Verifikation reaktiver Systeme - Universität Kaiserslautern

Verifikation reaktiver
Systeme
Seminar im Wintersemester 2003/2004
W. Büttner, W. Kunz und K. Schneider

Vorwort
Der Entwurf von komplexen digitalen Systemen stellt nach wie vor eine
enorme Herausforderung dar, da einerseits neue Anwendungen größere Systeme
erfordern und andererseits aufgrund wirtschaftlicher Zwänge die zur
Verfügung stehende Entwicklungszeit immer kürzer wird. Zusätzlich übernehmen
vor allem eingebettete Systeme zunehmend sicherheitskritsche Aufgaben
in vielen Bereichen wie etwa der Luft- und Raumfahrt, der Automobilindustrie
oder in Steuerungen von Produktionsanlagen.
Ein großer Erfolg der Informatik ist die Entwicklung formaler Methoden
und Werkzeuge mit deren Hilfe der Entwurf digitaler Systeme entscheidend
automatisiert werden konnte. Gegenüber der Simulation konnte sich
dabei die formale Verifikation in den letzten Jahren immer stärker durchsetzen.
Die Verifikation kann einen wichtigen Beitrag zur Senkung der Entwicklungskosten
leisten, indem bereits in frühen Entwurfsphasen nach
Fehlern gesucht werden kann. Mit ihrer Hilfe lassen sich Systeme verifizieren,
deren Zustandsraum mit den Methoden der Simulation nur noch
unzureichend abgedeckt werden könnte.
In den letzten Jahren wurden neben den älteren Ansätzen des automatischen
Beweisens neue Verfahren entwickelt, welche sich gezielt mit der
Verifikation temporaler Eigenschaften von endlichen Zustandsübergangssystemen
befassen. In diesem Seminar, welches als integriertes Seminar zur
gleichnamigen Vorlesung angeboten wurde, wurden aktuelle Verifikationsverfahren
aus diesem Bereich betrachtet. Das Seminar wurde gemeinsam
von Prof. W. Büttner (Infineon AG), Prof. W. Kunz (FB Elektro- und Informationstechnik,
TU Kaiserslautern) und Prof. K. Schneider (FB Informatik,
TU Kaiserslautern) veranstaltet.
Klaus Schneider, Mai 2004

Inhaltsverzeichnis
Grundlagen des ‘Bounded Model Checking’ ......................... 1
Christian Allmann
Interpolation and SAT-Based Model Checking ...................... 29
Christian Schlosser
Completeness of (BMC) Property Suite ............................. 43
Sören Burmeister
Automatische Abstraktion zur Modellprüfung großer Systeme ....... 78
Tim Braun
Konfliktanalyse in SAT-Implikationsgraphen auf ATPG ............. 101
Thomas Fischer
Formaler Äquivalenzvergleich ..................................... 139
Florian Rothländer
Übersetzung prädikatenlogischer Formeln in endliche Automaten .... 159
Thomas Türk
Symbolische lokale Modellprüfung ................................. 191
Nico Mahlo
Using Theorem Proving to Verify Arithmetic Hardware .............. 218
Jens Brandt
Modellierung von synchronen Sprachen mit
Prozessersetzungssystemen ....................................... 274
Rüdiger Grammes

1
Grundlagen des bounded model checking
Christian Allmann
Technische Universität Kaiserslautern
Zusammenfassung: Zur Repräsentation von Systemen wurde bisher
auf die Darstellung mittels BDDs zurückgegriffen. Diese Ausarbeitung
stellt die Grundzüge einer neuer Technik namens bounded
model checking vor. Ziel von bounded model checking ist die Zustandsexplosion
von BDDs zu verhindern. Dabei sollen Gegenbeispiele
möglichst schnell und von minimaler Länge gefunden werden.
Diese Methode hat sich in der Industrie als Verfikationstechnik etabliert.
Ein Beispiel der Realisierung in der Praxis soll anhand der
Temporallogik ITL vorgestellt werden.
1 Einleitung
Die Informatik ist eine Wissenschaft, die es wie keine andere vor ihr geschafft
hat in so kurzer Zeit, ein so breites Spektrum an Wissen sich anzugeignen. Das
Problem an jungen Wissenschaften ist, dass zu Beginn eine wahre Schwemme
an neuen Erkenntsnissen gesammelt wird, deren Bedeutung man erst viele Jahre
später zu schätzen weiss. Meist aus Selbsterfahrung oder dem Studium der
Wissenschaft, die einen veranlasst über die Erkenntnisse der Vergangenheit nachzudenken,
entdeckt man, dass die gemachten Fehler schon viele Jahre vor einem
bekannt waren.
Eine der wichtigsten Erkenntnisse verdanken wir Dijkstra. 1970 formulierte er
die Regel, dass Testen nur die Anwesenheit von Fehlern, aber nicht deren Abwesenheit
zeigen kann.
Damit war das Ziel gleichsam vorgegeben. Der Wunsch des mathematischen
Nachweis der Korrektheit eines Systems bezüglich der vorgegebenen Spezifikationen.
Diese Technik bezeichnet man als formale Verifikation.
Verifikationstechniken setzen dort auf, wo die Technik der Validation enden. Der
Vorteil dieser Methoden gegenüber der traditionellen Simulation ist die breitere
Abdeckung des Systemverhaltens, sowie die Möglichkeit der Auffindung raffiniertester
Fehler. Der Druck auf gute Verifikationstechniken lässt sich sehr gut an
der Prozessorevoulution erkennen. Prozessoren unterliegen einer Leistungssteigerung
alle 18 Monate, dies wiederum bedeutet für die beteiligten Unternehmen,
dass der Time-to-Market-Faktor extrem wichtig ist.
Diese Ausarbeitung stellt eine Technik vor, die in der Industrie große Akzeptanz
gefunden hat für die Verifikation digitaler Systeme.

2
Der Aufbau der Arbeit ist in fünf Gesichtspunkte untergliedert. Die ersten Kapitel
beschreiben die Kernideen des bounded model checking. In diesen Kapiteln
werden auch die notwendigen semantische Änderungen am Beispiel der Temporallogik
LTL erläutert. Diese Erklärungen sind jedoch für das wesentliche
Verständnis von bounded model checking nicht notwendig. Die Ergänzungen
hierzu lassen sich in der Überschrift des Kapitels als LTL spezifische erkennen.
Ein ausführliches Beispiel zur Eigenschaftsprüfung mit LTL befindet sich im Anhang
A. Neben der Vorstellung der Technik wird auch die industrielle Umsetzung
in Kapitel 4 vorgestellt. Die Syntax der in diesem Kapitel verwendete Temporallogik
ITL wird im Anhang B erläutert. Mit der Bewertung von bounded model
checking endet die Ausarbeitung.
2 Grundlagen
2.1 Symbolische Modellprüfung
Zur formalen Verifikation benötigt man ein mathematisches Modell des Systems,
sowie eine Sprache zur Spezifizierung der gewünschten Eigenschaft. Darauf aufbauend
eine Beweismethode um sicherzustellen, dass die gewünschte Eigenschaft
spezifiziert wird [7]. Die dabei wirtschaftlich interessantesten sind die maschinell
ausführbaren Algorithmen, die automatische Verifikation erlauben.
Die eigentliche Modellprüfung (model checking) wird realisiert durch Algorithmen,
die den Zustandsraum des Transitionssystems dahingehen untersuchen, ob
Spezifikationen und Verhalten übereinstimmen [3].
Die ersten Schritte der Symbolischen Modellprüfung wurden 1990 von Burch,
Clarke, McMillan und Dill unternommen und unterlagen seit dem einer ständig
fortschreitenden Entwicklung.
Die bis dato übliche Methode der formalen Verifikation beruhte auf den Erkenntnissen
der Automatentheorie. Systemmodell und Spezifikation wurden mit Hilfe
einer passenden Logik beschrieben. Mit Hilfe dieser Beschreibung wurde aufbauend
ein logischer Beweis geführt, der die Spezifikation bestätigte. Trotz seiner
Mächtigkeit und Flexibilität bleibt das Verständnis und die Anwendbarkeit nur
wenigen Anwendern vorbehalten, auf Grund der verwendeten mathematischen
Formalismen.
Das Systemmodell wird in den folgenden Betrachtungen als endlicher Automat
verstanden. Die notwendige Spezifikation wird in aussagenlogischer Form mittels
Temporallogik beschrieben. Ihr Vorteil ist die leichte Verständlichkeit und
Kompaktheit. Zudem können die wichtigen Eigenschaften wie Sicherheit, Lebendigkeit,
Fairness, ... damit ausgedrückt werden.
Um das Problem der Zustandsexplosion bei großen Systemen in den Griff zu bekommen
entstand die symbolische Modellprüfung. Die Ersetzung der expliziten
Zustandsrepräsentation durch Zustände mit booleschen Kodierungen erlauben
der symbolischen Modellprüfung größere Designs zu bewältigen, als mittels statischer
Modellprüfung. Meist liegt dabei die zugrundeliegende Implementation
auf Basis von binären Entscheidungsdiagrammen (BDD). Diese erlaubten es erst
die Breitensuche auf den Datenstrukturen effizient zu gestalten.

3
Erste Erfolge mit Modellprüfer auf BDD-Basis zeigten sich bei der Überprüfung
des Futurebus+ Cache Protokolls.
Das von Ken McMillan an der Carnegie-Mellon Universität erstellte Programm
SMV war das erste Werkzeug, dass sich bewährte. 1992 setze Clarke diese Tool
ein, um das Cache-Kohärenz-Protokoll zu überprüfen. Die damit gefundenen
Fehler zeigten, dass mit diesen formalen Methoden mehr erreicht werden konnte,
als die seit 1988 auf den Futurebus+ angewendeten informellen Techniken.
2.2 Temporale Logiken
Um Eigenschaften wie Fairness, Lebendigkeit oder Sicherheit zu spezifizieren,
haben sich temporallogische Aussagenlogiken bewährt. Unter temporaler Aussagenlogik
versteht man die allgemeine Aussagenlogik, die um temporale Operatoren
erweitert ist.
Die verwendeten Zeitschematas unterteilt McMillan in drei Klassen lineare, diskrete
und verzweigende Zeit [7].
In dieser Ausarbeitung spielen insbesondere Temporallogiken auf linearer und
diskreter Zeitebene eine Rolle. Die Besonderheiten der hier betrachteten Diskreten
Temporallogik werden am Beispiel der Intervalltemproallogik ITL aufgezeigt.
Um die Verständlichkeit und das Anwendungsspektrum genauer zu verstehen ist
es wichtig die betrachtete Zeit genau zu unterscheiden. Die im Weiteren verwendete
lineare Zeit ist definiert durch eine linear geordnete Menge von Zeitpunkten.
Ein Zeitrahmen gilt hierbei als linear, wenn die Relation hierauf als total bezeichnet
werden kann. Dies ist der Fall, wenn für zwei beliebige Zustände s, t entweder
gilt s ≤ t, s = t oder t ≤ s.
Um einen Eindruck für die Arbeitsweise von bounded model checking zu bekommen
ist die Wahl der Temporallogik entscheidend. Für die im Folgenden
auftretenden Betrachtungen spielt insbesondere die Logik LTL eine besondere
Rolle, an der auch die notwendigen Änderungen in der Semantik vorgestellt
werden. Zu LTL gehört jede Formel der Art Ap genau dann, wenn in p keine
weiteren Pfadquantoren vorkommen. LTL ist also soweit beschränkt, dass man
nur Aussagen über alle Abläufe machen kann und nicht über mögliche Alternativen.
Die Logik ist auch dahingehend beschränkt, dass keine Aussagen über die
Erreichbarkeit bestimmter Zustände AGEFp möglich sind.
Neben dieser bekannten Temporallogik, die sich dazu auch leicht auf Logiken
wie CTL* und Derivate erweitern lässt, wird die Logik ITL betrachtet. ITL ist
deswegen eine Betrachtung wert, da sie nur im Hause Infineon verwendet wird
für die Beschreibung von formalen Spezifikationen für das Tool gateprop. Die
Funktionsweise von ITL wird in Kapitel 4 und Anhang B ausführlich besprochen.

4
2.3 SAT
Unter SAT versteht man das boolesche Erfüllbarkeitsproblem. Was bedeutet,
dass bei einer gegebenen booleschen Funktion f entschieden werden muss, ob sie
den Wert 1 hat oder nicht. SAT liegt in NP-complete. Was bedeutet, dass im
worst-case Fall der Algorithmus exponentielle Laufzeit benötigt um das Problem
zu lösen. Im Durchschnitt benötigt er weit aus weniger, daher auch sein verbreiteter
Einsatz in der Industrie.
Am Beispiel von Schaltungen lässt sich dies anschaulich erklären. Es soll untersucht
werden, ob zwei Schaltungen die die Funktionen g und f realisieren,
äquivalent sind. Diese beiden Funktionen werden mit einem XOR verknüpft und
beschaltet. Falls nun XOR erfüllbar ist, so sind die beiden Funktionen und damit
die Schaltungen nicht äquivalent.
Der Aufbau allgemein erfolgt in Klauselform. Bedeutet, dass jede zu erfüllende
Eigenschaft eine Klausel darstellt, die mit jeder anderen noch zu erfüllenden
Eigenschaft konjungiert wird. Als Ergebnis erhält man eine Konjunktive Normalform
(KNF). Die meisten modernen SAT-Solver arbeiten auf Basis des 1962
eingeführten Davis-Logemann-Loveland (DLL)-Algorithmus. Dabei wird den Variablen
der KNF schrittweise die Werte von 0 oder 1 zugewiesen. Dies wird so
lange durchgeführt, bis alle Klauseln erfüllt sind. Falls eine Klausel verletzt wird,
werden Backtracks vom aktuellen Knoten im Entscheidungsbaum durchgeführt.

5
3 Bounded Model Checking
3.1 Idee
Dieser neue Ansatz im Bereich der formalen Verifikation beschäftigt sich, wie
viele Ansätze davor, mit dem lösen von Problemen. Es handelt sich hierbei nicht
um ein x-beliebiges Problem sondern um die Frage, ob die an das Design gestellten
Eigenschaften von diesem erfüllt werden. Die Kernidee dieser Technik
besteht nun darin Gegenbeispiele beliebiger Länge k zu finden, ohne den Zustandsraum
des betrachteten Systems zu durchforsten. Dies wird dadurch gelöst,
indem das zu untersuchende Verhalten des Systems durch eine aussagenlogische
Formel ausgedrückt und anschließend ausgewertet wird. Da es sich hierbei um
ein Erfüllbarkeitsproblem handelt, also ob ein Design eine Eigenschaft erfüllt,
eignen sich zur Lösung solcher Formel SAT Methoden.
Wenn man in diesem Zusammenhang von beliebiger Länge k spricht, so drückt
k die Schranke (”bound”) aus, also die maximale Länge des Gegenbeispieles.
Die zur Aufstellung der Formel benötigte Zeit wird in Kapitel 3.4 näher betrachtet.
Der Einsatz von bounded model checking erlaubt die Spezifikation der
elementaren Eigenschaften wie Lebendigkeit und Sicherheit, die anschließend auf
ihre Erfüllbarkeit hin getestet werden. Hierbei ist es wichtig zu wissen was diese
Eigenschaften eigentlich aussagen. So besagt die Sicherheitseigenschaft, dass
überprüft werden muss, ob eine gegebene Menge von Zuständen erreichbar ist,
inklusive der Verifizierung des Vorhandenseins etwaiger Schleifen im Zustandsgraphen
des Systems.
Vorteile dieses Ansatzes:
1. Gegenbeispiele werden schnell gefunden
Grund: Tiefensuche von SAT Prozeduren
2. Gegenbeispiele sind von minimaler Länge
Vorteil: Verständnis des Benutzers wird unterstützt
3. es wird weniger Speicher benötigt
Grund: keine üblichen BDD Ansätze
4. keine Eingriffe seitens des Bedieners
Vorteil: hoher Automatisierungsgrad
3.2 Triviales Eingangsbeispiel
Wenn man sich in die Lage eines Ingenieurs versetzen würde, so besteht seine
primäre Aufgabe bei der Entwicklung neuer Produkte darin, dass das neue
Produkt die aufgestellten Eigenschaften erfüllt. So gesehen könnte dieser hier
betrachtete Zähler ein solches Produkt sein. Dieser Zähler soll aus drei Schieberegistern
bestehen, die mit x[0], x[1] und x[2] gekennzeichnet sind.
Mit den heutigen Entwicklungsmethoden wie Rapid Prototyping ist es meist
nicht anders machbar, als an die Modellierung neuer Produkte zu gehen, ohne
den unvollständigen Katalog mit Eigenschaften zu besitzen. Dieser Fall könnte
exemplarisch auch an diesem Zähler vorgenommen werden, da hier nur eine

6
Eigenschaft spezifiziert sein soll. Diese Eigenschaft besagt, der Zähler soll nach
endlich vielen Zeitschritten leer sein. Diese Eigenschaft kann temporallogisch als
AF(x = 0) formuliert werden.
Würde man nun das Komplement dieser Eigenschaft annehmen und es untersuchen,
was würde das Ergebnis aussagen? Würde ein Gegenbeispiel gefunden, so
wäre die Annahme falsch, was wiederum die Richtigkeit der anfangs getroffenen
Eigenschaft zeigt. Ergäbe sich allerdings kein Gegenbeispiel gefunden, so wäre
die eigentliche Annahme falsch. Am Beispiel gesehen, besagt das Komplement
der Annahme EG(x ≠ 0) , dass ein Pfad gesucht wird, auf dem nie x = 0 gilt.
Um nun zu zeigen, ob diese Eigenschaft gilt, ist es notwendig das Design des
Produktes zu besitzen, auf dem die Eigenschaft überprüft werden soll. Wie in
Abbildung 1 zu erkennen handelt es sich dabei um eine noch unvollständige
Modellierung. Zu sehen sind die Zustände des Zählers nach zwei Transaktionen.
Der Zähler im Initialzustand (x 0 ) und die Überführung in Folgezustände. Da
im Bereich der Reaktiven Systeme man von unendlich langen Pfaden ausgeht
ist es wichtig, dass man mit Hilfe von Schleifen in einen schon besuchten, vorhergehenden
Zustand gelangt, um das unendliche Verhalten sicherzustellen. Die
Modellierung kommt diesem nach, indem sie die Möglichkeiten mit Hilfe von
drei Schleifenkonstrukte wiederspiegelt (S i ). Die Übergänge zwischen aktuellem
Zustand x und Folgezustand x’ werden durch die Transitionen T ausgedrückt.
Die Eingangsbelegung sei im weiteren nicht näher spezifiziert.
(x ′ [0] = x[1]) ∧ (x ′ [1] = x[2]) ∧ (x ′ [2] = 1)
Abbildung 1. 3-Bit Shift Register
Im Prinzip könnte man hier schon eine Aussage über die Erfüllbarkeit der Eigenschaft
treffen, da man am dritten Register erkennt, dass dieses niemals Null
wird und demnach der Zähler niemals den Leerzustand erreichen würde.
Mit Hilfe von bounded model checking lässt sich dies jedoch auch formal als Formel
aufstellen. Wie im oberen Teil bereits erwähnt wird nun ein Pfad gesucht,
auf dem niemals x=0 gilt. Hierzu wird der Zähler entfaltet beziehungsweise aufgerollt.
Das bedeutet, der Zähler wird (k+1)-mal hintereinander geschrieben.

7
Damit beschränkt man sich auf k + 1 Zustände eines Pfades. Der Index des
Zählers kennzeichnet dann, in welchem Zustand dieser sich befindet. Diese Anfangsschranke
k kann frei gewählt werden, für das Beispiel würde sich für k =2
eine aussagenlogische Formel wie folgt ergeben:
1. (x 1 [0] = x 0 [1]) ∧ (x 1 [1] = x 0 [2]) ∧ (x 1 [2] = 1)∧
2. (x 2 [0] = x 1 [1]) ∧ (x 2 [1] = x 1 [2]) ∧ (x 2 [2] = 1)
Es ist wichtig auch das unendliche Verhalten mit einfließen zu lassen:
(x i [0] = x 2 [1]) ∧ (x i [1] = x 2 [2]) ∧ (x i [2] = 1)
Um die Eigenschaft aussagenlogisch zu erfassen muss gelten:
(x i [0] = 1) ∨ (x i [1]=1)∨ (x i [2]=1):=E i
In Kombination ergibt sich eine aussagenlogische Formel der Form:
∨
f M ∧ 2 ∧
S i ∧ 2
i=0
E i
i=0
Diese Formel ist erfüllt genau dann, wenn es ein Gegenbeispiel der Länge 2 für
die Ausgangsformel F(x = 0) gibt.

8
3.3 LTL spezifisch: Semantische Grundlagen
Um das Modell des Systems zu beschreiben werden Kripke-Strukturen
K =(I, S, T , L) [9] als Grundlage angenommen. Im Prinzip kann jede endliche
Automatendarstellung verwendet werden. Kripkestrukturen haben jedoch
den Vorteil, dass sie von den Ein- und Ausgaben abstrahieren. Es kommen dabei
nur Kripke-Strukturen in Betracht, die eine boolesche Kodierung erlauben
(S = {0, 1} n ).
Es werden zudem folgende aussagenlogische Formeln definiert:
f I (s) := I(s) gdw. s ∈I
f T (s, t) :=T (s, t) gdw. (s, t) ∈ T
f p (s) := p(s) gdw. p ∈L(s)
Es muss weiter gelten, dass jeder
Zustand einen Vorgänger hat. Für alle s ∈Sexistiert ein t ∈S, so dass gilt
(s, t) ∈T.Für eine unendliche Folge von Zuständen π =(s 0 ,s 1 , ...) gilt dabei,
dass π(i) =s i und π i =(s i ,s i+1 , ...) für alle i ∈ N.
Definition von LTL auf einer Kripke-Struktur
Sei M eine Kripke-Struktur, π ein Pfad in M und f eine LTL Formel, dann gilt
für π |= f:
π |= p gdw. p ∈L(π(0)) π |= ¬p gdw. p/∈L(π(0))
π |= f ∧ und
∨
g gdw. π |= f
oder π |= g
π |= Gf gdw. ∀.π i |= f π |= Ff gdw. ∃ i.π i |= f
π |= Xf gdw. π 1 |= f
π |= f U g gdw. ∃i [π i |= g und ∀j, j < i.π j |= f]
Zur Erinnerung:
Eine LTL Formel f ist auf einer Kripke-Struktur universell gültig
(M |= Af), falls für alle Pfade π in M mit π(0) ∈I gilt.
Eine LTL Formel f ist auf einer Kripke-Struktur existentiell gültig
(M |= Ef), falls ein Pfad π in M existiert mit π(0) |= f und π(0) ∈I
gilt.
Im Folgenden werden nur existentielle Probleme betrachtet. Eine Umwandlung
von einer universellen in ein existentiellen Formel ist in [9] beschrieben.

9
3.4 Basis des bounded model checking
Im Eingangsbeispiel wurde schon die grundlegende Idee dieses Ansatzes vorgeführt,
die im Weiteren genauer vorgestellt werden soll. Wenn man von Gegenbeispielen
spricht, so ist dem Anwender oft unklar was genau damit gemeint ist.
Im Zusammenhang mit der vorgestellten Methode geht es nur um Gegenbeispiele
einer bestimmten Länge. Diese Länge ist beschränkt, was damit zu tun hat,
dass man nur eine endliche Menge von Präfixe eines Pfades betrachtet. Dabei
hängt die Menge der Präfixe von der aktuell betrachteten Schranke k ab, diese
beschränkt die Menge nach oben. Diese Menge ist nicht fest definiert, sie ändert
sich je nach Betrachtung. Dies bedeutet, wenn auf einem betrachteten Pfad bis
zur Schranke k kein Gegenbeispiel gefunden wurde, so wird die Schranke k sukzessiv
erhöht.
Diese Betrachtung nur bestimmter Mengen von Zuständen eines Pfades bringen
Probleme mit sich, da dadurch das unendliche Verhalten des Systems untergraben
wird. Dieses unendliche Verhalten wird dadurch sichergestellt, dass
trotz einer nur endlichen Menge an Zuständen, unendlich lange Pfade existieren
durch Transitionsübergänge mit Hilfe von Schleifen. Diese Übergänge führe vom
aktuellen Zustand in einen früher schon besuchten Zustand, die Übergänge bezeichnet
man als back loop (Abbildung 2 b). Das nun auftretende Problem ist,
wenn vom letzten Zustand keine solche Schleife zu einem der vorhergehenden
Zustände existiert, so kann keine Aussage über das unendliche Verhalten des
Pfades getroffen werden. Folgerichtig kann nur dann ein Pfad die Formel Gf
realisieren, wenn vom letzten Zustand, der durch k bestimmt wird, eine Schleife
in einen der vormals besuchten Zustände existiert.
Abbildung 2. Zwei Fälle für einen beschränkten Pfad
Definition k-Schleife
Für l ≤ k wird der Pfad π als (k,l)-Schleife bezeichnet, wenn π(k) → π(l) und
π = u · ν ω mit u =(π(0), ..., π(l − 1)) und ν = π(l), ..., π(k)) erfüllt ist.
Die im Folgenden benötigte begrenzte Semantik bei Temporallogiken wie LTL
sei wiederum nur exemplarisch erwähnt.

10
3.5 LTL spezifisch: Änderung der Semantik
In der nun vorliegenden begrenzten Semantik werden nur die ersten k+1 Zustände
s 0 , ..., s k eines Pfades auf ihre Erfüllbarkeit hinsichtlich der Formel überprüft.
Dies bedeutet, wenn ein Pfad π eine k-Schleife enthält, dann ist eine LTL-Formel
f auf diesem Pfad mit Schranke k erfüllt, wenn π |= f gilt. Für die begrenzte
Semantik würde dies symbolisch mit einem Index k angezeigt π |= k f.
Ein Problem ergibt sich allerdings bei der Formel Fp. Diese ist erfüllt, falls es
ein i ∈ N gibt, so dass π i auf π gilt. In der begrenzten Semantik allerdings gibt
es für den Zustand k+1 keinen Nachfolger. So ist eine rekursive Definition über
Suffixe auf π nicht möglich. Aus diesem Grund wird in der Notation ein zusätzlicher
Parameter i eingefügt |= i k
. Dieser vermerkt die aktuelle Position des Präfix
im Pfad. Aus dieser Betrachtung heraus ändert sich die Definition von LTL auf
Kripke-Strukturen.
Sei nun k ∈ N und π ein Pfad, der keine k-Schleife ist, dann ist eine LTL-Formel
f auf einem Pfad π mit Schranke k gültig (π |= k f) genau dann, wenn π |= 0 k gilt.
Die dabei auftretenden Änderungen sind:
π |= i k p
gdw. p ∈L(π(i))
π |= i k f ∧ ∨ g gdw. π |=i k f und
oder π |=i k g
π |= i k Gf
π |= i k Ff
gdw. ist immer falsch
gdw. ∃ j, i ≤ j ≤ k.π |=i k f
π |= i k f U g gdw. ∃ j, i ≤ j ≤ k[π |=j k g und ∀n, i ≤ n

11
3.6 Aussagenlogische Übersetzung
Wesentlich ist nun das bounded model checking Problem auf aussagenlogische
Erfüllbarkeit zu reduzieren. Dafür ist eine aussagenlogische Formel der Art M,f k
notwendig. Die Größe dieser Formel ist polynomial zur Größe von f. Sie ist quadratisch
in k und linear zur Größe der aussagenlogischen Formel für T , I und
p ∈A. Damit ist es möglich existentielle bounded model checking Ausdrücke in
polynomialer Zeit in die gewünschte Aussagenlogik zu reduzieren.
Entfaltung des Transitionssystems:
M k := I(s 0 ) ∧ k−1 ∧
i=0
T (s i ,s i+1 )
Die Übersetzung von der temporalen Formel f hängt davon ab, ob eine k-Schleife
(Notation “ l · i k ”) existiert oder nicht (Notation “·i k ”).
3.7 LTL spezifisch: Aussagenlogische Übersetzung
Es wird nun die Formel h := p U q auf einem Pfad π ohne k-Schleife näher betrachtet.
Sie besagt, würde man im Zustand π i starten unter der Bedingung, dass
i ≤ k gilt, dann ist diese Formel h gültig, falls es eine Position j mit i ≤ j ≤ k
gibt und q in π j gültig ist. Es muss folglich für alle Zustände π(n) zwischen
π(i) und π(j − 1) die Aussage p erfüllt sein. Die Übersetzung ist dabei denkbar
einfach, es muss eine Disjunktion über alle möglichen Positionen j durchgeführt
werden, auf denen q gilt. Auf jeder dieser Positionen muss eine Konjunktion
durchgeführt werden, die erlaubt, dass p entlang des Pfades von π(i) bis π(j −1)
gültig ist.
Wenn man von der Formel · i k
ausgeht, so werden die einzelnen Teilformeln
rekursiv bearbeitet. Es ist dabei festzuhalten, dass sich die aktuelle Position i
natürlich ändern kann, k hingegen nie.
Für eine LTL-Formel f und k, i ∈ N, mit i ≤ k gilt:
p i k
:= p(s i ) ¬p i k := ¬p(s i)
f ∧ ∨ gi k := fi k
∧
∨ gi k
Gf i k
:= false Ff i k := ∨ k
j=i fj k
Xf i k
:= falls i

12
von der Position aus der die Schleife startet.
Das Problem des Nachfolgers wird wie folgt gelöst: Sei k, l, i ∈ N mit l, i ≤ k,
dann ist der Nachfolger succ(i) von i in der (k,l)-Schleife definiert als:
succ(i) :=i +1für i

3.8 Bestimmung der Schranke k
Das Problem was bisher umgangen wurde ist die Wahl der Schranke k. Ausgehend
von dem verwendeten Beispiel M |= k Ef wird für ein vorgegebenes
k überprüft, ob die Bedingung erfüllt ist. Würde dann bei diesem k der Fall
M ̸|= k Ef auftreten, so wird der Wert von k inkrementell erhöht. Dies kann
potentiell zum Halteproblem führen, was bedeutet, die Prozedur terminiert nie.
Diese Aussage würde zutreffen, wenn k potentiell unendlich groß werden könnte.
Dies ist aber nicht möglich. Um nun aber Aussagen treffen zu können, ob
die Schlussfolgerung M ̸|= k Ef zutrifft, also ob k nicht in dem ihm möglichen
Intervall liegt, müssen Eingrenzungen für k getroffen werden.
Die Behauptung, dass k in einem Intervall liegt ist relativ intuitiv. Die zugrundeliegende
Struktur ist ein endlicher Automat mit endlich vielen Zuständen. Da
nur endlich viele besucht werden können, kommen ab einer bestimmten Schranke
k keine neuen Zustände mehr in die betrachtete Menge hinzu und es kann mit
der Erhöhung der Schranke gestoppt werden. Also gilt als grobe Nährung, wenn
M |= Ef gilt, dann muss die Schranke k ≤|M| sein. Hierbei ist |M| die Anzahl
der Zustände der Kripke-Struktur. Das Problem was sich hierbei ergeben würde
wäre, dass der Zustandsraum nicht bekannt ist und so auch nicht die betrachtete
Anzahl an Zuständen. Auf Grund der booleschen Kodierung der Zustände ist es
aber möglich die Anzahl an Zuständen nach oben zu begrenzen. Die maximale
Anzahl an Zuständen einer Struktur wäre demnach 2 n , wobei n die Anzahl der
booleschen Variablen darstellt.
Bei Modellierung größerer Systeme ist es offensichtlich, dass diese Grenze zu
groß gewählt ist (32-bit Register).
Definition Diameter Ein Diameter einer Kripke-Struktur M ist die minimale
Anzahl d ∈ N mit folgender Eigenschaft: Für jede Sequenz von Zuständen
s 0 , ..., s d+1 mit (s i ,s i+1 ) ∈ T für i ≤ d, existiert eine Sequenz von Zuständen
t 0 , ..., t l mit l ≤ d, so dass t 0 = s 0 , t l = s d+1 und (t j ,t j+1 ) ∈ T für j ≤ l gilt.
Ist also ein Zustand v von einem Zustand u erreichbar, dann ist v auch über
einen Pfad der Länge kleiner d ausgehend von u erreichbar.
Für eine Formel f := EFp wäre dann M |= EFp erfüllt, wenn ein k ≤ d
existiert, mit M |= k EFp.
Der Diameter d ist die minimale Anzahl an zu untersuchenden Zuständen, die
folgende Formel erfüllt:
d∧
∀s 0 , ..., s d+1 .∃t 0 , ..., t d . T (s i ,s i+1 ) → (t 0 = s 0 ∧ d−1 ∧
∨
T (t i ,t i+1 ∧ d t i = s d+1 )
i=0
13
i=0
i=0
s i = s d+1
i=0
Definition Rekurrenz-Diameter Hierunter versteht man die kleinste Zahl
d ∈ N mit folgender Eigenschaft. Für jede Sequenz von Zuständen s 0 , ..., s d+1
mit (s i ,s i+1 ) ∈ T für i ≤ d existiert ein j ≤ d, so dass s d+1 = s j gilt.
Sei nun eine Formel f mit Rekurrenz-Diameter d gegeben dann gilt M |= Ef
genau dann, wenn ein k ≤ d existiert, mit M |= k Ef.
Der Rekurrenz-Diameter d ist die minimale Anzahl die folgende Formel erfüllt:
∀s 0 , ..., s d+1 .
d∧
∨
T (s i ,s i+1 ) → d
i=0

14
4 Industrieller Einsatz
Die Halbleiterindustrie musste schmerzlich feststellen, dass Fehler in der fertigen
Implementierung sie teuer zu stehen kommen. Im Gegensatz zur Software können
hier nicht einfach Updates durchgeführt werden um aufgetretene Fehler zu beseitigen.
Der der Öffentlichkeit bekannteste Fall trug sich 1994 zu. Intel musste
eine Rückrufaktion für seinen neuen P5 Chip starten, neben dem entstandenen
Imageverlust kostetet dies das Unternehmen nach vorsichtigen Schätzungen
mehr als 400 Millionen Dollar. Solche Fehler können schnell das Aus für ein
Unternehmen bedeuten. Gerade in der Entwicklung von neuen Chips, wie für
die neue Generation der UMTS-Handys, ist eine Verifikation unerlässlich. Die
Kommunikations- und Transaktionsprotokolle sind so komplex geworden, oft auf
Grund der Vielzahl der zu betrachtenden Parameter, dass eine Absicherung über
Testfälle nicht mehr in Frage kommt. Aus diesem Grund entwickelte die Firma
Infineon mit Siemes in den 90iger ein Tool namens CVE (circuit verification environment),
dass neben einem Äquivalenzvergleicher auch einen Eigenschaftsprüfer
auf Basis von bounded model checking beinhaltet.
Die Arbeitsweise dieses Tools namens gateprop soll im Folgenden exemplarisch
vorgestellt werden.
Die Schaltung die nun verifziert werden soll stellt einen ATM-Error-Controller
dar [8]. ATM ist die Abkürzung für asynchroner Transfer Modus und wir eingesetzt
bei breitbandigen Weitverkehrsnetzen. Die Merkmale sind eine verbindungsorientierte
Kommunikation mit Rahmen feste Länge, den sogenannten Zellen.
Zur Überprüfung der Zellen wird ein Cyclic Redundancy Check angewendet.
Da die Zellen eine Hämingdistanz von 4 besitzen ist es möglich 1-Bit-Fehler zu
erkennen und gleichzeitig zu korrigieren.
Die zu entwickelnde Schaltung soll hierbei die Aufgabe übernehmen zu entscheiden,
ob eine Zelle korrigierbar ist oder ob sie verworfen und neu angefordert
werden muss. Dieser ATM error controller (AEC) besitzt hierfür zwei Eingangsund
Ausgangsleitungen. Der Zusammenhang wird in der Tabelle verdeutlicht.
Eingänge
multiple error alter
Zustand
Ausgänge
correct it reject it
0 0 0 0 0 0
0 0 1 0 0 0
0 1 0 1 0 1
0 1 1 0 1 1
1 0 0 0 0 0
1 0 1 0 0 0
1 1 0 0 1 1
1 1 1 0 1 1
neuer
Zustand
Die wesentliche Aussage des Controllers soll sein, wenn nur ein einfacher Fehler
vorliegt (error = 1) dann soll er korrigiert werden und wenn ein mehrfacher

15
Fehler vorliegt (multiple = 1) soll die Zelle verworfen werden. Die Entscheidung
hängt dabei zusätzlich vom internen Zustand ab. Dies lässt sich nun als Schaltung
darstellen (Abbildung 3).
Abbildung 3. ATM error controller
Der Zustand der sequentiellen Schaltung ist ’1’ genau dann, wenn ein fehlerhafter
Block im vorangegangenen Schritt empfangen wurde.
Der heutige Designentwurf läuft mit Hilfe von Hardwarebeschreibungssprachen
(VHDL, Verilog) ab, daher stellt die Schaltung eigentlich nur eine visuelle
Repräsentation des HDL-Codes da. Um mit dieser Schaltung weiter arbeiten
zu können ist es wichtig den Flip-Flop zu entfernen, der den internen Zustand
darstellt. Hierzu wird dieser Speicher durch eine interne Leitung ersetzt (Abbildung
4). Diese interne Leitung wird zu den primären Leitungen als zusätzlicher
Eingang beziehungsweise Ausgang gezählt. Der sich ergebende ATM wird als
Com(AEC) bezeichnet.
Abbildung 4. Com(AEC)

16
Betrachtet man nun die Schaltung so könnte man sich die Schaltung als Black
Box vorstellen, in die Eingangsleitungen münden und Ausgangsleitung austreten.
Diese Box wäre nichts anderes als eine kombinatorische Schaltung. Für
die Untersuchung dieser Schaltung und der Konstruktion des bounded model
checking Problem müsste dieser kombinatorische Block aufgerollt werden. Wie
oft wird mittels der Schranke k bestimmt. Die sich ergebende Konstruktion ist
in (Abbildung 5) erkennbar. Hierbei ist zu erkennen, dass der Com(AEC) 3-mal
hintereinander geschaltet wurde. Die Kombination spiegelt den zeitlichen Ablauf
der Schaltung wieder.
Abbildung 5. AEC 3 Zeiteinheiten hintereinander
Was drückt dies eigentlich aus? Im Prinzip wurde nichts anders gemacht als die
Schaltung in einen endlichen Automaten zu überführen. Dieser Automat wurde
im nächsten Schritt aufgerollt. Dieser endliche Automat F n,m,k kann beschrieben
werden als eine boolesche Funktion mit n+k Eingabevariablen und m+k
Ausgabevariablen.
Diese interne Darstellung der Schaltung als Automat ist jedoch nur der erste
Schritt in der Konstruktion des bounded model checking Problem. Wichtig ist
es nun die Eigenschaften zu spezifizieren. Hierzu wird die Intervalltemporallogik
ITL verwendet (weiterführende Informationen in ”Gateprop Cookbook of Infineon
Technologie AG”).
Diese diskrete Temporallogik ist sehr einfach zu verstehen, also auch geeignet
für Nichtformalisten. Der Aufbau der zu untersuchenden Eigenschaft besteht aus
zwei Teilen:
1. Annahme (eng. assumption) definiert die Arbeitsumgebung
2. Verpflichtung (eng. commitment) zu erwartende Verhalten

17
Der Aufbau der Syntax und der Semantik wird im Anhang B näher beleuchtet.
Nachdem die Eigenschaften aufgestellt sind müssen diese überprüft werden. Hierzu
muss untersucht werden, ob die Verpflichtung eine Konsequenz der Annahme
ist, also ob die Annahme die Verpflichtung impliziert:
Eigenschaft =(Annahme → V erpflichtung)
dies entspricht:
Eigenschaft =(Annahme ∨ V erpflichtung)
Der Ablauf wird nun an einem Beispiel verdeutlicht:
1 theorem T1 ist
2 assume:
3 at t: error = ’0’;
4 prove:
5 at t: correct_it = ’0’;
6 at t: reject_it = ’0’;
7 end theorem;
In diesem Fall gilt für:
Annahme = error (1)
V erpflichtung = correct it (1) ∧ reject it (1)
Die Ausgänge hängen kombinatorisch mit den Eingängen zusammen, dies lässt
sich wiederum mit Hilfe einer aussagenlogischen Formel darstellen:
correct it (1) = multiple (1) ∧ error (1) ∧ u (1)
1
reject it (1) =(multiple (1) ∨ u (1)
1 ) ∧ error(1)
Die exemplarische Berechnung würde wie folgt ablaufen:
Eigenschaft 1 = error (1) ∨ correct it (1) ∧ reject it (1)
= error (1) ∧ correct it (1) ∨ reject it (1)
= (error (1) ∧ correct it (1) ) ∨ (error (1) ∧ reject it (1) )
= (error (1) ∧ (multiple (1) ∧ error (1) ∧ u (1)
1 ))
∨(error (1) ∧ ((multiple (1) ∨ u (1)
1 ) ∧ error(1) ))
= 0 ∨ 0
=1

18
Diese einzelne Eigenschaft alleine würde jedoch nicht ausreichen um den Controller
zu verifizieren. Es müssen noch weitere Eigenschaften aufgestellt werden.
1 theorem T2 ist
2 assume:
3 at t: error = ’0’;
4 at t+1: error = ’1’;
5 at t+1: multiple = ’0’;
6 prove:
7 at t+1: correct_it = ’1’;
8 end theorem;
1 theorem T3 ist
2 prove:
3 at t+1: correct_it = ’0’ or reject_it = ’0’;
4 end theorem;
1 theorem T4 ist
2 assume:
3 during [t,t+1]: error = ’1’;
4 at t+1: multiple = ’0’;
5 prove:
6 at t+1: reject_it = ’1’;
7 end theorem;
1 theorem T5 ist
2 assume:
3 at t: error = ’1’;
4 at t: multiple = ’1’;
5 prove:
6 at t+1: reject_it = ’1’;
7 end theorem;
Die vorgenommenen Umformungen und Berechnungen werden in Abbildung 6
als work flow des Tools gateprop noch einmal verdeutlicht. Die Übersetzung des
HDL-Design in die interne Automatendarstellung wird automatisch vorgenommen.
Aus der informellen Spezifikation eine formale Spezifikation zu fertigen
bleibt allerdings dem Benutzer vor.
Auch wenn die Benutzung dieses Tool sehr einfach erscheint und die kompliziertesten
Schritte automatisiert sind, so ist die Frage, ob sich der Benutzer auf alle
Ausgaben einfach so verlassen kann?

Abbildung 6. Arbeitsweise von gateprop als work flow [10]
19

20
5 Auseinandersetzung
Nachdem nun das Tool gateprop vorgestellt wurde ist die Frage, ob der Benutzer
den Ausgaben blindlings vertrauen kann? Diese Frage ist eindeutig mit
nein zu beantworten. Der Grund liegt in der Aussagekraft der Ergebnisse. Nicht
immer, wenn das Tool ein Gegenbeispiel präsentiert handelt es sich um einen
Fehler im Design. Das hierbei zu erwähnende Schlagwort ist ”false negative”.
Dies bedeutet, dass jedes Gegenbeispiel untersucht werden muss, ob es in einem
erreichbaren oder unerreichbarem Zustand endet. Kommt letzteres vor, so ist der
Fehler in den Anforderungen zu suchen. Der Benutzer ist beim Aufstellen der
Eigenschaften von falschen Annahmen ausgegangen. Falsche Annahmen stammen
aus dem assume-Teil der spezifizierten Eigenschaft. Würde dieser Fall nun
auftreten, müssten dort die Änderungen vorgenommen werden.
Ein reiner Designfehler wäre erst dann gefunden, wenn nach Überprüfung des
Gegenbeispieles es sich herausstellt, dass dieser in einem erreichbaren Zustand
mündet.
Eine erste Schlußfolgerung wäre damit, dass die Aufstellung der Spezifikationen
(informell und formell) nur von Fachleuten vorgenommen werden darf, die sich
mit dem Verhalten des System auskennen und wissen welche kritischen Bedingungen
in der Arbeitsumgebung zu berücksichtigen sind.
Eine weiter wichtige Erfahrung im Umgang mit bounded model checking und
dem Tool gateprop wurde in [5] erkannt. Die Autoren stellten sich die Aufgabe
eine Brücke eines neuen Systembusses zu untersuchen und setzten dazu Testverfahren
und das Tool gateprop ein. Die dabei entstandenen Ergebnisse sind in der
folgenden Tabelle aufgeführt.
Bug Type
Property
Checker
Direct Testing
Verletzungen des 11 4 8
Busprotokolls
interne Design 0 2 4
Queue Probleme
Livelock/ Deadlock 0 5 2
andere Design Probleme
7 3 8
Gesamt 18 14 22
Random
Testing
Die Frage die man sich nun stellen würde, warum findet der Eigenschaftsprüfer
in einigen Fällen überhaupt keine Fehler, während die Test-Methoden mehrere
Verletzungen der Spezifikationen aufzeigen? Zum einen liegt es daran, dass Fehler
nur dann gefunden werden, wenn dafür auch Eigenschaften verletzt werden.
Es ist daher erforderlich alle Eigenschaften, die die Schaltung erfüllen muss auch
formal zu spezifizieren, da sonst Bugs im Design nicht vermieden werden können.
Der andere weniger offensichtliche Fehler liegt in der Anwendung. Busprotokolle
sind seltener zeitabhängig und können mit relativ geringer Zeitschranke spe-

21
zifiziert und überprüft werden. Dem gegenüber stehen die Transaktionseigenschaften.
Hier treten Fehler, insbesondere Deadlocks, erst nach gewissen zeitlichen
Abläufen auf. Die Deadlockwahrscheinlichkeit ist in Fällen von überfüllten
Queues besonders wahrscheinlich. Diese sind auch mit bounded model checking
zu finden, allerdings müsste der Benutzer - in erster Betrachtung - hierfür viel
Zeit und Geduld investieren, bis die Berechnung beendet ist. Würde man hingegen
einen Spezialisten damit beauftragen mit sehr genaue Kenntnisse über
das zu untersuchende System, so hätte dies einige Vorteile. Ihm ist es möglich,
mit einem geringeren Risiko von false negative, den Startzustand des bounded
model checking Problem zu variieren. Der Fehler der Autoren bezüglich der Verwendung
von gateprop lag genau in diesem Punkt. Sie änderten den Zustand
niemals und passten ihn damit nicht an die zu untersuchende Eigenschaft an.
Jeder Erstbenutzer würde genau so handeln und sich den einfachsten Zustand als
Initialzustand der Untersuchung aussuchen, in diesem Fall war es der Zustand
nach dem RESET der Brücke.
Denkbar wäre hier eine Kombination aus den Vorteilen von Testsuiten und den
formalen Methoden. Testfälle könnte potentielle Deadlockfälle ausloten, die dann
mittels gateprop untersucht würden. Der Vorteil wäre, dass man leichter den Initialzustand
bestimmen könnte und zudem auch mit Sicherheit Aussagen über
weitere Deadlocks in der Abfolge der Verarbeitung machen könnte.
5.1 Vergleich mit etablierten Techniken
An dem Tool gateprop konnte man erkennen, dass bounded model checking Probleme
sich sehr gut mit SAT-Prozeduren kombinieren lassen. Eine weitere Technik,
die in diesem Zusammenhang einer Erwähnung würdig wäre sind BDDs.
BDDs eignen sich weniger gut in Kombination mit bounded model checking Problemen,
da sie eine Repräsentation der zugrundeliegenden Datenstruktur darstellen.
Ihr Problem ist nicht das Handling der Datenstruktur, sondern ihr Aufbau.
Die guten Eigenschaften von BDDs kommen erst zur Geltung nach Aufbau der
Struktur und erlauben dann die Anwendung von booleschen Operationen auf den
Datenstrukturen. Diese Operationen sind ohne jeden Zweifel sehr effizient und
können mit heutigen Implementierung sehr schnell ausgeführt werden. Da die
Konstruktion von bounded model checking Problemen, in Abhängigkeit von der
Grenze k und der Anzahl der booleschen Variablen des Systems, zu sehr komplexen
Formeln führen kann, ist die Konstruktion dieser Entscheidungsdiagramme
sehr kompliziert. Die notwendige kanonische Darstellung führt bei ungünstiger
Variablenkonstruktion beziehungsweise ungünstigen Funktionen zu einer exponentiellen
Speicherexplosion, die die Vorteile des Ansatzes mehr als aufhebt.
SAT Prozeduren kommen ohne aufwendige Datenstruktur aus. Da sie eine kanonische
Darstellung des Systems vermeiden, vermeiden sie auch mögliche exponentielle
Speicherexplosionen. So müssen sie auch nicht den Zustandsraum
durchsuchen, um ein mögliches Gegenbeispiel für das zu untersuchende Problem

22
zu finden. Weitere Vorteile von SAT sind, dass die verwendeten SAT-Prover sehr
effizient und schnell geworden sind, nicht zuletzt durch die Anwendungen im
technischen Bereich. SAT erlaubt es neben dem eigentlichen Property Checking
auch im Äquivalenzvergleich eingesetzt zu werden, um neue Schaltung auf Funktionsgleichheit
mit bereits existierenden zu untersuchen. Die existierenden SAT
Werkzeuge SATO (Davis und Putnam Algorithmus) oder PROVE (Stalmårck
Methode) und darauf aufbauende Algorithmen schlagen hinsichtlich ihres Einsatzbereiches
Methoden auf Basis von BDDs, die mit ihrer Breitensuche und
dem Speichplatzproblem benachteiligt sind.
Das wichtig, gerade im Einsatz in der Industrie, ist die Möglichkeit viele Schritte
zu automatisieren, um so die Fehlerquelle Mensch auszuschließen und zum anderen
Kosten zu senken. Auch hier haben BDDs wesentliche Nachteile gegenüber
SAT-Prozeduren. Zwar existieren Heuristiken zur Sortierung der Variablenordnung,
die einen wesentlichen Teil der Speicherexplosion mit zu verantworten haben,
letztendlich wird die Variablenordnung immer noch erheblich vom Benutzer
mitbestimmt [2]. Der hohe Automatisierungsgrad in der Verifikation lässt sich
sehr gut am Tool gateprop erkennen. Hierbei wird der HDL-Code des Designs
automatisch in eine interne Automatendarstellung übersetzt. Das einzige was
hier vom Benutzer noch verlangt wird ist die Formalisierung der Spezifikation.
Schlussendlich stellt sich nur noch die Frage nach der Anwendungsbreite und
damit nach den Grenzen dieser neuen Technik.
Die wichtigsten Eigenschaften die Systeme erfüllen müssen sind die bekannten
Sicherheits- und Lebendigkeitseigenschaften die mittels Temporallogik spezifizierbar
sind. Diese wesentlichen Eigenschaften können in ein bounded model
checking Problem umgewandelt werden und auf dem Design untersucht werden.
Die Grenzen zur Lösung dieser Probleme liegen in mehreren Faktoren. Zum einen
ist aus den Formeln ableitbar, dass komplexe Systeme auch komplexe Transitionsübergänge
mit sich ziehen. Dies bedeutet, je komplexer ein System, desto
länger dauert die Berechnungszeit. Allerdings hängt die Berechnungszeit, wie in
[5] aufgezeigt auch wesentlich von der spezifizierten Arbeitsumgebung ab, dem
allgemeinen Startzustand. Somit ist die Laufzeit wesentlich von dem zu untersuchenden
System und natürlich von der zu untersuchenden Eigenschaft abhängig.
Wesentliche Fortschritte in der Verkürzung der Laufzeit zeigt der Übergang von
den allgemeinen akademischen Problemen, die sich mit dem bekannten Temporallogiken
(CTL, CTL*, ...) spezifizieren lassen zu den Problemen der Industrie.
Wenn man sich die Intervalltemporallogik anschaut so ist offensichtlich,
dass die Anzahl möglicher spezifizierbarer Eigenschaften geringer ist, als mit den
oben vorgestellten Logiken möglich wäre. Das liegt zum einen in dem nur endlich
großen Zeitintervall das betrachtet wird und zum anderen in der begrenzten
Ausdrucksfähigkeit der temporalen Operatoren. Diese Logik ist hervorragend auf
bounded model checking zugeschnitten und erlaubt zudem eine leichte Verständ-

23
lichkeit. Die Begrenzung der zu untersuchenden Eigenschaften, wie am Beispiel
des AEC vorgestellt, auf nur wenige Zeitschritte zeigt erst warum sich bounded
model checking als hervorragende Technik im industriellen Alltag etabliert hat.
In der Praxis kommen selten Eigenschaften mit Schranken größer zehn vor.
Auch wenn bounded model checking sich in der Praxis schon bewährt hat, so
befindet es sich immer noch in der Entwicklung seiner Fähigkeiten. So ist bisher
nur eine begrenzte Anzahl an Eigenschaften spezifizierbar. Diese Unvollständigkeit
hinsichtlich der Spezifizierungen wie Fairness- oder Persistenzeigenschaften
scheint jedoch in der Industrie weniger von Bedeutung zu sein, als im akademischen
Bereich. Es bleibt abzuwarten, ob es in naher Zukunft möglich ist Fixpunktoperationen
in bounded model checking Probleme zu übertragen.
Der für den Benutzer markanteste Nachteil ist die Aussagekraft des Ergebnisses.
Am Beispiel des AEC wurde schon aufgezeigt, dass der Benutzer darauf achten
muss, dass er bei der formalen Spezifikation nicht den Fehler begeht und false
negative beschreibt. Hier liegt es also am Benutzer die Gegenbeispiele zu untersuchen,
ob hier keine Zeugen gefunden wurden, die in einen unerreichbaren
Zustand münden. Was für das Gegenbeispiel gilt muss natürlich auch für den
Beweis gelten. Auch hier darf nicht einfach angenommen werden, dass bei dem
Ergebnis ”die spezifizierte Eigenschaft ist erfüllt” dies auch automatisch gilt.
Hier kann es immer noch sein, dass ein Fehler in der Annahme aufgetreten ist.
So hängt schlussendlich ein korrekt spezifiziertes System von korrekt spezifizierten
Eigenschaften ab. Wenn diese korrekt und vollständig sind, dann liefert auch
bounded model checking in Kombination mit einem Eigenschaftsprüfer verlässliche
Ergebnisse.
Siehe hierzu “Tuning sat checkers für bounded model checking” von O.Shtrichman
und “Combining decisions diagrams and sat procedures for efficient symbolic
model checking” P.F.Williams, A.Biere sowie [3].

24
A
2-Bit Zähler
Anhand des Zählers sollen verschiedene Eigenschaften mit Hilfe von bounded
model checking überprüft werden. Die dabei abzuarbeitenden Phasen sind:
1. Verhalten des Transitionssystems als aussagenlogische Formel kodieren
2. Eingabe der Formel in einen Eigenschaftsprüfer
Dazu werden benötigt:
Transitionssystem M
Eigenschaft als aussagenlogische Formel f
Anfangsschranke k
Die für das Transitionssystem benötigte aussagenlogische Formel wird durch
folgende Parameter bestimmt:
M k := I(s 0 ) ∧ k−1 ∧
i=0
T (s i ,s i+1 )
Diese Formel in Kombination mit der zu untersuchenden Eigenschaft EFp und
der Anfangsschranke k=2 führt zur Zielformel:
M,f 2 := I(s 0 ) ∧ T (s 0 ,s 1 ) ∧ T (s 1 ,s 2 ) ∧ (p(s 0 ) ∨ p(s 1 ) ∨ p(s 2 ))
Der letzte Maxterm drückt dabei die Eigenschaft EFp k aus.
Der zu untersuchende 2-Bit Zähler ist dargestellt mit a als most significant Bit
und b als least significant Bit. Daraus ergibt sich folgendes Transitionssystem:
(a ′ ↔¬a) ∧ (b ′ ↔ a ⊕ b)
Für den Startzustand (0, 0) soll überprüft werden, ob innerhalb zweier Zeitschritte
der Zustand (1, 1) erreicht werden kann:
I(s 0 ) ( ¬a 0 ∧¬b 0 )∧
T (s 0 ,s 1 )((a 1 ↔¬a 0 ) ∧ (b 1 ↔ (a 0 ⊕ b 0 )) )∧
T (s 1 ,s 2 )((a 2 ↔¬a 1 ) ∧ (b 2 ↔ (a 1 ⊕ b 1 )) )∧
p(s 0 ): ( a 0 ∧ b 0 ∨
p(s 1 ):
a 1 ∧ b 1 ∨
p(s 2 ): a 2 ∧ b 2 )
Diese Formel ist unerfüllbar, wie erwartet.
Der Zähler wird nun um eine weitere Transition ergänzt (Abbildung 7). Es wird
eine Schleife vom Zustand (1, 0) zu sich selbst eingefügt. Es ergibt sich nachstehende
Änderung:
(a ′ ↔¬a) ∧ (b ′ ↔ a ⊕ b) ∨ (b ∧¬a ∧ b ′ ∧¬a ′ )

25
Abbildung 7. 2-Bit Zähler mit Schleife
Sollte der Zustand (1, 1) erreichbar sein, muss die Formel AF(b ∧ a) erfüllt sein.
Offensichtlich ist dies nicht möglich. Es wird also ein Gegenbeispiel gesucht mit
EGp mit p = ¬b ∨¬a. Diese Formel wird geprüft um den wahren Wert von
AF(b ∧ a) zu erhalten. Die Zeitschranke k sei wiederum 2. Die zu beobachten
Zustände werden mit s 0 ,s 1 und s 2 bezeichnet. Jeder dieser Zustände muss
überprüft und erfüllt sein, um EGp zu entsprechen, andernfalls ist es ein Gegenbeispiel
für AF(b ∧ a). Als Formel entsteht:
M 2 := I(s 0 ) ∧ T (s 0 ,s 1 ) ∧ T (s 1 ,s 2 )
T (s 2 ,s 3 ) ∧ (s 3 = s 0 ∨ s 3 = s 1 ∨ s 3 = s 2 )
Die letzte Anforderung hat folgende Bewandtnis. In der Sequenz der Zustände
s 0 ,s 1 ,s 2 muss eine Schleife enthalten sein. Eine Transition vom letzten Zustand
s 2 zu s 0 ,s 1 oder zu sich selbst. Zusammenfassend:
I(s 0 ) ( ¬a 0 ∧¬b 0 )∧
T (s 0 ,s 1 )((a 1 ↔¬a0) ∧ (b 1 ↔ (a 0 ⊕ b 0 ))∨
b 1 ∧¬a 1 ∧ b 0 ∧¬a 0 )∧
T (s 1 ,s 2 )((a 2 ↔¬a1) ∧ (b 2 ↔ (a 1 ⊕ b 1 ))∨
b 2 ∧¬a 2 ∧ b 1 ∧¬a 1 )∧
T (s 2 ,s 3 )((a 3 ↔¬a2) ∧ (b 3 ↔ (a 2 ⊕ b 2 ))∨
b 3 ∧¬a 2 ∧ b 2 ∧¬a 2 )∧
s 3 = s 0 ( (a 3 ↔ a 0 ) ∧ (b 3 ↔ b 0 ) ∨
s 3 = s 1 (a 3 ↔ a 1 ) ∧ (b 3 ↔ b 1 ) ∨
s 3 = s 2 (a 3 ↔ a 2 ) ∧ (b 3 ↔ b 2 ) )∧
p(s 0 ): ( ¬a 0 ∨¬b 0 )∧
p(s 1 ): ( ¬a 1 ∨¬b 1 )∧
p(s 2 ): ( ¬a 2 ∨¬b 2 )
Diese Formel ist natürlich erfüllt. Von (0,0) zu (0,1) über (1,0) gefolgt von einer
self-loop. Somit ist ein Gegenbeispiel zu AF(b∧a) gefunden. Die neue Transition
(self-loop) findet sich in der Formel b i ∧¬a 1 ∧ b i−1 ∧¬a i−1 mit i ∈ 1, 2, 3 wieder.
Es sei hier nur angemerkt das Lebendigkeitseigenschaften nur unter bestimmten
Fairnis Bedingungen sinnvoll sind.

26
B
Temporallogik ITL
Der Aufbau der Syntax sieht wie folgt aus:
::=
theorem is
[asume:
[]]
prove:
end theorem;
Offensichtlich ist es nicht notwendig eine Arbeitsumgebung zu definieren, da
auch Eigenschaften ohne Voraussetzung spezifizierbar sein müssen.
::= ;{;}
Hierunter versteht man die Darstellung eines kombinatorischen logischen Blockes,
repräsentiert durch Eingaben, Zustände, Ausgaben, ... . Wichtig hierbei ist die
Darstellung der Zeit.
theorem test is
prove: at t: ; end theorem;
Es wird in diesem Fall nur ein Beobachtungsfenster [t,t] betrachtet, innerhalb
dessen ein in HDL untersucht werden muss. Die Eigenschaft ist
nur dann erfüllt, wenn wahr ist für alle betrachteten Eingaben,
Zustände, Ausgaben, ... zum Zeitpunkt t .
Auswahl an Temporaloperatoren:
at
::= at :
::= t+ | t-
::= |
theorem test2 is
assume:
at t: ;
prove:
at t+1: ;
at t+2: ;
at t+3: ;
end theorem;
during
::= during :
::= [,]

27
theorem test2new is
assume:
at t: ;
prove:
during[t+1,t+3]: ;
end theorem;
Sicherheitseigenschaften können somit mit during dargestellt werden.
within
::= within :
::= [,]
theorem test3 is
assume:
at t: ;
prove:
within[t+1,t+3]: ;
end theorem;
Mit Hilfe des Ausdrucks within können Lebendigkeitseigenschaften spezifiziert
werden.

28
Literatur
1. Armin Biere, Alessandro Cimatti, Edmund Clarke, Yunshan Zhu: Symbolic Model
Checking without BDDs, In TACAX’99, 1999
2. Armin Biere, Alessandro Cimatti, Edmund Clarke, Yunshan Zhu: Symbolic Model
Checking using SAT procedures instead of BDDs, In Design Automation Conference,
DAC 1999
3. Armin Biere, Alessandro Cimatti, Edmund Clarke, Yunshan Zhu: Bounded Model
Checking Using Satisfiability Solving, Formal Methods in System Design, 2001
4. Armin Biere: Bounded Model Checking Was kommt danach, 2000
5. M. Bartley, D. Galpin, T. Blackmore: A Comparison of Three Verification Techniques:
Directed Testing, Pseudo-Random Testing and Property Checking, DAC
2002
6. W. Kunz: Vorlesungsskirpt Verifikation Digitaler Systeme, 2003
7. K. L. McMillan: Symbolic Model Checking, Kluwer Academic Publischers 5. Auflage,
1998
8. P. Molitor, S. Silvio: A Coverage Measure for Bounded Model Checking, 2003
9. K. Schneider: Vorlesungsskript Verifikation reaktiver System, 2003
10. K. Winkelmann: Property Checking Technology: The gateprop Tool, 2001

29
Interpolation and SAT-based Model Checking
Christian Schlosser
Email: ChristianSchlosser@web.de
Zusammenfassung. Moderne SAT - Algorithmen können durch einfache
Modifikationen dazu benutzt werden, um einen Wiederspruchsbeweis für eine
unerfüllbare Belegung eines Erfüllbarkeitsproblems zu liefern. Hier wird ein
Algorithmus vorgestellt, der mit linearem Aufwand Interpolierende von so
einem Beweis liefert. Mit Hilfe dieser Interpolation kann eine vollständige
Erreichbarkeitsanalyse für die Finalzustände eines Automaten durchgeführt
werden. Diese wiederum ermöglicht nun in linearer Zeit eine unbegrenzte
Modellprüfung, die nur auf SAT basiert. Benchmarks haben gezeigt, dass diese
Methode erheblich effizienter bei der Modellprüfung von industriellen
Verifikationsproblemen ist als BDD-basierte symbolische Modellprüfung.
Auch einen Vergleich mit anderen erst kürzlich entwickelten auf SATbasierenden
Modellprüfern braucht das hier vorgestellte Verfahren nicht zu
scheuen.
1. Einführung
Symbolische Modellprüfung ist eine Methode zur Verifikation von temporalen
Logikbedingungen von endlichen Zustandsräumen. Für die Modellprüfung von
finalen Zuständen haben sich in der Praxis binäre Entscheidungsbäume (BDDs) als
gut geeignet erwiesen.
Werden die Systeme aber größer, dann sind diese mit BDDs nicht mehr zu
verifizieren. Hierfür wurde die begrenzte Modellprüfung entwickelt, die mit Hilfe von
SAT - Algorithmen Gegenbeispiele mit einer maximalen Anzahl k an
Zustandsübergängen findet. Der Nachteil dieses Verfahrens ist, dass nicht
nachgewiesen werden kann, dass nicht doch ein Gegenbeispiel länger als k existiert
und somit nur Fehler gefunden werden können, aber nicht gezeigt werden kann, dass
keine Fehler vorhanden sind.
Hier soll eine Methode vorgestellt werden, die unbegrenzte Modellprüfung
ermöglicht und nur auf SAT basiert. Dabei wird ausgenutzt, dass SAT ein formales
Gegenargument liefert, wenn die Logikbedingungen nicht erfüllbar sind. Dies
entspricht bei einer begrenzten Modellprüfung dem Beweis, dass kein Gegenbeispiel
mit Länge kleiner gleich k für eine Eigenschaft existiert. Trotzdem sagt dies noch
nichts darüber aus, ob die Eigenschaft allgemein gültig ist oder nicht, wir werden aber
sehen, dass dieser Beweis Aussagen über die erreichbaren Zustände des Modells
macht, die bei der Modellprüfung ausgenutzt werden können. Genauer gesagt,
gegeben eine Unterteilung der Klauselmenge in zwei Teilmengen A und B, und einem
Beweis, dass diese Klauseln unerfüllbar sind (Wiederspruchsbeweis), ist es möglich,

30
in linearer Zeit eine Interpolierende P der Teilmengen A und B zu generieren, die
folgende Eigenschaften hat:
A impliziert P,
P B ist nicht erfüllbar und
P verwendet nur die gemeinsamen Variablen von A und B.
Dies ermöglicht es, die Finalzustände auf Erreichbarkeit zu überprüfen und
darausfolgend eine unbegrenzte Modellprüfung durchzuführen.
Im nächsten Kapitel wird gezeigt, wie man mit einem SAT-Algorithmus den
benötigten Wiederspruchsbeweis erhält. In Kapitel 4 wird dann eine einfache
Methode vorgestellt, die mit Hilfe von Interpolation eine unbegrenzte Modellprüfung
durchführt. Ein Test dieser Methode in der Praxis an Hand von einigen Eigenschaften
von kommerziellen Mikroprozessoren folgt in Kapitel 5.
2. Extraktion von Beweisen aus SAT – Algorithmen
Eine Klausel ist eine Disjunktion von beliebig vielen booleschen Variablen oder ihrer
Negation. Wir nehmen an, dass die Klauseln nicht allgemeingültig sind, d.h. dass sie
nicht gleichzeitig eine Variable und deren Negation enthalten. Eine Menge von
Klauseln ist erfüllbar, wenn eine Variablenbelegung existiert, bei der alle Klauseln
der Menge den Wert true liefern.
Haben wir nun zwei Klauseln der Form c 1 = v A und c 2 = v B, dann
definieren wir die Vereinigung der beiden Klauseln als A B, unter der
Vorraussetzung, dass A B nicht allgemeingütig sind. Ist A B jedoch
allgemeingütig, so existiert keine Vereinigung. Existiert eine Vereinigung von c 1 und
c 2 , dann wird diese impliziert von c 1 c 2 .
Definition Beweis der Unerfüllbarkeit:
Für eine Menge von Klauseln C ist ein Beweis der Unerfüllbarkeit P ein
gerichteter azyklischer Graph (V P ,E P ), bei dem V P eine Menge von
Klauseln darstellt, so dass:
Für jeden Knoten c V P gilt entweder
o c C und c eine Wurzel oder
o c hat genau zwei Vorgänger c 1 und c 2 , wobei c die
Vereinigung von c 1 und c 2 ist
Die leere Klausel ist das einzige Blatt.
Existiert nun ein Beweis für eine Klauselmenge C, der besagt dass die Klauselmenge
unerfüllbar ist, dann ist auch C unerfüllbar. Dies lässt sich durch Induktion über die
Tiefe des Graphen und mit Hilfe der Transitivität der impliziten Verknüpfung leicht
zeigen.
Zum Erzeugen der Unerfüllbarkeitsbeweise wird ein DPLL – SAT-Algorithmus
verwendet, was aber nicht zwingend erforderlich ist. Während der DPLL -
Algorithmus nach einer erfüllenden Belegung sucht, muss er Entscheidungen treffen,
bei denen er beliebigen Variablen den Wert true zuweist und daraus einen

31
Folgerungsgraph ableitet. Dies ist ein gerichteter azyklischer Graph, dessen Knoten
einer true – Zuweisung einer Variablen entsprechen. Eine Kante von v 1 zu v 2 besagt,
dass durch die Annahme, dass v 1 erfüllt ist, aus einer Klausel folgt, dass v 2 auch
erfüllt sein muss, um die Klausel erfüllen zu können.
Zum Beispiel nehmen wir eine Klauselmenge {(a b), (b c d)} an. Des
weiteren haben wir schon {a, c} als erfüllt angenommen. Daraus ergibt sich
folgender möglicher Folgerungsgraph:
a b
c
d
Abbildung 1: Folgerungsgraph
Das Symbol b wird impliziert von Knoten a und der Klausel (a b), während das
Symbol d von den Konten b und c sowie der Klausel (b c d) impliziert wird.
Eine Klausel ist in Konflikt mit dem Folgerungsgraph, wenn alle ihre Variablen als
Negation in dem Graph vorkommen. Wenn nun so ein Konflikt bei einem SAT-
Algorithmus auftaucht, generiert dieser eine Konfliktklausel, die von den vorhandenen
Klauseln der Klauselmenge impliziert wird. Diese Konfliktklausel wird durch
Vereinigung der in Konflikt stehenden Klausel mit Klauseln aus dem
Folgerungsgraph generiert.
Fügen wir zum Beispiel der Klauselmenge von oben die Klausel (b d) hinzu.
Diese steht in Konflikt mit dem Folgerungsgraph. Die Variable d steht im Konflikt
und wird von der Klausel (b c d) impliziert. Die Vereinigung von dieser Klausel
und der Klausel im Konflikt lautet dann (b c), die auch im Konflikt mit dem
Folgerungsgraph steht. Auch die Variable b vom Folgerungsgraph steht im Konflikt.
Sie wird von der Klausel (a b) impliziert. Vereinigt man diese nun mit der vorhin
erhaltenen Klausel (b c), so erhält man (a c) als eine weitere Konfliktklausel.
Eine von diesen beiden implizierten Konfliktklauseln wird nun der Klauselmenge
hinzugefügt.
Um nun einen Beweis für den unerfüllbaren Fall zu finden muss man beobachten,
welche Sequenzen von Klauseln zu den jeweiligen Konfliktklauseln vereinigt werden.
Im unerfüllbaren Fall liefert ein modifizierter SAT-Algorithmus als Ergebnis eine
leere Klausel, von der aus nun eine Tiefensuche gestartet wird, die nach den
Bedingungen sucht, die ursprünglich diese Sequenz bedingt haben. Es ist im
allgemeinen nicht nötig, alle vom SAT-Algorithmus generierten Konfliktklauseln zu
durchsuchen, um eine leere Klausel ableiten zu können.
3. Der Interpolationsalgorithmus
Nehmen wir nun an, dass wir eine Partitionierung einer Klauselmenge C in eine
indizierte Menge {C 1 ... C n } mit disjunkten Untermengen C i haben. Wir bezeichnen
eine Variable in Beziehung auf als global, wenn sie in mehr als einem C i

32
vorkommt, andernfalls als lokal. Ein Literal bezeichnet man als global (lokal), wenn
die Variable, die es enthält global (lokal) ist. Des weiteren bezeichnen wir mit g(c) die
Disjunktion aller globalen Literale einer Klausel c und mit l i (c) die Disjunktion aller
Literale einer Klausel c, die lokal in C i sind.
Definition -Wiederlegung:
Eine -Wiederlegung von C ist eine indizierte Menge von booleschen
Formeln {p 1 ,...,p n }, so dass:
jedes p i ist impliziert von C i (C i => p i )
die Konjunktion ist unerfüllbar
i
p i
jedes p i bezieht sich ausschließlich auf globale Variablen (in
Bezug auf )
Definition Pivotvariable:
Sei P ein Beweis der Unerfüllbarkeit der Klauselmenge C und c V P ein
Konten der keine Wurzel ist, mit den Vorgängern c 1 und c 2 , dann ist die
Pivotvariable von c die eindeutige Variable v für die gilt:
c 1 beinhaltet v und c 2 beinhaltet v, oder
c 1 beinhaltet v und c 2 beinhaltet v.
Haben wir nun einen Beweis P, dass C nicht erfüllbar ist, möchten wir daraus eine
-Wiederlegung ableiten. Dies kann in linearer Zeit mit Hilfe einer einfachen
Vorschrift gemacht werden:
Definition Beweispartitionierung (P):
Sei P ein Beweis der Unerfüllbarkeit der Klauselmenge C, und sei
= {C 1 ,...,C N } eine indizierte Partitionierung von C, dann ist (P) =
{p 1 ,...,p n } so dass für alle Knoten c V P gilt:
wenn c Wurzel ist, dann
- wenn c C i dann p i (c) = g(c),
- sonst p i (c) = true.
sonst, wenn v die Pivotvariable von c ist und c 1 und c 2 die
Vorgänger von c sind:
- wenn v lokal zu C i ist, dann p i (c) = p i (c 1 ) p i (c 2 ),
- sonst p i (c) = p i (c 1 ) p i (c 2 ).
Theorem -Wiederlegung:
Sei P ein Beweis der Unerfüllbarkeit der Klauselmenge C mit der Wurzel r
(die eine leere Klausel ist), und sei = {C 1 ,...,C N } eine indizierte
Partitionierung von C, sei {p 1 (r),...,p n (r)} die Menge der Formeln, dann ist
(P) = {p 1 ,...p n } eine -Wiederlegung von C.

33
Der Beweis dieses Theorems wird geführt, indem man eine Induktion über die
Struktur von P durchführt und dabei zeigt, dass für jeden Knoten c gilt:
C i impliziert pi(c) l i (c),
(c) impliziert g(c) und
i
p i
jedes p i (c) beinhaltet nur globale Variablen.
Den eigentlichen Beweis kann man in [McMillan03] nachlesen.
Jedes p i (r) kann in der Zeit von O(N + L) berechnet werden, wobei N die Anzahl
der Knoten in dem Beweis V P ist und L die gesamte Anzahl der Literale in dem
Beweis der Unerfüllbarkeit von C ist. Eine komplette -Wiederlegung kann in der
Zeit O(nN + L) berechnet werden, wobei n für die Kardialität von steht (Anzahl der
Untermengen in der Partition). Dies ist der Fall, weil p i (r) nur von den Pivotvariablen
der Konten die nicht Wurzel sind abhängt und nur einmal berechnet werden muss.
4. Modellprüfung basierend auf Interpolation
Nun wollen wir zeigen, wie man -Wiederlegungen in einer vollständigen SATbasierten
unbegrenzten Modellprüfung verwenden kann.
Begrenzte Modellprüfung wird eingesetzt, um zu zeigen, dass ein
Transitionssystem keine Übergangsfolge mit k oder weniger Schritten besitzt, die
einer gegebenen Bedingung wiederspricht, wobei k eine feste Grenze ist. Dies kann
als SAT-Problem mit der Grenze k formuliert werden. Für den Fall der
Unerfüllbarkeit kann man aus einem Beweis-generierenden SAT-Algorithmus einen
Beweis extrahieren, der die Nicht-Existenz eines Gegenbeispiels der Länge k zeigt.
Interpoliert man nun diesen Beweis, so kann man eine obere Abschätzung von den in
j Schritten erreichbaren Zuständen bestimmen (für alle 0 j k).
Ein begrenztes Modellprüfungsproblem besteht aus einer Menge von
Bedingungen, die in Initial-, Transitions- und Finalbedingungen unterteilt werden
können. Diese Bedingungen werden nun in eine Konjunktive Normalform übersetzt
und zu jedem Zeitpunkt 0...k instanziiert. Dies ist in Abbildung 2 dargestellt, wobei I
die Initialbedingung, T die Transitionsbedingung und F die Finalbedingung
repräsentiert.
Abbildung 2: begrenzte Modellprüfung
Nehmen wir nun an, dass wir die Klauseln so unterteilen, dass die initiale
Bedingung und die erste Instanz der Transitionsbedingung in der Menge C 1 enthalten
sind, während die finale Bedingung und die übrigen Instanzen der
Transitionsbedingung in der Menge C 2 enthalten sind. Diese Situation ist in

34
Abbildung 3 dargestellt. Die globalen Variablen bei dieser Unterteilung entsprechen
genau den Instanzen der Zustandsvariablen zum Zeitpunkt 1. Mit Hilfe von einem
SAT-Algorithmus zeigen wir nun die Unerfüllbarkeit der Klauselmenge und leiten
von diesem Beweis eine -Wiederlegung {p 1 , p 2 } ab. Da p 1 von der Initialbedingung
und der ersten Transitionsbedingung impliziert wird, folgt daraus, dass p 1 in jedem
Zustand, der vom Initialzustand aus in einem Schritt erreichbar ist, erfüllt ist. Ebenso
gilt, dass p 2 in jedem Zustand, der die Finalbedingung in k - 1 Schritten erreichen
kann, erfüllt ist. Die Konjunktion von p 1 und p 2 ist unerfüllbar, was bedeutet, dass
kein Zustand, der p 1 erfüllt, den Finalzustand in k - 1 Schritten erreichen kann. Nun
wählen wir p 1 als die Initialbedingung und wiederholen den Prozess, so dass wir eine
Bedingung erhalten, die nach zwei Schritten erfüllt sein muss, dann nach drei
Schritten, u.s.w. bis die Disjunktion von p 1 und p 2 einen fixen Punkt erreichen oder
das Problem lösbar wird. Im ersten Fall haben wir erfolgreich bewiesen, dass die
Finalbedingung nicht erreichbar ist, im zweiten Fall müssen wir k erhöhen und noch
mal von Vorne anfangen. Wir können aber zeigen, dass für k größer der reverse depth
(siehe unten) des Zustandsraumes der Prozess zu einem fixen Punkt hin konvergiert.
Somit muss der Prozess mit dem Erhöhen von k irgendwann terminieren.
Abbildung 3: Sequenz von SAT-Problemen generiert von der Modellprüfung

35
4.1. Sicherheitseigenschaften
Sicherheitseigenschaften beschreiben Bedingungen, die nicht eintreffen sollen. Zur
Verifikation dieser Eigenschaften beschreibt man das Problem mit einem endlichen
Automaten, der genau dann einen akzeptierenden Zustand erreicht, wenn die
Sicherheitseigenschaften verletzt werden.
Analog zur symbolischen Modellprüfung wird dieser Automat wiederum mit
booleschen Formeln repräsentiert. Der Zustandsraum des Automaten wird durch eine
indizierte Menge von booleschen Variablen V = {v 1 ,...,v n } definiert. Ein Zustand S ist
ein entsprechender Vektor (s 1 ,...,s n ) mit booleschen Werten. Eine Zustandseigenschaft
P ist eine boolesche Formel über V. Der Einfachheit halber schreiben wir P(W) wenn
wir in P[w i /v i ] die v i durch w i ersetzen. Des weiteren wird eine indizierte Menge
„nächster Zustand“ angenommen V’ = {v’ 1 ,...v’ n }. der ungleich V ist. Eine
Übergangsfunktion R ist eine boolesche Funktion über V und V’. Auch hier schreiben
wir R(W,W’) wenn wir die Substitution R[w i /v i , w’ i /v’ i ] meinen.
Für unser Problem beschreiben wir einen Automaten als Tripel M = (I, T, F),
wobei I die Initialbedingung, T die Transitionsbedingung und F die Finalbedingung
beschreibt. Ein Durchlauf von M der Länge k ist eine Sequenz von Zuständen S 0 ...S k
so dass I(S 0 ) erfüllt ist, und für alle 0 i < k T(S i , S i+1 ) erfüllt ist, und F(S k ) erfüllt ist.
Bei einer begrenzten Modellprüfung würden wir nun die Frage der Existenz eines
Durchlaufs der Länge j i k in ein boolesches Erfüllbarkeitsproblem durch
Einführung einer neuen indizierten Menge von Variablen W i = {w i1 ,...,w in } für 0 i
k umformen. Ein Durchlauf der Länge j...k existiert genau dann wenn folgende
Formel erfüllt ist:
BMC
k
j
T(
W , W
i
)
F(
W )
0 ik
jik
I( W )
0 i 1 i
Diese Formel teilen wir nun in zwei Teile: eine Formel, die die möglichen Präfixe und
eine, die die möglichen Suffixe eines Durchlaufs repräsentieren. Die möglichen
Präfixe einer Länge l werden durch folgende Formel bestimmt:
PREF M ) I(
W ) T ( W , W )
l
(
l
i i1
l
i0
Ein Präfix beginnt in Initialzustand W -l und endet in einem Zustand W 0 . Die
möglichen Suffixe der Länge j...k werden durch folgende Formel beschrieben:
k
SUFF
j
( M ) T(
Wi
, W
i1)
F(
Wi
)
0ik
jik
Ein Suffix beginnt in einem Zustand W 0 und endet in einem Finalzustand W i wobei j
k
k
i k. Es gilt BMC PREF ( M ) SUFF ( ) und allgemeiner:
BMC
k l
j l
W
/ W PREF ( M )
il
i
l
j
0 j
M
SUFF k (M ) . Somit ist
k
j
PREFl
( M ) SUFFj
( M )
genau dann erfüllbar, wenn M einen Durchlauf im Längenbereich j + l...k + l hat.
Zur Verwendung eines SAT-Algorithmus benötigen wir nun eine Konjunktive
Normalform obiger Formeln. Wir nehmen an, dass eine Funktion die Übersetzung
der Formeln f in eine Menge von Klauseln (f, U) vornimmt, wobei U eine Menge
von „neuen“ Variablen ist, die nicht in f vorkommen. Die Funktion muss lediglich
folgende Bedingung erfüllen: (U.(f, U)) f . Dies bedeutet, dass die erfüllenden

36
Abbildung 4: Prozedur FiniteRun
Belegungen von (f, U) gleich der denen von f sind, wenn wir die neuen Variablen
ausblenden. Solch eine Funktion ist in linearer Zeit bestimmbar.
Die Basisprozedur zur Überprüfung der Existenz eines endlichen Durchlaufs von
M ist in
Abbildung 4 dargestellt. Hier werden U 1 und U 2 als Mengen von neuen Variablen
angenommen, die voneinander und von allen W i ’s disjunkt sind. Nun soll gezeigt
werden, dass die Prozedur für ein groß genug gewähltes k immer terminiert, wobei zu
sagen ist, dass die Prozedur auch für kleine k endet, allerdings ohne entscheiden zu
können, ob ein Durchlauf von M existiert.
Die Funktionsweise der Prozedur ist wie folgt: Zuerst wird überprüft, ob es einen
Durchlauf der Länge null gibt. Für den Rest der Prozedur kann also angenommen
werden, dass ein solcher nicht existiert. Initial wird die Abschätzung R von den
erreichbaren Zuständen auf I, die Initialzustände, gesetzt.
k
Nun wird die Erfüllbarkeit von PREF geprüft. Ist dies der Fall,
1( M ) SUFF0
( M )
dann gibt es einen Durchlauf der Länge 1...k+1, der bei R beginnt und mit F endet. Ist
nun R = I, dann ist ein Durchlauf von M gefunden und wir terminieren, ist die nicht
der Fall, dann bricht die Prozedur ab ohne entscheiden zu können, ob ein solcher
k
existiert oder nicht. Ist PREF
aber nun nicht erfüllbar, dann
1( M ) SUFF0
( M )
erstellen wir aus den beiden disjunkten Klauselmengen C1 und C 2 und dem Beweis
für die Unerfüllbarkeit eine -Wiederlegung und erhalten zwei Formeln p 1 und p 2
über W 0 . Es gilt zudem, dass p 1 von R(W -1 ) und T(W -1 , W 0 ) impliziert wird. Daraus
folgt, dass p 1 in allen Zuständen von W 0 , die von R aus in einem Schritt erreichbar
sind, erfüllt ist. Des weiteren ist p 2 in allen Zuständen von W 0 erfüllt, die in 0...k
Schritten F erreichen können. Da p 1 p 2 nicht erfüllbar ist, kann kein Zustand der p 1
erfüllt F in bis zu k Schritten erreichen. Somit erhalten wir eine neue (obere)

37
Abschätzung R p 1 [V/W 0 ] der erreichbaren Zustände. Wenn wir nun einen Fixpunkt
erreicht haben, dann ist R eine induktive Invariante und da kein Zustand in R F
erfüllen kann (weder F in bis zu k Schritten erreichen kann), kann die Prozedur mit
dem Ergebnis, dass kein Durchlauf existiert, terminieren. Ist dies noch nicht der Fall,
dann wird die Prozedur mit der neuen Abschätzung für R wiederholt.
Theorem FiniteRun:
Für k > 0 gilt: wenn FINITERUN (M, k) terminiert, liefert die Prozedur
TRUE zurück, wenn M einen Durchlauf hat.
Beweis:
Nehmen wir an, dass die Prozedur TRUE zurückliefert. Dann ist entweder I F
erfüllbar, was bedeutet, dass M einen Durchlauf der Länge 0 hat, oder
BMC k ist erfüllbar, woraus folgt, dass M einen Durchlauf der Länge 1...k hat.
1
( M )
Nun nehmen wir an, dass die Prozedur FALSE zurückliefert. Dann können folgende
drei Fakten gezeigt werden:
I impliziert R. Trivial.
R ist eine Invariante von T (R(S) und T(S, S’) implizieren R(S’)). Da C 1 p 1
impliziert folgt, dass für alle Zustände S, S’, R(S) T(S, S’) => R’(S’) gilt.
Somit impliziert R’ R und dann implizieren R(S) und T(S, S’) auch R(S’).
R F ist nicht erfüllbar. An Anfang gilt R = I und I F ist unerfüllbar. Bei
k
jeder Iteration wissen wir, dass p1 SUFF0
( M ')
unerfüllbar ist und somit
ist auch R’ F unerfüllbar.
Aus diesen drei Fakten folgt mit Induktion, dass M keinen Durchlauf von jedweder
Länge hat. .
Es kann auch gezeigt werden, dass die Prozedur für ausreichend große k terminiert.
Dazu definieren wir die reverse depth von M als die maximale Länge des kürzesten
Pfades von einem beliebigen Zustand zu einem Finalzustand. Die reverse depth wird
durch 2 |V| nach oben begrenzt, in den meisten praktischen Fällen ist sie aber viel
kleiner. |V| steht für die Anzahl der booleschen Variablen, die den Zustandsraum
beschreiben, was wiederum bedeutet, dass die reverse depth durch die Anzahl der
Zustände des Zustandsraumes nach oben beschräkt ist.
Theorem FiniteRun terminiert:
Für jedes M existiert ein Wert k, für den gilt dass FINITERUN (M, k)
terminiert.
Beweis:
Sei k die reverse depth von M. In der ersten Iteration terminiert der Algorithmus,
wenn das SAT-Problem erfüllbar ist. Andernfalls wissen wir, dass R’ in k Schritten F
nicht erreichen kann. Da k die reverse depth ist, folgt dass R’ mit keiner Anzahl von
Schritten F erreichen kann. Bei der nächsten Iteration kann R nun F in bis zu k + 1
Schritten nicht erreichen, so dass das SAT-Problem wiederum unlösbar ist. Fährt
man nun mit der Iteration fort, lässt sich daraus schließen, dass in jeder Iteration R
in bis zu k + 1 Schritten nicht in der Lage sein wird, F zu erreichen. Deshalb muss R
immer größer werden, bis es einen Fixpunkt erreicht hat, bei dem die Prozedur

38
dann terminieren wird.
.
Aus diesem Theorem folgt, dass wenn die Prozedur FiniteRun abbricht, der Wert von
k nur immer wieder erhöht werden muss, sodass die Prozedur terminiert. Der Faktor,
um den k erhöht wird, hat einen großen Einfluss auf die Performance der Prozedur.
Wenn wir zu wenig erhöhen, dann muss die Prozedur unnötig oft ausgeführt werden,
erhöhen wir zu viel, dann werden die darausfolgenden SAT-Probleme unnötig
aufwendig.
4.2. Optimierungen
Für diesen Basisalgorithmus gibt es sehr viele Möglichkeiten, die Performance zu
steigern. Als erstes sind hier die Formeln der Beweispartitionierung zu nennen, die
typischer Weise hochredundant sind, und zwar in der Form, dass viele Subformeln
syntaktisch verschieden aber semantisch identisch sind. Um diese Redundanzen zu
eliminieren gibt es eine ganze Reihe von Algorithmen.
k
Weitere Effektivitätssteigerungen lassen sich erzielen, wenn man SUFF 0
durch
k
SUFF j
für j > 0 ersetzt (es werden nur die Zeitpunkte größer oder gleich j getestet).
In den meisten Fällen scheint j = k die effektivste Wahl zu sein. Das ist auch nicht
weiter verwunderlich, weil in diesem Fall der SAT-Algorithmus die Finalbedingung
nur in einem Zustand wiederlegen muss, und nicht in allen. Dummerweise verlieren
wir für j > 0 die Garantie, dass der Prozess terminiert. In der Praxis sind Divergenzen
bei einigen Hardwaremodellen aufgetreten, die sich aber mit dem Setzen von j = k –1
korrigieren ließen.
Als letzte Optimierungsmöglichkeit soll hier die Invarianz der Formel
SUFF k
j
(M ')
von einer Iteration zur nächsten genannt werden. Sie erzeugt die
meisten CNF - Formeln, die vom SAT-Algorithmus wiederlegt werden müssen. Es ist
klar, dass es sehr uneffizient ist, diese bei jeder Iteration neu zu bestimmen. Besser
wäre es, alle Klauseln von SUFF k
j
(M ')
und die von ihr abgeleiteten von einem SAT-
Aufruf für den nächsten zu speichern. Obwohl dies ein enormes
Optimierungspotential darstellt, wurde es hier nicht implementiert, da dazu der SAT-
Algorithmus modifiziert werden müsste.
5. Praktische Erfahrungen
Die Leistungsfähigkeit des Interpolations-basierten Modellprüfers wurde mit zwei
verschiedenen Problemstellungen aus kommerziellen Mikroprozessordesigns getestet.
Die erste Problemstellung ist eine Sammlung von Bedingungen, mit denen zwei
Einheiten des PicoJava II Prozessors zusammen Verifiziert werden sollen. Von diesen
Bedingungen wurden 20 repräsentative ausgewählt, die alle erfüllt sind, und als
Benchmark verwendet. Alle diese Probleme sind Sicherheitseigenschaften der Form
Gp, wobei p eine Formel ist, die sich meist nur auf den aktuellen Zeitpunkt bezieht,
manchmal auch auf den nächsten Zeitpunkt. Die Anzahl der Zustandsvariablen

39
bewegt sich bei diesen Problemen in etwa zwischen 50 und 350. Die Tests wurden auf
einer Linux - Workstation mit einem 930MHz Pentium III Prozessor und 512MB
Arbeitsspeicher ausgeführt.
Aufgrund dieser relativ schwierigen Problemstellung war es mit einer Standard-
Modellprüfung nicht möglich, auch nur eine der 20 Bedingungen innerhalb von 1800
Sekunden (ein halbe Stunde!) zu verifizieren. (Hauptgrund für dieses Versagen
scheint die kombinatorische Logik einer der beiden Einheiten zu sein, da diese in
BDDs zu übersetzen eine sehr schwierige Aufgabe ist.) Der Interpolationsalgorithmus
hingegen schafft es, 19 von 20 dieser Bedingungen erfolgreich zu verifizieren.
Ein Vergleich der Laufzeiten des Interpolationsalgorithmus mit der Methode der
beweisbasierten Abstraktion, die SAT-Algorithmen verwendet, um abstrakte Modelle
zu konstruieren, die ihrerseits mit auf BDD-basierenden Modellprüfern verifiziert
werden, ist in Abbildung 5 dargestellt. Diese Methode ist deutlich effizienter als eine
einfache BDD-basierte Modelprüfung und verifiziert erfolgreich 18 von den 20
Benchmarks. In der Abbildung repräsentiert jeder Punkt einen Benchmark, wobei der
Wert auf der x-Achse die Zeit in Sekunden darstellt, die die Methode beweisbasierte
Abstraktion benötigt und der Wert der y-Achse die Zeit angibt, die der
Interpolationsalgorithmus benötigt. Allerdings muss man erwähnen, dass beim
Interpolationsalgorithmus nur die Zeit die der SAT-Algorithmus benötigt gemessen
wurde, da bei einer effizienten Implementierung die anderen Zeiten vernachlässigbar
sein sollen. Des weiteren wurde bei diesen Benchmarks j = k gewählt. Ein Zeitwert
von 1000 bedeutet, dass der Benchmark nach 1000 Sekunden abgebrochen wurde.
Werte unter der Diagonalen zeigen einen Vorteil der hier vorgestellten Methode. Es
ist somit zu erkennen, dass der Interpolationsalgorithmus in 16 Fällen besser und nur
in drei Fällen schlechter abschneidet als die beweisbasierte Abstraktion. In einem Fall
konnte das Problem von keinem der beiden Methoden gelöst werden. In einigen
Fällen ist der Interpolationsalgorithmus sogar um zwei Größenordnungen besser.
Abbildung 5: Laufzeiten der PicoJava Benchmarks

40
Die zweite Problemstellung umfasst eine Menge von Modellprüfungsproblemen
eines IBM Gigahertzprozessors (IBM Benchmarks). Hier wurde beim
Interpolationsalgorithmus j = k – 1 gewählt, da ein Modellprüfungsproblem bei j = k
divergiert. In Abbildung 6 werden die Laufzeiten des Interpolationsalgorithmus mit
denen von Baumgartner et al. verglichen. Seine Methode verwendet eine
Kombination aus SAT-basierter Modellprüfung, strukturellen Methoden zur
Begrenzung der Tiefe des Zustandsraumes und Zielbereichsvergrößerung mit BDDs.
Jeder Punkt repräsentiert die durchschnittliche Verifikations- oder Wiederlegungszeit
einer Sammlung von Bedingungen für ein bestimmtes Schaltungsmodell. Als
Ergebnis erhalten wir 21 Fälle, in denen der Interpolationsalgorithmus besser ist und
3, in der die Methode von Baumgartner et al. besser ist. Des weiteren konnte diese
Methode 28 einzelne Bedingungen nicht lösen, der Interpolationsalgorithmus
hingegen konnte alle außer einer lösen.
Zuletzt werden der Interpolationsalgorithmus und die Methode der beweisbasierten
Abstraktion mit Hilfe des IBM Benchmarks verglichen. Die Ergebnisse in Abbildung
7 zeigen ein gemischtes Bild, wobei aber ein leichter Vorteil für die beweisbasierte
Abstraktion auszumachen ist. Dies hängt mit der Tatsache zusammen, dass eine große
Anzahl der Bedingungen in dem Benchmark nicht erfüllbar sind und die
beweisbasierte Abstraktion Gegenbeispiele relativ schnell finden kann. In Abbildung
8 werden diese beiden Methoden nur mit den erfüllten Bedingungen verglichen. Hier
ist ein leichter Vorteil für den Interpolationsalgorithmus zu erkennen. Dies führt zu
Einsicht, dass ein hybrider Algorithmus die wohl beste Lösung für beliebige
Probleme ist.
Abbildung 6: Laufzeiten der IBM Benchmarks mit Interpolation und
Baumgartner et al.

41
Abbildung 7: Laufzeiten des IBM Benchmarks mit Interpolation und
beweisbasierter Abstraktion
Abbildung 8: Laufzeiten der erfüllten Bedingungen des IBM Benchmarks mit
Interpolation und Abstraktion

42
6. Schussfolgerung
Wir haben gesehen, dass Interpolation und begrenzte Modellprüfung kombiniert
werden können um unbegrenzte Modellprüfung zu ermöglichen. Die Methode hat in
zwei Mikroprozessor – Benchmark Studien gezeigt, dass sie effizienter als BDDbasierte
Modellprüfer und einige erst kürzlich entwickelte SAT-basierte Methoden ist,
wenn die Bedingungen erfüllt sind.
Für die Zukunft ist es interessant zu untersuchen, welche weiteren Informationen
aus einem Beweis der Unerfüllbarkeit gewonnen werden können. So ist es zum
Beispiel möglich, mittels Interpolation eine Abstraktion der Transitionsrelationen zu
gewinnen. Erste Studien haben gezeigt, dass diese Abstraktion mit bisherigen BDDbasierten
Modellprüfern nur sehr schwer zu bewältigen ist, was an der speziellen
Struktur der Formel der Transitionsrelation liegt. Wenn man diese überwinden
könnte, dann würde dies zu einer Verbesserung der Methode der beweisbasierten
Abstraktion beitragen. Des weitern ist denkbar, dass Interpolation in Theorien erster
Ordnung ausgenutzt werden kann um Modellprüfung auf unendlichen Modellen zu
ermöglichen.
Quellenverzeichnis
Interpolation and SAT-based Model Checking[McMillan03], K. L. McMillan 2003, Cadence
Berkeley Labs

43
Completeness of (BMC) Property Suite
Sören Burmeister
Technische Universität Kaiserslautern
Zusammenfassung. Für die Durchführung eines formalen Korrektheitsbeweises
ist es von größter Wichtigkeit, die Anforderungen an das zu prüfende
System vollständig zu spezifizieren, da ansonsten Teile der Funktionalität eines
Programmes nicht von der Verifikation erfasst werden. In diesem Kapitel wird
das Verfahren der Coverage Measure vorgestellt, das für eine Schaltung prüft,
welche Signallinien von einer erstellten Spezifikation berücksichtigt werden
und welche nicht. Obgleich dieses Verfahren nicht die Vollständigkeit einer
Spezifikation beweisen kann, stellt es in seinen verschiedenen Erweiterungen
ein Hilfsmittel für die Entwicklung einer Spezifikation dar, da es dem
Entwickler mögliche Lücken in seiner property suite aufzeigen sowie ihm
einen groben Überblick über den Fortschritt seiner Arbeit geben kann.
1 Einführung
Im letzten Kapitel wurde erläutert, wie man mittels BMC eine gegebene
Implementierung eines Designs auf ihre Korrektheit überprüfen kann. Wie auch bei
anderen Methoden zur Verifikation kann die Modellprüfung mittels BMC aber nur
dann zuverlässige Ergebnisse liefern, wenn die property suite alle relevanten Aspekte
des Designs beinhaltet. Erfüllt die property suite diese Eigenschaft, bezeichnet man
diese auch als Verifikationsplan.
Eine der wesentlichen Aufgaben bei der Verifikation ist also die Sicherstellung,
dass es sich bei der erstellten property suite tatsächlich um einen Verifikationsplan
handelt. Unglücklicherweise ist es nicht möglich, aus der informellen Definition eines
solchen Planes formale Eigenschaften abzuleiten, mit denen eine mathematische
Überprüfung einer property suite auf ihre Vollständigkeit durchführbar wäre. Daher
wird versucht, dem Erzeuger der property suite Hilfsmittel zur Verfügung zu stellen,
die es ihm ermöglichen, während des Entwicklungsprozesses Lücken in der property
suite zu erkennen und zu lokalisieren.
Eines dieser Hilfsmittel ist die Coverage Measure. Der Ansatz dieser Methode
liegt darin, dass die syntaktische Vollständigkeit der property suite untersucht wird,
das heißt, es wird geprüft, ob jeder Bestandteil der untersuchten Implementierung von
der property suite abgedeckt wird.
Im Folgenden soll nun die Vorgehensweise bei der Coverage Measure am Beispiel
des bereits im letzten Kapitel vorgestellten ATM Error Controllers (AEC) erläutert
werden. Dazu werden zunächst in einem ersten Ansatz die Vorgehensweisen bei den
verschiedenen Arten von Signallinien (Eingängen, Ausgängen, interne und

44
Zustandssignallinien) behandelt. Anschließend wird das Modell um die Aspekte der
Zeit und der Signalwerte erweitert. Am Ende des Kapitels wird der Nutzen der
coverage measure untersucht.
2 Grundansatz der Coverage Measure
Um zu überprüfen, welche Bestandteile der Implementierung von der property suite
abgedeckt werden, wird jede Signallinie darauf untersucht, welchen Einfluss sie auf
die property suite hat. Die Vorgehensweise bei der Überprüfung hängt dabei von der
Art der betrachteten Signallinie ab.
Ingesamt lassen sich 4 Arten von Signallinien unterscheiden: interne Signallinien,
Zustandssignallinien, Eingänge und Ausgänge. Diese werde im Folgenden näher
erläutert. Zur Verdeutlichung wird dabei die (aufgerollte) Schaltung des ATM – Error
Controllers verwendet, die bereits im vorangegangenen Kapitel von Christian Allman
vorgestellt wurde und daher in ihrer Funktionsweise sowie den an diese gestellten
Eigenschaften als bekannt vorausgesetzt wird.
Anmerkung
Der Ansatz der Coverage Measure kann fälschlicherweise den Eindruck vermitteln,
als würde die Spezifikation von der Implementierung verifiziert werden, was der
Grundidee einer formalen Verifikation zuwiderlaufen würde. Bei der Coverage
Measure wird aber zu keiner Zeit die Korrektheit einer Spezifikation in Frage gestellt,
sonder lediglich deren Vollständigkeit.
2.1 Untersuchung von internen Signallinien
Bei der Betrachtung von internen Signallinien werden die Auswirkungen auf die
Verifikation untersucht, die entstehen, wenn die betreffende Signallinie in ein
zusätzliches externes Eingangssignal umgewandelt wird. Liefert die auf die so
modifizierte Schaltung angewendete Verifikation nach wie vor das Ergebnis, dass die
Schaltung korrekt ist, so wird die untersuchte Signallinie von der property suite nicht
abgedeckt. Ist eine der Eigenschaften der property suite jedoch nicht mehr erfüllt, so
wird die Signallinie von dieser Eigenschaft abgedeckt.
Im folgenden wird die Vorgehensweise bei der Untersuchung der Signallinie s
(vgl. Fig. 1) auf ihre Überdeckung durch P1 untersucht. Zu Vergleichszwecken wird
dabei zunächst der Verifikationsbeweis für P1 aufgeführt, bevor die Untersuchung auf
Überdeckung nach der beschriebenen Vorgehensweise durchgeführt wird.

Abb. 1. Schaltung des AEC
1
0
0
))
)
_
((
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
state
old
multiple
error
state
old
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
1
))
(
(
))
)
_
((
(
))
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
s
s
multiple
error
s
multiple
error
error
state
old
multiple
error
s
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
NAND
AND
NOT
NOT
AND
AND
q(t)
multiple(t)
correct_it(t)
error(t)
s(t)
old_state(t)
r(t)
t(t)
reject_it(t)
new_state(t)
45

46
s
p 1
Da keine Tautologie ist, wird die Signallinie s also von P1 abgedeckt. Die
Untersuchung der anderen Eigenschaften/Signallinien verläuft analog und kann im
Anhang nachgelesen werden.
2.2 Untersuchung von Zustandssignallinien
Da wir bei der Verifikation mit BMC nur die aufgerollten Schaltungen untersuchen,
handelt es sich bei den Zustandssignallinien genauso genommen um gewöhnliche
interne Signallinien, weshalb sie auf die gleiche Art und Weise wie diese untersucht
werden.
Die Vorgehensweise kann bei der Prüfung, ob p2 die Signallinie old_State abdeckt,
betrachtet werden, wobei auch hier zunächst aus Vergleichsgründen die Verifikation
von p2 angegeben wird.
p
2
error
error
error
error
error
error
error
1
( t)
( t)
( t)
( t)
error
( t)
( t)
( t)
error
error
error
( t1)
error
error
error
error
( t1)
( t1)
( t1)
( t1)
multiple
( t1)
( t1)
( t1)
multiple
multiple
multiple
multiple
( t1)
multiple
multiple
multiple
( t1)
( t1)
( t1)
( t1)
old _ state
( t1)
( t1)
( t1)
correct _ it
correct _ it
correct _ it
t1
old _ state
t
t
t
t
new _ state
error
t
1
1
1
t1

47
p
old _ state
2
1
error
( t)
error
( t1)
multiple
( t1)
correct _ it
( t)
( t1)
( t1)
error error multiple correct _ it
( t)
( t1)
( t1)
error error multiple correct _ it
( t)
( t1)
( t1)
error error multiple
( t1)
( t1)
t1
error
multiple old _ state
( t)
( t1)
( t1)
error error multiple old _ state
t1
t1
t1
t
1
Wie man sieht, wird old_state von p2 abgedeckt. Eine vollständige Untersuchung von
old_state ist im Anhang zu finden.
2.3 Untersuchung von Eingangssignalen
Um zu prüfen, ob eine Signallinie von der property suite abgedeckt wird, werden die
Auswirkungen auf die Korrektheit der Implementierung untersucht, wenn der Wert
der Signallinie im Verpflichtungsteil (nicht in der Annahme) der Eigenschaften
negiert wird. Diese Vorgehensweise kann man auch an folgendem Beispiel zur
Untersuchung der Abdeckung des Eingangssignals multiple durch p5 erkennen, wo
multiple nur in der Auflösung von reject_it (also im Verpflichtungsteil) negiert wird,
nicht jedoch im Annahmeteil von p5. Eine vollständige Untersuchung der
Eingangssignallinien ist im Anhang zu finden.
p
5
error
error
error
error
error
1
( t)
( t)
( t)
( t)
( t)
multiple
multiple
multiple
multiple
multiple
( t)
( t)
( t)
( t)
( t)
reject _ it
reject _ it
reject _ it
multiple
multiple
( t)
( t)
( t)
( t)
( t)
old _ state
old _ state
( t)
( t)
error
( t)

48
p
multiple
5
error
error
error
error
1
error
( t)
( t)
( t)
( t)
( t)
multiple
multiple
multiple
multiple
multiple
( t)
( t)
( t)
( t)
( t)
reject _ it
reject _ it
reject _ it
multiple
( t)
( t)
( t)
old _ state
old _ state
( t)
( t)
( t)
error
( t)
2.4 Untersuchung von Ausgangssignalen
Bei der Überprüfung der Abdeckung von Ausgangssignallinien kann man sich
zunutze machen, dass eine solche Signallinie genau dann von einer Eigenschaft der
property suite abgedeckt ist, wenn sie in deren Verpflichtungssteil vorkommt. Im
folgenden Beispiel kann man sehr leicht sehen, dass p1 sowohl correct_it als auch
reject_it abdeckt, während p2 nur correct_it abdeckt.
p
( t)
( t)
1
error correct _ it reject _
it
( t )
p
( t )
( t1)
( t1)
2
error error multiple correct _
it
t1
Bei der Anwendung dieser einfachen Regel ist allerdings darauf zu achten, dass der
zu untersuchende Ausgang tatsächlich funktionell im Verpflichtungsteil vorkommt.
So deckt beispielsweise die Eigenschaft
p
x
1
correct _ it
( t)
correct _ it
reject _ it
( t )
( t)
reject _ it
natürlich nur das Ausgangssignal correct_it ab, nicht aber die Signallinie reject_it.
( t)
2.5 Zusammenfassung der Untersuchung
Hat man alle Signallinien des ATM Error Controllers auf ihre Berücksichtigung durch
die Eigenschaften der property suite untersucht, so ergibt sich folgende Tabelle

49
Tabelle 1. Abdeckung der Eigenschaften der property Suite
p1 p2 p3 p4 p5
q - covered - covered covered
r - - covered covered covered
s covered covered covered - -
t - covered - covered -
old_state - covered - covered -
multiple - covered - - covered
error covered covered - covered covered
reject_it covered - covered covered covered
correct_it covered covered covered - -
Betrachtet man sich diese Tabelle genauer, so fällt auf, dass bereits die Eigenschaften
p2 und p3 sämtliche Signallinien abdecken. Der bisher verwendete Ansatz der
Coverage Measure würde also beispielsweise dem Entwickler der property suite für
den AEC den Eindruck vermitteln, er habe sämtliche Signallinien berücksichtigt,
obwohl die Spezifikation möglicherweise noch sehr lückenhaft ist. Aus diesem Grund
ist es sinnvoll, den bisherigen Ansatz zu verfeinern, um die Aussagekraft der
coverage measure zu erhöhen. Im Folgenden wird daher der Grundansatz der
Coverage Measure um Zeit- und Signalwertaspekte erweitert.

50
3 Erweiterung um Zeitaspekte
Bisher wurde nur geprüft, ob eine Signallinie von einer Eigenschaft abgedeckt ist,
nicht jedoch, zu welchen Zeitpunkten dies der Fall ist. Es ist möglich und bei
komplexeren Schaltungen häufig, dass eine Signallinie nur in bestimmten
Zeitschritten von einer Eigenschaft abgedeckt wird, während sie in anderen
Zeitschritten von dieser nicht berücksichtigt wird. Diesen Fall kann man im folgenden
Beispiel beobachten
p
s
2
error
error
error
error
error
1
( t)
( t)
( t)
( t)
( t)
error
error
error
error
error
( t1)
( t1)
( t1)
( t1)
( t1)
multiple
multiple
multiple
multiple
multiple
( t1)
( t1)
( t1)
( t1)
( t1)
correct _ it
correct _ it
correct _ it
s
s
( t1)
( t1)
t
t
1
1
t1
multiple
( t1)
p
s
3
1 correct _ it
correct _ it
1
( t)
( t )
reject _ it
reject _ it
( t)
( t)
( t)
( t)
( t)
t
s
multiple
multiple old _ state
( t)
( t)
( t )
t
s
multiple
multiple old _ state
error
error
( t )
( t)
Wie man leicht sehen kann, beeinflusst s im Zeitschritt 1 nicht die Eigenschaft p2,
sondern nur die Eigenschaft p3, da die Korrektheit von P2 nur vom Wert abhängt, den
s im darauf folgenden Zeitpunkt annimmt und nicht wie bei p3 von dem aktuellen
Wert von s abhängt. Analog lassen sich die anderen Einträge für Tabelle 2 ermitteln.
Dabei bedeutet ein *, dass die betrachtete Signallinie von der entsprechenden
Eigenschaft in jedem Zeitschritt abgedeckt ist.

51
Tabelle 2. Abdeckung unter Berücksichtigung der Zeitschritte
p1 p2 p3 p4 p5
q - t+1 - t+1 *
r - - * * *
s * t+1 * - -
t - t+1 - t+1 -
old_state - t+1 - t+1 -
multiple - t+1 - - *
error * * - * *
reject_it * - * t+1 *
correct_it * t+1 * - -
Betrachtet man sich diese Tabelle genauer, so stellt man fest, dass die Eigenschaften
p1 und p2 nicht mehr ausreichen, um alle Signallinien zu jedem Zeitpunkt
abzudecken. Dennoch ist die Aussagekraft noch nicht sehr hoch; Die Coverage
Measure würde beispielsweise im vorliegenden Fall das Fehlen einer der
Eigenschaften p1-p4 nicht feststellen können (die Signallinien t und old_state können,
da sie beide direkt vom alten Zustand abhängen, beide generell nicht zum
Startzeitpunkt abgedeckt werden). Aus diesem Grund werden im nächsten Abschnitt
in einem weiteren Verfeinerungsschritt die Signalwerte an Stelle der Signallinien
betrachtet.
4 Berücksichtigung der Signalwerte
Bisher wurde davon ausgegangen, dass eine Signallinie durch eine Eigenschaft p
abgedeckt wird, wenn eine Änderung des Signals Auswirkungen auf diese
Eigenschaft hat. Dabei wurde jedoch nicht berücksichtigt, dass die Eigenschaft nur
von einem einzelnen Wert einer Signallinie abhängt, nicht jedoch von allen
möglichen Werten der Signallinie. Um diese Signalwertabhängigkeit berücksichtigen
zu können, wird der Begriff der 1- bzw. 0-Coverage eingeführt, der wie folgt definiert
wird:
Definition 0- bzw. 1-Coverage
Eine Signallinie sig ist genau dann in einem Zeitschritt t von einer Eigenschaft p 0-
bzw. 1- covered, wenn sie von p im Sinne der bisher durchgeführten Untersuchung
abgedeckt ist und eine der beiden folgenden Bedingungen erfüllt ist:
Die Zuweisung des Wertes 0 (bzw. 1 für 1-coverage) zu der Signallinie sig
impliziert das Erfülltsein der (für die Untersuchung der Coverage modifizierten)
Eigenschaft
Das Erfülltsein der (modifizierten) Eigenschaft p impliziert die Zuweisung des
Wertes 0 (bzw. 1) zu der Signallinie sig

52
Beispiel
Prüft man die Signallinie Error und die Eigenschaft p2 auf 0- bzw. 1-coverage, so
ergibt sich, dass die Eigenschaft sowohl für error(t)=1 als auch für error(t+1)=0
immer erfüllt ist:
p
error
2
error
error
error
error
1
error
( t)
( t)
( t)
error
( t)
( t)
error
error
error
( t1)
error
error
( t1)
( t1)
( t1)
( t1)
( t1)
multiple
multiple
multiple
multiple
multiple
( t1)
multiple
( t1)
( t1)
( t1)
old _ state
( t1)
( t1)
correct _ it
correct _ it
correct _ it
t1
t
t
1
1
t1
Daraus folgt, dass error in jedem Zeitschritt 1-covered und in jedem Zeitschritt (t+1)
0-covered von P2 ist.
Analog kann man die übrigen Einträge von Tabelle 3 ermitteln.
Tabelle 3. Abdeckung durch 0/1-Coverage
p1 p2 p3 p4 p5
q - 1-covered - 0-covered 0-covered
r - - 0-covered 1-covered 1-covered
s 0-covered 1-covered 0-covered - -
t - 1-covered - 0-covered -
old_state - 0-covered - 1-covered -
multiple - 1-covered - - 0-covered
error 1-covered 1/0-covred - 0-covered 0-covered
reject_it 0-covered - 0-covered 1-covered 1-covered
correct_it 0-covered 1-covered 0-covered - -
Es ist klar, dass eine Schaltung von der property suite nur dann abgedeckt ist, wenn
jede Signallinie in jedem Zeitschritt sowohl 0- als auch 1-covered wird (von einer
Initialisierungsphase mit fehlenden alten Zuständen einmal abgesehen). Ist eine
Signallinie beispielsweise nur 0-covered, nicht aber 1-covered, so könnte der Wert der
Signallinie fest auf 0 gesetzt werden, ohne dass sich das Erfülltsein der property suite

53
ändert. So wäre die Signallinie s von einer property suite, welche nur die
Eigenschaften p1, p3, p4 und p5 enthält, nicht jedoch p2, beispielsweise nicht 1-
covered, weshalb die Verifikation die in Abb. 2 dargestellte Schaltung
fälschlicherweise als richtig ansehen würde
Abb. 2. Modifizierte Schaltung des AEC
multiple(t)
error(t)
NOT
0
correct_it(t)
AND
old_State(t)
NOT
NAND
reject it(t)
AND
new_state(t)
Eine Überprüfung der Vollständigkeit der property suite mittels Coverage Measure
würde diese Lücke in der Spezifikation erkennen und dem Entwickler somit eine
Warnung geben können.
5 Effektivitätsbetrachtung
Wie man im vorangegangenen Abschnitt gesehen hat, kann eine Durchführung der
Coverage Measure Lücken in der Spezifikation erkennen und lokalisieren. Je genauer
die durchgeführte Überprüfung ist, desto mehr Lücken können erkannt werden. Da
die Aufgabe des Entwicklers jedoch in der Erstellung eines Verifikationsplanes, also
der Erzeugung einer property suite, die alle relevanten semantischen Aspekte des
Designs abdeckt, kann die Abdeckung aller Signallinien (also syntaktischen Aspekte)
einer Implementierung die Vollständigkeit der property suite nicht garantieren.
Betrachtet man sich die Tabellen 2 und 3, so fällt beispielsweise auf, dass die
Eigenschaft p1 nicht benötigt wird, damit alle Signallinien zu jedem Zeitschritt
sowohl 0- als auch 1-covered sind.
Dies führt dazu, dass eine property suite, die nur aus den Eigenschaften p2 bis p5
besteht, von der Coverage Measure als vollständig angesehen wird, was dazu führen
würde, dass eine mit dieser unvollständigen property suite durchgeführte Verifikation
mit zusätzlicher Coverage Measure die in Abb. 3 dargestellte Schaltung fälschlich als
richtig und die property suite als vollständig spezifiziert ansehen würde. Auf einen
Beweis wird an dieser Stelle verzichtet.

54
Abb. 3. AEC mit fehlerhafter Berechnung von reject_it
multiple(t)
error(t)
NOT
AND
AND
correct_it(t)
old_State(t)
NOT
NAND
reject_it(t)
OR
new_state(t)
AND
Insgesamt stellt die Coverage Measure also ein Hilfsmittel zum Erkennen und
Lokalisieren von Lücken in der property suite dar, das aber nicht garantieren kann,
dass es sich bei der untersuchten property suite um einen Verifikationsplan handelt.
Coverage Measure kann also nur zur Unterstützung während des Erstellens der
property suite eingesetzt werden, um den Designer auf mögliche Schwachstellen
hinzuweisen und ihm eine Abschätzung über die Vollständigkeit der bisher erzeugten
property suite zu vermitteln, nicht jedoch, um die Vollständigkeit der property suite
im Nachhinein zu verifizieren.

6 Anhang
Property suite des AEC
)
(
)
(
)
(
5
1
1)
(
1)
(
)
(
4
)
(
)
(
3
1
1)
(
1)
(
)
(
2
)
(
)
(
)
(
1
_
_
_
_
1
_
_
_
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
it
reject
multiple
error
p
it
reject
multiple
error
error
p
it
reject
it
correct
p
it
correct
multiple
error
error
p
it
reject
it
correct
error
p
(1)
Verifikation der Property Suite des AEC
1
0
0
))
)
_
((
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
state
old
multiple
error
state
old
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(2)
55

1
_
_
_
_
_
_
1)
(
1)
(
)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
multiple
error
error
state
new
multiple
error
error
state
old
multiple
error
error
state
old
multiple
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(3)
1
_
_
_
_
_
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
state
old
multiple
error
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
it
reject
it
correct
it
reject
it
correct
p
(4)
56

1
_
_
_
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
multiple
error
error
error
error
multiple
multiple
error
error
error
oldstate
multiple
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(5)
1
_
_
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
multiple
multiple
error
error
state
old
multiple
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (6)
57

Untersuchung der Abdeckung der internen Signallinien
Abb. 1. Schaltung des AEC
1
))
(
(
))
)
_
((
(
))
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
s
s
multiple
error
s
multiple
error
error
state
old
multiple
error
s
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(7)
s ist in jedem Zeitschritt 0-covered von P1
NAND
AND
NOT
NOT
AND
AND
q(t)
multiple(t)
correct_it(t)
error(t)
s(t)
old_state(t)
r(t)
t(t)
reject_it(t)
new_state(t)
58

1
_
_
_
1)
(
1)
(
1)
(
)
(
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
s
s
multiple
error
error
multiple
s
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(8)
s ist in jedem Zeitschritt t+1 1-covered von P2
1
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
s
error
state
old
multiple
multiple
s
error
state
old
multiple
multiple
s
it
reject
it
correct
it
reject
it
correct
p
(9)
s ist in jedem Zeitschritt 0-covered von P3
1
_
_
_
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
s
error
multiple
error
error
error
error
multiple
multiple
error
error
error
oldstate
multiple
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(10)
s ist not-covered von P4
59

1
_
_
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
s
state
old
multiple
multiple
error
error
state
old
multiple
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (11)
s ist not-covered von P5
1
0
0
))
)
_
((
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
q
error
state
old
q
error
state
old
error
q
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(11)
q ist not-covered von P1
60

1
_
_
_
_
_
1)
(
1)
(
)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
q
error
multiple
error
error
q
multiple
error
error
state
old
multiple
error
error
q
multiple
error
error
state
old
q
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(12)
q ist in jedem Zeitschritt t+1 1-covered von P2
1
_
_
_
_
_
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
q
state
old
state
old
q
error
q
state
old
q
error
error
state
old
q
state
old
q
error
error
state
old
q
state
old
q
error
it
reject
it
correct
it
reject
it
correct
p
(13)
q ist not-covered von P3
61

1
_
_
_
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
q
error
q
multiple
error
error
error
error
q
multiple
error
error
error
oldstate
q
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(14)
q ist in jedem Zeitschritt t+1 0-covered von P4
1
_
_
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
q
state
old
q
multiple
error
error
state
old
q
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (15)
q ist in jedem Zeitschritt 0-covered von P5
62

1
0
0
))
(
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
r
error
r
error
state
old
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(16)
r ist not-covered von P1
1
_
_
_
_
_
_
1)
(
1)
(
)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
r
error
multiple
error
error
state
new
multiple
error
error
state
old
multiple
error
error
state
old
multiple
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(17)
r ist not-covered von P2
63

1
_
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
r
r
state
old
multiple
error
error
r
state
old
multiple
error
error
r
state
old
multiple
error
it
reject
it
correct
it
reject
it
correct
p
(18)
r ist in jedem Zeitschritt 0-covered von P3
1
_
_
_
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
r
r
multiple
error
error
error
r
multiple
error
error
error
r
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(19)
r ist in jedem Zeitschritt 1-covered von P4
64

1
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
r
r
multiple
error
error
r
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (20)
r ist in jedem Zeitschritt 1-covered von P5
1
0
0
))
)
((
(
))
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
t
multiple
error
t
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(21)
t ist not-covered von P1
65

1
_
_
_
1
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
error
error
t
multiple
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(22)
t ist in jedem Zeitschritt (t+1) 1-covered von P2
1
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
error
multiple
t
multiple
error
error
t
multiple
t
multiple
error
error
t
multiple
t
multiple
error
it
reject
it
correct
it
reject
it
correct
p
(23)
t ist not-covered von P3
66

1
_
_
_
1
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
error
error
error
t
multiple
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(24)
t ist in jedem Zeitschritt (t+1) 0-covered von P4
1
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
multiple
error
error
t
multiple
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (25)
t ist not-covered von P5
67

Untersuchung der Zustandssignallinien
1
0
0
))
)
_
((
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
_
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
error
state
old
multiple
error
state
old
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(26)
old_state ist not-covered von P1
1
_
_
_
_
_
1
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
_
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
state
old
multiple
error
error
state
old
multiple
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(27)
old_state ist in jedem Zeitschritt (t+1) 0-covered von P2
68

1
_
_
_
_
_
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
_
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
state
old
state
old
multiple
error
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
it
reject
it
correct
it
reject
it
correct
p
(28)
old_state ist not-covered von P3
1
_
_
_
_
1
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
_
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
state
old
multiple
error
error
error
oldstate
multiple
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(29)
old_state ist in jedem Zeitschritt (t+1) 1-covered von P4
69

1
_
_
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
_
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
state
old
state
old
multiple
multiple
error
error
state
old
multiple
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (30)
old_state ist not-covered von P5
Untersuchung der Eingangssignallinien
1
0
0
))
)
_
((
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
error
state
old
multiple
error
state
old
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(31)
multiple ist not-covered von P1
70

1
_
_
_
_
_
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
multiple
error
error
state
old
multiple
error
error
multiple
error
error
state
old
multiple
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(32)
multiple ist in jedem Zeitschritt (t+1) 1-covered von P2
1
_
_
_
_
_
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
state
old
state
old
multiple
error
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
it
reject
it
correct
it
reject
it
correct
p
(33)
multiple ist not-covered von P3
71

1
_
_
_
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
error
multiple
multiple
error
error
error
error
multiple
multiple
error
error
error
oldstate
multiple
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(34)
multiple ist not-covered von P4
1
_
_
_
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
5
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
multiple
state
old
multiple
error
error
state
old
multiple
multiple
error
it
reject
multiple
error
it
reject
multiple
error
it
reject
multiple
error
p (35)
multiple ist in jedem Zeitschritt 0-covered von P5
72

1
))
)
_
((
(
))
_
(
(
)
_
(
)
_
(
)
_
_
(
)
_
_
(
_
_
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
1
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
error
state
old
multiple
error
state
old
error
multiple
error
it
reject
error
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
it
reject
it
correct
error
p
(36)
error ist in jedem Zeitschritt 1-covered von P1
1
_
_
_
_
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
2
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
multiple
error
error
state
old
multiple
error
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
it
correct
multiple
error
error
p
(37)
error ist in jedem Zeitschritt 1-covered und in jedem Zeitschritt (t+1) 0-covered
von P2
73

1
_
_
_
_
_
_
_
_
_
_
_
1
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
)
(
3
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
state
old
state
old
multiple
error
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
error
state
old
multiple
state
old
multiple
error
it
reject
it
correct
it
reject
it
correct
p
(38)
error ist not-covered von P3
1
_
_
_
1)
(
1)
(
)
(
1
1)
(
1)
(
1)
(
)
(
1
1
1)
(
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
1
1)
(
1)
(
)
(
4
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
t
error
multiple
error
error
error
error
multiple
multiple
error
error
error
oldstate
multiple
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
it
reject
multiple
error
error
p
(39)
error ist in jedem Zeitschritt 0-covered von P4
74

75
error
( t)
( t)
( t)
p error multiple reject _ it
(40)
5
error
error
error
error
1
( t)
( t)
( t)
( t)
multiple
multiple
multiple
multiple
( t)
( t)
( t)
( t)
reject _ it
reject _ it
multiple
( t)
( t)
( t)
old _ state
( t)
error
( t)
error ist in jedem Zeitschritt 0-covered von P5
Untersuchung der Ausgangssignallinien
p
( t)
( t)
1
error correct _ it reject _
correct_it und reject_it sind in jedem Zeitschritt 0-covered von P1
it
( t)
(41)
p
( t )
( t1)
( t1)
2
error error multiple correct _
it
t1
(42)
correct_it ist in jedem Zeitschritt (t+1) 1-covered und reject_it not-covered von
P2
p
( t )
3
1 correct _ it reject _
it
( t )
(43)
correct_it und reject_it sind in jedem Zeitschritt 0-covered von P3
p
( t)
( t1)
( t1)
4
error error multiple reject _
it
t
1
(44)
reject_it ist in jedem Zeitschritt (t+1) 1-covered und correct_it not-covered von
P4

76
p
( t)
( t)
( t)
5
error multiple reject _ it
(45)
reject_it ist in jedem Zeitschritt 1-covered und correct_it not-covered von P5
Tabelle 1. Abdeckung der Eigenschaften der property Suite
p1 p2 p3 p4 p5
q - covered - covered covered
r - - covered covered covered
s covered covered covered - -
t - covered - covered -
old_state - covered - covered -
multiple - covered - - covered
error covered covered - covered covered
reject_it covered - covered covered covered
correct_it covered covered covered - -
Tabelle 2. Abdeckung unter Berücksichtigung der Zeitschritte
p1 p2 p3 p4 p5
q - t+1 - t+1 *
r - - * * *
s * t+1 * - -
t - t+1 - t+1 -
old_state - t+1 - t+1 -
multiple - t+1 - - *
error * * - * *
reject_it * - * t+1 *
correct_it * t+1 * - -

77
Tabelle 3. Abdeckung durch 0/1-Coverage
p1 p2 p3 p4 p5
q - 1-covered - 0-covered 0-covered
r - - 0-covered 1-covered 1-covered
s 0-covered 1-covered 0-covered - -
t - 1-covered - 0-covered -
old_state - 0-covered - 1-covered -
multiple - 1-covered - - 0-covered
error 1-covered 1/0-covred - 0-covered 0-covered
reject_it 0-covered - 0-covered 1-covered 1-covered
correct_it 0-covered 1-covered 0-covered - -

£ ¥ § © £ £ © £ ¥ ! ¡ % ¥ ' ) ) + , - ¡ 0
¡
¥ 2 4 £ §
0
d e f g g i j k f e e d j p q S r s M F u w s F _ _ x V y z a K | | V w O O F V } O X F r F s a V H I z y I V ‚ \ V
c
a r \ H I F K … r a ˆ s M F ‰ K „ \ I _ s F V „ a a K X F V O a H I F K s F K u w s F _ _ „ a O X Y K s F s a V H I
„
: ¾ ³ C C Â µ ³ 9 C ³ C º ³ > Ã A µ A C ¹ ¹ > » þ ³ > ³ > ´ Ä Ã º ³ : ³ Ë A > ³ > ¸ ? A ½ ³ C Ñ : A þ ¾ 9 ³ ì A Á
º ? C ¾ Ã ³ ¤ Ô ¸ Â Ã 9 Â C ¾ A > µ ¹ ³ ³ 9 ¹ C ³ º ³ 8 ³ µ C 9 À ³ C Ã Â ¼ ³ 9 º ¼ 9 ³ : » ¹ ¸ 9 µ ½ ³ ¹ > ³ C Ë º ¼ ³ > ¾ ³ C Å
Ã
78
8 9 : < > ? A C
E F H I K M O H I F S K M T F V O M X Y X Z \ M O F V O _ \ a X F V K
F F M | K F X F E F H I K M ‹ F K O w O X \ V ‹ Ž M F r | _ M H I V F s a „ M F V X Ž F V s F K ’ “ M K O F I V F V ”
|
w _ | V F M H I F V ‰ K O \ X „ M K s M F O F r Z w K X F — X M O X s M F ‰ ‚ O X V \ ‹ X M w K … ‚ F M s F V z y V s M F
z
w s F _ _ x V y z a K | M V V F _ F T \ K X F ‰ O x F ‹ X F F M K F O } O X F r O M s F K X M › „ M F V X a K s \ a O s F r
u
w s F _ _ F K X z F V K X Ž F V s F K ’ œ M F F a V X F M _ a K | … Ž F _ H I F } O X F r X F M _ F Ž M H I X M | O M K s
u
K s Ž w T w K \ ‚ O X V \ I M F V X Ž F V s F K ‹ \ K K … M O X ¡ F s w H I K M H I X X V M T M \ _ a K s F V z w V s F V X
a
z X s M F “ M K ‚ M K s a K | r F K O H I _ M H I F K “ — x F V X F K Ž M O O F K O ’ ¢ K s M F O F V ‰ a O \ V ‚ F M X a K |
w
M V s F M K ‰ ‚ O X V \ ‹ X M w K O \ K O \ X „ T w V | F O X F _ _ X … s F V w I K F O w _ H I F O ¤ M O O F K \ a O ‹ w r r X
Ž
K s \ a X w r \ X M O H I F M K F | F F M | K F X F ‰ ‚ O X V \ ‹ X M w K | F K F V M F V X ’ œ \ „ a Ž M V s T w K F M ”
a
F V | V w ‚ F K ‰ ‚ O X V \ ‹ X M w K \ a O | F | \ K | F K a K s s M F O F M X F V \ X M T s a V H I ‰ K \ _ O F T w K
K
a z X V F X F K s F K § F I _ F V K ‚ M O „ a F M K F V \ a O V F M H I F K s F K ¨ a \ _ M X Y X T F V ‚ F O O F V X ’
\
© ª « ¬ ­ ® « ¯ ° ¬ ±
9 ³ ´ A µ ³ C ? µ · ³ ¸ ³ > C ³ > ¸ ? C ¹ º ³ 9 C ³ C 9 : : ³ > » ³ > ³ C ´ º ³ ¸ ¸ ³ C ¼ ³ > º ½ ³ 9 ¾ ³ > ¿ C º ¼ 9 µ À Á
²
A C ¹ ³ ¸ ³ À º > Â C 9 Ã µ ³ > ´ Ä Ã º ³ : ³ Å ¿ 9 C Æ > A C ¾ ¾ ? Ç È > 9 Ã º Ã 9 µ ³ > ¸ 9 µ ¾ 9 ³ Ã º Ê C ¾ 9 ¹ Ë A C ³ : ³ C ¾ ³
¸
³ > ½ > ³ 9 º A C ¹ ¾ 9 ³ Ã ³ > ´ Ä Ã º ³ : ³ 9 C ? ¸ ¸ ³ C < ³ > ³ 9 µ ³ C ¾ ³ Ã º Ê ¹ ¸ 9 µ ³ C Í ³ ½ ³ C Ã A C ¾ ¾ ³ > Î C ¾ A Á
Ì
º > 9 ³ Å Ï A Ã Ã ³ > ¾ ³ : À » C C ³ C ¾ 9 ³ Ï A Ã ¼ 9 > À A C ¹ ³ C ³ 9 C ³ Ã · ³ ¸ ³ > Ã Ã Â ¹ > ? Ð 9 ³ > ³ C ¾ Â ¾ ³ > º ³ A ³ >
Ã
³ 9 C Ñ ¾ ? Ã Ã ³ 9 C ¹ > Â Ã Ã ³ > Ï A Ç ¼ ? C ¾ Ë A ¾ ³ Ã Ã ³ C Ì ³ > : ³ 9 ¾ A C ¹ ¹ ³ > ³ µ º Ç ³ > º 9 ¹ º ¼ 9 > ¾ Å ² 9 ³ Ã 9 Ã º
Ã
C Ã ½ ³ Ã Â C ¾ ³ > ³ ½ ³ 9 : ¿ 9 C Ã ? º Ë 9 C Ã 9 µ ³ > ³ 9 º Ã À > 9 º 9 Ã µ ³ C < ³ > ³ 9 µ ³ C ¼ 9 ³ Ë A : < ³ 9 Ã Ô 9 ³ ¸ 9 :
9
º ³ A ³ > Ã Ä Ã º ³ : ³ 9 C ³ Ã · ¸ A ¹ Ë ³ A ¹ ³ Ã ¾ ³ > · ? ¸ ¸ Å
´
Ê > ³ C ¾ ½ ³ 9 À ¸ ³ 9 C ³ > ³ C ´ Ä Ã º ³ : ³ ¾ ? Ã ¹ > È C ¾ ¸ 9 µ ³ 8 ³ Ã º ³ C ½ Ë ¼ Å ´ 9 : A ¸ 9 ³ > ³ C Ð ³ > Ã µ 9 ³ Á
Ö
³ C ³ > Ï ½ ¸ Ê A Ç ³ Â Ç º : ? ¸ Ã Ë A > ¿ > À ³ C C A C ¹ ¾ ³ > : ³ 9 Ã º ³ C · ³ ¸ ³ > ? A Ã > ³ 9 µ º Ñ Ã 9 C ¾ A : Ç ? C ¹ Á
¾
³ 9 µ ³ > ³ ´ Ä Ã º ³ : ³ ? A Ç ¾ 9 ³ Ã ³ Ö ³ 9 Ã ³ C 9 µ º : ³ > Ë A Ç > 9 ³ ¾ ³ C Ã º ³ ¸ ¸ ³ C ¾ Ë A A C º ³ > Ã A µ ³ C Å Î C
>
³ C ¸ ³ º Ë º ³ C Ù ? > Ë ³ C º ³ C ? ½ ³ C Ã 9 µ ¾ ? ³ > ³ 9 C 9 ¹ ³ ¼ ³ 9 º ³ > ³ Ì ? ¸ 9 ¾ 9 ³ > A C ¹ Ã º ³ µ C 9 À ³ C ³ º ? Á
¾
¸ 9 ³ > º Ñ ¼ Â Ð Â C ¾ ? Ã Ì ³ > Ç ? > ³ C ¾ ³ > Ú Û Ü Ý Þ Þß à á â ã ä å æ ³ C ¹ ¸ Å è Â ¾ ³ ¸ é ³ µ À 9 C ¹ ê Ë A ¾ ³ C ? :
½
Ê A ë ¹ Ã º ³ C ³ 9 C ¹ ³ Ã ³ º Ë º ³ C ¹ ³ » > º Å ì A > è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ¼ 9 > ¾ ³ 9 C Ú Û Ü Ý Þ Þ ¾ ³ Ã Ë A º ³ Ã º ³ C Á
³ C ´ Ä Ã º ³ : Ã ½ ³ C » º 9 ¹ º Ñ ¾ ? Ã Â Ç º ? ¸ Ã ³ 9 C î > Â ¹ > ? : : Â ¾ ³ > ³ 9 C ì A Ã º ? C ¾ Ã ? A º Â : ? º ¹ ³ ¹ ³ ½ ³ C
¾
à º Å ² 9 ³ à ³ à è  ¾ ³ ¸ ¸ ¼ 9 > ¾ ¾ ? C C A C º ³ > ¿ 9 C à ? º Ë ³ 9 C ³ à é  : Ô A º ³ > à ? A º  : ? º 9 à µ ¾ ? > ? A Ç 9 C
9
½ ³ > Ô > È Ç º Ñ Â ½ ³ Ã ³ 9 C ³ 9 C ³ 9 C ³ > ½ ³ Ã º 9 : : º ³ C Í Â ¹ 9 À Ç Â > : A ¸ 9 ³ > º ³ ñ ß Ý ò ó ô õ ö ÷ ó Û ä ³ > Ç È ¸ ¸ º Å
È
? Ë A ¼ ³ > ¾ ³ C ? A Ã ¹ ³ ³ C ¾ Ð Â C ¾ ³ C Î C 9 º 9 ? ¸ Ë A Ã º Ê C ¾ ³ C ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ã ? ¸ ¸ ³ ³ > > ³ 9 µ ½ ? > ³ C · Â ¸ Á
²
³ Ë A Ã º Ê C ¾ ³ ½ ³ Ã º 9 : : º A C ¾ ¾ 9 ³ Ã ³ Æ ³ Ã ? : º : ³ C ¹ ³ Ð Â C ì A Ã º Ê C ¾ ³ C ¾ ? > ? A Ç 9 C A C º ³ > Ã A µ º Ñ
¹
½ Ã 9 ³ ¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C ³ > Ç È ¸ ¸ º Â ¾ ³ > C 9 µ º Å
Â
 ¸ ¸ ¾ 9 ³ è  ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ? A Ç A : Ç ? C ¹ > ³ 9 µ ³ > ³ ´ Ä Ã º ³ : ³ ? C ¹ ³ ¼ ³ C ¾ ³ º ¼ ³ > ¾ ³ C Ñ ¼ ? Ã
´
Ë A :
< ³ 9 Ã Ô 9 ³ ¸ Ç È > ¾ 9 ³ ù ? ¸ ½ ¸ ³ 9 º ³ > Á Î C ¾ A Ã º > 9 ³ Ã ³ > 9 C º ³ > ³ Ã Ã ? C º 9 Ã º Ñ Ã º ³ ¸ ¸ º ú ³ ¾ Â µ ¾ 9 ³ Ã Â ¹ ³ Á
? C C º ³ û ã ü ÷ ö ä Ü ü Ý ý ß Þ Û ü ó Û ä ³ 9 C ¹ > Â þ ³ Ã î > Â ½ ¸ ³ : ¾ ? > Å è 9 º ¾ 9 ³ Ã ³ : < ³ ¹ > 9 ¼ 9 > ¾ ¾ ³ > ¿ Ç Á
C
³ À º ½ ³ Ë ³ 9 µ C ³ º Ñ ¾ ? Ã Ã ¾ 9 ³ ì ? ¸ ¾ ³ > : » ¹ ¸ 9 µ ³ C ì A Ã º Ê C ¾ ³ ³ 9 C ³ Ã ´ Ä Ã º ³ : Ã Ê A þ ³ > Ã º Ã µ C ³ ¸ ¸
Ç
: 9 º Ã ³ 9 C ³ > ¢ Â : Ô ¸ ³ ¤ 9 º Ê º ¼ Ê µ Ã º Å < ³ 9 Ã Ô 9 ³ ¸ Ã ¼ ³ 9 Ã ³ À ? C C ³ 9 C ´ Ä Ã º ³ : : 9 º C A > ³ 9 C ³ : ³ 9 C Ë ³ ¸ Á
C ³ C ¦ ¨
< 9 º ì Ê ¸ ³ > ½ ³ > ³ 9 º Ã ½ 9 Ã Ë A
2 64 ≈ 2 · 10 19 Ð ³ > Ã µ 9 ³ ¾ ³ C ³ ì A Ã º Ê C ¾ ³ ? C C ³ : ³ C Ñ ¾ 9 ³
³ 9 : C ? 9 Ð ³ C è Â ¾ ³ ¸ é ³ µ À 9 C ¹ ? ¸ ¸ ³ A C º ³ > Ã A µ º ¼ ³ > ¾ ³ C : È Ã Ã ³ C Å < ³ 9 A : Ç ? C ¹ > ³ 9 µ ³ > ³ C
½
Ä Ã º ³ : ³ ¼ 9 > ¾ ¾ ³ > Ï A Ç ¼ ? C ¾ Ç È > ³ 9 C ³ è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ¾ ? ³ > Ã µ C ³ ¸ ¸ Ë A ¹ > Â þ Å
´
¿ 9 C ¼ 9 µ º 9 ¹ ³ > A C ¾ Ã ³ > ³ > Ç Â ¸ ¹ > ³ 9 µ ³ > Ï C Ã ? º Ë 9 C ¾ 9 ³ Ã ³ : ¢ Â C º ³ ¤ º 9 Ã º ¾ 9 ³ ü ÷ à ö õ ÷ ó Û ä Å

9 ³ Ã 9 µ 9 C º ³ > ¾ 9 ³ Ã ³ : < ³ ¹ > 9 Ð ³ > ½ ³ > ¹ ³ C ¾ ³ 8 ³ µ C 9 À ½ ? Ã 9 ³ > º ¾ ? > ? A Ç Ñ ¾ ? Ã Ë A È ½ ³ > Ô > È Á
²
³ C ¾ ³ è Â ¾ ³ ¸ ¸ ¾ A > µ ¿ C º Ç ³ > C ³ C Ð Â C 8 ³ 9 ¸ ? Ã Ô ³ À º ³ C Ñ ¾ 9 ³ ½ ³ Ë È ¹ ¸ 9 µ ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C C 9 µ º
Ç
9 µ º 9 ¹ Ã 9 C ¾ Ñ 9 C ³ 9 C ö ü ÷ à ö õ ÷ Ý ü Ú Û Ü Ý Þ Þ Ë A È ½ ³ > Ç È > ³ C Å ² 9 ³ Ã ³ Ã è Â ¾ ³ ¸ ¸ ? º ³ 9 C ³ C À ¸ ³ 9 C ³ Á
¼
³ C ì A Ã º ? C ¾ Ã > ? A : ? ¸ Ã ¾ ? Ã A > Ã Ô > È C ¹ ¸ 9 µ ³ Ñ Ã Â ¾ ? Ã Ã ³ 9 C ³ è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ¾ ³ Ã ? ½ Ã º > ? À º ³ C
>
 ¾ ³ ¸ ¸ à ³ 9 C Ç ? µ ³ > ¾ A > µ ¹ ³ Ç È > º ¼ ³ > ¾ ³ C À ? C C Å Î Ã º ¾ 9 ³ Ï ½ à º > ? À º 9  C ¹ ³ ³ 9 ¹ C ³ º ¹ ³ ¼ Ê ¸ º Ñ
è
» C C ³ C ? A Ã ¾ ³ : ¿ > ¹ ³ ½ C 9 Ã ¾ 9 ³ Ã ³ > Ï C ? ¸ Ä Ã ³ ¾ ³ C C Â µ Ï A Ã Ã ? ¹ ³ C È ½ ³ > ¾ ? Ã Ì ³ > ? ¸ º ³ C ¾ ³ Ã
À
> 9 ¹ 9 C ? ¸ Ã Ä Ã º ³ : Ã ? ½ ¹ ³ ¸ ³ 9 º ³ º ¼ ³ > ¾ ³ C Å < ³ 9 Ã Ô 9 ³ ¸ Ã ¼ ³ 9 Ã ³ À ? C C ½ ³ 9 ½ ³ Ã º 9 : : º ³ C Ï ½ Ã º > ? À º 9 Â Á
¡
³ C ¹ ³ Ã µ ¸ Â Ã Ã ³ C ¼ ³ > ¾ ³ C Ñ ¾ ? Ã ? ¸ ¸ ³ < ³ ¾ 9 C ¹ A C ¹ ³ C ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C Ñ ¾ 9 ³ Ð Â : ? ½ Ã º > ? À º ³ C
C
 ¾ ³ ¸ ¸ ³ > Ç È ¸ ¸ º ¼ ³ > ¾ ³ C Ñ ? A µ Ð Â : A > Ã Ô > È C ¹ ¸ 9 µ ³ C è  ¾ ³ ¸ ¸ ³ 9 C ¹ ³ ? ¸ º ³ C ¼ ³ > ¾ ³ C Å Ì ³ > ¸ ³ º Ë º
è
9 C Ã Â ¸ µ ³ > : ? þ ³ C ? ½ Ã º > ? 9 ³ > º ³ Ã ´ Ä Ã º ³ : À ³ 9 C ³ ¾ ³ > Ã Ô ³ Ë 9 ë Ë 9 ³ > º ³ C < ³ ¾ 9 C ¹ A C ¹ ³ C Ñ A C ¾ 9 Ã º
³
> 9 ¹ 9 C ? ¸ Ã Ä Ã º ³ : Ã ¹ ³ Ë ³ 9 ¹ º Å
¡
C ¾ 9 ³ Ã ³ > ´ ³ : 9 C ? > ? > ½ ³ 9 º ¼ 9 > ¾ ³ 9 C Ï C Ã ? º Ë Ë A > Ï ½ Ã º > ? À º 9 Â C Ð Â > ¹ ³ Ã º ³ ¸ ¸ º Ñ ¾ ³ > Ð Â C
Î
¸ ? > À ³ A C ¾ Æ > A : ½ ³ > ¹ Ð ³ > » ³ C º ¸ 9 µ º ¼ A > ¾ ³ ¢ ¤ ¦ Å ¿ > ? º ¾ ³ C ¹ > Â þ ³ C Ì Â > º ³ 9 ¸ Ñ Â C ³ : ? Á
é
A ³ ¸ ¸ ³ ì A Ã ? º Ë ? > ½ ³ 9 º ? A Ã Ë A À Â : : ³ C A C ¾ ¾ ³ C C Â µ ? A Ç ³ 9 C ½ > ³ 9 º ³ Ã · ³ ¸ ¾ Ð Â C ´ Ä Ã º ³ : ³ C º Á
C
È > Ç ³ C ? C ¼ ³ C ¾ ½ ? > Ë A Ã ³ 9 C Å ´ ³ 9 C ³ Ï > ½ ³ 9 º Ã ¼ ³ 9 Ã ³ ½ ³ > A º ¾ ? > ? A Ç Ñ ? A Ã ³ 9 C ³ : ¹ ³ ¹ ³ ½ ³ C ³ C
¼
 ¾ ³ ¸ ¸ Ë A C Ê µ à º ³ 9 C ³ à ³ > ¹ >  ½ ³ Ï ½ à º > ? À º 9  C Ë A ¹ ³ C ³ > 9 ³ > ³ C Å ² A > µ Ï C ? ¸ Ä Ã ³ Ð Â C
è
³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ C ¼ 9 > ¾ ¾ 9 ³ Ã ³ ¾ ? C C 9 º ³ > ? º 9 Ð 9 : : ³ > ¼ ³ 9 º ³ > Ð ³ > Ç ³ 9 C ³ > º Ñ ½ 9 Ã ¾ 9 ³ è Â ¾ ³ ¸ ¸ Á
Æ
> È Ç A C ¹ ³ 9 C ³ À Â C À > ³ º ³ Ï A Ã Ã ? ¹ ³ È ½ ³ > ¾ 9 ³ ¿ 9 C ? ¸ º A C ¹ ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C ¸ 9 ³ Ç ³ > C À ? C C Å
Ô
9 ³ Ð Â > ¸ 9 ³ ¹ ³ C ¾ ³ Ï A Ã ? > ½ ³ 9 º A C ¹ ¹ ¸ 9 ³ ¾ ³ > º Ã 9 µ 9 C Ð 9 ³ > Ï ½ Ã µ C 9 º º ³ Å Î : Ë ¼ ³ 9 º ³ C Ï ½ Á
²
µ C 9 º º ¼ ³ > ¾ ³ C Ë A C Ê µ Ã º ³ 9 C 9 ¹ ³ Æ > A C ¾ ¸ ? ¹ ³ C ½ ³ ? C ¾ ³ ¸ º Ñ ¾ 9 ³ ³ 9 C ³ Ç Â > : ? ¸ ³ < ? Ã 9 Ã Ç È > ¾ 9 ³
Ã
 ¸ ¹ ³ C ¾ ³ < ³ à µ > ³ 9 ½ A C ¹ ½ 9 ¸ ¾ ³ C Å Ï C à µ ¸ 9 ³ þ ³ C ¾ ¼ ³ > ¾ ³ C ¾ 9 ³ º ³  > ³ º 9 à µ ³ C Æ > A C ¾ ¸ ? ¹ ³ C
Ç
 C Ï ½ à º > ? À º 9  C ³ C ½ ³ º > ? µ º ³ º A C ¾ à µ ¸ 9 ³ þ ¸ 9 µ ¾ ³ > À  C À > ³ º ³ Ï ½ à º > ? À º 9  C à ? C à ? º Ë Ð Â C
Ð
A > è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ³ 9 C ³ Ã ´ Ä Ã º ³ : Ã ¼ 9 > ¾ ³ 9 C Ú Û Ü Ý Þ Þ ¾ ³ Ã Ë A º ³ Ã º ³ C ¾ ³ C ´ Ä Ã º ³ : Ã A C ¾
ì
9 C ³ ñ ß Ý ò ó ô õ ö ÷ ó Û ä ¾ ³ Ã ¹ ³ ¼ È C Ã µ º ³ C è Â ¾ ³ ¸ ¸ Ð ³ > ? ¸ º ³ C Ã ½ ³ C » º 9 ¹ º Å < ³ 9 ¾ ³ ¢ Â : Ô Â C ³ C º ³ C
³
» C C ³ C ? A Ç Ð ³ > Ã µ 9 ³ ¾ ³ C ³ Ï > º ³ C Ç Â > : ? ¸ ½ ³ Ã µ > 9 ³ ½ ³ C ¼ ³ > ¾ ³ C Å
À
C Ï ½ Ã µ C 9 º º ¤ Å ¼ ³ > ¾ ³ C Ë A C Ê µ Ã º Ë ¼ ³ 9 è » ¹ ¸ 9 µ À ³ 9 º ³ C Ë A > Ï C ¹ ? ½ ³ ³ 9 C ³ Ã è Â ¾ ³ ¸ ¸ Ã
Î
 > ¹ ³ à º ³ ¸ ¸ º Å Ï C à µ ¸ 9 ³ þ ³ C ¾ ¼ 9 > ¾ 9 C Ï ½ à µ C 9 º º ¤ Å ¤ ¾ 9 ³ Û ß ã ÷ ö ÷ ó Û ä à Ý Ý Û å ó æ é 8 Í ê
Ð
9 C ¹ ³ Ç È > º Ñ : 9 º ¾ ³ > Ï C Ç Â > ¾ ³ > A C ¹ ³ C ? C ¾ ? Ã Ë ³ 9 º ¸ 9 µ ³ Ì ³ > ? ¸ º ³ C ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ã Ã Ô ³ Ë 9 ë Ë 9 ³ > º
³
9 ³ ¸ ³ ¾ ³ > Ç È > ³ 9 C ³ è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ 9 C º ³ > ³ Ã Ã ? C º ³ C ´ Ä Ã º ³ : ³ Ã 9 C ¾ ½ Ë ¼ Å Ð ³ > ¼ ³ C ¾ ³ C ¾ 9 ¹ 9 Á
Ì
? ¸ ³ ´ µ ? ¸ º A C ¹ ³ C Ñ ¾ 9 ³ ¾ 9 Ã À > ³ º ³ Ö ³ > º ³ Ð ³ > ? > ½ ³ 9 º ³ C A C ¾ Ã Ô ³ 9 µ ³ > C Å ¿ 9 C Ë ³ ¸ C ³ ì A Ã º ? C ¾ Á
º
C ¾ ³ > A C ¹ ³ C Ã Â ¸ µ ³ > ´ Ä Ã º ³ : Ã ¸ ? A Ç ³ C Ã Â Ã µ C ³ ¸ ¸ ? ½ Ñ ¾ ? Ã Ã Ã 9 ³ Ô > Â ½ ¸ ³ : ¸ Â Ã ³ 9 C ³ : Ç ³ Ã º ³ C
Ê
³ 9 º Ô A C À º Ë A ¹ ³ Â > ¾ C ³ º ¼ ³ > ¾ ³ C À » C C ³ C A C ¾ C 9 µ º ? ¸ Ã À Â C º 9 C A 9 ³ > ¸ 9 µ ³ î > Â Ë ³ Ã Ã ³ È ½ ³ >
ì
9 ³ ì ³ 9 º : Â ¾ ³ ¸ ¸ 9 ³ > º ¼ ³ > ¾ ³ C : È Ã Ã ³ C Å ² ? ³ > : A þ ¾ 9 ³ < ³ Ã µ > ³ 9 ½ A C ¹ ¾ ³ Ã ¹ ³ Ã ? : º ³ C ´ Ä Á
¾
º ³ : Ã ³ ½ ³ C Ç ? ¸ ¸ Ã C 9 µ º À Â C º 9 C A 9 ³ > ¸ 9 µ 9 C ¾ ³ > ì ³ 9 º ³ > Ç Â ¸ ¹ ³ C Ñ Ã Â C ¾ ³ > C À ? C C ? A Ç ¾ 9 Ã À > ³ º ³
Ã
t i
½ ³ Ã µ > Ê C À º ¼ ³ > ¾ ³ C Ñ Ë ¼ 9 Ã µ ³ C ¾ ³ C ³ C À ³ 9 C ³ ì A Ã º ? C ¾ Ã Ê C ¾ ³ > A C ¹ ³ C ? A Ç Á
t i+1
³ > ¹ 9 ½ º Å
: · Â ¸ ¹ ³ C ¾ ³ C ¼ ³ > ¾ ³ C : 9 º ¾ ³ : . à Û å à ö A C ¾ ¾ ³ > 1 à ó ß õ Ý 3 ñ ÷ à ã õ ÷ ã à Ë ¼ ³ 9 è 9 º º ³ ¸
Î
A > è Â ¾ ³ ¸ ¸ 9 ³ > A C ¹ Ã Â ¸ µ ³ > à ö ä ü ó ÷ ó Û ä ü ü 5 ü ÷ Ý Ý Ð Â > ¹ ³ Ã º ³ ¸ ¸ º Å
Ë
P Ã ³ º A ³ C > C ¸ µ ³ è C ³ Â Ì > ? ¸ C
V = {v 1 ,...,v n ? Ã 9 ³ ³ ¾ 9 C ³ ¹ Ð C ? 9 ½ ³ } ½ ³ º > ú ³ ¾ ³ Ì ? > 9 ? ½ ¸ ³ Å Ù ³ ¾ ³ Ì ? > 9 Ç ? È ½ ¸ ³
T i v i À µ Â ¸ ½ Ã C Â 9 º 9 Ã C ? > 8 : ³ C 9 ³ ¾ C A
79
¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C
à ³ ¸ ½ à º Ç ³ ¸ ³ > Ç > ³ 9 æ ¼ ? à Р > ? A à ¹ ³ à ³ º Ë º ¼ 9 > ¾ ê Ñ 9 à º ¾ 9 ³ · ³ ¸ ³ > Ç > ³ 9 ³ 9 º ¾ ³ Ã
é ¸ ? > À ³ Ð Â > ¹ ³ Ã º ³ ¸ ¸ º Å
¨ © ° ¬ ­ ± ® ¬
¼ ³ > ¾ ³ C À » C C ³ C Å ² ³ C Ï ½ Ã µ ¸ A Ã Ã ½ 9 ¸ ¾ ³ º ³ 9 C ³ Ç Â > : ? ¸ ³ < ³ Ã µ > ³ 9 ½ A C ¹ Ð Â C é 8 Í Å
! " # % & ( (
ì ³ 9 º Ô A C À º ³
> º ³ C Å ² ? Ã ´ Ä Ã º ³ : Ð ³ > ? ¸ º ³ C ¼ 9 > ¾ ¾ ? Ë A Ê A ë ¹ ¾ A > µ Ï C ¹ ? ½ ³ ¾ ³ > Î C 9 º 9 ? ¸ Ë A Ã º Ê C ¾ ³
º ³
à ´ Ä Ã º ³ : Ã Ë A : ì ³ 9 º Ô A C À º
¾ A ³ C ¾ ³ 9 C ³ > + ³ 9 ³ Ð Â C 8 > ? C Ã 9 º 9 Â C Ã > ³ ¹ ³ ¸ C ½ ³ Ã µ > 9 ³ ½ ³ C Å
t 0
t i
¾ ³ >
² 9 ³ Ã ³ + ³ ¹ ³ ¸ C ¾ ³ ë C 9 ³ > ³ C Ñ ¼ 9 ³ Ã 9 µ ? A Ã ³ 9 C ³ : ´ Ä Ã º ³ : Ë A Ã º ? C ¾ Ë A : ì ³ 9 º Ô A C À º
· Â ¸ ¹ ³ Ë A Ã º ? C ¾ Ë A > ì ³ 9 º
8 9 # : 9 < = = ¿ 9 C î > Â ¹ > ? : :

v i
À ? C C Ö ³ > º ³ ? A Ã 9 > ³ > ¢ ö ä Ý
D vi
? C C ³ : ³ C Å ¿ 9 C . à Û å à ö ò ã ü ÷ ö ä Ü
d Ë A ³ 9 C ³ :
³ ¹ ³ ½ ³ C ³ C ì ³ 9 º Ô A C À º 9 Ã º ¾ A > µ Ï C ¹ ? ½ ³ ? ¸ ¸ ³ > Ì ? > 9 ? ½ ¸ ³ C ¼ ³ > º ³ Ë A ¾ 9 ³ Ã ³ : ì ³ 9 º Ô A C À º
¹
³ Ã º 9 : : º A C ¾ ¿ ¸ ³ : ³ C º ¾ ³ > è ³ C ¹ ³ ? ¸ ¸ ³ > : » ¹ ¸ 9 µ ³ C î > Â ¹ > ? : : Ë A Ã º Ê C ¾ ³
½
d vi
½ Ë ¼ Å
d i
½ ³ Ë ³ 9 µ C ³ º Å
 > ¾ ³ > < ³ à µ > ³ 9 ½ A C ¹ ¾ ³ > 8 > ? C à 9 º 9  C à ½ ¸ » µ À ³ ¼ ³ > ¾ ³ C C  µ ³ 9 C 9 ¹ ³ ¼ ³ 9 º ³ > ³ < ³ ¹ > 9 ³
Ì
 > ¹ ³ à º ³ ¸ ¸ º ¤ Ð
V Â Ã ? º C A A ¾ A Ç ¾ ³ C C ? Ï C Á
D vi ¢ C º C ³ ? Ã Ñ º
D
> ³ 9 C ë ³ ¾
vi
D vi = N ³ Ã 9 ¸ ¼ 9 ³ > º : º Ã · C À º 9 Â C ³ C ¼ 9 ³
+ Ã − ∗ 9 / v 1 C +3 ¾ ½ 9 Ô ³ Ã ³ Ã ? 9 ³ 9 µ ³ A » ¹ ¸ 9 µ ³ Ï A Â Ã ¾ ¾ ³ > >
È : µ À ³ Å
v 2 − v 1 v 3 /3+v 1 Ñ ¾ C A > ? ½ À C ³ ¾ Ñ Ñ Ñ
? C C ? ½ Ê C ¹ 9 ¹ Ð Â C ¾ ³ > < ³ ¸ ³ ¹ A C ¹ ¾ ³ > Ì ? > 9 ? ½ ¸ ³ C ³ C º ¼ ³ ¾ ³ > Â ¾ ³ > ! " Ã ³ 9 C Ñ
À
9 ³ Ç ³ > º ? ¸ Ã Â ³ 9 C ³ C ½ Â Â ¸ ³ Ã µ ³ C Ö ³ > º Å
¸
v i
9 C
p Ñ ½ ³ Ë ³ 9 µ C ³ º § # = & ( p*
p ¾ A > µ d i
³ C º Ã º ³ º Ñ Ë A : ½ Â Â ¸ ³ Ã µ ³ C Ö ³ > º ? A Ã ¹ ³ ¼ ³ > º ³ º
³ 9 º Ô A C À º ? C C ³ : ³ C ¼ 9 > ¾ Å Î C ¼ 9 > ¾ Ç È > ¾ 9 ³ ´ Ä C º ? ¤ A C ¾ ´ ³ : ? C º 9 À ³ 9 C ³ Ã 8 > ? C Á
ì
9 º 9 Â C Ã ½ ¸ Â µ À ³ Ã ³ 9 C ³ ? C ¾ ³ C ´ è Ì è Â ¾ ³ ¸ é ³ µ À ³ > ? C ¹ ³ ¸ ³ C º ³ Ì ? > 9 ? C º ³ Ð Â > ¹ ³ Ã º ³ ¸ ¸ º Ñ
Ã
9 ³ ú ³ ¾ Â µ ½ Ë ¹ ¸ Å & 9 µ º Á ² ³ º ³ > : 9 C 9 Ã : A Ã A C À ¸ ? > ¾ ³ ë C 9 ³ > º 9 Ã º A C ¾ ¾ ³ Ã ? ¸ ½ 9 ³ > C 9 µ º
¾
³ Ã µ > 9 ³ ½ ³ C ¼ 9 > ¾ Å ´ º ? º º ¾ ³ Ã Ã ³ C ¼ 9 > ¾ 9 C Ï ½ ½ Å ? ³ 9 C ³ ¸ ³ 9 µ º ? ½ ¹ ³ ¼ ? C ¾ ³ ¸ º ³ ´ Ä C º ? ¤
½
8 > = ; C
4
‰ ‚ ‚ ’ E
8 > = ; C
4
…
…
…
…
…
…
…
…
80
D v1 × D v2 ×···×D vn
Å ² ³ > Ö ³ > º ¾ ³ > Ì ? > 9 ? ½ ¸ ³
v i
9 : î > Â ¹ > ? : : Ë A Ã º ? C ¾
D D =
d : 9 º ¾ ? A µ > 9 ¼
: 9 º
¦ § © % 9 & ¼ ³ > ¾ ³ C ? A Ã Ì ? > 9 ? ½ ¸ ³ C 9 C
¼ ³ C ¾ A C ¹ Ã Ç ? ¸ ¸ ½ ³ Ë Â ¹ ³ C Ã 9 C C Ð Â ¸ ¸ ³ C · A C À º 9 Â C ³ C Ñ ¾ 9 ³ ? A Ç ¾ ³ C è ³ C ¹ ³ C
à 9 C ¾ Ñ ¹ ³ ½ 9 ¸ ¾ ³ º Å · È >
§ # < & © < : & ¼ ³ > ¾ ³ C ? A Ã Ï A Ã ¾ > È µ À ³ C A C ¾ ³ ½ ³ C Ç ? ¸ ¸ Ã Ô ? Ã Ã ³ C ¾ Ë A > Ï C Á
= 9
C ¾ A C ¹ ¾ ³ ë C 9 ³ > º ³ C + ³ ¸ ? º 9 Â C ³ C ¹ ³ ½ 9 ¸ ¾ ³ º Å · È > ¾ ? Ã ³ ½ ³ C ¹ ³ ¹ ³ ½ ³ C ³ < ³ 9 Ã Ô 9 ³ ¸ 9 Ã º ¾ 9 ³
¦
¼ ³
§
¾ A C ¹ ¾ ³ > + ³ ¸ ? º 9 Â C ³ C
Ì ³ > ¼ ³ C
< > = ≤ ≥ v 1 +3 < 5 ¹ ¸ 9 µ Å ² ? C C Ã 9 C ¾ Ñ
v 2 − v 1 =0 Ñ v 3 Ñ Ñ /3+v 1 Ñ = v 1 +3 : » Â : ? > ³ Ï A Ã Ã ? ¹ ³ C Å Ù ³ ¾ ³ ? º Â : ? > ³ Ï A Ã Ã ? ¹ ³
º ? > ³ ¾ Â
8 $ % % < & Ã 9 C ¾ ³ 9 C Ë ³ ¸ C ³ ? º Â : ? > ³ Ï A Ã Ã ? ¹ ³ C A C ¾ Ì ³ > À C È Ô Ç A C ¹ ³ C Ð Â C ? º Â : ? > ³ C
9
A Ã Ã ? ¹ ³ C : 9 º º ³ ¸ Ã ¾ ³ C ½ Â Â ¸ ³ Ã µ ³ C · A C À º 9 Â C ³ C & ³ ¹ ? º 9 Â C æ
¦
Ï
¬ ∧ ¢ Â C ú A C À º 9 Â C æ ê
ê Ñ ¾ ² 9 Ã ú A C À º 9 Â C æ A C
∨ Å ê
³ 9 C ³ è ³ C ¹ ³ : 9 º ¹ ³ C ? A ? ¸ ¸ ³ C
º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C Ñ ¾ 9 ³ 9 C
?
Æ ³ ¹ ³ ½ ³ C ³ 9 C î > Ê ¾ 9 À ? º
¦
p > Â : C
p Ð V Â d À ∈ : D ³ =
Å
9 ? ½ ¸ ³ C ? A Ã A C ¾ ³ 9 C î > Â ¹ > ? : : Ë A Ã º ? C ¾ > ? Ì º 9 :
(d 1 ,...,d n ) Å ² ? C C ½ ³ ¾ ³ A º ³ º d |= p Ñ ¾ ? Ã Ã ¾ ? Ã î > Ê ¾ 9 À ? º Ñ ¼ ³ ¸ µ ³ Ã ¾ A > µ ¿ > Ã ³ º Ë ³ C
¦
Æ ³ ¹ ³ ½ ³ C ³ 9 C î > Ê ¾ 9 À ? º
ú ³ ¾ ³ > Ì ? > 9 ? ½ ¸ ³
¼ 9 > ¾ Å
³ 8 > ? C Ã 9 º 9 Â C Ã ½ ¸ Â µ À ³ 9 C ³ > Ì ? > 9 ? ½ ¸ ³ ¹ 9 ½ º ? C Ñ ¼ 9 ³ ¾ ³ > Ö ³ > º ¾ ³ > Ì ? > 9 ? ½ ¸ ³ Ë A : ì ³ 9 º Á
² >
C À º Ô ½ A ³ Ã º 9 : : º 9 Ã º A C ¾ ¼ ³ ¸ µ ³ C Ö ³ > º ¾ 9 ³ Ì ? > 9 ? ½ ¸ ³ ½ ³ 9 : Ö ³ µ Ã ³ ¸ Ë A : C Ê µ Ã º ³ C
t 0
Ð Â > ¹ ³ Ã º ³ ¸ ¸ º Ñ : 9 º ¾ ³ > C A > > ³ 9 C ¾ ³ º ³ > : 9 C 9 Ã º 9 Ã µ ³ ´ Ä Ã º ³ : ³ : Â ¾ ³ ¸ ¸ 9 ³ > º ¼ ³ > ¾ ³ C À » C C ³ C Å
Ci
1
Ci
2
/ . 1 3
v i4 5 7 i
.
i
8 9 1 3
v i4 5 7 ; = > 8 /
A 1 i 5
A 2 i 5
5 ... ...
Ci
k A k i 5
A B 8 5 A k+1
i
@
Ci
1
Ci
2
A ′1 i
A ′2 i
/ . 1 3
v i4 5 7 I
.
i
8 9 1 3
v i4 5 7 ; = > 8 /
A 1 i 5
A 2 i 5
5 ... ...
Ci
k A k i 5
A B 8 5 A k+1
i
@
A ′k i
...
...
...
A ′k+1
i
...
3 \
s F X F V r
K M H I X ” s F X F V r
M K M O X M O H I
M K M O X M O H I
3 ‚
z y V E V \ K O M X M w K O ‚ _ H ‹ F
Ž F M H \ V M \ K X F K
5 F
i i
¿ ¸ ³ : ³ C º Ð Â C
D vi
Ñ
C j i
A j i
9 ³ C
9 Ã º
T i
³ 9 C î > Ê ¾ 9 À ? º æ ¾ 9 ³ J Ý Ü ó ä å ã ä å ê A C ¾
ù 9 ³ > ½ ³ 9 9 Ã º
Ï A Ã ¾ > A µ À Ñ ¾ ³ > û ã L Ý ó ü ã ä å ¹ ³ C ? C C º ¼ 9 > ¾ Å ² 9 ³ ´ ³ : ? C º 9 À ¾ ³ Ã 8 > ? C Ã 9 º 9 Â C Ã ½ ¸ Â µ À ³ Ã

v i
Ë A : ì ³ 9 º Ô A C À º
t 0
: 9 º ¾ ³ : Ö ³ > º
i i
½ ³ ¸ ³ ¹ º 9 Ã º Å < ³ 9
> Ê ¸ º 9 : C Ê µ Ã º ³ C ì ³ 9 º Ã µ > 9 º º ¾ ³ C Ö ³ > º ¾ ³ Ã À Â > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C Ï A Ã ¾ > A µ À ³ Ã ³
A k Å
i
8
= ; C >
\ 3
4
5
9 ³ è Â ¾ ³ ¸ ¸ 9 ³ > A C ¹ Ð Â C & 9 µ º Á ² ³ º ³ > : 9 C 9 Ã : A Ã A C ¾ ´ Ä Ã º ³ : ³ C : 9 º : ³ > ³ > ³ C ´ º ? > º Á
²
A Ã º Ê C ¾ ³ C À ? C C ¾ ? ¾ A > µ ³ > : » ¹ ¸ 9 µ º ¼ ³ > ¾ ³ C Ñ ¾ ? Ã Ã ? C Ã º ³ ¸ ¸ ³ ³ 9 C ³ Ã ³ 9 C Ë ³ ¸ C ³ C Î C 9 º 9 ? ¸ ¼ ³ > º Ã
Ë
C ¾ ³ 9 C ¾ ³ A º 9 ¹ ½ ³ Ã º 9 : : º ³ C · Â ¸ ¹ ³ ¼ ³ > º ³ C ú ³ ¼ ³ 9 ¸ Ã ¢ Ý à ÷ Ý ä å Ý ä Ð ³ > ¼ ³ C ¾ ³ º ¼ ³ > ¾ ³ C Å Î C
A
½ ½ Å ½ ¼ 9 > ¾ ¾ ? Ë A ³ 9 C ³ ³ > ¼ ³ 9 º ³ > º ³ ´ Ä C º ? ¤ Ð Â > ¹ ³ Ã µ ¸ ? ¹ ³ C Å ´ º ? º º ³ 9 C ³ : ³ 9 C Ë ³ ¸ C ³ C Î C Á
Ï
8
4
r
I i
Ð Â C Î C 9 º 9 ? ¸ ¼ ³ > º ³ C Ë A ¸ Ê Ã Ã 9 ¹ Ñ A C ¾ ? C Ã º ? º º C A > ³ 9 C ³ C
? Ã Ç È > ú ³ ¾ ³ Ì ? > 9 ? ½ ¸ ³ C Ë A ¼ ³ 9 Ã A C ¹ : 9 º : ³ > ³ > ³ C è » ¹ ¸ 9 µ À ³ 9 º ³ C C 9 µ º ¾ ³ º ³ > : 9 C 9 Ã º 9 Ã µ
¾
9 C ³ Ö ? ¸ ¹ ³ º > Â ³ C A C ¾ ¾ 9 ³ Ã ³ > Ã Â ¹ ³ ¼ Ê ¸ º ³ Ö ³ > º ¾ ³ > Ì ? > 9 ? ½ ¸ ³ Ë A ¹ ³ Â > ¾ C ³ º ¼ 9 > ¾ Å Î C
³
½ ½ Å 9 Ã º ³ 9 C < ³ 9 Ã Ô 9 ³ ¸ Ô > Â ¹ > ? : : : 9 º Ë ¼ ³ 9 Ì ? > 9 ? ½ ¸ ³ C ¹ ³ Ë ³ 9 ¹ º Å ² ³ > Ã µ Â C Ð Â > ¹ ³ Ã º ³ ¸ ¸ º ³
Ï
³ Ë ³ 9 µ C ³ > Ï º Â : ³ æ ê ¼ 9 > ¾ Ç È > î > Â ¹ > ? : : ³ ? ¸ Ã è ³ C ¹ ³ ? ¸ ¸ ³ > ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C ¾ ³ ë Á
<
9 ³ > º Ñ ¾ 9 ³ 9 C ¾ ³ C J Ý Ü ó ä å ã ä å Ý ä ¾ ³ > 8 > ? C Ã 9 º 9 Â C Ã ½ ¸ » µ À ³ Ð Â > À Â : : ³ C Å ² 9 ³ Ï A Ã Ã ? ¹ ³ C ¾ ³ >
C
A ¼ ³ 9 Ã A C ¹ ³ C ¼ ³ > ¾ ³ C ä ó ¤ ÷ ³ 9 C ½ ³ Ë Â ¹ ³ C Å Ö ³ 9 º ³ > 9 C ¼ 9 > ¾ Ï º Â : ³ æ ê ? A Ç ´ Ô ³ Ë 9 ë À ? º 9 Â C ³ C
ì
9 % § & ©
9
9 Ï A Ã Ã ³ > ? ¸ Ã î > Â ¹ > ? : : À ? C C ³ 9 C 8 > ? C Ã 9 º 9 Â C Ã Ã Ä Ã º ³ : : 9 º ³ C ¾ ¸ 9 µ
¦
9 ³ ¸ ³ C ì A Ã º Ê C ¾ ³ C ? A µ 9 C · Â > : ³ 9 C ³ > ¢ > 9 Ô À ³ Á ´ º > A À º A > : Â ¾ ³ ¸ ¸ 9 ³ > º ¼ ³ > ¾ ³ C Å
Ð
S ó ü ÷ Ý ó ä Ý Ý ä Ü Þ ó ¤ Ý Ú Ý ä å Ý - Û ä / 1 3 4 6 4 9
I ⊆ S ó ü ÷ Ü ó Ý Ú Ý ä å Ý Ü Ý à 4 : ; 4 / 1 3 4 6 Ü Ý ü ñ 5 ü ÷ Ý ü 9
T ⊆ S × S ó ü ÷ Ý ó ä Ý > : 4 1 A 4 1 ; : A 4 )
)
ü ÷ 9 ó
P ó ü ÷ Ý ó ä Ý Ú Ý ä å Ý - Û ä : A J : 4 K 1 1 : N 4 9
L ⊆ S ×2 P ó ü ÷ Ý ó ä Ý P : 4 N 1 S 4 A 4 )
)
s ∈ S Ý ý ó ü ÷ ó Ý à ÷
³ > ¾ ³ C ¾ 9 ³ Î C 9 º 9 ? ¸ Ë A Ã º Ê C ¾ ³ ¾ ³ > ¢ > 9 Ô À ³ Á ´ º > A À º A > ? ¸ Ã Ö A > Ë ³ ¸ À C Â º ³ C ³ 9 C ³ Ã < ? A Á
Ö
³ Ã A C ¾ ¾ 9 ³ Ð Â C ú ³ ¾ ³ : ì A Ã º ? C ¾ ? A Ã ¾ A > µ 8 > ? C Ã 9 º 9 Â C ³ C ³ > > ³ 9 µ ½ ? > ³ C ì A Ã º Ê C ¾ ³ ? ¸ Ã
:
81
 ³ C ³ > º Ñ ¾ ? à à ¾ 9 ³ Ì ? > 9 ? ½ ¸ ³
à ¾ ë 9
: ì ³ 9 º Ã µ > 9 º º ¼ 9 > ¾ ¾ 9 ³ À ¸ ³ 9 C Ã º ³ ì ? ¸
ú ³ ¾ ³
k d |= C ³ ¼ Ê ¸ º Ñ Ç È > ¾ 9 ³ i
k ¹ Ã A ?
¹ 9 ¸ º Ñ A C ¾
v i
=35 x 0
y = 5 1 x + 1
x 5
/ . 1 3 x4 5 7 1
.
8 9 1 3 x4 5 7 ; = >
8 /
y = 0 5 1
/ . 1 3 y4 5 7 {0, 1}
.
8 9 1 3 y4 5 7 ; = >
8 /
@ A B 8
5 0 … 1
@ A B 8
> = ; C
H \ V M \ ‚ _ F —
3 ‚
H \ V M \ ‚ _ F
‰ ‚ ‚ ’
F M O x M F _ x V w | V \ r
9 º 9 ? ¸ ¼ ³ > º 9 Ã º 9 ³ > ³ 9 C ³ è ³ C ¹ ³
9 Ë ³ ¸ C ³ C Ï A Ã ¾ > A µ À Ë A ¹ ³ ¼ 9 ³ Ã ³ C Ë A ½ ³ À Â : : ³ C Ñ À » C C ³ C ³ 9 C ³ > Ì ? > 9 ? ½ ¸ ³ Ý ¤ à Ý à Ý Ï A Ã Á
³ C
È µ À ³ ¾ >
A A ... Ë A ¹ ³ ¼ 9 ³ Ã ³ C ¼ ³ > ¾ ³ C Å ² 9 ³ ´ ³ : ? C º 9 À ¾ 9 ³ Ã ³ > Ì ? > 9 ? C º ³ 9 Ã º Ã Â ½ ³ Ã º 9 : : º Ñ
′Ñ Ñ
φ ³ > ¼ ³ 9 º ³ > º Å Ï º Â : ³ æ φ ê ½ ³ Ë ³ 9 µ C ³ º ¾ 9 ³ è ³ C ¹ ³ : 9 º ? ¸ ¸ ³ C ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C Ñ ¾ 9 ³ 9 C φ
Ð Â > À Â : : ³ C Å
& % % # ! $ ó ä Ý & ö à õ ó Ý à ÷ Ý ' 1 à ó ß õ Ý 3 ñ ÷ à ã õ ÷ ã à ó ü ÷ Ý ó ä ã ß Ý Þ
M =(S, I, T, P, L))
L Û Ý ó å ó Þ ÷ *
Ü ó Ý å Þ ó ¤ Ý û ã ü ÷ ö ä Ü ü á Ý à å C ä å Ý Ü Ý ü
s ′ H Û Þ å Ý ä Ü Ý ä ö ã ¤ Ü ó Ý ñ ¤ à Ý ó L Ý ó ü Ý
)
(s, s ′ ) ∈ T Ý ó ä â ö ¤ ã ä å L ó à Ü ó
T (s, s ′ ) 9 û ã à I Ý à ó Ý å Þ Ý Ü ó ¤ L Ý à ÷ ó å ò ã
(s, s ′ ) ∈ T
)
÷ ò ÷ ã ä Ý
ñ 5 ü ÷ Ý ü Ý ü ¤ à Ý ó ÷ 9 ó ü ÷ º Â º ? ¸
Ü ö ü ¤ Ý ó E ÷ ò ã F Ý Ü Ý û ã ü ÷ ö ä Ü
ó ä Ü Ý ü ÷ Ý ä ü Ý ó ä H Û Þ å Ý ò ã ü ÷ ö ä Ü
ü Û
Ü ö E
Ü ó Ý F Ý Ü Ý û ã ü ÷ ö ä Ü å Ý ä ö ã Ü ó Ý F Ý ä ó å Ý
Ú Ý ä å Ý - Û ä ö ÷ Û ö à Ý ä ã ü ü ö å Ý ä ò ã Û à Ü ä Ý ÷
Ü ó Ý ó ä Ü ó Ý ü Ý û ã ü ÷ ö ä Ü å Ý Þ ÷ Ý ä 9
Î C Ï ½ ½ 9 ¸ ¾ A C ¹ T ? 9 Ã º ³ 9 C < ³ 9 Ã Ô 9 ³ ¸ Ç È > ³ 9 C ³ ¢ > 9 Ô À ³ Á ´ º > A À º A > : 9 º
S = {1, 2, 3, 4} Ñ I =
{1} Ñ T = {(1, 2) Ñ (2, 3) Ñ (3, 1) Ñ (3, 4) Ñ (4, 4)},P = {a, b, c} A C ¾ L = {{1, {a, c}} Ñ {2, {b}} Ñ
{3, {a}} Ñ {4, {c}}} ¹ ³ ¹ ³ ½ ³ C Å

4
5
\
4
H
‚
¡
4
9 C ¾ ³ > ¾ ³ Ã ú ³ ¼ ³ 9 ¸ 9 ¹ ³ C ¢ C Â º ³ C ¾ ? > ¹ ³ Ã º ³ ¸ ¸ º Ñ Ã Â ³ > ¹ 9 ½ º Ã 9 µ æ Ô > Â Î C 9 º 9 ? ¸ Ë A Ã º ? C ¾ ê ³ 9 C
¢
Ý à Ý ¤ ä ã ä å ü ö ã æ Ï ½ ½ Å T ½ ê Å ¿ > ³ C º Ã º ³ º ¢ A ? Ã 9 ¾ A > µ Ï ½ > Â ¸ ¸ ³ C ¾ ³ > 8 > ? C Ã 9 º 9 Â C Ã Á
J
\
π M ó Ý 1 ó õ 3 ÷ ã ÷ à ó ü ÷ Ý ó ä Ý ã ä Ý ä Ü Þ ó ¤ Ý
π =(s 0 ,s 1 ,s 2 ,...) ó ∀ ä Ý ä à à ß Ý ñ à õ ã ÷ ó Ý ä E 3 ¤
i≥0 : s i ∈ S ∧T (s i ,s i+1 ) s 0
i π ó i
÷ 9 ó ä Ý ü . â ö Ü Ý ü L ó à Ü ö ã ¤ ó ÷ Ý ò Ý ó ¤ ä Ý ÷ 9
Ý Ü ä ö ÷ ü ã û Ý ÷ 3 )
‚
¡
H
¡
E
\
H
4
‚
¡
H
¡
E
H
R Ñ
82
\ … H
\ … H
\ … H
E
3 ‚
3 \
F M O x M F _ z y V F M K F Z V M x ‹ F O X V a ‹ X a V 3 \
a K s s F K ‹ w V V F O x w K s M F V F K s F K
F V F H I K a K | O ‚ \ a r
‰ ‚ ‚ ’
3 ‚
³ ¸ ? º 9 Â C A C ¾ ½ ³ 9 C ? ¸ º ³ º ? ¸ ¸ ³ ³ > Ë ³ A ¹ ½ ? > ³ C ì A Ã º ? C ¾ Ã Ç Â ¸ ¹ ³ C ¾ ³ > ´ º > A À º A > Å Ù ³ ¾ ³ Ã Â ¸ µ ³
>
 ¸ ¹ ³ ³ 9 þ º . â ö Ü 9 C
·
M · Â > : ? ¸ ½ ³ ¾ ³ A º ³ º ¾ 9 ³ Ã
Å
& % % # ¤ S : 6 $ ó ä . â ö Ü
H Û Þ å Ý - Û ä û ã ü ÷ C ä Ü Ý ä
â ö ä å ü ò ã ü ÷ ö ä Ü
Ü Ý ü . â ö Ü Ý ü
Ü Ý à
¦ = § < % ( : & % &
8 9 # : 9 < = =
% & % & ¦ 9 % § & ©
9
9 ¿ 9 C î > Â ¹ > ? : :
? Ã ¼ 9 ³ 9 C Ï ½ Ã µ C 9 º º Å ? C ¹ ³ ¹ ³ ½ ³ C ¾ ³ ë C 9 ³ > º ¼ A > ¾ ³ Ñ À ? C C ¾ A > µ ¾ 9 ³ Ç Â ¸ ¹ ³ C ¾ ³ C · ³ Ã º Á
¾
³ ¹ A C ¹ ³ C 9 C ³ 9 C ³ : ? > À 9 ³ > º ³ ¢ > 9 Ô À ³ Á ´ º > A À º A >
¸
M =(S, I, T, P, L) ½ ³ > Ã ³ º Ë º ¼ ³ > ¾ ³ C
È
S = D
I = {s ∈ D |∀v ∈ V : s v = i v }
T (s, t) ∀v ∈ V : ∃n : s |= Cv n ∧ t v = A n v (s) ∧∀m : s |= Cv m ⇒ m ≥ n
¹ ¾ ¼ Å Â : ³ æ º Ï
P R ∪ φ Â : ³ æ ê º Ï ©
ê
L(d ∈ S) ={f ∈ P | d |= f}
A n v (s) A n ¾ C ³ Ï Ã > µ C µ ¿ 9 C Ã ³ º Ë ³ C ¾ ³ > Ì ? > 9 ? ½ ¸ ³ C ? ¼ ³ > º ³
v
½ ³ Ë ³ 9 µ C ³ º ¾ ³ C Ö ³ > º Ñ ³ ¾ > A ¾ A À
s 9 C 9 Ã º 9 Ã µ ³ ´ Ä C º ? ¤ æ Ð ¹ ¸ Å Ï ½ ½ Å
: > ³ º ³ ¾ º µ 9 C ³ 9 ¾ Ã ¸ ¸ ? · Å º ¸ Ê > ³
¾ ³ Ã î > Â ¹ > ? : : Ë A Ã º ? C ¾ ³ Ã
½ Ð > ³ ¾ º ¼ 9 > ¾ Ñ : A Ã Ã ½ ³ 9 ¾ ³ > · ³ Ã º ¸ ³ ¹ A C ¹ Ð Â C
ê ³ ¼ C ³
T º ¸ ³ > ³ 8 ³ 9 ¸ ¾ ³ > · Â > : ³ ¸ ? A Ç
...∧ (t v = A n v (s)∨t v = A ′ n
v (s) ∨ A′′ ...) ¾ I ³ I > = : {s 9 ∈
º ³ > º ¼ ³ > ¾ ³ C Å · È > ¹ 9 ¸ º ¾ ? C C
D |∀v ∈ V : s v ∈ I v } ³ º 9 ³ ¼ > Å
C ½ Å 9 º 9 ¢ 9 À ³ Á ´ º > A À º A > ¹ ³ Ë ³ 9 ¹ º Ñ ? A Ç ¾ 9 ³ ¾ ? Ã 9 C Ï ½ ½ Å ³ 9 C ¹ ³ Ç È > º ³
Î Ï ½ ¨ Ã ¾ ³ > Ô
> Â ¹ > ? : : ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ 9 > ¾ Å Î > ³ ì A Ã º Ê C ¾ ³ Ã 9 C ¾ ¿ ¸ ³ : ³ C º ³ Ð Â C
< ³ 9 Ã Ô 9 ³ ¸ Ô
S = D =
(D x × D y ) P {x =3y =0y =1 } ¾ ³ > ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C 9 Ã º Ñ Ñ Ñ Å ² 9 ³
Ñ ¾ 9 ³ è ³ C ¹ ³ Ã Ã ? ¹ ³ ¹ 9 ¸ º 9 C ? ¸ ¸ ³ C ì A Ã º Ê C ¾ ³ C A C ¾ 9 Ã º C 9 µ º ¹ ³ Ã Â C ¾ ³ > º ¾ ? > ¹ ³ Ã º ³ ¸ ¸ º Å
A Ï ³ > ? : Â º ?

5
7
7
7
7
7
…
…
…
C ³ 9 C ³ > ¢ > 9 Ô À ³ Á ´ º > A À º A > Ã 9 C ¾ Ë ¼ ? > ? ¸ ¸ ³ : » ¹ ¸ 9 µ ³ C ì A Ã º ? C ¾ Ã È ½ ³ > ¹ Ê C ¹ ³ Ð ³ > : ³ > À º Ñ
Î
½ ³ > ¾ 9 ³ ú ³ ¼ ³ 9 ¸ 9 ¹ ³ C Ì Â > ? A Ã Ã ³ º Ë A C ¹ ³ C Ç È > ³ 9 C ³ 8 > ? C Ã 9 º 9 Â C Ã 9 C ¾ C 9 µ º Ç ³ Ã º ¹ ³ ¸ ³ ¹ º Å Î :
?
³ ¹ ³ C Ã ? º Ë ¾ ? Ë A 9 Ã º 9 C ³ 9 C ³ : î > Â ¹ > ? : : ¹ ³ C ? A Ã Ô ³ Ë 9 ë Ë 9 ³ > º Ñ ¼ ? C C ¼ ³ ¸ µ ³ > ì A Ã º ? C ¾ Ã Á
Æ
½ ³ > ¹ ? C ¹ ³ > ¸ ? A ½ º 9 Ã º Å ² ? ³ > 9 Ã º ¾ 9 ³ Ï ½ ½ 9 ¸ ¾ A C ¹ ³ 9 C ³ Ã î > Â ¹ > ? : : ³ Ã 9 C ³ 9 C ³ ¢ > 9 Ô À ³ Á
È
º > A À º A > : 9 º ³ 9 C ³ : Î C Ç Â > : ? º 9 Â C Ã Ð ³ > ¸ A Ã º Ð ³ > ½ A C ¾ ³ C A C ¾ ¾ 9 ³ A : ¹ ³ À ³ > º ³ Ï ½ ½ 9 ¸ ¾ A C ¹
´
9 µ º Â C ³ ¼ ³ 9 º ³ > ³ Ã : » ¹ ¸ 9 µ Å
C
A Ã Ã ? ¹ ³ C È ½ ³ > ¾ ? Ã Ë ³ 9 º ¸ 9 µ ³ Ì ³ > ? ¸ º ³ C ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ã : ? µ ³ C Ë A À » C C ³ C Ñ ¼ 9 > ¾ ¾ ? Ë A
Ï
: Ï ¸ ¸ ¹ ³ : ³ 9 C ³ C ³ 9 C ³ Ã Â ¹ ³ C ? C C º ³ 8 ³ : Ô Â > ? ¸ ¸ Â ¹ 9 À Ð ³ > ¼ ³ C ¾ ³ º Å ¿ Ã ¹ 9 ½ º ³ 9 C ³ + ³ 9 ³ Ð Â C
9
³ : Ô Â > ? ¸ ¸ Â ¹ 9 À ³ C æ Í 8 Í Ñ é 8 Í Ñ Å Å Å ê : 9 º A C º ³ > Ã µ 9 ³ ¾ ¸ 9 µ ³ > Ï A Ã Ã ? ¹ ³ À > ? Ç º Å Î : · Â ¸ ¹ ³ C ¾ ³ C
8
³ > ¾ ³ C ¾ 9 ³ é 8 Í Á Í Â ¹ 9 À ¦ A C ¾ 9 > ³ 8 ³ 9 ¸ : ³ C ¹ ³ Ï é 8 Í Ð Â > ¹ ³ Ã º ³ ¸ ¸ º Å
¼
( ( : & = & % & £ & ¥ 9 & % § : Ï ¸ ¸ ³ : » ¹ ¸ 9 µ ³ C ì A Ã º ? C ¾ Ã Ç Â ¸ ¹ ³ C ³ 9 C ³ > ¹ ³ ¹ ³ ½ ³ C ³ C ¢ > 9 Ô Á
³ Á ´ º > A À º A > Ã 9 C ¾ ? ¸ Ã î Ç ? ¾ ³ 9 C 9 > ³ : À Â > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C < ³ > ³ µ C A C ¹ Ã ½ ? A : ³ C º ? ¸ º ³ C
À
Ð ¹ ¸ Å Ï ½ Ã µ C 9 º º Å ê Å ² ? ú ³ ¾ ³ > ì A Ã º ? C ¾ 9 : < ? A : : 9 º ¾ ³ C ú ³ ¼ ³ 9 ¸ Ã ¹ È ¸ º 9 ¹ ³ C ? º Â : ? Á
æ
³ C Ï A Ã Ã ? ¹ ³ C : ? > À 9 ³ > º 9 Ã º Ñ ¸ 9 ³ Ç ³ > º ¾ ³ > < ³ > ³ µ C A C ¹ Ã ½ ? A : ? A Ã Ã ³ > ¾ ³ : ? A µ ? ¸ ¸ ³ · Â ¸ ¹ ³ C
>
 C ? º  : ? > ³ C Ï A à à ? ¹ ³ C Ñ ¾ 9 ³ ¾ 9 ³ ´ º > A À º A > ³ > Ë ³ A ¹ ³ C À ? C C Å è 9 º é 8 Í À » C C ³ C C A C
Ð
9 ¹ ³ C Ã µ ? Ç º ³ C ¾ 9 ³ Ã ³ > · Â ¸ ¹ ³ C Ð Â C ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C ½ ³ Ã µ > 9 ³ ½ ³ C ¼ ³ > ¾ ³ C Å
¿
? ½ ³ 9 ¹ 9 ½ º ³ Ã Ë ¼ ³ 9 A C º ³ > Ã µ 9 ³ ¾ ¸ 9 µ ³ Ï > º ³ C Ð Â C ¿ 9 ¹ ³ C Ã µ ? Ç º ³ C Ñ ¾ 9 ³ ½ ³ ? C ¾ ³ ¸ º ¼ ³ > Á
²
³ C À » C C ³ C Å ì A : ³ 9 C ³ C À ? C C Ç È > ú ³ ¾ ³ C ³ 9 C Ë ³ ¸ C ³ C î Ç ? ¾ ¾ 9 ³ Ë ³ 9 º ¸ 9 µ ³ Ï ½ Ç Â ¸ ¹ ³ ¾ ³ >
¾
º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C ½ ³ Ã µ > 9 ³ ½ ³ C ¼ ³ > ¾ ³ C Å ì A : ? C ¾ ³ > ³ C Ã 9 C ¾ ? A µ © A ? C º 9 ë Ë 9 ³ > A C Á
?
³ C È ½ ³ > è ³ C ¹ ³ C Ð Â C î Ç ? ¾ ³ C : » ¹ ¸ 9 µ Ñ ¾ 9 ³ Ð Â C ³ 9 C ³ : ì A Ã º ? C ¾ ? A Ã ¹ ³ ³ C Å Ö Ê > ³ C ¾
¹
: ³ > Ã º ³ C · ? ¸ ¸ ? ¸ Ã Â Ï A Ã Ã ? ¹ ³ C È ½ ³ > ³ 9 C ³ C À Â C À > ³ º ³ C î Ç ? ¾ 9 : < ³ > ³ µ C A C ¹ Ã ½ ? A : ¹ ³ Á
9
? µ º ¼ ³ > ¾ ³ C Ñ ¼ ³ > ¾ ³ C 9 : Ë ¼ ³ 9 º ³ C · ? ¸ ¸ ¿ 9 ¹ ³ C Ã µ ? Ç º ³ C ¹ ? C Ë ³ > 8 ³ 9 ¸ ½ Ê A : ³ ½ ³ Ã µ > 9 ³ Á
:
³ C Å ² 9 ³ ¢ Â : ½ 9 C ? º 9 Â C ¾ 9 ³ Ã ³ > ½ ³ 9 ¾ ³ > < ³ Ã µ > ³ 9 ½ A C ¹ Ã : » ¹ ¸ 9 µ À ³ 9 º ³ C ³ > ¸ ? A ½ º ³ 9 C ³ Ã Ã ³ >
½
³ ¤ 9 ½ ¸ ³ A C ¾ A : Ç ? Ã Ã ³ C ¾ ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C ¾ ³ Ã ¹ ³ ¼ È C Ã µ º ³ C è Â ¾ ³ ¸ ¸ Ð ³ > ? ¸ º ³ C Ã Å ¿ Ã ¹ 9 ½ º
7
7
7
7
E
E
E
7
83
E … E
E …
… E
… E E … —
… —
… E
‚ ’ ¡ Z V M x ‹ F ” } X V a ‹ X a V s F O F M O x M F _ x V w | V \ r r O \ a O ‰ ‚ ‚ ’
‰ ‚
§ & ¡ % < % #
½ ³ C ³ 9 C ³ > ³ ¤ ? À º ³ C < ³ Ã µ > ³ 9 ½ A C ¹ ¾ ³ Ã ´ Ä Ã º ³ : Ã : 9 º º ³ ¸ Ã ³ 9 C ³ Ã è Â ¾ ³ ¸ ¸ Ã : A Ã Ã ? A µ ¾ ? Ã
& ³
C 9 : ³ > ¼ ? > º ³ º ³ Ì ³ > ? ¸ º ³ C 9 C · Â > : ³ 9 C ³ > ñ ß Ý ò ó ô õ ö ÷ ó Û ä
Ð Â
φ ¹ ³ ¹ ³ ½ ³ C ¼ ³ > ¾ ³ C Å :
? C
¾ Â µ C Â µ : Ê µ º 9 ¹ ³ > ³ Í Â ¹ 9 À ³ C : 9 º : ³ > Ï A Ã ¾ > A µ À Ã : » ¹ ¸ 9 µ À ³ 9 º ³ C Ñ ¼ 9 ³ Ë Å < Å ¾ ? Ã
ú ³
µ ? ¸ À È ¸ ¦ Ñ ? ½ ³ > é 8 Í 9 Ã º Ë A > ´ Ô ³ Ë 9 ë À ? º 9 Â C Ð 9 ³ ¸ ³ > è Â ¾ ³ ¸ ¸ ³ 9 ¹ ³ C Ã µ ? Ç º ³ C ? A Ã > ³ 9 µ ³ C ¾ Å ¢ Á

 > ¾ ³ > Ç Â > : ? ¸ ³ C ² ³ ë C 9 º 9  C Ð Â C é 8 Í 9 : C Ê µ à º ³ C Ï ½ à µ C 9 º º ¼ ³ > ¾ ³ C Ë A C Ê µ à º
Ì
9 ³ A : ¹ ? C ¹ Ã Ã Ô > ? µ ¸ 9 µ ³ < ³ ¾ ³ A º A C ¹ ¾ ³ > ³ 9 C Ë ³ ¸ C ³ C Ô ³ > ? º Â > ³ C A C ¾ ³ 9 C 9 ¹ ³ < ³ 9 Ã Ô 9 ³ ¸ ³
¾
È > ¹ È ¸ º 9 ¹ ³ Ï A Ã ¾ > È µ À ³ ½ ³ º > ? µ º ³ º Å Ï A Ã ¾ > È µ À ³ 9 C é 8 Í Ã ³ º Ë ³ C Ã 9 µ ? A Ã ? º Â : ? > ³ C
Ç
A Ã Ã ? ¹ ³ C Ë A Ã ? : : ³ C Ñ ¾ 9 ³ Ç È > ³ 9 C ³ C À Â C À > ³ º ³ C ì A Ã º ? C ¾ Â ¾ ³ > î Ç ? ¾ ³ C º ¼ ³ ¾ ³ > ¹ ³ ¸ º ³ C
Ï
8 ³ 9 ¸ ? A Ã ¾ > A µ À ê ¤
² 9 ³ ? C ¾ ³ > ³ C ´ Ä : ½ Â ¸ ³ ½ ³ Ë ³ 9 µ C ³ C ¾ 9 ³ Ï ½ Ç Â ¸ ¹ ³ Ð Â C Ï A Ã Ã ? ¹ ³ C ³ C º ¸ ? C ¹ ³ 9 C ³ Ã î Ç ? ¾ ³ Ã ¤
f f 9 ¸ º 9 > ¹ ³ C ¾ ¼ ? C C ? A Ç ¾ 9 ³ Ã ³ : î Ç ? ¾ Å æ ¦ ¢ A º A > ³ ¦ ê
f f ¹ ¹ 9 ¸ º 9 : : ³ > ? A Ç ¾ 9 ³ Ã ³ : î Ç ? ¾ Å æ ¦ £ ¸ Â ½ ? ¸ ¦ ê
f ¤ f ¹ 9 ¸ º 9 : C Ê µ Ã º ³ C ì A Ã º ? C ¾ ? A Ç ¾ 9 ³ Ã ³ : î Ç ? ¾ Å æ ¦ C ³ ¥ º ¦ ê
¤ ¤
error C 9 ³ ¹ 9 ¸ º ¾ 9 ³ Ã ³ Ã ¢ Â C Ã º > A À º ¼ 9 > ¾ Â Ç º ³ 9 C ¹ ³ Ã ³ º Ë º Ñ A : A C ³ > ¼ È C Ã µ Á
³ Ã Ì ³ > ? ¸ º ³ C ³ 9 C ³ Ã è Â ¾ ³ ¸ ¸ Ã ? A Ã Ë A Ã µ ¸ 9 ³ þ ³ C Å
º
& 9 µ º Á < ¸ Â µ À 9 ³ > ³ C ¤ §
£ (
request →§
¢
¦
C ? ¸ ¸ ³ C ì A Ã º Ê C ¾ ³ C ú ³ ¾ ³ Ã î Ç ? ¾ ³ Ã ¹ 9 ¸ º Ñ ¾ ? Ã ? A Ç ³ 9 C ¦ Î
request 9 : : ³ > 9 > ¹ ³ C ¾ ¼ ? C C
¦ ? A Ç ú ³ ¾ ³ : î Ç ? ¾ 9 > ¹ ³ C ¾ ¼ ? C C 9 C ¾ ³ > ì A C À A C Ç º ê ³ 9 C ¦ æ
grant ³ > Ç Â ¸ ¹ º Å ¦
æ
©
state = reset ê ³ > > ³ 9 µ º
? µ ¾ 9 ³ Ã ³ > 9 C Ç Â > : ³ ¸ ¸ ³ C < ³ Ã µ > ³ 9 ½ A C ¹ ¼ 9 > ¾ 9 C ¾ ³ C C Ê µ Ã º ³ C Ë ¼ ³ 9 Ï ½ Ã µ C 9 º º ³ C ¾ 9 ³
&
Ä C º ? ¤ A C ¾ ¾ 9 ³ ´ ³ : ? C º 9 À Ð Â C é 8 Í Ç Â > : ? ¸ ¾ ³ ë C 9 ³ > º Å
´
C ¾ A À º 9 Ð ? A Ã ³ 9 C Ç ? µ ³ > ³ C ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ C A C ¾ ³ 9 C ³ > Ë ¼ ³ 9 º ³ C è ³ C ¹ ³ Ð Â C · Â > : ³ ¸ C Ñ
9
³ C . â ö Ü â Û à Ý Þ ä Ñ ? A Ç ¹ ³ ½ ? A º ¤
¾
Æ È ¸ º 9 ¹ ³ ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ C Ã 9 C ¾ ¤
ϕ Ñ Ç ? ¸ ¸ Ã ϕ ³ 9 C ³ î Ç ? ¾ Ç Â > : ³ ¸ 9 Ã º Å
ϕ 1
A C ¾
ϕ 2
ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ C Ã 9 C ¾ Å
9 ³ ¾ > ³ 9 ´ Ä : ½ Â ¸ ³ ¿ Ñ · A C ¾ Æ À » C C ³ C Ð Â C ¾ ³ C ½ ³ > ³ 9 º Ã ³ 9 C ¹ ³ Ç È > º ³ C Ô ³ > ? º Â > ³ C
²
½ ¹ ³ ¸ ³ 9 º ³ º ¼ ³ > ¾ ³ C ¤
?
84
¾ ³ > C 9 µ º ¹ ³ ¸ º ³ C Å ² 9 ³ Ã ³ Ï A Ã Ã ? ¹ ³ C Ã 9 C ¾ : 9 º ¾ ³ C ´ Ä : ½ Â ¸ ³ C
§
Ñ Ñ ¢ Ñ £ Ñ ¥ Ñ A C ¾ ¦
Â
³ > À C È Ô Ç º Å Ï A C ¾ ¿ ¢ A ? C º 9 ë Ë 9 ³ > ³ C È ½ ³ > î Ç ? ¾ ³ A C ¾ ½ ³ ¾ ³ A º ³ C æ
Ð
f à º ¾ ³ > C ? µ Ç Â ¸ ¹ ³ C ¾ ³
9
§ f f ¹ 9 ¸ º Ç È > ö Þ Þ Ý î Ç ? ¾ ³ Å æ ¦ §
¸ ¸ ¦ ê
¦
f f ¤ ¹ 9 ¸ º Ç È > Ý ó ä Ý ä î Ç ? ¾ Å æ ¦ ¤ 9 Ã º Ã ¦ ê
¤ ¦
¦
¢
¦
£
¦
¥
f g f g ¹ 9 ¸ º : 9 C ¾ Å Ã Â ¸ ? C ¹ ³ ? A Ç ¾ 9 ³ Ã ³ : î Ç ? ¾ Ñ ½ 9 Ã ¹ 9 ¸ º Å æ ¦ ¦ C º 9 ¸ ¦ ê
¦ ¦ C 9 ¹ ³ < ³ 9 Ã Ô 9 ³ ¸ ³ Ç È > Ê A ë ¹ Ð ³ > ¼ ³ C ¾ ³ º ³ é 8 Í Á Ï A Ã ¾ > È µ À ³ Ã 9 C ¾ ¤ ¤
9 ¿
¦
Î C Ð ? > 9 ? C º ³ ¤ §
£
¬error
¬error 9 ¸ º 9 C ? ¸ ¸ ³ C ì A Ã º Ê C ¾ ³ C ú ³ ¾ ³ Ã î Ç ? ¾ ³ Ã Å ² ? Ã 9 Ã º ¹ ¸ ³ 9 µ ½ ³ ¾ ³ A º ³ C ¾
¹
² 9 ³ Ï A Ã Ã ? ¹ ³
¾ ? :
9 º Ñ ¾ ? þ
grant*
Î C ? ¸ ¸ ³ C ì A Ã º Ê C ¾ ³ C ú ³ ¾ ³ Ã î Ç ? ¾ ³ Ã ¹ 9 ½ º ³ Ã ³ 9 C ³ : » ¹ ¸ 9 µ ³ · Â > º Ã ³ º Ë A C ¹ ¾ ³ > < ³ > ³ µ Á
¦
¿ > > ³ 9 µ ½ ? > À ³ 9 º ³ 9 C ³ Ã ì A Ã º ? C ¾ ³ Ã ¤ §
£ ¢ (
state = reset*
C A C ¹
î Ç ? ¾ ê Ñ ½ ³ 9 ¾ ³ > 9 > ¹ ³ C ¾ ¼ ? C C ³ 9 C + ³ Ã ³ º Á ì A Ã º ? C ¾ æ
¼ 9 > ¾ Å
< # Æ È ¸ º 9 ¹ ³ Ï A Ã ¾ > È µ À ³ 9 C é 8 Í Ã 9 C ¾ Ç È > ³ 9 C ³ ¹ ³ ¹ ³ ½ ³ C ³ è ³ C ¹ ³ Ð Â C
º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C
?
P ¸ Ã ³ 9 C ³ è ³ C ¹ ³ Ð Â C û ã ü ÷ ö ä Ü ü â Û à Ý Þ ä ¾ ³ ë C 9 ³ > º Å ² 9 ³ Ã ³ ¼ 9 > ¾
?
¦ Ñ ! " Ñ
p Ç ? ¸ ¸ Ã
ϕ 1 ∨ ϕ Ñ A C ¾
2
p ∈
Ñ
P
Ç ? ¸ ¸ Ã
¬ϕ 1
¦ ϕ 1 ∧ ϕ 2
Ñ
Ï
¦
Ç ? ¾ Ç Â > : ³ ¸ C Ã 9 C ¾ ¾ A > µ ¾ 9 ³ Ã ³ + ³ ¹ ³ ¸ C ¾ ³ ë C 9 ³ > º ¤
î
Î º ¦ Ã "
9 C A ¾ Ñ
î C Ç
¦
? ¾
¾ Ç Â > : ³ Ñ ¸ Ñ
C Ñ
Ç Ã ? ¸ ¸ Ã
ϕ 2 ¬ϕ 1 ϕ 1 ∧ ϕ 2 ϕ 1 ∨ ϕ 2 ϕ 1
ϕ ϕ
ϕ 2
ϕ 1
ϕ 2
A C ¾
î Ç ? ¾ Ç Â > : ³ ¸ C Ã 9 C ¾ Å
¿
¦
·
¦
Æ
¦
ϕ ≡¬ ¬ϕ
ϕ Ï ≡ ϕ
ϕ ≡¬·
¬ϕ

& < % # Î Ã º ³ 9 C ³ ¢ > 9 Ô À ³ Á ´ º > A À º A >
=
M ³ ½ ³ C Ñ À ? C C Ç È > ú ³ ¾ ³ C ì A Ã º ? C ¾
s ¹ M ³ ϕ ¹ È ½ ³ > Ô > È Ç º ¼ ³ > ¾ ³ C Ñ Â ½ ³ 9 C ³ é 8 Í Á ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ Ý à â á Þ Þ ÷ 9 Ã º æ ¹ ³ Ã µ > 9 ³ Á
M,s |= ϕ Ð M Â C ³ > C 9 µ º Å · Â ¸ ¹ ³ C ¾ ³ + ³ ¹ ³ ¸ C ½ ³ Ã º 9 : : ³ C ¾ 9 ³ Ã Ç Â > : ? ¸ æ ¼ 9 > ¾ ¾ ³ >
¾ Â ê
é 8 Í Á î Ç ? ¾ Ç Â > : ³ ¸ C ê
s |= Å
s ̸|= ! " Å
¹ ¾ Å ¼ Å
Å Å
s |= ϕ ϕ ∈ L(s)
s |= ¬ϕ s ̸|= ϕ
A C ¾
s |= ϕ 1
 ³ ¾ >
s |= ϕ 1
Å
s |= ϕ 2
Å
s |= ϕ 2
s ¹ 9 ¸ º π i |= ν Å
π M ³ C ³ é 8 Í Á î Ç ? ¾ Ç Â > : ³ ¸
ν Ð M,π Â |= C ν 9 ¸ ¸ º Ñ ¼ ? Ã ¾ A > µ ? A Ã ¹ ³ ¾ > È µ À º ¼ 9 > ¾ Å ² ? Ç È > 9 Ã º ¾ 9 ³ ´ ³ : ? C º 9 À ¼ 9 ³ Ç Â ¸ ¹ º
È Ç > ³
¾ ³ ë C 9 ³ > º
π |= ν 1
A C ¾
π |= ν 2
Å
M ³ > Ç È ¸ ¸ º ¾ 9 ³ ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ ϕ ¹ ³ C ? A ¾ ? C C Ñ ¼ ³ C C Ç È > ú ³ ¾ ³ C Î C 9 º 9 ? ¸ Á
s ∈ I ¹ 9 ¸ º M,s |= ϕ Å
& 9 = & : & # ¿ Ã ¹ 9 ½ º C ³ ½ ³ C ¾ ³ C : Ê µ º 9 ¹ ³ > ³ C Í Â ¹ 9 À ³ C ? A µ ³ 9 C ³
¦
? C Ë ³ + ³ 9 ³ Ð Â C 8 ³ : Ô Â > ? ¸ ¸ Â ¹ 9 À ³ C Ñ ¾ 9 ³ C A > ³ 9 C ³ C 8 ³ 9 ¸ ¾ ³ > Ï A Ã Ã ? ¹ ³ À > ? Ç º Ð Â C é 8 Í
¹
5
³ : Ô Â > ? ¸ ¸ Â ¹ 9 À ³ C : 9 º ³ 9 C ? C ¾ ³ > 9 C < ³ Ë 9 ³ A C ¹ Ã º ³ º Å ¿ 9 C ³ 8 ³ 9 ¸ ¸ Â ¹ 9 À Ñ ¾ 9 ³ Ç È > ¾ ? Ã 9 :
8
Ê µ Ã º ³ C ¢ ? Ô 9 º ³ ¸ Ð Â > ¹ ³ Ã º ³ ¸ ¸ º ³ Ï ½ Ã º > ? À º 9 Â C Ã Ð ³ > Ç ? > ³ C Ð Â C ½ ³ Ã Â C ¾ ³ > ³ > < ³ ¾ ³ A º A C ¹ 9 Ã º Ñ
C
85
³ ½ C
C Ç ? µ ³ 9 º ? ¸ ½ ³ > ¼ ³ ¹ ¹ ³ ¸ ? Ã Ã ³ C Ñ
¿ ½ 9 ³ Ë ³ 9 µ C ³ C ú ³ ¼ ³ 9 ¸ Ã é 8 Í Á ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ C Ñ
ϕ i
ν i
s |= ϕ 1 ∧ ϕ 2
¹ ¾ ¼ Å
s |= ϕ 1 ∨ ϕ 2
¹ ¾ ¼ Å
s |= Ï ν ¹ ¾ ¼ Å Ç È > ? ¸ ¸ ³ î Ç ? ¾ ³ π i
: 9 º Ï C Ç ? C ¹ Ã Ë A Ã º ? C ¾
π |= ϕ ¹ ¾ ¼ Å π 0 |= ϕ Å
Ï C ? ¸ Â ¹ À ? C C A C º ³ > Ã A µ º ¼ ³ > ¾ ³ C Ñ Â ½ ³ 9 C î Ç ? ¾
π |=
¹ ¾ ¼ Å
ν 1 ∧ ν 2
Å Â ¹ ¾ ¾ ³ ¼ >
Å
π |= ν 1 ∨ ν 2 π |= ν 1 π |= ν 2
π |= Xν π 1 |= ν
¹ ¾ ¼ Å ¹ ¼ Å
¾
π |= ν 1 Uν 2 ∃n ≥ 0.π n |= ν 2 ∧∀i ¹ ³ Ã º ³ ¸ ¸ º Ñ ¼ 9 ³ ¾ 9 ³ Ï A Ã Ã ? ¹ ³ À > ? Ç º Ð ³ > Ã µ 9 ³ ¾ ³ C ³ >
CTL*
ACTL*
LTL
ACTL
CTL
‰ ‚ ‚ ’ ¢
‰ a O O \ | F ‹ V \ z X T F V O H I M F s F K F V E F r x w V \ _ _ w | M ‹ F K
9 Ã º
¤ Å Ï é 8 Í 9 Ã º ¾ 9 ³ 8 ³ 9 ¸ : ³ C ¹ ³ Ð Â C é 8 Í Ñ 9 C ¾ ³ > C A > Ï A Ã Ã ? ¹ ³ C È ½ ³ > ? ¸ ¸ ³

Ç ? ¾ ³ ³ > ¸ ? A ½ º Ã 9 C ¾ Å ² 9 ³ Ã ½ ³ ¾ ³ A º ³ º Ñ ¾ ? þ ¾ ³ > ¿ Á ¡ Ô ³ > ? º Â > C 9 µ º ³ 9 C ¹ ³ Ã ³ º Ë º ¼ ³ > ¾ ³ C À ? C C Å
î
? : 9 º ¾ 9 ³ Ã ³ 9 C ³ º ? º Ã Ê µ ¸ 9 µ ³ ¿ 9 C Ã µ > Ê C À A C ¹ ¾ ? > Ã º ³ ¸ ¸ º Ñ ¼ 9 > ¾ ¼ ³ 9 º ³ > 9 C ¹ ³ Ç Â > ¾ ³ > º Ñ ¾ ? Ã Ã
²
9 ³ Ï ½ Ã º > ? À º 9 Â C 9 Ã º ³ 9 C ³ 9 C ¾ ³ > è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ³ 9 C ¹ ³ Ã ³ º Ë º ³ 8 ³ µ C 9 À Ë A > + ³ ¾ A À º 9 Â C
²
³ > è Â ¾ ³ ¸ ¸ À Â : Ô ¸ ³ ¤ 9 º Ê º Å ´ 9 ³ ½ ? Ã 9 ³ > º ¾ ? > ? A Ç Ñ ³ 9 C Ë A : < ³ 9 Ã Ô 9 ³ ¸ ? ¸ Ã î > Â ¹ > ? : : Â ¾ ³ >
¾
> 9 Ô À ³ Á ´ º > A À º A > ¹ ³ ¹ ³ ½ ³ C ³ Ã ¡ > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ æ ? A µ À Â C À > ³ º ³ Ã è Â ¾ ³ ¸ ¸ ¹ ³ C ? C C º ê ? A Ç ³ 9 C
¢
½ Ã º > ? À º ³ Ã è Â ¾ ³ ¸ ¸ : 9 º ³ 9 C ³ C À ¸ ³ 9 C ³ > ³ C ì A Ã º ? C ¾ Ã > ? A : ? ½ Ë A ½ 9 ¸ ¾ ³ C A C ¾ C A > ³ 9 C ³ î > È Á
?
A C ¹ ¾ 9 ³ Ã ³ Ã ³ 9 C Ç ? µ ³ > ³ C è Â ¾ ³ ¸ ¸ Ã ¾ A > µ Ë A Ç È > ³ C Å ² ? ¾ 9 ³ Ï ½ ½ 9 ¸ ¾ A C ¹ ? A Ç Ð 9 ³ ¸ Ç Ê ¸ º 9 ¹ ³
Ç
³ 9 Ã ³ ¾ A > µ ¹ ³ Ç È > º ¼ ³ > ¾ ³ C À ? C C A C ¾ Ã 9 µ ¾ ? > ? A Ã ú ³ C ? µ Ï C ¼ ³ C ¾ A C ¹ Ð ³ > Ã µ 9 ³ ¾ ³ C ³
Ö
 > Á A C ¾ & ? µ º ³ 9 ¸ ³ ³ > ¹ ³ ½ ³ C Ñ ³ ¤ 9 à º 9 ³ > º ³ 9 C ³ ¹ ? C Ë ³ + ³ 9 ³ A C º ³ > à µ 9 ³ ¾ ¸ 9 µ ³ > Ï ½ à º > ? À º 9 Á
Ì
C Ã Ð ³ > Ç ? > ³ C Å Î C ¢ ¦ ¼ 9 > ¾ ³ 9 C ³ ½ ³ > Ã 9 µ º È ½ ³ > ¾ 9 ³ Ð ³ > Ã µ 9 ³ ¾ ³ C ³ C Ï C Ã Ê º Ë ³ ¹ ³ ¹ ³ ½ ³ C Ñ
Â
9 C ³ < ³ Ã µ > ³ 9 ½ A C ¹ ¾ ³ > Æ > A C ¾ 9 ¾ ³ ³ ¹ ? ½ ³ Ã ½ ³ > ³ 9 º Ã 9 : Ù ? > ³ ¢ ¡ ¦ Å
³
9 C ³ å ã ÷ Ý Ï ½ Ã º > ? À º 9 Â C Ç È > º ³ 9 C ³ > Ã ³ 9 º Ã Ë A ³ 9 C ³ > : » ¹ ¸ 9 µ Ã º Ã º ? > À ³ C Ì ³ > ³ 9 C Ç ? µ A C ¹
¿
æ
©
9 µ º 9 ¹ 9 Ã º ¾ ? ½ ³ 9 Ñ ¾ ? Ã Ã Ã 9 µ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C C 9 µ º ? A Ç ¾ ? Ã Ì ³ > ? ¸ º ³ C ? A Ã ¼ 9 > À º Ñ ¾ ³ Ã Ã ³ C
¼
9 ¹ ³ C Ã µ ? Ç º ³ C ó ä Ü Ý à ñ ß Ý ò ó ô õ ö ÷ ó Û ä Ý ü ¤ à ó Ý Ý ä ¼ 9 > ¾ Å Ï C Ã Â C Ã º ³ C À ? C C ³ 9 C ³ î > È Ç A C ¹
¿
³ Ã ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ Ã ³ Ð ³ C º A ³ ¸ ¸ À ³ 9 C ³ Î C Ç Â > : ? º 9 Â C ³ C : ³ > ¾ ? > È ½ ³ > ¸ 9 ³ Ç ³ > C Ñ ¼ 9 ³ Ã 9 µ
¾
? Ã À Â C À > ³ º ³ è Â ¾ ³ ¸ ¸ ½ ³ Ë È ¹ ¸ 9 µ ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C Ð ³ > Ê ¸ º A C ¾ ¾ ? Ã ì 9 ³ ¸ ¾ ³ > Ï ½ Ã º > ? À Á
¾
9 Â C ¼ Ê > ³ Ð ³ > Ç ³ ¸ º Å
º
¼ ³ 9 ¢ ¸ ? Ã Ã ³ C Ð Â C Ï ½ Ã º > ? À º 9 Â C ³ C Ã 9 C ¾ ¾ 9 ³ Ã ½ ³ Ë È ¹ ¸ 9 µ ½ ³ Ã Â C ¾ ³ > Ã 9 C º ³ > ³ Ã Ã ? C º ¾ 9 ³
ì
M ò å Þ W Ü Ý à ñ ß Ý ò ó ô õ ö ÷ ó Û ä φA
ˆM |= φ ⇔ M |= φ W
ˆM |= φ ⇒ M |= φ W
M ò å Þ W Ü Ý à
³ 9 ³ ¤ ? À º ³ C Ï ½ Ã º > ? À º 9 Â C ³ C ¸ 9 ³ Ç ³ > C è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ³ C ¾ ³ Ã À Â C À > ³ º ³ C A C ¾ ¾ ³ Ã ? ½ Ã º > ? À Á
<
³ C è Â ¾ ³ ¸ ¸ Ã Ã º ³ º Ã ¾ ? Ã Ã ³ ¸ ½ ³ ¿ > ¹ ³ ½ C 9 Ã Å ² ? ¹ ³ ¹ ³ C À » C C ³ C A C º ³ > Ì ³ > ¼ ³ C ¾ A C ¹ ³ 9 C ³ > À Â C Á
º
³ > Ð ? º 9 Ð ³ C Ï ½ Ã º > ? À º 9 Â C C A > Ô Â Ã 9 º 9 Ð ³ ¿ > ¹ ³ ½ C 9 Ã Ã ³ ½ ³ 9 ¾ ³ > ½ ³ > Ô > È Ç A C ¹ ¾ ³ Ã ? ½ Ã º > ? À º ³ C
Ã
 ¾ ³ ¸ ¸ à ? A Ç ¾ ? à ¡ > 9 ¹ 9 C ? ¸ :  ¾ ³ ¸ ¸ È ½ ³ > º > ? ¹ ³ C ¼ ³ > ¾ ³ C Å ´ µ ¸ Ê ¹ º ¾ 9 ³ î > È Ç A C ¹ ¾ ³ > ´ Ô ³ Á
è
9 ë À ? º 9 Â C 9 : ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ Ç ³ ¸ Ñ 9 Ã º À ³ 9 C ³ Ï A Ã Ã ? ¹ ³ : » ¹ ¸ 9 µ Å ¡ ³ C Ã 9 µ º ¸ 9 µ Ã 9 C ¾
Ë
¤ ? À º ³ Ï ½ Ã º > ? À º 9 Â C ³ C ? A Ã ¾ > A µ À Ã Ã º Ê > À ³ > ? ¸ Ã À Â C Ã ³ > Ð ? º 9 Ð ³ Ñ Ã 9 ³ ³ > ¸ ? A ½ ³ C ú ³ ¾ Â µ : ³ 9 Ã º
³
A µ C A > ³ 9 C ³ ¹ ³ > 9 C ¹ ³ > ³ + ³ ¾ A À º 9 Â C ¾ ³ Ã ì A Ã º ? C ¾ Ã > ? A : ³ Ã Å Ï A Ã ¾ 9 ³ Ã ³ C Æ > È C ¾ ³ C ¼ 9 > ¾
?
C ¾ ³ : 9 C Ï ½ Ã µ C 9 º º „ Ð Â > ¹ ³ Ã º ³ ¸ ¸ º ³ C Ì ³ > Ç ? > ³ C ? A µ Ë A C Ê µ Ã º Ð Â C ³ 9 C ³ > Ã º Ê > À ³ > > ³ Á
9
A Ë 9 ³ > ³ C ¾ ³ C Ñ À Â C Ã ³ > Ð ? º 9 Ð ³ C Ï ½ Ã º > ? À º 9 Â C ? A Ã ¹ ³ ¹ ? C ¹ ³ C A C ¾ ¾ 9 ³ Ã ³ ¾ ? C C Ñ Ç ? ¸ ¸ Ã C » º 9 ¹ Ñ
¾
µ > 9 º º ¼ ³ 9 Ã ³ Ë A ³ 9 C ³ > ³ ¤ ? À º ³ C Ï ½ Ã º > ? À º 9 Â C Ð ³ > Ç ³ 9 C ³ > º Å
Ã
: Ë A À ¸ Ê > ³ C Ñ A C º ³ > ¼ ³ ¸ µ ³ C : Ã º Ê C ¾ ³ C ³ 9 C ¹ ³ ¹ ³ ½ ³ C ³ Ã è Â ¾ ³ ¸ ¸ ³ 9 C ³ À Â C Ã ³ > Ð ? º 9 Ð ³
½ Ã º > ? À º 9 Â C ³ 9 C ³ Ã ? C ¾ ³ > ³ C è Â ¾ ³ ¸ ¸ Ã 9 Ã º Ñ ³ > ¼ ³ 9 Ã º Ã 9 µ ¾ ³ > < ³ ¹ > 9 ¾ ³ > ñ ó ã Þ ö ÷ ó Û ä ¢ ¦
Ï
=(Ŝ,Î, ˆT, ˆP, ˆL)A
M A C ¾ ˆM
9 C · Â > : Ð Â C : ? > À 9 ³ > º ³ C ¢ > 9 Ô À ³ Á
H ⊆ S × Ŝ ó ü ÷ Ý ó ä Ý ñ ó ã Þ ö 3
86
A > C Â µ ¿ ¸ ³ : ³ C º ? > ? A Ã Ã ? ¹ ³ C C ³ ¹ 9 ³ > º ¼ ³ > ¾ ³ C À » C C ³ C A C ¾ À ³ 9 C ³ ¡ Ô ³ > ? º Â > ³ C Ñ ¼ 9 ³ ¾ ? Ã
C
³ 9 é 8 Í C Â µ : » ¹ ¸ 9 µ 9 Ã º Å Ï C Ã Â C Ã º ³ C À » C C º ³ ¾ ³ > ¿ Á ¡ Ô ³ > ? º Â > ¾ A > µ ¿
½
ϕ ≡¬ ¬ϕ
Ï
? A Ã ¹ ³ ¾ > È µ À º ¼ ³ > ¾ ³ C Å
¡ ¢ ¤ ¯ ¦ ¯ « ¨ ¬
¾ ³ Ã À Â C À > ³ º ³ C è Â ¾ ³ ¸ ¸ Ã Å Ï C ¾ ³ > ³ > Ã ³ 9 º Ã ³ > Ê ¸ º Ã 9 ³ º > Â º Ë Ì ³ > ³ 9 C Ç ? µ A C ¹ ¾ ? Ã µ ? > ? À º ³ > 9 Ã º 9 Á
à µ ³ Ì ³ > ? ¸ º ³ C
¾ 9 ³ : » ¹ ¸ 9 µ ³ C î Ç ? ¾ ³ ê ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ã Ã Â ¼ ³ 9 º ¼ 9 ³ : » ¹ ¸ 9 µ Å < ³ Ã Â C ¾ ³ > Ã
ý õ Ý A ¾ 9 õ ä Ý E ÷ E ä ½ º ? º Â ³ C Å ´ ³ 9 9 : · Â ¸ ¹ ³ C ¾ ³ C ¾ ? Ã ¡ > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸
Ý ö ÷ ä C ¾ ³ Û ü à ö ó Ý Ï Ã > À 9 C
9 º :
M ¸ ¸ : 9 º ½ ³ Ë ³ 9 µ C ³ º Å ¿ Ã ¹ 9 ¸ º
ˆM ³ ¾ Â è ³ º À ? > º Ã ½ ? Ã ? ¾ ¾ C A
& % % # X # ) % u I ) X # ) e R ˆM
¤ Ý ó i ÷ Ý ý ö õ ÷ Ý ü ÷ à ö õ ÷ ó Û ä E Û ä
ñ ß Ý ò ó ô õ ö ÷ ó Û ä
L Ý ä ä
å ó Þ ÷ B
φA
& % % # e R I % X ) % u I ) X # ) e R ˆM
¤ Ý ó i ÷ õ Û ä ü Ý à E ö ÷ ó E Ý ü ÷ à ö õ ÷ ó Û ä E Û ä
L Ý ä ä
å ó Þ ÷ B
! % = ( < % #
? ¸ Ã Ã ³ > C È º Ë ¸ 9 µ Å ´ ³ 9 ³ C Ë ¼ ³ 9 è Â ¾ ³ ¸ ¸ ³
´ º > A À º A > ³ C ¹ ³ ¹ ³ ½ ³ C Å ì A C Ê µ Ã º ¼ 9 > ¾ ¾ ³ > < ³ ¹ > 9 ¾ ³ > ´ 9 : A ¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Â C ¾ ³ ë C 9 ³ > º Å
ˆM
M =(S, I, T, P, L) ä Ü Ý ó ä Ý à ò L Ý ó ÷ Ý ä
(s, ŝ) ∈ H ã ó Þ ÷ B å
& % % # ( t 2 Y X ) e R I % Y X ) e R 6 ó ä Ý Ý Þ ö ÷ ó Û ä
÷ ó Û ä ü à Ý Þ ö ÷ ó Û ä ò L ó ü ¤ Ý ä Ü Ý à 1 à ó ß õ Ý 3 ñ ÷ à ã õ ÷ ã à
1 à ó ß õ Ý 3 ñ ÷ à ã õ ÷ ã à
L Ý ä ä â á à ö Þ Þ Ý

H
‚
H
)
\
‚
s
³ C C ³ 9 C è Â ¾ ³ ¸ ¸ ³ 9 C ? C ¾ ³ > ³ Ã Ã 9 : A ¸ 9 ³ > º Ñ ¹ 9 ½ º ³ Ã Ç È > ú ³ ¾ ³ : » ¹ ¸ 9 µ ³ < ³ > ³ µ C A C ¹ Ã Ç Â ¸ Á
Ö
³ ¾ ³ Ã Ã 9 : A ¸ 9 ³ > º ³ C è Â ¾ ³ ¸ ¸ Ã ³ 9 C ³ ³ C º Ã Ô > ³ µ ³ C ¾ ³ · Â ¸ ¹ ³ 9 : Ã 9 : A ¸ 9 ³ > ³ C ¾ ³ C è Â ¾ ³ ¸ ¸ Å :
¹
¨
‚
H
\
s
)
‚
s
87
9
L(s) ∩ ˆP = ˆL(ŝ) Ý û ü ö Ü
9 á F Ü ã ä H Ý ÷ à ¡ ä
t T (s, t) ˆt T (ŝ, ˆt) H(t, ˆt) ó ÷ Ý ü Ý ó ä Ý ä û ã ü ÷ ö ä Ü ó ÷ ã ä Ü 9
ó ÷ å
¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Â C ? ¸ Ã Â ì A Ã º Ê C ¾ ³
Î C 9 C
Ç Â > : ³ ¸ ¸ ½ ³ Ã µ > 9 ³ ½ ³ C : A Ã Ã ³ 9 C ³ ´ 9 : A
s i M º ì A Á : 9 ³ C Ã º 9 C Ê C ¾
ŝ i
ˆM ³ C ¾ 9 ³ ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C
9 C < ³ Ë 9 ³ A C ¹ Ã ³ º Ë ³ C Ñ ½ ³ 9 ¾ ³ C ³ C Ë A : ³ 9 C : A Ã Ã Ç È > ú ³ ¾ ³ C & ? µ Ç Â ¸ ¹ ³ > Ð Â C ? A µ Â
? ³ 9 C
A µ 9 C ¹ C
³ Ð ¸ º ³ C Å Ï C ¾ ³ > ³ > Ã ³ 9 º Ã
ŝ i s i s i
½ ³ 9 ¾ ³ : 9 º ³ 9 C ? C ¾ ³ > 9 C ´ 9 : A ¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Â C Ã º ³ Á
µ Ç Â ¸ ¹ ³ > Ð Â C
? ³ & 9 Ã º 9 ³ > ³ C Ñ Ã Â ¾ ? Ã Ã
ŝ i
º ¾ 9 ³ ² ³ ë C 9 º 9 Â C ¾ ³ > ´ 9 : A ¸ ? º 9 Â C Ã ³ ¸ ½ Ã º ? A Ç
³ C Å Ï A Ç ¾ 9 ³ ´ 9 : A ¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Â C ½ ? A
÷ à ã õ ÷ ã à
& # ¢ J ; : A 4 $ ó ä Ý 1 à ó ß õ Ý 3 ñ
ˆM ó % % ã Þ ó Ý à ÷ Ý ó ä Ý ö ä Ü Ý à Ý 1 à ó ß õ Ý 3
ü
ñ ÷ à ã õ ÷ ã à
M M ≼ ˆM Û ä ü à Ý Þ ö ÷ ó Û ä ¤ ò L ó ü Ý ä
Ý & å Ý ü à ó Ý Ý ä ' L ä ä Ý ü Ý ó ä Ý ñ ó ã Þ ö ÷ ó
ã ü ÷ ö ä Ü
ó å ÷ ü Û Ü ö ü ü
)
â á à F Ý Ü Ý ä ¦ ä ó ÷ ó ö Þ ò
M ˆM s 0 ∈ I ŝ 0 ∈ Î ó ÷ ó ö Þ ò ã ü ÷ ö ä Ü ó ÷
H(s ã ä Ü Ý ó ä ¦ ä 0 , ŝ 0 ) ó ü ÷ ó Ý à ÷ 9 Ý ý 1
ˆ1
2
3
ˆ2
ˆ3
4 5
6
ˆ4
ˆ5 ˆ6
M
ˆM
’ © Ž F M
5 F
Z V M x ‹ F O X V a ‹ X a V F K r M X
‰ ‚ ‚
M ≼ ˆM
¸ ? º 9 Â C ¹ ³ ¹ ³ ½ ³ C Å ¿ 9 C ³ ´ 9 : A ¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Â C
Î C Ï ½ ½ Å 9 Ã º ³ 9 C < ³ 9 Ã Ô 9 ³ ¸ Ç È > ³ 9 C ³ ´ 9 : A
H C ³ > Ç È ¸ ¸ º Ñ 9 Ã º ¾ A > µ î Ç ³ 9 ¸ ³ ? C ¹ ³ ¾ ³ A º ³ º Å
Ñ ¾ 9 ³ ¾ 9 ³ ? C Ã 9 ³ ¹ ³ Ã º ³ ¸ ¸ º ³ C < ³ ¾ 9 C ¹ A C ¹ ³ » ¹ ¸ 9 µ ³ C î Ç ? ¾ ³ ? > ¹ A : ³ C º 9 ³ > º Å
¾ 9 ³ Ã Ë A Ë ³ 9 ¹ ³ C Ñ ¼ 9 > ¾ È ½ ³ > ¾ 9 ³ ú ³ ¼ ³ 9 ¸ Ã :
û L Ý ó . â ö Ü Ý
& # % % A 1 A 4 6 4 6 ¤ S : 6
π =(s 0 ,s 1 ,s 2 ,...) M
ó ä
ó Ý à Ý ä Ü å Ý ä ö ã Ü ö ä ä L Ý ä ä â á à ö Þ Þ Ý
Ý Ü
ä Ý õ ã Û ó à ä à E Ý ü ß Û ä Ü
ˆπ =(ŝ 0 , ŝ 1 , ŝ 2 ,...) ˆM
i ≥ 0 ó ä H(s i , ŝ i ) Þ ÷ * 9
å ó
Ý Þ ÷ Ý
& = = < !
M ≼ ˆM s ŝ H(s, ŝ) Ü ü Ý ó Ý ä ã ä Ü ò Ý ó û ã ü ÷ C ä Ü Ý ó ÷ 9 ö ä ä
ã ä â ö Ü
å ó ÷ Ý ü ò ã F Ý Ü Ý .
π s ˆπ Ü ó Ý à Ý ä Ü Ý ä . â ö Ü ó ÷
ó ÷ ä â ö ä å ü ò ã
L ü ÷ ö ä Ü Ý ó ä Ý ä õ Û à à Ý ü ß Û ä ò ã ü ÷ ö ä Ü
ä â ö ä å ü
ŝ 9
º ³
Ý J L Ý ó ü 9 Æ ³ ¸
H(s, ŝ) π =(s 0 ,s 1 ,s 2 ,...) M 9 ³ 9 C î Ç ? ¾ 9 C : 9 º Ï C Ç ? C ¹ Ã Ë A Ã º ? C ¾
³ Ã Ï C : ¹ C Ã º Ë Ç A Ã 9 º ? ? C ¾
s 0 = s ˆπ =(ŝ 0 , ŝ 1 , ŝ 2 ,...) ˆM ŝ 0 = ŝ
? ¾ 9 C Å ² ? C C À ? C C ³ 9 C î Ç I Ý à ö ä õ Ý à ã ä å * ´ ³ º Ë ³
¾ A > µ Î C ¾ A À º 9 Â C À Â C Ã º > A 9 ³ > º ¼ ³ > ¾ ³ C Å
ŝ 0 = ŝ Ì Â > ? A Ã Ã ³ º Á
Å ? µ º Ë A C ¹ ¹ 9 ¸
H(s 0 , ŝ 0 ) H(s i , ŝ i ) i & ? µ ² ³ ë C 9 º 9 Â C
Å & ñ à ó ÷ ÷ * Æ ³ ¸ º ³ Ç È > ³ 9 C ½ ³ Ã º 9 : : º ³ Ã Å ³ :
¸ º Ç È > ¹ 9 ? A Ã Ã ³ > ¾
s i+1 T (s i ,s i+1 ) ˆt T (ŝ i , ˆt)
Å ² ? ³ > ¹ 9 ½ º ³ Ã C ? µ ² ³ ë º 9 : C 9 ³ ¡ C Â 9 º 9 C A ¾ C
H(s i+1 , ˆt) s i+1 ˆ = ˆt Å ³ Ë º ³ ´ Å

? Ã C ? µ Ç Â ¸ ¹ ³ C ¾ ³ 8 ³ Â > ³ : Ë ³ 9 ¹ º Ñ ¾ ? Ã ¾ 9 ³ Ã ³ Î C º A 9 º 9 Â C 9 C ¾ ³ > 8 ? º À Â > > ³ À º 9 Ã º Ñ Ç ? ¸ ¸ Ã
²
9 ³ ½ ³ 9 ¾ ³ > è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ A C º ³ > Ã A µ º ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C 8 ³ 9 ¸ ¾ ³ > Ï é 8 Í Á Í Â ¹ 9 À 9 Ã º Å
¾
¥ & # 9 & = ! ó Þ ÷ â á à ò L Ý ó 1 à ó ß õ Ý 3 ñ ÷ à ã õ ÷ ã à Ý ä
M ã ä Ü ˆM
*
M ≼ ˆM )
Ý L Ý ó ü 9 ² ³ > < ³ ¼ ³ 9 Ã ¼ 9 > ¾ ¾ A > µ Î C ¾ A À º 9 Â C È ½ ³ > ¾ ³ C Ï A Ç ½ ? A Ð Â C Ï é 8 Í Á · Â > : ³ ¸ C
J
³ Ç È > º Å ² ? Ë A ¼ ³ > ¾ ³ C ¾ 9 ³ Ð Â C ¾ ³ > ´ Ä C º ? ³ > ¸ ? A ½ º ³ C Â C Ã º > A À º ³ C ? µ ³ 9 C ? C ¾ ³ > ½ ³ Á
¹
¤
f = ¬p :
s ŝ H(s, ŝ) π ˆπ ³ 9 ì A Ã º Ê C ¾ ³ : 9 º Å Ö ³ 9 º ³ > 9 C Ã ³ 9 ³ C A C ¾ À Â > > ³ Á
M A C ¾ Ë ¼ È Å > ú ³ ¾ ³ ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸
·
ˆM f :
¾ C A
f :
³ 9 > ³ Ç ¾ Â : ¸ ¼ > ¾ ³ C ? C ? ¸ Â ¹ ½ ³ ? C ¾ ³ ¸ º Å
& ¹ ³ º î ? Ç > ³ C ³
A C Ã º ? C Ñ ¾ A Ã Ç ì Â ¾
> :
f = f 1 ∧ f 2 f 1 f 2
f = f 1 ∨ f 2
? C ? ¸ Â ¹ Ñ î Ç ? ¾ Ç Â > : ³ ¸ C ? C ? ¸ Â ¹ Å
88
M ˆM
³ À > ³ Ô Â C ¾ 9 ³ > ³ C ¾ ³ C î Ç ? ¾ 9 C
M ¢
³ 9 C C Â > Ã ³ C º ? ¸ º ³ C
ˆM C 9 9 Ã ? A
² 9 ³ 8 ? º Ã ? µ ³ Ñ ¾ ? Ã Ã ³ Ã Ç È > ú ³ ¾ ³ C î Ç ? ¾ Ð Â C
¹ 9 ½ º Ñ ½ ³ Ã º Ê º 9 ¹ º Ñ ¾ ? Ã Ã ¾ ? Ã ¹ ³ Ã ? : º ³ : » ¹ ¸ 9 µ ³ Ì ³ > ? ¸ º ³ C Ð Â C
à ŠC º A º 9 º 9 Ð ¼ Ê > ³ ? ¸ à  ? A µ Ë A ³ > ¼ ? > º ³ C Ñ ¾ ? à à ³ 9 C ³ ³ > Ç Â ¸ ¹ > ³ 9 µ ³ è  ¾ ³ ¸ ¸ Ô > È Ç A C ¹ Ð Â C
9 º Î
ˆM M M ³ ³ > Ç Â ¸ ¹ > ³ 9 µ ³ î > È Ç A C ¹ Ð Â C 9 : Ô ¸ 9 Ë 9 ³ > º Ñ ¾ ? ¾ ? Ã Ì ³ > ? ¸ º ³ C Ð Â C ú ? ½ ³ > ³ 9 º Ã
C 9 ³
ˆM æ ³ > Ç Â ¸ ¹ > ³ 9 µ ê :
½ ³ 9 ¾ ³ > C º ³ > Ã A µ A C ¹ Ð Â C
9 º ¹ ³ Ô > È Ç º ¼ 9 > ¾ Å
Ü ö ä ä
å ó Þ ÷ â á à
F Ý Ü Ý ¡ 3 H Û à Ý Þ
φ * ˆM |= φ ⇒ M |= φ
æ ê
º > ? µ º ³ º Å ´ ³ 9 ³ C
ˆM,ŝ |= f ⇒ M,s |= f
Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ î Ç ? ¾ ³ 9 C
A Ã Ã ¹ ³ ¸ º ³ C
æ ê
ˆM,ˆπ |= f ⇒ M,π |= f
· È > ú ³ ¾ ³ î Ç ? ¾ Ç Â > : ³ ¸
A Ã Ã ¹ ³ ¸ º ³ C
æ T ê
< ³ ¼ ³ 9 Ã ¾ A > µ Î C ¾ A À º 9 Â C ¢
I Ý à ö ä õ Ý à ã ä å * ´ ³ 9
f = p :
9 º p ∈ ˆP Å ¿ Ã ¹ 9 ¸ º
ˆM,ŝ |= p Sem.
⇔
Def.5
⇔
p∈ ˆP
⇔
Sem.
⇔
p ∈ ˆL(ŝ)
p ∈ L(s) ∩ ˆP
p ∈ L(s)
M,s |= p
ˆM,ŝ |= ¬p Sem.
⇔
Def.5
⇔
p∈ ˆP
⇔
p ∉ ˆL(ŝ)
p ∉ L(s) ∩ ˆP
p ∉ L(s)
Sem.
⇔ M,s |= ¬p
´ ³ 9
9 º p ∈ ˆP Å ¿ Ã ¹ 9 ¸ º
ˆM,ŝ |= f
Sem.
⇔
Ind.Hyp.
⇒
Sem.
⇒
ˆM,ŝ |= f 1
A C ¾
M,s |= f 1
A C ¾
M,s |= f
ˆM,ŝ |= f 2
M,s |= f 2
ñ à ó ÷ ÷ * ´ ³ 9
³ ¸ C Å ¿ Ã ¹ 9 ¸ º
æ ê
Sem. ‚ F „ F M H I K F X ¡ F Ž F M _ O } H I V M X X F … s M F r M X s F V } F r \ K X M ‹ T w K ‰ ¥ E § © ‚ F | V y K s ‚ \ V O M K s …
Ind.Hyp. s M F ‰ K Ž F K s a K | s F V ¢ K s a ‹ X M w K O I x w X I F O F ’

¦
¦
ˆπ 9 C ˆM
C 9 µ º Ë ¼ ? C ¹ Ã ¸ Ê A ë ¹ ³ 9 C ³ C À Â > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C î Ç ? ¾ 9 C
M ¹ ³ ½ ³ C
A Ã Ã æ C A > A : ¹ ³ À ³ > º ê Å Ï A Ã ¾ 9 ³ Ã ³ : Æ > A C ¾ ¹ 9 ¸ º 8 ³ Â > ³ : ? A µ C 9 µ º Ç È > é 8 Í Ñ
:
 C ¾ ³ > C C A > Ç È > ¾ ³ > ³ C C º ³ > : ³ C ¹ ³ Ï é 8 Í Å
Ã
ˆM Ñ ¼ ³ ¸ µ ³ Ã ³ 9 C
M C ¹ ³ Ã ³ ³ C ¼ ³ > ¾ ³ C À ? C C Å ² 9 ³ Ã ¸ 9 ³ Ç ³ > º ¾ 9 ³ Æ > A C ¾ ¸ ? ¹ ³ C Ç È > ¾ 9 ³ ? A º Â : ? º 9 Ã µ ³
¢ ? C Ã º > A À º 9 Â C ³ 9 C ³ Ã ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ Ã ? A Ã ³ 9 C ³ : ¹ ³ ¹ ³ ½ ³ C ³ C ¡ > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ Ñ ¾ 9 ³ 9 :
Â
ü ÷ à ö õ ÷ ó Û ä Ð Â C
π 9 C M ? º Å · ? ¸ ¸ Ã ¾ ? Ã Ë A º > 9 º Ñ Ð ³ > ¸ ³ º Ë º M ¹ ³ C ? A Ã Â ¼ 9 ³ ˆM
¾ 9 ³
89
f = Af 1
Å ¿ Ã ¹ 9 ¸ º ¤
Ç È > ? ¸ ³ î Ç ? ¾ ³ : 9 º Ï C ¸ Ç ? C ¹ Ã Ë A Ã º ? C ¾ ¹ 9 ¸ º ¤ ˆM,ŝ |= f Sem.
⇔ ˆπ ŝ ˆM, ˆπ |= f1 .
´ ³ 9
π ³ 9 C ½ ³ ¸ 9 ³ ½ 9 ¹ ³ > î Ç ? ¾ 9 C M : 9 º Ï C Ç ? C ¹ Ã Ë A Ã º ? C ¾ s.
³ ¾ ³ > ¾ 9 ³ Ã ³ > î Ç ? ¾ ³ ? º ³ 9 C ³ C À Â > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C î Ç ? ¾ 9 C
Ù
È > ? ¸ ¸ ³ ¾ 9 ³ Ã ³ î Ç ? ¾ ³ ¹ 9 ¸ º ¤
·
ˆM,ˆπ |= f 1 .
? : 9 º ¹ 9 ¸ º C ? µ Î C ¾ Å ù Ä Ô Å ? A µ Ç È > ? ¸ ¸ ³
²
Sem.
⇒ M,s |= f
π : M,π |= f 1 .
ˆM.
¦
´ ³ 9
f = f 1
Ñ
f ³ 9 C ³ î Ç ? ¾ Ç Â > : ³ ¸ A C ¾ f 1
³ 9 C ³ ì A Ã º ? C ¾ Ã Ç Â > : ³ ¸ Å ¿ Ã ¹ 9 ¸ º ¤
æ ¡ ê
ˆM,ˆπ |= f
Sem.
⇔ ˆM, ˆπ 0 |= f 1
Ind.Hyp.
⇒ M,π 0 |= f 1
Sem.
⇒
M,π |= f
´ ³ 9
f = Xf 1
³ 9 C ³ î Ç ? ¾ Ç Â > : ³ ¸ Å ¿ Ã ¹ 9 ¸ º ¤
ˆM,ˆπ |= f
Sem.
⇔ ˆM, ˆπ 1 |= f 1
? ²
Ind.Hyp.
⇒ M,π 1 |= f 1
Sem.
⇒
π A C ¾ ˆπ À Â > > ³ Ã Ô Â C ¾ 9 ³ > ³ C Ñ ¹ 9 ¸ º H(π 1 , ˆπ 1 ).
M,π |= f
´ ³ 9
æ ¦ ê
Ï C ? ¸ Â ¹ Ç È > ¾ ³ C Á ¡ Ô ³ > ? º Â > Å
¿ 9 C < ³ ¼ ³ 9 Ã Ç È > ¾ ³ C ¿ Á ¡ Ô ³ > ? º Â > 9 Ã º ¸ ³ 9 ¾ ³ > C 9 µ º Ë A Ç È > ³ C Ñ ¾ ? ³ Ã Ë A ³ 9 C ³ : ¹ ³ ¹ ³ Á
½ ³ C ³ C
î Ç ? ¾
M Ã 9 : A ¸ 9 ³ > º Ñ 8 ³ Â > ³ : ³ > Ç È ¸ ¸ º A C ¾ ¾ ? : 9 º ? ¸ Ã À Â C Ã ³ > Ð ? º 9 Ð ³ Ï ½ Ã º > ? À º 9 Â C
² 9 ³ ¢ ³ > C ? A Ã Ã ? ¹ ³ ¾ 9 ³ Ã ³ Ã Ï ½ Ã µ C 9 º º 9 Ã º ? ¸ Ã Â Ñ ¾ ? Ã Ã ³ 9 C è Â ¾ ³ ¸ ¸
? C ¾ ³ Á
> ³ Ã è Â ¾ ³ ¸ ¸
Ð Â C
Ç Â ¸ ¹ ³ C ¾ ³ C
Ï ½ Ã µ C 9 º º ½ ³ º > ? µ º ³ º ¼ 9 > ¾ Å
¡ ¢ ¤ ¯ ¦ ¯ « ¨ ¬ ¤ ¡ ® £ ¥ ® ¬ ¡ ¨ ¬ ¨ ­ ¦ ®
² ? Ã Ì ³ > Ç ? > ³ C Ð Â C é ¸ ? > À ³ A C ¾ Æ > A : ½ ³ > ¹ ¢ ¤ ¦ ³ > Ê ¸ º ? ¸ Ã ¿ 9 C ¹ ? ½ ³ ³ 9 C î > Â ¹ > ? : :
P
½ ³ C Å ¿ Ã ¼ ? C ¾ ³ ¸ º
φ ³ C ½ µ C º ¤ C Ï Ã 9 º Å ½ ³ Ã µ > 9 ³ Á
P ¼ M 9 M
9 Ï Ã 9 º Å A ¾ ½ µ C º
¢
¤ ¤ Ô À ³ Á ´ º > A À º A > A : A C ¾ ¹ ³ C ³ > 9 ³ > º ? A Ã
ˆM 9 C ³ 9 C ³ : ? > À 9 ³ > º ³ > 9 Ñ ¾ ? Ã Ã ³ 9 C ³ õ Û ä ü Ý à - ö ÷ ó - Ý
ˆM º ¸ Ê ¼ ³ ¹ Â Ã ¾ > 9 ¼ ³ 9 ´ Å
A C ¾ ³ 9 C ³ Ï é 8 Í Á ´ Ô ³ Ë 9 ë À ? º 9 Â C
M ½ ³ Ë È ¹ ¸ 9 µ ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C 9 Ã º æ Ð ¹ ¸ Å Ï ½ Ã µ C 9 º º T Å ê Å Î : Ë ¼ ³ 9 º ³ C
Ë A C Ê µ Ã º ³ 9 C ³ 9 C 9 º 9 ? ¸ ³ Ï ½ Ã º > ? À º 9 Â C
µ > º ¾ ³ Ã Ì ³ > Ç ? > ³ C Ã ¼ 9 > ¾ : 9 º ³ 9 C ³ : è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ Ã ? ¸ ¹ Â > 9 º : A Ã A C º ³ > Ã A µ º Ñ Â ½
´ 9 º
ˆM φ M P
Ô ³ Ë 9 ë À ? º 9 Â C ³ > Ç È ¸ ¸ º Å · ? ¸ ¸ Ã ú ? Ñ ³ > Ç È ¸ ¸ º C ? µ ² ³ ë C 9 º 9 Â C ¨ ? A µ A C ¾ ¾ ? : 9 º ´ ³ 9 ¾
9 ´ Ô ³ Ë 9 ë À ? º 9 Â C Å Î C ¾ 9 ³ Ã ³ : · ? ¸ ¸ À ? C C ¾ ? Ã Ì ³ > Ç ? > ³ C : 9 º Ô Â Ã 9 º 9 Ð ³ : + ³ Ã A ¸ º ? º ½ ³ ³ C ¾ ³ º
¾ ³
> ¾ ³ C Å Ì ³ > ¸ ³ º Ë º
¼ ³
ˆM ˆπ
¾ Â µ ¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C Ñ ¸ 9 ³ Ç ³ > º ¾ ³ > è Â ¾ ³ ¸ ¸ Ô > È Ç ³ > ³ 9 C ³ C î Ç ? ¾ ú ³ Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Å ² ³ ë C 9 º 9 Â C ¨ Ã ? ¹ º ½ ³ 9 ³ 9 C ³ > Ð ³ > ¸ ³ º Ë º ³ C ´ Ô ³ Ë 9 ë À ? º 9 Â C C 9 µ º Ã È ½ ³ >
? ¸
M
ˆπ C ³ C 9 ³
? A Ã Å ² ? ³ > ¼ 9 > ¾ 9 : ¾ > 9 º º ³ C Ì ³ > Ç ? > ³ C Ã Ã µ > 9 º º A C º ³ > Ã A µ º Ñ Â ½ ¾ ³ > î Ç ? ¾
À Â > Á
> ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C î Ç ? ¾

Ô Ë 9 ë À ? º 9 Â C A C ¾ ¾ ? Ã Ì ³ > Ç ? > ³ C ¼ 9 > ¾ : 9 º C ³ ¹ ? º 9 Ð ³ : + ³ Ã A ¸ º ? º ½ ³ ³ C ¾ ³ º Å Ï C ¾ ³ > C Ç ? ¸ ¸ Ã
´ ³
> ¼ ?
ˆπ M C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Ñ ¾ ? Ã 9 C ¹ ? > C 9 µ º : » ¹ ¸ 9 µ ¹ ³ ¼ ³ Ã ³ C ¼ Ê > ³ A C ¾ C A > ¾ A > µ
ˆM ³ 9 9 C ³ 9 C ¹ ³ > A º Ã µ º 9 Ã º Å ´ Â ¸ µ ³ Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ ³ 9 Ã Ã ³ C
9 > ¾ ¾ ? Ã Ì ³ > Ç ? > ³ C ¼ 9 ³ ¾ ³ > Â ¸ º Å Ï ½ ½ Å Ã º ³ ¸ ¸ º ¾ 9 ³ Ã ³ C Ï ½ ¸ ? A Ç C Â µ ³ 9 C : ? ¸ ¹ > ? Ô 9 Ã µ
¼
? > Å ¾
5
‚ F V x V y z F ¡
| F K ‚ F M O x M F _ F
9 ³ C Ê µ Ã º ³ C Ï ½ Ã µ C 9 º º ³ ½ ³ Ã µ > ³ 9 ½ ³ C ¾ 9 ³ ³ 9 C Ë ³ ¸ C ³ C ´ µ > 9 º º ³ ¾ ³ Ã Ì ³ > Ç ? > ³ C Ã ¹ ³ Á
²
? A ³ > Å ì A ³ > Ã º ¼ 9 > ¾ ¾ 9 ³ ¿ > Ë ³ A ¹ A C ¹ ¾ ³ > 9 C 9 º 9 ? ¸ ³ C Ï ½ Ã º > ? À º 9 Â C ³ > ¸ Ê A º ³ > º Ñ ¾ ? C C ? A Ç ¾ 9 ³
C
A > µ Ç È > A C ¹ ¾ ³ Ã è Â ¾ ³ ¸ é ³ µ À 9 C ¹ A C ¾ ¾ 9 ³ ¿ > À ³ C C A C ¹ Ð Â C A C ³ µ º ³ C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ Á
²
³ C ³ 9 C ¹ ³ ¹ ? C ¹ ³ C A C ¾ Ë A ¸ ³ º Ë º ¾ 9 ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C ½ ³ Ã µ > 9 ³ ½ ³ C Å
¸
µ > ³ 9 ½ A C ¹ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C Ã ? ½ ½ 9 ¸ ¾ A C ¹ ³ 9 C ³ · A C À º 9 Â C Ñ ¾ 9 ³ ? A Ç è Â ¾ ³ ¸ ¸ Ë A Ã º Ê C ¾ ³ C ¾ ³ Á
Ã
C 9 ³ > º 9 Ã º Å ´ 9 ³ ½ 9 ¸ ¾ ³ º ú ³ ¼ ³ 9 ¸ Ã ì A Ã º Ê C ¾ ³ ¾ ³ Ã ? ¸ Ã î > Â ¹ > ? : : ¹ ³ ¹ ³ ½ ³ C ³ C > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ Ã
ë
A Ç ¹ ¸ ³ 9 µ Ð 9 ³ ¸ ³ Â ¾ ³ > ¼ ³ C 9 ¹ ³ > ³ ì A Ã º Ê C ¾ ³ 9 : ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ ? ½ A C ¾ > ³ ¾ A Ë 9 ³ > º Ã Â ¾ 9 ³
?
 : Ô ¸ ³ 9 º Ê º ¾ ³ à è  ¾ ³ ¸ ¸ à Š² 9 ³ · A C À º 9  C ¼ 9 > ¾ ? ¸ à ü ÷ à ö õ ÷ ó Û ä ü â ã ä õ ÷ ó Û ä ½ ³ Ë ³ 9 µ C ³ º Å
h ó ü ÷ Ý ó ä Ý ü ã à 3
h D ë C 9 ³ > º ? A µ ³ 9 C ³ § ¢ A 9 Ð ? ¸ ³ C Ë > ³ ¸ ? º 9 Â C ? A Ç Ñ ¾ 9 ³ ¾ 9 ³ ú ³ C 9 ¹ ³ C ì A Ã º Ê C ¾ ³ ¹ ¸ ³ 9 µ Ã ³ º Ë º Ñ
h ¾ ³ Ç ¾ ³ C ¹ ¸ ³ 9 µ ³ C ? ½ Ã º > ? À º ³ C ì A Ã º ? C ¾ ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ ³ > ¾ ³ C Å ² 9 ³ + ³ ¸ ? º 9 Â C
≡ ? A Ë ³ 9 µ C ³ º A C ¾ ³ > ¹ 9 ½ º Ã 9 µ ? A Ã ¾ ³ > Ç Â ¸ ¹ ³ C ¾ ³ C Æ ¸ ³ 9 µ A C ¹ ¤
³ ½
ˆD 9
90
¾ 9 ³ 9 C 9 º 9 ? ¸ ³ Ï ½ Ã º > ? À º 9 Â C 9 C
& ¥
& Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ æ ³ C ¹ ¸ Å Ã Ô A > 9 Â A Ã µ Â A C º ³ > ³ ? : Ô ¸ ³ Ã ê Å Î C ¾ 9 ³ Ã ³ : · ? ¸ ¸ ¼ 9 > ¾ ¾ 9 ³
©
½ Ã º > ? À º 9 Â C Ð ³ > Ê C ¾ ³ > º æ Ð ³ > Ç ³ 9 C ³ > º ê Ñ Ã Â ¾ ? Ã Ã
Ï
ˆπ 9 µ º : ³ > ? A Ç º > ³ º ³ C À ? C C Å ² ? C ? µ
C
M … φ
K F V M F V F F
K M X M \ _ F ‰ ‚ O X V \ ‹ X M w K
M
ˆM
ˆM |= φ
u w s F _ _ x V y z a K |
ˆM
ˆM ̸|= φ
M |= φ
H F V z F M K F V F ‰ ‚ O X V \ ‹ X M w K
“ V „ F a | F F | F K ‚ F M O x M F _
} X w x
ˆπ
M ̸|= φ
ˆπ F — M O X M F V X K M H I X M K
M
ˆπ F — M O X M F V X M K
M
‰ ‚ _ \ a z s F O H F V z \ I V F K O T w K ¥ _ \ V ‹ F
‰ ‚ ‚ ’ ¢
! ¤ % % < ( &
§
§
9 < % #
9 ³ Ð Â C é ¸ ? > À ³ A C ¾ Æ > A : ½ ³ > ¹ ³ 9 C ¹ ³ Ã ³ º Ë º ³ Ï ½ Ã º > ? À º 9 Â C Ã º ³ µ C 9 À Ð ³ > ¼ ³ C ¾ ³ º Ë A > < ³ Á
²
D Ý ó ä Ý ü . à Û å à ö ü ö ã â
& % % # ¥ K 1 : A 4 1 S 4 A 4 $ ó ä Ý ü ÷ à ö õ ÷ ó Û ä ü â ã ä õ ÷ ó Û ä
F Ý õ ÷ ó - Ý . à Û F Ý õ ÷ ó Û ä - Û ä Ü Ý à Ú Ý ä å Ý ö Þ Þ Ý à . à Û å à ö ò ã ü ÷ C ä Ü Ý
Ý ó ä Ý Ú Ý ä å Ý - Û ä ö ü ÷ à ö õ ÷ Ý ä . à Û å à ö ò ã ü ÷ C ä Ü Ý ä
¼ ³ ¸ µ ³
Ð Â C
d ≡ e ¹ ¾ ¼ Å h(d) =h(e) : 9 º d, e ∈ D
æ ê
¼ 9 > ¾ : 9 º

C ³ 9 C ³ > Ç > È ³ > ³ C Ï > ½ ³ 9 º Ð Â C é ¸ ? > À ³ ¼ A > ¾ ³ ¾ 9 ³ Ã ³ è » ¹ ¸ 9 µ À ³ 9 º ? A µ > ³ ? ¸ 9 Ã 9 ³ > º T Å
Î
9 º ³ 9 C ³ > ? A Ç ¾ 9 ³ Ã ³ Ö ³ 9 Ã ³ ¾ ³ ë C 9 ³ > º ³ C · A C À º 9 Â C À » C C ³ C ú ³ ¾ Â µ ½ ³ 9 ¼ ³ 9 º ³ : C 9 µ º ? ¸ ¸ ³
è
> ³ ½ ¸ 9 µ ¹ ³ > 9 C ¹ ³ > ³ Ï A Ã ¼ ? ¸ ? C ¾ ? > Ã º ³ ¸ ¸ ½ ? > ³ C Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C ³ C Å é ¸ ? > À ³ A C ¾
³
> A : ½ ³ > ¹ Ð ³ > Ã A µ ³ C ¾ ? ³ > 9 : 9 ³ > Ð Â > ¹ ³ Ã º ³ ¸ ¸ º ³ C Ñ C ³ A ³ > ³ C Ï C Ã ? º Ë Ë A C Ê µ Ã º Ñ ½ ³ 9 ¾ ³ >
Æ
? ¸ ¾ ³ > 9 C 9 º 9 ? ¸ ³ C Ï ½ Ã º > ? À º 9 Â C ³ 9 C ³ C ¹ A º ³ C ¢ Â : Ô > Â : 9 þ Ë ¼ 9 Ã µ ³ C Ì ³ > ³ 9 C Ç ? µ A C ¹ A C ¾
Ö
A Ã ¾ > A µ À Ã Ã º Ê > À ³ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C Ë A ë C ¾ ³ C Å
Ï
? Ë A ¼ ³ > ¾ ³ C Ì ? > 9 ? ½ ¸ ³ C Ñ ¾ 9 ³ 9 : î > Â ¹ > ? : : : 9 º ³ 9 C ? C ¾ ³ > ¾ A > µ Ï A Ã Ã ? ¹ ³ C Ð ³ > Á
²
C È Ô Ç º Ã 9 C ¾ Ñ Ë A ¢ < 9 % < § ( & : 9 § § & Ë A Ã ? : : ³ C ¹ ³ Ç ? Ã Ã º Å Ù ³ ¾ ³ ¾ 9 ³ Ã ³ > Æ > A Ô Ô ³ C ¼ 9 > ¾
À
C º Ã Ô > 9 µ º Å Î C C ³ > ? ¸ ½ ¾ ³ > Æ > A Ô Ô ³ ½ ¸ ³ 9 ½ º Ã Â ¾ 9 ³ Ð Â ¸ ¸ ³ Ï A Ã ¼ ? ¸ ? C : » ¹ ¸ 9 µ ³ C Ï ½ ½ 9 ¸ Á
³
A C ¹ ³ C ³ > ? ¸ º ³ C ³ Ã 9 Ã º : » ¹ ¸ 9 µ Ñ ¾ 9 ³ Ö ³ > º ³ ³ 9 C ³ > Æ > A Ô Ô ³ C Ð ? > 9 ? ½ ¸ ³ ? ½ Ê C ¹ 9 ¹ Ð Â C ¾ ³ C
¾
³ > º ³ C ? C ¾ ³ > ³ > Æ > A Ô Ô ³ C Ð ? > 9 ? ½ ¸ ³ C ? A Ç Ð ³ > Ã µ 9 ³ ¾ ³ C ³ ? ½ Ã º > ? À º ³ Ö ³ > º ³ ? ½ Ë A ½ 9 ¸ ¾ ³ C Å
Ö
? ¹ ³ ¹ ³ C ¼ ³ > ¾ ³ C Ð Â C ³ 9 C ? C ¾ ³ > A C ? ½ Ê C ¹ 9 ¹ ³ Ì ? > 9 ? ½ ¸ ³ C 9 C A C º ³ > Ã µ 9 ³ ¾ ¸ 9 µ ³ Ì ? > 9 ? ½ ¸ ³ C Á
²
> A Ô Ô ³ C ³ 9 C ¹ ³ º ³ 9 ¸ º A C ¾ ¾ A > µ A C º ³ > Ã µ 9 ³ ¾ ¸ 9 µ ³ · A C À º 9 Â C ³ C ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º Å ² ³ > ³ 9 C º > ³ º ³ C Á
¹
³ Ì ³ > ¸ A Ã º Ð Â C Ï A Ã Ã ? ¹ ³ À > ? Ç º 9 Ã º 9 ³ > ú ³ ¾ Â µ C 9 µ º Ô > Â ½ ¸ ³ : ? º 9 Ã µ Ñ ¾ ? ú ? ? A µ À ³ 9 C ³
¾
A : 9 C ¾ ³ Ã º º ³ 9 ¸ ¼ ³ 9 Ã ³ ? A Ã ³ 9 C Ç ? µ ³ > ³ C 8 ³ 9 ¸ Ç A C À º 9 Â C ³ C ? A Ç ¹ ³ ½ ? A º ¼ ³ > ¾ ³ C Å
Ë
9 ³ < ³ Ã º 9 : : A C ¹ ¾ ³ > Ì ? > 9 ? ½ ¸ ³ C ¹ > A Ô Ô ³ C ¸ Ê A Ç º À Â C À > ³ º 9 C Ç Â ¸ ¹ ³ C ¾ ³ > Ö ³ 9 Ã ³ ? ½ ´ ³ 9 Á
²
& 9 & 9 % & 9 & Ñ ¼ ³ C C Ã 9 ³ : 9 C ¾ ³ Ã º ³ C Ã ³ 9 C ³ ¹ ¸ ³ 9 µ ³ Ì ? > 9 ? ½ ¸ ³ ³ C º ? ¸ º ³ C Å ² 9 ³ Ã ³ Î C º ³ > Ç ³ Á
%
³ C Ë > ³ ¸ ? º 9 Â C 9 Ã º > ³ ³ ¤ 9 Ð A C ¾ Ã Ä : : ³ º > 9 Ã µ Å Î > º > ? C Ã 9 º 9 Ð ³ > Ï ½ Ã µ ¸ A þ ½ 9 ¸ ¾ ³ º ? ¸ Ã Â ³ 9 C ³
>
¢ A 9 Ð ? ¸ ³ C Ë > ³ ¸ ? º 9 Â C Ñ ¾ 9 ³ § ¢ A 9 Ð ? ¸ ³ C Ë À ¸ ? Ã Ã ³ C Ð Â C ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C ³ > Ë ³ A ¹ º Ñ ¼ ³ ¸ µ ³
§
A > µ ¹ ³ : ³ 9 C Ã ? : ³ Ì ? > 9 ? ½ ¸ ³ C Ð ³ > À C È Ô Ç º Ã 9 C ¾ Å ² 9 ³ Ã Â ¹ ³ ½ 9 ¸ ¾ ³ º ³ C ¢ ¸ ? Ã Ã ³ C Ð Â C Ï A Ã Á
¾
? ¹ ³ C ³ 9 Ã Ã ³ C # 9 = & ( : 9 § § & A C ¾ ¾ 9 ³ ú ³ ¼ ³ 9 ¸ Ã 9 C 9 C ³ C Ð Â > À Â : : ³ C ¾ ³ C Ì ? > 9 ? ½ ¸ ³ C
Ã
9 C ¾ ¹ ³ C ? A ¾ 9 ³ ¹ ³ Ã A µ º ³ C Ì ? > 9 ? ½ ¸ ³ C ¹ > A Ô Ô ³ C Å
Ã
ê
# = § # % % # % & 9
§
9 < % # % # ² 9 ³ ¢ Â C Ã º > A À º 9 Â C ³ 9 C ³ > · A C À º 9 Â C : 9 º
¦
9 C ³ : Ã Â Â µ ¾ 9 : ³ C Ã 9 Â C ? ¸ ³ C ² ³ ë C 9 º 9 Â C Ã ½ ³ > ³ 9 µ ¼ 9 ³ ¾ ³ > ì A Ã º ? C ¾ Ã : ³ C ¹ ³
³
D ³ Ã ¿ 9 C Á ¾
¹ ? ½ ³ Ô > Â ¹ > ? : : ³ Ã 9 Ã º > ³ ¸ ? º 9 Ð ? A Ç ¼ Ê C ¾ 9 ¹ Å ² ?
D ? ¸ Ã À ? > º ³ Ã 9 Ã µ ³ Ã î > Â ¾ A À º À ¸ ³ 9 C ³ > ³ >
³ ¹ C ³ C ³ º Ã º æ è ê C Ñ ³ ¸ ¾ 9 ë ³ 9 ¹ > º 9 ³ Ã C ? ³ Ñ Ë A > Ì ³ > ³ 9 C Ç ? µ A C ¹ ¾ ³ >
D = D 1 × ...× D n
º 9 Â C ? A µ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
¢ Â C Ã º > A À
h > ³ C À ¸ ³ 9 C ³ > ³ C · A C À º 9 Â C ³ C
? A Ã : ³ > ³ Ë A Ã ³ º Ë ³ C Å ¿ 9 C ³ ³ 9 C Ç ? µ ³ è » ¹ ¸ 9 µ À ³ 9 º 9 ³ > Ë A 9 Ã º ¾ 9 ³ Ì ³ > ¼ ³ C ¾ A C ¹ Ð Â C
Ë A Ã ? : : ³ C
n à A > Á
· A C À º 9 Â C ³ C
ú ³ À º 9 Ð ³ C
h i : D i → ˆD ³ C ¾ 9 ³ À Â : Ô ¸ ³ º º ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
Ñ : 9 º ¾ ³ C
i
h º ¼ 9 > ¾ A ? ½ ³ ¹ Ç A ?
h(d ∈ D) =h((d 1 ,...,d n )) = (h 1 (d 1 ),...,h n (d n ))
9 ³ § ¢ A 9 Ð ? ¸ ³ C Ë > ³ ¸ ? º 9 Â C
²
³ ¸ C ³ C ² Â : Ê C ³ C ³ > Ë ³ A ¹ º ³ C § ¢ A 9 Ð ? ¸ ³ C Ë > ³ ¸ ? º 9 Â C ³ C
Ë
91
æ ¤
: 9 º ³ 9 C ³ : ² ³ Á
h i
h(d) =(h 1 ,h 2 ,...) Å
≡ ¼ 9 > ¾ ¾ ? C C Ð Â C ¾ ³ C ¾ A > µ ¾ 9 ³ · A C À º 9 Â C ³ C h i
? A Ç ¾ ³ C ³ 9 C Á
≡ i
¹ ³ ½ 9 ¸ ¾ ³ º
(d 1 ,...,d n ) ≡ (e 1 ,...,e n ) ⇔ d 1 ≡ 1 e 1 ∧ ...∧ d n ≡ n e n
æ ê
» ¸ µ ³ Ï ½ ¸ A ¹ C ³ µ > 9 ³ ½ ³ C ¼ ³ > ¾ ³ C Å ² 9 ³ Ã ¸ Ê Ã Ã º Ã 9 µ ¸ ³ 9 µ º ? C ³ 9 C ³ : < ³ 9 Ã Ô 9 ³ ¸
: ¹ 9 C ½ 9 ¾ C ³ ½ Ã
µ ³ C Å ´ 9 C ¾
Ð ³ > Ð ? Â C > Ã ¹ µ ³ ¹ ? ³ A ½ ³ C ¸ Ñ
9
D = {0, 1, 2}×{0, 1, 2} ˆD = {0, 1}×{0, 1} A C ¾
? : º
¹ 9 ½ º ³ Ã 9 C Ã ¹ ³ Ã
(2 2 )ˆ(3 2 )=4 9 = 262144 9 µ ³ Ï ½ ½ 9 ¸ ¾ A C ¹ Ã Ç A C À º 9 Â C ³ C
A C º ³ > Ã µ 9 ³ ¾ ¸ C Ð Ö Â 9 > ¾
D h h ˆDÅ =(h 1 ,h 2 )
9 ³ 9 C · Â > : ³ ¸ ¤ ? C ¹ ³ ¹ ³ ½ ³ C ¾ A > µ C ? µ ¾ ? ¹ ³ ¹ ³ C ¼ º Ë º Ñ 9 Ã º ú ³ ¾ ³ Ã
Ë ³ A 9 C ³ Ð Â C
à ? : : ³ C ¹ ³ à ³
h i 2 3 =8 {0, 1, 2} →
9 ¸ ¾ A C ¹ ³ C
{0, 1} : » ¹ ¸ 9 µ ¢ ³ C Ï ½ ½ º 9 Â C ¾ 9 ³ Ã ³ > ½ ³ 9 ¾ ³ C 8 ³ 9 ¸ Ç A C À º 9 Â C ³ C Ã 9 C ¾ C A > C Â µ : ? ¤ 9 : ? ¸
8 2 =64 Å h ² A > µ Â : Ô Â Ã 9 9 µ ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C ³ C ¾ ? > Ã º ³ ¸ ¸ ½ ? > Å
¸ ¾ ³ 9 µ Ã > ³ º C A
9 º ¾ ³ > Ï A Ç º ³ 9 ¸ A C ¹ ¾ ³ > Ï ½ ½ 9 ¸ ¾ A C ¹ ? A Ç : ³ > ³ > ³ 8 ³ 9 ¸ Ç A C À º 9 Â C ³ C 9 Ã º ? ¸ Ã Â Ë ¼ ? > ¾ 9 ³
è
 C à º > A À º 9  C Ð Â C
¢
h ³ Ã ³ C º ¸ 9 µ Ð ³ > ³ 9 C Ç ? µ º Ñ ¾ ³ : ¹ ³ ¹ ³ C È ½ ³ > Ã º ³ º ú ³ ¾ Â µ ? A µ ³ 9 C ³
¼
: 9 º ³ 9 C ³ > ³ 9 C Ë ³ ¸ C ³ C · A C À º 9 Â C
h i
? ½ ¹ ³ ½ 9 ¸ ¾ ³ º Ñ ¾ ³ > ³ C ´ º ³ ¸ ¸ 9 ¹ À ³ 9 º ¾ ³ > Æ > » þ ³ ¾ ³ > Æ > A Ô Ô ³
½ Ê C ¹ 9 ¹ À ³ 9 º ³ C Ë ¼ 9 Ã µ ³ C ¾ ³ C ³ 9 C Ë ³ ¸ C ³ C Ì ? > 9 ? ½ ¸ ³ C ½ ³ Ã º ³ ³ C Å ² ? ³ > ¹ ³ º ¾ A > µ ¾ 9 ³ Ã ³
Ï
 C à º > A À º 9  C À ³ 9 C ³ à 9 C C Ð Â ¸ ¸ ³ Ï ½ à º > ? À º 9  C à : » ¹ ¸ 9 µ À ³ 9 º Ð ³ > ¸  > ³ C A C ¾
¢
h ? C C º > Â º Ë ¾ ³ :
À
C 9 î Â > : :
³ ³ C > ¹ ?
P φ ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C ¹ ³ ¹ ³ ½ ³ C Å ² 9 ³ è ³ C ¹ ³ ? ¸ ¸ ³ > ³ C º ? ¸ º ³ Á
A C ¾ ³ 9 C : ? > ³ C Ï A Ã Ã ? ¹ ³ C 9 Ã º Ï º Â : ³ æ
C ³ C ? º Â
P ∪ φ f 1 ,f 2
æ ê Å ì ¼ ³ 9 ? º Â : ? > ³ Ï A Ã Ã ? ¹ ³ C ³ : Â º Ï ê
È ú ¾ Ì > 9 ? ½ ¸ ³ C ¹ > A Ô Ô ³
· ¼ > 9 > ¾ ³ 9 C ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
³ ³ ?
VG i
 C à ½ ³ > ³ 9 µ Ð Â C
ë C 9 º 9
D VGi = ∏ ë ³ C ¾ 9 ³ > º Å ² 9 ³ Ð Â ¸ ¸ Ã º Ê C ¾ 9 ¹ ³ Ï ½ Ã º > ? À º 9 Â C Ã Á
v∈V G i
D v
Ç A C À º 9 Â C ³ > ¹ 9 ½ º Ã 9 µ ? A Ã ¾ ³ > ¢ Â : ½ 9 C ? º 9 Â C ¾ ³ > 8 ³ 9 ¸ Ç A C À º 9 Â C ³ C

8
= ; C >
\ 3
4
5
8
4
P : 9 º ¾ > ³ 9 Ì ? > 9 ? ½ ¸ ³ C x, y ∈{0, 1, 2} Ñ reset ∈{True Ñ
False} ¾ ³ 8 ? Ã º Â Ã ¸ » µ À ³ C ? A Ã Ï ½ ½ Å ¤ ¹ ³ ¹ ³ ½ ³ C Å ² 9 ³ è ³ C ¹ ³ ¾ ³ > ? º Â : ? Á
A C ¾ C > C 9 9 C ½ C Ï º Â : ³ æ > ³ C Ï A Ã Ã ? ¹ ³
P {reset = True,x < y,x = y, ¬(y =2), True} Å
µ 9 ³ ¸ ¹ º Ã 9 ê
9 ³ Ï A Ã Ã ? ¹ ³ 9 Ã º Ç È > ¾ 9 ³ Ö ? ¸ ¾ ³ > Ì ? > 9 ? ½ ¸ ³ C ¹ > A Ô Ô ³ C A C 9 C º ³ > ³ Ã Ã ? C º A C ¾ ¼ 9 > ¾
²
9 µ º ¼ ³ 9 º ³ > ½ ³ º > ? µ º ³ º Å Ì Â C ¾ ³ C > ³ Ã º ¸ 9 µ ³ C Ï A Ã Ã ? ¹ ³ C 9 C º ³ > Ç ³ > 9 ³ > ³ C
C
³ Ï Ã A ³ º º ³ C Ë ¼ ³ 9 · Â > : ³ ¸ ¹ > A Ô Ô ³ C
Ð C ½ µ ¸ þ C Ã ³
FG 1 = {x 9 ? ½ ¸ ³ C ½ 9 ¸ ¾ ³ C ú ³ ¼ ³ 9 ¸ Ã ¾ 9 ³
VG Å VG ² 9 ³ 9 C ¾ ³ C 1 = {x, y} VG 2 = {reset} A C ¾ Å Î : ½ ³ º > ? µ º ³ º ³ C
º ¸ 9 ¹ Â Ã ¸ ? Ñ
A C ? ¾ ½ ½ ¸ ³ º Ñ ¼ Â ½ ³ 9
¹ ³ 9 ¾
h 1 h 2
³ º C ³ 9 ¸ Ã ¸ 9 ¹ Å
h 2 : D reset → ̂D reset
8
D =(D x × D y × D reset ) A > µ Ë ¼ ³ 9
h ¾ 1 : D x × D y → ̂D ³ 9 C ³ Ë ¼ ³ 9 Ã º ³ ¸ ¸ 9 ¹ ³
xy
% % < ( &
§
9 < % # % # & ? µ ¾ ³ : ¾ 9 ³ ´ 9 ¹ C ? º A > ³ C ¾ ³ > Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À Á
¤
9 Â C ³ C Ç ³ Ã º ¹ ³ ¸ ³ ¹ º Ã 9 C ¾ Ñ ¼ ³ > ¾ ³ C ¾ 9 ³ · A C À º 9 Â C ³ C Ã ³ ¸ ½ Ã º ½ ³ Ã º 9 : : º Å < ³ 9 ¾ ³ > 9 C 9 º 9 ? ¸ ³ C
º
½ Ã º > ? À º 9 Â C ¼ ³ > ¾ ³ C Ë A C Ê µ Ã º ? ¸ ¸ ¾ 9 ³ ú ³ C 9 ¹ ³ C Ö ³ > º ½ ³ ¸ ³ ¹ A C ¹ ³ C ³ 9 C ³ > Ì ? > 9 ? ½ ¸ ³ C ¹ > A Ô Á
Ï
³ ? A Ç ³ 9 C ³ C ³ 9 C Ë ³ ¸ C ³ C ? ½ Ã º > ? À º ³ C Ö ³ > º ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º Ñ ¾ 9 ³ : 9 º ¾ ³ C Ï A Ã Ã ? ¹ ³ C 9 C ¾ ³ >
Ô
 > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C ·  > : ³ ¸ ¹ > A Ô Ô ³ ä ó ÷ ã ä ÷ Ý à ü ó Ý Ü Ý ä ¼ ³ > ¾ ³ C À » C C ³ C Å ·  > : ? ¸ ½ ³ Á
À
µ > 9 ³ ½ ³ C ³ 9 þ º ¾ ? Ã
Ã
9 ³ Î ¾ ³ ³ 9 C º ³ > ¾ 9 ³ Ã ³ : Ï C Ã ? º Ë 9 Ã º Ñ ¾ ? Ã Ã ¾ 9 ³ ì A Ã ? : : ³ C Ç ? Ã Ã A C ¹ ? A Ç ¾ 9 ³ Ã ³ Ö ³ 9 Ã ³ À ³ 9 C ³ C
²
9 C A þ ? A Ç ¾ ³ C ¢ Â C º > Â ¸ ¸ A þ ¾ ³ Ã î > Â ¹ > ? : : Ã ? ½ ³ C À ? C C Å ´ µ ¸ 9 ³ þ ¸ 9 µ À » C C ³ C ¾ 9 ³
¿
C ¾ ³ C < ³ ¾ 9 C A C ¹ A C ¹ ³ C ¾ ³ > 8 > ? C Ã 9 º 9 Â C Ã ½ ¸ » µ À ³ ? C ¹ ³ ¹ ³ ½ ³ C ³ C Ï A Ã Ã ? ¹ ³ C ¾ 9 ³ ³ 9 C Ë ³ ¸ C ³ C
9
³ > º ³ ¹ ? > C 9 µ º A C º ³ > Ã µ ³ 9 ¾ ³ C Å Ï A µ ¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C À ? C C ¾ 9 ³ Ë A Ã ? : : ³ C ¹ ³ Ç ? Ã Ã º ³ C
Ö
Ý ü ó Þ 9 ² ? Ã î > Â ¹ > ? : : ? A Ã < ³ 9 Ã Ô 9 ³ ¸ ³ C º Ê ¸ º ¼ 9 ³ ½ ³ > ³ 9 º Ã ¹ ³ Ã µ 9 ¸ ¾ ³ > º Ë ¼ ³ 9 Ì ? > 9 ? Á
J ó ß Ý ¡
½ Ë ¼ Å · Â > : ³ ¸ ¹ > A Ô Ô ³ C Å Ì ? > 9 ? ½ ¸ ³ C ¹ > A Ô Ô ³
½ ¸ ³ C Á
1 x y à º ¾ 9 ³ Ì ? > 9 ? ½ ¸ ³ C A C ¾ Ñ ¾ 9 ³
1 A {x ¹ 9 ½ º Ã 9 µ Ñ ¾ ? Ã
Ê º C ³
(0, 0) A C ¾ (1, 1) ? A Ç ¾ ³ C Ã ³ ¸ ½ ³ C ? ½ Ã º > ? À º ³ C
¹ ¸ ³ 9 µ
FG 1
∀f ∈ FG 1 :(0, 0) |= f ⇔ (1, 1) |= f C Ã ¹ ³ Ã ? : º ³ > ¹ ³ ½ ³ C Ã 9 µ ¡
Î Å
¢ ¸ ? Ã Ã ³ C Ð Â C Ö ³ > º ³ C Ñ ¾ 9 ³ ? A Ç ¾ 9 ³ ? ½ Ã º > ? À º ³ C Ö ³ > º ³
4
ê
92
/ . 1 3 x4 5 7 0
.
8 9 1 3 x4 5 7 ; = >
8 /
/ . 1 3 y4 5 7 1
.
8 9 1 3 y4 5 7 ; = >
8 /
/ . 1 3
reset4 5 7 0
.
8 9 1 3
reset4 5 7 ; = >
8 /
True5
5
5
reset = 0
x
5 0 … 1
x
y
reset
> = ; C
H \ V M \ ‚ _ F
3 H
H \ V M \ ‚ _ F
H \ V M \ ‚ _ F
3 ‚
‰ ‚ ‚ ’
F M O x M F _ x V w | V \ r r r M X s V F M H \ V M \ ‚ _ F K
J Ý ó ü ß ó Ý Þ 9 ´ ³ 9 ³ 9 C î > Â ¹ > ? : :
x Ñ ¾ ? Ã 9 ³ ¹ ³ : ³ 9 C Ã ? : ³ Ì ? > 9 ? ½ ¸ ³ C ³ C º ? ¸ º ³ C Å ² A > µ º > ? C Ã 9 º 9 Á
A C ¾
Ì ? > 9 ? ½ ¸ ³ C ¹ > A Ô Ô ³ C
· ? ¸ ¸ ¼ 9 > ¾ Ç Â ¸ ¹ ¸ 9 µ ³ 9 C î > Â ¹ > ? : : Ë A Ã º ? C ¾ ? A Ã
8 ³ 9 ¸ Ç A C À º 9 Â C ³ C
· A C À º 9 Â C 9 Ã º A C ¾
h i (d 1 ,...,d k )=h i (e 1 ,...,e k ) ⇔∀f ∈ FG i :(d 1 ,...,d k ) |= f ⇔ (e 1 ,...,e k ) |= f
æ
ì A Ã º Ê C ¾ ³
C 9 µ º Ð Â C ³ 9 C ? C ¾ ³ > A C º ³ > Ã µ ³ 9 ¾ ³ C Å
· Â > : ³ ¸ ¹ > A Ô Ô ³
½ ³ 9 Ã Ô 9 ³ ¸ Ã ¼ ³ 9 Ã ³ ¾ 9 ³ Ì ? > 9 ? ½ ¸ ³ C ½ ³ ¸ ³ ¹ A C ¹ ³ C
Ö ³ > º ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ ³ > ¾ ³ C Ñ ¾ ? Ã 9 ³ Ã 9 µ ½ ³ Ë È ¹ ¸ 9 µ ¾ ³ > Ï A Ã Ã ? ¹ ³ C 9 C
Ð ³ > ? ¸ Á
º ³ C Ñ ¾ Å Å ³ Ã ¹ 9 ¸ º
ˆ0, ˆ1, ˆ2, ˆ3, ˆ4 ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ ³ > ¾ ³ C Å
² ? ³ > ¼ 9 > ¾
? ¸ Ã ¾ 9 ³ Ç Â ¸ ¹ ³ C ¾ ³ Ã A > ú ³ À º 9 Ð ³ Ï ½ ½ 9 ¸ ¾ A C ¹ ¾ ³ ë C 9 ³ > º
h 1
{(0, 0), (1, 1)} → ˆ0 Ñ
Ñ
{(0, 1)} → ˆ1
{(0, 2), (1, 2)} → ˆ2
{(1, 0), (2, 0), (2, 1)} →ˆ3
{(2, 2)} → ˆ4

# ( ( $ % % : &
§ § % ( % : Ï A Ã Ã ³ > ¾ ³ > Ï ½ ½ 9 ¸ ¾ A C ¹ ¾ ³ > è Â ¾ ³ ¸ ¸ Ë A Ã º Ê C ¾ ³ ¾ A > µ ¾ 9 ³
¢
½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C 9 Ã º ? A µ ³ 9 C ³ Ï ½ ½ 9 ¸ ¾ A C ¹ ¾ ³ > ì A Ã º ? C ¾ Ã È ½ ³ > ¹ Ê C ¹ ³ A C ¾ ¾ ³ > 9 C
Ï
º > A À º A > Ë A º > ? C Ã Ç Â > : 9 ³ > ³ C Ñ ¾ ? 9 ³ > ¾ 9 ³ 8 > ? C Ã 9 º 9 Â C Ã > ³ ¸ ? º 9 Â C ³ ¤ Ô ¸ 9 Ë 9 º ? C ¹ ³ ¹ ³ ½ ³ C 9 Ã º Å
´
C ¾ 9 ³ Ã ³ > ´ 9 µ º ¼ ³ 9 Ã ³ ¼ 9 > ¾ ¾ A > µ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
Î
è
M =(S, I, T, P, L) Ü ã à Ü ó Ý ó ä Þ Ý ó ã ä å ¢
< ¥ § & % % & 9 # & 9 < % & % : & ¥ < ì A : & ? µ ¼ ³ 9 Ã Ñ ¾ ? Ã Ã ¾ ? Ã Ã Â ¾ ³ ë C 9 ³ > Á
¤
ˆM M º Ã Ê µ ¸ 9 µ ³ 9 C ³ À Â C Ã ³ > Ð ? º 9 Ð ³ Ï ½ Ã º > ? À º 9 Â C Ð Â C 9 Ã º Ñ ¼ 9 > ¾ ¹ ³ Ô > È Ç º Ñ
? º
³ C Ã µ ? Ç º Å < ³ 9 : & ? µ ¼ ³ 9 Ã ¾ ³ > ´ 9 : A ¸ ? º 9 Â C ¼ 9 > ¾ ú ³ ¾ Â µ ³ 9 C ³ ¼ 9 µ º 9 ¹ ³ ¿ 9 C Ã µ > Ê C À A C ¹
¹
 > ¹ ³ C  : : ³ C ¿ à ¼ 9 > ¾ Ð Â > ? A à ¹ ³ à ³ º Ë º Ñ ¾ ? à à ? º  : ? > ³ Ï A à à ? ¹ ³ C ¿ ¸ ³ : ³ C º ³ Ð Â C
Ð
P Ë ¼ Å
ˆP ½ 9 C ¾ Å ² ? > ? A Ã Ç Â ¸ ¹ º Ñ ¾ ? Ã Ã ¾ 9 ³ À Â C Ã ³ > Ð ? º 9 Ð ³ Ï ½ Ã º > ? À º 9 Â C Ã ³ 9 ¹ ³ C Ã µ ? Ç º C 9 µ º â á à ö Þ Þ Ý
à ³ ¸ 9 ³ ½ 9 ¹ ³ C Ï é 8 Í Á ·  > : ³ ¸ C ¹ ³ Ë ³ 9 ¹ º ¼ ³ > ¾ ³ C À ? C C Ñ Ã Â C ¾ ³ > C C A > Ç È > ·  > : ³ ¸ C Ñ ¾ 9 ³ ? A Ã
½
C ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C Ð Â > À Â : : ³ C ¾ ³ C Ï A Ã Ã ? ¹ ³ C ¹ ³ ¾ ? µ º 9 Ã º Ñ 9 Ã º ¾ 9 ³ Ã ³ ¿ 9 C Ã µ > Ê C À A C ¹
9
½ ³ > ? A Ô º C 9 µ º Ã º » > ³ C ¾ Ñ Ã Â C ¾ ³ > C ³ > ¸ ? A ½ º 9 : Æ ³ ¹ ³ C º ³ 9 ¸ Ã º Ê > À ³ > ³ Ï ½ Ã º > ? À º 9 Â C ³ C Å
È
h C ´ : A ¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Á
M ³ 9 ³ 9 Ã º 9 Å ² ? Ë A Ã 9 C ¾ ¾ 9 ³ Ë ¼ ³ 9 < ³ ¾ 9 C ¹ A C ¹ ³ C ? A Ã ² ³ ë C 9 º 9 Â C ¡ Ë A
ˆM ¾ C A
s, ŝ : 9 º h(s) =ŝ : A Ã Ã ¹ ³ ¸ º ³ C
ˆP = P A C ¾ ? A Ã Ï ½ Ã µ C 9 º º Å Ç Â ¸ ¹ º L(s) ⊆ P Å ² ? ³ > À ? C C ¾ 9 ³
s, d A C ¾ ³ 9 C ³
93
³ ¾ ³ : ì A Ã º ? C ¾ ¹ ³ ¸ º ³ C ³ C ? º Â : ? > ³ C Ï A Ã Ã ? ¹ ³ C ? A Ç ¾ ? Ã ? ½ Ã º > ? À º ³ è Â ¾ ³ ¸ ¸ C » º 9 ¹ Å ² ? Ë A
ú
à º ³ à à 9 C C Ð Â ¸ ¸ Ñ
9
P Â C ¾ ³ > ² ? > Ã º ³ ¸ ¸ A C ¹ ? ¸ Ã î > Â ¹ > ? : : 9 C ¾ 9 ³ · Â > : ³ 9 C ³ > ¢ > 9 Ô À ³ Á
Ð
h ¾ 9 ³ ì A Ã º ? C ¾ Ã : ³ C ¹ ³ S
ˆM
M =(S, I, T, P, L) ? A Ç ¾ 9 ³ ì A Ã º ? C ¾ Ã : ³ C ¹ ³ Ŝ ¾ ³ Ã ? ½ Ã º > ? À º ³ C
? ½ ¹ ³ ½ 9 ¸ ¾ ³ º Å
=(Ŝ,Î, ˆT, ˆP, ˆL)
ˆM ½ ³ C Ã 9 µ ? A Ã ¾ ³ > Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C ? A Ç ¾ 9 ³
³ ¹ > ³
¾ ³ Ã À Â C À > ³ º ³ C è Â ¾ ³ ¸ ¸ Ã
 ¾ ³ ¸ ¸ Ã
² 9 ³ ¼ ³ 9 º ³ > ³ C ¿ ¸ ³ : ³ C º ³ Ð Â C
 ¸ ¹ ³ C ¾ ³ Ö ³ 9 à ³
Ç
& % % # K 1 : 1 P A 6 ; ; ö ü ö ü ÷ à ö õ ÷ Ý Ú Û Ü Ý Þ Þ
ˆM
=(Ŝ,Î, ˆT, ˆP, ˆL)
Ý à 3
h : D → ˆD ã ä Ü Ü Ý ä â Û Þ å Ý ä Ü Ý ä H Ý ü ÷ Þ Ý å ã ä å Ý ä *
Ü Ý ô ä ó Ý à ÷ Ý ü ÷ à ö õ ÷ ó Û ä ü â ã ä õ ÷ ó Û ä
å ó ÷ ü ó ö ã ü Ü Ý õ Û ä õ à Ý ÷ Ý ä Ú Û Ü Ý Þ Þ
Ŝ = ˆD
ˆP = P
ˆd ∈ Î ∃d : h(d) = ˆd ∧ d ∈ I
å
ˆT Ü L 9 ( ˆd1 , ˆd 2 ) ∃d 1 ∃d 2 : h(d 1 )= ˆd 1 ∧ h(d 2 )= ˆd 2 ∧ T (d 1 ,d 2 )
9 L Ü å
ˆL( ˆd) =
⋃h(d)= ˆd
L(d)
M Ð Â C ˆM
à 9 : A ¸ 9 ³ > º ¼ 9 > ¾ Å ² ? > ? A Ã Ç Â ¸ ¹ º C ? µ 8 ³  > ³ : ¾ 9 ³ ¹ ³ ¼ È C à µ º ³ ¿ 9 Á
º ³ è Â ¾ ³ ¸ ¸
 ½
¸ ³ : ³ C º ? > ? A Ã Ã ? ¹ ³ C ¾ ³ Ã î > Â ¹ > ? : : ³ Ã A C ¾ ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9 Â C æ ³ ½ ³ C ¿ ¸ ³ : ³ C º ³ C Ð Â C
¿
P Ë A Ã ? : : ³ C ¹ ³ Ã ³ º Ë º Ã 9 C ¾ Å ² ? ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C ? ½ ³ > ? A µ C A > Ë A : ½ ³ > Ô > È Ç ³ C ¾ ³ >
ê
ì A C Ê µ Ã º ¼ 9 > ¾ ¹ ³ Ë ³ 9 ¹ º Ñ ¾ ? Ã Ã ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
 C
Ë ¼ 9 Ã µ ³ C
A C º ³ > Ã A µ ³ C
Å · È > ? ¸ ¸ ³
L(s) ∩ ˆP = ˆL(ŝ)
ˆP ¹ ³ Ã µ > 9 ³ ½ ³ C
Ï A Ã ² ³ Ç Å Ç Â ¸ ¹ º
L(s) = ˆL(ŝ)
· Â > : ³ ¸ Â C ³
¼ ³ > ¾ ³ C
¿ 9 C Ã ³ º Ë ³ C ¾ ³ > ² ³ ë C 9 º 9 Â C ³ C ¸ 9 ³ Ç ³ > º
{f ∈ P | s |= f} = ⋃
h(d)=ŝ
= ⋃
h(d)=ŝ
L(d)
{f ∈ P | d |= f}
æ ê
< ³ ¼ ³ 9 Ã ¾ A > µ Ö 9 ¾ ³ > Ã Ô > A µ Ï C ¹ ³ C Â : : ³ C Ñ ³ Ã ¹ 9 ½ º Ë ¼ ³ 9 ì A Ã º Ê C ¾ ³
Ï A Ã Ã ? ¹ ³
f ? A Ã P Ñ Ç È > ¾ 9 ³ s |= f ∧ d ̸|= f ∧ h(d) =ŝ
æ ê

h 9 C Æ ¸ Å Å Ï C ? ¸ Â ¹ ¼ 9 > ¾ ¾ 9 ³ C : » ¹ Á
L(s) =ˆL(ŝ) A C ¾
h ? A Ç ? ¸ ¸ ³ C ì A Ã º Ê C ¾ ³ C ¾ ³ ë C 9 ³ > º 9 Ã º Ñ ¹ 9 ½ º ³ Ã ³ 9 C ˆt : 9 º h(t) =ˆt Å T (ŝ, ˆt) Ç Â ¸ ¹ º
M Å
¦ & 9 © ¥
© : # & : & § & % % & ( &
h ³ 9 C ³ ´ 9 : A ¸ ? º 9 Â C Ã > ³ ¸ ? º 9 Â C Ë ¼ 9 Ã µ ³ C M A C ¾ ˆM
9 Ã º Å ² 9 ³
? Ã ? ½ Ã º > ? 9 ³ > º ³ è Â ¾ ³ ¸ ¸ ¼ 9 > ¾ C A C ¾ A > µ ³ 9 C ³ C è Â ¾ ³ ¸ Á é ³ µ À 9 C ¹ Ï ¸ ¹ Â > 9 º : A Ã æ ¼ 9 ³
²
Å < Å 9 C Ð Â > ¹ ³ Ã º ³ ¸ ¸ º ê ¾ ? > ? A Ç 9 C È ½ ³ > Ô > È Ç º Ñ Â ½ ³ Ã ¾ 9 ³ ¹ ³ ¹ ³ ½ ³ C ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C ³ 9 C Ê ¸ º Å
Ë
A > µ Ã µ > 9 º º ¼ ³ 9 Ã ³ Ã ì A > È µ À Ç È > ³ C Ð Â C ? ½ Ã º > ? À º ³ C ì A Ã º Ê C ¾ ³ C ? A Ç À Â C À > ³ º ³ ì A Ã º Ê C Á
¾
³ ¾ A > µ Ç È > ³ C Å · A C À º 9 Â C ½ ³ Ã µ > ³ 9 ½ º ¾ ³ C ¾ ? Ë A Ð Â C é ¸ ? > À ³ Ð ³ > ¼ ³ C ¾ ³ º ³ C Ï ¸ ¹ Â > 9 º Á
¾
T Ñ ¾ Å Å Img(S, T )={s ′ |s ∈ S ∧ T (s, s ′ )} Å
u M X s F r F M K F K s a V H I s \ O F | F K ‚ F M O x M F _ ‚ F „ F M H I K F X F K \ ‚ O X V \ ‹ X F K z \ s ‹ K K F K r F I V F V F
w K ‹ V F X F z \ s F ‹ w V V F O x w K s M F V F K ’
‹
94
9 ¸ º Å Î C ¾ 9 ³ Ã ³ : · ? ¸ ¸ À » C C º ³ Æ ¸ ³ 9 µ A C ¹ Ð ³ > ¸ ³ º Ë º Ã ³ 9 C Å ² ? Ã À ? C C ? ½ ³ > C 9 µ º
¹
9 C º > ³ º ³ C Ñ ¾ ?
³
ŝ = h(s) C ¾ ¾ ? : 9 º A
s |= f ∧ d ̸|= f ∧ h(d) =ŝ ⇔
s |= f ∧ d ̸|= f ∧ h(d) =h(s)
æ T ê
² 9 ³ Ã ¼ 9 ¾ ³ > Ã Ô > 9 µ º ¾ ³ > ¢ Â C Ã º > A À º 9 Â C Ð Â C
¸ 9 µ À ³ 9 º Ð Â C
s ̸|= f ∧ d |= f ∧ h(d) =ŝ
æ ê
¹ ³ Ë ³ 9 ¹ º Å Ï A Ã ¾ ³ > C ³ > Ç È ¸ ¸ ½ ? > À ³ 9 º Ð Â C Æ ¸ Å A C ¾ Æ ¸ Å Ç Â ¸ ¹ º
? 9 Ñ ¾ ? Ã Ã ¾ 9 ³ Ë A Ë ³ 9 ¹ ³ C ¾ ³ < ³ ¾ 9 C ¹ A C ¹ ³ > Ç È ¸ ¸ º 9 Ã º Å
¾ : º
È > ? ¸ ¸ ³ Å ·
s, ŝ h(s) =ŝ : A Ã Ã ¹ ³ ¸ º ³ C ¤
º 9 :
t : 9 º T (s, t) ¹ 9 ½ º ³ Ã ³ 9 C ³ C ì A Ã º ? C ¾ ˆt : 9 º T (ŝ, ˆt) A C ¾ h(t) =ˆt Å
· È > ú ³ ¾ ³ C ì A Ã º ? C ¾
² ?
¾ 9 > ³ À º ? A Ã ¾ ³ > ² ³ ë C 9 º 9 Â C Å
´ Â : 9 º 9 Ã º ¹ ³ Ë ³ 9 ¹ º Ñ ¾ ? Ã
³ º Ë º ³ C ? µ Ë A ¼ ³ 9 Ã ³ C ¾ ³ < ³ ¾ 9 C ¹ A C ¹ ? A Ã ² ³ ë C 9 º 9 Â C Ç Â ¸ ¹ º ³ ½ ³ C Ç ? ¸ ¸ Ã ¾ 9 > ³ À º ? A Ã ¾ ³ >
¸
 C à º > A À º 9  C ¾ ³ à ? ½ à º > ? À º ³ C è  ¾ ³ ¸ ¸ à 9 C ² ³ ë C 9 º 9  C Å Ï ¸ à  9 à º
ˆM C ¾ ³ > 8 ? º ³ 9 C ³
9
´ 9 : A ¸ ? º 9 Â C Ð Â C
³ C º ¼ ³ ¾ ³ > Ã µ ¸ ³ 9 Ç ³ C Ç > ³ 9 Ã ³ 9 C Ñ ¾ ? C C 9 Ã º
Ĝ Ĝ È À À ? C C
Ĝ Ë A > µ Å ¾ ¸ 9 µ ³ > . â ö Ü ¾ ³ > · Â > : Ñ Ñ
(ŝ 1 ŝ 2 ... sˆ
n ) Ñ Å
C ³ C 9 ³
Î Ã º ¾ ? Ã C 9 µ º ¾ ³ > · ? ¸ ¸ Ñ ¸ 9 ³ Ç ³ > º ¾ ³ > è Â ¾ ³ ¸ é ³ µ À ³ > ³ 9 C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸
· Â > :
Ĝ C ³ ñ Þ Ý ó â Ý Ñ 9 Ã º ¾ ? Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Ô > 9 C Ë 9 Ô 9 ³ ¸ ¸ A C ³ C ¾ ¸ 9 µ ¸ ? C ¹ A C ¾ ? º ¾ 9 ³
(ŝ 1 ³ 9 Ñ Ñ
Ñ
ŝ 2 ... ŝ i )( s i+1 ˆ ... sˆ
n ) ω Å
Ĝ Ñ Ñ C ³ µ º ³ Ã Â ¾ ³ > ³ 9 C A C ³ µ º ³ Ã Æ ³ ¹ ³ C ½ ³ 9 Á
9 ³
¿ C º Ê ¸ º
Ï ¸ Ã C Ê µ Ã º ³ Ã :
A Ã Ã ³ > À ? C C º ¼ ³ > ¾ ³ C Ñ Â ½
Ã Ô 9 ³ ¸ 9 à º Å ù 9 ³ > ½ ³ 9 ¼ 9 > ¾ Ë A C Ê µ à º Ð Â C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ C  C ³ ´ µ ¸ ³ 9 Ç ³ C ? A à ¹ ³ ¹ ? C ¹ ³ C Å
& : & § & % % & ( & # ¥ & ¥ ( & % & ¿ 9 C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Â C ³ ´ µ ¸ ³ 9 Ç ³ 9 Ã º ¾ ? C C ³ 9 C A C Á
µ º ³ Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Ñ ¼ ³ C C ³ Ã Ë A ¾ ³ : ¹ ³ ¸ 9 ³ Ç ³ > º ³ C î Ç ? ¾
³
(ŝ 1
Ñ
Ñ
ŝ 2 ... sˆ
n ) Â C Ð Ñ
? ½ Ã º > ? À º ³ C
A Ã º Ê C ¾ ³ C õ Ý ó ä Ý ä À Â > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C î Ç ? ¾ : 9 º A C ? ½ Ã º > ? 9 ³ > º ³ C ì A Ã º Ê C ¾ ³ C ¹ 9 ½ º Å
ì
9 ³ è ³ C ¹ ³ ? ¸ ¸ ³ > î Ç ? ¾ ³ ¾ ³ Ã A C ? ½ Ã º > ? 9 ³ > º ³ C è Â ¾ ³ ¸ ¸ Ã Ñ ¾ 9 ³ Ë A ³ 9 C ³ : î Ç ? ¾
²
(ŝ 1 ŝ 2 ... sˆ
n )
h −1 (ŝ 1 , ŝ 2 ,..., sˆ
n )=
{
(s 1 ,s 2 ,...,s n )|
n∧
i=1
}
n−1
∧
h(s i )=ŝ i ∧ I(s 1 ) T (s i ,s i+1 )
i=1
æ ¡ ê
? ½ Ã º > ? 9 ³ > º ¼ ³ > ¾ ³ C Ñ 9 Ã º ¹ ³ ¹ ³ ½ ³ C ¾ A > µ
: 9 º ³ 9 C ³ : 8 ³ Ã º ? A Ç
Ĝ 9 º 9 º ¸ Â ¸ 9 ³ ³ º C
h −1 ³ (Ĝ) µ º Ã Ñ Ã ? Ã ¹ ³ µ ½ ¾ A ³ ¾
≠ ¸ Ê Ã Ã º Ã 9 µ ³ 9 C Ç ? µ
−1
h (Ĝ) C Â Ð ¹ C A C µ ³ > ³ < ³ 9 ² ∅Å
² 9 ³ C º ³ > Ã A µ A C ¹ Ñ Â ½ ³ 9 C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸
º 9 Â C Ã Ç A C À º 9 Â C
h −1 (ŝ) Ã : À ³ > Ç A C À º 9 Â C ¾ ³ > Ï ½ Ã º > ? À Á
h(s) ? h
¸ ë C 9 ³ > º Ñ ¾ 9 ³ ? A Ç ¹ > A C ¾ ¾ ³ > Ë A Ã ? : : ³ C Ç ? Ã Ã ³ C ¾ ³ C Ö 9 > À A C ¹ Ð Â C
h −1 (ŝ) ={s|h(s) =ŝ} ¾ Img(S, T )
³ Å
S Ë Â ¹ ³ C ³ ½
: A Ã ¢ ¤ ! ¦ § © § 9 C î Ã ³ A ¾ Â µ Â ¾ ³ Å ² ? ½ ³ 9 9 Ã º
ú ³ ¼ ³ 9 ¸ Ã ³ 9 C ³ è ³ C ¹ ³ Ð Â C ì A Ã º Ê C ¾ ³ C ¸ 9 ³ Ç ³ > C À ? C C ¤
9 Ã º ¾ ? Ã ¢ # 9 § $ 9
§ % ( % Ð Â C ¾ ³ > ì A Ã º ? C ¾ Ã : ³ C ¹ ³
? A Ç ¾ 9 ³ 8 > ? C Ã 9 º 9 Â C Ã > ³ ¸ ? º 9 Â C

S j ≠ © ¡ i j
w a X x a X “ H I X F O
∅
X w x O
¥ e i i
F | F K ‚ F M O x M F _ | F z a K s F K ’
³ C è Â ¾ ³ ¸ ¸ Ã Ñ ¾ 9 ³ Ð Â C ¾ ³ C Î C 9 º 9 ? ¸ Ë A Ã º Ê C ¾ ³ C ? A Ã ¹ ³ ³ C ¾ ? A Ç ¾ ³ C : 9 º ¾ ³ : Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸
º
 > > ³ Ã Ô Â C ¾ 9 ³ > ³ C ¾ ³ C À  C À > ³ º ³ C î Ç ? ¾ ³ C 9 C
À
i µ > 9 º º ³ C ³ > > ³ 9 µ º ¼ ³ > ¾ ³ C À » C C ³ C Å Î Ã º 9 C
S i ´ ³ ³ > Ñ ½ ³ ¾ ³ A º ³ º ¾ ? Ã ³ 9 C ³ > Ã ³ 9 º Ã Ñ ¾ ? Ã Ã ³ Ã À ³ 9 C À Â C À > ³ º ³ Ã Æ ³ ¹ ³ C Ã º È µ À Ë A
¸
³ : ? ½ Ã º > ? À º ³ C î Ç ? ¾ ¹ 9 ½ º A C ¾ ¾ ? : 9 º ³ 9 C A C ³ µ º ³ Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Ð Â > ¸ 9 ³ ¹ º Å Ï C ¾ ³ > ³ > Á
¾
³ 9 º Ã ¸ 9 ³ Ç ³ > º ¾ 9 ³ Ã ³ > ´ µ > 9 º º ? A µ Î C Ç Â > : ? º 9 Â C ³ C ¾ ? > È ½ ³ > Ñ ¼ 9 ³ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
Ã
³ > Ç ³ 9 C ³ > º ¼ ³ > ¾ ³ C À ? C C Ñ A : ¾ ? Ã A C ³ µ º ³ Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ 9 C ì A À A C Ç º Ë A Ð ³ > : ³ 9 ¾ ³ C Å ² ? Á
Ð
³ > ¼ 9 > ¾ ¾ 9 ³ & A : : ³ > ¾ ³ Ã ´ µ > 9 º º ³ Ã A C ¾ ¾ 9 ³ Ð Â > ? C ¹ ³ ³ C ¾ ³ æ C 9 µ º ¸ ³ ³ > ³ ê è ³ C ¹ ³ Ð Â C
 C À > ³ º ³ C ì A à º Ê C ¾ ³ C Ë A > È µ À ¹ ³ ¹ ³ ½ ³ C A C ¾ 9 C Ï ½ à µ C 9 º º ¨ Å T Ë A > Ì ³ > ½ ³ à à ³ > A C ¹ ¾ ³ >
À
½ Ã º > ? À º 9 Â C Ð ³ > ¼ ³ C ¾ ³ º Å
Ï
P x º Ê ¸ º C A > ³ 9 C ³ ³ 9 C Ë 9 ¹ ³ Ì ? > 9 ? ½ ¸ ³ : 9 º
D x = {1,...,12} ³ T C 9 ³ 8 > ? C Ã 9 º 9 Â C Ã > ³ ¸ ? º 9 Â C 9 Ã º ¼ 9 ³ 9 C Ï ½ ½ Å ? A Ç ¹ ³ ½ ? A º Ñ ¾ 9 ³ ´ Ô ³ Ë 9 Á
φ Å ² º Ê ¸ º ? ¸ Ã ³ 9 C Ë 9 ¹ ³ < ³ ¾ 9 C ¹ A C ¹ §
£
x ≠12 Å ² 9 ³ è ³ C ¹ ³ ? C Î C 9 º 9 ? ¸ Ë A Ã º Ê C ¾ ³ C
C ³
5
©
¢
³ Ë ³ 9 ¹ º ³ · Â > : Å
¹
: ? ½ Ã º > ? 9 ³ > º ³ C è Â ¾ ³ ¸ ¸ ¹ 9 ½ º ³ Ã ³ 9 C ³ C î Ç ? ¾ Ñ ¾ ³ > ¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C
§
£
Î
F
¢
E
E
95
© % # ! ¤ ´ Ô ¸ 9 º î ? º æ
¢
(ŝ 1 ŝ 2 ... sˆ
n ),I,T ê
S 0 := h −1 (ŝ 1) ∩ I
j := 0
£ ¥ i
S
¡
j ∅∧j ½ ³ 9 º ³ º ¾ ³ C ¹ ³ ¹ ³ ½ ³ C ³ C ? ½ Ã º > ? À º ³ C î Ç ? ¾ ì A Ã º ? C ¾ Ç È >
² ³
à º ? C ¾ ? ½ Å Î C ú ³ ¾ ³ : ´ µ > 9 º º ¼ 9 > ¾ ¾ 9 ³ è ³ C ¹ ³
ì Ð A Â C À Â C À > ³ º ³ C ì A Ã º Ê C ¾ ³ C ½ ³ > ³ µ C ³ º Ñ
S i
9 : º ³ ? º ³ ¸ C ½ º ? º C A º C À > ³ Ô C 9 ³ > ³ C A C ¾ ? A þ ³ > ¾ ³ : Æ ¸ ³ 9 µ A C ¹
¾ ³ 9 ¾ : À A ¸ ³ ? Ã > À ³ ì Ã ? ¾ Â > Ã Â ¾
º ¡ æ : 9
n = i > 9 ³ ½ ³ C ³ C º Ê ¸ º ? ¸ ¸ ³ ì A Ã º Ê C ¾ ³ ¾ ³ Ã À Â C À > ³ Á
S i µ Ã ³ ½ ¸ ¸ ³ : > Â Ç C Î Å C ³ ¸ ¸ È Ç > ³ ê
³ 9 C ³ : ´ µ > 9 º º
I 9 Ã º ¾ A > µ {1, 2, 3} ¾ ³ ë C 9 ³ > º Å ³ C Ã 9 µ º ¸ 9 µ ³ > Ç È ¸ ¸ º ¾ ? Ã î > Â ¹ > ? : : ¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C Ñ
J Ý ó ü ß ó Ý Þ 9 Ï C ¹ ³ C Â : : ³ C Ñ ³ 9 C î > Â ¹ > ? : :
ë À ? º 9 Â C
¾ ? À ³ 9 C ³ > ¸ ³ 9 î Ç ? ¾ ³ Ð Â C ³ 9 C ³ : Î C 9 º 9 ? ¸ Ë A Ã º ? C ¾ Ë A ì A Ã º ? C ¾ Ç È > ³ C Å
E ¡
E E
‰ ‚ ‚ ’
E V \ K O M X M w K O V F _ \ X M w K s F O F M O x M F _ x V w | V \ r r F O
‰ a O | F z y _ _ X F Z V F M O F ‚ F „ F M H I K F K T w K s F K ¢ K M X M \ _ „ a O X Y K s F K \ a O F V V F M H I ‚ \ V F … _ F F V F Z V F M O F
a K F V V F M H I ‚ \ V F
a O X Y K s F ’
² 9 ³ 9 C 9 º 9 ? ¸ ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
h à ³ 9 æ ¼ 9 ¸ ¸ À È > ¸ 9 µ ê ¾ A > µ
h(x) =⌊(x − 1)/3⌋+1
³ Ã º 9 : : º Å ² ? : 9 º ¼ ³ > ¾ ³ C ¾ 9 ³ : » ¹ ¸ 9 µ ³ C Ñ À Â C À > ³ º ³ C ì A Ã º Ê C ¾ ³ Ë A ¨ ? ½ Ã º > ? À º ³ C
½
A Ã º Ê C ¾ ³ ì
ˆ1, ˆ2, ˆ3, ˆ4 A Ã ? : : ³ C ¹ ³ Ç ? Ã Ã º A C ¾ ¾ ? Ã ? ½ Ã º > ? À º ³ è Â ¾ ³ ¸ ¸ ³ > Ê ¸ º ¾ 9 ³ 9 C Ï ½ ½ Å
Ë
x ≠12
æ
≡ §
£
ˆx ≠ ˆ4 ê Ð ³ > ¸ ³ º Ë º Ñ C Ê : ¸ 9 µ ¾ ³ C î Ç ? ¾ (ˆ1 Ñ ˆ2 Ñ ˆ3 Ñ ˆ4) Å ² 9 ³ è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ¼ 9 > ¾ ? ¸ Ã Â
¾ 9 ³ Ã ³ C î Ç ? ¾ ? ¸ Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ¸ 9 ³ Ç ³ > C Å ¢ ¤ ! ¦ § © § ½ ³ > ³ µ C ³ º ¾ ? > ? A Ã ¾ 9 ³ 9 C 8 ? ½ ³ ¸ ¸ ³

5
S Å ² ? S 3 = ∅ Ñ ¼ 9 > ¾ ¾ ? Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ À Â > > ³ À º ? ¸ Ã A C ³ µ º ³ Ã
E
5
=
& : & § & % § % & ( & = % ¥ ( & % & Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ : 9 º ´ µ ¸ ³ 9 Ç ³ C ¼ ³ > ¾ ³ C Ê C ¸ 9 µ A C Á
£
³ > Ã A µ º ¼ 9 ³ Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ Â C ³ ´ µ ¸ ³ 9 Ç ³ C Å ² ? Ë A ¼ 9 > ¾ ¾ ? Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ : 9 º ³ 9 C ³ >
º
A C À º 9 Â C ¢ ¤ ! ¦ § ¤ A C º ³ > Ã A µ º Ñ ¾ 9 ³ ¾ ? Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ? A Ç > Â ¸ ¸ º æ Ð ³ > ¹ ¸ ³ 9 µ ½ ? > : 9 º
·
³ : < ³ > ³ µ C A C ¹ Ã ½ ? A : ½ ³ 9 ¾ ³ > ¢ > 9 Ô À ³ Á ´ º > A À º A > ê A C ¾ ¾ ? C C ? C ? ¸ Â ¹ Ë A ¢ ¤ ! ¦ § © §
¾
Ð Â C ³ > > ³ 9 µ ½ ? > ³ C ì A Ã º Ê C ¾ ³ C ½ ³ > ³ µ C ³ º Å Ö 9 > ¾ 9 C ³ 9 C ³ : ´ µ > 9 º º
S i
½ ³ Ã º 9 : : º Ñ 9 Ã º ¹ ³ C ? A ¼ 9 ³ ½ ³ 9 ¢ ¤ ! ¦ § © § ³ 9 C A C ³ µ º ³ Ã Æ ³ ¹ ³ C Á
S i
³ 9 Ã Ô 9 ³ ¸ ³ > À ? C C º A C ¾ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C ¼ 9 > ¾ Ð ³ > Ç ³ 9 C ³ > º Å Î : + ? : ³ C ¾ ³ > Ï A Ã ? > ½ ³ 9 º A C ¹
½
9 > ¾ ? A Ç ¾ ³ C ¹ ³ C ? A ³ C Ï A Ç ½ ? A A C ¾ Ï ½ ¸ ? A Ç Ð Â C ¢ ¤ ! ¦ § ¤ C 9 µ º ¼ ³ 9 º ³ > ³ 9 C ¹ ³ ¹ ? C ¹ ³ C Ñ
¼
¢ & 9 & % & 9 : % & 9
§
9 < % #
9 > ¾ ³ 9 C ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C C » º 9 ¹ Ñ ? º ¾ 9 ³ A > Ã Ô > È C ¹ ¸ 9 µ ³ Ï ½ Ã º > ? À º 9 Â C Ã Á
Ö
½ ½ 9 ¸ ¾ A C ¹ Ë A > ¿ C º Ã º ³ A C ¹ ³ 9 C ³ Ã A C ³ µ º ³ C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Ã ¹ ³ Ç È > º Å ² A > µ ¾ 9 ³ ì A Ã ? : Á
?
³ C Ç ? Ã Ã A C ¹ Ð Â C ì A Ã º Ê C ¾ ³ C : È Ã Ã ³ C ? ¸ Ã Â C ³ A ³ ì A Ã º ? C ¾ Ã È ½ ³ > ¹ Ê C ¹ ³ ³ C º Ã º ? C ¾ ³ C Ã ³ 9 C Ñ
:
9 ³ 9 : > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ C 9 µ º ³ C º ? ¸ º ³ C Ã 9 C ¾ Å < ³ 9 ¾ ³ : 9 C < ³ 9 Ã Ô 9 ³ ¸ T ¹ ³ Ë ³ 9 ¹ º ³ C è Â Á
¾
Æ
(ˆ1 Ñ ˆ2 Ñ ˆ3 Ñ ˆ4) Å
12 ³ ¤ 9 Ã 9 º 9 ³ > º Ñ Ð ³ > ³ 9 C 9 ¹ º ¾ 9 ³ ì A Á
96
M
1
2
4
5
7
8
10
11
3
6
9
12
h :
ˆM
ˆ1 ˆ2 ˆ3 ˆ4
‰ ‚ ‚ ’ E
‰ ‚ O X V \ I M F V X F O u w s F _ _ \ a O ‰ ‚ ‚ ’
? C ¹ ³ ¹ ³ ½ ³ C ³ C è ³ C ¹ ³ C
³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ > À ? C C º Å · È > ¾ 9 ³ C A C ³ > Ç Â ¸ ¹ ³ C ¾ ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C ¼ 9 > ¾
Æ
9 ³ ¸ ³ º Ë º ³ C 9 µ º ¸ ³ ³ > ³ ì A Ã º ? C ¾ Ã : ³ C ¹ ³
¾
S 2 = {9} C ¾ ¾ 9 ³ & A : : ³ > ¾ ³ Ã Ë A : · ³ ¸ ³ >
A
i =3 ½ ³ > ³ 9 º ¹ ³ Ã º ³ ¸ ¸ º Å
Ç È > ³ C ¾ ³ C
´ µ > 9 º º ³ Ã
i ŝ i h −1 (ŝ i) S i Img(S i,T)
0 ˆ1 {1, 2, 3} {1, 2, 3} {4, 5, 6}
1 ˆ2 {4, 5, 6} {4, 5, 6} {9}
2 ˆ3 {7, 8, 9} {9} ∅
3 ˆ4 {10, 11, 12} ∅ ∅
H w K ¢ ¤ . 1 ¦
E \ ‚ F _ _ F
1 ¨ ‚ F V F H I K F X F u F K | F K
ì A Ã º ? C ¾ Ã :
³ C ¹ ³ C
³ 9 C ³ ¸ ³ ³ > ³ è ³ C ¹ ³
à  C ¾ ³ > C
? A Ç Ð ³ > ¼ 9 ³ Ã ³ C Å
³ ¸ ³ C º Ã º ³ º ³ 9 C Ã Â ¸ µ ³ > C ³ A ³ > ½ ³ > ¹ ? C ¹ ¾ A > µ ¾ 9 ³ ì A Ã ? : : ³ C Ç ? Ã Ã A C ¹ ¾ ³ > À Â C À > ³ º ³ C
¾ ¸
à º Ê C ¾ ³ ì A
7, 8, 9 ˆ3 ¾ ³ : ? ½ Ã º > ? À º ³ C ì A Ã º ? C ¾ æ Ð ¹ ¸ Å Ï ½ ½ Å ê Å Ö Ê > ³ C ¾ 9 : À Â C À > ³ Á
A Ë
7 A C ¾ 9 ½ ³ Ã º ³ º A C ¾ ¾ ? : 9 º À ³ 9 C
º ³ C è Â ¾ ³ ¸ ¸ À ³ 9 C ³ Ì ³ > ½ 9 C ¾ A C ¹ Ë ¼ 9 Ã µ ³ C ì A Ã º ? C ¾
î Ç ? ¾ Ë A ¾ ³ : ? ¸ Ã A C ³ > ¼ È C Ã µ º Ã Ô ³ Ë 9 ë Ë 9 ³ > º ³ C ì A Ã º ? C ¾
à ? : : ³ C Ç ? à à A C ¹ ¾ 9 ³ à ³ ì A à º Ê C ¾ ³ A C ¾ 9 > ³ 8 > ? C à 9 º 9  C ³ C A C ¾ ³ > Ë ³ A ¹ º à  ¾ ? à A C ³ µ º ³
³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸

ˆ3 Ñ ¾ ³ > ¾ ³ Ã ? ¸ ½
A µ ? ¸ Ã ¢ & ¥ ( & 9 ¡
© < % ½ ³ Ë ³ 9 µ C ³ º ¼ 9 > ¾ Å ² 9 ³ ¹ ³ C ? A ³ > ³ < ³ º > ? µ º A C ¹ ¾ ³ > ? A Ç ¾ ³ C
?
³ ¸ ³ > Ë A Ã º ? C ¾ ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ³ C À Â C À > ³ º ³ C ì A Ã º Ê C ¾ ³ Ë ³ 9 ¹ º Ñ ¾ ? Ã Ã 9 ³ 9 C ¾ > ³ 9 Ð ³ > Ã µ 9 ³ ¾ ³ C ³
·
Ä Ô ³ C ³ 9 C ¹ ³ º ³ 9 ¸ º ¼ ³ > ¾ ³ C À » C C ³ C ¤
8
9 Ã º Ð Â C ¾ ³ C Î C 9 º 9 ? ¸ Ë A Ã º Ê C ¾ ³ C ? A Ã ³ > > ³ 9 µ ½ ? > Ñ ? º ? ½ ³ >
9
? Ã Ã ¾ 9 ³ ¿ 9 C ¹ ? C ¹ Ã Á A C ¾ ¾ 9 ³ Ï A Ã ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ C 9 µ º : ³ > ? A Ç ¾ ³ C Ã ³ ¸ ½ ³ C ? ½ Ã º > ? À º ³ C
¾
A Ã º ? C ¾ ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ ³ > ¾ ³ C Å ² ? ¾ A > µ ¼ 9 > ¾ ¾ ³ > Ë A Ã Ê º Ë ¸ 9 µ ³ ì A Ã º ? C ¾ Ã È ½ ³ > ¹ ? C ¹ ³ ¸ 9 : 9 Á
ì
9 ³ > º A C ¾ ¾ ? Ã A C ³ µ º ³ Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ À ? C C C 9 µ º : ³ > ? A Ç º > ³ º ³ C Å ² 9 ³ 9 > > ³ ¸ ³ Ð ? C º ³ C
C
A Ã º Ê C ¾ ³ À » C C ³ C ½ ³ 9 ¾ 9 ³ Ã ³ > Ï A Ç º ³ 9 ¸ A C ¹ ½ ³ ¸ 9 ³ ½ 9 ¹ Ð ³ > º ³ 9 ¸ º ¼ ³ > ¾ ³ C Å : ¾ ? Ã è Â ¾ ³ ¸ ¸ ½ ³ 9
ì
³ > Ì ³ > Ç ³ 9 C ³ > A C ¹ C 9 µ º A C C » º 9 ¹ À Â : Ô ¸ ³ ³ > Ë A : ? µ ³ C Ñ Ã Â ¸ ¸ ¾ 9 ³ Ï A Ç º ³ 9 ¸ A C ¹ : » ¹ ¸ 9 µ Ã º
¾
à Û Ã ³ 9 C Ñ ¾ Å Å Ë A > ¿ C º Ã º ³ A C ¹ : » ¹ ¸ 9 µ Ã º ¼ ³ C 9 ¹ ³ > Ñ C ³ A ³ > ? ½ Ã º > ? À º ³ > ì A Ã º Ê C ¾ ³ Ç È > ³ C Å
å
C Ï ½ ½ Å Å T Ã 9 C ¾ Ë ¼ ³ 9 è » ¹ ¸ 9 µ À ³ 9 º ³ C ¹ ³ Ë ³ 9 ¹ º Ñ ¼ 9 ³ ¾ ? Ã ? ½ Ã º > ? À º ³ è Â ¾ ³ ¸ ¸ ? A Ã < ³ 9 Ã Ô 9 ³ ¸
Î
Ð ³ > Ç ³ 9 C ³ > º ¼ ³ > ¾ ³ C À ? C C Ñ A : ¾ ? Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Ë A ³ C º Ç ³ > C ³ C Å < ³ 9 ¾ ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ³ C
T
4
‚ ‚ ’ E E ‰
9 ³ ´ A µ ³ C ? µ ¾ ³ > ¹ > » ½ Ã º ³ C Ì ³ > Ç ³ 9 C ³ > A C ¹ Ñ ¼ ³ ¸ µ ³ ¾ 9 ³ ¿ 9 C ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ ¾ ³ Ã
²
³ ¸ ³ > Ë A Ã º ? C ¾ ³ Ã Ð Â ¸ ¸ Ã º Ê C ¾ 9 ¹ Ð Â C ¾ ³ C Ï A Ã ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ C º > ³ C C º Ñ 9 Ã º ú ³ ¾ Â µ À ³ 9 C ³ Ã Á
·
³ ¹ Ã ³ 9 C ³ º > 9 Ð 9 ? ¸ ³ Ï A Ç ¹ ? ½ ³ Å Î C ¼ 9 > ¾ Ã Â ¹ ? > C ? µ ¹ ³ ¼ 9 ³ Ã ³ C Ñ ¾ ? Ã Ã ¾ ? Ã î > Â ½ ¸ ³ : ¾ ³ >
¼
î ? > º 9 º 9 Â C 9 ³ > A C ¹ 9 C é ¸ 9 ¢ A ³ C ? A Ç ¾ 9 ³ Ã ³ Ã î > Â ½ ¸ ³ : > ³ ¾ A Ë 9 ³ > º ¼ ³ > ¾ ³ C À ? C C A C ¾ Ã Â : 9 º
A Ã Ã ³ > ¾ ³ C ¿ 9 C Á A C ¾ Ï A Ã ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ C ? A µ C Â µ ¾ 9 ³ 9 > > ³ ¸ ³ Ð ? C º ³ C ì A Ã º Ê C ¾ ³ ½ ³ Á
?
È µ À Ã 9 µ º 9 ¹ ³ C : A Ã Ã Å ² ? ¾ 9 ³ Ã ³ > ì A Ã º ? C ¾ Ã º Ä Ô Ã Â ¼ Â ¸ Ë A Ã ? : : ³ C : 9 º ¿ 9 C ¹ ? C ¹ Ã Ë A Ã º Ê C Á
>
³ C ? ¸ Ã ? A µ : 9 º Ï A Ã ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ C ? A Ç º > ³ º ³ C ¾ ? > Ç A C ¾ Ã 9 C ¾ ú ³ C ? µ ¾ ³ > À Â C À > ³ º ³ C
¾
9 C º ³ 9 ¸ A C ¹ A C º ³ > Ã µ 9 ³ ¾ ¸ 9 µ Ð 9 ³ ¸ ³ ? ½ Ã º > ? À º ³ ì A Ã º Ê C ¾ ³ ³ > ¹ ³ ½ ³ C À » C C ³ C Ñ : A Ã Ã Ô > 9 C Ë 9 Ô 9 Á
¿
¸ ¸ ú ³ ¾ ³ : » ¹ ¸ 9 µ ³ Ï A Ç º ³ 9 ¸ A C ¹ ¾ ³ > 9 > > ³ ¸ ³ Ð ? C º ³ C ì A Ã º Ê C ¾ ³ ½ ³ º > ? µ º ³ º ¼ ³ > ¾ ³ C Å ² 9 ³ Ã 9 Ã º
³
³ ¾ Â µ Ë A ? A Ç ¼ Ê C ¾ 9 ¹ Ñ A : Ô > ? À º 9 À ? ½ ³ ¸ Ë A Ã ³ 9 C Å é ¸ ? > À ³ A C ¾ Æ > A : ½ ³ > ¹ Ã µ ¸ ? ¹ ³ C ¾ ? ³ >
ú
4
h à Â
97
² 9 ³ > Ã ? µ ³ Ç È > ¾ ? Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ¸ 9 ³ ¹ º ? ¸ Ã Â 9 : ? ½ Ã º > ? À º ³ C ì A Ã º ? C ¾
Å ² ³ > % : < :
©
© < %
³ 9 C ³ ½ ³ > ¹ Ê C ¹ ³ Ë A ¾ ³ : C Ê µ Ã º ³ C ? ½ Ã º > ? À º ³ C ì A Ã º ? C ¾ 9 : Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Å
À
Å ² ³ >
§ © : < :
©
© < %
7 Ã º C 9 µ º ³ > > ³ 9 µ ½ ? > Ñ ? º ú ³ ¾ Â µ ½ ³ > ¹ Ê C ¹ ³ Ë A :
9
Ê µ Ã º ³ C ? ½ Ã º > ? À º ³ C ì A Ã º ? C ¾ 9 : Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ Å
C
Å ² ³ > % 9 9 & ( & < & © < %
T
8 Ã º ¼ ³ ¾ ³ > ¿ 9 C ¹ ? C ¹ Ã Á C Â µ Ï A Ã ¹ ? C ¹ Ã Ë A Ã º ? C ¾ A C ¾
9
Ã Ô 9 ³ ¸ º Ç È > ¾ 9 ³ ¿ 9 à º ³ C Ë ¾ ³ Ã Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ à À ³ 9 C ³ +  ¸ ¸ ³ Å
² ? Ã ì 9 ³ ¸ ¾ ³ > Ì ³ > Ç ³ 9 C ³ > A C ¹ : A Ã Ã ? ¸ Ã Â Ã ³ 9 C Ñ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
? ½ Ë A Ê C ¾ ³ > C Ñ
> ³ A ¹ ³ C ¾ ? ½ ³ 9 C A > ³ 9 C ³ C Ë A Ã Ê º Ë ¸ 9 µ ³ C ? ½ Ã º > ? À º ³ C ì A Ã º ? C ¾ A C ¾ Ã 9 C ¾ ¾ ? ³ > Ã Â ¹ > Â ½
³ Ë
³ C A > 9 > ¹ ³ C ¾ : » ¹ ¸ 9 µ Å ¿ 9 C ³ ¾ > 9 º º ³ Ð Â > Ã º ³ ¸ ¸ ½ ? > ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ À » C C º ³ ¾ 9 ³ ì A Ã º ? C ¾ ³
¼ 9
7 Ñ
8 9 ¾ ú ³ ¼ ³ 9 ¸ Ã Ë A ³ 9 C Ë ³ ¸ C ³ C ? ½ Ã º > ? À º ³ C ì A Ã º Ê C ¾ ³ C ? ½ ½ 9 ¸ ¾ ³ C Á 9 C ¾ 9 ³ Ã ³ : · ? ¸ ¸ ¼ È > ¾ ³ C
C A
ú ³ ¾ Â µ Ë ¼ ³ 9 C ³ A ³ ì A Ã º Ê C ¾ ³ ³ C º Ã º ³ ³ C Ñ ¼ ? Ã A C C » º 9 ¹ 9 Ã º Å
1
4
7
10
1
4
7
10
2
3
5
6
9
8
11
12
2
3
5
6
8
9
11
12
ˆ1 ˆ2 ˆ3a ˆ3b ˆ4
ˆ1 ˆ2 ˆ3a ˆ3b ˆ4
3 ‚
3 \
Ž F M u | _ M H I ‹ F M X F K „ a V H F V z F M K F V a K | F K s F V ‰ ‚ O X V \ ‹ X M w K
5 F
9 ³ ´ A µ ³ C ? µ ¾ ³ > ¹ > » ½ Ã º ³ C Ì ³ > Ç ³ 9 C ³ > A C ¹ & î Á ? > º 9 Ã º Å ² ? Ë A º > Ê ¹ º ? A Ã Ã ³ > ¾ ³ > : ³ > Á
¾
9 : ³ C Ã 9 Â C ? ¸ ³ C Â C Ã º > A À º 9 Â C Ð Â C
¾
h  > ? ¸ ¸ ³ : ¾ 9 ³ 8 ? º à ? µ ³ ½ ³ 9 Ñ ¾ ? à ¾ 9 ³ Ï A Ç º ³ 9 ¸ A C ¹
Ð

¸ Ã ù ³ A > 9 Ã º 9 À Ð Â > Ñ ? ¸ ¸ ³ 9 > > ³ ¸ ³ Ð ? C º ³ C ì A Ã º Ê C ¾ ³ ³ ½ ³ C Ç ? ¸ ¸ Ã ? ¸ Ã Ï A Ã ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ Ë A ½ ³ Á
?
> ? µ º ³ C A C ¾ ³ 9 C ³ ¾ ? ¾ A > µ C 9 µ º ¹ ? C Ë : ? ¤ 9 : ? ¸ ¹ > Â ½ ³ Í » Ã A C ¹ 9 C ¢ ? A Ç Ë A C ³ : ³ C Å
º
9 º ¾ 9 ³ Ã ³ > ù ³ A > 9 Ã º 9 À > ³ ¾ A Ë 9 ³ > º Ã 9 µ ¾ 9 ³ ´ A µ ³ C ? µ ³ 9 C ³ > Ï A Ç º ³ 9 ¸ A C ¹ ? A Ç ¾ 9 ³ 8 > ³ C C A C ¹
è
 C ò L Ý ó Æ > A Ô Ô ³ C Ñ ¾ ³ C ¿ 9 C ¹ ? C ¹ Ã Ë A à º Ê C ¾ ³ C ? A Ç ¾ ³ > ³ 9 C ³ C ´ ³ 9 º ³ A C ¾ ¾ ³ C 9 > > ³ ¸ ³ Ð ? C º ³ C
Ð
C ¾ Ï A Ã ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ C ? A Ç ¾ ³ > ? C ¾ ³ > ³ C ´ ³ 9 º ³ æ ¼ 9 ³ 9 C Ï ½ ½ Å ? ê Å
A
9 ³ Ã ³ Ã Ð ³ > ³ 9 C Ç ? µ º ³ î > Â ½ ¸ ³ : 9 Ã º 9 C Ô Â ¸ Ä C Â : 9 ³ ¸ ¸ ³ > ì ³ 9 º ¸ » Ã ½ ? > Å ² ? Ë A ¼ 9 > ¾ Ð Â C ¾ ³ :
²
ŝ ? A Ã ¹ ³ ¹ ? C ¹ ³ C Ñ ¾ ³ > Ð Â C ¾ ³ > · A C À º 9 Â C ¢ ¤ ! ¦ § ¤ § Ë A > È µ À Á
 ¸ Ä C  : 9 ³ ¸ ¸ ³ > Í ? A Ç Ë ³ 9 º 9 C î à ³ A ¾  µ  ¾ ³ 9 à º 9 C T A C ¾ ¹ ³ ¹ ³ ½ ³ C Ñ 9 : + ? : ³ C ¾ ³ > Ï A à Á
Ô
> ½ ³ 9 º A C ¹ ¼ 9 > ¾ Ã ³ 9 C ³ ² ? > Ã º ³ ¸ ¸ A C ¹ ? A Ç ¾ 9 ³ ´ µ 9 ¸ ¾ ³ > A C ¹ ¾ ³ > Æ > A C ¾ 9 ¾ ³ ³ ½ ³ Ã µ > Ê C À º Å
?
A > µ ¾ 9 ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ¼ 9 > ¾ ? ¸ Ã Â ¾ 9 ³ ì A Ã ? : : ³ C Ç ? Ã Ã A C ¹ Ð Â C ì A Ã º Ê C ¾ ³ C Ñ ¾ 9 ³ ½ ³ 9
²
³ > Ö ? ¸ ¾ ³ > 9 C 9 º 9 ? ¸ ³ C Ï ½ Ã º > ? À º 9 Â C ³ 9 C ¹ ³ Ç È > º ¼ A > ¾ ³ Ñ Ã µ > 9 º º ¼ ³ 9 Ã ³ ¼ 9 ³ ¾ ³ > ? A Ç ¹ ³ Â Á
¾
³ C Å ² 9 ³ Ã ³ Ï A Ç ³ ½ A C ¹ ³ > Ç Â ¸ ¹ º Ã ³ ¸ ³ À º 9 Ð ? C ¾ ³ C ú ³ C 9 ¹ ³ C ´ º ³ ¸ ¸ ³ C ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ã Ñ ? C ¾ ³ C ³ C
½
9 ³ ì A Ã ? : : ³ C Ç ? Ã Ã A C ¹ Ë A A C ³ µ º ³ C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ C ¹ ³ ¹ ³ C ¾ 9 ³ ´ Ô ³ Ë 9 ë À ? º 9 Â C Ç È > º Å
¾
9 º ¾ 9 ³ Ã ³ > ´ 9 µ º ¼ ³ 9 Ã ³ ¼ 9 > ¾ À ¸ ? > Ñ ¾ ? Ã Ã ¾ 9 ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ã C 9 µ º ½ ³ ¸ 9 ³ ½ 9 ¹
è
Ç º ³ > Ç Â ¸ ¹ ³ C À ? C C Ñ ¾ ³ C C 9 > ¹ ³ C ¾ ¼ ? C C Ã 9 C ¾ ö Þ Þ Ý Ë A Ã ? : : ³ C ¹ ³ Ç ? Ã Ã º ³ C ì A Ã º Ê C ¾ ³ ¼ 9 ³ ¾ ³ >
Â
h 9 Ã º 9 Ã Â : Â > Ô Ë A > Î ¾ ³ C º 9 º Ê º Ã Ç A C À º 9 Â C A C ¾ ¾ ? Ã
Ô ³ Ë 9 ë À ? º 9 Â C ³ > Ç È ¸ ¸ º Â ¾ ³ > C 9 µ º Å ² ? Ã Ì ³ > Ç ? > ³ C Ð Â C é ¸ ? > À ³ 9 Ã º ¾ ? ³ > - Û Þ Þ ü ÷ C ä Ü ó å Ñ ¾ Å Å
´
à º ³ > : 9 C 9 ³ > º ? A Ç ú ³ ¾ ³ C · ? ¸ ¸ A C ¾ ¸ 9 ³ Ç ³ > º æ ? A à > ³ 9 µ ³ C ¾ + ³ à à  A > µ ³ C Ð Â > ? A à ¹ ³ à ³ º Ë º ê 9 : Á
³
³ > ³ 9 C À Â > > ³ À º ³ Ã ¿ > ¹ ³ ½ C 9 Ã Å Î C ¾ ³ C : ³ 9 Ã º ³ C · Ê ¸ ¸ ³ C À ? C C ? A µ Ã µ Â C ¼ ³ Ã ³ C º ¸ 9 µ Ð Â >
:
³ > Ð Â ¸ ¸ Ã º Ê C ¾ 9 ¹ ³ C Ì ³ > Ç ³ 9 C ³ > A C ¹ ¾ ³ Ã ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ Ã ³ 9 C ³ Ï A Ã Ã ? ¹ ³ È ½ ³ > ¾ ? Ã > 9 Á
¾
9 C ? ¸ : Â ¾ ³ ¸ ¸ ¹ ³ ¸ 9 ³ Ç ³ > º ¼ ³ > ¾ ³ C A C ¾ ¾ 9 ³ è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ³ > Ç Â ¸ ¹ º ¼ 9 ³ ½ ³ ? ½ Ã 9 µ º 9 ¹ º C A > ? A Ç
¹
9 C ³ : Ã º ? > À Ð ³ > ³ 9 C Ç ? µ º ³ C ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ Å
³
¡ ¥ ­ « ® £ ® ¬ ® ¥ ® ¯ ¡ ¥ ¯ ° ¬ ±
C ¾ ³ > Ð Â > ¸ 9 ³ ¹ ³ C ¾ ³ C Ï A Ã ? > ½ ³ 9 º A C ¹ ¼ A > ¾ ³ ¾ 9 ³ 9 C ¾ ³ > è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ ¼ ³ 9 º Ð ³ > ½ > ³ 9 º ³ Á
Î
³ 8 ³ µ C 9 À ¾ ³ > Ï ½ Ã º > ? À º 9 Â C Ð Â > ¹ ³ Ã º ³ ¸ ¸ º A C ¾ ³ 9 C 9 ¹ ³ ¾ ³ > Ë A ¹ ³ » > 9 ¹ ³ C º ³ Â > ³ º 9 Ã µ ³ C
º
³ Ã µ > 9 ³ ½ ³ C Å Ï C ? C ¾ ³ 9 C ³ Ã À Â C À > ³ º ³ C Ì ³ > Ç ? > ³ C Ã ¼ A > ¾ ³ ¹ ³ Ë ³ 9 ¹ º Ñ ¼ 9 ³ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Á
½
C Ë A > ? A º Â : ? º 9 Ã µ ³ C î > È Ç A C ¹ ¹ > » þ ³ > ³ > ´ Ä Ã º ³ : ³ ³ 9 C ¹ ³ Ã ³ º Ë º ¼ ³ > ¾ ³ C À ? C C Å ² ? Ã ¾ ? ½ ³ 9
Â
³ ? C ¾ ³ ¸ º ³ Ì ³ > Ç ? > ³ C Ð Â C é ¸ ? > À ³ A C ¾ Æ > A : ½ ³ > ¹ ¼ A > ¾ ³ ? A Ã ¹ ³ ¼ Ê ¸ º Ñ ¾ ? ³ Ã ³ 9 C 9 ¹ ³ Ç È >
½
³ C ¿ 9 C Ã ? º Ë 9 : < ³ > ³ 9 µ ¾ ³ > è Â ¾ ³ ¸ ¸ Ô > È Ç A C ¹ Ã ³ > 9 C º ³ > ³ Ã Ã ? C º ³ ¿ 9 ¹ ³ C Ã µ ? Ç º ³ C ? A Ç ¼ ³ 9 Ã º Å
¾
9 C ¹ > Â Ã Ã ³ > Ì Â > º ³ 9 ¸ ¾ ³ Ã Ð ³ > ¼ ³ C ¾ ³ º ³ C Ï C Ã ? º Ë ³ Ã 9 Ã º ½ ³ 9 Ã Ô 9 ³ ¸ Ã ¼ ³ 9 Ã ³ ¾ ? > 9 C Ë A Ã ³ ³ C Ñ ¾ ? Ã Ã
¿
9 ³ Ï ½ Ã º > ? À º 9 Â C ¾ ³ Ã > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ Ã Ð Â ¸ ¸ ? A º Â : ? º 9 Ã µ ? ½ ¸ Ê A Ç º Å ² 9 ³ 9 C 9 º 9 ? ¸ ³ Ï ½ Ã º > ? À Á
¾
9 Â C ¼ 9 > ¾ ¾ 9 > ³ À º ¾ A > µ Ï C ? ¸ Ä Ã ³ ¾ ³ Ã è Â ¾ ³ ¸ ¸ Ô > Â ¹ > ? : : Ã ¹ ³ C ³ > 9 ³ > º Ñ ¼ ³ ¸ µ ³ Ã Â C ³ 9 C
º
 : ¿ C º ¼ 9 µ À ¸ ³ > ¹ ³ ¸ 9 ³ Ç ³ > º ¼ ³ > ¾ ³ C : A þ ³ à 9 à º ? ¸ à  À ³ 9 C ³ : ? C A ³ ¸ ¸ ³ ì A à ? º Ë ? > ½ ³ 9 º C » º 9 ¹ Å
Ð
9 ³ ³ Ð ³ C º A ³ ¸ ¸ C ? µ Ç Â ¸ ¹ ³ C ¾ ³ Ì ³ > Ç ³ 9 C ³ > A C ¹ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C ³ > Ç Â ¸ ¹ º ¾ A > µ C º ³ > Ã A Á
²
A C ¹ Ð Â C Æ ³ ¹ ³ C ½ ³ 9 Ã Ô 9 ³ ¸ ³ C Ñ ³ > Ç Â > ¾ ³ > º ? ¸ Ã Â ³ ½ ³ C Ç ? ¸ ¸ Ã À ³ 9 C : ³ C Ã µ ¸ 9 µ ³ Ã ¿ 9 C ¹ > ³ 9 Ç ³ C Å
µ
9 C ¼ ³ 9 º ³ > ³ > Ì Â > º ³ 9 ¸ ¾ ³ Ã Ì ³ > Ç ? > ³ C Ã 9 Ã º Ñ ¾ ? Ã Ã ¾ 9 ³ Ð ³ > ¼ ³ C ¾ ³ º ³ Ï ½ Ã º > ? À º 9 Â C 9 : Ì ³ > Á
¿
¸ ³ 9 µ Ë A ? C ¾ ³ > ³ C Ï C Ã Ê º Ë ³ C Ñ ¼ 9 ³ Ë A : < ³ 9 Ã Ô 9 ³ ¸ ¾ ³ > µ Â C ³ Â Ç 9 C A ³ C µ ³ > ³ ¾ A µ º 9 Â C
¹
98
? ½ Ã º > ? À º ³ C · ³ ¸ ³ > Ë A Ã º ? C ¾
³ ¸ 9 ³ Ç ³ > º ¼ 9 > ¾ Å ² A > µ ¹
ĥ(ŝ) −1 9 > ¾ ¾ 9 ³ è ³ C ¹ ³ ? ¸ ¸ ³ > À Â C À > ³ º ³ C ì A Ã º Ê C ¾ ³ ½ ³ Ã º 9 : : º Ñ
¼ 9 ³ ? A Ç ¾
ŝ ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ ³ > ¾ ³ C Å ² 9 ³ ¿ 9 C º ³ 9 ¸ A C ¹ ¾ 9 ³ Ã ³ > è ³ C ¹ ³ 9 C ¿ 9 C ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ A C ¾
?
A ¹ ? C ¹ Ã Á ½ Ë ¼ Å 9 > > ³ ¸ ³ Ð ? C º ³ ì A Ã º Ê C ¾ ³ ¼ 9 > ¾ ¾ A > µ ¢ ¤ ! ¦ § ¤ § ¹ ¸ ³ 9 µ : 9 º ½ ³ Ã º 9 : : º
Ï Ã
³ ¿ 9 C ¹ ? C ¹ Ã Ë A Ã º Ê C ¾ ³ Ã 9 C ¾ ¹ ³ C ? A 9 C ¾ ³ > Ë A > È µ À ¹ ³ ¸ 9 ³ Ç ³ > º ³ C è ³ C ¹ ³
² ³ 9 C º ? ¸ º ³ C Ñ 9 >
S i
Â Ô ³ : ³ C º ¢ : ¸
ĥ(ŝ) −1 C ³ º Ê ¸ º ¾ 9 ³ ½ ³ 9 ¾ ³ C ? C ¾ ³ > ³ C ì A Ã º ? C ¾ Ã º Ä Ô ³ C Å ì A > 8 > ³ C C A C ¹
− S i
à ³ > Æ > A Ô Ô ³ C ¼ ³ > ¾ ³ C C A C ¾ 9 ³ 9 C Æ ¸ ³ 9 µ A C ¹ ¾ ³ ë C 9 ³ > º ³ C 8 ³ 9 ¸ Ç A C À º 9  C ³ C
¾ ? 9 C ¹ ³ Á
³
h i
h i
½ 9 Ã ³ > ? A Ç ¾ ³ C Ã ³ ¸ ½ ³ C Ö
³ ¾ ³ C C A C ? A Ç Ð ³ > Ã µ 9 ³ ¾ ³ C ³ Ö ³ > º ³ ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º Ñ ¼ ³ C C ³ 9 C ³ > ¾ ³ > ì A Ã º Ê C ¾ ³ ¿ ¸ ³ : ³ C º
¼ >
C Ð 9 Â Ã º A C ¾ ¾ ³ > ? C ¾ ³ > ³ C 9 µ º Å ² 9 ³ ¾ ³ º ? 9 ¸ ¸ 9 ³ > º ³ < ³ Ã µ > ³ 9 ½ A C ¹ ³ 9 C ³ Ã Ì ³ > Ç ? > ³ C Ã : 9 º
S i
Ô ? Ã Ã º Å ì A Ã º ? C ¾ Ã Ô ? ? > ³ Ñ ¾ 9 ³ Ð Â C ¾ ³ C
³ > º ³ ? ½ ¹ ³ ½ 9 ¸ ¾ ³ º ¼ A > ¾ ³ C Ñ
¹ ³ º > ³ C C º Ñ ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C
½ Ã º > ? À º ³ è Â ¾ ³ ¸ ¸ 9 Ã Â : Â > Ô Ë A : > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ Å ´ Ô Ê º ³ Ã º ³ C Ã ¾ ? C C 9 Ã º ? ½ ³ > ? A Ã ¾ ³ >
?
ˆM 9 C ³ ³ ¤ ? À º ³ Ï ½ Ã º > ? À º 9 Â C ¹ ³ ¼ Â > ¾ ³ C Ñ A C ¾ ¾ 9 ³ è Â ¾ ³ ¸ ¸ Á
ˆM ³ 9 ³ Ç ³ > º ³ 9 C ³ ¾ ³ ë C 9 º 9 Ð ³ Ï A Ã Ã ? ¹ ³ ¾ ? > È ½ ³ > Ñ Â ½ ¾ ? Ã > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ ¾ 9 ³
¸
À Â C Ã ³ > Ð ? º 9 Ð ³ C
Ï ½ Ã º > ? À º 9 Â C
Ô > È Ç A C ¹
Ð Â C
Æ > A C ¾ ¸ ? ¹ ³ C 9 C À ¸ A Ã 9 Ð ³ ¾ ³ > < ³ ¹ > 9 ³ ¾ ³ Ã è
 ¾ ³ ¸ ¸ Ã Ñ ¾ ³ > ´ Ô ³ Ë 9 ë À ? º 9  C A C ¾ ¾ ³ > ´ 9 : A ¸ ? º 9  C
æ é Î ê Â ¾ ³ > ³ 9 C ³ > Ç > È > ³ > ³ C Ì ? > 9 ? C º ³ ¾ ³ Ã 9 ³ > ¹ ³ Ë ³ 9 ¹ º ³ C Ï C Ã ? º Ë ³ Ã T Ñ 9 C ½ ³ Ã Â C ¾ ³ > Ã

³ 9 C ³ C Ï ½ Ã º A Ç A C ¹ ³ C ¹ ³ ¼ Ê ¸ º ¼ ³ > ¾ ³ C À ? C C Å Ö Ê > ³ C ¾ ½ ³ 9 é ¡ Î ³ 9 C Ë ³ ¸ C ³ Ì ? > 9 ? ½ ¸ ³ C C A >
Ç
C º ¼ ³ ¾ ³ > Ð Â ¸ ¸ Ã º Ê C ¾ 9 ¹ ³ > ? ¸ º ³ C Â ¾ ³ > Ð Â ¸ ¸ Ã º Ê C ¾ 9 ¹ ? ½ Ã º > ? 9 ³ > º ¼ ³ > ¾ ³ C À » C C ³ C A C ¾ ¾ 9 ³ 9 C
³
T ¦ ³ 9 C ¹ ³ Ã ³ º Ë º ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C À ³ 9 C ³ Ï ½ Ê C ¹ 9 ¹ À ³ 9 º ³ C Ë ¼ 9 Ã µ ³ C : ³ > ³ > ³ C Ì ? Á
¢
9 ? ½ ¸ ³ C ½ ³ > È µ À Ã 9 µ º 9 ¹ º Ñ 9 Ã º ¾ ? Ã 9 ³ > ¹ ³ Ë ³ 9 ¹ º ³ Ì ³ > Ç ? > ³ C 9 C ¾ ³ > Í ? ¹ ³ Ñ ³ 9 C Ë ³ ¸ C ³ ¿ ¸ ³ : ³ C º ³
>
A Ã ¾ ³ : Ö ³ > º ³ ½ ³ > ³ 9 µ Ð Â C Ì ? > 9 ? ½ ¸ ³ C ú ³ C ? µ ¾ ³ C ¿ > Ç Â > ¾ ³ > C 9 Ã Ã ³ C Ë A Ã ? : : ³ C Ë A Ç ? Ã Ã ³ C
?
¾ ³ > ¹ ³ º > ³ C C º Ë A ? ¸ º ³ C Å ² ? ½ ³ 9 À » C C ³ C ? A Ã Ã ³ > ¾ ³ : Ï ½ Ê C ¹ 9 ¹ À ³ 9 º ³ C Ë ¼ 9 Ã µ ³ C Ì ? Á
Â
9 ? ½ ¸ ³ C ¾ A > µ ¾ 9 ³ ³ ¤ 9 ½ ¸ ³ ¢ Â : Ô Â Ã 9 º 9 Â C ¾ ³ > Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C ? A Ã : ³ > Ã º ³ ¸ ¸ 9 ¹ ³ C
>
³ 9 ¸ Ç A C À º 9 Â C ³ C ½ ³ > È µ À Ã 9 µ º 9 ¹ º ¼ ³ > ¾ ³ C Å Î C Ã ¹ ³ Ã ? : º 9 Ã º Ã Â ³ 9 C ³ ¹ ³ ¹ ³ C È ½ ³ > ¾ ³ C ? C ¾ ³ > ³ C
8
C Ã Ê º Ë ³ C Ð ³ > ½ ³ Ã Ã ³ > º ³ Ï C Ô ? Ã Ã A C ¹ ¾ ³ > Ï ½ Ã º > ? À º 9 Â C ? C ¾ 9 ³ ½ ³ Ã Â C ¾ ³ > ³ C ¿ 9 ¹ ³ C Ã µ ? Ç º ³ C
Ï
³ Ã ¡ > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ Ã ³ > > ³ 9 µ ½ ? > Ñ ¼ ? Ã Ë A À ¸ ³ 9 C ³ > ³ C ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ ³ C Ç È > º Å ² 9 ³ Ã
¾
³ 9 ¹ º Ë A : < ³ 9 Ã Ô 9 ³ ¸ ¾ 9 ³ 9 C ¢ ¤ ¦ ½ ³ Ã µ > 9 ³ ½ ³ C ³ Ñ ³ > Ç Â ¸ ¹ > ³ 9 µ ¾ A > µ ¹ ³ Ç È > º ³ è Â ¾ ³ ¸ ¸ Ô > È Á
Ë
A C ¹ ³ 9 C ³ Ã À Â : Ô ¸ ³ ¤ ³ C è A ¸ º 9 : ³ ¾ 9 ? Á é 9 Ô Ã Ñ ¾ 9 ³ : 9 º ³ 9 C ³ : ? A Ç ¾ ³ : µ Â C ³ Â Ç 9 C A ³ C µ ³
Ç
½ Ã º > ? À º 9 Â C Ã Ð ³ > Ç ? > ³ C ½ ? Ã 9 ³ > º ³ C è Â ¾ ³ ¸ ¸ Ô > È Ç ³ > C A > : 9 º ³ > ³ ½ ¸ 9 µ ¹ > » þ ³ > ³ > Í ? A Ç Ë ³ 9 º
Ï
³ ¸ ³ 9 Ã º ³ º ¼ ³ > ¾ ³ C À Â C C º ³ Å < ³ Ë È ¹ ¸ 9 µ ¾ ³ Ã ´ Ô ³ 9 µ ³ > Ô ¸ ? º Ë ½ ³ ¾ ? > Ç ³ Ã Ë ³ 9 ¹ º Ã 9 µ Ñ ¾ ? Ã Ã ¾ ? Ã
¹
³ > Ç ? > ³ C Ð Â C é ¸ ? > À ³ Ë ¼ ? > ½ ³ 9 : Ï A Ç ½ ? A ¾ ³ Ã ? ½ Ã º > ? À º ³ C è Â ¾ ³ ¸ ¸ Ã ³ º ¼ ? ¡ : ³ >
Ì
¸ ? º Ë ½ ³ C » º 9 ¹ º ? ¸ Ã ³ 9 C é ¡ Î Á Ì ³ > Ç ? > ³ C Ñ ú ³ ¾ Â µ ¼ Ê > ³ C ¾ ¾ ³ : Ï ½ ¸ ? A Ç ¾ ³ > è Â ¾ ³ ¸ ¸ Ô > È Á
î
A C ¹ ¾ ³ A º ¸ 9 µ ¼ ³ C 9 ¹ ³ > Ë A Ã Ê º Ë ¸ 9 µ ³ C ´ Ô ³ 9 µ ³ > Ô ¸ ? º Ë C ? µ Ç Â > ¾ ³ > C : A Ã Ã Å Î C Ã ¹ ³ Ã ? : º ³ > ¹ 9 ½ º
Ç
9 µ Ã Â ? A µ ½ ³ 9 ¾ ³ > < ³ º > ? µ º A C ¹ ¾ ³ Ã î ¸ ? º Ë ½ ³ ¾ ? > Ç Ã ³ 9 C À ¸ ? > ³ > Ì Â > º ³ 9 ¸ Å ¿ 9 C ³ ¼ ³ 9 º ³ > ³
Ã
³ > ½ ³ Ã Ã ³ > A C ¹ 9 C ¾ 9 ³ Ã ³ > ù 9 C Ã 9 µ º Ñ ¾ 9 ³ 9 : + ? : ³ C ¾ ³ > Ï A Ã ? > ½ ³ 9 º A C ¹ ½ 9 Ã ³ > C 9 µ º ? C Á
Ì
³ Ã Ô > Â µ ³ C ¼ A > ¾ ³ Ñ 9 Ã º ¾ 9 ³ è » ¹ ¸ 9 µ À ³ 9 º Ñ C 9 µ º C A > ¾ 9 ³ Ï ½ Ã º > ? À º 9 Â C Ã Ç A C À º 9 Â C Ñ Ã Â C ¾ ³ > C
¹
? Ã À Â : Ô ¸ ³ º º ³ ? ½ Ã º > ? À º ³ è Â ¾ ³ ¸ ¸ ¾ 9 > ³ À º ? A Ã ¾ ³ : î > Â ¹ > ? : : ³ > Ë ³ A ¹ ³ C Ë A À » C C ³ C æ ¢ T ¦ ê Å
¾
A Ç ¾ 9 ³ Ã ³ Ö ³ 9 Ã ³ À ? C C ¾ 9 ³ Æ ³ C ³ > 9 ³ > A C ¹ ¾ ³ Ã ¡ > 9 ¹ 9 C ? ¸ : Â ¾ ³ ¸ ¸ Ã A : ¹ ? C ¹ ³ C ¼ ³ > ¾ ³ C Ñ ¾ 9 ³
Ï
A Ç ¹ > A C ¾ ¾ ³ > è Â ¾ ³ ¸ ¸ ¹ > » þ ³ Ð 9 ³ ¸ : ? ¸ Ã È ½ ³ > ? A Ô º ¹ ? > C 9 µ º ³ > Ã º ¾ A > µ Ç È > ½ ? > 9 Ã º Å ½ ³ >
?
9 C ³ Ï C ¼ ³ C ¾ A C ¹ ¾ 9 ³ Ã ³ > Î ¾ ³ ³ ? A Ç 8 ³ Ã º Ç Ê ¸ ¸ ³ ¼ 9 > ¾ 9 C ¢ T ¦ C 9 µ º ½ ³ > 9 µ º ³ º ¾ 9 ³ Ã Ã º ³ ¸ ¸ º ³ 9 C ³ C
³
½ ³ C Ã Â 9 C º ³ > ³ Ã Ã ? C º ³ C Ï C Ã ? º Ë Ô A C À º Ç È > Ç Â > º Ç È > ³ C ¾ ³ C º ³ > Ã A µ A C ¹ ³ C ¾ ? > ¼ 9 ³ ³ 9 C Ì ³ > Á
³
¸ ³ 9 µ Ð Â C ¾ ³ : Ð Â > ¹ ³ Ã º ³ ¸ ¸ º ³ C Ì ³ > Ç ? > ³ C : 9 º ¼ ³ 9 º ³ > ³ C Ï ½ Ã º > ? À º 9 Â C Ã : ³ º Â ¾ ³ C C ³ ½ ³ C
¹
99
¾ ³ > µ Â C ³ Á Â Ç Á 9 C A ³ C µ ³ è ³ º Â ¾ ³ Å

3 ¡
4 5
¡ E 5 ¡ ¢ … ’
“ ’ u ’ ¥ _ \ V ‹ F … 6 ’ V a r ‚ F V | … } ’ 7 I \ … 9 ’ § a … \ K s ¨ ’ H F M X I ’ ¥ w a K X F V F — \ r x _ F ” | a M s F s
’
‚ O X V \ H X M w K V F › K F r F K X ’ ¢ K ; = > © @ C C E G - © § … x \ | F O E ¢ ¡ 5 E © … ’
\
5
4 5
E ¢ E 5 E ¢ ¡ … } F x X F r ‚ F V
¡ ’ E
’ “ ’ u ’ ¥ _ \ V ‹ F … 7 V ’ … 6 ’ V a r ‚ F V | … \ K s œ ’ ‰ ’ F _ F s ’ K C - / - X § 1 ’ u ¢ E V F O O … E ’
¡
¢ ’ ’ ¥ w a O w X \ K s ¡ ’ ¥ w a O w X ’ ‰ ‚ O X V \ H X M K X F V x V F X \ X M w K
K \ _ O M O w z x V w | V \ r O ‚ H w K O X V a H X M w K w V \ x x V w — M r \ X M w K w z › — x w M K X O ’ ¢ K ; § § -
\
- C © / ^ © / @ § § @ ; K ¥ a O S @ b c ¥ a @ ; % 2 = > ( = § O § - > (
Z
1 = = § 1 S § 1 1 ( … x \ | F O 5 ¢ … § w O ‰ K | F _ F O … ¥ \ _ M z w V K M \ … E ¢ ¢ ’ ‰ ¥ u V F O O …
O
F Ž 9 w V ‹ … £ 9 ’
£
’ “ ’ “ r F V O w K \ K s ¥ ’ § F M ’ “ j H M F K X r w s F _ H I F H ‹ M K | M K z V \ | r F K X O w z X I F x V w x w O M X M w K \ _ r a 5
©
\ _ H a _ a O ’ 2 = > ( § § S 1 - § ; = > © - § - l ¥ m m m ; = > © - © 2 O ( ( …
H
\ | F O © ¢ 5 ¢ … 7 a K F E © ’
x
’ 6 ’ V a r ‚ F V | ’ ‰ ‚ O X V \ H X M w K O \ K s V F s a H X M w K O M K r w s F _ H I F H ‹ M K | ’ ¢ K b @ % s - § -
¢
( … T w _ a r F © … E ’
6 ’ V a r ‚ F V | \ K s œ ’ “ ’ § w K | ’ u w s F _ H I F H ‹ M K | \ K s r w s a _ \ V T F V M › H \ X M w K ’ @ ; K % § c
’
5
¡ 5 ¢ E … u \ E ¡ ’
’ ¡ ’ ’ Z a V O I \ K ’ ; = > © c C C w G - © § - C § © § 1 > - ( ( ( y © / © = © c
/ © - > > - / ’ V M K H F X w K S K M T F V O M X V F O O … E ¡ ’
©
© = ( ’ I œ X I F O M O … S K M T F V O M X w z ¥ w _ w V \ s w \ X w a _ s F V … œ F x X ’ w z ¥ w r x a X F V } H M F K H F …
(
a | a O X E ¢ ’
‰
100
« ¯ ® ¯ °
E ’ ‰ ’ ¥ M r \ X X M … “ ’ u ’ ¥ _ \ V ‹ F … § ’ M a K H I M | _ M \ … \ K s u ’ ¡ w T F V M ’ £ S } u H
‰ K F Ž O r ‚ w ”
_ M H r w s F _ H I F H ‹ F V ’ ¥ § © § © § § § © " % ( % - / § 1 2 % § ( …
’ “ ’ u ’ ¥ _ \ V ‹ F … 6 ’ V a r ‚ F V | … \ K s œ ’ “ ’ § w K | ’ u w s F _ H I F H ‹ M K | \ K s \ ‚ O X V \ H X M w K ’ @ ; K
% § ( - © § ( § O 1 = = § 1 S § 1 1 ( § C 2 ( © = ( … E © 3 ¢
\ a K M › F s _ \ X X M H F r w s F _ z w V O X \ X M H
( - © § ( § O 1 = = § 1 S § 1 1 ( § C 2 ( © = ( … E © 3
4 5
’ ¡ ’ u M _ K F V ’ ‰ K \ _ | F ‚ V \ M H s F › K M X M w K w z O M r a _ \ X M w K ‚ F X Ž F F K x V w | V \ r O ’ ¢ K O - { © /
E
§ C ¥ ; @ ¥ … x \ | F O ¡ E 5 ¡ … § w K s w K … S Z … E ¢ E ’
|
E ’ ‰ ’ \ V s w ’ @ © = © - @ } ( © - © § % - / § ( ^ = E G - © § 1 © 2 c
E

101
Konfliktanalyse in SAT – Implikationsgraphen
auf ATPG
Thomas Fischer
fischer@informatik.uni-kl.de
Technische Universität Kaiserslautern
Zusammenfassung. Das SAT-Problem ist die Grundlage der kombinatorischen
Erfüllbarkeitsprobleme. Für dessen Lösung existieren SAT-
Solver, deren Konfliktanalyse sich durch Implikationsgraphen modellieren
lässt. Mit dem ATPG-Problem wird ein Verfahren zur Verifikation
von Gatternetzen bezeichnet. Beide Probleme besitzen unterschiedliche
Hintergründe, können aber in einigen Bereichen ineinander überführt
werden.
Diese Ausarbeitung betrachtet eine mögliche Übertragung von SAT-Implikationsgraphen
auf ATPG-Probleme. Die ATPG-Implikationsgraphen
werden parallel mit einem D-Kalkül aufgebaut und besitzen ähnliche
Charakteristika wie SAT-Implikationsgraphen (Konfliktklausel → Konfliktschaltung).
Diese ATPG-Graphen stellen eine mögliche Grundlage
dar, ATPG-Probleme mit ähnlichen Techniken wie SAT-Probleme zu
behandeln.
1 Einleitung
Die Probleme SAT (Erfüllbarkeitsproblem) und ATPG (Automatische Testmustergenerierung)
haben verschiedene Ursprünge. Trotzdem sind sich beide Probleme
sehr ähnlich, wurden in der Vergangenheit aber unterschiedlich gelöst.
Beide Probleme besitzen eine hohe wissenschaftliche und wirtschaftliche Relevanz.
Das SAT-Problem ist eines der bekanntesten NP-vollständigen Probleme in
der theoretischen Informatik und Mathematik. Hierbei soll eine Belegung für
eine abstrakte Gleichung gefunden werden, sodass diese erfüllt wird. Als eines
der grundlegenden Probleme der Komplexitätstheorie wird es in nahezu jedem
Standardwerk (z. B. [1]) betrachtet.
Das ATPG-Problem dagegen findet seinen Ursprung in der Qualitätskontrolle
von bereits gefertigten Chips. Gesucht sind Belegungen für die Eingänge eines
Chips, sodass die Ausgänge sich zwischen fehlerfreiem und fehlerbehaftetem Zustand
unterscheiden. Damit wird die Existenz eines Fehlers gezeigt.
In dieser Ausarbeitung werden das SAT- und das ATPG-Problem und mögliche
Lösungsansätze vorgestellt. Bekannte Algorithmen für SAT, die eine Konfliktanalyse
verwenden, dienen als Grundlage für die Einführung von Implikationsgraphen
für SAT-Probleme. Davon ausgehend werden die Implikationsgraphen

102
als Hilfsmittel auf ATPG-Probleme übertragen. ATPG-Implikationsgraphen erlauben
die Bildung von Konfliktschaltungen, die eine Analogie zu Konfliktklauseln
bei SAT-Implikationsgraphen bilden. Die Konfliktschaltungen können zum
einen in das Gatternetzwerk aufgenommen werden (Lernen), zum anderen auch
Grundlage für die Belegung der Leitung sein.
Im Appendix werden Begriffe aus der Komplexitätstheorie, bekannte SAT-
Solver und die grundlegenden Regeln des Davis-Putnam-Verfahrens vorgestellt.
2 SAT – Das Erfüllbarkeitsproblem
Das SAT-Problem (engl. SATisfiability Problem) beschreibt die Erfüllung einer
aussagenlogischen Gleichung. Das Problem ist NP-vollständig (siehe dazu Abschnitt
A). Es war das erste Problem, dessen NP-Vollständigkeit (1971 von Cook
[2]) bewiesen wurde.
Anwendungsbereiche Die Anwendungsbereiche des SAT-Problems gliedern sich
in zwei Gebiete. Zum einen wird es in der klassischen künstlichen Intelligenz für
wissensbasierte Systeme und zur Beweisführung und -findung verwendet. Zum
anderen wird es im Bereich der Electronic Design Automation (EDA) im Entwurf
und beim Testen (siehe Abschnitt 3) angewandt.
Formalisierung Eine gegebene aussagenlogische Gleichung ϕ besteht aus n Variablen
x 1 ,...,x n , die mit Operationen verknüpft werden. Jeder der Variable
kann einen Wert annehmen, im einfachsten Fall 0 (falsch) oder 1 (wahr), wovon
im Folgenden stets ausgegenangen wird. Als Operationen stehen die Negation,
Konjunktion und Disjunktion zur Verfügung.
Mansprichtvonderkonjunktiven Normalform (KNF), wenn eine Gleichung
ϕ aus m Klauseln über n Variablen x 1 ,...,x n besteht. Eine Klausel setzt sich zusammen
aus einer Menge von Literalen, die disjunktiv (Operatorzeichen + bzw.
∨) verbunden werden. Diese Literale sind Variablen in ihrer positiven (x i )bzw.
negativen (¬x i )Form 1 . Die Klauseln werden untereinander konjunktiv (Operatorzeichen
· bzw. ∧) verknüpft.
Klausel
{ }} {
Literal
{}}{
ϕ = (x 1 + ¬x 3 ) · ( ¬x
}{{} 2 + x 3 ) (1)
Literal
Gesucht ist eine Belegung A = (a 1 ,...,a n ) ∈ {0, 1} n für die Variablen
x 1 ,...,x n , sodass alle Klauseln erfüllt werden. Kann keine Belegung gefunden
werden, ist die Gleichung ϕ nicht erfüllbar.
Die Gleichung ϕ kann als Funktion f(x 1 ,...,x n ) dargestellt werden. Bei einer
gültigen Belegung liefert die Funktion den Wert 1 zurück, andernfalls den Wert
0.
1 Alternative Schreibweisen stellen die Negation mit einem Querstrich über der Variablen
(x i) oder mit einem Apostroph (x ′ i)dar.

103
Ein logischer Schaltkreis kann auch eine aussagenlogische Gleichung darstellen.
Neben der eigentlichen Gleichung enthält der Schaltkreis strukturelle Informationen
wie z. B. die Richtung von Leitungen. Die Umwandlung eines Schaltkreises
in eine SAT-Gleichung ist trivial und wird in Abschnitt 3.1 beispielhaft
gezeigt.
2.1 Exakte Lösungsverfahren
Für viele Probleme in P sind bereits effiziente Algorithmen bekannt. Dagegen
sind NP-vollständige Probleme nur schwer zu lösen. Es wird angenommen, dass
es für diese Probleme keine effizienten Algorithmen gibt.
Es gibt verschiedene Ansätze NP-vollständige Probleme zu bearbeiten. Diese
Ansätze kann man in zwei Kategorien einteilen: Exakte (vollständige) Verfahren
untersuchen alle möglichen Lösungen und finden beweisbar eine optimale
Lösung, falls diese existiert. Bei Erfüllbarkeitsproblemen ist andernfalls die Unerfüllbarkeit
gezeigt. Durch die Betrachtung des gesamten Lösungsraums 2 brauchen
diese Verfahren i. A. viel Zeit und Speicher. Lokale Suchverfahren dagegen
betrachten nur einen Teil des Lösungsraums und können in Bezug auf das SAT-
Problem nur Erfüllbarkeit, aber nicht die Unerfüllbarkeit zeigen. Für Optimierungsprobleme
(z. B. TSP) können diese heuristischen Verfahren aber innerhalb
kurzer Zeit fast-optimale Lösungen finden, die für praktische Anwendungen gut
genug sind.
Im Nachfolgenden wird der Schwerpunkt auf exakte Verfahren für das SAT-
Problem gelegt.
Vollständige Verfahren für das SAT-Problem lassen sich in drei Vorgehensweisen
einteilen. Neben den deduktiven Verfahren, die mit logischem Schließen
dieExistenzeineLösung beweisen, gibt es enummeriende Algorithmen, die alle
möglichen Lösungen untersuchen. Als dritte Art gibt es die auf einer funktionalen
Repräsentation (z. B. Graphen) arbeitenden Verfahren.
Deduktive Algorithmen Deduktive Algorithmen leiten die Existenz einer Lösung
durch logisches Schließen her. Die Art von Algorithmen werden auch in der
klassischen” künstlichen Intelligenz [3] eingesetzt.
”
Davis-Putnam Bei dem Resolutionsverfahren von Davis und Putnam (DP) [4]
werden die logischen Konsequenzen aus einer Klauselmenge berechnet. Dabei
werden ausgehend von der ursprünglichen Klauselmenge zwei Elternklauseln gewählt,
die ein Literal jeweils komplementär (im Beispiel x 3 ) besitzen. Im Resolutionsschritt
wird eine neue Klausel erzeugt, die aus den beiden Elternklauseln
ohne das gewählte Literal besteht (Abbildung 1(a)). Die neu erzeugte Klausel
wird in die Klauselmenge hinzugefügt. Falls eine leere Klausel hergeleitet werden
kann, ist die Instanz nicht erfüllbar.
Das Davis-Putnam-Verfahren kann schlimmstenfalls exponentiell viel Speicher
und Zeit benötigen. Es gibt verschiedene Erweiterungen, die in Abschnitt C
und [3] aufgeführt sind.
2 Durch Optimierung können aber Teile des Lösungsraums ausgeblendet werden.

104
(x 1 + ¬x 3) (¬x 2 + x 3)
(x 1) (¬x 1)
(x 1 + ¬x 2)
()
(a) Resolutionsschritt
(b) Leere Klausel
Abb. 1. Beispiele für Resolutionsschritte
AND/OR-Schließen AND/OR-Schließen bzw. Rekursives Lernen wurde basierend
auf Gatternetzwerken im ATPG-Bereich entwickelt. Um die Voraussetzungen
für eine bestimme Ausgangsbelegung zu finden, werden die Anforderungen
in einen AND/OR-Baum abgebildet. In diesem Baum gibt es zwei Typen von
Knoten: AND- und OR-Knoten. Um festzustellen, ob ein Knoten erfüllt wird,
werden rekursiv die Kinderknoten betrachtet. Für einen AND-Knoten müssen
alle seiner Kinderknoten erfüllt sein, für einen OR-Knoten mindestens einer. Ist
eine Verzweigungsoption unerfüllbar, wird bei einem OR-Knoten die nächste Alternative
überprüft, bei einem AND-Knoten der Knoten selbst als unerfüllbar
markiert.
Tritt ein bestimmtes Blatt (bei SAT eine Variable) in allen OR-Unterbäumen
auf oder ist es durch einen direkten AND-Pfad vom Wurzelknoten aus erreichbar,
so ist die Erfüllung des Blattes eine notwendige Voraussetzung für die Erfüllung
des Wurzelknotens. Im Beispiel in Abbildung 2 ist die Variable x 1 notwendig zum
Erfüllen von y 1 . Somit gilt ¬x 1 ⇒¬y 1 und durch Kontraposition auch y 1 ⇒ x 1 .
x 1
x 2
y 1
∨
OR-Knoten
y 1
x 3
x 4
(a) Gatternetzwerk
∧
x 1 x 2 x 1 x 3 x 4
∧
(b) AND/OR-Baum
AND-Knoten
Abb. 2. Beispiel für einen AND/OR-Baum.
Die gewonnene Sammlung von notwendigen Implikationen kann zur Einschränkung
des Suchraums verwandt werden. Auch wenn das rekursive Lernen

105
auf Gatterlisten beruht, kann es zur Lösung von SAT-Gleichungen angewandt
werden.
Stålmarcks Methode Auf Stålmarck [5] geht ein patentiertes Verfahren zum Ausprobieren
von Variablen zurück. Dabei wird in einem ersten Schritt eine Gleichung
in eine Schreibweise aus verschachtelten Implikationen überführt. Diese
Implikationen werden als Tripel (Ergebnis, Implikant, Folgerung) in einer Menge
zusammengefasst. Die Tripel können nach sieben Ableitungsregeln und einer
Dilemma-Regel ersetzt werden.
Zum Beweis wird angenommen, dass die Gleichung nicht erfüllbar ist. Kann
diese Annahme durch Anwendung der Regeln auf die Menge der Regeln zum
Widerspruch geführt werden, ist die Gleichung erfüllbar.
Enummerierende Algorithmen Enummerierende Algorithmen traversieren
den Suchraum.
Davis-Putnam-Logemann-Loveland Ein Beispiel für ein enummerierendes Verfahren
ist der Algorithmus von Davis-Logemann-Loveland (DLL) [6]. Da das
ursprüngliche Davis-Putnam-Verfahren (Abschnitt 2.1) sehr viel Speicher verbrauchen
kann, wurde in diesem neuen Ansatz eine Baumsuche verwendet. Die
hier vorkommenden Suchoperationen können auf DP-Resolutionsoperationen abgebildet
werden. Daher wird der DLL-Algorithmus auch mit DPLL abgekürzt.
Der Lösungsraum wird auf einen binären Entscheidungsbaum abgebildet, wobei
im einfachsten Fall in jeder Ebene 1 ≤ i ≤ n entschieden wird, ob die Variable
x i mit 0 oder 1 belegt wird. Der Pfad von der Wurzel zu einem Blatt ist somit
eine vollständige Belegung A, d.h.|A| = n. Befindet sich der Suchalgorithmus
nicht an einem Blatt, sondern an einem inneren Knoten, ist die Belegung A nur
partiell und einige Variablen sind frei (nicht belegt).
0 1
i
i +1
Abb. 3. Binärer Suchbaum.
Der Baum wird mit einem Backtracking-
Algorithmus [7] durchsucht. Wird durch eine
Belegungszuweisung an eine Variable die
SAT-Gleichung unerfüllbar, wird der darunterhängende
Teilbaum ausgeblendet und die
Variablenzuweisung invertiert. Sind beide Alternativen
gescheitert, geht der Algorithmus
eine Ebene zurück und ändert die Zuweisung
der vorherigen Variable. Der Algorithmus
terminiert, sobald ein Blatt erreicht wird und die vollständige Belegung die
Gleichung erfüllt (Lösung gefunden) oder alle Möglichkeiten ausgeschöpft sind
und der Algorithmus zur Wurzel zurückgekehrt ist (Unerfüllbarkeit bewiesen).
Problematisch ist allerdings, dass bei einem ungünstigen Aufbau sehr viel Zeit
benötigt wird, um falsche Entscheidungen zu entdecken. In den Gleichungen 2
bis 5 wird ein solches Beispiel gezeigt. Die Entscheidung für x 1 und x 2 (partielle
Belegung A) wirderstdannalsungültig entdeckt, wenn die Ebene k mit 2 <
k ≤ n im Binärbaum erreicht wird. Dieses Problem wurde von Davis, Logemann

106
und Loveland mit BCP (siehe Abschnitt 4.3) umgangen.
A = {(x 1 , 0), (x 2 , 1)} (2)
ϕ = ω 1 · ...· ω n (3)
ω i =(x 1 + ¬x 2 + x k ) (4)
ω j =(x 1 + ¬x 2 + ¬x k ) (5)
Das Davis-Logemann-Loveland-Verfahren kann schlimmstenfalls exponentiell
viel Zeit benötigen. Durch zahlreiche Varianten ist es die Basis für viele moderne
SAT-Solver geworden.
Funktionale Repräsentation Die funktionale
Repräsentation in Form von gerichteten azyklischen
Graphen (directed acyclic graphs, DAG) wurde von
Bryant [8] eingeführt. Die Schwierigkeit bei dieser
Repräsentation ist der Aufbau des Graphen, da die
Größe des Graphen abhängig von der Konstruktionsreihenfolge
ist.
Ein Beispiel für einen DAG ist in Abbildung 4
dargestellt. Die repräsentierte Gleichung ist ϕ =
(x 1 +x 3 )·(x 2 +x 3 ). Gesucht ist ein Pfad vom Startknoten
(im Beispiel x 1 ) zum Wahrheitswert 1. An
jedem Knoten wird entschieden, ob die entsprechende
Variable mit 0 oder 1 belegt wird.
Eine SAT-Gleichung ist erfüllbar, wenn es einen
Pfad vom Startknoten (im Beispiel x 1 ) zum Wahrheitswert
1 gibt.
x 1
1
0
x 2
x 3 0
1
0 1
0 1
Abb. 4. Beispiel für einen
gerichteten, azyklischen
Graphen.
3 ATPG – Automatic Test Pattern Generation
Automatic Test Pattern Generation (ATPG) beschäftigt sich mit der Erstellung
von Testfällen zum Validieren von digitalen Schaltungen. Dabei werden Eingangsbelegungen
gesucht, die auf Herstellungsfehler im Inneren der Schaltung
schließen lassen. Die Eingangsbelegungen ”
provozieren” einen Fehler, wodurch
eine andere Ausgangsbelegung zu erzeugt wird, als sie eine fehlerfreie Schaltung
erzeugen würde.
Eine Einführung zu dem Thema findet sich in [9].
3.1 Boolesches Netzwerk & Gatter
Zur Simulation wird die Schaltung in einen Graphen, ein boolesches Netzwerk,
überführt. Dabei repräsentieren die Knoten einfache Gatter, die gerichteten Kanten
die Verbindungen zwischen den Gatternsignalen. Die Gatter implementieren
einfache logische Operationen (AND, OR, . . . ) und können somit auch als SAT-

107
Formeln dargestellt werden. Für ein Gatter mit den Eingängen x =(x 1 ,...,x n )
und dem Ausgang y kann die Formel ϕ = ¬(y ⊕ f(x 1 ,...,x n )) aufgestellt werden,
wobei f : B n → B die eigentliche boolesche Operation auf dem Alphabet
B durchführt. Im einfachsten Fall ist B = {0, 1}.
Als Beispiel wird ein OR-Gatter mit zwei Eingängen gezeigt und in eine SAT-
Formel in KNF überführt.
f(x 1 ,x 2 )=(x 1 + x 2 )
ϕ = ¬(y ⊕ f(x 1 ,x 2 ))
= ¬(y ⊕ (x 1 + x 2 ))
= ¬(y ·¬(x 1 + x 2 )+¬y · (x 1 + x 2 ))
= ¬(y ·¬x 1 ·¬x 2 + ¬y · x 1 + ¬y · x 2 )
= ¬(y ·¬x 1 ·¬x 2 ) ·¬(¬y · x 1 ) ·¬(¬y · x 2 )
=(¬y + x 1 + x 2 ) · (y + ¬x 1 ) · (y + ¬x 2 )
3.2 Fehlermodelle
In einer Schaltung können unterschiedliche Fehler auftreten. Für die Simulation
wird aber nur die einfachste Form der Fehler betrachtet: Beim Single Stuckat-Fehler
wird davon ausgegangen, dass eine Leitung im Gatternetz immer den
gleichen Wert (0 oder 1) hat und sich nicht ändert. Da Leitungen als Variablen
betrachtet werden (Beispiel oben: y, x 1 und x 2 ), wird bei einer fehlerhaften
Leitung die korrespondierende Variable auf einen konstanten Wert gesetzt.
x 1
y 1
.
.
x n
y m
Fehler φ: stuck-at-1
Abb. 5. Beispiel für Stuck-at-1-Fehler eines AND-Gatters
Bei einem Schaltkreis mit n Eingängen und m Ausgängen ist eine Belegung
der Eingänge (Gleichung 6) und Ausgänge (Gleichung 7) gesucht, sodass sich für
einen Fehler φ eine zu y (fehlerfrei) unterschiedliche Ausgangsbelegung y ′ nach
Gleichung 8 (fehlerbehaftet) ergibt. Ein Beispiel ist in Abbildung 5 gezeigt.
x =(x 1 = w 1 ,...,x n = w n ) (6)
y =(y 1 = v 1 ,...,y n = v n ) (7)
y ′ =(y 1 = v ′ 1 ,...,y n = v ′ n ) (8)
v i ,v ′ j,w k ∈{0, 1} (9)

108
Das Finden einer Belegung x kann entweder zufällig oder deterministisch
geschehen. Bei einer zufälligen Suche müssen die Fehler nicht a priori bekannt
sein. Durch das Ausprobieren von Belegungen sollen die Fehler gefunden werden.
Im deterministischen Fall kommen in der zu untersuchenden Schaltung bzw.
deren Modell nur bekannte Single Stuck-at-Fehler Φ = {φ 1 ,...,φ k } vor. Auf
Grund der bekannten Fehler wird auf eine passende Ein- und Ausgangsbelegung
geschlossen. Die randomisierte Suche wird im Nachfolgenden vernachlässigt.
Für bestimmte Stuck-at-Fehler können keine Eingangsbelegungen erstellt
werden, die den Fehler aufdecken. So kann die fehlerbehaftete Variable durch
spätere boolesche Operationen ” überdeckt” werden. Diese redundanten Fehler 3
lassen sich nicht mit deterministischen ATPG-Algorithmen erkennen. In diesem
Fall muss der Algorithmus, ähnlich wie beim SAT-Problem, die Untestbarkeit
(vgl. Unerfüllbarkeit) beweisen.
3.3 Formalisierung
Wie oben erwähnt, lassen sich Gatter als Funktionen der Art f : B n → B m darstellen.
Zu Betrachtung von Fehlern ist es zweckmäßig, das Alphabet B = {0, 1}
zu erweitern. Auf Roth [10] geht das D-Kalkül zurück. Hier wird B um die Werte
D und D erweitert. Ist ein logischer Wert im fehlerfreien Zustand 1 und im
fehlerbehafteten Fall 0, so wird ihm der Wert D zugewiesen. Im komplementärenFallwirdderWertD
angewandt. Für Signalkanten, die keinen festen Wert
zugewiesen bekommen haben, wird der Wert X genommen. Somit erweitert sich
das Alphabet auf B = {0, 1, D, D,X}.
Für das neue Alphabet müssen die Operationen darauf erweitert werden. Als
Beispiel wird in Tabelle 1 die Negation vorgestellt.
f 01X D D
¬f 10X DD
Tabelle 1. Negationsoperation im Alphabet B = {0, 1, D, D,X}.
Das Finden eines Eingabevektors zum Aufspüren von Fehler lässt sich in zwei
Teilprobleme untergliedern:
– Das Steuerbarkeitsproblem behandelt die Frage, wie der Eingabevektor beschaffen
sein muss, damit die betrachtete Leitung sich fehlerhaft verhält und
somit der Fehler in Erscheinung tritt. Im Beispiel in Abbildung 6 ist das Signal
a im Fehlerfall immer 0, daher muss die Eingangsbelegung so beschaffen
sein, dass sie den Wert 1 im fehlerfreien Zustand erzeugt.
Das Steuerbarkeitsproblem kann leicht in ein SAT-Problem überführt und
als solches gelöst werden.
3 Da diese Fehler keinen Einfluss auf die Ausgänge haben, ist ihre Existenz irrelevant.

109
– Als weitere Bedingung wird gefordert, dass sich das fehlerhafte Signal bis zu
einem Ausgang ausbreitet. Diese Bedingung wird Beobachtbarkeitsproblem
genannt. In Abbildung 6 darf das zweite AND-Gatter das (fehlerhafte) Signal
aus dem ersten AND-Gatter nicht überschreiben.
x 1
x 2
a
Fehler φ: stuck-at-0
b y 1
x 3
Abb. 6. Fehlerbehaftetes Gatternetzwerk
Ausgehend von dem Fehlerfall können einige Wertzuweisungen vorgenommen
werden. Da a ein Stuck-at-0-Fehler ist, wird a = D zugewiesen. Damit der Ausgang
des ersten AND-Gatters im fehlerlosen Zustand a = 1 liefert, muss x 1 =1
und x 2 = 1 gelten. Im Allgemeinen müssen die notwendigen Variablenbelegungen
zu den Eingängen (Erfüllung der Steuerbarkeit) und den Ausgängen (Erfüllung
der Beobachtbarkeit) propagiert werden.
Diejenigen Signalleitungen, die den Wert D oder D leiten, werden der D-
Grenze zugerechnet. Erreicht die D-Grenze einen Ausgang, ist das Beobachtbarkeitsproblem
positiv entschieden. Dazu komplementär definiert man die J-
Grenze. Darin sind alle Leitungen enthalten, die einen Wert aus {0, 1} enthalten.
Die Wertzuweisungen sind notwendig, damit der Fehler erkennbar auftritt.
Idealerweise erreicht die J-Grenze möglichst viele Eingänge. Eingänge, die nicht
Teil der J-Grenze sind oder durch die Ausbreitung der D-Grenze belegt wurden,
müssen von der Heuristik eines ATPG-Verfahrens geeignet belegt werden.
Im trivialen Beispiel der Abbildung 6 erreicht die J-Grenze die Ausgänge x 1
und x 2 . Die D-Grenze durchschreitet das zweite AND-Gatter und setzt y 1 =D
und x 3 =1.Für das Steuerbarkeitsproblem ergibt sich in diesem Fall die SAT-
Formel aus Gleichung 10.
ϕ =(x 1 + ¬a) · (x 2 + ¬a) · (¬x 1 + ¬x 2 + a) (10)
3.4 Testerzeugung
Ein allgemeines Schema einer Testerzeugung ist in Abbildung 7 dargestellt. Die
einzelnen Blöcke werden in den nachfolgenden Abschnitten besprochen.
– Zu Beginn wird die Testumgebung eingerichtet. Nach der Definition des Gatternetzwerks
und der darauf operierenden Logik (Alphabet, Operationen,
...)wirdindiesesGatterderFehler(Stuck-at-0bzw.Stuck-at-1)eingebaut.
In einem zweiten Schritt werden die notwendigen Wertzuweisungen zur Initialisierung
der D- und J-Grenze vorgenommen. Dieser Vorgang wird auch
Unique Sensitization [11] genannt.

110
Initialisierung
Fehler einfügen
Notwendige Belegungen
Implikationen auswerten
partielle Belegung
Neuer Vorschlag
Ja
Inkonsistenzen?
Wertzuweisungen
ändern
Nein
Heuristik für
optionale Werte
Nein
X-Pfad D → Ausgang
Ja
Nicht möglich
Fehlerüberprüfung
vollst. Belegung
Lösung nicht auffindbar
Ergebnis gefunden
Abb. 7. Ablauf einer Testerzeugung
– Wird eine Eingangsbelegung durch die Initialisierung neu erstellt oder eine
bestehende Lösung durch den Algorithmus verändert, müssen die Implikationen
auf die freien Variablen beachtet werden. Die Implikationen sind notwendige
Belegungsanforderungen für die Leitungen im Gatternetz. Die Auswertung
der Implikationen im Netzwerk entspricht dem BCP (vorgestellt in
Abschnitt 4.3) für SAT-Probleme.
– Die aus der Implikation gewonnene neue Belegung muss auf Fehler überprüft
werden. Einerseits muss das Gleichungssystem immer noch erfüllbar sein.
Als Beispiel wäre die Belegung A = {(x 1 =0), (x 2 =1), (x 3 =0)} für die
Gleichung ϕ =(x 1 + ¬x 2 ) · (x 2 + x 3 ) ungültig.
Andererseits muss ein X-Pfad existieren. Ein X-Pfad beschreibt den Weg von
einem Signal der D-Grenze zu einem Ausgang. Das D-Signal hat dann die
Möglichkeit den Ausgang zu erreichen, wenn die dazwischenliegenden Gatter
mit undefinierten Werten (X) belegt sind.
– War die Untersuchung auf Fehler ohne Beanstandung, können die noch freien
Variablen betrachtet werden. Eine geeignete Heuristik wählt eine freie
Variable aus und belegt sie mit einem Wert. Repräsentiert die neue Belegung
eine gültige, vollständige Lösung für die ATPG-Instanz, terminiert das
Verfahren.
Wurden Fehler bei der Untersuchung entdeckt, ist die aktuelle Belegung
nicht gültig. Abhängig vom Algorithmus wird eine neue Belegung gewählt.
Kann keine neue Belegung gewählt werden (z. B. da bereits alle ausprobiert

111
wurden), lässt sich daraus schließen, dass es keinen Testvektor für die ATPG-
Instanz gibt (Redundanz liegt vor). Das Verfahren terminiert in diesem Fall.
Tritt keine Terminierung ein, übernimmt der Algorithmus die neue Belegung
und fährt mit der Überprüfung der Implikationen fort.
4 Grundlagen von SAT-Solvern
Im folgenden werden einige Grundlagen betrachtet, die bei nahezu jedem modernen
SAT-Solver eingesetzt werden.
4.1 Konventionen
Für Algorithmen, die auf der Baumstruktur des Davis-Logemann-Loveland-Algorithmus
basieren, sind einige Konventionen festzulegen.
– Die Entscheidungsebene gibt an, in welcher Ebene des Baumes einer Variablen
ein Wert zugewiesen wird. Die Ebene, in der über die Belegung einer
Variablen entschieden wird, wird über die Funktion δ entschieden. In der
einfachen Variante des Backtracking-Algorithmus gilt δ(x i )=i. Erweiterte
Varianten weisen mehreren Variablen innerhalb einer Entscheidungsebene
z. B. durch Implikationen Werte zu.
– Der Wert, den eine Variable zugewiesen bekam, kann über die Funktion ν
abgefragt werden. Dabei gilt ν(x i ) ∈{0, 1}.
– Der Antezedent α(x i ) einer Variable x i ist NIL, falls die Variable durch
eine Entscheidung und nicht durch eine Implikation belegt wurde (Entscheidungsvariable).
Wurde die Variable durch eine Implikation belegt, ist α(x i )
die Klausel, in der die Variable x i die letzte frei Variable war (siehe Abschnitt
4.3).
Die obigen Festlegungen könneninderFormx i = ν(x i )@δ(x i ):α(x i )zusammengefasst
geschrieben werden. Im folgenden Beispiel sind x 1 und x 2 Entscheidungsvariablen,
die den Wert 0 bzw. 1 in den Entscheidungsebenen 1 und 2
erhielten. In der Ebene 2 ergibt sich eine notwendige Implikation zur Belegung
der Variablen x 3 . Deren Antezedent ist die einzige Klausel in ϕ.
ϕ =(¬x 1 + x 2 + x 3 )
x 1 =1@1:NIL
x 2 =0@2:NIL
x 3 =1@2:(¬x 1 + x 2 + x 3 )
4.2 Belegungsheuristiken
Im Rahmen der meisten SAT-Solveralgorithmen müssen Entscheidungen getroffen
werden wie Variablen zu belegen sind. Es gibt eine Reihe von möglichen
Heuristiken, wie Entscheidungsvariablen belegt werden können. Die daraus resultierenden
Implikationen beeinflussen den weiteren Ablauf des Algorithmus.

112
Silva gibt in [12] einen Überblick über gängige Heuristiken, der von Moskewicz
et al. in [13] zusammengefasst und erweitert wurde.
Nachfolgend sind einige bekannte Belegungsheuristiken aufgeführt.
– Wenn eine Entscheidung für eine Variable und deren Belegung ansteht, wird
die Wahl zufällig vorgenommen. Das RAND-Verfahren ist einfach aufgebaut,
da es unabhängig vom Zustand des Solvers arbeitet.
– Ein ”
gieriger” Ansatz für die Entscheidungsfindung ist der folgende: Alle
möglichen Kombinationen werden betrachtet. Dann wird die Variable mit
einem entsprechenden Wert belegt, sodass die meisten Klauseln erfüllt werden.
Von diesem Ansatz (DLIS, Dynamic Largest Individual Sum) gibt es
verschiedene Variationen. Bei DLCS (Dynamic Largest Combined Sum) wird
für jede Variable bestimmt, wie viele Klauseln sie mit positiver und negativer
Belegung zusammen erfüllt. Die endgültige Belegung ist positiv, falls
die gewählte Variable mit positiver Belegung mehr Klauseln als mit negativer
Belegung erfüllt. Andernfalls wird die Variable mit 0 belegt. DLIS und
DLCS können randomisiert werden, indem nach der Auswahl der Variable
deren Belegung zufällig gewählt wird.
Diese Verfahren brauchen sehr viel Zeit, da alle Klauseln betrachtet werden
und mögliche Belegungen überprüft werden müssen.
– Komplexere Analysen werden bei BOHM, MOM oder der Jeroslaw-Wang-
Heuristik vorgenommen. Bei BOHM wird die Erfüllung von kleinen Klauseln
bevorzugt, wobei bei der Größe einer Klausel nur unbelegte Literale gezählt
werden. MOM wählt Literale aus, die am häufigsten bei den kleinsten Klauseln
vorkommen. Ähnlich wie DLIS arbeitet die Jeroslaw-Wang-Heuristik,
wobei kleine Klauseln bei der Aufsummierung stärker gewichtet werden.
– Die bei Chaff ([13], Abschnitt B.3) verwendete VSIDS-Heuristik (Variable
State Independent Decaying Sum) betrachtet auch die Historie einer Variablen.
Damit ist diese Heuristik im Gegensatz zu den oben vorgestellten
Verfahren dynamisch. VSIDS führt für jedes Literal einen Aktivierungswert
mit. Kommt das Literal in einem Konflikt vor, wird die Aktivierung erhöht.
Die Werte alle Literale werden laufend verringert. Literale, die erst kurz vorher
in gelernten Klausel auftraten, werden daher bei der Wahl bevorzugt.
VSIDS hat einen geringen Overhead, liefert aber trotzdem gute Ergebnisse.
Mehr zu VSIDS finden sich in Abschnitt B.3.
Ähnlich wie VSIDS arbeitet die Heuristik im BerkMin-Solver [14]. Die Aktivierung
von Variablen wird erhöht, wenn ein entsprechendes Literal in einem
Konflikt (Konfliktklausel oder Antezedent) bei der Durchführung von BCP
vorkommt. Wie bei VSIDS kühlen die Variablen ab, sodass kürzliche Änderungen
in der Statistik einen größeren Einfluss auf die Entscheidung besitzen.
Die Bestimmung der ”
besten” Heuristik wird durch das Fehlen einer guten
Metrik erschwert. Neben der Zeit, die zur Entscheidungsfindung benötigt wird,
müssen die Auswirkung auf den BCP-Algorithmus beachtet werden. Treten auf
Grund einer Entscheidung viele Konflikte auf, wird dadurch ebenfalls viel Zeit
verbraucht. Experimentelle Ergebnisse in [14,13] deuten darauf hin, dass die
dynamischen Verfahren insgesamt eine bessere Performanz aufweisen.

113
4.3 Boolean Constraint Propagation und Implikationen
Wird während des Ablaufes eines Algorithmus eine Entscheidung getroffen, so
folgen aus dieser Entscheidung notwendige Implikationen. Für das SAT-Problem
bedeutet es, dass aus einer Zuweisung an eine Variable weitere Zuweisungen
zwingend daraus folgen, wenn die Gleichung erfüllbar bleiben soll.
Wenn bei einer Klausel alle Literale bis auf ein freies Literal den Wert 0
haben, so muss das letzte freie Literal den Wert 1 erhalten. Ansonsten hätte die
Klausel den Wert 0 und die SAT-Instanz wäre nicht mehr erfüllbar. Ein Beispiel
ist in Abbildung 8(a) dargestellt. Hier muss dem freien Literal x 2 der Wert 0
zugewiesen werden. Wird diese unit-Klausel-Regel wiederholt angewandt, bis
keine einzelnen freien Literale mehr vorkommen, spricht man von der Boolean
Constraint Propagation. Dieses Verfahren wurde bereits von Davis und Putnam
in der ursprünglichen Fassung des Algorithmus verwendet.
Ein ähnliches Vorgehen kann in booleschen Netzwerken angewandt werden.
Hier hängen die Ein- und Ausgänge der logischen Gatter voneinander ab. Ist
ein AND-Gatter wie in Abbildung 8(b) beschaltet, muss der unbelegte Eingang
x 1 den Wert 1 bekommen. Diese einfache Implikation ist vorwärtsgerichtet, falls
einem Ausgang ein Wert zugewiesen wird, anderfalls ist sie rückwärtsgerichtet.
Eine Reihe von einfachen Implikationen stellt eine direkte Implikation dar. Implikationen,
die sich nicht aus direkten Implikationen ergeben, werden indirekte
Implikationen genannt. Sie lassen sich nur mit aufwändigen Verfahren (z. B. Rekursives
Lernen) bestimmen.
Es ist ersichtlich, dass direkte Implikationen und BCP einander entsprechen.
BCP wird in nahezu jedem exakten SAT-Solver verwendet, da es die Lösungsfindung
bei großen SAT-Gleichungen erheblich beschleunigt.
ω = (x 1 + ¬x 2)
A = {(x 1, 0)}
x 1
1
1
(a) unit-Klausel-Regel
(b) Einfache Implikation
Abb. 8. Beispiele für Notwendige Implikationen bei SAT und ATPG
4.4 Neustart
Um aus einem Teilbaum zu ”
entkommen”, kann ein Algorithmus einen Neustart
durchführen. Dabei werden Teile der bisher gesammelten Daten und Belegungen
gelöscht und eine neue Startposition ausgewählt. Die nicht verworfenen Daten
(z. B. aus Konflikten gelernte Klauseln) können eine Wiederholung von Fehlbelegungen
verhindern. Die Anwendung von Neustarts bei Chaff wird in Abschnitt
B.3 dargestellt.

114
Anstatt eines kompletten Neustarts kann der Algorithmus auch an eine beliebige
Stelle im Suchbaum zurückspringen.
5 Konfliktanalyse
Konfliktanalyse bedeutet, aus Konflikten zu lernen, die während des Lösens der
SAT-Instanz auftreten. Wird ein auf dem Davis-Putnam-Logeman-Loveland-
Algorithmus (siehe Abschnitt 2.1) basierender SAT-Solver eingesetzt, werden
Konflikte behandelt, die während der Implikationsverfolgung (BCP, siehe Abschnitt
4.3) auftreten. Die Wahl und Ausprägung der Konfliktanalyse und die
daraus abgeleiteten Lernstrategien haben entscheidenden Einfluss auf die Berechnungszeit
des SAT-Solvers.
Das konfliktbasierte Lernen (conflict based learning) ermöglicht es, durch
Hinzufügen von neuen Klauseln beispielsweise bestimmte Konflikte zukünftig zu
verhindern. Damit können Teile des Suchraums ausgeblendet (prune) werden,
da gelernt wurde, dass sich darin keine gültigen Lösungen befinden.
Eine Einführung zu diesem Thema findet sich in [15,16].
5.1 Implikationsgraph
Die in Abschnitt 4.1 eingeführten Darstellungen von Entscheidungsvariablen und
-ebenen, Antezedenten und Implikationen können in einem Graphen zusammengefasst
werden. Variablenzuweisungen ν(x) (Entscheidungen oder Implikationen)
werden als Knoten dargestellt. Entscheidungsknoten stellen die Entscheidungen
einer Ebene dar und besitzen keine eingehenden Kanten bzw. Vorgänger.
Die Vorgänger eines Knotens mit dem Literal x i sind die Variablenbelegungen,
die im Antezedenten δ(x i ) vorkommen und für die Knotenbelegung verantwortlich
sind. Der Graph kann aus der Menge aller Zuweisungen der Form
x i = ν(x i )@δ(x i ):α(x i ) berechnet werden. Diese Menge wurde durch die Durchführung
von BCP gewonnen.
Zu jedem Knoten ist somit die Variable und die Ebene der Zuweisung bekannt.
Ein Beispiel ist in Abbildung 9 für die folgende Gleichung, wobei x 4 , x 12
und x 16 als Entscheidungsknoten dienen.
ϕ = ω 1 · ω 2 · ω 3 · ω 4 · ω 5 · ω 6 · ω 7 · ω 8
ω 1 = x 2 + x 12 + ¬x 16
ω 2 = ¬x 2 + ¬x 4 + ¬x 8 + ¬x 10
ω 3 = x 8 + ¬x 16
ω 4 = x 1 + x 10
ω 5 = x 3 + x 10
ω 6 = ¬x 5 + x 10
ω 7 = ¬x 1 + ¬x 3 + x 5 + x 18
ω 8 = ¬x 3 + ¬x 18

115
¬x (5)
12
x (1)
4
x (5)
1
¬x (5)
2 ¬x (5)
x (5)
10
3
x (5)
18
x (2)
16
x (2)
8
¬x (5)
5
¬x (5)
18
Abb. 9. Beispiel für einen Implikationsgraph. Entscheidungsvariablen sind grau dargestellt,
Implikationsvariablen weiß. Die Schreibweise ¬x (5)
2 bedeutet, dass der Variablen
x 2 auf der Entscheidungsebene 5 der Wert 0 zugewiesen wurde.
In einer Gleichung bzw. Graph ohne Konflikt lässt sich jede Variable mit genau
einem Knoten darstellen. Bei einem Konflikt wird versucht, einer Variablen
zwei verschiedene Werte zuzuordnen. Daher muss diese Konfliktvariable (conflicting
variable) durch zwei Knoten (Beispiel: x 18 und ¬x 18 ) dargestellt werden 4 .
Für die Konfliktanalyse kann man sich auf die Knoten beschränken, von denen
aus es einen Pfad zu einer Konfliktvariable gibt.
Werden die Knoten der aktuellen Entscheidungsebene betrachtet, kann es
Knoten geben, durch die alle Pfade von der aktuellen Entscheidungsvariable zu
den beiden Konfliktknoten laufen. Im Beispiel sind diese Eindeutige Implikationspunkte
(Unique Implication Point, UIP) die Entscheidungsvariable x 12 ,sowie
¬x 2 und ¬x 10 .EineÄnderung des Wertes eines UIP würde den Konflikt verhindern.
Die UIPs können nach ihrer Entfernung zum Konflikt sortiert werden.
Der dem Konflikt am nächsten liegende Knoten ist der erste UIP (First UIP),
im Beispiel ¬x 10 .
5.2 Konfliktklauseln und Schnitte
Tritt ein Konflikt auf, kann dieser mit einer neuen Klausel beschrieben werden.
Diese Konfliktklausel 5 ist unerfüllbar, genau dann wenn der Konflikt auftritt.
Lernen bedeutet somit, die Konfliktklausel zur Klauselmenge hinzuzufügen, um
eine Wiederholung des Konflikts zu verhindern.
4 In [17] wird eine andere, aber äquivalente Darstellung mit Konfliktknoten κ verwendet.
5 im Gegensatz zur konfliktverursachenden Klausel (conflicting clause)

116
Das Bestimmen der Konfliktklausel kann auf den Implikationsgraphen übertragen
werden. Dazu wird der Graph bipartitioniert 6 . Der Teilgraph, der die
Konfliktvariable enthält, wird Konfliktseite (conflict side) genannt, der andere
Teilgraph Ursachenseite (reason side). Die Grenze zwischen beiden Partitionen
wird Schnitt (cut) genannt. Literale in Knoten auf der Ursachenseite, die Kanten
auf die oder von der Konfliktseite hatten, werden invertiert in die gelernte
Klausel aufgenommen.
Beispiele für Schnitte sind in Abbildung 10 gezeigt. Bei dem äußeren Schnitt
(hier: Entscheidungsschnitt) sind die betroffenen Knoten x (1)
4 , ¬x(5) 12
Somit kann die Konfliktklausel ω κ = ¬x 4 + x 12 + ¬x 16 gelernt werden.
und x(2) 16 .
Entscheidungsschnitt
¬x (5)
12
x (1)
4
x (5)
1
¬x (5)
2 ¬x (5)
x (5)
10
3
x (5)
18
x (2)
16
x (2)
8
¬x (5)
5
¬x (5)
18
First UIP
Konfliktseite
Relsat-Schnitt
Ursachenseite
Abb. 10. Beispiel für einen Implikationsgraph mit Schnitt
Klausellöschung Im Laufe eines Algorithmus können sehr viele neue Klauseln
in die Formel aufgenommen werden. Da eine zu starke Vergrößerung der Klauselmenge
den Suchprozess erschwert, müssen hinzugefügte Klauseln u. U. wieder
entfernt werden.
Geeignete Heuristiken können Klauseln auf ihre Relevanz untersuchen. In
regelmäßigen Aufräumschritten werden dann nicht länger benötigte Klauseln
aus der Klauselmenge entfernt.
6 in zwei Teilgraphen getrennt

117
5.3 Lernschemata
Die Art des Schnitts bedingt die Konfliktklausel. Es existieren verschiedene
Schnittvarianten, die sich in Komplexität und Effizienz (z. B. Klauselgröße) unterscheiden.
In [16] findet sich eine Übersicht über verschiedene Schemata.
Entscheidungsschema Eine intuitive Schnittvariante folgt dem Entscheidungsschema.
Dabei werden alle Entscheidungsvariablen auf die Ursachenseite verschoben,
alle Implikationsvariablen auf die Konfliktseite. Diese Trennung erfolgt
unabhängig von der Entscheidungsebene der Knoten. Betrachtet werden
nur Variablen, deren Knoten einen Pfad zum Konflikt besitzen.
Ein Beispiel ist in Abbildung 10 gezeigt.
Minimaler Schnitt Einen Schnitt zu finden, der möglichst wenig Knoten bzw.
Kanten im Implikationsgraphen betrifft, ist Ziel eines minimalen Schnitts
(min-cut, nicht dargestellt). Aus dem Implikationsgraphen sollen dabei möglichst
wenige Entscheidungs- und Implikationsvariablen entfernt werden, sodass
zwei Partitionen entstehen. Dabei soll eine Seite sämtliche Konfliktvariablen
besitzen, dafür aber keine Entscheidungsvariablen.
Der minimale Schnitt kann mit bekannten graphentheoretischen Algorithmen
bestimmt werden. Von allen hier aufgeführten Schnitten besitzt er die
größte Komplexität mit O(n 2 log n).
Schemata mit UIPs Beim Entscheidungsschema werden Entscheidungsvariablen
als Grenzknoten zwischen den Partitionen verwendet. Dieses Schema kann
man erweitern, wenn UIPs statt nur Entscheidungsvariablen betrachtet werden.
1-UIP Das 1-UIP-Schema (1 UIP) versucht kleine, relevante Klauseln zu finden.
Knoten der aktuellen Entscheidungsebene, die einen Pfad zu einem
Konfliktknoten besitzen und zwischen erstem UIP und Konflikt liegen, stehen
auf der Konfliktseite. Das erste UIP steht mit allen anderen Knoten auf
der Ursachenseite. Die Konfliktklausel enthält daher als einziges Element nur
die Variable des UIP.
Für Abbildung 10 würde der Schnitt so verlaufen, dass die Knoten x 1 , x 3 ,
¬x 5 , x 18 und ¬x 18 auf der Konfliktseite liegen (Schnitt B in Abbildung 11).
Es wird die Klausel ω κ2 = x 10 gelernt.
Alle-UIP Im Alle-UIP-Schema (All UIP) werden auf allen Entscheidungsebenen
die ersten UIPs betrachtet, wobei mit der aktuellen Entscheidungsebene
begonnen wird und dann schrittweise die Ebenen bis zur ersten betrachtet
werden. Der Konfliktseite werden dann alle Knoten des Implikationsgraphen
zugeordnet, die auf ihrer Entscheidungsebene nach dem ersten UIP belegt
wurden und einen Pfad zum Konflikt besitzen. Alle anderen Variablen gehören
zur Ursachenseite. Die resultierende Konfliktklausel enthält aus jeder
betrachteten Entscheidungsebene nur eine Variable.
n-UIP Das Alle-UIP-Schema ist eine Verallgemeinerung des 1-UIP-Schema auf
alle Ebenen. Es sind aber auch Zwischenschritte vorstellbar, bei denen nur
eine bestimme Anzahl von Entscheidungsebenen zurückgegangen wird. Wird
neben der aktuellen Ebene die vorherige mit einbezogen, wird von dem 2-
UIP-Schema gesprochen.

118
Schemata von Implementierungen
Relsat-Schema In Abbildung 10 ist ein Relsat-Schnitt gemäß dem Algorithmus
von Bayardo und Schrag [18] dargestellt. Dabei werden alle Entscheidungsvariablen
und die Implikationsvariablen früherer Entscheidungsebenen auf
die Ursachenseite gesetzt. Die Implikationsvariablen der aktuellen Entscheidungsebene
befinden sich auf der Konfliktseite. Im Beispiel der Abbildung
wird die Konfliktklausel ω κ = ¬x 4 + ¬x 8 + x 12 + ¬x 16 gelernt.
GRASP-Schema Das GRASP-Schema (siehe Abschnitt B.1) verwendet verschiedene
Untervarianten.
Rekonvergenz von UIPs Kantenpfade, die von einem UIP der aktuellen
Entscheidungsebene ausgehen, laufen bei einem anderen UIP wieder zusammen.
Diese Rekonvergenz (reconvergence) kann für einen Schnitt verwendet
werden, wobei sich innerhalb des Schnitts kein Konflikt befindet.
Im Beispiel in Abbildung 11 ist ein solcher Schnitt mit A gekennzeichnet
und verläuft zwischen x 12 (Entscheidungsvariable) und ¬x 10 (UIP). Die
gelernte Klausel ist ω κA = x 10 + x 12 + ¬x 16 .
Ab erstem UIP Eine weitere Konfliktklausel erstellt GRASP aus einem
Schnitt auf der aktuellen Entscheidungsebene zwischen dem ersten UIP
(vom Konflikt aus gesehen) und allen Knoten näher am Konflikt. Die
Art von Schnitt wird auch von GRASP (s. o.) angewandt. Abbildung 11
zeigt diesen Fall als Schnitt B. Die gerlernte Klausel ist hier ω κB = x 10 .
Backtracking Führt auch die alternative Belegung der Entscheidungsvariablen
der aktuellen Ebene zum Widerspruch, kann der Konflikt auf dieser
Entscheidungsebene nicht aufgelöst werden. Ein neuer Schnitt wird
vorgenommen, der alle Knoten der aktuellen Entscheidungsebene auf
die Konfliktseite stellt und Knoten früherer Entscheidungsebenen auf
die Ursachenseite. Um diesen Konflikt aufzulösen, muss der Algorithmus
auf eine frühere Entscheidungsebene springen. Dieser Sprung basiert
auf dem Schnitt und ist Basis für den nicht-chronologischen Rücksprung
(Abschnitt 5.5).
Dieser Schnitt entspricht Schnitt C in Abbildung 11. Die durch den
Schnitt gewonnene Klausel ist ω κC = ¬x 4 + x 12 .
Die Bestimmung eines Schnitts erfordert die Traversierung des Implikationsgraphen.
Die Komplexität hängt somit von der Anzahl der Kanten und Knoten
ab (O(V + E)).
5.4 Einfache Fehler
In der gelernten Konfliktklausel ist zu jedem Literal dessen Entscheidungsebene
bekannt. Ist die höchste vorkommende Entscheidungsebene gleich der aktuellen
Entscheidungsebene, kann der Konflikt ohne Rücksprung (Backtracking) gelöst
werden.
Falls für die Entscheidungsvariable der aktuellen Ebene noch nicht beide Belegungen
ausprobiert wurden, kann der Konflikt durch Invertieren der Belegung

119
Schnitt C
Schnitt B
¬x (2)
12
x (1)
4
x (5)
1
¬x (5)
2 ¬x (5)
x (5)
10
3
x (5)
18
x (5)
16
x (5)
8
¬x (5)
5
¬x (5)
18
Schnitt A
Abb. 11. Beispiel für einen Implikationsgraph mit Schnitt nach GRASP
gelöst werden. In [17] wird in diesem Fall von failure-driven assertion (FDA) gesprochen,
da die neue Belegung der Entscheidungsvariable nicht länger von einer
echten” Entscheidung kommt, sondern durch den Fehler erzwungen wird. Implikationen,
die sich aus der ursprünglichen Belegung ergaben, werden rückgängig
”
gemacht.
Falls beide Varianten der Belegung der aktuellen Entscheidungsvariable ausprobiert
wurden und zum Konflikt führten, liegt die Ursache des Konflikts auf
einer anderen Ebene und ein Rücksprung ist notwendig.
5.5 Rücksprung
Einfacher Rücksprung Das in Abschnitt 2.1 vorgestellte Davis-Logemann-
Loveland-Verfahren benutzt ein einfaches Backtracking. Da dieser Backtracking-
Algorithmus ähnlich wie ein Stack arbeitet, spricht man auch von einem chronologischen
Backtracking. Tritt ein Fehler auf, wird die zuletzt gewählte Entscheidungsvariable
invertiert, von der noch nicht beide Belegungen probiert wurden.
Diese einfache Variante ist nur bei bestimmten Gleichungen effizient. Unter
Umständen werden viele Rücksprünge vorgenommen und Variablenbelegungen
invertiert, die keinen Einfluss auf den Konflikt haben. Ein Beispiel dazu stellen
die Gleichungen 2 bis 5 auf Seite 6 dar.

120
Nicht-chronologischer Rücksprung Eine Erweiterung zum einfachen Rücksprung
stellt der nicht-chronologische Rücksprung dar. Als Sprungziel wird die
Entscheidungsvariable aus der Konfliktklausel gewählt, die auf der höchsten Entscheidungsebene
vor der aktuellen Ebene belegt wurde. Sind am Rücksprungknoten
bereits beide Alternativen fehlgeschlagen, wird zur nächst kleineren Entscheidungebene,
die den Konflikt mitverursacht hat, gesprungen. Eine Invertierung
ist möglich, falls mindestens ein UIP der aktuellen Entscheidungsebene auf der
Ursachenseite stand. Die Konfliktklausel wird in diesem Fall auch bestimmende
Klausel (Asserting clause) genannt. In [17] wird von conflict-directed backtracking
(konfliktbezogenem Rücksprung) gesprochen, da der Konflikt das Rücksprungziel
bestimmt.
Für das nachfolgende Beispiel ist der Baum in Abbildung 12 skizziert. Gegeben
sind folgende Belegung A für die Formel ϕ:
A = {(x 4 =0@3:NIL), (x 6 =0@4:NIL)}
ϕ =(x 1 + x 3 ) · (x 1 + ¬x 3 + x 4 ) · (¬x 1 + x 5 + x 6 ) · (¬x 1 + ¬x 5 )
In der Entscheidungsebene 9 wird der Entscheidungsvariablen x 1 der Wert
0zugewiesen(x 1 =0@9:NIL). Daraus ergebt sich implizit x 3 =1@9:(x 1 + x 3 ).
Das führt in der Klausel ω 2 =(x 1 + ¬x 3 + x 4 ) zum Konflikt. Da die konfliktverursachende
Entscheidung x 1 = 0 auf der aktuellen Entscheidungsebene getroffen
wurde, kann leicht eine alternative Belegung gewählt werden. Mit x 1 =1folgt
x 5 =1@9:(¬x 1 + x 5 + x 6 ), was nun aber in der Klausel ω 4 =(¬x 1 + ¬x 5 )zum
Konflikt führt.
Ein einfacher Backtracking-Algorithmus würde an dieser Stelle auf die Entscheidungsebene
8 zurückspringen und dort nach einigem Suchen auf den gleichen
Fehler treffen. Mit dem nicht-chronologischen Backtracking kann direkt auf
die Entscheidungsebene 4 gesprungen werden, an der x 6 =0gewählt wurde.
Durch die Wahl der Alternative x 6 = 1 kann der gleiche Fehler wie oben nicht
mehr auftreten.
Nicht-chronologisches Backtracking wurde erstmals in GRASP (siehe Abschnitt
B.1) verwendet.
6 Implikationsgraphen für ATPG
Im Nachfolgenden wird dargestellt, wie die von SAT-Problemen bekannten Implikationsgraphen
(Abschnitt 5.1) auf Gatternetze übertragen werden können.
6.1 Motivation
Implikationsgraphen sind eine Ausdrucksmöglichkeit, unterschiedliche Verfahren
zur Konfliktanalyse bei SAT zu beschreiben. Wie in Abschnitt 5.2 vorgestellt,
wird ein SAT-Solver im wesentlichen durch die Art des Schnitts charakterisiert,
die er anwendet, um den Implikationsgraphen zu bipartitionieren.
Um die Mächtigkeit von SAT-Implikationsgraphen für ATPG-Probleme zu
verwenden, muss im naiven Ansatz das Gatternetz erst in eine SAT-Gleichung

121
Entscheidungsebene
Rücksprung
3
4
9
Alternative
Abb. 12. Nicht-chronologisches Backtracking
transformiert werden, bevor es in einen Implikationsgraphen übersetzt werden
kann. Dieser Ansatz hat allerdings drei entscheidende Nachteile:
– Für den Zwischenschritt wird Rechenzeit und Speicherplatz benötigt.
– Die resultierende SAT-Gleichung wird vergleichsweise groß. Bereits ein einfaches
AND-Gatter mit zwei Eingängen wird in drei Klauseln umgesetzt.
– Strukturinformationen, die durch das Gatter gegeben sind, gehen bei der
Umsetzung verloren. Diese Problematik wird am Ende von Abschnitt 6.4
erläutert.
Zur Umgehung der Probleme kann der hier vorgestelle Ansatz für ATPG-
Implikationsgraphen verwendet werden.
6.2 Aufbau von Implikationsgraphen
Der ATPG-Implikationsgraph lässt sich parallel mit der Durchführung des D-
Kalküls (Abschnitt 3.3) aufbauen. Knoten im Implikationsgraphen entsprechen
Leitungen im Gatternetz.
Zur Initialisierung werden in den Implikationsgraphen Knoten
mit gerichteten Entscheidungskanten eingebaut, wobei diese Knoten
Leitungen mit bekanntem Wert repräsentieren. Die Entscheidungskanten
besitzen keinen Ursprung, da die Werte z. B. durch einen FehlerimGatteroderdurchäußere
Entscheidungen vorgegeben sind.
Ausgehend von bestehenden Knoten (Leitungen im Gatter) werden die notwendigen
Implikationen im D-Kalkül und Implikationsgraph durchgeführt. Im
Implikationsgraphen werden dazu über Implikationskanten Knoten eingebaut,
deren Belegung sich durch die direkten Implikationen ergibt. In der graphischen
Repräsentation wird dazu jeder Knoten, der eine Implikation erzwungen hat,
durch eine gerichtete Kante mit den dadurch neu eingefügten Knoten verbunden
c

122
(Abbildung 13(a)). Dieser Schritt wird so lange wiederholt, wie sich notwendige
Implikationen durch das Gatter und seine Belegung ergeben.
a 1
a 2
a 2
a
a 1
a 2
a
a
a
a 1
a 1
(a) Notwendige Implikation bei a =
1 und korrespondierender Implikationsgraph
(b) Entscheidung notwendig bei
a = 1 und korrespondierender Implikationsgraph
für a 1 = 1
Abb. 13. Konstruktionselemente im Implikationsgraph für Gatternetze
Sind alle notwendigen Implikationen durchgeführt worden, kann es notwendig
sein, eine Entscheidung über die Belegung einer Leitung zu treffen. Die Belegungsentscheidung
wird wieder durch eine Entscheidungskante im Implikationsgraphen
repräsentiert. An das Gatter, an dem die Entscheidung getroffen wurde,
schließt eine Leitung an, deren Wert durch eine Implikation bestimmt wurde. Der
zu dieser Leitung korrespondierende Knoten im Implikationsgraphen wird daher
mit einer Entscheidungskante zu dem Knoten verbunden, der die neu belegte
Leitung repräsentiert. Alternative Entscheidungsmöglichkeiten können am Implikationsknoten
graphisch angedeutet werden (Abbildung 13(b)).
Die beiden vorhergehenden Schritte werden abwechselnd durchgeführt, bis
ein Konflikt auftritt (Abbildung 14(a)). Ein Konflikt wird bei einer gegensätzlichen
Belegung einer Leitung durch zwei unabhängige notwendige Implikationen
erzeugt. Im Implikationsgraphen werden die beiden Belegungen durch zwei
Knoten dargestellt. Zur Auflösung des Konflikts werden ausgehend von den beiden
betroffenen Knoten alle Implikationskanten bis zu den Entscheidungskanten
zurückverfolgt. Die Graphknoten, auf die die Entscheidungskanten zeigen,
stehen für Leitungen. Diese Leitungen werden als Eingangsleitungen für eine
Konfliktschaltung verwendet. Die Konfliktschaltungschaltung besteht aus einem
Mehrfach-AND, für dessen Ausgang eine 0 gefordert wird. (Abbildung 14(b)).
Die Konfliktschaltung entspricht einer Konfliktklausel für SAT-Implikationsgraphen.
Die gefundenen Entscheidungskanten bilden einen Schnitt durch den Implikationsgraphen.
Wird die Konfliktschaltung in das Gatternetzwerk eingebaut,
erzwingt das Gatter eine neue Entscheidung von mindestens einer Eingangsleitung.
Dies entspricht einem chronologischen Rücksprung bei SAT-Solvern. Ein
nicht-chronologischer Rücksprung wie bei SAT-Problemen ist im D-Kalkül nicht
möglich, da die Auswahl der nächsten Leitung lokal zur letzten Zuweisung stattfindet
und nicht unabhängig wie bei den Heuristiken der SAT-Solver.

123
c
b ¬b
a
c 1
a 1
(a) Implikationsgraph
a 1
c 1
0
(b) Konfliktschaltung
Abb. 14. Konflikt im Implikationsgraph für Gatternetze und daraus resultierende Konfliktschaltung
Sind alle Alternativen zur Belegung eines Gatters fehlgeschlagen, können die
einzelnen Konfliktschaltungen der betroffenen Leitungen des Gatters zusammengefasst
werden. Dazu werden die bestehenden Konfliktschaltungen mit einem
Gatter kombiniert, das dem Elterngatter der Alternativen entspricht. Im Beispiel
in Abschnitt 6.3 wird ein NOR-Gatter verwendet (Abbildung 17(a)). Das
aus der Kombination entstandene neue Konfliktgatter benötigt keine Wahl für
die Belegung der Leitungen. Alle internen Leitungen können durch Implikationen
belegt werden.
Als Verallgemeinerungsschritt können von dem Knoten der Zusammenfassung
aus die notwendigen Implikationen zu den vorherigen Entscheidungskanten
zurückverfolgt werden. Wird nur eine weitere Entscheidungskante erreicht (wie
im folgenden Beispiel), kann die Belegung der kombinierten Konfliktschaltung
verallgemeinert werden (vgl. Abbildung 17). Werden mehrere Entscheidungskanten
erreicht, müssen die Implikationsknoten, auf die sie zeigen, als Eingangsleitungen
für ein AND-Gatter verwendet werden. Der Ausgang des AND-Gatters
wird mit der Konfliktschaltung an der Stelle verbunden, an der der Knoten
der Zusammenfassung angeschlossen war. Die Kombinations- und Verallgemeinerungsschritte
lassen sich, falls notwendig, wiederholen.
In der resultierenden Konfliktschaltung tritt für eine gegebene Eingangsbelegung
immer dann ein Konflikt auf, wenn auch in der ursprünglichen Schaltung
ein Konflikt auftrat. Allerdings ist im Gegensatz zur ursprünglichen Schaltung
keine Entscheidungsfindung notwendig, der Konflikt ergibt sich durch direkte
Implikationen innerhalb der Konfliktschaltung.
6.3 Beispiel
Die Anwendung des Implikationsgraphen soll nun in einem größeren Beispiel
(orientiert sich an einer Schaltung aus [19]) verdeutlicht werden. In Abbildung 15
ist ein Teil eines Gatternetzwerks gegeben, zu dem die Belegungen a =0,f =1
und g = 1 bekannt sind.
Der Implikationsgraph startet in diesem Beispiel an der Leitung a, gekennzeichnet
mit eingehender Entscheidungskante an den Knoten ¬a im Implikationsgraphen.
Zur Erfüllung der Gattergleichung muss entweder a 1 =0odera 2 =0

124
f = 1
m 1
m 2
d 1
b
d
e
h
a 1
a = 0
n 1
n 2
d 2
a 2
g = 1
j
Abb. 15. Beispiel für ein Gatternetzwerk mit Konflikt
gelten. Hier wird a 1 = 0 weiterverfolgt. Die folgenden OR-Gatter erzwingen daraufhin
e =0,h =0,b = 0 und d = 0. Das zentrale NOR-Gatter erfordert, dass
entweder d 1 =1oderd 2 = 1 gesetzt werden muss. Die Wahl fällt auf d 1 , worauf
das anschließende AND-Gatter m 1 = 1 und m 2 = 1 fordert. Das NAND-Gatter,
mit dem f, m 1 und m 2 verbunden sind, verursacht daraufhin einen Konflikt,
weil f =0ausm 1 und m 2 gefordert wird.
¬a
¬a 1
¬b
¬e
¬d
m 1
¬h
d 1
¬f
f
m 2
Abb. 16. Beispiel für einen Implikationsgraph mit Konflikt
Aus dem Implikationsgraphen ist jetzt eine Konfliktschaltung ableitbar. Vom
Konflikt ausgehend erreicht eine Rückverfolgung die Entscheidungskanten an den
Knoten d 1 und f. Die Konfliktschaltung ist somit ein AND-Gatter mit d 1 und
f als Eingänge und einem Ausgang, für den 0 gefordert wird.
Die Verfolgung der Alternative d 2 = 1 des Knotens ¬d führt ebenfalls zum
Konflikt (nicht dargestellt). Jetzt können die Konflikte von d 1 und d 2 zusammengefasst
werden (Abbildung 17(a)). Dazu wird wie in der ursprünglichen Schaltung
ein NOR-Gatter verwendet. Da die Belegung von d = 0 auf eine notwendige

125
Implikation von a 1 =0zurückgeht, kann die Konfliktschaltung noch weiter verallgemeinert
werden (Abbildung 17(b)). Wird die Konfliktschaltung als ”
Black
Box” betrachtet, besitzt sie nur a 1 , f und g als Schnittstelle. Intern werden nur
drei Gatter verwendet und es ist keine Wahl für die Leitungsbelegung notwendig.
d 1
f
0
d 1
f
0
d
a 1
d 2
g
d 2
g
0
0
(a) Kombination mit NOR-Gatter
als Verbindung
(b) Verallgemeinerung, da d durch
a 1 ersetzt wurde
Abb. 17. Kombination und Verallgemeinerung von Konfliktschaltungen
6.4 Vergleich mit SAT-Implikationsgraphen
ATPG-Implikationsgraphen 7 und SAT-Implikationsgraphen besitzen Gemeinsamkeiten
und Unterschiede.
Der wesentliche Unterschied zwischen beiden Typen von Implikationsgraphen
ist, dass Graphen für SAT-Probleme zwei Arten von Knoten, aber nur eine Art
von Kanten kennen. Bei ATPG-Graphen werden dagegen zwei Kantentypen unterschieden,
dafür gibt es nur einfache Knoten. Bei SAT-Implikationsgraphen
werden Entscheidungen für die Auswahl und Belegung einer Variable, sofern
nicht durch das BCP vorgegeben, unabhängig von den übrigen Belegungen getroffen.
Im SAT-Graphen wird somit unterschieden, ob ein Knoten durch eine
Heuristik oder eine Implikation belegt wird. Dagegen wird im ATPG-Implikationsgraphen
zusätzlich die Information aus dem D-Kalkül eingebaut, wie die
Entscheidung einer Belegung motiviert ist. Dazu wird eine Entscheidungskante
eingebaut, die innerhalb” eines Gatters verläuft und eine mögliche gültige Belegung
der Leitung darstellt. Der Graphknoten, der die durch die Entscheidung
”
belegte Leitung beschreibt, muss daher nicht gesondert behandelt werden.
Als Gemeinsamkeit ist die Darstellung von Abhängigkeitsstrukturen zu nennen.
Beide Implikationsgraphentypen fassen zusammen, wie Belegungen für Variablen
bzw. Leitungen motiviert sind. Im Konfliktfall kann die Ursache durch
Rückverfolgung im Implikationsgraphen gefunden werden und eine Konfliktklausel
bzw. -schaltung erstellt werden. Diese Klausel bzw. Schaltung kann gelernt
7 im Folgenden verkürzt auchATPG=”Graphen genannt.

126
werden (d. h. ins Schaltnetz bzw. die Klauselmenge aufgenommen werden) und
eine Änderung der bisherigen Belegung erzwingen.
Abschließend wird ein einfaches Beispiel für die Unterschiede
zwischen beiden Arten von Implikationsgraphen gezeigt. Für a
die nebenstehenden Schaltung kann die SAT-Gleichung ϕ =
c
b
(¬c + a + b) · (c + ¬a) · (c + ¬b) abgeleitet werden. Aus der
Belegung A = {(c = 0@1:NIL)} folgt implizit die Belegung
A ′ = {(a =0@1:(c+¬a)), (b =0@1:(c+¬b))}. Dargestellt wird der resultierende
Implikationsgraph in Abbildung 18(a). Der entsprechende ATPG-Implikationsgraph
ist in Abbildung 18(b) aufgebaut. Anfänglich wurde die Entscheidung
getroffen, die Belegung c = 0 (entspricht dem Knoten ¬c) vorzunehmen. Davon
ausgehend werden die Implikationskanten zu den Knoten ¬a und ¬b eingefügt.
Interessanter ist der Fall, falls c =1gewählt wird. In diesem Fall ist eine zweite
Belegungswahl notwendig, um die dritte Variable/Leitung zu belegen. Für den
SAT-Fall wird die Belegung a = 1 (entspricht dem Knoten a) bestimmt und in
den Implikationsgraphen (Abbildung 18(c)) eingebaut. Zwar kann durch Entscheidungsebenen
der zeitliche Ablauf der Zuweisungen nachvollzogen werden,
aber nicht, warum a gewählt wurde 8 . Im Implikationsgraphen für das Gatternetzwerk
(Abbildung 18(d)) ist dagegen klar, dass nach der Zuweisung für c
keine notwendige Implikation gefunden wurde, dafür aber eine Entscheidung an
einem Gatter getroffen wurde, an dem die Leitungen c und a angeschlossen sind.
¬a
¬a
(a)
¬c
¬c
(b)
¬b
¬b
c
(c)
c
(d)
a
a
Abb. 18. Unterschiede zwischen Implikationsgraphen
Beide Arten von Implikationsgraphen lassen sich ineinander überführen. Um
einen SAT-Graphen in einen ATPG-Graphen zu konvertieren, werden die Ent-
8 In diesem einfachen Beispiel ist es klar, in größeren Gleichungen trifft eineHeuristik
eine ”
willkürliche”Wahl.

127
scheidungsknoten des SAT-Graphen in normale Knoten umgewandelt und mit
einer eingehenden Entscheidungskante (ohne Anfangsknoten) versehen (Abbildung
19(a)). Umgekehrt werden alle Entscheidungskanten entfernt und die Knoten,
auf die sie zeigten, in Entscheidungsknoten umgewandelt (Abbildung 19(b)).
Es ist offensichtlich, dass bei der Umwandlung von SAT nach ATPG keine Informationen
verloren gehen. Die Umwandlung eines ATPG-Implikationsgraphen
in ein SAT-Graphen dagegen ist mit Informationsverlust verbunden (vgl. jeweils
ersten und dritten Implikationsgraphen in Abbildung 19).
¬a
¬a
¬a
(a)
c
→
c
→
c
¬b
¬b
¬b
-a- -a- -a-
(b)
c
→
c
→
c
¬b
¬b
¬b
Abb. 19. Konversion zwischen Typen von Implikationsgraphen
7 Zusammenfassung & Diskussion
Implikationsgraphen sind eine mächtige Beschreibungsform, um die Konfliktanalyse
verschiedenster SAT-Solver (GRASP, Rel-Sat, . . . ) in einem Konzept
zu vereinheitlichen. Sie sind die Grundlage für die Analyse von bestehenden
Solvern, da sich unterschiedliche Solver im Wesentlichen an den Schnitten im
Implikationsgraphen unterscheiden 9 .
Eine Übertragung von Implikationsgraphen auf ATPG-Probleme baut eine
Brücke zu SAT-Solvern auf. Sie kann als Basis für die Übertragung von Techniken
aus SAT-Solvern auf ATPG-Solver dienen, da Konzepte wie Schnitte und Konfliktklauseln/-schaltungen
erhalten bleiben. Bedingt durch die in Abschnitt 6.4
genannten Gemeinsamkeiten und Unterschiede sind allerdings Anpassungen an
beispielsweise die Datenstrukturen von Gatternetzlisten notwendig.
Nicht betrachtet wurden Implementierungs- und Effizienzaspekte. Daher fehlen
Abschätzungen, wie sich die Laufzeitaspekte von ATPG-Implikationsgraphen
9 Unter Ausblendung von Belegungsheuristiken, Neustarts und weiteren Maßnahmen.

128
im Vergleich mit dedizierten ATPG-Solvern verhalten. Hier besteht weiterer
Forschungs- und Entwicklungsbedarf, etwa in der Programmierung und Austestung
einer Referenzimplementation.
Die Konzeption von Implikationsgraphen für ATPG-Probleme hat gezeigt,
dass sich SAT und ATPG weniger unterscheiden, als es auf den ersten Blick
erscheint. Für beide Probleme lassen sich Algorithmen auf der Basis von Implikationsgraphen
entwickeln.
A
Komplexitätstheorie
Die Komplexitätstheorie betrachtet Algorithmen unter dem Gesichtspunkt des
Verbrauchs von Ressourcen wie Rechenzeit und Speicher. Die Komplexität eines
Algorithmus kann mit der O-Notation beschrieben werden. Die Menge O(g(n))
umfasst dabei alle Algorithmen, für deren Laufzeitberechnungsfunktion f(n)
(Laufzeit des Algorithmus für n Elemente) gilt
O(g(n)) = {f|∃c >0,n 0 > 0 ∧∀n>n 0 : f(n) ≤ cg(n)} (11)
Dabei ist n die Anzahl der betrachteten Elemente (Beispiel TSP: Anzahl
Städte).
Damit kann z. B. dem Quicksort-Algorithmus die Komplexität O(n log n) zugeordnet
werden, wobei n die Anzahl der zu sortierenden Elemente beschreibt.
Für das SAT-Problem gibt es dagegen 2 n verschiedene vollständige Belegungen
(bei n Variablen), sodass SAT in O(2 n ) liegt.
Zur Einordnung von Algorithmen wurden verschiedene Komplexitätsklassen
definiert. Die Komplexitätsklasse P fasst alle Probleme zusammen, die von einer
deterministischen Turingmaschine in polynomieller Zeit bearbeitet werden
können. Für diese Probleme ist g(n) ein Polynom 10 . Mit der Klasse NP werden
die Probleme erfasst, die von einer nicht-deterministischen Turingmaschine in
polynomieller Zeit gelöst werden können. Hier kann g(n) nicht mehr mit einem
Polynom beschrieben werden (Beispiel SAT: g(n) =2 n ).
Ist ein Problem A NP-hart, so sind alle Probleme B ∈ NP darauf polynomiell
reduzierbar und man schreibt B ≤ p A. Polynomiell reduzierbar bedeutet, dass
es eine in polynomieller Zeit berechenbare Funktion f gibt, sodass gilt b ∈ B ⇔
f(b) ∈ A. Eskönnen also alle NP-Probleme mit polynomiellem Aufwand in das
Problem A überführt werden. Gilt weiterhin, dass A ∈ NP, dann ist das Problem
A NP-vollständig.
Es gilt P ⊆ NP. Ob aber auch P = NP gilt, ist eine der zentralen Fragen
in der theoretischen Informatik. Kann gezeigt werden, dass es ein NP-hartes
Problem A mit A ∈ P gibt, folgt daraus P = NP.
Eine formale Beschreibung der Komplexitätstheorie findet sich u. a. in [1].
B
Implementierungen von SAT-Solvern
Eine Übersicht von SAT-Solvern ist in [20] aufgeführt.
10 Auch n log n ist polynomiell, da es ”
kleiner” als n 2 ist.

129
B.1 GRASP –Generic seaRch Algorithm for the Satisfiability
Problem
GRASP ist eine Programmbibliothek von Silva und Sakallah [17], die verschiedene
bekannte Optimierungen für das Davis-Logemann-Loveland (Abschnitt 2.1)
implementiert.
Die wichtigsten Merkmale von GRASP sind:
Nicht-chronologisches Backtracking (vgl. Abschnitt 5.5) für SAT-Probleme
wurde erstmals von GRASP angewandt und baut auf den Erkenntnissen
von BCP (Abschnitt 4.3).
Klauselmitschriften (vgl. Abschnitt B.3), wobei die Aufnahme über Parameter
gesteuert werden kann.
Kausalitätsketten werden aufgezeichnet, wenn sie zu Konflikten führen.
Ablauf Der GRASP-Algorithmus kann als rekursive Funktion dargestellt werden,
wobei jede Rekursionsebene einer Entscheidungsebene entspricht. Abbildung 20
zeigt den Ablauf der Funktion.
Zu Beginn wird eine freie Variable gewählt und eine Entscheidung über ihre
Belegung getroffen. Die Entscheidung wird üblicherweise mit einer Heuristik entschieden
(siehe Abschnitt 4.2), bei GRASP wird DLIS verwendet. Ist die Variablenbelegung
durch die Entscheidung vollständig geworden, wird die Rekursion
erfolgreich abgebrochen.
Andernfalls werden die Unit-Klauseln im BCP verarbeitet. Tritt kein Konflikt
auf, kann in die nächste Entscheidungsebene eingetreten werden. Ist der rekursive
Aufruf erfolgreich, kann auch die aktuelle Rekursionsebene erfolgreich verlassen
werden.
Tritt ein Konflikt in der BCP-Abarbeitung auf, wird dieser in einer Diagnose
untersucht. Die Diagnose berechnet aus den Ursachen des Konflikts eine neue
Klausel, die der Klauselmenge hinzugefügt (gelernt) wird. Da ein Fehler durch
die Entscheidung auf dieser Ebene aufgetreten war, wird diese Entscheidung
rückgängig gemacht. Kann der Konflikt nicht auf der aktuellen Ebene aufgelöst
werden, ist ein nicht-chronologisches Backtracking notwendig. Dabei wird
so viele Rekursionsebenen zurückgesprungen, bis eine Entscheidungsebene gefunden
wird, in der der Konflikt aufgelöst werden kann.
Konfliktdiagnose Tritt während der Durchführung von BCP ein Konflikt auf,
wird dieser von GRASP untersucht. Zum einen kann der Algorithmus aus einem
Konflikt eine neue Klausel berechnen und der Klauselmenge hinzufügen, um das
erneute Auftreten des Konflikts zu verhindern (CBE, conflict-based equivalence).
Zum anderen kann an eine andere Stelle im Suchbaum gesprungen werden, in der
der Fehler nicht auftreten wird. Trat der Konflikt durch eine Entscheidung auf
der aktuellen Entscheidungsebene auf, wird nur die letzte Entscheidung invertiert
(FDA, failure-driven assertion). Haben bereits beide Alternativen für eine
Entscheidung zum Widerspruch geführt, wird ein Sprung an eine frühere Entscheidungsebene
vorgenommen (non-chrological backtracking) und deren Ent-

130
Start
Zuweisungen
dieser Ebene
zurücknehmen
Entscheidung:
Variable belegen
Belegung ist vollständig
Keine Widersprüche
Belegung ist partiell
Diagnose
Konflikt
BCP
Belegung
gefunden
Widerspruch
Kein Konflikt
Zuweisungen
dieser Ebene
zurücknehmen
Konflikt nicht
in diesem δ
Rekursion in
nächste Entscheidungsebene
Belegung ist vollständig
Konflikt
Erfolg
Abb. 20. Flussdiagramm für GRASP
scheidung invertiert (CDB, conflict-directed backtracking). Die Wahl der Rücksprungebene
wird mit Hilfe der gelernten Klausel (beschrieben in Abschnitt 5.3)
getroffen.
B.2 SATO
SATO ist ein aussagenlogischer SAT-Solver von Zhang und Stickel [21,22]. Die
Implementierung verwendet die Regeln des Davis-Putnam-Verfahrens (siehe Abschnitt
2.1) zu Lösung von SAT-Instanzen. SATO wird seit 1993 entwickelt und
liegt inzwischen in der Version 4.1 vor.
Ein wichtiger Aspekt bei der Implementierung des Davis-Putnam-Algorithmus
ist die Heuristik zur Wahl des Literals für die Splitting Rule (Seite 37). Die
Performanz einer Implementierung für unterschiedliche SAT-Instanzen ist stark
abhängig von der verwendeten Heuristik. Mögliche Heuristiken sind, ein Literal
zufällig aus den kürzesten, positiven Klauseln zu wählen oder das Literal mit
häufigsten Vorkommen in binären Klauseln zu bestimmen.
Neben dem Davis-Putnam-Verfahren wendet SATO auch eine Konfliktanalyse
mit intelligentem Zurückspringen (intelligent backjumping). Dieses Zurückspringen
entspricht dem von DLL-Algorithmen bekanntem nicht-chronologischen
Backtracking. Die aus dem Konflikt gelernte Klausel wird zur Klauselmenge
hinzugefügt, wobei die Anzahl der neuen Klauseln im Algorithmus beschränkt
werden kann.

131
Head/Tail-Zeiger Zur Beschleunigung von Resolution und Subsumption werden
Head- und Tail-Zeiger verwendet. In jeder Klausel werden zwei Literale (Head
und Tail) beobachtet, auf die jeweils ein Zeiger verweist. Für die Head- und Tail-
Literale gilt als Invariante, dass außerhalb von ihnen (vor Head und nach Tail)
alle Literale den Wert 0 haben. Wird einem Head- oder Tail-Literal der Wert
0 zugewiesen, wird der entsprechende Zeiger nach innen auf die nächste freie
Variable verschoben. Zeigen beide Zeiger auf das gleiche Literal, ist die Klausel
unit und für die letzte freie Variable wird die notwendige Belegung vorgenommen.
Hat ein Literal in der Klausel den Wert 1, wird die Klausel nicht weiter
beachtet, weil sie nicht unit werden kann. Werden in einem Backtrackingschritt
Variablen freigesetzt, müssen die Head- und Tail-Zeiger neu berechnet werden.
Head
Tail
Head
Tail
0
0 0 0
0
Als Speicherstruktur schlagen die Autoren vor, zu jeder Variablen vier Listen
von Klauseln zu führen. In jeder Liste sind die Klauseln aufgeführt, indem
die Variable in positiver bzw. negativer Form als Head- bzw. Tail-Variable vorkommt.
Bewertung In dem in [22] aufgeführten Vergleichstest wurden die SATO-Versionen
2.2 und 3.0 gegenüber weiteren exakten SAT-Solvern (u. a. GRASP) verglichen.
Als Grundlage wurde eine Auswahl von 15 Instanzen aus dem zweiten DI-
MACS-Wettbewerb [23] verwendet. Während SATO 2.2 vergleichsweise schlecht
abschnitt, erreichte SATO 3.0 gut bis sehr gute Zeitwerte.
B.3 Chaff
Chaff ist ein SAT-Solver, entwickelt von Moskewicz, Madigan, Zhao, Lhang und
Malik [13]. Der Algorithmus ist ähnlich strukturiert wie GRASP, unterscheidet
sich aber von diesem hauptsächlich in seinem BCP-Algorithmus und der Belegungsheuristik.
Basierend auf der Erkenntnis, dass der größte Teil der Rechenzeit eines SAT-
Solvers in der BCP-Funktion verbraucht wird, haben die Autoren ihre Implementierung
in diesem Bereich besonders auf Geschwindigkeit ausgerichtet. Dies
wird einerseits durch eine effiziente Programmierung, andererseits durch geeignete
Datenstrukturen und deren Caching erreicht.
BCP Chaff verwendet das Konzept von beobachteten Literalen (watched literals).
Eine Klausel ist nur dann unit und somit für BCP relevant, wenn weniger als zwei
Literale darin frei bzw. gleich 1 sind. Eine solche Klausel, die für BCP relevant ist,
wird implizit genannt. Um den Wechseln einer Klausel von nicht-implizit nach
implizit effizient zu überwachen, werden in jeder Klausel zwei Literale überwacht.
Wird eines der beiden ausgewählten Literale mit 0 belegt, muss die Klausel

132
untersucht werden. Für eine betrachtete Klausel können sich zwei Möglichkeiten
ergeben:
Klausel ist nicht implizit Außer den beobachteten Literalen a gibt es mindestens
ein weiteres Literal b, das nicht 0 ist. Dann wird die Beobachtung
von den eben mit 0 belegten Literal a auf das Literal b verschoben.
Im nachfolgenden Beispiel wird eine Klausel gezeigt, die zwei freie Variablen,
zwei Literale mit dem Wert 0 und ein Literal mit dem Wert 1 besitzt. Die
beiden freien Literale werden beobachtet. Wird eine der beiden freien Variablen
mit 0 belegt (grau hinterlegt), wird der Beobachtungszeiger auf die 1
gesetzt. Damit bleibt die Anforderung an die beobachteten Literale erhalten.
0 0 1
0 0 0 1
Klausel ist implizit Wird eines der beobachteten Literale mit 0 belegt und es
gibt außer dem anderen beobachteten Literal keine Literale, die nicht 0 sind,
muss das letzte Literal auf 1 gesetzt werden, sofern es noch nicht 1 ist. Durch
eine implizierte Belegung des letzten Literals können andere Klauseln unit
werden und müssen durch den BCP-Algorithmus untersucht werden.
Im Beispiel besitzt das letzte Literal, das nicht 0 ist, bereits den Wert 1. Es
ergeben sich somit keine weiteren Implikationen.
0 0 0 1
0 0 0 0 1
Die anfängliche Auswahl der beobachteten Literale kann zufällig erfolgen.
Die beobachteten Literale ähneln in ihrem Konzept den Head/Tail-Variablen
von SATO. Die Verwendung von beobachteten Literalen hat aber den Vorteil,
dass bei einem Backtracking keine Literale neu ausgewählt werden müssen, da
die bereits früher gewählten Literale frei gegeben werden. Die Freigabe kann
ebenso wie eine Neubelegung in konstanter Zeit durchgeführt werden.
Belegungsheuristik Chaff verwendet die Heuristik Variable State Independent
Decaying Sum (VSIDS) als Belegungsheuristik zur Auswahl der nächsten Entscheidungsvariablen.
Hierbei wird für jedes Literal ein Aktivitätswert geführt.
Der Aktivitätswert wird für alle Literale in einer durch einen Konflikt gelernten
Klausel erhöht. Gleichzeitig werden die Aktivitätswerte für alle Literale kontinuierlich
verringert, indem die Werte mit einer Zahl 0

133
Da die Aktualisierung der Aktivierungsstatistik nur bei Konflikten vorgenommen
wird, hat sie nur einen geringen Anteil an der Gesamtrechenzeit. Gleichzeitig
können bei schwierigen Problemen Verbesserungen der Laufzeit erwartet werden.
Klauselmitschriften Die während der Konfliktbehandlung gewonnen Konfliktklauseln
werden zur späteren Vermeidung von Wiederholungen der Konflikte
gespeichert. Die Speicherung von allen Konfliktklauseln kann zu sehr hohem
Speicherverbrauch führen. Daher verwendet Chaff eine sog. scheduled lazy clause
deletion zum Löschen der Klauseln. Wie der Name andeutet, werden Klauseln
nicht sofort gelöscht, sondern nur zum Löschen markiert. Erst in einem gesonderten
Aufräumschritt werden die markierten Klauseln gelöscht. Eine Klausel
wird zum Löschen markiert, sobald eine gewisse Anzahl von Literalen darin z. B.
durch Backtracking wieder freigegeben wurden.
Neustart Um aus einem Teilbaum zu entkommen, der wenig erfolgversprechend
ist, kann Chaff einen Neustart des Suchalgorithmus durchführen. Dabei werden
alle Variablenbelegungen gelöscht, die bisher gesammelten Konfliktklauseln sowie
die Aktivierungsstatistik aber beibehalten. Dadurch wird vermieden, dass
nach dem Neustart die selben Fehlentscheidungen wie beim vorherigen Durchlauf
getroffen werden. Zusätzlich kann nach einem Neustart für einige Runden
die Belegungsheuristik durch Zufallsmomente angereichert werden.
Bewertung Die von den Autoren vorgestellten Daten deuten darauf hin, dass
Chaff deutlich schneller zu einem Ergebnis gelangt als GRASP oder SATO. Für
erfüllbare SAT-Instanzen ist Chaff etwa um den Faktor 10 schneller als GRASP
und SATO, für unerfüllbare SAT-Instanzen etwa um den Faktor 100 schneller.
B.4 MiniSat
Zur Einführung in das Gebiet der Implementierung von SAT-Solvern stellen
Eén und Sörensson eine minimale Implementierung eines SAT-Solvers vor [24].
Hintergrund zu diesem Projekt ist die Tatsache, dass SAT-Solver i. A. schwierig
zu implementieren sind und die bisherigen Implementierungen von anderen
Gruppen daher nicht sehr eingänglich sind. Diese überschaubare Implementierung
soll daher den Einstieg in die Implementierung von Hochleistungssolvern
ermöglichen.
Die MiniSat-Implementierung basiert auf früheren SAT-Solvern der Autoren
(Satzoo und Satnik) und enthält die folgenden Charakteristika:
– Konfliktbasiertes Backtracking
– BCP mit beobachteten Literalen
– Belegungsheuristik mit Aktivierungswerten

134
Ablauf Der Ablauf der MiniSat-Implementierung ist in Abbildung 21 dargestellt.
Zu Beginn wird eine Variable ausgewählt und mit einem Wert belegt.
Diese anfängliche Belegung wird über den BCP-Algorithmus auf Implikationen
und daraus entstehende Konflikte untersucht. Tritt kein Konflikt auf, wird die
Belegung auf Vollständigkeit geprüft. Im positiven Fall wird der Algorithmus
terminiert und bestätigt die Erfüllbarkeit der SAT-Instanz. Ist die Belegung nur
partiell, wird über eine Heuristik eine freie Variable mit einem Wert belegt und
der Algorithmus tritt wieder in die Propagationsphase ein. Falls die Propagation
zu einem Konflikt führt, muss dieser behandelt werden, indem die Fehlerursache
untersucht und eine alternative Belegung gesucht wird. Wurden alle Belegungskombinationen
ausprobiert, so ist die SAT-Instanz unerfüllbar unter den
gegebenen Randbedingungen. Somit terminiert das Verfahren. Andernfalls wird
versucht, durch ein nicht-chronologisches Backtracking den Fehler zu umgehen.
Gleichzeitig wird die Fehlerursache als neue Klausel gespeichert, um zukünftige
Wiederholungen zu vermeiden.
Start
Suchphase
Propagationsphase
Lernphase
Neue Variable
belegen
Nein
BCP
Konflikt?
Backtracking
und Lernen
Nein
Ja
Vollständige
Belegung?
Analyse:
Unerfüllbar?
Ja
Erfolg
kein Konflikt
Konflikt aufgetreten
Fehler
Abb. 21. Flussdiagramm für die MiniSat-Implementierung
Implementierung Nachfolgend wird detaillierter auf einzelne Aspekte der Implementierung
von MiniSat eingegangen.
Constraints Constraints sind Vorgaben, die den Lösungsraum einschränken. So
sind u. a. die Klauseln der SAT-Gleichung, Variablenbelegungen oder vom Anwender
bestimmte Annahmen Constraints.
Constraints stellen die Datenbasis dar, auf der der Algorithmus arbeitet. Sie
sind mit den enthaltenen Literalen verknüpft und können somit zur Auswertung
beim BCP und zum Finden von Konfliktursachen verwendet werden.

135
Belegungsheuristik Ähnlich wie bei Chaff und Satzoo wird eine Belegungsheuristik
verwendet, welche die Historie eines Literals benutzt. Anders als bei Chaff
werden die Aktivierungswerte aber nur für Variablen und nicht für Literale betrachtet.
Desweiteren werden die Aktivierungswerte nicht regelmäßig durch Skalierung
verringert. Stattdessen wird das Verhältnis zwischen den Werten der
Variablen betrachtet. Ebenso wie bei Chaff wird die Aktivierung einer Variable
erhöht, sobald ein daraus gebildetes Literal Teil eines Konflikts ist.
BCP und überwachte Literale Beim BCP-Algorithmus werden Klauseln daraufhin
untersucht, ob sie nur noch ein freies Literal besitzen. Sind alle anderen
Literale in der Klausel mit 0 belegt, folgt implizit die Belegung des letzten Literals
mit 1. Da die implizierten Belegungen weitere Klauseln unit machen können,
werden die Implikationen durch eine Art Breitensuche weitergereicht.
Zur Überwachung, ob eine Klausel unit ist, werden zwei freie Literale ausgewählt
und beobachtet. Diese Literale werden beobachtete Literale (watched
literals) genannt.
Die Struktur der Überwachung ist in Abbildung 22 abgebildet. Jedes in einem
Constraint (z. B. Klausel) vorkommende Literal wird in einer Liste gespeichert.
Zu jedem Literal in der Liste gibt es eine Liste von Constraints, in denen das
Literal in seiner komplementären Form vorkommt.
Liste aller vorkommenden Literale
x 1 ¬x 1 x 2 ¬x 2
¬x 1 x 3 ¬x 4 ¬x 7
Klausel
Beobachtungsliste
Beobachtete Literale
Abb. 22. Verwaltung der beobachteten Literale
Wird ein nicht beobachtetes freies Literal mit einem Wert belegt, hat das für
die Verwaltung der beobachteten Literale zunächst keine Auswirkung. Wird dagegen
ein beobachtetes Literal mit einem Wert belegt, müssen für jede betroffene
Klausel drei Fälle unterschieden werden.
– Das Literal erhält den Wert 0, es gibt aber weitere, nicht beobachtete frei
Literale. In diesem Fall wird das neu belegte Literal nicht länger beobachtet.
Stattdessen wird ein anderes freies Literal zur Beobachtung ausgewählt.

136
– Das Literal erhält den Wert 0, es gibt aber keine weiteren freien Literale
außer dem anderen beobachteten Literal. Die Klausel ist somit unit und
dem letzten freien Literal muss der Wert 1 zugewiesen werden.
– Das Literal erhält den Wert 1. Hierdurch wird das Komplement des Literals
0 und alle Klauseln, in denen das Komplement vorkommt (über die Beobachtungsliste
bestimmbar), müssen untersucht werden. Zur Beobachtung wird
ein anderes freies, unbeobachtes Literal gewählt.
Backtracking und Lernen Tritt bei der Belegung und dem anschließenden BCP
ein Konflikt auf, muss dieser behandelt werden. Dazu wird die aktuelle Belegung
auf die Ursachen des Konflikts untersucht. Rekursiv von der betroffenen Klausel
ausgehend werden die Entscheidungsvariablen gesucht, die den Konflikt verursacht
haben. Ist ein Literal in der untersuchten Klausel eine Entscheidungsvariable,
wird das Literal in die Liste der Verursacher aufgenommen. Ist ein Literal
dagegen durch eine Implikation belegt worden, wird die Klausel untersucht, in
der die Implikation entstand. Aus der Liste der Verursacher wird eine neue Klausel
generiert, die eine erneute gleiche Belegung dieser Variablen verhindern soll.
Diese neue Klausel ist eine Implikation aus der ursprünglichen Klauselmenge
und wird als gelernt bezeichnet.
Von den gefundenen Verursachern des Konflikts wird die Variable ausgewählt,
die zuletzt belegt wurde. In einem nicht-chronologischen Backtracking-
Schritt wird zur Entscheidungsebene der ausgewählten Variable gesprungen und
die komplementäre Belegung gewählt. Sind bereits beide Alternativen eruiert,
wird die nächstältere Variable betrachtet.
Klausellöschung Im Ablauf des Algorithmus könnensicheinegrößere Anzahl
von gelernten Klauseln ansammeln. Da diese gelernten Klauseln die Suchgeschwindigkeit
verringern, können einige Klauseln von einer Heuristik gelöscht
werden. Dazu verwaltet MiniSat für die gelernten Klauseln jeweils Aktivierungswerte.
Klauseln mit niedrigen Aktivierungswerten werden bevorzugt gelöscht.
Die Aktivierungswerte werden erhöht, wenn die Klausel in einem Konflikt wieder
auftritt.
Dadurch kann es aber vorkommen, dass bereits aufgetretene Fehlbelegungen
erneut gemacht werden. Eine optimale Strategie zum Aufbewahren bzw. Entfernen
von gelernten Klauseln hängt von der betrachteten SAT-Instanz ab.
Bewertung Die Autoren geben an, dass MiniSat auch ohne aufwendige Optimierungen
ähnliche Leistungen wie Satzoo oder Chaff erreichen kann. Unter geeigneten
Testbedingungen können die beiden ”
professionellen” Implementierungen
sogar übertroffen werden.
C
Regeln bei Davis & Putnam
Davis und Putnam [4] verwenden noch weitere Optimierungsmaßnahmen, die
hier kurz vorgestellt werden sollen. Diese Optimierungen können vor der eigentlichen
Suche angewandt werden, da sie die Formel vereinfachen und diese

137
vereinfachte Formel genau dann gültig ist, wenn die ursprüngliche Formel auch
gültig ist.
Tautologie Klauseln, die komplementäre Literale enthalten, können aus der Formel
gestrichen werden. Die Tautologie-Regel muss vor den nachfolgenden Regeln
angewandt werden.
Im Beispiel kann die zweite Klausel entfernt werden
ϕ =(x 1 + ¬x 2 ) · (x 1 + ¬x 1 ) · (x 2 + ¬x 3 )
PLR – Pure Literal Rule Kommt eine Variable nur in positiven oder negativen
Literalen vor, kann sie mit dem Wert 1 bzw. 0 belegt werden. Damit werden die
Klauseln, in denen dieses Literal vorkommt, automatisch wahr und können für
die nachfolgende Lösungssuche vernachlässigt werden.
Im untenstehenden Beispiel ist die Variable x 1 pur. Mitν(x 1 )=1können
die ersten beiden Klauseln erfüllt werden.
ϕ =(x 1 + ¬x 2 ) · (x 1 + x 3 ) · (x 2 + ¬x 3 )
Ein-Literal-Klauseln Bestehen Klauseln nur aus einem Literal, so muss dieses
Literal implizit den Wert 1 erhalten. Daraus folgend können alle Klauseln, die
das gleiche Literal enthalten, gestrichen werden (da sie den Wert 1 haben). In
Klauseln, die das Literal in seiner komplementären Form enthalten, wird nur
dieses komplementäre Literal gelöscht (da es immer den Wert 0 haben wird).
Im untenstehenden Beispiel wird der Vorgang demonstriert.
ϕ =(x 1 ) · (¬x 1 + ¬x 2 + x 4 ) · (x 2 + ¬x 3 ) · (x 1 + ¬x 4 )
ϕ =(¬x 2 + x 4 ) · (x 2 + ¬x 3 )
Splitting Rule Eine Klauselmenge lässt sich in drei Untermengen A, B und R
aufteilen, wenn eine Variable x gewählt wurde. Die Klauselmenge A enthält alle
Klauseln, die x nur als positives Literal enthalten. B enthält die Klauseln, die x
nur als negatives Literal enthalten. In R liegen alle restlichen Klausel, wobei in
diesen Klauseln die Variable x in keinem Literal vorkommen darf. Dann können
die Mengen A ′ und B ′ gebildet werden, die keine Literale mit x enthalten. Die
Klauselmengen A ′ ∪ R und B ′ ∪ R können anschließend getrennt untersucht
werden.
Literatur
1. Wegener, I.: Theoretische Informatik. Leitfäden und Monographien der Informatik.
B. G. Teubner, Stuttgart (1993)
2. Cook, S.A.: The complexity of theorem-proving procedures. In: Conference Record
of Third Annual ACM Symposium on Theory of Computing. (1971) 151–158
3. Bibel, W.: Deduktion. Handbuch der Informatik. Oldenburg, München (1992)
4. Davis, M., Putnam, H.: A computing procedure for quantification theory. Journal
of the ACM 7 (1960) 201–214

138
5. Stålmarck, G.: System for determining propositional logic theorems by applying
values and rules to triplets that are generated from a formula (1989) Patentiert in
den U.S.A, Europa und Schweden.
6. Davis, M., Logemann, G., Loveland, D.: A machine program for theorem-proving.
Communications ACM 5 (1962) 394–397
7. Wirth, N.: Algorithms + Data Structures = Programs. Prentice-Hall (1975)
8. Bryant, R.E.: Graph-based algorithms for boolean function manipulation. IEEE
Trans. on Computers C-85 (1986) 677–691
9. Wolfgang Kunz, J.P.M.S., Malik,S.: 12. Logic Synthesis and Verification. In:
SAT andATPG: Algorithms for Boolean Decision Problems. Kluwer Academic
Publishers (2001) 309–341
10. Roth, J.P.: Diagnosis of automata failures: Acalculus and a method. IBM Journal
of Research and Development 10 (1966) 278–291
11. Fujiwara, H., Shimono, T.: On the acceleration of test generation algorithms. IEEE
Transactions on Computers 32 (1983) 1137–1144
12. Marques-Silva, J.P.: The impact of branching heuristics in propositional satisfiability
algorithms. Proceddings of the 9th Portuguese Conference on Artificial
Intelligence (EPIA) (1999)
13. Moskewicz, M.W., Madigan, C.F., Zhao, Y., Zhang, L., Malik, S.: Chaff: Engineering
an Efficient SAT Solver. In: Proceedings of the 38th Design Automation
Conference (DAC’01). (2001)
14. Goldberg, E., Novikov, Y.: Berkmin: Afast and robust sat solver. Design Automation
and Test in Europe (DATE) 2002 (2002) 142–149
15. Beame, P., Kautz, H., Sabharwal, A.: Understanding the power of clause learning.
In: Proceedings of the 18th International Joint Conference on Artificial Intelligence
(IJCAI). (2003) 1194–1201
16. Zhang, L., Madigan, C.F., Moskewicz, M.W., Malik, S.: Efficient conflict driven
learning in boolean satisfiability solver. In: ICCAD. (2001) 279–285
17. Marques-Silva, J.P., Sakallah, K.A.: GRASP –Anew search algorithm for satisfiability.
Technical Report CSE-TR-292-96, The University of Michigan (1996)
18. Jr., R.J.B., Schrag, R.C.: Using csp look-back techniques to solve realworld sat
instances. In: Proceedings of the 14th National Conference on Artificial Intelligence.
(1997) 203–208
19. Wang, C., Reddy, S.M., Pomeranz,I.,Lin,X.,Rajski, J.: Conflict driven techniques
for improving deterministic test pattern generation. In: Proceedings of the 2002
IEEE/ACM international conference on Computer-aided design, ACM Press (2002)
87–93
20. Zhang, L., Malik, S.: The quest for efficient Boolean satisfiability solvers. In
Voronkov, A., ed.: Automated Deduction – CADE-18. Volume 2392 of Lecture
Notes in Computer Science., Springer-Verlag (2002) 295–313
21. Zhang, H., Stickel,M.E.: An efficient algorithm for unit propagation. In: Proceedings
of the 4th International Symposium on Artificial Intelligence and Mathematics.
(1996)
22. Zhang, H.: SATO: an efficient propositional prover. In: Proceedings of the International
Conference on Automated Deduction (CADE’97), volume 1249 of LNAI.
(1997) 272–275
23. Du, D., Gu,J., Pardalos,P.M., eds.: Satisfiability Problem: Theory and Application.Volume
35 of Dimacs Series in Discrete Mathematics and Theoretical Computer
Science. American Mathematical Society (1997)
24. Eén, N., Sörensson, N.: An extensible SAT-solver. Proceedings of the 6th International
Conference on Theory and Applications of Satisfiability Testing (2003)

139
Formaler Äquivalenzvergleich
Florian Rothländer
Technische Universität Kaiserslautern
Zusammenfassung: Während property checking (model checking) darauf
abzielt, die Korrektheit einer Spezifikation sicherzustellen, ist es die
Aufgabe des Äquivalenzvergleichs (equivilance checking) die Äquivalenz
einer Implementierung mit der ursprünglichen Spezifikation. Dadurch
werden Fehler erkannt, die während der zahlreichen Entwurfsverfeinerungen
auftreten können. Der Aquivalenzvergleich beruht auf BDD- und
SAT-basierten Verfahren zur Ausnutzung struktureller Ähnlichkeiten.
Die grundlegenden Ansätze des formalen Äquivalenzvergleich sollen in
dieser Arbeit gegenübergestellt werden.
1 Einleitung
In dieser Seminararbeit geht es um die grundlegenden Ansätze zum formalen
Äquivalenzvergleich.
Dabei geht es um den Vergleich von zwei digitalen Schaltungen. Eine dieser
Schaltung ist die von den Entwicklern ursprünglich Spezifizierte (Spezifikation),
die Andere eine davon modifizierte Version (Implementierung). Das Ziel lautet
dann: Verifikation der Implementierung, sprich: “Handelt es sich bei der Implementierung
noch um dieselbe spezifierte Funktion?“
Zwei Schaltungen sind dabei gleich, wenn sie auf die gleichen Eingaben mit denselben
Ausgaben reagieren.
Modifizierungen, welche bei der Implementierung auftreten, sind unter anderem
Logikoptimierungen (auf der Gatterebene), sequentielle Optimierungen oder Änderungen
beim Layout durch die Umsetzungen zwischen verschiedenen Beschreibungsebenen
(Synthese) während der Implementierung.
Um nun zu verifizieren, dass die neue Schaltung immer noch genau dasselbe
leistet wie die ursprünglich Spezifizierte, führt man einen Äquivalenzvergleich
durch. Dies ist gerade bei den heutigen komplizierten und immer größer werdenden
Schaltungen sehr wichtig - man denke an Handys oder PCs, um teuere
Rückrufaktionen 1 und Imageverluste zu verhindern. Schließlich kann man im
Gegensatz zu Software kein Update oder Service Pack nachliefern, um das Problem
nachträglich zu beseitigen. Von daher ist auch das Interesse der Industrie
an schnellen und vollständigen Lösungen heutzutage sehr groß.
1 Siehe Intel Pentium 60, Fehler in der Fließkomma-Arithmetik(Division) 1994, Rückrufaktion
kostete Intel 475 Millionen Dollar

140
Man unterscheidet grundsätzlich zwischen dem kombinatorischen und dem sequentiellen
Äquivalenzvergleich. Dabei ist der Unterschied, dass bei Letzterem
die Schaltungen Register enthalten können und somit innere Zustände besitzen.
Ein Zustand einer solchen Schaltung repräsentiert also die gesamte Vorgeschichte
des Schaltwerks. Bei kombinatorischen Schaltungen genügen zur vollständigen
Charakterisierung die aktuellen Werte am Eingang der Schaltung.
Unter gewissen Bedingungen kann man auch bei sequentiellen Schaltungen Algorithmen
des kombinatorischen Äquivalenzvergleichs verwenden. Dazu ist es
zuerst einmal erforderlich, dass keine sequentiellen Optimierungen vorgenommen
worden sind, was bei den gängigen Verfahren in der Industrie meist der Fall
ist.Manverwendetdanneinen Algorithmus, welcher äquivalente Zustände beider
Schaltungen findet (siehe Abschnitt 2.1 das sogenannte Latch Mapping oder
auch State Matching Verfahren). Danach kann man jeweils für einen zeitlichen
Rahmen (time frame) einen kombinatorischen Äquivalenzvergleich durchführen.
In dieser Ausarbeitung werde ich daher nach einer kurzen Erläuterung des Latch
Mapping nicht näher auf dden sequentiellen Aquivalenzvergleich eingehen, sondern
mich auf die Algorithmen für den kombinatorischen Äquivalenzvergleich
beschränken, da dieser auch für sequentielle Verfahren genutzt werden kann.

141
2 Prinzipieller Ablauf
Als erstes müssen beide Schaltungen in eine gleiche Beschreibungsebene transformiert
werden. Meist ist dies die Gatterebene.
Danach wird bei sequentiellen Schaltungen als Zwischenschritt das Latch Mapping
durchgeführt und dann können die Verfahren des kombinatorischen Äquivalenzvergleiches
angewendet werden.
Übersicht:
Lesen der beiden
Schaltungsbeschreibungen
Anpassen der Beschreibungsebenen
Bestimmung äquivalenter
Zustandsvariablen / Eingänge
Kombinatorischer
Äquivalenzvergleich
Äquivalent
Nicht
äquivalent
Abbildung 1: prinzipieller Ablauf

142
2.1 Latch Mapping / State Matching
Die Voraussetzungen beim kombinatorischen Äquivalenzvergleich fordern gleiche
Zustandskodierungen der Schaltungen. Die gängigen Syntheseverfahren in der
Industrie bewahren diese auch größtenteils.
Um einen kombinatorischen Äquivalenzvergleich bei sequentiellen Schaltungen
anwenden zu können, müssen erst äquivalente Zustandvariablen gefunden werden.
Sofern keine sequentiellen Optimierungen vorgenommen wurden, kann das
Latch Mapping diese Variablen finden. Das Verfahren versucht gleiche Zustände
zweier Schaltungen zu bestimmen, wenn dies nicht manuell oder automatisch
anhand gleicher Signalnamen möglich ist.
Ablauf der Prozedur:
– Lege alle Zustandsvariablen in eine Äquivalenzklasse
– Beweise die Nichtäquivalenz einiger Zustandsvariablen; Möglichkeiten hierzu
sind:
• Simulation, wie im Beispiel auf Seite 5
• Analyse der Schaltungsstruktur
• Algorithmen der ATPG 2 ,SAT 3 oder symbolische Simulation mittels
BDDs 4
– Spalte die Äquivalenzklassen entsprechend den Ergebnissen auf
– Wiederhole Schritt 2 und 3 bis keine Änderungen mehr auftreten
2 Automatic Test Pattern Generation
3 boolesches Erfüllbarkeitsproblem
4 Binary Decision Diagrams

143
2.1.1 Beispiel Erster Schritt: Lege alle Zustandsvariablen in eine Klasse und
simuliere. Es werden jeweils binäre Werte angelegt und die Ergebnisse verglichen.
a
b
c
d
Schaltung 1
a’
b’
c’
d’
0,0
1,0
1,0
1,1
0,1
e
e’
1,0
f
g
h
Schaltung 2
f’
g’
h’
0,0
1,0
1,1
Variablen des
Momentanzustandes
Variablen des
Nachfolgezustandes
Abbildung 2: Latch Mapping Beispiel 1

144
Zweiter und dritter Schritt: Bilden der Klassen {a, f}, {b, c, e, g} und {d, h} und
weiter iterieren, um diese Klassen nochmals aufzuteilen. Somit ergeben sich nun
2 3 Eingangskombinationen.
a
b
c
d
Schaltung 1
a’
b’
c’
d’
2 3 Kombinationen
möglich
e
e’
Variablen des
Momentanzustandes
f
g
h
Schaltung 2
f’
g’
h’
Variablen des
Nachfolgezustandes
Abbildung 3: Latch Mapping Beispiel 2
Jetzt stehen die endgültigen Klassen fest. Die zusammengehörigen Zustandspaare
sind gefunden. Zum Beispiel hier {a, f}, {d, h}, {b, g} und {c, e}. Damitwäre
das “latch mapping“ abgeschlossen.
Jetzt beginnt das Vergleichen der Schaltungen.

145
3 Ansätze
3.1 Erster Ansatz
Ein erster Ansatz besteht in der Simulation der Schaltungen. Man versucht alle
Eingangskombinationen der beiden Schaltungen durchzutesten und beobachtet
dabei die Ausgangsvektoren. Sind sie bei jeder Eingangskombination gleich, sind
die Schaltungen äquivalent. Wenn man alle Kombinationen durchspielt, handelt
es sich um eine sogenannte erschöpfende Simulation, welche einen formalen Beweis
darstellt.
Es stellte sich sehr schnell heraus, dass diese Art des Vergleichs sehr ineffizient
und unpraktisch ist. Die Anzahl der Kombinationen von Eingangsbelegungen
(auch Testvektoren genannt) steigt exponentiell mit der Anzahl der Eingänge
an. Verwendet man ein kleineres Set, ist es kaum möglich herauszufinden, ob
man damit wirklich jeden Zustand der Schaltung einmal erreicht hat, und somit
ist dies kein formaler Äquivalenzbeweis mehr.
Bei sequentiellen Schaltungen muss man zusätzlich noch überlegen, wieviele time
frames manbetrachtenmöchte, bis abgebrochen wird. Somit scheidet diese
Art des Äquivalenztests in der Praxis für große Schaltungen aus.
3.2 OBDD Ansatz
Die nächste Idee war die Verwendung von Ordered Binary Decision Diagrams,
kurzOBDDs.DiesehabennachderEinführung von Bryant 1986 [3] eine sehr
große Beliebtheit erfahren, und die Algorithmen zur Berechnung von OBDDs
sind inzwischen sehr schnell und effizient.
Definition OBDD:
Gegeben eine Variablenmenge V = {x 1 , ··· ,x n } mit einer Ordnung ≤.
Ein OBDD über den Variablen V bezüglich der Ordnung < ist dann ein Tupel
mit folgenden Eigenschaften:
G =(V ∪{L 0 ,L 1 },v 0 ,label,high,low)
– ∀v ∈ V [label(v) ∈ V ]
– label(L 0 ) = 0 und label(L 1 )=1
– high: V → V ∪{L 0 ,L 1 } mit label(v)

146
Ein solcher OBDD definiert eine boolesche Funktion f v0 wie folgt, rekursiv, über
die Shannon Dekomposition:
f v0 = x i · f low(v0) + x i · f high(v0)
Wendet man nun noch zwei Regeln an, nämlich die Eliminationsregel 5 und die
Isomorphieregel 6 ,erhält man einen sogenannten ROBDD, einen “reduzierten“
OBDD, welcher die praktische Eigenschaft hat, dass er die minimale zur Darstellung
der Funktion notwendige Anzahl von Knoten enthält und kanonisch ist.
Als Beispiel hierzu Abbildung 4
0
x 2
0 0
x 1
x 2
1
x 1
x 2
0 1
Abbildung 4: Beispiel x 1 ∧ x 2, links OBDD, rechts ROBDD
Zum Äquivalenzvergleich bildet man nun für jede Schaltung die boolesche Funktion
7 , daraus mittels der Shannon-Zerlegung den BDD und vergleicht die beiden
ROBDDs auf Isomorphie. Sind sie isomorph, sind es auch die beiden Funktionen
und somit die beiden Schaltungen äquivalent.
Das erste Problem hierbei besteht in der Konstruktion der BDDs. Es gibt “bösartige“
Funktionen, bei denen die BDD-Größe exponentiell mit der Anzahl der
Variablen ansteigt (Beispiel Integer Multiplikation, Beweis siehe [3]).
Das zweite Problem ist die Wahl der Variablenordnung, die bei der Größe des
entstehenden ROBDDs von entscheidender Bedeutung ist. Das Finden der optimalen
Variablenordnung ist NP-complete. Es gibt also keine Algorithmen, welche
polynomiale Laufzeit haben und dieses Problem lösen. Der beste Algorithmus
momentan hat eine Laufzeit von O(3 n n 2 ). Deswegen verwendet man meist Heuristiken.
Trotzdem ist dieses Problem noch nicht zufriedenstellend gelöst, und
es kann passieren, dass die entstehenden BDDs einfach zu groß und komplex
werden, um sinnvoll mit ihnen arbeiten zu können.
5 Ist v.high =v.low, lösche v und führe alle Kanten nach v.high um
6 Ist label(v) = label(v ′ ) und außerdem v.high/low =v’.high/low dann lösche v und
lenke alle Kanten nach v’ um
7 Zum Beispiel wie bei dem SAT Ansatz

147
3.3 SAT Ansatz
Bei SAT(=satisfiability) handelt es sich um das boolesche Erfüllbarkeitsproblem.
Gegeben ist eine Formel in KNF, zum Beispiel (x 1 ∨ x 2 ) ∧ (x 3 ∨ x 4 ) und gesucht
ist eine Belegung der Literale {x 1 , ··· ,x 4 }, welche diese Formel erfüllt. Dazu
müssen die beiden Klauseln (x 1 ∨x 2 ) und (x 3 ∨x 4 )erfüllt werden. Eine Belegung,
welche dieses Kriterium erfüllt, ist zum Beispiel {x 1 =1,x 2 =1,x 3 =0,x 4 =1}.
Eine naive Vorgehensweise um eine solche Belegung zu finden wäre:
1. Weise den Variablen schrittweise die Werte 0/1 zu und speichere die Entscheidung
in einem Entscheidungsbaum
2. Prüfe, ob die aktuelle Belegung der Variablen alle Klauseln erfüllt
3. Ist dies nicht der Fall, gehe einen Schritt im Entscheidungsbaum zurück, und
belege die Variable mit einem anderen Wert(Backtracking)
4. Wiederhole, bis entweder eine Lösung gefunden, oder keine Variable mehr
einen anderen Wert erhalten kann.
Diesen Ansatz nennt man auch die Davis-Logemann-Loveland Procedure, ein
einfacher Backtracking Algorithmus. In dieser Form ist er natürlich nicht effizient
und führt zu exponentieller Laufzeit. Ausgehend von diesem Grundgerüst
erweitert man diesen Ansatz mit neuen Regeln, um die Laufzeit zu verbessern.
Einige Regeln, die angewendet werden, sind:
unit clause rule Wenn die Zuweisung eines Wertes einer einzelnen Variable
dazu führt, dass die Klausel zu einer Einheit wird, dann muss diese Variable
den Wert 1 haben. Beispiel: (x 1 ∨¬x 2 ∨ x 3 ) und die aktuelle Zuweisung ist
{x 1 =0,x 2 =1}, dann bildet diese Klausel eine Einheit und die verbleibende
Variable x 3 muss den Wert 1 erhalten.
boolean constraint propagation Die iterative Anwendung der unit clause
rule nennt man auch boolean constraint propagation.
pure literal rule Liegen für eine Variable x alle Literale in positiver oder negativer
Form vor, so kann diese Variable einen Wert erhalten, welcher alle
Klauseln erfüllt.
Um nun SAT-Algorithmen benutzen zu können, müssen zwei Dinge geschehen.
Alserstesbildetmanfür die Schaltungen die sogenannte Miter-Anordnung (siehe
Abbildung 5). Die zusammengehörigen Eingänge und Ausgänge werden einzeln
mit ⊕ verknüft, die Ausgänge führen dann in ein ∨-Gatter. Wenn die beiden
Schaltkreise äquivalent sind, ergibt sich am Ausgang immer 0, da die ⊕-
Gatter nur eine 1 ergeben, wenn einer der beiden Eingänge eine 1 war. Die
∨-Verknüpfung prüft dann nur, ob einer der ⊕-Gatter eine logische 1 als Ergebnis
ergab.
Kann man eine Wertebelegung finden welche E = 1 erzeugt ist ein Testvektor
für den Beweis der Nichtäquivalenz gefunden.

148
x 1
x 2
.
Schaltung 1
⊕
x n
⊕
∨
Ē
x 1
x 2
.
Schaltung 2
.
⊕
x n
Abbildung 5: Miter-Anordnung
Als zweites muss diese Schaltungsbeschreibung in KNF überführt werden. Um
für eine Schaltung, welche in Gatterform vorliegt, eine KNF-Formel zu erlangen,
wird einfach eine Konjunktion der einzelnen KNF-Formeln der Gatter gebildet.
Eine KNF-Formel für ein Gatter x = f(x 1 , ··· ,x n ) erlangt man, indem man als
erstes die Funktion ξ x (x, x 1 , ···x n )=x ⊕ f(x 1 , ···x n ) bildet, und diese dann
als ein Produkt von Summen darstellt.
Das Problem ist auch bei diesem Ansatz, dass die Algorithmen für diese Schaltungsanordnung
bei großen Gattern viel zu lange brauchen, um die Erfüllbarkeit
festzustellen.
3.4 ATPG Ansatz
ATPG, kurz für Automatic Test Pattern Generation, wurde ursprünglich entwickelt,
um Testvektoren für eine Schaltung zu erzeugen. Diese Testvektoren
sollten so beschaffen sein, dass sie Fehler in der Hardware aufdecken können, und
zwar Fehler wie “stuck-at-1“ also eine Leitung ändert ihren Wert nicht mehr.
Diese können dann an dem in Hardware gegossenen Chip eingesetzt werden, um
mögliche Fehler aufzudecken.
Die Aufgabenstellung lautet dann zum Beispiel:
Gegeben ist eine Fehlerliste Φ mit Zielfehlern, erstelle geeignete Eingangsstimuli
x, um diese aufzudecken.
Ein Testvektor ist ein Test für den Fehler φ, wenndieAntwortz der fehlerhaften
Schaltung auf den Eingangsvektor x eine andere ist, als die bei der fehlerfreien
Schaltung. Der Zusammenhang zum Äquivalenzvergleich ergibt sich recht

149
schnell, wenn man auf Basis der Miter-Anordnung die Frage stellt, ob E =1
sein kann. Also erstelle einen Testvektor, welcher mir E = 1 erzeugt.
Gibt es einen solchen Testvektor nicht, sind die beiden Schaltungen äquivalent,
ähnlich wie auch bei den SAT-Verfahren.
Allgmeine Probleme bei ATPG sind:
Beobachtbarkeit Ein Fehler, der injiziert wird, und für den ein Testvektor
erzeugt werden soll, muss beobachtbar sein. Das heißt, dass er zumindest
einen der Ausgänge der Schaltung erreichen muss.
Steuerbarkeit EinFehlermusssichauchbiszudenprimären Eingängen einer
Schaltung zurückverfolgen lassen, damit überhaupt ein Testvektor erstellt
werden kann.
Mehr dazu unter [8].
Bei der Verwendung von ATPG in Bezug zum Äquivalenzvergleich ergibt sich das
Problem der Beobachtbarkeit nicht. Ausgehend von der Miter-Anordnung sucht
man einen Test für den Fehler “stuck-at-0“ am Ausgang des Miters. Benötigt
wird hier nur die Steuerbarkeit, um an einen Testvektor zu gelangen, aus dem
dann der Widerspruch zur Äquivalenz der beiden Schaltungen gefolgert werden
kann.

150
4 Heutiger Stand
Die vorherigen Ansätze haben die gesamte Schaltung als Ganzes zu überprüfen
versucht. Dies ist gerade bei großen Schaltungen sehr ineffizient und verbraucht
sehr viel Rechenzeit und/oder Speicherplatz.
Daher führten die Überlegungen in die Richtung, ob es nicht möglich sei, gewisse
Eigenschaften im Designprozess / Syntheseprozess auszunutzen, um die Problematik
zu vereinfachen.
Genau dies führte dann zu den ersten neueren Ansätzen von Brand und Kunz
[4], [5] 1993, welche zeitgleich vorgestellt wurden.
4.1 Strukturelle Ähnlichkeiten
Ein typischer Syntheseprozess führt inkrementell viele kleine Operationen auf
den Schaltungen aus, und bewahrt damit oft strukturelle Ähnlichkeiten in diesen.
Es wird nun versucht genau das auszunutzen, um die gesamte Schaltungsanordnung
zu vereinfachen.
x 1
x 2
.
Schaltung 1
⊕
x n
interne Äquivalenzen
⊕
∨
Ē
x 1
x 2
.
.
Schaltung 2
.
⊕
x n
Abbildung 6: Miter Anordnung
Die grundsätzliche Idee war es, wieder ausgehend von der Miter-Anordnung, das
Problem zu vereinfachen, indem diese interne Äquivalenzen gefunden werden
(siehe Abbildung 6).
Die Vorschläge, wie diese strukturellen Ähnlichkeiten ausgenutzt und wie sie gefunden
werden, unterscheiden die nachfolgenden Ansätze.

151
4.1.1 Erste Idee Die beiden Schaltungen repräsentieren die Funktionen F 1
und F 2 . Gesucht sind Teilfunktionen f 1 und f 2 von F 1 und F 2 ,für die gilt
f 1 = f 2
Das Finden der beiden Subfunktionen gelingt mittels eines Testgenerators (zum
Beispiel ATPG-Algorithmen). Man verbindet beide Funktionen mit einem ⊕-
Gatter und versucht Testvektoren zu finden, welche am Ausgang eine 1 erzeugen.
Wenn solche Subfunktionen gefunden sind, gilt es diese auszunutzen. Dabei gibt
es ein Problem: Das einfache Ersetzen der Funktionen durch eine neue Variable
x, also ein Partitionieren der Schaltungen, kann zu dem Problem false negatives
führen (siehe 4.2). Deswegen wurde von Brand vorgeschlagen, einfach eine
Funktion durch die andere zu ersetzen (siehe Abbildung 7). Damit teilen beide
Schaltungen dieselbe Version der Funktion, und die gesamte Miter-Anordnung
wird reduziert. Desweiteren prüfte Brand noch, ob zum Beispiel f 1 = f 2 , und
ersetzt dann ebenfalls entsprechend.
Schaltung 1
f 1
⊕
?
F 1
⇒
Schaltung 1
f 1
F 1
Schaltung 2
F 2
Schaltung 2
F 2
f 2
f 2
Abbildung 7: Teste ob f 1 = f 2, wenn ja, ersetze f 1 durch f 2
Der resultierende neue Miter F 1 (f 2 ) ⊕ F 2 (f 2 ) ist nun kleiner, und somit ist der
Äquivalenzvergleich einfacher geworden. Der gesamte Vorgang ist nun, ausgehend
von den Eingängen der Schaltungen, schrittweise bis zu den Ausgängen,
diese identischen Funktionen zu finden und zu ersetzen. Im besten Fall besteht
F 1 am Ende nur noch aus Funktionen von F 2 , und die Äquivalenz ist bewiesen,
ansonsten liefert der Testgenerator ein Gegenbeispiel.
4.1.2 Zweite Idee Dieser Ansatz arbeitet ähnlich wie der Vorhergehende und
wurde auch zeitgleich auf derselben Veranstaltung von Kunz [5] vorgeschlagen.
Der Unterschied ist, dass hier rekursives Lernen angewendet wird, um die internen
Äquivalenzen zu finden, und die gefundenen Äquivalenzen in den Knoten

152
direkt gespeichert werden, also keine Substitution stattfindet.
Rekursives Lernen hat die Aufgabe, präzise Implikationen über vorher bestimmte
Signale zu machen. Diese Implikationen sind sowohl:
einfache Implikationen: Liegt zum Beispiel an einem Und-Gatter eine 0 an,
weiss man, dass am Ausgang ebenfalls der Wert 0 anliegt, ohne die weiteren
Eingangssignale kennen zu müssen. Liegt an einem Oder-Gatter eine 1 an,
weiss man auch, dass am Ausgang ebenfalls eine 1 anliegen wird.
direkte Implikation: Eine direkte Implikation ergibt sich aus dem mehrfachen
Anwenden der einfachen Implikationen, nur dass mehrere Gatter betrachtet
werden.
indirekte Implikationen: Sind solche, welche nicht aus direkten Implikationen
ermittelt werden können. Sie sind also wesentlich schwerer zu ermitteln.
Dies sind die hier betrachteten präzisen Implikationen.
Mit dem Finden von Implikationen können also alle Wertebelegungen herausgefunden
werden, die notwendig sind, um zum Beispiel bei der Miter-Anordnung
am Ausgang E = 1 zu erzeugen. Da damit auch das SAT Problem gelöst würde,
ist dieses Verfahren natürlich NP-vollständig (siehe Abschnitt 3.3).
Der Algorithmus ermittelt zuerst alle direkten Implikationen, einfach durch das
Auswerten der Wahrheitstabellen für die einzelnen Gatter. Die schwereren indirekten
Implikationen werden dann durch rekursives Lernen ermittelt. Dabei
werden in der Schaltung temporär Gatterausgänge mit Werten belegt, und es
werden die logischen Konsequenzen, die sich daraus für die Gattereingänge ergeben,
gesucht.
Dies geschieht rekursiv von den Eingängen bis hin zu den Ausgängen und kann
somit alle notwendigen Belegungen herausfinden. Die Ergebnisse werden in den
einzelnen Knoten gespeichert, und werden nachher für den Äquivalenztest für
die gesamte Schaltung verwendet, wobei ein SAT-Algorithmus verwendet wird.
4.1.3 Weitere Ideen In den letzten Jahren haben weitere Arbeiten versucht
die Verfahren noch effizienter zu gestalten. Unter anderem hat man wieder mit
BDDs gearbeitet, aber diesmal nicht mehr für die gesamte Schaltung, sondern
nur für Teile dieser. Zum Beispiel 8 erstellt man für interne Knoten BDDs und
sucht dann nach isomorphen BDDs, um die internen Äquivalenzen zu finden.
Die so gefundenen isomorphen BDDs werden dann zusammengefügt, und die
Schaltung verkleinert sich.
Beginnend werden erst für die Eingänge BDDs gebildet und dann für die innerenKnotenbishinzudenAusgängen.
Bei den ersten BDDs, welche noch rein
primäre Schaltungseingänge enthalten, ist dies problemlos. Kompliziert wird es
8 bei [6] und [7]

153
erst, wenn man BDDs für innere Knoten erstellt, und für die alten BDDs neue
Variablen einführt (cut points). Dies führt zu einer Partitionierung der Schaltung
und genau dadurch tritt auch bei diesen BDD-basierten Ansätzen wieder
das Problem des false negatives auf und es müssen komplizierte und aufwendige
Verfahren durchlaufen werden, um diese zu beseitigen.
Eine Möglichkeit ist an der sogenannten Cut Frontier, also der Grenze der bisherigen
BDD-Ausbreitung, mehrere neue BDDs schichtenweise zu erstellen. Diese
neuen BDDs müssen dann aus anderen Variablen aufgebaut werden. Das heißt,
dass sich das sogenannte support set für diese neuen BDDs unterscheiden muss 9 .
Dieses Set besteht aus den Variablen, die den BDD bilden. Je mehr unterschiedliche
BDDs für die inneren Knoten aufbaut werden, desto höher ist die Chance
false negatives zu vermeiden. Wenn dies auch nicht zum Ziel führt, muss man
die neu eingeführten Variablen, welche für die BDDs stehen, wieder resubstituieren,
im worst-case bis hin zu den primären Eingängen der Schaltung. Dadurch
kann es natürlich wieder zu einer Explosion der BDD-Größe kommen, was die
Verfahren uneffizient macht.
9 Eine Heuristik zum Finden von “guten“ support sets auf Basis von funktionaler
Implikation, findet sich in [7]

154
Als Beispiel für das Auftreten von false negatives durch BDDs an inneren Knotenpunkten,
siehe folgende Schaltung:
Schnittlinie
g
∧
x 1
b
a
∧
d
e
∨
∧
c
NOT
∧
∨
x 3
x 2
∧
NOT
∨
y 1
f
∧
g
∧
x 1
b
a
∧
d
∨
c
∧
∨
x 3
x 2
∧
NOT
∨
y 2
e
NOT
f
∧
Abbildung 8: Beispiel cut frontier
Erstelle jetzt BDDs an der Schnittlinie, mit den substituierten Variablen x 1 ,x 2
und x 3 und es ergeben sich die Schaltungen inkl. der BDDs wie auf Abbildung
9.
Wie man sieht sind die BDDs der daraus resultierenden Schaltungen nicht isomorph,
obwohl y 1 = y 2 gilt. Als weiteres Beispiel zu false negatives siehe auch

155
x 1
x 3
d
e
b
x 2
∧
NOT
∧
NOT
∨
y 1
x 1
x 3
e
b
x 2
NOT
∧
NOT
∨
y 2
x 2
x 2
x 1
x 1
x 3
BDDs sind nicht isomorph
x 3
e
e
b
d
b
0 1
0 1
Abbildung 9: BDDs nicht isomorph
nachfolgenden Abschnitt 4.2.
Ein weiteres Verfahren welches zum Einsatz kommt ist
Hashing: Viele Algorithmen erstellen sich aus der Gatterbeschreibung einen
neuen Graphen. Dabei werden Gatter direkt gehasht, wobei man zum Beispiel
als Schlüssel die Gatterfunktion und die Eingangsvariablen verwendet.
So können schon bei der Konstruktion des Graphen strukturell gleiche Teile
direkt erkannt werden (gleiche Schlüssel).

156
4.2 False-Negatives-Problem
Zwei Schaltungen sind äquivalent, obwohl innere Funktionen nicht äquivalent
sind. Dies liegt an den internen Schittpunkten, an denen nicht alle Wertebelegungen
auftreten können. Siehe Abbildung 10.
Die beiden Schaltungen sind äquivalent, sprich x = y, auchsinds 1 und s ′ 1 ,sowie
s 2 und s ′ 2 äquivalent. Wenn man nun aber diese Signale einfach nimmt und
substituiert, den vorherigen Teil also wegschneidet, wird der Algorithmus annehmen,
dass die beiden Schaltungen nicht äquivalent sind. Er kennt nämlich dann
die Vorgeschichte der beiden Signale s 1 und s 2 nicht mehr. Die Wertebelegung
{s 1 =1,s 2 =1} wird dann nämlich als Gegenbeispiel zur Gleichheit gefunden,
obwohl diese niemals aufteten kann.
Schaltung 1
Schaltung 2
A
B NOT
C
∧
∧
s 1
s 2
∨
x
A
B NOT
C
∧
∧
s ′ 1
s ′ 2
⊕ y
Abbildung 10: Ein false negatives Beispiel
Dieses Problem tritt immer dann auf, wenn man versucht Teile der Schaltung
abzuschneiden. Es ist nicht ohne weiteren Aufwand möglich, dieses Problem zu
beseitigen.

157
5 Fazit
Wie oben gesehen ist der kombinatorische Äquivalenzvergleich zwischen zwei
Schaltungen sehr komplex. Es gibt verschiedene Verfahren, welche alle ihre Vorund
Nachteile haben. ATPG- / SAT-Verfahren sind vollständig, das heißt sie finden
auf jedenfall eine Lösung, haben aber sehr lange Laufzeiten. Algorithmen,
welche die Schaltungen partitionieren kämpfen mit dem false negative Problem
und Anwendungen von BDDs erfordern unter Umständen sehr viel Speicher.
Die Ausnutzung von strukturellen Ähnlichkeiten hat sich durchgesetzt, da die
meisten industriellen Syntheseverfahren viele Äquivalenzpunkte zwischen der
Spezifikation und der Implementierung bewahren. Dies erlaubt inzwischen die
Bearbeitung von Schaltungen, welche aus Millionen von Gattern bestehen und
ist für die meisten Anwendungen ausreichend.
Der Vorgang des Äquivalenzvergleichs in der Industrie verwendet eine Vielzahl
von Verfahren sequentiell. Wenn eine Engine den Vergleich nicht schafft, wird die
nächste angeworfen, welche dann schon die gefundenen internen Äquivalenzen
nutzen kann. Worst-Case Schaltungen für die Verfahren sind Multiplizierer, da
bei diesen leider kaum interne Äquivalenzpunkte existieren.
Gui Frontend
enthält unter anderem:
Parser für Schaltungsbeschreibung
Syntheseverfahren für die Umsetzung
in die Gatterebene
Multiple Engine Backend
Hashing strukturell
gleicher Teile
Simulation
BDDs
SAT / ATPG
Verfahren
Abbildung 11: Multiple Engine für den Äquivalenzvergleich

158
Literatur
1. Prof. Dr. Kunz: Skript Verifikation digitaler Systeme (2003)
2. Prof. Dr. Schneider: Skript Verifikation reaktiver Systeme (2003)
3. Bryant, R.E: Graph-based algorithms for Boolean function manipulation, aus IEEE
Transactions on Computers C35.8, Seite 677-691 (1986)
4. Brand, Daniel: Verification of Large Synthesized Designs, IEEE (1993)
5. Kunz, Wolfgang: HANNIBAL: AnEfficient Tool for Logic Verification Based on
Recursive Learning, IEEE (1993)
6. Kuehlmann, A.,Krohm,F.: Equivalence Checking Using Cuts and Heaps, erschienen
Im Oktober 1996 als Report RC 20587, im IBM T.J Watson Research Center
7. Matsunaga, Yusuke: AnEfficient Equivalence Checker for Combinational Circuits,
Kawasaki 211-88 (1996)
8. Kunz, W., Marques-Silva, J., Malik, S.: SAT andATPG: Algorithms for Boolean
Decision Problems, aus Logic Synthesis and Verification, Kluwer Academic Publishion
(2001)

159
Übersetzung prädikatenlogischer Formeln in
endliche Automaten
Thomas Türk
Technische Universität Kaiserslautern
Zusammenfassung. In diesem Text sollen kurz endliche Automaten
über unendlichen Wörtern – sogenannte ω-Automaten –vorgestellt werden.
Darauf aufbauend wird gezeigt, dass spezielle Prädikatenlogiken,
S1S und MSO

160
diesem Einsatzbereich sind aber neben der Addition sowie leicht in Presburger-
Arithmetik definierbaren Operationen wie Subtraktionen oder Shifts auch Bitvektoroperationen
wichtig. Daher soll abschließend die Erweiterung der Presburger-Arithmetik
um Bitvektoroperationen betrachtet werden. Es wird gezeigt
werden, dass dies eine echte Erweiterung der Presburger-Arithmetik darstellt,
dass also Bitvektoroperationen nicht in Presburger-Arithmetik definierbar sind.
Außerdem wird gezeigt werden, dass das Entscheidungsproblem dieser um Bitvektoroperationen
erweiterten Presburger-Arithmetik nicht elementare Komplexität
besitzt. Dagegen ist das Entscheidungsproblem der Presburger-Arithmetik
in O(2 22n )lösbar.
Vorausgesetzt werden grundlegende Kenntnisse der Aussagenlogik sowie der
Prädikatenlogik erster und zweiter Stufe. Endliche Automaten über endlichen
Wörtern werden zwar kurz vorgestellt, aber auch hier werden Kenntnisse vorausgesetzt.
Bei Problemen sei auf die entsprechende Literatur wie z. B. [Sch04]
verwiesen. Auf diesem Buch basiert ein Großteil dieses Textes. Unter anderem
stammen auch die verwendeten Schreibweisen aus diesem Buch.
1 ω-Automaten
ω-Automaten sind endliche Automaten über unendlichen Wörtern. Um diese
einzuführen, sollen zunächst Wörter und endliche Automaten über endlichen
Wörtern betrachtet werden. Diese Betrachtung wird jedoch kurz ausfallen, da
grundlegende Kenntnisse vorausgesetzt werden. Bei Problemen sei auf die entsprechende
Literatur verwiesen.
1.1 endliche Automaten auf endlichen Wörtern
Definition 1 (Wort, Alphabet). Sei Σ eine nicht leere Menge. Eine Funktion
α : {i ∈ N | i

161
Beispiel 1. Sei A =(Σ,S, I, R) ein Semiautomat (siehe Abb. 1) mit:
– Σ = {0, 1, 2, 3, 4, 5, 6, 7, 8, 9}
– S = {s 0 ,s 1 ,s 2 }
– I = {s 0 }
– R = {(s i ,j,s k ) | i + j ≡ k mod 3}
Das Wort α = 312 über dem Alphabet Σ besitzt in dem A den Durchlauf
s 0 s 0 s 1 s 0 .DaA deterministisch ist, ist dies der einzige Durchlauf von α durch A.
0, 3, 6, 9
s 0
2, 5, 8
2, 5, 8
1, 4, 7
s 1 s 2
2, 5, 8
0, 3, 6, 9 0, 3, 6, 9
Abb. 1: Beispiel 1
Die hier betrachteten endlichen Automaten sollen Wörter in zwei Klassen einteilen,
die akzeptierten und die nicht akzeptierten Wörter. Um dies zu ermöglichen
müssen Semiautomaten um eine Akzeptanzbedingung erweitert werden. Für
endliche Wörter besteht diese Akzeptanzbedingung üblicherweise aus einer Menge
von Zuständen F und der Setzung, dass ein Wort genau dann akzeptiert wird,
wenn es einen Durchlauf s (0) ...s (n) dieses Wortes durch den Semiautomaten mit
s (n) ∈F gibt. Formal bedeutet dies:
Definition 4 (Endlicher Automat über endlichen Wörtern). Ein endlicher
Automat über endlichen Wörtern A =(B, F) ist ein Tupel, wobei B =
(Σ,S, I, R) ein Semiautomat und F⊆Sdie Menge der Finalzustände von A ist.
A besteht also aus einem Semiautomaten B und der Menge der Finalzustände.
Meist wird A in der Form (Σ,S, I, R, F) angegeben.
Ein endliches Wort α über Σ wird genau dann von A akzeptiert (Schreibweise:
α |= A), wenn es einen Durchlauf s (0) s (1) ...s (n) ∈ RUN B (α) gibt mit
s (n) ∈F.
Beispiel 2. Erweitert man den Semiautomaten aus Beispiel 1 um F = {s 0 },so
akzeptiert A genau das leere Wort ε und jede Dezimalzahl, deren Quersumme
durch 3 teilbar ist, d. h. jede Dezimalzahl, die durch 3 teilbar ist.

162
1.2 ω-Automaten
Diese Definition der endlichen Automaten auf endlichen Wörtern soll mit möglichst
wenig Änderungen auf unendliche Wörter übertragen werden. Das Konzept
der Durchläufe durch einen Semiautomaten lässt sich leicht anpassen. Ein Durchlauf
eines unendlichen Wortes ist jedoch selbst unendlich. Somit ist die Übertragung
der Akzeptanzbedingung auf unendliche Wörter nicht so leicht möglich
wie die Übertragung der Durchläufe.
Definition 5 (Durchlauf eines unendlichen Wortes). Sei A =(Σ,S, I, R)
ein Semiautomat und α : N → Σ ein unendliches Wort über Σ. Dann heißt ein
Wort β : N →Süber S Durchlauf von α durch A genau dann, wenn gilt: β (0) ∈I
und (β (i) ,α (i) ,β (i+1) ) ∈Rfür alle i ∈ N.
Die Menge alle Läufe eines Wortes α durch einen Semiautomaten A wird
mit RUN A (α) bezeichnet. Gibt es für jedes Wort über Σ genau einen Durchlauf,
so heißt A deterministisch.
Betrachtet man für die Akzeptanzbedingung analog zum endlichen Fall eine
Menge F von Zuständen, so ergeben sich diesmal mehrere mögliche, sinnvolle
Definitionen für die Akzeptanz eines unendlich langen Wortes. Ein unendlich
langes Wort könnte z. B. genau dann akzeptiert werden, wenn es einen Durchlauf
gibt, der
– die Menge F nie verlässt
– die Menge F mindestens einmal besucht
– ab einem bestimmten Zeitpunkt die Menge F nicht mehr verlässt
– die Menge F unendlich oft besucht.
Alle diese verschiedenen Akzeptanzbedingungen sind praxisrelevant und führen
zu unterschiedlichen Automaten mit unterschiedlicher Ausdruckskraft. Mit
ihrer Hilfe lassen sich für die Spezifikation wichtige Eigenschaft formulieren wie
– Sicherheitseigenschaften, diefür alle Eingaben immer gelten sollen,
– Lebendigkeitseigenschaften, diefür alle Eingaben mindestens einmal gelten
sollen,
– Persistenzeigenschaften, diefür alle Eingaben ab einem bestimmten Zeitpunkt
gelten sollen,
– Fairnesseigenschaften, diefür alle Eingaben unendlich oft gelten sollen.
Im Folgenden sollen alle diese möglichen Akzeptanzbedingungen betrachtet
und die daraus entstehenden Automaten als ω-Automaten bezeichnet werden.
Dazu werden ω-Automaten als Formeln dargestellt.

1.3 Automatenformeln
Sei A =(Σ,S, I, R) ein Semiautomat. Da sowohl das Alphabet Σ, alsauch
die Menge der Zustände S endlich ist, können sie jeweils durch eine endliche
Menge von aussagenlogischen Variablen kodiert werden. Sei also Σ =2 VΣ mit
V Σ = {i 0 ,...i n }.AnalogseiS =2 VS mit V S = {q 0 ,...q m }. Damit sind Zustände
Teilmengen von V S und Buchstaben Teilmengen von V Σ . Man kann solche Teilmengen
einer Menge V von aussagenlogischen Variablen als Belegung interpretieren,
die alle in der Menge vorkommenden Variablen mit TRUE und alle nicht
vorkommenden Variablen mit FALSE belegt. Damit lassen sich Mengen solcher
Teilmengen, also z. B. die Menge I der Initialzustände, durch eine aussagenlogische
Formel ϕ kodieren, indem die Menge der Belegungen betrachtet wird, die
ϕ erfüllen.
Beispiel 3. Sei A =(Σ,S, I, R) der Semiautomat aus Beispiel 1, also der Semiautomat
mit:
– Σ = {0, 1, 2, 3, 4, 5, 6, 7, 8, 9}
– S = {s 0 ,s 1 ,s 2 }
– I = {s 0 }
– R = {(s i ,j,s k ) | i + j ≡ k mod 3}
Dann lassen sich die 10 Buchstaben von Σ durch 4 aussagenlogische Variablen
i 0 ,i 1 ,i 2 und i 3 kodieren. Dabei soll die Binärdarstellung der Ziffern verwendet
werden. Z. B. entspricht 6 der Menge {i 1 ,i 2 } oder 9 der Menge {i 0 ,i 3 }.Die3
Zustände von A lassen sich durch 2 Variablen q 0 und q 1 kodieren. s 0 werde durch
∅, s 1 durch {q 0 } und s 2 durch {q 1 } kodiert. Mit diesen Setzungen wird I durch
die Formel ¬q 0 ¬q 1 kodiert.
Es fällt auf, dass durch die Kodierung zusätzliche Buchstaben (10, 11 ...15)
und zusätzliche Zustände ({q 0 ,q 1 }) entstehen. Betrachtet man jedoch nur Wörter
über dem ursprünglichen Alphabet und garantiert durch die Transitionsrelation,
dass keine zusätzlichen Durchläufe existieren, so führt dies zu keinen Problemen.
Auch die Transitionsrelation lässt sich durch eine aussagenlogische Formel ϕ
kodieren. Dazu wird für jede Zustandsvariable q eine neue Variable eingeführt,
die in Anlehnung an Schreibweisen aus der Temporallogik mit Xq bezeichnet
wird. Für zwei Zustände s 1 ,s 2 ⊆ V S und einen Buchstaben σ ⊆ V Σ gelte
(s 1 ,σ,s 2 ) ∈Rgenau dann, wenn ϕ von der mit der Variablenmenge s 1 ∪σ∪{Xq |
q ∈ s 2 } assoziierten Belegung erfüllt wird.
Beispiel 4. Sei A =(Σ,S, I, R) der Semiautomat aus Beispiel 3 mit den Kodierungen
V Σ = {i 0 ,i 1 ,i 2 ,i 3 }, S = {q 0 ,q 1 } und ϕ I = ¬q 0 ¬q 1 .Umauchdie
Transitionsrelation R durch eine Formel ϕ R zu kodieren, sollen zunächst die
Mengen der Buchstaben kodiert werden, mit denen die Transitionen beschriftet
sind (siehe Abb. 2).
– {0, 3, 6, 9} wird kodiert durch ϕ 0 = ¬i 0 ¬i 1 ¬i 2 ¬i 3 ∨ i 0 i 1 ¬i 2 ¬i 3 ∨¬i 0 i 1 i 2 ¬i 3 ∨
i 0 ¬i 1 ¬i 2 i 3
163

164
– {1, 4, 7} wird kodiert durch ϕ 1 = i 0 ¬i 1 ¬i 2 ¬i 3 ∨¬i 0 ¬i 1 i 2 ¬i 3 ∨ i 0 i 1 i 2 ¬i 3
– {2, 5, 8} wird kodiert durch ϕ 2 = ¬i 0 i 1 ¬i 2 ¬i 3 ∨ i 0 ¬i 1 i 2 ¬i 3 ∨¬i 0 ¬i 1 ¬i 2 i 3
Damit kann die Transitionsrelation definiert werden durch
1,4,7
s 0 −−−→ s 1 : ¬q 0 ¬q 1 ∧ ϕ 1 ∧ Xq 0 ¬Xq 1 ∨
2,5,8
s 0 −−−→ s 2 : ¬q 0 ¬q 1 ∧ ϕ 2 ∧ ¬Xq 0 Xq 1 ∨
0,3,6,9
s 1 −−−−→ s 1 : q 0 ¬q 1 ∧ ϕ 0 ∧ Xq 0 ¬Xq 1 ∨
1,4,7
s 1 −−−→ s 2 : q 0 ¬q 1 ∧ ϕ 1 ∧ ¬Xq 0 Xq 1 ∨
2,5,8
s 1 −−−→ s 0 : q 0 ¬q 1 ∧ ϕ 2 ∧ ¬Xq 0 ¬Xq 1 ∨
0,3,6,9
s 2 −−−−→ s 2 : ¬q 0 q 1 ∧ ϕ 0 ∧ ¬Xq 0 Xq 1 ∨
1,4,7
s 2 −−−→ s 0 : ¬q 0 q 1 ∧ ϕ 1 ∧ ¬Xq 0 ¬Xq 1 ∨
2,5,8
s 2 −−−→ s 1 : ¬q 0 q 1 ∧ ϕ 2 ∧ ¬Xq 0 Xq 1
ϕ 0
{}
ϕ 2
ϕ 1
ϕ 1
{q 0} {q 1}
ϕ 2
ϕ 1
ϕ 2
ϕ 0
ϕ0
Abb. 2: Beispiel 3 und Beispiel 4
Diese Formel, die die Transitionsrelation kodiert, wurde bewusst nicht vereinfacht,
um möglichst gut die Beziehung zwischen der Kodierung und den ursprünglichen
Repräsentation nachvollziehen zu können. Sie kann aber mit den
üblichen Hilfsmitteln für die Aussagenlogik wie beispielsweise BDDs effizient
behandelt werden.
Bisher wurde gezeigt, wie Semiautomaten mit aussagenlogischen Formeln kodiert
werden können. Um ω-Automaten zu kodieren, muss zusätzlich die Akzeptanzbedingung
kodiert werden. Ein unendliches Wort soll genau dann von einem
ω-Automaten akzeptiert werden, wenn es einen Durchlauf des Wortes durch den
Automaten gibt, der die Akzeptanzbedingung erfüllt. Ein solcher Durchlauf ist
aber selbst ein unendliches Wort. Daher ist es sinnvoll, für die Akzeptanzbedingung
wieder ω-Automaten zu verwenden. Terminiert wird diese Rekursion,

165
indem neben ω-Automaten die Akzeptanzbedingung aus einfachen Prädikaten
auf unendlichen Wörtern bestehen darf. Aus diesen Überlegungen ergibt sich die
Sprache L ω der Automaten-Formeln:
Definition 6 (L ω ). Für eine gegebene Menge von aussagenlogischen Variablen
V Σ sei die Menge der Automaten-Formeln L ω über V Σ die kleinste Menge mit:
– v ∈L ω für alle v ∈V Σ
– mit ϕ ∈L ω gilt auch ¬ϕ ∈L ω
– mit ϕ, ψ ∈L ω gilt auch ϕ ∧ ψ ∈L ω
– mit ϕ ∈L ω gilt auch Fϕ ∈L ω
– A ∃ (V S ,ϕ I ,ϕ R ,ϕ) ∈ L ω ,falls
•V S eine zu V Σ disjunkte Menge von aussagenlogischen Variablen ist
• ϕ I eine aussagenlogische Formel über V S ist
• ϕ R eine aussagenlogische Formel über V S ∪V Σ ∪{Xv | v ∈V S } ist
• ϕ eine L ω Formel über V S ist
Besitzt eine Automaten-Formel A die Form A ∃ (V S ,ϕ I ,ϕ R ,ϕ), wobeiϕ keine
weiteren Formeln dieser Gestalt enthält, so heißt A flache Automaten-Formel.
Definition 7 (Semantik von L ω ). Sei α : N → 2 VΣ ein unendliches Wort
und ϕ eine L ω Formel über V Σ .Dannseifür i ∈ N die Aussage (α, i) |= ϕ
(Sprechweise: ϕ akzeptiert α im Schritt i) definiert durch:
– (α, i) |= v gdw. v ∈ α (i)
– (α, i) |= ¬ϕ gdw. nicht (α, i) |= ϕ
– (α, i) |= ϕ ∧ ψ gdw. (α, i) |= ϕ und (α, i) |= ψ
– (α, i) |= Fϕ gdw. es existiert ein k ∈ N mit k ≥ i und (α, k) |= ϕ
– (α, i) |= A ∃ (V S ,ϕ I ,ϕ R ,ϕ) gelte genau dann, wenn es einen Durchlauf β :
N → 2 VS von α ′ – gegeben durch α ′(x) := α (x+i) – durch den durch V Σ , V S ,ϕ I
und ϕ R kodierten Semiautomaten mit (β,0) |= ϕ gibt.
Eine L ω Formel ϕ über V akzeptiert ein unendliches Wort α : N → 2 V
(Schreibweise: α |= ϕ) genau dann, wenn (α, 0) |= ϕ gilt.
Definition 8 (Äquivalenz von L ω -Formeln). Zwei L ω -Formeln A und B
über einem gemeinsamen Variablenmenge V Σ heißen genau dann äquivalent
(Schreibweise: A ≈ B), wenn für alle unendlichen Wörter α über 2 VΣ genau
dann α |= A gilt, wenn α |= B gilt.
Definition 9(Abkürzungen von L ω Formeln). Um L ω Formeln kompakter
und leichter lesbar darstellen zu können, sollen Abkürzungen eingeführt werden.
In den folgenden Abkürzungen seien ϕ und ψ jeweils beliebige L ω Formeln:
– ϕ ∨ ψ := ¬(¬ϕ ∧¬ψ)
– ϕ → ψ := ¬ϕ ∨ ψ
– ϕ ↔ ψ := (ϕ → ψ) ∧ (ψ → ϕ)

166
– Gϕ := ¬F ¬ϕ
Es gilt also α |= Gϕ gdw. für alle i ∈ N gilt (α, i) |= ϕ
– A ∀ (V S ,ϕ I ,ϕ R ,ϕ):=¬A ∃ (V S ,ϕ I ,ϕ R , ¬ϕ)
α |= A ∀ (V S ,ϕ I ,ϕ R ,ϕ) gilt also genau dann, wenn für jeden Durchlauf
β : N → 2 VS von α durch den durch V Σ , V S ,ϕ I und ϕ R kodierten Semiautomaten
gilt β |= ϕ.
– Häufig ist es sinnvoll, in der Akzeptanzbedingung ϕ eines ω-Automaten A =
A ∃ (V S ,ϕ I ,ϕ R ,ϕ) über V Σ nicht nur den Durchlauf durch den von A beschriebenen
Semiautomaten, sondern auch das zu dem Durchlauf gehörende
Wort betrachten zu können. Dazu soll implizit ein Durchlauf β : N → 2 VS eines
Wortes α : N → 2 VΣ erweitert werden zu einem Wort β ′ : N → 2 VS∪VΣ ,
das gegeben ist durch β ′(n) := β (n) ∪ α (n) für alle n ∈ N. Eine Akzeptanzbedingung
ϕ über V S ∪ V Σ kann dann auf diesem neuen Wort β ′ ausgewertet
werden. Formal gesehen wird jede L ω -Formel über V Σ der Form
A ∃ (V S ,ϕ I ,ϕ R ,ϕ) erweitert zu
A ∃ (V S ∪{x ′ | x ∈V Σ },ϕ I ,ϕ R ∧ ∧
x∈V Σ
x ′ ↔ x, ϕ)
.
ϕ darf dann eine beliebige L ω -Formel über V S ∪ {x ′ | x ∈V Σ } sein. Als
Schreibvereinfachung wird x mit x ′ für jede Variable x ∈V Σ identifiziert.
– Der Ausdruck Xϕ soll ein Wort α genau dann akzeptieren, wenn (α, 1) |= ϕ
gilt. Damit lässt sich Xϕ als Abkürzung für A ∃ ({q 0 ,q 1 }, ¬q 0 ¬q 1 ,ϕ R ,Gq 0 → ϕ)
mit ϕ R = ¬q 0 ¬q 1 Xq 0 ¬Xq 1 ∨ q 0 ¬q 1 ¬Xq 0 Xq 1 ∨¬q 0 q 1 ¬Xq 0 Xq 1 betrachten
(vergleiche Abb. 3).
1 1
{} {q 0} {q 1}
1
Abb. 3: Semiautomat für Xϕ
1.4 Klassen von ω-Automaten
Wie bereits erwähnt führen unterschiedliche Akzeptanzbedingungen zu unterschiedlichen
Klassen von ω-Automaten mit unterschiedlicher Mächtigkeit. Wichtig
sind die folgenden Klassen von Akzeptanzbedingungen:
Definition 10 (Klassen von Akzeptanzbedingungen). φ i und ψ i seien für
alle i ∈{1,...,n} aussagenlogische Formeln über den Zustandsvariablen. Dann

167
seien die folgenden Akzeptanzbedingungen definiert durch:
Sicherheitsbedingungen: Gφ 0
Lebendigkeitsbedingungen: Fφ 0
Persistenzbedingungen: FGφ 0
Büchi- oder Fairnessbedingungen: GF φ 0
n∨
Rabin-Bedingungen: GF φ j ∧ FGψ j
Street-Bedingungen:
Präfix-Bedingungen (1. Typ):
Präfix-Bedingungen (2. Typ):
j=0
n∧
FGφ j ∨ GF ψ j
j=0
n∧
Gφ j ∨ Fψ j
j=0
n∨
Fφ j ∧ Gψ j
Definition 11 (Klassen von ω-Automaten). Für eine Klasse von Akzeptanzbedingungen
F bezeichne NDet F die Menge aller L ω -Formeln A, für die eine
L ω -Formeln B der Form A ∃ (V S ,ϕ I ,ϕ R ,ϕ) mit A ≈ B existiert, wobei ϕ eine
Akzeptanzbedingung der Klasse F ist. Entsprechend bezeichne Det F die Menge
aller L ω -Formeln A, für die eine L ω -Formeln B der Form A ∃ (V S ,ϕ I ,ϕ R ,ϕ)
mit A ≈ B existiert, wobei ϕ eine Akzeptanzbedingung der Klasse F und B
deterministisch ist.
Damit definieren die obigen Klassen von Akzeptanzbedingungen die folgenden
Klassen von ω-Automaten:
– NDet G
– Det G
– NDet F
– NDet FG
– NDet GF
– NDet Rabin
– NDet Street
– NDet Präfix1
– NDet Präfix2
– Det F
– Det FG
– Det GF
– Det Rabin
– Det Street
j=0
– Det Präfix1
– Det Präfix2
Die Automaten-Klassen Det Präfix1 und Det Präfix2 beziehungsweise NDet Präfix1
und NDet Präfix2 werden oft zu Det Präfix beziehungsweise NDet Präfix zusammengefasst.
Besonders wichtig sind im Folgenden die Klassen NDet GF , die sogenannten
Büchi-Automaten, undDet Street ,dieStreet-Automaten.
Diese verschiedenen Klassen von ω-Automaten besitzen unterschiedliche Mächtigkeit
(siehe Abb. 4). Details hierzu sind zum Beispiel in [Sch04] zu finden.
Zu den mächtigsten Klassen gehören unter anderem die Büchi- und Street-
Automaten. Es ist möglich, für jede L ω -Formel eine flache Automaten-Formel zu

168
konstruieren. Damit kann zu jeder L ω -Formel wahlweise ein äquivalenter Büchioder
Street-Automat konstruiert werden. Das Entscheidungsproblem für Büchiund
Street-Automaten ist in O(2 3n )lösbar, wobei n die Anzahl der Zustände
des entsprechenden Automaten ist.
Wesentlich komplexer als das Entscheidungsproblem ist die Konstruktion
der Büchi- bzw. Street-Automaten aus beliebigen L ω -Formeln. Die Konstruktion
flacher Automaten-Formeln im Allgemeinen und damit die Konstruktion
von Büchi- oder Street-Automaten im Speziellen besitzt nicht elementare Komplexität.
Das heißt es existiert keine Konstante i ∈ N, so dass die Komplexität
des Problems O(f i (n)) beträgt, wobei f i gegeben ist durch f 0 (n) := n
und f i+1 (n) :=2 fi(n) . Problematisch bei dieser Konstruktion sind verschachtelte
Automaten-Formeln der Form A ∃ (V S ,ϕ I ,ϕ R , A ∀ (V ′ S ,ϕ ′ I ,ϕ′ R ,ϕ)). Zur Konstruktion
einer äquivalenten flachen Automaten-Formel wird nämlich ein zu
A ∀ (V ′ S ,ϕ ′ I ,ϕ′ R ,ϕ) äquivalenter, deterministischer ω-Automat konstruiert. Diese
Determinisierung kann zu einem exponentiellen Anstieg der Anzahl der Zustände
führen.
Det F
Det GF
Det Rabin
Det Präfix
NDet GF
≈
Det Street
Det G
Det FG
NDet Rabin
≈
≈
NDet G
NDet F
NDet Street
≈
NDet Präfix
NDet GF
≈
≈
≈
≈
≈
NDet FG
Abb. 4: Hierarchie der ω-Automaten
2 S1S und MSO <
2.1 Monadic Second Order Logic of One Successor (S1S)
Definition 12 (Monadic Second Order Logic of One Successor (S1S)).
Die Logik S1S ist die Prädikatenlogik zweiter Stufe mit Gleichheit über den
natürlichen Zahlen, die
– die beiden Funktionssymbole 0 und SUC
– keine Prädikatssymbole
– beliebig viele Variablen x erster Stufe, also des Typs x :→ N

169
– beliebig viele monadische Variablen p zweiter Stufe, also des Typs p : N → B
erlaubt. Außerdem wird nur die übliche Interpretation der Konstante 0 und der
Nachfolgerfunktion auf den natürlichen Zahlen verwendet. S1S besitzt also nur
eine mögliche Interpretation.
Mit dieser Definition ist die Menge der S1S-Terme Term S1S die kleinste Menge,
für die gilt:
– 0 ∈ Term S1S
– x ∈ Term S1S für jede Variable x :→ N
– SUC(t) ∈ Term S1S für jeden Term t ∈ Term S1S
Jeder S1S-Term besitzt also entweder die Form SUC n (0) oder SUC n (x), wobei
x eine Variable erster Stufe ist. Terme der Form SUC n (0) werden mit dem
Symbol n abgekürzt. So entspricht das Konstantensymbol 3 z. B. dem Term
SUC(SUC(SUC(0))). Statt SUC n (t), wobei t ein beliebiger Term ist, wird auch
die Schreibweise t + n verwendet.
Die Menge der S1S-Formeln ist die kleinste Menge mit
– t . = u ∈ S1S für alle Terme t, u ∈ Term S1S .
– p (t) ∈ S1S für jede Variable zweiter Stufe p : N → B und jeden Term t ∈
Term S1S
– ¬ϕ ∈ S1S für jede Formel ϕ ∈ S1S
– ϕ ∧ ψ ∈ S1S für alle Formeln ϕ, ψ ∈ S1S
– ∃x.ϕ ∈ S1S für jede Variable erster Stufe x :→ N und jede Formel ϕ ∈ S1S
– ∃p.ϕ ∈ S1S für jede Variable zweiter Stufe p : N → B und jede Formel
ϕ ∈ S1S
Außerdem werden für S1S-Formeln die folgenden Abkürzungen verwendet:
– ϕ ∨ ψ := ¬(¬ϕ ∧¬ψ)
– ϕ → ψ := ¬ϕ ∨ ψ
– ϕ ↔ ψ := (ϕ → ψ) ∧ (ψ → ϕ)
– ∀.ϕ := ¬∃¬ϕ
S1S-Formeln und Terme werden nur über den natürlichen Zahlen ausgewertet.
Sei ξ eine Belegung, also eine Funktion, die jeder Variable erster Stufe eine
natürliche Zahl und jeder Variable zweiter Stufe eine Relation passender Stelligkeit
auf den natürlichen Zahlen zuweist. Weiter bezeichne ξx y die durch
{ y falls z = x
ξx(z) y :=
ξ(z) sonst
definierte Belegung. Damit ist die Bedeutung t ξ eines Terms t ∈ Term S1S in
einer Belegung ξ gegeben durch:
– 0 ξ := 0
– x ξ := ξ(x) für jede Variable x des Typs x :→ N

170
– SUC(t) ξ := t ξ +1
Ebenso ist die Bedeutung ϕ ξ einer S1S-Formel ϕ gegeben durch:
– p (t) ξ := ξ(p) (t ξ)
– ¬ϕ ξ :⇔ nicht ϕ
– t . = u ξ :⇔ t ξ = u ξ
– ϕ ∧ ψ ξ :⇔ ϕ ξ und ψ ξ
– ∃x.ϕ ξ :⇔ es gibt ein x ∈ N mit ϕ ξ n x
– ∃p.ϕ ξ :⇔ es gibt ein M ⊆ N mit ϕ ξ M
p
Beispiel 5. ∃p. ( (∀y.p (y) → p (SUC(y)) )∧¬p (x) ∧p (5)) ist eine S1S-Formel. Sie wird
genau dann von einer Belegung ξ erfüllt, wenn gilt ξ(x) < 5.
2.2 Monadic Second Order Logic of Linear Order (MSO < )
Definition 13 (Monadic Second Order Logic of Linear Order (MSO < )).
Die Logik MSO < ist die Prädikatenlogik zweiter Stufe mit Gleichheit über den
natürlichen Zahlen, die
– keine Funktionssymbole
– nur das Prädikatssymbol <
– beliebig viele Variablen x erster Stufe, also des Typs x :→ N
– beliebig viele monadische Variablen p zweiter Stufe, also des Typs p : N → B
erlaubt. Außerdem wird nur die übliche Interpretation

171
– p (t) ξ := ξ(p) (t ξ)
– ¬ϕ ξ :⇔ nicht ϕ
– t . = u ξ :⇔ t ξ = u ξ
– t

172
function MSO < S1S(φ)
case φ of
”
x 1

173
ψ(t 1 ,...,f(t ′ 1 ,...,t′ n ),...t m) durch ψ(t 1 ,...,y,...,t m )∧ϕ(t ′ 1 ,...,t′ n ,y) ersetzt,
wobei y eine neue, sonst nicht auftretende Variable ist.
Beispiel 7 (Definierbarkeit in MSO < ). Das Prädikat ≤ kann in MSO < definiert
werden durch ∀x.∀y. x ≤ y ↔ (x . = y ∨ x

174
3.2 Übersetzung von ω-Automaten in S1S
Mit dieser Abbildung zwischen Variablenbelegungen und Wörtern lässt sich zu
einem Büchi-Automaten A über 2 VΣ leicht eine S1S-Formel ϕ A konstruieren,
so dass jedes Wort α über 2 VΣ genau dann von A akzeptiert wird, wenn ξ α
die Formel ϕ A erfüllt. Abb. 6 beschreibt die Konstruktion einer solchen Formel.
Da zu jeder L ω -Formel ein äquivalenter Büchi-Automat konstruiert werden
kann, können somit alle ω-Automaten in S1S-Formeln und damit auch in MSO < -
Formeln übersetzt werden.
function Buechi S1S(A)
A ∃ ({q 1,...,q n},φ I,φ R,GFφ F) ≡ A;
ψ I := XProp2S1S(0,φ I);
ψ R := XProp2S1S(x, φ R);
ψ F := XProp2S1S(x 2,φ F);
return ∃q 1,...∃q n.ψ I ∧ (∀x.ψ R) ∧ `∀x 1.∃x 2.(x 1

175
– Sing(p) :⇔∃x.p (t) ∧ ( ∀x 1 ,x 2 .(p (x1) ∧ p (x2) ) → x 1
. = x2
)
– S 2 (p, q) :⇔ Sing(p) ∧ Sing(q) ∧∀x.p (x) → q (SUC(x))
Abb. 7 beschreibt einen Algorithmus zur Entfernung Variablen erster Stufe
aus MSO < -Formeln. Dabei ist zu beachten, dass jeder MSO < -Term eine Variable
erster Stufe ist. Wie man leicht sieht, bestehen alle verbleibenden atomaren
Formeln aus einem der neu eingeführten Prädikate. Die Korrektheit dieses Algorithmuses
ist leicht nachweisbar. Ein Beweis findet sich in [Sch04].
function ElimFO(φ)
case φ of
x 1
. = x2 : return Subset(q x1 ,q x2 ) ∧ Subset(q x2 ,q x1 );
x 1

176
function MSO < Omega(φ)
case φ of
Subset(p, q) : return G(p → q);
Sing(p) : return G(p → XG¬p) ∧ Fp;
S 2(p, q) : return G`p → (Xq ∧ XG¬p)´ ∧ Fp∧ G(q → XG¬q);
¬ϕ : return ¬MSO < Omega(ϕ);
ϕ ∧ ψ : return MSO < Omega(ϕ) ∧ MSO < Omega(ψ);
∃p.ϕ : return A ∃ ({p}, 1, 1, MSO < Omega(ϕ));
end
end
Abb. 8: Übersetzung von MSO < -Formeln in ω-Automaten
Komplexitätsresultat kann aber auch positiv interpretiert werden. Da MSO <
und S1S äquivalente Ausdruckskraft wie ω-Automaten, aber eine wesentlich
aufwendigere Entscheidungsprozedur besitzen, müssen sich bestimmte Aussagen
mit MSO < und S1S-Formeln wesentlich kompakter als mit ω-Automaten
darstellen lassen. Dies ist ein Indiz dafür, dass diese Formalismen wirklich für
die Spezifikation geeignet sind.
4 Praxisrelevante Formalismen
Bisher wurde gezeigt, dass ω-Automaten, MSO < und S1S äquivalente Ausdruckskraft
besitzen und ineinander überführt werden können. Die Logiken MSO <
und S1S gestatten für viele Probleme eine wesentlich intuitivere Spezifikation als
ω-Automaten. Dies gilt besonders, wenn man MSO < und S1S um in ihnen definierbare
Funktionen und Prädikate erweitert.
Trotzdem sollen im Folgenden noch weitere Formalismen betrachtet werden.
Dies geschieht einerseits, weil sie eine noch intuitivere Beschreibung einiger Probleme
ermöglichen, andererseits weil sie ein weniger komplexes Entscheidungsproblem
besitzen.
4.1 Lineare Temporale Logik (LTL)
Definition 17 (Lineare Temporale Logik (LTL)). LTL ist eine spezielle
Temporallogik, also eine um temporale Operatoren erweiterte Aussagenlogik,
die auch den zeitlichen Verlauf der aussagenlogischen Variablen berücksichtigen
kann. Sei V eine Menge von aussagenlogischen Variablen. Die Menge der LTL-
Formeln über V ist die kleinste Menge mit:
– x ∈ LTL für alle x ∈V
– ¬ϕ ∈ LTL für jede Formel ϕ ∈ LTL
– ϕ ∧ ψ ∈ LTL für alle Formeln ϕ, ψ ∈ LTL
– Xϕ ∈ LTL für jede Formel ϕ ∈ LTL
– ←− Xϕ ∈ LTL für jede Formel ϕ ∈ LTL
– ϕUψ ∈ LTL für alle Formeln ϕ, ψ ∈ LTL

177
– ϕ ←− U ψ ∈ LTL für alle Formeln ϕ, ψ ∈ LTL
Definition 18 (Semantik von LTL). Sei α : N → 2 V ein unendliches Wort
und ϕ eine LTL-Formel über V. Dannseifür i ∈ N die Aussage (α, i) |= ϕ
(Sprechweise: α im Zeitpunkt i erfüllt ϕ) definiert durch:
– (α, i) |= x gdw. x ∈ α (i) für x ∈V
– (α, i) |= ¬ϕ gdw. nicht (α, i) |= ϕ
– (α, i) |= Xϕ gdw. (α, i +1)|= ϕ
– (α, i) |= ←− Xϕ gdw. i>0 und (α, i − 1) |= ϕ
– (α, i) |= ϕ ∧ ψ gdw. (α, i) |= ϕ und (α, i) |= ψ
– (α, i) |= ϕUψ gdw. es gibt es k ≥ i mit (α, k) |= ψ und für alle i ≤ jkgilt (α, j) |= ϕ
Ein unendliches Wort α : N → 2 V erfüllt eine LTL-Formel ϕ über V (Schreibweise:
α |= ϕ) genau dann, wenn (α, 0) |= ϕ gilt.
Für LTL-Formeln werden die üblichen Abkürzungen ∨, → und ↔ verwendet.
Außerdem werden weitere temporale Operatoren benutzt:
Fϕ := 1 U ϕ
←− Fϕ:= 1
←− U ϕ
Gϕ := ¬F ¬ϕ
←− Gϕ := ¬
←− F ¬ϕ
ϕBψ := (¬ψ) U (ϕ ∧¬ψ)
ϕ ←− B ψ := (¬ψ) ←− U (ϕ ∧¬ψ)
ϕUψ:= (ϕ Uψ) ∨ Gϕ
ϕ ←− U ψ := (ϕ ←− U ψ) ∨ ←− Gϕ
ϕBψ:= (ϕ Bψ) ∨ G¬ψ
ϕ ←− Bψ:= (ϕ ←− B ψ) ∨ ←− G¬ψ
Betrachtet man – analog zur Übersetzung von ω-Automaten in S1S – die
von einem Wort induzierte Variablenbelegung, so lässt sich zu einer LTL-Formel
ϕ LTL über 2 V leicht eine MSO < -Formel ϕ MSO< konstruieren, so dass jedes Wort
α über 2 V genau dann ϕ LTL erfüllt, wenn ξ α die Formel ϕ MSO< erfüllt. Abb. 9
beschreibt die Konstruktion einer solchen Formel. Damit kann auch für jede
LTL-Formel ein äquivalenter ω-Automat konstruiert werden.
4.2 Presburger-Arithmetik
Definition 19 (Presburger-Arithmetik). Presburger-Arithmetik ist die Prädikatenlogik
erster Stufe mit Gleichheit über den natürlichen Zahlen, die

178
function nachfolger(x 0,x 1)
return (x 0

179
– keine Funktionssymbole
– das Prädikatssymbol ADD
– beliebig viele Variablen x erster Stufe
erlaubt. Außerdem sei das Prädikat ADD auf den natürlichen Zahlen wie üblich
definiert, nämlich durch ADD(x, y, z) :⇔ x+y . = z. Presburger-Arithmetik besitzt
also nur eine mögliche Interpretation.
Mit dieser Definition ist die Menge der Presburger-Terme Term Presburger die
Menge der Variablen. Die Menge der Presburger-Formeln ist die kleinste Menge
mit
– ADD(x, y, z) ∈ Presburger für alle Terme x, y, z ∈ Term Presburger
– x = . y ∈ Presburger für alle Terme x, y ∈ Term Presburger
– ¬ϕ ∈ Presburger für jede Formel ϕ ∈ Presburger
– ϕ ∧ ψ ∈ Presburger für alle Formeln ϕ, ψ ∈ Presburger
– ∃x.ϕ ∈ Presburger für jede Variable erster Stufe x : → N und jede Formel
ϕ ∈ Presburger
Definition 20 (Semantik der Presburger-Arithmetik). Presburger-Formeln
und Terme werden nur über den natürlichen Zahlen ausgewertet. Sei ξ
eine Belegung. Da ausschließlich Variablen erster Stufe Presburger-Terme darstellen,
ist die Bedeutung x ξ eines Terms x ∈ Term Presburger in einer Belegung
ξ ist gegeben durch x ξ := ξ(x). Die Bedeutung ϕ ξ einer Presburger-Formel
ϕ ist gegeben durch:
– ¬ϕ ξ :⇔ nicht ϕ ξ
– ADD(x, y, z) ξ :⇔ x ξ + y ξ = z ξ
– x = . y ξ :⇔ x ξ = y ξ
– ϕ ∧ ψ ξ :⇔ ϕ ξ und ψ ξ
– ∃x.ϕ ξ :⇔ es gibt ein n ∈ N mit ϕ ξ n x
Auf den ersten Blick scheint Presburger-Arithmetik nicht ausdrucksstark zu
sein. Es können jedoch viele wichtige Funktionen und Prädikate in Presburger-
Arithmetik definiert werden. Alle definierten Funktionen und Prädikate besitzen
ihre übliche Bedeutung auf den natürlichen Zahlen. Aus Gründen der Übersichtlichkeit
wird auf die Allquantifizierung der zur Definition benutzten Formeln

180
verzichtet und diese nur implizit gefordert:
z . = x + y ↔ ADD(x, y, z)
x ≤ y ↔∃z.ADD(x, z, y)
x

181
function Presburger S1S(φ)
case φ of
ADD(x, y, z) :
ψ := ¬c (0) ∧∀t.c (t+1) ↔ `x (t) ∧ y (t) ∨ c (t) ∧ (x (t) ∨ y (t) )´;
return ∃c.ψ ∧ (∀t.x (t) ⊕ y (t) ⊕ c (t) );
end
end
.
x 1 = x2 : return ∀y.p (y)
x 1
↔ p (y)
x 2
;
¬ϕ : return ¬Presburger S1S(ϕ);
ϕ ∧ ψ : return Presburger S1S(ϕ) ∧ Presburger S1S(ψ);
∃x.ϕ :
return ∃p x.`(∃x 1.∀x 2.x 1

182
Betrachtet man Bitvektoroperationen genauer, so fällt auf, dass die bitweise
Negation NOT zu Problemen führt. Da die Binärkodierung jeder natürlichen
Zahl nämlich nur endlich viele Einsen enthält, enthält die negierte Binärkodierung
einer natürlichen Zahl unendlich viele Einsen und stellt damit nicht mehr
die Kodierung einen natürlichen Zahl dar. Für die Untersuchung der Definierbarkeit
von Bitvektoroperationen in Presburger-Arithmetik muss daher die Erweiterung
der Presburger-Arithmetik auf ganze Zahlen und deren Zweierkomplement-
Kodierung betrachtet werden.
5.1 Presburger-Arithmetik auf ganzen Zahlen
Definition 21 (Presburger-Arithmetik auf ganzen Zahlen). Presburger Z -
Arithmetik ist Presburger-Arithmetik auf ganzen Zahlen. Die Menge der Presburger
Z -Terme Term PresburgerZ ist die Menge der Variablen x : → Z. Die Menge
der Presburger Z -Formeln ist die kleinste Menge mit
– ADD Z (x, y, z) ∈ Presburger Z für alle Terme x, y, z ∈ Term PresburgerZ
– ≥ 0 (x) ∈ Presburger Z für alle Terme x ∈ Term PresburgerZ
– x . = y ∈ Presburger Z für alle Terme x, y ∈ Term PresburgerZ
– ¬ϕ ∈ Presburger Z für jede Formel ϕ ∈ Presburger Z
– ϕ ∧ ψ ∈ Presburger Z für alle Formeln ϕ, ψ ∈ Presburger Z
– ∃x.ϕ ∈ Presburger Z für jede Variable erster Stufe x : → Z und jede Formel
ϕ ∈ Presburger Z
Presburger Z -Formeln und -Terme werden nur über den ganzen Zahlen ausgewertet.
Sei ξ eine Belegung. Da ausschließlich Variablen erster Stufe Presburger
Z -Terme darstellen, ist die Bedeutung x ξ eines Terms x ∈ Term PresburgerZ
in einer Belegung ξ ist gegeben durch x ξ := ξ(x). Die Bedeutung ϕ ξ einer
Presburger Z -Formel ϕ ist gegeben durch:
– ¬ϕ ξ :⇔ nicht ϕ ξ
– ADD Z (x, y, z) ξ :⇔ x ξ + y ξ = z ξ
– ≥ 0 (x) ξ :⇔ x ξ ≥ 0
– x . = y ξ :⇔ x ξ = y ξ
– ϕ ∧ ψ ξ :⇔ ϕ ξ und ψ ξ
– ∃x.ϕ ξ :⇔ es gibt ein z ∈ Z mit ϕ ξ z x
Es fällt auf, dass gegenüber Presburger N -daszusätzliche Prädikat > 0 in Presburger
Z -Arithmetik erlaubt ist. Dies ist nötig, da sonst Presburger Z -Arithmetik
nicht zwischen positiven und negativen Zahlen unterscheiden könnte, d. h. eine
Belegung ξ erfüllt eine beliebige Presburger Z -Formel ϕ ohne ≥ 0 genau dann,
wenn die Belegung ξ − , die gegeben ist durch ξ − (x) := −ξ(x) für alle x, die
Formel ϕ erfüllt. Dies lässt sich leicht durch Induktion über den Aufbau zeigen.
Ohne ≥ 0 können also wichtige Funktionen, wie Konstanten für die ganzen
Zahlen, oder Prädikate wie > nicht definiert werden. Mit diesem Prädikat ist

183
dies dagegen möglich:
z . = x + y ↔ ADD(x, y, z)
x . =0↔∀y.y + x . = y
> 0 (x) ↔≥ 0 (x) ∧¬x . =0
x ≤ y ↔∃z.≥ 0 (z) ∧ ADD(x, z, y)
x 0 (z) ∧ ADD(x, z, y)
x . =1↔∀y.y < x → y ≤ 0
x . =2↔∀y.y < x → y ≤ 1
.
x . = −1 ↔∀y.y ≥ x → y>0
x . = −2 ↔∀y.y ≥ x → y>1
.
z . = x − y ↔ z . = x + y
y . = −x ↔ y . =0− x
y . = x ∗ 0 ↔ y . =0
y . = x ∗ 1 ↔ y . = x ∗ 0+x
y . = x ∗ 2 ↔ y . = x ∗ 1+x
y . = x ∗ 3 ↔ y . = x ∗ 2+x
.
.
y . = x ∗−1 ↔ y . = x ∗ 0 − x
y . = x ∗−2 ↔ y . =(x ∗−1) − x
y . = x ∗−3 ↔ y . =(x ∗−2) − x
.
5.2 Äquivalente Ausdruckskraft von Presburger Z - und Presburger N -
Arithmetik
Presburger Z - und Presburger N -Arithmetik besitzen äquivalente Ausdruckskraft.
Um dies zu zeigen, muss zunächst eine Abbildung zwischen den ganzen Zahlen
und den natürlichen Zahlen gefunden werden. Sei η : Z → N gegeben durch:
η(x) :=
{
2 ∗ x falls x ≥ 0
(−2 ∗ x) − 1sonst
Die Funktion η ist eine Bijektion. Ihre Umkehrfunktion η −1
durch:
{ x
η −1 (x) := 2
falls x gerade
− x+1
2
sonst
ist gegeben

184
Zu einer Presburger N -Formel ϕ N lässt sich leicht eine Presburger Z -Formel
ϕ Z konstruieren, so dass ϕ N von einer Belegung ξ : V→N genau dann erfüllt
wird, wenn ϕ Z von ξ erfüllt wird. Sei für eine Belegung ξ : V→Z die Belegung
ξ η : V→N gegeben durch ξ η (z) :=η(ξ(z)) für alle z ∈ Z. Damitlässt sich zu
einer Presburger Z -Formel ϕ Z eine Presburger N -Formel ϕ N konstruieren, so dass
jede Belegung ξ : V→Z genau dann ϕ Z erfüllt, wenn ξ η die Formel ϕ N erfüllt.
Abb. 11 beschreibt die Konstruktion solcher Formeln. Die Korrektheit des Verfahrens
kann leicht nachgewiesen werden. Einzig interessant ist die Übersetzung
der Addition auf den ganzen Zahlen, für die eine Fallunterscheidung danach, ob
die Parameter positive oder negative Zahlen sind, verwendet wird.
Aufgrund dieser möglichen Übersetzung von Presburger Z - in Presburger N -
Arithmetik lassen sich viele Eigenschaften der Presburger N - auf Presburger Z -
Arithmetik übertragen. Eine wichtige Eigenschaft ist, dass auch das Entscheidungsproblem
der Presburger Z -Arithmetik in O(2 22n )lösbar ist.
Eine weitere sich übertragende Eigenschaft ist, dass jedes in Presburger N -
Arithmetik definierbare monadische Prädikat p : N → B schließlich periodisch ist
(siehe [BHMV]). Dies bedeutet, dass für jedes solche p zwei Konstanten n 0 ,v ∈ N
existieren mit p (n) ⇔ p (n+v) für alle n ≥ n 0 .
Lemma 1. Jedes in Presburger Z -Arithmetik definierbare Prädikat p : Z → B ist
schließlich periodisch. D. h. es existieren Konstanten n 0 ,v ∈ N, so dass p (n) ⇔
p (n+v) für alle n ≥ n 0 und p (n) ⇔ p (n−v) für alle n ≤−n 0 gilt.
Beweis. Das Prädikat q : N → B sei gegeben durch q (i) :⇔ p (η−1(i)) . Da p
in Presburger Z -Arithmetik definierbar ist, ist – wie der Übersetzungsalgorithmus
zeigt – q in Presburger N -Arithmetik definierbar. Da jedes in Presburger N -
Arithmetik definierbare monadische Prädikat schließlich periodisch ist, ist auch
q schließlich periodisch. Daher existieren zwei Konstanten n 0 ,v ∈ N mit q (n) ⇔
q (n+v) für alle n ≥ n 0 . O.B.d.A. seien n 0 und v gerade und n 0 > 0.
Setze m 0 := η −1 (n 0 ) und w := η −1 (v). Dan 0 gerade gewählt wurde, gilt
m 0 = n0
2
> 0. Damitgiltfür alle m ≥ m 0 die Beziehung η(m) =2∗ m ≥
2 ∗ m 0 = n 0 . Man beachte, das η(m) gerade ist. Da v ebenfalls gerade ist, gilt
η −1 (η(m) +v) =η −1 (η(m)) + η −1 (v) =m + w. Zusammengefasst gilt also für
alle m ∈ Z mit m ≥ m 0
p (m) ⇔ q (η(m)) ⇔ q (η(m)+v) ⇔ p η−1 (η(m)+v) ⇔ p (m+w)
Wegen m 0 > 0 gilt für alle m ≤−m 0 die Beziehung η(m) =−(2 ∗ m) − 1 >
−(2 ∗−m 0 )=2∗ m 0 = n 0 .Dav gerade ist, gilt η −1 (η(m)+v) =η −1 (η(m)) −
η −1 (v) =m − w. Zusammengefasst gilt also für alle m ∈ Z mit m ≤−m 0
p (m) ⇔ q (η(m)) ⇔ q (η(m)+v) ⇔ p η−1 (η(m)+v) ⇔ p (m−w)
Damit ist gezeigt, dass das Prädikat p schließlich periodisch ist.
⊓⊔

185
function Presburger N Presburger Z (φ)
case φ of
ADD N (x, y, z): return ADD Z (x, y, z);
x 1
. = x2 : return x 1
. = x2;
¬ϕ : return ¬ϕ;
ϕ ∧ ψ : return ϕ ∧ ψ;
∃x.ϕ : return ∃x. ≥ 0(x) ∧ ϕ;
end
end
function Presburger Z Presburger N (φ)
case φ of
≥ 0(x) : return ∃y.ADD N (y, y,x);
ADD Z (x, y, z) :
ϕ(x) := Presburger Z Presburger N (≥ 0(x));
ψ ≥≥ (x, y, z) := x + N y = . z;
ψ

186
5.3 Bitvektoroperationen
Nachdem die Presburger Z -Arithmetik eingeführt wurde, können Bitvektoroperationen
nun genau definiert werden. Dazu muss zunächst geklärt werden, welches
monadische Prädikat p x , auf dem die Bitvektoroperationen später arbeiten werden,
einer ganzen Zahl x entspricht. Hierzu soll die sogenannte Zweierkomplement-Kodierung
verwendet werden. Es soll also gelten
p (i)
{ ⌊ x
⌋
x ⇔ 2 ≡ 1 mod 2 falls x ≥ 0
i
¬p (i)
−(x+1)
falls x

187
5.4 Definierbarkeit von Bitvektoroperationen in Presburger Z -
Arithmetik
Die um Bitvektoroperationen erweiterte Presburger Z -Arithmetik (kurz: Presburger
Z,Bit -Arithmetik), kann ähnlich wie Presburger N -Arithmetik leicht in S1S
übersetzt werden. Diese Logik ist daher entscheidbar und ihr Entscheidungsproblem
besitzt höchstens nicht elementare Komplexität. Wie aber oben dargestellt,
ist das Entscheidungsproblem der Presburger-Arithmetik in O(2 22n )
lösbar und somit wesentlich einfacher als das Entscheidungsproblem von S1S.
Dieses einfachere Entscheidungsproblem ist einer der Gründe für den Einsatz
von Presburger-Arithmetik. Es ist daher interessant, die Komplexität des Entscheidungsproblems
von Presburger Z,Bit -Arithmetik zu untersuchen.
Zunächst soll betrachtet werden, ob Bitvektoroperationen in Presburger-
Arithmetik definierbar sind. Wären Bitvektoroperationen in Presburger-Arithmetik
definierbar, so besäßen Presburger Z - und Presburger Z,Bit -Arithmetik äquivalente
Ausdruckskraft. Wenn die durch die Definitionen der Bitvektoroperationen
implizierte Übersetzung von Presburger Z,Bit - nach Presburger Z -Arithmetik
mit polynomiellem Aufwand möglich wäre, wäre zudem gezeigt, dass das
Entscheidungsproblem von Presburger Z,Bit -Arithmetik in O(2 22n )lösbar ist. Im
Folgenden soll gezeigt werden, dass Bitvektoroperationen jedoch nicht in Presburger
Z -Arithmetik definierbar sind.
Die Bitvektoroperation NOT kann leicht in Presburger Z -Arithmetik definiert
werden durch
NOT(x) . = z ←→ z . = −(x +1)
Dagegen ist OR nicht definierbar.
Lemma 2. Die Bitvektoroperation OR ist nicht in Presburger Z -Arithmetik definierbar.
Beweis. Angenommen die Bitvektoroperation OR wäre in Presburger Z -Arithmetik
definierbar. Dann ist aber auch das Prädikat Sing Z : Z → B, das gegeben ist
durch
⇔ es gibt ein k ∈ N mit i =2k
in Presburger Z -Arithmetik definierbar durch
(
Sing (x,y,z)
Z
:= ≥ 0 (y) ∧ y ≤ x
∧
∀y ′ . ( ≥ 0 (y ′ ) ∧ y ′ ≤ x ) → OR(x, y ′ ) ≤ OR(x, y) ∧
z = . )
OR(x, y)+1
∀z.Sing (z)
Z
Sing (i)
Z
↔ ∃x, y.Sing(x,y,z)
Z
Sei z eine Zweierpotenz. Dann ist zu zeigen, dass Sing (z)
Z
gilt. Sing (1)
Z
Sing (0,0,1)
Z
Sing (2k−1 ,2 k−1 −1,z)
Z
gilt. Für eine Zweierpotenz z =2 k mit k>0 ist Sing (z)
Z
gilt.
gilt, da
erfüllt, da

188
Sei umgekehrt Sing (z)
Z
erfüllt. Zu zeigen ist, dass z eine Zweierpotenz ist.
Betrachte die Werte der durch die Existenzquantoren gebundenen Variablen x
und y. Esgilt0 ≤ y ≤ x. Giltx =0, so folgt daraus y =0und damit z =1.
Sei also x>0 und p x das Prädikat, das x kodiert. Dann existiert ein k mit p (k)
x
und ¬p (l)
x
für alle l>k.Für alle y ′ ≤ x gilt ebenfalls ¬p (l)
y ′
und damit ¬p(l)
OR(x,y ′ )
für alle l>k.AlsogiltOR(x, y ′ ) ≤ 2 k+1 − 1. Mit y ′ =2 k − 1 wird dieser Wert
erreicht. Also muss OR(x, y) =2 k+1 − 1 gelten. Damit gilt z =2 k+1 und z ist
eine Zweierpotenz.
Es wurde also gezeigt, dass unter der Annahme, dass die Bitvektoroperation
OR in Presburger Z -Arithmetik definierbar ist, auch das Prädikat Sing Z in Presburger
Z -Arithmetik definierbar ist. Das Prädikat Sing Z ist aber offensichtlich
nicht schließlich periodisch. Nach Lemma 1 kann es damit aber nicht in Presburger
Z -Arithmetik definiert werden. Also kann die Bitvektoroperation OR nicht
in Presburger Z -Arithmetik definiert werden.
⊓⊔
5.5 Komplexität des Entscheidungsproblems der um
Bitvektoroperationen erweiterten Presburger-Arithmetik
Es wurde gezeigt, dass Bitvektoroperationen nicht in Presburger Z -Arithmetik definierbar
sind. Dies bedeutet, dass Presburger Z,Bit -Arithmetik ausdrucksstärker
als Presburger Z -Arithmetik ist. Daraus allein lässt sich jedoch noch nicht folgern,
dass das Entscheidungsproblem der Presburger Z,Bit -Arithmetik nicht in O(2 22n )
lösbar ist. Im Folgenden soll gezeigt werden, dass das Entscheidungsproblem der
Presburger Z,Bit -Arithmetik nicht elementare Komplexität besitzt.
Es wurde gezeigt, dass das Prädikat Sing Z : Z → B in Presburger Z,Bit -Arithmetik
definierbar ist. Dieses Prädikat entspricht dem in Abschnitt 3.3 benutzten
Prädikat Sing :2 N → B eingeschränkt auf die ganze Zahlen repräsentierenden
monadischen Prädikate über N. Also gilt:
Sing Z (x) ⇔ Sing(p x )für alle x ∈ Z
Entsprechende Einschränkungen der Prädikate Subset und S 2 sind ebenfalls in
Presburger Z -Arithmetik definierbar:
∀x.∀y. Subset Z (x, y) ↔ AND(x, y) = . x
∀x.∀y. S 2Z (x, y) ↔ Sing Z (x) ∧ x + x = . y
In Abschnitt 3.3 wurde gezeigt, dass jede MSO < -Formel in eine äquivalente
Formel übersetzt werden kann, die keine Variablen erster Stufe und nur die Prädikate
Subset, Sing und S 2 enthält (siehe Abb. 7). Einschränkungen dieser Prädikate
sind in Presburger Z -Arithmetik definierbar. Eine ähnliche Einschränkung von
MSO < stellt die Weak Monadic Second Order Logic of Linear Order (WMSO < )
dar. Sie entspricht MSO < , wobei nur monadische Prädikate p zweiter Stufe betrachtet
werden, die endlichen Mengen entsprechen, für die also ein n 0 ∈ N existiert
mit ¬p (n) für alle n ≽ n 0 .DieseEinschränkung bezieht sich sowohl auf das
Quantifizieren als auch auf die erlaubten Belegungen freier Variablen. Analog zu

189
MSO < kann auch WMSO < auf die Prädikate Subset, Sing und S 2 zurückgeführt
werden (siehe Abb. 7). Die entstehenden Formeln lassen sich dann sehr leicht in
Presburger Z,Bit -Arithmetik übersetzen (siehe Abb. 12).
function WMSO < Presburger Z,Bit (φ)
case φ of
Subset(p x,p y) : return Subset Z (x, y);
Sing(p x) : return Sing Z (x);
S 2(p x,p y) : return S 2Z (x, y);
¬ϕ : return ¬WMSO < Presburger Z,Bit (ϕ);
ϕ ∧ ψ :
return WMSO < Presburger Z,Bit (ϕ) ∧ WMSO < Presburger Z,Bit (ψ);
end
end
∃p x.ϕ
: return ∃x.x ≥ 0 ∧ WMSO < Presburger Z,Bit (ϕ);
Abb. 12: Übersetzung von WMSO < in Presburger Z,Bit -Arithmetik
Es ist bekannt, dass das Entscheidungsproblem von WMSO < nicht elementare
Komplexität besitzt (siehe [GTW02]). Aufgrund obiger Übersetzung, die
polynomielle Komplexität besitzt, besitzt damit auch das Entscheidungsproblem
von Presburger Z,Bit -Arithmetik nicht elementare Komplexität.
Umgekehrt kann auch jede Presburger Z,Bit -Formel in eine WMSO < -Formel
übersetzt werden. Analog zu der Übersetzung zwischen Presburger N - und Presburger
Z -Arithmetik kann man auch WMSO < und eine Variante von WMSO <
ineinander übersetzen, die neben monadischen Prädikaten, die endlichen Mengen
entsprechen, auch solche erlaubt, die koendlichen Mengen entsprechen. Die Übersetzung
einer Presburger Z,Bit -Formel in eine Formel dieser erweiterten WMSO < -
Logik kann analog der Übersetzung von Presburger-Formel in eine MSO < -Formel
erfolgen. Damit ist gezeigt, dass Presburger Z,Bit und MSO < äquivalente Ausdruckskraft
besitzen.
6 Zusammenfassung und Ausblick
In diesem Text wurden kurz ω-Automaten vorgestellt und gezeigt, dass sie
gleichmächtig zu den Prädikatenlogiken MSO < und S1S sind. Dabei wurde ein
Algorithmus zur Übersetzung von Formeln dieser Logiken in ω-Automaten vorgestellt.
Desweiteren wurde gezeigt, wie die praxisrelevanten Formalismen LTL und
Presburger-Arithmetik in ω-Automaten übersetzt werden können. Diese beiden
Formalismen sind dabei als zwei wichtige Vertreter einer Menge von praxisrelevanten
Formalismen zu sehen, die in ω-Automaten übersetzt werden können.
Ein Schwerpunkt dieses Textes lag auf der genaueren Betrachtung der Presburger-Arithmetik.
Sie wurde durch Hinzunahme von Bitvektoroperation zu
Presburger Z,Bit -Arithmetik erweitert. Es wurde gezeigt, dass diese Presburger
Z,Bit -Arithmetik ausdrucksstärker als Presburger-Arithmetik ist. Während

190
das Entscheidungsproblem der Presburger-Arithmetik jedoch in O(2 22n )lösbar
ist, besitzt das Entscheidungsproblem der Presburger Z,Bit -Arithmetik jedoch
nicht elementare Komplexität, wie gezeigt werden konnte.
Eine im Zusammenhang mit Presburger-Arithmetik und ω-Automaten noch
offene Frage ist, ob aus Presburger-Formeln entstandene ω-Automaten ein spezielles,
polynomielles Determinisierungsverfahren besitzen. Es wurden einige Indizien
hierfür dargelegt. Ein solches polynomielles Determinisierungsverfahren
könnte für verbesserte Implementierungen von Verifikationsverfahren benutzt
werden, die auf Presburger-Arithmetik basieren. Die Frage, ob ein solches polynomielles
Determinisierungsverfahren für aus Presburger-Formeln entstandene
ω-Automaten existiert, ist also auch für die Praxis interessant. Daher sind weitere
Untersuchungen in diesem Bereich sinnvoll.
Literatur
[BHMV] Bruyère, Veronique ; Hansel, Georges ; Michaux,Christian; Villemaire,
Roger. Logic and p-Recognizable Sets of Integers
[GTW02] Grädel, Erich; Thomas, Wolfgang ; Wilke, Thomas: Automata logics,
and infinite games: a guide to current research. Springer-Verlag New York,
Inc., 2002. –ISBN 3–540–00388–6
[Opp78] Oppen, Derek C.: A 2 22pn upper bound on the complexity of presburger
arithmetic. In: Journal Computer System Sciences 16 (1978), S. 323–332
[Sch04] Schneider, Klaus: Verification of Reactive Systems. Springer, 2004
[Sto74] Stockmeyer, Larry J.: The Complexity of Decision Problems in Automata
Theory and Logic, Deptartment of Electrical Engineering, MIT, Boston,
Massachusetts, Diss., 1974

191
Symbolische Lokale Modellprüfungsverfahren
Nico Mahlo
Technische Universität Kaiserslautern
Zusammenfassung Globale Modellprüfungsverfahren bedienen sich inzwischen
schon längerer Zeit unterschiedlichster symbolischer Repräsentationen
für die zu betrachtenden Zustandsräume. Die Art der Repräsentation
hat teilweise einen sehr großen Einfluss auf Performanz und Einsatzmöglichkeiten
der Verfahren. In dieser Arbeit soll über den Einsatz
von symbolischen Repräsentationen für die lokale Modellprüfung nachgedacht
werden.
1 Historie
Anfänglich wurden Computer nur in sehr geringem Ausmaß eingesetzt. Man
nahm sie bei sehr speziellen, öfter wiederkehrenden Berechnungen zur Unterstützung.
Dies waren meist sehr überschaubare Aufgaben, so dass fehlerhafte
Implementierungen noch relativ leicht zu verbessern waren. In den 60er Jahren
des letzten Jahrhunderts hat die Verbreitung von Computern sehr stark zugenommen.
Es wurden wesentlich mehr Aufgaben mit ihrer Hilfe gelöst und das
ausgefächert auf die verschiedensten Gebiete der Wissenschaft und Wirtschaft.
Aufgrund dieser exzessiven Verwendung und dem Erscheinen der ersten Multi-
Task-Betriebssysteme ist die Komplexität der damals aktuellen Anwendungen /
Systeme explosionsartig gestiegen. Sehr schnell wurde klar, dass mit den bisherigen
Verfahren zur Erstellung und Prüfung von Programmen diese Komplexität
und vor allem die zu erwartende Zukünftige nicht mehr zu bewältigen war. Die
Softwarekrise brach herein (1968).
In diesen Jahren entwickelten Floyd und Hoare eine Logik, die es ermöglichte,
für imperative Programme Korrektheitsbeweise zu liefern. Grundlage dieser Logik
sind Zusicherungen, die eine sehr lokale Kontrolle im Programm ermöglichen.
Ein Beispiel für eine Programmzeile mit solchen Zusicherungen wäre:
{x >0,y 0,y

192
Bei heutigen Systemen stößt diese Logik jedoch sehr schnell an ihre Grenzen.
Sobald Parallelität ins Spiel kommt, oder bei reaktiven Systemen eventuell
Indeterminismus auftritt, ist eine Verifikation des entsprechenden Systems mit
dem Hoare-Kalkül nur sehr schwer, bzw. überhaupt nicht mehr möglich.
Natürlich hat man sich inzwischen auch diesen Problemen angenommen und
es wurden neue Logiken entwickelt. Mit ihnen entanden auch neue Verifikationsverfahren,
die dieses zu leisten vermögen.
2 Logiken
2.1 Modallogiken
Eine Modallogik erweitert die Ausdrucksmöglichkeit der ”normalen“ Aussagenlogik
um die Möglichkeit, notwendige Bedingungen von Möglichen zu unterscheiden.
Folgende zwei Operatoren wurden zu diesem Zweck eingeführt:
– ♦ϕ zum Ausdruck einer Möglichkeit (z.B. ”In Register 5 kann der Wert 23
stehen.“)
– □ϕ zum Ausdruck einer Notwendigkeit (z.B. ”In Register 5 muss der Wert
23 stehen.“)
Zur Auswertung muss das zu analysierende Programm als Zustandsgraph vorliegen.
Die modalen Operatoren werden dann mit Zuständen und Transitionen
verknüpft (z.B. 〈x〉ϕ: Es ist möglich, dass nach der Ausführung von x im Nachfolgezustand
ϕ gilt). Zwei sehr bekannte modale Logiken sind HML (Hennessy–
Milner Logic) und PDL (Propositional Dynamic Logic).
2.2 Temporallogiken
Temporallogiken haben eine sehr starke Ähnlichkeit zu Modallogiken. Der hauptsächliche
Unterschied zwischen beiden besteht darin, dass Temporallogiken anstatt
Bedingtes und Mögliches, zeitlich Mögliches (Lebendigkeitseigenschaften)
und zeitlich Unausweichliches (Sicherheitseigenschaften / Invarianz) beschreiben.
D.h. die modalen Operatoren bekommen eine zeitliche Interpretation.
3 Grundlagen
3.1 Kripke-Strukturen
Eine Kripke-Struktur ist formal definiert als ein Tupel K =(I, S, R, L) mit
– S ist eine endliche Menge von Zuständen
– I⊆Sist die Menge der Initialzustände
– R⊆S×S Transitionsrelation

193
– L : S→2 VΣ Markierungsfunktion
Der Gedanke dahinter ist, dass ”Rahmen aus einer Menge von Welten“ als
Zustandsmenge S definiert werden. Diese Rahmen sind sozusagen die Momentaufnahme
der zu beschreibenden Welt.
Wenn beispielsweise die Welt eines Systems betrachtet werden soll, werden
Attribute definiert, welche ausreichend sind, die gewünschten Eigenschaften auszudrücken.
Diese Attribute werden sooft verfeinert, bis eine Menge von binären
Entscheidungen (Label, welche wahr oder falsch sein können) vorliegt. Diese sogenannte
Labelmenge reicht aus, um die gesamte Welt des Modells für einen
bestimmten Augenblick zu beschreiben.
Wenn diese Labelmenge nun n Elemente besitzt, dann ist die theoretische
Anzahl von daraus erstellbaren Zuständen 2 n . Dies ist auch exakt die Menge der
Zustände, welche die zugehörige Kripke-Struktur besitzt. All diese Zustände sind
bei einer Kripke-Struktur immer vorhanden, da sie theoretisch möglich wären.
Allerdings werden oft nicht erreichbare Zustände weggelassen.
Die Transitionsrelation (auch Übergangsrelation genannt) beschreibt hierbei,
welche Zustände von welchen aus erreichbar sind. Hierbei spielt Kausalität
keine Rolle, d.h. es wird nicht betrachtet warum ein gewisser Zustand von einem
bestimmten Anderen aus erreichbar ist, sondern nur ob er es ist. Bei einer
Kripke-Struktur handelt es sich also um einen Erreichbarkeitsgraphen.
Zur Veranschaulichung soll an dieser Stelle als Beispiel ein endlicher Automat
in eine Kripke-Struktur überführt werden. Dies geschieht durch ”Ausrollen“ der
Zustände mit den zugehörigen Transistionen. Überführt werden soll also der
folgende Automat:
a/b¯c
x 1 x 3
a/b¯c
x 1¯x 3
ā/¯bc
¯x 1 x 2 x
3
ā/¯bc
∗/¯b¯c
Abbildung 1. Endlicher Automat
Dieser Automat stellt eine Art Sicherung dar. Der Automat empfängt das
positive Signal a und meldet den Erfolg durch b. Sollte das fehlerhafte Signal
ā erkannt werden, dann wird die Fehlermeldung c gesendet und der Automat
stoppt (bzw. befindet sich in einer Endlosschleife, in welcher keine weitere Reaktion
stattfindet).

194
Beschrieben sind interne Zustände, bedingte Transitionen und Ausgaben.
Programmtechnisch gesehen könnte der Automat als Instanz einer Klasse mit
Attributen x i und Methoden mit Eingaben a und Ausgaben b, c interpretiert
werden.
Die Markierung im Initialzustand bedeutet hier, dass sowohl x 1 als auch x 3
true ist. Über x 2 wird hierbei keine Aussage gemacht, kann also als beliebig angenommen
werden. Vor der Überführung des Automaten in eine Kripke-Struktur,
soll diese zunächst betrachtet werden:
x 1 x 3 ab x 1 x 2 x 3 ab x 1 x 3 c x 1 x 2 x 3 c
x 2 x 3
x 2x 3 a
x
1 ab x 1 x 2 ab
x 1 c x 1 x 2 c
Abbildung 2. Zum Automaten zugehörige Kripke-Struktur
In der Kripke-Struktur werden die ausgehenden Kanten eines Zustandes mit
in den Zustand (genauer: in die Belabelung dessen) übernommen. Im Falle des
Initialzustandes gibt es aufgrund der Undefiniertheit von x 2 zwei mögliche Startzustände:
x 1 und x 3 sind wahr, x 2 ist entweder wahr oder falsch. Weiterhin fließen
die im Startzustand möglichen Eingaben in den Zustand der Kripke-Struktur mit
hinein. Der Input ist entweder a oder ā. Somit gibt es wiederum für jeden dieser
zwei Startzustände zwei Möglichkeiten.
Dies ist der Grund, warum in der Kripke-Struktur aus dem einen Startzustand
des Automaten Vier geworden sind. Nach dem gleichen Schema werden
auch die anderen beiden Zustände des Automaten in Zustände der Kripke-
Struktur überführt. Die Transitionen ergeben sich auf ähnliche Art und Weise.
Als Beispiel: Aus dem Initialzustand gelangt der Automat bei Eingabe a in den
Zustand 2 (rechts oben, der Untere sei Zustand 3). In der Kripke-Struktur geht
somit je eine Transition von jedem Initialzustand, in welchem a gilt, zu jedem
Zustand, der einen Zustand von Zustand 2 des Automaten beschreibt (dies sind
die vier unteren Zustände in der Kripke-Struktur).
Hierbei wird ersichtlich, dass eine Kripke-Struktur – wie bereits erwähnt –
keine Kausalität beschreibt. Es ist der Struktur nicht mehr zu entnehmen, wann
und warum welche Transition ausgeführt wird, sondern nur, welche prinzipiell
möglich sind. Es ist sogar vielmehr nicht einmal mehr möglich, zwischen Attributen,
Eingaben und Ausgaben zu unterscheiden.
Die Struktur selbst ist maximal, d.h. alle möglichen Zustände werden beschrieben.
Es existieren die Attribute, Eingaben und Ausgaben, was insgesamt
6 Labels ergibt. Damit hat die Kripke-Struktur exakt 2 6 = 64 Zustände. D.h.
auch x 1 x 2 x 3 abc existiert in der Kripke-Struktur, ist allerdings nicht erreichbar

195
und deshalb in der Grafik nicht dargestellt. Damit handelt es sich um eine minimale
Kripke-Struktur. Es ist nicht möglich, zu dem selben Automaten eine andere
korrekte und minimale Kripke-Struktur zu erstellen, wohl aber eine andere
Nicht–minimale. Von nicht erreichbaren Zuständen dürfen beliebig ausgehende
Kanten zu anderen (auch erreichbaren) Zuständen erstellt werden, ohne dass
sich dabei die Semantik ändert. (Dies wird zu Optimierungszwecken auch getan
– beispielsweise um eine BDD-Darstellung der Struktur zu minimieren.)
3.2 Substitution
Eine wichtige Operation bei der symbolischen Modellprüfung ist die Substitution.
Aus diesem Grund sollen hier einige fundamentale Dinge beschrieben werden.
Geltungsbereich einer Variablen
Folgende Formeln sollen betrachtet werden:
(∀x.P (x)) ∨ (∀x.Q(x))
∀x.(P (x) ∨ Q(x))
Auf den ersten Blick könnte man meinen, die beiden Formeln seien semantisch
identisch. Den gravierenden Unterschied kann man sich jedoch schnell klar machen,
wenn man P (x) für ”x ist eine gerade Zahl“ und Q(x) für ”x ist eine
ungerade Zahl“ einsetzt. Wenn jetzt x ∈ N gilt, dann hieße die linke Formel
”Alle natürlichen Zahlen sind gerade, oder alle natürlichen Zahlen sind ungerade.“,
während die Rechte ”Alle natürlichen Zahlen sind gerade, bzw. ungerade.“
besagt.
Der Unterschied liegt hier an den Geltungsbereichen für x. Gut ersichtlich
werden diese beim Betrachten der Syntaxbäume:
∨
∀x
∀x
∀x
∨
P (x)
Q(x)
P (x)
Q(x)
Abbildung 3. Syntaxbäume zu den obigen Formeln
Die Geltungs– bzw. Bindungsbereiche der Quantoren sind genau deren Unterbäume
im Syntaxgraphen. Während im rechten Fall jedes x nur die Oder-
Verknüpfung erfüllen muss, wird hingegen im linken Fall verlangt, dass mindestens
jedes xP erfüllt und/oder jedes xQ.

196
Substitution
Da Variablen für beliebige konkrete Werte stehen ist es sinnvoll, diese durch
Terme substituieren zu können. Zum Beispiel bedeutet
x ∨ y[a ∨ b/y]
”Ersetze im Term x ∨ y das y durch a ∨ b“. Also ergibt sich:
x ∨ a ∨ b
Wenn nun aber beispielsweise in der Aussage
∃x.x = y
folgende Substitution durchgeführt werden soll, entsteht das Ergebnis
∃x.x = y[x +1/y] ⇐⇒ ∃x.x = x +1
welches für jedes x ∈ R offensichtlich falsch ist. Der Grund des aus einer korrekten
Aussage hervorgegangenen Widerspruchs liegt im Geltungsbereich des
∃–Quantors. Bei dieser Substitution ist das ”neue“ x, welches im Term x + 1 eine
freie (da nicht gebunden) Variable war, in den Bindungsbereich des Quantors
gelangt und wurde von diesem gebunden.
Bei einer zulässigen Substitution darf daher eine freie Variable nicht gebunden
werden. Sollte also ein solcher Konflikt auftreten, dann muss die (noch)
freie Variable durch eine, noch nicht im zu substituierenden Term vorhandene,
Variable ersetzt werden:
∃x.x = y[x +1/y] ⇐⇒ ∃x.x = y[t +1/y] ⇐⇒ ∃x.x = t +1
Dies ist eine gültige Substitution und ändert in diesem Fall auch nichts an der
Erfüllbarkeit der Formel. Man sagt daher:
Eine Substitution A[t/x] ist zulässig gdw. t ist frei für x in A.
3.3 µ–Kalkül
Das µ–Kalkül ist eine Möglichkeit zur Beschreibung von Bedingungen, bzw. Anforderungen
auf Zuständen. Es kann sowohl modal als auch temporal betrachtet
werden – abhängig vom System, dessen Beschreibung/Modell näher untersucht
werden soll.
Es geht somit prinzipiell um die Betrachtung von Abläufen – ungeachtet
dessen, ob diese zeitlich oder modal (〈lat.〉 die Art und Weise bezeichnend) beschrieben
werden. Hierbei sind natürlich Vorgänger und Nachfolger von essentieller
Bedeutung. Definiert werden diese Vorgänger- und Nachfolgermengen wie
folgt:
Definition: Gegeben sei eine Relation R⊆S 1 ×S 2 . Die existenziellen
und universellen [Ur-]Bilder der Mengen Q 1 ⊆S 1 und Q 2 ⊆S 2 werden

197
definiert durch:
– pre R ∃ (Q 2):={s 1 ∈S 1 |∃s 2 .(s 1 ,s 2 ) ∈R∧s 2 ∈S 2 }
– pre R ∀ (Q 2):={s 1 ∈S 1 |∀s 2 .(s 1 ,s 2 ) ∈R→s 2 ∈S 2 }
– suc R ∃ (Q 1):={s 2 ∈S 1 |∃s 1 .(s 1 ,s 2 ) ∈R∧s 1 ∈S 1 }
– suc R ∀ (Q 1):={s 2 ∈S 1 |∀s 1 .(s 1 ,s 2 ) ∈R→s 1 ∈S 1 }
In Worten: Für eine Kripke-Struktur beschreibt pre R ∃ (Q 2) die sog. existenziellen
Vorgänger der Menge Q 2 . Dies ist die Menge der Zustände, von denen aus mit
nur einem Schritt ein Zustand aus Q 2 erreicht werden kann. Es existiert also
(mindestens) ein Nachfolgezustand aus Q 2 für jeden Zustand aus pre R ∃ (Q 2).
pre R ∀ (Q 2) bezeichnet die sog. universellen Vorgänger der Menge Q 2 .
Hierbei ist die Menge der Zustände, von denen aus mit nur einem Schritt
auf jeden Fall ein Zustand aus der Menge Q 2 erreicht wird, gemeint. Die Definition
der Nachfolgermengen vollzieht sich analog. Existenzielle Nachfolger sind
Zustände, bei denen mindestens ein Vorgänger in Q 1 liegt. Bei der universellen
Nachfolgermenge müssen alle Vorgängerzustände in Q 1 liegen.
Binäre Zustandsdiagramme (BDDs)
Binäre Zustandsdiagramme (engl. Binary Decision Diagram) dienen zur kompakten
Verwaltung von aussagenlogischen Formeln. Mit ”kompakt“ sind nicht die
ausgefalteten BDDs gemeint, sondern reduzierte, geordnete BDDs (ROBDDs).
BDDs sind anschaulich gesprochen Graphen, welche Knoten haben, die Literale
repräsentieren, jeweils eine 0- und eine 1-Kante haben und in den Blättern 0
bzw. 1 als Knotenwert besitzen. Als Beispiel die Darstellung der Formel a ∧ b ∨ c
als einfacher BDD ohne Optimierungen in voller Größe:
a
b
b
c
c
c
c
0 1 0 1 0 1 1 1
Abbildung 4. a ∧ b ∨ c als Binary Decision Diagram

198
Auch Zustandsmengen (bzw. Kripke-Strukturen) lassen sich als aussagenlogische
Formeln, und damit auch als [RO]BDDs darstellen. Zur Veranschaulichung
diene folgendes kleines Beispiel:
a
b
c ac
⎛
⎞
a ∧¬b ∧¬c ∧¬a ′ ∧¬b ′ ∧ c ′ ∨
a ∧¬b ∧¬c ∧ a ′ ∧¬b ′ ∧ c ′ ∨
R =
⎜ a ∧¬b ∧ c ∧¬a ′ ∧¬b ′ ∧ c ′ ∨
⎟
⎝ ¬a ∧ b ∧¬c ∧ a ′ ∧¬b ′ ∧ c ′ ∨ ⎠
¬a ∧¬b ∧ c ∧ a ′ ∧¬b ′ ∧ c ′
Abbildung 5. Kripke-Struktur und zugehörige aussagenlogische Formel
Ein Zustand wird (ähnlich wie bei der Überführung eines Automaten in eine
Kripke-Struktur) durch seine ausgehenden Kanten beschrieben. Hierbei werden
die Labels des Zielzustandes besonders gekennzeichnet, damit diese nicht fälschlicherweise
wegreduziert werden. In diesem Beispiel sind Zielzustandsmarkierungen
mit einem ′ gekennzeichnet.
R ist hier komplett ”ausgeschrieben“, um das Verfahren zu verdeutlichen. In
der aussagenlogischen Formel sind also viele veroderte Transitionen, welche aus
der Verundung aller Quell- und Ziellabel bestehen.
Rechentechnisch bedeutet dies, dass die Transitionen, die vom Zustand X
(z.B. a ∧ b ∧¬c) ausgehen, einfach durch
Q = R∧X
gefunden werden können. Auf den Vorgang des Reduzierens soll allerdings an
dieser Stelle nicht weiter eingegangen werden, da es genügend Arbeiten gibt, die
dieses Thema sehr detailliert behandeln. Die eigentlichen Berechnungen, die hier
verwendet werden, sind unabhängig davon, ob es sich um einen klassischen BDD
oder einen ROBDD handelt. Einzig die Ausführungsgeschwindigkeit würde von
Letzterem profitieren.
Neben der Berechnung von Transitionen eines Zustandes lassen sich mit diesen
Strukturen auch die Vorgänger- und Nachfolgermengen berechnen. Dazu sei
die Schreibweise für eine Substitution wie folgt vereinbart:
[Φ] a b
Dies bedeutet: Alle Vorkommen von b in Φ werden durch a ersetzt.
Vorgängerberechnung
Sei Φ Q eine aussagenlogische Formel, welche die Zustandsmenge Q repräsentiert.
Zur Vereinfachung soll Q nur einen einzigen Zustand aus Abbildung 5 beschrei-

199
ben. Sei dies Zustand c, also:
Φ Q := ¬a ∧¬b ∧ c
Errechnet wird die Menge der existenziellen Vorgänger von Q durch:
pre R ∃ (Q) :
∃x ′ 1, ..., x ′ n.R(x 1 , ..., x n ,x ′ 1, ..., x ′ n) ∧ [Φ Q ] x′ 1 ,...,x′ n
x 1,...,x n
Am jetzigen Beispiel berechnet sich das folgendermaßen:
∃x ′ 1, ..., x ′ n. [Φ Q ] x′ 1 ,...,x′ n
x 1,...,x n
Durch die Auswahl eines einzigen Zustands ist diese Berechnung offensichtlich.
x ′ i muss dem Vorkommen von x i entsprechen. Wenn dies zutrifft hat man im
Fall, dass Φ Q nur einen einzigen Zustand repräsentiert, sofort eine erfüllende
Belegung.
[¬a ∧¬b ∧ c] ¬a′ ,¬b ′ ,c ′
a,b,c
⇐⇒ ¬¬a ′ ∧¬¬b ′ ∧ c ′ ⇐⇒ a ′ ∧ b ′ ∧ c ′
ist sofort erfüllt, wenn man alle Literale wahr setzt.
⎛
⎞
a ∧¬b ∧¬c ∧ a ′ ∧ b ′ ∧ c ′ ∨
a ∧¬b ∧¬c ∧¬a ′ ∧ b ′ ∧ c ′ ∨
pre R ∃ (Q) =
⎜ a ∧¬b ∧ c ∧ a ′ ∧ b ′ ∧ c ′ ∨
⎟
⎝ ¬a ∧ b ∧¬c ∧¬a ′ ∧ b ′ ∧ c ′ ∨ ⎠ ∧ [¬a ∧¬b ∧ ,¬b ′ ,c ′
c]¬a′ a,b,c
} {{ }
¬a ∧¬b ∧ c ∧¬a ′ ∧ b ′ ∧ c ′ (a ′ ∧b ′ ∧c ′ )
( )
a ∧¬b ∧¬c∨
=
a ∧¬b ∧ c
} {{ }
(∗)
(∗) bezeichnet die gesuchte Menge. Dies ist die aussagenlogische Formel, welche
alle gesuchten Zustände von pre R ∃
(Q) beschreibt. Da es sich, wie gesagt,
wiederum um eine aussagenlogische Formel handelt, kann auch diese Menge als
[RO]BDD dargestellt werden. Da die BDD-Pakete inzwischen auf sehr effizienten
Algorithmen beruhen, lassen sich Berechnungen auf diesen Datenstrukturen
bemerkenswert gut durchführen.
Die Nachfolgerberechnung wird ähnlich vollzogen. Die Berechnungsvorschrift
zur Ermittlung der Nachfolgermenge von Q lautet:
suc R ∃ (Q) : ∃x 1 , ..., x n . [R(x 1 , ..., x n ,x ′ 1, ..., x ′ n) ∧ Φ Q ] x1,...,xn
x ′ 1 ,...,x′ n
Wenn es sich bei Q allerdings nicht um die Repräsentation nur eines Zustandes
handelt, wird die Berechnung einer erfüllenden Belegung für den ∃–Quantor
etwas schwerer.
Prinzipiell werden zur Quantifizierung von ROBDDs folgende zwei Eigenschaften
benutzt (x ist eine Variable, ϕ eine Formel):

200
∃x.ϕ =[ϕ] 1 x ∨ [ϕ]0 x
∀x.ϕ =[ϕ] 1 x ∧ [ϕ]0 x
[ϕ] 1 x und [ϕ]0 x
werden auch als positiver und negativer Kofaktor von ϕ und x
bezeichnet.
Bei der Quantifizierung über einer Menge E von Variablen kann E wieder als
ROBDD repräsentiert werden (als Verundung der einzelnen Zustände). Daraus
resultiert der Algorithmus exists(e, r), welcher als Eingabe den E repräsentierenden
ROBDD und den ”eigentlichen“ ROBDD, welcher die zu quantifizierende
Formel darstellt, erhält.
Die Ausgabe ist ein BddNode, der die erfüllende Belegung (falls diese existiert)
beschreibt. Der Algorithmus soll an dieser Stelle jedoch nicht näher erläutert
werden. Für nähere Informationen sei hiermit auf [VRS03] verwiesen.
Das Finden dieser erfüllenden Belegung kann jedoch signifikant durch relationale
Produktbildung mit einem ROBDD–Durchlauf optimiert werden. Ein
für diese Operation angegebener Algorithmus in Pseudo-Code stammt aus der
Vorlesung [VRS03]:
function RelProd(BddNode e, r, q)
int m; BddNode h, l;
if r.isLeaf(0) ∨ q.isLeaf(0) then return Leaf(0);
elseif r.isLeaf(1) then return exists(e, q);
elseif q.isLeaf(1) then return exists(e, r);
else
m = min{r.label, q.label};
(r 0 ,r 1 ) := cf(r, m);
(q 0 ,q 1 ) := cf(q, m);
h := RelProd(e, r 1 ,q 1 );
l := RelProd(e, r 0 ,q 0 );
if m ∈ e then return apply(∨,h,l);
else return new BddNode(m, h, l);
endif;
endif;
end function
Abbildung 6. Algorithmus zur Berechnung des relationalen Produkts
Ein BddNode sei hier definiert durch BddNode(Label, neg. Unterbaum, pos.
Unterbaum). Die Funktion cf(BddNode x, int i) liefere hierbei das Paar mit den
Kofaktoren der Knoten mit dem Label i. Der Algorithmus apply(f, x, y) liefere

201
den BDD (bzw. dessen Wurzel), welcher die Verknüpfung von BddNode x und
BddNode y mit der boolschen Operation f repräsentiert.
Wenn R und Φ Q nun durch die ROBDDs r und q repräsentiert werden und
ROBDD e die Menge E = {x 1 , ..., x n } beschreibt, dann berechnet
RelProd(e, r, q) = ROBDD (∃x 1 , ..., x n .R∧Φ Q ) .
Jetzt fehlt lediglich die Substitution der Variablen x ′ i durch x i (bzw. umgekehrt
für q bei der Vorgängerberechnung). Im praktischen Einsatz wird dies jedoch
meist durch eine verschränkte Variablenordnung umgangen.
D.h. x ′ 1 ≺ x 1 ≺ x ′ 2 ≺ x 2 ≺ ... ≺ x ′ n ≺ x n , somit müssen im Algorithmus
lediglich angepasste Indizes verwendet werden (z.B. i ↦→ 2i + 1 um alle x ′ i zu
adressieren).
Durch die effizienten BDD–Algorithmen existiert damit eine gute Möglichkeit
zur Berechnung der Vorgänger- und Nachfolgermengen. Diese Mengen werden
bei der Auswertung des µ–Kalküls benötigt, dessen Semantik folgendermaßen
definiert ist:
Zu einer Kripke-Struktur K und einer Formel ϕ ∈L µ definiert man:
– x K := {s ∈S|x ∈L(s)}
– ¬ϕ K := S\ϕ K
– ϕ ∧ ψ K := ϕ K ∩ ψ K
– ϕ ∨ ψ K := ϕ K ∪ ψ K
– ♦ϕ K := pre R ∃ (ϕ K) und □ϕ K := pre R ∀ (ϕ K)
– ← ♦ ϕ K := suc R ∃ (ϕ K) und ← □ϕ K := suc R ∀ (ϕ K)
– µx.ϕ K und νx.ϕ K sind kleinster und größter Fixpunkt
x K bezeichnet die Menge der Zustände, welche ein x in der Labelmenge haben;
d.h. x ist in diesem Zustand wahr. Die Negation einer µ–Kalkülformel wird
ausgewertet, indem aus der gesamten Zustandsmenge diejenigen entfernt werden,
in denen die Formel gilt. Die Und- bzw. Oder-Verknüpfungen werden durch
Schnittmengen respektive Vereinigungen der Teilformelmengen gebildet.
← ♦ ϕ K ist definiert als die Menge der existenziellen Vorgänger der Zustände,
in denen ϕ gilt. Auf ein temporales Zustandssystem ausgelegt bedeuted dies, dass
das die Menge der Zustände ist, welche unmittelbar in einen Zustand gelangen
können, in welchem ϕ erfüllt ist. □ϕ K , ← ♦ ϕ K , ← □ϕ K verhalten sich analog.
Die eigentliche Stärke erlangt das µ–Kalkül erst durch die Fixpunktoperatoren.
Ein Fixpunkt wird im mathematischen Sinn durch die Eigenschaft
f(x) =x
definiert. Bei der Fixpunktberechnung im µ–Kalkül handelt es sich bei x allerdings
meist um eine Zustandsmenge. Kleinster und größter Fixpunkt bezeichnen

202
somit die kleinste, bzw. größte Menge, die diese Eigenschaft erfüllt. Diese Zustandsmengen
lassen sich aufgrund von Monotonie–Eigenschaften
Es gilt:
– Q 2 ⊆ Q ′ 2 impliziert pre R ∗ (Q 2 ) ⊆ pre R ∗ (Q ′ 2)
– Q 1 ⊆ Q ′ 1 impliziert suc R ∗ (Q 1 ) ⊆ suc R ∗ (Q ′ 1)
iterativ berechnen. D.h. die Berechnung nähert sich mit jeder Iteration dem
Fixpunkt an, bis dieser letztendlich erreicht wird. Hier einige Beispiele dazu,
was mit µ–Kalkül–Formeln ausgedrückt/beschrieben werden kann:
– Sicherheitseigenschaften: Gibt es einen Pfad, auf dem immer ϕ gilt?
νx.ϕ ∧ ♦x K
– Lebendigkeitseigenschaften: Gibt es einen Pfad, auf dem mindestens einmal
ϕ gilt?
µx.ϕ ∨ ♦x K
– Persistenzeigenschaften: Gibt es einen Pfad, auf dem ab einem Zeitpunkt
immer ϕ gilt?
µy.[νx.ϕ ∧ ♦x] ∨ ♦y K
– Fairnesseigenschaften: Gibt es einen Pfad, auf dem unendlich oft ϕ gilt?
νy.♦[µx.(y ∧ ϕ) ∨ ♦x] K
3.4 Unendliche Zustandsräume
Systeme mit unendlichen Zustandsräumen treten in den verschiedensten Formen
auf. Besonders in der Welt der reaktiven Systeme sind diese sehr oft anzutreffen.
Nach [ScSc04] gibt es unter anderem folgende fünf Quellen für Unendlichkeit:
1. Datenstrukturen über unendliche Definitionsbereiche (z.B. N)
2. Kontrollstrukturen (z.B. unbegrenzter Call-Stack, dynamische Erstellung
von Prozessen)
3. asynchrone Kommunikation / unbegrenzte Queues (FIFOs) für Prozess-
Kommunikation
4. Parametrisierung (unendliche Familien von Systemen)
5. Echtzeit-Schranken (basierend auf konkreten Zeitangaben)

203
Sobald zum Beispiel Zustandsänderungen asynchron vonstatten gehen, lässt
sich das System nicht mehr als endliche Menge von zeitbasierten Zuständen
darstellen. Dies ist nicht möglich, da das Intervall zwischen zwei Zeitpunkten
schließlich beliebig hoch aufgelöst werden kann, also zwischen zwei beliebig dicht
aufeinander folgenden Zeitpunkten unendlich viele Zeitzustände dazwischen liegen.
Unter anderem werden sogenannte erweiterte endliche Automaten, wie in
[KuKu98] beschrieben, regelmäßig in frühen Phasen von Design-Flows verwendet.
Diese Automaten gehören zur mächtigsten Klasse von Maschinenmodellen
(touring-complete) und führen auf unendliche Zustandsräume.
Ein weiteres Problem bei unendlichen Zustandsräumen besteht darin, dass
für die Modellprüfung keine Garantie auf Terminierung gegeben werden kann.
Daher versucht man, als zu prüfenden Zustandsraum sich auf die endlichen
Kontrollstrukturen zu beschränken, anstatt auf unendlichen Datenstrukturen
zu prüfen.
Allerdings unabhängig davon, ob es sich um endliche, oder unendliche Zustandsräume
handelt, wird bei Modellprüfung meist nur zwischen lokaler und
globaler unterschieden.
4 Modellprüfung
Bei Modellprüfung geht es um Verfahren, die bestimmte Aussagen auf gegebenen
Modellen auf Korrektheit/Gültigkeit untersuchen. Grundlage einer jeden
Verifikation ist zunächst ein mathematisches, bzw. theoretisches Modell des zu
prüfenden Systems.
Definition: Modellprüfung ist eine Technik zur Verifikation von in der
Informatik auftretenden Systemen. [ArBi97]
Dieses Modell muss natürlich die zu verifizierenden Eigenschaften in geeigneter
Weise genau genug beschreiben. Zusätzlich zum Modell wird außerdem
eine zu diesem passende Sprache benötigt, um die zu prüfenden Eigenschaften
beschreiben zu können.
Die Modellprüfung ist dann das Verfahren, welches mehr oder minder vollautomatisch
diese Eigenschaften überprüft. Abhängig vom Verfahren wird beim
Fehlschlagen der Prüfung auch ein Gegenbeispiel geliefert, was der Fehlersuche
natürlich sehr dienlich ist, bzw. überhaupt erst einen Ansatzpunkt für diese liefert.
Es gibt globale und lokale Modellprüfungsalgorithmen sowohl für endliche als
auch für unendliche Zustandsräume. Seit geraumer Zeit werden neue Möglichkeiten,
Zustandsräume effektiv zu beschreiben und zu verwalten, gesucht. Dies
führte zu unterschiedlichen symbolischen Repräsentationen, unter anderem zu:
– Prädikatenlogik
– [endliche] Automaten

204
– Kripke-Strukturen
– Presburger Arithmetrik [ScSc04]
– Binären Entscheidungsdiagrammen
Viele dieser Repräsentationen hielten in den sogenannten symbolischen Modellprüfungsverfahren
Einzug. Allerdings war es meistens die globale Modellprüfung,
in welcher diese neuen Darstellungsformen eingesetzt wurden. Lange
Zeit wurde die lokale Modellprüfung in diesem Bezug recht stiefmütterlich behandelt.
Dies lag aber vor allem daran, dass die theoretisch effizienteren lokalen Verfahren
in der Praxis dennoch nicht so leistungsfähig wie die Globalen waren, bzw.
auch heute noch größtenteils sind. In den letzten Jahren verstärken sich jedoch
die Bemühungen, auch lokale Modellprüfungsverfahren zu entwickeln, welche auf
diesen symbolischen Repräsentationen beruhen.
4.1 Globale Modellprüfung
Unter globaler Modellprüfung versteht man Verfahren, die auf der gesamten Zustandsmenge
operieren. D.h. für eine Anforderung ϕ wird der gesamte Zustandsraum
auf dessen Erfüllung geprüft. Als Ergebnis wird die Menge aller Zustände
geliefert, in welcher die Anforderung erfüllt wird.
Mit dieser Technik erhält man sofort einen vollständigen Überblick über die
Gültigkeit dieser Anforderung, da durch Kenntnis der Ergebnismenge T ⊆ S
auch alle Zustände bekannt sind, in denen die Anforderung nicht erfüllt ist
(nämlich F = S \ T ).
Seien hier nun wieder Kripke-Strukturen und µ–Kalkül–Formeln als Beschreibungsformen
des Zustandsraumes und der Anforderungen zugrunde gelegt. Dann
werden die gegebenen Anforderungen in Subformeln zerlegt und mit den zugehörigen
Zustandsmengen verknüpft. Als globaler Modellprüfer diene hier die
States–Funktion aus [VRS03]:

205
function States µ (Φ)
case Φ of
is var(Φ) : return {s|Φ ∈L(s)};
¬ϕ : return S\ States µ (ϕ);
ϕ ∧ ψ : return States µ (ϕ)∩ States µ (ψ);
ϕ ∨ ψ : return States µ (ϕ)∪ States µ (ψ);
♦ϕ : return pre R ∃ (States µ(ϕ));
□ϕ : return pre R ∀ (States µ(ϕ));
←
♦ ϕ : return suc
R
∃
(States µ (ϕ));
←
□ϕ : return suc
R
∀
(States µ (ϕ));
µx.ϕ : Q 1 := {};
repeat
Q 0 := Q 1 ;
L := L Q1
x ;
Q 1 := States µ (ϕ);
until Q 0 = Q 1 ;
return Q 0 ;
νx.ϕ : return S\ States µ (µx.¬[ϕ] ¬x
x );
end;
Abbildung 7. Globaler Modellprüfungsalgorithmus States
Im Falle, dass es sich bei Φ um eine Variable handelt, liefert der Algorithmus
alle Zustände, in denen diese Variable zur Markierung gehört. Da dies der
einfachste Fall einer Formel ist, kann daran schon erkannt werden, dass der Modellprüfer
in jedem Fall alle Zustände betrachtet.
Wenn Φ eine komplexere Formel darstellt, wird sie rekursiv in ihre Subformeln
zerlegt. Für diese werden dann die zugehörigen Zustandsmengen berechnet
(die weiter oben erwähnte Verknüpfung von Zustandsmengen zu Subformeln).
Auch dies geschieht durch weitere Zerlegung der Subformeln in weitere Subformeln,
bis diese letztlich nur noch je eine Variable repräsentieren.
Anschließend werden diese Teilmengen wieder entsprechend der Operatoren
zu einer Gesamtmenge verschmolzen, welche dann die Ergebnismenge darstellt.
Falls Fixpunktformeln auftreten, werden diese durch iterative Annäherung der
Fixpunktmengen bestimmt. Hierzu ein kleines Beispiel:
Folgender Zustandsraum sei gegeben:

206
s 0
a
s 3
s 2
ac b
s ab 1
s c 4
s d 5
Abbildung 8. Zustandsraum für Beispiel zur globalen Modellprüfung
Für diese Kripke-Struktur soll nun die Formel
µx.a ∨ ♦x K
ausgewertet werden. Gesucht ist also die Menge von Zuständen, in denen a gilt,
oder von denen aus ein Pfad existiert, auf welchem irgendwann einmal a gelten
kann. Nach der Rechenvorschrift
µx.ϕ : Q 1 := {};
repeat
Q 0 := Q 1 ;
L := L Q1
x ;
Q 1 := States µ (ϕ);
until Q 0 = Q 1 ;
return Q 0 ;
gilt also ϕ =(a ∨ ♦x). Dieses wird nach
ϕ ∨ ψ : returnStates µ (ϕ) ∪ States µ (ψ);
wiederum aufgeteilt. Damit ergibt sich folgender Rechenablauf für die erste Iteration:
[µx] Q 0 := Q 1 := ∅
Q 1 := States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{s|a ∈L(s)}
[♦] pre R ∃ (States µ(x)
} {{ } )
States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{s|a ∈L(s)} [♦] pre R ∃ (States µ(x))
Für diese Blatt-Werte ergibt sich somit:
[µx] Q 0 := Q 1 := ∅

207
Q 1 := States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{
{s 0,s 1,s 4}
}} {
{s|a ∈L(s)} [♦] pre R ∃ (States µ (x)
} {{ } )
States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{s|a ∈L(s)}
} {{ }
[♦] pre R ∃ (States µ(x))
{s 0,s 1,s 3}
Nach dieser ersten Iteration sieht der Ausgangszustand für die zweite nun folgendermaßen
aus:
[µx] Q 0 := Q 1 := {s 0 ,s 1 ,s 3 ,s 4 }
L := L Q1
x
Q 1 := States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{ }} {
{s|a ∈L(s)} [♦] pre R ∃ (States µ (x)
} {{ } )
States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{s|a ∈L(s)}
} {{ }
[♦] pre R ∃ (States µ(x))
Wenn auch diese zweite Iteration beendet ist, ergibt sich:
[µx] Q 0 := Q 1 := {s 0 ,s 1 ,s 3 ,s 4 }
L := L Q1
x
Q 1 := States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{
{s 0,s 1,s 3,s 4}
}} {
{s|a ∈L(s)} [♦] pre R ∃ (States µ (x)
} {{ } )
States µ (a ∨ ♦x)
[∨] States µ (a) ∪ States µ (♦x)
{s|a ∈L(s)}
} {{ }
{s 0,s 1,s 3,s 4}
[♦] pre R ∃ (States µ(x))
Wie zu erkennen ist, sind nach dieser Iteration die Mengen Q 1 und Q 0 ({s 0 ,s 1 ,s 3 ,s 4 })
identisch. Damit ist die Abbruchbedingung für die Fixpunktiteration erfüllt und
der Fixpunkt wurde gefunden. Bei genauerer Betrachtung von Abbildung 8 ist
auch ersichtlich, dass diese vier Zustände exakt die Zustände sind, von denen
aus mindestens ein Zustand, in dem a gilt, erreichbar ist.
4.2 Lokale Modellprüfung
An dem eben gezeigten Ablauf wird klar, dass es sich bei globaler Modellprüfung
um eine bottom–up Arbeitsweise handelt. Erst wird die Formel bis zu den atomaren
Einheiten (den Variablen) aufgespalten, danach werden – angefangen von

208
den Blättern (den zu den Variablen zugehörigen Zustandsmengen) – diese wieder,
im Syntaxbaum aufsteigend, zusammengefügt.
Bei lokaler Modellprüfung wird hingegen nach dem top–down–Prinzip vorgegangen.
Dies ist möglich, weil sich die grundlegende Anforderung an eine lokale
Modellprüfung von der an eine Globale unterscheidet. Anstatt der Frage nachzukommen,
in welchen Zuständen die gegebene Formel erfüllt ist, wird die Formel
auf einen bestimmten Zustand, bzw. eine bestimmte Zustandsmenge begrenzt.
Das heißt im Klartext, dass die lokale Modellprüfung die Frage
Wird die gegebene Formel ϕ in der gegebenen Zustandsmenge Z ⊆S
erfüllt?
beantwortet. Es muss jetzt also nicht mehr zwingend notwendig sein, alle Zustände
im Zustandsraum zu betrachten. Eventuell reicht auch eine echte Teilmenge aus,
um diese Frage zu beantworten.
Genau an dieser Stelle offenbart sich der Vorteil der lokalen Modellprüfung.
Da der Syntaxbaum top–down durchlaufen wird, kann es sein, dass komplette
Teilbäume überhaupt nicht zur Problemlösung betrachtet werden müssen (lazy
evaluation).
Ein weiterer Vorteil – neben der Zeitersparnis durch den geringeren Rechenaufwand
– ergibt sich bei Systemen mit unendlichen Zustandsräumen. Durch
die bedarfsmäßige Auswertung der Subformeln kann es sein, dass die unendliche
Menge von Zuständen auf eine ausreichende endliche Menge begrenzt wird.
Der für die Prüfung benötigte Syntaxbaum wird auch als ”Proof–Tree“ bezeichnet.
Dieser entsteht durch syntaxorientierte Dekompositionsregeln. Auch
hier sollen wieder Kripke-Strukturen und µ–Kalkül–Formeln für die grundlegende
Beschreibung dienen. Die Reduktionsregeln für lokale Modellprüfung von
µ–Kalkül–Formeln lauten:
s ⊢ Φ ϕ ∧ ψ
(1)
s ⊢ Φ ϕ s ⊢ Φ ψ ∧ (2) s ⊢ Φ ϕ ∨ ψ
s ⊢ Φ ϕ s ⊢ Φ ψ ∨
s ⊢ Φ □ϕ
(3)
s 1 ⊢ Φ ϕ...s n ⊢ Φ ϕ ∧ (4) s ⊢ Φ ♦ϕ
s 1 ⊢ Φ ϕ...s n ⊢ Φ ϕ ∨
← ←
s ⊢ Φ □ϕ
(5)
s ′ 1 ⊢ Φ ϕ...s ′ n ⊢ Φ ϕ ∧ (6) s ⊢ Φ ♦ ϕ
s ′ 1 ⊢ Φ ϕ...s ′ n ⊢ Φ ϕ ∨
(7) s ⊢ Φ µx.ϕ
s ⊢ Φ ϕ
s ⊢ Φ x
(9)
s ⊢ Φ D Φ (x)
(8) s ⊢ Φ νx.ϕ
s ⊢ Φ ϕ
Abbildung 9. Reduktionsregeln für lokale Modellprüfung im µ–Kalkül

209
D Φ (x) bezeichnet dabei die Subformel σx.ϕ von Φ bei der x gebunden wird. Zu
lesen sind die Regeln wie folgt:
s ⊢ Φ ϕ ∨ ψ
s ⊢ Φ ϕ s ⊢ Φ ψ ∨
bedeutet, dass in Zustand s in der Umgebung Φ (dazu später) geprüft werden
soll, ob ϕ ∨ ψ gilt. Dieser Knoten wird in die Teilbäume
– Prüfe, ob in Zustand s in der Umgebung Φϕgilt.
– Prüfe, ob in Zustand s in der Umgebung Φψgilt.
aufgespalten, welche im Originalknoten mit ODER (∨) verknüpft werden. An dieser
Stelle besteht zum Beispiel die Möglichkeit, dass nur ein Teilbaum ausgewertet
werden muss. Sollte der zuerst Ausgewertete bereits wahr als Rückgabewert
liefern, dann kann der andere Teilbaum dieses Ergebnis nicht mehr beeinflussen.
Gleiches gilt natürlich auch bei der UND–Verknüpfung – sollte ein Teilbaum
falsch zurückliefern, kann die Auswertung des Knotens abgebrochen werden, da
nur noch falsch als Ergebnis in Frage kommt.
Dies kann sich insbesondere bei den modalen Operatoren (♦, □, ← ♦ , ← □) sehr
effizienzsteigernd auswirken, da bei diesen Operatoren die Subformel für alle
direkten Nachfolger, bzw. Vorgänger ausgewertet werden muss. Anschaulich gesprochen:
Bei einem modalen Operator entstehen an diesem Knoten genausoviele
Äste, wie der aktuelle Zustand Nachfolger/Vorgänger hat und durch lazy evaluation
könnte es sein, dass schon die Auswertung des ersten Zweiges genügt,
um den Knoten abschließen zu können.
Als Beispiel diene wieder die Kripke-Struktur aus Abbildung 8. Diesmal soll
die Formel
νy.♦[µx.(y ∧ a) ∨ ♦x] K
geprüft werden, aber nicht auf allen Zuständen, sondern nur im Zustand s 0 . Die
Bedeutung der Formel lässt sich durch Lesen von innen nach außen erschließen:
µx.a ∨ ♦x: Existiert ein ausgehender Pfad, auf welchem irgendwann einmal a
gelten kann?
νy.♦z: Gilt z immer (größter Fixpunkt) in einem beliebigen direkten Nachfolgezustand?
Zusammen ergibt sich also: ”Gibt es einen Pfad, auf dem unendlich oft a vorkommt?“
Daraus ergibt sich nun folgendes Tableau:

210
0:(s 0 ,νy.♦[µx.(y ∧ a) ∨ ♦x]) ⊢
1:(s 0 , ♦[µx.(y ∧ a) ∨ ♦x]) ⊢
2:(s 1 , µx.(y ∧ a) ∨ ♦x) ⊢
:(s 3 , µx.(y ∧ a) ∨ ♦x) ⊢
3:(s 1 ,y∧ a ∨ ♦x) ⊢
4:(s 1 ,y∧ a) ⊢
:(s 1 , ♦x) ⊢
5:(s 1 ,y) ⊢
12 : (s 1 ,a) ⊢
6:(s 1 , ♦[µx.(y ∧ a) ∨ ♦x]) ⊢
7:(s 0 , µx.(y ∧ a) ∨ ♦x) ⊢ :(s 2 , µx.(y ∧ a) ∨ ♦x) ⊢
8:(s 0 , (y ∧ a) ∨ ♦x) ⊢
9:(s 0 ,y∧ a) ⊢
:(s 0 , ♦x) ⊢
10 : (s 0 ,y) ⊢ 11 : (s 0 ,a) ⊢
Abbildung 10. Proof–Tree für Beispiel zur lokalen Modellprüfung

211
Im Knoten 0 beginnt die Auswertung der Gesamtformel auf der gegebenen
Prüfmenge. Durch Anwendung von Regel 8 gelangt man zu Knoten 1. In diesem
Knoten ist der am schwächsten bindende Operator der ♦–Operator, daher
findet Regel 3 Anwendung. Es ergeben sich also (da der Zustand s 0 exakt zwei
unmittelbare Nachfolgezustände besitzt) zwei Äste. Der Rechte ist nur ”zur Erinnerung“
angedeutet, wird aber zunächst noch nicht betreten.
Die Verarbeitung erreicht zunächst den Knoten 2. Hier wird Regel 7 angewendet,
da es sich um einen kleinsten Fixpunkt handelt. Diese fortlaufende
Anwendung der Regeln zieht sich fort, bis zum Erreichen des Knotens 9, wo
nochmals Regel 2 verwendet wird. Jetzt befindet sich der Modellprüfer in Knoten
10, welcher denselben Inhalt hat, wie Knoten 1. (Genauer käme noch ein
weiterer Knoten unter Nr. 10, welcher durch Anwendung von Regel 9 entstanden
wäre und dann auch syntaktisch den Inhalt von Knoten 1 hätte.)
Aufgrund der Sichtbarkeitseigenschaften von Knoten 1 und Knoten 10 (liegen
in der gleichen Ebene), kann eine Schleife zu Knoten 1 gezogen werden, anstatt
dass der Fixpunkt erneut entrollt werden muss. Bei der Schleifenbildung gilt:
– Ist die Schleife ein größster Fixpunkt (νx), so wird wahr zurückgegeben.
– Ist die Schleife ein kleinster Fixpunkt (µx), so wird falsch zurückgegeben.
In diesem Fall ist der Rückgabewert also wahr und die Bearbeitung geht weiter
in Knoten 11. Dort ist die Frage, ob in s 0 a gilt, was der Fall ist. Deshalb ist
auch dieser Knoten wahr.
Aus 10 und 11 wahr ergibt sich, dass auch Knoten 9 wahr ist. Da Knoten
8 eine ODER–Verknüpfung aus den Teilbäumen ist, reicht der Wert wahr von
Knoten 9 aus, um ihn zu erfüllen. Der rechte Teilbaum muss also überhaupt
nicht mehr betrachtet werden. Diese bottom–up–Auswertung wird solange fortgeführt,
bis der Wurzelknoten erreicht, und dessen Wert ebenfalls bekannt ist.
Das endgültige Tableau ergibt sich dann zu:

212
0:(s 0 ,νy.♦[µx.(y ∧ a) ∨ ♦x]) ⊢ 1
1:(s 0 , ♦[µx.(y ∧ a) ∨ ♦x]) ⊢ 1
2:(s 1 , µx.(y ∧ a) ∨ ♦x) ⊢ 1
:(s 3 , µx.(y ∧ a) ∨ ♦x) ⊢
3:(s 1 ,y∧ a ∨ ♦x) ⊢ 1
4:(s 1 ,y∧ a) ⊢ 1
:(s 1 , ♦x) ⊢
5:(s 1 ,y) ⊢ 1
12 : (s 1 ,a) ⊢ 1
6:(s 1 , ♦[µx.(y ∧ a) ∨ ♦x]) ⊢ 1
7:(s 0 , µx.(y ∧ a) ∨ ♦x) ⊢ 1 :(s 2 , µx.(y ∧ a) ∨ ♦x) ⊢
8:(s 0 , (y ∧ a) ∨ ♦x) ⊢ 1
9:(s 0 ,y∧ a) ⊢ 1
:(s 0 , ♦x) ⊢
10 : (s 0 ,y) ⊢ 1 11 : (s 0 ,a) ⊢ 1
Abbildung 11. Proof–Tree für Beispiel zur lokalen Modellprüfung

213
Es konnten in diesem Beispiel also insgesamt vier Teilbäume, welche selbst
wiederum neue Teilbäume hätten hervorbringen können, von der Berechnung
ausgeschlossen werden. Weiterhin wurden die Zustände s 4 und s 5 überhaupt
nicht besucht.
Schleifenbildung und Rang
Wie im Proof–Tree bereits angesprochen, können Knoten mit gleichem Inhalt
verbunden werden, wenn sie sich in demselben Sichbarkeitsbereich befinden. Weiter
oben wurde bereits gesagt, dass beim wiederholten Erreichen eines Knoten
(s x , σx.ϕ) abhängig von der Fixpunktart 0 oder 1 zurückgegeben wird. Um zu
erklären, warum dies korrekt ist, seien folgende Mengen
iter 0 (σx.ϕ), iter 1 (σx.ϕ),...,iter n (σx.ϕ) für σ ∈{µ, ν}
die bei der Fixpunktiteration Auftretenden. Wenn es sich hierbei um einen kleinsten
Fixpunkt (σ = µ) handelt, gilt:
s ∈ µx.ϕ K ⇒∃n ∈ N.s ∈ iter n (µx.ϕ) K
In Worten: Sollte s in der Menge des Fixpunktes liegen, dann muss es eine
bestimmte Zahl n geben, die für die n–te Iteration steht, in welcher s sich in
der Menge befindet. Dies muss gelten, da bei der Iteration für einen kleinsten
Fixpunkt mit der leeren Menge begonnen wird.
Aufgrund der Monotonie der Fixpunktiteration muss es also ein kleinstes
n geben, welches diese Eigenschaft erfüllt (d.h. dieses n ist die Nummer der
Iteration, in welcher s in die Fixpunktmenge aufgenommen wird). Dies bietet
die Möglichkeit, jedem Zustand (bei einer fest gegebenen Fixpunktformel) einen
Wert – seinen Rang – zuzuweisen.
Dieser zum Zustand s i zugehörige Rang für die Formel σx.ϕ lässt sich somit
bestimmen durch:
{
0 ,s /∈ µx.ϕ K
rank(s i , µx.ϕ) :=
n ,∀x ∈ N.s ∈ iter x (µx.ϕ) → n ≤ x
{
0 ,s∈ νx.ϕ K
rank(s i , νx.ϕ) :=
n ,∀x ∈ N.s /∈ iter x (νx.ϕ) → n ≤ x
Dadurch ist es möglich, die Zustände in eine Ordnung zueinander zu setzen. Sie
werden ihrem Rang nach geordnet. Bei einem kleinsten Fixpunkt werden zum
Beispiel der Reihe nach Zustände vom Rang 1, dann Zustände vom Rang 2, usw.
hinzugefügt (bei einem größten Fixpunkt werden die Zustände dem Rang nach
aus der Menge entfernt).
Zustände, die in einem größten Fixpunkt liegen, haben damit den Rang 0.
Genauso wie Zustände, die nicht in einem kleinsten Fixpunkt liegen.

214
Eine sich daraus ergebende wichtige Eigenschaft ist:
Kleinste Fixpunkte entsprechen terminierender Rekursion (bzw. endlichen
Schleifen), während größte Fixpunkte unendlicher Rekursion (bzw.
unendlichen Schleifen) entsprechen.
BDD-basierte Lokale Modellprüfung
Da [RO]BDDs eine so effiziente wie kompakte Darstellung von Zustandsmengen
ermöglichen, stellt sich die Frage, ob nicht auch ein lokales Modellprüfungsverfahren
davon profitieren könnte. Bei globalen Verfahren werden BDDs schließlich
schon längere Zeit erfolgreich eingesetzt.
Zunächst möchte man die Standardfrage, ob eine Formel für einen bestimmten
Zustand gilt, erweitern auf eine Zustandsmenge. Es soll also nun geprüft
werden, ob die Formel für mehrere bestimmt Zustände gilt. Der erste Ansatz ist
natürlich, diese Zustandsmenge zunächst ebenfalls als BDD darzustellen. Dabei
stellt sich die Frage, ob dies durch Verundung der Label eines Zustandes und
dann durch Veroderung der Zustände geschehen soll, oder ob – wie auch bei der
Darstellung des Zustandsraumes – die Zustände durch ihre ausgehenden Kanten
beschrieben werden sollen.
Beschließen wir also, zunächst einen Zustand in dieser ”Arbeitsmenge“ ausschließlich
durch seine Belabelung zu repräsentieren. Jetzt soll auf der aus Abbildung
8 bekannten Kripke-Struktur (die jetzt als BDD repräsentiert sei) die
Formel
µx.a ∨ ♦x K
geprüft werden. (Dies ist dieselbe Formel, wie im Beispiel zur globalen Modellprüfung.)
Die Zustandsmenge, auf der die Formel ausgewertet werden soll, sei {s 1 ,s 4 }.
Zunächst erstellen wir intuitiv einen Proof-Tree für das Problem. Dieser sieht
folgendermaßen aus:

215
0:({s 1 ,s 4 }, µx.a ∨ ♦x) ⊢
1:({s 1 ,s 4 },a∨ ♦x) ⊢
2:({s 1 ,s 4 },a) ⊢ 0 3:({s 1 ,s 4 }, ♦x) ⊢
4:({s 0 ,s 2 ,s 3 }, µx.a ∨ ♦x) ⊢
5:({s 0 ,s 2 ,s 3 },a∨ ♦x) ⊢
6:({s 0 ,s 2 ,s 3 },a) ⊢ 0
7:({s 0 ,s 2 ,s 3 }, ♦x) ⊢
8:({s 1 ,s 3 ,s 4 ,s 5 }, µx.a ∨ ♦x) ⊢
9:({s 1 ,s 3 ,s 4 ,s 5 },a∨ ♦x) ⊢
10 : ({s 1 ,s 3 ,s 4 ,s 5 },a) ⊢ 0 11:({s 1 ,s 3 ,s 4 ,s 5 }, ♦x) ⊢
:({s 0 ,s 2 ,s 3 ,s 4 },x) ⊢
:({s 1 ,s 3 ,s 4 ,s 5 },x) ⊢
Abbildung 12. Proof–Tree für Beispiel zur lokalen Modellprüfung

216
In Knoten 1 kann der Baum wie gewöhnlich mit zwei Ästen fortgeführt werden.
Jeder Ast bekommt eine Kopie der Arbeitsmenge ({s 1 ,s 4 }) und die Auswertung
kommt zu Knoten 2. Wertet man hier die Frage, ob a gilt, durch UND–
Verknüpfen der Arbeitsmenge mit a aus, so besagt die Antwort lediglich, ob a
in mindestens einem Zustand der Arbeitsmenge erfüllt ist.
In Knoten 3 gilt es die unmittelbaren Nachfolger von {s 1 ,s 4 } zu bestimmen.
Eine einfache UND–Verknüpfung der Arbeitsmenge mit dem Zustandsraum führt
zu der Kantenmenge, welche aus den Zuständen s 1 und s 4 hinausführen. In
dieser aussagenlogischen Formel müssten dann alle x i entfallen und die x ′ i in x i
umbenannt werden. Damit hat man die gewünschte Nachfolgermenge.
Spätestens an diesem Punkt treten einige Probleme auf. Zum Beispiel ist
die Erkennung von Schleifen beim Ausrollen von Fixpunkten nicht mehr so einfach
zu bewerkstelligen, wie dies bei nur einem Zustand der Fall ist. Die erste
Frage ist überhaupt nach der grundsätzlichen Arbeitsweise eines lokalen Modellprüfers,
der auf mehreren Zuständen gleichzeitig arbeitet. Folgende Varianten
wären denkbar:
Sei M(s) ein lokaler Modellprüfer, welcher auf nur einem Zustand s arbeitet
und M ′ (S) ein Lokaler, welcher auf der Zustandsmenge S arbeitet.
– Der Modellprüfer M ′ arbeitet auf einer Menge {x 1 , ..., x n } mit folgendem
Resultat: ∧ i∈{1,...,n} M(x i)=M ′ ({x 1 , ..., x n })
Sagt also nur aus, ob die Formel in wirklich jedem Zustand gilt.
– M ′ ({x 1 , ..., x n }) liefert als Rückgabewert eine Menge T ⊆{x 1 , ..., x n }, wobei
die Formel für alle Zustände aus dieser Menge erfüllt ist.
Es ist also neben der Wahl der Funktionalität noch einiges mehr zu beachten.
Zum Beispiel in welcher Art und Weise die Arbeitsmenge nun repräsentiert
werden soll – als Transitionen, oder durch ihre Label?
5 Fazit
Es gibt viele unterschiedliche Ansätze und Anwendungsgebiete für Modellprüfungsalgorithmen.
Verfahren, welche die Verifikation durch symbolische Auswertung
von µ–Kalkül–Formeln durchführen, sind verhältnismäßig einfach zu erstellen.
Ein Nachteil der µ–Kalkül–Formeln ist die schwere Lesbarkeit. Einerseits ist
es noch gut möglich für kleinere Aussagen solche Formeln zu formulieren, allerdings
sind diese schon vom entgegengesetzten Standpunkt (Formel sehen und
Verstehen) recht schwer zugänglich.
Bei in der Praxis befindlichen Tools wird deshalb meist auf andere Logiken,
welche leichter verständlich sind, zurückgegriffen. Der Vorteil der µ–Kalkül–
Formeln ist die Möglichkeit zur Beschreibung von touring–vollständigen Problemen,
d.h. das µ–Kalkül gehört zur mächtigsten Sprachklasse überhaupt. Es
lassen sich viele Formalismen in das µ–Kalkül einbetten (z.B. Hoare–Logiken,
temporale Logiken, ω-Automaten, etc.). Aus diesem Grund, und aus der guten

217
maschinellen Verarbeitbarkeit, führen viele Programm die Eingaben in anderen
Logiken intern wieder auf µ–Kalkül–Formeln zurück, auf welchen dann die
eigentliche Auswertung/Berechnung stattfindet. Es gibt somit ein breites Anwendungsspektrum
für µ–Kalkül–basierte Modellprüfung.
[RO]BDD–basierte Modellprüfung könnte eine sehr gute Alternative zu bisherigen
symbolischen Modellprüfungsverfahren, die lokal arbeiten, darstellen.
Entscheidend für den Erfolg dieser Ansätze ist sicherlich die Möglichkeit und
der Aufwand der Weitergabe von Arbeitsmengen und bereits berechneten Ergebnissen
im Tableau. Während normale UND/ODER–Verzweigungen noch relativ
einfach zu bewerkstelligen sind, ist der Schwierigkeitsgrad bei der Implementierung
der Schleifenerkennung wesentlich höher. Sollte für diese Problematik ein
effektiver Ansatz gefunden werden, könnte dies als ein entscheidender Vorteil für
lokale Modellprüfung gegenüber Globaler herauskristallisieren.
6 Literatur
[HeAn94] Henrik Reif Anderson: On Model Checking Infinite–State Systems, Paper.
[VRS03] K. Schneider: Skript Verifikation reaktiver Systeme, aus dem Jahr 2003.
[Stir91] C. Stirling, D. Walker: Local model checking in the modal mu-calculus,
Paper aus dem Jahr 1991.
[ScSc04] T. Schuele, K. Schneider: Global vs. Local Model Checking of Infinite
State Systems, Paper aus dem Jahr 2004.
[Brya92] R. F. Bryant: Symbolic Boolean Manipulation with Ordered Binary
Decision Diagrams, Paper aus dem Jahr 1992.
[ArBi97] A. Biere: Effiziente Modellprüfung des µ-Kalküls mit binären Entschei–
dungsdiagrammen, Dissertation aus dem Jahr 1997.
[KuKu98] J. Kukula, T. Shiple, und A. Aziz.: Techniques for implicit state
enumeration of EFSMs., Paper aus dem Jahr 1998.
[LoIn03] M. Kegelmann: Skript Logik für Informatik, aus dem Jahr 2003,
TU-Darmstadt.
[ShSo03] N. Shankar, M. Sorea: Counterexample–Driven Model Checking,
CS-Lab. Menlo Park, CA, aus dem Jahr 2003.
[Yang99] B. Yang: Optimizing Model Checking Based on BDD Characterization,
Dissertation aus dem Jahr 1999.

218
Using Theorem Proving
to Verify Arithmetic Hardware
Jens Brandt
Fachbereich Informatik
Technische Universität Kaiserslautern
brandt@informatik.uni-kl.de
Abstract. Computer systems are becoming more and more complex,
and the task of making sure that they work correctly is getting increasingly
difficult. In the past, solely simulation was used to expose bugs.
Today’s hardware development processes usually include formal verification
to complement testing. But some problems are too complex for
traditional formal techniques in hardware verification – equivalence and
model checking – especially those with large regular structures found in
arithmetic circuits. Theorem provers are an alternative to reason about
arithmetic components by exploiting structure and hierarchy. After an
introduction to the HOL therom proving environment, some examples
are presented that illustrate the advantages of this method.
1 Introduction
As computer systems are becoming more and more complex, the task of making
sure that they work correctly is getting increasingly difficult. Besides that, the
consequences of failure are becoming more serious, too. Meanwhile, computer
systems are used in many safety-critical areas where errors cannot be tolerated.
Even in non safety-critical areas, e.g. the home user PC, hardware errors can
cause an expensive recall process: Intel lost approximately 450 million dollars
ten years ago in 1994 due to the well-known Pentium bug (causing potentially
wrong results of floating-point division).
In the past, solely simulation and testing were used to expose bugs. Today’s
hardware development processes usually includes formal verification to complement
testing. Various methods have been researched and applied in industry,
including equivalence checking, model checking and theorem proving. Equivalence
and model checking have already proven to be adequate for automatically
verifying a variety of large-style industrial designs. But, for equivalence or model
checking, some problems are too complex, especially those related to arithmetic
circuits. The methods can hardly exploit the regular structures of most arithmetic
components. Even worse, BDD representations of some components like
multipliers have got an exponential size, making it (almost) impossible to verify
real-world problems. Theorem provers can be used in these cases, because they
(or their users) are aware of the structure and hierarchy, making it possible to
decompose the proof obligations. Moreover, correctness proofs may depend on

219
many classical mathematical theorems and therefore require a certain body of
mathematical concepts. Thus, there is a need for semi-automated theorem proving
systems that allows the statement and verification of correctness properties
at higher levels of abstraction.
Theorem proving has shown to be a powerful method in this area. But it
is not the magic bullet: Users must spend a lot of time to guide the prove
process. Automation of this work is still a complex task with a lot of work to
be done. Even reasoning about finite state machine logic is tedious in a theorem
proving environments, since theorem provers are not good at reasoning about
large amounts of random logic.
To combine the advantages of the various formal methods, various research
groups (both at universities and in industry) work on a tight integration between
semi-automated theorem proving and other property verification tools.
This approach seems to be the most promising to push back the boundaries on
the today’s application of formal methods. Hardware verification is the largest
industrial application of automated theorem proving: AMD, IBM, and Intel are
among the companies that employ automated theorem proving technology for
verification.
The rest of this article is organised as follows: Section 2 introduces the HOL
system and its foundations. In section 3, three examples are presented: The first
one is a simple parity checker demonstrates basic techniques to verify hardware
components with a theorem proover. The second one shows the proof of a basic
arithmetic algorithm used in hardware designs, the binary greatest common
divisor algorithm. The last example illustrates the definition of new types, a
basic concept of extending and building new theories. In Section 4 finally, some
conclusions are drawn.
2 The HOL System
2.1 Overview
HOL4 is the lastest version of the HOL automated proof system for higher order
logic. It provides an environment with an expressive notation for writing system
specifications and powerful facilities for creating formal proofs of properties of
specifications. It features built-in decision procedures that automate some lowlevel
details of proofs. But one of its most important properties is its rigorous
and well-understood theoretical basis that allows users to extend the system
without compromising security (due to Robin Milner’s LCF approach). The HOL
system is built on top of Moscow ML, a light-weight implementation of the strict
functional language of Standard ML (SML). It has been used in many areas,
including the definition of HDL semantics (e.g. VHDL, Verilog), hardware design
and verification, reasoning about security, reasoning about real-time systems and
software verification.
The HOL system comes with an extensive library containing hundreds of predefined
types, functions, tactics and proved theorems. For verifying arithmetic

220
properties, there is e.g. a theory of bit vector machine arithmetic. It defines a lot
of the integer operations found in computer architectures, including addition,
multiplication, two’s complement and rotation. Moreover, the HOL system allows
the user to access external programs within the HOL system by an oracle
mechanism. In this way, SAT (e.g. SATO, GRASP and ZCHAFF) and BDD
engines can be used in proofs.
The HOL system is well documented[4, 6, 3]. After having learned some HOL
basics and got used to the system (which takes some weeks), the documentation
provides a lot of useful information for further work. A lot of material in this
article has been borrowed from there.
2.2 Foundations
The following paragraphs present the logic supported by the HOL system. Introducing
only the some basic concepts, they are a summary of the HOL description
which presents the logic extensively.
Types The HOL logic is based on Church’s simple theory of types[2]. It contains
syntactic categories of types and terms whose elements denote respectively certain
sets and elements of sets. These are taken from a fixed set of sets U, the
universe, that has the following properties.
– Inhab: Each element of U is a non-empty set
– Sub: IfX ∈U and ¬Y ⊆ X, thenY ∈ U
– Prod: IfX ∈Uand Y ∈U,thenX × Y ∈U. X × Y is the cartesian product,
a set that consists of ordered pairs (x, y) withx ∈ X and y ∈ Y
– Pow: IfX ∈U,thenthepowersetP(X) ={Y : Y ⊆ X} is also in U
– Infty: U contains a distinguished infinite set I.
– Choice Thereisadistinguishedelementch ∈ Π X∈U X. The elements of the
product Π X∈U X are (dependently) typed functions: thus, for all X ∈ U, X
is non-empty by Inhab and ch(X) ∈ X witnesses this.
From these properties, it follows:
– Fun: The universe contains the set of functions X → Y ∈U (if X ∈U and
Y ∈U.
– Bool: There is a distinguished two-element set B = {0, 1}.
The types of the HOL logic represent sets in the universe U. Therearefourkinds
of types:
– Atomic types: These denote fixed sets in the universe. Each theory determines
a particular collection of atomic types for example, the standard
atomic types B and I denote, respectively the distinguished two-element
set 2 and the distinguished infinite set I.

221
– Compound types: Ifσ 1 ,...σ n are types, (σ 1 ,...,σ n )op is a type denoting the
set resulting from the application of op to set sets σ 1 ,...,σ n . For example,
prod is the type operator of arity 2 which denotes the cartesian product
operation. (σ 1 ,σ 2 )prod is usually written as σ 1 × σ 2 .
– Function types: Ifσ 1 and σ 2 are types, then σ 1 → σ 2 is the function type
with domain σ 1 and range σ 2 . It denotes the set of total functions from the
set denoted by its domain to the set denoted by its range. Syntactically,
→ is simply a distinguished type operator. As it always denotes the same
operation in any model of the HOL theory, it is singled out in the definition
of HOL types.
– Type variables: They stand for arbitrary sets in the universe.
Terms The terms in the HOL logic are expressions that denote elements of the
sets denoted by types. Thus, each term is associated with a unique type which
will be expressed by t σ . (The type subscript may be omitted if it is clear from
the context.) As the definition of types in HOL is relative to a particular type
structure Ω, the formal definition of terms is relative to a given collection of
typed constants over Ω. A signature over Ω is just a set Σ Ω of such constants.
The set Terms ΣΩ of terms over Σ Ω is defined to be the smallest set closed under
the formation rules:
– Constants: Aconstantc σ over Ω is a pair (c, σ) wherec ∈ Names and
σ ∈ T ypes ω . (Assume that an infinite set Names of names is given.)
– Variables: Ifx ∈ Names and σ ∈ Types Ω then the variable var x σ is a term
over Σ Ω .
– Lambda-abstractions: The lambda-abstraction (which denotes a function)
λx σ .t σ2 σ 1 → σ2 is a term if var x σ1 ∈ Terms ΣΩ and t σ2 ∈ Terms ΣΩ .
– Function applications:Ift σ′ →σ ∈ Terms ΣΩ and t‘ σ‘ ∈ Terms ΣΩ then t σ′ →σt‘ σ ′ σ ∈
Terms.Anapplicationtt‘ denotes the result of applying the function denoted
by t to the value denoted by t ′ .
Standard structures A standard type structure Ω contains the atomic types B
of boolean values and I of individuals. Logical formulas are then identified with
terms of type bool. In addition, for being standard a signature must contain
various logical constants with interpretation given by a standard model M:
– Implication: ⇒ B→B→B represents the implication. M(⇒, B → B → B): b ⇒ b‘
is 0, if b = 1 and b‘ =0; otherwise b ⇒ b‘ is1.
– Equality: = α→α→B denotes equality on the set denoted by α. The intended
interpretation M(=,α → α → B) is as follows: x = X x ′ is 1 if and only if
x = x ′ ; otherwise it is 0.
– Choice function: ɛ(α → B) → α is a choice function. M(ɛ, (α → B) →
α) ∈ Π X∈U (X → B) → X is the function assigning to each X ∈ U the
choice function sending f ∈ (X → B) toch X (f) =ch(f 1 1)iff 1 2=0ch(X)
otherwise.

222
Theories The HOL system is organised in theories. Each of them contains sets of
types, constants, definitions and axioms and a list of theorems that are proven
from the axioms and definitions. A theory is potentially expandable, and the
HOL system ensures that only well-formed theories are constructed by allowing
theorems to be created only by formal proof.
Defining what it means to be a theorem leads to the description of the proof
system of HOL. This is built with the help of the programming language ML,
being the meta language in this sense. The deductive system of the HOL system
is based on eight rules of inference that are as follows:
– Assumption introduction:
– Reflexivity:
t ⊢ t
⊢ t = t
– Beta conversion: Lett 1 [t 2 /x] be the result of substituting t 2 for x in t 1 ,with
suitable renaming of variables to prevent free variables in t 2 becoming bound
after substitution.
⊢ (λx. t 1 )t 2 = t 1 [t 2 /x]
– Substitution: Lett[t 1 ,...,t n ] denote a term t with some free occurrences
of subterms t 1 , ... , t n singled out, and let t[t ′ 1,...,t ′ n]denotetheresult
of replacing each selected occurrence of t i by t ′ i (for 1≤i≤n), with suitable
renaming of variables to prevent free variables in t ′ i becoming bound after
substitution.
Γ 1 ⊢ t 1 = t ′ 1 ··· Γ n ⊢ t n = t ′ n Γ ⊢ t[t 1 ,...,t n ]
Γ 1 ∪···∪Γ n ∪ Γ ⊢ t[t ′ 1,...,t ′ n]
– Abstraction: Letx be not free in Γ .
Γ ⊢ t 1 = t 2
Γ ⊢ (λx. t 1 )=(λx. t 2 )
– Type instantiation: Lett[σ 1 ,...,σ n /α 1 ,...,α n ] be the result of substituting
the types σ 1 , ..., σ n for type variables α 1 , ..., α n in t, and let none of the
type variables α 1 , ... , α n occur in Γ , and no distinct variables in t become
identified after the instantiation.
– Discharging an assumption:
Γ ⊢ t
Γ ⊢ t[σ 1 ,...,σ n /α 1 ,...,α n ]
Γ ⊢ t 2
Γ −{t 1 } ⊢ t 1 ⇒ t 2

223
– Modus ponens:
Γ 1 ⊢ t 1 ⇒ t 2 Γ 2 ⊢ t 1
Γ 1 ∪ Γ 2 ⊢ t 2
The deductive system of HOL is shown to be sound for the set theoretic semantics
of HOL described in the previous section. Each mechanism of it guarantees to
preserve the property of possessing a model. Thus, theories built up from the
initial HOL theory (which does possess a model) using these mechanisms are
guaranteed to be consistent.
HOL notation Standard notation Description
Truth T ⊤ true
Falsity F ⊥ false
Negation ~t ¬t not t
Disjunction t 1\/t 2 t 1 ∨ t 2 t 1 or t 2
Conjunction t 1/\t 2 t 1 ∧ t 2 t 1 and t 2
Implication t 1==>t 2 t 1 ⇒ t 2 t 1 implies t 2
Equality t 1=t 2 t 1 = t 2 t 1 equals t 2
∀-quantification !x.t ∀x. t for all x : t
∃-quantification ?x.t ∃x. t for some x : t
ε-term @x.t εx. t an x such that: t
Table 1. Terms of the HOL Logic [6]
The theory INIT is the initial theory of the HOL logic. It introduces the
logical operators shown in Table 1 and contains the five axioms that the HOL
system is based on.
BOOL_CASES_AX |- !t. (t = T) \/ (t = F)
IMP_ANTISYM_AX |- !t1 t2. (t1 ==> t2) ==> (t2 ==> t1) ==> (t1 = t2)
ETA_AX
|- !t. (\x. t x) = t
SELECT_AX |- !P:’a->bool x. P x ==> P($@ P)
INFINITY_AX |- ?f:ind->ind. ONE_ONE f /\ ~(ONTO f)
where ONE_ONE and ONTO aredefinedasfollows
ONE_ONE_DEF |- ONE_ONE f = (!x1 x2. (f x1 = f x2) ==> (x1 = x2))
ONTO_DEF |- ONTO f = (!y. ?x. y = f x)
In HOL, a formula is represented by a then ML type term whose HOL type
is bool. It can be constructed by the given constructors. Unlike this, a theorem
(ML type thm) does not have a primitive constructor function. In this way, the
ML type asserts that theorems are not arbitrarily and unrecordedly constructed,
compromising of the consistency of the logic.
2.3 Usage
As already stated in the introduction, the HOL system provides an environment
for writing specifications and creating formal proofs of properties.

224
Proofs For a logician, a formal proof is a sequence, each of whose elements
is either an axiom or follows from earlier members of the sequence by a rule of
inference. A theorem is the last element of a proof. In HOL (following LCF), this
consists in applying ML functions representing rules of inference to axioms or
previously generated theorems. Thus, every value of type thm in the HOL system
can be obtained by repeatedly applying primitive inference rules to axioms. Some
examples are:
– Undischarging (UNDISCH):
– Symmetry of equality (SMY):
Γ ⊢ t 1 ⇒ t 2
Γ, t 1 ⊢ t 2
– Transitivity of equality (TRANS):
Γ ⊢ t 1 = t 2
Γ ⊢ t 2 = t 1
Γ 1 ⊢ t 1 = t 2 Γ 2 ⊢ t 2 = t 3
Γ 1 ∪ Γ 2 ⊢ t 1 = t 3
One of the most important and most powerful inference rules is rewriting
(REWRITE_RULE) which does a limited amount of automatic theorem-proving. It
uses a list of equational theorems (Γ ⊢ t 1 = t 2 ) to replace any subterms of an
object theorem that match t 1 by the corresponding instance of t 2 . Conditional
and recursive rewriting is supported, too.
Tactics A forward proof (the style that is described in the last paragraph) is
quite unnatural and too low level for many applications (possibly consisting of
millions of steps). In the early 1970s, Robin Milner invented the notion of tactics,
which was an important advance in proof generating methodology. In short, a
tactic is a function that does two things: it splits a goal into subgoals and keeps
track of the reason why solving the subgoals will solve the goal. Consider, for
example, the rule of ∧ introduction:
Γ 1 ⊢ t 1 Γ 2 ⊢ t 2
Γ 1 ∪ Γ 2 ⊢ t 1 ∧ t 2
Suppose the goal is to prove A ∧ B. Thus, it is sufficient to prove A and B.
The justification for the reduction of the goal A ∧ B to the two subgoals A and
B is the rule of ∧-introduction. The specified HOL tactic CONJ_TAC is:
t 1 /\ t 2
t 1 t 2
The following examples illustrates the use of tactics in the HOL system. A
goal specified by g is reduced to two subgoals by applying the tactic CONJ_TAC.

225
- g‘A /\ B‘;
> val it =
Proof manager status: 1 proof.
1. Incomplete:
Initial goal:
A /\ B
: proofs
- e(CONJ_TAC);
OK..
2 subgoals:
> val it =
B
A
: goalstack
Library The HOL system comes with a rich collection of theories containing
predefined types, functions and tactics and already proven theorems. Figure
1 shows the various theories along with their dependencies. All of them are
derived from the initial theory containing the five axioms and the eight primitive
inference rules stated above.
To use a library, it must be loaded (load ẍyzTheory¨). For an easier access,
its internal declarations can be made public by opening (open xyzTheory). New
theories are created by new theory and contain all theorems that are stored with
the store thm (oder some other storing) function.
Defining new types Whereas defining new functions and carrying out proofs is
quite intuitive, the definition of new types needs more explanation. New types
are always derived from existing ones, i.e. to build a new type, existing type
constants and operators are used to specify a representation type whose range is
restricted possibly restricted to form the set of elements the new type contains.
Figure 2 illustrates the construction: From the elements of a representation
set R, a subset is chosen by a predicate P . The abstractions of those elements
form the set of the new type A. Moreover, for each a ∈ A thereisarepresenting
element r ∈ R.
new_type_definition (tyop, |- ?x. t x)
The ML function new type definition implements the primitive HOL rule
of definition for introducing new type constants into the logic, tyop is the name
of the new type, x is an element of the representation type and t is a predicate
with domain of this type and range of booleans. The new_type_defintion function
must be given a proof which shows that the type contains an element.
Let’s consider the example of defining a type containing three elements (taken
from [3]). This type can be derived from the type bool # bool (the product of
two booleans). In order to get a type containing three elements (and not the

226
Fig. 1. Theories of the HOL library with their dependencies
four possible ones of the base type), a predicate restricting the range is given:
λ(x, y).¬(x ∧ y).
val tyax = new_type_definition ("three",
Q.prove(‘?p. (\(x,y). ~(x /\ y)) p‘,
Q.EXISTS_TAC ‘(F,F)‘ THEN GEN_BETA_TAC THEN REWRITE_TAC []));
To get maps between the representation type and the new type, the function
define new type bijections is used. In the example, the mappings between
representing and abstracted type will be named abs3 and rep3.
val three_bij = define_new_type_bijections
{name="three_tybij", ABS="abs3", REP="rep3", tyax=tyax};

227
A
abs
rep
R
P
Fig. 2. Type definitions
val three_bij =
|- (!a. abs3 (rep3 a) = a) /\
(!r. (\(x,y). ~(x /\ y)) r = (rep3 (abs3 r) = r))
Some more complex examples will be given in section 3.3.
3 Examples
3.1 Parity Checker
In this section, a simple device that computes the parity of a sequence of bits
is specified verified with the help of the HOL system. It is a slightly modified
version of the example given in section 7 of the HOL tutorial [4] showing the
basic principles of verifying logic circuits.
Specification To specify the parity checker formally, signals are modelled as
functions from numbers (representing times) to booleans. In this example, two
functions must be regarded: the input in and the output out of the device.
The nth output of the parity checker should be T if and only if there have been
an even number of T’s input on in before. Thus, a primitive recursive function
PARITY can be defined so that for n

228
Implementation To verify the given implementation, it must be described by a
boolean term S(in, out) withfreevariablesx and y. S(in, out) istrueifand
only if some combination of in and out is externally observable on the wires.
For the parity checker, a relation PARITY IMP(inp,out) will be constructed
describing its behaviour.
As the parity checker is built from standard logic devices, some standard
logical devices must be defined before the implementation of the parity checker
can be given:
val ONE_def = Define ‘ONE(out:num->bool) =
!t. out t = T‘;
val NOT_def = Define ‘NOT(inp, out:num->bool) =
!t. out t = ~inp t‘;
val MUX_def = Define ‘MUX(sw,in1,in2,out:num->bool) =
!t. out t = if sw t then in1 t else in2 t‘;
val REG_def = Define ‘REG(inp,out:num->bool) =
!t. out t = if (t=0) then F else inp(t-1)‘;
The predicate ONE is true of a signal out if for all times t the value of out is
T. The binary predicate NOT is true of a pair of signals (inp,out) ifthevalueof
out is always the negation of the value of inp. Registers are unit-delay elements:
Theoutputattimet+1 is the input at the preceding time t, except at time 0
when the register outputs F as required above.
Apparently, the parity checker can be implemented with a register storing
the parity value. Whenever T is an input, its content is complemented. But the
output at time t cannot be just the value stored in that register, since it is
(according to the specification) a function of the input at time t. Thus, there
must be a combinational path from the input to the output.
Provided that all registers initially store F, Figure 3 shows the design of a
device that is intended to implement the specification of the parity checker. This
diagram can be represented as a predicate by conjoining the relations holding
between the various signals and then existentially quantifying the internal lines
as described in (e.g. see 3 4)
val PARITY_IMP_def = Define ‘PARITY_IMP(inp,out) =
?l1 l2 l3 l4 l5.
NOT(l2,l1) /\
MUX(inp,l1,l2,l3) /\
REG(out,l2) /\
ONE l4 /\
REG(l4,l5) /\
MUX(l5,l3,l4,out)‘;
Verification The main goal of the verification to prove the fact that the observed
behaviour of the parity checker fulfils its specification. This safety property can
be stated in the following way:
g ‘!inp out. PARITY_IMP(inp,out) ==> !t. out t = PARITY t inp‘;

229
in
out
0
1
1
1 REG
0
REG
1
Fig. 3. Schematic diagram of the parity checker
This is proved in two steps: At first, the PARITY LEMMA lemma shows how the
output is calculated from the previous time step and the input, provided that
inp and out are related as in the schematic diagram.
g‘!inp out. PARITY_IMP(inp,out) ==>
(out 0 = T) /\ !t. out(SUC t) = if inp(SUC t) then ~(out t) else out t‘;
e(PURE_REWRITE_TAC [PARITY_IMP_def, ONE_def, NOT_def, MUX_def, REG_def]);
e(REPEAT STRIP_TAC);
e(PROVE_TAC[]);
e(PAT_ASSUM ‘‘!t. out t = X t‘‘ (fn th => REWRITE_TAC [SPEC ‘‘SUC t‘‘ th]));
e(RW_TAC arith_ss []);
val PARITY_LEMMA = top_thm();
To prove this lemma, rewriting with definitions is used in the initial step,
followed by decomposing the resulting goal by applying STRIP TAC. The first part
can then be proven mechanically. For the second subgoal a specialised version
of the assumption !t. out t = X f is used before the final simplification step.
Having proven this lemma, it remains for the second part of the verification:
g‘!inp out. (out 0 = T) /\ (!t. out (SUC t) =
if inp (SUC t) then ~out t else out t) ==>
!t. out t = PARITY t inp‘;
e(REPEAT GEN_TAC);
e(STRIP_TAC);
e(Induct);
e(ASM_REWRITE_TAC[PARITY_def]);
e(ASM_REWRITE_TAC[PARITY_def]);
val UNIQUELESS_LEMMA = top_thm();
This proof illustrates the use of induction in the HOL system: After the
quantifiers and the left part of the implication have been removed from the
goal, the right part is split up by an induction on t (which is the outermost
universally quantified variable at that moment). The subgoals can be proved,
simply by rewriting with the assumptions.

230
To complete the proof of the parity checking device, the two parts of the
verification are finally combined:
(* goal is ‘‘!inp out. PARITY_IMP(inp,out) ==> !t. out t = PARITY t inp‘‘ *)
e(RW_TAC std_ss []);
e(MATCH_MP_TAC UNIQUELESS_LEMMA);
e(PROVE_TAC[PARITY_LEMMA]);
val PARITY_CORRECT = top_thm();
Certainly, this examples does not need a theorem prover in order to be verified.
Due to the small number of states and the lack of arithmetic components,
other verification methods would be more appropriate. But, it shows the basics
needed to do theorem proving, whereas the next example shows the power of
the theorem proving method.
3.2 Binary Greatest Common Divisor
The binary method to determine the greatest common divisor of two numbers
has been discovered by Roland Silver and John Terzian in 1962. They have
never published it, but soon, the method became well known in computer science
[8]. It only needs three operations: shifting, subtraction and testing whether a
number is odd or even. Other, more complicated operations (like division) are
not required. Therefore, it is primarily suited to binary arithmetic. It is based
on the following three facts:
– If u is even, and v is even: gcd(u, v) =2· gcd( u/2 ,v/2)
– If u is even, and v is odd: gcd(u, v) =gcd(u/2 ,v)
– If u is greater than v: gcd(u, v) =gcd(u − v, v)
Figure 4 shows a schematic that implements the algorithm: Initially, the
registers x and y store the input values. Like the Euclidean algorithm, the gcd
is calculated in several steps. In each step, one of the three facts mentioned
above are used. To verify this component, two things should be shown: First,
the result should be eventually computed, and this value should be really the
greatest common divisor of the inputs. While the first point is obvious (Consider
the sum u+v as variant.), the partial correctness can be shown using the following
invariant:
– Invariant: Letu and v be the numbers whose greatest common divisor is
calculated, and let x, y and k be the values of the respective registers. In
each step, gcd(u, v) =gcd(x, y) · 2 k holds.
(* BGCD_EVEN_EVEN |- !x y. EVEN x /\ EVEN y
==> (gcd x y = 2*gcd (x DIV 2) (y DIV 2)) *)
(* BGCD_EVEN_ODD |- !x y. EVEN x /\ ODD y
==> (gcd x y = gcd (x DIV 2) y) *)
(* BGCD_ODD_EVEN |- !x y. ODD x /\ EVEN y
==> (gcd x y = gcd x (y DIV 2)) *)

231
REG (x)
REG (y)
COUNTER (k)
n
0
n
0
>>1
>>1
1 0
1 0
A−B
Abool, out:num->bool) =
!t. out t = ~inp t‘;
val OR_def = Define ‘OR(in1:num->bool,in2:num->bool,out:num->bool) =
!t. out t = (in1 t) \/ (in2 t)‘;
val AND_def = Define ‘AND(in1:num->bool,in2:num->bool,out:num->bool) =
!t. out t = (in1 t) /\ (in2 t)‘;
val MUX_def = Define
‘MUX(sw:num->bool,in1:num->num,in2:num->num,out:num->num) =
!t. out t = if sw t then in1 t else in2 t‘;
val COUNTER_def = Define ‘COUNTER(inp:num->bool,out:num->num) =
!t. out t = if (t=0) then 0 else
if (inp t) then (out(t-1)+1) else out(t-1)‘;
val REG_def = Define ‘REG(inp:num->num,out:num->num,init:num) =
!t. out t = if (t=0) then init else inp (t-1)‘;

232
val SHIFT_def = Define ‘SHIFT(inp:num->num, out:num->num) =
!t. out t = (inp t) DIV 2‘;
val SUB_def = Define ‘SUB(in1:num->num,in2:num->num,out:num->num) =
!t. out t = (in1 t - in2 t)‘;
val LESS_def = Define ‘LESS(in1:num->num,in2:num->num,out:num->bool) =
!t. out t = (in1 t < in2 t)‘;
val LSB_def = Define ‘LSB(inp:num->num,out:num->bool) =
!t. out t = ((inp t) MOD 2 = 1)‘;
Then, the composition is described by:
val BGCD_IMP_def = Define
‘BGCD_IMP(initX:num, initY:num,
regX:num->num, regY:num->num, regK:num->num) =
? inX, inY, regXshift, regYshift, oddX, oddY,
regXcor, regYcor, evenX, evenY, evenXY,
oddXY, oddXYy, oddXYx, subX, subY, subXY, subYX.
REG(inX,regX,initX) /\ REG(inY,regY,initY) /\
SHIFT(regX,regXshift) /\ SHIFT(regY,regYshift) /\
LSB(regX,oddX) /\ LSB(regY,oddY) /\
MUX(oddX,regX,regXshift,regXcor) /\
MUX(oddY,regY,regYshift,regYcor) /\
NOT(oddX,evenX) /\ NOT(oddY,evenY) /\
AND(evenX,evenY,evenXY)/\
COUNTER(evenXY,regK)/\
AND(oddX, oddY, oddXY) /\
LESS(regXcor,regYcor,oddXYx) /\ LESS(regYcor,regXcor,oddXYy) /\
AND(oddXY,oddXYx,subX) /\ AND(oddXY,oddXYy,subY) /\
SUB(regXcor,regYcor,subXY) /\ SUB(regYcor,regXcor,subYX) /\
MUX(subX,regXcor,subXY,inX) /\ MUX(subY,regYcor,subYX,inY)‘;
Now, it is possible to prove the invariant and the correctness of the component.
The proof for this can be found in A.1. Considering this example, the
benefit from the theorem proving method becomes obvious: The number of possible
states and the complexity of the components is big. But this does not affect
the theorem proving approach, which abstracts from the size of the registers and
make it even possible to prove the correctness for arbitrary sizes.
3.3 Rational Numbers
This section shows are more comprehensive example introducing the type of
rational numbers Q. This theory can be used to verify hardware that is based on
rational arithmetic operations. Applications of this can be found in areas that
need precise calculations of basic arithmetics, e.g. linear geometry primitives
used in safety-critical environments.
The rational numbers are defined in two steps. First, fractions consisting of a
pair of integers are introduced. Subsequently, rational numbers are constructed
as equivalence classes of them using the quotient theory.

233
Fractions As known from school, each fraction f consists of a pair of integers
(a, b), whose components are known as the numerator a and the denominator b
of a fraction. The latter of the two components b must not be zero; otherwise
the fraction does not have a clear meaning. To make things easier, the sign of a
fraction is always moved to the numerator:
f = a a, b ∈ Int,b>0
b
In HOL, the type of fractions can be defined by the following statement.(In
the proof of the the non-emptiness of the set of fractions, 1 1
is used as witness.)
val frac_tyax = save_thm("frac_tyax", new_type_definition( "frac",
Q.prove(‘?x. (\f:int#int. 0

234
val add_def = Define ‘add f1 f2 =
abs_frac(nmr f1 * dnm f2 + nmr f2 * dnm f1, dnm f1 * dnm f2)‘;
val mul_def = Define ‘mul f1 f2 =
abs_frac(nmr f1 * nmr f2, dnm f1 * dnm f2)‘;
val sub_def = Define ‘sub f1 f2 = add f1 (ainv f2)‘;
val div_def = Define ‘div f1 f2 = mul f1 (minv f2)‘;
Addition and multiplication are defined intuitively. Substraction and division
use them and the inverse elements.
Like in many other areas, good tools are the key to success. A well considered
set of tactics and lemmas makes proofs much simpler.
val FRAC_EQ_TAC:tactic = fn (asl,w) =>
let
val (lhs,rhs) = dest_eq w
in
let
val (lhc, lha) = dest_comb lhs;
val (rhc, rha ) = dest_comb rhs;
in
let
val [a1,b1] = strip_pair lha;
val [a2,b2] = strip_pair rha;
in
let
val sg1 = mk_eq(a1,a2);
val sg2 = mk_eq(b1,b2);
in
(
[(asl,sg1), (asl,sg2)],
fn [thm1,thm2] => MP
(SPEC b2 (SPEC a2 (SPEC b1 (SPEC a1 (
prove(‘‘!a1 b1 a2 b2. (a1=a2) /\ (b1=b2) ==>
(abs_frac(a1,b1)=abs_frac(a2,b2))‘‘, ARW_TAC[])
)))))
(CONJ thm1 thm2)
)
end
end
end
end
handle HOL_ERR _ => raise ERR "FRAC_EQ_TAC" "";
FRAC EQ TAC is a tactic which is used in almost every proof involving fractions:
To show that two fractions are equal, it is sufficient to show that respectively
their numerators and denominators are equal. In the first three let parts,
the numerator and denominator of the two fractions are extracted. This is accomplished
by successively applying the appropriate destructor functions. The
strategy assumes a certain syntactical structure of the goal. If this is not given,
the tactic will fail (i.e. the goal will remain unchanged).

235
The fourth let part constructs the two subgoals (numerators are equal, denominators
are equal) using the constructor function mk_eq. These subgoals prove
the initial goal; the argument for this is !a1 b1 a2 b2. (a1=a2) /\ (b1=b2) ==>
(abs\_frac(a1,b1)=abs\_frac(a2,b2)).
(* FRAC_REP_ABS_SUBST: 0 < b |- (rep_frac (abs_frac (a,b)) = (a,b)) : thm *)
(* NMR: !a b. 0 < b ==> (nmr (abs_frac (a,b)) = a) *)
val NMR = store_thm("NMR", ‘‘!a b. 0 < b ==> (nmr (abs_frac (a,b)) = a)‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[nmr_def] THEN
REWRITE_TAC[FRAC_REP_ABS_SUBST] );
(* DNM: !a b. 0 < b ==> (nmr (abs_frac (a,b)) = a) *)
val DNM = store_thm("DNM", ‘‘!a b. 0 < b ==> (dnm (abs_frac (a,b)) = b)‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[dnm_def] THEN
REWRITE_TAC[FRAC_REP_ABS_SUBST] );
The pair library offers theorems to simplify terms of the form FST(a,b)=a or
SND(a,b)=b. Similar theorems are provided by the fractions library. NMR and DNM
reduce the terms nmr(abs frac(a,b)) and dnm(abs frac(a,b)). Both of them
require that the denominator of the included fraction is positive. Otherwise, this
simplification step cannot be done. In most cases, this means the proof gets stuck
at this place.
To show the required precondition, another tactic comes to help:
(* INT_MUL_POS_SIGN: |- !a b. 0 0 0
ASSUME_TAC( (prove(intSyntax.mk_less(intSyntax.zero_tm,term1),
ARW_TAC[FRAC_DNM_POSITIVE,INT_MUL_POS_SIGN])) )
handle HOL_ERR _ => raise ERR "FRAC_NOT_NAN_ASM_TAC" "";
For a given term, the tactic tries to prove that it is positive, using the facts
that the denominator of a fraction is positive and the product of two positive
numbers is positive.
Equipped with these utilities, some properties of fractions can be shown quite
elegantly, e.g. the associativity of the addition:
val FRAC_ADD_ASSOC = store_thm("FRAC_ADD_ASSOC",
‘‘!a b c. add a (add b c) = add (add a b) c‘‘,
REPEAT STRIP_TAC
THEN REWRITE_TAC[add_def]
THEN DNM_POS_ASM_TAC ‘‘dnm a * dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b * dnm c‘‘
THEN ARW_TAC[NMR,DNM]
THEN FRAC_EQ_TAC
THEN INT_RING_TAC );

236
The steps of the proof are as follows:
– First, all quantifiers are stripped off the goal by repeatedly applying STRIP_TAC.
Thus, all variables become free.
– Then, the definition of the addition is used to rewrite the goal. The resulting
proof obligation contains subterms of the form nmr(abs_frac(x,y)) and
dnm(abs_frac(x,y)).
– Assumptions are added, stating that respectively dnm a * dnm b and dnm b * dnm c
are positive.
– With this, the goal can be simplified. NMR and DNM are used.
– The goal of the form x=y is split up into the two subgoals x==>y and y==>x.
– Both of them are solved by INT_RING_TAC, which transforms all terms of the
goal to a normal form (using ring properties), and then compares them.
In a similar way, some more properties of fractions can be shown, e.g. the following
lemmas:
(* FRAC_MULT_ASSOC: |- !a b c. mul a (mul b c) = mul (mul a b) c *)
(* FRAC_ADD_COMM: |- !a b c. add a b = add b a *)
(* FRAC_MULT_COMM: |- !a b c. mul a b = mul b a *)
(* FRAC_ADD_RID: |- !a. add a frac_0 = a *)
(* FRAC_MUL_RID: |- !a. mul a frac_1 = a *)
(* FRAC_SUB_PLUS: |- !a b c. sub a (add b c) = sub (sub a b) c *)
(* FRAC_SUB_MINUS: |- !a b c. sub a (sub b c) = add (sub a b) c *)
(* SUB_AINV_THM: |- !a b. sub a b = ainv (sub b a) *)
Rational numbers Rational numbers are constructed as equivalence classes of
fractions. Two fractions f1 = f1n
f1 d
and f2 = f2n
f2 d
are equivalent, if the fractions
f1‘ and f2 ′ obtained by reduction of f1 andf2 are equal. This can be defined
as follows:
f1 n
∼ f2 n
⇔ f1 n · f2 d = f2 n · f1 d
f1 d f2 d
In HOL, this definition can be written as:
val rat_equiv_def =
Define ‘rat_equiv f1 f2 = (nmr f1 * dnm f2 = nmr f2 * dnm f1)‘;
The following theorem asserts that the equivalence relation has the intended
meaning:
(* RAT_EQUIV_ALT |- !a. rat_equiv a = \x. (?b c. 0

237
Before we proceed to the definition of the quotient type of rational numbers,
it is shown that rat equiv is indeed an equivalence relation by proving the
following three lemmas.
(* RAT_EQUIV_REF: |- !a:frac. rat_equiv a a *)
(* RAT_EQUIV_SYM: |- !a b. rat_equiv a b = rat_equiv b a *)
(* RAT_EQUIV_TRANS: |- !a b c. rat_equiv a b /\ rat_equiv b c
==> rat_equiv a c *)
The actual type definition is rather short. Names for the new type rat and the
mappings between the abstract and the representing type abs_rat and rep_rat
are given.
val rat_def = define_quotient_type "rat"
"abs_rat"
"rep_rat"
RAT_EQUIV_REF RAT_EQUIV_SYM RAT_EQUIV_TRANS;
Some operations can be defined now. All of them rely on the corresponding
function for fractions.
(* numerator, denominator, sign of a fraction *)
val rat_nmr_def = Define ‘rat_nmr r = nmr (rep_rat r)‘;
val rat_dnm_def = Define ‘rat_dnm r = dnm (rep_rat r)‘;
val rat_sgn_def = Define ‘rat_sgn r = sgn (rep_rat r)‘;
(* additive, multiplicative inverse of a fraction *)
val rat_0_def = Define ‘rat_0 = abs_rat( frac_0 )‘;
val rat_1_def = Define ‘rat_1 = abs_rat( frac_1 )‘;
(* neutral elements *)
val rat_ainv_def = Define ‘rat_ainv r1 = abs_rat( ainv (rep_rat r1))‘;
val rat_minv_def = Define ‘rat_minv r1 = abs_rat( minv (rep_rat r1))‘;
(* less (absolute value) *)
val rat_les_abs_def = Define ‘rat_les_abs r1 r2 =
les_abs (rep_rat r1) (rep_rat r2)‘;
(* basic arithmetics *)
val rat_add_def = Define ‘rat_add r1 r2 =
abs_rat( add (rep_rat r1) (rep_rat r2) )‘;
val rat_sub_def = Define ‘rat_sub r1 r2 =
abs_rat( sub (rep_rat r1) (rep_rat r2) )‘;
val rat_mul_def = Define ‘rat_mul r1 r2 =
abs_rat( mul (rep_rat r1) (rep_rat r2) )‘;
val rat_div_def = Define ‘rat_div r1 r2 =
abs_rat( div (rep_rat r1) (rep_rat r2) )‘;
To reuse the properties already proved for the fractions, an important fact
must be shown for the all of these operations: the congruence, e.g. for the addition,
the following equation must hold:

238
a + b = a + b
This property is split up in two parts in the HOL theory:
(* RAT_ADD_CONG:
|- !x y. abs_rat (add (rep_rat (abs_rat x)) y) = abs_rat (add x y) /\
!x y. abs_rat (add x (rep_rat (abs_rat y))) = abs_rat (add x y) *)
Among the addition, the congruence property is proved for each operation
defined for the rational numbers above. As it can be seen in the appendix A.4,
theseproofsarenotassimpleastheyseemtobe.Theyallrequirealotof
conversions to obtain a goal, which the definition of the equivalence relation can
be applied to.
(* RAT_ADD_ASSOC: |- !a b c. rat_add a (rat_add b c) =
rat_add (rat_add a b) c *)
(* RAT_MULT_ASSOC:|- !a b c. rat_mul a (rat_mul b c) =
rat_mul (rat_mul a b) c *)
(* RAT_ADD_COMM: |- !a b. rat_add a b = rat_add b a *)
(* RAT_ADD_COMM: |- !a b. rat_mul a b = rat_mul b a *)
(* RAT_ADD_RID: |- !a. rat_add a rat_0 = a *)
(* RAT_ADD_LID: |- !a. rat_add rat_0 a = a *)
(* RAT_MULT_RID: |- !a. rat_mul a rat_1 = a *)
(* RAT_MULT_LID: |- !a. rat_mul rat_1 a = a *)
(* RAT_ADD_RINV: |- !a. rat_add a (rat_ainv a) = rat_0 *)
(* RAT_ADD_LINV: |- !a. rat_add (rat_ainv a) a = rat_0 *)
(* RAT_MULT_RINV: |- !a. ~(a = rat_0) ==>
(rat_mul a (rat_minv a) = rat_1) *)
(* RAT_MULT_LINV: |- !a. ~(a = rat_0) ==>
(rat_mul (rat_minv a) a = rat_1) *)
(* RAT_RDISTRIB: |- !a b c. rat_mul (rat_add a b) c
= rat_add (rat_mul a c) (rat_mul b c) *)
(* RAT_LDISTRIB: |- !a b c. rat_mul c (rat_add a b)
= rat_add (rat_mul c a) (rat_mul c b) *)
(* RAT_IS_RING: |- is_ring (ring rat_0 rat_1
rat_add rat_mul rat_ainv) *)
The theory of rational numbers proves various ring properties for the rational
numbers. Especially, the last theorem is very useful. The ring library of the HOL
system provides automated reduction and proving functions for rings, which can
be accessed, if the last theorem is proved.
With these theorems, it is possible to examine hardware component based on
rational numbers and to express properties of them. This section illustrates which
(and how much) mathematical background may be needed to verify hardware.
4 Conclusion
Theorem proving has shown to be be a powerful method to verify hardware,
especially arithmetic components. It is the best choice to verify dataflow properties,
since model checking and equivalence checking fail to exploit its structure

239
due to its underlying mathematical concepts. But, on the other side, theorem
proving needs guidance from the user. Therefore, it is a time-consuming and
(for industrial users) expensive method, whose effort only some applications can
afford.
As theorem proving is strong where model checking and equivalence checking
are weak (and the other way around), it seems to be the most promising approach
to integrate these complementary methods.
References
1. Camilleri,A.J.,Melham,T.F.,andGordon,M.J. Hardware verification
using higher-order logic. In From HDL Descriptions to Guaranteed Correct Circuit
Designs: Proceedings of the IFIP WG 10.2 Working Conference (1987), D. Borrione,
Ed., IFIP WG 10.2, North-Holland, pp. 43–67.
2. Church, A. A formulation of the simple theory of types. Journal of Symbolic Logic
5 (1940), 56–68.
3. Gordon, M. The HOL system reference, 6 2002.
4. Gordon, M. The HOL system tutorial, 6 2002.
5. Gordon,M.J. Why higher-order logic is a good formalism for specifying and
verifying hardware. In Formal Aspects of VLSI Design: Proceedings of the 1985
Edinburgh Workshop on VLSI (1986), G. J. M. P. Subrahmanyam, Ed., North-
Holland, pp. 153–177.
6. Gordon,M.J.The HOL system description, 6 2002.
7. Gordon,M.J.,Milner,R.,andWadsworth,C.P.Edinburgh LCF: A mechanised
logic of computation. In Lecture Notes in Computer Science, vol. 78. Springer-
Verlag, 1979.
8. Knuth, D. E. The Art of Computer Programming, vol. Seminumerical Algorithms.
Addison Wesley, 1968.
9. Milner, R., Tofte, M., and Harper, R. The definition of Standard ML. The
MIT Press, 1990.
A
HOL theories
A.1 bgcd
(*==========================================================================*)
(* Binary gcd (Jens Brandt) *)
(* *)
(* Binary method of the gcd algorithm *)
(* *)
(* March 2004 *)
(* *)
(*==========================================================================*)
app load ["gcdTheory", "schneiderUtils"];
open arithmeticTheory dividesTheory gcdTheory schneiderUtils;
val ARW_TAC = RW_TAC arith_ss;

240
val DIVIDES_DOUBLE = store_thm("DIVIDES_DOUBLE",
‘‘! x y. divides (2 * x) (2 * y) = divides x y‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[divides_def] THEN
EQ_TAC THENL
[
REWRITE_TAC[prove(‘‘2=SUC 1‘‘,ARW_TAC[])] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV(MULT_ASSOC,MULT_COMM)
‘‘q * (SUC 1 * x) = SUC 1 * (q *x)‘‘)] THEN
REWRITE_TAC[MULT_MONO_EQ]
,
REWRITE_TAC[divides_def] THEN
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
EXISTS_TAC ‘‘q:num‘‘ THEN
REWRITE_TAC[EQT_ELIM (AC_CONV(MULT_ASSOC,MULT_COMM)
‘‘2 * (q * x) = q * (2 * x)‘‘)]
] );
val DIVIDES_GCD_L = store_thm("DIVIDES_GCD_L",
REPEAT GEN_TAC THEN
ASSUME_TAC (SPEC_ALL GCD_IS_GCD) THEN
UNDISCH_TAC ‘‘is_gcd a b (gcd a b)‘‘ THEN
REWRITE_TAC[is_gcd_def] THEN
ARW_TAC[] );
val DIVIDES_GCD_R = store_thm("DIVIDES_GCD_R",
REPEAT GEN_TAC THEN
ASSUME_TAC (SPEC_ALL GCD_IS_GCD) THEN
UNDISCH_TAC ‘‘is_gcd a b (gcd a b)‘‘ THEN
REWRITE_TAC[is_gcd_def] THEN
ARW_TAC[] );
‘‘! a b. divides (gcd a b) a‘‘,
‘‘! a b. divides (gcd a b) b‘‘,
val SUC1_IS_2 = prove(‘‘SUC 1=2‘‘,ARW_TAC[]);
val ODD_EXISTS_IMP = prove(‘‘!n m. (n=SUC(2*m)) ==> ODD n‘‘,
GEN_TAC THEN
REWRITE_TAC[ODD_EXISTS] THEN
ARW_TAC[] THEN
EXISTS_TAC ‘‘m:num‘‘ THEN
ARW_TAC[] );
val EVEN_DOUBLE_EQ = prove(‘‘! x y. (2* y = x) ==> EVEN x‘‘,
REPEAT GEN_TAC THEN
ARW_TAC[] THEN
ARW_TAC[EVEN_DOUBLE] );
val ODD_DOUBLE_EQ = prove(‘‘! x y. (SUC (2* y) = x) ==> ODD x‘‘,
REPEAT GEN_TAC THEN

241
ARW_TAC[] THEN
ARW_TAC[ODD_DOUBLE] );
val ODD_EVEN_PRODUCT = prove(‘‘!x y. ODD x /\ EVEN (y*x) ==> EVEN y‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[EVEN_MULT] THEN
ONCE_REWRITE_TAC[LEFT_AND_OVER_OR] THEN
ARW_TAC[ONCE_REWRITE_RULE[CONJ_COMM] EVEN_AND_ODD] );
val ASM_IMP_CONJ = prove(‘‘!a b c. (a /\ b ==> c) = (a ==> b ==> c)‘‘,
PROVE_TAC[] );
val DIVIDES_ODD_EVEN = store_thm("DIVIDES_ODD_EVEN",
‘‘!x y. ODD x /\ divides x (2 * y) ==> divides x y‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[ODD_EXISTS] THEN
REWRITE_TAC[divides_def] THEN
STRIP_TAC THEN
ONCE_REWRITE_TAC[GSYM (SPEC ‘‘1‘‘ (SPEC ‘‘q * x‘‘
(SPEC ‘‘y:num‘‘ MULT_MONO_EQ)))] THEN
REWRITE_TAC[SUC1_IS_2] THEN
ASM_REWRITE_TAC[] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV(MULT_ASSOC,MULT_COMM)
‘‘2 * (q’ * SUC (2 * m)) = 2 * q’ * SUC (2 * m)‘‘)] THEN
REWRITE_TAC[ONCE_REWRITE_RULE[MULT_COMM] MULT_MONO_EQ] THEN
REWRITE_TAC[GSYM EVEN_EXISTS] THEN
ASSUME_TAC (UNDISCH_ALL (REWRITE_RULE[SUC1_IS_2] (SPEC ‘‘m:num‘‘
(SPEC ‘‘x:num‘‘ ODD_EXISTS_IMP)))) THEN
ASSUME_TAC (UNDISCH_ALL
(SPEC ‘‘y:num‘‘ (SPEC ‘‘q*x‘‘ EVEN_DOUBLE_EQ))) THEN
ASSUME_TAC (UNDISCH_ALL (REWRITE_RULE [ASM_IMP_CONJ] (SPEC ‘‘q:num‘‘
(SPEC ‘‘x:num‘‘ ODD_EVEN_PRODUCT)))) THEN
PROVE_TAC[] );
val ODD_DIVIDES_ODD = store_thm("ODD_DIVIDES_ODD",
‘‘!x y. ODD x /\ divides y x ==> ODD y‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[CONTRAPOS_CONV ‘‘ODD x /\ divides y x ==> ODD y‘‘] THEN
REWRITE_TAC[DE_MORGAN_THM] THEN
REWRITE_TAC[GSYM EVEN_ODD] THEN
REWRITE_TAC[EVEN_EXISTS, divides_def] THEN
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
LEFT_DISJ_TAC THEN
ARW_TAC[] THEN
EXISTS_TAC ‘‘m*q‘‘ THEN
ARW_TAC[AC_CONV(MULT_ASSOC,MULT_COMM) ‘‘q * (2 * m) = 2 * (m * q)‘‘] );
val IS_GCD_DOUBLE = store_thm("IS_GCD_DOUBLE",
‘‘is_gcd (2*a) (2*b) (2*c) = is_gcd a b c‘‘,

242
REWRITE_TAC[is_gcd_def] THEN
REWRITE_TAC[DIVIDES_DOUBLE] THEN
ONCE_REWRITE_TAC[CONJ_ASSOC] THEN
EQ_TAC THENL
[
ARW_TAC[] THEN
LEFT_NO_FORALL_TAC 2 ‘‘2*d‘‘ THEN
UNDISCH_TAC ‘‘divides d b‘‘ THEN
UNDISCH_TAC ‘‘divides d a‘‘ THEN
REWRITE_TAC[GSYM ASM_IMP_CONJ] THEN
ONCE_REWRITE_TAC[GSYM DIVIDES_DOUBLE] THEN
ARW_TAC[]
,
STRIP_TAC THEN
ARW_TAC[] THEN
UNDISCH_TAC ‘‘divides d (2*b)‘‘ THEN
UNDISCH_TAC ‘‘divides d (2*a)‘‘ THEN
REWRITE_TAC[GSYM ASM_IMP_CONJ] THEN
DISJ_CASES_TAC (SPEC ‘‘d:num‘‘ EVEN_OR_ODD) THENL
[
UNDISCH_TAC ‘‘EVEN d‘‘ THEN
REWRITE_TAC[EVEN_EXISTS] THEN
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
REWRITE_TAC[DIVIDES_DOUBLE] THEN
LEFT_NO_FORALL_TAC 1 ‘‘m:num‘‘ THEN
ARW_TAC[]
,
STRIP_TAC THEN
ASSUME_TAC( UNDISCH_ALL (REWRITE_RULE [ASM_IMP_CONJ]
(SPEC‘‘a:num‘‘ (SPEC‘‘d:num‘‘ DIVIDES_ODD_EVEN)))) THEN
ASSUME_TAC( UNDISCH_ALL (REWRITE_RULE [ASM_IMP_CONJ]
(SPEC‘‘b:num‘‘ (SPEC‘‘d:num‘‘ DIVIDES_ODD_EVEN)))) THEN
LEFT_NO_FORALL_TAC 5 ‘‘d:num‘‘ THEN
ONCE_REWRITE_TAC[MULT_COMM] THEN
MATCH_MP_TAC (SPEC ‘‘2‘‘( SPEC ‘‘c:num‘‘
(SPEC ‘‘d:num‘‘ DIVIDES_MULT))) THEN
ARW_TAC[]
]
] );
val IS_GCD_EQ = store_thm("IS_GCD_EQ", ‘‘!a b c. is_gcd a b c = (c = gcd a b)‘‘,
REPEAT GEN_TAC THEN
EQ_TAC THENL
[
STRIP_TAC THEN
ASSUME_TAC (SPEC ‘‘gcd a b‘‘ (SPEC ‘‘c:num‘‘ (SPEC ‘‘b:num‘‘
(SPEC ‘‘a:num‘‘ IS_GCD_UNIQUE)))) THEN
ASSUME_TAC (SPEC_ALL GCD_IS_GCD) THEN
ARW_TAC[]

243
,
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
ARW_TAC[GCD_IS_GCD]
] );
val BGCD_EVEN_EVEN = store_thm("BGCD_EVEN_EVEN",
‘‘!x y. EVEN x /\ EVEN y ==> (gcd x y = 2*gcd (x DIV 2) (y DIV 2))‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[EVEN_EXISTS] THEN
ONCE_REWRITE_TAC[MULT_COMM] THEN
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
ASSUME_TAC (prove(‘‘0 (gcd x y = gcd (x DIV 2) y)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[EVEN_EXISTS, ODD_EXISTS] THEN
ONCE_REWRITE_TAC[MULT_COMM] THEN
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
ASSUME_TAC (prove(‘‘0

244
UNDISCH_TAC ‘‘is_gcd m (SUC (m’ * 2)) (gcd m (SUC (m’ * 2)))‘‘ THEN
REWRITE_TAC[is_gcd_def] THEN
ARW_TAC[]
] );
val BGCD_ODD_EVEN = store_thm("BGCD_ODD_EVEN",
‘‘!x y. ODD x /\ EVEN y ==> (gcd x y = gcd x (y DIV 2))‘‘,
ONCE_REWRITE_TAC[GCD_SYM] THEN
ARW_TAC[BGCD_EVEN_ODD] );
val BGCD_ODD_ODD0 = store_thm("BGCD_ODD_ODD0",
‘‘!x y. ODD x /\ ODD y /\ (x=y) ==> (gcd x y = x)‘‘,
REPEAT STRIP_TAC THEN
ARW_TAC[GCD_REF] );
val BGCD_ODD_ODD1 = store_thm("BGCD_ODD_ODD1",
‘‘!x y. ODD x /\ ODD y /\ y (gcd x y = gcd (x-y) y)‘‘,
REPEAT STRIP_TAC THEN
ASSUME_TAC (SPEC ‘‘x-y‘‘ (SPEC ‘‘y:num‘‘ GCD_ADD_L)) THEN
UNDISCH_TAC ‘‘gcd (y + (x - y)) y = gcd y (x - y)‘‘ THEN
ONCE_REWRITE_TAC[ADD_SYM] THEN
ASSUME_TAC (UNDISCH_ALL (prove(‘‘y < x ==> ybool, out:num->bool) =
!t. out t = ~inp t‘;
val MUX_def = Define ‘MUX(sw:num->bool,in1:num->num,in2:num->num,out:num->num) =
!t. out t = if sw t then in1 t else in2 t‘;
val OR_def = Define ‘OR(in1:num->bool,in2:num->bool,out:num->bool) =
!t. out t = (in1 t) \/ (in2 t)‘;
val AND_def = Define ‘AND(in1:num->bool,in2:num->bool,out:num->bool) =
!t. out t = (in1 t) /\ (in2 t)‘;
val COUNTER_def = Define ‘COUNTER(inp:num->bool,out:num->num) =
!t. out t = if (t=0) then 0 else
if (inp t) then (out(t-1)+1) else out(t-1)‘;
val REG_def = Define ‘REG(inp:num->num,out:num->num,init:num) =
!t. out t = if (t=0) then init else inp (t-1)‘;
val SHIFT_def = Define ‘SHIFT(inp:num->num, out:num->num) =
!t. out t = (inp t) DIV 2‘;

245
val SUB_def = Define ‘SUB(in1:num->num,in2:num->num,out:num->num) =
!t. out t = (in1 t - in2 t)‘;
val LESS_def = Define ‘LESS(in1:num->num,in2:num->num,out:num->bool) =
!t. out t = (in1 t < in2 t)‘;
val LSB_def = Define ‘LSB(inp:num->num,out:num->bool) =
!t. out t = ((inp t) MOD 2 = 1)‘;
val BGCD_IMP_def = Define ‘BGCD_IMP
(initX:num, initY:num,
regX:num->num, regY:num->num, regK:num->num) =
? inX, inY, regXshift, regYshift, oddX, oddY, regXcor, regYcor,
evenX, evenY, evenXY, oddXY, oddXYy, oddXYx,
subX, subY, subXY, subYX.
REG(inX,regX,initX) /\ REG(inY,regY,initY) /\
SHIFT(regX,regXshift) /\ SHIFT(regY,regYshift) /\
LSB(regX,oddX) /\ LSB(regY,oddY) /\
MUX(oddX,regX,regXshift,regXcor) /\ MUX(oddY,regY,regYshift,regYcor) /\
NOT(oddX,evenX) /\ NOT(oddY,evenY) /\
AND(evenX,evenY,evenXY)/\
COUNTER(evenXY,regK)/\
AND(oddX, oddY, oddXY) /\
LESS(regXcor,regYcor,oddXYx) /\ LESS(regYcor,regXcor,oddXYy) /\
AND(oddXY,oddXYx,subX) /\ AND(oddXY,oddXYy,subY) /\
SUB(regXcor,regYcor,subXY) /\ SUB(regYcor,regXcor,subYX) /\
MUX(subX,regXcor,subXY,inX) /\ MUX(subY,regYcor,subYX,inY)‘;
A.2 fractionScript
(*==========================================================================*)
(* Theory of fractions. (Jens Brandt) *)
(* *)
(* The fractions are pairs of integers. Denominator of fractions is always *)
(* positive. *)
(* *)
(* February 2004 *)
(* *)
(*==========================================================================*)
open HolKernel boolLib Parse bossLib;
(* interactive mode
app load ["integerTheory","intLib","ringLib",
"integerRingTheory","integerRingLib"];
*)
open
arithmeticTheory ringTheory ringLib
integerTheory intLib integerRingTheory integerRingLib;
val _ = new_theory "fraction";

246
val ARW_TAC = RW_TAC int_ss;
(*--------------------------------------------------------------------------*
* type definition
*--------------------------------------------------------------------------*)
val frac_tyax = new_type_definition( "frac",
Q.prove(‘?x. (\f:int#int. 0

247
(*--------------------------------------------------------------------------
* FRAC_EQ_TAC : tactic
*
* A ?- abs_frac(a1,b1) = abs_frac(a2,b2)
* ========================================= FRAC_EQ_TAC
* A ?- a1=a2 | A ?- b1=b2
*
* Two fractions are equal, if the nominator and the denominator are
* equal.
*--------------------------------------------------------------------------*)
val FRAC_EQ_TAC:tactic = fn (asl,w) =>
let
val (lhs,rhs) = dest_eq w
in
let
val (lhc, lha) = dest_comb lhs;
val (rhc, rha ) = dest_comb rhs;
in
let
val [a1,b1] = strip_pair lha;
val [a2,b2] = strip_pair rha;
in
let
val sg1 = mk_eq(a1,a2);
val sg2 = mk_eq(b1,b2);
in
(
[(asl,sg1), (asl,sg2)],
fn [thm1,thm2] => MP
(SPEC b2 (SPEC a2 (SPEC b1 (SPEC a1 (
prove(‘‘!a1 b1 a2 b2. (a1=a2) /\ (b1=b2) ==>
(abs_frac(a1,b1)=abs_frac(a2,b2))‘‘, ARW_TAC[])
)))))
(CONJ thm1 thm2)
)
end
end
end
end
handle HOL_ERR _ => raise ERR "FRAC_EQ_TAC" "";
(*--------------------------------------------------------------------------
* DNM_POS_ASM_TAC : term -> tactic
*
*
* ============== DNM_POS_ASM_TAC
* A ?- 0 < t1
*
* If t1 is term representing the denominator of a fraction ‘‘dnm x‘‘

248
* or a product of denominators ‘‘dnm x1 * dnm x2 * ... * dnm xn‘‘,
* the fact that this term is positive is added to the assumptions.
*--------------------------------------------------------------------------*)
(* INT_MUL_POS_SIGN: |- !a b. 0 0 0 raise ERR "FRAC_NOT_NAN_ASM_TAC" "";
(*--------------------------------------------------------------------------
* NMR: thm
* |- !a b. 0 < b ==> (nmr (abs_frac (a,b)) = a)
*
* DNM: thm
* |- !a b. 0 < b ==> (dnm (abs_frac (a,b)) = b)
*--------------------------------------------------------------------------*)
(* FRAC_REP_ABS_SUBST: 0 < b |- (rep_frac (abs_frac (a,b)) = (a,b)) : thm *)
val FRAC_REP_ABS_SUBST =
let
val lemma01 = prove( ‘‘(\f. 0 (nmr (abs_frac (a,b)) = a)‘‘,
REPEAT STRIP_TAC THEN

249
REWRITE_TAC[nmr_def] THEN
REWRITE_TAC[FRAC_REP_ABS_SUBST] );
(* DNM: !a b. 0 < b ==> (nmr (abs_frac (a,b)) = a) *)
val DNM = store_thm("DNM", ‘‘!a b. 0 < b ==> (dnm (abs_frac (a,b)) = b)‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[dnm_def] THEN
REWRITE_TAC[FRAC_REP_ABS_SUBST] );
(*--------------------------------------------------------------------------
* FRAC_ID: thm
* |- !f. abs_frac (nmr f,dnm f) = f
*--------------------------------------------------------------------------*)
val FRAC_ID = store_thm("FRAC_ID", ‘‘!f. abs_frac (nmr f,dnm f) = f‘‘,
STRIP_TAC THEN
REWRITE_TAC[nmr_def,dnm_def]
THEN ARW_TAC[FRAC_ABS_REP_SUBST]);
(*--------------------------------------------------------------------------
* FRAC_EXPLODE_THM: thm
* |- !f a b. 0 < b ==> ((f = abs_frac(a,b)) = (nmr f = a) /\ (dnm f = b))
*--------------------------------------------------------------------------*)
val FRAC_EXPLODE_THM = store_thm("FRAC_EXPLODE_THM",
‘‘!f a b. 0 < b ==> ((f = abs_frac (a,b)) = (nmr f = a) /\ (dnm f = b))‘‘,
REPEAT STRIP_TAC THEN
EQ_TAC THEN
STRIP_TAC THEN
ARW_TAC[NMR,DNM,FRAC_ID] );
(*--------------------------------------------------------------------------
* FRAC_ADD_ASSOC: thm
* |- !a b c. add a (add b c) = add (add a b) c
*
* FRAC_MULT_ASSOC: thm
* |- !a b c. mul a (mul b c) = mul (mul a b) c
*--------------------------------------------------------------------------*)
val FRAC_ADD_ASSOC = store_thm("FRAC_ADD_ASSOC",
‘‘!a b c. add a (add b c) = add (add a b) c‘‘,
REPEAT STRIP_TAC THEN REWRITE_TAC[add_def]
THEN DNM_POS_ASM_TAC ‘‘dnm a * dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b * dnm c‘‘
THEN ARW_TAC[NMR,DNM]
THEN FRAC_EQ_TAC THEN INT_RING_TAC );
val FRAC_MULT_ASSOC = store_thm("FRAC_MULT_ASSOC",
‘‘!a b c. mul a (mul b c) = mul (mul a b) c‘‘,
REPEAT STRIP_TAC THEN REWRITE_TAC[mul_def]

250
THEN DNM_POS_ASM_TAC ‘‘dnm a * dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b * dnm c‘‘
THEN ARW_TAC[NMR,DNM]
THEN FRAC_EQ_TAC THEN INT_RING_TAC);
(*--------------------------------------------------------------------------
* FRAC_ADD_COMM: thm
* |- !a b c. add a b = add b a
*
* FRAC_MULT_COMM: thm
* |- !a b c. mul a b = mul b a
*--------------------------------------------------------------------------*)
val FRAC_ADD_COMM = store_thm("FRAC_ADD_COMM",
‘‘!a b. add a b = add b a‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[add_def]
THEN FRAC_EQ_TAC
THEN INT_RING_TAC );
val FRAC_MULT_COMM = store_thm("FRAC_MULT_COMM",
‘‘!a b. mul a b = mul b a‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[mul_def]
THEN FRAC_EQ_TAC THEN
INT_RING_TAC );
(*--------------------------------------------------------------------------
* FRAC_ADD_RID: thm
* |- !a. add a frac_0 = a
*
* FRAC_MUL_RID: thm
* |- !a. mul a frac_1 = a
*--------------------------------------------------------------------------*)
val FRAC_ADD_RID = store_thm("FRAC_ADD_RID",‘‘!a. add a frac_0 = a‘‘,
STRIP_TAC THEN
REWRITE_TAC[add_def, frac_0_def]
THEN ARW_TAC[NMR,DNM]
THEN REWRITE_TAC[RING_NORM_CONV
‘‘nmr a * 1 + 0 * dnma‘‘, RING_NORM_CONV ‘‘dnm a * 1‘‘]
THEN ARW_TAC[FRAC_ID] );
val FRAC_MUL_RID = store_thm("FRAC_MUL_RID",‘‘!a. mul a frac_1 = a‘‘,
STRIP_TAC THEN
REWRITE_TAC[mul_def, frac_1_def]
THEN ARW_TAC[NMR,DNM]
THEN REWRITE_TAC[RING_NORM_CONV ‘‘nmr a * 1‘‘, RING_NORM_CONV ‘‘dnm a * 1‘‘]
THEN ARW_TAC[FRAC_ID] );

251
(*--------------------------------------------------------------------------
* FRAC_SUB_PLUS: thm
* |- !a b c. sub a (add b c) = sub (sub a b) c
*--------------------------------------------------------------------------*)
val FRAC_SUB_PLUS = store_thm("FRAC_SUB_PLUS",
‘‘!a b c. sub a (add b c) = sub (sub a b) c‘‘,
REPEAT STRIP_TAC THEN REWRITE_TAC[add_def,sub_def,ainv_def]
THEN DNM_POS_ASM_TAC ‘‘dnm a * dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b * dnm c‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm c‘‘
THEN ARW_TAC[NMR,DNM]
THEN FRAC_EQ_TAC THEN
INT_RING_TAC );
(*--------------------------------------------------------------------------
* FRAC_SUB_MINUS: thm
* |- !a b c. sub a (sub b c) = add (sub a b) c
*--------------------------------------------------------------------------*)
val FRAC_SUB_MINUS = store_thm("FRAC_SUB_MINUS",
‘‘!a b c. sub a (sub b c) = add (sub a b) c‘‘,
REPEAT STRIP_TAC THEN REWRITE_TAC[add_def,sub_def,ainv_def]
THEN DNM_POS_ASM_TAC ‘‘dnm a * dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b * dnm c‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm b‘‘
THEN DNM_POS_ASM_TAC ‘‘dnm c‘‘
THEN ARW_TAC[NMR,DNM]
THEN FRAC_EQ_TAC THEN
INT_RING_TAC );
(*--------------------------------------------------------------------------
* SUB_AINV_THM: thm
* |- !a b. sub a b = ainv (sub b a)
*--------------------------------------------------------------------------*)
val SUB_AINV_THM = store_thm("SUB_AINV_THM",
‘‘!a b. sub a b = ainv (sub b a)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[ainv_def, add_def, sub_def] THEN
DNM_POS_ASM_TAC ‘‘dnm a‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm b‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm b * dnm a‘‘ THEN
ARW_TAC[NMR,DNM] THEN
FRAC_EQ_TAC THEN
INT_RING_TAC );
val _ = export_theory();

252
A.3 fractionLib
structure fractionLib :> fractionLib =
struct
open HolKernel boolLib Parse bossLib;
(* interactive mode
app load ["integerTheory","intLib","ringLib",
"integerRingTheory","integerRingLib"];
*)
open
pairTheory arithmeticTheory ringTheory ringLib
integerTheory intLib integerRingTheory integerRingLib
fractionTheory;
val ARW_TAC = RW_TAC int_ss;
val frac_bij = DB.fetch "fraction" "frac_tybij";
(*--------------------------------------------------------------------------
* FRAC_EQ_TAC : tactic
*
* A ?- abs_frac(a1,b1) = abs_frac(a2,b2)
* ========================================= FRAC_EQ_TAC
* A ?- a1=a2 | A ?- b1=b2
*
* Two fractions are equal, if the nominator and the denominator are
* equal.
*--------------------------------------------------------------------------*)
val FRAC_EQ_TAC:tactic = fn (asl,w) =>
let
val (lhs,rhs) = dest_eq w
in
let
val (lhc, lha) = dest_comb lhs;
val (rhc, rha ) = dest_comb rhs;
in
let
val [a1,b1] = strip_pair lha;
val [a2,b2] = strip_pair rha;
in
let
val sg1 = mk_eq(a1,a2);
val sg2 = mk_eq(b1,b2);
in
(
[(asl,sg1), (asl,sg2)],
fn [thm1,thm2] => MP

253
(SPEC b2 (SPEC a2 (SPEC b1 (SPEC a1 (
prove(‘‘!a1 b1 a2 b2. (a1=a2) /\ (b1=b2) ==>
(abs_frac(a1,b1)=abs_frac(a2,b2))‘‘, ARW_TAC[])
)))))
(CONJ thm1 thm2)
)
end
end
end
end
handle HOL_ERR _ => raise ERR "FRAC_EQ_TAC" "";
(*--------------------------------------------------------------------------
* DNM_POS_ASM_TAC : term -> tactic
*
*
* ============== DNM_POS_ASM_TAC
* A ?- 0 < t1
*
* If t1 is term representing the denominator of a fraction ‘‘dnm x‘‘
* or a product of denominators ‘‘dnm x1 * dnm x2 * ... * dnm xn‘‘,
* the fact that this term is positive is added to the assumptions.
*--------------------------------------------------------------------------*)
(* INT_MUL_POS_SIGN: |- !a b. 0 0 0 raise ERR "FRAC_NOT_NAN_ASM_TAC" "";
(*--------------------------------------------------------------------------
* NMR_CONV: conv
* NMR_CONV ‘‘nmr (abs_frac (a,b))‘‘ = 0 < b |- (nmr (abs_frac (a,b)) = a)
*
* DNM_CONV: thm
* DNM_CONV ‘‘dnm (abs_frac (a,b))‘‘ = 0 < b |- (dnm (abs_frac (a,b)) = a)

254
*--------------------------------------------------------------------------*)
val NMR_CONV:conv = fn term =>
let
val (nmr,f) = dest_comb term;
in
let
val (abs,args) = dest_comb f;
in
let
val [a,b] = strip_pair args;
in
UNDISCH_ALL(SPEC b (SPEC a NMR))
end
end
end
handle HOL_ERR _ => raise ERR "NMR_CONV" "";
val DNM_CONV:conv = fn term =>
let
val (nmr,f) = dest_comb term;
in
let
val (abs,args) = dest_comb f;
in
let
val [a,b] = strip_pair args;
in
UNDISCH_ALL(SPEC b (SPEC a DNM))
end
end
end
handle HOL_ERR _ => raise ERR "DNM_CONV" "";
end;
A.4 rationalScript
(*==========================================================================*)
(* Theory of rational numbers. (Jens Brandt) *)
(* *)
(* The rational numbers are constructed as equivalence classes of fractions *)
(* using the quotient theory of Peter Vincent Homeier *)
(* *)
(* February 2004 *)
(* *)
(*==========================================================================*)
open HolKernel boolLib Parse bossLib;

255
(* interactive mode
app load ["fractionTheory", "fractionLib", "quotient"];
*)
open
pairTheory arithmeticTheory ringTheory ringLib
integerTheory intLib integerRingTheory integerRingLib
fractionTheory fractionLib quotient;
val _ = new_theory "rational";
val ARW_TAC = RW_TAC int_ss;
val frac_bij = DB.fetch "fraction" "frac_tybij";
(*--------------------------------------------------------------------------*
* some lemmas
*--------------------------------------------------------------------------*)
(* LESS_IMP_NOT_0: |- !n. 0i ~(n=0i) *)
val LESS_IMP_NOT_0 = store_thm("LESS_IMP_NOT_0",
‘‘!n:int. 0i ~(n=0i)‘‘,
GEN_TAC THEN
ASM_CASES_TAC ‘‘n=0i‘‘
THEN ARW_TAC[] );
(* INT_EQ_RMUL_EXP: |- !a b n. 0 ((a=b) = (a*n=b*n)) *)
val INT_EQ_RMUL_EXP = store_thm("INT_EQ_RMUL_EXP",
‘‘!a:int b:int n:int. 0 ((a=b) = (a*n=b*n))‘‘,
REPEAT STRIP_TAC
THEN EQ_TAC
THEN ASSUME_TAC (prove(‘‘0i ~(n=0i)‘‘,
ASM_CASES_TAC ‘‘n=0i‘‘ THEN ARW_TAC[]))
THEN ASSUME_TAC (SPEC ‘‘n:int‘‘ (SPEC ‘‘b:int‘‘
(SPEC ‘‘a:int‘‘ INT_EQ_RMUL_IMP)))
THEN ARW_TAC[] );
(* INT_LT_RMUL_EXP: |- !a b n. 0 ((ab*n
REPEAT STRIP_TAC THEN
REWRITE_TAC[int_gt] THEN
ASSUME_TAC (UNDISCH_ALL (GSYM (SPEC ‘‘a:int‘‘ (SPEC ‘‘b:int‘‘
(SPEC ‘‘n:int‘‘ INT_LT_MONO))))) THEN
ARW_TAC[INT_MUL_SYM] );

256
(* ABS_NOT_0_POSITIVE: |- !x:int. ~(x = 0i) ==> 0i < ABS x *)
val ABS_NOT_0_POSITIVE = store_thm("ABS_NOT_0_POSITIVE",
‘‘!x:int. ~(x = 0i) ==> 0i < ABS x‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[INT_ABS] THEN
ASM_CASES_TAC ‘‘x rat_equiv a c *)
val RAT_EQUIV_TRANS =
let
val subst01 = prove(
‘‘(nmr a * dnm b = nmr b * dnm a) =
(nmr a * dnm b * dnm c * dnm c = nmr b * dnm a * dnm c * dnm c)‘‘,
DNM_POS_ASM_TAC ‘‘dnm c * dnm c‘‘ THEN
ASSUME_TAC (SPEC ‘‘dnm c * dnm c‘‘ (SPEC ‘‘nmr b * dnm a‘‘

257
(SPEC ‘‘nmr a * dnm b‘‘ INT_EQ_RMUL_EXP))) THEN
ARW_TAC[INT_MUL_ASSOC]);
val subst02 = prove(
‘‘(nmr b * dnm c = nmr c * dnm b) =
(nmr b * dnm c * dnm a * dnm c = nmr c * dnm b * dnm a * dnm c)‘‘,
DNM_POS_ASM_TAC ‘‘dnm a * dnm c‘‘ THEN
ASSUME_TAC (SPEC ‘‘dnm a * dnm c‘‘ (SPEC ‘‘nmr c * dnm b‘‘
(SPEC ‘‘nmr b * dnm c‘‘ INT_EQ_RMUL_EXP))) THEN
ARW_TAC[INT_MUL_ASSOC]);
val subst03 = prove(
‘‘(nmr a * dnm c = nmr c * dnm a) =
(nmr a * dnm c * dnm b * dnm c = nmr c * dnm a * dnm b * dnm c)‘‘,
DNM_POS_ASM_TAC ‘‘dnm b * dnm c‘‘ THEN
ASSUME_TAC (SPEC ‘‘dnm b * dnm c‘‘ (SPEC ‘‘nmr c * dnm a‘‘
(SPEC ‘‘nmr a * dnm c‘‘ INT_EQ_RMUL_EXP))) THEN
ARW_TAC[INT_MUL_ASSOC]);
val subst11 =
EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM)
‘‘nmr a * dnm b * dnm c * dnm c
= nmr a * dnm c * dnm b * dnm c‘‘);
val subst12 =
EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM)
‘‘nmr b * dnm a * dnm c * dnm c
= nmr b * dnm c * dnm a * dnm c‘‘);
val subst13 =
EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM)
‘‘nmr c * dnm b * dnm a * dnm c
= nmr c * dnm a * dnm b * dnm c‘‘);
in
store_thm("RAT_EQUIV_TRANS",
‘‘!a b c. rat_equiv a b /\ rat_equiv b c ==> rat_equiv a c‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[rat_equiv_def] THEN
SUBST_TAC[subst01, subst02, subst03] THEN
SUBST_TAC[subst11, subst12, subst13] THEN
REPEAT STRIP_TAC THEN
ASM_REWRITE_TAC[] )
end;
(*--------------------------------------------------------------------------*
* RAT_EQUIV_ALT
*
* |- !a. rat_equiv a =
* \x. (?b c. 0

258
*
* alternative representation of equivalence relation
*--------------------------------------------------------------------------*)
val RAT_EQUIV_ALT =
let
val lemma1 = prove(‘‘! x y. 0 0 < dnm x * y‘‘,
REPEAT GEN_TAC THEN DNM_POS_ASM_TAC ‘‘dnm x‘‘ THEN
ARW_TAC[INT_MUL_POS_SIGN]);
val lemma2 = prove(
‘‘(abs_frac (nmr a * b,dnm a * b) = abs_frac (nmr f * c,dnm f * c))
==> (rep_frac (abs_frac (nmr a * b,dnm a * b))
= rep_frac (abs_frac (nmr f * c,dnm f * c)))‘‘, ARW_TAC[]);
(* lemma3: 0 < dnm a * b |=
rep_frac (abs_frac (nmr a * b,dnm a * b)) = (nmr a * b,dnm a * b) *)
val lemma3 = UNDISCH_ALL (REWRITE_RULE[SND]
(#1 (EQ_IMP_RULE (SPEC ‘‘(nmr a * b,dnm a * b)‘‘
(BETA_RULE (CONJUNCT2 frac_bij))))));
(* lemma4: 0 < dnm f * c |=
rep_frac (abs_frac (nmr f * c,dnm f * c)) = (nmr f * c,dnm f * c) *)
val lemma4 = UNDISCH_ALL (REWRITE_RULE[SND]
(#1 (EQ_IMP_RULE (SPEC ‘‘(nmr f * c,dnm f * c)‘‘
(BETA_RULE (CONJUNCT2 frac_bij))))));
in
val subst1 = UNDISCH_ALL (SPEC ‘‘b:int‘‘
(SPEC ‘‘nmr f * dnm a‘‘ (SPEC ‘‘nmr a * dnm f‘‘ INT_EQ_RMUL_EXP)));
val subst2 = UNDISCH_ALL (SPEC ‘‘c:int‘‘
(SPEC ‘‘nmr f * dnm a * b‘‘ (SPEC ‘‘nmr a * dnm f * b‘‘
INT_EQ_RMUL_EXP)));
store_thm("RAT_EQUIV_ALT",
‘‘!a. rat_equiv a = \x. (?b c. 0

259
end;
,
])
ARW_TAC[] THEN
UNDISCH_TAC ‘‘abs_frac(nmr a * nmr (abs_frac (b,b)),
dnm a * dnm (abs_frac (b,b))) = abs_frac(nmr f
* nmr (abs_frac (c,c)),dnm f * dnm (abs_frac (c,c)))‘‘ THEN
REWRITE_TAC[NMR_CONV ‘‘nmr (abs_frac (b,b))‘‘,
NMR_CONV ‘‘nmr (abs_frac (c,c))‘‘, DNM_CONV ‘‘dnm
(abs_frac (b,b))‘‘, DNM_CONV ‘‘dnm (abs_frac (c,c))‘‘] THEN
ASSUME_TAC (UNDISCH_ALL (SPEC ‘‘b:int‘‘
(SPEC ‘‘a:frac‘‘ lemma1))) THEN
ASSUME_TAC (UNDISCH_ALL
(SPEC ‘‘c:int‘‘ (SPEC ‘‘f:frac‘‘ lemma1))) THEN
STRIP_TAC THEN
ASSUME_TAC (UNDISCH_ALL lemma2) THEN
UNDISCH_TAC ‘‘rep_frac (abs_frac (nmr a * b,dnm a * b))
= rep_frac (abs_frac (nmr f * c,dnm f * c))‘‘ THEN
SUBST_TAC[lemma3,lemma4] THEN
ARW_TAC[] THEN
REWRITE_TAC[subst1, subst2] THEN
REWRITE_TAC[EQT_ELIM(RING_CONV
‘‘nmr a * dnm f * b * c = (nmr a * b) * dnm f * c‘‘)] THEN
ARW_TAC[] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV
‘‘nmr f * b * dnm a * c = (dnm a * b) * nmr f * c‘‘)] THEN
ARW_TAC[]
(*--------------------------------------------------------------------------*
* type definition
*--------------------------------------------------------------------------*)
val rat_def = define_quotient_type "rat"
"abs_rat"
"rep_rat"
RAT_EQUIV_REF RAT_EQUIV_SYM RAT_EQUIV_TRANS;
(*--------------------------------------------------------------------------*
* operations
*--------------------------------------------------------------------------*)
(* numerator, denominator, sign of a fraction *)
val rat_nmr_def = Define ‘rat_nmr r = nmr (rep_rat r)‘;
val rat_dnm_def = Define ‘rat_dnm r = dnm (rep_rat r)‘;
val rat_sgn_def = Define ‘rat_sgn r = sgn (rep_rat r)‘;
(* additive, multiplicative inverse of a fraction *)
val rat_0_def = Define ‘rat_0 = abs_rat( frac_0 )‘;
val rat_1_def = Define ‘rat_1 = abs_rat( frac_1 )‘;

260
(* neutral elements *)
val rat_ainv_def = Define ‘rat_ainv r1 = abs_rat( ainv (rep_rat r1))‘;
val rat_minv_def = Define ‘rat_minv r1 = abs_rat( minv (rep_rat r1))‘;
(* less (absolute value) *)
val rat_les_abs_def = Define
‘rat_les_abs r1 r2 = les_abs (rep_rat r1) (rep_rat r2)‘;
(* basic arithmetics *)
val rat_add_def = Define
‘rat_add r1 r2 = abs_rat( add (rep_rat r1) (rep_rat r2) )‘;
val rat_sub_def = Define
‘rat_sub r1 r2 = abs_rat( sub (rep_rat r1) (rep_rat r2) )‘;
val rat_mul_def = Define
‘rat_mul r1 r2 = abs_rat( mul (rep_rat r1) (rep_rat r2) )‘;
val rat_div_def = Define
‘rat_div r1 r2 = abs_rat( div (rep_rat r1) (rep_rat r2) )‘;
(*--------------------------------------------------------------------------
* REP_ABS_EQUIV
*--------------------------------------------------------------------------*)
val REP_ABS_EQUIV = prove(
‘‘!a. rat_equiv a (rep_rat (abs_rat a))‘‘,
GEN_TAC THEN
REWRITE_TAC[CONJUNCT2 rat_def] THEN
REWRITE_TAC[CONJUNCT1 rat_def]);
val REP_ABS_DFN_EQUIV = prove(
‘‘!x. nmr x * dnm (rep_rat(abs_rat x))
= nmr (rep_rat(abs_rat x)) * dnm x‘‘,
GEN_TAC THEN
REWRITE_TAC[GSYM rat_equiv_def] THEN
ARW_TAC[REP_ABS_EQUIV] );
(* |- !r’ r. (abs_rat r = abs_rat r’) = rat_equiv r r’ *)
val RAT_ABS_EQUIV = GEN_ALL (SYM (SPEC_ALL (CONJUNCT2 rat_def)));
val RAT_ABS_EQUIV_TAC = REWRITE_TAC[RAT_ABS_EQUIV];
val RAT_IMP_EQUIV = prove(‘‘!r1 r2. (r1 = r2) ==> rat_equiv r1 r2‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[rat_equiv_def]
THEN ARW_TAC[]);
val RAT_EQUIV_TRANS_IMP = prove(
‘‘!a b c. rat_equiv a b ==> (rat_equiv a c = rat_equiv b c)‘‘,
REPEAT STRIP_TAC THEN

261
ASM_CASES_TAC ‘‘rat_equiv b c‘‘ THENL [
PROVE_TAC[RAT_EQUIV_TRANS]
,
ASSUME_TAC (CONTRAPOS (SPEC ‘‘c:frac‘‘
(SPEC ‘‘a:frac‘‘ (SPEC ‘‘b:frac‘‘ RAT_EQUIV_TRANS)))) THEN
UNDISCH_TAC ‘‘~rat_equiv b c
==> ~(rat_equiv b a /\ rat_equiv a c)‘‘ THEN
ARW_TAC[RAT_EQUIV_SYM]
]);
val RAT_ADD_EQUIV_ARG = prove(
‘‘!x y z. rat_equiv x y ==> rat_equiv (add x z) (add y z)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[rat_equiv_def] THEN
STRIP_TAC THEN
REWRITE_TAC[add_def] THEN
DNM_POS_ASM_TAC ‘‘dnm x * dnm z‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm y * dnm z‘‘ THEN
ARW_TAC[NMR,DNM] THEN
REWRITE_TAC[INT_RDISTRIB] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_COMM)
‘‘nmr x * dnm z * (dnm y * dnm z) = nmr x * dnm y * dnm z * dnm z‘‘)] THEN
ASM_REWRITE_TAC[] THEN
INT_RING_TAC);
(* funktioniert nicht, bestimmt wegen Änderung in REP_ABS_EQUIV *)
(*val RAT_ADD_REP_ABS_ARG = prove(
‘‘!a b c. rat_equiv (add a b) c = rat_equiv (rep_rat (abs_rat (add a b))) c‘‘,
REPEAT GEN_TAC THEN
MATCH_MP_TAC RAT_EQUIV_TRANS_IMP THEN
ONCE_REWRITE_TAC[RAT_EQUIV_SYM] THEN
ARW_TAC[REP_ABS_EQUIV]);*)
(*--------------------------------------------------------------------------
* NMR_EQ0_CONG: thm
* |- !f1. (nmr (rep_rat (abs_rat f1)) = 0) = (nmr f1 = 0)
*
* NMR_LT0_CONG: thm
* |- !f1. (nmr (rep_rat (abs_rat f1)) < 0) = (nmr f1 < 0)
*
* NMR_GT0_CONG: thm
* |- !f1. (nmr (rep_rat (abs_rat f1)) > 0) = (nmr f1 > 0)
*
*--------------------------------------------------------------------------*)
val NMR_EQ0_CONG =
let
val subst1 = UNDISCH_ALL (SPEC ‘‘dnm f1‘‘ (SPEC ‘‘0i‘‘
(SPEC ‘‘nmr (rep_rat (abs_rat f1))‘‘ INT_EQ_RMUL_EXP)));
val subst2 = UNDISCH_ALL (SPEC ‘‘dnm (rep_rat (abs_rat f1))‘‘

262
(SPEC ‘‘0i‘‘ (SPEC ‘‘nmr f1‘‘ INT_EQ_RMUL_EXP)));
in
store_thm("NMR_EQ0_CONG",
‘‘!f1. (nmr (rep_rat (abs_rat f1)) = 0) = (nmr f1 = 0)‘‘,
GEN_TAC THEN
DNM_POS_ASM_TAC ‘‘dnm f1‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat f1))‘‘ THEN
SUBST_TAC[subst1,subst2] THEN
REWRITE_TAC[INT_MUL_LZERO] THEN
ARW_TAC[REP_ABS_DFN_EQUIV] )
end;
val NMR_LT0_CONG =
let
val subst1 = UNDISCH_ALL (SPEC ‘‘dnm f1‘‘ (SPEC ‘‘0i‘‘
(SPEC ‘‘nmr (rep_rat (abs_rat f1))‘‘ INT_LT_RMUL_EXP)));
val subst2 = UNDISCH_ALL (SPEC ‘‘dnm (rep_rat (abs_rat f1))‘‘
(SPEC ‘‘0i‘‘ (SPEC ‘‘nmr f1‘‘ INT_LT_RMUL_EXP)));
in
store_thm("NMR_LT0_CONG",
‘‘!f1. (nmr (rep_rat (abs_rat f1)) < 0) = (nmr f1 < 0)‘‘,
GEN_TAC THEN
DNM_POS_ASM_TAC ‘‘dnm f1‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat f1))‘‘ THEN
SUBST_TAC[subst1,subst2] THEN
REWRITE_TAC[INT_MUL_LZERO] THEN
ARW_TAC[REP_ABS_DFN_EQUIV] )
end;
val NMR_GT0_CONG =
let
val subst1 = UNDISCH_ALL (SPEC ‘‘dnm f1‘‘ (SPEC ‘‘0i‘‘
(SPEC ‘‘nmr (rep_rat (abs_rat f1))‘‘ INT_GT_RMUL_EXP)));
val subst2 = UNDISCH_ALL (SPEC ‘‘dnm (rep_rat (abs_rat f1))‘‘
(SPEC ‘‘0i‘‘ (SPEC ‘‘nmr f1‘‘ INT_GT_RMUL_EXP)));
in
store_thm("NMR_GT0_CONG",
‘‘!f1. (nmr (rep_rat (abs_rat f1)) > 0) = (nmr f1 > 0)‘‘,
GEN_TAC THEN
DNM_POS_ASM_TAC ‘‘dnm f1‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat f1))‘‘ THEN
SUBST_TAC[subst1,subst2] THEN
REWRITE_TAC[INT_MUL_LZERO] THEN
ARW_TAC[REP_ABS_DFN_EQUIV] )
end;
(*--------------------------------------------------------------------------
* SGN_CONG: thm
* |- !f1. sgn (rep_rat (abs_rat f1)) = sgn f1
*--------------------------------------------------------------------------*)

263
val SGN_CONG = store_thm("SGN_CONG",
‘‘!f1. sgn (rep_rat (abs_rat f1)) = sgn f1‘‘,
GEN_TAC THEN
REWRITE_TAC[sgn_def] THEN
ARW_TAC[NMR_EQ0_CONG, NMR_LT0_CONG] );
(*--------------------------------------------------------------------------
* RAT_AINV_CONG: thm
* |- !x. abs_rat (ainv (rep_rat (abs_rat x))) = abs_rat (ainv x)
*--------------------------------------------------------------------------*)
val RAT_AINV_CONG = store_thm("RAT_AINV_CONG",
‘‘!x. abs_rat (ainv (rep_rat (abs_rat x))) = abs_rat (ainv x)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[RAT_ABS_EQUIV] THEN
REWRITE_TAC[rat_equiv_def,ainv_def] THEN
DNM_POS_ASM_TAC ‘‘dnm x‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat x))‘‘ THEN
ARW_TAC[NMR,DNM] THEN
REWRITE_TAC[INT_MUL_CALCULATE,INT_EQ_NEG] THEN
REWRITE_TAC[GSYM rat_equiv_def] THEN
ONCE_REWRITE_TAC[RAT_EQUIV_SYM] THEN
ARW_TAC[REP_ABS_EQUIV] );
(*--------------------------------------------------------------------------
* RAT_MINV_CONG: thm
* |- !x. ~(nmr x=0) ==>
* (abs_rat (minv (rep_rat (abs_rat x))) = abs_rat (minv x))
*--------------------------------------------------------------------------*)
val RAT_MINV_CONG =
let
val lemmaX = store_thm("RAT_MINV_CONG",
‘‘0 < ABS (nmr x) ==> 0 < ABS (nmr (rep_rat (abs_rat x)))‘‘,
REWRITE_TAC[INT_ABS] THEN
REWRITE_TAC[NMR_LT0_CONG] THEN
ARW_TAC[] THENL
[
ONCE_REWRITE_TAC[GSYM INT_NEG_0] THEN
ONCE_REWRITE_TAC[INT_LT_NEG] THEN
PROVE_TAC[NMR_LT0_CONG]
,
UNDISCH_TAC ‘‘0 < nmr x‘‘ THEN
REWRITE_TAC[GSYM int_gt] THEN
PROVE_TAC[NMR_GT0_CONG]
] );
val lemmaY = prove(‘‘!x:int. 0 (ABS x = x)‘‘,
GEN_TAC THEN
REWRITE_TAC[INT_ABS] THEN

264
in
ARW_TAC[] THEN
PROVE_TAC[INT_LT_ANTISYM] );
prove(‘‘!x. ~(nmr x=0) ==>
(abs_rat (minv (rep_rat (abs_rat x))) = abs_rat (minv x))‘‘,
end;
REPEAT STRIP_TAC THEN
REWRITE_TAC[minv_def] THEN
ASSUME_TAC (UNDISCH_ALL (SPEC ‘‘nmr x‘‘ ABS_NOT_0_POSITIVE)) THEN
ASSUME_TAC (UNDISCH_ALL lemmaX) THEN
RAT_ABS_EQUIV_TAC THEN
REWRITE_TAC[rat_equiv_def] THEN
ARW_TAC[NMR,DNM] THEN
DNM_POS_ASM_TAC ‘‘dnm x‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat x))‘‘ THEN
ONCE_REWRITE_TAC[UNDISCH_ALL (GSYM (SPEC ‘‘dnm x‘‘ lemmaY)),
UNDISCH_ALL (GSYM (SPEC ‘‘dnm (rep_rat (abs_rat x))‘‘ lemmaY))] THEN
REWRITE_TAC[SGN_CONG] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM)
‘‘sgn x * ABS (dnm (rep_rat (abs_rat x))) * ABS (nmr x)
= sgn x * (ABS (dnm (rep_rat (abs_rat x))) * ABS (nmr x))‘‘)] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM)
‘‘sgn x * ABS (dnm x) * ABS (nmr (rep_rat (abs_rat x)))
= sgn x * (ABS (dnm x) * ABS (nmr (rep_rat (abs_rat x))))‘‘)] THEN
REWRITE_TAC[INT_ABS_MUL] THEN
REWRITE_TAC[INT_EQ_LMUL] THEN
DISJ2_TAC THEN
ONCE_REWRITE_TAC[INT_MUL_SYM] THEN
REWRITE_TAC[REP_ABS_DFN_EQUIV] )
(*--------------------------------------------------------------------------
* RAT_ADD_CONG1: thm
* |- !x y. abs_rat (add (rep_rat (abs_rat x)) y) = abs_rat (add x y)
*
* RAT_ADD_CONG2: thm
* |- !x y. abs_rat (add x (rep_rat (abs_rat y))) = abs_rat (add x y)
*
* RAT_ADD_CONG: thm
* |- !x y. abs_rat (add (rep_rat (abs_rat x)) y) = abs_rat (add x y) /\
* !x y. abs_rat (add x (rep_rat (abs_rat y))) = abs_rat (add x y)
*--------------------------------------------------------------------------*)
val RAT_ADD_CONG1 =
let
val lemmaX = prove(
‘‘!a:int b:int c:int d:int. (a + b = c + d) = (a - c = d - b)‘‘,
REWRITE_TAC[SPEC ‘‘b:int‘‘ (SPEC ‘‘d:int‘‘

265
in
(SPEC ‘‘a:int - c:int‘‘ INT_EQ_SUB_LADD))] THEN
ONCE_REWRITE_TAC[EQT_ELIM (intLib.ARITH_CONV
‘‘(a:int) - (c:int) + (b:int) = a + b - c‘‘)] THEN
REWRITE_TAC[SPEC ‘‘d:int‘‘ (SPEC ‘‘c:int‘‘
(SPEC ‘‘(a:int) + (b:int)‘‘ INT_EQ_SUB_RADD)) ] THEN
ARW_TAC[EQT_ELIM (intLib.ARITH_CONV ‘‘(d:int) + (c:int) = c + d‘‘)] );
val lemmaY = prove(‘‘!a:int b:int. 0 ( (a*b=0)=(a=0) )‘‘,
REPEAT STRIP_TAC THEN
EQ_TAC THENL
[
SUBST_TAC[UNDISCH_ALL (SPEC ‘‘b:int‘‘ (SPEC ‘‘0i‘‘ (SPEC ‘‘a:int‘‘
INT_EQ_RMUL_EXP)))] THEN
ASM_REWRITE_TAC[] THEN
ARW_TAC[INT_MUL_LZERO]
,
ARW_TAC[INT_MUL_LZERO]
]);
val subst1 = UNDISCH_ALL (SPEC ‘‘dnm y‘‘
(SPEC ‘‘(nmr x * (dnm (rep_rat (abs_rat x)) * dnm y)
+ nmr y * dnm x * dnm (rep_rat (abs_rat x)))‘‘
(SPEC ‘‘(nmr (rep_rat (abs_rat x)) * dnm x * dnm y
+ nmr y * dnm (rep_rat (abs_rat x)) * dnm x)‘‘
(GSYM INT_EQ_RMUL_EXP))));
store_thm("RAT_ADD_CONG1",
‘‘!x y. abs_rat (add (rep_rat (abs_rat x)) y) = abs_rat (add x y)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[RAT_ABS_EQUIV] THEN
REWRITE_TAC[rat_equiv_def,add_def] THEN
DNM_POS_ASM_TAC ‘‘dnm x * dnm y‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat x)) * dnm y‘‘ THEN
ARW_TAC[NMR,DNM] THEN
REWRITE_TAC[INT_RDISTRIB] THEN
REWRITE_TAC[EQT_ELIM (
RING_CONV ‘‘ nmr (rep_rat (abs_rat x)) * dnm y
* (dnm x * dnm y) + nmr y * dnm (rep_rat (abs_rat x))
* (dnm x * dnm y) = (nmr (rep_rat (abs_rat x)) * dnm x
* dnm y + nmr y * dnm (rep_rat (abs_rat x)) * dnm x)
* dnm y‘‘)] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV ‘‘ nmr x * dnm y
* (dnm (rep_rat (abs_rat x)) * dnm y) + nmr y * dnm x
* (dnm (rep_rat (abs_rat x)) * dnm y)=(nmr x
* (dnm (rep_rat (abs_rat x)) * dnm y) + nmr y
* dnm x * (dnm (rep_rat (abs_rat x)))) * dnm y‘‘)] THEN
DNM_POS_ASM_TAC ‘‘dnm y‘‘ THEN
SUBST_TAC[subst1] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV ‘‘nmr x
* (dnm (rep_rat (abs_rat x)) * dnm y) = nmr x
* dnm (rep_rat (abs_rat x)) * dnm y‘‘)] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV ‘‘nmr y * dnm x

266
end;
* dnm (rep_rat (abs_rat x)) = nmr y * (dnm x
* dnm (rep_rat (abs_rat x)))‘‘)] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV ‘‘nmr y * dnm (rep_rat (abs_rat x))
* dnm x = nmr y * (dnm (rep_rat (abs_rat x)) * dnm x)‘‘)] THEN
ARW_TAC[lemmaX] THEN
REWRITE_TAC[GSYM INT_SUB_LDISTRIB, GSYM INT_SUB_RDISTRIB] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV
‘‘dnm x * dnm (rep_rat (abs_rat x))
= dnm (rep_rat (abs_rat x)) * dnm x‘‘)] THEN
ARW_TAC[INT_MUL_RZERO,INT_SUB_REFL] THEN
ARW_TAC[lemmaY] THEN
ARW_TAC[INT_EQ_SUB_LADD, INT_ADD_LID] THEN
REWRITE_TAC[GSYM rat_equiv_def] THEN
ARW_TAC[GSYM REP_ABS_EQUIV] )
val RAT_ADD_CONG2 = store_thm("RAT_ADD_CONG",
‘‘!x y. abs_rat (add x (rep_rat (abs_rat y))) = abs_rat (add x y)‘‘,
ONCE_REWRITE_TAC[FRAC_ADD_COMM] THEN
ARW_TAC[RAT_ADD_CONG1]);
val RAT_ADD_CONG = save_thm
("RAT_ADD_CONG", CONJ RAT_ADD_CONG1 RAT_ADD_CONG2);
(*--------------------------------------------------------------------------
* RAT_MULT_CONG1: thm
* |- !x y. abs_rat (mul (rep_rat (abs_rat x)) y) = abs_rat (mul x y)
*
* RAT_MULT_CONG2: thm
* |- !x y. abs_rat (mul x (rep_rat (abs_rat y))) = abs_rat (mul x y)
*
* RAT_MULT_CONG: thm
* |- !x y. abs_rat (mul (rep_rat (abs_rat x)) y) = abs_rat (mul x y) /\
* !x y. abs_rat (mul x (rep_rat (abs_rat y))) = abs_rat (mul x y)
*--------------------------------------------------------------------------*)
val RAT_MULT_CONG1 = store_thm("RAT_MULT_CONG1",
‘‘!x y. abs_rat (mul (rep_rat (abs_rat x)) y) = abs_rat (mul x y)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[RAT_ABS_EQUIV] THEN
REWRITE_TAC[rat_equiv_def,mul_def] THEN
DNM_POS_ASM_TAC ‘‘dnm x * dnm y‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat (abs_rat x)) * dnm y‘‘ THEN
ARW_TAC[NMR,DNM] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV ‘‘nmr (rep_rat (abs_rat x))
* nmr y * (dnm x * dnm y) = nmr (rep_rat (abs_rat x)) *dnm x
* nmr y * dnm y‘‘)] THEN
REWRITE_TAC[EQT_ELIM (RING_CONV ‘‘nmr x * nmr y
* (dnm (rep_rat (abs_rat x)) * dnm y) = nmr x

267
* dnm (rep_rat (abs_rat x)) * nmr y * dnm y‘‘)] THEN
DNM_POS_ASM_TAC ‘‘dnm y‘‘ THEN
REWRITE_TAC[INT_EQ_RMUL] THEN
ARW_TAC[LESS_IMP_NOT_0] THEN
ASM_CASES_TAC ‘‘nmr y=0‘‘ THENL
[
ARW_TAC[]
,
ARW_TAC[] THEN
REWRITE_TAC[GSYM rat_equiv_def] THEN
ONCE_REWRITE_TAC[RAT_EQUIV_SYM] THEN
ARW_TAC[REP_ABS_EQUIV]
] );
val RAT_MULT_CONG2 = store_thm("RAT_MULT_CONG2",
‘‘!x y. abs_rat (mul x (rep_rat (abs_rat y))) = abs_rat (mul x y)‘‘,
ONCE_REWRITE_TAC[FRAC_MULT_COMM] THEN
ARW_TAC[RAT_MULT_CONG1]);
val RAT_MULT_CONG =
save_thm("RAT_MULT_CONG", CONJ RAT_MULT_CONG1 RAT_MULT_CONG2);
(*--------------------------------------------------------------------------
* RAT_SUB_CONG1: thm
* |- !x y. abs_rat (sub (rep_rat (abs_rat x)) y) = abs_rat (sub x y)
*
* RAT_SUB_CONG2: thm
* |- !x y. abs_rat (sub x (rep_rat (abs_rat y))) = abs_rat (sub x y)
*
* RAT_SUB_CONG: thm
* |- !x y. abs_rat (sub (rep_rat (abs_rat x)) y) = abs_rat (sub x y) /\
* !x y. abs_rat (sub x (rep_rat (abs_rat y))) = abs_rat (sub x y)
*--------------------------------------------------------------------------*)
val RAT_SUB_CONG1 = store_thm("RAT_SUB_CONG1",
‘‘!x y. abs_rat (sub (rep_rat (abs_rat x)) y) = abs_rat (sub x y)‘‘,
REWRITE_TAC[sub_def] THEN
ARW_TAC[RAT_ADD_CONG]);
val RAT_SUB_CONG2 = store_thm("RAT_SUB_CONG2",
‘‘!x y. abs_rat (sub x (rep_rat (abs_rat y))) = abs_rat (sub x y)‘‘,
ONCE_REWRITE_TAC[SUB_AINV_THM] THEN
ONCE_REWRITE_TAC[GSYM RAT_AINV_CONG] THEN
ARW_TAC[RAT_SUB_CONG1] );
val RAT_SUB_CONG = save_thm("RAT_SUB_CONG",
CONJ RAT_SUB_CONG1 RAT_SUB_CONG2);
(*--------------------------------------------------------------------------
* RAT_DIV_CONG1: thm

268
* |- !x y. ~(nmr y = 0) ==>
* (abs_rat (div (rep_rat (abs_rat x)) y) = abs_rat (div x y))
*
* RAT_DIV_CONG2: thm
* |- !x y. ~(nmr y = 0) ==>
(abs_rat (div x (rep_rat (abs_rat y))) = abs_rat (div x y))
*
* RAT_DIV_CONG: thm
* |- !x y. ~(nmr y = 0) ==>
* (abs_rat (div (rep_rat (abs_rat x)) y) = abs_rat (div x y)) /\
* !x y. ~(nmr y = 0) ==>
(abs_rat (div x (rep_rat (abs_rat y))) = abs_rat (div x y))
*--------------------------------------------------------------------------*)
val RAT_DIV_CONG1 = store_thm("RAT_DIV_CONG1", ‘‘!x y. ~(nmr y = 0) ==>
(abs_rat (div (rep_rat (abs_rat x)) y) = abs_rat (div x y))‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[div_def] THEN
ARW_TAC[RAT_MULT_CONG] );
val RAT_DIV_CONG2 = store_thm("RAT_DIV_CONG2", ‘‘!x y. ~(nmr y = 0) ==>
(abs_rat (div x (rep_rat (abs_rat y))) = abs_rat (div x y))‘‘,
REPEAT STRIP_TAC THEN
REWRITE_TAC[div_def, mul_def] THEN
DNM_POS_ASM_TAC ‘‘dnm x * dnm (minv y)‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm x * dnm (minv (rep_rat (abs_rat y)))‘‘ THEN
RAT_ABS_EQUIV_TAC THEN
REWRITE_TAC [rat_equiv_def] THEN
ARW_TAC[NMR,DNM] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM) ‘‘nmr x
* nmr (minv (rep_rat (abs_rat y))) * (dnm x * dnm (minv y))
= (nmr x * dnm x) * (nmr (minv (rep_rat (abs_rat y)))
* dnm (minv y))‘‘)] THEN
REWRITE_TAC[EQT_ELIM (AC_CONV (INT_MUL_ASSOC,INT_MUL_SYM)
‘‘nmr x * nmr (minv y) * (dnm x * dnm (minv (rep_rat (abs_rat y))))
= (nmr x * dnm x) *(nmr (minv y) * dnm (minv (rep_rat
(abs_rat y))))‘‘)] THEN
REWRITE_TAC[INT_EQ_LMUL] THEN
DISJ2_TAC THEN
REWRITE_TAC[GSYM rat_equiv_def] THEN
REWRITE_TAC[GSYM RAT_ABS_EQUIV] THEN
ARW_TAC[RAT_MINV_CONG] );
val RAT_DIV_CONG =
save_thm("RAT_DIV_CONG", CONJ RAT_DIV_CONG1 RAT_DIV_CONG2 );
(*--------------------------------------------------------------------------
* RAT_ADD_ASSOC: thm
* |- !a b c. rat_add a (rat_add b c) = rat_add (rat_add a b) c

269
*
* RAT_MULT_ASSOC: thm
* |- !a b c. rat_mul a (rat_mul b c) = rat_mul (rat_mul a b) c
*--------------------------------------------------------------------------*)
val RAT_ADD_ASSOC = store_thm("RAT_ADD_ASSOC",
‘‘!a b c. rat_add a (rat_add b c) = rat_add (rat_add a b) c‘‘,
REWRITE_TAC[rat_add_def] THEN
REWRITE_TAC[RAT_ADD_CONG] THEN
REWRITE_TAC[FRAC_ADD_ASSOC] );
val RAT_MULT_ASSOC = store_thm("RAT_MULT_ASSOC",
‘‘!a b c. rat_mul a (rat_mul b c) = rat_mul (rat_mul a b) c‘‘,
REWRITE_TAC[rat_mul_def] THEN
REWRITE_TAC[RAT_MULT_CONG] THEN
REWRITE_TAC[FRAC_MULT_ASSOC] );
(*--------------------------------------------------------------------------
* RAT_ADD_COMM: thm
* |- !a b. rat_add a b = rat_add b a
*
* RAT_ADD_COMM: thm
* |- !a b. rat_mul a b = rat_mul b a
*--------------------------------------------------------------------------*)
val RAT_ADD_COMM = store_thm("RAT_ADD_COMM",
‘‘!a b. rat_add a b = rat_add b a‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[rat_add_def] THEN
REWRITE_TAC[RAT_ABS_EQUIV] THEN
MATCH_MP_TAC RAT_IMP_EQUIV THEN
ARW_TAC[FRAC_ADD_COMM] );
val RAT_MULT_COMM = store_thm("RAT_MULT_COMM",
‘‘!a b. rat_mul a b = rat_mul b a‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[rat_mul_def] THEN
REWRITE_TAC[RAT_ABS_EQUIV] THEN
MATCH_MP_TAC RAT_IMP_EQUIV THEN
ARW_TAC[FRAC_MULT_COMM] );
(*--------------------------------------------------------------------------
* RAT_ADD_RID: thm
* |- !a. rat_add a rat_0 = a
*
* RAT_ADD_LID: thm
* |- !a. rat_add rat_0 a = a
*
* RAT_MULT_RID: thm
* |- !a. rat_mul a rat_1 = a

270
*
* RAT_MULT_LID: thm
* |- !a. rat_mul rat_1 a = a
*--------------------------------------------------------------------------*)
val RAT_ADD_RID = store_thm("RAT_ADD_RID",
‘‘!a. rat_add a rat_0 = a‘‘,
REWRITE_TAC[rat_add_def,rat_0_def] THEN
REWRITE_TAC[RAT_ADD_CONG] THEN
REWRITE_TAC[FRAC_ADD_RID] THEN
ARW_TAC[CONJUNCT1 rat_def]);
val RAT_ADD_LID = store_thm("RAT_ADD_LID",
‘‘!a. rat_add rat_0 a = a‘‘,
ONCE_REWRITE_TAC[RAT_ADD_COMM] THEN
ARW_TAC[RAT_ADD_RID] );
val RAT_MULT_RID = store_thm("RAT_MULT_RID",
‘‘!a. rat_mul a rat_1 = a‘‘,
REWRITE_TAC[rat_mul_def,rat_1_def] THEN
REWRITE_TAC[RAT_MULT_CONG] THEN
REWRITE_TAC[FRAC_MUL_RID] THEN
ARW_TAC[CONJUNCT1 rat_def]);
val RAT_MULT_LID = store_thm("RAT_MULT_LID",
‘‘!a. rat_mul rat_1 a = a‘‘,
ONCE_REWRITE_TAC[RAT_MULT_COMM] THEN
ARW_TAC[RAT_MULT_RID] );
(*--------------------------------------------------------------------------
* RAT_ADD_RINV: thm
* |- !a. rat_add a (rat_ainv a) = rat_0
*
* RAT_ADD_LINV: thm
* |- !a. rat_add (rat_ainv a) a = rat_0
*
* RAT_MULT_RINV: thm
* |- !a. ~(a=rat_0) ==> (rat_mul a (rat_minv a) = rat_1)
*
* RAT_MULT_LINV: thm
* |- !a. ~(a = rat_0) ==> (rat_mul (rat_minv a) a = rat_1)
*--------------------------------------------------------------------------*)
val RAT_ADD_RINV = store_thm("RAT_ADD_RINV",
‘‘!a. rat_add a (rat_ainv a) = rat_0‘‘,
GEN_TAC THEN
REWRITE_TAC[rat_add_def,rat_ainv_def,rat_0_def] THEN
ARW_TAC[RAT_ADD_CONG] THEN
REWRITE_TAC[add_def,ainv_def,frac_0_def] THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat a)‘‘ THEN

271
ARW_TAC[NMR,DNM] THEN
RAT_ABS_EQUIV_TAC THEN
REWRITE_TAC[rat_equiv_def] THEN
DNM_POS_ASM_TAC ‘‘1i‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat a) * dnm (rep_rat a)‘‘ THEN
ARW_TAC[NMR,DNM] THEN
INT_RING_TAC );
val RAT_ADD_LINV = store_thm("RAT_ADD_LINV",
‘‘!a. rat_add (rat_ainv a) a = rat_0‘‘,
ONCE_REWRITE_TAC[RAT_ADD_COMM] THEN
ARW_TAC[RAT_ADD_RINV] );
val RAT_MULT_RINV =
let
val lemmaX = prove(‘‘(a = rat_0) = (nmr (rep_rat a) = 0)‘‘,
EQ_TAC THENL
[
REWRITE_TAC[rat_0_def, frac_0_def] THEN
STRIP_TAC THEN
ASM_REWRITE_TAC[] THEN
ARW_TAC[NMR_EQ0_CONG] THEN
DNM_POS_ASM_TAC‘‘1i‘‘ THEN
ARW_TAC[NMR]
,
REWRITE_TAC[rat_0_def, frac_0_def] THEN
ONCE_REWRITE_TAC[EQ_SYM_EQ] THEN
ASM_REWRITE_TAC[] THEN
SUBST_TAC[GSYM (SPEC ‘‘a:rat‘‘ (CONJUNCT1 rat_def))] THEN
RAT_ABS_EQUIV_TAC THEN
REWRITE_TAC[rat_equiv_def] THEN
ARW_TAC[rat_def] THEN
DNM_POS_ASM_TAC‘‘1i‘‘ THEN
ARW_TAC[NMR,DNM] THEN
UNDISCH_TAC ‘‘0 = nmr (rep_rat a)‘‘ THEN
ONCE_REWRITE_TAC[EQ_SYM_EQ] THEN
ARW_TAC[INT_MUL_LZERO]
] );
val lemmaY = prove(‘‘! x y. 0 0 < dnm x * y‘‘,
REPEAT GEN_TAC THEN
DNM_POS_ASM_TAC ‘‘dnm x‘‘ THEN
ARW_TAC[INT_MUL_POS_SIGN]);
in
store_thm("RAT_MULT_RINV", ‘‘!a. ~(a=rat_0) ==>
(rat_mul a (rat_minv a) = rat_1)‘‘,
GEN_TAC THEN
REWRITE_TAC[rat_mul_def, rat_minv_def, rat_1_def] THEN
REWRITE_TAC[RAT_MULT_CONG] THEN
REWRITE_TAC[mul_def, minv_def, frac_1_def] THEN
REWRITE_TAC[lemmaX] THEN

272
end;
STRIP_TAC THEN
ASSUME_TAC (UNDISCH_ALL (SPEC ‘‘nmr (rep_rat a)‘‘
ABS_NOT_0_POSITIVE)) THEN
ARW_TAC[NMR,DNM] THEN
RAT_ABS_EQUIV_TAC THEN
REWRITE_TAC[rat_equiv_def] THEN
ASSUME_TAC (UNDISCH_ALL (SPEC ‘‘ABS (nmr (rep_rat a))‘‘
(SPEC ‘‘rep_rat a‘‘ lemmaY))) THEN
ARW_TAC[NMR,DNM] THEN
ARW_TAC[INT_ABS,sgn_def] THEN
INT_RING_TAC )
val RAT_MULT_LINV = store_thm("RAT_MULT_LINV", ‘‘!a. ~(a = rat_0) ==>
(rat_mul (rat_minv a) a = rat_1)‘‘,
ONCE_REWRITE_TAC[RAT_MULT_COMM] THEN
ARW_TAC[RAT_MULT_RINV] );
(*--------------------------------------------------------------------------
* RAT_RDISTRIB: thm
* |- !a b c. rat_mul (rat_add a b) c = rat_add (rat_mul a c) (rat_mul b c)
*
* RAT_LDISTRIB: thm
* |- !a b c. rat_mul c (rat_add a b) = rat_add (rat_mul c a) (rat_mul c b)
*--------------------------------------------------------------------------*)
val RAT_RDISTRIB = store_thm("RAT_RDISTRIB",
‘‘!a b c. rat_mul (rat_add a b) c = rat_add (rat_mul a c) (rat_mul b c)‘‘,
REPEAT GEN_TAC THEN
REWRITE_TAC[rat_mul_def,rat_add_def] THEN
ARW_TAC[RAT_MULT_CONG, RAT_ADD_CONG] THEN
REWRITE_TAC[mul_def,add_def] THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat a) * dnm (rep_rat b)‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat b) * dnm (rep_rat c)‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat a) * dnm (rep_rat c)‘‘ THEN
ARW_TAC[NMR,DNM] THEN
RAT_ABS_EQUIV_TAC THEN REWRITE_TAC[rat_equiv_def] THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat a) * dnm (rep_rat b) * dnm (rep_rat c)‘‘ THEN
DNM_POS_ASM_TAC ‘‘dnm (rep_rat a) * dnm (rep_rat c)
* (dnm (rep_rat b) * dnm (rep_rat c))‘‘ THEN
ARW_TAC[NMR,DNM] THEN
INT_RING_TAC );
val RAT_LDISTRIB = store_thm("RAT_LDISTRIB",
‘‘!a b c. rat_mul c (rat_add a b) = rat_add (rat_mul c a) (rat_mul c b)‘‘,
ONCE_REWRITE_TAC[RAT_MULT_COMM] THEN
REWRITE_TAC[RAT_RDISTRIB] );
(*--------------------------------------------------------------------------
* RAT_IS_RING: thm

273
* |- is_ring (ring rat_0 rat_1 rat_add rat_mul rat_ainv)
*--------------------------------------------------------------------------*)
val RAT_IS_RING = store_thm("RAT_IS_RING",
‘‘is_ring (ring rat_0 rat_1 rat_add rat_mul rat_ainv)‘‘,
ARW_TAC[ is_ring_def, ring_accessors,
RAT_ADD_ASSOC, RAT_MULT_ASSOC,
RAT_ADD_LID, RAT_MULT_LID,
RAT_ADD_RINV,
RAT_RDISTRIB] THEN
MAP_FIRST MATCH_ACCEPT_TAC [
RAT_ADD_COMM, RAT_MULT_COMM
] );
val _ = export_theory();

274
Modellierung von synchronen Sprachen mit
Prozessersetzungssystemen
Rüdiger Grammes
Technische Universität Kaiserslautern
Zusammenfassung. Esterel ist eine synchrone Sprache zur Beschreibung
deterministischer, reaktiver Systeme. Zur Analyse der Programme
müssen diese in eine formale Beschreibungssprache überführt werden.
Eine solche Beschreibungssprache sind die Prozessersetzungssysteme. In
dieser Arbeit werden die Zusammenhänge zwischen Esterel und Prozessersetzungssystemen
untersucht. Für eine Teilmenge von Esterel wird eine
Abbildung von Programmen in diesen Formalismus definiert. Es werden
Erweiterungen für Esterel skizziert, die die volle Mächtigkeit der Beschreibungssprache
ausschöpfen.
1 Einleitung
Esterel [Ber00] ist eine synchrone Sprache zur Beschreibung deterministischer,
reaktiver Systeme. Um ein Esterel–Programm analysieren zu können, muss es
in eine formale Beschreibung überführt werden. Eine Möglichkeit ist, Esterel–
Programme mit Mealy–Automaten umzusetzen. In diesem Beitrag soll eine Umsetzung
mit einem mächtigeren Formalismus, den Prozessersetzungssystemen,
versucht werden.
Prozessersetzungssysteme (PES) [May99,Esp02] beschreiben Prozesse durch
eine Menge von Prozesstermen, sowie Ersetzungsregeln die auf Prozessterme
angewendet werden. PES erlauben sequenzielle und parallele Komposition von
Prozessen. Sie umfassen mehrere bekannte Formalismen, z.B. endliche Automaten
oder Petrinetze.
Kapitel 2 gibt eine kurze Übersicht über Prozessersetzungssysteme und ihre
Klassifizierung. In Kapitel 3 wird eine Modellierung von Esterel–Programmen
mit PES vorgestellt, die in Kapitel 4 durch die Verwendung mächtigerer PES
erweitert wird. Die Modellierung beschränkt sich dabei auf eine Teilmenge von
Esterel. Kapitel 5 skizziert Erweiterungen von Esterel, die der Sprache die Ausdrucksstärke
mächtigerer PES gibt.
2 Prozessersetzungssysteme
Für nebenläufige Systeme mit unendlichen Zustandsräumen existieren einige
Formalismen, wie z.B. Petri–Netze und Prozessalgebren. Viele dieser Formalismen
können als spezielle Unterklassen von Ersetzungssystemen auf Prozesstermen
dargestellt werden. Die allgemeinste Klasse bilden die Prozessersetzungs-

275
systeme [May99], die die Ausdrucksstärke von Kellerautomaten und Petrinetzen
vereinen.
Prozessersetzungssysteme bestehen aus einer Menge von Prozesstermen T ,
die die Zustände eines Systems beschreiben, und Ersetzungsregeln ∆ für das
dynamische Verhalten. Prozessterme bilden sich aus einer Menge von Prozesskonstanten,
sowie deren sequenzielle und parallele Komposition. Für eine Prozesskonstante
X, Prozessterme t 1 und t 2 und einen leeren Term ɛ hat ein Prozessterm
t die Form
t ::= ɛ | X | t 1 .t 2 | t 1 ‖ t 2 .
Die parallele Komposition ”‖” ist kommutativ und assoziativ, die sequenzielle
Komposition ”.” assoziativ.
Act ist eine abzählbar unendliche Menge von Aktionen. Eine Ersetzungsregel
a
aus ∆ hat die Form t 1 −→ t2 mit a ∈ Act. Um die Sequenzialität von ”.” zu erhalten,
werden Ersetzungen nur auf Präfixen von Prozesstermen vorgenommen.
Die Semantik des PES wird durch ein markiertes Transitionssystem gegeben,
das die folgenden Transitionen enthält:
(t 1
a
−→ t2 ) ∈ ∆
t 1
a
−→ t2
,
(t 1
a
−→ t
′
1 ) ∈ ∆
t 1 ‖ t 2
a
−→ t
′
1 ‖ t 2
,
(t 1
a
−→ t
′
1 ) ∈ ∆
t 1 .t 2
a
−→ t
′
1 .t 2
Um Unterklassen von PES zu bilden, kann man die Menge der Prozessterme
einschränken, indem man sequenzielle oder parallele Komposition verbietet. Die
folgenden Klassen sind Teilmengen der Prozessterme T :
1 Nur Prozesskonstanten, ɛ ∉ 1
S Prozesskonstanten und sequenzielle Komposition (X, Y . X, ...)
P Prozesskonstanten und parallele Komposition (X, Y ‖ X, ...)
G Sequenzielle und parallele Komposition (X, X . Y, (X . Y) ‖ Z, ...)
Es ist 1 ⊂ S, P ⊂ G. Durch Einschränken der Prozessterme, die auf der
linken bzw. rechten Seite einer Ersetzungsregel vorkommen können, entstehen
verschiedene Klassen von Ersetzungssystemen, die mit bekannten Formalismen
verglichen werden können. Man definiert ein (α, β)–PES als eine Menge von
Ersetzungsregeln ∆ der Form l a −→ r, mitl ≠ ɛ aus α und r aus β. Sinnvollsind
(α, β)–PES mit α ⊆ β, da sonst Prozessterme, die auf linken, aber nicht auf
rechten Seiten stehen dürfen, nicht erreicht werden können.
Die Klassen von (α, β)–PES lassen sich in einer Hierarchie anordnen (siehe
Abb. 1). In diese Hierarchie lassen sich einige bekannte Formalismen einordnen.
(1,1)–PES erlauben nur Prozesskonstanten. Da die Menge der Ersetzungsregeln
in ∆ endlich ist, gibt es auch nur endlich viele Zustände. Endliche Automaten
lassen sich mit (1,1)–PES modellieren.

276
PES (G,G)
PAD (S,G)
PAN (P,G)
Keller- (S,S)
automaten
PA (1,G)
Petrinetze (P,P)
BPA (1,S)
BPP (1,P)
Endliche (1,1)
Automaten
Abb. 1. Die PES–Hierarchie
(S,S)–PES erlauben sequenzielle Komposition von Prozesstermen und damit
eine unendliche Zustandsmenge. Kellerautomaten lassen sich mit (S,S)–PES modellieren.
Durch das Ersetzen von Präfixen kann mit sequenzieller Komposition
ein Stack von Prozesskonstanten auf– und abgebaut werden. Mit (1,S)–PES ist
dies auch möglich, sie erkennen die gleiche Sprache. Der Abbau des Stacks ist
aber nur über das Umschreiben auf ɛ möglich, Kommunikation zwischen Prozessen
ist nicht erlaubt. Der entsprechende Formalismus sind die ’Basic Process
Algebras’.
(P,P)–PES erlauben parallele Komposition von Prozesstermen und damit eine
unendliche Zustandsmenge. Petrinetze lassen sich mit (P,P)–PES modellieren.
Eine Prozesskonstante entspricht einem Platz im Petrinetz, die Häufigkeit einer
Prozesskonstante in einem Prozessterm entspricht der Anzahl der Marken auf
diesem Platz. Die Prozesskonstanten auf der linken Seite einer Ersetzungsregel
sind die Eingangsplätze, die Prozesskonstanten auf der rechten Seite die Ausgangsplätze
einer Transition. (1,P)–PES entsprechen Petrinetzen, die nur einen
Eingangsplatz für eine Transition haben können. Der entsprechende Formalismus
sind die ”Basic Parallel Processes”.
Weitere Klassen wie (1,G)– oder (G,G)–PES entstehen durch Vereiningung
der bekannten Klassen. Da ein Esterel–Programm in einen Mealy–Automaten
übersetzt werden kann, genügen (1,1)–PES zur Modellierung des Programms.

277
3 Modellierung von Esterel mit (1,1)–PES
Esterel–Programme sollen in (1,1)–PES übersetzt werden. Dazu werden Funktionen
definiert, die rekursiv die Esterel–Statements abarbeiten. Die Funktionen
arbeiten auf folgenden Mengen aus Esterel und PES:
EstStm: Menge der Esterel–Statements
EstSigTerm: Menge der Ausdrücke über Signale
Signal: Menge der deklarierten Signale
T : Menge der Prozessterme
Act: Menge der Aktionen
∆: Menge der Ersetzungsregeln
Aktionen sind durch die An- bzw. Abwesenheit von Esterel–Signalen gegeben.
Die Aktion a beschreibt die Anwesenheit des Signals a, die Aktion ¬a die
Abwesenheit. Mit ∧ und ∨ kann eine Aktion durch den Status mehrerer Signale
gegeben werden. Anwendung findet dies z.B. innerhalb von abort–Statements.
Durch die folgenden Regeln wird eine abzählbar unendliche Menge von Aktionen
für das PES definiert.
s ∈ Signal ⇒ s ∈ Act
true, false ∈ Act
a ∈ Act ⇒¬a ∈ Act
a, b ∈ Act ⇒ a ∧ b ∈ Act
a, b ∈ Act ⇒ a ∨ b ∈ Act
Die Funktion act bildet Signalausdrücke aus EstSigTerm auf Aktionen des
PES ab. Für a, b ∈ EstSigTerm ist
act(not a) =¬act(a)
act(a or b) =act(a) ∨ act(b)
act(a and b) =act(a) ∧ act(b)
act(a) =a falls a ∈ Signal
Um ein Esterel–Programm mittels eines PES zu beschreiben, werden Funktionen
definiert, die Esterel–Statements eine Menge von Termen und Ersetzungsregeln
zuordnen. Da Esterel eine orthogonale Sprache ist, bietet sich die Verwendung
von Rekursion an.
Auf Esterel–Statements werden drei Funktionen definiert. Für ein Statement
S bezeichnet terms(S) die zugehörige Menge von Termen und rules(S, N, def)
die zugehörige Menge von Ersetzungsregeln des PES. N ist der Term, der auf

278
die Abarbeitung von S folgt. def ist eine Aktion, bei deren Nichteintreten keine
Regel von S aktiviert ist.
root zeichnet einen Term aus terms(S) als den initialen Term des Statements
aus. Für die im Detail betrachteten Statements gibt es genau einen initialen
Term, d.h. root ist total.
Im Folgenden sei N ∈ T ,def∈ Act.
root : EstStm → T
terms : EstStm →P(T )
rules : EstStm × T × Act →P(∆)
Halt, pause und await sind Statements, die Zeitschritte und damit neue Terme
einführen (Makroschritte) und keine weiteren Statements enthalten.
Halt verbraucht die restliche Zeit. Halt entspricht ’loop pause end’, entsprechend
wird der Term bei einem tick auf sich selbst umgeschrieben. Sei H ∈ T ein
neuer Term. Es ist
root(halt) = H
terms(halt) = {H}
rules(halt, N, def) = {H tick∧def
−−−−−→ H}
Pause verbraucht genau einen Zeitschritt. Es wird ein neuer Term eingeführt,
der bei einem tick in den Nachfolgeterm umgeschrieben wird, sofern die Aktion
def nicht eingetreten ist. Sei P ∈ T ein neuer Term. Es ist
root(pause) = P
terms(pause) = {P}
rules(pause, N, def) = {P tick∧def
−−−−−→ N }
Await verhält sich wie pause, es wird jedoch auf das Eintreten von α gewartet.
Await kann aus loop, pause und abort abgeleitet werden. Sei α ∈ EstSigTerm
und A ∈ T ein neuer Term. Es ist
root(await α) =A
terms(await α) ={A}
rules(await α, N,def)={A act(α)∧def
−−−−−−−→ N, A ¬act(α)∧def
−−−−−−−−→ A}
Da der Prozessabbruch verzögert ist, ist der initiale Term auf jeden Fall der
initiale Term des inneren Statements S. Terme des Statements sind die Terme
von S. Die Regeln des inneren Statements sind nur aktiviert, wenn α abwesend
ist. Ist α anwesend, wird das innere Statement abgebrochen. Terme von S werden
deswegen bei Anwesenheit von α in den Nachfolgeterm umgeschrieben.

279
root(abort S when α) =root(S)
terms(abort S when α) =terms(S)
rules(abort S when α, N,def)=rules(S, N, ¬act(α)∧ def)
∪{s act(α)∧def
−−−−−−−→ N | s ∈ terms(S)}
Das innere Statement S einer Schleife wird nach Beenden ohne Verzögerung
neu ausgeführt. Dazu wird der Nachfolgeterm von S auf den initialen Term von
S gesetzt.
root(loopSend)=root(S)
terms(loopSend)=terms(S)
rules(loop S end, N, def) = rules(S, root(S), def)
Der initiale Term einer Sequenz ist der initiale Term des ersten Statements
der Sequenz. Terminiert das erste Statement S, wird ohne Verzögerung das zweite
Statement T ausgeführt. Die Terme der Sequenz sind daher die Terme von S und
T vereinigt. Die Regeln der Sequenz sind die Regeln von S und T vereinigt. Der
Nachfolgeterm der Regeln von S ist der initale Term von T, der Nachfolgeterm
von T ist der Nachfolgeterm der Sequenz.
root(S;T) = root(S)
terms(S;T) = terms(S) ∪ terms(T)
rules(S;T, N, def) = rules(S, root(T), def) ∪ rules(T,N,def)
Bei parallelen Statements in Esterel entsteht bei der Umsetzung in PES das
Äquivalent zu einem Produktautomaten. Die Terme sind das karthesische Produkt
der Terme der parallelen Statements S und T. Der initiale Term ist das
Paar der initialen Terme von S und T. Für jedes Paar von Regeln aus S und T
wird eine neue Regel eingeführt. Rules’ erweitert die Regelmenge derart, dass für
jede Signalbelegung eine Ersetzungsregel angewendet werden kann. Für Signalbelegungen,
für die keine Ersetzungsregel angewendet werden kann, wird eine
neue Ersetzungsregel eingeführt, die den Term in sich selbst umschreibt.
root(S ‖ T) = root(S) × root(T)
terms(S ‖ T) = {s × t | s ∈ terms(S), t ∈ terms(T) }
rules(S ‖ T, N, def) = {s × t x∧y
−−→ s’ × t’ | s x −→ s’ ∈ rules’(S, N, def),
t y −→ t’ ∈ rules’(T, N, def) }
mit rules’(S, N, def) = rules(S, N, def) ∪{s ¬ V x:s x −→s ′
−−−−−−−→ s | s ∈ terms(S)}
Alle weiteren Statements von purem Esterel können auf diese Art modelliert
werden. Für Ausgaben (’emit’) ist eine Erweiterung der Aktionsmenge nötig.
Für den sofortigen Prozessabbruch und das Testen der Anwesenheit von Signalen
müssen die Funktionen erweitert werden, da root partiell sein kann und mehrere
initiale Terme für ein Statement möglich sind.

280
4 Esterel und (P,P)–PES
(1,1)–PES sind ausdrucksstark genug, um Esterel zu modellieren. Esterel erlaubt
eine beschränkte Anzahl von parallelen Statements, die als Produktautomat mit
endlichen Automaten modelliert werden können. Die (unbeschränkte) parallele
Komposition von (P,P)–PES kann jedoch gegebenenfalls dazu verwendet werden,
eine einfachere und intuitivere Modellierung für Esterel–Programme zu erzeugen.
Der initiale Term der parallelen Statements ist die parallele Komposition
der initialen Terme der Statements. Die Menge der Terme ist die Vereinigung
der Terme der Statements. Die Regeln der Statements werden übernommen und
vereinigt. Nachfolgeterm ist ein neuer Term ’F’. Sind beide Statements terminiert
(also nach ’F’ umgeschrieben), terminiert das parallele Statement und wird in
den Nachfolgeterm N umgeschrieben. Sei F ∈ T ein neuer Term. Es ist:
root(S ‖ T) = root(S) ‖ root(T)
terms(S ‖ T) = terms(S) ∪ terms(T)
rules(S ‖ T, N, def) = rules(S,F,def)∪ rules(T,F,def)
∪{F ‖ F true
−−−→ N}
Dieser Ansatz benötigt einen zusätzlichen Schritt zur Synchronisation der
beiden parallelen Statements. Um der Semantik von Esterel zu entsprechen,
darf dieser Schritt keine Zeit verbrauchen. In jedem Fall entsteht ein neuer Zustand
’F ‖ F’, der bei der Umsetzung als Produktautomat nicht existiert. Dieser
Schritt kann durch einige zusätzliche Regeln entfernt werden. Für ein Paar von
Regeln der Statements S und T, die in den Term F umschreiben, werden neue
Regeln eingeführt. Sind beide Regeln aktiviert, wird in den Nachfolgeterm N
umgeschrieben, ansonsten wird der Prozess, dessen Regeln aktiviert ist, in den
Term ’F’ umgeschrieben.
root(S ‖ T) = root(S) ‖ root(T)
terms(S ‖ T) = terms(S) ∪ terms(T)
rules(S ‖ T, N, def) =
{s ‖ t −−→ x∧y
N, s −−−→ x∧¬y
F, t −−−→ ¬x∧y
F, s ‖ F −→ x N, F ‖ t −→ y N
| s −→ x F ∈ rules(S, F, def), t −→ y F ∈ rules(T,F,def)}
∪{s −→ x s’ | s −→ x s’ ∈ rules(S, F, def) ∪ rules(T,F,def)∧ s’ ≠F}
Parallele Prozesse in Esterel sind synchron und führen gleichzeitig Schritte
durch. Bei der Umsetzung mit (P,P)–PES führt dies zu Problemen. Bei der hier
gewählten Umsetzung werden die Regeln der parallelen Statements vereinigt,
d.h. ein Ersetzungsschritt hat nur Auswirkungen auf einen der beiden Prozesse.
Dies entspricht einem Interleaving der Prozesse und nicht einer synchronen
Ausführung wie in Esterel. Synchronität kann durch Ersetzungsregeln, die sich
auf beide Prozesse beziehen, erreicht werden. Dazu wird eine Anzahl von Regeln
benötigt, die der eines Produktautomaten entspricht. Die Verwendung von

281
(P,P)–PES ist daher nur sinnvoll, um die Parallelität in den Prozesstermen explizit
zu machen.
5 Erweiterung von Esterel für (S,S)– und (P,P)–PES
Esterel–Programme können in Mealy–Automaten übersetzt und daher mit (1,1)–
PES modelliert werden. Denkbar sind Erweiterungen, die Esterel die Mächtigkeit
von (S,S)– und (P,P)–PES und damit eine potenziell unendliche Zustandsmenge
geben.
(S,S)–PES entsprechen Kellerautomaten. Durch Einführung von Rekursion
in Esterel kann ein Stack von Prozessen aufgebaut werden, der beim Verlassen
der Prozeduren wieder abgebaut wird.
Das Statement ’call procedure’ gibt die Kontrolle an das erste Statement
von ’procedure’ weiter. ’call procedure’ terminiert, wenn der Statement–Block
der Prozedur terminiert. Im folgenden Beispiel wird die Prozedur proc aufgerufen.
In der Prozedur wird auf ein ’a’ gewartet. Tritt ’a’ ein, wird abhängig von
der Anwesenheit von ’b’ proc rekursiv aufgerufen, oder die Prozedur terminiert
sofort.
module dpc:
procedure proc:
input a,b;
(S) call proc;
(E) end module (A) await a;
(B) present b then call proc
(F) end procedure
In einem entsprechenden (S,S)–PES wird beim Aufruf der initial Term der
Prozedur sequenziell mit dem aktuellen Prozess komponiert. Terminiert die Prozedur
(Konstante F), wird der sequenzielle Term in den Nachfolgeterm umgeschrieben.
Diese Schritte dürfen keine Zeit verbrauchen. Für die Prozedur werden
die Regeln erstellt wie für einen Statement–Block. Ist ’b’ nicht präsent, wird
A beim Auftreten von ’a’ in den Term F umgeschrieben, ansonsten erfolgt ein
erneuter Prozeduraufruf.
S → A.S
F.S → E
A −−→ a∧b
A.B
A −−−→ a∧¬b
F
F.B → F
Im folgenden Beispiel wird proc zweimal aufgerufen, einmal im Modul dpc
und einmal rekursiv. Sobald ’b’ nicht mehr präsent ist, terminieren die Prozeduren.
S → A.S a∧b
−−→ A.B.S a∧¬b
−−−→ F.B.S → F.S → E

282
Probleme bereitet bei der Definition eines (S,S)–PES die Funktion terms. Die
Menge der Terme eines Prozeduraufrufes hängt von der Rekursionstiefe ab und
ist potenziell unendlich. Bei einem Prozessabbruch muss jeder dieser Zustände
in einem Schritt verlassen werden. Mit einer endlichen Menge von Regeln ist dies
nicht möglich.
Parallele Prozesse existieren sowohl in Esterel als auch in (P,P)–PES. In
Esterel ist die Parallelität jedoch statisch im Programm festgelegt, wodurch der
Zustandsraum endlich bleibt. Im Folgenden wird an einem Beispiel eine dynamische
Prozesserzeugung eingeführt.
fork ist ein Mikroschritt, der einen neuen Prozess als Kopie des aktuellen
Prozesses erstellt. Im Modul ’fork’ wird, sobald das Signal ’a’ präsent ist, ein
neuer Prozess erstellt und auf ’b’ gewartet. Der neue Prozess wartet auf das
Signal a. Fork ist ein Mikroschritt und verbraucht keine Zeit, daher ist das
Signal a noch präsent. Await ist jedoch verzögernd und terminiert nicht sofort.
module fork:
input a,b;
(A) await a;
fork;
(B) await b
end module
Ein entsprechendes (P,P)–PES benötigt zwei Regeln. A wird beim Eintreten
der Aktion ’a’ durch A ‖ B ersetzt, entsprechend den beiden Prozessen die auf
’a’ bzw. ’b’ warten. B wird beim Eintreten der Aktion ’b’ in ɛ umgeschrieben,
entsprechend dem Prozess der auf ’b’ wartet und dann terminiert. Tritt immer
wieder ’a’ ein aber nie ’b’, werden immer wieder neue Prozesse erzeugt, die nicht
terminieren. Der Zustandsraum wird damit unendlich groß.
A −→ a A ‖ B
B −→ b ɛ
Diese Modellierung entspricht nicht ganz der Semantik von Esterel, wie das
folgende Ausführungsbeispiel des (P,P)–PES zeigt.
A a −→ B ‖ A a −→ B ‖ B ‖ A b −→ B ‖ A ...
In den ersten beiden Schritten gilt ’a’ und nicht ’b’, daher wird jeweils ein
neuer Prozess erzeugt. Zwei Prozesse warten nun auf ’b’. Bei der Aktion ’b’ wird
ein Prozess zu ɛ umgeschrieben, aber nach der Semantik von Esterel terminieren
beide Prozesse synchron. Da eine unbeschränkte Menge von Prozessen synchron
einen Schritt machen kann, die Menge der Ersetzungsregeln aber nur endlich ist,
ist diese Umsetzung nicht möglich.

283
6 Zusammenfassung
Esterel, Mealy–Automaten und (1,1)–PES haben dieselbe Ausdrucksstärke. Esterel–Programme
können mit (1,1)–PES in eine formale Beschreibung überführt
werden. Wie bei der Umsetzung mit Mealy–Automaten entstehen durch parallele
Komposition von Esterel–Prozessen eine große Anzahl von Termen und Ersetzungsregeln.
Da parallele Prozesse in Esterel synchron sind, kann die Anzahl der
Regeln durch die Verwendung von (P,P)–PES nicht reduziert werden.
Durch Einführen von Rekursion und unbeschränkter Parallelität kann Esterel
die Ausdrucksstärke von (S,S)– bzw. (P,P)–PES gegeben werden. Eine formale
Beschreibung mit PES ist nicht möglich, da eine unbeschränkte Anzahl synchroner
Prozesse nicht mit einer endlichen Menge von Ersetzungsregeln beschrieben
werden kann. Dasselbe Problem ergibt sich bei einem Prozessabbruch, wenn der
abgebrochene Prozess eine unbeschränkte Anzahl von Termen haben kann.
Literatur
[Ber00] Gérard Berry. The Esterel v5 Language Primer, 2000.
[Esp02] Javier Esparza. Grammars as Processes. Formal and Natural Computing,
pages 277–297, 2002.
[May99] Richard Mayr. Process Rewrite Systems. Information and Computation,
1999.