29、形式化设计中的精化计划与接口实例化精化

形式化设计中的精化计划与接口实例化精化

1. 精化计划相关内容

1.1 前置条件与指导

在精化过程中，有两个重要的前置条件：
- P3 ：后累加器保护条件未缺失，且与保护模式兼容，即 (G=(W_j, V_2))。在精化事件中，后累加器保护条件 (y = n) 存在且与模式兼容。
- P4 ：累加器不变式缺失或与不变式模式不兼容，即 (H_1 \Rightarrow F \preceq (W, V_2))。由于模型中缺少累加器不变式，所以此前置条件成立。

基于此，需要向具体模型中添加形如 (H_1 \Rightarrow F \preceq (W, V_2)) 的不变式。当保护条件的前置条件 P1 到 P4 都满足时，不变式模式实例化为 ((flag = FALSE) \Rightarrow F \leq (x_{tmp}, n, x, y)) （由于使用自然数，(\preceq) 实例化为 (\leq)）。

1.2 寻找正确实例化的方法

目前有三种方法来找到正确的实例化：
1. 通过与用户交互。
2. 使用证明模式。
3. 使用自动理论形成（ATF）。

这里使用 ATF，特别是 HREMO 系统来搜索缺失的不变式和保护条件。但 HREMO 目前不能用于分析事件不正确的模型，所以无法直接用它来发现缺失的保护条件，但可以用于发现缺失的不变式。不过，对于上述不变式模式，HREMO 在 1000 个理论形成步骤后（产生 7959 个猜想）仍未能找到缺失的不变式，这意味着还需要进一步搜索。