t n+1 t n+2... mit τ P von σ gibt es eine Folge P ist eine (Σ-)Lebendigkeitseigenschaft genau dann, wenn sich jede endliche Folge s 0 0 s 1... n 1 s n zu einer Folge s 0 0 s 1... n 1 s n n s n+1... P ergänzen lässt. Zusammenhang zu informeller Charakterisierung Eine Folge σ erfüllt eine Sicherheitseigenschaft P genau dann nicht, wenn es einen endlichen Präfix von σ gibt, der sich nicht zu einer Folge ergänzen lässt, die P erfüllt. Lebendigkeitseigenschaften schränken dagegen die Menge der endlichen Präfixe nicht ein.

24 Eigenschaften von bläufen 28 Vereinfachende Schreibweisen (Σ = (Z, ) sei vorausgesetzt) Für eine Folge σ = s 0 0 s 1 1 s 2... bezeichne σ[..n] den Präfix s 0 0 s 1... n 1 s n. Für Folgen ρ = s 0 0 s 1... n 1 s n und σ = s n ρ σ die Konkatenation s 0 0 s 1... n 1 s n n n+1 s n+1 s n+2... bezeichnet n n+1 s n+1 s n+2... Für eine endliche Folge ρ = s 0 0 s 1... n 1 s n schreiben wir ρ P, falls ρ = σ[..n] gilt für ein σ P und ein n N. Σ und Σ ω bezeichnen die Menge aller endlichen bzw. unendlichen Folgen von Zuständen und ktionen. Damit gilt: P ist Sicherheitseigenschaft genau dann, wenn für alle Folgen σ Σ ω gilt: Falls σ[..n] P für alle n N, so gilt auch σ P. P ist Lebendigkeitseigenschaft genau dann, wenn σ[..n] P gilt für alle Folgen σ Σ ω und alle n N.

25 Eigenschaften von bläufen 29 Beobachtung: Die Menge der bläufe eines Transitionssystems Γ = (Z,I,,δ) ohne Fairnessbedingungen ist eine Sicherheitseigenschaft. Denn: Sei σ = s 0 0 s 1 1 s 2... σ blauf von Γ gdw. s 0 I und für alle i N gilt (s i,s i+1 ) δ [siehe Definition] gdw. für alle n N gilt s 0 I und für alle i < n gilt (s i,s i+1 ) δ [rithmetik] gdw. für alle n N gibt es τ Σ ω, so dass σ[..n] τ blauf von Γ [wegen Totalität von δ] Dagegen sind Fairnessbedingungen Lebendigkeitseigenschaften: Wie in den vorangegangenen Sätzen bewiesen, kann jede Folge ρ Σ zu einer Folge σ Σ ω ergänzt werden, welche die Fairnesseigenschaft erfüllt.

26 Eigenschaften von bläufen 30 Example(Sicherheits- und Lebendigkeitseigenschaften: lternating-bit-protokoll): Die Eigenschaft Reihenfolge der empfangenen Nachrichten entspricht Reihenfolge beim Senden (formal: out in gilt für alle Zustände eines blaufs) ist eine Sicherheitseigenschaft. Denn trifft sie auf eine Folge σ = s 0 0 s 1 1 s 2... nicht zu, so gibt es einen (kleinsten) Index n N, so dass out in im Zustand s n nicht erfüllt ist. Damit verletzt bereits s 0 0 s 1 1 s 2... n 1 s n die Eigenschaft. Dagegen ist die Eigenschaft L die Nachricht ok kommt unendlich oft beim Empfänger an eine Lebendigkeitseigenschaft. Denn: Seien σ = s 0 0 s 1 1 s 2... Σ ω und n N beliebig. t i (out) = s n (out) ok,..., ok }{{} Definiere den Zustand t i durch i-mal t i (x) = s n (x) für x out (insbes. ist t 0 = s n ) Dann erfüllt die Folge τ = s 0 0 s 1... n 1 t 0 0 t 0 1 s... die Eigenschaft L, also gilt auch σ[..n] L.

27 Eigenschaften von bläufen 31 Sicherheits- und Lebendigkeitseigenschaften: Ergebnisse Theorem: 1. Die Klasse der Sicherheitseigenschaften ist abgeschlossen unter beliebigen Durchschnitten. 2. Ist L eine Lebendigkeitseigenschaft, so ist auch jede Eigenschaft M L Lebendigkeitseigenschaft. 3. Für jede Eigenschaft P ist C(P) = {σ Σ ω σ[..n] P für alle n N} die (bzgl. ) kleinste Sicherheitseigenschaft, die P enthält. C(P) heißt der Sicherheitsabschluss (safety closure) von P. 4. P ist Sicherheitseigenschaft genau dann, wenn C(P) = P gilt. 5. P ist Lebendigkeitseigenschaft genau dann, wenn C(P) = Σ ω gilt. 6. Σ ω ist die einzige Eigenschaft, die sowohl Sicherheits- als auch Lebendigkeitseigenschaft ist.

28 Eigenschaften von bläufen Jede Eigenschaft P lässt sich als Durchschnitt einer Sicherheits- und einer Lebendigkeitseigenschaft darstellen. 8. Ist S Sicherheitseigenschaft und P beliebige Eigenschaft, so gilt P S gdw. C(P) S Proof 1. Sei S eine Menge von Sicherheitseigenschaften, zu zeigen: T S ist Sicherheitseigenschaft. Sei σ Σ ω beliebig mit σ[..n] T S für alle n N. lso gilt σ[..n] S für alle n N und alle S S. Da jedes S S Sicherheitseigenschaft ist, folgt σ S für alle S S. Daher gilt σ T S, und damit die Behauptung. 2. unmittelbar nach Definition.

29 Eigenschaften von bläufen Offenbar gilt P C(P). Ferner ist C(P) Sicherheitseigenschaft: Sei σ Σ ω beliebig mit σ[..n] C(P) für alle n N. Das heißt, für alle n N existiert τ n Σ ω mit σ[..n] τ n C(P). Nach Definition von C(P) folgt σ[..n] P für alle n N, also σ C(P). Sei nun S P beliebige Sicherheitseigenschaft, zu zeigen ist C(P) S. Sei σ C(P) beliebig. Dann gilt σ[..n] P für alle n N, und wegen P S folgt σ[..n] S für alle n N. Da S Sicherheitseigenschaft ist, folgt σ S, was zu zeigen war. 4. Übung. 5. Übung.

30 Eigenschaften von bläufen Σ ω ist offensichtlich Sicherheits- und Lebendigkeitseigenschaft. Umgekehrt sei P Sicherheits- und Lebendigkeitseigenschaft, zu zeigen: P = Σ ω. Sei σ Σ ω beliebig. Da P Lebendigkeitseigenschaft ist, gilt σ[..n] P für alle n N. Da P Sicherheitseigenschaft ist, folgt daraus σ P. 7. Sei L = def P (Σ ω \C(P)). Offensichtlich gilt P = C(P) L. Zu zeigen bleibt: L ist Lebendigkeitseigenschaft. Sei σ Σ ω beliebig, zu zeigen: σ[..n] L gilt für alle n N. Fall 1: σ / C(P). Dann ist σ L, also offenbar σ[..n] L für alle n N. Fall 2: σ C(P). Dann gilt für alle n N, dass σ[..n] P L. 8. Übung.

31 Eigenschaften von bläufen 35 Example(vgl. Beispiel Stoppuhr): Sei P die Menge aller Folgen s 0 0 s 1 1 s 2..., für die gilt: Es existiert ein n 0, so dass gilt: s i (y) = 0 für alle i n und s i (y) = 1 für alle i > n, Intuitive Bedeutung: Eine Zeit lang gilt y = 0, danach y = 1. Der Sicherheitsabschluss C(P) enthält genau die Folgen σ = s 0 0 s 1 1 s 2..., für die gilt: σ P oder s i (y) = 0 für alle i N.

32 Eigenschaften von bläufen 36 Dieser Satz besagt, dass sich jede Spezifikation als Paar (S, L) aus einer Sicherheitseigenschaft S und einer Lebendigkeitseigenschaft L schreiben lässt. Eine natürliche Forderung besagt, dass L die gemäß S erlaubten Teilabläufe nicht einschränkt. Definition: Sei S Sicherheitseigenschaft und L beliebige Eigenschaft. Das Paar (S, L) heißt maschinenabgeschlossen (machine closed), wenn C(S L) = S gilt. Interpretation: Jede endliche Folge ρ S lässt sich zu einer Folge ρ τ S L ergänzen. Example(nicht maschinenabgeschlossene Spezifikation): Sei S die Menge aller bläufe des folgenden Transitionssystems τ α τ s 0 s 1 und L die Menge aller Folgen, die unendlich oft den Zustand s 0 enthalten. α s 1 lässt sich nicht zu einem blauf in S L ergänzen. Der endliche blauf s 0

33 Eigenschaften von bläufen 37 Die bläufe einer maschinenabgeschlossenen Spezifikation (S, L) erfüllen eine Sicherheitseigenschaft I genau dann, wenn S I gilt: S L I gdw. C(S L) I [siehe Satz] gdw. S I [(S, L) maschinenabgeschlossen] Die zusätzliche Eigenschaft L wird also zum Beweis von Sicherheitseigenschaften nicht benötigt. Nicht maschinenabgeschlossene Spezifikationen sind problematisch und werden in einigen Formalismen ganz ausgeschlossen. us den Sätzen WF-Scheduler und SF-Scheduler folgt: FTSe mit endlich vielen Fairnessbedingungen sind maschinenabgeschlossen. Diese ussage gilt sogar für abzählbar viele Fairnessbedingungen (ohne Beweis).

34 Zusammenfassung 38 Zusammenfassung Reaktive Systeme werden formal durch Transitionssysteme modelliert. bläufe eines Transitionssystems Γ sind Folgen s 0 0 s 1 1 s 2... von Zuständen und ktionen, so dass s 0 ein nfangszustand von Γ ist und alle Übergänge s i Zustandsübergangsrelation von Γ entsprechen. i s i+1 der Zur Systemspezifikation werden bläufe von Transitionssystemen meist weiter eingeschränkt. Insbesondere verwendet man Fairnessbedingungen, um unfaire bläufe auszuschließen. Fairnessbedingungen besagen intuitiv, dass ktionen, die genügend oft ausführbar sind, immer wieder ausgeführt werden. Bei der nalyse von Transitionssystemen ist man hauptsächlich an ussagen über ihre bläufe interessiert und identifiziert daher Eigenschaften mit Mengen von bläufen. Eigenschaften können danach klassifiziert werden, wie viel Information durch die Betrachtung endlicher bläufe gewonnen werden kann. Dabei treffe eine Eigenschaft P auf einen endlichen blauf ρ zu, falls es eine unendliche Folge σ mit ρ σ P gibt.

35 Zusammenfassung 39 Zwei grundlegende Klassen von Eigenschaften sind Sicherheitseigenschaften ( something bad never happens ) und Lebendigkeitseigenschaften ( something good eventually happens ). Eine Sicherheitseigenschaft trifft auf σ genau dann zu, wenn sie auf alle endlichen nfangsstücke σ[..n] von σ zutrifft. Sicherheitseigenschaften sind also durch endliche bläufe vollständig bestimmt. Eine Lebendigkeitseigenschaft trifft auf alle endlichen bläufe zu. Endliche nfangsstücke geben also keinerlei Information auf das Zutreffen der Eigenschaft auf den Gesamtablauf. Zu jeder Eigenschaft P gibt es eine kleinste Sicherheitseigenschaft C(P) P. C(P) heißt der Sicherheitsabschluss von P. Jede Eigenschaft P kann als Durchschnitt einer Sicherheits- und einer Lebendigkeitseigenschaft dargestellt werden.

36 Zusammenfassung 40 Ein Paar (S, L) aus einer Sicherheitseigenschaft S und einer beliebigen Eigenschaft L heißt maschinenabgeschlossen, wenn C(S L) = S gilt. In diesem Fall kann jeder endliche blauf, der S erfüllt, zu einem blauf von S L erweitert werden. Transitionssysteme mit schwachen und starken Fairnessbedingungen sind maschinenabgeschlossen. MMISS: Kurztitel 12. Januar 2004