Softwaretechnik 3 SS 2010 Einführung in TLA+

Softwaretechnik 3 SS 2010
Einführung in TLA +
Stefan Hallerstede
halstefa@cs.uni-duesseldorf.de
Universität Düsseldorf
2. Juni 2010

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Was ist TLA +
◮ Notation zur Spezifikation von Systemen
◮ Basierend auf temporaler Logik (LTL-{X})
◮
TLA – Temporal Logic of Actions
◮ Mengenlehre
◮ Prädikatenlogik erster Stufe
◮ Modularisierung von Spezifikationen
◮ Komposition von Spezifikationen

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Beispiel einer TLA + -Spezifikation
module HourClock
extends Naturals
variable hr
∆
HCini = hr ∈ (1 . . 12)
∆
HCnxt = hr ′ = if hr ≠ 12 then hr + 1
else 1
HC ∆ = HCini ∧ □[HCnxt] hr
theorem HC ⇒ □HCini

ASCII-Version der TLA + -Spezifikation
---------------------- MODULE HourClock ----------------------
EXTENDS Naturals
VARIABLE hr
HCini == hr \in (1 .. 12)
HCnxt == hr’ = IF hr # 12 THEN hr + 1
ELSE 1
HC == HCini /\ [] [HCnxt]_hr
--------------------------------------------------------------
THEOREM HC => []HCini
==============================================================

Bemerkung
◮ TLA + ist untypisiert!
◮ x = true ∨ x = 1 ist eine korrekte TLA + -Formel
◮ Typen werden als Mengeneinschränkungen explizit spezifiziert
◮
x ∈ boolean zum Beispiel
◮ Theorem Spec ⇒ □x ∈ boolean notwendig

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Terminologie
◮ Zustand (engl. state)
◮ eine Variablenbelegung (mit Werten des Universums)
◮ Schritt (engl. step)
◮
ein Zustandspaar
◮ Verhalten (engl. behavior)
◮ eine Folge von Zuständen
◮ Spezifikation (engl. specification)
◮ eine temporale Formel (oft Spec genannt)
◮ Zustandsprädikat (engl. state predicate)
◮ eine Formel über Zuständen
◮ Aktion (engl. action)
◮ eine Formel über Schritten

Verhalten
◮ Beispiel: HourClock
◮ Sei hr eine Variable (die Uhrzeit)
◮ typisches Verhalten, Sequenz von Zuständen:
[hr = 11] → [hr = 12] → [hr = 1] → [hr = 2] → · · ·
◮ wobei [hr = 11] ein Zustand ist, in dem hr den Wert 11 hat
◮ und ein Paar aufeinanderfolgender Zustände
[hr = 1] → [hr = 2]
ein Schritt

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Spezifikation der Uhr
◮ Beschreibung aller möglichen Verhalten mittels
◮
Anfangsprädikat (engl. initial predicate)
HCini
∆
= hr ∈ (1 . . 12)
◮
Folgezustandsrelation (engl. next-state relation)
HCnxt
∆
= hr ′ = if hr ≠ 12 then hr + 1
else 1
◮ hr ist der alte Zustand, hr ′ der neue Zustand
◮ HCnxt wird Aktion genannt
◮ Ein Schritt, der HCnxt erfüllt, heißt HCnxt-Schritt

Spezifikation der Verhalten der Uhr (1. Versuch)
◮ Die Anfangszustände der Uhr erfüllen HCini
◮ Alle Schritte erfüllen HCnxt
HC ∆ = HCini ∧ □HCnxt
◮ Diese Spezifikation ermöglicht folgenden Schritt nicht:
[hr = 12] → [hr = 12]

Uhr mit Temperaturanzeige
◮ Verhalten einer Temperaturanzeige mit eingebauter Uhr:
[ ]
hr = 11
tmp = 23.5
→
[ ]
hr = 12
tmp = 23.5
→
[ ]
hr = 12
tmp = 22.7
→
[ ]
hr = 1
tmp = 23.4
→ · · ·
◮ Die Uhrspezifikation läßt sich dazu nicht verwenden
◮ Wir würden gerne eine Temperaturanzeigespezifikation
TD ∆ = TDini ∧ □TDnxt
mit der Uhrspezifikation komponieren können
TD ∧ HC
so dass obiges Verhalten möglich ist

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Lösung des Problems: Stotterschritte
◮ Jeder Schritt eines Uhr-Verhaltens muss
◮
◮
ein Stotterschritt hr ′ = hr oder
ein HCnxt-Schritt sein
also HCnxt ∨ hr ′ = hr
◮ Die TLA + -Syntax dafür ist [HCnxt] hr
◮ Spezifikation der Vehalten der Uhr (2. Versuch) 1
HC ∆ = HCini ∧ □[HCnxt] hr
1 Gleichermaßen für die Spezifikation TD

Typinvariante
◮ Der Wert der Variablen hr soll
in jedem Zustand jedes Verhaltens der Uhr
im Breich 1 . . 12 liegen
◮ Formal:
HC ⇒ □HCini
◮ In dieser einfachen Spezifikation können wir
das Anfangsprädikat auch als Typinvariante benutzen

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Die TLA + -Spezifikation einer Uhr
module HourClock
extends Naturals
variable hr
∆
HCini = hr ∈ (1 . . 12)
∆
HCnxt = hr ′ = if hr ≠ 12 then hr + 1
else 1
HC ∆ = HCini ∧ □[HCnxt] hr
theorem HC ⇒ □HCini

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Operatoren von TLA +
Operatoren für Aktionen
[A] e steht für A ∨ e ′ = e
〈A〉 e steht für A ∧ e ′ ≠ e
Enabled A steht für Ein A-Schritt ist möglich (formal)
unchanged e steht für e ′ = e
A · B steht für Komposition von Aktionen (“A, dann B”)
Temporale Operatoren
□F steht für F ist immer wahr
♦F steht für F is irgendwann wahr
F G steht für F führt zu G
WF e (A) steht für Schwache Fairness für Aktion A
SF e (A) steht für Starke Fairness für Aktion A

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Kategorien von Systemeigenschaften
Grobe Aufteilung in zwei Kategorien:
◮ Sicherheit
ein unerwünschter Zustand wird nicht erreicht
◮ Lebendigkeit
ein erwünschter Zustand wird erreicht

Fairness
◮ WF e (A) bedeutet □(□Enabled 〈A〉 e ⇒ ♦〈A〉 e )
Ein A-Schritt muss irgendwann eintreten,
falls A permanent aktiviert ist.
◮ SF e (A) bedeutet □♦Enabled 〈A〉 e ⇒ □♦〈A〉 e
Ein A-Schritt muss irgendwann eintreten,
falls A immer wieder aktiviert ist.
◮ SF e (A) impliziert WF e (A)

SF e (A) impliziert WF e (A).
Beweis.
SF e (A)
⇔ { Definition von SF e (A) }
□♦Enabled 〈A〉 e ⇒ □♦〈A〉 e
⇔ { Prädikatenlogik, Distribution von ¬ über □ und ♦ }
♦□¬(Enabled 〈A〉 e ) ∨ □♦〈A〉 e
⇒ { Tautologie ♦□G ⇒ □♦G }
□♦¬(Enabled 〈A〉 e ) ∨ □♦〈A〉 e
⇒ { Tautologie (□F ) ∨ (□G) ⇒ □(F ∨ G) }
□(♦¬(Enabled 〈A〉 e ) ∨ ♦〈A〉 e )
⇔ { Prädikatenlogik, Distribution von ¬ über □ und ♦ }
□(□Enabled 〈A〉 e ⇒ ♦〈A〉 e )
⇔ { Definition von WF e (A) }
WF e (A)

Inhalt
Allgemeines
Beispiel einer Spezifikation
Beispiel
Semantik anhand des Beispiels
Kompositionalität
Stottern
Das Beispiel vollständig erklärt
Notation für temporale Formeln
Über Fairness
Mehr Notation und ein größeres Beispiel

Mehr Notation und ein größeres Beispiel
Zusammenfassung “A Summary of TLA + ” von L. Lamport
Online (PDF):
http://research.microsoft.com/en-us/um/people/lamport/tla/summary.pdf
Buch “Specifying Systems” von L. Lamport
Seiten 30 und 38
Online (PDF):
http://research.microsoft.com/en-us/um/people/lamport/tla/book.html