42、并行程序的 Event-B 分解方法解析

并行程序的 Event-B 分解方法解析

1. 最终事件精化证明

为了证明最终事件相对于其抽象版本的精化，需要为抽象中消失的参数 k 提供一个见证。这里的参数 k 恰好是两个发布值中的最小值。给定这个见证后，模拟证明义务就变得简单了，因为抽象和具体事件都为变量 result 分配了等价的表达式。

还需要证明防护强化，这就需要为新引入的变量给出一些不变式。以 process1 为例，有以下五个不变式：
- inv1 1: publish1 ̸= M + 1 ⇒ finish1 = TRUE ：如果 process1 发布了某个结果，那么它一定已经终止，这意味着该进程最多只能发布一次。
- inv1 2: publish1 ̸= M + 1 ⇒ publish1 ∈ PART 1
- inv1 3: publish1 ̸= M + 1 ⇒ ARRAY(publish1) = TRUE
- inv1 4: publish1 ̸= M + 1 ⇒ (∀i·i ∈ PART 1 ∧ i < publish1 ⇒ ARRAY(i) = FALSE) ：这几个不变式表明 process1 不会给出错误信息，如果它发布了某个结果，那么这个结果一定是它在 PART 1 中能找到的最小索引。
- inv1 5: finish1 = TRUE ∧ publish1 = M + 1 ⇒ (∀i·i ∈ PART 1 ∧ i < publish2 ⇒ ARRAY(i) = FALSE) ：当 process1 终止但