Verifikation reaktiver Systeme - Universität Kaiserslautern

25
Abbildung 7. 2-Bit Zähler mit Schleife
Sollte der Zustand (1, 1) erreichbar sein, muss die Formel AF(b ∧ a) erfüllt sein.
Offensichtlich ist dies nicht möglich. Es wird also ein Gegenbeispiel gesucht mit
EGp mit p = ¬b ∨¬a. Diese Formel wird geprüft um den wahren Wert von
AF(b ∧ a) zu erhalten. Die Zeitschranke k sei wiederum 2. Die zu beobachten
Zustände werden mit s 0 ,s 1 und s 2 bezeichnet. Jeder dieser Zustände muss
überprüft und erfüllt sein, um EGp zu entsprechen, andernfalls ist es ein Gegenbeispiel
für AF(b ∧ a). Als Formel entsteht:
M 2 := I(s 0 ) ∧ T (s 0 ,s 1 ) ∧ T (s 1 ,s 2 )
T (s 2 ,s 3 ) ∧ (s 3 = s 0 ∨ s 3 = s 1 ∨ s 3 = s 2 )
Die letzte Anforderung hat folgende Bewandtnis. In der Sequenz der Zustände
s 0 ,s 1 ,s 2 muss eine Schleife enthalten sein. Eine Transition vom letzten Zustand
s 2 zu s 0 ,s 1 oder zu sich selbst. Zusammenfassend:
I(s 0 ) ( ¬a 0 ∧¬b 0 )∧
T (s 0 ,s 1 )((a 1 ↔¬a0) ∧ (b 1 ↔ (a 0 ⊕ b 0 ))∨
b 1 ∧¬a 1 ∧ b 0 ∧¬a 0 )∧
T (s 1 ,s 2 )((a 2 ↔¬a1) ∧ (b 2 ↔ (a 1 ⊕ b 1 ))∨
b 2 ∧¬a 2 ∧ b 1 ∧¬a 1 )∧
T (s 2 ,s 3 )((a 3 ↔¬a2) ∧ (b 3 ↔ (a 2 ⊕ b 2 ))∨
b 3 ∧¬a 2 ∧ b 2 ∧¬a 2 )∧
s 3 = s 0 ( (a 3 ↔ a 0 ) ∧ (b 3 ↔ b 0 ) ∨
s 3 = s 1 (a 3 ↔ a 1 ) ∧ (b 3 ↔ b 1 ) ∨
s 3 = s 2 (a 3 ↔ a 2 ) ∧ (b 3 ↔ b 2 ) )∧
p(s 0 ): ( ¬a 0 ∨¬b 0 )∧
p(s 1 ): ( ¬a 1 ∨¬b 1 )∧
p(s 2 ): ( ¬a 2 ∨¬b 2 )
Diese Formel ist natürlich erfüllt. Von (0,0) zu (0,1) über (1,0) gefolgt von einer
self-loop. Somit ist ein Gegenbeispiel zu AF(b∧a) gefunden. Die neue Transition
(self-loop) findet sich in der Formel b i ∧¬a 1 ∧ b i−1 ∧¬a i−1 mit i ∈ 1, 2, 3 wieder.
Es sei hier nur angemerkt das Lebendigkeitseigenschaften nur unter bestimmten
Fairnis Bedingungen sinnvoll sind.