15、符号前向分析的组合终止分析

符号前向分析的组合终止分析

1. 符号前向分析充分终止条件的意义

符号前向分析的充分终止条件之所以引人关注，主要有以下三点原因：
- 为无限状态系统的符号模型检查成功提供新视角 ：这些条件可应用于实际的互斥协议等具体示例，有助于我们重新审视无限状态系统符号模型检查在实际应用中取得成功的原因。
- 为验证问题提供理论保障 ：在实际的验证问题中，可对要检查的模型进行调整，使其满足充分终止条件。例如，添加语义上冗余的变量初始化，或隐藏未使用的变量。这对于尚未实现实际终止的问题，能提供理论上的保证。从实际应用角度看，若已知某个实验理论上会终止，在等待两小时后，或许值得再等两小时。
- 优化符号前向分析过程 ：本文给出的终止保证在将不动点测试弱化到局部蕴含（local entailment）时仍然成立。例如，对于实数上的线性算术约束，不动点测试的复杂度从 co - NP 难降低到多项式复杂度。像 UPPAAL 和文献中描述的模型检查器就使用了这种优化后的不动点测试。

2. 预备知识

2.1 无限状态系统

我们使用带保护命令的程序来指定（可能是无限状态的）转换系统。一个带保护命令的程序由一组保护命令 $e$（称为边）组成，形式如下：
$e \equiv \ell: \gamma_e(x) [] \alpha_e(x, x’)$; goto $\ell’$
其中，$\ell$ 和 $\ell’$ 是程序位置有限集合中的标签，$x = \langle x_1, …, x_n \rangle$ 是程序变量的元