TLA+的学习

最新推荐文章于 2024-05-19 17:47:57 发布
最新推荐文章于 2024-05-19 17:47:57 发布
阅读量1.3k 收藏 6
点赞数
文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Maybe_do_it/article/details/120985082
版权
本文介绍了TLA+作为一种形式规格说明语言,用于验证系统设计和算法正确性。通过实例展示了如何检查系统属性,使用TLA+ Toolbox进行操作,并探讨了Kripke transition systems。此外,文章讲解了如何解决Ferryman问题,以及如何在PLUSCAL和TLA+中进行软件验证,强调了原子性和不变量的重要性。最后,提到了Dijkstra算法在TLA+中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简介

TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性
小example:
问题:您正在为银行编写软件。你有 Alice 和 Bob 作为客户,每个人的账户里都有一定数量的钱。Alice想寄一些钱给Bob。你如何建模?假设您只关心他们的银行账户

--- MODULE transfer ----
EXTENDS Naturals, TLC

(* --algorithm transfer
variables alice_account = 10, bob_account = 10, money = 5;

begin
A: alice_account := alice_account - money;
B: bob_account := bob_account + money;

end algorithm *)
====
  • TLA+基于数学,包括时间逻辑(temporal logic)LTL
  • TLA+中的时间算子(temproal operators)G和F记为[]和<>
  • Gp可以写成[]p,Fp 可以写成<>p
    思考问题:
  • 我们如何用TLA+对transition system进行建模
  • 我们需要model states和transitions
  • 根据vending machine的例子给出答案
    以下是一个简单的转换系统
----------------------- MODULE SimpleTransitionSystem -----------------------
VARIABLES tsstate
TSTypeOK == /\ tsstate \in {"0", "1","2","3","4"}
0to1 == /\ tsstate = "0"
					 /\ tsstate'= "1" 
1to2 == /\ tsstate = "1"
					 /\ tsstate'= "2" 
1to3 == /\ tsstate = "1"
					 /\ tsstate'= "3" 
2to4 == /\ tsstate = "2"
					 /\ tsstate'= "4" 
3to4 == /\ tsstate = "3"
 					/\ tsstate'= "4" 
Init == /\ tsstate = "0" 
Next == 0to1 \/ 1to2 \/ 1to3 \/ 2to4 \/ 3to4
TSSpec == Init /\ [][Next]_tsstate /\ WF_tsstate(Next)
============================================================================

上面的代码代表的transition system如下

  • {“0”, “1”,“2”,“3”,“4”}代表的是states
  • 0to1;1to2等代表TRANSITIONS
  • Init == /\ tsstate = "0"指定了初始state
  • Next == 0to1 \/ 1to2 \/ 1to3 \/ 2to4 \/ 3to4指定了所有转换
    在这里插入图片描述
    这就是最终结果

check some property of the system

若我们想检查system中的某些性质(property),例如:
property: “it is not possible from the initial state to reach the state 4”

in TLA+ syntax that is : ~<> (tsstate = “4”)

又state4显然可以从0到达,因此公式为假,因此TLA+将返回一个反例,即从0到4的路径。

在toolbox中操作

在这里插入图片描述

toolbox结果

在这里插入图片描述
在这里插入图片描述
这个结果显示了一个counterexample:0-1-2-4

Kripke transition systems

  • 在刚才看到的transition systems中,我们只有一个状态变量,然而当考虑Kripke transition systems时,通常有几个变量涉及。这在TLA+中也不难做到
  • 一个考虑Cost-benefit analysis的例子:here in each state there is a
    variable “cost” and a variable “benefit” whose value change according to the transition
    代码如下:
---------------------------- MODULE CostBenefit ------------------------
EXTENDS Integers

VARIABLES
state, cost, benefit

TSTypeOK ==  /\ cost \in {0..100} /\ benefit \in {0..100} /\ state \in {0..4}
vars == <<cost,benefit,state>>

Init == /\ cost = 0 /\  benefit =0 /\ state=0
0to1 == /\ state = 0 /\ stat
最低0.47元/天 解锁文章
Maybe_do_it
关注
使用TLA+形式化验证Go并发程序
TonyBai
08-05 1115
Writing is nature's way of letting you know how sloppy your thinking is - Guindon在2024年6月份举办的GopherCon Europe Berlin 2024[1]上,一个叫Raghav Roy的印度程序员(听口音判断的)分享了Using Formal Reasoning to Build Concurrent G...
形式化验证工具TLA+:程序员视角的入门之道
数据库技术
10-26 725
一 引言 女娲是飞天分布式系统中提供分布式协同的基础服务,支撑着阿里云的计算、网络、存储等几乎所有云产品。在女娲分布式协同服务中,一致性引擎是核心基础模块,支持了Paxos,Raft,EPaxos等多种一致性协议,根据业务需求支撑不同业务状态机。如何保证一致性库的正确性是一个很大挑战,我们引入了TLA+、Jepsen等工具保证一致性库的正确性。本文即从程序员视角介绍形式化验证工具TLA+。 从理论上证明一个程序或者算法的正确性往往是困难的,工程中一般使用测试来发现问题,但再多的测试也无法保证覆盖到了..
TLA学习笔记.docx
03-01
本人学习TLA+时收集整理的资料
通过例子学TLA+(一)-- HourClock
adwen2009的博客
01-13 1344
前言 刚接触TLA+,将学习过程中的理解整理记录下来,用于加深理解和备忘。有对TLA+感兴趣的可以私信我,一起学习TLA+简介 TLA+ 是一门形式规格说明语言(formal specification language),主要用来验证系统的设计和算法的正确性。它可以用来对几乎任何形式的离散系统进行精确的、正式的描述,特别适合于描述异步系统。 TLA+提供了一个工具用来编写TLA+,同时提供了语法检查,参数设置,程序运行等功能,该工具就是TLA+ Toolbox,下载路径为:https://github
TLA+学习资料整理
qq_28258903的博客
07-06 2596
Github官方库 Raft TLA+形式化验证 lamport老爷子的官方视频入门教程 TLA+Proof:TLAPS: A TLA+ Proof System 冯遵宝知乎TLA+教程 TLA+官网 siddontang简书TLA+学习笔记 离散数学百度文库 推荐两本参考书籍Specifying Systems 当然还有IDE工具了啦 接下来会持续更新。。。 ...
TLA+学习记录1——hello world
丰年留客的专栏
09-08 826
上手TLA+学习记录一,Hello world
TLA+是什么
软件工程小施同学 的专栏
04-08 1523
对于一套系统的设计,通常我都是想好了,然后直接捋起袖子写代码了。 写完了,在开始加很多 test 来保证它的正确性。 但其实,我并不能保证设计是完全正确的。也就是说,我的实现满足了该系统的需求,但也有可能在一些 corner case 上面并没有考虑周全。 同时, 虽然后面可以写很多 test,但并不一定能 cover 到所有的分支。 所以,为了更好的确保设计的正确性,我们需要使用 TLA+ 或者其他类似的工具。 TLA+ 是一门形式规格说明语言(formal specification l.
tlaplus-language-server:TLA +语言服务器
03-12
- **文档查看**:提供内置的TLA+和PlusCal文档,方便学习和查阅。 - **格式化**:保持代码整洁,遵循统一的代码风格。 - **符号查找**:搜索项目中的符号,便于理解和使用。 - **验证支持**:与验证工具如 TLC 配合...
基于TLA+的Java并发模型验证.pdf
04-23
文档仅供学习参考,请勿用作商业用途。 你是否渴望掌握一门强大且通用的编程语言,来推动自己的职业发展?Java 就是你的不二之选!作为一种广泛应用于企业级开发、移动应用、大数据等众多领域的编程语言,Java 以其...
Rust形式化规范语言:TLA+建模案例.pdf
最新发布
05-05
文档仅供学习参考,请勿用作商业用途。 Rust 以内存安全、零成本抽象和并发高效的特性,重塑编程体验。无需垃圾回收,却能通过所有权与借用检查机制杜绝空指针、数据竞争等隐患。从底层系统开发到 Web 服务构建,从...
通过例子学TLA+(八)--表达式
adwen2009的博客
02-10 711
表达式 在之前的例子中,已经多次用到了表达式,常见的表达式中会用到 大于,小于,等于,不等于等这样条件判断。还有一些其他的用法,比如逻辑连接,IF-ELSE 等 逻辑连接 逻辑连接在之前的例子中是用过的,主要是 /\ (and) ,/ (or),用来将表达式连接起来,有个点需要注意的是,逻辑连接符是空格敏感的,如果以缩进方式开始连接,则TLA+将其视为前一表达式的子表达式。例如 /\ TRUE \/ TRUE /\ FALSE \* 相当于 (TRUE \/ TRUE) /\ FALSE /
PlusCal-Examples:兰波特 TLA+算法语言 PlusCal 中的算法示例
06-12
概述 这些是用 PlusCal 编写的算法示例,PlusCal 是 Leslie Lamport 的 TLA+ 算法规范系统的算法语言。 这些文件是在 TLA+ 工具箱中创建的,因此大多数文件都是在工具箱中运行和使用 TLC 算法验证检查器的支持文件。 用于审核的重要(非自动生成)文件是以.tla结尾的.tla ,例如Euclid/Euclid.tla和HourClock/HourClock.tla 。 我已经写了\* BEGIN TRANSLATION行上方的部分,PlusCal 代码位于(*和*)注释标记之间,从--algorithm XXX指示器开始。
TLA+ 术语解释及中文翻译
01-07
state 状态 A state is an assignment of values to variables. 一个状态就是一组为变量赋值的操作。 state function 状态函数 A state function is an ordinary [removed]one with no ′’′ or □\square□) that can contain variables and constants. 一个状态函数就是一个普通的表达式,包含变量和常量,但不包含 ′’′ 和 □\square□操作符. state predicate 状态谓词 A state predica
TLA+:将简单C程序转换为TLA+程序
girl_is_on_tiptoe的博客
05-19 727
将简单C程序转换为TLA+程序
通过例子学TLA+(十)--集合
adwen2009的博客
02-11 620
集合 集合用大括号来表示,如{1,2},对于连续的数字集合有种特殊的表示方式,如 1…3 表示集合{1,2,3} 下表是集合的常见操作 Operator example 备注 \in 1 \in {1,2} 为true 1\in {{1},2}为false 在集合为true,不在为false \notin 1 \notin {} 为true {1} \notin {{1}}为false 与\in相反 \subseteq {1,2} \subseteq {1,2,3} 是子集为tru
形式化之模型检测TLA+实践一
wabcic的博客
08-08 738
结合最大公约数算法,介绍了TLA+语言在Vscode工具和TLA+ Toolbox工具的使用方法
初识TLA+(一)(TODO)
消磨时间的博客
12-11 3684
背景简介 在学习Raft论文的时候,接触到了一个概念,那就是TLA+。看着一堆数学符号,说能从理论上证明Raft的正确性,对于做了IT几年的我掌握单元测试和集成测试的我,还是有一种莫名其妙的惊喜。要知道,当时我们在做分布式存储的数据层时采用的一致性模型是副本间强一致的一致性模型,没有应用任何分布式一致性算法。进而引出一个问题:在副本需要做迁移的时候,有着复杂的状态需要去设计和实现。迁移中、删除中、...
通过例子学TLA+(七)--操作符
adwen2009的博客
02-10 622
Operator TLA+中的操作符类似于其他编程语言中的函数或者宏定义,使用 == 来定义,例如 Five == 5 \* 无参数时不用加括号 Sum(x,y) == x + y SumwithFive(x,y) == Sum(x,y) + Five \* 定义之后就可以随意使用 高阶用法 根据使用需求,可以在定义中使用其他操作符 来达到类似于其他语言中函数指针的功能。 Sum(a,b) == a + b Do(op(_,_),a,b) == op(a,b) \* 注意实际调用的
通过例子学TLA+(十五)--时序属性
adwen2009的博客
02-16 1103
时序属性 Termination 最简单的时序属性是Termination,Termination是算法终止的要求,如果算法崩溃或者死锁或者进入一个无限循环,那么久违反了Termination规范。 假设有一辆车在过交通灯时,有红灯和绿灯两种选择,绿灯行,红灯停,红绿灯交替亮起。 NextColor(c) == CASE c = "red" -> "green" [] c = "green" -> "red" (*--al
掌握TLA+:系统规格编写指南
《指定系统》是一本专为硬件和软件工程师量身打造的书籍,它将引领读者学习如何使用TLA+(Temporal Logic of Actions Plus)语言来编写计算机系统的规格说明书。TLA+是一种强大的形式化方法,它结合了逻辑和过程的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值