Тестовые эквивалентности для моделей структур событий с непрерывным временем Текст научной статьи по специальности «Математика»

Вычислительные технологии

Том 15, № 3, 2010

Тестовые эквивалентности для моделей структур событий с непрерывным временем*

Е.Н. Боженкова Институт систем, информатики СО РАН, Новосибирск, Россия Новосибирский государственный университет, Россия e-mail: bozhenko@iis.nsk.su

При верификации сложных вычислительных систем часто применяют понятия тестовой эквивалентности. В работе рассмотрена и решена проблема распознавания временных тестовых эквивалентностей в рамках модели временных структур событий с невидимыми действиями. Предлагаемый способ решения — сведение проблемы к проверке формулы на модели (model-checking). Для этого строятся логические формулы, характеризующие временную структуру событий с точностью до тестовых must- и may-предиорядков.

Ключевые слова: временные структуры событий, тестовые эквивалентности, реальное время, логическая характеризация.

Введение

Распределенные системы, работающие в режиме реального времени, сложны для разработки и проверки корректности. Для упрощения структуры и повышения уровня абстракции при спецификации и верификации таких систем, состоящих из большого числа взаимодействующих компонентов, важным является понятие эквивалентности.

В теории формальных моделей было предложено и изучено большое разнообразие эквивалентноетных понятий. Один из известных подходов при определении эквивалентности — тестовый. Два процесса считаются тесто во эквивалентными, если они могут {may) или должны (must) проходить одинаковый набор тестов. Тестовые эквивалентности используются для сравнения систем, проверки соответствия реализации ранее заданной спецификации, проверки выполнимости логических формул.

Существует несколько методов определения тестовых эквивалентностей. Один из них — метод тестирования соответствия спецификациям (conformance testing) [1], который состоит в генерации конечного множества тестов на основе спецификации и дальнейшей их проверке на реализованном процессе с неизвестной внутренней структурой. При таком подходе делается предположение, что при проверке теста за конечное число раз можно пройти все возможные пути исполнения процесса.

Другой, более формальный, метод тестирования состоит в следующем: внутренняя структура сравниваемых процессов предполагается известной, и сравнение проводится относительно множества всех возможных тестов. Для данного метода понятие тестовой эквивалентности дано Хеннессн и де Николой в работе [2], где для облегчения

* Работа выполнена при финансовой поддержке DFG-РФФИ (гранты № 436 РФФИ 113/1002/01 и 09-01-91334).

© ИВТ СО РАН, 2010.

применения тестовых эквивалентноетей были найдены их альтернативные характери-зации для модели систем переходов и на их основе предложен метод построения тестов. Разрешимость тестовой эквивалентности обычно достигается ее сведением к бисимуля-ционной [3], Тестовые эквивалентности исследованы и для других формальных моделей как безвременных, так и с временными характеристиками. Альтернативные характери-зации через соотношения множеств возможных действий были даны для асинхронных моделей [4] и для моделей с вероятностными характеристиками [5, 6], Для структур событий [7, 8] тестовые эквивалентности введены в контексте различных семантик (ин-терливинговой, пошаговой, частичного порядка) и изучены взаимосвязи между ними на различных подклассах, Хеппесси и Реган [9] дали альтернативную характеризацию и аксиоматизацию для тестовых эквивалентноетей для модели алгебр процессов с дискретным временем, Нильсен и Скоу [10] рассмотрели тестовые эквивалентности для класса детерминизируемых временных автоматов с непрерывным временем и предложили метод генерации конечного и полного множества тестов для данной модели, Фо-глером и Бихлером временные тестовые отношения (faster-than-relations) исследованы для асинхронной модели временных сетей Петри в статье [11], где дается характери-зация через множество слов, включающих отклоняемые действия (refusal traces). Эти авторы показывают возможность дискретизации, что позволяет получить совпадение тестовых отношений с дискретным и непрерывным временами. Для временных структур событий с непрерывным временем найдены альтернативные характеризации тестовых предпорядков [12], рассмотрена проблема распознавания тестовых отношений и построены характеризационные формулы для подклассов без невидимых действий [13], Данная работа исследует разрешимость тестовых must- и may-эквивалентностей для непрерывно-временных структур событий с невидимыми действиями, В этой модели временной интервал, сопоставленный событию, обозначает отрезок времени, в который событие должно случиться, после выполнения своих предшественников. Также предполагается, что выполнение события происходит мгновенно. Разрешимость тестовых отношений дается через построение логической формулы, характеризующей временную структуру событий с точностью до тестовой эквивалентности, и проблема распознавания, являются ли две временных структуры событий тесто во эквивалентными, сводится к проверке, удовлетворяет ли одна из них характеризационной формуле другой, В качестве базовой логики использована временная модальная логика Lv [14], Характеризационная формула отражает структуру возможных выполнений временной структуры событий в удобном для анализа виде. Сложность при построении такой формулы состоит в организации пространства состояний таким образом, чтобы все состояния, достижимые одним временным словом, были собраны вместе.

Материал статьи излагается в следующем порядке, В разделе 1 вводятся основные понятия, связанные с временными структурами событий, 2 — определяются временные тестовые предпорядки и эквивалентности, 3 — рассматривается временная модальная логика Lv, 4 — даются понятия, используемые для получения конечного представления пространства состояний. Раздел 5 посвящен построению характеризационных формул,

1. Временные структуры событий

Определим основные понятия, связанные с моделью временных структур событий, которая является расширением модели Винскеля [15] за счет введения временных интервалов на события структуры.

Пусть Act — конечное множество действий и т — невидимое действие, причем т G Act, тогда ActT = Act U {т},

Определение 1. Структура событий, помеченная над Act T, — это на бор S = (E, <,#,l), где E — конечное множество событий; < С E х E — частичный порядок (отношение причинной зависимости^); # С E х E — симметричное и иррефлек-сивпое отношение (отношение конфликта/, удовлетворяющее принципу наследования конфликта: Ve, e', e'' G E . e # e' < в" ^ e #e'' ; l : E ^ ActT — помечающая функция,

E ActT

Пусть S = (E, <, l) — структура событий, C С E. Тогда C — левозамкнутое, если событие содержится в множестве вместе со своими предшественниками: Ve,e' G E . е G C Л e' < e ^ e' G C, Будем называть C бесконфликтным, если любая пара событий CS

S

через Conf (S). Назовем событие готовим для кон фигурации C G Conf (S), если при

C

для конфигурации C обозначим через En(C),

Дня множеств натуральных и действительных чисел используются стандартные обозначения (N, R+ R+). Для чиела d G R+ [dj ([d]) обозначает его наименьшую (наибольшую) целую часть, a {d} — его дробную часть. Определим множество временных интервалов 1nterv(R+) = {[di,d2] С R+ | d1;d2 G N},

Теперь можем ввести понятие временной структуры событий,

ActT

это пара TS = (S, D), где S = (E, <, #,l) — структура событий, помеченная над ActT; D : E ^ 1nterv(R+) — временная функция, сопоставляющая каждому событию из E временной интервал из /nterv(R+), такая, что D(e) — точечный интервал из 1nterv(R+) для, всex e G E с l(e) = т.

Временной интервал, приписываемый каждому событию, отражает отрезок времени, в который событие должно случиться.

В графическом представлении ВСС события изображаются вместе с сопоставленными им действиями и временными интервалами; между нарами событий, включенными в отношение причинной зависимости, рисуются стрелки; между нарами событий, включенными в отношение конфликта, рисуются символы '# ', Обычно, чтобы избежать загромождения, имена событий опускаются и указываются только соответствующие помечающие действия.

Пример 1. На рис, 1 приведена временная структура событий TS1; множество событий которой состоит из e1; e2, e^. События e1 и e2 находятся в отношении причинной зависимости, e2 и e3 — в отношении конфликта.

Зафиксируем помеченные над ActT временные структуры событий TS = (S = (E, <,#, l),D) и TS' = (S' = (E', <', #', l'),D ') и, если не оговорено другое, будем работать с ними,

TSX: [0,1] а: ег --Ь:е2[1,3]

#

т : е3 [2,2]

Рис. 1. Пример временной структуры событий

Состоянием в ТБ называется пара М = (С, 5) такая, что С — конфигурация в Б, 5 : Е — И.^ — функция временных значений. Множество состояний в ТБ будем обозначать через БТ(ТБ), Пусть МТ8 = (0, 0) — начальное состояние в ТБ, Состояние М = (С, 5) называется заключительным, если для его конфигурации С нет готовых событий.

Выполнение временной структуры событий представляется последовательностью переходов из одного состояния в другое, которые осуществляются либо путем выполнения события, либо посредством истечения некоторого времени. Событие готово выполниться в некотором состоянии, если бесконфликтное множество его предшественников уже выполнилось, а значение временной функции находится в пределах временного интервала, приписанного данному событию. Предполагаем, что событие срабатывает мгновенно, В состоянии может пройти некоторое количество времени, если после этого временные значения готовых к выполнению событий не превысят границ временных интервалов.

Пусть М1 = (С1,61),М2 = (С2,62) € БТ (ТБ), причем М не является заключительным состоянием. Состояние М1 переходит в состояние М2 посредством выполнения события е (обозначается М1 — М2), если е готово для конфигурации С, 51(е) € ^(е), С2 = С1 и {е} и

х / ,ч _ Г 0, если е' € Еп(С2) \ Еп(С1),

52(е ) = < ¡- , А

[ о1(е'), иначе.

Примем М1 -— М2, есл и М1 -— М2 и 1(е) = а, Также будем считать, что для таких состояний действие а (событие е) может выполниться: М1 — (М1 —),

Состояние М1 переходит в М2 посредством истечения времени 1 € И.+ (обозначается как М1 -— М2), есл и С2 = Сь Уе € Еп(С1) 31' > 1 . 51(е) + 1' € Б(е) и для всех е € Е 62 (е) = 61 (е) + 1.

Чтобы абстрагироваться от выполнения невидимых действий, будем использовать

ТБ

е т * ж еже т *

ется как отношение такое, что ^ — и где — — рефлексивное

транзитивное замыкание отношения — ах € АС и И.+, Предполагаем, что для от-й

ношения перехода ^ выполняется правило непрерывности времени: если в некотором

1

11 12

что 1 = 11 + 12,

Выполнение ВСС порождает язык ВСС, слова которого являются последовательностью временных действий,

а(1)

ки перед его выполнением. Тогда для последовательности временных действий т = а1(11)... ап(1п) ее длительность Д(т) вычисляется как сумма всех временных задержек, входящих в т временных действий. Временное слово (т,1) состоит из последовательности временных действий т и длительности временного слова 1, которая не может быть меньше длительности Д(т). Множество временных слов будем обозначать Дот(Ас£, И.с+). Естественным образом слабое отношение перехода обобщается па вре-

ТБ

будем называть множество временных слов, которые могут выполниться в начальном состоянии,

Пример 2. Для ВСС TS1 (см. рис. 1) языком будет множеетво L(TSi) = {(e,di),

(a(di),di + d2), (a(d1)b(d3),d1 + d3) | 0 < d1 < 10 < d2 < 2, 1 < d3 < 2 d1 + d2 < 2,

di + d3 < 2}.

2. Временная тестовая эквивалентность

Рассмотрим понятия временных тестовых предпорядков и эквивалентностей на ВСС. При тестовом подходе поведение системы исследуется посредством набора тестов [2].

Два процесса считаются тесто во эквивалентными, если они могут (may) или должны (must) проходить одинаковый набор тестов. Тест является специальным процессом и выполняется параллельно с каждым из тестируемых процессов. Такое выполнение будет успешным, если тест достигнет специального успешного состояния. Процесс проходит тест, если каждое (в случае must-предпорядка) или хотя бы одно (в случае may-предпорядка) параллельное выполнение процесса и теста успешно.

Для ВСС была найдена альтернативная характеризация временных тестовых эквивалентностей [12], и в настоящей работе удобнее использовать ее в качестве формаль-

may

характеризуетея включением временных языков, а для must-предпорядка необходимо, чтобы между состояниями двух ВСС, полученными после выполнения временного слова языков ВСС, было некоторое соответствие (сс): а именно, должно быть включение множества действий, готовых к выполнению, и если в состоянии второй ВСС время не может пройти, то оно не может пройти и в состоянии первой ВСС.

Прежде введем ряд вспомогательных обозначений, полезных для формальных определений. Пусть M — некоторое состояние TS, (w, d) — временное слово. Множество действий, которые могут быть выполнены в состоянии M, обозначим как S(M) = {у £ ActT U R+ | M А}, Для всех состояний, достижимых выполнением временного слова (w,d), такие множества образуют множество Acc(TS, (w,d)) = {S(M') | MTS M', M' А}. Пуст ь N, N' с 2ActuR+. Тогда N' сс N ^^ VS' £ N' 3S £ N . (S |ActC S' |Act) л (S' |r+ = 0 ^ S |R+ = 0).

Теперь определим понятия временных тестовых предпорядков и эквивалентностей следующим образом.

Определение 3.

- TS <may TS' ^ L(TS) C L(TS');

- TS <must TS' ^ V(w,d) £ Dom(Act, R+) Acc(TS', (w,d)) сс Acc(TS, (w,d));

- TS TS' TS <a TS' Л TS' <a TS, gde a £ {may, must}.

Пример 3. Временные структуры событий TS2 и TS2 являются may-эквивалентны-must must

Acc(TS3, (a(0), 1)) = {{c}U(0,1]} и Acc(TS3, (a(0), 1)) = {({c}U(0,1]), {c}}. Это означает, что в TS3 после выполнения действия a и истечения времени 1 может быть выполнено действие с или может пройти время из интервала (0,1]. В TS3 после выполнения такого же временного слова можем получить два состояния, причем в одном, как и в TS3, может быть выполнено действие с или может пройти время из и нтервала (0,1], но в другом может быть выполнено только действие с. Тогда не существует S £ Acc(TS3, (a(0), 1)) такого, что {с} |R+ = 0 ^ S |R+ = 0, т.е. -(Acc(TS3, (a(0), 1)) сс Acc(TS3, (a(0), 1))).

[1,1] [1,1] Т^: [1,1] [1,1]

а а а а

# # # #

Т —т т т

[1,4 [0,0] [1,1] [1,1]

б Г5з :

[1,1] о.

Ь [2,3] #

с[ 0,2]

[0,1]а: #

[0,1]а-

Ь [2,3] #

с [0,2] с [0,1]

Рис. 2. Пример т-из£-эквивалентных (а) и не тиз£-эквивалентных (б) временных структур событий

3. Временная модальная логика

Рассмотрим основные понятия временной логики ¿^предложенной в [14]. Логика является фрагментом ^-исчисления с максимальной рекурсией. В дальнейшем формулы данной логики будем использовать дня характеризации ВСС с точностью до временной тестовой эквивалентности.

Определение 4. Пусть даны К — конечное множество часов, Ы — множество переменных и к — целое число. Множество формул логики на д К, Ы ик образуется следующим абстрактным синтаксисом:

ф := # | ^ | ф Л ф | ф V Эф | Wф | (а)ф | [а]ф | х т ф | х + п м у + т | х м т | %

где а € Ас£г, х, у € К п, т € {0,1,..., к} Мб {=, <, <, >, >} и % €

Означивание переменных из /^ осуществляется декларацией Б, которая сопоставляет формулу каждой переменной, Если Б ясна го контекста, будем вместо ) = ф

писать % := ф. Часы К называются формульными часам,и и формула ф называет-

ф

"х ш ...". Для данной временной структуры событий Т$ формулы интерпретируются на расширенных состояниях (С, 6и), оде (С, 6) — состояння Т$, и — означивание

К

означивание формульных часов изменяется синхронно с временной функцией 6, Отношение выполнимости определяется аналогично |14|, и ниже приведена только часть условий.

Определение 5. Пусть даны временная структура событий ТБ и декларация Б. Отношение выполнимости =р — наибольшее отношение, удовлетворяющее следующим условиям: (С, 6и) =р # 4 истина; (С, 6и) =р ^ 4 ложь;

(С, 6и) =р ф Л ф 4 (С,6и) =р фи (С, 6и) =р ф;

(С, 6и) =р Эф 4 € К+ . (С, 6) 4 (С', 6') и (С', 6 'и + =р ф; (С,6и) =р [а]ф 4 У(С",6') € £Т(Т£) . (С, 6) А4 (С', 6') влечет (С',6'и) =р ф.

(С, ¿и) =р х + т м у + п ^ и(х) + т м и(у) + п;

(С, ¿и) =р х т ф ^ (С, ¿и') =р ф, где и' = [{х} — 0]и; (С, ¿и) =р £ ^ (С, ¿и) =р ).

ТБ удовлетворяет замкнутой формуле ф котики (ТБ =р ф), если (Со, ¿0и) =р ф при любом и. Заметим, что если ф — замкнутая формула, то (С, ¿и) =р ф, только если

. к

(С, ¿и') =р ф при любых и, и' € ,

Пример 4. Пусть = {а} К = {х}, Тогда простой пример формулы логики ф = х гп Э[а]# и ВСС ТБ2 (см, рис, 2) удовлетворяет ф, так как существует время д = 1, после истечения которого может выполниться действие а,

4. От пространства состояний к графу классов

Для построения характеризационной формулы необходимо преобразовать бесконечное пространство состояний к конечному представлению таким образом, чтобы состояния, достижимые одним и тем же временным словом, были собраны в одном классе. Для получения дискретного представления будем использовать понятие региона, аналогичное введенному Алуром [16], а затем для получения детерминированного представления перейдем к классам. Понятие региона введем не на обычных состояниях из БТ(ТБ), а на обобщенных, объединяющих те состояния БТ(ТБ), которые получены выполнением некоторого временного слова.

Перейдем к формальным определениям.

Определение 6. Подмножество в БТ(ТБ) ц = {М | М € БТ(ТБ)} называется, обобщенным состоянием ТБ. Начальное обобщенное состояние ТБ — ц0 = {М^}.

Иногда будем обозначать ц через (Мь..., М„^и ((С)п, (¿)га), где Mi = (С^, ¿¿) € ц , (С)п = (С1,..Сга), (¿)п = (¿1,..., ¿п) и индекс г (1 < г < п) является внутренней нумерацией состояний в ц.

Обозначим множество готовых в обобщенном состоянии ц событий через Еп(ц) = и{Еп(С) | 3(С, ¿) € ц}. Пусть п+ = {1,..., п}, тогда перестановка п(п) : п+ — п+ расширяется до (С)п следующим образом: п(п)((С)п) = (СП(п)(1),..., СП(га)(га)), Аналогично определяется п(п)(^)га), тогда п(п)(ц) = (п(п)((С)га), п(п)(^)га)).

Выполнением некоторого действия обобщенное состояние переходит в другое обобщенное состояние, образованное из состояний, в которые переходят состояния первого обобщенного состояния выполнением рассматриваемого действия. При этом в обобщенном состоянии может выполниться видимое действие или пройти некоторое количество времени, если в нем не может выполниться невидимое действие.

Таким образом отношение -— на обобщенных состояниях определяется в следующем виде:

— ц -— ц' ц С ц ', ц = ц' и для всех (С', ¿') € БТ(ТБ), для которых существует (С,¿) € ц . (С,¿) — (С,¿'), верно (С', ¿') € ц ';

— ц — ц' ^^ ц и для вс ех (С'^') € БТ (ТБ), для которых существует (С, ¿) € ц . (С, ¿) — (С', ¿'), верно (С', ¿') € ц ' (г € и К+).

Заметим, что правило непрерывности времени выполняется и для обобщенных со-

цо

БТС(ТБ), Отношение перехода та обобщенных состояниях БТС(ТБ) так же, как и на состояниях БТ (ТБ), расширяется для временных слов из Дот(Ас£, И.+). Обозначим

все обобщенные состояния, достижимые временным словом через Б((эд,й)) =

г I т

{ц | цо =4 ц}

Из определения отношения перехода на обобщенных состояниях следует, что обобщенные состояния, достижимые одним словом, образуют цепь.

Утверждение 1. Для, любого временного слова € ¿(ТБ) (Б((эд,й)), С) явля-

ется, цепью.

Модифицируем для обобщенных состояний определение региона и связанные с ним понятия. Два обобщенных состояния входят в один регион, если при некоторой перестановке их конфигурации совпадают, целые значения и соотношения дробных частей временных функций также совпадают.

Определение 7. Пусть ц = (Сь ..., Сп, 61,..., 6П) = ц' = (С1,..., СП, 61,..., 6^)-Тогда, ц ~ ц', если (С1,..., СП) = (С1,..., СП) и

а) VI < г < т. [611... |6га(г)] = |_6Ц ... К(г)];

б) VI < г,] < т .

{61| ... |6п(г)} < {61|... |6„Ш} 44 {611... |6П(г)} < {611 ... |6П(^')}, - {61| ... |6п(г)} = 0 {611 ... |6П(г)} = 0,

где ... \8п — конкатенация векторов 8^ (1 < г < п), т = ^ | С» |.

1<г<га

Множество Я = [ц] = {ц1 | 3п(п) . ц ~ п(п)(ц1)} называется регионом ТБ, Определим Я0 = [ц0].

Пусть Я = Я1 будут регионами ТБ, Два региона связаны выполнением действия, если в них существуют обобщенные состояния, связанные выполнением этого действия. Два региона связаны временным шагом, если в них существуют обобщенные состояния, связанные истечением времени, и при этом все состояния, полученные истечением меньшего количества времени, также входят в один из этих регионов, т, е, отношение перехода на регионах определяется следующим образом:

— Я А Я1; если 3ц € Я, ц1 € Я1 . ц А ц1 (а € Ас£г);

— Я А Яь есл и 3ц € Я, ц1 € Я1 3й € И+ . ц А ц1 Л V 0 < й' < й ц А Д € Я и Яь

Назовем разбиение БТС(ТБ) на регионы устойчивым, если для каждой пары регионов, связанных отношением перехода, каждое обобщенное состояние из первого региона пары переходит выполнением соответствующего действия в некоторое обобщенное состояние второго региона пары, т.е.:

— если Я А Я1; то ^ € Я . ц А ц1 для некоторого ц1 € Я1 (а € Ас£г);

X д д' ~

— если Я А Я1; то Vц € Я 3й € И+ . ц А ц1 для некотор ого ц1 € Я1 и ц А ц € Я и Я'

для всех 0 < й' < й.

Согласно [17] всегда можно преобразовать разбиение на регионы к устойчивому. Теперь можно определить понятие графа регионов для ТБ,

Определение 8. Граф регионов ТБ — это тройка ЯС(ТБ) = (Уне? Енс, /на), где множеством вершин является, устойчивое разбиение БТС(ТБ) на, регионы, множеством дуг Еис — отношение перехода, на, регионах из Уде, и помечающая функция /дс : —> Ас£г и {х} определяется, как /((Я, Я')) = г 44 Я А Я'.

Сложность алгоритма построения графа регионов и размер графа регионов являются экспоненциальными от количества событий и размеров временных интервалов.

Г52: [1,1] [1,1] ДС?(Г52):

е\ : а : а

X

т

т

а а

а

л2-

Дз

"" Лб

ез : т—: г

[1,1] [0,0]

Рис. 3. Пример графа регионов

Пример 5. Для ВСС ТБ2 граф регионов изображен на рис, 3, Приведем для некоторых регионов входящие в них обобщенные состояния. Регион Я0 состоит из обобщенного

состояния ¿¿о = {(0,0)}, Я4_= Ы, где л4 = {(0,1), ({е3}, (1,1,1,0)), ({е3,е4}, (1,1,1,0))}, Я5 = Ы, где л5 = {({б1}, 1), ({е2}, 1), ({е2, е3}, (1,1,1,0))}.

Из определения (7) отношения — на обобщенных состояниях и определения графа регионов получаем совпадение множеств, готовых к выполнению действий дня обобщенных состояний из одного региона.

Лемма 1. Пусть Я е Уш. Тогда Ул, л' е Я У(С, 6) е л 3 (С', 6') е л' .С =

С' Л Б ((С, 6)) Ц^ = Б ((С', 6')) Ц^ Л Б ((С, 6)) \н+ = 0 ^ Б ((С', 6')) \н+ = 0.

4.1. Добавление часов

Дня синхронизации ВСС, дня которой логическая формула будет конструироваться, с другой ВСС, па которой формула будет проверяться, в регионы включаются временные счетчики. Кроме того, дня сохранения возможных значений таких счетчиков в каждом регионе будем фиксировать представителя региона, подобная дополнительная информация будет сохраняться в специальных нолях.

Пусть даны ЯО(ТБ) — граф регионов, X — счетное множество часов. Сопоставим каждому региону ЯО(ТБ) уникальный номер, тогда каждому региону Яг сопоставим собственные часы х^, Для простоты будем иногда вместо хд писать хг, Более того, каждому региону Я сопоставим четверку дополнительных полей Т = (ЯС(Я), лд, ад, Ад) оде ЯС (Я) — множество ч асов, лд = ((С)гад, (6)ПЕ) е Я — представитель региона, функция ад : ЯС (Я) —> 2ЁхК сопоставляет пары из события и номера конфигурации из лд всем часам из ЯС (Я) функция Ад : ЯС (Я) —> И+ — означивание часов.

Сначала предполагаем, что ЯС (Яо) = {жо}, ¡о — представит ель Яо, ад0 (ж0) = {(е, 1) \ е е Еп(С0)}, Ад0(х0 = 0, Для устальных Я е ЯС(ТБ) предполагаем ЯС (Я) = 0 и в качестве представителя берем произволь ное состояние л е Я, ад = 0,

хд ЯС(Я)

после выполнения некоторого действия появляются новые готовые события в копфи-

Я

сопоставляются часам региона жд. Кроме того, удаля ем из ЯС (Я) ненужные часы, а именно те, которым конфигурации уже пе сопоставляются.

Рассмотрим подробнее формирование дополнительных нолей при выполнении видимых действий, дня случаев невидимого действия и временного шага ноля изменяются похожим образом: (Я, Т) — (Я',Т') (а е Ас£), если Я — Я' (предположим лд — Л Для некоторого л е Я', лд' — п(пд)(л) для некоторой перестановки п(пд)) и множества ЯС (Я') и ад' изменяются в два шага:

1. RC(R') = RC(R) U (R \ OLD(R, a)), где OLD(R, a) = {xi | V(e,j) G or(x^ .

C ^) — ^ ~ ~ „ C

or'(x) = or(x) U {(e,n(nR')(k) | 3(e, i) G or(x) 3(Ck,4) G C . (Ci,8i) Л (Ck,jk)} для всех x G RC(R') П RC(R);

2. or(xr) = {(e,i) | (Ci,6i) G jR' . 3e G En(Cl) (5i(e) = 0 Л Vx G RC(R') (e,i) G or (x)};

если or (xr ) = Mo RC(R') = RC(R') U {xr }.

x G RC(R)

ассоциированного с ним события: AR(x) = 6i(e), оде (e,i) G or(x). Далее вместо (R,T) будем использовать обычное об означение R. Пример 6. Рассмотрим, какие дополнительные ноля приписываются регионам графа RG (TS2) ■ Представителем Ro будет ^множество часов RC (R) = {xo}, oRo (xo) = {(ei, (ei, (e2,(e3,1)} означивание часов в регионе ARo(x0) = 0, Представителем R4 будет j4, множество часов RC(R4) = {x0}, oRi(x0) = {(e1,1), (e2,1), (e3,1), (e1, 2), (e2, 2), (e3, 2), (e1, 3), (e2, 3), (e3, 3)} ARi(x0) = 1. Отметим, что в данном примере RC xo

4.2. Граф классов

Дня абстрагирования от невидимых действий определим понятие класса как замыкание регионов относительно перехода но т [12].

Пусть RG(TS) = (VRG, ERG,lRG), Q — подмножество вершин из VRG. Тогда классом TS назовем множество QT = {R G VRG | 3R G Q . R 4 R'}.

Обозначим через Q0 = {R0}T начальный класс и через Der(Q, z) = (Jr&q{R1 | R — R1} да я z G Act U {x} — множество регионов, достижимых из ре гионов класса Q выполнением некоторого действия z. Тогда дая классов Q,Q1 и z G Act U {x} отношение перехода на классах определяется следующим образом: Q — Qb если Q1 = (Der(Q, z))T.

Да. ice будут полезны обозначения дня множества действий, но которым возможен переход из данного класса, и дня множества часов, приписанных регионам класса: S(Q) = {z G Act U {x} | Q —}, QC(Q) = (Jr^q RC(R).

TS

граф CG(TS) = (VcG, ECG, lCG)- Множеством вершин VCG является множество достижимых классов TS, Ecg — отношение перехода, на, классах VCG, lCG : ECG —> (Act U {x}) — помечающая функция.

Таким образом, дня каждого класса существует не более одного перехода по каж-Act U {x}

Пример 7. Для ВСС TS2 граф классов CG(TS2) изображен та рис. 4, класс Q0 этого графа состоит из региона R0, Q1 — из региона Rb Q2 = {R2, R3, R4}, Q3 = {R5},

Q4 = {Re}-

CG(TS2)

X X a a

Qo " Q1 Q2 " Q 4

Рис. 4. Пример графа классов

Из утверждения 1 и определений отношения перехода на регионах и классах следует единственность в каждом классе такого региона, который не может выполнить невидимое действие.

Утверждение 2. Для любого класса Q е СС(ТБ) существует единственный регион Я е Q 'такой, что Я —.

Для дальнейшего анализа состояний, входящих в класс, необходимо связать понятия состояния, временного слова и класса. Временное слово и путь в графе классов связываются, если существует сопоставление между временными действиями, составляющими данное слово, и переходами, составляющими путь.

Определение 10. Пусть (ад,д) е Т(ТБ) и СС(ТБ) = (Усе, Есс, ¡сс)- Пусть р = Q0 ... ^ ^ ^ть в СС(ТБ). Тогда, л е БТС(ТБ) называется, достижимым временным словом, (ад,д), согласованным с р, есл,и [л] е Q и

— либо р = Q0 и (ад, д) = (е, 0);

— либор = р1 — Q и существует л1 е БТС(ТБ), достижимое посредством (ад', д'), согласованного ср1; при этом,

а в''

— если, г = а е АсЬ, то л1 л и (ад,д) = (ад 'а(д' — Д(ад ')),д' + д'') для, некоторого

д'' е И+;

в''

— есл,и г = х то л1 — л> и д) = (ад ', д' + д'') для некоторого д'' е И+.

Пример 8. Для рассмотренного выше графа классов СС(ТБ2) обобщенное состояние Л4 = {(0,1), ({ез}, (1)1)1)0)}) ({ез, 64}, (1,1,1, 0))} является достижимым временным словом (е, 1), согласованным с путем р = Q0 -— Q1 — Q2,

В следующей лемме устанавливается, что состояния, достижимые некоторым временным словом (ад,д), попадают в один класс. Кроме того, в каждом регионе этого класса существует состояние, достижимое выбранным временным словом.

Лемма 2. Пусть (ад,д) е ¿(ТБ), л е БТС(ТБ), Q е СС(ТБ) и путь р из Q0 в Q такие, что л достижимо временным словом, (ад, д), согласованным с путем р. Тогда, любое л1 е Б ((ад, д)) достижимо (ад, д), согласованным с путем р.

Доказательство следует из утверждения 1 и определения 10, □

Следствие 1. Пусть (ад,д) е ¿(ТБ) м л е Б ((ад, д)). Пуст ь Q е СС(ТБ), пут ьр из Q0 в Q такие, что л достижим,о (ад, д), согласованным с путемр. Тогда, для любого региона Я из <5 существует обобщенное состояние ~Ц Е Я такое, что ~Ц достижимо (ад,д), согласованным с путемр.

5. Построение формул

Рассмотрим методы конструирования для вершин графа классов характеризационных формул, являющихся подформулами характеризационной формулы ВСС. Формула для класса отражает как действия (в том числе и шаги по времени), которые могут выполниться в данном классе, так и действия, не имеющие возможности выполниться. В формулу вводятся также ограничения на временные интервалы вв которые действия могут выполняться. Эти временные ограничения строятся согласно соотношениям часов в регионах, входящих в рассматриваемый класс.

Введем полезные обозначения. Пусть Я е Уде Q е УС с- Тогда

— Б (Я) = {г е Ас£г и {х} \ Я —} — множество действий, возможных в регионе Я;

— Я е ^ ^ класса Q, из которого пет переходов по невидимым действиям, т. е. Я

— у{в(Я) = {М Е | М -—} — подмножество состояний представителя Я, в которых не может выполниться невидимое действие т.

Также будем использовать обозначения Qa и Qx, если Q А и Q Qx. Необязательные части формулы, условия включения которых отдельно оговариваются, будем заключать в ((и )), Всем час ам Хг Е QC будут соответствовать формульные часы Хг. Кроме того, дополнительно будут использоваться вспомогательные формульные часы Х, Теперь перейдем к построению формулы Яд для класса Q: Яд = Wв4 фд, где в (О) моделирует ограничения на значения формульных часов, а фд — действия, возможные в классе ^^ ^^^^мально фд можно записать как конъюнкцию следующих частей:

фд

часть для действий, которые не могут выполниться в Q

Л

часть для действий, которые могут выполниться в Q

Л

Л (( Qx не существует)) Л (( Qx существует)) Л [ моделирование Аее(ТБ, (ад,^))]. В формульном виде соответствующие части фд записывается как

фд = [ Л Ш] Л [ Д Ж^а гн)) Еда) Л [((Ях))] Л а€ЛЫ\Я(д) ]]€Я(д)\лсг

Л [((Тдх))] Л [(ЛСС^) V (тЩ .

Условия в^) должны выполняться только для тех значений часов, которые соответствуют значениям временных функций обобщенных состояний из региона Я из Q. Их построение проводятся аналогично [13]. Если действие не может выполниться в классе то его выполнение в другой ВСС приведет к невыполнимоети формулы ([а]]$). Если действие может выполниться, то в формулу включается подформула для соответствующего класса ([а]Яда) с предварительным обнулением формульных часов, если после выполнения действия для обобщенных состояний, соответствующих классу Qa, появляются новые готовые события.

фд фд

— XQa = {Х | х Е QC^а) \ QC} включается в фд, если не пусто;

— Ях = Я гн(WХ > 0 4 Да&Лси [a]ff) включается в фд, если класе Qx не существует;

— Ядх включается в фд, если кл асе Qx существует;

— ЛСС^) = ум&т<й) ((Лае$(м)\Асг Ш) Л ((X)) Л ((Яаи))) моделирует Лсс(ТБ, (<ш, в))-~ Fa.il = VаеЛс4 [а] # включается в ЛССдля всех состояний М Е в которых

нет готовых к выполнению событий;

— X ' = Я гн(ЭХ > 0 4 (\/а&АсЛ (а)Ы)) включается в ЛССдля всех состояний М Е для которых нет возможности истечения времени.

Определение 11. Для временной структуры, событий ТБ характеризационной шив^формулой называется, формула Я^" = Х0 гн Яд0.

Пример 9. Построим характеризационную шив£-формулу для ВСС ТБ2. Полагаем ЛсЬ = {а}. Тогда получим выражения:

Е^Т = Хо гн(у Хо = 0 4 [Яд, Л [а]Л Л (ЛССш V (т)#)]),

Яд, = № 0 < Хо < 14 [Яд2 Л Ш Л (ЛСС^г) V (т)#)],

Яд2 = № Хо = 1 4 [Х ги(^ Х > 0 4 [а]{[) Л [а]Яд3 Л (ЛССV (т)#)],

Fqs = W Хо = 1 ^ [(X m(W X > 0 ^ )) Л [a]Fq4 Л (ACC(Q3) V <т)#)], Fq4 = W Xo = 1 ^ [(X m(W X > 0 ^ [f)) Л [f Л (ACC(Q4) V <т)#)], ACC(Qo) = ACC(Qi) = FaU Л X in(3 X > 0 ^ (<a)# V <т)#)), ACC (Q2) = ACC (Q4) = Fail, ACC(Q3) = Fail V <a)#, Fail = [a]tt.

Прежде чем перейти к основной теореме рассмотрим вспомогательные леммы, В следующих далее леммах и теореме полагаем декларацию D соответствующей определению Fq для каждого класса Q графа классов CG(TS), Покажем, что если TS' удовлетворяет характеризациоппой формуле TS, то в любом состоянии, достижимом некоторым временным словом, выполняется подформула, соответствующая классу, с которым данное слово согласовано.

Лемма 3. Пусть TS ' =d F^T- Пусть <w,d) G L(TS) П L(TS') и (C0,^0) (C',i'). Тогда (C',i'u') =D ^q, где Q и u' таковы, что существует ^ G Д (R G Q, Д -—J, достижимое временным словом <w, d), согласованным с путем из Q0 в Q, и u ' 1 rc(r) — AR-

Доказательство. Проведем доказательство индукцией по длине временного слова <w, d).

— База индукции, <w,d) = <е, 0), Пусть (C0,^0) ^^ (C',i'). Так как TS' =D F^T4, то из построения характеризациоппой формулы имеем (C0, ^0 u) =D Fq0 при u = 0, т. е,

(C0, ^0 u)=D We(Q0) ^ ^Qo- ' е т

Рассмотрим класс Q0 G CG(TS), Обобщенное состояние ^ такое, что и ^ —,

достижимо временным словом <е, 0), согласованным с путем p = Q0, и -R = G Q0, Множество часов ^ гаит из x0, и u | ¿o = ARo = 0, Из построения формулы также следует, что в(Q0) = X0 = 0, Таким образом, из определения отношения выполнимости получаем, что (C',#'u) =D ^q0,

— Предположим, что для некоторого <w', d') лемма доказана,

— Шаг индукции. Пусть (w, d) = (w'a(d"), d') и (С$,8'0) (C',8) (C',8'). По предположению индукции для (G ,8 ) существуют й, Q,~p такие, что достижимо (w', d'), согласованным с путем из Qo в Q, и выполняется (С ,8 u)\=v й Irc(r) —

Ад, где R= [р]. Согласно построению условий f3(Q) получаем (С,6 Ъ)Ы№-

Так как <w, d) G L(TS), то существуют такие обобщенные состояния ^ G S(<w, d))

иД£ S((w', d')), что fi о ~ц ц -i>. Значит ЛА Л Д = [//] и a G S(Q), т.е.

для некоторого класса Q G CG(TS) Q A Q, при этом R е Q.

Следовательно, из отношения выполнимости и построения формулы получаем (C',~8'u)^v [a](((XQ in)) Далее, (C',8'u)^v {{XQ in)) FQ и (C',5V) Hp FQ, где и' = [XQ —> 0]й, Заметим, что означивание часов Ад совпадает с Ад для всех часов из RC(R), кроме Дд(жд) = 0, Тогда из построения условий [3{Q) и [3{Q) получаем (C',i'u') =D e(Q) и u' — Ar. Так как Fq = We(Q) ^ ^q, to по определению отношения выполнимости для d = 0 имеем (C', $'u ' + d) =D ^q.

Для <w, d) = <w', d' + d'') доказательство аналогично предыдущему пункту, □

TS

TS TS TS

Лемма 4. Пусть ТБ' Я^Т ■ Тогда Ь(ТБ') С Ь(ТБ).

Доказательство проводится от противного (см. Приложение), □

Теперь можем сформулировать теорему, устанавливающую взаимосвязь между временными тестовыми тиз£-предпорядками и характеризационными формулами. Теорема 1. Пусть ТБ е ТБ' е £Т. ТБ <тиМ ТБ' 44 ТБ' \=р Я^Т ■

□

Таким образом, для решения вопроса о существовании тиз£-предпорядка между двумя ВСС можно использовать проверку тиз£-характеризационной формулы на модели, Размер формулы линеен от размера графа классов, и глубина вложений кванторов линейна от длин путей в графе классов. Заметим, что каждая цепочка вложений кванторов в основном состоит из квантор 3 может встретиться только в конце цепочки, Такая структура вложений уменьшает сложность некоторых алгоритмов проверки на модели. Сложность алгоритмов проверки [18] экспоненциальна от числа счетчиков, величины временных ограничений и глубины вложенности кванторов ^, 3,

Используя уже введенные для характеризационной тиз£-формулы подформулы и условия их включения, построим характеризационную тау-формулу, Для каждого класса ( графа СС(ТБ) полагаем

Рд = 4 фд;

Фд = Д Ш А Д <а»(«Х( т» ) А «Рх» Л «Р^»».

ТБ

тау-формулой называется формула = Х0 ш .

В следующей теореме полагаем декларацию V' соответствующей определению Яд для каждого класса ( из Усс(тя)-

Теорема 2. ТБ' <тау ТБ 44 ТБ' .

□

Заключение

В статье рассмотрены тестовые эквивалентности для класса непрерывно-временных структур событий с невидимыми действиями. Для этой модели был предложен способ построения логической формулы, характеризующей временную структуру событий с точностью до временных тпвЬ- и тау-предпорядков, При построении формулы было необходимо, чтобы состояния, достижимые одним и тем же временным словом, относились к одному классу. Для этого состояния, достижимые выполнением одинаковых действий, были объединены в обобщенные состояния, на основе которых затем получены конечное и детерминированное представления в виде графа регионов и графа классов. Тогда построение характеризационной формулы сводится к построению формул для каждого класса. После построения формулы для распознавания тестовых отношений с другими ВСС достаточно проверить, удовлетворяют ли они этой формуле,

В качестве объекта дальнейшего исследования интересна логическая характериза-ция тестовых эквивалентноетей для модели с непрерывными невидимыми действиями. Выполнение невидимого действия в любой момент времени приводит к увеличению состояний, достижимых одним временным словом, и количеству регионов, их содержащих, что усложняет задачу объединения таких состояний в один класс.

Список литературы

fl] Tretmans J. Test generation with input, outputs and quiscene // Lect. Notes Comput. Sci. 1996. Vol. 1055. P. 127-146.

[2] De Nicola R., Hennessy M. Testing equivalence for processes // Theor. Comput. Sci. 1984. Vol. 34. P. 83-133.

[3] Cleaveland R., Hennessy M. Testing equivalence as a bisimulation equivalence // Lect. Notes Comput. Sci. 1989. Vol. 407. P. 11-23.

[4] Castellani I., Hennessy M. Testing theories for asvnchromous langugages // Ibid. 1998. Vol. 1530. P. 90-101.

[51 Kumar K.N., Cleaveland R., Smolka S.A. Infinite probabilistic and nonprobabolostic testing // Ibid. 1998. Vol. 1530. P. 209-220.

[6] Lopez N., Nunez M. A testing theory for generally distributed stochastic processes // Ibid. 2001. Vol. 2154. P. 321-335.

[71 Aceto L., De Nicola R., Fantechi A. Testing equivalences for event structures // Ibid. 1987. Vol. 280. P. 1-20.

[81 Goltz U., Wehrheim H. Causal testing // Ibid. 1996. Vol. 1113. P. 394-406.

[91 Hennessy XL. Regan T. A process algebra for timed systems // Inform. Comput. 1995. Vol. 117. P. 221-239.

[101 Nielsen В., Skou A. Automated test generation from timed automata // Lect. Notes Comput. Sci. 2001. Vol. 2031. P. 343-357.

[Ill blhler E., vogler W. Timed Petri nets: efficiency of asynchronous systems // Ibid. 2004. Vol. 3185. P. 25-58.

[121 Andreeva M.V., Bozhenkova E.N., Virbitskaite I.B. Analysis of timed concurrent models based on testing equivalence // Fundamenta Inform. 2000. Vol. 43. P. 1-20.

[131 Bozhenkova E.N. Towards decidability of timed testing // Joint NCC& IIS Bull, Comput. Sci. 2001. No. 15. P. 17-29.

о

[141 Laroussinie F., Larsen K.L., Weise C. From timed automata to logic and back. Arhus,

1995 (Tech. Rep. / BRICS, Dept. Comput. Sci., Univ. of Arhus; No. RS-95-2).

[151 Winskel G. An introduction to event structures // Lect. Notes Comput. Sci. 1989. Vol. 354. P. 364-397.

[161 Alur R., Dill D. The theory of timed automata // Theor. Comput. Sci. 1994. Vol. 126. P. 183-235.

[171 Alur R., Courcoubetis C., Halbwachs H. et al. Minimization of timed transition system // Lect. Notes Comput. Sci. 1992. Vol. 630. P. 340-354.

[181 Henzinger Т., Nicollin X., Sipakis J., Yovine S. Symbolic model-checking for real-time systems // Inform. Comput. 1994. Vol. Ill, No. 2. P. 193-244.

Приложение

Доказательство леммы 4.

Пусть (C0,^0 u) =D Fmr\ где (C0,^0) = Ms, u = 0. Тогда L(TS') С L(TS). Предположим обратное. Пусть существует <w, d) G L(TS') такое, что <w, d) G L(TS),

п+1

Пусть (т,() = (а1((1).. .ап((п),(),( = ^ (г,(г € И.+, Предположим, что для некото-

г=1

к

рых 0 < к < пи 0 < (' < (к+1 ело во (тк, ('') = (а1((1)... ак((к (г+(') € Ь(ТБ), слова

г=1

к+1 к (а1((1)... ак+1(4+1), Е ¿г), (а1((1)... ак((к), + ('') € Т(ТБ) при ('' < ('[ < 4+1-

г=1 г=1

Так как (т,() € Ь(ТБ'), то без потери общности можем предположить, что существуют такие (С', 6'), (С', 6'') € БТ(ТБ'), что (С'0,6'0) {г=4) (С', 6') {Лк+1-Л'1) (С',5''). Тогда по лемме 3 (С', 6'и') гфд, где ( и и' таковы, что существует ц, достижимое временным словом (тк, (''), согласованным с путем из (о в при этом ц , и' | ес([м]) — Рассмотрим два возможных случая,

1, ц0 {а=4 ) ц — при к < п, ¿1 = (к+1. Тогда то построению в подформуле фд должен быть член конъюнкции [ак+1\что противоречит (С', 6'и') фд;

О ) Лк+Г?" А" -I А Т

2. ц0 =4 ц ——^ при (1 = (к+1. 1ак как все временные интервалы, сопостав-

((

ствует перехода по X; т- е- ( — ■ Тогда то построению в подформуле фд должен быть член конъюнкции Х гп (\&х > 0 4 Да&Аси [а]$[), Тогда (С', 6'' (и' + (к+1 — ('[)) х > 0 и, следовательно, получаем ложь для (С', 6'' (и' + (к+1 — ('()) Япц, что противоречит (С', 6'и') фд. □

Доказательство теоремы 1.

(4=) Рассмотрим произвольное (т, () € Ь(ТБ') и (С', 6') такое, что (С'0,6'0) =4 (С', 6') и (С', 6') ——, Согласно определению 3 надо показать, что существует (С, 6) €

БТ (ТБ ) такое, что (Со,6о) =4(С,6) — и Б ((С, 6)) | а^С Б ((С', 6')) | Асо Б ((С', 6')) | к+ = 0 4 Б ((С, 6)) | к+ = 0.

Согласно лемме 4 (т, () € Ь(ТБ). Тогда по лемме 3 (С', 6'и') =о фц и существуют ц, ( с путем р из (0 в ( и и' такие, что ц достижимо (т, (), согласованным с путем р, и' |дс([м])— Согласно утверждению 2 и следствию 1 существуют Я € ( такой, что Я —— и ц1 € Я, достижимое (т, (), согласованным с путем из (0 в

Используя построение подформулы фд в части подфор мулы АС С (() и лемму 1, можно найти (С,6) € для которого Б ((С, 6)) |Ас4С Б (С', 6') |Ас4 Л Б (С', 6') |р+= 0 4 Б ((С, 6)) |н+ = 0.

(=4) Из определения временной тиз£-эквивалентноети очевидным образом следует, что Ь(ТБ') С Ь(ТБ) Пусть (С' ,6') € БТ (ТБ') и декларация V соответствует определению формулы Ят$8Ь-

Пусть (т, () таково, что (С0,60)===4) (С', 6'), и ( и и' таковы, что существует ц € Я (Я € (, Я -—), достижимое (т, (), согласованным с путем из (0 в (. (*)

Построим наибольшее отношение Ьр по следующим правилам:

(С', 6'и') Ьр И (С', 6'и') ф Л ф (С', 6'и') Ьр ф V ф

(С',6'и') Ьр Эф

истина; (С', 6'и') ^ 44 ложь; (С', 6'и') ф и (С', 6'и') ф; (С', 6'и') ф или (С, 6'и') ф;

3( € И+ . (С', 6') 4 (С'1,6'1) и (С'1,6'1и' + () Ьр ф;

(С', ¿'и') Ьр ¥ф (С', ¿'и') Ьр [а]ф (С', ¿'и ') Ьр (а)ф

(С',¿'и') Ьр х + ш м у + п (С', ¿'и') Ьр ж т ф (С', ¿V) Ьр ^ (С', ¿'и ') Ьр х ' (С', ¿ V) Ьр фд (С', ¿'и') Ьр в(3)

(С', ¿'и') Ьр АСС(3)

^ е В+(С'^') ^ (С1, ¿1)

влечет (С1, ¿1и + Ьр ф;

^ У(С^) е (Т£) . (С',¿')—4>(С1,¿1)

влечет (С1, ¿1и') Ьр ф;

^ Э(С1^) е (Т£) . (С',¿') — =4(С1,¿1)

и (С1, ¿1и') Ьр ф;

^ и'(ж) + шх и'(у) + п;

^ (С'^'Ц) Ьр ф, где = [{ж} — 0]и';

^ (С', ¿'и') Ьр №в(д) ^ фд

^ (С', ¿') | к+ = 0;

^ (С'^') удовлетворяет условию (*) и и' | — Ад;

^ (С'^') удовлетворяет уеловию (*)

и и' удовлетворяет условиям в(3); ^ (С'^') удовлетворяет условию (*), (С'^') —,

и' !дс(я)- Ая И 3(С^ е Л • (С^ - Л

£(С'^') Ы Л (£(С'^') |н+ = 0^ £(С^) |к+ = 0.

Покажем, что Ьр является отношением выполнимости. Согласно определению 5 для этого необходимо проверить выполнение условия (С, ¿и) Ьр Z (С, ¿и) Ьр ). Случаи с Z = ^(3), Z = х' очевидны.

Рассмотрим случай для Z = АСС (3), Есл и £ (С, ¿) |Ас*= 0, то го построения Ьр следует (С', ¿'и') Ьр Ла&5(М ^ (а)#. Если £ (С, ¿) Цс*= 0, то (С', ¿'и') Ьр Так как по определению 3 (£ (C',¿') |р+ = 0 ^ £ (С, ¿) |р+ = 0), то (С', ¿'и') Ьр х' ПРИ Б (С', ¿') |к+ = 0 то построению Ьр и х' не включается в часть, соответствующую (С', ¿'и') при £(С'^') |к+ = 0 то построению АСС(3), Таким образом, (С', ¿'и') Ьр АСС(3) (С', ¿'и') Ьр Р(АСС(3)).

Случай с Z = фд доказывается аналогично, При этом фд для каждого класса рассматривается после того, как рассмотрены аналогичные формулы для всех его предшественников в графе классов, □

Доказательство теоремы 2.

(=^) Отношение выполнимости строится аналогично теореме 1 (=^).

(^=) Заметим, что в доказательстве леммы 4 не используются подформулы АСС(3),

□

Поступила в редакцию 20 мая 2009 г., с доработки — 21 сентября 2009 г.