Research Collection
Werbung
Research Collection Doctoral Thesis Anchored Separation of Linear Temporal Logic and its Applications Author(s): Maretić, Grgur P. Publication Date: 2015 Permanent Link: https://doi.org/10.3929/ethz-a-010602014 Rights / License: In Copyright - Non-Commercial Use Permitted This page was generated automatically upon download from the ETH Zurich Research Collection. For more information please consult the Terms of use. ETH Library DISS. ETH NO. 23012 Anchored Separation of Linear Temporal Logic and its Applications A dissertation submitted to ETH ZURICH for the degree of Doctor of Sciences presented by Grgur Petric Maretić Master of Mathematics, University of Zagreb born 23.01.1986 citizen of Croatia accepted on the recommendation of Prof. Dr. David Basin Dr. Mohammad Torabi Dashti Prof. Dr. Martin Vechev Prof. Dr. Thomas Wilke 2015 Abstract. Linear temporal logic (LTL) is a propositional logic with temporal modalities. LTL is widely used as a specification language, e.g. for the formalization of requirements in model checking, due to its intuitive syntax, and a good trade-off between expressivity and the complexity of model checking. In this thesis, we address several research problems in LTL: the safety-liveness decomposition, the complexity of LTL separation, and the complexity of eliminating past-time operators from formulas. We then apply these theoretical results to characterize several classes of temporal properties and to the problem of vacuous satisfaction in temporal model checking. In the first part of the thesis, we constructively prove that LTL admits the safetyliveness decomposition: any property expressed by an LTL formula is equivalent to the intersection of a safety property (a property that is only falsifiable in finite time) and a liveness property (a property that cannot be falsified in finite time), both of them expressible in LTL. Our proof is based on constructing a minimal deterministic counter-free Büchi automaton that recognizes the smallest safety property that is more permissive than the original formula. The proof of the safety-liveness decomposition illustrates the difficulty of translating from automata or arbitrary LTL formulas to LTL with only future-time temporal connectives (FLTL in this thesis). This motivates the second part of the thesis, where we address this problem using a fundamental result for LTL: Gabbay’s separation theorem. We show that separating a restricted class of LTL formulas, called anchored LTL, is elementary if and only if the translation from LTL to FLTL is elementary. To prove this result, we define a canonical separation for LTL and establish, for any LTL formula, a correspondence between generalized Büchi automata that recognize it and any canonical separation of its anchored version. Canonical separation of anchored LTL formulas has further applications. First, we give a more direct and concise proof of the safety-liveness decomposition theorem for LTL. Second, we characterize safety, liveness, absolute liveness, stable, and fairness properties in LTL. Our characterization is effective: We reduce the problem of deciding whether an LTL formula defines any of these properties to the validity problem for LTL. In the third part of the thesis, we address vacuous satisfaction in temporal model checking. The vacuous satisfaction of a temporal formula with respect to a model has been extensively studied in the literature. Although a universally accepted definition of vacuity does not yet exist, all existing proposals generalize, in one way or another, the antecedent failure of an implication to the syntax of a temporal logic. They are therefore syntactic: whether a model vacuously satisfies a formula is affected by semantics-preserving changes to the formula. This leads to inconsistent and counter-intuitive results. We propose an alternative: a semantic definition of vacuity for LTL where either two semantically equivalent LTL formulas are both satisfied vacuously in a model, or neither of them are. Our definition is based on canonical separation of anchored formulas. We show that separation of anchored formulas can be used to define trap properties that allow us to detect semantic vacuity using a model checker. We also propose an alternative algorithm 5 that uses generalized Büchi automata, which can be used to detect the vacuous satisfaction of ω-regular properties as well as LTL formulas. We analyze the latter algorithm’s worst-case complexity and, using real-world examples, demonstrate that semantic vacuity can be efficiently decided in practice. 6 Zusammenfassung. Lineare temporale Logik (LTL) erweitert Aussagenlogik um temporale Modaloperatoren. Wegen der intuitiven Syntax wie auch wegen der guten Balance zwischen Ausdrucksstärke und Komplexität des Erfüllbarkeitsproblems wird LTL häufig zur Spezifikation von Programmeigenschaften benutzt. Diese Dissertation behandelt mehrere fundamentale Fragestellungen in LTL: die Zerlegung in Sicherheits- und Lebendigkeitseigenschaften, die Komplexität der LTLSeparation, und die Komplexität des semantik-erhaltenden Entfernens der Vergangenheitsoperatoren aus einer Formel. Diese theoretischen Resultate nutzen wir zur Charakterisierung verschiedener Klassen von temporalen Eigenschaften und wenden sie auf das Problem der vakuosen Erfüllung im temporalen Model Checking an. Im ersten Teil dieser Dissertation zeigen wir konstruktiv, dass sich jede LTLFormel in eine äquivalente Konjunktion einer Sicherheits- und einer Lebendigkeitseigenschaft zerlegen lässt, die beide in LTL ausgedrückt werden können. Sicherheitseigenschaften lassen sich nur, Lebendigkeitseigenschaften niemals in endlicher Zeit falsifizieren. Unser Beweis basiert auf der Konstruktion eines minimalen deterministischen zählerfreien Büchi-Automaten, der die minimale Sicherheitseigenschaft akzeptiert, die schwächer als die ursprüngliche Formel ist. Der Beweis dieser Zerlegung veranschaulicht die Schwierigkeit, Automaten oder beliebige LTL-Formeln in äquivalente LTL-Formeln zu übersetzen, die nur Zukunftsoperatoren verwenden (FLTL in dieser Arbeit). Dies motiviert den zweiten Teil der Arbeit, in dem wir dieses Problem mit Hilfe des Gabbay’sche Seperationssatzes angehen, einer fundamentalen Aussage über LTL. Wir zeigen, dass die Separation einer eingeschränkten Klasse von LTL-Formeln, genannt “verankertes LTL”, elementar ist genau dann, wenn die Übersetzung von LTL nach FLTL elementar ist. Dazu führen wir den Begriff der kanonischen Separation von LTL ein und zeigen für jede LTL-Formel eine Korrespondenz zwischen Büchi-Automaten, welche diese LTL-Formel erkennen, und jeder beliebigen kanonischen Separation einer verankerten Version dieser Formel. Die kanonische Separation hat weitere Anwendungen. Erstens zeigen wir einen direkteren und kompakteren Beweis fr den Sicherheits-Lebendigkeits-Zerlegungssatz für LTL. Zweitens charakterisieren wir Sicherheits-, Lebendigkeits-, absolute Lebendigkeits-, Stabilitätsund Fairness-Eigenschaften in LTL. Unsere Characterisierung is effektiv, indem wir das Entscheidungsproblem, ob eine LTL-Formel eine dieser Eigenschaften definiert, auf das Gültigkeitsproblem für LTL reduzieren. Im dritten Teil dieser Dissertation widmen wir uns der vakuosen Erfüllung im temporalen Model Checking. Zum Thema vakuose Erfüllung temporaler Formeln für ein gegebenes Modell wurde in den letzten Jahren viel geforscht. Noch existiert keine allgemein akzeptierte Definition der vakuosen Erfüllung. Jedoch verallgemeinern alle existierenden Ansätze, auf die eine oder andere Weise, die Verletzung der Annahme einer Implikation auf die Syntax einer temporalen Logik. All diese Definitionen sind aus diesem Grund syntaktischer Natur: Die Antwort auf die Frage, ob ein Modell eine Formel vakuos erfüllt, ändert sich somit unter semantik-erhaltenden Transformationen der Formel. Dies führt zu inkonsistenten 7 und unintuitiven Ergebnissen. Als Alternative schlagen wir eine semantische Definition der vakuosen Erfüllung für LTL vor, so dass zwei semantisch äquivalente LTL-Formeln in einem Modell entweder beide oder keine vakuos erfüllt sind. Unsere Definition basiert auf der kanonischen Separation von verankerten Formeln. Wir zeigen, dass die Separation verankerter Formeln zur Definition von Eigenschaften verwendet werden kann, mit denen die semantische vakuose Erfüllung mittels eines Model-Checkers erkannt werden kann. Wir stellen auch einen alternativen Algorithmus mit generalisierten Büchi-Automaten vor, der die vakuose Erfüllung sowohl von ω-regulären Eigenschaften als auch von LTL-Formeln erkennt. Wir analysieren die Komplexität dieses Algorithmus und zeigen anhand von realen Beispielen, dass die semantische leere Erfüllung in der Praxis effizient überprüft werden kann. 8
