28、并发与名称绑定的多重集重写及线性时态逻辑重写模型检查

并发与名称绑定的多重集重写及线性时态逻辑重写模型检查

1. ν - MSR 相关内容

ν - MSR（Multiset Rewriting，多重集重写）结合了并发的多重集重写方法和安全或名称绑定的多重集重写方法。深度有界的 π - 演算进程会产生良结构转换系统（WSTS），同样，深度有界的 ν - MSR 项也是 WSTS，这意味着可达性、有界性和终止性对于它们是可判定的，并且这个结果可以推广到任何可以用 ν - MSR 规范指定的模型，比如深度有界的 pν - APNs。

在 Maude 中表示 ν - MSR 时，其项的语法定义如下：

sorts Predicate Term .
subsorts Predicate < Term .
op nil : -> Term .
op _(_) : Qid Tuple -> Predicate .
op __ : Term Term -> Term [comm assoc id: nil] .
op nu(_)_ : SeqQid Term -> Term .

为了处理绑定名称，使用 de Bruijns 索引来区分由不同绑定操作符绑定的相同名称的出现。名称定义如下：

sort Name .
op _‘{_‘} : Qid Nat -> Name [prec 1] .

挤压规则中的边条件不是限制，而是在必要时对名称进行重命名。为了管理替换和索引名称，使用显式替换演算。标准范式不仅在交换性、结合性和恒等性上是唯一的，在绑定名称的重排上也是唯一的。例如：

eq nu(at) nu(bt) P = nu(at . bt) P .
eq nu(eps) P = P .

每个 ν - MSR 规则都会产生一个无条件重写规则，例如：

var x : Name .
rl [t] : ’p1(x) => nu(’b)( ’p1( [shiftup ’b] x)
’p2( [shiftup ’b] x , ’b{0}) ) .
rl [t] : ’p1(x) => nu(’a)( ’p1( ’a{0})
’p2( ’a{0} , [shiftup ’a] x ) ) .

当从图 3 左侧的网的初始标记开始重写时：

Maude> rew [3] ’p1( ’a{0} ) .
rewrite [3] in EX1 : ’p1(’a{0}) .
rewrites: 114 in 0ms cpu (0ms real) (~ rewrites/second)
result NSTerm: nu(’b . ’b . ’b)(’p1(’a{0})
’p2(’a{0},’b{0}) ’p2(’a{0},’b{1}) ’p2(’a{0},’b{2}))

从图 3 右侧的网的初始标记开始重写时：

Maude> rew [3] ’p1( ’a{0} ) .
rewrite [3] in EX1 : ’p1(’a{0}) .
rewrites: 108 in 0ms cpu (0ms real) (~ rewrites/second)
result NSTerm: nu(’a . ’a . ’a)(’p1(’a{0})
’p2(’a{0},’a{1}) ’p2(’a{1},’a{2}) ’p2(’a{2},’a{3}))

如果所有谓词都是 0 元的，那么就是经典的 P/T 网作为有限集元素多重集重写的解释，Maude 中的实现与相关示例等价。

2. 线性时态逻辑重写（LTLR）模型检查

重写时态逻辑（TLR）的主要动机是提供一种简单且表达性强的时态逻辑，它可以支持基于状态的属性、基于事件的属性以及涉及状态和事件的混合属性，并且将重写逻辑规范描述事件的额外表达能力提升到时态逻辑层面。

线性时态逻辑重写（LTLR）是 TLR 的一个有吸引力的子集，它自然地扩展了线性时态逻辑（LTL）。Maude 系统已经支持高效的显式状态即时模型检查 LTL 公式，赋予 Maude LTLR 模型检查能力可以保留 LTL 的基于状态的优点，同时获得重写事件的空间动作模式的强大表达能力。

之前有一个 LTLR 模型检查器的实现，它重用了 Maude LTL 模型检查器，通过理论和公式转换将 LTLR 模型检查问题转换为等价的 LTL 模型检查问题，但这种方法对于基于事件的属性不太理想，因为重写事件必须编码在转换后的 Maude 规范的状态中，导致状态空间显著增加。

新的实现基于一个新的 LTLR 模型检查算法，该算法不改变给定的 Maude 规范，因此不会增加状态空间。对于基于状态的属性，它保持了 Maude 原始 LTL 模型检查器的良好性能；对于基于事件的属性和混合属性，由于状态空间不变且算法在 C++ 级别实现，性能也很好。

下面是一个简单的流程图展示新旧实现的对比：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([旧实现]):::startend --> B(重用 Maude LTL 检查器):::process
    B --> C(理论和公式转换):::process
    C --> D(转换为 LTL 问题):::process
    D --> E(状态空间增加):::process

    F([新实现]):::startend --> G(新 LTLR 检查算法):::process
    G --> H(不改变 Maude 规范):::process
    H --> I(状态空间不变):::process

总的来说，ν - MSR 为并发和名称绑定提供了一种有效的建模方式，而 LTLR 模型检查器则增强了 Maude 系统对系统属性的验证能力，尤其是涉及事件和状态混合的属性。未来可以将 spi 演算和移动环境编码到 ν - MSR 中，进一步拓展其应用范围，同时也可以继续优化 LTLR 模型检查器的性能和功能。

并发与名称绑定的多重集重写及线性时态逻辑重写模型检查

3. LTLR 模型检查算法基础与优势

新的 LTLR 模型检查算法具有坚实的自动机理论基础。该算法表明，对于给定的重写理论 $R$ 检查 LTLR 公式 $\phi$ 的问题，等价于在一个特定的自动机上进行操作。这一理论基础不仅为算法的正确性提供了保障，还为其计算复杂度的分析提供了依据。

从计算复杂度方面来看，新算法由于不改变给定的 Maude 规范，避免了状态空间的增加，从而在处理基于事件的属性和混合属性时，能够显著减少不必要的计算开销。与旧实现相比，新算法在性能上有了质的提升。以下是新旧算法在不同属性类型下的性能对比表格：
| 属性类型 | 旧实现性能 | 新实现性能 |
| ---- | ---- | ---- |
| 基于状态的属性 | 与 Maude 原始 LTL 检查器相同 | 保持 Maude 原始 LTL 检查器的良好性能 |
| 基于事件的属性 | 状态空间显著增加，性能受影响 | 状态空间不变，性能良好 |
| 混合属性 | 状态空间增加，性能不佳 | 状态空间不变，性能良好 |

新算法的优势还体现在其实现方式上。它是在 C++ 级别作为 Maude 的 LTL 模型检查器的扩展来实现的。这种实现方式使得算法能够紧密集成到 Maude 系统中，充分利用 Maude 的现有资源，同时又能高效地处理重写事件的空间动作模式。

4. ν - MSR 与 LTLR 的应用展望

ν - MSR 和 LTLR 在多个领域都有着广阔的应用前景。

在 ν - MSR 方面，未来计划将 spi 演算和移动环境编码到 ν - MSR 中。对于 spi 演算，相信可以实现类似于 π - 演算进程的翻译，从而将两种不同的安全协议规范和分析方法（spi 演算和多重集重写）结合起来。对于移动环境，初步的翻译方法似乎需要一个传输（或广播）操作，但在某些条件下，传输操作不会增加额外的表达能力。这使得我们可以在一个共同的框架下比较移动环境的受限类别的可判定性结果和 π - 演算的相关结果。

在 LTLR 方面，随着算法的不断优化和性能的提升，它可以应用于更复杂的并发系统的验证。例如，在分布式系统、网络协议等领域，LTLR 可以更准确地描述和验证系统的行为，尤其是涉及到事件和状态混合的属性。以下是一个简单的应用流程示意图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([系统规范]):::startend --> B(使用 ν - MSR 建模):::process
    B --> C(定义 LTLR 属性):::process
    C --> D(使用 LTLR 模型检查器验证):::process
    D --> E{验证结果}:::decision
    E -->|通过| F([系统合格]):::startend
    E -->|不通过| G(修改系统规范):::process
    G --> B

5. 总结

ν - MSR 为并发和名称绑定提供了一种强大的建模工具，它能够自然地模拟具有名称绑定的并发模型，如 pν - APNs 和 π - 演算进程。通过证明深度有界的 ν - MSR 项是 WSTS，我们可以得出深度有界的 pν - APNs 的可达性、有界性和终止性是可判定的。

LTLR 模型检查器则为 Maude 系统带来了更强大的验证能力。新的实现算法避免了状态空间的增加，在处理基于事件的属性和混合属性时表现出色。它不仅保留了 LTL 的基于状态的优点，还获得了重写事件的空间动作模式的强大表达能力。

未来，通过将 spi 演算和移动环境编码到 ν - MSR 中，以及进一步优化 LTLR 模型检查器的性能和功能，我们可以在更多领域中应用这些技术，为并发系统的设计和验证提供更有效的支持。