Đặc tả và kiểm chứng giả định - đảm bảo cho các hệ thống có ràng buộc

Chương 2. KIẾN THỨC NỀN TẢNG

2.3. Đặc tả và kiểm chứng giả định - đảm bảo cho các hệ thống có ràng buộc

2.3.1. Hệ thống chuyển trạng thái có ràng buộc thời gian

Phần này trình bày một số khái niệm cơ bản về các hệ thống chuyển trạng thái có ràng buộc thời gian được dùng trong Chương 5 của luận án.Σđược dùng để biểu diễn bảng chữ cái gồm một tập hữu hạn các hành vi của phần mềm, và λ để biểu diễn một từ rỗng.

Một từ có thời gian (timed word) là một chuỗi tuần tự hữu hạn các hành vi có thời gianwt = (a1, t1)(a2, t2)...(an, tn), trong đóai∈Σvà ti∈R⁺ mà thỏa mãn t_i−1≤t_i với i= 1,2, ..., n, t₀= 0.

Cho một từ có thời gian w_t = (a₁, t₁)(a₂, t₂)...(a_n, t_n) trên bảng chữ cái Σ, ta có thể có được từ không có thời gian tương ứng của nó, ký hiệu làw^ut_t bằng việc loại bỏ toàn bộ thông tin thời gian từ chuỗi ban đầu w_t^ut=a₁a₂...a_n.

Cho bảng chữ cái Σ và Σ⁰, ta định nghĩa phép toán chiếu ↑_Σ⁰ từ tập các từ có thời gian trên bảng chữ cái Σ thành tập các từ có thời gian trên bảng chữ cái

Σ⁰ như sau: Cho một từ có thời gian wt trên bảng chữ cái Σ, phép chiếu của nó lên Σ⁰ được ký hiệu là w_t↑_Σ⁰ và có được từ w_t bằng việc loại bỏ toàn bộ các cặp (a_i, t_i), trong đó a_i6∈Σ⁰.

Với mỗi hành vi a∈Σ, ta sử dụng xa để biểu diễn đồng hồ ghi sự kiện (event- recording clock) [4] của a. Đồng hồ ghi sự kiện x_a ghi thời gian trôi qua từ lần cuối cùng xuất hiện của a. Nghĩa là, khi a xảy ra, đồng hồ x_a được đặt lại về zero.

Tập toàn bộ các đồng hồ ghi sự kiện trên bảng chữ cái Σ được biểu diễn bởi C_Σ, nghĩa là C_Σ ={x_a|a∈Σ}.

Một phép gán đồng hồ (clock valuation) là một hàm γ gán một giá trị thực không âm cho mỗi đồng hồ ghi sự kiện, nghĩa là γ :C_Σ 7→R⁺. Một cách khác để biểu diễn các hành vi về thời gian (timed behavior) là sử dụng các từ đồng hồ (clocked word). Một từ đồng hồ là một chuỗiw_c = (a₁, γ₁)(a₂, γ₂)...(a_n, γ_n), trong đó ai ∈Σ, γi là một phép gán đồng hồ với i= 1,2, ..., n.

Một ràng buộc đồng hồ nguyên tử (an atomic clock constraint)η là một điều kiện trên các đồng hồ ghi sự kiện được cho bởi cú pháp sau:

η:=x_a ∼n | x_a−x_b∼n

trong đó, x_a, x_b ∈ C_Σ, ∼∈ {<,≤,≥, >}, và n ∈ N. Phép hội của các ràng buộc đồng hồ nguyên tử được gọi là ràng buộc đồng hồ (clock constraint). φ được dùng để biểu diễn một ràng buộc đồng hồ. Ký hiệu η ∈φ cũng được sử dụng để thể hiện rằng η là một trong các hội của φ.

Một gác đồng hồ nguyên tử (atomic clock guard) τ^t được định nghĩa là τ^t = xa ∼ n, trong đó xa ∈ C_Σ, ∼∈ {<,≤,≥, >}, và n ∈ N. Phép hội của một số gác đồng hồ nguyên tử được gọi là gác đồng hồ (clock guard). Nếu g là một gác đồng hồ, ký hiệu τ^t ∈ g được dùng để biểu diễn rằng τ^t là một gác đồng hồ nguyên tử xuất hiện trong g. Tập tất cả các gác đồng hồ trênC_Σ được biểu diễn bởiG_Σ. Khi giá trị của các đồng hồ ghi sự kiện được cho bởi một phép gán đồng hồ γ thỏa mãn gác đồng hồg, ta nói rằng γ thỏa mãng, được viết là γ |=g. Đặt [[g]] ={γ | γ |=g}.

Khi sử dụng các từ đồng hồ để biểu diễn các hành vi riêng biệt của các hệ thống có ràng buộc thời gian, ta cần một phương pháp để biểu diễn một tập các từ đồng hồ mà có một cấu trúc hoặc thuộc tính chung. Các từ gác

wg = (a1, g1)(a2, g2)...(an, gn), trong đó ai ∈ Σ and gi ∈ G_Σ, với i= 1,2, ..., n. Cho một từ gác w_g = (a₁, g₁)(a₂, g₂)...(a_n, g_n), một đoạn từ i đến j của w_g cũng tạo thành một từ gác [w_g]^j_i = (a_i, g_i)(a_i+1, g_i+1)...(a_j, g_j) mà được gọi là từ gác con (hay từ con) của wg, trong đó 1 ≤i ≤ j ≤n. Định nghĩa sau đây cho thấy làm sao mà một từ gác có thể đóng vai trò như một thuộc tính của các từ đồng hồ.

Định nghĩa 2.23 (Tính thỏa mãn). Cho một từ đồng hồ w_c = (a₁, γ₁)(a₂, γ₂)...(a_n, γ_n) và một từ gác w_g = (a₁, g₁)(a₂, g₂)...(a_n, g_n), ta nói rằng từ đồng hồ w_c thỏa mãn từ gác w_g, biểu diễn bởi w_c |= w_g nếu và chỉ nếu γ_i|=g_i với mọi i= 1,2, ...n.

Định nghĩa 2.24 (Hậu điều kiện mạnh nhất). Cho một từ gác và một ràng buộc đồng hồ φ (tiền điều kiện), hậu điều kiện mạnh nhất của w_g với tiền điều kiện φ, được biểu diễn bởi sp(φ, w_g), được định nghĩa một cách quy nạp như sau:

sp(φ, λ) = φ; sp(φ, w_g(a, g⁰)) = ((sp(φ, w_g)∧g⁰)[x_a 7→0]) ↑.

Theo đó, hậu điều kiện mạnh nhấtsp(φ, w_g)là điều tốt nhất trên giá trị của các đồng hồ ghi sự kiện sau khi thực thi chuỗi hành vi biểu diễn bởiwg. Trong đó,φ được thỏa mãn ngay trước khi thực thi. Phép toán ↑ biểu diễn tập lớn nhất các phép gán đồng hồ cuối cùng có thể đạt được sau một khoảng thời gian [103]. Ta giả định rằng ràng buộc đồng hồ khởi tạo φ0 = V

a,b∈Σ(xa = x_b), và thường bỏ qua nó khi viết là sp(w_g) =sp(φ₀, w_g).

Trong luận án này, ô-tô-mát ghi sự kiện được dùng để mô tả các hệ thống có ràng buộc thời gian và các thành phần của chúng.

Định nghĩa 2.25 (Ô-tô-mát ghi sự kiện - event-recording automaton - ERA).

Một ô-tô-mát ghi sự kiện M được định nghĩa như sau. M = (Σ, L, L⁰, δ, L^f), trong đó:

• Σ: một tập hữu hạn các đầu vào, được gọi là bảng chữ cái,

• L: một tập hữu hạn các vị trí,

• L⁰: một tập vị trí khởi tạo,

• δ :L×Σ×G_Σ7→2^L: hàm chuyển trạng thái, và

• L^f: một tập vị trí chấp nhận.

Ta sử dụngl −−→^a[g] l⁰ để biểu diễn rằngl⁰∈δ(l, a, g)vớil, l⁰ ∈L, a∈Σ, vàg ∈G_Σ. Đặt Σ_T biểu diễn Σ×G_Σ.

Định nghĩa 2.26 (Ô-tô-mát ghi sự kiện đơn định - deterministic ERA). Một ô-tô-mát ghi sự kiện được gọi là đơn định nếu |L⁰|= 1 và |δ(l, a, g)| ≤ 1 với mọi (l, a, g)∈L×Σ×G_Σ, và nếu cả δ(l, a, g₁) và δ(l, a, g₂) là xác định và g₁6=g₂, thì [[g1]]∩[[g2]] = ∅, trong đó g1, g2 ∈G_Σ.

Một ô-tô-mát ghi sự kiện đơn định được gọi là đầy đủ nếu∪_g_i∈{g|δ(l,a,g)6=∅}[[g_i]] = [[true]] với mọi l ∈ L và a ∈ Σ. Do đó, trong một ERA đầy đủ, không có trạng thái chết.

Định nghĩa 2.27 (Sự chấp nhận của các từ đồng hồ). Cho một ERA M = (Σ, L, L⁰, δ, L^f) và một từ đồng hồ w_c = (a₁, γ₁)(a₂, γ₂)...(a_n, γ_n), ta nói rằng w_c được chấp nhận bởi M nếu và chỉ nếu tồn tại một chuỗi tuần tự các chuyển trạng thái l₀ −−−→â¹^[g¹^] l₁ −−−→â²^[g²^] ...−−−→âⁿ^[gⁿ^] l_n trên M mà l₀ ∈L⁰, l_n ∈L^f, và γ_i |=g_i, trong đó i= 1,2, ..., n.

Để ý rằng các từ đồng hồ và từ có thời gian là hai cách khác nhau để biểu diễn các hành vi có thời gian từ ý nghĩa trực quan của chúng, và từ một từ có thời gian, từ đồng hồ đại diện cho cùng một hành vi thời gian có thể được tạo ra một cách dễ dàng. Cho một từ có thời gian wt = (a1, t1)(a2, t2)...(an, tn), từ đồng hồ của w_t là được định nghĩa là w_c = (a₁, γ₁)(a₂, γ₂)...(a_n, γ_n), trong đó γ₁(c) = t₁ với mọi đồng hồ c6=x_a₁, và γ₁(x_a₁) = 0; với mọi i > 1, γ_i(x_a_i) = 0, và γ_i(c) =γ_i−1(c) + (t_i−t_i−1). Một từ có thời gian w_t được nói rằng được chấp nhận bởi M nếu từ đồng hồ của nów_c được chấp nhận bởi M. Ngôn ngữ có thời gian L(M)được chấp nhận bởi M là tập tất cả các từ có thời gian được chấp nhận bởi M. Từ ngôn ngữ có thời gian L(M) của M, ngôn ngữ không có thời gian tương ứng của nó biểu diễn bởi ut(L(M))có thể được tính toán bằng cách lấy toàn bộ các từ không có thời gian của L(M), nghĩa là ut(L(M)) ={ut(w_t)|w_t∈L(M)}. Định nghĩa 2.28 (Sự chấp nhận của các từ gác) Cho một ERA M = (Σ, L, l0, δ, L^f) và một từ gác wg = (a1,gˆ1)(a2,gˆ2)...(an,gˆn), ta nói rằng wg được chấp nhận bởi M, biểu diễn là L(w_g)⊆L(M), nếu tồn tại một chuỗi tuần từ các chuyển trạng thái l₀ −−−→â¹^[g¹^] l₁ −−−→â²^[g²^] ...−−−→âⁿ^[gⁿ^] l_n trên M, trong đó l₀ ∈L⁰, l_n ∈L^f, và [[ ˆg_i]]⊆[[sp([w_g]ⁱ⁻¹)]]∩[[g_i]], với mọi 1≤i≤n, và [w_g]⁰₁ =λ.

Theo Định nghĩa 2.28, nếu một từ gác w_g được chấp nhận bởi M, thì mọi từ đồng hồ w_c mà w_c|=w_g cũng được chấp nhận bởi M.

2.3.2. Kiểm chứng giả định - đảm bảo cho các hệ thống có ràng buộc thời gian

Trong Chương 5, các hệ thống có ràng buộc thời gian, các thành phần của chúng, các thuộc tính, và giả định tương ứng đều được biểu diễn bởi các ERA.

Do đó, các phép toán sau đây là những phép toán cốt lõi được sử dụng trong quá trình kiểm chứng.

Định nghĩa 2.29 (Phép ghép nối song song). Cho hai ERA M_i = (Σi, Li, L⁰_i, δi, L^f_i), trong đó i = 1,2, phép ghép nối song song của M1 và M2

là một ERA mới M =M₁ kM₂ = (Σ₁∪Σ₂, L₁×L₂, L⁰₁×L⁰₂, δ, L^f₁ ×L^f₂), trong đó tập các đồng hồ ghi sự kiện là C_Σ₁ ∪C_Σ₂ và quan hệ chuyển trạng thái δ được định nghĩa như sau, trong đó [[g1]]∩[[g2]]6=∅.

• (l1, l2)−−−−−→^a[g¹^∧g²^] (l₁⁰, l⁰₂) nếu l1 a[g1]

−−−→l₁⁰ và l2 a[g2]

−−−→l⁰₂

• (l₁, l₂)−^a[g−−→¹^] (l⁰₁, l₂) nếu l₁−^a[g−−→¹^] l₁⁰ và a6∈Σ₂

• (l1, l2)−^a[g−−→²^] (l1, l⁰₂) nếu l2 a[g2]

−−−→l₂⁰ và a6∈Σ1

Phép ghép nối song song đặc tả một hệ thống được tạo thành từ việc ghép nối nhiều thành phần con lại với nhau. Đây là cơ sở để các nghiên cứu của luận án cũng như các nghiên cứu liên quan có thể được mở rộng và ứng dụng cho các hệ thống lớn trong thực tế.

Khi kiểm chứng một hệ thống có thỏa mãn một thuộc tính an toàn cho trước, việc định nghĩa một cách hình thức tính thỏa mãn là bắt buộc. Với các hệ thống và thuộc tính được đặc tả bằng ERA, tính thỏa mãn được định nghĩa như sau.

Định nghĩa 2.30 (Tính thỏa mãn của ERA). Cho hai ERA M₁ và M₂ với các bảng chữ cái tương ứng là Σ1 và Σ2, ta nói rằng M1 thỏa mãn M2, biểu diễn bởi M₁ |=M₂, nếu và chỉ nếu L(M₁)↑_Σ₂⊆ L(M₂), trong đó L(M₁) ↑_Σ₂={w_t↑_Σ₂ |w_t ∈ L(M₁)}.

Luật kiểm chứng sau đây được sử dụng xuyên suốt trong các thuật toán được trình bày trong Chương 5 và đóng vai trò trung tâm trong phương pháp kiểm chứng giả định – đảm bảo cho các phần mềm dựa trên thành phần có ràng buộc thời gian.

Định nghĩa 2.31 (Luật kiểm chứng giả định – đảm bảo không quay vòng - NC–

AG). Cho một hệ thống có ràng buộc thời gian M =M₁ kM₂ và một thuộc tính

an toàn p, nếu M1 thỏa mãn p dưới giả định A và M2 đảm bảo A, thì M |= p. Luật của quá trình kiểm chứng giả định – đảm bảo cho phần mềm có ràng buộc thời gian được cho bởi công thức sau đây.

M₁kA|=p M₂ |=A M₁ kM₂|=p

Định nghĩa 2.32 (Giả định) Gọi M là một hệ thống chứa hai thành phần M1

và M₂, p là một thuộc tính an toàn. Nếu A là một ERA thỏa mãn luật kiểm chứng giả định - đảm bảo trong Định nghĩa 2.31 thì A được gọi là giả định ngữ cảnh của M1 (gọi tắt là giả định).

Dalam dokumen M c l c (Halaman 31-36)